Файл: Теоретические основы управления кадровой безопасностью в организации.pdf

Как правило, основная ошибка заключается в отсутствии в компании формализованных, зафиксированных и утвержденных процессов обеспечения информационной безопасности. Эти процессы должны определять единую техническую политику в части выбора средств защиты, текущее состояние ИБ (уровень зрелости компании с точки зрения обеспечения информационной безопасности) и планы развития компании^[3].

Основные положения информационной безопасности и позиция руководства компании прописываются в концепции информационной безопасности (КИБ). Концепция информационной безопасности реализуется в частных политиках информационной безопасности, процедурах, руководствах и стандартах, обеспечивающих детальную интерпретацию положений КИБ для сотрудников, партнеров и клиентов компании и организации. Эта структура руководящих документов и называется политикой информационной безопасности.

Частные политики информационной безопасности определяют «почему» компания защищает свою информацию. Стандарты обозначают «что» компания намерена предпринимать для реализации и управления безопасностью информации. Процедуры описывают «как» компания будет выполнять требования, описанные в высокоуровневых документах (частной политике и руководствах).

При разработке каждой новой частной политики информационной безопасности составляются свои руководства, стандарты и процедуры. У нескольких разработанных частных политик могут быть одинаковые, пересекающиеся или дополняющие друг друга стандарты и процедуры.

Таким образом, политика информационной безопасности является неотъемлемой частью систем установления режима информационной безопасности и контроля за ним: систем информационной безопасности (СИБ) и систем управления информационной безопасности (СУИБ) соответственно.

Несмотря на огромное количество публикаций в российской и зарубежной прессе по проблемам защиты информации, лишь немногие компании «созревают» до внедрения СИБ. Уже существующие системы, за редким исключением, построены по принципу «латания дыр»: средства защиты информации (СЗИ) внедряются бессистемно, в основном с учетом мнения местных специалистов, либо наличия на рынке недорогих решений.

Основными же аргументами в пользу внедрения тех или иных СЗИ, как правило, являются положения руководящих документов, международных или отраслевых требований, соответствующих стандартов. Задачу построения системы информационной безопасности каждое ведомство решает своими подходами, на основе имеющихся специалистов и ограниченного выбора решений. И разными темпами: где-то все упирается в нехватку денег, где-то в недостаток внимания руководства.

Ограниченное число компаний предоставляют СМИ информацию о том, как производится оценка защищенности ИС и есть ли на это регламенты. Практически невозможно узнать, проводится ли аудит системы управления информационной безопасностью (СУИБ). Тем не менее, в большинстве отраслей существуют внутренние административные документы по ИБ (инструкции, регламенты, разделы в трудовых соглашениях)^[4].

Доводы о важности анализа рисков лишь недавно начали завоевывать своих сторонников среди руководства и сотрудников отечественных компаний.

Анализ рисков ИБ, как поиск бизнес-процессов, уязвимых с точки зрения связанности с ИТ-инфраструктурой, в российских компаниях пока не прижился. Сыграло свою роль отсутствие в большинстве компаний культуры управления рисками, а, кроме того, специализированные организации изначально оказывали эту услугу непрофессионально. Анализ опрометчиво сводился лишь к определению степени защищенности/уязвимости серверов без учета остальной ИТ-инфраструктуры и бизнеса компании в целом. Негативно сказалась и неопределенность критериев оценки рисков.

Таким образом, большинство отраслевых компаний и ведомств не желают раскрывать вопросы, описывающие архитектуру, схемы и детали построения существующей СИБ: есть ли концепция и политика ИБ, как оценивается защищенность, регулярно ли проводится аудит ИБ и т.д. Исключения составляют лишь отечественные лучшие практики («best practice») реализации СИБ, например, ПАО «Аэрофлот», Федеральная таможенная служба итд.

1.3 Характеристика угроз кадровой безопасности

Целесообразно выделить следующие угрозы кадровой безопасности и способы их нивелирования:

1. Угроза истощения человеческих ресурсов.

Данная угроза наиболее ярко выражена для России в следующем: недостаточность естественных источников притока населения; низкая продолжительность жизни и трудовой деятельности населения; бесконтрольная миграция населения; высокая вредность производства и как следствие падение уровня здоровья населения, рост числа профессиональных заболеваний.

Основными способами противодействия данной угрозе могут являться: обеспечение населения доступным жильем; совершенствование институтов охраны и безопасности труда; снижение уровня вредности и минимизация непосредственного участия человека во вредных производствах; развитие системы здравоохранения и медицинского страхования^[5].

2. Угроза искажений мотивации наемных работников.

Самые явные проявления заключаются в следующем: низкое доверие к бизнесу и государству, порождающее высокие стимулы к враждебному поведению; отложенные последствия переходных реформ, которые выражаются в разрушении трудовой этики и лояльности к работодателю; отсутствие действенных социальных гарантий; разрушение системы социального партнерства; широкое распространение теневого сектора, высокая дифференциация доходов на фоне монополизации внутренних рынков труда на отдельных предприятиях; обострение проблемы эмиграции высококвалифицированных кадров; неразвитость системы корпоративного управления.

Основные пути борьбы с донной угрозой: повышение доходов среднего работника; развитие новых, рыночных форм социального партнерства; создание и развитие системы корпоративной собственности работников; повышение удельного веса базовой части оплаты труда и приведение системы оплаты к международным нормам; совершенствование системы фильтрации кадров при их отборе, создание системы предупреждения найма заведомо ненадежных сотрудников; развитие системы корпоративного управления и повышение степени публичности российских компаний.

