1.2. Система управления безопасностью банка

Обеспечение собственной безопасности является одним из постоянно

действующих направлений деятельности любой кредитно-финансовой ор-

ганизации. Соответственно управление безопасностью выступает в каче-

стве одного из необходимых элементов внутрибанковского менеджмента.

Оно определяется как формализованный (т.е. закрепленный в соответст-

вующих нормативных документах) процесс, направленный на решение

установленного перечня управленческих задач по соответствующему

направлению деятельности.

Для обеспечения необходимой эффективности управление безопасно-

стью должно осуществляться в рамках целостной системы управления,

структура которой иллюстрируется следующей схемой:

СХЕМА 2

СТРАТЕГИЯ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ

Стратегия Стратегия Стратегия

опережаю- адекватно- пассивной

щего проти- го ответа защиты

водействия

О информационное ОПЕРАЦИОННЫЕ ПОДСИСТЕМЫ

Б

Б Е нормативно- подсистема подсистема подсистема

С методическое обеспечения обеспечения обеспечения

Л П информаци- безопасности безопасности

Е технологическое онной безо- имущества персонала

О Ч пасности

Е инструментальное

К Н

И трудовое

Я

финансовое

Стратегия обеспечения безопасности – совокупность долгосроч-

ных целей и управленческих подходов, реализация которых обеспечива-

ет защиту кредитно-финансовой организации от потенциальных угроз

разглашения коммерческой и банковской тайны, а также нанесения ей

любых других форм ущерба имущественного и неимущественного ха-

рактера.

В своей основе стратегия обеспечения безопасности банка может

иметь одну из трех рассмотренных ниже концепций:

Вариант 1. Концепция «упреждающего противодействия».

Данная концепция является логическим следствием ранее избран-

ной банком стратегии роста1 и вытекающей из нее агрессивной конку-

рентной стратегии. Она предполагает возможность использования служ-

бой безопасности наиболее активных методов профилактики и противо-

действия возможным угрозам. Основным критерием выбора служит

максимальная эффективность того или иного метода, при этом вопросы

этичности его применения отходят на второй план. При реализации рас-

сматриваемой концепции допускаются, в частности, банковский шпио-

наж, не всегда легитимные методы контроля над лояльностью собствен-

ного персонала и т.п.

Преимущества концепции:

- возможность эффективного решения возникающих у банка про-

блем, связанных с обеспечением собственной безопасности, практически

без участия государства;

- обеспечение приоритета методов профилактического противо-

действия потенциальным угрозам;

- возможность обеспечения эффективной поддержки других на-

правлений внутрибанковского менеджмента, в первую очередь, марке-

тинга и управления персоналом.

Недостатки концепции:

- высокая вероятность адекватного ответа со стороны пострадав-

ших от подобной политики конкурентов;

- неизбежные противоречия с действующим законодательством,

следовательно, потенциальные проблемы с правоохранительными, су-

дебными и надзорными органами;

- необходимость более высокого уровня ресурсной поддержки –

финансовой, кадровой, материально-технической.

Рекомендации по применению: для крупных банков, ориентирован-

ных на обслуживание высокорентабельных предприятий (отраслей) или

работающих в условиях жесткого прессинга со стороны конкурентов

либо криминальных структур.

1 см. УПП «Стратегический менеджмент в банке»

Вариант 2: Концепция «пассивной защиты».

Данная концепция является логическим следствием ранее избран-

ной банком стратегии сокращения и вытекающей из нее пассивной кон-

курентной стратегии. Она предполагает приоритетную ориентацию бан-

ка на защиту со стороны государства в лице правоохранительных и су-

дебных органов. Это позволяет резко ограничить функции собственной

службы безопасности, сохранив в ее инструментарии лишь минимально

необходимую номенклатуру методов профилактики и отражения потен-

циальных угроз.

Преимущества концепции:

- минимальные затраты на ее практическую реализацию;

- отсутствие угроз применения к банку соответствующих санкций

со стороны государства в силу его полной законопослушности как хо-

зяйствующего субъекта по рассматриваемому направлению деятельно-

сти.

Недостатки концепции:

- полная зависимость безопасности банка от эффективности дея-

тельности правоохранительных органов государства;

- ориентация на методы противодействия уже реализованным уг-

розам, которые являются менее эффективными по сравнению с профи-

лактическими и пресекающими.

Рекомендации по применению: для небольших банков, работающих

либо на наименее конкурентных рынках, либо под непосредственным

патронажем органов государственного управления.

