Н.Ф. Васильева, к.э.н.
ИНФОРМАЦИОННЫЙ РИСК КАК СОСТАВЛЯЮЩАЯ ЭКОНОМИЧЕСКОГО РИСКА В АНТИКРИЗИСНОМ УПРАВЛЕНИИ
Принятое верное управленческое решение зависит от учета возможных экономических рисков. Особенно усугубляет последствия принятого решения то, что не учтены ИР, т.е. влияние таких факторов информационного обеспечения решения, как информационная неопределенность, искажение ин-формации или утечка конфиденциальной информации, техническое и программное нарушение работы информационной системы. Это может причинить определённые убытки, а при наличии кризисных явлений последствия могут быть катастрофическими.
С целью недопущения или смягчения негативных последствий ИР возникает необходимость их учета в управлении экономикой субъекта хозяйствования как при успешном развитии, так и в кризисной ситуации.
Насколько фирмы готовы пожертвовать своей информационной безопасностью перед лицом финансового кризиса, выясняли консультанты из Ernst & Young. И один из ключевых выводов данного исследования состоит в том, что большинство фирм не уменьшили бюджеты подразделений, занимающихся информационной безопасностью, и не планируют этого делать [1]. Результаты опросов также говорят о том, что многие организации продолжают подвергать себя риску из-за отсутствия квалифицированных кадров и адекватных бюджетов на информационную безопасность.
Большинство мировых тенденций присущи и украинской индустрии. Проблемы ИР, которые возникают перед субъектами хозяйствования, и пути их преодоления в общем и целом схожи.
Вопросы полноты охвата возможных рисков при обосновании различных бизнес-проектов, управленческих решений, прогнозных расчетов рассматриваются в работах учёных как в сфере экономики, так и математики, информационных технологий. Исследованию проблем, связанных с ИР, отводится важная роль в работах В.И. Андреева, А.П. Архипова, И.Т. Балабанова, Л.Ф. Ежовой, В.И. Завгороднего, В.Г. Кононовича, С.В. Ленкова, С.А. Петренко, С.В. Симонова, В.О. Хо-рошко, В.С. Чередниченко, М.Е. Шелеста и др.
Вместе с тем ИР в антикризисном управлении сегодня остаются малоизученными, поэтому исследования в данной области в условиях убыточности значительного количества отечественных субъектов хозяйствования и ориентации экономики на информационно-инновационные модели развития являются актуальными.
Цель статьи - определить место ИР как составляющей экономических рисков в антикризисном управлении, источники их возникновения, предложить меры по их снижению.
Понятие «информационный риск» появилось в середине 90-х годов прошлого столетия. Объясняется это необходимостью использования нового подхода к решению проблемы информационной безопасности экономики субъекта хозяйствования. Проблема, которой занимался узкий круг специалистов, стала актуальной для работников всех уровней управления. На сегодняшний день еще не сложился единый подход к определению понятия ИР. Не вдаваясь в подробный анализ существующих определений термина, отметим только, что его в основном продолжают связывать лишь с областью информационной безопасности [2-8].
Однако данное понятие требует глубокого осмысления и рассмотрения его как экономической категории. Для этого необходимо определить место информационных рисков в общей системе экономических рисков.
Любой риск связан хотя бы с одним из четырех компонентов, которые являются источниками и причинами рисков, а именно: человек; информация; технические системы; природа.
При выделении ИР в отдельный вид экономических рисков важно определить соотношение и взаимосвязи информационных и других экономических рисков. В силу многообразия целей классификаций экономических рисков, объектов и масштабов их рассмотрения можно сделать вывод, что единая их классификация отсутствует, но, тем не менее, ИР как часть экономических рисков должны присутствовать в классификациях экономических рисков, что наблюдается не всегда. Место ИР в экономических рисках определяется значением, которое придаётся им в опреде-
лённых экономических видах деятельности субъектов хозяйствования, и особенностями бизнес-процессов.
Проведенный анализ классификаций экономических рисков позволяет сделать вывод, что место ИР зависит от вида классификации, её цели, масштаба рассмотрения объекта (субъекта хозяйствования или одной отрасли) и события.
