--PAGE_BREAK--
г) По вероятности практической реализации угрозы выделяются:
— потенциальные угрозы, практическая реализация которых на конкретный момент имеет лишь вероятностный характер (соответственно, у субъекта управления есть время на их профилактику или подготовку к отражению);
— реализуемые угрозы, негативное воздействие которых на деятельность субъекта управления находится в конкретный момент в раз личных стадиях развития (соответственно, у субъекта имеются шансы на их оперативное отражение в целях недопущения или минимизации конечного ущерба);
— реализованные угрозы, негативное воздействие которых уже закончилось и ущерб фактически нанесен (соответственно, субъект управления имеет возможность лишь оценить ущерб, выявить виновников и подготовиться к отражению подобных угроз в дальнейшем).
Проведенная классификация позволяет сформулировать три основных компонента безопасности современной кредитно-финансовой организации:
-информационная безопасность банка, предполагающая его защищенность от любых угроз разглашения или утери информации, имеющей коммерческую или иную ценность;
— безопасность персонала банка, предполагающая его защищенность от любых угроз персоналу, прежде всего, высококвалифицированной его части;
-имущественная безопасность банка, предполагающая его защищенность от любых угроз денежным средствам, ценным бумагам, товарно-материальным ценностям и другим элементам активов.
Факторы, определяющие отраслевую специфику управленияобеспечением безопасности банка:
Первым и наиболее важным фактором является автоматическое перенесение возможных потерь от реализованных угроз на клиентов и партнеров банка. В зарубежных условиях на один доллар его собственного капитала приходится не менее десяти долларов привлеченных средств. Соответственно любые имущественные потери кредитно-финансовой организации уменьшают ее возможности выполнить свои обязательства перед клиентами.
Второй особенностью является большая степень уязвимости банка как хозяйствующего субъекта в случае возможной утечки конфиденциальных сведений. Наряду с характерной для любых отраслей необходимостью защиты коммерческой тайны (т.е. информации, разглашение которой наносит ущерб самому банку), обеспечение информационной безопасности кредитно-финансовой организации имеет еще один аспект. Он связан с сохранением банковской тайны — части конфиденциальной информации, находящейся в распоряжении кредитной организации, разглашение которой наносит ущерб интересам ее клиентов. К ней относятся любые сведения о размерах и движении денежных средств на открытых в банке счетах, о финансовом состоянии заемщиков, переданных ему в трастовое управление имуществе или сохраняемых ценностях. Разглашение подобной информации имеет своим основным негативным последствием утерю кредитно-финансовой организацией имиджа доверенного лица в глазах не только имеющихся, но и потенциальных клиентов. Допустивший подобную утечку информации банк в короткие сроки лишается наиболее привлекательной клиентуры из числа корпоративных структур и крупных частных вкладчиков. Поэтому в системе управления безопасностью защита банковской тайны всегда имеет приоритет перед защитой тайны коммерческой.
1.2. Система управления безопасностью банка
Обеспечение собственной безопасности является одним из постоянно действующих направлений деятельности любой кредитно-финансовой организации. Соответственно управление безопасностью выступает в качестве одного из необходимых элементов внутрибанковского менеджмента. Оно определяется как формализованный (т.е. закрепленный в соответствующих нормативных документах) процесс, направленный на решение установленного перечня управленческих задач по соответствующему направлению деятельности.
Для обеспечения необходимой эффективности управление безопасностью должно осуществляться в рамках целостной системы управления, структура которой иллюстрируется следующей схемой:
Стратегия обеспечения безопасности – совокупность долгосрочных целей и управленческих подходов, реализация которых обеспечивает защиту кредитно-финансовой организации от потенциальных угроз разглашения коммерческой и банковской тайны, а также нанесения ей любых других форм ущерба имущественного и неимущественного характера.
Операционные подсистемы — это самостоятельные элементы системы управления, каждый из которых направлен на решение формализованного перечня однотипных задач по обеспечению безопасности. Отражая установленные стратегией управления цели и приоритеты, операционные подсистемы имеют своими объектами:
· информационную безопасность;
· безопасность персонала;
· имущественную безопасность.
В соответствии с методологией менеджмента, при формировании операционных подсистем необходимо соблюдать следующие общие требования:
· подсистемы не могут содержать элементов (методов, процедур и т.п.), практическое функционирование которых может объективно затруднить эксплуатацию смежных подсистем;
· общая структура каждой из подсистем должна соответствовать следующей типовой схеме: “определение целей процесса — планирование и организация процесса — оперативное управление процессом — оценка результатов процесса путем сопоставления их с ранее запланированными целями”;
· формализованное закрепление функций, связанных с эксплуатацией подсистем, за соответствующими руководителями и специалиста ми как штабных, так и коммерческих подразделений фирмы, включая и механизм личной ответственности за их выполнение.
