Вступить в Клуб Войти
Введите логин
Введите пароль
напомнить пароль

Стратегия = система. Сознательное продолжение

06.12.2011

В долгосрочной перспективе побеждает тот, кто минимизирует риски, а не тот, кто минимизирует затраты.

Букет публикаций про стратегии свидетельствует о том, насколько эта тема животрепещущая. Стратегов много. И это правильно. В идеале каждый должен стать стратегом. Но обладает ли каждый соответствующим инструментом?

Хотя бы для того, чтобы понять, правильный он стратег или нет, действующий по интуиции и как получится. И чтоб без разговоров: «Это очень сложно…». А еще и для того, чтобы тема эта была всегда «под рукой» и возникало желание у тех, кому это действительно нужно, воспользоваться. Есть смысл делать только то, во что веришь. Без имитации и самообмана. Можно ли для себя, любимого, разработать стратегию?

Можно, но мешает принцип необходимого разнообразия Эшби: «Управляющая система должна быть не менее разнообразной, чем управляемая». «Стратегия» одиночки — не стратегия, а некий, возможно даже сложносоставной, план. Впрочем, граница между стратегом организации и разработчиком стратегии для себя, конечно, условная. Для стратегии организации приходится сбалансировать цели всех подсистем, цели внешней среды и владельцев. В противном случае, согласно теории систем, такая стратегия не живет.

Сколько организаций смогли описать свою стратегию? Сколько компаний стараются хотя бы как-то реализовать описанную стратегию? (Не понимая, зачем.) И как можно описать и потом реализовать то, что нельзя измерить? Последний вопрос, несмотря на напрашивающийся ответ, обсуждается  страстно: не обязательно все стратегические показатели измерять. Достаточно хотя бы оценить. Можно ли разработать стратегию информационной безопасности без бизнес-стратегии? Ответ: возможно — при условии использования имеющихся ресурсов или утвержденного бюджета расходов на безопасность. На защиту персональных данных бюджет должны найти. Закон 152-ФЗ заставляет. Кстати, если стратегию правильно обосновать, суметь представить генеральному (если захочет выслушать), то деньги на нее выделят. Руководители ИТ вынуждены заниматься безопасностью информации (персональных данных) потому, что, пожалуй, кроме них в средней компании разработать стратегию вряд ли кто-то другой сможет.

Стратегический инструмент

Система сбалансированных показателей (ССП) — метод не новый, но эффективный и единственный инструмент стратегического управления, учитывающий многомерность стратегических целей и позволяющий контролировать динамику их достижения на всех уровнях управления. Вот так взяли и разложили талант произвольно взятого за уши стратега на части! Согласно Р. Каплану, Д. Нортону, Ансофу, Хиггинсу, ССП позволяет, используя показатели, сбалансированные во времени, стоимости и по месту применения, по степени влияния на стратегические цели, описать стратегическое управление как процесс, и затем его контролировать. Причем, делать это, последовательно, опираясь на понимание и посильное участие работников, с обязательным учетом влияния внешних обстоятельств и всех внутренних ресурсов. Разумеется, речь идет о работниках «продвинутых», с активной позицией в компании. Что и делает такую стратегию доступной при любой ее сложности и непобедимой.

Можно разработать ССП для оперативных задач, но такую ССП нельзя использовать для стратегии. Стратегия и ССП должны соответствовать по целям, месту, времени и, конечно, по героям-участникам. Кстати, кто запрещает взять наемника, если самому заниматься стратегией как-то «в лом»? А потом умно спросить с него за все.

Использовать же стратегическую ССП для решения оперативных задач можно и нужно. ССП-стратегия — оперативный ориентир на рабочих местах: при обращении клиента менеджер на своем уровне осознанно принимает составную часть стратегического решения. То же самое делает коллега по работе, если к нему обращается в соответствии с бизнес-процессом другой работник. Так и сотрудник службы безопасности, занимающийся расследованием инцидента безопасности: нарушения или сбоя системы защиты. Придется, однако, не забыть мотивировать каждого работника, чтобы процесс соблюдения стратегии стал его личной заботой. Показатели ССП как раз в этом помогут.

Учитывать существенное при полномочиях

Вся сложность ССП — в умении выделить из множества показателей самые важные (ограничить множество) и увязать их в систему ценностей стратегии. Принимать стратегические решения и активно воздействовать на достижение стратегических целей, контролируя показатели ССП, — обязанность первого руководителя или его наемника. Наемник должен иметь все нужные полномочия, особенно финансовые. Типичный портрет стратегического неудачника: наемник с формальными генеральскими погонами, без финансовых полномочий.

