Провинция в глубинке налоговых сборов. Плюсы и минусы централизованного управления правами доступа в корпоративной среде Плюсы и минусы централизованной системы

Страница
9

3. В централизованной системе достаточно просто реализовать процессы информационного взаимодействия (координации действий более низкого уровня)

В иерархической системе создается принципиальная возможность глобальной оптимизации управления системой в целом.

Действительно, владение всей картиной дел в системе позволяет центру без особых трудностей организовать (кто ему возразит?) управление, оптимальное с точки зрения всей системы в целом. При этом центр может допустить функционирование каких-либо подсистем не в оптимальном режиме (на дотациях), а в некоторых случаях и пойти на ликвидацию подсистем ради существования системы в целом. (Всё это, правда, хорошо, если решения принимаются грамотным и информированным центром.) К сожалению, централизованная система не способствует в общем случае попаданию в центр грамотного лидера. Для этого нужно создавать правила продвижения наверх самых толковых. Однако, некоторая «схема» все же имеется – демократия в условиях развитого общества.

Из приведенных базовых свойств можно сформировать достаточно большое количество частных достоинств централизованных структур, что можно применять в свойе жизни и деятельности:

1.1 Для развивающейся организационной структуры при быстром росте системы различные подсистемы растут с разной скоростью, сильное и грамотное централизованное управление может не позволить некоторым подсистемам развиваться за счет других или в ущерб целям организации в целом.

1.2. Централизованное управление в условиях дефицита квалифицированных кадров в области менеджмента позволяет более эффективно использовать знания и опыт тех профессионалов, какие имеются в наличии, устанавливая их в вершинах иерархии управления.

Минусы централизации

Относительные недостатки централизованных структур:

1. В целом недостаточно высокие адаптационные способности (негибкость) системы.

Для того, чтобы реорганизовать систему, подсистемам требуется « убедить» в этой необходимости центральное звено системы, которое часто считает, что именно оно владеет полной информацией и пониманием проблем. Учитывая, что в «большой» централизованной системе уровни вносят свой информационный шум, и центр может не получать объективной информации о состоянии подсистем, подобное убеждение может не иметь успеха. В организационных системах, например, таких, как наше бывшее социалистическое государство, перестройка стала возможна лишь с 1985г., когда созрели (и даже перезрели) предпосылки для смены системы управления народным хозяйством, а также подросли до возраста власти лидеры, заражённые относительной свободой «оттепели» 60-х годов. До этого года все попытки изменить структуру управления не имели успеха.

2. Относительно низкая надежность системы.

Поскольку всем в конечном счете заведует центр, и он же является самым информированным, уничтожение центра, перегрузка или поломка приводят к дезорганизации и даже разрушению системы в целом. Определенным решением проблемы можно считать усиленную защиту центра от внешних агрессивных воздействий и увеличение избыточности в средствах коммуникации.

3. Сильная зависимость поведения всей системы от поведенческих характеристик центра.

Раз центр принимает решения, обязательные для всех подсистем, поведение системы определяющим образом зависит от «грамотности» центрального звена или характера идеи, реализуемой центральным органом. Можно даже сказать, что централизованная система имеет характер того объекта, который находится в центре управления системой (в общественно-экономических системах вспомним Ленина, Сталина, Хрущева, Брежнева. – Так психология конкретного политического деятеля существенно меняла характер государства и поведение его на международной арене).

В природных централизованных системах ядро всегда несет в себе наиболее важные поведенческие «гены», определяя «правила игры» других подсистем во внутренней среде системы в целом. Примеров можно привести множество. Сказанное может иметь определенный интерес в связи с материалом в разделе нашего Web-сервера «Архитектура Вселенной».

Плюсы и минусы децентрализованных структур управления

Преимущества сетевых структур

Сетевая структура является другой крайностью по сравнению с централизованной. Ее преимущества по сравнению с последней:

1. Высокие адаптационные способности (структурная гибкость).

В децентрализованной системе нет ярко выраженного "самого важного" звена (подсистемы) и главных связей. Другими словами, отсутствует "непререкаемый авторитет" или ключевой элемент. Поэтому о том, как изменить свои связи, каждая подсистема принимает самостоятельно. Отсюда система в целом относительно легко может изменить свою структуру в зависимости от ситуации и своих собственных критериев правильности поведения.

2. Относительно высокая надежность функционирования.

Раз в сети нет главной подсистемы, то и неполадки в каких-либо подсистемах не могут привести к распаду системы. Система в определенной степени избыточна - почти всегда найдется какая-то подсистема, которая заменит выбывшую.

Следствие преимуществ сетевой системы:

2.1. Устойчивость поведения системы в целом от некомпетентности одной или некоторого количества подсистем. Здесь суть опять же в том, что никто в общем случае не является авторитетом или управляющим звеном, поэтому и реагировать на чьи-либо "неправильные" действия другим подсистемам нет необходимости.

Минусы децентрализации

Недостатки децентрализованной системы:

1. Низкие мобилизационные способности.

2. В общем случае большое время реакции системы на внешние воздействия.

Данные "недостатки" просты для понимания и являются инверсными свойствам централизованной системы.

С учетом свойств централизованной системы, которые наиболее привлекательны (быстрота реакции, высокие мобилизационные способности), можно предположить, что централизованная структура (ЦС) наиболее адекватна агрессивным средам, требующим как раз быстрой реакции на внешние воздействия и способности мобилизовать для решения возникшей проблемы значительные (возможно все) ресурсы системы. Именно поэтому ЦС используется в периоды войны, сложной внутренней обстановки, и вообще агрессивного окружения. Кроме того, ЦС в целом удаются крупные мероприятия (освоение целины, коллективизация, индустриализация, победы в войне и в космосе, БАМ и т.п.), которые и возникают, как правило, именно из-за внешних угроз (или которые мыслятся таковыми). Если при этом подсистемы цементируются идеей, носителем которой является Центр, выживание в агрессивной среде такой системе почти обеспечен.