Как наглядно можно увидеть из схемы на операционные подсистемы влияют различные части из блока обеспечения, важной частью которого является трудовое обеспечение.
Трудовое обеспечениеопределяется как полностью укомплектованный штат службы безопасности, включающей в себя три квалификационные категории работников:
- менеджеры, т.е. руководители различного уровня — от возглавляющего рассматриваемое направление вице-президента банка до бригадира смены охранников;
- эксперты, т.е. высококвалифицированные сотрудники службы безопасности, специализирующиеся на определенных направлениях ее обеспечения (аналитики, разработчики специальных программных средств и т.п.), но не выполняющие при этом прямых управленческих функций;
- исполнители (охранники, ремонтники спецоборудования и др.).
При формировании, эксплуатации и развитии системы управления безопасностью банка необходимо соблюдать некоторые общие методические требования. Главным из них выступает системный подход к проблеме обеспечения безопасности. Под этим понимается недопустимость акцентирования усилий службы безопасности на отражении какого-либо одного или нескольких видов потенциальных угроз в ущерб остальным.
Вторым требованием определяется приоритет мероприятий по предотвращению потенциальных угроз (т.е. методов профилактического характера). Оно не требует дополнительных обоснований уже в силу обеспечиваемой возможности не допустить ущерба в принципе, тогда как прочие методы в лучшем случае позволяют его сократить или наказать виновников.
Третьим требованием выступает ориентированность системы на обеспечение приоритетной защиты конфиденциальной информации и лишь затем иных объектов потенциальных угроз. Роль информации и информационных технологий в функционировании современной цивилизации, государства, отдельных фирм последовательно увеличивается. Все для большего числа хозяйствующих субъектов утеря или разглашение информации становится более значимой потерей, нежели хищение денежных средств и материальных ценностей. Появление и развитие глобальных компьютерных сетей определило появление еще одного источника постоянных угроз информационной безопасности — несанкционированное проникновение в базы данных. Хакерство из экзотической формы интеллектуальной деятельности ограниченного контингента специалистов по разработке программных средств уже в конце 70-х годов превратилась в новую профессиональную специализацию для работников не только государственных спецслужб, но и частного, в том числе и криминального, бизнеса. Наблюдаемый в последние десятилетия резкий рост как общей номенклатуры угроз информационной безопасности банков, так и масштаба потерь от них, определяет необходимость реализации данного требования.
Четвертым требованием является непосредственное участие в обеспечении безопасности банка всех ее структурных подразделений и сотрудников в рамках установленной им компетенции и ответственности. Структура возможных угроз, среди которых не последнее место занимают и угрозы со стороны собственного персонала, исключают возможность эффективного противодействия им силами исключительно сотрудников службы безопасности.
Пятым требованием выступает обеспечение взаимодействия системы управления безопасностью с другими направлениями менеджмента. Указанное требование реализуется как на стратегическом, так и на оперативном уровне системы управления. В следующем разделе специально рассматривается зависимость стратегии обеспечения безопасности от общей миссии банка и его конкурентной стратегии. В отечественных условиях в режиме оперативного управления наиболее тесная взаимосвязь должна обеспечиваться между рассматриваемой системой и персональным менеджментом. Нарушение требования о координации управления различными направлениями деятельности может привести к крайне негативным последствиям. В случае, когда при разработке смежных систем управления (например, финансового менеджмента или маркетинга) будут нарушены требования со стороны рассматриваемой системы, резко увеличивается вероятность негативной реализации соответствующих угроз. В свою очередь нормальное функционирование смежных систем управления будет постоянно нарушаться, если управление безопасности будет организовано по принципу самодостаточности — безопасность ради самой безопасности. Таким образом, комплексная система управления должна формироваться с учетом обеспечения относительного паритета или баланса интересов каждого из направлений деятельности кредитно-финансовой организации.
Шестым требованием является соразмерность затрат на обеспечение безопасности банка реальному уровню угроз. Оно связано с реализацией принципа разумной достаточности. С позиции конечной эффективности системы в равной степени недопустимо экономить на рассматриваемом направлении деятельности, ослабляя собственную безопасность, и преувеличивать возможные угрозы, осуществляя излишние, т.е. не окупаемые расходы. Учитывая, что руководство службы безопасности по очевидным причинам склонно именно к завышению уровня потенциальных угроз, для соблюдения данного требования желательно привлечение независимых экспертов в лице сотрудников государственных правоохранительных органов или частных охранных структур.
