Журнал "Бизнес Энтропия" > Статьи, Безопасность бизнеса > Кадровая безопасность. Как ее достичь в компании?
Кадровая безопасность. Как ее достичь в компании? |
Автор: Вячеслав Панкратьев, специалист в области безопасности бизнеса, преподаватель-консультант по вопросам корпоративной безопасности, автор и ведущий обучающих программ по проблемам безопасности бизнеса, автор книг и методических пособий по безопасности предпринимательской деятельности.
Какие угрозы существуют в компаниях от пресловутого "человеческого фактора"? Как происходит разглашение конфиденциальной информации? Что такое мотивированное и немотивированное разглашение информации? Каких мер необходимо придерживаться в кадровой работе с точки зрения кадровой безопасности? Как осуществляется контроль над сотрудниками и как их мотивировать? На эти и другие подобные вопросы отвечает данный материал. Какие угрозы существуют в компаниях от пресловутого "человеческого фактора"? Со стороны сотрудников возможны следующие угрозы компании: • совершение сотрудниками противоправных действий (воровство, мошенничество, откаты, проведение сделок через подконтрольные компании, махинации с финансовой отчетностью, внутренний сговор, работа одновременно на нескольких конкурирующих компаниях и т.д.); • разглашение сотрудниками конфиденциальной (опасной) информации; • совершение действий законных, но наносящих ущерб интересам компании (например, некомпетентных). Как чаще всего происходит разглашение конфиденциальной информации через "человеческий фактор"? Разглашение информации через "человеческий фактор" чаще всего возможно: • при контактах с сотрудниками компании, используя мотивированное и немотивированное разглашение информации; • через сотрудников, ранее уволившихся из компании; • при контактах сотрудников компании с представителями государственных органов в рамках контролирующих, следственных или иных мероприятий; • при контактах сотрудников компании в рамках аутсорсинга или внешнего консалтинга (аудита); • через человека, внедренного в компанию. Что такое мотивированное разглашение информации? Мотивированное разглашение информации сотрудником компании возможно по следующим причинам: • алчность (подкуп); • шантаж; • сведение счетов с другой организацией или с другим человеком (обида); • расчет получить какие-либо блага (решение личных проблем сотрудника); • страх сотрудника за свою жизнь и за жизнь близких людей; • стремление к власти; • национальные чувства; • религиозные чувства; • гражданский долг (игра на законопослушании); • общечеловеческая мораль (игра на порядочности); • корпоративная (клановая) солидарность; • увлечение чем-либо (например, коллекционирование); • расчет получения другой информации взамен. Что такое немотивированное разглашение информации? Немотивированное разглашение информации сотрудником компании возможно по следующим причинам: • эмоциональность (в состоянии сострадания, любви, ревности, восторженности и т.д.); • депрессия; • внутренний авантюризм человека; • использование элементов нейро-лингвистического программирования (НЛП) и гипноза; • легкомысленная болтливость; • алкогольное опьянение; • импульсивность; • тщеславие и честолюбие (склонность к достижению превосходства над окружающими за счет показа своей информированности и осведомленности); • увлеченность работой (особенно часто происходит разглашение информации при контактах с коллегами по профессии). Что порекомендуете с точки зрения кадровой безопасности в организации кадровой работы? В кадровой работе, с точки зрения кадровой безопасности, необходимо придерживаться следующих мер. 1. Проводить серьезный и всесторонний отбор сотрудников, при котором не допускается: прием на работу людей, имеющих личностные недостатки, которые могут нанести вред интересам компании. Создайте условия, при которых работнику будет невыгодно совершать действия, наносящие ущерб компании. 3. Заботиться о формировании и поддержании оптимального социально-психологического климата в коллективе, создании корпоративной культуры. Возможно проведение коллективных неформальных мероприятий, в которых работники могут совместно проводить время, участвовать в них семьями. Корпоративная культура, как свод правил и норм поведения, может быть документальным и представлять собой описание действий персонала в тех или иных ситуациях. В описание корпоративной культуры могут быть внесены пункты, прямо определяющие поведение сотрудников при столкновении с конкурентами (склонении к сотрудничеству, переманивании или выведывании информации). 