Аналіз і оцінка загроз у процесно-орієнтованих моделях управління безпекою підприємства

Размещено на http://www.allbest.ru/

АНАЛІЗ І ОЦІНКА ЗАГРОЗ У ПРОЦЕСНО-ОРІЄНТОВАНИХ МОДЕЛЯХ УПРАВЛІННЯ БЕЗПЕКОЮ ПІДПРИЄМСТВА

Розглянуто доцільність використання процесного підходу в процедурах аналізу і оцінки загроз бізнес-процесів підприємства. Запропонована структура і склад показників якісного і кількісного аналізу загроз, їх комплексна характеристика - профіль загроз бізнес-процесів організацій управління підприємством, який дозволяє на основі застосування принципів процесного підходу реалізувати основні процедури виявлення, ідентифікації та якісного аналізу загроз як ключових процедур у завданнях комплексного забезпечення стійкості підприємства.

Ключові слова: процесний підхід, бізнес-процес, фактори впливу, загроза, профіль загроз бізнес-процесів.

бізнес загроза стійкість процесний

Постановка проблеми. Одним із ключових завдань при розв'язанні проблеми управління безпекою підприємства є побудова і використання науково-обґрунтованих методик аналізу й оцінки загроз як однієї з основних причин порушення стійкості процесів діяльності підприємства. Серед великої множини підходів і способів побудови моделей для аналізу й оцінки загроз на сьогодні все більше перевага віддається тим із них, які у своїй аксіоматичній базі застосовують методологію процесного підходу. Відповідно до стандарту 9000:2005 (п. 3.4.1), процес (process) -- це сукупність взаємопов'язаних або взаємодіючих робіт (операцій), що перетворює входи на виходи. Причому, входами одного процесу є зазвичай виходи інших процесів, а також те, що процеси в організації звичайно планують і виконують за контрольованих умов, щоб додати цінність.

Значне поширення методології процесного підходу в теорії та практиці управління підприємствами й організаціями [4; 5; 8; 10; 13; 16; 17] є однією з головних причин його застосування. Вагомим аргументом на користь процесного підходу стало і прийняття ряду міжнародних стандартів, таких як ISO 9000:2000 [8], ISO 9000:2005 [21], ISO 9004-2001 [22] , ISO 310000:2009 [14], у яких процесний підхід домінуює.

Аналіз останніх досліджень і публікацій. У наукових джерелах проблема аналізу й оцінки загроз розглядається з різних позицій такими дослідниками, як: Губський Б. [1, с.31], Грунін О., Грунін С. [2, c.17], Власюк О. [3, с.211], Мунтіян В. [6, c.25], Пономарев В. [10, с.111], Сумець О., Тумар М. [14, с. 110], Шликов В. [16, c.7] Ярочкин В. [18, с.25].

Виділення нерозв'язаної раніше частини загальної проблеми. Для більшості дослідників помітна спроба віднести до загроз всю сукупність негативного впливу на процеси діяльності підприємства факторів зовнішнього та внутрішнього середовища. У багатьох випадках дія факторів загроз аналізується винятково за результатами наслідків їх негативного впливу на процеси діяльності підприємства і, отже, унеможливлюється роздільний предметний аналіз самих загроз і ключових властивостей бізнес- процесів підприємства, які визначають їх захищеність від негативного впливу середовища. Помітний також значний дефіцит системних досліджень впливу факторів загроз на бізнес- процеси підприємства з урахуванням кореляційних зв'язків дії загроз, зумовлених міжпроцесними зв'язками бізнес-процесів підприємств і їх ієрархічною структурою. Практично відсутні публікації, які дозволяють розглядати проблему безпеки підприємства у розрізі загальної проблеми стійкості підприємств. Останнє вимагає розробки та застосування таких методологій аналізу й оцінки загроз, які були б побудовані на єдиній методологічній основі комплексного розв'язання проблеми стійкості підприємства, а його безпека розглядалася б як одна із ключових складових. Останні досягнення у галузі розробки та застосування процесного підходу в теорії та практиці управління підприємствами дають можливість реалізувати таку методологічну платформу.

Постановка завдання. Метою статті є розробка методологічних засад і відповідного понятійно-категорійного апарату, який дозволяє на основі застосування принципів процесного підходу реалізувати основні процедури виявлення, ідентифікації та якісного аналізу загроз як ключових процедур у завданнях комплексного забезпечення стійкості підприємства.

