ERP в эпоху перемен:
Как трансформировать организацию и не провалить бизнес
Эффективное управление изменениями – ключевая задача менеджмента в любой организации. В свою очередь, корпоративные информационные системы (ИС) должны быть готовы принять и поддержать инициируемые руководителями компании трансформации: будь то пересмотр общей стратегии развития, реструктуризация, модернизация производства, расширение географии или существенный пересмотр списков поставщиков и покупателей. Однако любая, даже, казалось бы, правильно выстроенная корпоративная ИС обладает значительной долей инерции, препятствующей преобразованиям, а также уязвимостями, которые могут стать критичными именно в период перемен. Чтобы преодолеть эти сложности чрезвычайно важно задействовать автоматизированные инструменты многоуровневого контроля внутренних процессов. Этим инструментам посвящена статья, подготовленная для TAdviser Светланой Гацаковой, директор департамента корпоративных информационных систем ALP Group.
Инструменты многоуровневого контроля внутренних процессов, о которых пойдет речь в статье, должны предотвращать слишком рискованные или неправомерные действия и своевременно уведомлять о том, что внутри ИС возникли те или иные отклонения от заданных правил, чреватые рисками для стабильности работы организации.
Поскольку практически каждое изменение в компании так или иначе влияет на работу ИС, с течением времени может сложиться ситуация, когда реальные процессы все меньше становятся похожими на то, как они прописаны в ERP-системе (и в соответствующих регламентах). Например, могут измениться процедуры согласования документов, или по-другому начнут функционировать механизмы логистики. Все это вносит дополнительные риски, – включая утрату важной информации и получение неверной отчетности, а в итоге – ведет к потере управляемости, убыткам и просто невозможности нормально вести бизнес. Эти риски многократно усиливаются, когда менеджмент принимает решение о проведении серьезных внутренних реформ. Несовершенные механизмы и процессы, которые более-менее работали в стабильной ситуации, начинают «расползаться» и наносить урон бизнесу. Чтобы обеспечить планомерный ход инноваций («как и было задумано»), важно своевременно выявлять любые отклонения, чтобы иметь возможность управлять ходом и скоростью изменений, делая это максимально осознанно – и на базе точной информации. Только так можно верно расставить приоритеты, установить последовательность и темп изменений: где-то – притормозить, где-то ускорить, где-то «откатиться» на шаг назад.
Делать это можно и нужно использовать автоматизированные ИТ-инструменты. В совокупности они способны решить целый ряд задач: облегчить и ускорить внедрение учетной системы, защитить ее от деградации с течением времени, создать надежную основу для построения надежного контура информационной безопасности и, наконец, контролировать все бизнес-процессы, даже в условиях серьезных корпоративных преобразований.
Первым из таких инструментов является технологическая платформа GRC. Решения этого класса уже достаточно давно стали своего рода стандартом в зарубежных ERP-системах. С 2020 ALP предлагает собственную технологию и для платформы 1С. Три составляющие это платформы означают следующее: Governance как технология контроля ИБ-рисков при реализации решений руководителей компании; Risk Management как практика управления разнообразными рисками; и Compliance, как способ гарантировать соблюдение всех требований регламентирующих документов – корпоративных и государственных. По сути, GRC включает все информационные системы компании в единый контур управления предприятием и информационной безопасности.
С помощью GRC-платформы можно нарисовать своего рода карту ИТ-рисков организации, выявить слабые места и недостаточно защищенные звенья ИС. Так, GRC позволяет понять, какими полномочиями обладает каждый сотрудник и нет ли среди этих полномочий избыточных для каждой конкретной должностной позиции (например, сочетание функций инициирования, принятия решений и контроля). Например, если кладовщик имеет право заводить кассовые документы, то у него появляется прямая возможность совершать недобросовестные действия: он может «продать» товар самому себе. GRC упрощает понимание ИТ- и бизнес-рисков как для руководителей организации, так и для специалистов по безопасности и ИТ-персонала, а значит – помогает поставить под контроль угрозы, возникающие при проведении тех или иных преобразований – как на уровне организации в целом, так и отдельных ее подразделений. GRC также эффективен и на уровне контроля отдельных бизнес-процессов, особенно таких, где «цепочки» достаточно длинные или в которые вовлечены разные функциональные блоки компании. Например, с помощью GRC можно легко отслеживать такие отклонения, как попытки проведения оплаты товара без его фактической поставки. Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
Конечно, эта платформа охватывает и «классические» ИБ-угрозы: несанкционированный доступ к информации, попытки неправомерного получения данных изнутри, неправильное разделение прав пользователей на уровне корпоративных каталогов и бизнес-приложений и др. Здесь GRC выступает связующим звеном между бизнес-процессами и конкретными решениями по обеспечению кибербезопасности – благодаря GRC их интеграция в КИС станет существенно проще.
Второй важный инструмент в этой связке – Process Mining (PM). ДКИС ALP развивает эту технологию с 2018 года и она уже прошла несколько фаз развития и апробации в ведущих российских компаниях.
Технология PM в автоматическом режиме (за счет специального модуля, встраиваемого и постоянно действующего внутри ERP-системы) позволяет получать полный срез информации о фактических параметрах функционирования и изменениях бизнес-процессов, а также их соответствии заданным регламентам – строить т.н. диаграмму процессов. Говоря коротко, PM визуализирует каждый процесс, структурирует все связи между людьми и бизнес-юнитами, помогает оценить фактическое время последовательного выполнения всех этапов процессов и фактически задействованные ресурсы. На выходе – возможность выявить все узкие места и причины их возникновения. Также важно, что поскольку технология может охватывать самые разные процессы, независимо от того, что именно является предметом организационных преобразований, всегда можно рассчитывать на получение абсолютно надежной информации.
Кроме того, еще на стадии проектирования будущей ERP-системы, запуск PM поможет гораздо быстрее получить реальную объективную картину при предпроектном обследовании – без необходимости опрашивать множество сотрудников, каждый из которых, видя ситуацию со своей точки зрения, может внести нежелательные «помехи» в модель.
Поскольку PM работает с огромными массивами данных в реальном времени, крайне важно обеспечить высокую производительность системы. Мы, например, применяем для этого обработку в многопоточном режиме. Опыт показывает, что технология может функционировать на масштабах в сотни тысяч операций ежедневно.
В заключение отмечу, что технологии Process Mining и GRC разработаны ALP ДКИС специально для применения вместе с платформой 1С. Таким образом, те предприятия, которые уже пользовались аналогичными инструментами зарубежных вендоров, смогут сохранить свои концептуальные и управленческие наработки и при миграции на отечественный ERP-софт. В свою очередь компании, которые ранее не применяли этот подход, получат возможность, с помощью компании-интегратора, внедрить их в свою корпоративную практику и поднять уровень безопасности и адаптивности ИС в достаточно короткие сроки.