Какая модель управления лучше - централизованная или децентрализованная? Если кто-то в ответ укажет на одну из них - он плохо разбирается в управлении. Потому что в менеджменте нет плохих и хороших моделей. Все зависит от контекста и его грамотного анализа, позволяющего выбрать оптимальный способ управления компанией здесь и сейчас. Централизованное управление - отличный тому пример. Разбираемся, когда эта модель работает хорошо, а когда она неприемлема.
Понятия, полномочия, задачи
Все дело в разделении труда и решений: как распределить задачи для каждой структурной единицы и на каком уровне будут приниматься ключевые решения. Распределение труда и принятие решений по вертикальному принципу приведет к формированию централизованной системы управления. Иерархия подчинения в такой компании жесткая, а полномочия сотрудников минимальны и расписаны самым тщательным образом.
Компании, в которой полномочия принимать ключевые решения принадлежат первому руководителю и его ближайшему окружению, называются централизованными. Противоположные по способу управления компании называются децентрализованными. В них полномочия распределены по подразделениям и сотрудникам разного уровня, даже низовые звенья могут принимать решения по достаточно широкому кругу вопросов бизнеса.
Признаки централизованного принципа управления
Их немного:
- Административных отделов больше чем нужно.
- Их функции важнее, чем у производственных.
- Исследовательские структуры локализуются в центральном офисе лидирующей компании холдинга.
- Контроль производства продуктов, их сбыта, маркетинговых проектов и всех остальных функциональных единиц производится через центральные административные отделы головного офиса.
Централизация бывает разной
В реальной жизни моделей централизованного управления в чистом виде не существует (как и децентрализованных). Разница между компаниями заключается лишь в степени самостоятельности решений на разных уровнях, то есть в степени делегирования полномочий и прав. Если разобраться, то любую организацию можно отнести к централизованной или децентрализованной, если сравнивать ее с другими предприятиями.
Критерии, по которым можно оценить степень «централизованности», следующие:
- Относительная доля решений, которые принимаются и реализуются на среднем и низовом уровнях. Если эта доля составляет меньшую часть общих решений, организация тяготеет к централизованной модели.
- Теперь о качестве решений на среднем и низовом уровнях: если решения по поводу изменений направлений работы или, к примеру, распределения значительных ресурсов могут приниматься только высшим руководством, перед вами модель централизованного управления.
- Широта решений среднего и низового уровня: если они охватывают лишь одну функцию, перед вами централизованная компания.
- При централизованном управлении высший менеджмент постоянно контролирует повседневную работу и в особенности решения подчиненных. Можно, конечно, подумать, что ни одна компания в принципе не обходится без контроля работы подчиненных. Но в децентрализованных фирмах оценку работы сотрудников предпочитают проводить по общим критериям: прибыльности, например.
У этих критериев весьма относительный характер. Но и оценивать компании при их помощи нужно только в сравнении с другими.
Преимущества модели
Чрезвычайно важно освободиться от ненужного стереотипа, сложившегося в связи с этим понятием. Очень часто его связывают с «советским» стилем, включающим все административно-командные элементы. На самом деле у модели централизованного управления другая природа и серьезные достоинства:
- Минимизация дублирования функций или мероприятий.
- Возможность быстро и четко стандартизировать операции и процессы в компании.
- Относительная простота эффективного контроля работы систем и сотрудников в целом и в частности.
- Возможность оптимизации использования ресурсов в виде кадров, площадей, оборудования и т. д.
Это великолепные возможности быстро мобилизовать коллектив. В строгой иерархической системе решения высшего руководства являются обязательными для всех подразделений, расположенных ниже. Поэтому такие компании способны мобилизовать все человеческие ресурсы для решения экстренных и сложных задач, т. е. там, где нужна согласованная напряженная работа всех структур. Самым ярким и популярным примером является отражение внешней агрессии. Исторических подтверждений тому много, потому что лучше всего с внешними нападениями справлялись страны с централизованной системой управления: быстро и вместе.
Возможность эффективной реализации новых направлений деятельности либо структурных изменений для повышения операционной эффективности. Жесткие, иногда непопулярные, но необходимые решения легче проводить централизованно.
Кризисное управление также предполагает быстрые и всеобъемлющие решения, которые нужно выполнять не только беспрекословно, но и в короткие сроки. Практически любая критическая ситуация в бизнесе эффективнее всего решается централизованным способом управления. хорошо это понимают.
Когда централизованное управление полезно и нужно
Достоинства данной модели позволяет применять ее широко. Не нужно забывать, что централизованный принцип управления можно использовать временно - в течение определенного промежутка времени для выполнения вполне конкретных задач.
- При организации и развитии новой компании, в которой разные подразделения растут с разной скоростью и успехом. В такой ситуации нужен централизованный контроль с прямыми директивами, не позволяющими одним расти за счет других.
- При кадровом управленческом дефиците, встречающемся чаще, чем хотелось бы. Для покрытия этого дефицита понадобится время для двух задач: найма подходящих менеджеров со стороны и обучения собственных кандидатов на руководящие позиции. В течение этого периода первому руководителю будет полезно все взять в свои руки, чтобы отсутствие профессионалов в управлении на местах не сказалось на работе.
Примеры можно продолжать. Главное - хорошо понимать текущую ситуацию в компании и задачи, которые вы хотите реализовать.
Можно ли использовать централизованную модель постоянно? Конечно, можно. С учетом размеров компании, квалификации ее персонала, региона деятельности фирмы, персональных качеств первого руководителя и т. д.
Стив Джобс и его автократия
Стив Джобс - типичнейший пример настоящего кризисного менеджера. С ним связано немало стереотипов. Классическое объяснение его успехов заключается лишь в одном аргументе: «потому что он страстно верил». Спору нет, вера в успех и правильность действий - важный фактор. Но на одной вере далеко не уедешь. Нужно сделать так, чтобы подчиненные не только поверили, но и бросились выполнять все, что им будет поручено.
Автократы действуют как монархи, обладающие полной властью для достижения их целей. Для этого нужна огромная сила воли и, конечно, вера. Все это в полной мере присутствовало у Стива Джобса: «Это мой путь, это лучший путь». Сотрудники называли Джобса «Его Величеством». Он был не просто автократом, он был крайним автократом.
