«Мы часто смешиваем два понятия: управление рисками и формальное соблюдение процедур. Первое, это живые процессы, направленные на защиту бизнеса. Второе, это симуляция деятельности, которая лишь имитирует защищённость, но парализует операционную работу. Сложившиеся в российском IT- и регуляторном контексте практики под видом ‘compliance’ зачастую культивируют второе, а не первое. Настоящая угроза исходит не столько от внешних атак, сколько от внутренней бюрократии, которая съедает время, ресурсы и смысл.»
Как compliance превращается в ритуал
Изначально процедуры контроля создаются с понятной целью: систематизировать работу и предотвратить потери. Однако со временем логика меняется. Факт выполнения процедуры становится важнее её результата. Например, согласование технической спецификации начинает проверяться не на корректность её содержания для проекта, а на наличие всех виз, подписанных определённым цветом и в строго отведённых полях. Основным вопросом становится не «Будет ли это безопасно и эффективно?», а «Соответствует ли это всем пунктам утверждённого регламента?».
Сформировавшаяся система оценивает себя сама. Успех службы внутреннего контроля измеряется количеством проведённых проверок, процентом выполненных процедур и отсутствием замечаний от вышестоящих органов. Эта метрика самовоспроизводится: чем больше формальных процедур выполнено, тем «лучше» выглядит система. При этом реальная защищённость активов может оставаться на прежнем уровне или даже снижаться, потому что внимание сосредоточено на форме, а не на содержании.
Классический пример — практика ежегодного инструктажа по информационной безопасности. Сотрудник подписывает журнал, прослушав стандартный набор тезисов. Система отчитывается о 100% охвате. Однако если спустя месяц спросить того же сотрудника о правилах обработки конфиденциальной информации, ответы будут размыты. Фактически, ресурсы потрачены на создание отчётного документа, а не на формирование культуры безопасности. Риск инцидента из-за человеческого фактора не снижается, но в отчётах всё в порядке.
Парадоксальным образом, такой подход может усиливать реальные риски. В ответ на усложнение формальных процедур сотрудники выстраивают неформальные, «теневые» процессы для решения рабочих задач. Согласования, требующие недели, обходятся через устные договорённости в мессенджерах. Критичные обновления инфраструктуры вносятся в обход громоздкой системы управления изменениями. Формальный compliance-отчёт демонстрирует идеальную картину, в то время как реальная ИТ-среда управляется по упрощённым и часто небезопасным схемам.
Почему «чекбоксинг», это ловушка для компании
Культура проставления галочек создаёт у руководства иллюзию управляемости и защищённости. Дашборды показывают зелёные индикаторы выполненных KPI, регулятор не предъявляет претензий. Однако эта картина часто расходится с операционной реальностью. Задержки в запуске продуктов из-за многоэтапных согласований, потеря ключевых поставщиков из-за просроченных из-за бюрократии документов, уход квалифицированных специалистов, не желающих тратить время на бессмысленные формальности — всё это остаётся за пределами compliance-отчётности.
Финансовые последствия такой симуляции носят скрытый, но системный характер:
- Упущенная выгода. Проекты, которые могли бы принести доход, теряются или серьёзно запаздывают из-за процедурных проволочек.
- Косвенные издержки. Время высокооплачиваемых специалистов (архитекторов, аналитиков, разработчиков) тратится не на создание ценности, а на обоснование своих действий в рамках громоздких регламентов.
- Риск реальных потерь. «Теневые» процессы, возникшие в обход бюрократии, не контролируются и не аудируются, что создаёт почву для инцидентов безопасности или финансовых нарушений.
Главная опасность «чекбоксинга» — в его самоподдерживающейся природе. Обнаружив проблему, бюрократическая система не ищет её коренную причину, а добавляет новый пункт в контрольный список или новый этап согласования. Объём процедур растёт, их полезность падает, а цикл повторяется. Компания попадает в спираль, где больше compliance приводит к меньшей реальной безопасности и эффективности.
Кто и как превращает рабочий процесс в бюрократию
Движение к ритуальной бюрократии редко бывает злым умыслом. Чаще это результат действия системных стимулов и ролей, которые формируются внутри организации.
