CC BY
21УПРАВЛЕНИЕ В СОЦИАЛЬНЫХ И ЭКОНОМИЧЕСКИХ СИСТЕМАХ
УДК [004.45:519.816]:[005-027.21:330.131.7]
ВВЕДЕНИЕ МЕТРИЧЕСКИХ ХАРАКТЕРИСТИК ДЛЯ РЕШЕНИЯ ЗАДАЧИ ОЦЕНКИ И УПРАВЛЕНИЯ РИСКАМИ
Статья поступила в редакцию 24.09.2015 г., в окончательном варианте 27.10.2015 г.
Ажмухамедов Искандар Маратович, доктор технических наук, доцент, Астраханский государственный технический университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 16, e-mail: aim_agtu@mail.ru
Выборнова Ольга Николаевна, аспирант, Астраханский государственный технический университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 16, e-mail: olga.vyb.90@gmail.com
Процесс управления рисками представляет собой комплексную проблему, имеющую ряд специфических особенностей. Неоднозначность самого понятия «риск», многообразие проявлений рисков и возможностей преодоления их неблагоприятных последствий усугубляются тем, что большая часть параметров, учитываемых в процессе выработки управленческих решений, не имеют четких (числовых) характеристик. Оценки большинства концептов формулируются экспертами в вербальной форме. Для преодоления указанных трудностей в работе предложен метод численной оценки уровней приемлемого и толерантного рисков, а также стоимости снижения текущего уровня риска за счет принятия некоторых мер. Введенные метрики дают возможность численно оценить, насколько опасна текущая ситуация, а также сравнивать ситуации между собой. Предложен алгоритм процесса поиска и принятия оптимальных управленческих решений для снижения значения текущего риска до целевого уровня. Разработанная математическая модель может быть положена в основу соответствующего программного обеспечения, предназначенного для поддержки принятия решений в сфере риск-менеджмента.
Ключевые слова: риск, риск-менеджмент, приемлемый риск, толерантный риск, риск-аппетит, «текущий риск», метрические характеристики, степень опасности ситуации, стратегии снижения риска, «стоимость» снижения риска
ENTERING METRIC CHARACTERISTICS IN SOLVING PROBLEMS OF RISK ASSESSMENT AND MANAGEMENT
Azhmukhamedov Iskandar M., D.Sc. (Engineering), Associate Professor, Astrakhan State Technical University, 16 Tatishchev St., Astrakhan, 414056, Russian Federation, e-mail: aim_agtu@mail. ru
Vybornova Olga N.. post-graduate student, Astrakhan State Technical University, 16 Tatishchev St., Astrakhan, 414056, Russian Federation, e-mail: olga.vyb.90@gmail.com
Risk management process represents the complex problem having a number of specific features. Ambiguity of the concept «risk», variety of manifestations of risks and opportunities of overcoming of their adverse effects are aggravated with that, the most part of the parameters considered in the course of development of management decisions, have no accurate (numerical) characteristics. Estimates of the majority of concepts are formulated by experts in a verbal form. For overcoming of the specified difficulties in work the
method of a numerical assessment of levels of the acceptable is offered and tolerant is risk, and also costs of decrease in the current risk level due to acceptance of some measures. The entered metrics give the chance in number to estimate, the current situation is how dangerous, and also to compare situations among themselves. The algorithm of process of search and acceptance of optimum management decisions for decrease in value of the current risk to the target objective is offered. The developed mathematical model can be the basis for the corresponding software intended for support of decision making in the sphere of a risk management.
