«Мы тратим месяцы на создание томов compliance-документов, которые никто не читает, а потом удивляемся, почему сотрудники нарушают правила. Потому что эти правила написаны не для них. Они написаны для проверяющего, для галочки в отчёте, для юридического досье. В итоге мы получаем не инструмент управления рисками, а их главный источник — документ, который имитирует безопасность, создавая ложное чувство защищённости. Настоящая защита начинается, когда инструкция перестаёт быть формальностью и становится таким же понятным и необходимым рабочим инструментом, как система учёта задач.»
Смещённая цель: документация для проверки, а не для работы
Формально задача compliance — привести процессы в соответствие с требованиями 152-ФЗ и регуляторов вроде ФСТЭК. Но на практике цель давно подменилась. Основным «читателем» и негласным заказчиком внутреннего регламента стал не сотрудник, а внутренний аудитор или инспектор во время проверки.
В этой парадигме документ оценивается по другим критериям. Критически важны формальные признаки: наличие всех обязательных разделов, ссылки на актуальные приказы, визы и печати. Фактическая полезность текста для инженера, менеджера или бухгалтера отходит на второй план. Система поощряет создание юридически безупречных артефактов, которые служат доказательством исполнения обязанности, а не руководством к действию.
Это формирует замкнутый круг. Отделы, отвечающие за соответствие, оптимизируют документы под запросы проверяющих. Сотрудники, для которых эти инструкции якобы написаны, игнорируют их, потому что не находят там ответов на рабочие вопросы. Авторы, видя это игнорирование, перестают вкладываться в ясность, фокусируясь на создании идеального с точки зрения отчётности, но абсолютно нефункционального текста. Такой документ перестаёт быть инструментом и превращается в элемент защитного досье компании — бумагу, которую предъявляют постфактум, когда что-то пошло не так.
Язык как инструмент обфускации, а не коммуникации
Стиль типичных compliance-документов — тяжёлый канцелярит, унаследованный от языка нормативных актов. Но если закон вынужден быть универсальным и допускать толкования, то внутренняя инструкция должна делать прямо противоположное: давать однозначное руководство к действию.
Вместо этого доминируют пассивные залоги и отглагольные существительные: «осуществляется контроль», «предусмотрено проведение», «обеспечивается формирование». Подобные конструкции описывают абстрактный процесс, но не отвечают на ключевые вопросы: кто, что и когда должен делать.
Такой выбор языка не случаен. Он решает несколько скрытых задач, не имеющих отношения к реальной безопасности:
- Создание экспертной монополии. Если документ может корректно истолковать только специалист из юридического отдела или службы compliance, его роль становится незаменимой. Это укрепляет позиции отдела-создателя внутри организации.
- Маскировка неопределённости процессов. Расплывчатая формулировка позволяет скрыть отсутствие чёткого, отлаженного алгоритма. Фраза «принимаются соответствующие меры» часто означает, что порядок действий просто не определён.
- Имитация солидности. Существует ложное убеждение, что просто написанный документ воспримут как поверхностный. Текст искусственно усложняют, чтобы придать ему видимость основательности и глубины проработки.
Какие реальные риски порождает «бумажный» compliance
Ирония в том, что документ, созданный для снижения рисков, сам становится их источником. Формальное наличие инструкции создаёт у руководства ложное ощущение защищённости, тогда как реальные уязвимости остаются.
Разночтения и самодеятельность на местах
Абстрактный регламент неизбежно трактуется каждым руководителем подразделения по-своему. В итоге в рамках одной компании могут параллельно существовать несколько разных практик обработки персональных данных или реагирования на инциденты. Такая несогласованность опасна, так как атака часто происходит по самому слабому, наименее регламентированному звену.
Снятие персональной ответственности
Неясная инструкция подрывает саму основу дисциплины. Если сотрудник нарушит правило, но докажет, что не мог его корректно понять из предоставленных материалов, проверяющий орган может возложить основную вину на компанию. Организация лишается морального и часто юридического права требовать исполнения того, что невозможно осознать.
