Централизованное управление в строительстве плюсы и минусы. Плюсы и минусы централизованных структур управления. Гибридная модель управления в «Макдоналдсе»

Плюсы централизации

Важнейшими преимуществами системы с централизованной структурой можно считать следующие:

1. Высокие мобилизационные способности.

Поскольку в централизованной системе принятое на высоком уровне решение является обязательным для всех нижестоящих подсистем, система может мобилизовать все свои ресурсы на решение сложных задач, требующих мощной реакции, - например, на отражение агрессии или решение в кратчайшие сроки таких задач, которые требуют напряжения и согласованной работы гигантского количества подсистем.

2. Относительно малое время реакции на воздействия (внутренние или внешние).

В основном это определяется тем, что в централизованной структуре относительно невелико «расстояние» от подсистемы нижнего уровня до центра, принимающего решения, обязательные для всех подсистем. Правда, сказанное верно не для любых централизованных систем. Если число уровней велико, то, во-первых, путь, проходимый информацией по направлению к центру, немал, а, во-вторых, на каждом уровне подсистемами вносится свой «шум» и информация хотя бы в малой части искажается. Поэтому дошедшая до центрального управляющего звена информация может не соответствовать действительному положению дел и, соответственно, центр может принять решения, неадекватные ситуации и способные нанести вред всей системе вследствие отдачи нераивльных или просто бестолковых команд. Можно сказать, что иерархические структуры более, чем с пятью-семью уровнями, являются неустойчивыми именно из-за слишком большого искажения информации при передачи её через уровни. Для организационных систем снизить уровень вносимого шума можно, применив компьтерные информационные системы. Тогда у централизованной структуры управления появляется возможность расти ещё некоторое время. Целям сохранения централизованной административной системы в нашей стране должна была служить неудавшаяся в 70-х годах, благодаря общему беспорядку, попытка создания единой охватывающей все уровни управления системы АСУ. Т.е. эта попытка тогда запоздала и несмогла реализоваться как раз из-за уже разросшейся многоуровневой системы управления государством.

3. В централизованной системе достаточно просто реализовать процессы информационного взаимодействия (координации действий более низкого уровня)

В иерархической системе создается принципиальная возможность глобальной оптимизации управления системой в целом.

Действительно, владение всей картиной дел в системе позволяет центру без особых трудностей организовать (кто ему возразит?) управление, оптимальное с точки зрения всей системы в целом. При этом центр может допустить функционирование каких-либо подсистем не в оптимальном режиме (на дотациях), а в некоторых случаях и пойти на ликвидацию подсистем ради существования системы в целом. (Всё это, правда, хорошо, если решения принимаются грамотным и информированным центром.) К сожалению, централизованная система не способствует в общем случае попаданию в центр грамотного лидера. Для этого нужно создавать правила продвижения наверх самых толковых. Однако, некоторая «схема» все же имеется - демократия в условиях развитого общества.

Из приведенных базовых свойств можно сформировать достаточно большое количество частных достоинств централизованных структур, что можно применять в свойе жизни и деятельности:

1.1 Для развивающейся организационной структуры при быстром росте системы различные подсистемы растут с разной скоростью, сильное и грамотное централизованное управление может не позволить некоторым подсистемам развиваться за счет других или в ущерб целям организации в целом.

1.2. Централизованное управление в условиях дефицита квалифицированных кадров в области менеджмента позволяет более эффективно использовать знания и опыт тех профессионалов, какие имеются в наличии, устанавливая их в вершинах иерархии управления.

Минусы централизации

Относительные недостатки централизованных структур:

1. В целом недостаточно высокие адаптационные способности (негибкость) системы.

Для того, чтобы реорганизовать систему, подсистемам требуется « убедить» в этой необходимости центральное звено системы, которое часто считает, что именно оно владеет полной информацией и пониманием проблем. Учитывая, что в «большой» централизованной системе уровни вносят свой информационный шум, и центр может не получать объективной информации о состоянии подсистем, подобное убеждение может не иметь успеха. В организационных системах, например, таких, как наше бывшее социалистическое государство, перестройка стала возможна лишь с 1985г., когда созрели (и даже перезрели) предпосылки для смены системы управления народным хозяйством, а также подросли до возраста власти лидеры, заражённые относительной свободой «оттепели» 60-х годов. До этого года все попытки изменить структуру управления не имели успеха.

2. Относительно низкая надежность системы.

Поскольку всем в конечном счете заведует центр, и он же является самым информированным, уничтожение центра, перегрузка или поломка приводят к дезорганизации и даже разрушению системы в целом. Определенным решением проблемы можно считать усиленную защиту центра от внешних агрессивных воздействий и увеличение избыточности в средствах коммуникации.

3. Сильная зависимость поведения всей системы от поведенческих характеристик центра.

Раз центр принимает решения, обязательные для всех подсистем, поведение системы определяющим образом зависит от «грамотности» центрального звена или характера идеи, реализуемой центральным органом. Можно даже сказать, что централизованная система имеет характер того объекта, который находится в центре управления системой (в общественно-экономических системах вспомним Ленина, Сталина, Хрущева, Брежнева. - Так психология конкретного политического деятеля существенно меняла характер государства и поведение его на международной арене).

В природных централизованных системах ядро всегда несет в себе наиболее важные поведенческие «гены», определяя «правила игры» других подсистем во внутренней среде системы в целом. Примеров можно привести множество.

Какая модель управления лучше - централизованная или децентрализованная? Если кто-то в ответ укажет на одну из них - он плохо разбирается в управлении. Потому что в менеджменте нет плохих и хороших моделей. Все зависит от контекста и его грамотного анализа, позволяющего выбрать оптимальный способ управления компанией здесь и сейчас. Централизованное управление - отличный тому пример. Разбираемся, когда эта модель работает хорошо, а когда она неприемлема.

