Управление организацией в информационном обществе: поведенческий риск-менеджмент Текст научной статьи по специальности «Экономика и бизнес»

УДК 330; 336.018; 658; 004; 004.056; 007.3; 159.9

УПРАВЛЕНИЕ ОРГАНИЗАЦИЕЙ В ИНФОРМАЦИОННОМ ОБЩЕСТВЕ: ПОВЕДЕНЧЕСКИЙ РИСК-МЕНЕДЖМЕНТ

А. В. Власов

GOVERNANCE OF THE ORGANIZATION IN THE INFORMATION SOCIETY: BEHAVIORAL RISK-MANAGEMENT

A. V. Vlasov

Аннотация. Актуальность и цели. Информатизация общества создает уникальное пространство вокруг человека, и актуальными являются исследования в области поведения людей в цифровой среде. При этом именно человек является главным фактором в информационном обществе - его поведение способно представлять как возможности для общества или организации, так и угрозы. В статье затрагиваются проблемы обеспечения безопасности и риск-менеджмента. Рассматривается влияние поведенческих факторов на риск-менеджмент организации. Материалы и методы. Рекомендации в области риск-менеджмента формировались на основе уточнения роли фактора человеческого поведения и ряда международных и российских стандартов. Результаты. Рассматривается направление стратегического менеджмента по эффективному управлению организацией в информационном обществе. Дается определение понятиям «информационная безопасность» и «информационный риск». Раскрывается применение поведенческого подхода в риск-менеджменте. Выводы. В информационном обществе на поведение индивида оказывает влияние огромное количество факторов, поэтому степень контроля риска со стороны руководителя организации во многом зависит от учета человеческого фактора в управлении организацией.

Ключевые слова: информационное общество, поведенческая экономика, информационная безопасность, информационный риск, управление организацией, риск-менеджмент, кибиорализм, выполнение стратегии.

Abstract. Background. Society's digitization creates a unique space around the person; and the research of human behavior in the digital space are relevant. At the same time the person is the main actor in the information society - his/her behavior is able to present as opportunities for the society or the organization, and the threats. The article raises the problems of security and risk management. Reviews the impact of behavioral factors on the risk management of the organization. Materials and methods. The suggestions of risk management were formed on the basis of the clarification of the factor of human behaviour and the range of international and local standards. Results. Examines the direction of the strategic management for the effective governance of the organization in the information society. Defines the concepts of «Information Security» («Cyber security») and «Information Risk». Reveals the use of the behavioral approach in risk management. Conclusions. In the information society many factors influence on the person's behavior, so the degree of risk control on the part of CEO largely depends on the behavioral factor in the governance of the organization.

Key words: information society, behavioral economics, information security (cyber security), information risk, governance of the organization, risk management, cybiouralism, strategy execution.

Информационные технологии открыли новую эру, предоставив людям возможность полностью реализовать свой потенциал в создании, использовании и распространении информации и знаний.

Хоулинь Чжао [1, с. 4-8]

Any sufficiently advanced technology is indistinguishable from magic.

Arthur C. Clarke [2]

Введение

Российское общество стремится быть более открытым и траспарент-ным. Цифровизация, информатизация, дигитизация общества и мира создают уникальное информационное пространство вокруг человека. Наравне с открытостью в информационном обществе (ИО) остро проявляется проблема безопасности. Данная проблема является составляющим элементом полноценного развития общества [3, с. 13-24; 4, 5].

Человек (или коллектив организации) часто является самым слабым блоком процесса оценки информационных рисков (ИР). Риск-менеджеры порой забывают обратить внимание генерального директора на значимость психологических факторов управления персоналом и организации в целом.

Одним из главных факторов всех изменений в ИО является человек. По нашему мнению, становится актуальным новое направление в гуманитарной науке, исследующее поведение и действия человека в цифровой среде как объекта и субъекта, их взаимодействие, которые направлены на достижение своих целей - «кибиорализм» (англ. cybiouralism - наука о поведении в цифровой среде). Данный термин состоит из двух слов: «кибер» (англ. cyber) и «бихевиоризм» (англ. behaviour - поведение).

Именно поведенческий подход к риск-менеджменту (РМ) демонстрирует влияние психологических и когнитивных особенностей человека и его поведения на деятельность фирмы. Таким образом, несмотря на динамичное изменение многих факторов внешней среды, именно поведению персонала, обеспечению его психологической устойчивости стоит уделить особое внимание в РМ организации.

