Система безопасности для крупной компании

АПТЕЧНАЯ СЕТЬ «36,6» – безусловный лидер своего рынка в России как по масштабу охвата территории, так и по уровню предоставляемых услуг. Ее капитализация составляет почти 170 млн долл. В этом холдинге по всей России сегодня работают порядка 10 000 человек. Статус компании предъявляет высокие требования к защите бизнеса – система безопасности в этом случае должна быть не просто высокоэффективной, а по-настоящему уникальной. (Интервью с директором по безопасности аптечной сети «36,6» Сергеем Кашурниковым)

Крупнейшая российская аптечная сеть «36,6» была создана в 1990-е годы. Это было первое аптечное предприятие в России с открытыми для покупателя стеллажами товаров и современным брендом. До 2008 г. сеть активно развивалась, в том числе скупала региональных игроков и открывала новые точки в разных регионах. В 2009-м «36,6» насчитывала в своем составе 1084 аптеки по всей стране. Кризис был пройден довольно успешно: закрыли 131 нерентабельную аптеку, открыли 23 рентабельных.

С точки зрения модели бизнеса «36,6» является публичной компанией, что предъявляет к ее системе безопасности дополнительные требования. Генеральный директор ОАО «Аптечная сеть «36,6» Артем Бектемиров и председатель совета директоров Сергей Кривошеев являются основными владельцами акций компании, им напрямую принадлежит по 4,37 % акций, еще 47,57 % они владеют в равных долях через кипрскую «36,6 Investments Ltd». В свободном обращении на российских биржевых площадках РТС и ММВБ циркулирует 40 % акций этой компании. В частности, в 2010 г. «36,6» продала 21 % акций крупному российскому оптовому торговцу лекарственными препаратами – компании «СИА интернейшнл». Сама сеть к 2010 г. контролировала уже 51,8 % акций фармацевтической компании «Верофарм», входящей в пятерку крупнейших российских производителей фармацевтических препаратов. Капитализация компании (по оценкам ММВБ) на 12 февраля 2011 г. составляла 365 млн долл. Это большой бизнес, и угрозы для его безопасности могут исходить как изнутри компании, так и от игроков снаружи.

Помимо аптек, холдинг имеет и другие бизнесы. В пост-кризисные годы было освоено новое направление и сейчас «36,6» имеет 11 магазинов развивающих игрушек для детей «Центр раннего развития», а также около 30 магазинов или отделов оптики. На аптечном рынке России «36,6» является безусловным лидером и по масштабу, и по уровню своей работы.

Главные вопросы этого интервью, которые Наталья Гарбер задала директору службы безопасности 36.6 Cергею Кашурникову звучат так; Как создавалась и развивалась система безопасности в? Какая система безопасности требуется крупным и активным территориально распределенным компаниям сегодня? Какие специалисты способы успешно решать те задачи безопасности бизнес конгломератов, которые актуальны сегодня и, возможно, возникнут в будущем?

Развитие системы безопасности аптечной сети «36,6» в период от перестройки до 2012 г.

Сергей Николаевич, история вашей компании складывается из событий постоянной экспансии. В России «36,6» – самая крупная и единственная признанная государством системная коммерческая аптечная сеть, через которую можно решать стратегические национальные задачи. Сказать, что у такой организации должна быть передовая система безопасности (СБ), – не сказать ничего. Система безопасности у нее должна быть уникальной по оптимальности, инновационности и темпам постоянного развития. Как же обеспечить безопасность при таком активном росте, который, очевидно, должен постоянно натыкаться на новые угрозы и риски? Предвидя ваш рассказ о сложной модели деятельности возглавляемой вами службы, хочу начать с простого: какова главная идея, лежащая в основе системы безопасности аптечной сети «36,6»?

Из соображений безопасности любая успешная компания должна постоянно расширяться.

Просто потому, что внутренняя среда – свой персонал, свои средства производства, своя продукция – всегда лояльней и безопасней, чем среда внешняя. Конкуренты, криминальные структуры, неправомерные действия государства по определению более агрессивны по отношению к бизнесу, чем что бы то ни было внутри него. С одной стороны, завоевание внешней среды несет новые угрозы для компании, с другой – постоянный рост бизнеса является условием безопасной работы. Ориентируясь на это, мы и действовали: начали с Москвы – вышли в Московскую область – завоевали Нечерноземье, затем освоили всю Россию, подошли к границам страны – оказались на территории СНГ.

