Рейдерские захваты, кража информации и прочие шпионские штучки — методы бизнес-корсаров без страха и упрека, реалии бескомпромиссного бизнеса. Причем и самым слабым звеном, и страдающей стороной оказываются сотрудники. Как компании позаботиться о себе? И как действовать для этого кадровикам, не искушая меч закона, у которого, как известно, два острия. Мнение специалиста по безопасности.
Кадровая безопасность: риски реальные или мнимые?
В большинстве компаний принято считать, что каждый должен заниматься своим делом: кадровой безопасностью — «безопасник», подбором и увольнением персонала — кадровик, а решать проблемы адаптации новых сотрудников следует их непосредственным руководителям, иногда привлекая к этому HR-специалистов.
В реальности же на каждом этапе работы с персоналом возникает масса вопросов, касающихся безопасности. В идеале такие вопросы должны решаться в тесном сотрудничестве со службой безопасности. На деле же это происходит как угодно, а взаимодействие, если оно все же возникает, редко можно назвать адекватным. Причина кроется в непонимании кадровиками и менеджментом собственной роли в обеспечении кадровой безопасности. Подобный подход чреват упущениями, которые влекут за собой массу проблем: мошенничество, разглашение конфиденциальной информации, реализация других деструктивных намерений и т. п.
Перед тем как перейти непосредственно к теме статьи, определимся с понятием «кадровая безопасность». По отдельности эти слова понятны каждому, а вместе — трактуются как угодно, в зависимости от творческих способностей человека.
Обеспечение кадровой безопасности — это, по сути, процессминимизации рисков, связанных с возможным негативным воздействием кадровой составляющей корпоративных ресурсов на комплексную безопасность компании.
На этапе подбора персонала угроза ресурсам компании состоит в приеме на работу лица, не обладающего набором требуемых компетенций, или же ориентированного на совершение корпоративного мошенничества, похищение конфиденциальной информации, шпиона из стана недобросовестных конкурентов или рейдеров.
Чтобы подобные риски минимизировать, представителям подразделений кадров, безопасности и менеджменту необходимо иметь собственный четко очерченный «участок обороны» и стойко отражать на нем всевозможные атаки. При этом крайне важно, чтобы каждое подразделение действовало в согласии с «соседями по обороне», а каждый из «соседей» был компетентен в вопросах обеспечения корпоративной безопасности, лежащих в зоне его ответственности. Если этого не будет, получится то, что получится. Скорее всего, полная ерунда.
Самый важный этап — прохождение кандидатом фильтров грубой и тонкой очистки на стадии приема на работу. Для специалистов разных рангов эти фильтры будут, естественно, различными: глубина и интенсивность проверки для сотрудника бухгалтерии и грузчика должны различаться. Но весь процесс сводится к одному: чем тщательнее изучен нами кандидат не только с позиции его профессионализма, но и с точки зрения корпоративной безопасности, тем меньше вероятность проникновения в компанию лиц с деструктивными намерениями.
Пример из жизни: на должность заместителя руководителя СЭБ (службы экономической безопасности) одной из крупных компаний без должной проверки была принята аферистка, выдававшая себя за бывшего оперативного сотрудника МВД. Впоследствии она пошла на инициативную вербовку и передавала конкурентам конфиденциальную информацию. Результат излишней доверчивости кадровиков — многомиллионные убытки компании.
Еще один пример — прием на работу IT-специалиста, который на собеседовании с будущим руководителем показал очень высокий уровень профессиональной подготовки. Кадровики и сотрудники СЭБ сосредоточились лишь на проверке профессионализма кандидата и не обратили должного внимания на сомнения его прежнего работодателя в личной порядочности экс-подчиненного. Впоследствии этот высококлассный специалист взломал личную переписку одного из собственников компании, собрал на него обширный компромат интимного свойства, после чего передал эти сведения недоброжелателям. Результатом стала атака шантажистов.
Сколь угодно надейтесь, что утечка данных, кражи, рейдерские захваты и много других неприятных событий произойдут с кем хочешь, но только не с вашей компанией, однако факты говорят об одном: недостаток информации о кандидате может привести к очень неприятным для работодателя последствиям.
