Автор: Вячеслав Панкратьев, специалист в области безопасности бизнеса, преподаватель-консультант по вопросам корпоративной безопасности, автор и ведущий обучающих программ по проблемам безопасности бизнеса, автор книг и методических пособий по безопасности предпринимательской деятельности.

Какие угрозы существуют в компаниях от пресловутого "человеческого фактора"? Как происходит разглашение конфиденциальной информации? Что такое мотивированное и немотивированное разглашение информации? Каких мер необходимо придерживаться в кадровой работе с точки зрения кадровой безопасности? Как осуществляется контроль над сотрудниками и как их мотивировать? На эти и другие подобные вопросы отвечает данный материал.


Какие угрозы существуют в компаниях от пресловутого "человеческого фактора"?

Со стороны сотрудников возможны следующие угрозы компании:
• совершение сотрудниками противоправных действий (воровство, мошенничество, откаты, проведение сделок через подконтрольные компании, махинации с финансовой отчетностью, внутренний сговор, работа одновременно на нескольких конкурирующих компаниях и т.д.);
• разглашение сотрудниками конфиденциальной (опасной) информации;
• совершение действий законных, но наносящих ущерб интересам компании (например, некомпетентных).


Как чаще всего происходит разглашение конфиденциальной информации через "человеческий фактор"?

Разглашение информации через "человеческий фактор" чаще всего возможно:
• при контактах с сотрудниками компании, используя мотивированное и немотивированное разглашение информации;
• через сотрудников, ранее уволившихся из компании;
• при контактах сотрудников компании с представителями государственных органов в рамках контролирующих, следственных или иных мероприятий;
• при контактах сотрудников компании в рамках аутсорсинга или внешнего консалтинга (аудита);
• через человека, внедренного в компанию.


Что такое мотивированное разглашение информации?

Мотивированное разглашение информации сотрудником компании возможно по следующим причинам:
• алчность (подкуп);
• шантаж;
• сведение счетов с другой организацией или с другим человеком (обида);
• расчет получить какие-либо блага (решение личных проблем сотрудника);
• страх сотрудника за свою жизнь и за жизнь близких людей;
• стремление к власти;
• национальные чувства;
• религиозные чувства;
• гражданский долг (игра на законопослушании);
• общечеловеческая мораль (игра на порядочности);
• корпоративная (клановая) солидарность;
• увлечение чем-либо (например, коллекционирование);
• расчет получения другой информации взамен.


Что такое немотивированное разглашение информации?

Немотивированное разглашение информации сотрудником компании возможно по следующим причинам:
• эмоциональность (в состоянии сострадания, любви, ревности, восторженности и т.д.);
• депрессия;
• внутренний авантюризм человека;
• использование элементов нейро-лингвистического программирования (НЛП) и гипноза;
• легкомысленная болтливость;
• алкогольное опьянение;
• импульсивность;
• тщеславие и честолюбие (склонность к достижению превосходства над окружающими за счет показа своей информированности и осведомленности);
• увлеченность работой (особенно часто происходит разглашение информации при контактах с коллегами по профессии).


Что порекомендуете с точки зрения кадровой безопасности в организации кадровой работы?

В кадровой работе, с точки зрения кадровой безопасности, необходимо придерживаться следующих мер.

1. Проводить серьезный и всесторонний отбор сотрудников, при котором не допускается: прием на работу людей, имеющих личностные недостатки, которые могут нанести вред интересам компании.

2. Создать условия, при которых работнику будет невыгодно совершать действия, наносящие ущерб компании. Эти условия должны включать целую систему мер по моральному и материальному стимулированию, заинтересованности в результатах труда, формированию престижности работы в компании, заботе о внешнем и внутреннем имидже компании и т.д.

3. Заботиться о формировании и поддержании оптимального социально-психологического климата в коллективе, создании корпоративной культуры. Возможно проведение коллективных неформальных мероприятий, в которых работники могут совместно проводить время, участвовать в них семьями. Корпоративная культура, как свод правил и норм поведения, может быть документальным и представлять собой описание действий персонала в тех или иных ситуациях. В описание корпоративной культуры могут быть внесены пункты, прямо определяющие поведение сотрудников при столкновении с конкурентами (склонении к сотрудничеству, переманивании или выведывании информации).