Гибридная модель управления в «Макдоналдсе»
Интереснейший пример показывает знаменитый «Макдоналдс». Все зависит от природы и вида решений. Среднее звено управляющих (некоторые арендаторы и управляющие ресторанами) имеют огромные полномочия вплоть до полной самостоятельности в принятии решений по поводу человеческих ресурсов, размещения новых ресторанов или закупки продуктов. Налицо децентрализованный подход к управлению.
Что же касается решений по ценовой политике или выпуска новых продуктов, то они принимаются в рамках функций централизованного управления: высшим руководством без каких-либо обсуждений с подразделениями ниже. Великолепный пример умной комбинации разных подходов в управлении.
Недостатки: бумажные горы и другое
Без недостатков не обходится ни одна управленческая система. Недостатки централизованной модели следующие:
- Задержка принятия решений наверху. Пусть вас не удивляет этот пункт. Выше упоминалось о быстром исполнении решений начальства, но не об их быстром принятии.
- Иногда имеет место невысокое качество решений наверху, ведь один человек не может знать все сразу и обо всем. Сказывается недостаток информации и незнание реальной ситуации на местах.
- Бумажные горы, рост числа документов, неоправданная бюрократия в виде лишних громоздких процедур.
Разобравшись, в чем заключаются достоинства централизованных структур управления, можно применять эту модель самым эффективным образом. Это может быть и временный способ, и частичный для отдельных функций. Главное - верить в себя и в свой путь. Как Стив Джобс.
Холдинговые компании создаются для диверсификации бизнеса, оптимизации налогообложения, управления различными активами компании. В законодательстве понятие «холдинг» отсутствует, как и какие-либо четкие рекомендации в отношении планирования и бюджетирования в холдинговых структурах. Вместе с тем уже сложилась централизованная и децентрализованная практика планирования в холдинговых структурах. Об основных аспектах планирования в холдингах и плюсах и минусах того или иного варианта мы расскажем в этой статье.
Централизованная система планирования
Система планирования представляет собой совокупность планирования различных сфер (звеньев) финансовых отношений.
Централизованная система планирования, закупок и продаж предполагает осуществление централизованной системы планирования, бюджетирования и продаж. Это значит, что данные функции выполняет материнская компания, которая директивно спускает зависимым обществам планы продаж и закупок (рис. 1, табл. 1).
|
Таблица 1. Централизованное планирование на уровне материнской компании (на год, руб.) |
||
|
Показатель |
Затраты |
Доходы |
|
Материнская компания |
||
|
Заработная плата персонала | ||
|
Аренда помещения | ||
|
Итого |
45 000 000 | |
|
Заработная плата персонала | ||
|
Доходы от ремонтных работ | ||
|
Итого |
60 000 000 |
120 000 000 |
|
Заработная плата персонала | ||
|
Доходы автосервисных услуг | ||
|
Доходы от мойки автомашин | ||
|
Итого |
35 000 000 |
54 000 000 |
|
Всего |
140 000 000 |
174 000 000 |
При такой системе планирования, как правило, бонусы достаются управляющей материнской компании. В случае невыполнения плана дочерними обществами и филиалами бонусы и годовые льготы им не предоставляются. Все денежные средства на развитие новых направлений, инвестирование направляются также по решению материнской компании.
Применение данной системы может привести к проявлению сотрудниками подчиненных компаний недовольства политикой материнской компании. Положительный момент - материнская компания, в свою очередь, может четко регулировать финансовые потоки.
Децентрализованная система планирования
Децентрализованная система планирования предполагает осуществление планирования закупок, продаж и финансирования каждой структурной единицей в отдельности (рис. 2).
При этом процент от заработанных денежных средств дочерние общества отчисляют на содержание материнской компании. Соответственно, оставшиеся средства дочерние общества планируют по своему усмотрению.
Представим децентрализованную систему планирования на предыдущем примере (табл. 2).
|
Таблица 2. Децентрализованное планирование на уровне дочерних обществ и филиалов, руб. |
||
|
Показатель |
Затраты |
Доходы |
|
Филиал «Строительное управление» |
||
|
Заработная плата персонала | ||
|
Аренда помещения, инвентаря, строительной техники | ||
|
Доходы от строительства зданий и сооружений | ||
|
Доходы от ремонтных работ | ||
|
Итого |
60 000 000 |
120 000 000 |
|
Всего |
60 000 000 |
|
|
За услуги управляющей компании - 20 % | ||
|
Дочернее общество «Автосервис» |
||
|
Заработная плата персонала | ||
|
Доходы от автосервисных услуг | ||
|
Доходы от заправки автотранспорта | ||
|
Доходы от мойки автомашин | ||
|
Итого |
35 000 000 |
54 000 000 |
|
Всего |
19 000 000 |
|
|
За услуги управляющей компании - 30 % | ||
Таким образом, на услуги управляющей компании будет направлено 17 700 000 руб.
При такой системе планирования дочерние компании имеют больше свободы в планировании. Часть заработанных средств они направляют на содержание материнской компании. Это может быть как твердая установленная сумма, так и процент от выручки до налогообложения, процент доходов дочерних обществ в зависимости от доли участия в них материнской компании.
Плюсы и минусы различных систем планирования в холдингах
Вместе с тем данные системы планирования в холдингах имеют свои плюсы и минусы (табл. 3).
|
Таблица 3. Плюсы и минусы централизованной и децентрализованной систем планирования |
||
|
Система |
Плюсы |
Минусы |
|
Централизованная |
Больший контроль за расходованием средств. Аккумулирование денежных ресурсов. Простота управления. Четкий контроль закупок |
Отсутствие инициативы у менеджеров, поскольку все процессы четко регламентируются. Необходимость дополнительного запроса в управляющую компанию для приобретения материалов и пр. |
|
Децентрализованная |
Возможность расширения бизнеса, например путем предоставления франшиз. Увеличение инициативы. Возможность установления системы премирования за результат. Простота проведения закупок |
Сложность в управлении компанией. Возможность вывода денежных средств из филиала |
Внутренние финансовые потоки формируются под воздействием централизованной системы финансирования, руководящим звеном в которой выступает координирующая компания. Необходимо подчеркнуть, что внутригрупповое движение денежных средств не влияет на финансовое положение холдинга. Чистый приток (отток) денежных средств консолидированной группы предприятий определяют финансовые операции с внешними контрагентами .