3. Угроза снижения качества человеческих ресурсов.

Наиболее явными проявлениями данной угрозы для РФ являются: падение уровня школьного образования общего уровня грамотности населения; бесконтрольное расширение и аномальная доступность высшего образования и как результат - резкое падение качества студентов и уровня требований к ним; структурные диспозиции в оплате труда; утрата образованием научной и практической актуальности, фактическая исключенность российской науки и образования из мирового пространства, преобладание коммерциализации.

Основные пути решения: возрождение отечественных традиций школьного образования; сокращение числа вузов и концентрация бюджетных мест среди узкого круга вузов - лидеров по направлениям подготовки; усиление взаимодействия бизнес-структур и вузов, непосредственное включение бизнеса в подготовку специалистов; реформирование системы сертификации профессиональных квалификаций как института объективной оценки качества человеческого капитала.

Таким образом, угрозы кадровой безопасности имеют место не только непосредственно в рамках предприятия, но и с момента начала подготовки персонала. Причем это касается не только высшего образования, но и среднего общего образования, качество которого также актуально.

Необходимость обеспечения кадровой безопасности обусловлено взаимосвязью с имущественными и неимущественными потерями, причины которых имеют прямое отношение к ее персоналу. Таким образом, необходимо обратить внимание на понятие кадрового риска.

Под кадровым риском понимается - опасность вероятной потери ресурсов компании или недостаточного получения доходов по сравнению с путем, рассчитанным на рациональное использование человеческих ресурсов, в результате возможных просчетов и ошибок в управлении человеческими ресурсами.

Кадровые риски встречаются в организациях с момента их создания и на протяжении всей деятельности. Рисковые ситуации могут возникнуть практически во всех условиях, это обусловлено тем, что все развитие организации проходит наряду с рисками. Отличие лишь в том, что в каких-то ситуациях риски играют выгодную роль для организации, а в других -организация терпит убытки в результате каких-либо нерациональных решений или неверного планирования.

1.4 Кадровые риски как основные составляющие кадровой безопасности

Исходя из вышеизложенного, целесообразно в практике управления субъектами правоотношений выделить две различные точки зрения на кадровые риски.

С одной стороны, они носят случайный характер возникновения, зачастую циклический и временный, могут быть обусловлены незначительными ошибками приводящими к негативным последствиям, ситуационными просчетами в управлении персоналом, ухудшением общей внешней ситуации неблагоприятно воздействующими на субъект правоотношений.

С другой стороны, кадровые риски являются результатом неэффективной работы с человеческими ресурсами, то есть не релевантным использованием человеческого капитала и как следствие причиной всех других видов рисков субъекта правоотношения^[6]

В целом приведенные точки зрения являются совершенно разносторонними и иллюстрируют модель управленческой деятельности, направленной на прогнозирование и минимизацию кадровых рисков.

Логично, исходя из вышеизложенного, кадровую безопасность рассмотреть и как фактор предупреждения корпоративного мошенничества. Это необходимо для того, чтобы проследить как происходит на практике момент злоупотребления своим высоким положением в фирме или же, наоборот, компенсация недостатка своей занимаемой должности и получаемого дохода.

В данном случае следует обратить внимание на уже работающих в компании сотрудников. Целесообразно дифференцированно подходить к вопросу мониторинга их благонадежности. В группе сотрудников младшего и среднего звена важно проводить работу по выявлению «фантомов». Данные сотрудники не совершают криминальных действий, но и не выполняют свои обязанности должным образом, исправно получая заработную плату. Этот тип сотрудников с ничтожно малым коэффициентом полезного действия фактически зря расходуют ресурсы предприятия. Зачастую существование такого персонала обусловлено несоответствием потенциала сотрудника требованиям занимаемой должности.

На развитие такого рода проявления может оказывать влияние и отсутствие или слабое развитие системы стимулирования и мотивации работников, которая ставит вознаграждение персонала в прямую зависимость от финансовых итогов деятельности предприятия. Такая система не может полностью предотвратить мошенничество, но она создает дополнительные материальные стимулы у добросовестных работников для выявления и противодействия фактам мошенничества со стороны остальных коллег по работе .

Крупные же потери возникают тогда, когда в мошеннические действия вовлечены представители высшего и среднего руководящего звена. В ситуации с сотрудниками высшего звена важным является недопущение ситуаций единоличного принятия решений и заключения финансовых договоров. Именно концентрация полномочий или их избыток в руках лишь одного сотрудника создают мотивы для злоупотреблений. Таким образом, распределение обязанностей и двойной контроль могут являться эффективным средством профилактики при работе с наличными деньгами. Любой предприниматель должен концентрировать выписку чека, осуществление платежа и проверку балансового извещения между разными сотрудниками, то есть все эти операции не могут выполняться одним работником даже если речь идет о малом бизнесе. Двойной контроль подразумевает систему, при которой вся операция не может быть совершена одним работником. Для противодействия «откатам» происходит осуществление ценового мониторинга рынка многими коммерческими организациями^[7].

В первую очередь, сведения о рыночных ценах на закупаемые товары сводятся в таблицу, которая предоставляется руководителю. Этой же цели служит отдел бюджетирования закупок. Ни одна сделка не может выходить за рамки располагаемого бюджета. Проведение тендеров и аукционов позволяет не только выбрать лучшие варианты рыночных предложений, но и свести к минимуму возможность использования «откатных» схем.