Викладення основного матеріалу дослідження. Усі процеси, що мають місце на підприємстві, можна назвати бізнес-процесами. Бізнес-процес - це упорядкована відповідно до певної технології сукупність дій, операцій, робіт, об' єднаних метою виробництва й поставки продукту (послуг/товарів) споживачам (іншим бізнес-процесам) Застосування процесного підходу для організації управління підприємством вимагає всебічного дослідження природи бізнес- процесів. Відповідно до цього необхідно розглянути питання виділення та класифікації бізнес-процесів підприємства. Традиційно прийнято використовувати таку класифікацію бізнес-процесів: основні бізнес-процеси; допоміжні бізнес-процеси; бізнес-процеси управління; бізнес-процеси розвитку.

Відправними базовими положеннями побудови процедур виявлення, ідентифікації та якісного аналізу загроз, що пропонуються, є концептуальна факторна модель безпеки бізнес- процесів [8; 9; 10; 12; 18], зображена на рис. 1.

Рис. 1. Концептуальна факторна модель безпеки бізнес-процесу

У зображеній на рис.1 схемі безпека визначається як ознака стану бізнес-процесу і є відображенням результату взаємодії певної групи факторів зовнішнього і внутрішнього середовища з бізнес-процесом. Як відомо, в інформаційних джерелах група факторів середовища, по відношенню до якої розглядаються порушення безпеки процесу, отримала назву «загрози». Більшість дослідників проблем безпеки у питаннях побудови етимологічного ланцюга зазначеного поняття схиляються до такої умовної схеми: «середовище процесу» ^ «фактори впливу середовища» ^ «небезпеки» ^ «загрози». За умови позначення за допомогою знака «^» процедури звуження понять маємо таке визначення поняття «загроза».

Визначення 1. Загрозами бізнес-процесу є множина негативних факторів впливу зовнішнього середовища - небезпек, які при певних умовах отримують спрямованість на процес і здатні спричинити несприятливі зміни у ресурсах і технології процесу, що, в кінцевому результаті, позначається на погіршенні результатів процесу та його ефективності.

Примітка 1. У наведеному визначенні поняття фактор впливу трактується в широкому розумінні як будь-який процес зовнішнього середовища, який за певними ознаками розглядається як цілісний об'єкт середовища.

Примітка 2. У визначенні 1 термін «спрямованість на процес» позначає взаємодію або можливість взаємодії фактору впливу з процесом, безпека якого аналізується.

Примітка 3. Як у наведеному визначенні, так і в подальшому викладі поняття «бізнес-процес» і «процес» у структурі діяльності підприємства розглядаються як тотожні.

Вихідним пунктом в аналізі й оцінці загроз бізнес-процесів є виявлення факторів середовища, які можуть бути кваліфіковані як загрози і визначення їх ключових характеристик. Основою процедури виявлення загроз серед факторів середовища процесу є розуміння причин, які зумовлюють перехід факторів середовища в категорію загрози. Незважаючи на існуючі на сьогодні розбіжності багатьох авторів у визначенні критерію, за яким фактори впливу середовища можуть бути віднесені до загроз. Аналіз напрацьованих систем класифікації загроз [Грунін О.А., Грунін С.О. [2, с.52], Мунтіян В.І.[18, с.151], Шликов В.С.[16, с. 70 ] дає змогу сформувати узагальнений набір причин, які можуть стати базою ознак у процедурах виявлення загроз. До числа таких причин можна віднести: існування у фактора впливу прагнення заволодіти ресурсом бізнес-процесу; зацікавленість фактору впливу у погіршенні результативності й ефективності процесу; непрогнозований характер руйнівних впливів середовища на об'єкти мікросередовища бізнес-процесу і сам процес; спонтанний і непрогнозований характер утворення і поширення руйнівних факторів середовища.

Важливою складовою аналізу механізмів порушення безпеки процесу є адекватне відображення процесів взаємодії загроз з бізнес- процесом. Аналіз інформаційних джерел, у яких розглядаються конкретні види загроз і їх вплив на об'єкти безпеки [1, 4, 11, 18], показує, що негативні наслідки впливу можуть бути віднесені до таких типів: втрата власних ресурсів процесу; порушення технології процесу; погіршення показників потоків надходження ресурсів до процесу.

За даних обставин важлива складова аналізу й оцінки загроз - це визначення тих складових процесу, які є цільовими об'єктами впливу загроз, а також опис механізмів такого впливу та визначення їх характеристик. У подальшому, ці компоненти в аналізі загроз будемо умовно позначати терміном «канали впливу» і відносити їх до числа ключових характеристик загроз.