Рекомендации по созданию системы управления в холдинговой структуре
Очень важно отразить систему планирования в холдинговой структуре в следующих локальных и распорядительных актах:
- политика бюджетирования;
- учетная политика для целей бухгалтерского учета и налогообложения;
- положение о договорной работе;
- положение о проведении закупок;
- приказы и распоряжения по предприятию;
- связанные бюджеты и положения по бюджетированию компании.
Документальное отражение планирования в холдинговой структуре должно отвечать в первую очередь критериям:
- доступности управляемости;
- удобства финансовых расчетов;
- объективности планирования.
1. Создайте центр финансовой ответственности.
Центр финансовой ответственности - это сегмент организации, возглавляемый менеджером или группой менеджеров, которые ведут деятельность, способны оказывать непосредственное воздействие на результаты и затраты этой деятельности и несут за них ответственность; их основная мотивация - это результаты принимаемых ими решений в рамках возложенных на них полномочий.
Сущность учета по центрам финансовой ответственности - закрепление расходов и доходов за руководителями различных рангов, с тем чтобы осуществлять систематический контроль за деятельностью каждого ответственного лица.
Цель организации учета по центрам финансовой ответственности - соотнесение (увязка) величины понесенных расходов со сферой деятельности руководителя соответствующего подразделения для возможности оценки целесообразности расходования средств, качества руководства работой подразделения, степени мотивации сотрудников.
2. Проанализируйте закупки.
В целях оптимизации закупок:
- пересмотрите «серые» схемы, которые нередко реализуются в рамках закупок («мертвые» поставщики, завышенные скидки и т. д.);
- расторгните устаревшие контракты;
- исключите избыточное количество поставщиков;
- пользуйтесь закупками небольшого объема или объемными закупками при предоставлении скидок.
3. Используйте централизацию.
Мировая практика свидетельствует, что соотношение уровня централизации и децентрализации холдинговых структур не является чем-то постоянным. Оно зависит от многих факторов, например от фазы делового цикла и отраслевой принадлежности предприятия. Для России в настоящее время характерен высокий уровень централизации активов.
Централизация функций в холдинговом объединении разумно необходима и должна базироваться на следующих основных принципах:
В целом централизация позволяет :
- усилить контроль путем введения двойной или тройной системы контроля;
- провести централизованный анализ возможности снижения затрат;
- избавиться от непрофильных активов, получив дополнительную прибыль.
Планирование налогообложения в холдинговой структуре
С 01.01.2012 в НК РФ появился фактически отдельный налоговый режим для холдинговых компаний. Пока он рассчитан только на самые крупные компании РФ: один только порог по выручке составляет 100 млрд руб. в год (подп. 2 п. 5 ст. 25.2 НК РФ).
Следовательно, отдельные компании других холдингов, которые не могут применять отдельный налоговый режим, уплачивают налоги самостоятельно в соответствии с выбранным налоговым режимом.
Напомним, что в налоговом законодательстве предусмотрены общий режим налогообложения и специальные режимы.
Специальные налоговые режимы включают:
- систему налогообложения для сельхозпроизводителей (ЕСХН);
- упрощенную систему налогообложения (УСН);
- систему налогообложения в виде единого налога на вмененный доход (ЕНВД);
- систему налогообложения при выполнении соглашений о разделе продукции.
Специальные налоговые режимы, кроме ЕНВД, выбираются налогоплательщиком самостоятельно. Если компания, входящая в холдинг, не выбрала упрощенную систему налогообложения, то априори она будет применять общую систему налогообложения, то есть уплачивать налог на прибыль и НДС.
Однако на практике компании, входящие в холдинг, уплачивают не все налоги. Например, если компания не пользуется водными ресурсами, то она не платит водный налог; если не производит подакцизные товары - не платит акцизы; не оформляет юридически значимых действий - отпадает необходимость уплачивать госпошлину; транспортный, земельный и налог на имущество отсутствуют при отсутствии данных основных средств.
Чаще всего общую систему налогообложения применяют средние и большие компании, а также компании, которые занимаются производством, строительством и пр.
Преимуществами применения общей системы налогообложения являются:
- отсутствие ограничений в разнице между доходами и расходами;
Пример 1
Компания заработала 100 000 руб., расходы составили 99 999 руб. Таким образом, разница между доходами и расходами - 1 руб., а налог - 20 %, то есть 20 коп. При УСН необходимо было бы заплатить 1 % с доходов при уплате налога по схеме «доходы минус расходы».
- возможность принятия к возмещению НДС.
Упрощенная система налогообложения имеет два объекта налогообложения:
6 % с доходов;
15 % с доходов за минусом расходов, но не менее 1 % с доходов.
При этом важно правильно выбрать объект налогообложения.
Особенностью объекта налогообложения «доходы» является возможность уменьшить налог на 50 % от уплаченных взносов на обязательное социальное страхование.
Пример 2
Компания выбирает объект налогообложения УСН.
Предполагается, что будут получены доходы 650 000 руб., а расходы, учитываемые при налогообложении, составят 471 117,60 руб., из которых:
- 183 000 руб. - на аренду автомобиля;
- 160 000 руб. - на ГСМ;
- 35 000 руб. - на текущий ремонт автомобиля;
- 12 119,67 руб. - на обязательное социальное страхование;
- 80 997,93 руб. - другие расходы, учитываемые по п. 1 ст. 346.16 НК РФ.
По результатам сравнения (табл. 4) компании более выгодно использовать объект «доходы».
|
Таблица 4. Выбор объекта налогообложения |
|
|
Объект налогообложения «доходы» |
Объект налогообложения «доходы минус расходы» |
|
650 000 руб. × 6 % – 12 119,67 руб. = 26 880,33 руб. |
(650 000 руб. – 471 117,60 руб.) × |
Упрощенная система налогообложения является наиболее предпочтительной системой, поскольку:
- можно выбрать объект налогообложения.
