Недавний поток банкротств, вызванный плохим менеджментом и преступным поведением, заставил менеджеров призадуматься. Корпорация Enron рассыпалась из-за должностных преступлений среди руководящего звена, причем предположительно существовал тайный сговор с Arthur Andersen, Peregrine Systems подала в суд на Arthur Andersen за ведение ложной бухгалтерии, независимый биржевой маклер Ник Лисен довел до банкротства Great Britain's Barings Bank и это лишь несколько примеров. Но даже несмотря на эти хорошо известные дела многие менеджеры не рассматривают всерьез возможность банкротства из-за преступного поведения.
ИТ потенцирует угрозу
И это еще не все плохие новости. Информационные технологии, в особенности корпоративные системы автоматизации управления, усиливают угрозу. Мало кто отдает себе в этом отчет, но это факт. С приходом ИТ-систем, охватывающих все предприятие, финансовые риски предприятия существенно возросли. ИТ расширили полномочия недобросовестного сотрудника так же, как и добросовестного. Сегодня достаточно усилий одного менеджера (правда, обладающего существенными полномочиями), чтобы поставить организацию под угрозу банкротства.
Угрозы могут исходить как изнутри, так и извне. Они зависят в основном от двух факторов:
- ошибочная или недостаточная отчетность по бухгалтерскому учету и финансовым рискам;
- недостаточные технологические меры предосторожности, что позволяет злоумышленникам или нечестным сотрудникам проводить неконтролируемые операции.
Сами по себе бизнес-операции не справляются с данными проблемами. Кроме того, стандартная практика ведения бухгалтерской отчетности не может распознать предстоящую финансовую катастрофу.
ИТ может помочь
Основные правила предотвращения подобных катастроф достаточно понятны и описаны в соответствующей литературе. Их цель - снизить вероятность того, что некоторые неожиданные события застанут организацию врасплох, а также ослабить эффект их воздействия. Мы же обратим внимание на то, какое влияние они имеют на ИТ в компании и как ИТ-директор может помочь топ-менеджменту компании в этих вопросах.
1. Определить правила бизнеса. Первый шаг, который описан во всех учебниках по менеджменту, состоит в уточнении правил, которые определяют функционирование бизнеса. Лучший способ избежать финансовой катастрофы - это тщательно сформулировать практику деловых отношений. Кроме того, многие компании вводят специальные правила и алгоритмы для предотвращения рисков. Однако здесь есть существенная проблема.
Правила управления компанией заложены во многие ИТ-продукты, но чаще неявным образом. Причем они редко систематизируются и не являются основным предназначением программы. Скажите, например, какое ПО способно четко предоставить вам описание операционных правил, которые определяют ежедневные бизнес-процессы? Да, при создании и внедрении соответствующего ПО эти правила были прописаны и зафиксированы, однако где они сейчас? И какие изменения в информационную систему были внесены после того? Сколько ИТ-директоров готовы быстро ответить на эти вопросы? А ведь есть еще правила, которые обеспечивают обратную связь с потребителем, предсказания и охранные функции. Получается, что информационные системы со временем становятся единственными хранителями правил, определяющих работу бизнеса, но эти правила из них извлечь практически невозможно. Выбирая ERP и хранилища данных, ИТ-менеджеры больше обращают внимание на ценовые факторы и функциональные возможности, но не принимают во внимание вышеперечисленные проблемы.
Поэтому очень важно сохранять правила в специальных базах данных, позволяя менеджерам, имеющим достаточные права, или аналитикам менять их. Опыт показывает, что основанные на правилах технологии, которые поддерживают данный подход, вполне доступны и могут быть интегрированы с существующими ERP, хранилищами данных и другими системами.
2. Автоматизировать управление рисками. Другая важная концепция - это управление рисками, то есть процессом выявления, контроля и устранения или минимизации последствий непредсказуемых событий. Например, в отделе кадров, даже с развитой HR-системой, с трудом можно оценить бизнес-риск плана невыплаты премий сотрудникам и зарплаты руководящим работникам. Хотя, если следовать логике, выплата премии - процесс негарантированный. Следовательно, планы выплаты премий следует отнести к области "что если?". Но как тогда оценить потенциальные риски? Чтобы это сделать, требуются сложные и специализированные ИТ-системы поддержки принятия решений.
Можно смягчить последствия финансовых или иных ошибок, объединив правила управления и возможности аналитики различных рисков. Очень удобно делать это во время обновления корпоративных ИТ-систем. Например, в КИС вводятся некоторые стандарты отчетности и разрабатываются инструкции, которые соответствуют сценариям высокого, среднего и низкого риска. Это позволит менеджерам более основательно понять опасность тех или иных решений или корпоративной политики. Однако чтобы это реализовать, необходимо выделять эти задачи как важную цель проекта обновления корпоративной информационной системы и соответствующим образом вести проект.