Понятия, полномочия, задачи

Все дело в разделении труда и решений: как распределить задачи для каждой структурной единицы и на каком уровне будут приниматься ключевые решения. Распределение труда и принятие решений по вертикальному принципу приведет к формированию централизованной системы управления. Иерархия подчинения в такой компании жесткая, а полномочия сотрудников минимальны и расписаны самым тщательным образом.

Компании, в которой полномочия принимать ключевые решения принадлежат первому руководителю и его ближайшему окружению, называются централизованными. Противоположные по способу управления компании называются децентрализованными. В них полномочия распределены по подразделениям и сотрудникам разного уровня, даже низовые звенья могут принимать решения по достаточно широкому кругу вопросов бизнеса.

Признаки централизованного принципа управления

Их немного:

• Административных отделов больше чем нужно.
• Их функции важнее, чем у производственных.
• Исследовательские структуры локализуются в центральном офисе лидирующей компании холдинга.
• Контроль производства продуктов, их сбыта, маркетинговых проектов и всех остальных функциональных единиц производится через центральные административные отделы головного офиса.

Централизация бывает разной

В реальной жизни моделей централизованного управления в чистом виде не существует (как и децентрализованных). Разница между компаниями заключается лишь в степени самостоятельности решений на разных уровнях, то есть в степени делегирования полномочий и прав. Если разобраться, то любую организацию можно отнести к централизованной или децентрализованной, если сравнивать ее с другими предприятиями.

Критерии, по которым можно оценить степень «централизованности», следующие:

1. Относительная доля решений, которые принимаются и реализуются на среднем и низовом уровнях. Если эта доля составляет меньшую часть общих решений, организация тяготеет к централизованной модели.
2. Теперь о качестве решений на среднем и низовом уровнях: если решения по поводу изменений направлений работы или, к примеру, распределения значительных ресурсов могут приниматься только высшим руководством, перед вами модель централизованного управления.
3. Широта решений среднего и низового уровня: если они охватывают лишь одну функцию, перед вами централизованная компания.
4. При централизованном управлении высший менеджмент постоянно контролирует повседневную работу и в особенности решения подчиненных. Можно, конечно, подумать, что ни одна компания в принципе не обходится без контроля работы подчиненных. Но в децентрализованных фирмах оценку работы сотрудников предпочитают проводить по общим критериям: прибыльности, например.

У этих критериев весьма относительный характер. Но и оценивать компании при их помощи нужно только в сравнении с другими.

Преимущества модели

Чрезвычайно важно освободиться от ненужного стереотипа, сложившегося в связи с этим понятием. Очень часто его связывают с «советским» стилем, включающим все административно-командные элементы. На самом деле у модели централизованного управления другая природа и серьезные достоинства:

• Минимизация дублирования функций или мероприятий.
• Возможность быстро и четко стандартизировать операции и процессы в компании.
• Относительная простота эффективного контроля работы систем и сотрудников в целом и в частности.
• Возможность оптимизации использования ресурсов в виде кадров, площадей, оборудования и т. д.

Это великолепные возможности быстро мобилизовать коллектив. В строгой иерархической системе решения высшего руководства являются обязательными для всех подразделений, расположенных ниже. Поэтому такие компании способны мобилизовать все человеческие ресурсы для решения экстренных и сложных задач, т. е. там, где нужна согласованная напряженная работа всех структур. Самым ярким и популярным примером является отражение внешней агрессии. Исторических подтверждений тому много, потому что лучше всего с внешними нападениями справлялись страны с централизованной системой управления: быстро и вместе.

Возможность эффективной реализации новых направлений деятельности либо структурных изменений для повышения операционной эффективности. Жесткие, иногда непопулярные, но необходимые решения легче проводить централизованно.

Кризисное управление также предполагает быстрые и всеобъемлющие решения, которые нужно выполнять не только беспрекословно, но и в короткие сроки. Практически любая критическая ситуация в бизнесе эффективнее всего решается централизованным способом управления. хорошо это понимают.

Когда централизованное управление полезно и нужно

Достоинства данной модели позволяет применять ее широко. Не нужно забывать, что централизованный принцип управления можно использовать временно - в течение определенного промежутка времени для выполнения вполне конкретных задач.

• При организации и развитии новой компании, в которой разные подразделения растут с разной скоростью и успехом. В такой ситуации нужен централизованный контроль с прямыми директивами, не позволяющими одним расти за счет других.
• При кадровом управленческом дефиците, встречающемся чаще, чем хотелось бы. Для покрытия этого дефицита понадобится время для двух задач: найма подходящих менеджеров со стороны и обучения собственных кандидатов на руководящие позиции. В течение этого периода первому руководителю будет полезно все взять в свои руки, чтобы отсутствие профессионалов в управлении на местах не сказалось на работе.

Примеры можно продолжать. Главное - хорошо понимать текущую ситуацию в компании и задачи, которые вы хотите реализовать.

Можно ли использовать централизованную модель постоянно? Конечно, можно. С учетом размеров компании, квалификации ее персонала, региона деятельности фирмы, персональных качеств первого руководителя и т. д.

Стив Джобс и его автократия

Стив Джобс - типичнейший пример настоящего кризисного менеджера. С ним связано немало стереотипов. Классическое объяснение его успехов заключается лишь в одном аргументе: «потому что он страстно верил». Спору нет, вера в успех и правильность действий - важный фактор. Но на одной вере далеко не уедешь. Нужно сделать так, чтобы подчиненные не только поверили, но и бросились выполнять все, что им будет поручено.

