Управление экономической безопасностью организации

Если рассматривать систему экономической безопасности как автоматизированную систему управления, то можно использовать стандарт ISO/IEC 12207 – процессы жизненного цикла программных продуктов. Стандарт ISO/IEC 12207 разрабатывался с учетом лучшего мирового опыта, что может помочь интеграции в другие системы.

В соответствии со стандартом ISO/IEC 12207, процессы жизненного цикла делятся на три группы [67]:

• основные.

• вспомогательные.

• организационные.

Аналогично можно разделить и все процессы, связанные с экономической безопасностью.

На рис. 2.12 представлены этапы жизненного цикла системы экономической безопасности. Последний этап – ликвидация и реорганизация, как правило, является началом процесса создания новой организации, а вместе с ней и другой системы экономической безопасности.

Принятие решения о создании системы экономической безопасности. Для современных организаций вопрос о формировании системы экономической безопасности не стоит: создавать или нет. Вопрос может быть поставлен только: какую систему безопасности следует создавать. Для магазина, кредитной организации или производства такая система потребует существенных затрат. Для индивидуального предприятия, небольшой организации, например, занимающейся реализацией, достаточно будет определения функционала одному из сотрудников.

Рис. 2.12. Этапы жизненного цикла системы экономической безопасности

Формирование целей и задач системы экономической безопасности. Этот этап является одним из самых важных. Ошибки исправимы, но исправления могут дорого обойтись. Все остальные этапы будут руководствоваться направлением, выбранным на данном этапе. Для определения целей и задач придётся определиться с основными внутренними и внешними угрозами.

Цели:

• минимизация потерь от внутренних хищений;

• защита от действий конкурентов;

• сохранение клиентской базы в тайне.

Различные цели требуют выполнения совершенно различных задач. Задачи должны быть сформированы таки образом, чтобы достижение цели стало обязательно возможным. Многие эксперты сходятся во мнении, что амбициозность задач, связанных с безопасностью по примеру амбициозности в бизнесе, недопустимы. Задачи повлияют на состав сил и средств.

Разработка концепции системы экономической безопасности. Концепция системы экономической безопасности должна учитывать позицию руководства и органично вписываться в культуру организации. Концепция определяет замысел, технические особенности, научные подходы. В процессе формирования системы экономической безопасности могут быть незначительные отклонения от концепции. Концепция должна не только указывать направления развития, но показывать пути для достижения цели.

Концепция может быть представлена как множество различных взглядов на проблему экономической безопасности, но такой подход может значительно усложнить формирование системы.

Не следует в концепции пытаться изложить весь план формирования или реинжиниринга системы экономической безопасности. Такой подход усложняет задачу и не дает ожидаемого эффекта. При планировании бизнес-процессов за концепцией может идти разработка стратегии. На этапе создания системы экономической безопасности стратегия может быть отложена на более позднее время. Однако, более логично этап разработки концепции и стратегии объединить в единый.

Разработка требований. Требования к системе экономической безопасности должны быть в виде точного и однозначного описания совокупности характеристик, необходимых для нормального функционирования. Если для формирования требований есть международные или российские стандарты, то желательно придерживаться их структуры. Это в дальнейшем позволить упростить процесс интеграции системы экономической безопасности в общий контур управления. Требования к системе экономической безопасности могут быть получены как совокупность требований к системам, влияющим на экономическую безопасность. При этом к такой совокупности требований должны быть добавлены требования по надежности, эффективности и устойчивости самой системы безопасности. Требования не должны усложнять и удорожать систему экономической безопасности. После определения требований следует еще раз пересмотреть их и оставить только те, которые имеют значительное влияние на всю систему. Остальные требования желательно оставить как частные.

Планирование состава сил и средств системы экономической безопасности. Все предшествующие этапы жизненного цикла системы экономической безопасности были необходимы для решения задач планирования сил и средств. Сложность этапа планирования вызвана тратами и увеличением штата, что всегда негативно встречается руководством. На этом этапе доверие к руководителю экономической безопасности со стороны топ-менеджмента как никогда актуально.

