ProКачество: В интегрированную систему вашей компании в том числе входит СМИБ. Она есть не у всех, хотя направление информационной безопасности сейчас особенно актуально (в том числе в связи с действием Закона «О защите персональных данных»). Компании обычно заявляют, что обязуются обеспечивать сохранность получаемой от клиентов информации, однако можно ли этого добиться без СМИБ?
А.К.: Компании, возможно, не лукавят, когда говорят, что надежно защищают данные клиентов. У многих есть хорошие технические средства или грамотно налаженное управление в этой области. Однако далеко не всегда есть консолидирующая надстройка, которая позволит гармонично развивать оба направления. Ею и является СМИБ, созданная в соответствии с требованиями стандарта ИСО 27000.
Действительно, стандарт не так популярен в России, хотя в Советском Союзе защита информации была очень хорошо развита, в частности на оборонных предприятиях. Сегодня с развитием информационных технологий вопрос вновь стал актуальным. Особенно для аутсорсинговых компаний, которые по Закону № 152-ФЗ также являются операторами персональных данных.
В нашей компании СМИБ включает не только защиту персональных данных, но и управление рисками, связанными с информационными активами
В соответствии с разработанной в компании методикой система автоматически выставляет балл по критериям уязвимости, вероятности возникновения и возможного ущерба от реализации рисков. В зависимости от полученной оценки мы определяем меры реагирования, назначаем ответственного. Как правило, это руководитель подразделения, в котором может быть реализован риск. Затем осуществляется контроль, что уже находится в зоне ответственности системы управления качеством и несоответствующей продукцией.
ProКачество: Вы затронули важный вопрос разделения ответственности. Это насущная проблема многих организаций, где есть несколько систем менеджмента. Нередко возникают споры, например, к какой системе относить тот или иной риск, кто принимает решения по разным аспектам деятельности (в том числи по обеспечению качества). Как решаются подобные вопросы в вашей компании?
А.К.: Указанная вами проблема актуальна для организаций, в которых ответственность за каждую систему возложена на разных руководителей. На мой взгляд, это неправильно.
Не может быть интегрированной системы при отсутствии единого руководства
Нет универсализации, глобального понимания, общего видения. Решение задач «своей» системы обычно происходит в ущерб другой. В итоге в проигрыше оказывается организация в целом.
Поэтому изначально руководство нашей компании сосредоточило управление всеми системами в департаменте организационного развития и качества. Платформой является СМК. На ее базе сформированы системы второго уровня: менеджмента информационной безопасности, охраны труда и производственной безопасности, управления проектами. В первую из указанных входит система защиты персональных данных – это уже система третьего уровня (см. рисунок). В ИСМ ведется консолидированный учет и анализ несоответствий, готовятся предложения по улучшениям. Главной целью является обеспечение качества услуг и соответственно удовлетворенности потребителей.
О вопросах обеспечения качества следует сказать особо. Обратите внимание, что у нас ИСМ относится к управленческим, а не техническим подразделениям.
По опыту работы на промышленных предприятиях могу сказать: проблема многих компаний в том, что за качество отвечает локальная подсистема вроде ОТК
Возглавляет ее не управленец, а технический специалист: технолог, контролер и т. п. Это в лучшем случае гарантирует, что будут налажены процессы поверки, калибровки, технадзора, входного, выходного, промежуточного контролей на производственных участках, в складских зонах. А смежные области – подбор персонала, мотивация, развитие, бюджетирование, информационные технологии и безопасность и др. – не затрагиваются. Такую систему нельзя назвать полноценной: как птица с одним крылом, она летать не может. Возможно, какое-то время удастся поддерживать хотя бы производственную часть. Однако проблемы будут накапливаться во вспомогательных процессах и рано или поздно сведут все усилия на нет.
ProКачество: И все же своего рода ОТК в вашей компании тоже есть. Это система внутренних операционных контролей на основе стандарта SSAE 18. Она предполагает оценку качества отчетности по аутсорсинговым проектам, которые ведет ваша компания.
