УДК 65.012.8
МЕТОДОЛОГИЧЕСКИЕ АСПЕКТЫ ИНФОРМАЦИОННОГО РИСК-КОНТРОЛЛИНГА
С. В. Филько*, И. В. Филько
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected].
Рассматривается современная концепция контроллинга как новая парадигма управления, позволяющая за счет гармоничного сочетания функционального и процессного подходов к управлению обеспечить высокую степень адаптивности предприятия в условиях нестабильной внешней среды. Представлены результаты анализа и систематизации наиболее распространенных подходов к сущности контроллинга. Рассматривается механизм обеспечения стабильности деятельности организации посредством внедрения концепции риск-контроллинга, отвечающего за реализацию функций становления и совершенствования процесса обеспечения непрерывности бизнеса. Раскрывается актуальность необходимости формирования и развития концепции риск-контроллинга, как важнейшего элемента системы современного менеджмента предприятий. Оценивается современное состояние научной базы риск-контроллинга в России. Определяется его роль в системе управления предприятием. На основе проведенного анализа формируется подход к информационно-аналитической поддержке управления информационными рисками на основе методологии контроллинга. Представлен авторский подход к формированию методологии информационного риск-контроллинга. Обоснована логическая структура методологии информационного риск-контроллинга. Выделены структурные элементы методологии и связи между ними. Описан подход к использованию инструментария контроллинга для повышения эффективности управления информационными рисками. Полученные результаты могут быть использованы в качестве фундаментальной базы исследования развития методологии информационного риск-контроллинга.
Ключевые слова: риск-контроллинг, информационный контроллинг, информационные риски, процессный подход, корпоративные информационные системы.
METHODOLOGICAL ASPECTS OF INFORMATION RISK-CONTROLLING
S. V. Filko, I. V. Filko
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected].
In given article the modern concept of controlling as the new paradigm of management allowing at the expense of a harmonious combination of functional and process approaches to management to provide high degree of adaptability of the enterprise in the conditions of an astable environment is considered. Results of the analysis and ordering of the most widespread approaches to essence of controlling are presented. The mechanism of maintenance of stability of activity of the organisation by means of introduction of the concept of the risk-controlling which is responsible for realisation offunctions offormation and perfection ofprocess of maintenance of a continuity of business is considered. The urgency of necessity offormation and development of the concept of risk-controlling, as major element of system of modern management of the enterprises reveals. The modern condition of scientific base of risk-controlling in Russia is estimated. Its role in a control system of the enterprise is defined. On the basis of the spent analysis the approach to information-analytical support of management by information risks on the basis of controlling methodology is formed. In article the author's approach to formation of methodology of information risk-controlling is presented. The logic structure of methodology of information risk-controlling is proved. Structural elements of methodology and communication between them are allocated. The approach to use of toolkit of controlling for management efficiency increase by information risks is described. The received results can be used as fundamental base of research of development of methodology of information risk-controlling.
Keywords: risk-controlling, information controlling, information risks, the process approach, corporate information systems.
Введение. В настоящее время большинство руководителей крупных российских предприятий пришли к осознанию необходимости и неизбежности внедрения процессного подхода в рамках совершенствования корпоративного управления. Это послужило основным стимулом к внедрению контроллинга, как концепции, обеспечивающей системную интеграцию различных аспектов управления бизнес-процессами.
При этом, несмотря на значительную степень проработанности теоретических и практических аспектов применения контроллинга в трудах зарубежных и отечественных ученых, можно отметить отсутствие единой концепции его функционального наполнения и структуры методов и инструментов. В какой-то мере это объясняется значительной структурной вариативностью, характерной для контроллинга как системы управления и широким спектром сфер его потенциального применения. При этом можно утверждать, что контроллинг не является кардинально новой концепцией. Новизна контроллинга заключается в подходе к сочетанию принципов, методов и инструментов, позволяющему эффективно развивать систему управления в плоскости обеспечения руководителей актуальной, своевременной, объективной и значимой для принятия решений информацией. Поэтому на сегодняшний день контроллинг является основной прикладной областью развития систем информационного обеспечения управления, например БКР-систем [6].
В результате анализа зарубежных и отечественных источников, посвященных разработке методологических основ контроллинга, авторами выявлены основные этапы развития концепции контроллинга:
1. Функциональный подход, рассматривающий контроллинг как методику управления одной или совокупностью функциональных областей, например, управление затратами, прибылью и т. д.
