Определение показателей эффективности it-проектов Основные принципы оценки эффективности it-проектов Оценка эффективности

Вид материалаЛекция

Содержание


Учет факторов риска и неопределенности
Среднее ожидаемое значение
Колеблимость возможного результата
Среднее квадратичное
Законодательные средства защиты
Подобный материал:
1   2   3   4

Индия котируется как самый перспективный оффшор благодаря наличию большого числа англоязычных выпускников вузов, низкой стоимости труда и отлаженному законодательству.

Китай предлагает богатый выбор квалифицированных специалистов по невысокой цене, но мешают языковые и культурологические ограничения, а также изъяны законодательства.

Сингапур и Гонконг – стоимость рабочей силы – отнюдь не единственный фактор успеха: глобальные корпорация выбирают эти страны для размещения своих международных штаб-квартир. Развитая телекоммуникационная инфраструктура Сингапура позволяет предоставлять аутсорсинговые услуги удаленных информационных центров, а высокая квалификация – финансовые сервисы.

Чехия – сравнительно невысокие зарплаты (более чем в 3 раза ниже ,чем в Ирландии), дружественная бизнесу административная среда и близость (историческая, географическая и культурологическая) к Западной Европе, невысокий языковой барьер.

Чили – образованная рабочая сила, хороший ИТ-потенциала, направленность государственной политике на развитие знаний английского языка.

Мексика – соседство с США и растущее число испаноязычного неселения в Америке.

Канада – не самые высокооплачивыемые специалисты, близость с США.

Ирландия, Великобритания – лучшие специалисты в Западной Европе по оффшорным услугам, англоязычны, развитый рынок труда и отличные условия для ведения бизнеса. Великобритания – крупнейший потребитель оффшорных производственных и ИТ-услуг и одновременно служит удачным местом для размещения штаб-квартир корпораций и инвестиций в таких областях, как реклама, разработка ПО и фармация.

США – низкой стоимости труда можно противопоставить обилие специалистов и привлекательную бизнес-среду.

Россия – плохое владение английским.


Проблемы стоимости аутсорсинговых услуг

В большинстве случаев, когда речь идет о подборе, приобретении, установке и сопровождении типичного оборудования (ПК и серверы, сети, офисные телефонные станции) в небольшой сервисной компании можно получить специалиста из расчета 2-2,5 тысячи долларов за полный человеко-месяц. Квалифицированный студент и индивидуальный контрактник обойдутся соответственно в 300-1000 долларов в зависимости от предъявляемых требований.

Важной проблемой является в настоящее время формирование цен на услуги аутсорсинговых компаний. Например, большинство маленьких фирм, собирающих "на коленках" заказные конфигурации ПК, предоставят небольшую рассрочку и с удовольствием возьмут сеть на обслуживание. К сожалению, надо признать, что менее 50% потребителей удовлетворены данной услугой. Более 80% руководителей малых и средних предприятий заявляют о желании работать со специализированными сервисными компаниями, но жалуются на дороговизну профессионального сервиса.

Аналогичная ситуация сложилась и с разработкой, настройкой и сопровождением корпоративных бухгалтерских и деловых программных комплексов. Если бы, например, фирма "1С" называла своих торговых партнеров ("франчайзи") аутсорсерами, то она, вероятно, была бы признана лидером в этом секторе. Но чаще термин "аутсорсинг" звучит, когда речь идет о партнерах фирмы "Галактика", обслуживающих относительно крупные и сложные внедрения.

Заказы на специализированные программные комплексы производственного и складского назначения обычно исполняются в Москве и других крупных городах маленькими фирмами или не оформленными юридически, но известными в узком кругу командами из пяти-десяти человек. Если решение основано на стандартных технологиях (обычно от фирмы Microsoft), то человеко-месяц работы может обойтись в 600-1500 долларов. Во столько же встанет последующее обслуживание.

При этом понятно, что проект, подобный системе автоматизации крупного универмага или сети универсамов с поминутным учетом, подключением терминалов и высокой надежностью хранения, может быть выполнен только настоящей фирмой с хорошей производственной дисциплиной и высокой квалификацией сотрудников. Учитывая необходимость последующего обучения персонала заказчика, поддержания постоянной готовности и модернизации системы, сразу имеет смысл смотреть на проблему под аутсорсинговым углом зрения, учитывая что стоимость контракта может измеряться сотнями тысяч долларов.

