Сноуден и USIS: Как «лажанулась» USIS? Проверка кандидата

Какие виды бизнеса просто обязаны всегда помнить об информационной безопасности в свете поиска, подбора новых сотрудников?

— Абсолютно все. Уверен, что безопасность финансовая, информационная, репутационная сегодня важна не только для крупных, но и для средних и даже малых бизнесов. К сожалению, пока это хорошо реализуется только в отдельных сферах, например в банковской. Там процессы, связанные с безопасностью, довольно хорошо стандартизированы и формализованы. В компаниях других индустрий пока вопросам безопасности не придают достаточной значимости. Если говорить о процессах найма, то обычно при найме сотрудников во многих компаниях ограничиваются формальным заполнением анкеты и проверкой базовых параметров (судимость, административные нарушения, «плохие» кредиты). На топ-менеджеров могут собирать рекомендации и даже проверять на полиграфе, но это часто делают крайне
несистемно.

 Где растут и живут «правильные пчелы»? Откуда могут появиться на вашей поляне «ложные опята»?

— Безопасность компании и система минимизации рисков стоят на трех китах:

Американский исследователь Пол Гоффин в 90-е годы разработал концепцию степеней риска и квалифицировал людей по группам. Гоффин разделил людей на группы риска (низкий, допустимый и высокий). После десяти лет сбора статистических данных выяснилось, что к группе низкого риска (то есть к тем, кто ни при каких обстоятельствах не пойдет на нарушение, угрожающее деловой репутации) относятся не более 10% сотрудников американских компаний, к группе допустимого риска (к тем, кто пойдет на нарушение в случае, если будет понимать, что инструменты контроля отсутствуют или несовершенны и риск быть уличенным низок) относятся 75%, и 15% сотрудников попадают в группу высокого риска (то есть склонны к серьезным нарушениям и кражам у работодателя даже при высокой вероятности быть уличенными в совершенном). Скорее всего (не знаю, проводилось ли у нас такое исследование), в России процент сотрудников в группе допустимого риска еще выше, чем в США.

Поэтому и важны системы, построенные на вышеописанных трех китах.

Если подход к вышеперечисленным вопросам в компании системен, то риски минимизированы. Хотя, как говорил Остап Бендер, стопроцентную гарантию вам дает только страховой полис.

 Какие профессии и  должности приоритетны при проверке кандидатов?

— Наверное, я бы говорил не столько и не только о профессиях. Ведь чтобы получить интересующую тебя информацию о коммерческих тайнах конкурента, нет необходимости вербовать финансовых аналитиков или топ-менеджеров. Наиболее эффективным агентом конкурентов может оказаться обычная уборщица, имеющая доступ во все кабинеты, ко всем рабочим столам, причем часто во внерабочее время, когда никто ей не помешает. Поэтому нужно исходить из того, какие данные и активы (материальные и нематериальные) компании наиболее опасно потерять. И кроме того, что стоит разработать систему защиты этих активов, дополнительно, помимо формальных проверок, стараться проявлять особую внимательность в момент допуска (не только при найме новичков, но и при внутренних ротациях и назначениях) сотрудников к наиболее защищаемым зонам.

 Какие фильтры желательно включать уже на этапе подготовки и описания вакансии ?

— Давайте для начала определимся, кто однозначно не должен пройти базовые фильтры и попасть в компанию:

Сбор и проверка данной информации обычно осуществляются службами безопасности компаний. Но это база, основа пирамиды фильтров. Задача HR значительно шире. Процесс отбора кандидатов — всегда попытка спрогнозировать с максимально возможной вероятностью, будет ли конкретный кандидат успешен на конкретной позиции в конкретной компании. Чем больше критериев прогноза мы будем использовать, тем больше вероятность того, что мы наймем правильного кандидата.

