В. Андрианов - Обеспечение информационной безопасности бизнеса
Существенное влияние на используемые модели управления оказывали факторы экономической и социальной среды организаций, общественный строй и др. Перемены 1990-х гг. привели к востребованности в российской практике международного опыта, включающего принципы, модели, стандарты и практики управления, адаптированного к национальным условиям.
В то же время многое, имеющее отношение к управлению, определяется целями и задачами, решению которых должна отвечать система управления (объекта, деятельности, организации и т. п.).
Любая организация создается и функционирует для реализации каких-либо задач. Даже если взять абстрактный случай, когда организация создается не для достижения ею каких-либо целей, а для того, чтобы она номинально существовала, то для целей самосохранения компания обязана поддерживать некоторые виды деятельности (процессы) и иметь соответствующую систему управления.
Обобщенная модель корпоративного управления приведена на рис. 13. Корпоративное управление в общем случае имеет два уровня: «управление должностных лиц через совет директоров, выбираемый акционерами» и «управление деятельностью (бизнес-процессами/деловыми операциями), осуществляемое должностными лицами». Это верхний уровень управления, который следует иметь в виду всякий раз, когда идет речь о высшем руководстве организации, принимающем значимые решения в сфере менеджмента информационной безопасности бизнеса.
Если должностные лица не управляют корпорацией, управление должностных лиц через совет директоров, выбираемый акционерами, ничего не значит и никакие ожидания собственников (акционеров) не будут иметь под собой твердых оснований. Поэтому управление бизнес-процессами должностными лицами так называемого уровня правления (исполнительского уровня) имеет первостепенное значение. Это управление требует осуществления так называемого менеджмента.
Понятие «менеджмент» является для России заимствованным (американское определение менеджмента — «делать что-либо руками других» [3]). Несмотря на то что в последние десятилетия оно получило достаточно широкое распространение как в сфере экономики и финансов, так и в производственной деятельности, в среде специалистов по защите информации, структур, регулирующих вопросы технической защиты информации, чаще всего используются понятие «управление», нежели «менеджмент». В гармонизируемых в России в последнее десятилетие международных стандартах по информатизации и информационной безопасности англоязычное понятие management переводится и как «управление», и как «администрирование». В то же время понятия «менеджмент» и «управление» имеют свои, давно сформировавшиеся определения, данные в гармонизированных в России международных стандартах качества серии ГОСТ Р ИСО 9000, а также базовых модельных стандартах менеджмента риска и безопасности, таких как ГОСТ Р 51897 [4] и ГОСТ Р 51898 [5], отражающих гармонизированные (адаптированные) международные модельные руководства.
Так в стандартах ГОСТ Р ИСО 9000 понятие менеджмент определено как «скоординированная деятельность по руководству и управлению организацией». При этом поясняется, что «в английском языке термин “management” иногда относится к людям, т. е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда “management” используется в этом смысле, его следует всегда применять с определяющими словами с целью избежания путаницы с понятием “management”, определенным выше. Например, не одобряется выражение “руководство должно…”, в то время как “высшее руководство должно…” — приемлемо».
Для определенных практических целей представляется возможным использование как понятия «менеджмент», так и «управление» — как наиболее привычного для российских специалистов, четко определяя при этом то, что мы понимаем под этими понятиями в каждом конкретном случае.
По аналогии с неуправленческими видами деятельности предпринимались попытки выделить в процессе менеджмента определенные функции — концептуальные элементы в содержании работы руководителя. Результатом явилась функциональная модель управления, перекликающаяся с определенными Анри Файолем в 1916 г. административными операциями (предвидение, организация, распорядительство, координирование и контроль). Данная модель представляет процесс управления в виде замкнутого цикла: планирование — организация — мотивация (лидерство) — контроль.
Безусловно, функциональная модель представляет собой скорее абстракцию; как показали исследования Генри Минцберга, практическая сторона работы менеджера в значительной мере неструктурированна, дискретна и спонтанна. Минцберг выявил четыре общепринятых мифа (заблуждения) относительно содержания управленческого труда.
Миф № 1: работа менеджера (в российской практике — управленца того или иного звена и уровня) состоит в систематическом и сознательном планировании. Примеров такой позиции множество. Но ни один из исследователей не приводит достаточных свидетельств в ее пользу.
Факты. Целый ряд исследований показывает, что менеджерам приходится работать в чрезвычайно высоком темпе. Основные черты процесса управленческого труда — краткость, разнообразие и непрерывность. Менеджеры ориентированы прежде всего на действие.
Миф № 2: у хорошего менеджера нет никаких текущих обязанностей. Говорят, что менеджеры все время заняты разработкой грандиозных планов и распоряжениями, а все текущую работу поручают другим — не дело менеджера заниматься мелочами. Если воспользоваться распространенным сравнением, то можно сказать, что хороший менеджер, как и хороший дирижер, все отшлифовывает заранее, а затем сидит и наслаждается результатами своего труда, лишь реагируя на те или иные непредвиденные обстоятельства.
Факты. Менеджер действительно несет ответственность за принятие решений в непредвиденных обстоятельствах, но, помимо этого, он имеет массу текущих обязанностей, включая исполнение разного рода обязанностей, участие в переговорах, анализ и обработку информации, связывающей организацию с окружающим миром.
Миф № 3: для старших менеджеров требуется уже обработанная информация. С такой задачей лучше всего справляются формальные информационные подразделения. Согласно такому мнению, менеджер должен находиться на самой вершине иерархической системы информации. Такой менеджер «по переписке» вообще должен всю важную информацию получать от гигантских, всезнающих управленческих информационных систем.