Как должны взаимодействовать эйчары, руководители и СЭБ
Однако мы слегка отвлеклись: основной недостаток в процессе сбора информации о кандидате — отсутствие четких регламентов взаимодействия между службой экономической безопасности и кадровым подразделением. Нередко эйчары компании пытаются абсолютно все выполнить самостоятельно, не думая о том, что может и должна делать СЭБ для проверки персонала на стадии приема на работу. Это приводит к негативным последствиям. Всем известно, какой колоссальный труд приходится проделывать сотрудникам кадровых подразделений, как велика их рабочая нагрузка. Низкий поклон им за это. Но зачастую именно чрезмерная занятость заставляет их уделять меньше внимания «второстепенным» линиям работы. И нередко в число таких направлений попадает тщательная проверка кандидатов.
Иногда же дело доходит до крайности: некоторые сотрудники кадровых подразделений вовсе не проверяют кандидатов, веря их словам и записям в трудовой книжке. Это характерно для предприятий с высокой текучестью кадров (ритейл и т. д.). Кадровики в подобных ситуациях часто не понимают, зачем утруждать себя, если через полгода все равно придется искать замену.
Есть у «кадровой политики» и другая отмашка: если от кандидата не разит за версту перегаром, в трудовой книжке все более-менее прилично и квалификация вроде бы соответствует требуемой, то его можно смело принимать на работу, а там — испытательный срок покажет. Вроде бы удобная позиция, но с точки зрения корпоративной безопасности — крайне рискованная. Хорошо еще, если такой работник окажется просто лентяем, прогульщиком или пьяницей, хотя и таких непутевых сотрудников уволить бывает весьма непросто. А если человек устроился в вашу компанию по заданию недобросовестных конкурентов или рейдерского формирования? Трехмесячного испытательного срока ему будет более чем достаточно для выполнения шпионских заданий или организации какой-либо диверсии. Это не обязательно будет взрыв ваших топливохранилищ и т. д. Весьма эффектным может оказаться, например, «случайный» выход из строя сервера в самый канун участия вашей компании в конкурсе на получение вожделенного госзаказа, похищение ноу-хау и т. д.
Не перекладывая ответственность за подобное развитие событий на плечи кадровиков, считаем необходимым обратить внимание читателей на существенные резервы, которые очень часто не используются или задействованы не в полной мере. Эти резервы лежат на поверхности — достаточно раз и навсегда разработать порядок взаимодействия с собственной службой корпоративной безопасности, распределить функции между ее специалистами и работниками отдела кадров.
Кратко о сути такого взаимодействия:
Кадровики собирают как можно больше сведений о кандидате — они становятся базой для последующей проверки в СЭБ. Кадровику нужно будет подготовить ответы на такие вопросы службы безопасности, как:
Одновременно с этим будущий руководитель кандидата (менеджер линейного подразделения) проверяет его профессиональные качества и убеждается в компетентности принимаемого.
Откуда появился этот кандидат (найден рекрутинговым агентством, обратился сам, рекомендован кем-то из действующих сотрудников и т. д.).
Является ли претендент единственным кандидатом на вакантную должность.
Какое первое впечатление произвел кандидат на сотрудника службы персонала и на своего потенциального руководителя.
Не замечены ли у претендента попытки приукрасить информацию о себе или сообщить явно ложную.
Не выявлены ли признаки подделки представленных кандидатом документов, в частности — трудовой книжки, диплома, справки об отсутствии медицинских противопоказаний и т. д.
Каковы перспективы кандидата в случае приема на работу (руководящая должность после прохождения испытательного срока, самостоятельный участок работы, работа с наличными денежными средствами, доступ к конфиденциальной информацией и т. д.).
Затем сотрудники СЭБ законными способами проводят проверку информации о кандидате. Здесь следует обратить внимание на один существенный момент, т. к. нередко между «любопытством» сотрудника СЭБ и «бдительностью» кадровика с прежнего места работы кандидата возникает коллизия. Остановимся на этом подробнее.
Сбор информации о кандидате и закон «О персональных данных»
Кандидат добровольно предоставил нам тот объем информации о себе, который позволяет его персонифицировать, и, в соответствии с требованиями закона «О персональных данных» (Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных». — Ред. HR-Journal.ru), дал свое письменное согласие на обработку этой информации.
Следовательно, когда сотрудник СЭБ позвонит бывшему работодателю кандидата, его не будут интересовать идентификационные сведения о последнем (ФИО, год и место рождения, серия и номер паспорта, ИНН и т. д.) — он их и так прекрасно знает. Его интересует совсем другая информация: не является ли кандидат лодырем, алкоголиком, замечен ли он в воровстве и т. д. Позволяет ли эта информация идентифицировать нашего кандидата? Нет, эта информация не относится к идентифицирующим данным. Следовательно, получение ее не противоречит букве закона.