ИР можно рассматривать как отдельную категорию или вид риска, например, среди внешних рисков можно выделить и ИР. В значительной степени ИР являются банковский, валютный, процентный, производственный риск субъектов хозяйствования, оказывающих информационные услуги, а часть экономических рисков, как, например, управленческие и инвестиционные риски, можно считать полностью ИР.
ИР могут быть и составляющими соответствующих групп экономических рисков. При этом отдельные ИР могут быть отнесены одновременно к нескольким группам экономических рисков, например, такой ИР, как неисправность компьютера может быть отнесен как к производственным рискам, так и к имущественным.
Зависимость процесса принятия решения от информационного обеспечения логично позволяет считать, что ИР присутствуют в качестве составляющей во всех экономических рисках.
Информационная составляющая риска наиболее весома в случаях использования прогнозной информации, дефицита времени на обработку информации и принятие решения, в условиях активного информационного противодействия конкурентов или противников. В отличие от других составляющих риска информационная составляющая обязательно присутствует в каждом рисковом событии. Изменяется лишь её относительная величина.
Экономический смысл понятия «информационный риск» заключается в том, что, воздействуя на информационную систему, в конечном итоге он приводит к убыткам либо ошибочному прогнозу, решению, что также вызывает отрицательное влияние на развитие экономики. Приведем одну из трактовок ИР, в которой он рассматривается и как нарушение информационной безопасности и с точки зрения его экономического содержания (нанесения убытков).
«Информационный риск - это вероятность наступления случайного события в информационной системе, которое приводит к нарушению ее функционирования, снижению качества электронных информационных ресурсов, в результате которого наносится убыток субъекту хозяйствования» [9, 152]. Другими словами, ИР связаны с созданием, передачей, сохранением и использованием информации с помощью электронных носителей и других средств связи.
ИР, как правило, делятся на две категории:
риски, вызванные повреждением или утечкой информации;
риски, зависящие от качества работы информационной системы.
Рассмотрим каждую из групп ИР в контексте составляющей экономических рисков в антикризисном управлении.
ИР, вызванные повреждением или утечкой информации. Для осуществления предупреждающих мероприятий недопущения кризисных явлений субъектами хозяйствования используются такие методы, как комплексный анализ финансовых коэффициентов, корреляционный, дискрими-нантный анализ, SWОТ-анализ, разработка сценариев, требующие определённой информации, т.е. электронных информационных ресурсов. И уже на этом этапе возникают ИР, связанные с качеством представляемой информации и бесперебойной работой информационной системы. Источником ИР, прежде всего, может быть официальная документация, - отмечает, например, А. Мат-вийчук [6]. Во время анализа 40 финансовых отчетов (формы 1 и 2) отечественных предприятий, функционирующих нормально, и 40 отчетов предприятий банкротов установлено, что в подавляющем большинстве финансовых отчетов (больше чем в 2/3) предприятий из обеих групп значения многих показателей равны нулю, в частности, к таким показателям относятся чистая прибыль, денежные средства и их эквиваленты. И ещё один важный вывод сделан этим автором, с которым невозможно не согласиться: «Нельзя механически использовать методы и модели (особенно зарубежных авторов) для анализа финансового состояния предприятия и не только в условиях информационной неопределённости и динамичного изменения» [10]. Необдуманное шаблонное использование
таких моделей также является источником новых ИР.
Информация, используемая в антикризисном управлении, направлена на предотвращение искусственного банкротства, рейдерского захвата, слияния и поглощения субъектов хозяйствова-
ния в регионе или в конкретной отрасли, на разработку плана санации (анализ фактического финансового состояния; причины кризисной ситуации и слабых мест; оценка состояния рынков сбыта продукции; анализ отрасли, конкурентоспособность субъекта хозяйствования и его продукции; оценка имеющегося потенциала; план маркетинга; план производства и капиталовложений; организационный и финансовый планы; оценка рисков реализации плана и его эффективности). При этом ИР могут быть обусловлены отображением неполной информации о финансовом состоянии и внутрихозяйственных процессах, недоступностью информации о конъюнктуре товарного и финансового рынков, отсутствием информации о бизнес-пространстве, асимметрией информации, непрогнозируемыми изменениями законодательства и т.д. В результате этого могут быть допущены ошибки в выборе антикризисной стратегии, источников финансирования санационных мероприятий, разработке производственно-технических, организационно-правовых, социальных мероприятий и т.д., что сделает невозможным выход субъекта хозяйствования из кризисной ситуации.