Верно и обратное: если ЦС оказывается в малоагрессивной среде, то такой системе требуется "изобретать" врага - внешнего или внутреннего (примеров из нашей истории предостаточно), чтобы обосновать свое существование. Если период пассивности внешней среды затягивается, то, в конце концов, централизованность системы становится излишней, и она в какой-то совей части децентрализуется. Это можно представить и как то, что отсутствие доминирующих свойств внешней среды как бы "проникает" вовнутрь системы (вспомним, что именно внешняя среда в конечном счете формирует структуру системы) и меняет степень централизации, поскольку от центра либо не требуется определять характер системы управления системой в целом, либо центр просто теряет авторитет.

Актуальная информация

События последнего времени, связанные с несанкционированным доступом к данным, утечками информации, у всех на слуху. Достаточно вспомнить, например, историю с растратой €4,9 млрд. трейдером банка Сосьете Женераль Жеромом Кервьелем, ставшей возможной (по одной из версий) благодаря недостаточно четкому разделению полномочий. Примеры утечек персональных данных клиентов из разнообразных организаций и государственных органов можно найти еще ближе к нам - базы данных с номерами сотовых телефонов, паспортными данными, номерами автомашин и персональной информацией об их владельцах и даже с информацией о доходах физических и юридических лиц можно купить почти в любом подземном переходе.

Нет сомнения, что все эти утечки повлекли крупные потери, как прямые, так и репутационные для фирм, бывших обладателями разглашенной секретной информации. Большинство этих потерь вызвано несанкционированным доступом к информации сотрудников самих пострадавших от этих утечек организаций.

Сейчас, когда по данным аналитического центра Perimetrix 100% организаций имеют антивирусную защиту и межсетевые экраны, но лишь 24% имеют защиту от утечек, задача защиты от инсайдерских угроз выходит для многих компаний на передний план.

Одним из способов борьбы с несанкционированным доступом является внедрение ролевой модели доступа к данным и информационным системам. А средством для внедрения этой модели являются продукты класса IdM (Identity Management).

Ролевой метод управления доступом контролирует доступ пользователей к информационным системам на основе типов их активностей в этих системах. Применение данного метода подразумевает определение ролей в системе. Понятие роль можно определить как совокупность действий и обязанностей, связанных с определенным видом деятельности. Таким образом, вместо того, чтобы указывать все типы доступа для каждого пользователя к каждому объекту, достаточно указать тип доступа к объектам для роли. А пользователям, в свою очередь, указать их роли. Пользователь имеет доступ, определенный для той роли, к которой он принадлежит.

В результате использования этой модели снижается вероятность инсайдерской угрозы, поскольку к информации, потенциально интересной для возможных похитителей, имеют доступ только сотрудники, которым это положено в силу их принадлежности к определенной роли, к которой привязана их должность. Конечно, если инсайдер имеет легальный доступ к секретной информацией в соответствии со своими должностными правами, то от его действий будет очень сложно, но это уже тема отдельной статьи.

Но уменьшением вероятности инсайдерской угрозы польза от внедрения решения IdM на предприятии не ограничивается.

Выгоды от внедрения решения такого класса хорошо известны, это:
. Сокращение дорогостоящего времени, которое вынуждены тратить сотрудники ИТ отделов на:
- создание учетных записей и выдачу им соответствующих прав в разнообразных ИТ системах при приеме сотрудников на работу,
- изменение прав сотрудников при переводе их на другую должность или изменение должностных обязанностей
- блокировку учетных записей при уходе сотрудника в отпуск (к слову сказать, во многих организациях выполнение этого элементарного действия до сих пор не стало нормой)
- удаление или блокировку учетных записей сотрудника в случае его увольнения
- восстановление забытых паролей (есть данные, что в больших организациях с жесткими требованиями к регулярности смены паролей, на восстановление забытых паролей тратится до 60% времени местных администраторов).
Сокращение вынужденных простоев сотрудников при приеме на работу и переходе из должности в должность. Вспомните, как вы сами по нескольку дней (а самые невезучие и по нескольку недель) ждали, пока занятые админы создадут вам учетную запись для захода на рабочую станцию и в корпоративную сеть, логин в почту, электронный пропуск в здание или на этаж, номер служебного телефона и т.д. А ведь все эти действия можно было бы выполнить за один шаг автоматически при приеме сотрудника на работу, если бы на предприятии было внедрено решение класса IdM.
Сокращение времени простоя сотрудников при смене пароля. Процедура смены пароля вообще является чувствительным местом в работе крупных компаний - она отнимает много времени у админов, о чем мы упомянули в первом пункте нашего перечисления. Но для компании это оборачивается двойным убытком, потому что плохо отражается и на пользователях. Я вспоминаю, как в некой организации один сотрудник два дня скучал перед отключенным компьютером, поскольку после бурно проведенных выходных он напрочь забыл пароль, заданный им в пятницу накануне. А у занятых админов не было времени добраться до этого пользователя, потому что он, по всей видимости, был не единственным, кто в ту пятницу в соответствии с корпоративной политикой сменил пароль.
Сокращение времени, в течение которого уволенный сотрудник может нанести непоправимый ущерб информационным активам предприятия (удаление или блокировка учетных записей сотрудника во всех ИТ системах может быть осуществлена за один шаг).
Исключение возможности, что злоумышленник воспользуется «черным входом» в виде учетной записи, оставшейся после давно уволившегося сотрудника. Мы не обладаем данными по российским компаниям, но исследования проведенные среди американских предприятий несколько лет назад, показали, что на некоторых крупных предприятиях до 80% всех учетных записей составляют «мертвые души» - учетные записи давно уволенных сотрудников.
Минимизация усилий и сокращение времени на интеграцию в корпоративную среду новых приложений.

Все эти перечисленные выгоды, получаемые предприятиями после внедрения IdM хорошо известны, неоднократно обсуждались в популярной и специализированной прессе. Мы их упомянули только для того, чтобы еще раз подчеркнуть важность решений этого класса, и больше не будем задерживаться на этой теме.