2. Системный подход, в соответствии с которым контроллинг является системой информационно-аналитической и методической поддержки по достижению поставленных целей.
3. Интеграционный подход, согласно которому контроллинг рассматривается как надстройка управленческой системы, позволяющая эффективно интегрировать в единый информационно-методологический контур разнородные инструменты и методы управления [15].
4. Концептуальный подход, раскрывающий сущность контроллинга как новую парадигму управления, обеспечивающую высокую степень адаптивности предприятия в условиях нестабильной внешней среды и возможность глобальной автоматизации управленческих процессов [23; 24]. В отличие от функционального, системного и интеграционного подхода, направленных, главным образом, на реализацию функций планирования, контроля и информационного обеспечения и достиже-
ния их согласованности, в рамках концептуального подхода происходит координация задач и действий всех элементов системы управления в процессе достижения общей цели [15].
Наиболее важной, на наш взгляд чертой, характеризующей современный контроллинг и предопределяющей его дальнейшее повсеместное развитие, является сочетание традиционного функционального подхода к управлению и процессного подхода, получившего актуальность за последние два десятилетия. Функциональный подход реализуется в контроллинге в различных формах, например, в управлении по центрам ответственности, четкой регламентации и распределению в структуре управления основных управленческих функций: информационного обеспечения, планирования и контроля и т. д. Функциональный подход является структурообразующей основой контроллинга и придает ему необходимую «жесткость».
Главная проблема функционального управления:
- низкая скорость реагирования на управленческое воздействие и адаптивности к изменяющейся внешней среде, так как принятие решений замедляется значительным количеством различных согласований;
- отсутствие прямой заинтересованности сотрудников предприятия в улучшении конечного результата.
Процессный подход к управлению, в настоящие время используемый в большинстве российских корпораций в соответствии с требованиями национального российского стандарта менеджмента качества ISO серии 9001-2011 позволяет преодолеть указанные недостатки функционального подхода. Преимущество процессного подхода состоит в непрерывности управления, которое он обеспечивает на стыке отдельных процессов в рамках их системы, а также при их комбинации и взаимодействии. Процессный подход направлен на получение качественного результата для потребителей, который достигается благодаря взаимосвязанности последовательных процессов, то есть системе действий, преобразующих ресурсы на входе процесса в определенный результат на выходе [17] и обеспечивает адаптивность и гибкость системы управления.
Таким образом, в настоящее время контроллинг представляет собой концепцию менеджмента, построенную на принципах системной интеграции, взаимосвязи и взаимозависимости традиционных структурных элементов управления, функционирование которых представляет собой регламентированный процесс взаимодействия интегрированных по вертикали (функции) и горизонтали (процессы), содержательно и во времени, с ориентацией на цели и приоритетные направления развития [16].
Дальнейшее развитие концептуального подхода способствует достижению важной цели - формированию в рамках контроллинга единой методологической и информационной базы, поддерживающей
баланс ресурсов и функциональных векторов подразделений предприятия, задающей границы функционирования системы управления, служащей опорной точкой оптимальных управленческих решений комплекса задач по интеграции и координации функционирования процессов как между собой, так и внутри каждого из них, а также обеспечение своевременного реагирования на изменения окружающей среды [15].
Влияние фактора нестабильности постоянно нарастает на протяжении последних десятилетий, и влечет за собой необходимость использования в формируемой на предприятии системе управления различных методов и инструментов, связанных с менеджментом рисков [6; 9—11]. Также следствием этой тенденции является глобальное нарастание информационных потоков и выделение информационного менеджмента в отдельную область управления [5]. На смену индустриальному способу производства приходит информационно-технологический. Информация становится ведущей производительной силой, так как информационное производство определяет на сегодняшний день пути и темпы развития экономических систем, диктует характер технических, организационных и структурных изменений.
Повышение эффективности управления информацией и рисками особенно актуально для машиностроительных предприятий [25]. Объясняется это прежде всего тем, что в условиях стремительного увеличения мощности информационных потоков ни одно машиностроительное предприятие не может успешно работать без системы управления знаниями, интегрированной в корпоративную информационную систему [22]. При этом построение и использование корпоративной информационной системы требует концентрации больших объемов обобщенной и систематизированной информации, что ведет к увеличению вероятности утечки секретных и конфиденциальных сведений, а значит и к необходимости управления рисками информационной безопасности. Поэтому корпоративная информационная система должна, с одной стороны, способствовать эффективной организации информационных потоков внутри предприятия, с другой стороны, обеспечивать решение комплекса задач по обеспечению безопасности информационных ресурсов предприятия. В случае если корпоративная информационная система не обеспечивает выполнения указанных функций, для инновационного предприятия, помимо традиционных, возникают новые виды рисков, связанные с потреблением такого специфического фактора производства, как информация [21].
