невозможно описать в рамках терминологической системы, принятой для использования в финансовой сфере. В связи с этим целесообразно, на наш взгляд, следующее толкование: интеллектуальный капитал представляет собой активы, не отражаемые в балансе, но необходимые компании для создания продуктов и повышения своей стоимости. Термин «капитал» в этом случае должен рассматриваться как ценность и богатство, приносящие компании прибыль.
Таковы некоторые понятийные категории, связанные с использованием в условиях информационного общества интеллектуального и материального (физического) капиталов. В заключение отметим, что в странах с преобладанием наукоемкого и перерабатывающего производства их использование приобретает глубокий практический смысл. Неосязаемые издержки интеллектуального капитала обнаруживают тенденции к динамичному росту.
К сожалению, в российской экономике эти проблемы не получили пока широкого освещения. В нашей экономике лишь ставятся задачи перехода к инновационному типу производства. Пока же активно развиваются лишь отрасли, связанные с добычей полезных ископаемых, хотя надо заметить, что и для них преобладание интеллектуального капитала является необходимым.
Литература
1. hffp://www.intellectualcapital.se
2. hffp://www.sveiby.com.au/IntangAss/ denosynl.html
3. КапланР.С., Нортон Д. П. Сбалансированная система показателей. От стратегии к действию / Пер. с англ. М.: ЗАО «Олимп-Бизнес», 2003.
4. hffp://www.unisys.com/execmag/1998-03/journal/viewpoints2.html
5. Багриновский К. А. и др. Наукоемкий сектор экономики России: состояние и особенности развития / К. А. Багриновский, М. А. Бендиков, И.Э.Фролов, Е. Ю. Хрусталев. М.: ЦЭМИ РАН, 2001.
6. hffp://www.sglcarbon.com
l. Caddy I. Intellectual capital: recognizing both assets and liabilities // Journal of Intellectual Capital. 2000. Vol. 1, N 2.
8. ОльвеН., Рой Ж., ВеттерМ. Оценка эффективности деятельности компании. Практическое руководство по использованию сбалансированной системы показателей / Пер. с англ. М.: Издательский дом «Виль-ямс», 2003.
9. Harvey M. G., LuschR.F. Balancing the intellectual capital books: intangible liabilities // European Management Journal. 1999. Vol. 1l. N 1.
О. П. Ильина, Е. В. Стельмашонок,
кандидат экономических наук, доцент
профессор кафедры информатики Санкт-Петербургского государственного университета экономики и финансов
кандидат экономических наук, доцент кафедры вычислительных систем и программирования Санкт-Петербургского государственного инженерно-экономического университета
Управление
информационными
рисками
в бизнес-процессах
огласно наиболее общему определению риск — это возможность (вероятность) наступления события с отрицательными последствиями вследствие ошибок в управлении или выбора более
привлекательного, но менее надежного варианта производства (или наоборот).
< CL
с
>
УДК 681.518
В теории рисков существуют понятия вероятности наступления рискового случая и шанса (которое связывают с вероятностью благоприятного события). Величина ожидаемого риска Щ) может быть определена следующим образом:
В = / (В, Р„ Е),
Ва + Ре = 1,
где Бр — величина ожидаемого риска, Ба — реальная вероятность неблагоприятного исхода (статистическая величина), рв — реальная вероятность благоприятного исхода (статистическая величина), Е — эмоциональная составляющая риска.
В реальной практике наличие рисков обусловлено разными причинами (природно-естественными, политическими, экономическими, информационными и т. д.). Некоторые из этих факторов не зависят от воли участников экономических отношений, другие — являются прямым следствием их действий. Экономические причины возникновения рисков чаще всего обусловлены неправильной интерпретацией экономической среды хозяйствующими субъектами, а также изменениями экономических усло-
^ вий хозяйствования. Есть и инфор-¡Е мационные причины, которые, в ^ свою очередь, связаны с приняти-^ ем решений на основе информа-2 ции, не обладающей требуемым н уровнем качества. uj Согласно общепринятому поло-| жению, определенному междуна-^ родной комиссией «Committee of Sponsoring Organizations of the Tread-5 way Commission» (COSO), риск-ме-ш неджмент является парадигмой х стратегического управления в биз-ш несе. Объектом такого управления m выступают рисковые вложения ка-2 питала и возникающие в процес-> се реализации рисковых ситуаций экономические отношения. В данном случае степень риска трактуется как вероятность наступления рискового случая или в качестве суммы потерь, которую принято оценивать с помощью показателей математической статистики. Для подобной оценки разработано множество моделей и методов, например, методы постоянных и экспоненциально-взвешенных ковариа-ций (Risk Metrics), GARCH-модели, модели, использующие теорию экстремальных значений и др., для практического применения используется группа Парето-оптимальных моделей.