Благодаря различию экономических моделей, избранных разными странами СНГ, даже не самое преуспевающее российское предприятие может испытать себя в приятной роли богатого заказчика для иностранного аутсорсера (софтверного, разумеется). Средняя официальная заработная плата, например, в Белоруссии сократилась уже до 33 долларов, фактическая (учитывая неопределенность курса доллара) еще ниже. Внутренний рынок этой республики также ограничен. Такие компании, как "Мебиус", "Галактика", IBM, SAP, широко используют квалифицированных белорусских программистов для решения своих задач. Впрочем, не надо думать, что им можно платить по 40 долларов в месяц. Белорусский географический аутсорсинг позволяет сэкономить 40-50% стоимости контракта, но заранее продумайте проблемы приема командируемых к вам "иностранных" специалистов. Если же вы - российский патриот и не желаете размещать заказы за рубежом, то можете сделать это, скажем, в Твери или Переяславле-Залесском. Далекие от Москвы коммерсанты знают, что прекрасные специалисты в избытке имеются в Новосибирске, Красноярске, Томске и ряде других городов.

Необходимо остановиться на ценах Web-хостинга. В России аутсорсинг дизайна, информационного наполнения и размещения на сервере в Интернете корпоративного Web-сайта распространен даже шире, чем в США. Стоимость профессионального дизайна колеблется в широких пределах - от тысячи до сотни тысяч долларов, в зависимости от проекта и имени подрядчика. Хостинг (размещение в сети, поддержка обновлений и обеспечение доступа) стоит от 300 до 5 тысяч долларов в месяц.

6.7.2. Партнерство. Выход на западные рынки существенной упрощается, если у российской компании есть партнер за рубежом: потенциальному пользователю необходим локальный поставщик, способный реализовать решение на базе той или иной продукции или технологии, а также осуществлять техническую поддержку непосредственно в том регионе, где находится данный показатель.

Плату за услуги малых российских компаний, работающих с западными партнерами на условиях подряда, вряд ли можно назвать целевыми инвестициями, однако2:
  1. это постоянный приток денежных средств для финансирования текущей деятельности компании,
  2. русские программисты получают практику ведения бизнеса с западными партнерами и представляемые о сегодняшнем уровне технологий,
  3. могут получать от западного партнера рекомендательные письма, которые способны помочь в получении инвестиционных средств от западных венчурных фондов.


Учет факторов риска и неопределенности

при оценке эффективности IT-проектов.


Понятие риска и неопределенности


Под неопределенностью понимается неполнота или неточность информации об условиях реализации проекта, в том числе о связанных с ними затратах и результатах.

Неопределенность, связанная с возможностью возникновения в ходе реализации проекта неблагоприятных ситуаций и последствий, характеризуется понятием риска.

Альтернативой является трактовка риска как возможности любых (позитивных или негативных) отклонений показателей от предусмотренных проектом средних значений ( в этом случае применяется количественное измерение риска с помощью дисперсии, что рассмотрено далее).

Наиболее существенными представляются следующие виды неопределенности и инвестиционных рисков:

риск, связанный с нестабильностью экономического законодательства и текущей экономической ситуации;

внешнеэкономический риск (возможность введения ограничений на торговлю и поставки, закрытия границ и т.п.);

неопределенность политической ситуации, риск неблагоприятных социально-политических изменений в стране или регионе;

неполнота или неточность информации о динамике технико-экономических показателей, параметрах новой техники и технологии;

колебания рыночной конъюнктуры, цен, валютных курсов и т.п.;

неопределенность природно-климатических условий, возможность стихийных бедствий;

производственно-технологический риск (аварии и отказы оборудования, нарушение техпроцесса обработки информации т.п.);

неопределенность целей, интересов и поведения участников;

неполнота или неточность информации и финансовом положении и деловой репутации предприятия (возможность неплатежей, банкротств, срывов договорных обязательств).


Источники риска IT-проектов.