Головна мета аналізу й оцінки загроз полягає в отриманні інформації, необхідної для подальшого використання її в завданнях забезпечення безпеки бізнес-процесів підприємства. Найбільш повною ця інформація буде у випадку, коли результатом такого аналізу стане специфікований опис загроз, який містить у собі як якісну, так і кількісну складову. Якісну складову такого опису будемо в подальшому іменувати як ідентифікатор загрози, другу кількісну - показником потужності загрози. Множина усіх виявлених загроз з відповідними їм ідентифікаторами і показниками потужності являє собою найбільш повний результат аналізу й оцінки загроз і в подальшому буде позначатися як «профіль загроз» бізнес-процесу .

Виходячи із концептуальної факторної моделі безпеки бізнес-процесу і наведених вище міркувань можна сформувати такі ключові характеристики, які повинен відображати ідентифікатор загрози бізнес-процесів підприємства.

Тип бізнес-процесу, який є об'єктом загрози.

Тип джерела загрози.

Індикатор причини загрози.

Кількість і типи каналів впливу загрози на складові процесу.

Визначення указаних характеристик забезпечується застосуванням процедури чотирьох вимірної ідентифікації, загальний алгоритм якої містить такі кроки.

Крок 1. Типологічний аналіз бізнес-процесу. Формування першого виміру ідентифікатора - тип бізнес-процесу Хбп.

Крок 2. Виявлення та ідентифікація каналів зовнішніх взаємодій бізнес-процесу. Формування структури та складу факторів мікросередовища бізнес-процесу.

Крок 3. Аналіз об'єктів середовища процесу, формування списку факторів середовища, які можуть стати джерелом небезпеки як для самого процесу, так і для факторів впливу його мікросередовища.

Крок 4. Аналіз виявлених небезпек за критерієм причин, які спричиняють перехід їх у категорію загроз. Типізація виявлених загроз, формування другого і третього вимірів і їх ідентифікаторів - тип джерела загрози Хдз і субідентифікатора - ідентифікатор причини загрози І(Хдз).

Крок 5. Аналіз каналів впливу на процес для виявлених загроз і типізація цих каналів, формування четвертого виміру та його ідентифікатора - тип І-того каналу впливу -Кі(Хдз).

У результаті виконання зазначених кроків алгоритму може бути сформована множина загроз бізнес-процесу з відповідними їм ідентифікаторами - якісна складова профілю загроз:

Рз ^ Хбп { Хдз, І(Хдз), Кі(Хдз)} (1)

Більш складна задача визначення другої складової у профілі загроз бізнес-процесу - потужності загрози Рз. Суттєве різноманіття факторів загроз і механізмів їх впливу на бізнес- процеси не дозволяє, як у випадку ідентифікаторів загроз, запропонувати єдину, уніфіковану процедуру оцінки потужності загрози. Причина цьому - залежність потужності загрози від типу бізнес-процесу - об'єктом впливу загрози; залежність потужності загрози від її типу та характеру впливу на бізнес-процес; відсутність єдиного вимірника при здійсненні процедури оцінки потужності загрози.

У силу названих причин оцінка потужності загрози може бути здійснена на основі аналізу параметрів, пов'язаних з потужністю загрози монотонною залежністю, тобто:

якщо 'і|(Рз) > ']д(Рз), то справедливим є Рщ(Рз) > Рк^з) ,

(де 'ц Рз), 'к3(Рз) - і-те та к-те значення параметра загрози,

РЧ(Рз) > Рк](Рз) - значення потужності загрози для і-того та к-того значення параметра загрози.

Крім того, при здійсненні процедури оцінки потужності загрози доцільно дотримуватися таких правил:

Оцінка потужності загрози повинна здійснюватися по відношенню до бізнес-процесу - об'єкта впливу загрози.

Оцінки параметрів потужності загрози повинні здійснюватися в межах групи однотипних загроз - для загроз з однаковими значеннями ідентифікатора типу загрози.

Універсальними параметрами оцінки потужності загрози є ресурсні можливості загрози і кількість каналів впливу, через які загроза може впливати на бізнес-процес.