| Роль в системе | Мотивация и действия | Итоговый эффект |
|---|---|---|
| Исполнитель, движимый страхом | Минимизация персональных рисков. Любое нетривиальное решение отправляется на многоступенчатое согласование для распределения ответственности. Инициатива подавляется в зародыше. | Рост сроков принятия решений, культура безответственности («меня согласовали»). Приоритетом становится соответствие форме, а не достижение результата. |
| Контролирующий орган, оцениваемый по количеству | Доказательство собственной полезности через метрики: число проверок, выявленных несоответствий, закрытых замечаний. Легче проверять форму (наличие подписей, версии шаблонов), чем суть. | Фокус смещается на незначительные формальные огрехи. Системные, сложные риски, требующие глубокого анализа, остаются без внимания, так как их проверка не даёт «понятных» цифр для отчёта. |
| «Трансплантолог» стандартов | Бездумное внедрение сложных западных фреймворков (ITIL, COBIT, ISO) без адаптации к масштабу, зрелости процессов и корпоративной культуре локальной компании. | Создание параллельной, «бумажной» реальности. Формально процессы описаны по мировым стандартам, но для реальной работы сотрудники вынуждены создавать упрощённые схемы, что увеличивает хаос и риски. |
| Внутренний игрок, использующий правила как инструмент влияния | Использование процедур согласования и контроля для блокировки невыгодных инициатив, защиты бюджета или усиления позиций собственного подразделения в корпоративной борьбе. | Процедуры управления рисками становятся оружием в политических играх. Инновации и оптимизация блокируются под благовидным предлогом «несоблюдения регламента». |
Особую проблему в российском контексте представляет адаптация международных практик. Многоуровневая система управления изменениями, эффективная в среде с высокой автоматизацией и зрелыми процессами, при переносе в компанию без такой базы превращается в тормоз. Согласование рядового обновления ПО растягивается на недели, что провоцирует инженеров на внесение изменений «втихую». Таким образом, формальный compliance не предотвращает риски, а вытесняет их в неконтролируемую область.
Что делать, если работа свелась к набору процедур
Выход из ловушки бюрократии начинается со смены философии контроля. Вместо вопроса «Все ли процедуры соблюдены?» нужно задавать вопрос «Какие риски мы закрыли и насколько эффективно?».
Принцип разумной достаточности
Внедрите на уровне подразделения или проекта прагматичный подход. Прежде чем инициировать длительную процедуру согласования, проанализируйте: какой конкретный ущерб она призвана предотвратить? Насколько вероятен этот сценарий? Если вероятность низка, а процедурные издержки велики, это основание для применения упрощённого порядка. Такой подход требует от сотрудников не слепого следования инструкциям, а понимания сути управляемых рисков.
Аудит результата вместо аудита процесса
Измените метрики для служб контроля. Вместо отчёта «Проведено 100 проверок по шаблону X» требуйте данные: «В результате проверок и внедрённых корректирующих действий количество инцидентов типа Y снизилось на Z%». Смещение фокуса на итоговые бизнес-показатели (скорость вывода продукта, количество сбоев, уровень удовлетворённости внутренних клиентов) заставляет перестраивать саму систему контроля, делая её полезной.
Механизм санкционированного отклонения
Создайте официальный и поощряемый канал для обхода устаревших или неуместных правил в нештатных ситуациях. Если сотрудник видит, что соблюдение регламента приведёт к срыву критического срока или увеличению риска, он может отступить от него, но обязан в кратчайший срок задокументировать своё решение, обосновать его с точки зрения управления рисками и инициировать пересмотр проблемной процедуры. Это превращает исключения в источник развития, а не в нарушения.
Обучение контексту, а не тексту
Прекратите проводить инструктажи, где зачитывают пункты регламента. Вместо этого разбирайте реальные кейсы из истории компании или отрасли. Объясняйте: «Правило шифрования съёмных носителей появилось после инцидента 2020 года, когда потеря флешки обернулась судебным разбирательством». Когда люди понимают «почему», они начинают осмысленно применять «что», а иногда и предлагать более эффективные решения.
Как отличить работающий compliance от его симуляции
Диагностировать проблему можно по ряду косвенных, но ярких признаков. Задайте в компании несколько проверочных вопросов.
Тест на здравый смысл: «Что произойдёт, если сотрудник отступит от инструкции для предотвращения очевидного ущерба?» В симуляционной системе его накажут за нарушение регламента. В живой — оценят его решение по результату и, если оно было верным, доработают саму инструкцию.
Тест на полезность правил: Как часто и на каком основании пересматриваются внутренние регламенты? В бюрократической системе они меняются редко и только под давлением регулятора. В эффективной — правила постоянно эволюционируют на основе анализа инцидентов, обратной связи от сотрудников и изменений в бизнес-процессах. Устаревший регламент считается таким же риском, как и его отсутствие.
Ключевые индикаторы настоящего compliance, ориентированного на результат:
- Снижение операционных задержек. Оптимизация контрольных процедур напрямую связана с ускорением циклов разработки или вывода услуг.
- Качественное изменение инцидентов. Количество событий может не падать, но их характер меняется: исчезают грубые ошибки из-за незнания, появляются сложные случаи, требующие тонкого анализа, что свидетельствует о росте зрелости процессов.
- Инициатива снизу. Сотрудники, не относящиеся к службе безопасности, самостоятельно предлагают улучшения в процессах защиты информации или оптимизации регламентов, потому что понимают их смысл и заинтересованы в эффективности.
В конечном счёте, работающий compliance перестаёт быть отдельной функцией. Он становится частью производственной культуры, где каждый сотрудник осознаёт свою роль в управлении рисками и обладает не только инструкцией, но и полномочиями для её осмысленного применения. Оценивается при этом не аккуратность заполнения журналов, а способность предвидеть проблемы и предотвращать их до того, как они потребуют формального расследования.