Методология оценки информационных рисков управления организацией

ПОДЕЛИТЬСЯ С ДРУЗЬЯМИ
Авторы


кандидат экономических наук, доцент кафедры бухгалтерского учета анализа и аудита
Россия, Кабардино-Балкарский государственный университет им. Бербекова Х.М.
bella_kazieva@mail.ru

Аннотация

Проведен системный анализ информационных рисков управления предприятием. Предложена общая методика оценки их влияния на общее риск-состояние предприятия.

Ключевые слова

риски, оценка, управление, информация, организация, анализ, метод, угрозы, эксперт, система.

Статьи из этого же номера №12 (48)

Рекомендуемая ссылка

Казиева Бэлла Валерьевна , Казиев Кантемир Валерьевич
Методология оценки информационных рисков управления организацией// Современные технологии управления. ISSN 2226-9339. — №12 (48). Номер статьи: 4804. Дата публикации: . Режим доступа: http://sovman.ru/article/4804/
Хозяйственная деятельность организации сопряжена с определенным уровнем предпринимательских рисков, обусловленных влиянием совокупности макроэкономических и микроэкономических факторов и определяющих жизнеспособность, динамическую и структурную устойчивость предприятия. Риск является результатом воздействия окружения (среды) на целенаправленное развитие системы, он количественно оценивает влияние условий неопределенности на прогнозируемую (потенциальную) траекторию эволюции системы в краткосрочном, среднесрочном или долгосрочном периоде.

Необходим системный подход, анализ и синтез [1] рисков хозяйствующего объекта, с целью создания благоприятных условий его функционирования в окружающей конкурентной среде. При этом, методы оценки, анализа и управления рисками весьма разнообразны:

  • качественные, количественные, смешанные;
  • статистические (мониторинговые) и экспертные;
  • экономико-математическое и ситуационное (имитационное) моделирование;
  • индикаторные, методы интервального анализа, диверсификация, хеджирование;
  • бифуркационные (критические, катастрофические), когнитивные карты, профили рисков;
  • нейросистемные и др.

Главная цель использования перечисленных методов оценки и управления рисками заключается в ресурсообеспеченном релевантном достижении целевой установки, на основе логичности, планируемости (программируемости), оптимальности (рациональности), контролируемости принимаемого управленческого решения.

Выбор конкретных методов управления рисками во многом определяется особенностями (характером) данных рисков. Можно выделить следующие виды предпринимательских рисков:

  • стратегические (риски ресурсообеспеченности, реализуемости, выбора);
  • операционные (риски технологического характера, инфраструктурные, персонала);
  • финансовые (риски финансовой несостоятельности, неплатежеспособности, некредитоспособности);
  • чрезвычайные (риски форс-мажорного характера).

По частоте возникновения риски классифицируются на малочастотные (маловероятные), среднечастотные (средневероятные) и высокочастотные (высоковероятные).

Также возможно классифицировать риски и по другим критериям, например: по размеру полученного ущерба, потерь (незначительные, средние, крупные, катастрофические); по проявлению (явные, латентные); по времени воздействия (кратковременные, среднесрочные, долговременные) и др.

Особую группу составляют информационные риски управления, результатом влияния которых может быть падение до кризисных значений показателей производственной и финансовой деятельности организации,  ее банкротство, ухудшение имиджа, инсайд и др. Превентивный анализ и учет информационных рисков управления определяют процедуры риск-менеджмента, позволяющие идентифицировать основные параметры бизнес-процессов управления. Исследовать и разрабатывать механизмы информационного риск-управления системами можно, используя различный инструментарий, например, логико-вероятностные методы, методы ситуационного прогнозирования (моделирования), когнитивное картографирование (когнитивные карты рисков), нейросистемы и др.

Формальное исследование задач управления информационными рисками управления (говоря о снижении риска) может быть сведена к следующим этапам:

  • идентификация информационных ресурсов системы;
  • идентификация системы вероятных информационных рисков управления и их анализ;
  • оценка уровня данных рисков по отношению к каждому ресурсу и системе в целом;
  • разработка комплекса мероприятий по снижению рисков (создание системы контрмер);
  • анализ эффективности информационного риск-управления и ранжирование контрмер по выбранным критериям релевантности целевому управлению.

