logo
  • Facebook

20/03/2020

Олег Храбрый: «Служба безопасности должна быть иммунной системой компании»

photo_2020-03-19_14-48-52.jpg
Управляющий партнер компании RE:VIEW, специализирующейся на расследованиях деловой коррупции, Олег Храбрый в интервью Realist Media рассказал, что такое forensic, почему фактическое подчинение службы безопасности топ-менеджменту компании нейтрализует ее работу, зачем в компании нужна свобода IT-пространства и почему собственники бизнеса предпочитают не увольнять сотрудников, уличенных в деловой коррупции. 

Олег, расскажите, что такое forensic? Чем занимается ваша компания, и с каким мошенничеством вам приходится сталкиваться? 

Термин forensic относится ко всему спектру услуг, связанных с компьютерной криминалистикой (computer forensics), но в России его принято относить ко всему комплексу мероприятий, направленных на диагностику и расследование фактов мошенничества и деловой коррупции. Результат таких исследований - данные, на основании которых можно принимать управленческие решения. Как правило, речь не идет о том, чтобы посадить сотрудника компании в тюрьму. Киберугрозы – далеко не самые важные угрозы для коммерческого сектора. Главный урон бизнес несет от неэффективных решений своих управленцев. 

Мы уже около 15 лет занимаемся внутрикорпоративными расследованиями для коммерческих компаний, а также поиском похищенных активов как в России, так и по всему миру. Это часто связанные темы. 

Собственно, топ-менеджмент и есть наш объект исследования. Часто служба безопасности воспринимает свою задачу как правоохранительную и карательную, то есть моделирует работу по образу и подобию МВД. Но крупное внутрикорпоративное мошенничество осуществляется людьми с высоким уровнем компетенций в своей сфере, а также с высоким уровнем понимания технологических и экономических особенностей бизнеса.  Когда служба безопасности приносит информацию о том, что компания несет потери в каком-то логистическом решении или при закупках на крупные суммы, то возникает главный вопрос: «Это неэффективность менеджмента или мошенничество?». И дальше этого никто, как правило, не идет. 

Что должны контролировать собственники, чтобы обезопасить свою компанию?

Собственники должны контролировать самих себя, потому что именно они пробивают в системе контроля компании бреши, которые становятся основой для махинаций их управленцев.  Есть хорошая русская пословица: «Рыба гниет с головы». Если мы видим, что в компании просматриваются махинации на среднем уровне, на низовом, то они есть и на самом верху. На Западе говорят «the tone from the top» (прим. редакции: общий этический климат в компании, который устанавливает высшее руководство), но тон это слишком мягко сказано.  

photo_2020-03-19_14-49-12.jpg

В этой вертикали мошенничества служба безопасности работает по той же модели, что и ГИБДД. Они не останавливают очень дорогой автомобиль, они останавливают такой, водитель которого находится на приблизительно одном социальном уровне с ними. Лучше получить с нескольких середнячков по тысячи рублей, чем огрести от блатного номера по полной программе. Служба безопасности, как правило, состоит из бывших сотрудников МВД. Их инстинкт подсказывает им, что перебегать дорогу топ-менеджменту нельзя – это однозначно испортит карьеру. Все еще усугубляется тем, что  сами собственники подчинили органы безопасности топ-менеджменту, создав вопиющий конфликт интересов. Как ты можешь подчиняться тому, кто является твоим объектом?

То есть служба безопасности не должна подчиняться топ-менеджменту компании?

Это было бы самым лучшим решением. Но качество информации, которую готовят службы безопасности, таково, что ее зачастую невозможно всерьез рассматривать, скажем, на совете директоров. Мнение главы службы безопасности по тем или иным вопросам очень трудно транслировать на управленческий уровень – уровень понимания бизнеса компании крайне низкий. Поэтому между собственником и службой безопасности возникает некий буфер в лице топ-менеджмента. Служба безопасности должна быть иммунной системой компании, но она перестает реагировать на определенные аномалии, скатывается на борьбу с низовой коррупцией. 

Зачастую наибольший ущерб компании приносит ее топ-менеджмент. Собственник оказывается практически один на один перед лицом масштабной коррупции своих ближайших партнеров. Как правило, между ними нет никаких структур, которые могут нейтрализовать этот нарастающий конфликт и обратить его в пользу акционера. 

Есть ли у владельца собственника выход из складывающихся конфликтных ситуаций? Кто способен обеспечить ему контроль над управленцами?