А.К.: Систему внутренних операционных контролей только отчасти можно сравнить с ОТК. В рамках данной системы действительно проводится аудит, предполагающий анализ полноты документации и ее соответствия нормативам. Его осуществляет отдел экспертизы и методологии, в который входят наиболее квалифицированные бухгалтеры-аудиторы и консультанты-методологи. Их работа идет параллельно с внутренним аудитом процессов по стандарту ИСО 9001 и является одной из двух составных частей контроля качества.
Интересно, что с точки зрения стандарта SSAE 18 это разные направления, но по стандарту ИСО 9001 это одна и та же деятельность – осуществление контроля качества продукции (услуг) и процессов в рамках все той же СМК
Однако условный ОТК – лишь малая часть этой системы. Не менее значимым элементом является методологическая поддержка менеджеров каждого направления. Она подразумевает рассылку информационных бюллетеней об изменениях в законодательстве, консультирование и др.
Как бы то ни было, принципиально важно, что на этом не замыкается контроль качества. Я уже упоминал о контроле качества управления (процессов). Это обязанность специалистов в сфере менеджмента, организационного развития, потому что бухгалтеры и консультанты-методологи в сфере финансового аутсорсинга не имеют соответствующих компетенций в области аудита бизнес-процессов.
Система только тогда гармонична, когда в ней объединены контроль качества и продукции, и управления
Однако при ее построении многие компании сталкиваются с серьезной проблемой – отсутствием грамотных управленцев. Причем это характерно как для коммерческих, так и для государственных организаций. Считается, что технический специалист может заниматься менеджментом или организационным развитием, будь то технолог, финансист и др. Да, они могут хорошо знать производственные или обеспечивающие процессы. Однако при решении управленческих задач погружаются в детали, в результате организационное развитие сводится к грейдированию и регламентации бизнес-процессов.
ProКачество: А какими навыками должен обладать настоящий управленец?
А.К.: Ему надо иметь стратегическое видение, не фокусироваться на одном направлении, а рассматривать картину в общем. Кроме того, хороший управленец должен понимать, что развитие компании невозможно без выделения ресурсов
Система не может работать эффективно, если в нее не вкладывать средства
Если из предприятия выжимать все соки, со временем оно исчерпает все ресурсы, начнет разрушаться и со временем прекратит существование. То же самое справедливо и в отношении сертификации. Например, для галочки назначают руководителя СМК, изначально лишенного доверия и полномочий со стороны высшего руководства. Или поручают внутренние аудиты специалистам структурных подразделений, так сказать, в нагрузку к основным обязанностям. Ведь создание специального отдела требует ресурсов. Однако получается, что никто серьезно не занимается подготовкой к сертификации и вопрос стараются решить формально.
Многие руководители и владельцы бизнеса не очень хорошо себе представляют возможности и пользу реально действующих систем стандартам ИСО. Возможно, в том числе из-за неправильных организационных решений в России процветают «липовая» сертификация и пренебрежительное отношение к стандартам ИСО. Получается замкнутый круг: нет доверия к ИСО из-за отсутствия понимания ее значимости и полезности, и наоборот.
Подробнее об проблеме «липовой» сертификации читайте в статье «СМК для галочки: сколько стоит сертификат соответствия ИСО 9001?»
ProКачество: Что неприемлемо для компаний, которые осознают свою ответственность перед обществом и даже использует стандарт ИСО 26000?
А.К.: В России бизнесмены больше думают о повышении эффективности, а социальная ответственность, на мой взгляд, воспринимается как нечто абстрактное, а потому непонятное. Возможно, поэтому стандарт ИСО 26000 больше популярен в Европе и США или в российских компаниях с западными корнями, тем более что он не является обязательным и по нему нет сертификации. Это руководство, в котором рассматриваются различные аспекты существования организации в обществе: взаимодействие с заинтересованными сторонами и с государством, подотчетность и др.