Для консалтинговых компаний, сферы услуг обычно применяется ставка 6 % с доходов, для производственных компаний - 15 % с доходов за минусом расходов;
- не уплачивается ряд налогов - налог на прибыль, НДС и налог на имущество организаций.
Как правило, к задачам налогового планирования в холдинговых структурах относятся следующие:
- выбор единообразной системы налогообложения для всей группы компаний;
- выработка возможности возмещения НДС в случае сделок в группе компаний;
- выработка системы заимствований в группе компаний, которые будут признаваться для целей налогообложения.
И хотя упрощенная система налогообложения позволяет существенно снизить расходы на налоги, при проведении налогового планирования и реорганизации следует помнить о возможных налоговых последствиях.
Пример 3
Металлургическая компания осуществляет два вида деятельности: добычу руды и производство стали. Оба вида деятельности осуществляются ее внутренними подразделениями. Так как оба подразделения являются частью одной организации, убытки, возникающие в связи с осуществлением инвестиций в разработку месторождений, компенсируются за счет прибыли от добычи руды и производства стали. Передача активов между двумя подразделениями не учитывается для целей налогообложения, так как в данном случае она представляет собой скорее перемещение активов внутри одной организации без каких-либо юридических последствий по отношению к третьим сторонам вне этой организации.
Но компания преобразовывает свою организационную форму и становится холдинговой структурой. Добыча руды и производство стали осуществляются теперь отдельными дочерними компаниями - ООО «Руда» и ООО «Сталь», которыми владеет материнская холдинговая компания.
Рассмотрим налоговые последствия перехода на новую организационную структуру при отсутствии режима налогообложения групп компаний. Убытки компании ООО «Руда» не могут компенсироваться прибылью компании ООО «Сталь» в связи с тем, что в данном случае обе компании выступают в качестве отдельных организаций и являются независимыми друг от друга налогоплательщиками. Соответственно, и передача активов между компаниями рассматривается в качестве налогооблагаемой сделки, которая к тому же может сопровождаться тщательной проверкой соответствия уплаченной стоимости переданного актива справедливой рыночной стоимости .
Холдинговые компании, имеющие филиалы, вынуждены производить трудоемкие расчеты: распределять региональную часть налога на прибыль с использованием специального показателя - доли прибыли, приходящейся на головную компанию и подразделения . Она рассчитывается на основании сведений об остаточной стоимости имущества и среднесписочной численности сотрудников (ст. 288 НК РФ). Вместо среднесписочной численности в расчет можно взять данные о расходах на оплату труда. Сначала определяют удельный вес двух показателей по головной компании и каждому филиалу, потом полученные значения складывают и делят на два.
Пример 4
Московская компания имеет филиал в Самарской области. Для расчета доли прибыли используются сведения о расходах на оплату труда. В фирме за девять месяцев текущего года общая сумма затрат на оплату труда составила 1 260 000 руб., в том числе по головной компании - 844 200 руб., по филиалу - 415 800 руб. Следовательно, удельный вес этого показателя составляет 67 % и 33 % соответственно.
Поскольку производить трудоемкие расчеты в холдинговых структурах не очень удобно, рекомендуется выделить данные филиалы в качестве отдельных обществ.
Налоговое планирование в холдингах с иностранным капиталом
Кроме того, при осуществлении налогового планирования холдинговые структуры вынуждены учитывать также особенности налогообложения в различных странах, где группа компаний ведет деятельность.
Согласно абз. 2 п. 3 ст. 311 НК РФ зачет производится при условии представления налогоплательщиком документа, подтверждающего уплату (удержание) налога за пределами РФ:
- для налогов, уплаченных самой организацией, - подтверждения, заверенного налоговым органом иностранного государства;
- для налогов, удержанных в соответствии с законодательством иностранных государств или международным договором налоговыми агентами, - подтверждения налогового агента.
Соответственно, данные подтверждения предоставляются в налоговые органы.
Часто налоговое планирование рассматривается как способ уменьшения налогов. При этом следует помнить, что в «черный» список ЦБ РФ включены европейские оффшоры:
- Нормандские острова;
- о. Мэн;
- Мальта;
- Гибралтар;
- Нидерландские Антилы;
- княжество Лихтенштейн.
Как оффшорная юрисдикция многими компаниями рассматривается Кипр.
Уровень налогов учитывается при выборе места для ведения бизнеса, когда компании либо создают постоянные представительства, либо открывают новые компании за рубежом.
К высокооблагаемым юрисдикциям, редко используемым российскими холдингами, относятся Франция, Бельгия, Португалия, Италия.
Многие диверсифицированные холдинги в качестве основы для налогового планирования используют такие юрисдикции, как Нидерланды или Ирландия.
Вместе с тем для использования пониженных ставок во многих странах необходимо соблюдение следующих условий:
- ведение реальной деятельности;
- наличие оборудования, основных средств;
- наличие людей;
- наличие помещений.
В заключение следует отметить, что при осуществлении планирования в холдинговых структурах следует учитывать множество различных особенностей, в том числе отраслевых, оценивать налоговые риски, связанные, например, с использованием оффшорных компаний. При планировании следует особое внимание уделять вопросу распределения доходов и расходов между материнской и дочерними компаниями, так как неправильное планирование может привести к выделению компаний из структуры, их банкротству или потере управляемости.
Страница
9
3. В централизованной системе достаточно просто реализовать процессы информационного взаимодействия (координации действий более низкого уровня)
В иерархической системе создается принципиальная возможность глобальной оптимизации управления системой в целом.
Действительно, владение всей картиной дел в системе позволяет центру без особых трудностей организовать (кто ему возразит?) управление, оптимальное с точки зрения всей системы в целом. При этом центр может допустить функционирование каких-либо подсистем не в оптимальном режиме (на дотациях), а в некоторых случаях и пойти на ликвидацию подсистем ради существования системы в целом. (Всё это, правда, хорошо, если решения принимаются грамотным и информированным центром.) К сожалению, централизованная система не способствует в общем случае попаданию в центр грамотного лидера. Для этого нужно создавать правила продвижения наверх самых толковых. Однако, некоторая «схема» все же имеется – демократия в условиях развитого общества.