Стратегический риск-менеджмент обеспечивает идентификацию рисков, выбор целей и критериев оценки их достижения, разработку политики управления рисками и др., а оперативный (тактический), в свою очередь, нацелен на организацию учета и анализа рисков, поддержание надежности (безопасности) деятельности предприятия.
Управление рисками обеспечивает их «разрешение» или уменьшение степени риска. Первое предусматривает действия по избежанию, удержанию или передаче риска другому лицу, второе же осуществляется за счет диверсификации инвестируемых средств, привлечения дополнительной информации для выработки решения и страхования рисков.
Можно предположить, что риск-менеджмент базируется на следующих объективных практических положениях:
1) соблюдение соотношения, при котором степень риска не превышает сумму собственного капитала (банкротство предприятий наступает, когда максимально возможный объем убытка составляет свыше 30% от объема собственных финансовых ресурсов);
2)учет всех последствий риска;
3) избегание ситуаций «утрата ради малого выигрыша».
Наиболее распространенным средством борьбы с негативными последствиями экономических рисков выступает страхование риска прямых и косвенных потерь. В этой связи более пристального внимания заслуживают информационные риски.
Как известно, информационные технологии в бизнесе связаны с определенными рисками, управление которыми подразумевает выбор объектов защиты и методологии оценки рисков, их идентификацию и анализ угроз последствий, выбор и реализацию защитных мер.
Основными проблемами, связанными с информационными рисками, являются их объективная идентификация и оценка, а также выбор адекватных средств контроля и мер защиты, которые должны осуществляться с учетом обеспечения эффективности и рентабельной экономической деятельности предприятия.
Наибольшую популярность на современном этапе приобретают методики управления рисками (COBRA и RA Software Tool), позволяющие выполнять оценку информационных рисков на уровне и в соответствии с требованиями спецификаций руководства PD 3002 Британского института стандартов. В качестве количественной меры риска в данном случае выступают ожидаемые суммарные потери в процессе защиты информации за определенный период времени.
Как правило, вероятность ущерба уменьшается с ростом стоимости системы защиты информации. При этом определена оптимальная стоимость системы защиты информации (СЗИ), обеспечивающая минимум величины ущерба при заданных соотношениях риска и вероятности преодоления защиты. С увеличением этой вероятности возрастает и оптимальная стоимость СЗИ, однако эта зависимость чаще всего сглаживается (особенно в диапазоне больших значений показателей ожидаемого ущерба). Надо заметить, что оптимальная по стоимости система защиты информации не обязательно является наиболее безопасной, поэтому концепция экономически оптимальной СЗИ имеет ограниченное применение. Также возможна ситуация, при которой вне зависимости от стоимости системы защиты информации вероятность нанесения ущерба остается постоянной или даже увеличивает-
ся (в связи с ростом уязвимости самой СЗИ). В последнем случае встает вопрос об отказе от такой системы.
Методы количественного анализа риска в обобщенном виде делят на статистические и аналитические.
Статистическая оценка риска предполагает описание исходной ситуации, при условии, что:
• результат каждого конкретного события имеет случайную составляющую и подчиняется общим правилам математической статистики;
• риск и шанс образуют полную группу событий;
• объективное значение риска оценивается как вероятность возникновения неблагоприятной ситуации в ходе реализации события (природа неопределенности остается неизменной от события к событию);
• при оценке рисков в зависимости от природы деятельности используют дополнительные представления.
Среди аналитических методов особое внимание заслуживает количественная модель рисков Quantities Risk Model (QRM) [1]. Она оперирует такими понятиями, как:
1. Annualized Rate of Occurrence (ARO) — годовая оценка инцидента (число, отражающее частоту (вероятность) появления угроз в течение года);
2. Single Loss Expectancy (SLE) — единичное ожидание потерь;
3. Annualized Loss Expectancy (ALE) — ожидаемые годовые потери;
4. Asset Value (AV) — стоимость (ценность) ресурса (актива);
5. Exposure Factor (EF) — фактор воздействия.
Значения ожидаемых потерь вычисляются по формулам
ALE = ARO ■ SLE;
SLE = AV ■ EF.
Основным недостатком данной модели является сложность данных расчетов ее составляющих. В качестве альтернативы может быть использована модель Generalized Cost Consequence Model (GCC), которая не учитывает вероятностей катастрофических событий, но оперирует понятием ущерба от простоя, определяемой как функция от времени после наступления событий. Для каждого информационного актива или группы сходных по ряду признаков активов, называемых категорией,
определяется размер возможного ущерба, срок начала его влияния на организацию и распределение по времени. В рамках данной модели различают три вида ущербов:
• прямой осязаемый;
• косвенный осязаемый;
• неосязаемый.
Первому виду подвержены производстве
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.