ССП позволяет стратегу вовремя достигать стратегических целей, если он действительно хочет их достичь. Суворовы, наверное, делают это интуитивно. Однако кое-кто и обычной картошкой питается. Ему сложное надо упростить, поделить на простое. Не всем картины писать, кому и смотреть — тоже удовольствие. Вот так присовокупил себя к мастерству стратегов, и вот оно, «стратегическое счастье». Как выбрать и определить эти показатели? Пусть сначала не сбалансированные. Пусть сначала не все: отобразить все, а выделить самые главные. Пусть сначала не все те, которые нужны для стратегии. И как их увязать в систему — сбалансировать? Обязательно помним про первый блин. Но и про второй, и вторую мышку с победным сыром.
 
Красота в целесообразности

Искать и выделять красоту системы обязательно. Секрет сбалансированности ССП — в целесообразности связей между элементами стратегии: целями и показателями, по вертикали и по горизонтали. Целесообразность, т.е. понятность или прозрачность того, зачем эта связь, этот показатель нужны. И хотя тема красоты в стратегическом управлении, на первый взгляд, совсем другая тема, но «ну очень близкая»: рядом грибы собирает. Без поисков красоты вообще вряд ли стоит стратегией (рискну сказать — «вообще чем-либо») заниматься. Неинтересно и безуспешно.

Согласно IDS SCHEER Group, ССП позволяет конвертировать стратегию в оперативные цели, согласовать стратегию с тактическими ежедневными задачами. Кто-то говорит: «Стратегию к оперативным целям не свести». Или: «При ежедневной текучке не до стратегии». Или: «Не заниматься же стратегией ежедневно»… А вот еще, эти больше всего нравятся: «Текучка — это не стратегия, а оперативная деятельность», «Стратегия для бизнеса — не военная, и не надо их путать!».  Именно благодаря системному свойству ССП рекомендуют применять и успешно применяют для стратегического управления компанией, или, как пример, в дополнение к бюджетированию, которое само по себе не дает оценить влияние планов и фактов прихода, расходов и затрат на стратегию. Четыре обязательных функции стратегии: приспособление к любимой внешней среде; оперативное перераспределение ресурсов; внутренняя координа¬ция усилий; структурные изменения компании. Чем же не стратегия военная?

Не все с нами

Множество уважаемого народу отрицают ССП-стратегии, сводят стратегию только к интуиции, таланту, отрицают что-то общее между стратегией полководца и стратегией  бизнеса. Стратегия — поиск решений по заранее продуманной концепции. Но нельзя все предвидеть. Приходится пересматривать стратегию, так сказать, в процессе: не догма она. ССП позволяет сосредоточить внимание на главном, и это главное разложено с помощью ССП по полочкам. Проще реагировать на изменения, когда они увязаны в системе управления, разделены на простые составляющие. Не забыть бы: красочная полноценная радость в виде мириад светлячков в теплую южную ночь над Бенгальским заливом охватит вас со всех сторон плотным обниманием не тогда, когда стратегия пока только есть, а когда цели стратегии достигнуты. Сумел без ССП — молодец! Что тут скажешь: победителей не судят. Обычно какую-нибудь государственную стратегию сопровождают умные слова: «матрица возможностей», «план-портфель», «стратегическая хозяйственная единица», «решетка планирования», «дерево целей». Можно их использовать, «потешив себя умом». Хотя Суворов этих слов не знал.

Стратегия по Демингу и Остерлоху

По Вильяму Демингу, усердных стараний работников недостаточно. Нужна стратегия — систематическая целеустремленность (читай: наша «красивая целесообразность»). Без нее подчиненные, как бы они ни старались, всегда будут подобны одинокому бульдозеру на болоте и никогда — муравьям, стратегически сбалансированно, организованно спасающим свое потомство. Если стратегические цели будут казаться подчиненным недостижимыми, люди не будут стараться достичь их.