Полноценной системы менеджмента социальной ответственности в нашей компании нет, есть ее элементы. Часть из них необходима для выполнения требований российского законодательства – соблюдение прав человека, политика противодействия коррупции и т. п. Другие помогают формировать и поддерживать корпоративную культуру, например, этика делового поведения.
Не во всех компаниях этому вопросу уделяется внимание: сотрудники могут подолгу не отвечать на запросы и звонки, неуважительно относятся к коллегам. На мой взгляд, это наследство советской бюрократии. Я не критикую советский период, в нем было много полезного в части организации работы, управления трудовыми ресурсами, подготовки кадров. Все это надо сохранять и применять.
Мы стараемся взять все полезное из-за рубежа, но при этом сохранить лучшие отечественные традиции
Однако в отношении этики делового поведения полезнее использовать европейский опыт и стандарт ИСО 26000. На его основе у нас разработаны правила поведения при разговоре, сроки ответа на обращения, причем не только на официальные запросы, но и на письма от коллег.
Еще одно важное понятие из стандарта ИСО 26000 – «конфликт интересов». Он может возникать при взаимодействии с клиентами, поставщиками, проверяющими органами или, например, когда подразделения проверяют сами себя. Так, в некоторых компаниях внутренний аудит системы информационной безопасности проводится сотрудниками отдела информационных технологий. В таком случае контроль фактически отсутствует. На первом же серьезном аудите это будет выявлено и зафиксировано как критичное несоответствие.
У нас для проведения внутренних аудитов выделено специальное подразделение. За счет этого можно проводить полноценный аудит, готовить документацию и избегать конфликта интересов.
ProКачество: Конфликт интересов возможен также при постановке целей, оценке результатов. В вашей компании существует система KPI. Не бывает ли дублирования целей или подтасовки показателей?
А.К.: Руководители и сотрудники не ставят цели сами себе – KPI назначают их непосредственные начальник, а для генерального директора – акционеры компании. Руководители направлений увязывают стратегические задачи компании с целями своих подразделений и доводят до подчиненных. Все показатели отслеживает служба финансового контроля, так что нет возможности подтасовать результаты.
Правда, раньше такие случаи были в некоторых региональных подразделениях. Например, в систему преждевременно заносились данные о заключенных контрактах. При этом были достигнуты все договоренности, однако на момент аудита документ еще не был подписан. Такие ситуации трактовались однозначно: если нет подтвержденного факта, нет и события. Значит, фиксируется несоответствие.
ProКачество: Нарушителей наказывали?
А.К.: Задачи кого-то наказать не стояло. Стандарты предполагают корректирующие действия, которые зависят от причин несоответствия. Это может быть, например, изменение планов. Возможно, у сотрудников не хватает ресурсов. В итоге они выполняют задачи быстро, но некачественно, потому что понимают: потом не будет времени. Или не выделяются средства на еще одну штатную единицу. Вопрос нехватки ресурсов всегда должен быть адресован тем, кто их распределяет.
Другая причина может быть в том, что сотрудник не знал о каких-то задачах, например, что надо вести реестр. Это уже пробел в информационном пространстве, с одной стороны, с другой – недостаточное обучение.
Поэтому всегда надо выяснять истинную причину несоответствия. Это залог успешного функционирования любой системы менеджмента, в том числе интегрированной.
Справка
В интегрированную систему менеджмента компании входят:
- система менеджмента качества. В сертифицированном виде действует с 2014 года и постоянно совершенствуется. В соответствии с требованиями стандарта ИСО 9001:2015 ее перестроили так, что стержнем стала система управления рисками. Кроме того, была унифицирована деятельность по определению контекста – внешних и внутренних факторов, влияющих на компанию;
-
система менеджмента информационной безопасности (СМИБ), отвечающая требованиям стандарта ИСО 27001;
- система внутренних операционных контролей в рамках требований стандарта SSAE 18 ;
- системы управления проектами, поставщиками, документами, продажами, инфраструктурой и др.
Беседовала Екатерина Брюхова