Управление информационным риском

Стремительные изменения в ИО коснулись коммерческой деятельности: они привели к созданию огромного информационного поля, в рамках которого функционируют организации и отдельные личности. При этом все субъекты ИО находятся во взаимной зависимости друг от друга. Данная ситуация смещает акценты с общих вопросов безопасности на информационную безопасность (ИБ)1.

К настоящему времени приняты следующие основные подходы к определению понятия ИБ (табл. 1).

1 Включая кибербезопасность как подраздел ИБ.

23

Таблица 1

Понятие «информационная безопасность»

Определение Источник

Состояние защищенности основных интересов личности, общества и государства в коммуникационном пространстве, включая информационно-телекоммуникационную инфраструктуру и, собственно, информацию в отношении таких ее свойств, как целостность, объективность, доступность и конфиденциальность Термины и определения в области информационной безопасности I С. А. Комов, В. В. Ракитин, С. Н. Родионов, П. М. Рябцунов, А. В. Сичкарук, А. Б. Стиславский, С. В. Чварков, Д. С. Черешкин, A. Н. Шевченко, И. С. Школьник, B. П. Эльяс [б]

Обеспечение (или сохранение) конфиденциальности, доступности и целостности информации; дополнительно в ИБ обеспечение может затрагивать другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность ISOIIEC 17999: 2005, Information technology - Security techniques - Code of practice for information security management. ГОСТ Р ИСОМЭК 27000-2012, утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. № 813-ст; идентичен международному стандарту ИСОМЭК 27000:2009 «Информационная технология. Методы и средства обеспечения безопасности. Общий обзор и терминология», ISOIIEC 27000:2009 «Information technology -Security techniques - Information security management systems - Overview and vocabulary» [7]

Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки ГОСТ Р ИСОМЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента обеспечения безопасности информационных и телекоммуникационных технологий

Безопасность, связанная с угрозами в информационной сфере СТО БР ИББС-1.0-2010. Стандарт Банка России СТО ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (принят и введен в действие Распоряжением Банка России от 21 июня 2010 г. N Р-705)

Все факторы, влекущие угрозы ИБ организации, можно отнести к ИР. При этом в контексте ИБ понятие «риск» формулируется следующим образом: 1) мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы (СТО БР ИББС-1.0-2010);

2) влияние неопределенности на цели [7, 8]: на цели организации, на процесс достижения поставленных целей с учетом различных аспектов целей (ГОСТ Р ИСО/МЭК 27000 - 2012; ISO/IEC 27000:2014 (E); ГОСТ Р ИСО 31000 - 2010, ISO 31000:2009);

3) потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов, которая определяется как сочетание вероятности события и его последствий (ГОСТ Р ИСО/МЭК 13335-1-2006).

Классическое понимание данного определения российскими учеными и законодателями не предполагает рассмотрения риска как меры (количественного значения и оценки) новых возможностей организации для достижения бизнес-целей. В классификации потенциальных угроз [9, с. 92-93] следует выделить несколько источников:

1) человек;

2) технологии: технические устройства, технологические схемы обработки, модели, алгоритмы, программы ЭВМ, искусственный интеллект;

3) среда: внешнее окружение, природа.

Все ИР напрямую или опосредованно (с учетом того, что любая технология первоначально была создана человеком) замыкаются на действиях человека (рис. 1). В рамках системы «человек - технологии - среда» (ЧТС) он имеет определенную внутреннюю мотивацию и стимул из внешней среды для совершения своих поступков и достижения целей, в том числе с использованием технологий. Поэтому стоит отметить актуальность и целесообразность применения поведенческого подхода к изучению ИР.

Рис. 1. Поведенческое взаимодействие в рамках системы ЧТС

В качестве отправного пункта, обусловливающего реакцию человека (см. рис. 1), можно выбрать влияние факторов окружающей среды. Действие данных сил создает импульс и порождает ответную реакцию и поведение человека, действия которого приводят к изменению в окружающей среде и тех-

1 Примечание: неопределенность - это состояние, заключающееся в недостаточности, даже частичной, информации, понимания или знания относительно события, его последствий или возможности [7, 8].