Предметом данной статьи является такой узкий аспект проблемы, как особенности централизованного и децентрализованного подхода при внедрении IdM на предприятии.

PROS
Достоинства централизованного подхода достаточно очевидны. На первом месте стоит Универсальность политик безопасности .

Стандартизация – это хорошо, я думаю никого из читателей не нужно в этом убеждать. Разрабатывать одну политику, единую для всех подразделений, проще, чем разрабатывать множество политик, каждая из которых удовлетворяет индивидуальным потребностям отдельного подразделения. Подразделениями, которые следуют единой бизнес-логике проще управлять. Это же касается и контроля над соблюдением политик ИТ безопасности.

Внедрение единой политики управления учетными записями пользователей может стать первым шагом на пути разработки полномасштабной и всеобъемлющей политики безопасности. По крайней мере, это может стимулировать разработку системы ролей, соответствующих должностным обязанностям сотрудников и приведение всех региональных подразделений (если они имеются) к этой единой системе.

Следующим логичным шагом после того, как мы определили роли, была бы категоризация информации с точки зрения, к какой информации (файлу, приложению или отдельной возможности приложения) для какой роли открывать доступ. И если доступ все же открывать, то на каком уровне – только чтение, дополнение, модификация или удаление. Но категоризация информации - отдельная большая тема и решение этой проблемы не входит ни в сферу действия IdM, ни в тему данной статьи.

Снижение издержек на управление политиками
Разработка политики безопасности сама по себе – непростое дело. Как указывалось в предыдущем параграфе, сложность задачи многократно увеличивается, если требуется разработать не одну, а несколько политик для региональных или функциональных подразделений. Но разработать и согласовать множество политик – это еще пол беды. Настоящая головная боль начинается при попытке эти политики проконтролировать или поддержать их актуальность. Потери контролирующими инстанциями времени, уходящего на внедрение множества политик и утеря актуальности собираемой информации грозят свести «на нет» весь смысл от внедрения решения.

Консолидированный анализ данных аудита
Возможность проведения аудита систем, находящихся под управлением IdM – важная опция решения. Для фирм, регулярно, подвергающихся внешнему аудиту важно представить отчеты, которые бы убедили аудиторов, что политики (в том числе и в области управления учетными записями) выполняются должным образом. Автоматический сбор данных и предоставление консолидированной отчетности по этой теме – большое облегчение для всех служб, которые отвечают за предоставление такой информации проверяющей организации.

Да и самим представителям службы безопасности предприятия нужно знать, не было ли попыток завести новых пользователей на целевых системах в обход IdM. Дело в том, что после внедрения IdM вся нагрузка по заведению новых пользователей в целевых системах снимается с администраторов этих систем. Все новые учетные записи заводятся автоматически после поступления данных о новом пользователе в базу данных Отдела Кадров. Так что случай, когда администратор целевой системы руками создает новую учетную запись или изменяет привилегии существующей, является нештатной ситуацией.

В процессе реконсиляции (reconciliation), собираются данные о так называемых «сиротских» (orphaned) учетных записях, то есть о таких учетных записях на целевых системах, для которых не найдено соответствия в базе данных центрального репозитория. Встроенный отчет о найденных несоответствиях выводит всю информацию о сиротских учетных записях в удобной для чтения и анализа форме.

CONTRAS
Если достоинства централизованного подхода достаточно очевидны, то его недостатки не так явно выражены, хотя и они тоже имеются. Среди недостатков на первом месте находится Недостаточный учет специфики локальных систем .

Да, внедрять единый подход во всех подразделениях – это правильный метод. Управлять фирмой или, если рассматривать проблему не так широко, внедрять и контролировать политику управления правами доступа легче, если она единообразна во всех подразделениях. Но мы живем в реальном мире, и не всегда возможно на практике реализовать то, что представляется наилучшим, исходя из идеологии. Представим себе ситуацию, когда одна компания покупает другую компанию. Потребовать от купленной компании единомоментного перехода на новые политики было бы невозможно. В некоторых случаях это могло бы парализовать важные бизнес-процессы. В таком случае проще децентрализовать управление, создав несколько политик (с учетом местной специфики) и дав локальным администраторам в руки инструмент, позволяющий контролировать исполнение этих политик. А как стратегическую цель можно запланировать постепенный отказ от тех приложений и процессов, которые связаны с локальной спецификой и, как результат, переход на те политики, которые приняты в головной компании.

Постепенно, по мере улучшения каналов связи в регионах, эта проблема уходит в прошлое. Возможно, через некоторое время, когда до каждого населенного пункта не только в России и ее ближайших соседях, но и по всему миру, проложат широкие каналы доступа, эта проблема перестанет быть актуальной. Глядя на то, с какой скоростью, немыслимой еще каких-нибудь пять лет назад, продвигается дело, веришь, что так оно и будет. Да и сейчас даже при слабых каналах связи проблема актуальна только при передаче больших объемов данных, например, когда идет реконсиляция. При средних объемах передаваемых данных, которые порождаются ежедневными кадровыми изменениями (прием на работу/увольнение с работы/изменение должностных обязанностей), эта проблема теряет свою остроту.

И, тем не менее, регионы со слабыми каналами связи до сих пор есть и реконсиляцию с их ИТ системами, находящимися под управлением IdM периодически производить надо. В случае использования централизованной модели управления и при слабых каналах связи, это может создать временные, но чувствительные проблемы.

Уменьшение скорости реакции
Если управление пользователями ведется централизованно, то неизбежно возникновение задержек между событием в регионе (приемом / увольнением / переводом в новую должность сотрудника) и реакцией на него в центре. Если опрос доверительного источника (которым, как правило, является база данных Отдела Кадров) производится 1 раз в минуту, то скорость реакции можно считать пренебрежимо малой. Но в таком случае нагрузка на каналы связи с опрашиваемым регионом существенно увеличивается, что может быть критичным в случае слабых каналов. Если же опрос БД ОК ведется раз в сутки, то последствия от, например, недостаточно быстрого блокирования всех учетных записей увольняемого сотрудника могут быть самыми разнообразными и среди этих последствий может не быть ни одного приятного.