«Целесообразная стратегия» должна быть ориентиром на качество технологического процесса, а через него — на производительность. Увы, не всегда работает. Бизнес требует финансового результата, часто без качества. Однако без качества не будет и бизнеса. «Генеральская» ошибка — в погоне за дивидендами акционер иногда путает долгосрочные и краткосрочные цели: люди будут работать на износ, но целей компания не достигнет. Вряд ли кто-то поймет, что произошло, когда всем стало плохо. Все будут виноваты, кроме основного виновника (кого — понятно всем кроме него самого). Исторически доказано… Нужна военная хитрость. От вялотекущей гражданской субъективно-офисной хитрости военная (в бизнесе) отличается тем, что применяется во время боевых действий за право жить и за право самого себя в этом бизнесе работать. История разных стратегий в обыденном восприятии неизбежно несет в себе отпечаток мифа: у каждого народа имеется образ, каким он видит себя и собственных предков. Условно считается: более древние источники более точные. А когда сам присутствуешь на историческом событии, понимаешь: в средствах массовой информации отражено не совсем то, не совсем так или совсем не то. Это опять о Суворове, но теперь с сомнениями. Не в этом ли причина того, что все это «хорошо известное» и «легко подтверждаемое» по историческим книгам, по мнению российского большинства, должно быть защищено? От кого? От чего? Или надо: для кого и для чего? Применительно к стратегии — хотя бы для того, чтобы не повторять ошибок прошлого. Вспоминаем: Кутузов пользовался ли стратегией Суворова, особенно когда сдавал Москву? И, конечно же, все советские полководцы сразу применили классическую суворовскую стратегию в первые дни Великой отечественной войны, как их учили. Стратег — имидж полководца, не меньше. Или того, кто себя таким полководцем вообразил… Возможно, он ошибся. Остается признать: что-то с нашей историей или со стратегиями не так. Или признать другое: у стратегии, в отличие от любой другой системы, есть особенное «имиджевое» свойство: она — отражение амбиций. Есть, конечно, и обычные системные свойства. Например, она исторична, т.е. работает только здесь и сейчас, делается данными людьми, в данных условиях. Кому-то каждый раз снова придется еще раз придумывать новую стратегию, потому что стратегию не скопировать.

Если ССП-стратегия содержит показатели мотивации персонала, у этого самого персонала появляются «прозрачные» стимулы, обоснованные взаимосвязанными измеримыми или оцениваемыми показателями, непосредственно привязанными к стратегии. Наглядно ССП-стратегию можно описать в процессе достижения стратегических целей. В основе подхода — принцип Остерлоха: «Подчинение структуры процессам, а процессов — стратегии». Принцип Остерлоха не «библиотечное запыленное старье». Он применяется известной фирмой Hewlett-Packard в автоматизированной системе Executive Scorecard. Система иерархическая, собирает данные о значениях показателей подсистем. Хочется записать «сбалансированных». Но в данной системе не только таких. Результаты используются не только для стратегического управления. Как только пользователь (стратег своего уровня) выбирает для оценки стратегический ССП-параметр, Executive Scorecard сразу выполняет пересчет значений всех показателей, подчиненных выбранной цели. Для показателей задают критерии оценки: правила определения того, соответствует ли показатель выбранной цели. Стратегия автоматизирована! Ложных амбиций нет. Обеспечивается эффективное управление ИТ-сегментом компании на всех уровнях, от стратега до рядового исполнителя. Умный стратег уже не нужен? Нет, нужен: менеджеры ИТ принимают решения на основе учета рассчитанных значений показателей. Обоснованность (целесообразность) каждого принимаемого решения на всех уровнях фирмы влияет практически на достижение стратегических целей.

В российском секторе компании с эксплуатацией Executive Scorecard не без проблем. Основная — сложно идентифицировать источник информации. У многих российских ИТ-инженеров попросту не хватает знаний, или времени, или еще, как обычно, чего-то российскому гражданину не хватает относительно применения конкретных показателей. Налицо проблема взаимоотношений бизнеса и ИТ. Бизнес разговаривает на языке показателей: совокупная стоимость владения (ТСО), коэффициент возврата инвестиций (ROI). Службы информационной безопасности или ИТ пытаются разговаривать с бизнесом на языке: межсетевые экраны, VPN, IPS/IDS, DLP. Кто первый другого поймет, наверное, решит время. Или бизнес решит раньше: «Такой ИТ нам не нужен» и «Почему за это я должен платить?».

Надо сказать, процесс разработки стратегии сам по себе не приносит фирме непосредственной пользы и дорого обходится по затратам денег и времени. Однако, затрачивая сейчас, сильно экономим потом.

Почему «известная» стратегия остается «неизвестной»?

Методология стратегий редко востребована, и с точностью до противоположного бывает не похожа на саму себя. Потому что не всякий, мыслящий себя стратегом, на деле такой есть. Типичная амбиция: «Зачем мне про это читать и где?». «Имиджевое» свойство стратегии срабатывает успешнее других: она признак собственного (для себя) величия, престижа, превосходства. Есть вторая причина: в расширяющейся Вселенной всегда нет времени… «Делайте попроще и вчера к утру». Есть еще третья причина: не все придуманное сделано. Купленная книжка еще не есть прочитанная. Вероятно, существуют и другие причины. Например, в драке вообще про все простые вещи забывают, если не приобретен навык на уровне рефлекса.

Один из авторов теории регламентированного учета, экономист А. П. Рудановский, как-то заметил: «Не все способны видеть очевидное. Есть много таких, которые или слепы, или столь далеко отстоят от дела, что не способны понять суть его значения». Если человек чем-то никогда не пользовался, вряд ли оно сразу становится для него важным. Следуя арабской пословице, не каждый сидящий на коне, всадник.