В настоящее время наблюдаются глубокие изменения в ситуации с рисками IT -проектов, а именно, потенциал ущерба становится многообразнее, крупнее, сложнее, труднее предсказуем. С точки зрения определения риска область внедрения и эксплуатации IT-проектов вызывает особый интерес, т.к. во-первых, электронная обработка данных охватывает широкий круг пользователей и распространяется на все новые сферы повседневной жизни; во-вторых, развитие этого сектора будет иметь далеко идущие последствия; в третьих, системы, включающие как машинный, так и человеческий компоненты, особенно сложны в отношении оценки фактора риска.

Основными причинами риска являются для IT-проектов являются: стихийные бедствия и аварии, сбои и отказы технических средств, последствия ошибок проектирования и разработки компонентов IT проектов (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.), ошибки эксплуатации (пользователей, операторов и другого персонала).

Среди них, исходя и мотивации действий, можно выделить:

непреднамеренные действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла (например, неумышленная порча оборудования, удаление, искажение файлов, неправомерное включение оборудования или изменение режимов работы устройств и программ, неумышленная порча носителей информации, форматирование или реструктуризацию носителей информации, удаление данных и т.п., нелегальное внедрение и использование игровых, обучающих, технологических и др. программ, заражение компьютера вирусами, неосторожные действия, приводящие к разглашению конфиденциальной информации, изменение паролей, ключей шифрования, идентификационных карточек и т.п., вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.;

преднамеренные действия (например, вывод системы из строя, проникновение в систему и несанкционированный доступ к информации, физическое разрушение системы, отключение электропитания, охлаждения и вентиляции, линий связи и т.п., изменение режимов работ устройств или программ, забастовка персонала, применение подслушивающих устройств, перехват данных, передаваемых по каналам связи, хищение носителей и несанкционированное копирование носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ), незаконное получение паролей и других реквизитов разграничения доступа).

Таким образом, при внедрении и эксплуатации IT-проектов можно выделить две основные категории рисков: первая связана с машинными компонентами, а вторая - с людьми, которые организуют работу системы и пользуются ей.


Методы учета неопределенности и риска

Для учета факторов неопределенности и риска можно использовать следующие три метода:

проверку устойчивости;

корректировку параметров проекта;

формализованное описание неопределенности;

анализ чувствительности IT-проекта ( или метод вариации параметров).


Метод проверки устойчивости предусматривает разработку сценариев реализации проекта в наиболее вероятных или наиболее "опасных" для каких-либо участников условиях. По каждому сценарию исследуется, как будет действовать организационно-экономический механизм реализации проекта, каковы при этом доходы, потери и показатели эффективности. Влияние факторов риска на норму дисконта при этом не учитывается.

Проект считается устойчивым и эффективным, если во всех рассмотренных ситуациях интересы участников соблюдаются, а возможные неблагоприятные последствия устраняются за счет созданных запасов и резервов или возмещаются страховыми выплатами.

Предельное значение параметра проекта для некоторого t-ого года его реализации определяется как такое значение этого параметра в t-ом году, при котором чистая прибыль участника в этом году становится нулевой.

Одним из наиболее важных показателей этого типа является точка безубыточности, характеризующая объем продаж IT-продуктов (в случае если в проекте предусматривается продажа информационных технологий или систем), при которой выручка от реализации продукции совпадает с издержками производства.

Возможная неопределенность условий реализации проекта может учитываться также путем корректировки параметров проекта и применяемых в расчете экономических нормативов, замены их проектных значений на ожидаемые. В этих целях:
  • сроки проектирования и выполнения других работ увеличиваются на среднюю величину возможных задержек;
  • учитывается среднее увеличение стоимости проектирования, обусловленное ошибками проектной организации, пересмотром проектных решений и непредвиденными расходами;
  • учитываются запаздывание платежей, неритмичность поставок материалов, внеплановые отказы оборудования, допускаемые персоналом нарушения технологии, уплачиваемые и получаемые штрафы и иные санкции за нарушения договорных обязательств;
  • в случае, если IT-проектом не предусмотрено страхование участника от определенного вида риска, в состав его затрат включаются ожидаемые потери от этого риска;
  • в составе косвенных финансовых результатов учитывается влияние инвестиционных рисков на сторонние предприятия и население;
  • при необходимости увеличивается норма дисконта и внутренняя норма доходности.