Keywords: risk, risk management, acceptable risk, tolerant risk, risk appetite, «current risk», metric characteristics, degree of danger of a situation, risk mitigation strategy, «cost» of risk mitigation
Введение. Актуальность проблемы оценки рисков и управления их уровнем связана, прежде всего, с тем, что величины рисков непосредственно влияют на уровень физической, экономической, информационной и других видов безопасности организаций или отдельных лиц. На основе оценки риков принимаются решения о применении тех или иных стратегий обеспечения требуемого уровня безопасности. Например, многие компании хранят конфиденциальную информацию о своих клиентах (номера кредитных карт, адреса и т. д.). Чем больше риск несанкционированного доступа к ней, утраты (повреждения) этой информации, тем тщательней должен быть контроль ее хранения и процессов обработки. Несмотря на то, что отдельным аспектам риск-менеджмента посвящено достаточно много работ [например, 1, 4, 7-8, 11], вопросы формализации задач управления уровнями рисков в нечетких условиях остаются исследованными недостаточно полно. Целью данной статьи является устранение указанного пробела.
Общая характеристика проблемы. Независимо от причин возникновения рисков естественным желанием каждого субъекта является снижение объема возможных потерь [18]. Это одна из основных задач системы управления рисками (риск-менеджмента) - процесса принятия и реализации управленческих решений, которые минимизируют неблагоприятное влияние на организацию или физическое лицо негативных событий, возможность возникновения которых носит вероятностный характер.
При этом приходится учитывать такие факторы как: допустимые величины расходов, направленных на снижение рисков; вероятности получения желаемых результатов и пр.
Принятие и реализация решений, связанных с управлением рисками осуществляются в нечетких условиях. Это требует использования соответствующих математических методов.
Управление рисками может осуществляться на разных иерархических уровнях: государственном (например, система защиты населения при чрезвычайных ситуациях), на уровне отдельного хозяйствующего субъекта (например, меры по обеспечению устойчивости бизнеса, обеспечения информационной безопасности), на индивидуальном уровне (например, страхование жизни, здоровья и личного имущества). При этом, несмотря на то, что управление рисками базируется на общих принципах, каждая конкретная сфера применения риск-менеджмента имеет свои особенности. Однако основные принципы и некоторые практические приемы управления рисками являются общими для различных сфер деятельности.
Анализ применения термина «риск» в различных сферах позволил выделить их общую часть и построить онтологическую модель предметной области [9]. Предложенная модель обладает достаточной универсальностью и гибкостью. С одной стороны, входящие в нее понятия инвариантны относительно различных определений риска, а с другой - смысловое значение концептов может быть легко адаптировано к конкретной предметной области.
Следует отметить, что в любой области деятельности управление рисками не является одномоментным актом, а представляет собой циклический процесс анализа информации, принятия (при необходимости) решений, их реализации и т.д. Деятельность по риск-менеджменту должна быть интегрирована в общий процесс принятия и реализации управленческих решений.
Проблема управления рисками является комплексной задачей, включающей в себя целый ряд различных направлений работы: выработку согласованного мнения в отношении уровня приемлемого риска; оценку актуального состояния системы в пространстве координат «вероятность возникновения негативных событий - ущерб от негативных событий»; поиск, принятие и реализацию оптимальных (или хотя бы приемлемых) мер по снижению уровня риска до целевых значений. При этом большая часть параметров, учитываемых в процессе выработки управляющих решений, не имеет четких (числовых) характеристик. Оценки большинства концептов формулируются экспертами в вербальной форме [1, 7, 11].
Таким образом, риск-менеджмент представляет собой сложный, слабо структурированный и плохо формализуемый вид деятельности [16]. Это связано как с неоднозначностью самого понятия «риск», так и с многообразием проявлений риска, возможностей преодоления его неблагоприятных последствий [9, 17].
Несмотря на то, что проблеме риск-менеджмента посвящено большое число научных работ [например, 4, 7, 11, 23] и даже имеется ряд стандартов, касающихся управления рисками (ГОСТ Р ИСО 31000-2010; ГОСТ Р ИСО/МЭК 27005:2011; COSO ERM и др.), вопросы формального описания процесса управления рисками остаются на сегодня недостаточно проработанными. Поэтому в данной статье вводятся метрические характеристики оценки уровней рисков. На их основе предлагается математическая модель, позволяющая формализовать процедуры принятия управленческих решений в области риск-менеджмента.