Заключительным требованием является формализованное закрепление не только функциональных обязанностей, но и полномочий (предела компетенции) службы безопасности . В отличие от других направлений деятельности банка работа большинства сотрудников этого подразделения всегда связана с угрозой превышения служебных полномочий. В результате велика вероятность возбуждения против кредитно-финансовой организации уголовных дел и гражданских исков по обвинению в нарушении действующего законодательства или гражданских прав.
Оценка эффективности управления безопасностью является необходимым элементом системы. Она позволяет решить несколько прикладных задач, в частности, осуществлять статистический анализ вероятности негативной реализации тех или иных угроз, а также объективно оценивать результативность деятельности службы безопасности. В отличие от большинства других направлений менеджмента здесь не всегда можно точно подсчитать обеспеченный экономический эффект. В частности, затруднительно определить возможные потери от своевременно пресеченных угроз. По некоторым видам угроз, например в адрес сотрудников банка прямой эффект невозможно рассчитать в принципе. Поэтому приходится опираться на результаты не только прямой, но и косвенной оценки. Ниже приводится перечень критериев, которые целесообразно использовать для решения этой задачи:
— общее количества выявленных угроз, с дифференциацией на угрозы, пресеченные в полном объеме, пресеченные лишь частично, негативно реализованные в полном объеме (в динамике в сравнении с предыдущими периодами);
— прямой финансовый ущерб, нанесенный банку в результате частично и полностью реализованных угроз;
- потенциальный ущерб, который могли бы нанести банку полностью или частично пресеченные угрозы;
— результаты реализации плановых профилактических мероприятий;
- отсутствие обоснованных претензий к службе безопасности со стороны правоохранительных органов, собственных подразделений и отдельных сотрудников.
3. СЛУЖБА БЕЗОПАСНОСТИ КРЕДИТНО-ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
3.1. Служба безопасности в системе управления банком и возможные подходы к ее организации
В организационной структуре управления банком служба безопасности выступает в качестве одного из штабных, т.е. наделенных распорядительными полномочиями, подразделений. Она несет основную ответственность за эффективную защиту имущественных и неимущественных интересов кредитно-финансовой организации от рассматриваемого в настоящем курсе перечня угроз, получая для этого необходимые ресурсы и полномочия.
Особое место рассматриваемой здесь службы среди других структурных подразделений банка определено самим характером ее деятельности. Она включает в себя исполнение сотрудниками службы безопасности по отношению к другим работникам фирмы многочисленных контрольных, ограничивающих и пресекающих функций. Это вызывает подсознательную негативную реакцию даже у той части персонала, которая в силу своего должностного уровня не может не понимать вынужденную необходимость подобных действий. Ощущая такое отношение, сотрудники службы безопасности часто идут на принцип, т.е. намеренно демонстрируют свои полномочия, ведут себя откровенно агрессивно — недружелюбно по отношению к работникам других подразделений банка (так называемый милицейский синдром) и, тем самым, лишь усугубляют ситуацию. Поэтому отношения между службой безопасности и остальной частью трудового коллектива банка всегда имеют потенциально конфликтный характер. Это определяет необходимость регулярных профилактических мероприятий, направленных, с одной стороны, на основную часть персонала, а с другой — на сотрудников самой службы безопасности. В противном случае становится невозможным обеспечить практическую реализацию одного из базовых методических требований к организации управления безопасностью, а именно вовлечения в этот процесс всех сотрудников и инстанций.
Выбор принципиального подхода к организации службы безопасности в конкретном банке определяется многими факторами. Главным из них является избранная ее руководством стратегия по рассматриваемому направлению деятельности, а именно — степень ее активности (агрессивности). Чем более активна эта стратегия, тем большие требования предъявляются к службе безопасности, соответственно, сложнее ее внутренняя структура, больше численность персонала. Например, при ориентации руководства кредитной организации на проведение стратегии пассивной защиты от возможных угроз, явно нецелесообразно создание в составе службы специального аналитического подразделения, занимающегося экономической разведкой.
Вторым фактором является ориентация руководства на возможное использование услуг специализированных структур в лице частных охранных агентств или службы вневедомственной охраны Министерства внутренних дел. Ниже проводится сравнительный анализ трех возможных подходов.
Первый из них предполагает полный отказ от их услуг и характерен, обычно, для крупных банков, ориентированных на проведение стратегии упреждающего противодействия. В этом случае кредитная организация вынуждена формировать собственную службу безопасности по полной программе, комплектуя ее всеми необходимыми специалистами и обеспечивая соответствующими ресурсами.
Основным преимуществом данного варианта является большая степень доверия со стороны руководства банка к собственным сотрудникам, входящим в постоянный штат организации. При правильной организации управления деятельностью службы и, прежде всего, ее персоналом, появляется возможность воспитания у него так называемого корпоративного духа. Этот термин, пришедший в Россию из зарубежной теории персонального менеджмента, предполагает наличие у сотрудника не только лояльности (которая может быть обеспечена и иными средствами), но личной преданности интересам работодателя. Это может скомпенсировать изложенные ниже недостатки рассматриваемого варианта, за исключением, естественно, полной профессиональной некомпетентности.