Описание вакансии — это лишь один из фильтров, который помогает на подготовительных этапах структурировать необходимые для успешного решения задач компетенции и описать критерии прогноза успешности. Оно включает в себя как формальные требования к знаниям, навыкам и предшествующему опыту, так и описание личностных характеристик. Личностные качества — это именно то, что сложнее всего оценить, но и цена ошибки с точки зрения рисков работодателя обычно наиболее высока. Иногда эта цена — существование бизнеса.

 «Болтун — находка для шпиона». Что при собеседовании с кандидатом должно насторожить — опыт, поведение, ответы на вопросы, связи?..

— Меня как HRD настораживает, когда кандидат отзывается резко отрицательно о предыдущих работодателях, либо слишком позитивно настроен к новому, еще незнакомому работодателю и слишком открыто выдает информацию. Иногда с чрезмерной детализацией. Кандидат, конечно, хочет и должен хотеть себя «продать», но есть же определенная этика. Например, конфиденциальные данные, коммерческая информация, которую на собеседованиях просто нельзя рассказывать. Например, если человек, претендующий на позицию директора по продажам, рассказывает, что он увеличил продажи в 1,5 раза и говорит о масштабах продаж то это приемлемо. Если же он начинает показывать все на конкретных цифрах («выручка до моего прихода была такой-то, а к моменту ухода такой-то»), а еще и называет маржинальность, я задаю себе вопрос, понимает ли этот человек, что он не только нарушает базовые этические принципы, но и соглашение о неразглашении коммерческой информации, которое он наверняка подписывал. Конкретика на собеседовании очень важна, но нужно понимать, где ее границы. Лишними также являются рассказы про бывших руководителей, их личную жизнь, увлечения и пр. Такое поведение заставляет предположить, что то же самое когда-нибудь будут рассказывать про вас и вашу компанию. Причем в такие разговоры могут пускаться не только секретари или личные водители, но и люди, претендующие на позицию топ-уровня. В моей практике был случай, когда человек с таким статусом рассказывал про оффшоры и финансовые схемы акционера компании, в которой он работал, причем делал это не назло кому-то, а просто считал, что в этом нет ничего предосудительного. Откровенно говоря, такое поведение состоявшегося финансового директора просто пугает.

Что касается опыта, то есть такое понятие — «сбитый летчик». Это когда у успешных управленцев, асов (обычно это топ-менеджеры) есть недавний неудачный опыт (поражения с каждым случаются), который человек еще не проанализировал, которым еще не переболел. Есть опасность, что еще некоторое время он будет бояться «летать», будет пытаться что-то доказать теням из прошлого.

 Открытые вакансии и поиск ES обязательно не гарантируют фирме безопасность? Насколько и как?

— Поиск ES повышает безопасность только, если в компании не могут самостоятельно собрать рекомендации.

Основная задача хедхантеров с помощью отличного знания индустрии привести клиенту лучших профессионалов на рынке. Да, хорошие хедхантеры всегда дотошно проверяют прошлое кандидатов и собирают рекомендации.

Но они не всегда могут знать про те самые зоны риска у клиента, о которых внутренний HR обязан знать. Поэтому, как говорится, спасение утопающих дело рук самих утопающих. Любые кандидаты должны проходить через стандартизованные процедуры проверки внутри компании, которые могут варьироваться по формату и глубине в зависимости от рискованности позиции, на которую нанимают или переводят сотрудника. Консультанты executive search в вопросах кадровой безопасности не панацея. У них другие задачи. Риски всегда снижает только системный подход к проблеме.

 Как в целях безопасности лучше поделить зоны ответственности в компании при проверке кандидата?

— Важна перекрестная оценка кандидата. Рекомендации собирают HR и будущий руководитель, а служба безопасности проверяет формальные вещи — наличие судимости, связей, неоплаченных штрафов, долгов и пр. Скелеты в шкафу могут оказаться у самого идеального кандидата, и желательно знать о них еще до того, как вы впустили человека «в дом».

 Звонки бывшим работодателям — что они могут дать в плане безопасности? Неужели кто-то вам скажет, что Смит и там шпионил?