Вариант 3. Концепция «адекватного ответа».

Данная концепция является логическим следствием ранее избран-

ной банком стратегии ограниченного роста и вытекающей из нее насту-

пательной конкурентной стратегии. Она предполагает возможность ис-

пользования службой безопасности всего комплекса легитимных мето-

дов профилактики и отражения потенциальных угроз. В порядке исклю-

чения допускается использование и не полностью легитимных методов,

но лишь в отношении тех конкурентов или иных источников угроз, ко-

торые первыми применили подобные методы против конкретного банка.

Вариант является компромиссом между первой и второй концеп-

циями, смягчая их радикальные недостатки (однако, не позволяя в пол-

ной мере использовать и достоинства). В современных условиях приме-

няется большинством кредитно-финансовых организаций.

Факторы, определяющие выбор базовой концепции обеспечения

безопасности банка:

- общая стратегия развития (“миссия”) банка, например ориента-

ция на обслуживание высокорентабельных отраслей или теневой эконо-

мики;

- степень агрессивности конкурентной стратегии банка;

- степень “криминагенности” региона размещения банка;

- финансовые возможности банка по обеспечению собственной

безопасности;

- квалификация персонала службы безопасности банка;

- наличие поддержки со стороны местных органов государствен-

ной власти.

Общая последовательность реализации избранной стратегии:

- определение общего перечня реальных и потенциальных угроз

безопасности банка, а также их возможных источников;

- формирование ранжированного перечня объектов защиты;

- определение ресурсов, необходимых для реализации стратегии;

- определение рациональных форм защиты по конкретным объек-

там;

- определение функций, прав и ответственности службы безопас-

ности банка;

- определение задач других структурных подразделений и управ-

ленческих инстанций банка в рамках реализации стратегии;

- разработка оперативного плана мероприятий и целевых про-

грамм.

Операционные подсистемы - это самостоятельные элементы сис-

темы управления, каждый из которых направлен на решение формали-

зованного перечня однотипных задач по обеспечению безопасности.

Отражая установленные стратегией управления цели и приоритеты,

операционные подсистемы имеют своими объектами:

- информационную безопасность;

- безопасность персонала;

- имущественную безопасность.

В соответствии с методологией менеджмента, при формировании

операционных подсистем необходимо соблюдать следующие общие

требования:

- подсистемы не могут содержать элементов (методов, процедур и

т.п.), практическое функционирование которых может объективно за-

труднить эксплуатацию смежных подсистем;

- общая структура каждой из подсистем должна соответствовать

следующей типовой схеме: “определение целей процесса - планирова-

ние и организация процесса - оперативное управление процессом оценка результатов процесса путем сопоставления их с ранее заплани-

рованными целями”;

- формализованное закрепление функций, связанных с эксплуата-

цией подсистем, за соответствующими руководителями и специалиста-

ми как штабных, так и коммерческих подразделений фирмы, включая и

механизм личной ответственности за их выполнение.

Блок обеспечения является необходимой частью любой управ-

ляющей системы. Формируя исходные условия для эффективного

управления, он включает в себя несколько направлений.

а) Информационное обеспечение системы управления безопасно-

стью включает в себя три компонента:

- используемые в рамках системы методы и конкретные процеду-

ры получения субъектами управления необходимой первичной инфор-

мации;

- формализованные каналы прохождения информации в рамках

системы, которые определяют маршрут движения ранее собранной ин-

формации по инстанциям (принципиальная схема: «от кого - кому - в

какой форме - в какие сроки»);

- базы данных, связанных с любыми проблемами внутренней и

внешней безопасности, которые накапливаются и обновляются в тече-

ние всего периода функционирования на рынке и используются при

формировании управленческих решений любого уровня.

б) Нормативно-методическое обеспечение включает в себя ком-

плект внешних и внутренних регламентов, используемых в процессе

управления рассматриваемым направлением деятельности, а также до-

кументов рекомендательного, т.е. не директивного характера. К внеш-

ним регламентам относятся законодательные (например, Закон РФ «О

частной детективной и охранной деятельности в РФ») и подзаконные

(например, Постановление Правительства РФ «О перечне сведений, ко-

торые не могут составлять коммерческую тайну») акты. К внутренним

регламентам и рекомендациям относятся любые постоянно действую-

щие документы, разработанные в рамках конкретного банка и введен-

ные в соответствии с действующим в нем порядком – инструкции, при-

казы, распоряжения и т.п. Единственным ограничением при разработке

внутренних регламентов является их хотя бы формальное соответствие

(непротиворечивость) действующему законодательству.