Недостатками данного варианта выступают высокий уровень затрат на содержание подобной службы, а для периферийных банков — объективные сложности с комплектацией ее высококвалифицированными сотрудниками всех необходимых специальностей.
Второй, прямо противоположенный, подход предполагает минимизацию штатных сотрудников службы безопасности банка, с возложением основных ее функций на сторонние специализированные структуры, привлекаемые на контрактной основе.
Привлекательность данного подхода обеспечивается многими факторами, среди которых можно выделить:
· меньшую капиталоемкость;
· гарантированный контрактом профессионализм привлеченных из специализированных структур сотрудников;
· в отечественных условиях — отсутствие многих ограничений, связанных с частной охранной деятельностью.
Однако, в отличие от предприятий в других отраслях экономики, российские и зарубежные банки используют данный подход крайне редко. Это определяется в первую очередь низким доверием к любым сторонним для конкретного банка структурам.
Рекомендации по применению: для государственных и небольших банков, реализующих пассивную конкурентную стратегию.
Принципиальная организационная структура управления службы безопасности, созданной по такому варианту, представлена схемой 4.
Третий, компромиссный, подход предполагает возможность частичного использования услуг специализированных частных структур для выполнения локальных задач. Он ориентирован на кредитные организации, реализующие стратегию адекватного ответа и при этом относительно редко сталкивающиеся со сложными задачами обеспечения собственной безопасности, например, утечкой конфиденциальной информации, хищением денежных средств с использованием компьютерных технологий, шантажом и угрозами в адрес сотрудников. В соответствии с изложенными выше требованиями к организации системы, для таких банков целесообразно ориентироваться на принцип разумной достаточности и не включать в постоянный штат службы безопасности сотрудников, чей опыт и квалификация будет востребована от случая к случаю.
3.2. Основные аспекты управления деятельностью службы безопасности банка
Нормативно-правовая база деятельности службы включает в себя:
— законы и подзаконные акты, действующие на территории Российской Федерации (см. перечень рекомендуемой литературы), а также иностранных государств, в которых размещены филиалы, отделения и деловые партнеры банка;
— Положение о службе безопасности банка, утвержденное его президентом и содержащее информацию об организационной структуре управления этой службы, ее основных функциях, полномочиях и ответственности (основной документ, используемый в процессе оперативного управления деятельностью службы);
— должностные инструкции по всей номенклатуре рабочих мест, содержащие информацию о подчиненности, должностных обязанностях, правах и ответственности занимающих их сотрудников.
Планирование деятельности службы осуществляется на основании специальных заданий руководства и утвержденных в установленном порядке плановых документов. К последним относятся:
· целевые программы по автономно выделенным в системе направлениям деятельности службы безопасности, рассчитанные на продолжительный (более одного квартала) срок;
· план-графики регулярных проверок соблюдения установленных правил внутренней безопасности структурными подразделениями и сотрудниками банка;
· индивидуальные плановые задания конкретным специалистам службы безопасности (режим оперативного планирования).
Ресурсное обеспечение службы безопасности осуществляется на основе регулярно (год, квартал) представляемых ею заявок в рамках установленных финансовой службой банка лимитов. Помимо постоянных расходов на оплату труда штатных сотрудников и финансирования договоров на оказание соответствующих услуг сторонними организация ми, основными направлениями ресурсного обеспечения, выступают:
· финансовые ресурсы, необходимые для выполнения функций, предусмотренных Положением о службе безопасности банка (включая средства специального фонда оперативных мероприятий);
· информационные ресурсы (профильные периодические издания, связь, компьютерные коммуникации);
· материально-технические ресурсы (оргтехника, транспортные средства, средства технической защиты, оружие и спецсредства и т.п.).
продолжение
--PAGE_BREAK--
Управление персоналом службы осуществляется в соответствие с общей методологией персонального менеджмента, скорректированной с учетом специфики деятельности рассматриваемого подразделения. Основной задачей является правильный (т.е. наиболее рациональный для конкретного банка) выбор стратегических приоритетов. К ним относятся:
— в части привлечения персонала — выбор приоритетного источника трудовых ресурсов (например, найм сотрудников может осуществляться из числа бывших работников спецслужб, милиции, выпускников профильных образовательных учреждений и т.п.);
— в части организации найма — выбор формы и критериев отбора (найм на основании либо доверия к рекомендациям, представленным кандидатами от известных руководству банка учреждений и лиц, либо отбора и проверки этих кандидатов с использованием специальных методик);
— в части обучения и дальнейшей подготовки персонала — выбор между организацией данного процесса в собственном учебном центре или в сторонних для банка структурах;
— в части оплаты труда персонала — выбор между фиксированными должностными окладами и гибкой формой оплаты труда, предусматривающей прямую зависимость фактических выплат от оценки эффективности выполнения установленных функций.
