«Контроль Угроз – не только кибернетических» Перевод материалов блога Эли Шрагенхайма

Привет всем!

Я давно не публиковал новых постов. Загрузка большая, да и писать сложнее, чем говорить. Но и Эли Шрагенхайм давно не баловал нас публикациями, видимо был занят подготовкой новой книги «Экономика Прохода», которая 14 июня 2019 года поступит в продажу. По содержанию этой книги он с соавторами даже провел открытый бесплатный вэбинар в рамках TOCICO. А еще я знаю, что он готовится к очередной конференции TOCICO, которая пройдет в этом году в Чикаго.

Жаль, что я туда не попадаю :(

В этой публикации Эли продолжает тему «научение на одном событии», решении, которое подано на публикацию в разделе Белые страницы TOCICO, и перевод которого на русский язык я медленно и печально делаю :)

В общем, как обычно: ссылка на оригинал и картинка из поста автора.

Читайте, размышляйте, комментируйте.

Да, и это… мнение редакции не всегда совпадает с мнением автора :)

Ваш Дмитрий Егоров


Корневые открытия ТОС концентрируются на улучшении существующего бизнеса.  ТОС внесла большой вклад в первые три части SWOT-анализа: сильные стороны, слабые стороны и возможности. Осталось внести вклад  в раннюю идентификацию, а затем в разработку лучших способов работы с угрозами. Работа с угрозами – это не столько обсуждение новых инициатив для достижения большего успеха. Это про предотвращение ущерба, вызванного непредвиденными событиями или угрозами. Угрозы могут возникнуть внутри организации такие, как крупные ошибки в одном из продуктов компании, или извне компании, например возникновение подрывной технологии. Совершенно точно в ТОС есть инструменты для разработки процесса идентификации возникающих угроз и предложения правильных способов работать с ними.
Последний раз об идентификации угроз я писал в 2015 году, но время приносит новые мысли и новые способы выражения как проблемы, так и направления решения. Важность темы вряд ли нуждается в пояснениях, однако это недостаточно важная тема для менеджмента. Риск менеджмент покрывает только часть потенциальных угроз, обычно только с точки зрения очень больших из предлагаемых действий. Я прихожу к выводу, что менеджеры игнорируют проблемные вопросы, если они не видят ясного ее решения.
Существует несколько сред, где этой теме посвящаются значительные усилия. Государства, их армии и полиция создали специальные под-организация, которые называются «разведка», чтобы идентифицировать четко определенные угрозы безопасности. В то время как в большинстве организаций используются различные механизмы контроля от столкновения с небольшим количеством конкретных ожидаемых угроз, типа систем сигнализации, базовым механизмам защиты данных и методов учета, чтобы обнаружить необъяснимые переводы денег, многие другие угрозы должным образом не контролируются.
Сущность любого механизма контроля состоит в том, чтобы идентифицировать угрозу и или оповестить о ней, или предпринять автоматические действия по нейтрализации риска. Я определяю «механизм контроля» следующим образом: «Механизм реагирования для работы с неопределенностью с помощью мониторинга информации, которая указывает на угрожающую ситуацию и выполнения соответствующих корректирующих действий».
Хотя эта тема отсутствует в своде знаний ТОС (TOC BOK), некоторые базовые открытия ТОС подходят для разработки решения: структурированного процесса, который работает с идентификацией возникающих угроз. Еще один процесс нужен для планирования действий по нейтрализации угроз, который может быть даже позволит превратить из в возможности.
Любой такой процесс будет подготовлен значительно лучше, если угроза априори признается вероятной. Например, процесс контроля качества новых продуктов должен включать в себя специальные проверки, чтобы предотвратить запуск нового продукта с дефектами, которые приведут к необходимости отзыва всех проданных изделий. Когда продукт считается опасным, то угроза слишком велика, чтобы относится к ней снисходительно. В менее опасных случаях финансовые потери, так же как угроза репутации, остаются по прежнему высокими. Тем не менее, такая угроза все еще возможна в большинстве компаний. Раннее выявление, до того момента, когда был нанесен большой ущерб, имеет большое значение.