4. Исключить возможность злоупотребления сотрудниками и соблазн совершения противоправных действий. По статистике 10 % сотрудников никогда не будут совершать противоправные действия, 10% будут их совершать всегда, а 80 % совершают правонарушения при наличии возможностей. Цель кадровой политики заключается в устранении возможности совершения противоправных действий для 80 %. 5. Обратить особое внимание на людей, наиболее подверженных вербовке (секретари, уборщики, системные администраторы и иные люди, которые знают коммерческие секреты или могут их узнать). 6. Осуществлять защиту от хедхантеров (охотниками за головами). Эта защита, как правило, заключается в мотивации персонала, ограничении распространения информации о наиболее квалифицированных сотрудниках, установлении обязательств, по которым сотрудники обязаны компании (например, содействие в выдаче кредитов), заключение договоренностей с конкурирующими компаниями и компаниями, занимающимися хедхантерством о непереманивании работников и т.д. 7. Использовать в кадровой политике принцип кнута и пряника. Пряник, как правило, предполагает создание системы мотивации, а кнут – неотвратимость наказания за совершенные поступки. 8. Проводить периодические, особенно внеплановые, проверки. 9. Иметь в компании грамотного юриста, обеспечивающего правовое прикрытие деятельности службы безопасности в кадровой политике. 10. Создать сеть осведомителей и добровольных помощников службы безопасности среди персонала, используя различные мотивы, начиная от идеологии и заканчивая компроматами. 11. Заключить договора о сохранении коммерческой тайны с сотрудниками компании. Периодическое (ежегодное или ежеквартальное) напоминание работникам о необходимости соблюдения определенных правил поведения с обновлением соответствующей подписки. Обычно такие мероприятия из-за своей формализованной процедуры превращаются в чисто номинальные. Поэтому, как руководителю компании, так и работникам кадровой службы и службы безопасности стоит задуматься над тем, чтобы снизить формализм в проведении этих мероприятий и психологически поднять их значимость и действенность. 12. Применять методы формирования команды или принцип ротации работников низших должностей для противодействия совершения персоналом противоправных действий. 13. Четко разграничить полномочия и ответственность между сотрудниками компании с целью исключения конфликтов, связанных с пересечением сфер корпоративных отношений, компетенции, подчиненности и т.д. Создать должностные инструкции. 14. Определить мотивы, по которым могут совершаться противоправные действия и людей, наиболее подверженных этим мотивам (мотив – нужда в деньгах на лечение родственника, мотив – привычка к воровству, так как ранее работал на госпредприятии, где все воровали и т.д.). 15. Предупреждать ситуации, при которых работник или близкие ему люди могут оказаться в безвыходном критическом положении при возникновении острых жизненных проблем. Профилактика таких ситуаций (в частности, долгов, материальных затруднений) должна осуществляться путем оказания материальной, юридической, психологической и иной помощи. Работники должны быть уверены в том, что в случае возникновения у них трудностей, компания может прийти к ним на помощь. 16. Обеспечивать безопасность сотрудников (в первую очередь руководства). Достигается мероприятиями по физической, психологической и юридической защите. 17. Создать нормативную регламентацию управленческих процессов (политики, инструкции, регламенты, алгоритмы и т.д.), ознакомить сотрудников с правилами и процедурами работы по линии корпоративной безопасности в компании под роспись, создать необходимые условия для их выполнения. 18. Разработать и внедрить программы обучения сотрудников психологически грамотным действиям во внештатной ситуации (пожар, стихийное бедствие, внеплановые проверки и др.). 19. Использовать технические (аппаратные или программные) средства для осуществления мероприятий "espy methods" – таких методов, как просмотр электронной почты и трансакций в локальной сети сотрудника, организация мониторинга информации, проходящей через сотрудника компании и т.д. 20. Внедрить систему материального и морального стимулирования, дополнительно "привязывающих" работника к компании, которые он не сможет получить в конкурирующих организациях. Такая система может включать поощрения (бонусы) за добросовестную работу, соблюдение трудовой дисциплины и лояльность компании. Максимально применять нематериальные системы мотивации, как наиболее эффективные (идеология, личная преданность, национальные особенности, родственные связи и т.