Контроль над деятельностью службы безопасности осуществляется по трем направлениям:
— со стороны правоохранительных органов (отсутствие нарушений законодательства при исполнении службой безопасности своих функций);
— со стороны дирекции банка (эффективность исполнения установленных ей функций и отсутствие фактов превышения установленных полномочий);
— в режиме внутреннего контроля в рамках самой службы (по аналогу с деятельностью службы собственной безопасности в государственных правоохранительных органах).
2.3. Функции руководителя и основных подразделений службы безопасности
Основные функции вице-президента банка по безопасности.
Вице-президент по безопасности является руководителем рассматриваемого направления деятельности в целом. Вне зависимости от избранных стратегии обеспечения безопасности и самого подхода к организации службы, он в силу занимаемой должности относится к числу высших руководителей банка. Для эффективной реализации своих функций вице-президент по безопасности должен обладать необходимыми полномочиями, в частности правом:
· доступа к любой конфиденциальной информации;
· участия в совещаниях и переговорах любого уровня, где затрагиваются вопросы, представляющие потенциальную угрозу для безопасности банка (при невозможности личного участия — полный отчет или магнитофонная запись переговоров);
· свободного доступа к Президенту банка, а в экстренной ситуации — Председателю Совета директоров;
· функционального руководства и контроля деятельности других должностных лиц в рамках установленной компетенции.
Основные функциональные обязанности этого руководителя:
· формирование общей стратегии обеспечения безопасности банка и ее оперативная корректировка при изменении внешних или внутренних условий;
· решение текущих проблем с высшим руководством и начальниками структурных подразделений банка;
· организация взаимодействия с местными правоохранительными органами;
· формирование и контроль над исполнением целевых программ и текущих планов структурных подразделений службы безопасности, решение всех ее внутренних административных вопросов, организация ресурсного обеспечения;
· непосредственное руководство службами собственной безопасности и экспертов — консультантов.
Основные функции информационно — аналитического отдела.
В системе управления деятельностью службы безопасности данное подразделение обычно выполняет функции мозгового центра, в который стекается и анализируется вся информация об ее деятельности, а также формируются рекомендации для руководства и других подразделений банка. Особенностью работы данного подразделения в крупных банках, нацеленных на реализацию стратегии упреждающего противодействия, является наличие у него определенного (иногда значительного по численности) контингента внештатных сотрудников как вне, так и внутри организации.
Как правило, деятельность информационно-аналитического отдела организуется параллельно по нескольким направлениям.
Первое направление связано со сбором и анализом чисто коммерческой информации, которая отсутствует в открытых источниках и, соответственно, недоступна специалистам маркетинговой службы банка. К ней относятся сведения:
— о конкурентах в части изменений их рыночной стратегии, имеющихся ресурсов, деловых связей, используемых технологий и, естественно, прямых угрозах безопасности банка с их стороны;
— о клиентах и деловых партнерах в части, прежде всего, их коммерческой добропорядочности, финансовой надежности, планов дальнейшего сотрудничества с банком;
— о динамике государственной экономической политики на федеральном уровне, а также на отраслевых и региональных рынках.
Результатами такого анализа являются специальные аналитические обзоры и докладные записки строго конфиденциального характера, предназначенные для дирекции и руководства заинтересованных подразделений банка.
Второе направление связано со сбором и анализом информации о потенциальных угрозах со стороны криминальных структур.
К ней относятся сведения:
· об общей криминогенной ситуации в регионе размещения банка;
· о деятельности преступных группировок, представляющих потенциальную или реальную угрозу для безопасности банка;
· о наиболее известных хакерах, специализирующихся в области проникновения в компьютерные сети финансовых институтов;
· о подготовке конкретных покушений на безопасность банка, а также иных, враждебных ему, акций в режиме внешних угроз.
В отличие от предыдущего направления, результаты этой работы используются, прежде всего, самой службой безопасности при подготовке к отражению соответствующих угроз. Кроме того, референтом по связям с общественностью на основе проанализированной и обобщенной информации должны периодически готовиться информационно-обзорные бюллетени. Их можно эффективно использовать в процессе специального обучения персонала.
Третье направление связано со сбором и анализом информации о потенциальных угрозах со стороны собственного персонала банка.