— Тут я вряд ли расскажу что-то новое. Большинство компаний на ключевых сотрудников собирает рекомендации. Важно пообщаться не только со службой безопасности бывшего работодателя или HR. Важен перекрестный сбор информации и мнений. Бывший руководитель, коллеги, подчиненные, клиенты. Чем больше рекомендаций с разных сторон ты соберешь, тем больше шансов, что по совокупности фактов ты сможешь спрогнозировать потенциальную успешность кандидата и то, как он сможет решить твои задачи и проблемы.

В вопросе сбора рекомендаций нужно полагаться в первую очередь на логику и здравый смысл. У меня в практике были ситуации, когда про кандидата бывшие руководители отзывались отрицательно, но, проанализировав все отзывы, мы шли на риск, нанимали и не ошибались. При этом были также и случаи, когда отзывы были достаточно мягкие, с небольшой ноткой негатива. Нужно было насторожиться отсутствию энтузиазма рекомендателей, но мы не придавали этому должного значения и в итоге серьезно ошибались.

Любой рекрутер умеет это делать, нужны просто скрупулезность, внимательность и умение задавать правильные вопросы, строить неформальный разговор, не по шпаргалке. Нужно дать собеседнику понять, что его мнение для вас действительно важно. Очень важно понимать, как с человеком расстались и по каким причинам. Если мнения разных людей не совпадают, то надо копать глубже, пытаться понять причины.

 Штрафы, неоплаченные счета. Что это может сказать о кандидате?

— Обязательность и скрупулезность. По штрафам важно, за что они и как часто повторяются. Например, если речь идет о штрафах за вождение в нетрезвом состоянии — это одно, а если штраф выписан за неправильную парковку, то это совершенно другое. И, конечно же, важно, о кандидате на какую позицию идет речь. Например, 20 неоплаченных штрафов у финдиректора должны насторожить, а у дизайнера — может быть, даже подтвердить творческую составляющую характера.

 Компания, проверявшая Сноудена, как стало известно, откровенно халтурила и проверяла его резюме с помощью программы, а не реально и с щепетильностью. Что бы ей дало правильное поведение?

— Если я правильно понимаю, то компания, проверявшая потенциальных сотрудников для АНБ, как основной инструмент использовала «скорринговую» проверку.

Схожие проверки используют банки или платежные он-лайн системы (например, Pay-pal) для выявления и предотвращения мошеннических платежей по кредитным картам. Валидность подобных проверок повышается с ростом количества используемых критериев оценки (Pay-pal, например, использует около 150 тысяч параметров, и каждый из них имеет определенный удельный вес для принятия решения.) Но такая проверка эффективна для технологических решений и отлично подходит для уже упомянутого Pay-pal. Когда речь идет о людях, нужны дополнительные инструменты, большинство из которых при современном уровне технологий пока еще требуют работы специалистов и не может быть автоматизировано.

Использование данных инструментов могло бы помочь спрогнозировать непредсказуемость поведения Сноудена в определенных ситуациях. Это бы стоило больших трудозатрат и увеличило бы себестоимость процесса для проверяющей компании, но не привело бы к потере репутации и, собственно, всего бизнеса.

 Если проверять всех кандидатов, не халтуря, то какова может быть хотя бы примерная себестоимость этого вопроса?

— Это очень зависит от глубины проверки и используемых методик. При этом мне кажется, что самое дорогое в таких проверках — это действительно качественные тесты на полиграфе (а главное — профессиональная оценка их результатов), а также интервью с профессионально подготовленными психологами.

  Полиграф — модная штука в наших крупных компаниях, но когда, как и с кем его этично применять?

— На данную тему ведутся давние и ожесточенные споры HR-профессионалов. Не хочу выносить оценочных суждений, но в компаниях, в которых я работал на всем протяжении моей карьеры, не использовались проверки на полиграфе, и я не был инициатором их использования. При этом потери в результате злоупотреблений сотрудников, краж и т. п. не были выше (а в некоторых случаях и ниже), чем в компаниях, использующих подобные проверки. Вывод: проверка на полиграфе не дает гарантии снижения рисков для компании.

