CC BY
30Аналитические методы оценки риска внедрения современных информационных систем и бизнес-интеллекта в экономический анализ
Митрович Станислав,
доктор экономических наук, Университет в г. Нови-Сад, Республика Сербия, Mitrovic.Stanislav@hotmail.com
Современные технологии анализа рисков в России используются пока еще недостаточно активно. В особенности это касается применения информационных систем, к числу которых относятся системы бизнес-интеллекта, несмотря на тот факт, что сфера применения бизнес-интеллекта в экономическом анализе сопровождается большим числом рисков. Основная причина такого положения состоит в том, что, несмотря на наличие на государственном уровне руководящих и стандартизационных документов в подобной области в них выбран методический подход, который можно охарактеризовать, как «общие критерии», при этом слабо детализируются такие важные аспекты, как приемлемый уровень и ответственность за принятие рисков. Проведенный в работе анализ позволил определить методические подходы к анализу рисков, а также и возможные варианты риск-анализа при внедрении современных информационных технологий в условиях повышенных требований к информационно-экономической безопасности организаций. Теоретическая и практическая значимость данного исследования заключается в том, что сделанные выводы дополнят актуальные исследования, касательно возможностей применения современных информационных систем в экономическом анализе и практический решений для анализа рисков их внедрения.
Ключевые слова: Анализ рисков, методические подходы к анализу рисков, информационная система, классификация рисков внедрения В1-ре-шений, экономический анализ, факторы риска проектов
Информационная система, в зависимости от своего класса, тем более система бизнес-интеллекта, функционирующая в сфере экономического анализа (где речь идет о защите информационных и экономических данных как основе деятельности компании и ее конкурентном преимуществе), должна быть обеспечена специализированной подсистемой безопасности с конкретными формальными свойствами. Однако в российских условиях анализ рисков, в данной сфере, если и осуществляется, то, как правило, выполняется пока еще формально, с применением произвольных методик, в отличие от практики зарубежных стран. Вопросам анализа рисков в информационной области в зарубежной методике и практике уделяется значительное внимание: десятилетиями собирается статистика для анализа проблем и рисков, совершенствуются и развиваются методические инструменты. Например, в американской практике можно встретить такую должность, как Designated Approving Authority то есть лицо, уполномоченное принять решение о допустимости определенного уровня рисков [7]. В этой связи закономерно, что согласно статистическим данным, представленным в отчетах аналитических агентств (например, агентства Panorama), количество неэффективных проектов внедрения информационных систем в мире в последние годы снизилось до 10% [2]. При этом отрицательный опыт внедрения связан с недостаточным или полным отсутствием учета рисков перерасхода бюджета (в среднем на 53%), превышением сроков реализации проекта (в среднем на 1,7 года). А количество проблемных проектов, которые принесли менее 50% ожидаемых выгод, составляет в среднем 60%. Поэтому поиск инструментов снижения рисков подобных проектов продолжает сохранять свою актуальность [6].
В последние годы ситуация начинает меняться в сфере внедрения информационных систем в экономическую деятельность организаций и в России. Среди российских специалистов зреет понимание необходимости осуществления подобной деятельности на регулярной основе - то есть речь идет не о выявлении рисков перед началом того или иного проекта, что, безусловно, является важным и неотъемлемым этапом, а о регулярном мониторинге рисков на протяжении внедрения информационного решения и его тестирования, а также дальнейшего функционирования в системе экономического анализа организации. Наибольшую активность в данной области проявляют банковские, страховые и крупные коммерческие структуры, которые серьезно заботятся о безопасности своих информационных и финансовых ресурсов и имеют для этого необходимые резервы.
Стоит, также, отметить, что наличие риска - это оборотная сторона экономической свободы. Свобода на экономическом рынке предоставлена всем объектам хозяйственной деятельности, а свободе одного объекта сопутствует одновременно свобода и других участников рынка, поэтому с развитием рыночных отношений неопределенность и риск возрастают во всех областях хозяйственной деятельности, в том числе и в сфере применения информационных технологий в экономическом анализе. Как показывает проведенный анализ, в современной научной литературе зачастую не делается различия между понятиями «риск» и «неопределенность». Но, они имеют существенное различие - риск характеризует такую ситуацию, когда наступление неизвестных событий весьма вероятно и может быть оценено количественно. Неопределенность является более широким и емким понятием, так как данное явление обусловлено всеми факторами, которые влияют на конечный результат коммерческой деятельности, неопределенность характеризуется тем, что вероятность наступления неизвестных событий оценить заранее невозможно.