Главные функции топ-менеджмента компании — это стратегия и контроль. Весь бизнес строится на этом. Но возникает вопрос, кто будет контролировать контролирующего? Сегодня эта проблема очень актуальна. Если посмотреть на судьбу банков, которые были ликвидированы в России, на компании, которые обанкротились, на бизнес, который не удался, история будет почти одна и та же. Большинство банков, у которых были отозваны лицензии, оставили дыры в капитале, потому что топ-менеджмент исполнял волю своих акционеров по откачке средств. Во многих случаях, сами же мошенники пострадали от рук других мошенников, своих управленцев и партнеров. 

На нашем рынке много структур, работающих в режиме олигополий, которые не нуждаются ни в каком риск-менеджменте в принципе, потому что они занимаются откачкой средств в огромных объемах. Поэтому очень многим нерыночным структурам защита бизнеса не нужна. Или скажем так – им нужна защита другого рода. 

photo_2020-03-19_14-49-16.jpg

Компании среднего звена выступают обслуживающим контуром вокруг этих структур. Они в целом заинтересованы работать в рынке. Желание перемен внутри компании начинается с откровенного разбора полетов. Пока вопрос внутреннего доверия в компании не будет решен, она никуда не двинется. Если собственник заинтересован в эффективности собственного бизнеса и смотрит на ситуацию как бы со стороны, то, безусловно, одним из выходов является привлечение внешних консультантов. Причем не в постоянном режиме, а на время, в качестве третьей стороны, которая позволит увидеть ситуацию с другого ракурса. Сегодня почти любой собственник видит мир через окно своего дорогого автомобиля: он считает, что достиг того уровня, когда можно не уделять время деталям. В этом весь подвох. Топ-менеджмент рисует перед ним идеальную картину, и эта картина усиливается корпоративной солидарностью вокруг него. Поэтому одним из выходов является периодическая внешняя диагностика. 

Внешний консультант может преувеличивать угрозы, искажать информацию ради получения дополнительных заказов. Чтобы избежать этого, необходимо создать некий баланс сотрудничества внешних консультантов с наиболее перспективными сотрудниками службы безопасности, либо с контролирующими органами компании. Обмен и передача компетенций позволит компании быть все время на плаву в рамках тех технологических решений, которые есть на рынке, видеть их применение на конкретных проектах. И, главное, научиться делать качественный аналитический продукт, который мог бы стать основой для принятия важных управленческих решений. Такое сотрудничество в рамках совместных рабочих групп позволит сократить со временем расходы на внешних консультантов, выстроить внутри компании необходимые компетенции, перенести часть рутинной работы на штатных сотрудников.  

В крупных холдингах службы безопасности чрезвычайно раздуты. Это не десятки, это иногда сотни человек. Хотя даже группа из 4-5 сотрудников способна сделать многое, особенно если работать точечно и концентрироваться на наиболее капиталоемких аспектах мошенничества. В течение одного-двух месяцев такая группа при правильной постановке задач, использовании IT-пространства и внешней информации способна добиться фантастического результата. 

Как оценить эффективность службы безопасности? Что можно считать предотвращённым преступлением?

Предотвращение преступления – это, пожалуй, главная задача. При этом, поскольку ущерб не был нанесен, оценить в каких-то цифрах эффективность работы практически невозможно.  Если мы действуем постфактум и какой-то ущерб уже есть, тогда возникает вопрос, а что же делала служба безопасности? Собственник, заходящий раз в год побеседовать со своей службой безопасности, задает вопрос: «Сколько вы мне позволили заработать денег?» Хотя спрашивать надо, сколько вы позволили не потерять?

photo_2020-03-19_14-49-20.jpg

Когда служба безопасности в свои отчеты включает предотвращение кражи какого-нибудь генератора, который стоит 100 тыс. рублей, или подделку талонов на питание в заводской столовой, собственник откровенно не понимает, зачем он тратит 100 миллионов рублей в год на работу службы безопасности. Собственник не понимает, что является результатом их работы, он не может принять никаких управленческих решений на основе отчетов службы безопасности. Далее следует зачистка, набор других – и все начинается по новой.  

Сегодня многие сотрудники в том числе из-за коронавируса имеют удаленный доступ к рабочему компьютеру, проверяют рабочую почту со смартфона, хранят документы на личных ПК. Насколько сложно в этих условиях компаниям контролировать утечки и стоит ли закрывать доступ к корпоративной информации с других устройств? 