3. Обучение менеджеров работе с рисками. Многие советы директоров выбирают главного управляющего из бывших финансовых топ-менеджеров. К сожалению, при таком подходе ожидаемый риск зачастую рассматривается с помощью экономических методов. Через призму бухгалтерских расчетов его могут вообще не заметить. На рынке присутствуют аналитические системы для принятия решений при неопределенных ситуациях, но они сложны и трудны для понимания. Тем не менее ИТ-системы существенно помогают моделировать ситуацию, создавая ее сценарии развития - консервативный, умеренный или рискованный. И задача ИТ-директора состоит в том, чтобы постоянно напоминать топ-менеджменту о возможных преимуществах от установки подобных систем и обучения работе с ними.
4. Аналитика против мошенничества. Типы мошенничества очень разнообразны и меняются в зависимости от отрасли. Например, неправильная бухгалтерия может быть выявлена с помощью закона Бенфорда - с его помощью удается обнаружить искусственно созданную последовательность цифр. Ложные структуры покупок и продаж, незаконные проникновения (разрешенные или нет), которые модифицировали финансовые документы, незаметные злоупотребления корпоративной собственностью, привлечение сомнительных финансовых посредников и клиентских счетов, а также "отмывание денег" могут быть вскрыты защитными системами. Эти системы настолько разнообразны, насколько разнообразны типы мошенничества, и только сейчас достигли необходимого уровня сложности, развившись от простых технологий подсчета до специальных алгоритмов, основанных на аналитике.
5. Использование систем безопасности и профилактических систем. Топ-менеджерам некогда тратить драгоценное время, чтобы преследовать неких "призраков" опасности. Предупреждение необходимо получить заранее. К сожалению, хотя и есть некоторые научные наработки, ни одна из существующих программ не может противостоять мошеннической деятельности на операционном уровне. Так, например, в начале 90-х Sybase и Bausch & Lomb обнаружили некоторые бизнес-процессы, которые серьезно преувеличивали данные о продажах. Системы предупреждения и безопасности не сработали.
Современные средства хранилищ данных, в некотором приближении, могут работать в качестве охранных систем. Но сейчас стали появляться более сложные системы от третьих производителей. Например, Behavior Detection Platform проводит профилактику и определяет подозрительные структуры или события в области финансовых сервисов; технология анализа связей NetMap Analytics определяет общности между несвязанными событиями в страховом и розничном сегментах; Minotaur строит нейронную сеть для установления фактов "отмывания" денег и другой мошеннической деятельности в сферах обслуживания, финансов и телекоммуникации; DecisionEdge и STARS ориентированы на предупреждение мошенничества в области здравоохранения. ИТ-директору следует проанализировать, нельзя ли применить подобные системы.
6. Архитектура ИТ-систем. Предсказание и прогнозирование рисков, выявление мошенничества и другие меры - все это превентивные меры. Но чем ИТ может помочь, если риск реализовался? Часть решения может заключаться в архитектуре ИТ-систем. Чтобы справляться с непредсказуемыми ситуациями, архитектура должна быть адаптируемой. Другими словами, если что-то принесло ущерб вашей организации, возможность быстро исправить ошибку является большим преимуществом. Поэтому "бизнес-организм" должен быть подвижным, способным учиться и преобразовывать знания в поведение, что обычно и называется управлением. Если хорошо продумать эти вопросы, компания сможет эффективно защищать как свою целостность, так и конфиденциальность данных.
***
Банкротство компании происходит от недооценки ситуации. Поэтому сегодня необходим все более изощренный инструментарий менеджмента. На самом деле рассмотрение рисков может и должно происходить как часть бизнес-практики. ИТ могут помочь, но они не являются панацеей от всех бед.
Риск в цепи поставкиНедавно, работая в качестве CIO на одном из производственных предприятий, я обнаружил, что источники поставок некоторых материалов представляют существенный риск, особенно если эти поставки одного необходимого компонента, у которого существует только один поставщик, будут задержаны хотя бы на несколько дней. Инженеры, которые проводят эти поставки в корпоративной системе, не несут ответственности за срыв поставок. Они более заняты текущими техническими проблемами и над управлением поставками задумываются мало.Это не уникальный случай. Риски, связанные с движением денежных потоков, доверием клиентов и затратами на производство, представляют потенциальную опасность для экономической целостности предприятия. Без внутренней системы анализа рисков вы не можете быть уверены, что до конца понимаете последствия подобных проблем. В моем случае топ-менеджмент вообще ничего не подозревал о рисках в цепи поставок. Решение было найдено и для его реализации потребовалось введение правил на двух различных уровнях. 1. Аналитика. Если важная деталь не может быть заказана вовремя, с учетом того, что сама поставка может занимать несколько недель, система должна выдавать предупреждение. Более того, система должна блокировать финансовые потоки, связанные с этой поставкой, а также со всеми продуктами, выпуск которых зависит от необходимой детали, даже если это поставки для важного клиента компании. Реализация всего этого потребовала открыть достаточно серьезный проект (длился более полугода) по изменению информационной системы компании, функциональным заказчиком которой выступил директор по развитию, а руководителем — ИТ-директор. 2. Менеджмент. Среди руководителей компании, лиц, принимающих стратегические решения, и руководителей отделов были приняты некие правила, обязывающие их, работая с рисками, учитывать данные, которые может дать информационная система, закладывать риск в решения и так далее. |