Автократы действуют как монархи, обладающие полной властью для достижения их целей. Для этого нужна огромная сила воли и, конечно, вера. Все это в полной мере присутствовало у Стива Джобса: «Это мой путь, это лучший путь». Сотрудники называли Джобса «Его Величеством». Он был не просто автократом, он был крайним автократом.

Гибридная модель управления в «Макдоналдсе»

Интереснейший пример показывает знаменитый «Макдоналдс». Все зависит от природы и вида решений. Среднее звено управляющих (некоторые арендаторы и управляющие ресторанами) имеют огромные полномочия вплоть до полной самостоятельности в принятии решений по поводу человеческих ресурсов, размещения новых ресторанов или закупки продуктов. Налицо децентрализованный подход к управлению.

Что же касается решений по ценовой политике или выпуска новых продуктов, то они принимаются в рамках функций централизованного управления: высшим руководством без каких-либо обсуждений с подразделениями ниже. Великолепный пример умной комбинации разных подходов в управлении.

Недостатки: бумажные горы и другое

Без недостатков не обходится ни одна управленческая система. Недостатки централизованной модели следующие:

• Задержка принятия решений наверху. Пусть вас не удивляет этот пункт. Выше упоминалось о быстром исполнении решений начальства, но не об их быстром принятии.
• Иногда имеет место невысокое качество решений наверху, ведь один человек не может знать все сразу и обо всем. Сказывается недостаток информации и незнание реальной ситуации на местах.
• Бумажные горы, рост числа документов, неоправданная бюрократия в виде лишних громоздких процедур.

Разобравшись, в чем заключаются достоинства централизованных структур управления, можно применять эту модель самым эффективным образом. Это может быть и временный способ, и частичный для отдельных функций. Главное - верить в себя и в свой путь. Как Стив Джобс.

В кризис компании начинают искать новые пути минимизации затрат, увеличения скорости принятия решений. И нередко часть этих проблем решается через создание централизованных финансовых служб. Прежде чем приступать к реорганизации, необходимо понять плюсы и минусы этого процесса, а так же объем возможных инвестиций.

Преимущества и недостатки централизации финансовой службы

Централизация финансовой службы может быть выгодна с точки зрения:

• большего и оперативного контроля над хозяйственной деятельностью дочерних предприятий;
• устранения кадровых проблем (отпуска, болезни, замены сотрудника);
• минимизации ошибок при составлении отчетности;
• экономии затрат на полноценную финансовую службу в более мелких «дочках»;
• доступа к более дешевым кредитным ресурсам;
• внедрения единого документооборота.

Но при этом централизация может иметь и некоторые минусы, а именно:

• инвестиции в набор и обучение персонала централизованной финансовой службы;
• перестройка действующей системы документооборота;
• возможные инвестиции в программное обеспечение;
• потеря времени (в России много часовых поясов);
• рост затрат на фонд оплаты труда;
• рост расходов на командировки.

Поэтому решение в каждом конкретном случае принимается с учетом текущих бизнес-задач, которые стоят перед компанией. Например, это могут быть такие задачи:

• улучшение кредитных условий;
• более быстрое и точное формирование отчетности по РСБУ и МСФО;
• усиление контроля за товарными и денежными потоками.

Если именно эти вопросы будут более эффективно решаться путем создания централизованной финансовой службы , то решение оправдано. Однако процесс необходимо организовать таким образом, чтобы избежать и финансовых и временных потерь.

Какие функции целесообразно оставить на местах и почему

В некоторых случаях, даже с учетом общей централизации, некоторые функции все же целесообразно оставлять на местах. Решения такого рода принимается с учетом специфики бизнеса, но можно отметить несколько более общих правил.

Бухгалтерская служба . Несмотря на действующие системы электронной сдачи отчетности, практика показывает, что существуют и вызовы на комиссии по НДС и налогу на прибыль, и посещения налоговой службы для дачи объяснений по тем или иным вопросам, сверки по налогам и т.д. Это именно живое» общение с налоговиками. И оно вряд ли будет эффективно, если московскому бухгалтеру придется все время ездить в командировки, чтобы поговорить с инспектором. Кроме того, придется нести дополнительные затраты на переезд, гостиницу, суточные. Да и время тоже деньги. Не говоря об элементарной усталости, которая приведет к снижению эффективности труда сотрудника.
Да и общение с налоговиками, возможно, будет более продуктивным, если это будут люди с одинаковой ментальностью, родившиеся и прожившие часть своей жизни в одном городе. Да, это нельзя сразу «монетизировать», но возможно лояльный к компании налоговый инспектор проконсультирует, как отразить ту или иную операцию в налоговом учете, что исключит возможность возникновения в будущем денежного штрафа и пеней за неверно исчисленный налог.

Кассиры . Эта должность предполагает не только работу в базе данных, что возможно и удаленно, но и с «живыми» деньгами, то есть на местах. Например, сдача розничной выручки в банк происходит только в месте физического сбора этой выручки.

Учетный персонал на складах . Если работа связана с первичным оформлением отгрузочных документов (например, товарно-транспортные накладные, проверка доверенностей), проверкой количества отгружаемого товара и т.п. - то это работа так же остается на местах. При этом счета-фактуры могут выписываться и в ЦФС.

Какие инвестиции потребуются для централизации финансовой службы

Как уже говорилось выше, в случае создания централизованной финансовой службы - компании будут необходимы инвестиции для формирования новой команды. Это и затраты на рекрутинг, и на обучение новых сотрудников, и на выплаты компенсации сокращенному персоналу. Вероятнее всего будут возникать и затраты, связанные с обустройством рабочих мест и изменением бизнес-процессов при централизации функций.