Метод формализованного описания неопределенности является наиболее сложным с технической точки зрения. Он включает следующие этапы:
  • описание всего множества возможных условий реализации проекта (либо в форме соответствующих сценариев, либо в виде системы ограничений на значения основных технических, экономических и т.п. параметров проекта) и отвечающих этим условиям затрат (включая возможные санкции и затраты, связанные со страхованием и резервированием), результатов и показателей эффективности;
  • преобразование исходной информации о факторах неопределенности в информацию о вероятностях отдельных условий реализации и соответствующих показателях эффективности или об интервалах их изменения;
  • определение показателей эффективности проекта в целом с учетом неопределенности условий его реализации.

Основными показателями, используемыми для сравнения различных IT-проектов (или различных вариантов одного проекта) и выбора лучшего из них, являются показатели общественной эффективности (т.е. показатели интегрального эффекта). Эти же показатели используются для обоснования рациональных размеров и форм резервирования и страхования.

Если вероятности различных условий реализации проекта известны точно, то ожидаемый интегральный эффект рассчитывается по формуле математического ожидания:





где ЭОЖ ????? - ожидаемый интегральный эффект проекта;

Рi - вероятность реализации этого условия.


В случае, когда вероятность сценариев отсутствует (известно только, что они положительны и в сумме составляют единицу) расчет ожидаемого интегрального эффекта рекомендуется производить по формуле:





где Эmax и Эmin - наибольшее и наименьшее из математических ожиданий интегрального эффекта по допустимым вероятностным распределениям;

лямда ???? - специальный норматив для учета неопределенности эффекта, отражающий систему предпочтений.

При анализе чувствительности IT-проекта предполагается выяснить как показатели эффективности IT-проекта реагируют на изменение исходных данных в базовом варианте, в рамках которого формируются потоки платежей.


Можно выделить четыре этапа при осуществлении анализа чувствительности.
  1. Выбор показателя эффективности, относительно которого проверяется чувствительность системы на изменение того или иного параметра базового варианта условий.
  2. Отбор ключевых переменных модели, т.е. данных, отношения значений которых от базовых заметно отразятся на величине показателя эффективности. В итоге показатель эффективности определяется как функция только ограниченного числа ключевых переменных модели. Остальные переменные рассматриваются в модели как константы.

Рекомендуется проверять реализуемость и оценивать эффективность проекта в зависимости от изменения следующих параметров: инвестиционных затрат (или их отдельных составляющих), объема производства, издержек производства или их сбыта (или их отдельных составляющих), процента за кредит, уровня инфляции, задержки платежей, длительности расчетного периода, и т.п.

  1. Определение вероятных или ожидаемых диапазонов значений ключевых переменных.

При отсутствии информации о возможных пределах изменения значений выбранных параметров рекомендуется проводить вариантные расчеты реализуемости и эффективности проекта последовательно для нескольких сценариев.
  1. Расчет значений показателей эффективности для принятых диапазонов ключевых переменных (или для нескольких вариантов сценариев) и представление результатов расчетов в табличной и графической формах.

Проект считается устойчивым по отношению к возможным изменениям параметров, если при всех рассмотренных сценариях чистый дисконтированных доход положителен и обеспечивается необходимый резерв финансовой реализуемости проекта.

Если при каком-либо из рассмотренных сценариев хотя бы одно из указанных условий не выполняется, рекомендуется провести более детальных анализ пределов возможных колебаний соответствующего параметра и при возможности уточнить верхние границы этих колебаний. Если и после такого уточнения условия устойчивости проекта не соблюдаются, рекомендуется при отсутствии дополнительной информации отклонить проект или при наличии соответствующей информации оценить проект с учетом количественных характеристик неопределенности (это рассмотрено выше).


Количественное измерение риска.

Если риск мы понимаем как возможность любых позитивных или негативных отклонений показателей от предусмотренных проектом средних значений, то в этом случае риск, имеет математически выраженную вероятность наступления потери, которая опирается на статистические данные и может быть рассчитана с достаточно высокой точностью. Чтобы определить (количественно) величину финансового риска, необходимо знать все возможные последствия какого-либо отдельного действия и вероятность самих последствий. Вероятность означает возможность получения определенного результата.