Большим подспорьем при планировании сил и средств является опыт. Если его нет, то придётся привлекать опытных экспертов или идти путем проб и ошибок. Задача планирования значительно упрощается при возможности обмена мнениями с другой успешно развивающейся организацией, в которой имеется устойчиво работающая система экономической организации.

Планирование сил и средств предполагает не только получение количественных характеристик, но и иерархию подчиненности. Модным трендом сегодняшнего времени является выстраивание штата под конкретные персоны, однако этот способ может иметь множество негативных последствий, вызванных средним непродолжительным временем пребывания сотрудников в организации. Статистика показывает, что современные молодые люди кардинально меняют свою трудовую деятельность каждые 2–3 года.

Описание системы экономической безопасности. Этому этапу жизненного цикла системы экономической безопасности посвящен отдельный раздел данной книги. Дискуссионной является вопрос: должен ли руководитель экономической безопасности уметь описывать систему в стандартах IDEF или UML. По мнению автора, ответ очевиден. Грамотное, четко структурированное описание значительно облегчит труд программистов, интегрирующих систему безопасности в систему управления организации. Разработка должностных инструкций, определение функционала и действий в сложных ситуациях будут значительно упрощены, если имеется четкое описание. Для описания системы экономической безопасности можно использовать такие средства как БиПивин (BPwin) или Арис Экспресс (ARIS Express). Автоматизированное описание позволяет выявлять дублирующие потоки информации, что достаточно сложно решить при ручной обработке.

Оценка эффективности системы экономической безопасности. Традиционные методики оценки эффективности основного бизнеса не всегда могут быть использованы при оценке эффективности системы экономической безопасности. Вызвано это тем, что система экономической безопасности, в отличие от других экономических систем, не приносит прямой прибыли. Методы оценки эффективности системы экономической безопасности более подробно описаны ниже.

Создание прототипа наиболее сложных подсистем системы экономической безопасности. Основной целью этого этапа является выявление слабых мест на ранних этапах. Начальные этапы позволяют вносить незначительные коррективы. Другой целью является совмещение разнородных подсистем и элементов между собой. Для системы экономической безопасности, с ее разрозненными технологическими решениями, это один из важных вопросов. Как поведут себя при объединении аналоговые и цифровые каналы? Способна ли система видеонаблюдения выдать требуемое разрешение? Имеется ли возможность интеграции подсистемы противопожарной безопасности с видеонаблюдением и передачей сообщений? Ответы на эти вопросы можно получить после создания прототипов отдельных подсистем экономической безопасности. На этом этапе учитывать следует не только совмещение технологий, но и совмещение программного обеспечения, используемого в системе экономической безопасности. Анализ программного обеспечения следует начинать с системы управления организацией. Это вызвано необходимостью получения множественных выходных параметров, позволяющих решать задачи экономической безопасности.

Формирование системы экономической безопасности. Это этап практической реализации. Во время практической реализации привлекается большое количество экспертов как в области экономической безопасности, так и областях, влияющих на процессы безопасности. Руководитель организации должен понимать, что систему экономической безопасности невозможно создать «к утру» или «к понедельнику». Это продолжительный период. Поспешность на этапе формирования системы приведет к лишним издержкам. Формирование системы экономической безопасности для средней организации обычно занимает от трех до шести месяцев. Этот этап требует основных и разовых затрат. Такие затраты могут превысить миллионы рублей. Экономия на системе безопасности может привести к еще большим потерям.

Спорным является вопрос о привлечении к формированию и настройкам системы безопасности внешних исполнителей. Есть мнение, что лучше всю работу выполнять собственными силами. Однако сложность современного оборудования, связанного с обеспечением экономической безопасности, все равно потребует высококвалифицированных специалистов, которых в штате обычной организации, как правило, нет. При привлечении внешних специалистов особое внимание следует уделять лицензиям и другим разрешениям на особый вид деятельности, связанной с экономической безопасностью. Кроме этого, всегда следует обращать внимание на дальнейшее сопровождение установленного оборудования и программного обеспечения. В Российской Федерации, и особенно в Московском регионе, осталось еще много компаний, работающих по принципу «урвать и убежать». Такие компании, устанавливая нелицензионное или ненадежное оборудование, демонстрируют его работоспособность, а дальнейшие проблемы, вызванные сбоями, пытаются перенести на производителей оборудования, часто размещенного в Китае, где, как известно, сложно решать возникающие проблемы в законном поле.