К ней относятся сведения:
· о соблюдении в трудовых коллективах банка правил обеспечения безопасности, которые невозможно получить в ходе плановых и внезапных проверок режима;
· о сотрудниках, лояльность которых стала вызывать сомнения у непосредственного руководителя или психолога банка;
· о сотрудниках, занимающих ключевые рабочие места, служебные возможности которых делают необходимым постоянный контроль;
· об общем психологическом настрое в трудовых коллективах банка, дополняющие информацию от психолога службы персонала.
Результаты этой работы могут использоваться самой службой безопасности для отражения угроз со стороны нелояльных сотрудников, службой персонала для внесения соответствующих изменений в систему управления им, а также руководителями структурных подразделений банка для формирования персонифицированных управленческих решений.
Основные функции отдела информационной безопасности.
Деятельность данного подразделения направлена на защиту любой конфиденциальной информации банка. Поэтому в его работе наиболее целесообразно выделить следующие три направления:
· защита компьютерных сетей и баз данных от несанкционированного проникновения с целью копирования и повреждения;
· защита информации на бумажных носителях, что связано, в основном с разработкой специальных правил работы с документацией и ее хранения;
· защита устной информации от перехвата с использованием специальных технических средств.
Основные функции отдела физической защиты.
Деятельность данного подразделения направлена на защиту имущества и персонала банка. По аналогу с отделом информационной безопасности в его деятельности выделяются три направления:
— обеспечение личной безопасности сотрудников банка (служба телохранителей);
— обеспечение безопасности перевозок денежных средств (служба инкассации;
— обеспечение физической охраны здания банка, отдельных его помещений — депозитария, кладовой, офисов режимных подразделений, непосредственно прилегающей к нему территории (патрульно-постовая служба).
В данном отделе числится большинство штатных сотрудников банка, специализация которых (охранники и, особенно, телохранители) требует постоянного поддержания профессиональной квалификации. По этому для крупных банков целесообразно создание в этом отделе специального учебно-тренировочного центра, которым смогут пользоваться другие сотрудники службы безопасности, и даже желающие руководители организации.
Основные функции отдела собственной безопасности.
Данное подразделение находится в прямом подчинении вице-президента банка и обеспечивает защиту от угроз со стороны некомпетентных или нелояльных работников самой службы безопасности. Необходимость существования такого подразделения в крупных банках подтверждается многолетним опытом работы государственных правоохранительных органов и спецслужб, а также негативными фактами из практики российских банков. Основными функциями подразделения выступают:
· участие в разработке внутренних регламентов службы безопасности, определяющих правила поведения ее сотрудников при исполнении служебных обязанностей и в быту;
· профилактический контроль над деятельностью всех сотрудников службы безопасности банка в части исполнения указанных выше правил;
· проведение служебных расследований в отношении сотрудников, допустивших нарушения при исполнении своих обязанностей или по ставивших под сомнение свою лояльность работодателю.
Сотрудники рассматриваемого подразделения должны проходить особо тщательную процедуру отбора на стадии найма, либо перевода из других отделов службы безопасности. Рекомендуется также поддерживать предельно высокий уровень их оплаты и социальной поддержки.
4.4. Основные направления взаимодействия службы безопасности с другими подразделениями банка
а) Взаимодействие с маркетинговой службой:
• совместное изучение и анализ конкурентов, подготовка аналитических обзоров и рекомендаций для руководства банка и коммерческих отделов;
• выполнение специальных поручений по сбору дополнительной информации об отдельных клиентах и партнерах банка (в том числе и потенциальных).
б) Взаимодействие со службой персонала:
• проведение специальных проверок при найме новых сотрудников по заявке со стороны службы персонала;
• участие в первичном обучении вновь нанятых сотрудников банка;
• координация действий по контролю над лояльностью персонала и соблюдением им правил обеспечения безопасности банка — работодателя.
в) Взаимодействие с финансовой службой:
• передача и обоснование заявок на финансовые ресурсы, необходимые для подразделения, отчеты об использовании выделенных средств;
• совместное расследование фактов нарушений внутрибанковской финансовой дисциплины (в случае прямых хищений и растрат).
г) Взаимодействие со службой компьютерного обеспечения:
• совместные действия по защите компьютерных сетей банка от несанкционированного проникновения и повреждения;
• при разработке службой компьютерного обеспечения новых программных продуктов — проверка их защищенности от соответствующих угроз.
5. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КРЕДИТНО-ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
3.1. Конфиденциальная информация банка как объект защиты
К конфиденциальной информации относятся любые сведения, разглашение которых способно нанести ущерб их владельцу, пользователю или связанным с ними лицам . Отличительной особенностью банковского сектора экономики является статус кредитно-финансовой организации как доверенного лица своих клиентов, располагающего конфиденциальными сведениями об их финансовой и коммерческой деятельности. Эти сведения составляют банковскую тайну, являющуюся приоритетным объектом защиты в системе безопасности любого банка.
