Владимир Гамза: Главное в работе специалиста по безопасности - это предупреждение угроз, превентивный подходНазад
Владимир Гамза: Главное в работе специалиста по безопасности - это предупреждение угроз, превентивный подход
Банк начинается со службы безопасности
Безопасность банка - это не только охрана на входе или технические новинки. Правильно организованная служба безопасности контролирует все риски банка - и криминальные, и конкурентные, и операционные. Любое начинание в банковской сфере должно пройти через стадию моделирования угроз. Если специалисты криминологи победят потенциальную опасность, она никогда не реализуется в действительности, уверен председатель совета директоров Агрохимбанка, президент Института проблем безопасности Владимир Гамза.
Текст: Таисия Мартынова
- Владимир Андреевич, как бы вы построили рейтинг угроз банку с точки зрения актуальности, опасности?
- С точки зрения опасности на первом месте идет мошенничество, кредитное и с использованием других финансовых инструментов, векселей, платежных документов. Сегодня это является колоссальнейшей проблемой. В России нет ни одного банка, который не пострадал бы от нападок мошенников.
На втором месте по опасности стоит необдуманная работа банков с неподготовленными клиентами. Я имею в виду, прежде всего, потребительское кредитование. Многие банки кинулись кредитовать население под огромные кредитные ставки. А люди оказались к этому не готовы: ни с точки зрения доходов, ни с точки зрения способности оценить свои риски. Это не мошенники, это нормальные добросовестные люди, которые не смогли правильно оценить ситуацию и взяли денег столько и под такую ставку, что сегодня объективно не могут обслуживать кредиты. Я предвижу следующее развитие проблемы: люди, которым банки будут вынуждены прощать долги, почувствуют безнаказанность. Зачем платить, если можно не платить? Массовый характер этой проблемы может вывести ее на первое место в рейтинге угроз - неподготовленные клиенты могут стать большей опасностью, чем сознательные мошенники.
На третьем месте - наличность, то есть нападения с целью завладения наличными денежными средствами. Угрозе подвержены инкассаторы, обменные пункты, банкоматы, операционные кассы, а иногда и денежные хранилища. По объемам ущерба эта угроза значительно уступает первым двум, но особая опасность заключается в том, что нападения создают угрозу жизни людей.
И на четвертом месте - угрозы информационной безопасности, в первую очередь, хищения со счетов пластиковых карт и несанкционированные банковские переводы со счета на счет при взломе информационный системы банка.
- А как бы выглядел это рейтинг с точки зрения затрат на предотвращение угроз?
- Здесь ранжирование совершенно иное. Самые большие затраты банк несет на обеспечение безопасности по операциям с наличностью. Этот риск никак не управляется банком, не зависит от действий банка, он может никогда не реализоваться, но угроза жизни людей заставляет всегда быть в готовности к нападению.
Вторая по затратности статья связана с предотвращением готовящихся и локализацией выявленных мошеннических действий, с розыском мошенников, с возвратом похищенного. Все это включает как розыскную, так и широкую информационно-аналитическую работу.
Третья статья - это судебные, процессуальные и иные подобные расходы, связанные с возмещением ущерба.
А четвертая - расходы на охрану помещения и руководства банка.
Предотвращение остальных угроз обходится банку гораздо дешевле. Я в этот перечень не включил информационную безопасность, потому что правильно построенная информационная система, с многоступенчатым доступом, не требует внедрения значительных дорогостоящих элементов безопасности. Построение самого многоступенчатого доступа в информационную систему банка в свою очередь не является суперзатратным процессом.
- Учитывая характер перечисленных угроз, каковы современные тенденции в деле обеспечения безопасности банка?