4. Исключить возможность злоупотребления сотрудниками и соблазн совершения противоправных действий. По статистике 10 % сотрудников никогда не будут совершать противоправные действия, 10% будут их совершать всегда, а 80 % совершают правонарушения при наличии возможностей. Цель кадровой политики заключается в устранении возможности совершения противоправных действий для 80 %.

5. Обратить особое внимание на людей, наиболее подверженных вербовке (секретари, уборщики, системные администраторы и иные люди, которые знают коммерческие секреты или могут их узнать).

6. Осуществлять защиту от хедхантеров (охотниками за головами). Эта защита, как правило, заключается в мотивации персонала, ограничении распространения информации о наиболее квалифицированных сотрудниках, установлении обязательств, по которым сотрудники обязаны компании (например, содействие в выдаче кредитов), заключение договоренностей с конкурирующими компаниями и компаниями, занимающимися хедхантерством о непереманивании работников и т.д.

7. Использовать в кадровой политике принцип кнута и пряника. Пряник, как правило, предполагает создание системы мотивации, а кнут – неотвратимость наказания за совершенные поступки.

8. Проводить периодические, особенно внеплановые, проверки.

9. Иметь в компании грамотного юриста, обеспечивающего правовое прикрытие деятельности службы безопасности в кадровой политике.

10. Создать сеть осведомителей и добровольных помощников службы безопасности среди персонала, используя различные мотивы, начиная от идеологии и заканчивая компроматами.

11. Заключить договора о сохранении коммерческой тайны с сотрудниками компании. Периодическое (ежегодное или ежеквартальное) напоминание работникам о необходимости соблюдения определенных правил поведения с обновлением соответствующей подписки. Обычно такие мероприятия из-за своей формализованной процедуры превращаются в чисто номинальные. Поэтому, как руководителю компании, так и работникам кадровой службы и службы безопасности стоит задуматься над тем, чтобы снизить формализм в проведении этих мероприятий и психологически поднять их значимость и действенность.

12. Применять методы формирования команды или принцип ротации работников низших должностей для противодействия совершения персоналом противоправных действий.

13. Четко разграничить полномочия и ответственность между сотрудниками компании с целью исключения конфликтов, связанных с пересечением сфер корпоративных отношений, компетенции, подчиненности и т.д. Создать должностные инструкции.

14. Определить мотивы, по которым могут совершаться противоправные действия и людей, наиболее подверженных этим мотивам (мотив – нужда в деньгах на лечение родственника, мотив – привычка к воровству, так как ранее работал на госпредприятии, где все воровали и т.д.).

15. Предупреждать ситуации, при которых работник или близкие ему люди могут оказаться в безвыходном критическом положении при возникновении острых жизненных проблем. Профилактика таких ситуаций (в частности, долгов, материальных затруднений) должна осуществляться путем оказания материальной, юридической, психологической и иной помощи.

Работники должны быть уверены в том, что в случае возникновения у них трудностей, компания может прийти к ним на помощь. Нужно также не допускать случаи безразличного отношения к просьбе и жалобе каждого работника, а при возникновении таких случаев – оперативно и жестко реагировать на них.

16. Обеспечивать безопасность сотрудников (в первую очередь руководства). Достигается мероприятиями по физической, психологической и юридической защите.

17. Создать нормативную регламентацию управленческих процессов (политики, инструкции, регламенты, алгоритмы и т.д.), ознакомить сотрудников с правилами и процедурами работы по линии корпоративной безопасности в компании под роспись, создать необходимые условия для их выполнения.

18. Разработать и внедрить программы обучения сотрудников психологически грамотным действиям во внештатной ситуации (пожар, стихийное бедствие, внеплановые проверки и др.).

19. Использовать технические (аппаратные или программные) средства для осуществления мероприятий "espy methods" – таких методов, как просмотр электронной почты и трансакций в локальной сети сотрудника, организация мониторинга информации, проходящей через сотрудника компании и т.д.

20. Внедрить систему материального и морального стимулирования, дополнительно "привязывающих" работника к компании, которые он не сможет получить в конкурирующих организациях. Такая система может включать поощрения (бонусы) за добросовестную работу, соблюдение трудовой дисциплины и лояльность компании. Максимально применять нематериальные системы мотивации, как наиболее эффективные (идеология, личная преданность, национальные особенности, родственные связи и т.д.).