Если же оперативное реагирование на возникновение экстренных ситуаций возложено на оператора IdM в центре и должно производиться, скажем, по телефонному звону из региона, то, и этот способ не является достаточно оперативным. Время уходит на созвон, описание действий, которые нужно произвести и на ручное выполнение этих действий, которое заведомо медленнее, чем автоматическое. Еще один аргумент против такой модели экстренной реакции, то, что этот способ не является достаточно надежным и защищенным, так как не застрахован от человеческих ошибок и от злоумышленников, которые могут совершить звонок от имени регионального оператора IdM и ввести, тем самым, в заблуждение оператора центрального IdM.

Преимущества гибридного подхода
Наилучшим вариантом нам видится разумное совмещение централизованного и децентрализованного подходов. Есть некоторые вещи, которые удобнее делать из центра. К этим вещам можно причислить:
Централизованное определение политик безопасности. Например, минимальную длину и сложность пароля для всех ИТ систем правильнее определять из центра, так, чтобы эти правила были едиными для всех регионов.
Правила транслитерации имен (как преобразовывать кириллицу, которой записаны мена и фамилии сотрудников к латинице).
Правила создания имен учетных записей. Например, <имя>.<фамилия> или <первая буква имени>_<фамилия>.
Если на предприятии есть штатное расписание, единое для всех регионов, то уместно определить в центре, какой должности в штатном расписании соответствует какой набор полномочий в ИТ системах (и, соответственно с этим, с помощью членства в каких группах реализуются эти полномочия).
Электронный документооборот или те его части, в которые вовлечены сотрудники из штаб-квартиры предприятия.

Есть некоторые действия, которые все еще удобнее делегировать в удаленные центры управления. Используя здесь выражение «все еще», я имею в виду, что вектор движения все же должен быть направлен в сторону бОльшей централизации. Но до сих пор для многих действий централизованно можно определить только общие политики, а выполнение этих политик доверить местному персоналу. В качестве примера можно сказать, что продукт IdM может создать учетную запись сотрудника в MS Active Directory и занести эту учетную запись в соответствующую должности группу. Но назначить права этой группе на доступ к конкретной папке или файлу, расположенному на сервере в удаленном регионе, может только администратор, в чьем ведении находится данный сервер.

Здесь нужно так же подчеркнуть, что создание самих групп в целевых системах тоже может быть проведено централизованно, но сам Identity Manager, как правило, не занимается созданием новых групп. На момент занесения учетной записи в группу, эта группа уже должна быть создана.

К обязанностям, которые имеет смысл делегировать на места можно так же отнести оперативный мониторинг за состоянием локальных ресурсов (к которым можно причислить, например, коннекторы для IdM и целевые системы, расположенные удаленно). В тот же самый момент, аудит системы рекомендуется вести централизованно. Причины такого разделения достаточно очевидны – мониторинг предоставляет оперативную информацию о состоянии наблюдаемого объекта. Если в результате наблюдения мы получили от системы мониторинга сообщение о том, что что-то не работает, как должно (или, что еще лучше, что что-то вот-вот может сломаться), у нас появляется возможность быстро отреагировать на этот сигнал. Наибыстрейшую реакцию может обеспечить тот сотрудник, который находится ближе всего к источнику сигнала. Поэтому все сообщения от региональных наблюдаемых систем должны поступать на консоль местных администраторов. В противоположность мониторингу, аудит – оценка на соответствие наблюдаемых систем на соответствие корпоративным правилам и стандартам. Поскольку стандарты как правило вырабатываются централизованно, вести наблюдение за соответствием этим стандартам уместно тоже из центра.

На что нужно обратить внимание при выборе решения IdM
На настоящий момент на рынке представлено очень много решений класса IdM от разных вендоров. Решения очень сильно отличаются по функциональности, так что пред потенциальным покупателем встает нелегкая задача: как выбрать продукт, на какие критерии имеет смысл при этом обращать внимание?

Одним из основных критериев, разумеется, является цена. Разница в цене конкурирующих продуктов может быть велика. Но здесь, как при совершении любой покупки, нужно задать себе вопрос – обладает ли покупаемый продукт функциональностью, достаточной, чтобы закрыть все проблемы, которые, собственно, и побудили заняться выбором решения в области IdM? Да, являясь реалистами, мы понимаем, что больше, чем заложено в бюджете, на покупку решения выделить вряд ли удастся. Но, покупая решения, которое не решает поставленных перед ним задач, мы рискуем просто выбросить наши деньги на ветер, а вместо них приобрести очередное не работающее решение. Возможно, в этой ситуации разумнее не создавать у себя и у руководства иллюзий о том, что проблема решена, а сосредоточиться на том, чтобы в следующем отчетном периоде заложить в бюджет достаточно средств для покупки решения, оптимального с точки зрения соотношения цена/качество.

Ведущие аналитики от Forrester Research считают, что Oracle Identity Manager (OIM) удовлетворяет вышеперечисленным критериям.

Другие подходы при внедрении систем управления правами доступа
Внедрение IdM не является единственно возможным подходом для правильной организации управления учетными записями пользователей и доступом к информации. Так получилось, что, ограниченные объемом статьи, мы вынуждены были оставить без внимательного рассмотрения альтернативные способы управления правами доступа. Но в завершение этого текста хотелось бы кратко остановиться на других решениях. Решение IdM уместно использовать на предприятиях, у которых в силу исторических причин образовалась так называемая «гетерогенная среда», то есть (применительно к нашей теме) много приложений, каждое из которых имеет свое хранилище учетных записей пользователей. Но если мы строим КИС с нуля, то можно обойтись без интеграции «коня и трепетной лани», и попытаться выбрать корпоративные приложения с таким расчетом, чтобы они могли использовать единый каталог для хранения учетных данных пользователей.

