Читать книгу Безопасность бизнеса - Ренат Мамбетов - Страница 6
Оглавление***
Короткая ремарка от авторов. Она же одна из аксиом безопасности.
Конфиденциальность – это один из элементов системы безопасности. На крупном предприятии конфиденциальность затрагивает все сферы деятельности. И кадровую политику, и финансовые операции, и механики производства, и сферу закупок, и IT. На законодательном уровне закреплен запрет на разглашение личных данных сотрудников, в уголовном праве существует понятие промышленного шпионажа. Любые крупные сделки обеспечиваются подписанием NDA (соглашение о неразглашении сути сделки между организациями).
В примере про консалтинговое агентство из ОАЭ важно то, что заказ был не на построение системы безопасности. Собственница хотела только полностью закрыть вопрос по конфиденциальности. Оно и понятно. Сокращать расходы в консалтинговом агентстве практически негде. Хищения отсутствуют как класс. Тендеров, закупок не проводится. Периметра, камер и прочих элементов физической охраны тоже нет. Из материальных ценностей – только обстановка офиса и минимум наличности в сейфе. Ценностью являлась исключительно информация.
Сложно спорить (да и не нужно) о том, что информация сегодня одна из главных золотоносных жил бизнеса. Кто владеет информацией, тот владеет сделками, контрактами, громким брендом. И в итоге своим сегментом рынка.
Когда задача по созданию системы конфиденциальности в ОАЭ развернулась во всей своей красе, автор тяжко вздохнул. Предстояла долгая и плодотворная работа.
Вместе с хозяйкой агентства определили круг рисков. И в дальнейшем отталкивались от каждого риска индивидуально (надеемся, вы внимательно читали первую главу).
Как думаете, какие риски при оказании услуг консалтинга в Эмиратах для состоятельных бизнесменов?
Нет, это не шпионаж собственных сотрудников в пользу конкурентов. И не попытки сотрудниц завести роман с клиентами. Это безалаберность, длинные языки, глупость работников и расслабленность в коллективе.
Коллектив, в основном состоящий из молодых клерков, айтишников, незамужних женщин и бывших студентов, просто не мог сохранять в тайне подробности бизнеса своих клиентов. Почему и как собственница собрала именно такую команду – не наше дело. Думаем, главным преимуществом при рассмотрении кандидата было знание 2—3 языков на разговорном уровне. Но это не важно. Важно было создать систему конфиденциальности, исходя из имеющегося положения. А не воспитывать заказчицу и не указывать ей, кого брать, а кого не брать на работу. В коммерческой сфере лучше вообще никого не воспитывать. Это вам не правоохранительные органы.
Забегая вперед, скажем, что система для компании из ОАЭ удалась и работает и поныне. Далее речь пойдет именно про эту систему. Но авторы рекомендуют применять такую формацию для большинства организаций. Поэтому при построении элемента структуры безопасности и конфиденциальности вы можете взять ее.
Расширенная универсальная «Система конфиденциальности».
Данный комплекс документов включает в себя два типа документов. Первый тип – официальные положения и регламенты.
Сухие, юридически выверенные:
1. Положение о коммерческой информации (тайне).
2. Перечень сведений, составляющих коммерческую тайну.
3. Штрафная сетка.
4. NDA.
Первый тип документов, как видите, представляет собой стандартный набор, который должен быть в любой организации. Фундамент сохранения конфиденциальной информации. Данные документы подписываются каждым сотрудником вне зависимости от занимаемой должности.
О том, где их взять, мы скажем после краткого описания.
Положение о коммерческой тайне предполагает информацию о том, в соответствии с какими нормативно-правовыми актами разработано понятие конфиденциальности, понятие коммерческой тайны, ответственность за разглашение, порядок предоставления информации в государственные органы и так далее.
Это максимально «высушенный» документ, который хоть и хочет быть понятным для всех, но оставляет желать лучшего в ясности. Положение будет стандартным для большинства организаций.
Перечень сведений, составляющих коммерческую тайну, содержит широкий список сведений для конкретной организации.
Сокращенно может выглядеть так:
1. Сведения по вопросам управления, кадровым, штатным, правовым вопросам и вопросам региональной политики, сведения о клиентах организации в любой форме, сведения о партнерах организации в любой форме, сведения о контрагентах организации в любой форме.
2. Сведения об экономической, финансовой и бухгалтерской деятельности.
3. Сведения о коммерческой деятельности на внутреннем рынке.
4. Сведения по вопросам внешнеэкономической деятельности.
5. Сведения об IT-архитектуре организации.
Расширенная версия предполагает углубленное «расписывание» и обоснование каждого пункта.
В принципе, этот список может быть внесен в «Положение о коммерческой тайне», но мы рекомендуем утвердить отдельный документ. Не ради бюрократии, а для практического применения и донесения до сотрудников. Поверьте, его все равно придется в виде выписки «извлекать» из Положения. Ведь сотрудникам так нагляднее.
Штрафная сетка
Напомним, мы сейчас ведем разговор о конфиденциальности. Решать, какие наказания применять к сотрудникам за разглашение конфиденциальной информации, вам предстоит совместно с HR или с кадровой службой. В этом случае мы предлагаем не плодить бюрократию, а объединить все виды наказаний в одной таблице. И за разглашение конфиденциальных сведений, и за опоздание на работу, и за прочие проступки.