д.). 21. Внедрить персональную ответственность за содеянные поступки и неотвратимость наказания за нарушения требований по безопасности. Наказание за содеянные проступки должно быть публичным. 22. Применять психологические приемы работы с сотрудниками (беседы, предупреждения и т.д.). 23. Проводить анализ жизни и работы сотрудников (расходы, материальные ценности, поведение и т.д.) с целью вычисления сотрудников, замешанных в противоправных действиях. 24. Применять организационные меры, способствующие усилению корпоративной безопасности. Например, разбивание полномочий на части или разбивание конфиденциальной информации с определением прав доступа к каждой части. Как осуществляется контроль над сотрудником со стороны службы безопасности? Контроль над сотрудником со стороны службы безопасности строится по направлениям: • контроль действий, которые совершает сотрудник в течение рабочего времени; • контроль и проверка отчетности (особенно документов), представляемой сотрудником; • контроль служебных и некоторых внеслужебных контактов сотрудника; • контроль адекватности поведения сотрудника, особенно анализ смены поведения во времени. При наложении этих наблюдений на график совершения сделок можно увидеть определенные закономерности и сделать некоторые выводы. Особое внимание следует обращать на такие показатели, как резкое изменение благосостояния сотрудника, значительное и длительное ухудшение настроения, замкнутость, рассеянность и т.п.; • внутренний аудит, сбор, обобщение и анализ информации, использование доверенных лиц в этой работе. Какие существуют мотивирующие факторы, способствующие усилению лояльности сотрудников? Обычно в кадровой работе применяются следующие мотивирующие факторы: • деньги и иные материальные блага для сотрудников; • условия труда и современные инструменты для работы; • стабильность деятельности компании, уверенность в завтрашнем дне; • защищенность (юридическая, психологическая, физическая и т.д.); • профессиональное признание; • карьерный рост; • психологически комфортный коллектив; • возможность создавать и улучшать личные достижения в профессиональном плане; • предоставленные полномочия; • бренд компании; • возможность переобучения, профессиональной переквалификации; • работа сама по себе (удовлетворенность в решении профессиональных задач); • содействие компании в достижении личных целей сотрудников; • прозрачность (справедливость вознаграждения); • гибкость (индивидуальность) подхода; • желание принадлежать к конкретной группе сотрудников. Какие факторы способствуют ослаблению лояльности сотрудников? Ослаблению лояльности сотрудников способствуют следующие факторы: • заниженная оценка труда (например, заработная плата); • отсутствие признания результатов труда со стороны руководства; • отсутствие возможности профессионального роста; • плохие условия труда; • рутинные задачи; • несовпадение личного карьерного плана и корпоративных возможностей; • отсутствие стабильности и защищенности; • несовпадение социальной роли и статуса позиции; • несовпадение корпоративной и личной культуры и этики; • формальный (недемократичный) стиль руководства. Какие существуют растровые признаки опасности, по которым служба безопасности вычисляет совершение сотрудниками противоправных действий? Растровыми признаками опасности, которые анализирует служба безопасности, как правило, следующие: • несоответствие доходов и расходов (жизнь не по средствам); • контакты в криминальной среде; • длительное нежелание идти на повышение по службе (на данной должности удобно совершать мошеннические действия); • нежелание брать отпуск (если кто-то другой будет замещать его и заниматься той же работой, исполняющий обязанности сможет выявить нарушения); • выходящий за стандартные рамки образ жизни; • изменение в поведении человека; • стремление уклониться от разговоров о прошлой работе и жизни; • сокрытие своих родственных, дружеских и деловых связей. Какими способами можно бороться с одной из основных проблем в кадровой безопасности – проблемой "откатов"? Борьба с "откатами" (или коммерческим подкупом) реализуется по следующим направлениям: • анализом ценовой политики при заключении гражданско-правовых отношений; • разбиванием должностных полномочий сотрудников на части; • разделением сотрудников, которые осуществляют заказ работ и услуг и сотрудников, которые осуществляют прием работ и услуг; • коллегиальностью в принятии решений (торги, конкурсы, внутреннее согласование договоров и т.