На этапе формирования системы экономической безопасности можно использовать типовые модели, которые хорошо проявили себя в практическом использовании. К числу основных моделей жизненного цикла системы экономической безопасности можно отнести каскадную и спиральную модели. В отдельных случаях может применяться итерационная или V-образная модель, однако, из-за редкости их использования, описывать их не будем. На рис. 2.13 представлена каскадная модель жизненного цикла системы экономической безопасности.

Рис. 2.13. Каскадная модель жизненного цикла системы экономической безопасности

Представленная на рис. 2.13 каскадная модель, иногда встречающаяся в литературе под названием waterfall,[21 - Водопад.] содержит следующие этапы:

Первый этап. Исследование концепции системы экономической безопасности. На этом этапе определяются требования к системе, разрабатывается укрупненная модель системы безопасности. Важной частью первого этапа является оценка возможности реализации модели и предварительная оценка ее эффективности. Не следует переходить к последующим этапам, пока не появится полное видение всей системы безопасности.

Второй этап. Определение требований. На этом этапе определяются все требования к системе безопасности.

Третий этап. Разработка системы безопасности. На этом этапе закупается оборудование, осуществляется подготовка специалистов, формируются логические последовательности. Кроме приобретения и установки элементов безопасности, на этом этапе определяются методы хранения и архивации собираемых данных.

Четвертый этап. Реализация. Этот этап может быть объединен с предыдущим. При формировании систем безопасности для крупных организаций или организаций, связанных с информационными технологиями, данный этап выделяется в отдельный. Если система безопасности является сложной, то на четвертом этапе может осуществляться тестирование системы. Следует учитывать, что тестирование системы безопасности может потребовать продолжительного времени.

Пятые этап. Эксплуатация и поддержка системы безопасности. Начало эксплуатации сложных систем, к которым относится и система экономической безопасности, всегда сопровождается появлением сбоев и ошибок, которые невозможно было выявить до начала эксплуатации. Поэтому, на этом этапе требуется поддержка и технической обслуживание. Часто требуется отдельный план по устранению ошибок, возникающих на этапе начала практической эксплуатации системы экономической безопасности.

Шестой этап. Сопровождение. Этот этап может осуществляться своими или привлекаемыми силами. Окончанием этого этапа является начало разработки новой системы экономической безопасности, с последующим выводом из эксплуатации старой системы.

Спиральная модель жизненного цикла системы экономической безопасности применяется если:

• имеется потребность в исправлении ошибок, допущенных на начальных этапах;

• для реализации недостаточно опытных специалистов;

• требуется полное или частичное изменение функциональных требований;

• недостаточно информации для понимания архитектуры системы экономической безопасности;

• окончательное принятие решения о дальнейшем использовании осуществляется после апробирования прототипов отдельных элементов системы экономической безопасности.

• возможно появление новых требований в процессе разработки системы экономической безопасности.

Появление новых требований в процессе разработки системы экономической безопасности является достаточно распространенным, так как предусмотреть все на начальном этапе практически невозможно.

Возможна еще одна ситуация, при которой потребуется использовать каскадную модель: разрыв между квалификацией специалистов, создающих систему экономической безопасности, и требованиями к системе.

За основу спиральной модели жизненного цикла системы экономической безопасности можно взять модель жизненного цикла программных продуктов, описанную Б. Боэмом (Barry Boehm) в 1988 году [68]. Предполагая, что после теоретической проработки системы экономической безопасности она будет реализована в рамках информационной системы организации, можно уверенно сказать о том, что именно спиральная модель Б. Боэма лучше всего подходит для организации таких процессов.

На рис. 2.14 представлена спиральная модель жизненного цикла системы экономической безопасности. Модель разбита на четыре зоны:

• определение целей системы экономической безопасности, альтернативы и ограничения, налагаемые на систему;

• оценка альтернатив и рисков системы экономической безопасности;

• подготовка следующего уровня жизненного цикла системы экономической безопасности;