Если у интегрируемых приложений есть возможность предоставлять web-доступ к своей функциональности (у большинства современных приложений такая возможность есть), то эти приложения можно защитить с помощью Access Manager. Преимущества этого подхода следующие: мы получаем возможность контролировать доступ к корпоративной информационной системе на уровне ресурсов, у нас появляется единая безопасная точка доступа, можно реализовать web-SSO (Web Single Sign-On, система, обеспечивающая однократную аутентификацию пользователя через web-интерфейс; не путать с e-SSO, Enterprise Single Sign-On, обеспечивающим возможность прозрачного подключения к любым приложениям, в том числе и не обладающими web-интерфейсом). Удобно эту систему использовать в связке с IdM. В качестве примера здесь можно привести решение на основе продуктов Oracle Identity Manager и Oracle Access Manager.

В заключение нужно упомянуть о таком решении, как виртуальный каталог, которое дает возможность отобразить данные из различных источников, таких как LDAP каталоги, базы данных и пр. Виртуальный каталог имеет, как правило, весьма ограниченные средства для хранения истории изменений, так что это не замена полноценной системе управления учетными записями, а, скорее, удобное дополнение. Это решение можно так же рассматривать в качестве единого источника, который могут эффективно использовать приложения вместо того, чтобы обращаться к разрозненным (и, возможно, разнородным) хранилищам учетной информации.

Иван Бакланов,
Ведущий консультант по направлению информационной безопасности, Oracle СНГ

В кризис компании начинают искать новые пути минимизации затрат, увеличения скорости принятия решений. И нередко часть этих проблем решается через создание централизованных финансовых служб. Прежде чем приступать к реорганизации, необходимо понять плюсы и минусы этого процесса, а так же объем возможных инвестиций.

Преимущества и недостатки централизации финансовой службы

Централизация финансовой службы может быть выгодна с точки зрения:

• большего и оперативного контроля над хозяйственной деятельностью дочерних предприятий;
• устранения кадровых проблем (отпуска, болезни, замены сотрудника);
• минимизации ошибок при составлении отчетности;
• экономии затрат на полноценную финансовую службу в более мелких «дочках»;
• доступа к более дешевым кредитным ресурсам;
• внедрения единого документооборота.

Но при этом централизация может иметь и некоторые минусы, а именно:

• инвестиции в набор и обучение персонала централизованной финансовой службы;
• перестройка действующей системы документооборота;
• возможные инвестиции в программное обеспечение;
• потеря времени (в России много часовых поясов);
• рост затрат на фонд оплаты труда;
• рост расходов на командировки.

Поэтому решение в каждом конкретном случае принимается с учетом текущих бизнес-задач, которые стоят перед компанией. Например, это могут быть такие задачи:

• улучшение кредитных условий;
• более быстрое и точное формирование отчетности по РСБУ и МСФО;
• усиление контроля за товарными и денежными потоками.

Если именно эти вопросы будут более эффективно решаться путем создания централизованной финансовой службы , то решение оправдано. Однако процесс необходимо организовать таким образом, чтобы избежать и финансовых и временных потерь.

Какие функции целесообразно оставить на местах и почему

В некоторых случаях, даже с учетом общей централизации, некоторые функции все же целесообразно оставлять на местах. Решения такого рода принимается с учетом специфики бизнеса, но можно отметить несколько более общих правил.

Бухгалтерская служба . Несмотря на действующие системы электронной сдачи отчетности, практика показывает, что существуют и вызовы на комиссии по НДС и налогу на прибыль, и посещения налоговой службы для дачи объяснений по тем или иным вопросам, сверки по налогам и т.д. Это именно живое» общение с налоговиками. И оно вряд ли будет эффективно, если московскому бухгалтеру придется все время ездить в командировки, чтобы поговорить с инспектором. Кроме того, придется нести дополнительные затраты на переезд, гостиницу, суточные. Да и время тоже деньги. Не говоря об элементарной усталости, которая приведет к снижению эффективности труда сотрудника.
Да и общение с налоговиками, возможно, будет более продуктивным, если это будут люди с одинаковой ментальностью, родившиеся и прожившие часть своей жизни в одном городе. Да, это нельзя сразу «монетизировать», но возможно лояльный к компании налоговый инспектор проконсультирует, как отразить ту или иную операцию в налоговом учете, что исключит возможность возникновения в будущем денежного штрафа и пеней за неверно исчисленный налог.

Кассиры . Эта должность предполагает не только работу в базе данных, что возможно и удаленно, но и с «живыми» деньгами, то есть на местах. Например, сдача розничной выручки в банк происходит только в месте физического сбора этой выручки.

Учетный персонал на складах . Если работа связана с первичным оформлением отгрузочных документов (например, товарно-транспортные накладные, проверка доверенностей), проверкой количества отгружаемого товара и т.п. - то это работа так же остается на местах. При этом счета-фактуры могут выписываться и в ЦФС.

Какие инвестиции потребуются для централизации финансовой службы

Как уже говорилось выше, в случае создания централизованной финансовой службы - компании будут необходимы инвестиции для формирования новой команды. Это и затраты на рекрутинг, и на обучение новых сотрудников, и на выплаты компенсации сокращенному персоналу. Вероятнее всего будут возникать и затраты, связанные с обустройством рабочих мест и изменением бизнес-процессов при централизации функций.

Если объединить все возможные инвестиции, то можно выделить несколько групп:

1. Выплаты сокращаемому персоналу - компенсации по соглашению сторон или в соответствии с законом. Выплаты задолженности по отпускам.
2. Расходы на набор новых сотрудников (плата кадровому агентству) и на обучение (если необходимо).
3. Расходы, связанные с обустройством нового места - мебель, оргтехника (вряд ли целесообразно перевозить это из дальних регионов - эффективнее продать на местах и не тратить средства на логистику). Затраты на аренду офиса - если необходимо.
4. Расходы на доработку IT-структуры - потребуются, так как меняется система документооборота и система коммуникаций. Даже если компания применяет самую совершенную ERP-систему, централизация той или иной финансовой функции наверняка потребует внесения тех или иных модификаций в ПО.