Как вы обеспечиваете защиту в процессе своей экспансии?

Мы постоянно бежим наперегонки с обстоятельствами, потому что существует объективная состязательность атакующей и защищающейся сторон. Бизнес стремится превращать внешнюю агрессивную среду в лояльную и контролировать лояльность освоенной внутренней среды. Это две движущие силы стратегии территориальной экспансии. Большой масштаб бизнеса заставляет систему безопасности стать достаточно сложной, а у сложной системы нет простых решений, поэтому в нашей компании система безопасности выстраивается и реализуется как бизнесроцесс. Системный подход к обеспечению безопасности позволил нам сформировать самонастраивающийся, постоянно корректируемый механизм минимизации рисков и угроз. Главными элементами такого механизма обеспечения безопасности является глубокое "погружение" работников службы безопасности во все операционные процессы и постоянный анализ ими рисков и угроз. Опираясь на статистику конкретных инцидентов, сотрудники подразделений безопасности стараются определить причины их возникновения и формы проявления. Мы изучаем как поведение внешних контрагентов, так и негативные действия или бездействие собственного персонала, реализацию преступных замыслов криминальных элементов, конкурентов противоправные действия со стороны недобросовестных представителей государственных контролирующих и проверяющих структур. На основе детального анализа мы строим политику предупреждения и пресечения противоправных действий, вырабатываем рекомендации, формы и методы минимизации потерь. Далее мы вооружаем этими мерами защиты весь персонал компании сверху донизу и контролируем эффективность их реализации. А при выявлении прорех, узких мест корректируем тактику обеспечения защиты и предупреждения угроз.

Расскажите о том, как и почему вы пришли именно к такой модели СБ, каковы были этапы этого развития?

Мы шли в фарватере развития негосударственной сферы безопасности в целом. Трансформация системы безопасности фармацевтической компании определялась происходящими изменениями на экономическом пространстве РФ и в правовом поле развития общества. Если говорить кратко, любые СБ прошли три этапа: 1990–2000-е гг. – эпоха рэкета и криминальных разборок. Главные опасности в этот период были связаны с угрозой внеправового отъема собственности и угрозой самой жизни и здоровью бизнесменов и их близкого окружения. Государство было не способно гарантированно защитить бизнес и собственность от криминала,правовое поле развития бизнеса изобиловало "белыми пятнами". В этой обстановке своим спасением бизнесмены считали создание "боевых дружин" из бывших сотрудников силовых структур, спортсменов и бандитов. Девизом для себя "дружинники" и бизнесмены того времени избрали фразу "Все средства хороши". 2000-2010 гг. время откатов "кормлений" и рейдерского захвата бизнеса государственными структурами, чиновниками и криминалом.Возникшая коррупция в органах правосудия, правоохранительных органах, правовой нигилизм стали питательной почвой для чиновников - любителей поживиться за счет чужого имущества. Под прицелом "захватчиков" оказались и собственность, и собственник, и инсайдерская информация. Вред, который мог нанести один чиновник, в те годы кратно превышал ущерб от действий нескольких криминальных структур. И вместо специалистов по физической защите понадобились "решалы", которые могли оберегать бизнес от посягательств госудасртва. На этом этапе компаниям нужны были генералы спецслужб, бывшие чиновники и прочие люди со связями, которые могли позвонить в нужные организации и срочно разрулить проблему, которую государство создало бизнес-структуре. С 2010 г. началась эпоха рыночной конкуренции. Самым опасным для бизнеса стал наконец бизнес с его недобросовестной конкуренцией, недружественными поглощениями, конкурентной разведкой и пр. Теперь службам безопасности в первую очередь нужны аналитики, способные выявлять эти угрозы и ставить от них заслон. Техническая, физическая и экономическая защита упирается в грамотный анализ. И сегодня на рынке СБ стал очевидным дефицит специалистов безопасности нового формата. Я имею в виду финансовых аналитиков, специалистов по IT-безопасности, юридически подготовленных администраторов различного уровня, способных своевременно выявлять риски и угрозы, а также организовывать работу профилактического характера. Сегодня редкие вузы готовят профессионалов такого уровня. Нам нужны мальчики и девочки, способные проанализировать финансовые отчеты подразделений и сказать: вот из ваших 1000 аптек надо провести аудит в этих 10, что-то там неладно. Я в прошлом году такую девочку, только что закончившую обучение на кафедре "Анализ рисков и экономическая безопасность" Финансового университета при Правительстве РФ, где я веду преддипломную практику, взял на стажировку. Она мне по финотчетам вычислила шесть ненадежных аптек. Провели аудит: в трех из них действительно обнаружились серьезные злоупотребления, в трех остальных – халатность персонала, что потребовало осуществления дальнейшего контроля за его деятельностью. Вот так действуют специалисты по безопасности нового типа – так что, как видите, сейчас наступила эпоха профессионалов другого формата.

