Дмитрий Иванюшин, специалист по вопросам безопасности международной компании ADT Security Solutions (группа TYCO)
Профессор Людвиг Фон Мизес еще в 1928 году заявил, что экономические циклы (то есть регулярная смена периодов экономического процветания депрессиями и острыми экономическими или финансовыми кризисами) вызваны поведением банков. Его позицию разделили многие ученые-экономисты того времени. Соглашаются с ним и многие современные специалисты.
Такие ученые, как Зомбарт, Жюгляр, Кондратьев, Китчин и Хаберлер выявили закономерность экономических циклов. Не отрицая участия банкиров в экономической деятельности, приводящей к кризисам, они показали, что такова природа современной экономики. И даже при всем своем желании, банкиры не в силах изменить этой особенности.
Конечно, мы можем предположить, что банки одними из первых (среди хозяйствующих субъектов) узнают о надвигающихся кризисах. Но это не значит, что банки сами не страдают от экономических спадов.
«C кризисом управления сталкиваются не только российские, но также и западные коммерческие банки, о чем свидетельствуют многочисленные примеры... Большинство банков с <...>трудом осознает необходимость болезненной перестройки управления <...>. Как правило, это происходит только после серьезных потрясений и провалов». Это цитата из учебника по банковскому менеджменту, автор - Евгений Жуков.
Казалось бы, банки, как никто другой, должны быть готовы к циклическим кризисам, и могут встретить их во всеоружии. Да еще и крупно заработать на этом. Ведь, по мнению недоброжелателей, они сами их устраивают. А тут выясняется, что и с внутренними кризисами они справиться не всегда могут.
Материалов на тему управления банком во время кризиса найдется не так уж много.
В России есть опытные специалисты по банковской безопасности, написан ряд хороших учебников на эту тему, но аспекты управления безопасностью в период кризиса обходятся стороной.
Не будем ждать потрясений и провалов. Постараемся восполнить этот информационный пробел.
«Землетрясения не было, а жертвы есть»
Кроме экономических составляющих кризиса существуют также психологические. Поведение людей во время кризиса мы называем «кризисным поведением». Поведение это во многом иррационально. Примером такого поведения может служить паника (в широком смысле слова). Паника на корабле, на стадионе, либо биржевая паника. Последствия паники могут быть гораздо более разрушительными, чем причины ее вызвавшие. Другим примером «кризисного поведения» может служить оцепенение, либо апатия. К сожалению, «кризисное поведение» «заразно». Оно передается от сотрудника к сотруднику, от организации к организации и даже от страны к стране. Одной из причин «кризисного поведения» на уровне организации может служить недостаток информации и отсутствие четкого плана действий.
На предприятиях, работающих в условиях повышенного риска (а банки, несомненно, относятся к таким предприятиям), должны быть разработаны четкие инструкции и специальные меры безопасности на случай чрезвычайных и кризисных ситуаций.
Наиболее удачными примерами подобных инструкций служат различные уставы, инструкции и наставления для экипажей кораблей, самолетов. Разрабатываются подобные инструкции с использованием исторического опыта и с применением методов сценарного анализа.
Интересно, то, что многие банки, инвестирующие те или иные проекты, требуют от клиентов бизнес-планы с проработкой нескольких сценариев развития событий. Сами они владеют методиками сценарного анализа. Только забывают о разработке «кризисного» сценария для своей службы безопасности. Разумеется, я говорю о сценариях и инструкциях на случай экономического кризиса, а не об инструкциях по эвакуации персонала в случае пожара или теракта.
Кадры и информационная безопасность
Матрица угроз безопасности банка в период кризиса не претерпевает серьезных изменений. А вот численные показатели рисков и их весовые доли меняются существенно. Например, доля рисков, связанных с государственным регулированием деятельностью банков резко возрастает. Также резко возрастает весовая доля рисков, относящихся к информационной безопасности. Хочу подчеркнуть, именно информационной, а не компьютерной безопасности. Самым уязвимым звеном в информационной безопасности остаются люди. Именно они подвергаются в период кризисов наибольшей нагрузке. Несмотря на то, что банки изначально подбирают на работу надежных, честных, эффективных и стрессоустойчивых сотрудников, поведение людей во время кризиса может серьезно меняться. Что может влиять на поведение людей? Чувство неопределенности, страх увольнения, финансовые проблемы в семье, общее изменение морального климата, возрастание нагрузки, внешне воздействия (попытки подкупа, шантаж и т.п.) и ряд других факторов. К чему это может привести? К менее четкому исполнению инструкций, меньшей внимательности при выполнении должностных обязанностей, нерешительности, либо, наоборот, к принятию необоснованно рискованных решений, непосредственной утечке информации.