Если объединить все возможные инвестиции, то можно выделить несколько групп:

1. Выплаты сокращаемому персоналу - компенсации по соглашению сторон или в соответствии с законом. Выплаты задолженности по отпускам.
2. Расходы на набор новых сотрудников (плата кадровому агентству) и на обучение (если необходимо).
3. Расходы, связанные с обустройством нового места - мебель, оргтехника (вряд ли целесообразно перевозить это из дальних регионов - эффективнее продать на местах и не тратить средства на логистику). Затраты на аренду офиса - если необходимо.
4. Расходы на доработку IT-структуры - потребуются, так как меняется система документооборота и система коммуникаций. Даже если компания применяет самую совершенную ERP-систему, централизация той или иной финансовой функции наверняка потребует внесения тех или иных модификаций в ПО.

Часть затрат такого рода можно минимизировать, например, используя схему перевода персонала из региональных офисов в ЦФС.

Как быть с персоналом при централизации финансовой службы

Самое простое решение в случаи централизации финансовой службы - уволить работников на местах и набрать новых. Но есть несколько нюансов, которые стоит рассмотреть подробно.

Не секрет, что рынок труда по-разному реагирует на кризис в самых крупных мегаполисах (Москва и Санкт-Петербург) и в регионах. Несмотря на сжатие объемов практически всех рынков, в мегаполисах по-прежнему существует дисбаланс между спросом и предложением. Да, на одну вакансию в крупном городе приходит много откликов, но требования по зарплате зачастую не соответствуют ни опыту, ни знаниям претендентов. К тому же может случиться, что проинвестировав в нового сотрудника, через несколько месяцев компания столкнется с необходимостью его замены (не справился с работой или нашел иное место). Так что впереди новый раунд инвестиций, а самое главное - потери рабочего времени, что по сути так же потеря денег.

Поэтому если централизованная финансовая служба будет находиться в Москве или Санкт-Петербурге, то возможно, что компании будет выгоднее предложить переезд персоналу из регионов, даже с возможной компенсацией расходов на жилье. Особенно это касается нетиповых должностей, требующих более специальных знаний. Плюсом еще будет то, что компании сохранит лояльность сотрудника, а что касаемо лояльности новых кандидатов, то это всегда большой вопрос.

Пример

Примерная смета (без учета налогов).

Филиал компании расположен в Новосибирске:

• Зарплата казначея - 30 000 руб. в месяц.
• Годовой бонус казначея - 120 000 руб.
• Итого расходы в год - 480 000 руб.

Создание централизованной финансовой службы в Москве (Санкт-Петербург):

• Новый сотрудник (казначей):
• Зарплата - 70 000 руб.
• Вознаграждение кадровому агентству (оклад за 2 месяца) - 140 000 руб.
• Годовой бонус - 280 000 руб.
• Итого расходы: 1 260 000 руб.
• Выплата компенсации (за 2 месяца) сотруднику в Новосибирске - 60 000 руб.
• Итого совокупных расходов - 1 320 000 руб.

Перевод сотрудника из Новосибирска в Москву с повышением зарплаты и компенсацией жилья

• Зарплата - 50 000 руб.
• Компенсация жилья (годовая) - 240 000 руб.
• Годовой бонус - 200 000 руб.
• Итого расходы: 940 000 руб.
• Экономия (первый год) 380 000 рублей или 40 %.

В этом примере есть реальная экономия денежных средств, причем мы не учитываем ту нематериальную выгоду, которая заключается в том, что компания сохранила и даже преумножила лояльность сотрудника.
Но, конечно, в каждом конкретном случае решение надо принимать индивидуально, учитывая в том числе и особенности самого сотрудника и ситуацию на рынке труда именно по этой должности.

Как выбрать место централизации финансовой службы

При выборе места, где будет находиться создаваемая централизованная финансовая служба, очень важно сразу же определить те основные задачи, которые компания планирует решить. Так же не стоит забывать и о специфике работы самой компании.

Пример

Возьмем условную розничную сети, которая состоит из магазинов, расположенных в Центральном, Северо-западном и Поволжском федеральных округах. Основные задачи, которые следует решить, создавая централизованную финансовую службу это:

• получение кредитных ресурсов по наиболее низким ставкам;
• усиление контроля за возможными злоупотреблениями на местах.

В этом случае наиболее оптимальным местом для размещения ЦФС будет либо Москва либо Санкт-Петербург. Поясню, почему.

1. Больше возможностей для кредитования не в региональных отделениях, а в головных офисах самых крупных банков.
2. Центры финансовой ответственности находятся в одном часовом поясе, что не затрудняет работу казначейства и как следствие обеспечивает более оперативное управление денежными потоками, что крайне актуально при наличии значительного кредитного портфеля;
3. Из крупного мегаполиса будет проще организовать логистику командировок (в том для целей проверок на местах и т.п.).

Иная ситуация - крупное рыбоводческое хозяйство. Фермы находятся в ДВФО, там же оптовая компания и несколько розничных магазинов. Но основной торговый дом в Иркутске, там же розничный магазин. В Москве и Санкт-Петербурге несколько мелких торговых точек.
Основные задачи финансовой службы холдинга:

• разработка и исполнение финансовой стратегии;
• оперативное управление денежными потоками;
• контроль за возможными злоупотреблениями на местах.

Здесь целесообразнее разместить ЦФС, например, в Иркутске потому что:
учитывая часовые пояса из Иркутска более удобно, чем из Владивостока управлять денежными потоками в Москве и Санкт-Петербурге;

• кредитные ресурсы не нужны, а текущее РКО в банках Иркутска вполне устроит компанию (скорее компания даже получит преимущество, так как будет в местном банке крупным клиентом, а в мегаполисах может и затеряться на фоне сырьевых монстров);
• оклады финансистов в Иркутске будут ниже чем в мегаполисах, да и затраты на аренду офиса тоже будут меньше чем в Москве и Санкт-Петербурге;
• выездные проверки и инвентаризации опять же дешевле проводить, отправляя команду во Владивосток из Иркутска, чем из Москвы.