Описание подходов к анализу рисков. Основополагающими («центральными») понятиями процесса управления рисками являются понятия приемлемого и допустимого рисков. Под приемлемым в общем случае понимается такой риск, с которым лицо, принимающее решения (ЛПР), может смириться в данной ситуации (при имеющихся обстоятельствах) [15].
Под допустимым риском («риск-аппетитом») понимается такая степень риска в процессе осуществления деятельности, которая с позиций ЛПР предоставляет относительную гарантию достижения поставленных целей организации [20].
Дополнительно вводится понятие «толерантный риск» - это величина риска RTP, которую организация объективно может перенести при реализации всех возможных негативных сценариев развития событий [6]. Другими словами, толерантным риском считается максимальный уровень риска, который не приводит к необратимым негативным последствиям для организации. Решения о том, какой совокупный «объем» (величину) риска компания желает или не желает принять, является решением корпоративного уровня [13, 14].
При математической формализации задачи величину риска обычно представляют как сочетание вероятности наступления некоторого события и неблагоприятных последствий от него:
R = P®U, (1)
где Р - вероятность наступления неблагоприятного события (НС); U - его последствия (потери; ущерб); 0 - некоторым образом определенная композиция (часто интерпретируемая как умножение).
Существующие методики оценки уровня риска предлагают различные трактовки формулы (1): в одних на первый план выдвигается вероятностная составляющая, в других -значение ущерба.
Получающиеся при этом величины не являются для ЛПР достаточно информативными и не позволяют ему сделать обоснованный выбор управленческих решений.
Поэтому представляется целесообразным другой подход к оценке приемлемого риска. Он основывается на следующем предположении: чем больше потенциальный ущерб, тем меньше должна быть вероятность его возникновения для того, чтобы ЛПР готово было его принять. Причем из природы самого понятия «приемлемый риск» следует, что:
для VU 3\P:P*(U) = P . (2)
Исходя из этого, в общем виде искомая зависимость вероятности возникновения НС от величины ущерба может быть представлена следующим образом:
Р' = Р\Ю, (3)
где P*(U) - монотонно убывающая функция, отражающая приемлемую вероятность возникновения НС, приводящего к нормированному ущербу U = U* /UKp ; U* е [U"3 ;UKp]; LT3 - ущерб, не являющийся значимым для ЛПР (т.е. такой, который может не приниматься им во внимание; Р (U нз) может быть близка к «1»); UH3 =UH3 IUKp - нормированное значение незначимого ущерба; 1ТР - критический (максимально приемлемый для ЛПР) ущерб, вероятность возникновения которого необходимо свести к нулю:
P\ÜKP) = 0. (4)
Таким образом, функцию приемлемого для ЛПР риска можно задать в виде зависимости вероятности возникновения некоторого НС от величины ущерба.
В качестве Р в формуле (1) предлагается использовать функцию вида:
Р - а- ехр(-Ь(С/ - ииз)), (5)
где а и Ъ - некоторые константы, а - соответствует вероятности, с которой ЛПР допускает возникновение незначимого нормированного ущерба UH3; Ъ - определяет скорость падения
допустимой вероятности нанесения ущерба по мере возрастания разницы (U - \Jm) . Предложенную функциональную зависимость можно представить графически в виде кривой приемлемого риска, построенной в координатной плоскости «нормированный ущерб - вероятность» (рис. 1). При этом прямоугольник с вершинами (UH3; 0); (UH3; 1); (1; 1); (1; 0) назовем полигоном возможных значений риска (ПВЗР).
А Р (вероятность НС)
зона приемлемого
11нз 1 и (нормированный ущерб)
Рис. 1. Графики функций приемлемого и толерантного риска, кривая риск-аппетита
Область, ограниченная осями координат и кривой Р (С/ ) , является зоной приемлемого риска (см. рис. 1). Вне этой области значение риска является для ЛПР субъективно неприемлемым, но может быть допустимым (в рамках «риск-аппетита»).