Целью анализа рисков, связанных с эксплуатацией информационных систем, к числу которых относится система бизнес-интеллекта, функционирующая в сфере экономического анализа организации, является «оценка угроз (т. е. условий и факторов,
О
3
в
S
г 2
сч cJ £
Б
а
2 о
Г
зиики управлении риском (риск отдельного процесса, риск проекта, риск компании)
среда (внутренний, внешний риски)
\
уровень (от критического к незначительно му риску)
сфера (риск просила, процесса, продукта)
\
отрасль воздействия (риск
/
природа
невыполнении (экономически
бюджета й, техн ически й,
п роекта, п ла н а технояоточеск проекта, ий) качества проекта)
Рис. 1. Классификация рисков, сопровождающих внедрение В1-решения в экономический анализ организации
которые могут стать причинои нарушения целостности системы, ее конфиденциальности, а также облегчить несанкционированный доступ к ней) и уязви-мостей (слабых мест в защите, которые делают возможной реализацию угрозы), а также определение комплекса контрмер, обеспечивающего достаточный уровень защищенности системы» [7]. Риск проекта по внедрению В1 системы в экономический анализ организации может быть определен как «вероятное событие, которое негативно влияет на результат реализации проекта» [7].
Рассмотрим основные методические подходы, применимые с учетом специфики исследуемой в настоящей работе сферы. В настоящее время используются два подхода к анализу рисков, которые можно назвать как основной - базовый и полный вариант. Выбор методического подхода зависит, в первую очередь, от оценки ресурсов и возможных последствий нарушения информационно-экономической безопасности. В простейшем случае собственники данного рода ресурсов могут не оценивать эти параметры, что может объясняться низким бюджетом проекта, недостатком времени или трудовых ресурсов для подобной оценки, недостаточно профессиональным подходом к реализации проекта, принадлежностью компании к представителям малого бизнеса и сопутствующими в этой связи ограниче-
ниями в осуществлении проекта и т.д. В этом случае анализ рисков в большинстве случаев будет проведен с использованием упрощенной схемы: рассмотрение стандартного набора наиболее распространенных угроз без оценки их вероятности, а затем - определение мер для обеспечения минимального или базового уровня информационно-экономической безопасности для внедрения и функционирования В1-решения в области экономического анализа в организации.
Полный вариант риск-анализа осуществляется при наличии повышенных требований к информационно-экономической безопасности. В отличие от базового варианта в данном случае должны быть оценены ресурсы, проведена характеристика рисков и уязвимостей. Можно выделить и своего рода промежуточный, третий вариант [3], в рамках которого риски определяются как формализованное описание неопределенности или осуществляется корректировка показателей проекта путем замены их проектных значений на ожидаемые.
Обратимся к основному перечню рисков, которые могут сопровождать внедрение В1-решения в экономический анализ организации.
Используя классификацию, составленную А.И.Бриткиным, их можно классифицировать на следующие группы (рис. 1) [2].
Однако следует заметить, что А.И.Б-риткин рассматривает классификацию рисков в общем плане, не учитывая фактор адаптации к условиям конкретной организации. Поэтому дополнительно в данную классификацию следует включить такие риски, как:
-«организационные, имеющие отношения к изменениям, вызываемым реализацией проекта в структуре и бизнес-процессах кампании, что нивелирует ожидаемые преимущества и выгоду;
- операционные риски, которые связаны с неконтролируемым ростом затрат на эксплуатацию BI-решения при его интеграции в экономический анализ организации;
- поведенческие риски - коррелирующие с неадекватным поведением участников проекта» [2].
Большое значение для эффективного управления рисками проектов внедрения информационных решений имеет и разделение факторов риска по степени управляемости на управляемые, трудно-регулируемые, неуправляемые. К разряду управляемых относят факторы, зависящие от качества работы предприятия: качество управления; уровень организации проекта; эффективность использования ресурсов. В числе труднорегули-руемых находятся факторы, которые зависят от предыстории предприятия и с трудом или частично поддаются воздействию: квалификация и численность персонала, взаимодействия между подразделениями во время реализации проекта и т.п. Неуправляемые факторы не могут быть изменены, а могут быть только учтены, это, напрмиер, макроэкономические, климатические, политические условия и др.
