Контроль персонала в процессе трудовой деятельности
Подобный контроль представляет собой комплекс мер из установленных для персонала всех уровней регламентов, ограничений, режимов, оценочных операций и процедур безопасности. Этот комплекс воздействия на персонал имеет целью ликвидацию возможности причинения ущерба со стороны работников. Как правило, такой контроль осуществляется службой безопасности или другими подразделениями, в меньшей степени службой управления персоналом.
Основными направлениями контроля персонала в процессе трудовой деятельности с позиции безопасности являются:
– контроль результатов деятельности (достижений);
– контроль использования рабочего времени;
– информационный контроль.
Контроль результатов деятельности (достижений) и использования рабочего времени сотрудника важен в плане повышения качества управления организационной эффективностью и снижения риска недоиспользования трудового потенциала личности. Значимый элемент управления достижениями работника – грамотно построенная система мотивации и стимулирования, основанная на результате, который необходимо постоянно контролировать. Если необходимый результат не достигается, важно выявить причины подобной ситуации. Возможно, работник недостаточно компетентен, поэтому следует направить его на обучение или повышение квалификации. Может быть, следует изменить систему мотивации, принятую в компании. Еще одна причина – нереально определенные показатели деятельности (КРI) для конкретного сотрудника, а возможно, он сам неэффективно использует свое рабочее время. Поэтому так важен контроль не только самого результата, но и процесса достижения этого результата.
Для контроля процесса трудовой деятельности используются следующие традиционно используемые в нормировании труда методы. В частности, фотография рабочего дня, представляющая собой способ непрерывного наблюдения за рабочим процессом на предприятии для изучения использования всего рабочего времени, а также измерения затрат времени на протяжении каждой смены. Целью данного наблюдения является повышение производительности труда. В ряде случаев полезно использовать метод самофотографии рабочего дня, когда работник самостоятельно фиксирует только потери рабочего времени по вине организации.
Фотография рабочего дня необходима при решении некоторых задач:
– определение темпов производства продукции в течение одной производственной смены;
– определение баланса использования времени, затраченного на работу;
– определение возможных причин потерь рабочего времени;
– определение времени, предоставленного для отдыха, времени для обслуживания рабочего места, а также времени для заключительных работ.
Актуальным является и метод нормирования труда на основе микроэлементных нормативов, предусматривающих дробное расчленение трудовых действий на простейшие, заранее пронормированные стандартные движения (рук, глаз, корпуса и ног), с помощью которых появляется возможность моделирования рациональных ручных приемов и расчета норм времени, необходимых для их выполнения. Системы микроэлементных нормативов позволяют в условиях применения компьютерных технологий одновременно с автоматизированным проектированием технологического процесса производить расчет норм времени, определять еще до начала производства необходимые затраты труда, сравнивать их с предельно допустимыми, изыскивать возможности снижения затрат труда.
Одна из современных особенностей контроля персонала в процессе трудовой деятельности и обеспечения кадровой безопасности связана с формированием системы слежения за сотрудниками. Специалисты отмечают, что, скорее всего, подобная система имеет корни в США, где в основе корпоративной культуры лежит понятие "эффективность". Поэтому, чтобы добиться ее повышения, в организации идут на любые меры, в том числе на изучение деловой и личной переписки, прослушивание телефонных разговоров, наблюдение за посещением интернет-сайтов.
Служба безопасности может отслеживать и оперативно ставить в известность HR-менеджеров о негативных явлениях в организации со стороны сотрудников. В частности, речь может идти:
– о намеренном разжигании конфликтных ситуаций со стороны некоторых работников;
– нарушениях требований корпоративной политики использования информационных ресурсов;
– нелояльном поведении отдельных работников – рассылке резюме, назначении встреч с новыми работодателями, незаконной передаче за пределы компании информации ограниченного доступа;
– негативном поведении отдельных сотрудников, выражающемся в грубости, оскорблениях, моббинге по отношению к другим работникам.
Сегодняшний день предоставляет работодателям современные электронные системы учета и регистрации рабочего времени, которые позволяют практически определить затраты рабочего времени непосредственно на работу, на отдых, потери рабочего времени по вине работника и но вине организации. Это осуществляется через системы контроля доступа, видеонаблюдение (может носить скрытый и открытый характер) и т.д.
В настоящее время использование DAP-систем становится обычной практикой большинства корпоративных служб безопасности. Основная задача подобных систем на современном этапе – сбор и протоколирование всей информации о деятельности сотрудника в автоматизированной системе предприятия, а также обработка этой информации для выявления инсайдерства, мошенничества и других подозрительных действий.
Специалисты отмечают, что согласно статистике сегодня около трети крупных российских компаний внедряют использование систем "контроля" за деятельностью своих работников. В связи с этим возникает вопрос о законности и оправданности подобного контроля. В трудовом договоре между работодателем и работником обычно записано, что все созданное сотрудником компании принадлежит компании. Если сотрудник в рабочее время (оплачиваемое фирмой) занимается личными делами, то этим он наносит урон работодателю, а если пользуется Интернетом в своих целях, то еще и крадет деньги. Поэтому в любой серьезной компании, в которой не принято доверять сотрудникам, есть юрист, который любой, даже чрезмерный, контроль объяснит заботой о подчиненных. К сожалению, контроль может перейти в тотальную слежку. Поэтому единственным пунктом, который может использовать сотрудник при защите своих прав, является обязанность компании при найме работников сообщать о том, что все их коммуникации в рабочее время не являются конфиденциальными, а работники обязаны подписать соответствующий документ, подтверждающий их согласие с корпоративными правилами. Такая система предполагает, что, с одной стороны, работодатель имеет право внедрять всевозможные системы контроля за деятельностью своих сотрудников, а с другой – обязан осуществлять контроль открыто, что может стать важным элементом концепции обеспечения кадровой безопасности компании.