Важным в возникновении ИР, связанных с искажением информации, является отсутствие квалифицированных кадров соответствующей не только экономической, но и информационной подготовки, перечня лиц, имеющих доступ к конфиденциальной и другой информации, адресованной определённому кругу пользователей, а также увольнение сотрудников из субъекта хозяйствования. Например, анализ последних тенденций в области информационной безопасности, проведенный Ernst & Young в 2009 г., показал, что 75% респондентов (в 2009 г. отмечено более активное участие в опросах украинских компаний) обеспокоены возможностью нанесения компании ущерба лицами, уволенными из компании, чуть более половины респондентов отметили, что недостаток квалифицированных ресурсов является самой серьёзной проблемой: по сравнению с 2008 г. она усугубилась на 8% (с 48 до 56%) [1].
ИР, зависящие от качества работы информационной системы. В настоящее время создание и использование информационных систем предстаёт как повседневное явление. И в этом случае возникающие ИР можно рассматривать как вероятную частоту и вероятную величину потерь, которые возникают вследствие комбинации угроз, уязвимости и особенностей информационного актива системы, т.е. в результате технических сбоев работы компьютеров, каналов передачи информации, вмешательства в программное обеспечение.
В качестве оценки данных угроз можно использовать такие факторы: статистику регистрации инцидентов нарушения работы информационной системы и тенденцию по определённым видам нарушений; наличие в системе информации, представляющей интерес для лиц как внутри, так и за пределами субъекта хозяйствования, с целью получения выгоды в результате внесения изменений в обрабатываемую в системе информацию; наличие альтернативных способов доступа к информации; моральные характеристики персонала; статистику подобных нарушений в других информационных системах субъекта хозяйствования. На практике такая статистика, как правило, не ведется. Делаются субъективные оценки специалистов в сфере информатизации.
Уязвимость можно оценивать с учетом таких факторов: количество компьютеризированных рабочих мест (пользователей) в системе; осведомлённость руководства о действиях сотрудников; характер оборудования и программного обеспечения, которые используются на рабочих местах пользователями; полномочия пользователей.
Отдельно следует отметить ИР, связанные с развитием онлайнового электронного бизнеса (далее - ОЭБ), а именно:
широкое использование интернета для целей ОЭБ, с одной стороны, открывает большие возможности, а с другой - является угрозой в связи с проникновением вирусов, хакеров в информационную систему субъекта хозяйствования. Для безопасной работы в сети Интернет следует соблюдать определённые стандарты, которые постоянно развиваются, препятствуя возникновению ИР, а из-за своего несовершенства создают новые источники ИР;
ОЭБ предполагает широкое использование коммуникаций, но в связи с несовершенством инфраструктуры возникают ИР, связанные с безопасностью передачи информации.
Таким образом, с развитием информационных технологий и ОЭБ возрастает вероятность искажения информации, утечка конфиденциальной информации, что может быть использовано конкурентами с целью ослабления рыночных позиций субъекта хозяйствования, его поглощения или незаконного захвата.
Минимизацию ИР в антикризисном управлении можно рассматривать как комплекс профилактических мероприятий с целью недопущения кризисных ситуаций и как систему мероприятий, направленных на выход субъекта хозяйствования из кризисной ситуации.
Если минимизацию ИР рассматривать как направления деятельности в области информационной безопасности, то, как показали исследования Ernst & Young, приоритетным будет направление по улучшению управления рисками информационной безопасности (см. таблицу) [1].