Предлагаем следующую методику оценки информационных рисков управления на основе средневзвешенного метода:

где n – число ресурсов,  – риск i-го ресурса,  – важность учета риска i-го ресурса.

Величина  может быть определена как вероятностная величина, удельная величина или некоторым функционалом достаточно общего вида; аналогично определяются и веса .

Введем в рассмотрение риск-область, представляющую собой множество риск-состояний, потенциально приводящих к риск-ситуации. Риск  можно понимать как средневзвешенную величину при реализации данных (опасных) состояний i-го ресурса:

,

где   – риск реализации j-го риск-состояния i-го ресурса,  – число риск-состояния i-го ресурса.

Представим   как произведение стоимости потерь  от реализации состояния каждого ресурса и вероятности  такого состояния:

.

Итак, задачу оценивания общего риска всей системы можно разбить на следующие подзадачи:

  • структурировать и формализовать информационные ресурсы системы;
  • структурировать и формализовать риск-состояния ресурсов системы;
  • оценить вероятности  (используя статистические данные и методы, мнения экспертов);
  • определить систему метрик и оценить меры влияния информационных угроз (реализации риск-состояний);
  • определить систему стоимостных шкал для оценки потерь .

Если элементу системы поставить в соответствие бинарную переменную () (состояние 1 и состояние 0) с заданными вероятностями состояний 1, , то можно построить логико-функциональную модель риск-состояния системы для оценки вероятности наступления опасного состояния [2].

На основе оценок риска отдельных состояний можно оценить интегральный риск системы с помощью следующей процедуры:

  • составление профиля опасного состояния ;
  • построение логической модели  (со значениями 0 или 1), соответствующей профилю опасного состояния ;
  • расчет вероятности  реализации риск-состояния с помощью вероятностей
  • определение значимости («эластичности»)  для каждой угрозы  k с учетом вклада в профиль угроз (риск-состояний).

Показатель  определяется как:

      или   

где  – ущерб в случае реализации риск-состояния.

Для оценки вероятностей используются статистические или экспертные данные, либо решения обратных (идентификационных) задач, а для подсчета ущерба – эконометрические оценки пороговых значений риска [2].

Если задано  – пороговое значение уровня риска, то следует оценивать лишь те состояния, для которых уровень риска . Тогда значимость риск-состояния (угрозы) может быть определена как средневзвешенная значимостей данной угрозы при различных риск — состояниях. Важно построить такой антикризисный сценарий, который уменьшит уровень риска во всей системе, со стоимостями реализации контрмер  и общим бюджетом .

Можно ввести в рассмотрение матрицу «влияния угроз», например, матрицу , где , , если i-ая контрмера влияет (устраняет или уменьшает риск) на угрозу , и  – в противном случае.

Задача оптимизации списка наиболее эффективных контрмер состоит в том, чтобы найти бинарный вектор, такой, что:

при ограничениях

,
,   , .
Эта задача может быть решена, например, полным перебором в цикле от 1 до , если позволяет величина k (несмотря на объем вычислений) или используя перебор списка контрмер, ранжированный по степени влияния на угрозу (начиная с контрмер более низкого ранга).

Получив вектор  можно определить степень риска по каждому риск-состоянию, ресурсу или всей системе [3].

Если степень риска системы по выбранному (определенному) набору контрмер равен , то эффективность Eконтрмер определяется по следующей формуле:

Одним из важных моментов оценки риск-ситуаций и планирования контрмер является определение механизма и процедуры идентификации вероятности и значимости каждой риск-ситуации. В структуре рисков организации информационные риски относятся к категории плохо формализуемых и, одновременно, прямо влияющих на процесс управления. Результатом влияния данной категории рисков могут быть такие тяжелые для экономики предприятия ситуации, как снижение доходов и прибыли (уровня капитализации), инвестиционного потенциала и деловой активности, вплоть до потери рыночных позиций и банкротства.

Предотвратить такие негативные события и последствия можно с помощью критериев и показателей риска деятельности. Например, на основе балльных оценок можно получить итоговую величину риска:

где n – число бизнес-процессов (направлений деятельности),  – величина риска i-го процесса (направления),  – балльная его оценка (экспертная, статистическая или иным способом полученная).