Применительно к экономическим задачам методы теории вероятности сводятся к определению значений вероятности наступления событий и к выбору из возможных событий самого предпочтительного исходя из наибольшей величины математического ожидания. Иначе говоря, математическое ожидание какого-либо события равно абсолютной величине этого события, умноженной на вероятность его наступления.

Вероятность наступления события может быть определена объективным и субъективным методом.

Объективный метод определения вероятности основан на вычислении частоты, с которой происходит данное событие.

Количественно величина риска или степень риска измеряется двумя критериями:

1) среднее ожидаемое значение;

2) колеблимость (изменчивость) возможного результата.

Среднее ожидаемое значение является средневзвешенным для всех возможных результатов, где вероятность каждого результата используется в качестве частоты или веса соответствующего значения (это по существу математическое ожидание).

Например, если при вложении капитала из 120 случаев прибыль 12,5 млн.руб. была получена в 48 случаях (вероятность - 0,4), прибыль 20 млн.руб.

- в 42 случаях (вероятность - 0,35) и прибыль 12 млн.руб.

- в 30 случаях (вероятность - 0,25), то среднее ожидаемое значение

равно:

12,5 * 0,4 + 20 * 0,35 + 12 * 0,25 = 15


Колеблимость возможного результата представляет собой степень отклонения ожидаемого значения от средней величины. Для этого на практике обычно применяются два близко связанных критерия: дисперсия и среднее квадратичное отклонение.

Дисперсия - среднее взвешенное из квадратов отклонений действительных результатов от средних ожидаемых. Дисперсия (s 2) рассчитывается по следующей формуле:





где s2 - дисперсия; x - ожидаемое значение для каждого случая наблюдения; x' - среднее ожидаемое значение; n - число случаев наблюдения (частота).


Среднее квадратичное отклонение определяется по формуле:





Дисперсия и среднеквадратичное отклонение служат мерами абсолютной колеблимости и измеряются в тех же единицах, что и варьирующий признак.

Для анализа обычно используют коэффициент вариации, который представляет собой отношение:





где V - коэффициент вариации в процентах.


При значениях вариации:
  • до 10 % - слабая колеблимость;
  • от 10 % до 25 % - умеренная колеблимость;
  • свыше 25% - высокая колеблимость.


Субъективный метод базируется на использовании субъективных критериев, которые основываются на различных предположениях. К таким предположениям могут относится суждение оценивающего, его личный опыт, оценка эксперта и т.д.


Норма дисконта и поправка на риск

В зависимости от того, каким методом учитывается неопределенность условий реализации проекта при определении чистого дисконтированного дохода, норма дисконта в расчетах эффективности может включать или не включать поправку на риск. Включение поправки на риск обычно производится, когда проект оценивается при единственном сценарии (обычно неблагоприятном) его реализации. Это происходит, когда обоснованно выбрать представительное множество сценариев не удается, поэтому введение поправки на риск позволяет учесть этот риск хотя бы приближенно.

В величине поправки на риск в общем случае учитывается три типа рисков, связанных с реализацией IT-проектов:

страновой риск;

риск ненадежности участников проекта;

риск недополучения предусмотренных проектов доходов.

Страховой риск обычно предусматривается в возможности конфискации имущества или утери прав собственности, непредвиденного ухудшения законодательства, ухудшающего финансовые показатели проекта, смены персонала государственного управления и т.п.

Величина поправки на страновой риск оценивается экспертно:

по зарубежным странам на основании рейтингов стран мира по уровню странового риска инвестирования, публикуемых специализированной рейтинговой фирмой BERI (Германия), Ассоциацией швейцарских банков, аудиторской корпорацией Young;

по России страновой риск определяется по отношению к безрисковой, безинфляционной норме дисконта и может превышать ее в 2-3 раза ( размер этой поправки снижается, если проект имеет федеральную поддержку).

Риск ненадежности участников проекта обычно усматривается в возможности непредвиденного прекращения реализации проекта за счет нецелевого расходования средств, необходимых для реализации проекта, недобросовестностью, неплатежеспособностью, юридической недееспособностью других участников проекта, их ликвидацией или банкротством.

