Необходимость управления информационными рисками

Мир вступил в эпоху глобального информационного общества. Сегодня информационные технологии становятся частью повседневной жизни не только большинства людей, но и деятельности предприятий, а также различных процессов (экономических, политических, социальнокультурных). Информационные технологии сегодня – определяющий сектор развития мировой экономики. Именно уровень разработок в сфере ИТ будет определять место каждой страны в новом инновационном мире. В свою очередь и развитие компаний будет зависеть от того, насколько развиты и применяются в них информационные технологии, насколько эффективно управление ИТ-рисками, помогающее предприятиям предотвращать потери, сохранять стабильность и создавать определенные преимущества в конкурентной борьбе. Поскольку риски являются неотъемлемой часть любой деятельности человека, компании также постоянно подвергаются наступлению кризисных явлений, а значит, рисков, что актуализирует деятельность по их управлению в каждой компании.

Дадим определение понятию «риск». Однозначного понимания сущности риска не существует. Это связано с тем, что это явление имеет несколько несовпадающих, или же вообще противоположенных реальных основ, а также с тем, что риск всегда связан с субъектом и решениями, которые тот принимает, риск является следствием решения, связан с субъектом, который не только осуществляет выбор, но и оценивает как вероятности наступления возможных событий, так и величину их последствий [1].

Сегодня риск чаще всего используется с точки зрения присутствия в экономической деятельности, исходя из этого, рассмотрим следующие определения данного понятия:

• 1)    Риск – это неопределенность наших финансовых результатов в будущем [7].

• 2)    Риск – вероятность возникновения потерь, убытков, недопоступления планируемых до- ходов, прибыли [3].

• 3)    Риск – степень неопределенности получения будущих чистых доходов [6].

Считаем, что под риском следует понимать вероятность возникновения определенных потерь, возникающих из-за неопределенности.

На сегодняшний день существуют различные классификации рисков предприятия. По одной из них в зависимости от влияния определенных сил риски делятся на внутренние (под влиянием менеджмента предприятия, производственных процессов) и внешние (под влиянием законодательства страны, макроэкономической ситуации, конъюнктуры рынка). Также риски могут делиться на политические, социальные, экологические, коммерческие и профессиональные по сферам проявления [4].

В постоянно меняющейся технологической среде возникает вопрос управления информационными рисками. ИТ-риски – риски, возможность наступления негативных событий, связанных с применением компанией информационных технологий. В большинстве случаев ИТ-риски связывают с передачей, хранением, использованием информации с помощью электронных носителей и иных средств связи, например, несанкционированное использование ресурсов компании.

В системе управления рисками существует несколько методик оценки рисков.

На Западе законодательство предписывает компаниям управлять ИТ- рисками, к примеру, в США этого требует закон Сарбейнса-Оксли, принятый в 2002 году. Стандарты в области информационной безопасности, которые должны соблюдать и отечественные предприятия, например ISO17799, BS7799, ISO27001, также предусматривают механизмы управления ИТ-рисками. Оценка последних позволяет компании определить оптимальный объем расходов на обеспечение информационной безопасности и разумно спланировать мероприятия по ее поддержке [2].

Нами было рассмотрено предприятие, функционирующее в сфере информационных технологий, основной вид деятельности которого – разработка приложений и программного обеспечения. Было выявлено 25 наиболее значимых рисков, методом экспертных оценок расставлены вероятности наступления рисков (0, 25, 50, 75), коэффициенты значимости (насколько данный риск скажется на итоговых показателях деятельности предприятия - до 1) и рассчитаны коэффициенты тяжести (произведение вероятностей на коэффициенты значимости). После подсчетов были выявлены 5 наиболее значимых рисков, среди которых назначение нереалистичных сроков и бюджета проекта, а также разглашение конфиденциальной информации, что можно отнести к ИТ-рискам.

Таким образом, можно сделать вывод о том, что компаниям, работающим в сфере информационных технологий, наибольшее внимание следует обращать на информационные риски, особое внимание уделять управлению ими.

В общем виде система управления рисками, ИТ-рисками в том числе, состоит из следующих этапов:

• 1)    анализ бизнес-процессов, в которых применяются информационные технологии;

• 2)    выявление и идентификация предполагаемых рисков;

• 3)    анализ и оценка рисков, на основе разработанной методологии управления;

• 4)    разработка и внедрение мер по снижению рисков до приемлемого уровня;

• 5)    разработка правил, инструкций, проведение обучения для передачи сотрудникам компании знаний и опыта по управлению рисками [4].

К методам снижения ИТ-рисков также можно отнести стандартные для риск-менеджмента методы снижения рисков: принятие риска, избежание риска, ограничение риска, передача риска.

На наш взгляд, ИТ-риски следует рассматривать в комплексе со всеми бизнес-процессами компании, при котором менеджеры должны видеть комплексную картину рисков для деловой деятельности.

Также считаем, что успешное управление рисками в сфере ИТ основано на людях, автоматизации, организации, поэтому улучшения необходимо проводить в трех областях. К примеру, в компаниях следует применять специализированные программные продукты для управления рисками, например, CORAS, OCTAVE[1], также необходимо повсеместно внедрять культуру осознания и управления рисками.

Руководителя следует учитывать риски и интегрировать управление ими в основную деятельность компании, поскольку именно бизнес-руководителям проще рассматривать управление информационными рисками как способ достижения целей роста бизнеса.

Таким образом, информационные технологии позволяют повысить эффективность деятельности компании, при этом присутствует вероятность наступления негативных событий и как следствие, возможны потери компании. Поэтому необходимо комплексное управление ИТ-рисками наряду с традиционными.