Информационный контроль персонала связан с угрозами информационной безопасности, которая охватывает совокупность программных, аппаратных и организационно-правовых методов и средств обеспечения безопасности информации при ее обработке, хранении и передаче с использованием современных информационных технологий.
Анализ основных угроз информационной безопасности России показывает, что на первом месте стоит утечка данных – 76%, на втором – халатность сотрудников – 67%, на третьем – вирусы – 59%. Специалисты считают, что в первую очередь необходимо защищаться от непредумышленных утечек информации: в 90% случаев они происходят в результате ошибок персонала или банальной кражи носителей данных, т.е. речь идет о внутренних угрозах. При этом типичный инсайдер – это обычно мужчина в возрасте от 31 до 40 лет, имеющий высшее образование и обладающий достаточно весомым положением в компании.
По данным совместного исследования Computer Security и ФБР (CSI/FBI Computer Crime and Security Survey), объем потерь от утечки информации у 1000 участвовавших в опросе предприятий США составил более 70 млн долл. Этот показатель опередил другие виды IT-угроз, в том числе вирусы (27 млн долл.), хакерские атаки (65 млн долл.), финансовые мошенничества (10 млн долл.), и составил около 40% общего объема зарегистрированного ущерба. Согласно тому же исследованию средний размер потерь от действий инсайдеров составил 300 тыс. долл, при максимальном размере 1,5 млн долл. Таким образом, можно констатировать, что именно "человеческий фактор" должен быть выдвинут на первое место в списке обстоятельств, препятствующих проведению эффективной политики информационной безопасности.
Информация является ценным продуктом для компании, поэтому она нуждается в особой защите. Но прежде чем определить мероприятия по обеспечению информационной безопасности, следует определиться со следующими вопросами: что защищать? от кого защищать? каким образом защищать?
Специалисты считают, что для ответов на эти вопросы необходимо провести тщательное обследование объектов защиты и составить специальный пакет документов, называемый "Политика информационной безопасности предприятия". Формирование такого пакета позволяет провести категорирование информации, определить ответственных за качество информации и ее сохранность. Подготовленные инструкции и документы отражают порядок использования оборудования, программного обеспечения, паролей, ключей доступа, внешних носителей, средств связи, банковских программ, копирования и уничтожения документов и носителей и др. При этом должен быть определен и так называемый аварийный план, в котором отражается, что, кому, как и в какой последовательности делать, если возникнут непосредственные угрозы информационной безопасности, а также те мероприятия, которые необходимо проделать для восстановления нормальной деятельности организации.
Защита информации должна обеспечиваться соблюдением:
– конфиденциальности, т.е. защиты от несанкционированного доступа;
– целостности, т.е. защиты от несанкционированного изменения;
– доступности, т.е. защиты от несанкционированного удержания информации и ресурсов.
Взаимные обязанности работодателя и работника по охране конфиденциальности информации в рамках трудовых отношений установлены ст. 11 Федерального закона от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне". В частности, работодатель обязан:
– ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
– ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
– создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
В целях охраны конфиденциальности информации работник, в свою очередь, обязан:
– выполнять установленный работодателем режим коммерческой тайны;
– нс разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;
– передать работодателю при расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.
Трудовым договором с руководителем организации должны предусматриваться обязательства последнего по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности. Несоблюдение одного из указанных условий может повлечь признание увольнения работника в связи с разглашением им сведений, составляющих коммерческую тайну, незаконным. Работодатель вправе самостоятельно определить, какая именно информация является для него настолько значимой, что для обеспечения ее сохранности необходимо предпринять ряд правовых, организационных, технических и иных мер по охране ее конфиденциальности. Согласно ст. 4 указанного Закона право на отнесение сведений к информации, составляющей коммерческую тайну, и на определение перечня и состава таких сведений принадлежит их обладателю.
Значение информационной безопасности для компании требует обратить особое внимание на отбор специалистов, которые обеспечивают работу компьютерной сети и отдельных ее подсистем. Если такие сотрудники уже приняты в организацию, акцент следует сделать на их лояльность компании, поскольку в противном случае может возникнуть ситуация, способная привести к значительным потерям фирмы, так как компании могут столкнуться с нежелательными последствиями в бизнес-процессах, понести финансовые убытки, существенный ущерб может быть нанесен репутации фирмы.
Серьезную угрозу информационной безопасности в ближайшее время будут представлять все более совершенствующиеся методы социальной инженерии, применяемые для взлома существующих средств защиты. При этом под социальной инженерией понимается метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей "человеческого фактора". Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего.
В целом можно отметить, что информационная безопасность должна стать важнейшей частью корпоративной культуры компании, подкрепленной комплексом программно-технических и организационных мер, которые позволят минимизировать риски подобного рода.