- В России впервые вышел в свет учебник "Безопасность банковской деятельности"*, в котором изложен комплексный подход к организации банковской безопасности. Собственно, комплексный подход и является наиболее актуальной тенденцией. Как соавтор этого учебника, безопасность я понимаю просто - жизнь и деятельность без реальной опасности. Разумеется, человек или организация не может организовать для себя совершенно безопасное пространство, всегда будут актуальными какие-то угрозы. Простейшая угроза - кирпич может свалиться на голову. И потому нужна классификация рисков и адекватные меры предупреждения, локализации угроз и минимизации последствий.
Существуют две основные категории рисков: риски-опасности и риски-возможности. Падение на голову кирпича или нападение преступника в подъезде - это как раз риски-опасности, они существуют всегда и независимо от нашей воли. Мы не можем управлять этими рисками - можем только предупреждать возможность влияния этих рисков на нашу жизнь и деятельность, ограничивать их разрушительное воздействие. Образно выражаясь, можно надеть каску или не ходить там, где падают кирпичи, и голова будет цела. Важно иметь также систему быстрой ликвидации последствий таких рисков, например, телефон службы спасения под рукой и возможность госпитализации в приличное медучреждение, где вылечат, а не залечат.
Риски-возможности возникают, когда человек или организация стремятся к достижению какой-либо положительной цели. Риски-возможности препятствуют достижению этой благоприятной цели. Весь бизнес, как правило, подвержен рискам-возможностям. Причем, бизнесмен осознает неизбежность этих рисков, но сознательно идет на работу в рисковую зону для достижения положительного результата (прибыли).
Естественно, при комплексном обеспечении безопасности соответствующие службы обязаны учитывать и риски-опасности, но самые главные риски бизнеса - это риски-возможности.
- В приложении к банковской деятельности, какие риски относятся к рискам-опасностям, а какие - к рискам-возможностям?
- Риски-опасности - все риски среды. Это макроэкономическая ситуация, страновые риски, риски успешной деятельности конкурентов, а также техногенные и природные катаклизмы, катастрофы, криминальные риски - но только в том случае, если криминал не связан непосредственно с работой вашего предприятия или банка. Например, нападение на инкассатора вашего банка относится к рискам-опасностям именно потому, что никак не зависит непосредственно от воли вашего банка.
- Удивительно, что в одну категорию попадают ураганы-наводнения и деятельность конкурентов.
- Ничего удивительного. Деятельность конкурентов, не направленная непосредственно против вас, не находится в сфере вашей воли. Завтра придет на рынок умный конкурент, построит блестящую систему работы, и вы пострадаете не потому, что работали плохо, а из-за того, что конкурент сработал превосходно. Это риск-опасность в чистом виде.
И наоборот, риски-возможности напрямую связаны с осуществлением банком операционной деятельности. Самый надежный способ выявления всего комплекса рисков-возможностей - это моделирование ситуаций. В мировой банковской практике принято проводить так называемую криминологическую экспертизу: какие негативные криминальные явления может вызвать любое изменение в деятельности банка, и тем более такую экспертизу проводят, если готовится к выводу на рынок новый банковский продукт. Специалисты-криминологи, которые проводят такую экспертизу, моделирование, по большому счету фантазируют - ставят себя на место преступника, учитывая накопленный опыт по криминалистической характеристике совершаемых преступлений, и пытаются понять, как преступники могут воздействовать на этот продукт, какой ущерб они могут нанести банку и его добросовестным клиентам. Ведь криминальное воздействие может быть совершено как в отношении банковского продукта, так и с его использованием. Показательный пример в этом смысле - векселя, очень часто этот продукт становится инструментом совершения преступлений.
- То есть риски-возможности - это в первую очередь криминальные риски?
- По важности - да, первое и главное - оградить банк от внешних криминальных рисков, они самые опасные, потому что криминальное воздействие всегда приводит к отрицательному результату и к невосполнимым потерям. Криминал настроен на то, чтобы нанести ущерб банку, чтобы отнять деньги у банка.
В целом есть четыре крупных вида таких рисков: криминальное воздействие, недобросовестная конкуренция, операционные риски (ошибки, халатность, бездействие) и правовые риски.