Компании, которые перекрывают каналы передачи цифровой информации, также  перекрывают для себя возможность анализировать эти потоки. Если в компании нет задач сохранения интеллектуальной собственности, которую нужно всесторонне защищать, не закрывайте сотрудникам возможность свободного общения и передачи информации. Пусть они это делают с помощью девайсов, которые принадлежат компании. Пусть сотрудники берут домой рабочие ноутбуки, пользуются флешками, корпоративными смартфонами. 

Пусть это звучит цинично, но человек всегда забывается, когда включается в такую свободную цифровую среду. Экономические (и не только) преступления раскрываются не потому, что их заведомо можно раскрыть, а потому что преступник совершает ошибку. Спровоцировать такую ошибку можно только открыв IT-процессы внутри компании. Если сотрудник захочет продать какую-то конфиденциальную информацию компании, он это сделает в любом случае – передать данные с рабочей станции на личный девайс не составляет никакого труда. Остается только вопрос, каким образом вам удастся это установить.

Какие самые распространенные ошибки совершает топ-менеджмент и собственники компаний?

Главная ошибка собственников и топ-менеджмента компаний в том, что они сами соглашаются на мошеннические схемы, чтобы продвинуть свой бизнес. Речь идет о коррупционных схемах. Под реализацию таких схем рушатся все возможные системы контролей, не говоря уже об атмосфере внутри компании. Судьба компании очень тесно зависит от собственника, от его культуры, образования,  ментальности, жизненных принципов. Если в вашем бизнесе появились проблемы, скорее всего, истоки этих проблем в тех решениях, которые были приняты вами в качестве компромисса с самим собой. 

Вспомните, как вы однажды пришли и сказали своему директору: «С этого момента мы входим в особые отношения с этими людьми, поэтому платим столько-то туда-то. Обеспечь зеленый коридор, реши вопрос с бухгалтерией и налоговой». Все – брешь создана. Дальше в это окно начинают дуть совсем другие ветры. Проблемы нарастают комом. Служба безопасности перестает реагировать на что бы то ни было, не исполняет свои обязанности, обеспечивает «зеленый коридор», да еще это считается знаком особой близости к руководству. Происходит полная дезориентация. Компания оказывается в особой зоне риска – уже внутреннего мошенничества. Когда оно выявляется, вопрос об уголовном наказании не стоит, потому что топ-менеджер оказывается носителем секретов компании, и своим знанием шантажирует собственника.  

Вероятно, эти же проблемы стоят еще более остро, когда собственник отходит от операционной деятельности?

В этом случае, безусловно, сильно возрастает роль топ-менеджмента. Если компания де-факто оказалась под контролем топ-менеджмента, то собственники могут догадываться о масштабных хищениях внутри, но никак не реагировать, так как считают это своего рода «роялти». В таких компаниях власть перехвачена управленцами, и их не заинтересуют внутрикорпоративные расследования – даже если они сами будут страдать от мошенничества среднего звена. 

photo_2020-03-19_14-49-23.jpg

Вернуть контроль, реализовать его, возможно только если есть стержень в виде реального владельца, который готов бороться за компанию. Если такого стержня нет, или собственник отошел от дел, будьте уверены, компания низкоэффективна и, по сути, обречена.  

Предположим, вы проверили компанию и выявили факт мошенничества. Что дальше? Вы проводите разбор полетов и даете собственнику рекомендации, как поступить: уволить этого сотрудника или передать дела в правоохранительные органы? 

Мы ни раз сталкивались с ситуацией, когда раскрывали детально факты мошенничества ключевых сотрудников и топ-менеджмента (сговор с подрядчиками, откаты, контроль бизнеса в периметре подрядчиков и т.п.), но клиент раздавал им после этого ордена. Задачи, которые решает собственник, сложнее, чем мы можем себе представить. Он зачастую видит проблему мошенничества как управленческую. 

У компании часто не один собственник. Такой мажоритарий перед лицом противостоянии миноритариям размышляет так: я уволю этого менеджера, он является правой рукой моего топ-менеджера, отношения с  ним ухудшатся, мои позиции в совете директоров пострадают. Я, по сути, отрубаю этим свою правую руку. Не лучше ли показать мое знание о махинациях сотрудника для давления на мое ближайшее окружение, добиться через это его полной лояльности?  И тогда расследование является лишь инструментом принуждения к лояльности.

Мнение редакции может не совпадать с мнением эксперта.


Подписывайтесь на Telegram-канал @realistmedia