Концепция, политика или стратегия?

Попробуем сравнить. Итак, стратегию любого вида (бизнес-стратегию, стратегию ИТ, ИБ, ЖКХ, КГБ, НКВД и любую другую) можно описать в виде ССП. В «родном» Интернете, в котором после окончания рабочего дня и смотреть-то нечего, про ССП написано много. Для примера заинтересуемся чем-то попроще, перезревшим: стратегией защиты персональных данных (ПДн). Уважаемые утверждают: «Сначала концепция, на ее основе — стратегия». ССП-стратегия, действительно, первична. На ее замечательной основе потом и политику информационной безопасности и архитектуру системы защиты разработать можно. Потому что стратегия — это и есть сама концепция достижения целей компании (как правило, в длительной перспективе). ССП-стратег контролирует на всех уровнях управления процесс достижения целей стратегии. Но такая стратегия всегда абстрактна, потому что не всегда точно отражает действительное положение дел.

Часто стратегия остается на бумаге и на полке. Первое следствие: не каждый способен обсуждать абстрактные вещи. Потому не каждый способен стратегию разработать. Второе: следуя строгим, но неопределенным и «не для всех» российским законам, некоторые разработчики стратегий защиты ПДн сознательно стремятся оставить ее исключительно бумажной.

Политика информационной безопасности: наиболее рациональные средства и ресурсы, подходы и цели рассматриваемой задачи. Это общий документ, где перечисляются правила доступа, определяются пути реализации стратегии и описывается базовая архитектура системы защиты.

Концепция безопасности ПДн (она же при сравнении и есть стратегия, только не ССП) содержит три составные части:

1. Цели защиты в зоне ближайшей перспективы: реальные ценности, производственные процессы, программы, маcсивы данных, которые необходимо защищать. На этом этапе целесообразно дифференцировать по значимости отдельные защищаемые объекты. Кроме «красоты» целей желательно еще и риски целей не забыть оценить. Чем больше цель, тем больше риск.

2. Результаты анализа возможных инцидентов безопасности (внутренних нарушений и сбоев системы защиты).

3. Результаты анализа наиболее вероятных действий гадов–злоумышленников.

ССП-стратегия защиты ПДн содержит комплекс взаимосвязанных организационно-технических и технологических мер, которые обеспечивают заданную безопасность при остаточном риске и затраты на реализацию этих мер. Для такой стратегии эффективно замечательное правило Парето: 80% вероятности защиты объекта можно добиться 20%-ными затратами (в общем случае — усилиями). Попытки достичь оставшихся 20% защиты (довести защищенность до 100%) не совсем по Парето приводят к неоправданному возрастанию затрат. Стоимость затрат на защиту ПДн неразумно увеличивать более чем на 10% стоимости защищаемой информационной системы и зарплат ИТ и безопасников. Обзовем этот принцип «8020<10». Это как пытаться натянуть силовые провода строго параллельно земле. Из школьной физики известно: они всегда порвутся. Кстати, есть и возражение: «Как же можно провода тянуть параллельно, земля ведь неровная?».

Иногда понимают по-другому: чтобы добиться нужной защиты ПДн, надо потратить 80% усилий на работу с персоналом, а оставшиеся 20% — на техническую защиту. Ясно, что при такой защите рисков больше. Известно: ишак, груженый золотом, пробьет любую стену.

Итак, чтобы ССП заработала, нужно обеспечить систематический анализ результативности затрат: обратную связь получить. Если система защиты ПДн не будет приспосабливаться к изменениям, в ней неизбежно появятся «дыры». Стратегия без присмотра — жалкая бумажка. Систему защиты ПДн сначала надо правильно спланировать, внедрить, а потом регулярно пересматривать:  справедливый ГОСТ Р ИСО 9004-2010 рекомендует принцип непрерывного улучшения качества. Со временем, возможно, достигнем 100%. Где-то в дальней перспективе.

В России принято говорить: «это не единовременный акт». Без выделения средств и обеспечения ССП —  единовременный. Если наладить систематический учет и анализ показателей трех составных частей стратегии на всех уровнях — от уровня компании до уровня подразделений и даже, по возможности, до уровня отдельного пользователя, да еще в долгосрочной перспективе, — можно рассчитывать на лучшую систему защиты. Так, можно рассчитывать на самую сильную стратегию безопасности ПДн, непобедимую никаким внешним злоумышленником или инсайдером, не подверженную никаким сбоям системы защиты. Если добиться, чтобы ССП-стратегия была, работала в динамике повседневной деятельности организации, совершенствовалась, то о концепции, о политике, об ошибках первого выбора существенных показателей никто не вспомнит! Кто может больше, может и меньше.
Продолжение следует…

Игорь Мялковский

Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами

Другие публикации Игорь Мялковский