CC BY
207
УДК 004 С.А. Овчинников,
С.Е. Гришин
КОМПЛЕКСНЫЙ ПОДХОД К РАССМОТРЕНИЮ ТЕОРИИ УПРАВЛЕНИЯ РИСКАМИ ПРИ ВНЕДРЕНИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Основной проблемой в изучении вопросов устранения ИТ-рисков является фрагментарность исследований рисков ИТ-проектов и операционных рисков. Такой подход не выгоден с точки зрения исполнительного руководства бизнес-структур, осуществляющих инвестиции в информационные технологии, поскольку руководители, как правило, удалены от принятия решений по реагированию на оперативные ИТ-риски. Комплексный подход к управлению ИТ-рисками позволяет найти интеллектуальные компромиссы между развитием, расходами и рисками, с одной стороны, и эксплуатационными расходами и рисками - с другой.
Кпючевью слова: теория управления рисками, информационные технологии.
S.A. Ovchinnikov, S.E. Grishin
A COMPREHENSIVE APPROACH TO THE THEORY OF RISK MANAGEMENT IN THE IMPLEMENTATION OF INFORMATION TECHNOLOGY
The paper states that the main problem in elimination of IT risks is the fragmentation of research of IT risks and operational risks. This approach to the study of IT risk is not benefcial for executives of businesses investing in information technology, as managers, usually are removed from the decision-making in response to operational IT risks. The authors state that an integrated approach to managing IT risk enables to find intelligent compromises between development costs and risks, on the one hand, and operational costs and risks, on the other.
Key words: theory of risk management, information technology.
Сегодня не только в сфере бизнеса растут риски, управление которыми является одной из важнейших практических задач, требующих изучения [25, p. 69 - 72]. Кроме того, риск в настоящее время рассматривается в широком смысле и включает все, что может оказать значительное негативное влияние на бизнес и процессы государственного управления.
Двенадцать категорий бизнес-рисков, в том числе финансовые, операционные, человеческие и политические, были определены как потенциальные для производства и управления и требуют адекватного страхования. В области информатизации преобладает интерес к исследованию рисков, связанных с информационными системами и технологиями [4]. Од -нако пока не существует комплексного подхода к выявлению, анализу и управлению ИТ-рисками, специалисты не в состоянии вести эту работу эффективно.
Многие отдельные виды ИТ-рисков были выделены и изучены, хотя не всегда рассматривались как риски. Например, М. Keil, К. Lyytinen и С. Sauer отмечают, что существует большое количество литературы на тему неудачных проектов по устранению И T-рисков [6, p. 16 - 22; 8, р. 257 - 309; 16]. Так, описание ИТ-рисков, связанных с оперативной деятельностью, содержит недостаточно сведений о нарушениях безопасности, ненадежности систем, а также нанесении репутационного
ущерба [9, р. 11 - 25]. Активно обсуждаются проблемы эксплуатации ИТ- систем по защите конфиденциальных данных, приватной информации, устранению стратегических рисков, связанных с использованием новых ИТ -технологий [21].
В имеющихсяисследованиях ИТ-риски условно разделяются на две группы: риски, связанные с развитием информационных систем, и риски, связанные с текущей работой информационных систем. Кроме того, профессионалами, участвующими в решении этих задач, выработаны рекомендации по управлению проектными рисками [6, р. 16 - 22].
Основной проблемой в изучении вопросов устранения ИТ-рисков является раздельное исследование рисков ИТ-проектов и операционных рисков. Вместе с тем распространенный подход к изучению ИТ-рисков, адекватный практике, невыгоден с точки зрения исполнительного руководства бизнес-структур, осуществляющих инвестиции в информационные технологии. Их руководители принимают участие в критически важных ИТ- решениях только тогда, когда новые проекты инициируются свыше, и почти не участвуют в решении оперативных ИТ-вопросов, если нет серьезных проблем, таких как оперативные отказы или серьезное нарушение безопасности. Таким образом, руководители, как правило, удалены
от принятия решений по реагированию на опера -тивные ИТ-риски [10].
Комплексный подход к управлению ИТ - рисками позволяет найти интеллектуальные компромиссы между развитием, расходами и рисками, с одной стороны, и эксплуатационными расходами и рисками -с другой.
Отсутствие комплексного подхода к управлению ИТ-рисками приводит к ситуации, когда решения направлены на снижение стоимости проекта и риска (например, игнорируются потребности в управлении, крат -ком обучении), что может фактически увеличить операционные риски, а также вызвать негативное влия -ние внешних угроз и непредвиденных обстоятельств.