Конфиденциальная информация формируется кредитно-финансовой организацией в процессе всего периода ее функционирования на рынке. Она касается деятельности самого банка, его клиентов, деловых партнеров, конкурентов, контактных аудиторий. Порядок сбора, накопления и хранения информации о собственной деятельности определяется требованиями внутрибанковского менеджмента и должен быть зафиксирован в соответствующих внутренних регламентах (инструкциях, положениях и т.п.). Объем и порядок сбора информации о сторонних организациях зависит от избранной банком стратегии развития, в том числе по направлениям коммерческой деятельности и обеспечения безопасности. Так, сбор внешней информации может осуществляться:
• исключительно легитимными методами, силами службы маркетинга, других штабных служб и коммерческих отделов банка;
• в том числе и нелегитимными методами, осуществляемыми силами специального подразделения в составе службы безопасности
Классификация конфиденциальной информации осуществляется по нескольким признакам:
По характеру информации она разделяется на:
• информацию, содержащую банковскую тайну
• информацию, содержащую коммерческую тайну, т.е. сведения, разглашение которых способно нанести ущерб интересам самого банка
По содержанию информации она разделяется на:
- политическую информацию, например, отсутствующие в открытых источниках сведения об ожидаемых изменениях политической ситуации, законодательства, других политических факторах, способных повлиять на рыночное положение банка или связанных с ним хозяйствующих субъектов;
- экономическую информацию, например, отсутствующие в от крытых источниках сведения об экономической ситуации в конкретных регионах и отраслях;
- финансовую информацию, например, отсутствующие в открытых источниках сведения о финансовом состоянии клиентов и других партнерах банка;
- коммерческую информацию, например, результаты проведенного специалистами банка анализа соответствующих рынков или его планы их освоения;
- технологическую информацию, например, сведения о разработанных, но еще не внедренных банком новых технологий обслуживания клиентов;
- управленческую информацию, например, сведения об используемых банком методах управления по конкретным направлениям собственной деятельности.
По используемому носителю информации она разделятся на:
• информацию в устном виде, например, сведения, обсуждаемые в процессе делового совещания;
• информацию на бумажных носителях, т.е. традиционная форма документов, используемых кредитно-финансовой организацией;
• информацию в электронном виде, т.е. компьютерные базы данных, а также сведения, передаваемые по компьютерным коммуникациям или телефонным сетям (приоритетный объект защиты в современных условиях).
По степени секретности информации она разделятся на:
• абсолютно конфиденциальную, содержащую секретные сведения, разглашение которых способно нанести ущерб стратегического характера;
• строго конфиденциальную, содержащую совершенно секретные сведения;
• конфиденциальную, содержащую секретные сведения;
• для служебного пользования, содержащую наименее секретные сведения, не предназначенные лишь для открытой печати.
6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛА КРЕДИТНО-ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
4.1. Процесс отбора персонала
Процесс отбора кандидатов и изучения их соответствия функциональным обязанностям по конкретной должности предполагает:
1) первичное знакомство с претендентами;
2) сбор и обработку информации о них по определенной системе;
3) оценку качеств и составление достоверных «портретов»;
4) сопоставление фактических качеств претендентов и требований должности;
5) сравнение кандидатов на одни должности и выбор наиболее подходящих;
6) назначение или утверждение кандидатов в должности, заключение с ними трудового договора;
7) проверку эффективности их адаптации и работы в начальный период.
Правила отбора и найма персонала целесообразно иметь в письменном виде. Они должны предусматривать, например, как и когда следует использовать описание требований, предъявляемых к претендентам, сведения о необходимых шагах на каждой стадии отбора, методах получения дополнительной информации, способах контроля, ответственных лицах.
На предварительном этапе отбора на основе профессиограммы происходит первичное выявление кандидатов, способных выполнять требуемые функции, максимальное сужение круга претендентов и формирование из них резерва, с которым и проводится в дальнейшем более тщательная работа. Ее задачей является всесторонняя оценка кандидата, ориентирующаяся не на отдельные черты, а на свойства личности в целом. Проверка претендента проводится с помощью обстоятельного анализа документов, общих и целевых собеседований, тестирования и ряда других методов.
Первичное выявление происходит путем анализа документов кандидатов (анкет, резюме, которые направляют множеству работодателей в надежде на отклик, характеристик, рекомендаций) на предмет их соответствия требованиям организации к будущим сотрудникам. Его методы зависят от бюджета, стратегии, культуры организации, относительной важности должности. Но с помощью оценки документов можно получить ограниченное количество информации, и в этом главный недостаток данного метода.