21. Внедрить персональную ответственность за содеянные поступки и неотвратимость наказания за нарушения требований по безопасности. Наказание за содеянные проступки должно быть публичным.

22. Применять психологические приемы работы с сотрудниками (беседы, предупреждения и т.д.).

23. Проводить анализ жизни и работы сотрудников (расходы, материальные ценности, поведение и т.д.) с целью вычисления сотрудников, замешанных в противоправных действиях.

24. Применять организационные меры, способствующие усилению корпоративной безопасности. Например, разбивание полномочий на части или разбивание конфиденциальной информации с определением прав доступа к каждой части.


Как осуществляется контроль над сотрудником со стороны службы безопасности?

Контроль над сотрудником со стороны службы безопасности строится по направлениям:
• контроль действий, которые совершает сотрудник в течение рабочего времени;
• контроль и проверка отчетности (особенно документов), представляемой сотрудником;
• контроль служебных и некоторых внеслужебных контактов сотрудника;
• контроль адекватности поведения сотрудника, особенно анализ смены поведения во времени. При наложении этих наблюдений на график совершения сделок можно увидеть определенные закономерности и сделать некоторые выводы. Особое внимание следует обращать на такие показатели, как резкое изменение благосостояния сотрудника, значительное и длительное ухудшение настроения, замкнутость, рассеянность и т.п.;
• внутренний аудит, сбор, обобщение и анализ информации, использование доверенных лиц в этой работе.


Какие существуют мотивирующие факторы, способствующие усилению лояльности сотрудников?

Обычно в кадровой работе применяются следующие мотивирующие факторы:
• деньги и иные материальные блага для сотрудников;
• условия труда и современные инструменты для работы;
• стабильность деятельности компании, уверенность в завтрашнем дне;
• защищенность (юридическая, психологическая, физическая и т.д.);
• профессиональное признание;
• карьерный рост;
• психологически комфортный коллектив;
• возможность создавать и улучшать личные достижения в профессиональном плане;
• предоставленные полномочия;
• бренд компании;
• возможность переобучения, профессиональной переквалификации;
• работа сама по себе (удовлетворенность в решении профессиональных задач);
• содействие компании в достижении личных целей сотрудников;
• прозрачность (справедливость вознаграждения);
• гибкость (индивидуальность) подхода;
• желание принадлежать к конкретной группе сотрудников.


Какие факторы способствуют ослаблению лояльности сотрудников?

Ослаблению лояльности сотрудников способствуют следующие факторы:
• заниженная оценка труда (например, заработная плата);
• отсутствие признания результатов труда со стороны руководства;
• отсутствие возможности профессионального роста;
• плохие условия труда;
• рутинные задачи;
• несовпадение личного карьерного плана и корпоративных возможностей;
• отсутствие стабильности и защищенности;
• несовпадение социальной роли и статуса позиции;
• несовпадение корпоративной и личной культуры и этики;
• формальный (недемократичный) стиль руководства.


Какие существуют растровые признаки опасности, по которым служба безопасности вычисляет совершение сотрудниками противоправных действий?

Растровыми признаками опасности, которые анализирует служба безопасности, как правило, следующие:
• несоответствие доходов и расходов (жизнь не по средствам);
• контакты в криминальной среде;
• длительное нежелание идти на повышение по службе (на данной должности удобно совершать мошеннические действия);
• нежелание брать отпуск (если кто-то другой будет замещать его и заниматься той же работой, исполняющий обязанности сможет выявить нарушения);
• выходящий за стандартные рамки образ жизни;
• изменение в поведении человека;
• стремление уклониться от разговоров о прошлой работе и жизни;
• сокрытие своих родственных, дружеских и деловых связей.


Какими способами можно бороться с одной из основных проблем в кадровой безопасности – проблемой "откатов"?