Чтобы снизить риски в этой области, мы, кроме совершенствования работы с кадрами, можем предложить повысить уровень автоматизации процессов. Особенно, в области разграничения доступа.
Кроме риска утечки информации, существует риск потери информации. В том числе - риск потери знаний (например, вместе с носителем знаний). Резервирование информации и надежная защита хранилищ данных не будут лишними.
И, наконец, риск получения недостоверной информации, либо риск несвоевременного получения информации во время кризиса возрастает. Например, из-за снижения эффективности смежных организаций, ранее снабжавших банк этой информацией.
В России характерной чертой многих сотрудников служб безопасности банков является излишняя осторожность в общении с внешним миром. Они боятся назвать свою фамилию, служебный телефон, адрес электронной почты. Избегают каких-либо контактов. Можно допустить, что для этого есть основания. Например, угрозы, связанные с личной безопасностью, возможность нарушения делового этикета представителями сторонних организаций (назойливые звонки, спам и т.п.). Но отрезать себя от внешнего мира, по крайней мере, недальновидно. Возможным разумным решением, было бы введение должности специалиста по внешним коммуникациям или секретаря службы безопасности. Соответственно, с выделением дежурного телефона и адреса электронной почты. Это даст возможность получать больше информации и, в то же время, отсекать информацию ненужную.
Экономика безопасности
Для периодов экономических и финансовых кризисов и «депрессий» характерно отсутствие «излишних» финансовых средств. Увы, от недостатка финансирования страдают даже банки. Наступает период тотальной «экономии».
Возникает вопрос: можно ли экономить на безопасности, не опасно ли это?. Тем более, что безопасность и надежность банка являются одними из основных его активов, как составляющие такого комплексного показателя, как репутация.
Как оборонный бюджет государства и боеспособность армии являются связанными, но не идентичными понятиями, так же и бюджет безопасности банка связан с эффективностью системы безопасности банка.
На наш взгляд, затраты на безопасность можно и нужно оптимизировать. Однако прямолинейное сокращение бюджета приведет к снижению ее уровня. Мы предлагаем рассматривать затраты на безопасность как инвестиции в дальнейшую эффективную работу банка, а не как «плановые убытки». Ведь безопасность банка создает дополнительную ценность и обеспечивает конкурентные преимущества.
Разумеется, инвестиционный подход к финансированию безопасности требует тщательных предварительных расчетов и последующей оценки эффективности инвестиций.
Сколько же следует тратить на безопасность банка? И отношение затрат на безопасность к какому финансовому показателю можно считать объективным параметром, характеризующим уровень безопасности? В случае с банками это сложный вопрос. По двум причинам. Первая: банки очень неохотно разглашают данные, связанные с затратами на безопасность. Вторая: в большинстве случаев, они и не ведут статистический учет этих затрат. А, кстати, зря.
В общем случае, затраты на управление риском, включая безопасность, не должны превышать так называемой премии за риск. При расчетном подходе затраты на безопасность не должны превышать 10% математического ожидания уровня потерь (до внедрения системы безопасности). В работающей структуре (то есть после внедрения системы безопасности) хорошим показателем является уровень затрат, не превышающий 25% от реального уровня потерь за определенный период. Данный показатель может применяться крупными банками с большим количеством филиалов. Небольшие банки могут пользоваться среднеотраслевыми показателями, приведенными к объему операций.
В качестве примера обратим внимание на то, что стоимость положительной репутации фирмы рекомендуют считать равной одному годовому обороту. В одной из упрощенных методик оценки рисков предлагается маловероятным событиям присваивать значение 10% вероятности. При пользовании данной методикой математическое ожидание репутационных потерь составит 10% от оборота. Только для предотвращения рисков потери репутации нам следует заложить в бюджет безопасности не менее 1% годового оборота предприятия (филиала).