Вообще, похоже, что основная опасность для расширившихся и распространившихся по городам и весям компаний должна бы уже в большей степени исходить изнутри, от персонала, чем от внешних недоброжелателей. Когда Александром Македонским были завоеваны обширнейшие территории, основные угрозы для его империи созрели уже изнутри.

Совершенно верно. По статистике МВД, около 80 % угроз бизнесу идет от персонала или возникает при его участии и попустительстве, где-то около 17 % является следствием активности внешних контрагентов и лишь немногим более 1 % происходит по вине случайных лиц. В недооценке внутренних угроз часто кроется неэффективность систем защиты бизнеса: люди ставят решетки на окна и замки на двери, не учитывая, что основную угрозу представляют те, кому ключи от этих замков дают в руки в рамках служебных обязанностей. Кроме того, сегодня, чтобы выстроить эффективную систему безопасности бизнеса, надо понимать, что и кого мы защищаем наданном этапе. Речь уже идет не только об угрозе жизни руководства или отъеме финансовых средств. К ценностям бизнеса, подлежащим защите от потенциальных угроз и противоправных по сягательств, сегодня относятся: люди: акционеры, руководящие работники, производственный персонал, владеющий информацией конфиденциального характера, оперирующие ТМЦ работники внешних служб и другой "уязвимый" персонал, финансовые средства, валюта, финансовые документы, ценные бумаги и т. п. материальные средства: здания, сооружения, торговые помещения, хранилища, оборудование, денежные средства и ТМЦ, транспорт и т. д.; информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, информационные массивы, программное обеспечение; средства и системы информации: автоматизированные системы и вычислительные сети различного уровня и назначения, линии связи, технические средства передачи информации и пр.

Какую безопасность требуется обеспечить сегодня этим ресурсам?

Я определяю безопасность как состояние защищенности жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз. Значительная часть угроз исходят, как мы только что сказали, от персонала. Нужна защита от мошенничества, т. е. незаконного присвоения активов, коррупции и от воровства, прямого, в виде отъема материальных ценностей и финансов, и косвенного, когда работник использует в личных целях предоставляемые ему ресурсы – помещения, средства связи, технологии, информацию и пр. Конкуренты всегда проявляют большой интерес к деятельности фирмы, даже если это кажется неочевидным. Обычно они перенимают новые технологии, методы работы, программы расширения бизнеса, а также ищут информацию по настоящим и предполагаемым партнерам, клиентам, перехватывают выгодные контракты, поставщиков и каналы сбыта. Криминальные структуры заинтересованы в прямом отъеме средств, причем риск привлечь к себе внимание преступных группировок возрастает, если предприятие позволяет себе применять методы, нарушающие требования законодательства или деловой этики, включая различные формы недобросовестной конкуренции. Источником угроз является по-прежнему и государство. В числе прочего бизнес находится под ударом неправомерных действий правоохранительных и контролирующих органов. Ситуация сегодня несколько упростилась, ибо степень интереса государства к нам определяется прежде всего не повальным переделом собственности, а тем, какие наши действия могут быть расценены различными контролирующими государственными органами как сомнительные или противоправные. Однако в целом система рисков, с которой работает СБ крупной компании, сегодня очень сложна и многокомпонентна.

Как обеспечить 36,6 градуса безопасности крупному бизнесу в эпоху конкуренции

Какую же модель СБ вы сформировали в 36,6 для эффективной работы с этой сложной системой рисков?