Ответ на этот вопрос содержится в ст. 64 ТК РФ:
«Какое бы то ни было прямое или косвенное ограничение прав или установление прямых или косвенных преимуществ при заключении трудового договора в зависимости от пола, расы, цвета кожи, национальности, языка, национальности, языка, происхождения, имущественного, социального и должностного положения, возраста, места жительства (в том числе наличия или отсутствия регистрации по месту жительства или пребывания), отношения к религии, убеждений, принадлежности или непринадлежности к общественным объединениям или каким-либо социальным группам, а также других обстоятельств, не связанных с деловыми качествами работников, не допускается, за исключением случаев, в которых право или обязанность устанавливать такие ограничения или преимущества предусмотрены федеральными законами».
Но нам важно, чтобы наш работник был профессионалом, не склонным к корпоративному мошенничеству, не алкоголиком и не прогульщиком. Эта информация относится к обстоятельствам,связанным с деловыми качествами работника, и, следовательно, мы можем и должны ее собирать при заключении трудового договора. Это следует из положений ТК РФ. А раз нам дано такое право, то, следовательно, бывший работодатель нашего кандидата вправе нам эту информацию предоставить.
Определение персональным данным дается в ст. 3 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (действующая редакция от 23.07.2013). В соответствии с ним персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, условное приравнивание персональных данных к идентификационным данным/сведениям является точкой зрения и допущением автора. Стоит при этом заметить, что понятие «деловые качества» также не имеет легального развернутого определения в отечественном трудовом законодательстве. — Ред. HR-Journal.ru
К сожалению, такое понимание встречается далеко не всегда. Автору неоднократно приходилось выслушивать категорические отказы охарактеризовать бывших сотрудников. Причем никакие убеждения на упертых кадровиков не действовали. Вряд ли те пытались вникнуть в смысл ст. 64 ТК РФ или ст. 3 закона «О персональных данных». Их вполне устраивает такая «бронебойная» позиция — никому не давать никакой информации, и все тут!
Но хочется спросить у сторонников подобной точки зрения: «Господа! А как сами вы проверяете кандидатов? Если от ваших вопросов на той стороне телефонного провода так же отгородятся стеной тупых отказов, как вы примете взвешенное кадровое решение?».
Что интересно: когда проверяешь кандидата на руководящую должность и приезжаешь в его бывшую фирму с соответствующим запросом о характеристике, то никаких сложностей не возникает. Но ведь по каждому кандидату на его прежнее место работы не наездишься! Так для чего создавать себе и другим ненужные препятствия? Вопрос риторический, и все же пусть читатель на него ответит, сам.
Сбор информации о кандидате в Интернете
Еще один эффективный способ проверки кандидата — использование Интернета. Кадровик должен попросить кандидата, чтобы тот указал в резюме свой e-mail и номер мобильного телефона. Кадровику эти данные нужны, чтобы оперативно связаться с человеком, а сотрудник СЭБ может использовать их в своих интересах. По адресу электронной почты и/или телефону в Интернете может обнаружиться информация, позволяющая существенно расширить представления о кандидате. Так, если человек устраивается к вам на должность заведующего складом, а в Сети номер его мобильного телефона привязан к объявлениям о срочной продаже автомашины, дачи и квартиры, то вполне логична будет версия о том, что человек оказался в сложной ситуации и ищет возможность поправить свое материальное положение. Тогда закономерен вопрос: а с какой целью он стремится трудоустроиться на вашем складе?
Случай из практики: СЭБ рекомендовала отказать в трудоустройстве кандидату, на личной странице которого в соцсети сплошной чередой шли фотографии с различных пьяных сборищ и «самоотчеты» о том, как он, оформив на работе больничный, прекрасно недельку отдохнул в Таиланде. Нужен ли нам такой казавшийся порядочным работник? Разумеется, нет.
Возникает вопрос: обязаны ли вы информировать кандидата о том, что искали его следы в Интернете? Эта тонкость обработки персональных данных отражена в части 4 ст. 18 Закона «О персональных данных»: «Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если: <...> персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника».
Интернет — общедоступный источник. Если человек выложил там информацию о себе, то он изначально предполагал, что с ней ознакомится большое число неизвестных ему лиц.