Глобальная информатизация современного общества привела к появлению нового спектра угроз и рисков, связанных с обеспечением защиты информации. В связи с этим, можно утверждать, что перспективной прикладной областью контроллинга является использование его в обеспечении защиты информации, и, прежде всего, в управлении рисками информационной безопасности.
В рамках данной области контроллинг охватит сферу управления организацией, связанную с формированием матрицы рисков информационной безопасности, выработкой мер по их предотвращению и преодолению негативных последствий от их осуществления [5].
Риски информационной безопасности или информационные риски как специфический вид экономических рисков представляют собой опасность возникновения ущерба в результате использования предприятием информационных технологий. Информационные риски связаны с формированием, передачей, актуализацией и использованием информации с помощью электронных носителей и соответствующих средств связи [3; 7; 8; 12; 20]. В общем случае, информационные риски можно разделить на два вида: риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу; риски технических сбоев работы аппаратного и программного обеспечения, а также каналов передачи информации, которые могут привести к убыткам.
Информационная безопасность - непрерывный процесс, который требует непрерывной реализации определенных мероприятий. Распределение обязанностей и функций по организации информационной безопасности тесно связано с конкретной моделью угроз предприятия [2; 11].
Фундаментальным условием создания эффективной системы защиты информации, в соответствии с лучшими практиками управления информационной безопасностью, изложенными в стандартах серии ISO 27000, является процессный подход [1; 18].
Вследствие этого, на наш взгляд, актуальной задачей является внедрение методологии риск-контроллинга в подсистему управления информационными рисками. Кроме того, целесообразным является и взаимное обогащение методик риск-контроллинга инструментарием, взятым из практики организации информационной безопасности.
Процессная модель информационного риск-контроллинга должна состоять из 1) установления контекста; 2) оценки рисков, включающей идентификацию, количественную оценку и оценивание рисков; 3) рассмотрение (обработку) рисков; 4) принятия рисков; 4) обмен информацией о рисках; 5) мониторинга и переоценки рисков. Процедуры оценки риска и обработки риска в информационном риск-контроллинге могут выполняться итеративно, такой подход при оценке риска как правило может увеличить детализацию и глубину оценки при каждой последующей итерации. Если для эффективного определения действий удается получить достаточную информацию на очередном шаге итерации, необходимую для снижения риска до требуемого уровня, то считается, что задача этапа выполнена, затем идет этап обработки риска [13]. В случае недостаточности информации для приня-
тия решения, пересматривается контекст и осуществляется очередная итерация оценки риска (критериев оценки, влияния или принятия рисков), возможно для некоторой отдельной части полной предметной области, которая ограниченна первой точкой принятия решения. Эффективность обработки риска непосредственно зависит от результатов получаемых при оценке риска. Первоначальная обработка риска может не обеспечить необходимый уровень остаточного риска. В этом случае могут потребоваться, дополнительные итерации оценки риска с изменением соответствующих параметров контекста (критериев оценки, влияния и принятия риска), за каждой из которых последует соответствующая шагу итерации процедура обработки риска, запускаемая на второй точке принятия решения.
Заключение. Использование методологии риск-контроллинга в управлении информационной безопасностью позволяет создать интегрированную систему управления информационными рисками. Данная система позволяет объединить однородные процессы, и обеспечить эффективное и безопасное функционирование предприятия [4; 13]. Процессный подход, реализуемый в рамках риск-контроллинга, позволяет оптимизировать деятельность подразделений, отвечающих за обеспечение информационной безопасности, и обеспечивает соответствие их функций общему вектору развития предприятия.
Возрастание роли риск-контроллинга в рамках дальнейшего развития и совершенствования концепции контроллинга, предопределено развитием теории и практики современного менеджмента, сопровождающимся постоянным появлением новых и трансформацией ставших уже традиционными инструментов и методов управления. Обособление риск-контроллинга связано, главным образом, с увеличивающейся турбулентностью внешней среды бизнеса, растущими рисками, неопределенностью и общей экономической нестабильностью [19], и является логичным, обоснованным и целесообразным.
Библиографические ссылки
1. Астахов А. М. Искусство управления информационными рисками. М. : ДМК Пресс, 2010. 312 с.