Как выстроить коммуникации между сотрудниками при централизации финансовой службы

Когда компания создает централизованную финансовую службу, многие привычные коммуникационные связи рушатся. И это, безусловно, вызывает негативную реакцию у персонала. Например, раньше для того что оплатить какой-либо срочный счет, надо было зайти к казначею с завизированной заявкой, иногда и в обход существующих процедур. (формальности уладим потом). Теперь надо заблаговременно разместить эту заявку в системе, возможно добавить какие-то пояснения, к тому же заявка может быть не исполнена, так как не уложились по времени (есть понятие банковского дня).

Поэтому при смене места нахождения централизованной финансовой службы необходимо произвести ревизию коммуникационных процессов. Если разделить этот процесс на несколько этапов, то он может выглядеть так:

1. Определение всех бизнес-процессов в которых участвуют финансовые службы.
2. Выделение тех бизнес-процессов, которые требуют изменений в связи с централизацией финансовой службой. Например, казначейские процессы, в случае если служба казначейства становится централизованной.
3. Внесение изменений в конкретные бизнес-процессы. Например, формирование заявок на оплату.
4. Доведение новой информации до всех участников.

Пример

Бизнес-процесс: оплата заявок на финансирование

БЫЛО: казначейская служба на местах :

1. Утверждение головным офисом БДДС конкретного ЦФО. Доведение показателей до ЦФО.
   
2. 
   Исполнитель: финансовая служба ЦФО.
3. 
   
4. 
   Исполнитель: бюджетный контроль ЦФО.
5. Оплата заявки.
   
6. 
   Исполнитель - казначейство ЦФО.
7. Формирование отчета об исполнении БДДС и передача в головной офис.
   Исполнитель: казначейство ЦФО.

СТАЛО: казначейская служба централизована :

1. Утверждение головным офисом БДДС конкретного ЦФО. Доведение показателей до ЦФО. Исполнитель: финансовая служба головного офиса.
2. Внесение утвержденных показателей в соответствующий модуль ПО.
   Исполнитель: финансовая служба головного офиса.
3. Формирование в модуле заявки на финансирование.
   Исполнитель: владелец бюджета в ЦФО.
4. Акцепт заявки (наличие бюджета, комплект необходимых документов и т.п.).
   Исполнитель: бюджетный контроль головного офиса.
5. Оплата заявки.
   
6. Передача документа об оплате заказчику.
   Исполнитель: казначейство головного офиса.

Сначала кажется, что значимых изменений как будто и нет: заявки по-прежнему оплачивает казначейство. Но теперь это казначейство, которое находиться в головном офисе, а не Мария Степановна из соседнего кабинета. Документ об оплате придет в казначейство по электронной почте, а не попадет на стол к Марии Степановне от кого-то из сотрудников.

Все изменения в бизнес-процессах после централизации финансовой службы необходимо зафиксировать письменно, чтобы у сотрудников не возникало путаницы: кто теперь и за что отвечает. Так же следует довести до сотрудников, какой функционал остается на местах. Дабы сотрудник, которому нужно получить форму НДФЛ -2 знал, что за ней надо идти к бухгалтеру, который остался, как и прежде на месте, а не писать запрос в централизованную бухгалтерию.
С одной стороны, это все элементарные вещи. Однако любое изменение может серьезно озадачить персонал и привести к непродуктивным потерям рабочего времени, когда сотрудники будут пытаться самостоятельно понять, куда идти с тем или иным вопросом, проблемой. Лучше один раз потратить время и силы на описание изменений, чем тратить его потом ежедневно на объяснение новых правил работы. Или получать ежедневные сбои в работе из-за того что кто-то что-то не так понял.

События последнего времени, связанные с несанкционированным доступом к данным, утечками информации, у всех на слуху. Достаточно вспомнить, например, историю с растратой €4,9 млрд. трейдером банка Сосьете Женераль Жеромом Кервьелем, ставшей возможной (по одной из версий) благодаря недостаточно четкому разделению полномочий. Примеры утечек персональных данных клиентов из разнообразных организаций и государственных органов можно найти еще ближе к нам - базы данных с номерами сотовых телефонов, паспортными данными, номерами автомашин и персональной информацией об их владельцах и даже с информацией о доходах физических и юридических лиц можно купить почти в любом подземном переходе.

Нет сомнения, что все эти утечки повлекли крупные потери, как прямые, так и репутационные для фирм, бывших обладателями разглашенной секретной информации. Большинство этих потерь вызвано несанкционированным доступом к информации сотрудников самих пострадавших от этих утечек организаций.

Сейчас, когда по данным аналитического центра Perimetrix 100% организаций имеют антивирусную защиту и межсетевые экраны, но лишь 24% имеют защиту от утечек, задача защиты от инсайдерских угроз выходит для многих компаний на передний план.

Одним из способов борьбы с несанкционированным доступом является внедрение ролевой модели доступа к данным и информационным системам. А средством для внедрения этой модели являются продукты класса IdM (Identity Management).

Ролевой метод управления доступом контролирует доступ пользователей к информационным системам на основе типов их активностей в этих системах. Применение данного метода подразумевает определение ролей в системе. Понятие роль можно определить как совокупность действий и обязанностей, связанных с определенным видом деятельности. Таким образом, вместо того, чтобы указывать все типы доступа для каждого пользователя к каждому объекту, достаточно указать тип доступа к объектам для роли. А пользователям, в свою очередь, указать их роли. Пользователь имеет доступ, определенный для той роли, к которой он принадлежит.