Часть затрат такого рода можно минимизировать, например, используя схему перевода персонала из региональных офисов в ЦФС.

Как быть с персоналом при централизации финансовой службы

Самое простое решение в случаи централизации финансовой службы - уволить работников на местах и набрать новых. Но есть несколько нюансов, которые стоит рассмотреть подробно.

Не секрет, что рынок труда по-разному реагирует на кризис в самых крупных мегаполисах (Москва и Санкт-Петербург) и в регионах. Несмотря на сжатие объемов практически всех рынков, в мегаполисах по-прежнему существует дисбаланс между спросом и предложением. Да, на одну вакансию в крупном городе приходит много откликов, но требования по зарплате зачастую не соответствуют ни опыту, ни знаниям претендентов. К тому же может случиться, что проинвестировав в нового сотрудника, через несколько месяцев компания столкнется с необходимостью его замены (не справился с работой или нашел иное место). Так что впереди новый раунд инвестиций, а самое главное - потери рабочего времени, что по сути так же потеря денег.

Поэтому если централизованная финансовая служба будет находиться в Москве или Санкт-Петербурге, то возможно, что компании будет выгоднее предложить переезд персоналу из регионов, даже с возможной компенсацией расходов на жилье. Особенно это касается нетиповых должностей, требующих более специальных знаний. Плюсом еще будет то, что компании сохранит лояльность сотрудника, а что касаемо лояльности новых кандидатов, то это всегда большой вопрос.

Пример

Примерная смета (без учета налогов).

Филиал компании расположен в Новосибирске:

• Зарплата казначея - 30 000 руб. в месяц.
• Годовой бонус казначея - 120 000 руб.
• Итого расходы в год - 480 000 руб.

Создание централизованной финансовой службы в Москве (Санкт-Петербург):

• Новый сотрудник (казначей):
• Зарплата - 70 000 руб.
• Вознаграждение кадровому агентству (оклад за 2 месяца) - 140 000 руб.
• Годовой бонус - 280 000 руб.
• Итого расходы: 1 260 000 руб.
• Выплата компенсации (за 2 месяца) сотруднику в Новосибирске - 60 000 руб.
• Итого совокупных расходов - 1 320 000 руб.

Перевод сотрудника из Новосибирска в Москву с повышением зарплаты и компенсацией жилья

• Зарплата - 50 000 руб.
• Компенсация жилья (годовая) - 240 000 руб.
• Годовой бонус - 200 000 руб.
• Итого расходы: 940 000 руб.
• Экономия (первый год) 380 000 рублей или 40 %.

В этом примере есть реальная экономия денежных средств, причем мы не учитываем ту нематериальную выгоду, которая заключается в том, что компания сохранила и даже преумножила лояльность сотрудника.
Но, конечно, в каждом конкретном случае решение надо принимать индивидуально, учитывая в том числе и особенности самого сотрудника и ситуацию на рынке труда именно по этой должности.

Как выбрать место централизации финансовой службы

При выборе места, где будет находиться создаваемая централизованная финансовая служба, очень важно сразу же определить те основные задачи, которые компания планирует решить. Так же не стоит забывать и о специфике работы самой компании.

Пример

Возьмем условную розничную сети, которая состоит из магазинов, расположенных в Центральном, Северо-западном и Поволжском федеральных округах. Основные задачи, которые следует решить, создавая централизованную финансовую службу это:

• получение кредитных ресурсов по наиболее низким ставкам;
• усиление контроля за возможными злоупотреблениями на местах.

В этом случае наиболее оптимальным местом для размещения ЦФС будет либо Москва либо Санкт-Петербург. Поясню, почему.

1. Больше возможностей для кредитования не в региональных отделениях, а в головных офисах самых крупных банков.
2. Центры финансовой ответственности находятся в одном часовом поясе, что не затрудняет работу казначейства и как следствие обеспечивает более оперативное управление денежными потоками, что крайне актуально при наличии значительного кредитного портфеля;
3. Из крупного мегаполиса будет проще организовать логистику командировок (в том для целей проверок на местах и т.п.).

Иная ситуация - крупное рыбоводческое хозяйство. Фермы находятся в ДВФО, там же оптовая компания и несколько розничных магазинов. Но основной торговый дом в Иркутске, там же розничный магазин. В Москве и Санкт-Петербурге несколько мелких торговых точек.
Основные задачи финансовой службы холдинга:

• разработка и исполнение финансовой стратегии;
• оперативное управление денежными потоками;
• контроль за возможными злоупотреблениями на местах.

Здесь целесообразнее разместить ЦФС, например, в Иркутске потому что:
учитывая часовые пояса из Иркутска более удобно, чем из Владивостока управлять денежными потоками в Москве и Санкт-Петербурге;

• кредитные ресурсы не нужны, а текущее РКО в банках Иркутска вполне устроит компанию (скорее компания даже получит преимущество, так как будет в местном банке крупным клиентом, а в мегаполисах может и затеряться на фоне сырьевых монстров);
• оклады финансистов в Иркутске будут ниже чем в мегаполисах, да и затраты на аренду офиса тоже будут меньше чем в Москве и Санкт-Петербурге;
• выездные проверки и инвентаризации опять же дешевле проводить, отправляя команду во Владивосток из Иркутска, чем из Москвы.

Как выстроить коммуникации между сотрудниками при централизации финансовой службы

Когда компания создает централизованную финансовую службу, многие привычные коммуникационные связи рушатся. И это, безусловно, вызывает негативную реакцию у персонала. Например, раньше для того что оплатить какой-либо срочный счет, надо было зайти к казначею с завизированной заявкой, иногда и в обход существующих процедур. (формальности уладим потом). Теперь надо заблаговременно разместить эту заявку в системе, возможно добавить какие-то пояснения, к тому же заявка может быть не исполнена, так как не уложились по времени (есть понятие банковского дня).