Система нормально распределенных баллов и их анализ могут быть построены для предварительно определенной шкалы измерений. Главное условие – достаточная разрешающая способность оценивания. В частности, аналогично как в [4], можно предложить систему:

  • 0 баллов – риск можно игнорировать (риска нет);
  • 1 балл – очень слабо выраженный риск;
  • 2 балла – слабо выраженный риск;
  • 3 балла – выраженный риск (выраженный в степени, необходимой для анализа контрмер);
  • 4 балла – риск, выраженный в степени, необходимой для составления политики контрмер;
  • 5 баллов – риск, выраженный в достаточной степени (степени, необходимой для принятия и начала выполнения политики контрмер);
  • 6 баллов – опасный риск;
  • 7 баллов – выраженный опасный риск;
  • 8 баллов – очень выраженный риск (очень опасная степень риска);
  • 9 баллов – «предкатастрофный» риск;
  • 10 баллов – риск, ведущий к катастрофе (банкротству).

Эта шкала оценок «оцифровывается» для каждого направления бизнеса (бизнес-процесса) с помощью амплитуды и важности, позволяющих сделать оценки относительно независимыми от их носителей – экспертов. Амплитуда – мера общего риска, важность – мера его значимости в конкретной ситуации. Можно согласовать эту систему оценок с системой FMEA.

На практике, например, при ситуационном моделировании, важно иметь достаточно простые и технологичные процедуры, которые позволяют обойтись без дорогостоящего, трудоемкого и зачастую затруднительного мониторинга либо минимизировать  необходимость в его использовании.

Для решения этой задачи предлагаем подход, основанный на общестатистических гипотезах. Пусть известны оценки трёх типов: оптимистическая оценка а, пессимистическая оценка bи наиболее вероятная (соответствующая нормальным условиям хозяйствования) оценка с.

Основная гипотеза – справедлив нормальный закон распределения оценок рисков и он не зависит от исходного распределения оценок отдельных экспертов. Согласно гипотезе, центральной предельной теореме, можно считать, что это распределение является — распределением. Поэтому средняя ожидаемая оценка риска оценивается по формуле:

,

а ее среднеквадратичное отклонение – по формуле:

.

Для нахождения оценок a, b, c можно использовать процедуры экспертного оценивания, наиболее простым вариантом будет применение среднестатистические оценок. Однако, целесообразнее использовать  методы комиссии, мозговой атаки, Дельфи. Для улучшения качества получаемых прогнозных данных следует применять процедуры формирования экспертных групп, оценки качества (релевантности и точности) экспертных оценок, например, с помощью коэффициентов ранговой корреляции и конкордации:

,
.

где  – ранги альтернативы номер i, соответственно, в ранжированиях номер k и номер l.

Если W=1, то мнения экспертов полностью совпадают (экспертная группа полностью согласована), если же W=0, то мнения экспертов полностью не согласованы  ().

Процедура позволяет осуществлять оценку дисперсии оценок рисков априори, что важно при ситуационном моделировании (прогнозировании) и принятии решений.

Для интегральной оценки общего риска в детерминированной ситуации может быть использована также модель типа Кобба-Дугласа (см. [5]). Важно только учесть, что при таком оценивании невозможно оценить риски непосредственно для бизнес-процесса управления предприятием. Для полного решения задачи потребуется универсальная формализованная методика идентификации риск-ситуаций.


Библиографический список

  1. Казиев В.М. Введение в анализ, синтез и моделирование систем — М.: Бином. Лаборатория знаний. Интуит.ру, 2007. — 244 с.
  2. Чернова Г.В., Кудрявцев А.А. Управление риском. – М.: ТК Велби, Изд-во Проспект, 2006. — 160 с.
  3. Кустов Г.А., Николаева М.А., Зотова О.Ф., Шарапов Р.А. Алгоритмы выбора превентивных мер снижения рисков // Информационные технологии. — №4. — 2010. — С. 22–27.
  4. Казиев В.М., Казиева Б.В., Казиев К.В. Обобщенная шкала оценок тестирования // Труды Всероссийской научно-практической конференции «Информационные технологии в обеспечении нового качества обучения», 14-15 апреля 2010 г., Москва, НИТУ МИСиС. — С.160-174.
  5. Казиева Б.В. Использование производственных функций типа Кобба-Дугласа для прогноза банкротства предприятий // Материалы Второй Всероссийской конференции «Проблемы информатизации регионального управления». Нальчик: Издательство КБНЦ РАН, 2006. — С. 119.