Борьба с "откатами" (или коммерческим подкупом) реализуется по следующим направлениям:
• анализом ценовой политики при заключении гражданско-правовых отношений;
• разбиванием должностных полномочий сотрудников на части;
• разделением сотрудников, которые осуществляют заказ работ и услуг и сотрудников, которые осуществляют прием работ и услуг;
• коллегиальностью в принятии решений (торги, конкурсы, внутреннее согласование договоров и т.д.);
• ротацией кадров, занимающих должности, на которых возможно совершать "откаты";
• проверкой персонала при приеме на работу;
• воздействием (дисциплинарным, моральным и т.д.) на сотрудников, замешанных в "откатах";
• назначением "подконтрольных" сотрудников на должности, предполагающие "откаты".


Какие психологические особенности сотрудников представляют опасность для компании?

Опасность для компании представляют следующие психологические особенности сотрудников:

• пренебрежение и даже презрение по отношению к общепринятым моральным нормам (не красть, не обманывать, не причинять зла людям, с которыми он вместе живет и работает). Сотрудник относится к ним с пренебрежением и цинизмом. Такой работник не будет испытывать угрызений совести от того, что подводит или предает коллег, компанию, в которой трудится;

• индивидуалистическая направленность личности, неумение и нежелание работать в единой команде, устойчивое стремление противопоставить себя коллегам, отсутствие корпоративных чувств, привязанности к месту работы и коллективу;

• завышенная самооценка, не соответствующая реальным возможностям человека, вера в собственную непогрешимость, непомерное тщеславие, неудовлетворенные амбиции, завистливость, как следствие – неудовлетворенность карьерой, противоречие между высокими притязаниями и реальным продвижением по службе;

• черты характера, обусловленные психопатией и характеризующиеся мстительностью, злопамятностью, повышенной обидчивостью. Такие люди долго не могут освободиться от своих негативных переживаний, простить обиду и задетое самолюбие. Им обычно свойственна конфликтность с окружающими (неуживчивость, намеренное противопоставление себя другим людям). Эти лица могут переживать конфликт в течение длительного времени. Особенно опасен устойчивый конфликт "по вертикали", когда работник надолго сохраняет желание отомстить за нанесенные обиды своему руководителю;

• инфантилизм (личностная незрелость), отсутствие самостоятельности суждений, ориентация на других, более сильных в психологическом отношении людей, в принятии решений и действиях (легкая добровольная подчиненность влиянию со стороны). Таким людям не хватает самоорганизации. Они не умеют планировать свой бюджет, свою жизнь, не способны противостоять внешнему давлению и шантажу, проявляют пугливость, трусость. Ими легче управлять, их легче втянуть в совершение противоправных или аморальных действий и поступков;

• импульсивность, которая является доминирующей в поведении. Она проявляется в том, что человека легко "завести", привести к потере самоконтроля и совершенно необдуманных, безрассудных действий. Такие люди нередко бывают болтливыми, их легко разговорить по любым вопросам, в том числе и по тем, которые составляют корпоративную тайну. Особенно часто у них "развязывается язык" в неформальной обстановке, после принятия алкоголя, при вовлечении в спор или полемику и др. Такие люди подвластны эмоциям, чувствам и страстям, которые целиком захватывают их; под влиянием страстей они не могут "остановиться вовремя", принять рациональное решение. Им присущи слабости личного характера (например, злоупотребление спиртными напитками, пристрастие к азартным играм и др.). Они могут, например, проиграть свои и чужие деньги, потратить их на предмет личных увлечений, "потерять голову" от любви, необдуманно осуществить покупку дорогостоящей вещи в долг и т.п. Поступки таких людей определяются не осознанными целями и намерениями, а внутренними импульсами или внешними обстоятельствами (например, навязанными извне желаниями);

• неустроенность в личной жизни, отчужденность от других, одиночество, "потеря корней", отсутствие близких людей, связи с ними. Такая социальная "оторванность" во многом облегчает совершение ненормативных, аморальных поступков, поскольку человек считает, что в случае "прокола" он один будет нести ответственность, и страдать или переживать будет некому;

• острая ситуативная жизненная потребность (например, в дорогостоящем лечении близких), которую человек не может реализовать самостоятельно. Данный фактор является наименее прогнозируемым, а значит и наименее управляемым. В то же время оперативное получение полной и достоверной информации о возникновении такой ситуации может снизить ее негативное воздействие на надежность работника;

• наличие связи данного человека с кем-либо из представителей конкурирующих компаний.