Из приведенных базовых свойств можно сформировать достаточно большое количество частных достоинств централизованных структур, что можно применять в свойе жизни и деятельности:
1.1 Для развивающейся организационной структуры при быстром росте системы различные подсистемы растут с разной скоростью, сильное и грамотное централизованное управление может не позволить некоторым подсистемам развиваться за счет других или в ущерб целям организации в целом.
1.2. Централизованное управление в условиях дефицита квалифицированных кадров в области менеджмента позволяет более эффективно использовать знания и опыт тех профессионалов, какие имеются в наличии, устанавливая их в вершинах иерархии управления.
Минусы централизации
Относительные недостатки централизованных структур:
1. В целом недостаточно высокие адаптационные способности (негибкость) системы.
Для того, чтобы реорганизовать систему, подсистемам требуется « убедить» в этой необходимости центральное звено системы, которое часто считает, что именно оно владеет полной информацией и пониманием проблем. Учитывая, что в «большой» централизованной системе уровни вносят свой информационный шум, и центр может не получать объективной информации о состоянии подсистем, подобное убеждение может не иметь успеха. В организационных системах, например, таких, как наше бывшее социалистическое государство, перестройка стала возможна лишь с 1985г., когда созрели (и даже перезрели) предпосылки для смены системы управления народным хозяйством, а также подросли до возраста власти лидеры, заражённые относительной свободой «оттепели» 60-х годов. До этого года все попытки изменить структуру управления не имели успеха.
2. Относительно низкая надежность системы.
Поскольку всем в конечном счете заведует центр, и он же является самым информированным, уничтожение центра, перегрузка или поломка приводят к дезорганизации и даже разрушению системы в целом. Определенным решением проблемы можно считать усиленную защиту центра от внешних агрессивных воздействий и увеличение избыточности в средствах коммуникации.
3. Сильная зависимость поведения всей системы от поведенческих характеристик центра.
Раз центр принимает решения, обязательные для всех подсистем, поведение системы определяющим образом зависит от «грамотности» центрального звена или характера идеи, реализуемой центральным органом. Можно даже сказать, что централизованная система имеет характер того объекта, который находится в центре управления системой (в общественно-экономических системах вспомним Ленина, Сталина, Хрущева, Брежнева. – Так психология конкретного политического деятеля существенно меняла характер государства и поведение его на международной арене).
В природных централизованных системах ядро всегда несет в себе наиболее важные поведенческие «гены», определяя «правила игры» других подсистем во внутренней среде системы в целом. Примеров можно привести множество. Сказанное может иметь определенный интерес в связи с материалом в разделе нашего Web-сервера «Архитектура Вселенной».
Плюсы и минусы децентрализованных структур управления
Преимущества сетевых структур
Сетевая структура является другой крайностью по сравнению с централизованной. Ее преимущества по сравнению с последней:
1. Высокие адаптационные способности (структурная гибкость).
В децентрализованной системе нет ярко выраженного "самого важного" звена (подсистемы) и главных связей. Другими словами, отсутствует "непререкаемый авторитет" или ключевой элемент. Поэтому о том, как изменить свои связи, каждая подсистема принимает самостоятельно. Отсюда система в целом относительно легко может изменить свою структуру в зависимости от ситуации и своих собственных критериев правильности поведения.
2. Относительно высокая надежность функционирования.
Раз в сети нет главной подсистемы, то и неполадки в каких-либо подсистемах не могут привести к распаду системы. Система в определенной степени избыточна - почти всегда найдется какая-то подсистема, которая заменит выбывшую.
Следствие преимуществ сетевой системы:
2.1. Устойчивость поведения системы в целом от некомпетентности одной или некоторого количества подсистем. Здесь суть опять же в том, что никто в общем случае не является авторитетом или управляющим звеном, поэтому и реагировать на чьи-либо "неправильные" действия другим подсистемам нет необходимости.
Минусы децентрализации
Недостатки децентрализованной системы:
1. Низкие мобилизационные способности.
2. В общем случае большое время реакции системы на внешние воздействия.
Данные "недостатки" просты для понимания и являются инверсными свойствам централизованной системы.
С учетом свойств централизованной системы, которые наиболее привлекательны (быстрота реакции, высокие мобилизационные способности), можно предположить, что централизованная структура (ЦС) наиболее адекватна агрессивным средам, требующим как раз быстрой реакции на внешние воздействия и способности мобилизовать для решения возникшей проблемы значительные (возможно все) ресурсы системы. Именно поэтому ЦС используется в периоды войны, сложной внутренней обстановки, и вообще агрессивного окружения. Кроме того, ЦС в целом удаются крупные мероприятия (освоение целины, коллективизация, индустриализация, победы в войне и в космосе, БАМ и т.п.), которые и возникают, как правило, именно из-за внешних угроз (или которые мыслятся таковыми). Если при этом подсистемы цементируются идеей, носителем которой является Центр, выживание в агрессивной среде такой системе почти обеспечен.
Верно и обратное: если ЦС оказывается в малоагрессивной среде, то такой системе требуется "изобретать" врага - внешнего или внутреннего (примеров из нашей истории предостаточно), чтобы обосновать свое существование. Если период пассивности внешней среды затягивается, то, в конце концов, централизованность системы становится излишней, и она в какой-то совей части децентрализуется. Это можно представить и как то, что отсутствие доминирующих свойств внешней среды как бы "проникает" вовнутрь системы (вспомним, что именно внешняя среда в конечном счете формирует структуру системы) и меняет степень централизации, поскольку от центра либо не требуется определять характер системы управления системой в целом, либо центр просто теряет авторитет.
Актуальная информацияСобытия последнего времени, связанные с несанкционированным доступом к данным, утечками информации, у всех на слуху. Достаточно вспомнить, например, историю с растратой €4,9 млрд. трейдером банка Сосьете Женераль Жеромом Кервьелем, ставшей возможной (по одной из версий) благодаря недостаточно четкому разделению полномочий. Примеры утечек персональных данных клиентов из разнообразных организаций и государственных органов можно найти еще ближе к нам - базы данных с номерами сотовых телефонов, паспортными данными, номерами автомашин и персональной информацией об их владельцах и даже с информацией о доходах физических и юридических лиц можно купить почти в любом подземном переходе.