 655 000 человек проверила USIS и получила за каждого по 2,5 тысячи долларов. Как и кого можно проверить у нас за эту сумму?

— Понятно, что у организаций, которые по подряду осуществляют такие проверки, есть определенный прейскурант, в котором заложена их маржа, стоимость программного обеспечения, работы сотрудников. 2,5 тысячи долларов за проверку — это большая сумма, и, наверное, основная составляющая этой стоимость — это проверка на полиграфе и интервью с профессиональными психологами.

Если говорить про Россию, то я не думаю, что кто-то в коммерческих структурах имеет схожие бюджеты на проверку каждого из кандидатов. Даже стоимость проверки на полиграфе не так высока у нас. Порядка $150-200. Правда, речь идет об очень формальной и не всегда качественной проверке.

 В договоре ЦРУ и USIS прописано много пунктов по проверке. Начнем с детализации телефонных разговоров — что она даст? Ведь чтобы как-то
«унюхать» подозрительные вещи, надо знать и имена абонентов, и их реноме?

— Детализация телефонных разговоров — это все-таки история, которая относится к таким структурам, как Агентство национальной безопасности или по крайней мере тем, кто имеет такие возможности или законные основания.

Операторы связи, естественно, не имеют права предоставлять на законных основаниях работодателям детализации личных телефонов сотрудников (коррупционно-криминальные схемы мы здесь не будем рассматривать).

Работодатель имеет право проверять детализацию звонков корпоративного номера сотрудника, но только при наличии подписанного регламента и соглашения с сотрудником. Если там обнаружатся номера конкурентов, то сотруднику могут задать какие-то вопросы. Но это довольно редкая история.

 Совместные «случайные» поездки. Это же нужна мощнейшая программа, чтобы увидеть совпадения с «подозрительными» личностями?

— Я полагаю, что у компаний, проверяющих кандидатов для спецслужб, существует программное обеспечение, способное проводить подобный анализ.

Думаю, что она основывается на очень простых и логичных технологических решениях. Например, оценке направления движения, его скорости и повторяемости поездок в данном направлении по данным геолокации (смартфоны, регистрация на вышках сотовой связи) аппаратов, принадлежащих конкретным людям.

 Прибегая к аутсорсингу, мы имеем дело с компаниями. Как быть  в этой ситуации? Проследить, кого они нанимают, сделать ваш продукт сложнее?..

— Конфиденциальность должна быть прописана в договоре. Но понятно, что предусмотреть все аспекты сложно. В России пока плохо применяется закон о защите коммерческой тайны.

Случаи успешной судебной практики по таким ситуациям единичны. Непросто доказать, что сотрудники аутсорсинговых компаний использовали коммерческую информацию в ненадлежащих целях.

 Аутстаффинг — помощник в секретности или враг в лояльности?

— Это враг и секретности, и лояльности. Потому что аутстаффинг — это когда мы какие-то функции не осуществляем или не считаем нужным осуществлять собственным штатным персоналом, а используем сотрудников другой компании. Так называемый «заемный труд». Это, например, секретари или разнорабочие.

Учитывая, что компания, предоставляющая заемный труд, оформляет свои отношения с такими людьми, используя срочные трудовые договоры или договоры гражданско-правового характера, говорить о лояльности персонала не приходится. Эти люди не лояльны и к компании-клиенту, и к своему работодателю. Исключения редки.

 Охотников за информацией интересуют конкретные компании или технологии, адреса-пароли-явки клиентов, цены, скидки, условия?

— Все зависит от задачи, которая им поставлена, и от того, насколько законно они ее решают.

Я знаю про российскую производственную компанию, которой очень нужно было технологическое ноу-хау европейской компании. Ее руководство требовало за технологию несколько миллионов евро.