Кроме того, проект внедрения бизнес-интеллекта как информационной технологии в плане риск-менеджмента характеризуется повышенной сложностью, в связи с чем целесообразно рассматривать отдельные стадии проекта с позиции риска более подробно.
Адаптируя, применительно к природе и особенностям внедрения технологии бизнес-интеллекта в области экономического анализа, положения исследований Я. Зенга, Д. Алойни и других авторов [8], разработавших схему влияния рисков проекта внедрения систем класса ERP на отдельные факторы эффективности, а через них - на успешность проекта в целом, представим их в таблице 1.
Влияние перечисленных факторов на успех внедрения информационных решений, к числу которых относятся BI-реше-
ния, интегрируемые в сферу экономического анализа, демонстрируется на рис.2.
По результатам нашего исследования, мы пришли к выводу, что для эффективного управления проектами внедрения бизнес-интеллекта необходимо не только идентифицировать риски, но и оценивать их количественно - что методически при работе с информационными технологиями (как уже отмечалось в нашем исследовании при рассмотрении проблемы оценки эффективности реализации проекта В1 в области экономического анализа) представляет особую трудность. К основным трудностям можно отнести следующие:
1) отсутствие необходимого объема статистических данных, в том числе и об успешных и неуспешных проектах внедрения В1-систем;
2) специфика каждого отдельного проекта внедрения ИТ решения в область экономического анализа организации;
3) неопределенный временной фактор реализации подобных проектов (дол-госрочность или краткосрочность в зависимости от типа решения - что затрудняет применение типовых методических подходов);
4) высокая стоимость многих подобных проектов;
5) значительная составляющая несистемных факторов риска, связанных с внутренними факторами организации.
Систематизировав основные риск-факторы и адаптировав их к исследуемой области, рассмотрим более подробно специфику анализа рисков внедрения В1-решения в экономический анализ организации в случае повышенных требований в сфере информационно-экономической безопасности, которая методологически представляет так называемый идеальный (хотя и не всегда возможный и реализуемый на практике) вариант риск-менеджмента.
Результаты нашего исследования показали, что при выполнении полного цикла риск-анализа, нужно решать ряд сложных проблем, в ряду которых ответы на определенные вопросы, которые можно представить в виде своеобразной упорядоченной схемы (рис.3):
Проецируя общие положения методики на изучаемую сферу, мы пришли к выводу, что при проведении полного анализа рисков в ходе внедрения В1-реше-ния в экономический анализ организации, с методической точки зрения, необходимо реализовать алгоритм, который в обобщенном виде можно представить следующим образом (см. рис.4):
Таблица 1
Группировка факторов риска проектов внедрения В1-решений в экономический анализ организации
Группа видов риска [|> Виды рисков
Организационные Ш Непонимание или неисполнение стратегии
1*2 Несоответствие организационной структуры
КЗ Неправильный выбор системы
1*4 Низкий уровень поддержки гоп-менеджментом
1*5 Культурные проблемы и проблемы окружения
Управленческие 1*6 Неэффективное управление проектом
1*7 Недостаточное сопровождение со стороны руководителей подразделений
К 8 Неадекватное управление изменениями
1*9 Неиспользование групп лидеров
Операционные ЮО- Неадекватное управление финансовыми аспектами
1*11 Несоответствующий реинжиниринг бизнес-процессов
Ш2 Неадекватное обучение персонала
К13 Неэффективная организация процесса взаимодействия
К14 Неэффективный консалтинг
1*15 Нестабильность действий вендоровип форма цио1 того решения
Технологические 1*16 Технические сложности при внедрении
Ш7 Неадекватное обеспечение системы функциональными мощностями
1*18 Неэффективное обслуживание и техническая доработка системы
Ш9 Неадекватный менеджмен т существующих решений
1*20 Неадекватное взаимодействие с другими информационными продуктами, используемыми организацией
Человеческие 1*21- Низкая вовлеченность ключевых пользователей в разработку и реализацию проекта
1*22 Неэффективное управление при создании проектной гр\ ппы
1*23 Неэффективное взаимодействие между стейкхолдсрами
Другие К24 Изменения законодательства
1*25 Другие
На основе анализа рисков осуществляется выбор средств, которые могут обеспечить режим информационно-экономической безопасности. При оценке рисков анализируется возможное негативное воздействие, а также вероятность и значимость отрицательных событий.
Степень риска зависит от таких факторов, как: «ценность ресурсов, вероятность реализации угроз, простота использования уязвимости для реализации угроз; существующие и планируемые к внедрению средства обеспечения информационно-экономической безопасности» [5], которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий при функционирова-
нии интегрируемого В1-решения в экономический анализ организации.