В результате использования этой модели снижается вероятность инсайдерской угрозы, поскольку к информации, потенциально интересной для возможных похитителей, имеют доступ только сотрудники, которым это положено в силу их принадлежности к определенной роли, к которой привязана их должность. Конечно, если инсайдер имеет легальный доступ к секретной информацией в соответствии со своими должностными правами, то от его действий будет очень сложно, но это уже тема отдельной статьи.

Но уменьшением вероятности инсайдерской угрозы польза от внедрения решения IdM на предприятии не ограничивается.

Выгоды от внедрения решения такого класса хорошо известны, это:
. Сокращение дорогостоящего времени, которое вынуждены тратить сотрудники ИТ отделов на:
- создание учетных записей и выдачу им соответствующих прав в разнообразных ИТ системах при приеме сотрудников на работу,
- изменение прав сотрудников при переводе их на другую должность или изменение должностных обязанностей
- блокировку учетных записей при уходе сотрудника в отпуск (к слову сказать, во многих организациях выполнение этого элементарного действия до сих пор не стало нормой)
- удаление или блокировку учетных записей сотрудника в случае его увольнения
- восстановление забытых паролей (есть данные, что в больших организациях с жесткими требованиями к регулярности смены паролей, на восстановление забытых паролей тратится до 60% времени местных администраторов).
Сокращение вынужденных простоев сотрудников при приеме на работу и переходе из должности в должность. Вспомните, как вы сами по нескольку дней (а самые невезучие и по нескольку недель) ждали, пока занятые админы создадут вам учетную запись для захода на рабочую станцию и в корпоративную сеть, логин в почту, электронный пропуск в здание или на этаж, номер служебного телефона и т.д. А ведь все эти действия можно было бы выполнить за один шаг автоматически при приеме сотрудника на работу, если бы на предприятии было внедрено решение класса IdM.
Сокращение времени простоя сотрудников при смене пароля. Процедура смены пароля вообще является чувствительным местом в работе крупных компаний - она отнимает много времени у админов, о чем мы упомянули в первом пункте нашего перечисления. Но для компании это оборачивается двойным убытком, потому что плохо отражается и на пользователях. Я вспоминаю, как в некой организации один сотрудник два дня скучал перед отключенным компьютером, поскольку после бурно проведенных выходных он напрочь забыл пароль, заданный им в пятницу накануне. А у занятых админов не было времени добраться до этого пользователя, потому что он, по всей видимости, был не единственным, кто в ту пятницу в соответствии с корпоративной политикой сменил пароль.
Сокращение времени, в течение которого уволенный сотрудник может нанести непоправимый ущерб информационным активам предприятия (удаление или блокировка учетных записей сотрудника во всех ИТ системах может быть осуществлена за один шаг).
Исключение возможности, что злоумышленник воспользуется «черным входом» в виде учетной записи, оставшейся после давно уволившегося сотрудника. Мы не обладаем данными по российским компаниям, но исследования проведенные среди американских предприятий несколько лет назад, показали, что на некоторых крупных предприятиях до 80% всех учетных записей составляют «мертвые души» - учетные записи давно уволенных сотрудников.
Минимизация усилий и сокращение времени на интеграцию в корпоративную среду новых приложений.

Все эти перечисленные выгоды, получаемые предприятиями после внедрения IdM хорошо известны, неоднократно обсуждались в популярной и специализированной прессе. Мы их упомянули только для того, чтобы еще раз подчеркнуть важность решений этого класса, и больше не будем задерживаться на этой теме.

Предметом данной статьи является такой узкий аспект проблемы, как особенности централизованного и децентрализованного подхода при внедрении IdM на предприятии.

PROS
Достоинства централизованного подхода достаточно очевидны. На первом месте стоит Универсальность политик безопасности .

Стандартизация – это хорошо, я думаю никого из читателей не нужно в этом убеждать. Разрабатывать одну политику, единую для всех подразделений, проще, чем разрабатывать множество политик, каждая из которых удовлетворяет индивидуальным потребностям отдельного подразделения. Подразделениями, которые следуют единой бизнес-логике проще управлять. Это же касается и контроля над соблюдением политик ИТ безопасности.

Внедрение единой политики управления учетными записями пользователей может стать первым шагом на пути разработки полномасштабной и всеобъемлющей политики безопасности. По крайней мере, это может стимулировать разработку системы ролей, соответствующих должностным обязанностям сотрудников и приведение всех региональных подразделений (если они имеются) к этой единой системе.

Следующим логичным шагом после того, как мы определили роли, была бы категоризация информации с точки зрения, к какой информации (файлу, приложению или отдельной возможности приложения) для какой роли открывать доступ. И если доступ все же открывать, то на каком уровне – только чтение, дополнение, модификация или удаление. Но категоризация информации - отдельная большая тема и решение этой проблемы не входит ни в сферу действия IdM, ни в тему данной статьи.

Снижение издержек на управление политиками
Разработка политики безопасности сама по себе – непростое дело. Как указывалось в предыдущем параграфе, сложность задачи многократно увеличивается, если требуется разработать не одну, а несколько политик для региональных или функциональных подразделений. Но разработать и согласовать множество политик – это еще пол беды. Настоящая головная боль начинается при попытке эти политики проконтролировать или поддержать их актуальность. Потери контролирующими инстанциями времени, уходящего на внедрение множества политик и утеря актуальности собираемой информации грозят свести «на нет» весь смысл от внедрения решения.

