УДК - 338.621
УПРАВЛЕНИЕ РИСКАМИ В БИЗНЕС-КОНСАЛТИНГЕ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Д.А. Погонышева
Бизнес-консалтинг в области информационных технологий включает комплекс услуг по оптимизации информационной инфраструктуры и системы информационной безопасности организации. В деятельности ИТ-компании существуют коммерческие риски. Управление рисками в ИТ-консалтинге реализуется на основе методологии риск-менеджмента.
Ключевые слова: бизнес-консалтинг; информационные технологии; управлениерисками
В настоящее время в мировом сообществе проходят одновременно две крупные революции: в информационных технологиях и бизнесе, которые осуществляют глубокое взаимодействие друг с другом, обеспечивая прочную поддержку в развитии. Информационные технологии служат эффективным инструментом поддержки современного бизнеса [1,2, 6, 10, 12].
Важнейшим средством решения управленческих проблем предприятия выступает бизнес-консалтинг. В общем случае проводится диагностика и выявляются проблемы, испытываемые заказчиком, разрабатываются практические рекомендации в виде проекта организационных изменений, осуществляется выбор эффективной стратегии в области информационных технологий, внедряется консалтинговый проект в практику деятельности предприятия.
Бизнес-консалтинг в информационных технологиях включает комплекс услуг по разработке рекомендаций и реализации системы мероприятий по оптимизации информационной инфраструктуры и системы информационной безопасности организации. Выделяют следующие направления [9]:
-услуги по анализу и формированию информационной стратегии заказчика;
-разработка стратегии прикладных компьютерных систем;
-выбор и внедрение информационных систем (ИС);
-предпроектное обследование организации при создании ИС;
-разработка архитектуры корпоративных информационных систем (КИС);
-выбор программных продуктов для КИС;
-внедрение ИС.
Преимущественным спросом пользуются отдельные сервисы ИТ-консалтинговых компаний. В ходе анализа соответствия информационной инфраструктуры бизнес-процессам организации выполняется исследование организационной структуры заказчика, внутреннего документооборота, учетной политики, соответствия ИС стратегии развития бизнеса и в результате предлагается внедрение более эффективной ИС, отвечающей бизнес-целям функционирования хозяйствующего субъекта.
При разработке ИТ-концепции происходит согласование бизнес-целей заказчика, существующих рисков, учетной политики и потребности в информационном обеспечении. Использование ИТ-услуг обусловлено уровнем и темпами развития компании-заказчика, ее стратегическими целями, финансовыми ресурсами.
Несмотря на системный кризис экономики рынок ИТ-консалтинговых услуг имеет большие перспективы. Наибольший рост прогнозируется в области системной интеграции, которая предусматривает создание штатно функционирующей, функционально законченной, технически и финансово оптимизированной, управляемой и документированной ИТ-инфраструктуры либо ее отдельных модулей.
Системные интеграторы осуществляют решение комплексных проблем заказчика по эффективному управлению информационными потоками, оптимизации бизнес-процессов с целью создания мощных конкурентных преимуществ.
Выделяют несколько основных направлений системной интеграции [2]:
-помощь в выборе оптимального ИТ-решения и вычислительной платформы;
-внедрение комплексных систем управления компанией;
-построение сетевой инфраструктуры заказчика;
-проектирование кабельных систем;
-внедрение прикладного программного обеспечения;
-поддержка и сопровождение компьютерных систем и др.
Системная интеграция предусматривает реализацию следующих этапов [9].
На этапе изучения текущей и перспективной потребности заказчика в информационных ресурсах выполняется анализ эффективности деятельности заказчика с точки зрения информационного обеспечения бизнес-процессов, оцениваются перспективы развития существующих бизнес-процессов и появления новых. Помимо этого рассматриваются информационные потоки во внутренней среде, а также входящие и исходящие потоки во внешнюю среду. Для каждого потока определяются тип данных, объемы, интенсивность, способы передачи, форма представления информации, оцениваются перспективы развития информационных потоков, возникновение новых и удаление отдельных потоков, выявляются объемы и тенденции роста источников данных, изучаются требования по обеспечению безопасности обработки, хранения и передачи информации во внутренней и внешней среде.
