В данной статье предлагается интеграция методов оценки информационных рисков с результатами скоринговых показателей для оценки экономической безопасности предприятия.
Ключевые слова:экономика, информационные риски, экономическая безопасность
Современные условия функционирования коммерческих предприятий создают новые формы угроз осуществления хозяйственной деятельности и финансовой устойчивости организаций. Экономическая безопасность определяется как состояние защищенности организации от воздействия внутренних и внешних угроз, при котором обеспечиваются конкурентные преимущества, обусловленные соответствием материального, финансового, кадрового, технико-технологического потенциалов и организационной структуры компании ее стратегическим целям, задачам, в условиях стабильного развития и устойчивого роста. Бизнес-процессы, связанные с хозяйственной деятельностью предприятия, такие как бухгалтерский и налоговый учет, управление активами, кадровыми ресурсами непосредственно основываются на информационных технологиях (вычислительные системы, информационно-аналитические системы и т. д.), которые способствуют решению возникающих проблем наиболее оптимальным образом. Информационная система охватывает все бизнес-процессы на предприятии, напрямую зависящие от ее работоспособности и функциональности, обеспечение безопасности которых играет важную роль не только для самой компании, но и для конечных потребителей. Таким образом, при автоматизации бизнес-процессов и внедрении информационных технологий в функциональные части деятельности предприятия следует учитывать возникновение информационных рисков.
Информационный актив предприятия является основным источником возникновения информационных рисков, то есть это любая информация, значимая для осуществления хозяйственной деятельности организации [1, c 167]. Необходимо отметить, что все большее значение для успешной хозяйственной деятельности предприятия и поддержания оптимального уровня экономической безопасности оказывает наличие информации о контрагентах, конкурентах, позиционировании компании в рамках надежности и т. д.
В настоящее время существует ряд стандартов, регламентирующих деятельность в области информационной безопасности — это семейство ГОСТ Р ИСО/ МЭК 27 000, основанное и соответствующее семейству международных стандартов на системы управления информационной безопасностью ISO/IEC 27 000. Эти стандарты определяют требования к системам управления информационной безопасностью, управлению рисками, метрики и измерения, а также руководство по внедрению. Также в стандарте отмечаются три основных вида методов оценки информационных рисков: качественный, количественный и комбинированный [2]. В рамках подходов к оценке влияния того или иного информационного риска на экономическую безопасность предприятия следует выбирать комбинированный метод диагностики информационных рисков, вследствие использования более широкого спектра параметров для анализа. К основным методам оценки информационных рисков относят: метод экспертных оценок, метод CORAS, метод OCTAVE, матричный метод анализа, выбор которых зависит от имеющихся параметров для оценки предприятия.
Методология CORAS была разработана в рамках западной программы «Технологии информационного общества». Основными элементами, входящими в данный метод, являются: анализ древа событий, цепи Маркова, анализ опасности и работоспособности и анализ видов, последствий и критичности отказов, которые выполняют адаптацию, уточнение и комбинирование информации в рамках проведения анализа рисков.
Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) разработанная в Институте программной инженерии при Университете Карнеги-Меллона, предусматривает большую степень вовлечения владельца информации в деятельность по определению критических информационных активов и возникающих в связи с ними рисков. Метод OCTAVE является методом быстрой оценки критических угроз, определения активов и выявления уязвимостей. В данной методике предусмотрено создание специализированной группы анализа, изучающей безопасность. Эта группа включает в анализ работников бизнес–подразделений компании, использующих систему, а также сотрудников IT-отдела.
Матричный метод основывается на выявлении взаимосвязи между активами, уязвимостями, угрозами, а также определяет значимость средств управления, соответствующим активам организации. Матричная методология включает в себя три отдельных матрицы: матрицу угроз (уязвимости и активы), матрицу уязвимостей (уязвимости и угрозы) и матрицу контроля (угрозы и средства управления). С помощью этих матриц собираются данные для анализа рисков.
В последние три десятилетия вопросам исследования оценки уровня информационной безопасности хозяйствующих субъектов стало уделяться больше внимания. В то же время появились информационно-аналитические системы оценки некоторых аспектов экономической безопасности. В них основной упор делается на анализ финансовой составляющей и деловой активности предприятия [3, с.36; 4]. Однако тема комплексной оценки экономической и информационной безопасности предприятия слабо представлена в открытых научных изданиях.