Сегодня активно ведутся дискуссии об общей сто -имости владения ИТ-системами. Обеспокоенность этим впервые возникла в контексте автономных ПК [23]. Но вопрос приобрел особое значение при плани -ровании ресурсов программного обеспечения. Отме -чается, что руководители в начале внедрения ИТ-про -екта сосредоточены только на значительных расхо-дах на лицензирование программного обеспечения. Однако подобные затраты весьма незначительны по сравнению с затратами на конфигурацию систем, кон -сультации, техническую платформу, обучение пользо -вателей, техническое обслуживание. Сегодня в дело -вой практике лучшим выходом для руководителей считается учет как общих текущих затрат, так и общего жизненного цикла инвестиций в ИТ [17, р. 69 - 92].
Сейчас комплексный подход к управлению ИТ-рисками особенно важен по двум причинам. Во -первых, связь всего мира через сеть Интернет расширяет возможности для мошенничества и каскадных оператив -ных провалов. Во-вторых, организации все больше по -лагаются на сторонних специалистов для разработки, эксплуатации и управления информационными системами, что порождает ряд сложных проблем.
Исследование проблем управления ИТ-рисками, связанными с компьютерной информационной системой, предполагает такие важные технические воп -росы, как наличие «люков» в программном обеспечении или уязвимостей в значительно модифицированных программах. При проведении данного исследования должны быть составлены рекомендации по их пол -ному устранению.
Кроме того, существует необходимость комплексного подхода к анализу ИТ-рисков, связанных с организационным уровнем, на котором знания и навыки пользователей, их социальные взаимодействия при использовании компьютерной информации и системы также важны для понимания риска, как и риски технической системы.
Дополнительным препятствием на пути комплексного рассмотрения вопросов, связанных с управлени-ем ИТ-рисками, является то, что многие проблемы, например неудачи или сбои ИТ-проекта, тоже включаются в риски.
Е. Clemons, К. Lyytinen и R. Hirschheim предложи -ли следующие типологии ИТ-рисков, выделив десять категори й:
1)финансовые риски (технология стоит больше, чем ожидалось, дает меньше финансовых льгот и т.д.);
2) технические риски (технология незрелая, слабо понимаемая, ненадежная, устаревшая и т.д.);
3) риски проекта (проект разработан поздно, становится «подвижным » и т.д.);
4) политические риски (проект, система, технологии находятся в зоне политической борьбы или сопротивления внедрению);
5) резервные риски (аварии, стихийные бедствия, вирусы и т. д .);
6) риски ненадлежащего использования ИТ -технологии (неэффективного или нерезультативного);
7) риски внутренних злоупотреблений (саботаж или преступное уничтожение, хищения и т.д.);
8) внешние риски (взлом, кража техники, инфор-маци и и т. п.);
9) риски конкуренции (негативная реакция потребителей, поставщиков и т.д.);
10) репутационные риски (негативная реакция общественности в целом, средств массовой информации и т.д.) [3, р. 61 - 71; 8, р. 257 - 309].
Таким образом, ИТ-риски включают в себя все то, что связано с информационными технологиями и может иметь значительное негативное воздействие с точки зрения эффективности инвестиций в ИТ. ИТ-инфраструктуры сопровождают много разных типов пользователей - внешних по отношению к организации людей, партнеров, общественность, регулирующих органов и др. Эти многочисленные заинтересованные стороны также привносят разнообразные риски в ИТ-системы и нередко провоцируют различные конфликты.
Комплексное рассмотрение вопросов, связанных с управлением ИТ-рисками, наиболее полно аргументировал Р. Neumann. Он включает в это понятие безопасность, надежность, неприкосновенность частной жизни и другие операционные риски, подчеркивает необходимость комплексного подхода к безопасности и надежности, отмечает взаимосвязь надежности и безопасности [10].
Действительно, определенные меры по увеличению надежности желательны для обеспечения отказоустойчивости оборудования, но это не улучшает безопасность ИТ-систем. С другой стороны, правильно выбранная система и хорошая программная инженерная практика могут повысить безопасность и надежность. Это важно учитывать для обеспечения надежности и безопасности в рамках общей системы наряду с другими свойствами, такими как живучесть специальных приложений и приложений безопасности.
К. Lyytinen, R. Hirschheim, М. Markus, М. Keil, обсуждая механизмы развития неудач и устранения сбоев в работе ИТ-систем, утверждают, что различные типы отказов должны быть рассмотрены в общих рамках предлагаемого комплексного подхода [6, р. 16 - 22; 8, р. 257 - 309; 9, р. 11 - 25]. R. Baskerville также выдвигает убедительные аргументы в пользу комплексного подхода к развитию системы оперативного управления ИТ-рисками и безопасностью. Прослеживая эволюцию методов развития системы управления безопасностью, он констатирует, что в этой области изначально не было интеграции. Анализ рисков безопасности и процедуры управления формировались посте-
пенно в связи с развитием методов управления системами [1, р. 375 - 414].