нологии. Порожденные человеческим фактором технологические изменения, в свою очередь, прямо или опосредованно снова оказывают влияние на человека, возобновляя и поддерживая данный поведенческий цикл, в котором, как мы видим, именно человек является ключевым звеном. Изучение поведения человека в различных условиях и его реакций на те или иные факторы становится все более актуальным с точки зрения обеспечения ИБ. Однако поведенческий подход к управлению ИР требует владения не только экономическим инструментарием, но и знаниями в области психологии, а также проведения кросс-дисциплинарных исследований на стыке нескольких наук.

Человеческий фактор оказывает огромное влияние на ландшафт существующих угроз ИБ, что подтверждается исследованиями компаний БУ1, PwC2, InfoWatch3 (табл. 1). Наибольшая доля приходится на сотрудников (текущих сотрудников, внутренних нарушителей).

Таблица 1

Основные источники информационных рисков

Основные источники ИР 2014: в мире, % 2015: в мире, %

Исследования компании EY

Сотрудники 57 56

Исследования компании PwC

Текущие сотрудники 44 34

Бывшие сотрудники 28 30

Исследование компании InfoWatch

Внутренние нарушители - 65

По мере охвата научными методами различных сторон жизнедеятельности человека становится все более ясным, что любая перспективная проблема научного человековедения по своему существу является комплексной трансграничной проблемой, для адекватной постановки и решения которой требуется разработка специальной методики кросс-дисциплинарных исследований (рис. 2).

Это еще более очевидно, если рассматривать проблему человека в целом как глобальную проблему современного научного знания, носящего междисциплинарный и системный характер.

Наравне со сложностью и скоростью изменений в России и мире для корпоративного РМ наиболее эффективным может стать междисциплинарный подход в формировании поведенческого профиля организации. Данный подход синтезирует новые уникальные знания из различных наук (например психологии [10] и др.), которые могут применить на практике специалисты по РМ и страхованию.

1 Creating trust in the digital world. Global Information Security Survey 2015. EY. http://www.ey.com/GL/en/Services/Advisory/ey-global-information-security-survey-2015-1.

Global Information Security Survey 2014. Get ahead of cybercrime. EY. http ://www.ey.com/GL/en/Services/Advisory/EY-global-information-security-survey-2014.

2 Turnaround and transformation in cybersecurity. Key findings from The Global State of Information Security ® Survey 2016. PwC. www.pwc.com/gsiss.

3 «Глобальное исследование утечек конфиденциальной информации в 2015 году». Аналитический Центр InfoWatch, www.infowatch.ru/analytics/reports. Данное исследование показывает распределение причин утечки информации (в %).

Рис. 2. Взаимодействие ключевых понятий методики кросс-дисциплинарных

исследований

Поведенческий подход в риск-менеджменте организации

В практической деятельности генеральный директор организации (англ. CEO) имеет дело с рисками. В сферу его ответственности входит прогнозирование и управление рисками. Фактически руководителя можно назвать главным риск-менеджером (англ. CRO), владельцем «всех» рисков (англ. risk owner) [9].

Руководителям необходимо постоянно проявлять заботу в отношении выявления финансовых и других угроз для бизнеса. В то время как очень просто выявить экзотические и невероятные опасности, которым может быть подвержена организация, наиболее серьезные угрозы лежат в другой области. Большинство неудач в бизнесе можно отнести к одному из двух основных рисков: невыполнение стратегии организации и неэффективное управление людьми. Именно сосредоточив свое внимание на этих двух фундаментальных рисках, руководители смогут достичь своих бизнес-целей.

Риск первый - невыполнение стратегии организации. Первая опасность может появиться неожиданно на горизонте внимания каждого руководителя. Бывает так, что некоторые организации терпят неудачу из-за отсутствия хорошей стратегии. Гораздо чаще у организации имеется хорошая стратегия, но не хватает ее полноценного выполнения.

Публичные организации много внимания уделяют отношениям с прессой. Это, конечно, важный элемент коммуникационной политики, отличный повод рассказать о наличии стратегии (или, например, о подготовке стратегии на основе лучших практик вместе с консультантом из «большой четверки»). Но все это работает, если стратегия выполняется. Все меньше внимания уделяется освещению в СМИ результатов выполнения.

Выполнение стратегии не так хорошо изучено всеми субъектами: участниками процессов как внутри организации - сотрудниками, так и снаружи - партнерами и клиентами. Мало изучена бывает и сама стратегия: существуют случаи, когда со стратегией организации не знакомы рядовые сотрудники.