2. Бородушко И. В. Риск-контроллинг и его место в системе обеспечения экономической безопасности организаций // Вестник С.-Петерб. ун-та МВД России. 2014. № 4. С. 117-120.
3. Ваганова А. С., Гусева И. Б. Роль риск-контроллинга в системе управления рисками предприятия // Контроллинг. 2009. № 3(31). С. 18-23.
4. Волкодаева А. В. Проектирование эффективной системы информационной безопасности предприятия // Вестник Самар. муницип. ин-та управления. 2015. № 2. С. 115-123.
5. Воронина Л. А., Иосифова Л. В., Бойко А. И. Риск-контроллинг на инновационных предприятиях // Экономический анализ: теория и практика. 2010. № 15. С. 8-12.
6. Гордина В. В. Некоторые аспекты формирования системы риск-контроллинга на предприятии // Финансы и кредит. 2012. № 28. С. 30-36.
7. Данилочкина Н. Г., Володин А. А. Риск-контроллинг непрерывности бизнеса // Транспортное дело России. 2010. № 9. С. 199-200.
8. Емалетдинова Л. Ю., Аникин И. В. Анализ подходов к оценке рисков информационной безопасности в корпоративных информационных сетях // Вестник Казан. гос. энергетич. ун-та. 2015. № 1 (25). С. 55-67.
9. Ерыгин Ю. В., Ерыгина Л. В., Максимов С. А. Сбалансированная система показателей - инструмент контроллинга инновационного развития предприятий ракетно-космической промышленности // Вестник СибГАУ. 2011. № 1 (34). С. 167-169.
10. Ерыгина Л. В., Шаталова Н. Н. Риски: содержание понятия и возможные методы оценки // Экономика и эффективность организации производства. 2010. № 12. С. 184-187.
11. Золотарев В. В. Управление риском на основе качественных показателей // Прикладная дискретная математика. Приложение. 2009. № 1. С. 105-107.
12. Золотарева Г. И., Федоренко И. В. Методология аудита информационной безопасности системы бухгалтерского учета : монография ; Сиб. гос. аэро-космич. ун-т. Красноярск, 2015. 176 с.
13. Зюзин А. С. Управление информационной безопасностью на основе процессного подхода// Современная наука и инновации. 2015. № 1 (9). С. 38-44.
14. Иваницкая В. В., Цветцых А. В. Риски инновационной деятельности: сущность и типы // Актуальные проблемы авиации и космонавтики. 2014. Т. 2. № 10. С. 307-308.
15. Калинина Н. М. Методологические подходы к исследованию интегрированного контроллинга: теоретический анализ // Вестник Омск. ун-та. Сер. Экономика. 2013. № 3. С. 6-12.
16. Калинина Н. М., Миллер А. Е. Интегрированный контроллинг: процессно-модульный подход // Изв. Урал. гос. экон. ун-та. 2015. № 4 (60). С. 6-14.
17. Левшукова О. А., Левкевич М. М. Развитие процессного подхода в индустрии культуры // Сибирская финансовая школа. 2016. № 2 (115). С. 87-91.
18. Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность. М : Компания АйТи ; ДМК Пресс, 2004. 348 с.
19. Романов С. Н. Риск-контроллинг в системе современного менеджмента // Транспортное дело России. 2010. № 10. С. 173-175.
20. Федоренко И. В. Методические вопросы оценки риска информационной безопасности в бухгалтерском учете // Вестник Краснояр. гос. аграр. ун-та. 2015. № 3. С. 161-168.
21. Филько И. В., Филько С. В. Анализ подходов к содержанию контроллинга // Вестник Краснояр. гос. аграр. ун-та. 2014. № 4. С. 72-77.
22. Филько С. В. Процессно-ориентированный контроллинг затрат судоремонтных предприятий // Вестник СибГАУ. 2009. № 3 (24). С. 196-200.
23. Филько С. В. Сущность и содержание контроллинга как системы управления организацией // Современные проблемы экономического и социального развития. 2014. № 10. С. 46-50.
24. Филько С. В., Филько И. В. Формирование концепции контроллинга инноваций на промышленных предприятиях // Управленческий учет. 2014. № 4. С. 63-71.
25. Цветных А. В., Иваницкая В. В. Риски инновационной деятельности в агропромышленном комплексе: классификация и методы противодействия // Проблемы современной аграрной науки : материалы Междунар. заоч. науч. конф. 2015. С. 110-113.