С целью снижения ИР можно предложить следующие меры:
Работа с персоналом. Подбор персонала, в частности управленческого, необходимо осуществлять с учетом таких его характеристик, как профессионализм, компетентность, креативность, конформизм, конструктивность мышления, коллективизм, самокритичность, ответственность.
Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала субъекта хозяйствования, направленные на предотвращение ИР.
Таблица
Приоритетные направления деятельности в области информационной безопасности
Наименование направлений Доля респондентов, %
Улучшение управления рисками информационной безопасности 47
Внедрение и улучшение технологий и процессов предотвращения утечки информации 40
Соответствие требованиям регулятора 39
Выполнение тестирования безопасности 27
Управление рисками 22
Внедрение (улучшение) технологий и процессов управления идентификацией и доступом 20
Внедрение стандартов 20
Внедрение технологий виртуализации 19
Внедрение (улучшение) процесса безопасной разработки 14
Обеспечение персоналом 7
Аутсорсинг функции безопасности 4
Судебные расследования (борьба с мошенничеством) 4
Информационное обеспечение. Формирование информационной базы принятия управленческих решений необходимо осуществлять на основе таких принципов, как актуальность, достоверность, надежность, релевантность, целенаправленность и информационное единство данных, полнота отображения содержания, понятность.
Использование не одного, а нескольких надёжных информационных источников для повышения качества информационного обеспечения.
Сформировать блок антикризисной информации, который содержал бы оперативные данные об «узких местах», потенциальную небезопасность и угрозы (индикаторы кризисного состояния). С этой целью периодически необходимо проводить внутренний контроль и аудит, а также постоянный мониторинг внешней среды.
Использовать дополнительную информацию в случае необходимости для принятия обоснованных решений.
Накапливать, анализировать и эффективно использовать информацию об опыте деятельности зарубежных предприятий, научно-технических достижениях.
Осуществлять разработку и внедрение организационно-технических мероприятий, направленных на недопущение несанкционированного доступа к информации и её модификации, утечки информации, уничтожение или нарушение её целостности.
Разработать единые стандарты на информационные системы в рамках субъекта хозяйствования, т.е. перейти к единым отчетным формам, а также единым правилам расчета показателей,
которые будут применяться во всех программных продуктах субъекта хозяйствования, используемых для этой цели.
Классифицировать данные по степени конфиденциальности и разграничить права доступа к
ним.
Информационные системы, системы безопасности и инфраструктура. Следить за тем, чтобы любые документы, обращающиеся внутри субъекта хозяйствования, создавались с помощью систем, централизованно установленных на компьютерах, установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастёт.
Внедрить средства контроля, позволяющие отслеживать состояние всех систем субъекта хозяйствования: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
Разработать и создать систему, позволяющую оперативно восстановить работоспособность ИТ-инфраструктуры при технических сбоях.
Постоянно проводить с определённой периодичностью мониторинг зарубежного опыта по преодолению ИР и изучение научно-технических достижений в области создания систем информационной безопасности.
Помимо перечисленных мер следует подготовиться персоналу субъекта хозяйствования к последствиям возможных кризисных ситуаций и описать его действия по выходу из кризиса. С этой целью необходимо:
проанализировать сценарии проникновения посторонних лиц или лиц из числа персонала субъекта хозяйствования, не имеющих полномочий, во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;
разработать варианты решения проблем, связанных с кадрами, включая уход из субъекта хозяйствования ключевых сотрудников, например, составить и ознакомить персонал с планом преемственности управления или выполнения определенного круга обязанностей;
подготовить запасные мощности (серверы, компьютеры), а также резервные линии связи, т.е. максимально повысить отказоустойчивость ИТ-инфраструктуры.
Оценка ИР должна проводиться с определенной периодичностью, например, раз в квартал, независимыми экспертами. Следует отметить еще очень важный факт, что разработка и реализация политики по минимизации ИР принесёт пользу только в том случае, если рекомендуемые стандарты и правила, разработанные мероприятия будут использоваться верно, т.е. если работники будут обучены их применению и поймут важность их использования.