Инструменты и лучшие практики в области стратегического менеджмента не поспевают за меняющимся характером и условиями работы челове-

ка, а также изменениями окружающей среды. Когда производство являлось основной отраслью трудовой деятельности людей, был разработан набор лучших практик. Они получили широкое распространение для оптимизации производственного процесса.

Трудовая деятельность в сфере услуг принципиально отличается от производства и, как правило, затрудняет выполнение стратегии со стороны многих руководителей. Специфика деятельности в сфере услуг - разработка программного обеспечения, страхование, консалтинг, маркетинг или другой вид - заключается в том, что ее результаты гораздо труднее измерить, так же, как и руководителю сложно управлять проектом в условиях отсутствия четкого понимания, когда проект будет закончен, будет ли согласован данный проект с выполнением стратегии. Руководитель должен доверять работнику, чтобы он освоил стратегию, и, основываясь на своем опыте и знаниях, ком-муницировать с работником о ходе выполнения проекта.

У данного риска «невыполнения стратегии» есть другая составляющая: руководитель организации должен убедиться, что различные подразделения (группы сотрудников) организации работают вместе на этапе выполнения конкретного проекта, всей стратегии организации в целом. Несомненно, есть лучшие практики и инструменты по функциональному исполнению и контролю процессов, но не все центры компетенций (функциональные группы сотрудников) могут работать самостоятельно; они должны коллективно сотрудничать и взаимодействовать между собой для достижения общей бизнес-цели.

Задачей генерального директора является объединение усилий разрозненных групп (сотрудников) для синхронизации интересов, кумуляции усилий и выполнения стратегии. Довольно часто в организациях сотрудники работают очень много, прикладывают все свои усилия, но результаты ими не достигаются. Люди выполняют свою работу, вовлечены в процесс, но они не реализуют предложенную руководителем стратегию.

Ниже приводятся практические рекомендации руководителю для управления риском невыполнения стратегии:

- рассказывать всему коллективу о стратегии организации, делать это регулярно;

- определять промежуточные (квартальные, месячные) цели для достижения основной цели стратегии организации;

- проводить совещания с лидерами рабочих групп (команд) в процессе достижения промежуточных целей и получения обратной связи;

- организовывать еженедельные совещания лидеров для развития коллективного и кросс-функционального сотрудничества (рабочих групп).

Риск второй - неэффективное управление людьми. Вторая опасность связана с первой - вероятность того, что организация не сможет получить необходимого, «правильного» сотрудника в нужном месте и времени для достижения ожидаемых показателей и в целом для выполнения стратегии. Очень мало руководителей выделяют время для работы над данной проблемой. Это также один из рисков, который руководители, особенно только что назначенные, не осознают в полной мере.

В некоторых случаях руководители используют «плохие привычки» личного менеджмента по управлению персоналом, основанные на предыду-

щем опыте. Большинство менеджеров (лидеров групп сотрудников) имеют невысокий уровень контроля над работниками своих групп. В то же время они (как лидеры групп) могут кого-то уволить (чаще всего после значительной бюрократической работы); они не могут создавать новые должности без многочисленных согласований «сверху» с вышестоящим руководством.

Переманивание лучших исполнителей из других регионов, функциональных подразделений организации, дочерних фирм также воспринимается неодобрительно. Например, текущая организационная структура и корпоративная культура большинства финансовых организаций имеют жесткую иерархию и подчиненность. Таким образом, наиболее успешные менеджеры учатся самостоятельно справляться с ситуацией за счет внутренних сотрудников. Они тратят время, пытаясь улучшить свои показатели деятельности за счет существующих исполнителей (сотрудников групп), и берут нового сотрудника («свежий талант») только тогда, когда открывается вакансия (новая должность).

Однако положение ухудшается, когда данный лидер (бывший менеджер) переходит на должность генерального директора: ему не хватает умений и навыков, необходимых для выбора лучших исполнителей в лице сотрудников (на рабочих местах в организации). Старый «реактивный» подход просто не работает: одна из основных обязанностей руководителя - это обеспечение бизнеса «правильными» людьми.

Часто работники за «свои» умения и таланты оказываются невостребо-ваны руководством. Многие руководители осознают специфику проблемы управления персоналом, о чем свидетельствует ряд перестроек, которые происходят в международных корпорациях. К сожалению, без системного осмысленного подхода к психологической (т.е. поведенческой) оценке талантов, их преимуществ эти реорганизации структур и персонала приведут к быстрым и неслучайным результатам в деятельности организаций. Руководители должны использовать упорядоченную систему оценки и управления людьми, развивать свои компетенции и компетенции всех сотрудников организации.