References
1. Astakhov A. M. Management skill information risks. М. : ДМК the Press, 2010. 312 р.
2. Boroduschko I. V. Risk and its place in system of maintenance of economic safety of the organizations // the Bulletin of the St.-Petersburg university of the Ministry of Internal Affairs of Russia. 2014. № 4. Р. 117-120.
3. Vaganov A. S., Gusev I. B. Role of risk-controlling in a control system of risks of the enterprise // Controlling. 2009. № 3(31). Р. 18-23.
4. Volkodaeva A. V. Designing of effective system of information safety of the enterprise // the Bulletin of the Samara municipal institute of management. 2015. № 2. Р. 115-123.
5. Voronina L. A., Iosifova L. V. Risk at the innovative enterprises // the Economic analysis: the theory and practice. 2010. № 15. Р. 8-12.
6. Gordina V. V. Some aspects of formation of system of risk-controlling at the enterprise // the Finance and the credit. 2012. № 28. Р. 30-36.
7. Danilochkina N. G. Risk of a business continuity // Transport business of Russia. 2010. № 9. Р. 199-200.
8. Emaletdinova L. J., Anikin I. V. Analys of approaches to an estimation of risks of information safety in corporate information networks // The bulletin of the Kazan state power university. 2015. № 1(25). Р. 55-67.
9. Erygin J. V., Erygina L. V., Maxims S. A. Balanc system of indicators - the tool of controlling of innovative development of the enterprises of the spacerocket industry // the Bulletin of the SibGAU. 2011. № 1(34). Р. 167-169.
10. Erygina L. V., Shatalov N. N. Risk: the maintenance of concept and possible methods of an estimation//Economy and efficiency of the organisation of manufacture. 2010. № 12. Р. 184-187.
11. Zolotaryov V V, Fedorenko I. V Management risk on the basis of quality indicators // The applied discrete mathematics. The appendix. 2009. № 1. Р. 105-107.
12. Zolotaryova G. I. Methodology of audit of information safety of system of book keeping : the monography. Krasnoyarsk, 2015. 176 р .
13. Zyuzin A. S. Management information safety on the basis of the process approach//the Modern science and innovations. 2015. № 1 (9). R 38-44.
14. Ivanitsky V. V., Tsvettsyh A. V. Risk of innovative activity: essence and types // Actual problems of aircraft and astronautics. 2014. T. 2. № 10. R. 307-308.
15. Kalinin N. M. Methodological approaches to research of the integrated controlling: the theoretical analysis//the Bulletin of Omsk university. A series: Economy. 2013. № 3. R. 6-12.
16. Kalinin H. M., Miller A. E. Integrat controlling: the protsessno-modular approach // News of the Ural state economic university. 2015. № 4 (60). R. 6-14.
17. Levshukova O. A. Razvitie of the process approach in the culture industry // the Siberian financial school. 2016. № 2 (115). R. 87-91.
18. Petrenko S. A. Management information risks. Economically defensible safety. M. : Company AjTi; flMK the Press, 2004. 348 p.
19. Romanov S. N. Risk in system of modern management // Transport business of Russia. 2010. № 10. R. 173-175.
20. Fedorenko I. V. Methodical questions of an estimation of risk of information safety in book keeping//the Bulletin of Krasnoyarsk state agrarian university. 2015. № 3. With. 161-168.
21. Filko I. V., Filko S. V. Analys of approaches to the controlling maintenance // The bulletin of Krasnoyarsk state agrarian university. 2014. № 4. R. 72-77.
22. Filko S. V. Process controlling of expenses of the ship-repair enterprises // Vestnik SibGAU. 2009. № 3(24). R. 196-200.
23. Filko S. V. Essence and the controlling maintenance as control systems of the organisation // Modern problems of economic and social development. 2014. № 10. R. 46-50.
24. Filko S. V., Filko I. V. Formation of the concept of controlling of innovations at the industrial enterprises//the Administrative account. 2014. № 4. R. 63-71.
25. Tsvettsyh A. V., Ivanitsky V. V. Risks of innovative activity in agriculture: classification and counteraction methods // Problems of a modern agrarian science. Materials of the international correspondence scientific conference. 2015. R. 110113.
© Филько С. В., Филько И. В., 2016
Для цитирования: Филько С. В., Филько И. В. Методологические аспекты информационного риск-контроллинга // Менеджмент социальных и экономических систем. 2016. № 4. С. 72-76.
For citations: Filko S. V., Filko I. V. Methodological aspects of information risk-controlling // Social and economic systems management. 2016. № 4. Р. 72-76. (In Russ., abstr. in Engl.)