Сегодня в России правовые риски очень велики, потому что формирование современной правовой системы происходило путем конвергенции советского и западного права - не могло же государство в один момент отменить имеющуюся систему и рядом построить новую. Но плавный переход привел к тому, что в праве возникла масса противоречий, правовых ловушек, нерегулируемых зон и т.п. Сотрудник банка, добросовестно следующий одному нормативному акту, может нарушать другой источник права. Тот же Гражданский Кодекс в России создавался кусками, и поэтому даже внутри этого основополагающего документа много противоречий.
В 90-х годах прошлого века приняли прогрессивную максиму: разрешено все, что не запрещено законом. Такой подход используется в развитых рыночных странах, но российские законодатели при этом забыли, что "разрешено все, что не запрещено" относится лишь к областям деятельности, не требующим специального регулирования, лицензирования и допуска уполномоченных агентов. Поэтому сначала разрешили все, а потом начали регулировать, лицензировать и т.д., загоняя участников рынка в правовые ловушки. В результате мы имеем то, что имеем. Проблема обманутых дольщиков, я считаю, это реализация правовых рисков в чистом виде.
- Перечисленные вами риски имеют очень разноплановую природу. Каковы же принципы организации комплексной безопасности в банке?
- Если смоделировать рисковый спектр банка, то есть аккуратно выявить и прописать все виды рисков, которые могут возникнуть в конкретном банке при проведении всех операций, при оказании услуг, при продаже финансовых инструментов, то появится база для построения комплексной системы безопасности.
Самое главное в работе специалиста по безопасности - это предупреждение угроз, превентивный подход. Если служба безопасности банка много и успешно борется с выявленными мошенничеством, хищениями и жуликами - это плохая служба безопасности, и ее работа организована неправильно. Если в банке нет мошенничеств, хищений и выявленных жуликов, и служба безопасности не бегает с утра до вечера, занимаясь поимкой злоумышленников, значит, безопасность в этом банке обеспечивает хорошая служба.
У нас иногда складывается неправильное представление об этих вещах. Как человек, двадцать лет отдавший службе в органах безопасности, я иногда удивляюсь некоторым своим коллегам - они просят: нужен хороший оперативник, который бы бегал, ловил... А зачем? Да мошенники замучили. А я думаю: да тебе не опер нужен, это на твое место нужен новый руководитель службы безопасности. Как же ты допустил, что у тебя по банку мошенники ходят? "Да вот, кредитное управление навыдавало кредитов..."
Я же уверен, что служба безопасности - это, прежде всего, методологический орган, который должен смоделировать всю систему опасностей и угроз для банка, построить механизм функционирования подразделений банка таким образом, чтобы эти угрозы не могли реализоваться. Чтобы деятельность банка сама по себе отсекала угрозы криминального характера, действий недобросовестных сотрудников, происков конкурентов.
Конечно, преступники все равно будут испытывать этот механизм на прочность. Мошенники - умные люди, изобретение нового средства защиты всегда провоцирует изобретение нового средства нападения. Это вечная борьба. Я занимаюсь этой проблемой серьезно, и с практической, и с теоретической точки зрения, и то у нас в банке иногда бывают попытки пробить систему. Но надо работать над тем, чтобы такие случаи были единичными, исключительными. Например, в Агрохимбанке имел место один факт мошенничества по автокредитам, и мы рассматриваем эту ситуацию как чрезвычайную.
- Получается, построение банка должно начинаться с построения службы безопасности?
- В широком смысле этого слова. Часто службу безопасности понимают как охрану, людей в форме, которые стоят у дверей, или технические средства. Говорят: у них в банке на входе специальный колпак, всех входящих просвечивают, прозванивают - хорошо организована защита банка. Ну, детский сад же! К настоящей безопасности хорошо функционирующего банка колпак на входе никакого отношения не имеет. Служба безопасности должна использовать возможности и службы внутреннего контроля, и службы управления рисками, и юридического департамента, и каждого функционального подразделения банка.