В среднем в структуре затрат банков затраты на IT (технические средства, сервис и ПО) составляют менее 20%. Затраты на безопасность, как правило, не превышают 4-5% затрат. В то же время, затраты на содержание собственного персонала банка превышают 50% всех затрат. В частности, зарплата сотрудников службы безопасности составляет около 2,5%. На технические средства безопасности обычно идет меньше 1,5%.
Внутри банковской системы безопасности затраты на зарплату сотрудников подразделений безопасности, включая отдел внутреннего контроля и охрану, существенно превышают затраты на приобретение и содержание систем безопасности. Соотношение несколько отличается в инвестиционных и розничных банках, но в среднем, затраты на персонал раза в полтора-два выше, чем затраты на технику.
За счет чего можно снизить общие затраты на безопасность, и при этом, не снижать (а, по возможности, повысить) эффективность?
Стремление к сокращению затрат во время кризиса часто приводит к ложной экономии, которая очень опасна (сама по себе является угрозой). Она является следствием иррационального «кризисного поведения» менеджеров, которое мы уже рассматривали выше. При этом анализ заменяется интуитивными решениями, которые кажутся логичными в данный момент времени.
Примеры ложной экономии:
- Удешевление за счет снижение качества или надежности;
- Урезание зарплат;
- Сокращение образовательных программ;
- Отказ от анализа и проектирования.
- Правильные («инвестиционные») методы экономии:
- Оптимизация процессов (процессный подход к управлению);
- Автоматизация отдельных операций;
- Интеграция процессов;
- Стандартизация;
- Дистанционный мониторинг процессов;
- Повышение квалификации;
- Аналитический подход к управлению;
- Тщательное проектирование с учетом мероприятий, обеспечивающих качество.
В применении к службе безопасности банка мы видим, что снижение стоимости технических средств даст меньший экономический эффект, чем автоматизация процессов. Почему? Потому, что доля стоимости персонала превышает долю стоимости оборудования за определенный период времени (допустим, за 5 лет).
Чтобы автоматизировать процессы, их надо описать. Таким образом, в период кризиса и дефицита средств было бы разумно начать с организационно-аналитической работы: описания процессов и процедур, составления стандартов, либо ревизии и оптимизации существующих описаний. Считается, что банковская безопасность на 30% - наука и на 70% - искусство. Благодаря систематизации знаний и управлению интеллектуальным капиталом можно и нужно добиться изменения этой пропорции. Чтобы безопасность банка была наукой не менее, чем на 70%.
Если для службы безопасности еще не разработана система ключевых показателей эффективности (KPI), самое время это сделать.
Очень полезно провести переподготовку сотрудников службы безопасности. Причем, обучать их можно как профильным дисциплинам, так и смежным. Очень хорошие результаты дает дополнительная подготовка в области управления рисками и в области управления качеством.
Все эти мероприятия требуют минимальных затрат, но обеспечивают хорошую отдачу.
На этом этапе можно переходить к самой автоматизации.
Целью автоматизации вовсе не обязательно является сокращение штата сотрудников службы безопасности (в смысле, увольнение), но, непременно, повышение отдачи от каждого сотрудника и избежание раздувания штатов в будущем. Основным направлением автоматизации безопасности в западных банках в настоящее время является центральный (глобальный) мониторинг региональных офисов и филиалов. Основными элементами центрального мониторинга являются системы видеонаблюдения и управления доступом. В области компьютерной безопасности также применяется глобальный мониторинг всех процессов. В случае успешной реализации данной задачи, численность сотрудников СБ на местах можно свести к минимуму.
Для осуществления подобной задачи требуется выбрать стандартное базовое оборудование и ПО, способное объединяться в глобальные сети, и масштабироваться почти без ограничений.
Для банка, имеющего 3 и более филиалов в разных регионах, такое решение дает заметный экономический эффект.
Можете не сомневаться: служба безопасности, прошедшая проверку и «закаленная» «кризисом» будет эффективно работать и в эпоху экономического подъема.