Для каждого класса ресурсов, которые, как правило, подразделяются на определенные группы (например, физические, программные, данные и др.) необходимо применять свою методику определения ценности элементов, что помогает дифференцировать соответствующий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности информационно-экономической системы, уровня ее доступности.
Физические ресурсы оцениваются с точки зрения стоимости их замены или
О £
Я
3
Г 2
сч сч £
Б
а
2 о
Рис.2. Влияние факторов риска на отдельных стадиях интеграции информационных решений класса В1 в экономический анализ
Рис.3. Проблемы, решаемые при полном анализе рисков в ходе внедрения В1-решения в экономический анализ организации
восстановления работоспособности. Эти стоимостные величины затем целесообразно преобразовать в ранговую шкалу, которая также применяется и для ^-ресурсов. Программные ресурсы оцениваются тем же способом, что и физические, путем оценки затрат на их приобретение или восстановление. Так как для системы бизнес-интеллекта, интегрируемой в экономический анализ, как информационно-экономического ресурса существуют особенные требования к конфиденциальности и целостности (обрабатываемые системой экономические данные имеют высокую коммерческую ценность для организации), то оценку этого ресурса следует производить в стоимостном выражении.
На основе анализа рисков осуществляется выбор средств, которые могут обеспечить режим информационно-экономической безопасности. При оценке рисков в учет принимается потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.
Степень риска зависит от таких факторов, как: «ценность ресурсов, вероятность реализации угроз, простота использования уязвимости для реализации угроз; существующие и планируемые к внедрению средства обеспечения информационно-экономической безопасности» [5], которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий при функционировании интегрируемого В1-решения в экономический анализ организации.
Для каждого класса ресурсов, которые, как правило, подразделяются на определенные группы (например, физические, программные, данные и др.) необходимо применять свою методику определения ценности элементов, что помогает дифференцировать соответствующий набор критериев. Эти критерии служат для описания потенциального ущерба, связанного с нарушением конфиденциальности и целостности информационно-экономической системы, уровня ее доступности.
На основании всего изложенного, в рамках данного исследования сделан вывод о том, что современные технологии анализа рисков в России используются пока еще недостаточно активно. В особенности это касается применения информационных систем, к числу которых относятся системы бизнес-интеллекта, несмотря на тот факт, что сфера при-
менения бизнес-интеллекта в экономическом анализе сопровождается большим числом рисков и их существование очевидно.
Проведенный анализ последних исследований по вопросу оценки рисков в проектах внедрения BI-решений в экономический анализ показал, с одной стороны, наличие значительного числа разработанных методических инструментов, а с другой - отсутствие единой методики учета рисков. Рассмотренные в работе методологические аспекты анализа рисков внедрения и функционирования систем BI в экономический анализ организации полностью применимы в российских условиях, несмотря на то, что показатели защищенности информации и требования по защите информации различаются в российских руководящих документах и зарубежных стандартах. По нашему мнению, особенно эффективной является использование и дальнейшая разработка методики применения инструментальных средств для проведения анализа рисков Bl-систем как информационных систем с повышенными требованиями в области информационно-экономической безопасности, используемых в сфере экономического анализа. Это позволяет получать обоснованные оценки рисков, уязвимостей, эффективности защиты. Существенным достоинством таких инструментов является возможность проведения исследования в сжатые сроки с документированием результатов. Перспективным направлением для дальнейшей разработки и применения является также обеспечение действующих Bl-решений специализированным модулем оценки риска, позволяющим осуществлять его адаптацию в условиях деятельности конкретной организации, что существенно повысит эффективность внедрения и функционирования подобного рода решений в сфере экономического анализа организаций.