Какие существуют схемы хищений (воровства), совершаемые сотрудниками компаний?

Схемы хищений (воровства), которые совершаются сотрудниками компании, обычно систематизируются по уровням, в зависимости от ущерба.

Уровень 1. Мелкие разовые хищения. Люди склонны иногда совершать мелкие кражи, не объясняемые рациональными причинами. Такие хищения не создают системы и не приносят заметных экономических убытков. Они совершаются скорее из озорства в тех случаях, когда человек уверен в своей безнаказанности. В большинстве случаев они происходят без предварительной подготовки и продумывания: человек просто хватает то, что, по его мнению, плохо лежит. Главное средство защиты от них – не создавать соблазнов.

Уровень 2. Систематические хищения среднего размера: "надбавка к зарплате". Этот уровень хищений отличается от первого тем, что совершается из экономических мотивов, носит систематический характер, продуман и обычно обеспечивается мерами безопасности. Расхищаются обычно незначительные (на фоне общего денежного потока) суммы: менее вероятно, что на них обратят внимание. Тем не менее, работник может обеспечить себе постоянный доход, сопоставимый с уровнем заработной платы. Такие хищения, в отличие от предыдущей группы, несут значительный ущерб для компании. Их опасность для морали персонала в том, что, хотя никто особо не афиширует своих "подвигов", в коллективе вырабатывается негласное отношение к ним как к обыденности. Особенно опасно, когда это отношение молчаливо разделяет и менеджмент компании: создается атмосфера попустительства. Менеджмент таких организаций не повышает сотрудникам зарплату, поскольку считает, что те "все равно свое возьмут". Такая атмосфера быстро коррумпирует новых сотрудников. Важная психологическая особенность этого типа хищений – отсутствие у ворующих чувства вины. Если в организации или отдельных подразделениях сложилась такая атмосфера, то победить ее полностью можно лишь уволив старый персонал и наняв новый. Попытки менеджмента бороться с такими хищениями путем налаживания системы учета и контроля внедряются с большим трудом, зачастую вызывая возмущение у персонала, вплоть до увольнений.

Уровень 3. "Внутреннее предпринимательство". Это наиболее опасный уровень злоупотреблений, возникающий там, где сотрудникам предоставляется возможность распоряжаться крупными суммами и самостоятельно принимать крупные финансовые решения. Формально работая на компанию, такие люди создают на ее основе внутренний "частный бизнес". Здесь речь идет уже не о "дополнительной зарплате", а о присвоении больших сумм денег. Как правило, данный уровень присутствует в коммерческих структурах, где отдельные наемные работники (торгующий персонал) реально оперируют сделками на крупные суммы, лично общаются с клиентами, имеют доступ к наличным и получают возможность так или иначе присваивать часть этих сумм. "Внутреннее предпринимательство" отличается от двух других типов злоупотреблений следующими особенностями:

• "внутренних предпринимателей" не бывает много; иначе, они разорили бы организацию;
• "внутренние предприниматели" гораздо более чем "средние" расхитители, склонны вступать в сговоры и коалиции как внутри компании, так и с внешними контрагентами: присваиваемые ими суммы достаточно велики, чтобы была возможность делиться, а крупные сделки зачастую привлекают к себе внимание руководства и других "третьих сторон", которые могут заметить злоупотребления;
• как и расхитителей 2 уровня, их не мучают особые угрызения совести, и они не считают свое поведение предосудительным. Но мотивировка (в коммерческих организациях) иная: "я приношу организации такие крупные доходы, что она просто обязана делиться";
• "внутренние предприниматели" обычно цепляются за свое место и боятся его потерять: ведь именно оно обеспечивает им доход. Чтобы покинуть организацию, они должны гарантированно обеспечить себе аналогичные условия в другом месте, что не всегда просто.

Главный способ вычисления "внутреннего предпринимателя" – отслеживание его расходов, которые, как правило, значительно выше официальных доходов. Явный признак "внутреннего предпринимательства" (а также "средних" хищений) – "закрытость" отношений сотрудника с внешним клиентом. Эти сотрудники пытаются под предлогом того, что "клиент не будет работать ни с кем, кроме меня" максимально ограничить информацию о сделке, вплоть до попыток скрыть имя получателя комиссии.


Как реализуется принцип персональной ответственности сотрудников в компании?