Нет сомнения, что все эти утечки повлекли крупные потери, как прямые, так и репутационные для фирм, бывших обладателями разглашенной секретной информации. Большинство этих потерь вызвано несанкционированным доступом к информации сотрудников самих пострадавших от этих утечек организаций.
Сейчас, когда по данным аналитического центра Perimetrix 100% организаций имеют антивирусную защиту и межсетевые экраны, но лишь 24% имеют защиту от утечек, задача защиты от инсайдерских угроз выходит для многих компаний на передний план.
Одним из способов борьбы с несанкционированным доступом является внедрение ролевой модели доступа к данным и информационным системам. А средством для внедрения этой модели являются продукты класса IdM (Identity Management).
Ролевой метод управления доступом контролирует доступ пользователей к информационным системам на основе типов их активностей в этих системах. Применение данного метода подразумевает определение ролей в системе. Понятие роль можно определить как совокупность действий и обязанностей, связанных с определенным видом деятельности. Таким образом, вместо того, чтобы указывать все типы доступа для каждого пользователя к каждому объекту, достаточно указать тип доступа к объектам для роли. А пользователям, в свою очередь, указать их роли. Пользователь имеет доступ, определенный для той роли, к которой он принадлежит.
В результате использования этой модели снижается вероятность инсайдерской угрозы, поскольку к информации, потенциально интересной для возможных похитителей, имеют доступ только сотрудники, которым это положено в силу их принадлежности к определенной роли, к которой привязана их должность. Конечно, если инсайдер имеет легальный доступ к секретной информацией в соответствии со своими должностными правами, то от его действий будет очень сложно, но это уже тема отдельной статьи.
Но уменьшением вероятности инсайдерской угрозы польза от внедрения решения IdM на предприятии не ограничивается.
Выгоды от внедрения решения такого класса хорошо известны, это:
. Сокращение дорогостоящего времени, которое вынуждены тратить сотрудники ИТ отделов на:
- создание учетных записей и выдачу им соответствующих прав в разнообразных ИТ системах при приеме сотрудников на работу,
- изменение прав сотрудников при переводе их на другую должность или изменение должностных обязанностей
- блокировку учетных записей при уходе сотрудника в отпуск (к слову сказать, во многих организациях выполнение этого элементарного действия до сих пор не стало нормой)
- удаление или блокировку учетных записей сотрудника в случае его увольнения
- восстановление забытых паролей (есть данные, что в больших организациях с жесткими требованиями к регулярности смены паролей, на восстановление забытых паролей тратится до 60% времени местных администраторов).
Сокращение вынужденных простоев сотрудников при приеме на работу и переходе из должности в должность. Вспомните, как вы сами по нескольку дней (а самые невезучие и по нескольку недель) ждали, пока занятые админы создадут вам учетную запись для захода на рабочую станцию и в корпоративную сеть, логин в почту, электронный пропуск в здание или на этаж, номер служебного телефона и т.д. А ведь все эти действия можно было бы выполнить за один шаг автоматически при приеме сотрудника на работу, если бы на предприятии было внедрено решение класса IdM.
Сокращение времени простоя сотрудников при смене пароля. Процедура смены пароля вообще является чувствительным местом в работе крупных компаний - она отнимает много времени у админов, о чем мы упомянули в первом пункте нашего перечисления. Но для компании это оборачивается двойным убытком, потому что плохо отражается и на пользователях. Я вспоминаю, как в некой организации один сотрудник два дня скучал перед отключенным компьютером, поскольку после бурно проведенных выходных он напрочь забыл пароль, заданный им в пятницу накануне. А у занятых админов не было времени добраться до этого пользователя, потому что он, по всей видимости, был не единственным, кто в ту пятницу в соответствии с корпоративной политикой сменил пароль.
Сокращение времени, в течение которого уволенный сотрудник может нанести непоправимый ущерб информационным активам предприятия (удаление или блокировка учетных записей сотрудника во всех ИТ системах может быть осуществлена за один шаг).
Исключение возможности, что злоумышленник воспользуется «черным входом» в виде учетной записи, оставшейся после давно уволившегося сотрудника. Мы не обладаем данными по российским компаниям, но исследования проведенные среди американских предприятий несколько лет назад, показали, что на некоторых крупных предприятиях до 80% всех учетных записей составляют «мертвые души» - учетные записи давно уволенных сотрудников.
Минимизация усилий и сокращение времени на интеграцию в корпоративную среду новых приложений.
Все эти перечисленные выгоды, получаемые предприятиями после внедрения IdM хорошо известны, неоднократно обсуждались в популярной и специализированной прессе. Мы их упомянули только для того, чтобы еще раз подчеркнуть важность решений этого класса, и больше не будем задерживаться на этой теме.
Предметом данной статьи является такой узкий аспект проблемы, как особенности централизованного и децентрализованного подхода при внедрении IdM на предприятии.
PROS
Достоинства централизованного подхода достаточно очевидны. На первом месте стоит Универсальность политик безопасности
.
Стандартизация – это хорошо, я думаю никого из читателей не нужно в этом убеждать. Разрабатывать одну политику, единую для всех подразделений, проще, чем разрабатывать множество политик, каждая из которых удовлетворяет индивидуальным потребностям отдельного подразделения. Подразделениями, которые следуют единой бизнес-логике проще управлять. Это же касается и контроля над соблюдением политик ИТ безопасности.
Внедрение единой политики управления учетными записями пользователей может стать первым шагом на пути разработки полномасштабной и всеобъемлющей политики безопасности. По крайней мере, это может стимулировать разработку системы ролей, соответствующих должностным обязанностям сотрудников и приведение всех региональных подразделений (если они имеются) к этой единой системе.
