Соответственно, в таких случаях от СБ не требуют каких-либо конкретных действий или системной работы. Руководитель подразделения безопасности периодически докладывает Главе компании о своих успехах и выявленных рисках.
Как правило, такие встречи не имеют четкой повестки, а результаты работы СБ критериев успешности.
В отличие от ощущения, состояние защищенности материально, его можно создать, а результаты измерить.
Вероятно, самым правильным будет начать с целеполагания для службы безопасности, на основе целей бизнеса, ради процветания которого она создана.
Одним из важнейших показателей экономической эффективности предприятия является EBITDA.1 Чем он выше, тем лучше. Значит, задача всех структурных подразделений компании, включая СБ, этому способствовать.
Ближе всего к такому видению приблизились сетевые ритейлеры, которые используют коэффициент потерь по отношению к выручке или обороту торговой точки. Критерий хорош простотой расчета, но не отражает степень участия и роль СБ в сокращении/недопущении убытков.
В общем случае, служба безопасности может оказывать влияние на EBITDA, сокращая ее затратную часть, путем возмещения ущерба, предотвращения потерь, а также неэффективных расходов.
Последнее, особенно важно. Большинство «безопасников», по привычке продолжают мыслить и классифицировать происшествия по статьям уголовного кодекса: «Кража», «Присвоение и растрата», «Коммерческий подкуп» и т.д.
Однако, если отталкиваться не от УК РФ, а от факта наступления потерь, оказывается, что из поля зрения СБ выпадают до 80%, заслуживающих внимания историй (в рознице меньше, до 60%). Случается, что все участники процесса добросовестно выполнили свои обязанности, а убыток возник. Причем, умысла на нанесение вреда предприятию ни у кого из них не было. При детальном изучении оказалось, что какая-то операция не была выполнена, так как отсутствовало лицо, которому она была бы поручена (отсутствие регламентации), либо риск потерь в этой точке процесса не рассматривался (несовершенство бизнес-процесса).
При расследовании инцидентов, вопрос «кто виноват?» тоже вторичен. Гораздо важнее понять, может ли подобное повториться в другом месте, в другое время и с другим составом участников? Какие контроли не сработали? Какие изменения необходимо внедрить, чтобы исключить рецидив.