д.); • ротацией кадров, занимающих должности, на которых возможно совершать "откаты"; • проверкой персонала при приеме на работу; • воздействием (дисциплинарным, моральным и т.д.) на сотрудников, замешанных в "откатах"; • назначением "подконтрольных" сотрудников на должности, предполагающие "откаты". Какие психологические особенности сотрудников представляют опасность для компании? Опасность для компании представляют следующие психологические особенности сотрудников: Проводите серьезный и всесторонний отбор сотрудников, учитывая, что некоторые психоло- гические особенности сотрудников могут нанести вред интере- сам компании. • индивидуалистическая направленность личности, неумение и нежелание работать в единой команде, устойчивое стремление противопоставить себя коллегам, отсутствие корпоративных чувств, привязанности к месту работы и коллективу; • завышенная самооценка, не соответствующая реальным возможностям человека, вера в собственную непогрешимость, непомерное тщеславие, неудовлетворенные амбиции, завистливость, как следствие – неудовлетворенность карьерой, противоречие между высокими притязаниями и реальным продвижением по службе; • черты характера, обусловленные психопатией и характеризующиеся мстительностью, злопамятностью, повышенной обидчивостью. Такие люди долго не могут освободиться от своих негативных переживаний, простить обиду и задетое самолюбие. Им обычно свойственна конфликтность с окружающими (неуживчивость, намеренное противопоставление себя другим людям). Эти лица могут переживать конфликт в течение длительного времени. Особенно опасен устойчивый конфликт "по вертикали", когда работник надолго сохраняет желание отомстить за нанесенные обиды своему руководителю; • инфантилизм (личностная незрелость), отсутствие самостоятельности суждений, ориентация на других, более сильных в психологическом отношении людей, в принятии решений и действиях (легкая добровольная подчиненность влиянию со стороны). Таким людям не хватает самоорганизации. Они не умеют планировать свой бюджет, свою жизнь, не способны противостоять внешнему давлению и шантажу, проявляют пугливость, трусость. Ими легче управлять, их легче втянуть в совершение противоправных или аморальных действий и поступков; • импульсивность, которая является доминирующей в поведении. Она проявляется в том, что человека легко "завести", привести к потере самоконтроля и совершенно необдуманных, безрассудных действий. Такие люди нередко бывают болтливыми, их легко разговорить по любым вопросам, в том числе и по тем, которые составляют корпоративную тайну. Особенно часто у них "развязывается язык" в неформальной обстановке, после принятия алкоголя, при вовлечении в спор или полемику и др. Такие люди подвластны эмоциям, чувствам и страстям, которые целиком захватывают их; под влиянием страстей они не могут "остановиться вовремя", принять рациональное решение. Им присущи слабости личного характера (например, злоупотребление спиртными напитками, пристрастие к азартным играм и др.). Они могут, например, проиграть свои и чужие деньги, потратить их на предмет личных увлечений, "потерять голову" от любви, необдуманно осуществить покупку дорогостоящей вещи в долг и т.п. Поступки таких людей определяются не осознанными целями и намерениями, а внутренними импульсами или внешними обстоятельствами (например, навязанными извне желаниями); • неустроенность в личной жизни, отчужденность от других, одиночество, "потеря корней", отсутствие близких людей, связи с ними. Такая социальная "оторванность" во многом облегчает совершение ненормативных, аморальных поступков, поскольку человек считает, что в случае "прокола" он один будет нести ответственность, и страдать или переживать будет некому; • острая ситуативная жизненная потребность (например, в дорогостоящем лечении близких), которую человек не может реализовать самостоятельно. Данный фактор является наименее прогнозируемым, а значит и наименее управляемым. В то же время оперативное получение полной и достоверной информации о возникновении такой ситуации может снизить ее негативное воздействие на надежность работника; • наличие связи данного человека с кем-либо из представителей конкурирующих компаний. Какие существуют схемы хищений (воровства), совершаемые сотрудниками компаний? Схемы хищений (воровства), которые совершаются сотрудниками компании, обычно систематизируются по уровням, в зависимости от ущерба. Схемы хищений: 1. Мелкие разовые хищения. 