Риск недополучения предусмотренных проектом доходов обусловлен прежде всего техническими, технологическими и организационными решениями проекта. Поправка на этот вид риска определяется с учетом технической реализуемости и обоснованности проекта, детальности проработки проектных решений, наличия необходимого научного задела и представительности маркетинговых исследований. Одним из способов учета этого риска является пофакторный расчет, при этом в поправке на риск суммируется влияние учитываемых факторов. К числу таких факторв для IT-проектов можно отнести: новизну применяемой технологии, наличие нестабильности спроса на данные IT-проекты, агрессивность внешней среды, наличие неопределенности процесса освоения новой технологии и т.д.

Каждому фактору в зависимости от его оценки можно приписать величину поправки на риск по этому фактору. В тех случаях, когда факторы независимы, общая поправка получается суммированием поправок по каждому фактору. Если некоторые факторы являются взаимозависимыми, то следует избегать повторного счета.


Коммерческие риски и методы управления ими.


Организационно-экономический механизм реализации IT-проекта, сопряженного с риском, должен включать специфические элементы, позволяющие снизить риск или уменьшить связанные с ним неблагоприятные последствия. В этих целях используются:
  • правила поведения участников в определенных нештатных ситуациях (например, сценарии, предусматривающие соответствующие действия участников при тех или иных изменениях условий реализации IT-проекта);
  • организация координационного центра, осуществляющего синхронизацию действий разработчиков и пользователей при значительных изменениях условий реализации проекта.

В проектах могут предусматриваться также специфические механизмы стабилизации. В одном случае может быть снижена степень самого риска (за счет дополнительных затрат на совершенствование технологий, материальное стимулирование), в другом - риск перераспределяется между участниками (индексирование цен, предоставление гарантий, различные формы страхования, залог имущества, система взаимных санкций).

Как правило, применение в проекте стабилизационных механизмов требует от участников дополнительных затрат, размер которых зависит от условий реализации мероприятия, ожиданий и интересов участников, их оценок степени возможного риска. Такие затраты подлежат обязательному учету при определении эффективности IT-проекта.

Система управления реализацией IT-проекта должна предусматривать сбор и обработку информации о меняющихся условиях его реализации и соответствующую корректировку проекта, графиков совместных действий участников, условий договоров между ними.

С понятием коммерческого риска тесно связано понятие убыток, а именно, убыток связан с реализацией риска, т.е. является материальным, денежным выражением потерь. Можно выделить прямые убытки, связанные с недвижимостью и имуществом, косвенные убытки, выраженные в потери дохода и увеличении операционных расходов, убытки, связанные с ответственностью (физический или моральный ущерб, причиненный служащим компании, ее покупателям, клиентам или гостям, умышленное причинение ущерба людям или их репутации, незаконный прием на работу и т.п.), убытки, связанные с ключевыми специалистами (особенно касается программистов и топ-менеджеров). Управление риском на уровне фирмы, которая внедряет IT-проект, должно включать в себя разработку рекомендаций и мероприятий (или программы), направленных на уменьшение риска и, соответственно, на уменьшение потерь.

Средствами разрешения коммерческих рисков являются избежание их, удержание, передача риска.

Избежание риска означает простое уклонение от мероприятия, связанного с риском.

Удержание риска - принятие риска на себя (например, оставление риска за инвестором, т.е. на его ответственности).

Передача риска - означает передачу ответственности за риск кому-либо другому, например, страховому обществу.

Для снижения степени риска применяют различные способы:

1). диверсификация;

2). лимитирование;

3). страхование;

4). приобретение дополнительной информации о выборе и результатах.

Диверсификация представляет собой процесс распределения инвестируемых средств между различными объектами вложения, которые непосредственно не связаны между собой (например, деятельность инвестиционных фондов).

Лимитирование - установление предельных сумм расходов, продажи, кредита и т.д.

Страхование - компания (инвестор) готов отказаться от части доходов лишь бы избежать риска.

Приобретение дополнительной информации. Если бы у компании (инвестора) была более полная информация, он мог бы сделать лучший прогноз и снизить риск. Это делает информацию товаром. Информация является очень ценным товаром, за который инвестор готов платить очень большие деньги, а раз так то вложение капитала в информацию становится одной из сфер предпринимательства. Стоимость полной информации рассчитывается как разница между ожидаемой стоимостью какого-либо приобретения, когда имеется полная информация, и ожидаемой стоимостью, когда информация неполная.