Отношение площади зоны приемлемого риска к площади ПВЗР (прямоугольник
с длинами сторон 1 и (1 - I I"'')) количественно характеризует нормированную величину приемлемого риска. Она может быть найдена по формуле:
1
\р\и)(1и /(1 -ит). (6)
R"" =
Подставив (5) в (7) и взяв интеграл, получим:
Rnp = а[ 1 - ехр( -0(1 - Um ))] /[b( 1 - ÏÏm )]. (7)
Величина допустимого риска К" , отражающего «риск-аппетит», закрепляется внутренней политикой управления рисками компании и обычно составляет 1,2-1,4 от величины приемлемого риска (см., например, [13-14]). С учетом этого:
R'"' = ßR"" . (8)
где ß е [1,2; 1,4] - коэффициент, отражающий «риск-аппетит» компании.
Методика построения кривой приемлемого риска. На практике область приемлемого риска может быть построена по следующей схеме:
1) ЛПР определяет конечное множество из N значений, отражающих вероятности
принятия ( / ■ ) различных уровней ущерба (£/,): R = {(U,■; P*)}j=l v :
2) значения I ¡: нормируются по значению If".
3) заданные в опорных точках Ц значения / , аппроксимируются непрерывной функцией вида (5).
В качестве примера на рисунке 2 показана аппроксимация по методу наименьших квадратов данных, приведенных в методике фирмы Microsoft «The Security Risk Management Guide» для оценки уровня риска [22]. Высокое значение величины достоверности аппроксимации R2 = 0,95 показывает, что экспоненциальная кривая Р = 1,19 ехр(-2,29 U ) хорошо описывает данную зависимость Р {1 ).
1
0.9 0,8
0,7 0:б 0,5 0:4 0,3 ОД ОД о
Р (вероятность)
ОД 0JZ 0,3 0,4 0.5 0.6 0;7 0:8 0:9 1 U(нормированный
ущерб)
Рис. 2. Кривая приемлемого риска, построенная на основе данных методики Microsoft
тек _
/(1 -инз). (ю)
Чтобы определить текущий уровень риска в организации, необходимо рассмотреть структуру ее активов, которым может быть причинён ущерб, и выявить перечень возможных угроз этим активам. Затем с привлечением экспертов нужно оценить вероятности причинения суммарного ущерба по всему множеству имеющихся активов со стороны всех возможных угроз. Учитывая, что при этом суждения экспертов обычно носят вербальный характер, для перехода к числовым оценкам целесообразно воспользоваться шкалой Харрингтона [21]:
«Вероятность причинения ущерба Низкая (Н)» - 0;
«Вероятность причинения ущерба Ниже Средней (НС)» - 0,29;
«Вероятность причинения ущерба Средняя (С)» - 0,51; (9)
«Вероятность причинения ущерба Выше Средней (ВС)» - 0,72;
«Вероятность причинения ущерба Высокая (В)» - 1.
Таким образом, задается множество точек, аппроксимация которых функцией, например вида (5), дает возможность построить «кривую текущего риска».
Отношение величины интеграла от функции «текущего риска» к площади ПВЗР позволяет численно определить нормированную величину текущего риска:
1
\p-(U)dU
_ию
Если Rnp < RmeK < R^, то уровень риска является субъективно неприемлемым для ЛПР, но еще объективно допустимым в рамках «риск-аппетита». Если R^ < R""' , то уровень риска является неприемлемым для организации.
Разность между величинами приемлемого и текущего нормированных рисков численно характеризует безразмерное абсолютное значение степени опасности ситуации:
A *° = prK-FF, (11)
где Аабс - метрическая характеристика абсолютного значения степени опасности ситуации.
Таким образом, при Дабс < R"1' - R'11' уровень риска является субъективно неприемлемым для ЛПР, но допустимым в рамках «риск-аппетита» организации. В противном случае риск объективно неприемлем для организации.
Отношение значений абсолютной степени опасности и приемлемого риска определяет относительную степень опасности ситуации:
А0ТН = Aa6c / Rnp. (12)
Расчетный пример:
Пусть задано множество опорных точек, описывающих текущее состояние уровня риска (на рисунке 3 изображены в виде точек):
RmeK = {(0,1;1); (0,3;0,72); (0,6;0,51); (0,8;0,29); (1;0,2)}
В качестве функции приемлемого риска примем кривую, построенную ранее на основе данных, используемых в методике Microsoft [22].