Таким образом, в литературе предметно представлены аргументы в пользу использования комплексного подхода к управлению ИТ-рисками, который рассматривает и возможный провал проекта, и спектр операционных рисков, в том числе связанных с безо -пасностью, надежностью, конфиденциальностью, по -терей имиджа и репутации.
Р Neumann утверждает, что комплексный подход к управлению ИТ- рисками базируется на интегрированной теории ИТ-рисков и управления ими, которая охватывает ряд других областей: социально-психологи -ческие аспекты восприятия, структурные условия и динамику управления рисками, динамику развития риска и т.п. [1 G].
Социально -психологические аспекты восприятия риска связаны с системой причин как случайных, так и преднамеренных бедствий, проявившихся при использовании информационных систем. Они включают в себя «человеческий фактор» и охватывают социаль -но -психологические процессы между людьми. М. Keil, В. Staw, S. Sitkin, А. Pablo, С. Pearson, D. Dorner анали-зируют неудачи проектов из-за влияния таких факто-ров, особенно из-за предубеждений, которые негативно действуют на людей и оказывают отрицательное влияние на решение ими проблем в сложных ситуациях [5; б, р. 1б - 22; 14, р. 4В - 59; 19, р. 9 -3В; 22, р. 7G1 - 732].
Анализ компьютерных рисков, связанных с потребностями увеличения области действия, показал, что структурные условия, которые связаны с ИТ-рисками, материализуются в проблемы. Структурные условия, социально-экономические механизмы активно влияют на процессы и результаты работы информационных систем. Примеры соответствующих структурных ус -ловий включают в себя разделение операций на мно-гих информационных системах, связанных с консуль-тантами и поставщиками [12, р. б3 - 92].
В связи с этим Р Neumann исследует такие про -граммные проекты, как изучение человеческого фак-тора риска , но ничего не пишет о том, как изменения в организации и управлении проектами могут улучшить контроль и устранение ри сков [Ї G].
Динамика и выработка стратегии управления рисками предусматривает моделирование сложностей в управлении, совершенствование подходов к надежно -сти и т. д .
Интегрированная теория управления ИТ-рисками позволяет выяснить возможности различных типов стратегий для получения и поддержания контроля над людьми и организационными процессами. Раз -личные типы контроля потенциально полезны в управлении ИТ-рисками. R. Simons, D. Straub, R. Welke выделили четыре отдельных последовательных ме-роприятия, связанных с управлением системами уст -ранения угроз безопасности: предупреждение, выявление, сдерживание и восстановление [1В, р. 80 - ВВ; 24, р. 441 - 4б9]. В список рисков стратегий управления ими внесены:
1) планы (резервного копирования, аварийного восстановления и т.д.);
2) политика;
3) оперативный контроль (бюджетов, оценки работы и т.д.);
4) автоматизированный контроль (пароли, системы контроля доступа и т.д.);
5) физический контроль (доступ в помещения, противопожарная защита, защита от аварий и т.д.);
6) аудит и обнаружение (ревизии сообщений, систем обнаружения проникновения и т.д.);
7) риск недостаточности информированности (обучение персонала, пользователей и т.д.);
8) вера в систему (качество инфраструктур доверия, уровень и значение конфиденциальности т.д.);
9) социальные сети (нормы поведения и напоминания о конфиденциальности и т.д.).
Попытки установления тотального контроля над персоналом не всегда бывают успешными. Хотя в целом признается, что слишком мало контроля - это плохо, но вместе с тем многие исследователи отмечают, что слишком сильный контроль также вреден. Жесткий контроль связан с тремя типами негативных последствий. Во-первых, это требует повышенного вни-мания со стороны управления, возрастает стоимость управления. Во-вторых, слишком жесткий контроль может мешать оперативной деятельности, ее гибкости, повредить отношениям между контролерами и персоналом. В-третьих, подобный контроль связан с непредвиденными человеческими и социальными последствиями - стремлением обходить правила, появлением внутреннего мошенничества [19, р. 367 - 392; 2].
Важно учитывать эмпирические данные о том, как проблемы, кризисы и бедствия материализуются в риск. Кризисы, стихийные бедствия и неудачи часто имеют несколько независимых или коррелированных причин [10; 15]. Эти «слабые звенья» напоминают, что не следует риск рассматривать статически, поскольку он является динамическим феноменом.