Формирование культуры формального выполнения
Процедура ознакомления с документами вырождается в ритуал «поставить галочку». Сотрудник ставит электронную подпись, не вникая в суть. Позже, при расследовании инцидента, служба compliance предъявит эту подпись как доказательство осведомлённости. Но это фикция, не отражающая реального понимания. Вся система внутреннего контроля начинает работать «вхолостую», создавая только видимость деятельности.
Быстрая диагностика: ваш документ, это инструмент или муляж?
Определить, работает ли ваш регламент или просто хранится в системе, можно с помощью простых тестов.
- Тест на пересказ. Дайте документ сотруднику, для которого он написан. Попросите объяснить своими словами три ключевых действия из первой страницы. Если ответ сводится к общим словам («соблюдать», «быть осторожным») или вызывает затруднения — документ не работает.
- Тест на скорость поиска ответа. Смоделируйте типовую ситуацию («потерян токен», «поступило подозрительное письмо с вложением»). Засеките время, за которое человек найдёт в документе чёткую инструкцию, что делать. Если поиск занимает больше трёх минут и требует изучения нескольких разделов — структура провалила свою задачу.
- Тест на плотность действий. Возьмите случайную страницу. Подсчитайте процент предложений, которые начинаются с конкретного глагола-действия или прямого указания. Если таких меньше половины — текст слишком абстрактен и не ориентирован на практику.
Альтернативный подход: от декларации к рабочему инструменту
Сдвиг от создания «документа для проверки» к написанию «инструмента для сотрудника» требует изменения базовых принципов.
Принцип бинарности: чёткие запреты вместо размытых рекомендаций
Замените все расплывчатые формулировки на простые правила типа «можно/нельзя», «обязан/не обязан».
| Типичная формулировка | Рабочая формулировка |
|---|---|
| «Следует минимизировать использование общедоступных мессенджеров для передачи служебной информации» | «Запрещено передавать служебную информацию, включая скриншоты и файлы, через публичные мессенджеры. Для рабочих вопросов используйте корпоративный чат или почту.» |
| «Установка программного обеспечения должна осуществляться с санкции ответственного лица» | «Устанавливать на рабочий ПК любое новое ПО можно только через систему заявок. Самостоятельная установка запрещена.» |
Принцип алгоритмичности: блок-схемы и чек-листы вместо сплошного текста
Любую процедуру, от обработки заявки до реагирования на инцидент, можно визуализировать. Пошаговая инструкция или наглядная схема усваивается в разы быстрее.
Пример для инструкции по инцидентам ИБ:
- Шаг 1 (Обнаружение): Вы заметили что-то подозрительное на компьютере или в почте.
- Шаг 2 (Сообщение): Немедленно отправьте скриншот или описание в специальный канал для инцидентов. Не пытайтесь устранить проблему самостоятельно.
- Шаг 3 (Подтверждение): Позвоните на внутренний номер службы ИБ и сообщите номер заявки.
- Шаг 4 (Ожидание): Не выключайте компьютер и не закрывайте проблемное окно до указаний специалиста.
Принцип двухслойности: разделить суть и обоснование
Основной текст документа, это краткая, максимально конкретная инструкция. Все обязательные ссылки на 152-ФЗ, приказы ФСТЭК, ГОСТы и юридические обоснования выносятся в отдельное приложение или оформляются в виде сносок. Это очищает рабочий контент от «шума», оставляя только суть.
Принцип внедрения через практику, а не ознакомление
Новый регламент не рассылается почтой с требованием «ознакомиться». Он становится основой для коротких практических сессий или тренировок. На разборе реального или учебного кейса показывается прямая связь: «Вот как произошёл инцидент из-за непонимания старой инструкции. Вот что говорит новый регламент. Вот как нужно действовать сейчас». Если для нового правила нельзя придумать понятный пример из жизни компании — стоит задуматься, нужно ли такое правило вообще.
Конечная цель compliance — не папка с документами, которая понравится проверяющему, а изменение реального поведения людей для снижения вероятности сбоев и утечек. Документ, не предназначенный для этого, не просто бесполезен. Он опасен, поскольку создаёт иллюзию контроля. Первый шаг к настоящей культуре соответствия — перестать производить тексты для галочки и начать создавать инструкции, без которых невозможно эффективно работать.