2. Систематические хищения среднего размера: "надбавка к зарплате". 3. "Внутреннее предпринимательство". Уровень 2. Систематические хищения среднего размера: "надбавка к зарплате". Этот уровень хищений отличается от первого тем, что совершается из экономических мотивов, носит систематический характер, продуман и обычно обеспечивается мерами безопасности. Расхищаются обычно незначительные (на фоне общего денежного потока) суммы: менее вероятно, что на них обратят внимание. Тем не менее, работник может обеспечить себе постоянный доход, сопоставимый с уровнем заработной платы. Такие хищения, в отличие от предыдущей группы, несут значительный ущерб для компании. Их опасность для морали персонала в том, что, хотя никто особо не афиширует своих "подвигов", в коллективе вырабатывается негласное отношение к ним как к обыденности. Особенно опасно, когда это отношение молчаливо разделяет и менеджмент компании: создается атмосфера попустительства. Менеджмент таких организаций не повышает сотрудникам зарплату, поскольку считает, что те "все равно свое возьмут". Такая атмосфера быстро коррумпирует новых сотрудников. Важная психологическая особенность этого типа хищений – отсутствие у ворующих чувства вины. Если в организации или отдельных подразделениях сложилась такая атмосфера, то победить ее полностью можно лишь уволив старый персонал и наняв новый. Попытки менеджмента бороться с такими хищениями путем налаживания системы учета и контроля внедряются с большим трудом, зачастую вызывая возмущение у персонала, вплоть до увольнений. Уровень 3. "Внутреннее предпринимательство". Это наиболее опасный уровень злоупотреблений, возникающий там, где сотрудникам предоставляется возможность распоряжаться крупными суммами и самостоятельно принимать крупные финансовые решения. Формально работая на компанию, такие люди создают на ее основе внутренний "частный бизнес". Здесь речь идет уже не о "дополнительной зарплате", а о присвоении больших сумм денег. Как правило, данный уровень присутствует в коммерческих структурах, где отдельные наемные работники (торгующий персонал) реально оперируют сделками на крупные суммы, лично общаются с клиентами, имеют доступ к наличным и получают возможность так или иначе присваивать часть этих сумм. "Внутреннее предпринимательство" отличается от двух других типов злоупотреблений следующими особенностями: • "внутренних предпринимателей" не бывает много; иначе, они разорили бы организацию; • "внутренние предприниматели" гораздо более чем "средние" расхитители, склонны вступать в сговоры и коалиции как внутри компании, так и с внешними контрагентами: присваиваемые ими суммы достаточно велики, чтобы была возможность делиться, а крупные сделки зачастую привлекают к себе внимание руководства и других "третьих сторон", которые могут заметить злоупотребления; • как и расхитителей 2 уровня, их не мучают особые угрызения совести, и они не считают свое поведение предосудительным. Но мотивировка (в коммерческих организациях) иная: "я приношу организации такие крупные доходы, что она просто обязана делиться"; • "внутренние предприниматели" обычно цепляются за свое место и боятся его потерять: ведь именно оно обеспечивает им доход. Чтобы покинуть организацию, они должны гарантированно обеспечить себе аналогичные условия в другом месте, что не всегда просто. Главный способ вычисления "внутреннего предпринимателя" – отслеживание его расходов, которые, как правило, значительно выше официальных доходов. Явный признак "внутреннего предпринимательства" (а также "средних" хищений) – "закрытость" отношений сотрудника с внешним клиентом. Эти сотрудники пытаются под предлогом того, что "клиент не будет работать ни с кем, кроме меня" максимально ограничить информацию о сделке, вплоть до попыток скрыть имя получателя комиссии. Как реализуется принцип персональной ответственности сотрудников в компании? Персональная ответственность сотрудников контролируется и реализуется с помощью: • росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах; • индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах; • проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, смарт-карт, электронной цифровой подписи как при доступе в