Штрафная сетка имеет простой табличный вариант, утвержденный руководителем предприятия.
Вообще разговор о штрафах – это отдельный геморрой. Фактически законодательство и так предполагает ответственность сотрудников за разглашение коммерческой тайны и сопутствующие правонарушения (ст. 183 Уголовного Кодекса РФ). Трудовой Кодекс регламентирует и опоздания, и прогулы, и прочие нарушения трудовой дисциплины. Наказания за кражи, коммерческие подкупы и мошенничества, естественно, предусмотрены УК РФ.
Штрафная сетка реально выполняет две функции – профилактическую и наказания за мелкие нарушения. С профилактикой все понятно (надеемся). С наказаниями за мелкие нарушения тоже более-менее понятно – нарушение формы одежды на производстве, грубость по отношению к клиенту в ритейле и прочие неприятные истории.
В любом случае приходится возвращаться к взаимодействию с кадровой службой. Штрафы в коммерческих организациях не назначаются просто так. Нельзя лишить человека премии на пустом месте. Любой штраф – это первоначально служебная проверка, объяснение, приказ. И только потом лишение части денег. И даже при этом все не так легко. Надеемся, ни для кого не новость, но штраф может взиматься только с премии. Либо от ежемесячной ее части, либо от годовой. Только KPI (ключевой показатель эффективности, или попросту говоря премия) является базой для уменьшения, а не окладная часть зарплаты.
Повторим третий раз – штрафные сетки создаются и вводятся в действие совместно с кадрами.
Впрочем, ваша задача сделать так, чтобы конфиденциальные сведения не ушли на сторону. И не были разглашены по случайности. А штрафы – крайняя и непопулярная мера.
NDA
Еще одна (наряду с KPI) относительно новая аббревиатура. Non-disclosure agreement – соглашение о неразглашении. Заключается между двумя организациями, когда сведения о коммерческой (или любой другой) деятельности становятся известны контрагенту. Например, вы вызываете специалиста для настройки «1С: Erp». В процессе работы специалист видит ваши финансовые показатели или поданную заявку на патент. Чтобы у временно нанятого сотрудника не возник соблазн проинформировать ваших конкурентов – необходимо заключить NDA.
Соглашение о неразглашении в 95% случаев типовое. Составляет его юрист, подписывает руководитель организации и контрагент.
Думаем, некоторые читатели уже задались вопросом – где взять образцы документов. Отвечаем – в конце книги вы найдете контакты авторов. Обратитесь к нам, и мы скинем вам на почту типовые версии Положения, Перечня, Штрафной сетки и NDA. Просто предложите нам свою дружбу. Шутим, отправим полностью безвозмездно. Дабы вы не искали ерунду в интернете.
Переходим ко второму типу документов, которые необходимы для корректной работы системы конфиденциальности. Их мы вам не предоставим. Для каждой организации такие документы индивидуальны, они верстаются с нуля. Можете обратиться к профессиональному специалисту, который вам их создаст. Либо попробуйте сделать сами. Да, и мы скажем правду, – второй пакет не обязателен, но лучше его сделать.
Политика конфиденциальности – глобальный документ в виде системы, которая объясняет сотрудникам всех уровней для чего нужна конфиденциальность. В отличие от Положения, составляется понятным языком с обращением к читателю. Тезисная простота и понятность соседствует со смешными примерами. В Политике руководство, обращаясь напрямую к сотруднику, рассказывает о компании, об общих целях по достижению прибыли. Максимально заботливо и ясно.
Если вы работали в крупных компаниях, то знаете, что у любой крупной сети продуктовых или строительных супермаркетов есть мотивационная система для сотрудников. Эдакий комплекс документов, написанный простым языком, – про историю компании, про устремления, про общие цели, поддержку друг друга. В этих же проспектах содержится и ненавязчивая информация о том, что в фирме не приветствуется. Политика конфиденциальности построена по такому же принципу – объяснить сотруднику, что и для чего.
Например, Политика для консалтинга из ОАЭ начинается со слов:
«Когда мы разговариваем с родителями по телефону – стараемся контролировать, что говорим. Не говорим о проблемах и кредитах, боимся „сболтнуть лишнее“. Общаясь со своими детьми – выбираем слова, думаем, прежде чем сказать. Дома не оставляем острые предметы в ящике с игрушками. Мы контролируем речь и действия в личной жизни, а когда контроль ослабевает – пожинаем негативные плоды. Обсуждая жизнь друзей и подруг, мы знаем, что они так же сплетничают о нас. Нам это неприятно. Это простые истины, правила „чистых рук“, их знают все».
В тексте даже есть пословица – про слово и воробья.
Понятно, что конкретно эта политика подстроена под среднестатистического сотрудника того агентства. Ориентирована на возраст, сферу общения и образ жизни. При создании аналогичного документа всегда необходимо учитывать, кто будет читать текст – среднестатистический менеджмент, вчерашние студенты или сегодняшние эмигранты. Каждому свое.