Подходы (модели) устранения риска

В литературных источниках приводится множество определений понятия риска, отражающих как практические потребности принятия решений, так и чисто теоретические положения. Важно отметить, что не все параметры риска могут быть измерены в денежном эквиваленте, а также то, что риск и связанные с ним угроза и ущерб зависит от ситуации, уровня информированности и культурных предпосылок, т.е. отражают культурную предрасположенность общества. Это предполагает использование множества более или менее реализуемых моделей регулирования (моделей устранений риска).

При разработке, внедрении и эксплуатации IT-проектов можно выделить следующие подходы:
  • технические подходы ориентированы в основном на ущерб оборудованию обработки данных, средствам хранения и самой информации;
  • подход с позиций производственно-экономического анализа ориентирован на проблемы, связанные с ухудшением показателей, характеризующих деятельность работы предприятия, из-за отказа (частичного отказа) электронных информационных средств управления предприятием;
  • подход с точки зрения медицинских исследований ориентирован на проблемы, связанные с возможностью нанесения вреда здоровью.

Эти три подхода в целом довольно желательно использовать вместе в системе.

Важными являются вопросы о том, кто и в какой мере несет риски или не несет их вовсе. Часто это определяется не экономической рациональностью, а зависит от культурных и социальных решений (например, как распределяются риски при внедрении новой информационной технологии между предприятием, обществом и индивидом зависит от социально-культурного развития страны).

Материальные риски охватывают широкий круг объектов, которым может быть нанесен ущерб (сюда относятся аппаратура для обработки данных, их носители и средства передачи, сами данные и программы, а также средства обеспечения, оборудование для утилизации отходов, здания). К этому можно добавить нанесение ущерба из-за нарушений в работе компонентов системы. Очень разнообразен перечень возможных причин ущерба. это могут быть механические и химические воздействия, электромагнитные поля и излучения, компьютерные вирусы, неправильное использование программ, искажение данных и многое другое.

Частота возникновения ущерба для отдельных ситуаций хорошо известна, так как ведутся исследования, предметом которых является ущерб, связанный с эксплуатацией компьютеров разных фирм- производителей. Определенные события, например, пожары или удары молнии тщательно документируются. Данные сопоставлений, распространяемые страховыми компаниями, дают первое представление об относительном значении отдельных причин ущерба. Значительно труднее эта задача решается в случае потери данных и программных ошибок.

В случае материального ущерба благодаря страхованию могут покрываться (хотя бы частично) финансовые последствия, а также могут приниматься меры по стимулированию профилактики ущерба.

Важное значение имеют риски для здоровья. Эксплуатация аппаратуры для электронной обработки данных чревата большими физическими и психологическими нагрузками на обслуживающих эту технику людей. Их влияние на организм человека изучается и документируется уже давно, но взаимосвязи в этой области по своей природе значительно сложнее, чем в области машинных компонентов информационной системы. Частота нанесения вреда здоровью при работе с компьютером еще изучается.

Определение размеров ущерба то же требует своего решения, так как нет необходимого критерия оценки, какой существует для компонентов материального ущерба, а также существует проблема учета последствий от ущерба здоровью (пока учитываются только такие параметры компенсаций, как затраты на лечение или его продолжительность).

Не решены вопросы социального страхования рисков, связанных с нанесением вреда здоровью (пока только от предприятия требуют строго ориентироваться на современный уровень техники безопасности).


Средства защиты от риска.


К основным средствам защиты от риска IT-проектов относятся следующие:

технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. (Под аппаратными техническими средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, посредством записей кодов и другой информации на различные карточки). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электро-механическое оборудование охранной сигнализации.)

Программные средства представляют – программное обеспечение, специально предназначенное для выполнения функций защиты информации. В такую группу средств входят: механизм шифрования, механизм цифровой подписи, механизмы контроля доступа, механизмы обеспечения целостности данных, механизмы постановки графика, механизмы управления маршрутизацией, механизмы арбитража, антивирусные программы, программы архивации, защита при вводе и выводе информации и т.д.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла.

Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).