Современная система безопасности делится, как мы говорили выше, на физические, технические и экономические компоненты. В крупной компании уровня 36.6 эти направления раскладываются в следующую линейку задач:

-- внутренняя экономическая безопасность;

-- информационная безопасность;

-- правовая защита бизнеса;

-- инженерно-техническая защита зданий и сооружений;

-- физическая безопасность персонала;

-- техническая безопасность бизнес-деятельности;

-- безопасность связи;

-- безопасность хозяйственно-договорной деятельности;

-- безопасность перевозок грузов и лиц, ими занимающихся;

-- безопасность рекламных, культурных, массовых мероприятий, деловых встреч и переговоров;

-- противопожарная безопасность;

-- экологическая безопасность;

-- радиационно-химическая безопасность;

-- конкурентная разведка;

-- информационно-аналитическая работа;

-- пропагандистское обеспечение;

-- социально-психологическая защита;

-- предупредительно-профилактическая работа среди персонала и его ознакомление с проблемами экономической безопасности;

--экспертная проверка механизма системы безопасности.

Такое множество задач требует системы внятных бизнес-процессов, обеспечивающих их решение. Как вы добиваетесь слаженной работы всех составляющих системы безопасности в таком серьезном межрегиональном бизнесе, как «36,6»?

Основные бизнес-процессы, на которых зиждется наша СБ, можно наглядно проиллюстрировать (см. таблицу). Эти базовые бизнес-процессы одинаковы для всех трех составляющих системы: физической, технической и экономической. Все объекты – людей, финансы, материальные ресурсы, информацию – надо защищать, руководствуясь этой технологией.

В таком случае успешной компании 2010-х гг. нужна современная интегрированная система обеспечения безопасности на базе управления рисками.

В самую точку! Система нужна была уже с 2000-х гг., а сегодня ее ядром стало управление рисками. В наши дни оптимальная структура системы безопасности – это не жестко определенная статичная конструкция, а самонастраивающийся механизм, причем коллегиальный. Практический опыт показывает, что основными компонентами системы безопасности должны сегодня стать четыре ключевых блока: обеспечение экономической безопасности, безопасности персонала, информационной безопасности и инженерно-технической защиты. Руководить СБ должен опытный человек, в чьих руках находится инструмент, который я обозначаю как ≪Комитет по анализу и оптимизации рисков и угроз"

И как вы определяете и классифицируете эти риски?

Риски – это потенциально возможные или реальные явления, события и процессы, способные нанести моральный или материальный ущерб предприятию или предпринимательской деятельности. Есть несколько видов рисков. Индивидуальный риск характеризуется опасностью для отдельного лица. В частности, это может быть профессиональный риск, обусловленный работой человека. Есть и коллективный риск, связанный с опасностью для определенной социальной или профессиональной группы людей. Кроме того, каждодневная деятельность торговых предприятий типа "36.62 представляет собой совокупность отдельных коммерческих сделок. В каждой из которых есть свои риски связанные с надежностью и положением поставщика на рынке (например, риск репутации и недружественных действий контрагентов всех сортов), возникающие при составлении договоров и формировании договорных обязательств (договорные), а также реализации товаров на рынке (установление продажной цены, определение времени продажи и т. д.), появляющиеся при перевозке и хранении товара, вызванные изменениями платежеспособности покупателя и колебаниями валютного курса, порождаемые моделями организации работы предприятия и отношением работников к делу в целом и конкретной сделке в частности.

Понятно, что, управляя рисками, вы должны снизить их до допустимого уровня ведь нулевого не бывает. Как вы понимаете, каков он, этот допустимый уровень риска?

Приемлемый (допустимый) риск – это такая минимальная величина риска, которая достижима по техническим, экономическим и технологическим возможностям. Таким образом, приемлемый риск представляет собой некоторый компромисс между уровнем безопасности и возможностями его достижения. Величина этого риска зависит от отрасли производства, профессии, вида негативного фактора, которым он определяется. Один из важнейших инструментов управления рисками – предупредительная работа, которая заключается в использовании средств предприятия (в том числе и создаваемых фондов риска) для уменьшения степени и последствий риска. Так что мы делаем акцент на осуществление всевозможных превентивных мероприятий по защите от возможных негативных последствий в будущем.

Интервью опубликовано в журнале «Директор безопасности» июнь 2012