Проверка кандидата с использованием полиграфа
Особым этапом проверки кандидата является его проверка на полиграфе (ОИП). Тема эта очень обширна и сложна, поэтому остановимся лишь на некоторых ее аспектах. Сегодня бытует мнение, что полиграф можно обмануть. Опыт работы автора в правоохранительных органах и службах экономической безопасности коммерческих компаний показывает, что это действительно так. Однако возможно это только в том случае, если «обманщик» прошел длительную высокопрофессиональную подготовку в учебных заведениях для сотрудников органов госбезопасности (отечественных или зарубежных). Часто такие люди пытаются устроиться к вам на работу?
Да, ошибки бывают и у этого метода. Но это не означает, что сам он изначально дефектен. Скорее всего, вы решили сэкономить и пригласили плохого специалиста, который не может до конца разобраться в полиграммах, прочитать их и сделать взвешенные выводы. Или же вы нарвались на откровенного мошенника с чемоданом, который вытянул из вас деньги за фокус с мигающими лампочками и был таков. Но тут уж обижаться надо на себя, метод проверки с использованием полиграфа тут ни при чем.
У здравомыслящего кадровика, следящего за тенденциями отрасли, не должно возникать сомнений в том, что полиграф незаменим при изучении личности кандидата, ибо никто не знает человека лучше, чем он сам. Проводить такое обследование целесообразно после того, как сотрудник СЭБ провел с кандидатом собеседование (у «безопасника» могут возникнуть определенные сомнения, которыми он поделится со специалистом-полиграфологом, а тот, в свою очередь, постарается эти сомнения разрешить с помощью беспристрастного «волшебного чемоданчика»).
Автору несколько раз приходилось сталкиваться с ситуацией, когда кандидат, получивший от ворот поворот, в стремлении хоть как-то навредить отвергшему его работодателю начинал забрасывать трудовую инспекцию жалобами на то, что его якобы «обманом усадили в кресло», «из каких-то загогулин на бумажке» сделали вывод о его профнепригодности и т. д.
Естественно, чтобы успешно отбиться от этих жалоб, вам необходимо заранее убедиться в компетентности полиграфолога и соблюсти ряд формальных требований по проведению ОИП. Кроме того, вы должны знать, что уже выработаны правовые условия, позволяющие активно использовать полиграф на этапе кадрового отбора.
ТК РФ предоставляет работодателю право осуществлять отбор нанимаемого на работу персонала и прямо указывает, что«не являются дискриминацией установление различий, исключений, предпочтений, а также ограничение прав работников, которые определяются свойственными данному виду труда требованиями, установленными федеральными законами...» (ч. 3 ст. 3 ТК РФ).
На необходимость проведения отбора работников указывает также п. 11 ч. 1 ст. 81 ТК РФ, согласно которому работодатель вправе расторгнуть трудовой договор в случае «предоставления работником работодателю подложных документов или заведомо ложных сведений при заключении трудового договора».
Логика этой мысли законодателя явно говорит о том, что не может быть возражений против того, чтобы эта проверка была проведена еще на стадии приема на работу.
В действующей редакции содержание п. 11 ч. 1 ст. 81 ТК РФ изменено: «представления работником работодателю подложных документов при заключении трудового договора». Ни в утратившей силу, ни в новой редакциях содержание пункта прямо не соотносится с необходимостью проведения отбора. — Ред. HR-Journal.ru
Существенно расширил правовую основу применения ОИП при защите коммерческих интересов предприятий федеральный закон «О коммерческой тайне».
В нормативном акте компании, регламентирующем порядок приема на работу, следует предусмотреть положение о том, что «кандидаты, согласившиеся на прохождение обследования с использованием полиграфа, при прочих равных условиях пользуются преимуществом перед другими кандидатами при решении вопроса о трудоустройстве».
Кроме того, само по себе включение ОИП в систему проверки отшибает охоту проникнуть в компанию у лиц с деструктивными установками (промышленные шпионы, рейдеры, мошенники, наркоманы и т. д.). Да и сам факт отказа от прохождения ОИП о многом говорит думающим кадровику и сотруднику СЭБ.
Делаем выводы
Специалистам кадровых подразделений следует как можно активнее привлекать к сотрудничеству коллег из СЭБ, четко разграничить зоны взаимной ответственности с учетом специфики компании и разработать регламент взаимодействия.
Старайтесь вникать в проблемы коллег из других компаний, на законных основаниях запрашивающих характеризующую информацию о деловых качествах ваших бывших сотрудников. Помните, что завтра вы можете оказаться в их положении и будете пытаться решить ту же задачу.
Активнее используйте ОИП на этапе кадрового отбора. Тем самым вы можете избавить компанию от целого букета кадровых рисков.
Начать дискуссию