Следующим логичным шагом после того, как мы определили роли, была бы категоризация информации с точки зрения, к какой информации (файлу, приложению или отдельной возможности приложения) для какой роли открывать доступ. И если доступ все же открывать, то на каком уровне – только чтение, дополнение, модификация или удаление. Но категоризация информации - отдельная большая тема и решение этой проблемы не входит ни в сферу действия IdM, ни в тему данной статьи.
Снижение издержек на управление политиками
Разработка политики безопасности сама по себе – непростое дело. Как указывалось в предыдущем параграфе, сложность задачи многократно увеличивается, если требуется разработать не одну, а несколько политик для региональных или функциональных подразделений. Но разработать и согласовать множество политик – это еще пол беды. Настоящая головная боль начинается при попытке эти политики проконтролировать или поддержать их актуальность. Потери контролирующими инстанциями времени, уходящего на внедрение множества политик и утеря актуальности собираемой информации грозят свести «на нет» весь смысл от внедрения решения.
Консолидированный анализ данных аудита
Возможность проведения аудита систем, находящихся под управлением IdM – важная опция решения. Для фирм, регулярно, подвергающихся внешнему аудиту важно представить отчеты, которые бы убедили аудиторов, что политики (в том числе и в области управления учетными записями) выполняются должным образом. Автоматический сбор данных и предоставление консолидированной отчетности по этой теме – большое облегчение для всех служб, которые отвечают за предоставление такой информации проверяющей организации.
Да и самим представителям службы безопасности предприятия нужно знать, не было ли попыток завести новых пользователей на целевых системах в обход IdM. Дело в том, что после внедрения IdM вся нагрузка по заведению новых пользователей в целевых системах снимается с администраторов этих систем. Все новые учетные записи заводятся автоматически после поступления данных о новом пользователе в базу данных Отдела Кадров. Так что случай, когда администратор целевой системы руками создает новую учетную запись или изменяет привилегии существующей, является нештатной ситуацией.
В процессе реконсиляции (reconciliation), собираются данные о так называемых «сиротских» (orphaned) учетных записях, то есть о таких учетных записях на целевых системах, для которых не найдено соответствия в базе данных центрального репозитория. Встроенный отчет о найденных несоответствиях выводит всю информацию о сиротских учетных записях в удобной для чтения и анализа форме.
CONTRAS
Если достоинства централизованного подхода достаточно очевидны, то его недостатки не так явно выражены, хотя и они тоже имеются. Среди недостатков на первом месте находится Недостаточный учет специфики локальных систем
.
Да, внедрять единый подход во всех подразделениях – это правильный метод. Управлять фирмой или, если рассматривать проблему не так широко, внедрять и контролировать политику управления правами доступа легче, если она единообразна во всех подразделениях. Но мы живем в реальном мире, и не всегда возможно на практике реализовать то, что представляется наилучшим, исходя из идеологии. Представим себе ситуацию, когда одна компания покупает другую компанию. Потребовать от купленной компании единомоментного перехода на новые политики было бы невозможно. В некоторых случаях это могло бы парализовать важные бизнес-процессы. В таком случае проще децентрализовать управление, создав несколько политик (с учетом местной специфики) и дав локальным администраторам в руки инструмент, позволяющий контролировать исполнение этих политик. А как стратегическую цель можно запланировать постепенный отказ от тех приложений и процессов, которые связаны с локальной спецификой и, как результат, переход на те политики, которые приняты в головной компании.
Постепенно, по мере улучшения каналов связи в регионах, эта проблема уходит в прошлое. Возможно, через некоторое время, когда до каждого населенного пункта не только в России и ее ближайших соседях, но и по всему миру, проложат широкие каналы доступа, эта проблема перестанет быть актуальной. Глядя на то, с какой скоростью, немыслимой еще каких-нибудь пять лет назад, продвигается дело, веришь, что так оно и будет. Да и сейчас даже при слабых каналах связи проблема актуальна только при передаче больших объемов данных, например, когда идет реконсиляция. При средних объемах передаваемых данных, которые порождаются ежедневными кадровыми изменениями (прием на работу/увольнение с работы/изменение должностных обязанностей), эта проблема теряет свою остроту.
И, тем не менее, регионы со слабыми каналами связи до сих пор есть и реконсиляцию с их ИТ системами, находящимися под управлением IdM периодически производить надо. В случае использования централизованной модели управления и при слабых каналах связи, это может создать временные, но чувствительные проблемы.
Уменьшение скорости реакции
Если управление пользователями ведется централизованно, то неизбежно возникновение задержек между событием в регионе (приемом / увольнением / переводом в новую должность сотрудника) и реакцией на него в центре. Если опрос доверительного источника (которым, как правило, является база данных Отдела Кадров) производится 1 раз в минуту, то скорость реакции можно считать пренебрежимо малой. Но в таком случае нагрузка на каналы связи с опрашиваемым регионом существенно увеличивается, что может быть критичным в случае слабых каналов. Если же опрос БД ОК ведется раз в сутки, то последствия от, например, недостаточно быстрого блокирования всех учетных записей увольняемого сотрудника могут быть самыми разнообразными и среди этих последствий может не быть ни одного приятного.
Если же оперативное реагирование на возникновение экстренных ситуаций возложено на оператора IdM в центре и должно производиться, скажем, по телефонному звону из региона, то, и этот способ не является достаточно оперативным. Время уходит на созвон, описание действий, которые нужно произвести и на ручное выполнение этих действий, которое заведомо медленнее, чем автоматическое. Еще один аргумент против такой модели экстренной реакции, то, что этот способ не является достаточно надежным и защищенным, так как не застрахован от человеческих ошибок и от злоумышленников, которые могут совершить звонок от имени регионального оператора IdM и ввести, тем самым, в заблуждение оператора центрального IdM.
Преимущества гибридного подхода
Наилучшим вариантом нам видится разумное совмещение централизованного и децентрализованного подходов. Есть некоторые вещи, которые удобнее делать из центра. К этим вещам можно причислить:
Централизованное определение политик безопасности. Например, минимальную длину и сложность пароля для всех ИТ систем правильнее определять из центра, так, чтобы эти правила были едиными для всех регионов.
Правила транслитерации имен (как преобразовывать кириллицу, которой записаны мена и фамилии сотрудников к латинице).