Ключевая сложность в идентификации угроз состоит в том, что каждая угроза обычно независимо от других угроз, поэтому существует большое разнообразие потенциальных угроз. Может случиться так, что те же самые политики и поведение, которые вызвали внутренние угрозы, точно так же могут вызвать и другие угрозы. Но моменты возникновения каждой потенциальной угрозы могут сильно отстоять между собой во времени. Например, недоверие между топ-менеджментом и сотрудниками может привести к большим проблемам с качеством, что приведет к судебным искам. Это также может вызвать утечку конфиденциальной информации и увольнению большого числа людей, которые уйдут вместе с их ключевыми компетенциями. Однако, какая из угроз проявится первой – это ситуация с очень высокой неопределенностью.
Важно проводить отличие между необходимостью идентифицировать возникающие угрозы и работу с ними, и потребностью предотвратить возникновение угроз. Как только угроза идентифицирована и решена, становится крайне выгодным проанализировать корневую причину и найти способ предотвратить возникновение таких угроз в будущем.
Внешние угрозы меньше зависят от собственных действий организации, но даже и в этом случае, может случиться так, что менеджмент проигнорировал ранние сигналы о возникающей угрозе.
Вызов №1: Ранняя идентификация возникновения угроз
Шаг 1:
Составьте список категорий ожидаемых угроз.
Идея состоит в том, что каждая категория характеризуется похожими сигналами, которые могут быть выведены с помощью логики причинно-следственных связей, и которые можно отслеживать с помощью специального механизма контроля. Управление буфером является примером такого механизма контроля идентификации угроз высококлассного исполнения обязательств перед рынком.
Другой пример – идентификация «труднообъяснимых» денежных транзакций, которые могут сигнализировать о незаконных или несанкционированных финансовых действиях, предпринимаемых определенными сотрудниками. Для того, чтобы быстро указывать на такие операции используются техники учета. Важная категория угроз состоит и временных неудач и потерь, которые могут привести организацию к банкротству. Таким образом, должен поддерживаться буфер финансов, и проникновение в красную зону должно запускать особую осторожность и интенсивный поиск привлечения денежных средств.
Следует создать и другие категории и список их сигналов.  Они включат в себя качество, моральное состояние сотрудников, потерю репутации на рынке, например, из-за слишком медленного выпуска инновационных продуктов и услуг.
Гораздо меньше сегодня делается по категориям внешних угроз. Одна из категорий, которая обычно мониторится, это состояние прямых конкурентов. Существует по меньшей мере две других важных категории, которые нуждаются в постоянном мониторинге: меры регулирование и изменение экономики, которые могут сильно повлиять на конкретные рынки и возникновение быстро растущей конкуренции. Последняя включает в себя подъем подрывной технологии, появление нового гигантского конкурента и неожиданные изменения вкусов на рынке.
Шаг 2:
Для каждой категории создан список сигналов, которые должны тщательно отслеживаться.
Каждый сигнал должен с достаточной надежностью предсказывать возникновение угрозы. Сигнал – это любое явление, которое может проявиться в реальности и, с помощью причинно-следственного анализа, может быть логически связано с фактическим возникновением угрозы. Эта причина может быть другим явлением, вызванным угрозой, или причиной угрозы. Причина красного заказа – это локальное опоздание или комбинация нескольких опозданий, которые могут привести к опозданию заказа.
Когда речь идет о внешних угрозах, я исхожу из предположения, что эти сигналы могут быть обнаружены главным образом в новостных каналах, социальных сетях и других Интернет публикациях. Это затрудняет идентификацию правильных сигналов в океане опубликованных отчетов. Поэтому нужны методы фокусировки для поиска сигналов, которые указывают на то, что что-то меняется.
Шаг 3:
Непрерывный поиск сигналов требует наличия формального процесса периодической проверки сигналов.