Россиянам оказалось проще и дешевле с помощью консультантов, специализирующихся на бизнес-разведке, отыскать и нанять бывшего технолога этой европейской компании, уволившегося за несколько месяцев до этого из-за трудового конфликта. Этот технолог имел соглашение о том, что он не может заниматься консультационной деятельностью в течение 5 лет после увольнения, но среди перечисленных в соглашении регионов не фигурировала Россия. Технология, стоящая миллионы евро, досталась россиянам за десятки тысяч, причем без какого-либо нарушения закона.

 Информация быстро устаревает, но некоторые люди или их связи могут быть долго ценны. Какие?

— Рассказ про технолога из европейской компании — прекрасная иллюстрация того, как просто потерять технологии, являющиеся ключевой компетенцией бизнеса из-за неправильной работы с людьми. Люди ценны вообще, а обладающие технологиями могут стоить миллионы.

 Дезинформация — известное оружие. Как и когда его стоит применять?

— Иногда бывают ситуации, когда, чтобы получить коммерческую информацию о развитии компании, ее планах, конкуренты могут присылать кандидатов-шпионов. Если ты это определяешь и у тебя есть цели по дезинформации, то можно это использовать. Мы всегда стараемся зафиксировать, какую информацию мы в принципе готовы предоставлять кандидатам, а какую нет.

Часто встречаются кандидаты, которые до выхода на работу просят предоставить им определенные данные о компании, иногда вплоть до финансовой отчетности и списков клиентов.

 Какие моменты в поведении нового сотрудника в компании с повышенной безопасностью должны насторожить руководство?

— Резкое изменение поведения и суждений после 2-3 месяцев работы. Изменение отношения к задачам, участившееся отсутствие по болезни, частые просьбы об отпуске по личным причинам.

Появление вещей, аксессуаров, не соответствующих доходу (автомобиль, часы…). Обратная ситуация: отрицательные перемены в одежде, личной гигиене и т. п.

 Как лучше незаметно наблюдать за новым работником в плане безопасности?

— Я не сторонник скрытого наблюдения за сотрудниками. Это не кажется мне этичным и формирующим «правильную» корпоративную культуру инструментом.

Гораздо более качественный результат приносит анализ и оценка коммуникаций между сотрудником и коллегами, оценка мнений и отзывов коллег, а также социометрические тесты.

 Сор из избы не выносят. Когда и почему компании, поймав шпиона за руку, скрывают случаи неудачного рекрутмента?

— По моему опыту, это происходит в тех случаях, когда осуществление деятельности «шпиона» или злоумышленника стало возможным в результате упущений в обеспечении информационной или финансовой безопасности компании, а также несовершенных процессов найма. Публичное признание проблемы до того, как она будет устранена (а это не всегда быстро), может не только спровоцировать дополнительные попытки шпионажа, но и привести к серьезному репутационному ущербу и даже к падению капитализации компании. Поэтому во многих компаниях существуют крайне жесткие политики и инструкции по действиям в подобных ситуациях.

* Михаэль Березин, HRD компании Cotton Way.

СПРАВКА О КОМПАНИИ

Компания Cotton Way — основатель и лидер российского рынка услуг по аренде и профессиональной обработке текстильных изделий (стирке, химчистке, дезинфекции).
Компания берет на себя реализацию полного технологического цикла проката имущества для государственных, муниципальных и коммерческих организаций, которые в своей работе применяют текстиль и нуждаются в профессиональном уходе за ним.

Компания предоставляет сервис таким структурам, как РЖД, больницы, фитнес-клубы, сетевые отели и санатории, давая клиентам возможность сконцентрироваться на своем основном бизнесе. Cotton Way сегодня — это 7 производственных и 30 складских комплексов по всей стране. Компания работает в большинстве городов-миллионников: Москве, Санкт-Петербурге, Казани, Нижнем Новгороде, Омске. Штат сотрудников насчитывает более 3000 человек.

Беседовала Мария Уланова