При таком подходе неизбежно возникает кадровая проблема: взять экономиста и научить его вопросам безопасности или взять оперативника и дать ему второе высшее экономическое образование? В результате многолетних экспериментов на этом поле я пришел к выводу: если это функциональное подразделение, то лучше взять экономиста и научить его основам безопасности банка, основам оценки рисков и предотвращения ущерба. Если же речь идет о специалисте непосредственно для службы безопасности, которая исповедует комплексный подход, то надо брать специалистов из правоохранительных органов (оперативников, следователей, криминалистов, аналитиков) и обучать их экономике.
- Как следует увязать этих специалистов друг с другом, какой должна быть организационная структура банковской службы безопасности?
- Прежде всего в руководстве банка - членом правления, зампредом или вице-президентом банка - должен быть человек, который занимается реализацией комплексного подхода к обеспечению безопасности банка. Вся система безопасности должна быть замкнута на одного статусного, полномочного руководителя, который в кризисной ситуации сможет принимать оперативные единоличные решения без долгих совещаний. То есть, служба безопасности - это пирамида, во главе которой стоит один человек. Это может быть и председатель правления, и тогда он сам отвечает за всю систему безопасности.
- Очевидно, что вы являетесь таким руководителем в Агрохимбанке.
- Конечно, имея за плечами многолетнюю практику в сфере безопасности, было бы неразумно искать другого специалиста на эту роль.
- Из опыта общения с руководителями других банков "БО" вынес интересное наблюдение: более или менее комплексный подход к управлению рисками, в том числе и некоторыми криминальными рисками, возлагается на самые разные подразделения. Это может быть и департамент риск-менеджмента как таковой, и служа внутреннего контроля, и даже казначейство. Вы же говорите, что всеми рисками, в том числе и бизнес-рисками, должна управлять служба безопасности.
- Повторюсь, служба безопасности в широком смысле. Я ведь сейчас говорю не о названии подразделения, а о функционале комплексного управления всеми рисками. У нас в банке соответствующе подразделение называется - "Служба защиты интересов банка". Мы специально уходили от ассоциации со службой безопасности как с охраной. Наша служба является методологическим центром, который определяет риски и формирует систему защиты банка, контролирует функционирование этой системы.
- Есть ли какое-то административное деление службы безопасности в вашем банке?
- Да. Служба состоит из трех подразделений: информационно-аналитического, розыскного и охранно-защитного. Информационно-аналитический отдел является ядром службы, который вместе со специалистами бизнес-подразделений вырабатывает оптимальные решения по работе с тем или иным риском.
- Как вы относитесь к передаче каких-либо процессов по обеспечению безопасности на аутсорсинг?
- Есть одна серьезная проблема, которую без аутсорсинга не решить. Время от времени возникает потребность в проведении специфических работ, ради которых нецелесообразно содержать собственных специалистов. Например, необходимо собрать информацию о каком-то необычном предприятии, выпускающем редкую продукцию специального назначения. Предприятие может стать партнером или клиентом банка, но нет смысла нанимать в штат специалиста, чтобы оценить позиции этого предприятия на своем рынке, риски его бизнес-ниши. Для выполнения этих работ лучше привлекать профессионалов с рынка. Иногда возникает необходимость в проведении сложных розыскных работ, и эту работу тоже лучше поручить аутсорсерам. У Агрохимбанка есть давний хороший партнер, который выполняет поручения такого рода в случае необходимости.
В остальных случаях (безопасность кредитного дела, информационная безопасность и т.д.) я бы не рекомендовал покупать услуги на стороне. А уж тем более нельзя отдавать организацию комплексной безопасности на аутсорсинг. Я не смогу спать спокойно, если не буду контролировать положение дел с безопасностью в полном объеме, что невозможно при аутсорсинге. Ведь есть известный тезис: главной опасностью для банка является его неуправляемая служба безопасности. Иногда служба безопасности начинает создавать проблемы там, где их нет, ради увеличения бюджета и штатов. Из бесед с коллегами я знаю, что нередки ситуации, когда аутсорсинговая служба безопасности создает искусственные негативные ситуации, нагнетает ощущение опасности вокруг малозначимых проблем. А иногда такая служба безопасности собирает информацию о банке, чтобы иметь возможность ею воспользоваться в ущерб интересам банка.