На этапе анализа существующей информационной инфраструктуры оценивается полнота обеспечения бизнес-процессов программными и аппаратными средствами, выявляются морально устаревшие, подлежащие устранению, проводится выбор новых средств, обеспечивающих эффективную поддержку бизнеса, универсальность доступа к информационному обеспечению. В ходе создания проекта замены устаревших систем оцениваются затраты на создание новой системы, надежность и пропускная способность имеющихся каналов связи, внутренних сетей, определяются сроки перехода, включая подготовку персонала.
При создании проекта объединения отдельных систем определяются технологические решения для интеграции каждой системы или группы систем, необходимые программноаппаратные средства. В дальнейшем осуществляются заказ, поставка и установка оборудования, проводится выбор поставщиков средств системной интеграции, разрабатывается план заказа, поставки и размещения. Реализация планового перехода к новой инфраструктуре предусматривает разработку плана поэтапной реализации ИТ-проекта. В более простых проектах системной интеграции отдельные этапы могут отсутствовать. Например, при внедрении электронного документооборота монтаж аппаратных средств не является обязательным. Крупнейшими системными интеграторами России являются компании Ай-Теко, Ай-Ти, Компьюлинк, ЛАНИТ, КРОК, 1В8, Я^уЬ и др.
Взаимосвязанными компонентами транзитивной экономической системы выступают управление и риск. Управление само может выступать мощным источником рисковой ситуации. Предпринимательская деятельность ИТ-компании в условиях трансформации мировой экономики неразрывно связана с рисками. Риск - это возможность минимизации неблагоприятных экономических ситуаций в ходе реализации инновационных проектов [3]. Риск выполняет стимулирующую и защитную функции. Ему присущи противоречивость, альтернативность, неопределенность [4]. Основными свойствами риска являются всеобщность, системность и динамическая вероятность. Эффективное управление предпринимательским риском в современном бизнесе включает в себя стратегию и тактику риск-менеджмента [5].
В научной литературе присутствуют различные классификации рисков в экономике [3,4,5,7,8,11]. Анализ существующих подходов к данному феномену показывает, что авторы не рассматривают риски, имеющие место в деятельности консалтинговых компаний, оказывающих ИТ-услуги. Опираясь на выполненные исследования, мы считаем, что в бизнес-консалтинге в области информационных технологий присутствуют следующие виды предпринимательских рисков:
-по источнику появления: субъективный, обусловленный личностными качествами
персонала ИТ-компании (недостаток опыта, профессионализма, нарушение этики и стандарта профессионального поведения и др.), и объективный, связанный с низким качеством информационного обеспечения при разработке и принятии ИТ-инновации, динамикой внешней среды;
-по этапу реализации ИТ-решения: на этапе принятия решения (ошибки в применении средств и методов обработки информации, в ходе анализа информации, качественных и количественных методов оценки риска и др.), на этапе его реализации (ошибки при реализации ИТ-решения, неожиданные изменения во внешней и внутренней среде и др.);
-по области возникновения: внешний, обусловленный трансформацией транзитивной экономики, и внутренний, связанный с особенностью деятельности ИТ-компании;
-по возможности возмещения: страхуемый, количественно оцененный страховой
компанией, и нестрахуемый;
-по уровню допустимости: минимальный (возможны потери прибыли до 25%),
повышенный (ущерб составляет до 50%, критический (возможен ущерб до 70%) и недопустимый.
Нами установлено, что в бизнес-консалтинге в области информационных технологий присутствуют следующие виды предпринимательских рисков: имущественный, обусловленный вероятными потерями аппаратно-программных средств по причине кражи, диверсий, повреждений, стихийных бедствий и др., производственный, связанный с повреждением используемых физических, аппаратных, программных, криптографических средств, нарушением целостности, доступности, конфиденциальности информации и др., торговый, обусловленный задержкой платежей, отказом от платежа недобросовестных заказчиков и др., финансовый, возникающий в случае потери финансовых ресурсов; инвестиционный, состоящий в обесценении инвестиционно-финансового портфеля ИТ-компании.