Консолидированный анализ данных аудита
Возможность проведения аудита систем, находящихся под управлением IdM – важная опция решения. Для фирм, регулярно, подвергающихся внешнему аудиту важно представить отчеты, которые бы убедили аудиторов, что политики (в том числе и в области управления учетными записями) выполняются должным образом. Автоматический сбор данных и предоставление консолидированной отчетности по этой теме – большое облегчение для всех служб, которые отвечают за предоставление такой информации проверяющей организации.

Да и самим представителям службы безопасности предприятия нужно знать, не было ли попыток завести новых пользователей на целевых системах в обход IdM. Дело в том, что после внедрения IdM вся нагрузка по заведению новых пользователей в целевых системах снимается с администраторов этих систем. Все новые учетные записи заводятся автоматически после поступления данных о новом пользователе в базу данных Отдела Кадров. Так что случай, когда администратор целевой системы руками создает новую учетную запись или изменяет привилегии существующей, является нештатной ситуацией.

В процессе реконсиляции (reconciliation), собираются данные о так называемых «сиротских» (orphaned) учетных записях, то есть о таких учетных записях на целевых системах, для которых не найдено соответствия в базе данных центрального репозитория. Встроенный отчет о найденных несоответствиях выводит всю информацию о сиротских учетных записях в удобной для чтения и анализа форме.

CONTRAS
Если достоинства централизованного подхода достаточно очевидны, то его недостатки не так явно выражены, хотя и они тоже имеются. Среди недостатков на первом месте находится Недостаточный учет специфики локальных систем .

Да, внедрять единый подход во всех подразделениях – это правильный метод. Управлять фирмой или, если рассматривать проблему не так широко, внедрять и контролировать политику управления правами доступа легче, если она единообразна во всех подразделениях. Но мы живем в реальном мире, и не всегда возможно на практике реализовать то, что представляется наилучшим, исходя из идеологии. Представим себе ситуацию, когда одна компания покупает другую компанию. Потребовать от купленной компании единомоментного перехода на новые политики было бы невозможно. В некоторых случаях это могло бы парализовать важные бизнес-процессы. В таком случае проще децентрализовать управление, создав несколько политик (с учетом местной специфики) и дав локальным администраторам в руки инструмент, позволяющий контролировать исполнение этих политик. А как стратегическую цель можно запланировать постепенный отказ от тех приложений и процессов, которые связаны с локальной спецификой и, как результат, переход на те политики, которые приняты в головной компании.

Постепенно, по мере улучшения каналов связи в регионах, эта проблема уходит в прошлое. Возможно, через некоторое время, когда до каждого населенного пункта не только в России и ее ближайших соседях, но и по всему миру, проложат широкие каналы доступа, эта проблема перестанет быть актуальной. Глядя на то, с какой скоростью, немыслимой еще каких-нибудь пять лет назад, продвигается дело, веришь, что так оно и будет. Да и сейчас даже при слабых каналах связи проблема актуальна только при передаче больших объемов данных, например, когда идет реконсиляция. При средних объемах передаваемых данных, которые порождаются ежедневными кадровыми изменениями (прием на работу/увольнение с работы/изменение должностных обязанностей), эта проблема теряет свою остроту.

И, тем не менее, регионы со слабыми каналами связи до сих пор есть и реконсиляцию с их ИТ системами, находящимися под управлением IdM периодически производить надо. В случае использования централизованной модели управления и при слабых каналах связи, это может создать временные, но чувствительные проблемы.

Уменьшение скорости реакции
Если управление пользователями ведется централизованно, то неизбежно возникновение задержек между событием в регионе (приемом / увольнением / переводом в новую должность сотрудника) и реакцией на него в центре. Если опрос доверительного источника (которым, как правило, является база данных Отдела Кадров) производится 1 раз в минуту, то скорость реакции можно считать пренебрежимо малой. Но в таком случае нагрузка на каналы связи с опрашиваемым регионом существенно увеличивается, что может быть критичным в случае слабых каналов. Если же опрос БД ОК ведется раз в сутки, то последствия от, например, недостаточно быстрого блокирования всех учетных записей увольняемого сотрудника могут быть самыми разнообразными и среди этих последствий может не быть ни одного приятного.

Если же оперативное реагирование на возникновение экстренных ситуаций возложено на оператора IdM в центре и должно производиться, скажем, по телефонному звону из региона, то, и этот способ не является достаточно оперативным. Время уходит на созвон, описание действий, которые нужно произвести и на ручное выполнение этих действий, которое заведомо медленнее, чем автоматическое. Еще один аргумент против такой модели экстренной реакции, то, что этот способ не является достаточно надежным и защищенным, так как не застрахован от человеческих ошибок и от злоумышленников, которые могут совершить звонок от имени регионального оператора IdM и ввести, тем самым, в заблуждение оператора центрального IdM.

Преимущества гибридного подхода
Наилучшим вариантом нам видится разумное совмещение централизованного и децентрализованного подходов. Есть некоторые вещи, которые удобнее делать из центра. К этим вещам можно причислить:
Централизованное определение политик безопасности. Например, минимальную длину и сложность пароля для всех ИТ систем правильнее определять из центра, так, чтобы эти правила были едиными для всех регионов.
Правила транслитерации имен (как преобразовывать кириллицу, которой записаны мена и фамилии сотрудников к латинице).
Правила создания имен учетных записей. Например, <имя>.<фамилия> или <первая буква имени>_<фамилия>.
Если на предприятии есть штатное расписание, единое для всех регионов, то уместно определить в центре, какой должности в штатном расписании соответствует какой набор полномочий в ИТ системах (и, соответственно с этим, с помощью членства в каких группах реализуются эти полномочия).
Электронный документооборот или те его части, в которые вовлечены сотрудники из штаб-квартиры предприятия.