в) Технологическое обеспечение определяется как совокупность

формализованных технологий обеспечения безопасности банка от раз-

личных видов угроз. Их наличие является основной предпосылкой эф-

фективности управления, поскольку позволяет четко определить:

- непосредственных участников (инстанции и рабочие места, при-

нимающие участие в описываемой операции по защите от конкретной

угрозы);

- управленческие процедуры (мероприятия, осуществляемые в

рамках операции);

- типовые сроки по операции в целом и каждой управленческой

процедуре в отдельности;

- ответственность участников за нарушение описываемой техно-

логии.

г) Инструментальное обеспечение определяется как совокуп-

ность прикладных методов управления, используемых в рамках систе-

мы. Применительно к управлению безопасностью их можно дифферен-

цировать на три группы:

- методы профилактического характера, позволяющие не допус-

тить практической реализации потенциальной угрозы;

- методы пресекающего характера, позволяющие отразить уже

реализуемую угрозу, не допустив или минимизировав возможный

ущерб;

- методы карающего характера, позволяющие наказать непо-

средственных виновников реализованной угрозы.

д) Трудовое обеспечение определяется как полностью укомплекто-

ванный штат службы безопасности, включающей в себя три квалифика-

ционные категории работников:

- менеджеры, т.е. руководители различного уровня – от возглав-

ляющего рассматриваемое направление вице-президента банка до бри-

гадира смены охранников;

- эксперты, т.е. высококвалифицированные сотрудники службы

безопасности, специализирующиеся на определенных направлениях ее

обеспечения (аналитики, разработчики специальных программных

средств и т.п.), но не выполняющие при этом прямых управленческих

функций;

- исполнители (охранники, ремонтники спецоборудования и др.).

е) Финансовое обеспечение определяется как совокупность финан-

совых ресурсов, выделяемых на поддержание и развитие рассматривае-

мого направления (приобретение спецоборудования, зарплата персона-

ла, оплата информации и т.п.).

При формировании, эксплуатации и развитии системы управления

безопасностью банка необходимо соблюдать некоторые общие методи-

ческие требования. Главным из них выступает системный подход к

проблеме обеспечения безопасности. Под этим понимается недопус-

тимость акцентирования усилий службы безопасности на отражении ка-

кого-либо одного или нескольких видов потенциальных угроз в ущерб

остальным. Нарушение данного требования до настоящего времени ха-

рактерно для многих отечественных коммерческих фирм и определяет-

ся, чаще всего, прежней областью профессиональной деятельности ру-

ководителя рассматриваемого направления. Так, бывшие сотрудники

Второго Главного управления КГБ СССР основное внимание уделяют

противодействию банковскому шпионажу, сотрудники ФАПСИ – за-

щите информации, сотрудники МВД – защите имущества и т.п. В ре-

зультате в системе защиты безопасности возникают уязвимые места, ко-

торые и могут использоваться злоумышленниками. Очевидно, что ука-

занное здесь требование не должно вступать в противоречие с принци-

пом рационального ранжирования потенциальных угроз, который рас-

сматривается ниже.

Вторым требованием определяется приоритет мероприятий по

предотвращению потенциальных угроз (т.е. методов профилакти-

ческого характера). Оно не требует дополнительных обоснований уже в

силу обеспечиваемой возможности не допустить ущерба в принципе, то-

гда как прочие методы в лучшем случае позволяют его сократить или

наказать виновников.

Третьим требованием выступает ориентированность системы на

обеспечение приоритетной защиты конфиденциальной информации

и лишь затем иных объектов потенциальных угроз. Роль информации и

информационных технологий в функционировании современной циви-

лизации, государства, отдельных фирм последовательно увеличивается.

Все для большего числа хозяйствующих субъектов утеря или разглаше-

ние информации становится более значимой потерей, нежели хищение

денежных средств и материальных ценностей. Появление и развитие

глобальных компьютерных сетей определило появление еще одного ис-

точника постоянных угроз информационной безопасности – несанкцио-

нированное проникновение в базы данных. Хакерство из экзотической

формы интеллектуальной деятельности ограниченного контингента спе-

циалистов по разработке программных средств уже в конце 70-х годов

превратилась в новую профессиональную специализацию для работни-

ков не только государственных спецслужб, но и частного, в том числе и

криминального, бизнеса. Наблюдаемый в последние десятилетия резкий

рост как общей номенклатуры угроз информационной безопасности

банков, так и масштаба потерь от них, определяет необходимость реали-

зации данного требования.