Поэтому при смене места нахождения централизованной финансовой службы необходимо произвести ревизию коммуникационных процессов. Если разделить этот процесс на несколько этапов, то он может выглядеть так:

1. Определение всех бизнес-процессов в которых участвуют финансовые службы.
2. Выделение тех бизнес-процессов, которые требуют изменений в связи с централизацией финансовой службой. Например, казначейские процессы, в случае если служба казначейства становится централизованной.
3. Внесение изменений в конкретные бизнес-процессы. Например, формирование заявок на оплату.
4. Доведение новой информации до всех участников.

Пример

Бизнес-процесс: оплата заявок на финансирование

БЫЛО: казначейская служба на местах :

1. Утверждение головным офисом БДДС конкретного ЦФО. Доведение показателей до ЦФО.
   
2. 
   Исполнитель: финансовая служба ЦФО.
3. 
   
4. 
   Исполнитель: бюджетный контроль ЦФО.
5. Оплата заявки.
   
6. 
   Исполнитель - казначейство ЦФО.
7. Формирование отчета об исполнении БДДС и передача в головной офис.
   Исполнитель: казначейство ЦФО.

СТАЛО: казначейская служба централизована :

1. Утверждение головным офисом БДДС конкретного ЦФО. Доведение показателей до ЦФО. Исполнитель: финансовая служба головного офиса.
2. Внесение утвержденных показателей в соответствующий модуль ПО.
   Исполнитель: финансовая служба головного офиса.
3. Формирование в модуле заявки на финансирование.
   Исполнитель: владелец бюджета в ЦФО.
4. Акцепт заявки (наличие бюджета, комплект необходимых документов и т.п.).
   Исполнитель: бюджетный контроль головного офиса.
5. Оплата заявки.
   
6. Передача документа об оплате заказчику.
   Исполнитель: казначейство головного офиса.

Сначала кажется, что значимых изменений как будто и нет: заявки по-прежнему оплачивает казначейство. Но теперь это казначейство, которое находиться в головном офисе, а не Мария Степановна из соседнего кабинета. Документ об оплате придет в казначейство по электронной почте, а не попадет на стол к Марии Степановне от кого-то из сотрудников.

Все изменения в бизнес-процессах после централизации финансовой службы необходимо зафиксировать письменно, чтобы у сотрудников не возникало путаницы: кто теперь и за что отвечает. Так же следует довести до сотрудников, какой функционал остается на местах. Дабы сотрудник, которому нужно получить форму НДФЛ -2 знал, что за ней надо идти к бухгалтеру, который остался, как и прежде на месте, а не писать запрос в централизованную бухгалтерию.
С одной стороны, это все элементарные вещи. Однако любое изменение может серьезно озадачить персонал и привести к непродуктивным потерям рабочего времени, когда сотрудники будут пытаться самостоятельно понять, куда идти с тем или иным вопросом, проблемой. Лучше один раз потратить время и силы на описание изменений, чем тратить его потом ежедневно на объяснение новых правил работы. Или получать ежедневные сбои в работе из-за того что кто-то что-то не так понял.

Во многих сферах жизни присутствуют такие понятия как централизация и децентрализация.

Эти понятия вошли в письменный английский в начале XIX века, когда политический деятель Франции впервые описал в своей статье существующую централизацию бюрократической власти и усилия граждан на пути к децентрализации государственных функций. В течение XIX и XX вв. идеи свободы и децентрализации достигли своего апогея благодаря политическим движениям анархистов.

В начале XX в. в ответ на централизацию экономических сил и политической власти появилось децентралистическое движение. Основной его идеей было обвинение промышленного производства в уничтожении относящихся к среднему классу владельцев магазинов и небольших производств (мануфактур) и продвигало идеи увеличения возможностей владения собственностью и возврата к жизни в небольших, локальных масштабах.

В рамках системного подхода под децентрализацией следует понимать такую реорганизацию протекающих внутрисистемных процессов, при которой значительная их часть переводится на более низкий уровень иерархии. Другими словами, это передача полномочий и обязанностей по принятию решений из центра в другие, менее значимые, организации при одновременном сужении прав и полномочий соответствующего центра.

Описание децентрализации простыми словами

Если говорить простым языком, то децентрализация – это перераспределение власти. Вся власть, которой обладал только центр начинает расходиться и по областям на места.

В условиях децентрализации происходит расширение и укрепление прав, полномочий, возможностей мест, отделов, областей, автономий, республик. То есть если все решения принимались в одном месте руководителем, главой, начальником, директором либо управляющим, то при децентрализации некоторой властью наделяются и подчинённые, освободив от некоторых функций своё руководство.

А еще проще – власть, принадлежавшая одному человеку, в условиях децентрализации начинает принадлежать многим людям.

Децентрализация — информация из Википедии

Децентрализация в производстве

На предприятии децентрализация характеризуется степенью власти, которой обладает руководитель организации. Сильная централизация на предприятии – это ярко выраженное единоначалие. В таких организациях, как правило, основным фактором успеха является высокая дисциплина, а принятие решений происходит все время одинаково, по стандартному сценарию.

Однако, современные рыночные отношения требуют гибкости и оперативности принятия решений, связанных с вопросами реализации продукции, обслуживания клиентов, разработки тактики фирмы. Нынешние условия ведения бизнеса показывают, что наиболее жизнеспособными и конкурентоспособными являются организации с большей степенью децентрализации. В условиях подобной структуры распределения власти сотрудники, занимающиеся продажей товаров и услуг наделены полномочиями, позволяющими самостоятельно принимать необходимые управленческие решения.

Обычно менеджер на децентрализованном предприятии без согласования с высшим руководством оперативно решает возникающие вопросы, тем самым обеспечивая увеличение скорости производственных процессов и осуществление реакций на внешние факторы. Это оказывает благотворное влияние на конечный результат производства.