Следует отметить, что часть из предлагаемых мероприятий требует значительных финансовых ресурсов, что является очень важным фактором для субъекта хозяйствования, который находится в кризисе. Поэтому принятие решения о выборе способов снижения ИР должно учитывать: стоимость получения дополнительной информации; важность информации, которую необходимо защищать; величину убытков, причиненных потерей информации; эффективность информационной системы и системы защиты и их соответствие стоимости.
Выводы. С целью совершенствования подходов к минимизации рисков в процессе антикризисного управления ИР были рассмотрены как часть экономических рисков, которые имеют значительное влияние на принятие решений на разных этапах антикризисного управления. В результате исследования выделены источники ИР.
На основании анализа сущности экономических и информационных рисков можно сделать главный вывод, что любой экономический риск включает информационную составляющую, а её место в экономическом риске определяется значением информации для определённых видов деятельности субъектов хозяйствования и бизнес-процессов.
Управление ИР является частью антикризисного управления и занимает одно из первых мест среди проблем обеспечения экономической стабильности субъекта хозяйствования. Придание экономического смысла ИР позволяет применять экономические методы управления этим риском. Эти обстоятельства требуют привлечения специалистов соответствующей не только экономической, но и информационной подготовки. Кроме того, для минимизации ИР предложено осуществлять тщательный подбор кадров, совершенствовать формирование информационной базы принятия управленческих решений, для принятия решения использовать несколько надёжных
информационных источников, формировать блок антикризисной информации, использовать дополнительную информацию, изучать зарубежный опыт и научно-технические достижения в сфере создания и использования систем информационной безопасности, обеспечивать защиту информации в информационных системах и в ОЭБ.
Выделенные ИР в антикризисном управлении требуют дальнейшего исследования с целью полноты их оценки, а также для постоянного обновления концепции информационной безопасности, противокризисных мероприятий в связи с развивающимся рынком систем безопасности (с возникновением новых систем появляются новые средства для преодоления защиты).
Литература
1. Гудзь Ю. Опережая перемены / Ю. Гудзь // Компьютерное обозрение. - 2010. - № 3. -С.54-55.
2. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. -М.: АйТи-Пресс, 2004.
3. Ленков С.В. 1нформацшна безпека як один iз факторiв забезпечення нацюнально! безпеки Украши /С.В. Ленков, О.Ф. Жучкова, £.С. Ленков, А.С. Слюняев // 1нформацшна безпека. - 2009. -№ 1. -С.121-124.
4. Кононович В.Г. Страхование рисков информационной безопасности как метод защиты информации / В.Г. Кононович, Ю.В. Копытин // Iнформацiйна безпека. - 2010. - № 2 (4). - С. 3339.
5.1нформацшш технологи. Методи захисту. Звщ правил для управлшня iнформацiйною безпекою: ГСТУ СУ1Б 2.0Л80/1ЕС 27002:2010. - [проект]. - К.: Нацiональний банк Украши, 2010. -163 с. - (Галузевий стандарт Украши).
6. Матвшчук А.В. Аналiз i управлiння економiчним ризиком /А.В. Матвшчук. - К.: Вища школа, 2005. - 215 с.
7. Завгородний В.И. Информационный риск-менеджмент / В.И. Завгородний // РИСК. -2008. - № 4.
8. Доктрина шформацшно! безпеки Украши. Затверджена Указом Президента Украши ввд 8 липня 2009 року № 514/2009 [Джерело: Ийр/^ако^.гада^оу.иа^^ЫпЛа'мз/ шаш.^?^=514%2Б2009].
9. Украшсько-росшський поняттевий словник термшв та абревiатур у сферi шформатизаци / за ред. к.е.н. Л.С. Вшарша, д.е.н. Я.Г. Берсуцького. - Донецьк: 1ЕП НАН Укра!ни; ДонУЕП, 2006. -466 с.
10. Матвшчук А. Дiагностика банкрутства пiдприемства / А. Матвшчук // Економжа Укра!-ни. - 2007. - №4. - С. 20-28.
Представлена в редакцию 02.09.2011 г.