автоматизированные системы, так и в выделенные помещения (зоны). Как проводятся внутрикорпоративные расследования по фактам совершения сотрудниками противоправных действий? При проведении внутрикорпоративных расследований желательно учитывать такие моменты: • не использовать в официальных документах термины "служебное расследование", "разбирательство", "административное расследование", так как эти термины уже заняты и используются как правило в государственных структурах; • право на проведение внутрикорпоративного расследования должно быть зафиксировано в положении о службе безопасности компании или в должностной инструкции сотрудника, утвержденные руководством компании. Кроме того, на проведение конкретного расследования целесообразно издавать отдельный приказ с указанием, кто проводит и сроков проведения; • расследования назначаются по факту противоправных действий, который стал известен (результат ревизии, запись видеонаблюдения, докладная записка и т.д.). Расследования, проводимые на основе подозрений, не проводятся; • задача расследования – сбор и анализ информации с целью ответа на изначально поставленные вопросы (определение суммы ущерба, кто виноват, причины произошедшего и т.д.); • все доказательства должны быть собраны законными методами с соблюдением процессуальных норм; • возможно применение в виде доказательств объяснительных записок, актов официальных документов, видеозаписей, распечаток информационных материалов с технических средств охраны, систем IT безопасности и т.д.; • все объяснительные документы должны составляться собственноручно, с расшифровкой подписи и проставлением даты; • при отказе дать объяснение или поставить подпись на документах, составляется соответствующий акт, который подписывается тремя сотрудниками; • в процессе расследования выясняется следующее: - анализ обнаруженных симптомов (проявлений) нарушений; - суть и классификация нарушения (мошенничество, коммерческий подкуп и т.д.); - оценка ущерба; - лица, имевшие возможность совершить нарушение и их пособников; - доказательство вины и ее классификация (умысел, неосторожность), наличие отягчающих и смягчающих факторов; - возможность реализации похищенного имущества (в случае с хищением, воровством и т.д.); - мотивы (по каждому подозреваемому); - методы сокрытия следов нарушения; - причины, послужившие основанием для нарушения или способствовавшие ему; - что необходимо сделать для ликвидации последствий нарушений и наказания виновных (компенсация ущерба, применение мер дисциплинарного воздействия и т.д.); - что необходимо сделать для предотвращения нарушений в дальнейшем (профилактические меры); • результатом расследования должно быть заключение с выводами в виде ответов на поставленные вопросы (виновен/невиновен, размер ущерба/нет ущерба и т.д.); • с результатами расследования должны быть ознакомлены (под роспись) лица, в отношении которых оно проводилось; • сроки хранения материалов расследований определяются индивидуально, но не менее сроков исковой давности, если на их основании совершались властные действия (увольнение сотрудника, лишение премии и т.д.). Некоторые практические советы в отношении кадровой безопасности: 1. Запретите ведение служебных переговоров по личным телефонам (оставление личных номеров телефонов). Особенно это касается сотрудников компании, работающих с клиентами. У клиентов должны быть только служебные (рабочие) телефоны, в ином случае вместе с уходом сотрудника со своим личным телефоном, с которого он вел служебные переговоры, вместе с ним уходят и клиенты. 2. Если приходится платить "неучтенные деньги" клиентам, то у клиента происходит привязка к тому человеку, который их платит, поэтому желательно платить их самому, тем самым, привязывая клиента к себе. 3. Для того чтобы избавляться от неугодных людей, применяются следующие схемы: • устанавливается минимальный фиксированный оклад с максимальным процентным отношением премий. В этом случае, чтобы избавиться от сотрудника, снимают с него все премии, что вынуждает его уйти по собственному желанию; • с проблемными сотрудниками лучше расставаться по статье "по согласию сторон". Эта статья практически никогда не оспаривается в суде (при выплате хотя бы небольших денег "отступных"); • при увольнении лучше использовать объективные факторы (зафиксированные случаи опозданий, прогулов, появления в состоянии алкогольного опьянения и т.д.), а не субъективные (аттестационные комиссии и т.д.). Вернуться назад |