Для облегчения анализа всем претендентам целесообразно предлагать стандартный бланк заявления, включающий сведения о фамилии, возрасте, образовании, опыте работы, специальные пункты. Заявление может быть совмещено с анкетой, содержащей вопросы о предыдущей работе, заработной плате, причинах увольнения, интересах, опыте предпринимательства, преподавания, научной деятельности, участия в общественных организациях, наградах, почетных званиях, публикациях, а также лицах, которые могут что-то сообщить о претенденте.
В результате делается вывод о целесообразности личной встречи с претендентом. Приглашение на нее может быть предварительно сделано по телефону, но обязательно должно быть подтверждено письменно. Правила хорошего тона требуют приложить к приглашению схему расположения офиса организации и кадровой службы.
Перед собеседованием, происходящим в рамках такой встречи, стоят следующие основные задачи:
· Предварительное определение компетенции и личных качеств претендента и его заинтересованности в работе.
· Информирование его об организации и преимуществах работы в ней, содержании работы, процессе адаптации и необходимых для этого сроках.
· Выяснение интересов и ожиданий обеих сторон, области их различия и совпадения, возможности нахождения согласия.
· Предоставление претенденту возможности в итоге самому оценить, действительно ли он хочет получить эту работу.
Результаты ознакомительного собеседования обычно позволяют отсеять сразу же до 80—90% кандидатов, а для оставшихся выбрать наиболее подходящие способы дальнейшей проверки и изучения психологических и профессиональных качеств с целью установления их пригодности для выдвижения на соответствующую работу и выполнения должностных обязанностей.
Целевые собеседования дают возможность оценить интеллект, профессионализм, эрудицию, сообразительность, прилежание, реакцию, открытость новому, наблюдательность, любознательность, инициативность, энтузиазм, сноровистость, благоразумие, честность, причины оставления прежнего места и т.п. Немало сведений о претенденте можно получить из анкет, резюме, характеристик, автобиографий. Их тщательный анализ считается достаточно надежным источником информации о кандидате, однако, поскольку он ориентирован исключительно на прошлое, то достаточно приблизителен.
Довольно надежным способом проверки претендентов является тестирование, которое предназначается как для отбора лучших кандидатов, так и для отсева слабых. С помощью тестов можно оценить скорость и точность выполнения работы, устойчивость внимания, зрительную память, владение смежными операциями, аналитичность мышления, аккуратность, умение быстро ориентироваться, усидчивость, исполнительность, интерес к работе, умение общаться с людьми, личные склонности.
Нужно иметь в виду, что ответы на многие тесты находятся под влиянием национального, социального и культурного опыта, поэтому в чистом виде лучший тест — математическая задача, лишенная всего этого.
Но окончательный выбор происходит с помощью менее формализованных методов, так как тесты слабо выявляют позитивные качества людей по сравнению с негативными, и, как показывают исследования, не всегда достоверны (надежность общих тестов составляет менее 50%). Кроме того, недостаток тестов связан с высокими издержками.
Считается, что тестирование целесообразно проводить несколько раз и в разные дни, сравнивая затем результаты, поскольку они могут быть неодинаковыми. При этом тесты неплохо предварительно «обкатывать» на работающих.
Формой проверки поступающих на работу может быть письменная характеристика или рекомендательное письмо с последнего места работы.
В целом их достоверность и надежность весьма невысоки (как свидетельствует западный опыт, 25% характеристик и рекомендательных писем — ложные), поэтому обычно их содержание мало кого интересует — главное общий вывод, а то и просто сам факт их наличия.
И совсем уж мала надежность (несмотря на высокую популярность) графических (экспертиза почерка) и астрологических методов. Они рискованны, и поэтому имеют вспомогательный характер.
При необходимости может проводиться медицинский осмотр, заменяемый тестированием на основе специального медицинского опросника.
Завершающим этапом процесса отбора является собеседование с линейным руководителем, который с помощью специалиста по персоналу и штатного психолога на основе сопоставления различных кандидатов выбирает наиболее подходящего из них
4.2. Критерии оценки персонала
При разработке системы оценки работника необходимо решить, на основании каких критериев будет производиться оценка, иными словами, что именно в деятельности работника нам надо оценить. Говоря о критерии, мы исходим из следующего определения: «Критерий — это такие характеристики работы и рабочего поведения, которые, по мнению квалифицированных наблюдателей, составляют необходимые «стандарты совершенства», которые необходимо достигнуть, чтобы как организация, так и индивид могли реализовать свои цели». Проще говоря, критерии — это те показатели, те характеристики (рабочие, поведенческие, личностные), основываясь на которых можно судить о том, насколько хорошо работник выполняет свою работу.
Критерии оценки деятельности разделяются по разным основаниям, среди которых можно выделить следующие группы критериев.
продолжение
--PAGE_BREAK--