Висновки. Запропонований у статті підхід і концептуальна процесна факторна модель безпеки бізнес-процесів дозволяє сформувати якісні та кількісні складові аналізу й оцінки факторів загроз у системі безпеки підприємства. Запровадження поняття «профіль загроз» і визначення його ключових складових є вихідним і відправним моментом у визначенні якісних і кількісних показників для опису впливу зовнішнього та внутрішнього середовища на безпеку як окремих бізнес-процесів, так і безпеки процесів діяльності підприємства в цілому. Саме тому перспективним напрямом подальших досліджень є формування показників і критеріїв безпеки підприємства, як показників, що відображають результат взаємодії загроз середовища визначеного профілю з бізнес- процесами підприємства.

Список літератури

1. Власюк О.С. Загрози економічній безпеці України / О. Власюк // Актуальні проблеми міжнародних відносин. - К.: ВПЦ “Київський ун-т”, Ін-т міжнар. відносин. - 2001. - Вип.26. - С.210-212.

2. Грунин О.А., Грунин С.О. Экономическая безопасность организации. - СПб.: Питер, 2002. - 160 с.

3. Економіка підприємства: навч. посіб. для студ. вищих навч. закладів / [П. В. Круш, В. І. Подвігіна, Б. М. Сердюк та ін.]; за заг. ред. П. В Круш. -- [2-ге вид.]. -- К. : Ельга-Н, КНТ, 2009. - 780 с.

4. Економічна безпека: навч. посібн. / за ред. З.С. Варналія. - К. : Вид-во «Знання», 2009.- 647 с.

5. Іляшенко С Составляющие экономической безопасности предприятия и подходы к их оценке / С. Іляшенко // Актуальні проблеми економіки. - 2003. - № 3. - С. 11-19.

6. Козаченко А.В., Ляшенко А.Н., Ладыко И.Ю. Управление крупным предприятием: Монография. - К.: Либра, 2006. - 384 с.

7. МС ИСО серии 9000 версии 2000 г.: сущность и содержание процессного подхода // [Електронний ресурс]. - Режим доступу: www.management.ua

8. Попов Э.В. Реинжиниринг бизнес-процессов и информационные технологии / Э. Попов, М. Шапот // Открытые системы.- 1996. - №1.

9. Пономарев В.П Концепция экономической безопасности предприятия // Бизнес-информ. - 1999. - № 15-16. - С. 110-113.

10. Реверчук Н.Й. Особливості та методи забезпечення безпеки віртуального бізнесу // Інтернет-економіка: бізнес, фінанси, безпека: Навч. посібник / За ред. д-ра е.н., проф. С.К. Реверчука. - Львів: ВПВ Льв. ЦНТЕІ, 2002. - С. 188-204.

11. Робсон М., Уллах Ф. Практическое руководство по реинжинирингу бизнес-процессов / Пер. с англ. под ред. Н.Д. Эриашвили. - М.: Аудит, ЮНИТИ, 1997. - 224с.

12. Системи управління якістю. Вимоги: (ISO 9001:2000, IDT): Національний стандарт України ДСТУ ISO 90012001. - К.: Держспоживстандарт України, 2001. - 33 с.

13. Сумець О.М., Тумар М.Б. Стратегія сучасного підприємства та його економічна безпека. - К.: «Хай-Тек Пресс», 2008. - 400С.

14. Тарасов В.Б. Виртуальное предприятие - ключевая стратегия автоматизации и перестройки деловых процессов / В. Тарасов // Электронный офис. - 1996.- Октябрь. - С. 2-3.

15. Калита Т. Процессный подход -- что сделать, чтобы он стал реальностью в организации / Т. Калита // Das Management. - №5 /№10-12/. - 2010. - С.41-47.

16. Шлыков В.В Комплексное обеспечение экономической безопасности. - СПб.: Алетейя, 1999. - 120 с.

17. Ярочкин В.И. Система безопасности фирмы. - М.: Ось-89, 1997. - 185 с.

18. Мунтіян В.І. Економічна безпека України: монографія / Мунтіян В.І. - К.: КВІЦ, 1999. - 464 с.

19. Рубцов С.В. Уточнение понятия «бизнес-процесс» / С Рубцов // Менеджмент в России и за рубежом. - № 6. - 2001.

20. ДСТУ ISO 9004-2001. Системи управління якістю - Настанови щодо поліпшення діяльності.

21. Ксенчук Е. В. Процессный поход в управлении. [Електронний ресурс] - Режим доступу: http://aualitv.eup.ru/DOCUM2/ presentofkas.html

22. Методы IDEF. [Електронний ресурс]. - Режим доступу: http://www.idef.com/IDEF0.html

Размещено на Allbest.ru