Этот процесс должен быть определен и внедрен, включая назначение ответственных людей. Управление буфером лучше использовать, когда компьютеризированная система отражает и сортирует открытые заказы в соответствии со статусом их буфера всем людям, которые имеют отношение к ситуации. Система сигнализации, которая используется для оповещении о пожаре или взломе, должна обладать сильным и четки звуком, чтобы каждый был оповещен о том, что может произойти.
Вызов № 2: эффективная работа с возникающими угрозами
Идея любого механизма контроля состоит в том, что когда, основываясь на полученных сигналах, она выбрасывает сигнальный флаг, уже существует определенный набор инструкций о том, какие действия необходимо выполнить в первую очередь. Когда существует внутренняя угроза, необходимость реагировать как можно быстрее очевидна. Предположим, существуют сигналы, которые вызывают подозрение, что определенный сотрудник не оправдал доверие организации.  Должна существовать быстрая процедура, имеющая хорошо описанную последовательность действий по формальному расследованию, не забывая о презумпции невиновности. Если сигналы указывают на угрозу серьезного дефекта в новом продукте, то продажи этого продукта должны быть остановлены, пока подозрение не будет опровергнуто. Если подозрение подтвердилось, то должен быть выполнен сфокусированный анализ того, что еще должно быть сделано.
Внешние угрозы сложно идентифицировать и еще сложнее с ними справиться. Поиск сигналов, которые предупреждают о возникновении угроз, задача нетривиальная. Оценка возникающей угрозы и альтернативных способов работы с ней будет значительно выиграет от логического причинно-следственного анализа. Здесь должен быть создан более гибкий процесс.
В предыдущих публикациях я уже упоминал о возможном использовании открытий, разработанных разведывательными организациями: умное разделение двух разных процессов:
1.        Сбора соответствующих данных, обычно в соответствии с четкими и сфокусированными инструкциями.
2.        Исследование и анализ полученных данных.
Конечно, результаты процесса исследования и анализа предоставляются лицам, принимающим решения, чтобы принять решение по действиям. Такая общая структура кажется полезной для осуществления контроля.
Вызов №3: Встреча с неожиданным возникновением угроз
Как контролировать угрозы, которых мы не ожидаем?
Вероятно, мы не сможем предотвратить первое появление такой угрозы. Но реальный ущерб от первого их появления может быть снижен. В таком случае ключевым моментом является идентификация нового нежелательного явления, как нечто, потенциально способное причинить больший ущерб.  Другими словами, опираясь на первое проявление предвосхитить весь объем угроз.
В названии этой статьи использован пример серьезной внешней угрозы, которая называется киберугроза! До недавнего времени эта угроза была вне парадигм как отдельных людей, так и организаций.  Когда неожиданно стало известно о  хакерских атаках, способных причинять серьезный ущерб, появилась потребность в серьезном контроле за кибератаками. Очевидно, Контроль Угроз значительно шире и больше, чем просто контроль за киберугрозами.
Открытие, которое может привести к созданию способности идентификации возникновения новых угроз, пока они еще относительно невелики, состоит в понимании влияния «сюрприза».  Неожиданные проявления должны рассматриваться как сигнал, что мы столкнулись с парадигмой, не соответствующей действительности, которая игнорирует определенные возможности в нашей реальности.  Практический способ распознать такую парадигму – это рассматривать сюрпризы, как предупреждающие сигналы. Такое обучение отражает потенциальные причины как сюрприза, так и других неожиданных результатов. Я предлагаю читателям вернуться с моему посту, который называется «Обучение на сюрпризах»
Мой вывод состоит в том, что Контроль Угроз является абсолютно необходимым формальным механизмом для любой организации. Было бы полезно встать на плечи д-ра Голдратта, понимая мыслительные инструменты, которые он нам дал, и использовать их для построения практичного процесса для того, чтобы сделать наши организации безопаснее и более успешными.


Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.