Правила создания имен учетных записей. Например, <имя>.<фамилия> или <первая буква имени>_<фамилия>.
Если на предприятии есть штатное расписание, единое для всех регионов, то уместно определить в центре, какой должности в штатном расписании соответствует какой набор полномочий в ИТ системах (и, соответственно с этим, с помощью членства в каких группах реализуются эти полномочия).
Электронный документооборот или те его части, в которые вовлечены сотрудники из штаб-квартиры предприятия.
Есть некоторые действия, которые все еще удобнее делегировать в удаленные центры управления. Используя здесь выражение «все еще», я имею в виду, что вектор движения все же должен быть направлен в сторону бОльшей централизации. Но до сих пор для многих действий централизованно можно определить только общие политики, а выполнение этих политик доверить местному персоналу. В качестве примера можно сказать, что продукт IdM может создать учетную запись сотрудника в MS Active Directory и занести эту учетную запись в соответствующую должности группу. Но назначить права этой группе на доступ к конкретной папке или файлу, расположенному на сервере в удаленном регионе, может только администратор, в чьем ведении находится данный сервер.
Здесь нужно так же подчеркнуть, что создание самих групп в целевых системах тоже может быть проведено централизованно, но сам Identity Manager, как правило, не занимается созданием новых групп. На момент занесения учетной записи в группу, эта группа уже должна быть создана.
К обязанностям, которые имеет смысл делегировать на места можно так же отнести оперативный мониторинг за состоянием локальных ресурсов (к которым можно причислить, например, коннекторы для IdM и целевые системы, расположенные удаленно). В тот же самый момент, аудит системы рекомендуется вести централизованно. Причины такого разделения достаточно очевидны – мониторинг предоставляет оперативную информацию о состоянии наблюдаемого объекта. Если в результате наблюдения мы получили от системы мониторинга сообщение о том, что что-то не работает, как должно (или, что еще лучше, что что-то вот-вот может сломаться), у нас появляется возможность быстро отреагировать на этот сигнал. Наибыстрейшую реакцию может обеспечить тот сотрудник, который находится ближе всего к источнику сигнала. Поэтому все сообщения от региональных наблюдаемых систем должны поступать на консоль местных администраторов. В противоположность мониторингу, аудит – оценка на соответствие наблюдаемых систем на соответствие корпоративным правилам и стандартам. Поскольку стандарты как правило вырабатываются централизованно, вести наблюдение за соответствием этим стандартам уместно тоже из центра.
На что нужно обратить внимание при выборе решения IdM
На настоящий момент на рынке представлено очень много решений класса IdM от разных вендоров. Решения очень сильно отличаются по функциональности, так что пред потенциальным покупателем встает нелегкая задача: как выбрать продукт, на какие критерии имеет смысл при этом обращать внимание?
Одним из основных критериев, разумеется, является цена. Разница в цене конкурирующих продуктов может быть велика. Но здесь, как при совершении любой покупки, нужно задать себе вопрос – обладает ли покупаемый продукт функциональностью, достаточной, чтобы закрыть все проблемы, которые, собственно, и побудили заняться выбором решения в области IdM? Да, являясь реалистами, мы понимаем, что больше, чем заложено в бюджете, на покупку решения выделить вряд ли удастся. Но, покупая решения, которое не решает поставленных перед ним задач, мы рискуем просто выбросить наши деньги на ветер, а вместо них приобрести очередное не работающее решение. Возможно, в этой ситуации разумнее не создавать у себя и у руководства иллюзий о том, что проблема решена, а сосредоточиться на том, чтобы в следующем отчетном периоде заложить в бюджет достаточно средств для покупки решения, оптимального с точки зрения соотношения цена/качество.
Ведущие аналитики от Forrester Research считают, что Oracle Identity Manager (OIM) удовлетворяет вышеперечисленным критериям.
Другие подходы при внедрении систем управления правами доступа
Внедрение IdM не является единственно возможным подходом для правильной организации управления учетными записями пользователей и доступом к информации. Так получилось, что, ограниченные объемом статьи, мы вынуждены были оставить без внимательного рассмотрения альтернативные способы управления правами доступа. Но в завершение этого текста хотелось бы кратко остановиться на других решениях. Решение IdM уместно использовать на предприятиях, у которых в силу исторических причин образовалась так называемая «гетерогенная среда», то есть (применительно к нашей теме) много приложений, каждое из которых имеет свое хранилище учетных записей пользователей. Но если мы строим КИС с нуля, то можно обойтись без интеграции «коня и трепетной лани», и попытаться выбрать корпоративные приложения с таким расчетом, чтобы они могли использовать единый каталог для хранения учетных данных пользователей.
Если у интегрируемых приложений есть возможность предоставлять web-доступ к своей функциональности (у большинства современных приложений такая возможность есть), то эти приложения можно защитить с помощью Access Manager. Преимущества этого подхода следующие: мы получаем возможность контролировать доступ к корпоративной информационной системе на уровне ресурсов, у нас появляется единая безопасная точка доступа, можно реализовать web-SSO (Web Single Sign-On, система, обеспечивающая однократную аутентификацию пользователя через web-интерфейс; не путать с e-SSO, Enterprise Single Sign-On, обеспечивающим возможность прозрачного подключения к любым приложениям, в том числе и не обладающими web-интерфейсом). Удобно эту систему использовать в связке с IdM. В качестве примера здесь можно привести решение на основе продуктов Oracle Identity Manager и Oracle Access Manager.
В заключение нужно упомянуть о таком решении, как виртуальный каталог, которое дает возможность отобразить данные из различных источников, таких как LDAP каталоги, базы данных и пр. Виртуальный каталог имеет, как правило, весьма ограниченные средства для хранения истории изменений, так что это не замена полноценной системе управления учетными записями, а, скорее, удобное дополнение. Это решение можно так же рассматривать в качестве единого источника, который могут эффективно использовать приложения вместо того, чтобы обращаться к разрозненным (и, возможно, разнородным) хранилищам учетной информации.
Иван Бакланов,
Ведущий консультант по направлению информационной безопасности, Oracle СНГ