Информационной системе консалтинговой компании, оказывающей ИТ-услуги, присущи общесистемные (целостность, устойчивость, синергетика, адаптивность, наблюдаемость, управляемость, открытость, динамичность, безопасность и т.д.), структурные (состав, связность, сложность и др.) и функциональные (результативность, производительность, быстродействие, экономичность и др.) свойства. Информация, используемая при формировании ИТ-решения, по предметной принадлежности может быть разбита на следующие группы: характеристика объекта управления, характеристика внешней среды, характеристика ресурсов, нормативно-справочная информация.
Значительный вклад в исследование сложных систем, к которым правомерно относится информационная система ИТ-компании, внесли Акофф Р., Берталанфи Л., Бусленко Н.П., Гатаулин А.М., Емельянов А.А., Канторович Л.В., Пастернак П.П., Перегудов Ф.И, Поспелов Д.А., Пригожин И., Шеннон Р. и др. Проблемы оценки качества информации и аппаратно-программных средств, используемых в процессе разработки и реализации ИТ-решения, представлены в работах Глушкова В.М., Колмогорова А.Н., Мельникова В.В., Моисеева Н.Н., Тельнова Ю.Ф., Торокина А.А., Хаммер М., Харкевич А.А.и др.
Информационная среда ИТ-компании представляет собой множество взаимосвязанных информационных элементов, обеспечивающих сбор, обработку, хранение и передачу информации с целью достижения конкурентных преимуществ. Важнейшими информационными элементами выступают сотрудники, информационные ресурсы, компьютерные системы, аппаратные, программные, криптографические средства, непосредственно участвующие в информационном процессе либо обеспечивающие его эффективное функционирование. Внешняя информационная среда консалтинговой компании представлена объектами, субъектами, процессами и явлениями внешнего окружения, влияющими на элементы ее внутренней информационной среды. В ходе реализации случайных негативных событий во внутренней или во внешней информационной среде ИТ-компании может произойти нарушение целостности, доступности, конфиденциальности бизнес-информации.
Учитывая стратегическое значение информации в условиях когнитивной экономики, можно утверждать, что в предпринимательских рисках ИТ-компании присутствуют элементы информационного риска. Таким образом, методология риск-менеджмента может быть эффективно применена при управлении в том числе информационными рисками бизнес-консалтинга в области информационных технологий.
Процесс управления рисками в ИТ-консалтинге, опирающийся на системный и синергетический подходы, содержит ряд этапов: выявление риска; оценка риска; выбор методов управления риском; применение системы мер по управлению риском; оценка результатов деятельности.
Процессная модель управления рисками в бизнес-консалтинге в области информационных технологий включает планирование, реализацию, проверку, действие. На этапе планирования определяются политика и методология управления рисками ИТ-компании, проводится качественная и количественная оценка рисков, включающая инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности противодействия потенциальным угрозам, возможного ущерба.
На этапе реализации осуществляется обработка предпринимательских рисков, используются методы и средства, снижающие их негативное воздействие на финансовые результаты. Руководством ИТ-компании принимается одно из четырех решений по каждому установленному риску: игнорировать, избежать, передать внешней стороне, минимизировать. На этапе проверки контролируются изменения факторов риска. На этапе действия по результатам
мониторинга выполняются различные корректирующие действия.
В мировой практике существует ряд общепризнанных стандартов и подходов к обеспечению информационной безопасности ИТ-компании и управлению ее рисками. Наибольшую известность получили такие международные спецификации и стандарты как ISO 17799-2002 (BS 7799), ISO 27001, GAO, FISCAM, SCIP, COBIT, SAC, COSO и др. В настоящее время разработаны программные комплексы анализа и контроля информационных рисков: CRAMM (компания Insight Consulting, www.insight.co.uk), Risk Watch (компания Risk Watch, www.riskwatch.com), ГРИФ (компания Digital Security, www.dsec.ru). [12]
CRAMM (www.cramm.com)
Этот метод разработан Службой Безопасности Великобритании по заданию Британского правительства и принят в качестве государственного стандарта. Он с 1985 г. используется правительственными и коммерческими организациями. CRAMM - мощный универсальный инструмент поддержки бизнеса. В его основе лежит комплексный подход к оценке рисков, включает количественные и качественные методы анализа. Версии программного продукта ориентированы на разные типы организаций, отличаются друг от друга базами знаний.