Таким образом, необходимость внедрения анализа и оценки информационных рисков современного бизнеса в информационно-аналитические системы становится более явной, так как непосредственно увеличивается сумма ущерба, нанесенного информационными угрозами предприятиям. Учитывая это обстоятельство, к аналитическим оценкам должны предъявляться повышенные требования и список рисков, оцениваемых системой, должен быть расширен.
Рассмотрим одну из таких систем. Система СПАРК предлагает следующие уникальные сервисы [5]:
1) Выявление официальных и неформальных связей между компаниями и физическими лицами;
2) Экспресс-анализ и комплексная оценка финансового состояния компаний;
3) Автоматический мониторинг изменений по списку компаний, ИП и физических лиц;
4) Выявление конечных бенефициаров;
5) Отслеживание этапов банкротства юридического лица или ИП;
6) Расчет интервалов рентабельности (Трансфертное ценообразование);
7) Построение рейтингов компаний, банков, страховых компаний по различным финансовым показателям и расчетным коэффициентам;
8) Маркетинговый и конкурентный анализ отраслей и предприятий;
9) Запрос кредитной истории по юридическим и физическим лицам.
Система использует более 40 факторов для оценки финансового положения предприятия.
Оценка уровня надежности предприятия в СПАРКе возможна с помощью скоринговых показателей, рассчитывающихся индивидуально для каждой компании на основе имеющихся данных. На карточке компаний отображаются уже готовые индексы:
‒ Индекс должной осмотрительности — скоринг, показывающий вероятность того, что компания является «фирмой-однодневкой»,
‒ Показатель финансового риска — оценка вероятности неплатежеспособности компании,
‒ Индекс платежной дисциплины — показатель, учитывающий своевременность оплаты компанией счетов.
Был проведен эксперимент, направленный на анализ возможностей системы «СПАРК». В ходе эксперимента использовался «черный» список компаний, опубликованный Федеральной налоговой службой Российской Федерации, из которого были выбраны организации г. Волгограда и Волгоградской области. Выборка состояла из 2197 компаний, из которых действующих — 1366, недействующих — 831. Задачей экспериментальных исследований являлась проверка контрагентов на показатели платежеспособности и финансового риска. Некоторые результаты экспериментального исследования представлены на рис.1.
Рис. 1. Распределение компаний по спискам/реестрам
В расширенной системе рисков в СПАРКе предприятия распределяются по цветовым категориям, т. е. зеленый — низкое значение риска, желтый — среднее, красные — высокое, серый — риск не определен.
Как показывают результаты эксперимента, система «СПАРК» является тем информационно-аналитическим инструментом, который идет в ногу со временем, однако, оценка надежности и финансовых показателей данной системы нуждается в дополнении оценкой информационных рисков. Именно тогда стратегия обеспечения экономической безопасности предприятия для направления хозяйственной деятельности на курс устойчивого роста, развития будет содержать не только аналитические данные о финансовых показателях, платежеспособности, но и об информационных рисках, что способствует более точной оценке возможного ущерба, а далее и принятию мер по администрированию рисками.
Литература:
- Исаев Г. Н. Информационные технологии: учебное пособие М: Омега-Л — 2012 — С. 464
- Информационная технология — Методы и средства обеспечения безопасности — Менеджмент риска информационной безопасности ISO/IEC 27 000 [Электронный ресурс]. — Режим доступа: https://exebit.files.wordpress.com
- Астафурова О. А., Запрягайло В. М., Лопухов Н. В. Совершенствование методов отбора организаций малого и среднего бизнеса для их включения в план выездных проверок // Бизнес. Образование. Право. — 2016. — № 4 (37). — С. 32–37.
- Журбенко Н. И., Смазнова А. А. Оптимизация деятельности компаний в целях противодействия мошенничеству за счет повышения достоверности аналитических оценок в системе СПАРК // Инновационное развитие экономики: инструменты и технологии. — Волгоград: Изд-во Волгоградского института управления — филиала РАНХиГС, 2016. — С.
- О системе СПАРК [Электронный ресурс]. — Режим доступа: http://www.spark-interfax.ru/promo/ru/about