На децентрализованных предприятиях весомую роль играют коллективные решения. Часто бывает так, что для решения сложившейся ситуации требуются мнения специалистов разных профессиональных областей и при комплексном подходе к проблеме находится разумный выход из сложившейся ситуации. Эффективным инструментом в борьбе с возникшими проблемами может стать именно взвешенное коллективное решение.

Предприятия с описываемой структурой управления обладают следующими характеристиками:

• решения, принимаемые низшими иерархическими структурами, являются более значимыми;
• выполнение организационных функций происходит в соответствии с принятыми решениями подразделений;
• контроль из центрального управления за действиями низших иерархических структур достаточно низок.

Большая степень децентрализации на предприятии способствует:

• увеличению управленческих навыков руководителей;
• увеличению навыков по конкурентоспособности в современных рыночных условиях, способствующих экономическому подъёму и улучшению производительности труда;
• самостоятельности руководства, начиная со среднего управленческого звена, при решении возникающих проблем, что тянет к осознанию и оценке их собственного вклада в получение результата и является существенной дополнительной мотивацией их труду.

Децентрализация в экономике

Рыночная экономика обязана быть частично децентрализованной, так как она характеризуется свободным не зависящим от предписаний и указаний сверху режимом хозяйственной деятельности граждан и их объединений.

Децентрализованная экономика в рыночных условиях не должна быть обременена установленным центром государственным планом, который безоговорочно подлежит выполнению. Вместо обязательного существует рекомендательный план-прогноз, который министерство предлагает регионам. Происходит не только ограничение прав центрального государственного или иного руководящего аппарата, но и делегирование планово-управленческих полномочий хозяйственным единицам, предоставление самостоятельности в принятии решений, а также в тактике и стратегии своих действий.

Однако, чтобы избежать хаоса и полнейшего разногласия рыночная экономика должна быть контролируемой и направляемой, поэтому полная децентрализация экономики невозможна и нежелательна. Экономика страны должна обладать системой правил экономического поведения, имеющей общий характер для всех участников экономического процесса.

Децентрализация в управлении государством

Процесс рассредоточения власти из центра по регионам и налаживание местного самоуправления за счет получения части полномочий от центральной власти является децентрализацией.

Этот механизм приносит пользу в случае гармоничного взаимоотношения между центром и регионами. Децентрализация в управлении государством – это передача ответственности за планирование, менеджмент и использование ресурсов от центрального аппарата управления на более низшие уровни.

Децентрализация тесно связана с распределением функций (или задач) между самыми низкими уровнями социального порядка, которые способны их выполнять.

Принцип субсидиарности – один из главнейших принципов распределения социальной помощи по мере необходимости между подразделениями. Именно данный принцип положен в основу Европейской хартии Местного самоуправления. Немаловажным является тот факт, что не все функции управления стоит переводить на места.

Исходя из принципа субсидиарности, совершать децентрализацию стоит, если это крайне важно для достижения поставленных целей и есть гарантии эффективного их выполнения и повышения качества управления.

Отличия децентрализации от федерации

Децентрализованное государство, где полномочия центрального аппарата власти в значительной мере переданы его составным частям занимает промежуточное место между унитарным и федеративным государствами. Оно в некоторой степени имеет сходство с федеративным устройством государства, которое заключается в наделении правом административно-территориальной единицы издавать законы, быть финансово независимой, а также возможным наличием автономии в своем составе.

Но между этими двумя системами управления существуют значительные различия.

Федерализм – это система правления, при которой властью обладает и общенациональное правление и региональное. Здесь присутствует конституционное признание автономии областей с защитой от посягательств на их суверенитет со стороны центральной власти.

Может быть частью политики как унитарного, так и федеративного государства. Децентрализация предусматривает автономию областей согласно принятым законам, верховная власть может решать, когда и какие полномочия передать регионам, а может их забрать в любой момент обратно. В этом случае большая часть налогов, собранных в административно-территориальных единицах передается в центральное управление, полномочия регионов небольшие, а все необходимо выпрашивать у главного руководства.

Плюсы и минусы децентрализации

Достоинства

• Укрепление демократии на местах. Менеджеры подразделений владеют значительным объёмом информации о местных условиях для принятия решений. Затраты на её передачу из центрального управления не нужны, все происходит на местном уровне.
• Улучшение социально-экономического развития, учитываются социально-территориальные интересы, более точно корректируется политика с учётом возникающих условий.
• Управленцы на местах принимают более своевременные решения, что для заказчиков наиболее привлекательно. Деятельность менеджеров наиболее эффективна благодаря тому, что они могут проявить инициативу, приобретают методом проб и ошибок ценный опыт, развивают управленческий талант. Появляется почва для взращивания новых администраторов, талантливых государственных служащих. Снижаются издержки на управление.
• Обеспечение свободы и прав человека за счет противодействия сторон.
• Сосредоточение знаний и умений высшего руководства на вопросах стратегического планирования благодаря передачи бремени ежедневных решений проблем управленцам на местах.
• Позволяет установить более гибкую систему регулирования без бюрократии, характерной централизованному управлению.

Недостатки

• Принятие управляющими подразделений некомпетентных решений в связи с недостатком информации, отсутствия согласованности целей между отделами и др.
• Дублирование исполняемых функций.
• Уменьшение лояльности по отношению к другим подразделениям общего целого.
• Обособленность частей, что приводит конфликтам, ослаблению контроля.
• Присутствие тенденции к втягиванию управляемого процесса в анархию и беспорядок.

Следовательно, децентрализация наглядно отражает характер отношений между руководителями различного уровня в системе управления будь то какая-либо сфера хозяйственной деятельности, предприятие, экономика или государство. Это новое качество управления, позволяющее максимально приблизиться к положительному результату.

Значение децентрализации заключается в невозможности решения из единого центра всех вопросов, возникающих у подразделений. Для этого полномочия распределяются по структурным единицам, обладающим достаточными возможностями для решения собственных проблем.