Необходимо оценить степень опасности ситуации.
Исходя из заданных условий, имеем (рис. 3):
• функция «текущего риска»: Ртек = 1,25 схр(-1.78II ) (степень достоверности аппроксимации R2 = 0,98);
• функция приемлемого риска: Р* = 1,19 ехр(-2,29 U );
• нормированное значение незначимого ущерба: Uнз = 0,1.
Вычислим интегральные показатели приемлемого и текущего рисков согласно формулам (7) и (10):
Rnp = 1,19[1 - ехр(-2,29(1 - 0,1))]/[2,29(1 - 0,1)] = 0,58[1 - ехр(-2,06)] = 0,5 ;
Кшек = J 25[1 _ exp^jjg^ _0,1))]/[1,78(1 - 0,1)] = 0,78[1 -ехр(-1,6)] = 0,62.
Исходя из (11) и (12), получим абсолютную и относительную оценки степени опасности ситуации:
Дабс = 0,62 -0,5 = 0,12; А0™ = 0,12/0,5 = 0,24. Пусть политика риск-менеджмента организации предусматривает, что § = 1,3. Тогда величина «риск-аппетита» - R"' = 1,3 • 0,5 = 0,65 .
Таким образом, величина текущего риска (0,62) находится между значениями приемлемого риска (0,5) и «риск-аппетита» (0,65). Она является субъективно неприемлемой, но допустимой в рамках «риск-аппетита» организации.
11Р (вероятность)
1 IIN
N
0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1 V (нормированный
ущерб)
Рис. 3. Кривые приемлемого и текущего рисков
Стратегии управления уровнем риска. Введенные с помощью формул (I Г)- ( 12) метрики дают возможность численно оценить, насколько опасна текущая ситуация, а также сравнить ситуации между собой. Это, в свою очередь, позволяет принимать обоснованные решения при выборе наиболее эффективной стратегии обеспечения требуемого уровня безопасности.
При этом ЛПР может прибегнуть к одной из следующих двух стратегий [3, 10].
Стратегия 1. Принятие риска - возможно с полным или частичным возложением ответственности за последствия реализации НС на третье лицо (путем страхования).
Стратегия 2. Снижение риска.
Реализация второй стратегии возможна различными средствами:
• уклонение от угрозы или ликвидация источника угрозы;
• снижение уровня уязвимостей (условий реализации угрозы) за счет применения механизмов защиты;
• снижение негативных последствий от реализации угрозы.
Первые два варианта действий стратегии 2 направлены на снижение вероятности возникновения НС, т.е. соответствуют смещению точки А0 (Г : Ро) вниз по оси ординат (ва-
риант 1 на рис. 4). Третий вариант направлен на снижение уровня последствий от неблагоприятного воздействия: перемещение точки А0 влево по оси абсцисс (вариант 2 на рис. 4).
Перечисленные стратегии могут также комбинироваться с целью одновременного снижения ущерба и вероятности возникновения НС (вариант 3 на рис. 4). При этом возникает задача выбора оптимальной траектории перемещения точки А0 на кривую приемлемого риска.
ущерб)
Рис. 4. Выбор стратегии снижения риска
При решении этой задачи введем также следующие обозначения: 5ц - «стоимость» снижения условной единицы ущерба от реализации НС; - «стоимость» снижения вероятности наступления НС. При этом под «стоимостью» понимается совокупность необходимых дополнительных человеческих, материальных, временных и иных ресурсов для реализации мер по снижению риска.
Для нахождения числовой характеристики «стоимости» снижения риска, необходимо привести значения соответствующих ресурсов к безразмерной шкале от 0 до 1 (например, согласно шкале Харрингтона), а затем найти аддитивную свертку вида:
5 = а1£(чел) +а15(лшт) +а18(вра° + ..., (13)
где ОС, - «весовые» коэффициенты, определяющие «значимость» для ЛПР человеческих
/ о(чел) . , с1{мат) . , су(брем) .