- Как вы относитесь к увлечению в банках различными техническими новинками: биометрией, детектором лжи, различными следящими устройствами?
- Я всегда задаю вопрос: а зачем? Чрезмерное увлечение техническими средствами, на мой взгляд, свидетельствует лишь о стремлении службы безопасности поднять свою значимость в глазах менеджмента и акционеров. Разумеется, необходимо обеспечивать безопасность помещения банка, в том числе и техническими средствами. Но операционный зал банка во всех странах мира абсолютно доступен для всех клиентов. Защита помещений должна быть разумно достаточна.
Если говорить о физической безопасности менеджеров, руководителей банка, то, прежде всего, надо заботиться о том, чтобы не возникали угрозы такого рода. В противном случае служба безопасности способна будет обеспечить абсолютную безопасность в помещении банка - образно говоря, муха не пролетит без проверки отпечатка лапы - но когда руководитель выйдет из помещения, вся техника, вся система охраны останется в банке и уже не будет работать на защиту охраняемого лица.
Что касается "детектора лжи" - я его стопроцентный сторонник. Я очень хорошо знаю авторов этой технологи, в первую очередь Юрия Ивановича Холодного. Эта команда разрабатывала и продолжает совершенствовать полиграф для спецобъектов и для коммерческих структур. На этом поприще достигнуты значительные успехи, и я могу абсолютно уверенно рекомендовать банкам использование полиграфа при приеме сотрудников на работу*. Особенно полезен полиграф, когда необходимо определить, причастен ли человек к той или иной афере или нет. Сегодня значительное количество работников ликвидированных банков нуждаются в трудоустройстве. А как мы поступаем в отношении соискателей, если не имеем точной информации? Как у Чехова: то ли у него украли, то ли он украл. В общем, что-то было, и лучше держать такого человека на расстоянии. А ведь наверняка в 50% случаев сотрудник ни в чем не виноват, и полиграф - прекрасный способ определить либо причастность сотрудника к неблаговидным событиям, либо защитить его доброе имя.
- Возвращаясь к идее комплексного подхода в организации службы безопасности: насколько он популярен у российских банков? Или это некая идеальная модель, внедренная редкими энтузиастами своего дела?
- Нет, в российских банках комплексный подход оценен, принят и достаточно широко распространен. Я бы сказал, что банки в этом смысле существенно опережают компании других секторов экономики.
- Что вы можете рассказать о деятельности Института проблем безопасности, президентом которого вы являетесь?
- Рассказ о работе Института - это отдельная большая тема. Могу лишь сказать, что мы занимаемся исследованием и реализацией задач комплексного обеспечения безопасности по всему спектру рисков в различных сегментах экономики, прежде всего в сфере управления финансами.
Институт систематически готовит и публикует научно-исследовательские, методологические и учебно-практические работы по вопросам риск-менеджмента и безопасности*. По теме нашей беседы, помимо названного учебника "Безопасность банковской деятельности", могу рекомендовать читателям следующие работы:
· Гамза В.А. Управление рисками в коммерческих банках: интегративный подход. - М.: "Экономика", 2006.
· Гамза В.А., Ткачук И.Б. Аферы в кредитно-финансовой сфере. Меры предупреждения и борьбы. - М.: Вершина, 2007.
· Гамза В.А., Ткачук И.Б. Преступления в сфере вексельного обращения: криминалистическая характеристика и меры предупреждения. - М.: Изд-ль Шумилова И.И., 2004.
Все эти работы в совокупности помогут построить в банке комплексную и эффективную систему безопасности.