Есть некоторые действия, которые все еще удобнее делегировать в удаленные центры управления. Используя здесь выражение «все еще», я имею в виду, что вектор движения все же должен быть направлен в сторону бОльшей централизации. Но до сих пор для многих действий централизованно можно определить только общие политики, а выполнение этих политик доверить местному персоналу. В качестве примера можно сказать, что продукт IdM может создать учетную запись сотрудника в MS Active Directory и занести эту учетную запись в соответствующую должности группу. Но назначить права этой группе на доступ к конкретной папке или файлу, расположенному на сервере в удаленном регионе, может только администратор, в чьем ведении находится данный сервер.

Здесь нужно так же подчеркнуть, что создание самих групп в целевых системах тоже может быть проведено централизованно, но сам Identity Manager, как правило, не занимается созданием новых групп. На момент занесения учетной записи в группу, эта группа уже должна быть создана.

К обязанностям, которые имеет смысл делегировать на места можно так же отнести оперативный мониторинг за состоянием локальных ресурсов (к которым можно причислить, например, коннекторы для IdM и целевые системы, расположенные удаленно). В тот же самый момент, аудит системы рекомендуется вести централизованно. Причины такого разделения достаточно очевидны – мониторинг предоставляет оперативную информацию о состоянии наблюдаемого объекта. Если в результате наблюдения мы получили от системы мониторинга сообщение о том, что что-то не работает, как должно (или, что еще лучше, что что-то вот-вот может сломаться), у нас появляется возможность быстро отреагировать на этот сигнал. Наибыстрейшую реакцию может обеспечить тот сотрудник, который находится ближе всего к источнику сигнала. Поэтому все сообщения от региональных наблюдаемых систем должны поступать на консоль местных администраторов. В противоположность мониторингу, аудит – оценка на соответствие наблюдаемых систем на соответствие корпоративным правилам и стандартам. Поскольку стандарты как правило вырабатываются централизованно, вести наблюдение за соответствием этим стандартам уместно тоже из центра.

На что нужно обратить внимание при выборе решения IdM
На настоящий момент на рынке представлено очень много решений класса IdM от разных вендоров. Решения очень сильно отличаются по функциональности, так что пред потенциальным покупателем встает нелегкая задача: как выбрать продукт, на какие критерии имеет смысл при этом обращать внимание?

Одним из основных критериев, разумеется, является цена. Разница в цене конкурирующих продуктов может быть велика. Но здесь, как при совершении любой покупки, нужно задать себе вопрос – обладает ли покупаемый продукт функциональностью, достаточной, чтобы закрыть все проблемы, которые, собственно, и побудили заняться выбором решения в области IdM? Да, являясь реалистами, мы понимаем, что больше, чем заложено в бюджете, на покупку решения выделить вряд ли удастся. Но, покупая решения, которое не решает поставленных перед ним задач, мы рискуем просто выбросить наши деньги на ветер, а вместо них приобрести очередное не работающее решение. Возможно, в этой ситуации разумнее не создавать у себя и у руководства иллюзий о том, что проблема решена, а сосредоточиться на том, чтобы в следующем отчетном периоде заложить в бюджет достаточно средств для покупки решения, оптимального с точки зрения соотношения цена/качество.

Ведущие аналитики от Forrester Research считают, что Oracle Identity Manager (OIM) удовлетворяет вышеперечисленным критериям.

Другие подходы при внедрении систем управления правами доступа
Внедрение IdM не является единственно возможным подходом для правильной организации управления учетными записями пользователей и доступом к информации. Так получилось, что, ограниченные объемом статьи, мы вынуждены были оставить без внимательного рассмотрения альтернативные способы управления правами доступа. Но в завершение этого текста хотелось бы кратко остановиться на других решениях. Решение IdM уместно использовать на предприятиях, у которых в силу исторических причин образовалась так называемая «гетерогенная среда», то есть (применительно к нашей теме) много приложений, каждое из которых имеет свое хранилище учетных записей пользователей. Но если мы строим КИС с нуля, то можно обойтись без интеграции «коня и трепетной лани», и попытаться выбрать корпоративные приложения с таким расчетом, чтобы они могли использовать единый каталог для хранения учетных данных пользователей.

Если у интегрируемых приложений есть возможность предоставлять web-доступ к своей функциональности (у большинства современных приложений такая возможность есть), то эти приложения можно защитить с помощью Access Manager. Преимущества этого подхода следующие: мы получаем возможность контролировать доступ к корпоративной информационной системе на уровне ресурсов, у нас появляется единая безопасная точка доступа, можно реализовать web-SSO (Web Single Sign-On, система, обеспечивающая однократную аутентификацию пользователя через web-интерфейс; не путать с e-SSO, Enterprise Single Sign-On, обеспечивающим возможность прозрачного подключения к любым приложениям, в том числе и не обладающими web-интерфейсом). Удобно эту систему использовать в связке с IdM. В качестве примера здесь можно привести решение на основе продуктов Oracle Identity Manager и Oracle Access Manager.

В заключение нужно упомянуть о таком решении, как виртуальный каталог, которое дает возможность отобразить данные из различных источников, таких как LDAP каталоги, базы данных и пр. Виртуальный каталог имеет, как правило, весьма ограниченные средства для хранения истории изменений, так что это не замена полноценной системе управления учетными записями, а, скорее, удобное дополнение. Это решение можно так же рассматривать в качестве единого источника, который могут эффективно использовать приложения вместо того, чтобы обращаться к разрозненным (и, возможно, разнородным) хранилищам учетной информации.

Иван Бакланов,
Ведущий консультант по направлению информационной безопасности, Oracle СНГ