CRAMM предполагает разделение процедуры управления рисками на три этапа. Задачей первого этапа является поиск ответа на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности или необходимо проведение более детального анализа?». На втором этапе осуществляется идентификация рисков и оценивается их величина. На третьем этапе решается задача эффективного управления рисками, состоящая в выборе адекватных контрмер. На каждом этапе определяется набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетов.
К недостаткам данного метода можно отнести: использование метода предполагает специальную подготовку аудитора; метод подходит преимущественно для аудита уже существующих ИС; аудит по методу CRAMM трудоемок и весьма продолжителен; отсутствует возможность корректировки базы знаний; существует только на английском языке; высокая стоимость лицензии и др.
Risk Watch (www.riskwatch.com)
Программный продукт разработан американской компанией, применяется для анализа и управления рисками. В данном методе в качестве критериев используются «предсказание годовых потерь» и оценка «возврата от инвестиций». К недостаткам программного продукта можно отнести: метод эффективен при анализе рисков на программно-техническом уровне защиты, но без учета организационных и административных факторов; метод не учитывает комплексный подход к информационной безопасности компании; программный продукт существует только на английском языке; высокая стоимость лицензии.
ГРИФ
Программный продукт имеет дружественный интерфейс. Основная задача системы ГРИФ -дать возможность ИТ-менеджеру самостоятельно оценить уровень рисков в ИС, эффективность методов и средств безопасности компании. К недостаткам ГРИФ можно отнести: отсутствие привязки к бизнес-процессам; отсутствует возможность сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению безопасности; не предусмотрена корректировка политики безопасности компании.
Таким образом, проведенный анализ показывает, что в бизнес-консалтинге в области информационных технологий присутствуют предпринимательские риски, обусловленные активным взаимодействием объектов и субъектов транзитивной экономики. В связи с этим правомерно применение методологии риск-менеджмента.
Реализация системного и синергетического подходов к управлению рисками позволяет ИТ -компании эффективно использовать ресурсы, рационально распределять ответственность между участниками ИТ-решения, достигать стратегические бизнес-цели, иметь высокие конкурентные преимущества на рыночном пространстве.
Business conculting in the field of information technology includes a complex of services in optimization of an information infrastructure and system information security of the organization. In IT-company activity commercial risks. Management of risks in IT-conculting is realized on the basis of risk management methodology
The key word: Business conculting; information technology; management risk
Список литературы
1. Антохонова И.В., Полухина О.А. Об использовании информационных технологий и их влиянии на развитие экономики России// Вопросы статистики.2010.№5.С.61-67.
2. Арсеньев Ю.Н. Информационные системы и технологии. Экономика. Управление. Бизнес.М,: ЮНИТИ-ДАНА, 2009.
3. Буянов В.П. Рискология.М.: Экзамен, 2002.
4. Грабовый П.Г. Риски в современном бизнесе.М.:АЛАНС, 1994.
5. Грунин О.А. Экономическая безопасность организации.СПб: Питер, 2002.
6. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия СПб.: БХВ -Петербург, 2007.
7. Лапуста М.Г., Старостин Ю.Л. Малое предпринимательство.М.: ИНФРА-М, 2009.
8. Моделирование рисковых ситуаций в бизнесе /Под ред. Б.А. Лагоши.М.: Финансы и статистика, 2001.
9. Прикладная информатика: справочник.М.: Финансы и статистика; ИНФРА-М, 2008.
10. Пыткин А., Солодяшкина И. О современном состоянии рынка консалтинговых услуг// Вопросы статистики.2006.№11.С.85-88.
11. Тэпман Л.Н. Риски в экономике. М.: ЮНИТИ, 2007.
12. http//www.raexpert.ru
Об авторе
Погонышева Д.А. - доктор педагогических наук, кандидат экономических наук, заведующая кафедрой автоматизированных информационных систем и технологий Брянского государственного университета имени академика И.Г. Петровского