В литературе по управлению рисками ИТ- проектов отмечается, что риск является наибольшим в начале проекта, когда неизвестность максимальна, и уменьшается по мере продвижения работы по проекту к завершению. Б. 1\Лс1ито1и вводит понятие «остаточный риск», т.е. риск, который меняется в течение проекта и на протяжении всего жизненного цикла системы [11, р. 191 - 219]. Но в ИТ-области необходимо учитывать возможность того, что остаточный риск будет на самом деле больше, чем в системе жизненного цикла. По мере увеличения срока действия системы он поддерживается и укрепляется, с течением времени этот процесс провоци рует уязвимость или неудачу реализации проекта [7]. Вот почему следует делать акцент на постоянном развитии и под -держке системы, что подтверждает необходимость комплексного подхода к устранению рисков. Кроме того, существует тенденция к интеграции ранее дискретных систем. Если системы интегрированы с другими системами, то их сложность и сильная связь увеличивают шансы на провал [10; 15].
Дополнительное исследование действий по устранению проблем, возникающих при реализации проектов и внедрении ИТ -систем и существующих на протяжении всего жизненного цикла, позволяет отметить, что в ситуациях, связанных с разработкой и эксплуатацией системы, люди могут ошибаться в диагнозе при-
19G
чин проблем, пытаться применять решения, которые на самом деле ухудшают положение. Таким образом, они создают новые ситуации, требующие дополнительных действий и изменений [13, р. 398 - 427].
Таким образом, комплексный подход к выявлению и управлению ИТ-рисками позволяет не только сохра -нить информацию, но и получить максимальную отдачу от инвестиций в информационные технологии. Интегрированная теория ИТ-рисков принимает во вни -мание данные второго порядка о последствиях чело -веческих решений и проблемах поведения людей. Рассматривая на комплексной основе развитие ИТ-сис -темы в плане недостаточности, нарушений безопас-ности и реализации других угроз, различных видов унитарных ИТ-рисков, можно принять компромисс -ное решение относительно всего жизненного цикла ИТ-систем в организациях.
1. Baskerville R. Information systems security design methods: implications for information // Systems development. ACM Computing Surveys. Vol. 25. № 4.
2. Block P. Stewardship: choosing service over self-interest. Publishers, San Francisco, CA, 1993.
3. Clemons E. K. Strategic and business planning, reengineering //Sloan management review. 1995. Vol.36. № 4.
4. Davis G, Olson M. Management information systems: conceptual foundations, structure and development. 2nd ed. New York, 1985.
5. Dorner D. The logic of failure. Recognizing and avoiding error in complex situations. Addison-Wesley, Reading, MA, 1989.
6. Kell M. Detection and prevention of risks of system design // Programmer. 1995. Vol. 8. № 3.
7. Lientz B.P., Swanson E.B. Software maintenance management. Addison-Wesley, Reading, MA, 1980.
8. Lyytinen K., Hirschheim R. Information systems. Failure -the study and classification of empirical literature. Oxford University Press, Oxford, UK, 1987.
9. Markus M.L., Keil M. If we build it, they will come: designing information systems that users want to use // Sloan management review. 1994. Summer.
10. Neumann PG. Computer related risks // The ACM Press. New York, 1995.
11. Nidumolu S. The effect of coordination uncertainty on software project performance: residual performance risk as an intervening variable // Information systems research. 1995. Vol. 6. № 3.
12. Orikowski W.J. Improvising organizational transformation over time: a situated change perspective // Information systems research. 1996. Vol. 7. №. 1.
13. Orikowski W.J. The duality of technology: rethinking the concept of technology in organizations // Organization science. 1 992 . Vol. 3. № 3.
14. Pearson C.M., Mitroff 1.1. From crisis prone to crisis prepared: a framework for crisis management // The academy of management executive. 1993. Vol. 7. № 1.
15. Perrow C. Normal accidents: living with high-risk technologies. New York, 1984.
16. Sauer C. Why information systems fail: a case study approach. London, 1993.
17. Sia S.K., Neo B.S. Reengineering effectiveness and the redesign of organizational control: a case sudy of the inland revenue authority of Singapore // Journal of management information system. 1997. Vol. 14. № 1.
18. Simons R. Control in an age of empowerment // Harvard business review. 1995. Vol. 73. № 2.
19. Sitkin S.B., Pablo A.L. Reconceptualizing the determinants of risk behavior // Academy of management review. 1992. Vol. 17. № 1.
20. Sitkin S.B., Roth N.L. Explaining the limited effectiveness of legalistic remedies' for trust // Distrust, organization science. 1993. Vol. 4. № 3.
21. Smith H.J. Managing privacy: information technology and corporate America // The University of North Carolina press. Chapel Hill, NC, 1994.
22. Staw B.M. Organizational escalation and exit: lessons from the shoreham nuclear power plant // Academy of management journal. 1993. Vol. 36. №. 4.
23. Strassmann P.A. The business value of computers: an executive's guide // The information economics press. New Canaan, CT, 1990.
24. Straub D.W., Welke R.J. Coping with systems risk: security planning models for management decision making // MIS Quarterly. 1998. Vol. 22. № 4.
25. Teach E. Microsoft's universe of risk // CFO. 1997. March.