Несколько практических рекомендаций для эффективного управления вторым риском:

- постоянно находиться в поиске лучших специалистов, талантов;

- получать обратную связь от всех менеджеров (лидеров групп), включая информацию о производительности и потенциале персонала;

- работать с лидерами групп, чтобы эффективно проводить перемещения сотрудников в/из кадровый/ого резерв/а.

Применение данного поведенческого подхода находит место во внутреннем управлении рисками организации и во внешнем страховании рисков самой организации. Анализ функций выполнения стратегии и управления людьми генерального директора является дополнительной возможностью и основой для принятия решений.

Заключение

Необходимо отметить, что текущее состояние менеджмента ИР находится в процессе изменений. Как общество в целом, так и организационные структуры в частности требуют новых подходов к обеспечению безопасности, оценки рисков и страхования.

Воздействие неопределенности среды, прорывных технологий, активный рост массивов данных сказываются на стабильности человека как источника экономического прогресса и основного фактора риска. Предлагается уделить пристальное внимание управлению его экономическим поведением, так как именно за человеческим фактором стоит успех менеджмента организаций будущего.

В рамках адаптации стратегического менеджмента к реалиям ИО была предложена новая двухфакторная модель управления рисками организации. РМ необходимо сосредоточить на высшем уровне управления организацией и закрепить его в функционале генерального директора.

Пытаться полностью ликвидировать вероятность реализации рисков -сложное интеллектуальное занятие. Тем не менее любой руководитель не должен позволять себе (и организации) оставаться уязвимыми для информационных угроз. Каждому руководителю необходимо осознанно подойти к вопросам управления рисками, выделить необходимое время для того, чтобы убедиться в безопасности бизнеса и уверенном следовании стратегии.

Список литературы

1. Хоулинь, Ч. ИКТ и телекоммуникации теперь могут считаться частью любых решений / Ч. Хоулинь // Информационное общество. - 2015. - Вып. 4.

2. The Futurists / ed. by A.Toffler. - New York : Random House, 1972.

3. Баева, Л. В. Исследовательские мегатренды в условиях информационного общества и проблемы социокультурной безопасности / Л. В. Баева // Информационное общество. - 2015. - Вып. 2-3. - С. 13-24.

4. Владимирова, Т. В. Социальная природа информационной безопасности : моногр. / Т. В. Владимирова. - М. : Изд. дом «Науч. обозрение», 2014. - 239 с.

5. Нейсбит, Дж. Мегатренды / Дж. Нейсбит ; пер. с англ. М. Б. Левина. - М. : АСТ : Ермак, 2003. - 380 с.

6. Термины и определения в области информационной безопасности / С. А. Комов, В. В. Ракитин, С. Н. Родионов, П. М. Рябцунов, А. В. Сичкарук, А. Б. Стислав-ский, С. В. Чварков, Д. С. Черешкин, А. Н. Шевченко, И. С. Школьник, В. П. Эль-яс. - М. : АС-Траст, 2009. - 304 с.

7. ГОСТ Р ИСО/МЭК 27000-2012. - М. : ФГУП «СТАНДАРТИНФОРМ», 2014. -22 с.

8. ГОСТ Р ИСО 31000-2010. - М. : ФГУП «СТАНДАРТИНФОРМ», 2012. - 26 с.

9. Безопасность России. Правовые, социально-экономические и научно-технические аспекты. Информационная безопасность. - М. : МГФ «Знание», ГЭИТИ, 2005. -512 с.

10. Ольсевич, Ю. Я. Психологические основы экономического поведения / Ю. Я. Ольсевич. - М. : ИНФРА-М, 2009. - 419 с. - (Научная мысль).

Власов Андрей Васильевич аспирант, ассистент, Финансовый университет при Правительстве РФ; консультант, DeMontroyal E-mail: to@cybiouralist.com

Vlasov Andrey Vasiljevich postgraduate student, assistant, Financial University under the Government of the Russian Federation; consultant, DeMontroyal

УДК 330; 336.018; 658; 004; 004.056; 007.3; 159.9 Власов, А. В.

Управление организацией в информационном обществе: поведенческий риск-менеджмент / А. В. Власов // Модели, системы, сети в экономике, технике, природе и обществе. - 2016. - № 3 (19). - С. 22-31.