Четвертым требованием является непосредственное участие в

обеспечении безопасности банка всех ее структурных подразделений

и сотрудников в рамках установленной им компетенции и ответствен-

ности. Структура возможных угроз, среди которых не последнее место

занимают и угрозы со стороны собственного персонала, исключают воз-

можность эффективного противодействия им силами исключительно со-

трудников службы безопасности. Поэтому в заключительном разделе

пособия специально рассматривается комплекс мероприятий по воспитанию в трудовом коллективе соответствующей идеологии и обучению

его членов методам профилактики и пресечения наиболее вероятных уг-

роз.

Пятым требованием выступает обеспечение взаимодействия сис-

темы управления безопасностью с другими направлениями менедж-

мента. Указанное требование реализуется как на стратегическом, так и

на оперативном уровне системы управления. В следующем разделе спе-

циально рассматривается зависимость стратегии обеспечения безопас-

ности от общей миссии банка и его конкурентной стратегии. В отечест-

венных условиях в режиме оперативного управления наиболее тесная

взаимосвязь должна обеспечиваться между рассматриваемой системой и

персональным менеджментом. Нарушение требования о координации

управления различными направлениями деятельности может привести к

крайне негативным последствиям. В случае, когда при разработке смеж-

ных систем управления (например, финансового менеджмента или мар-

кетинга) будут нарушены требования со стороны рассматриваемой сис-

темы, резко увеличивается вероятность негативной реализации соответ-

ствующих угроз. В свою очередь нормальное функционирование смеж-

ных систем управления будет постоянно нарушаться, если управление

безопасности будет организовано по принципу самодостаточности –

«безопасность ради самой безопасности». Таким образом, комплексная

система управления должна формироваться с учетом обеспечения отно-

сительного паритета или баланса интересов каждого из направлений

деятельности кредитно-финансовой организации.

Шестым требованием является соразмерность затрат на обеспе-

чение безопасности банка реальному уровню угроз. Оно связано с реа-

лизацией принципа «разумной достаточности». С позиции конечной эф-

фективности системы в равной степени недопустимо экономить на рас-

сматриваемом направлении деятельности, ослабляя собственную безо-

пасность, и преувеличивать возможные угрозы, осуществляя излишние,

т.е. не окупаемые расходы. Учитывая, что руководство службы безопас-

ности по очевидным причинам склонно именно к завышению уровня по-

тенциальных угроз, для соблюдения данного требования желательно

привлечение независимых экспертов в лице сотрудников государствен-

ных правоохранительных органов или частных охранных структур.

Заключительным требованием является формализованное закреп-

ление не только функциональных обязанностей, но и полномочий

(предела компетенции) службы безопасности. В отличие от других

направлений деятельности банка работа большинства сотрудников этого

подразделения всегда связана с угрозой превышения служебных полно-

мочий. В результате велика вероятность возбуждения против кредитно-

финансовой организации уголовных дел и гражданских исков по обви-

нению в нарушении действующего законодательства или гражданских

прав.

Оценка эффективности управления безопасностью является не-

обходимым элементом системы. Она позволяет решить несколько при-

кладных задач, в частности, осуществлять статистический анализ веро-

ятности негативной реализации тех или иных угроз, а также объективно

оценивать результативность деятельности службы безопасности. В от-

личие от большинства других направлений менеджмента здесь не всегда

можно точно подсчитать обеспеченный экономический эффект. В част-

ности, затруднительно определить возможные потери от своевременно

пресеченных угроз. По некоторым видам угроз, например в адрес со-

трудников банка прямой эффект невозможно рассчитать в принципе.

Поэтому приходится опираться на результаты не только прямой, но и

косвенной оценки. Ниже приводится перечень критериев, которые целе-

сообразно использовать для решения этой задачи:

- общее количества выявленных угроз, с дифференциацией на уг-

розы, пресеченные в полном объеме, пресеченные лишь частично, нега-

тивно реализованные в полном объеме (в динамике в сравнении с пре-

дыдущими периодами);

- прямой финансовый ущерб, нанесенный банку в результате час-

тично и полностью реализованных угроз;

- потенциальный ущерб, который могли бы нанести банку полно-

стью или частично пресеченные угрозы;

- результаты реализации плановых профилактических мероприя-

тий;

- отсутствие обоснованных претензий к службе безопасности со

стороны правоохранительных органов, собственных подразделений и

отдельных сотрудников.