Литература
1. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий: Руководящий документ (Введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187 [Электронный источник]// Гостехкомиссия России. URL: http:/ /fstec.ru/component/attachments/ download/293 (дата обращения: 13.08.2017)
2. Бриткин А. И. Риски, связанные с внедрением технологий, в проектах разработки программного обеспечения
Рис.4. Обобщенный алгоритм полного анализа рисков при внедрении В1-решения в экономический
анализ организации
[Электронный ресурс]// Социально-экономические и технические системы. 2007.№ В (42).URL: http://www.mesi.ru/ upload/iblock/4c8/BritkinAl.doc (дата обращения: 14.07.2017)
3. Глухов В. В. Экономика знаний /
B. В. Глухов, С. Б. Коробко, Т. В. Мари-нина.СПб. : Питер, 2013. С.66
4. ГОСТ Р ИСО/МЭК1540В-2002 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий» [Электронный источник]// ГОСТ РФ. URL: http://gostrf.com/normadata/1/ 4294817/4294817060.htm (дата обращения: 13.0В.2017)
5. Недосекин А. Финансовый анализ в условиях неопределенности: вероятности или нечеткие множества [Электронный ресурс]. URL: www.vngroup.sp.ru (дата обращения: 15.06.2017)
6. Полуэктова Н.Р.Риски проектов внедрения ERP-систем: проблемы и решения// Б1ЗНЕС1НФОРМ. 2014. № 6.
C.11В
7. Симонов С. Современные технологии анализа рисков в информационных системах [Электронный источник]// PCWeek.ru. URL: https://www.itweek.ru/ infrastructure/article/detail.php?lD=59394 (дата обращения: 14.0B.2017)
В. Zeng Y. Risk Management For Enterprise Resource Planning System lmplementations in Project-Based Firms. Maryland, 2016; Aloini, D., Dulmin, R., and Mininno, V. Risk Management in ERP Project lntroduction: Review of the Literature// lnformation & Management, no. 44 (6) (2007): 547-567
Analytical methods for risk assessment introduction modern IT systems and business intelligence in economic analysis
Mitrovic S.
University of Novi Sad, Republic of Serbia
Modern techniques of risk analysis are used in Russia is still insufficiently active. This applies in particular to the use of information systems, including systems of business intelligence, despite the fact that the scope of application of business intelligence in economic analysis is accompanied by a large number of risks. The main reason for this situation is that, despite the presence at the state level guidelines and standardization of documents in such a region they selected methodological approach, which can be described as «General criteria», with weak details the following important aspects of risks, as their allowable level and the responsibility for making a certain level of risk.
The analysis in this work made it possible to determine methodological approaches to the risk analysis, as well as possible options for risk analysis in the implementation of modern information technologies given the strict requirements for IT and general economic security. The theoretical and practical importance of this research is that the findings from this research will complement the current research on introduction modern IT systems and business intelligence in economic analysis and practical solutions for analyzing the risks of their implementation.
Key words: Risk analysis, methodical approaches to risk analysis, information system, risk classification, the implementation of BIsolutions, economic analysis, risk factors projects
References
1. Safety of information technologies. Criteria for
evaluation of safety of information technologies: The leading document (No. 187 [An electronic source]//Gostekhcomissia of Russia is put into operation by the Order of Gostekhcomissia of Russia of 19.06.02. URL: http://fstec.ru/component/attachments/ download/293 (date of the address: 13.08.2017)
2. Britkin A. I. The risks connected to
О À
R
S
£ N
implementation of technologies in projects of software development [An electronic resource]/ /Social and economic and technical systems. 2007.№ 8 (42).URL: http://www.mesi.ru/ upload/iblock/4c8/BritkinAI.doc (date of the address: 14.07.2017)
3. Glukhov V. V. Economy of knowledge / V.V.
Glukhov, S.B. Korobko, T.V. Marinina. SPb.: St. Petersburg, 2013. Page 66
4. GOST P ISO/IEC 15408-2002 «Information
technology. Safety methods. Criteria for evaluation of safety of information
technologies» [Electronic source]//GOST of the Russian Federation. URL: http://gostrf.com/ normadata/1/4294817/4294817060.htm (date of the address: 13.08.2017)
5. Nedosekin A. The financial analysis in the
conditions of uncertainty: probabilities or indistinct sets [An electronic resource]. URL: www.vngroup.sp.ru (date of the address: 15.06.2017)
6. Poluektova N.R. Project risks of implementation
of ERP systems: problems and decisions// EI3HECIH$OPM. 2014. No. 6. Page 118
7. Simonov S. The modern technologies of risk
analysis in information systems [An electronic source]//PCWeek.ru. URL: https:// www.itweek.ru/infrastructure/article/ detail.php? ID=59394 (date of the address: 14.08.2017)
8. Zeng Y. Risk Management For Enterprise
Resource Planning System Implementations in Project-Based Firms. Maryland, 2016; Aloini, D., Dulmin, R., and Mininno, V. Risk Management in ERP Project Introduction: Review of the Literature//Information & Management, no. 44 (6) (2007): 547-567