Персональная ответственность сотрудников контролируется и реализуется с помощью:
• росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
• индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
• проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, смарт-карт, электронной цифровой подписи как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).


Как проводятся внутрикорпоративные расследования по фактам совершения сотрудниками противоправных действий?

При проведении внутрикорпоративных расследований желательно учитывать такие моменты:
• не использовать в официальных документах термины "служебное расследование", "разбирательство", "административное расследование", так как эти термины уже заняты и используются как правило в государственных структурах;
• право на проведение внутрикорпоративного расследования должно быть зафиксировано в положении о службе безопасности компании или в должностной инструкции сотрудника, утвержденные руководством компании. Кроме того, на проведение конкретного расследования целесообразно издавать отдельный приказ с указанием, кто проводит и сроков проведения;
• расследования назначаются по факту противоправных действий, который стал известен (результат ревизии, запись видеонаблюдения, докладная записка и т.д.). Расследования, проводимые на основе подозрений, не проводятся;
• задача расследования – сбор и анализ информации с целью ответа на изначально поставленные вопросы (определение суммы ущерба, кто виноват, причины произошедшего и т.д.);
• все доказательства должны быть собраны законными методами с соблюдением процессуальных норм;
• возможно применение в виде доказательств объяснительных записок, актов официальных документов, видеозаписей, распечаток информационных материалов с технических средств охраны, систем IT безопасности и т.д.;
• все объяснительные документы должны составляться собственноручно, с расшифровкой подписи и проставлением даты;
• при отказе дать объяснение или поставить подпись на документах, составляется соответствующий акт, который подписывается тремя сотрудниками;
• в процессе расследования выясняется следующее:
- анализ обнаруженных симптомов (проявлений) нарушений;
- суть и классификация нарушения (мошенничество, коммерческий подкуп и т.д.);
- оценка ущерба;
- лица, имевшие возможность совершить нарушение и их пособников;
- доказательство вины и ее классификация (умысел, неосторожность), наличие отягчающих и смягчающих факторов;
- возможность реализации похищенного имущества (в случае с хищением, воровством и т.д.);
- мотивы (по каждому подозреваемому);
- методы сокрытия следов нарушения;
- причины, послужившие основанием для нарушения или способствовавшие ему;
- что необходимо сделать для ликвидации последствий нарушений и наказания виновных (компенсация ущерба, применение мер дисциплинарного воздействия и т.д.);
- что необходимо сделать для предотвращения нарушений в дальнейшем (профилактические меры);
• результатом расследования должно быть заключение с выводами в виде ответов на поставленные вопросы (виновен/невиновен, размер ущерба/нет ущерба и т.д.);
• с результатами расследования должны быть ознакомлены (под роспись) лица, в отношении которых оно проводилось;
• сроки хранения материалов расследований определяются индивидуально, но не менее сроков исковой давности, если на их основании совершались властные действия (увольнение сотрудника, лишение премии и т.д.).


Некоторые практические советы в отношении кадровой безопасности:

1. Запретите ведение служебных переговоров по личным телефонам (оставление личных номеров телефонов). Особенно это касается сотрудников компании, работающих с клиентами. У клиентов должны быть только служебные (рабочие) телефоны, в ином случае вместе с уходом сотрудника со своим личным телефоном, с которого он вел служебные переговоры, вместе с ним уходят и клиенты.

2. Если приходится платить "неучтенные деньги" клиентам, то у клиента происходит привязка к тому человеку, который их платит, поэтому желательно платить их самому, тем самым, привязывая клиента к себе.

3. Для того чтобы избавляться от неугодных людей, применяются следующие схемы:

• устанавливается минимальный фиксированный оклад с максимальным процентным отношением премий. В этом случае, чтобы избавиться от сотрудника, снимают с него все премии, что вынуждает его уйти по собственному желанию;
• с проблемными сотрудниками лучше расставаться по статье "по согласию сторон". Эта статья практически никогда не оспаривается в суде (при выплате хотя бы небольших денег "отступных");
• при увольнении лучше использовать объективные факторы (зафиксированные случаи опозданий, прогулов, появления в состоянии алкогольного опьянения и т.д.), а не субъективные (аттестационные комиссии и т.д.).