(о ), материальных (о ), временных (о ) и других дополнительных ресурсов при осуществлении мер по снижению риска.
Часто при определении «весовых» коэффициентов формулы (13) экспертам бывает затруднительно дать им четкие числовые оценки. В этом случае может быть использован предложенный в [2] метод нестрогого ранжирования, который позволяет находить искомые оценки в виде обобщенных весов Фишберна.
Эффективность применения данного подхода основана на том, что «мягкие» качественные измерения типа сравнения, отнесения к классу, упорядочения гораздо более надёжны, чем назначение субъективных вероятностей, количественных оценок важности критериев, «весов» полезностей и т.п. [5, 12].
Таким образом, расстояние от точки А„ (U 0; Ро), характеризующей текущий уровень риска, до произвольной точки А (U ; Р) на кривой приемлемого риска (рис. 4) находится по формуле:
p = j(Ü0-Ü)2+(P0-P\Ü)f ■ (14)
Чтобы найти оптимальную прямолинейную траекторию перемещения точки An, необходимо минимизировать стоимость перемещения по «траектории» для снижения суммарного риска, т.е. найти минимум функции:
min, (15)
где AU = Uо- U-AP = Po-P*(Ü).
С учетом формулы (5) получаем:
(Ü0 - Üf + SlЩ - а ■ Qxp(-bü))2 -> min . (16)
После нахождения производной и приравнивания ее к нулю, задача поиска оптимальной траектории снижения риска сводится к решению уравнения:
(17)
Sv(U0-U)-S2P-a-b■ exp (~bU)(P0 - а ■ exp (-bU)) = 0.
Решение данного уравнения II может быть найдено любым из известных численных методов (например, методом касательных) [19].
Для вычисления значения Р найденное значение II необходимо подставить в формулу (5). Отрезок, соединяющий точки (II,: Р0) и (II; Р ), и будет искомой оптимальной траекторией снижения риска.
Таким образом, для реализации стратегии снижения риска может быть предложен следующий алгоритм (рис. 5).
корректировка значении приемлемого риска
да
i •
увеличить
Конец
Рис. 5. Алгоритм реализации стратегии снижения риска
18
1. Согласно формулам (11) и (12) находятся значения абсолютной и относительной степеней опасности ситуации. На их основе принимается решение о величине выделяемых на снижение риска ресурсов Seud.
2. Для каждой точки из множества RmeK, характеризующей текущий уровень риска,
с использованием аддитивной свертки вида (13), определяется уровень затрат на снижение значений вероятности возникновения НС и ущерба от его возникновения (SP и Sv соответственно).
3. Для каждой опорной точки из множества RmeK, характеризующей текущий уровень риска, решается задача нахождения оптимальной траектории перемещения в зону приемлемого риска.
4. Рассчитывается суммарная «стоимость» затрат на снижение риска (сумма по всем опорным точкам) при перемещении по оптимальным траекториям Sp.
5. Полученное значение сравнивается с величиной утвержденных в пункте 1 затрат: AS = S,.hin - Sp. Если расчетная стоимость мер по снижению риска больше допустимой (AS" < 0), то ЛПР должно принять решение либо об увеличении величины приемлемого риска, либо о выделении дополнительных ресурсов на осуществление мер по снижению уровня риска.
Заключение. Предложенный в работе подход к оценке рисков и введенные на его основе метрики позволяют формализовать процесс поиска и принятия оптимальных управленческих решений для снижения уровня текущего риска до приемлемого значения.
Разработанная математическая модель позволяет приступить к разработке программного обеспечения для поддержки принятия решений по управлению уровнем риска.
Список литературы
1. Ажмухамедов А. И. Мотивационное, институциональное и информационное управление персоналом коммерческого банка / А. И. Ажмухамедов, Т. А. Копытина // Прикаспийский журнал: управление и высокие технологии. - 2015. - № 2. - С. 10-20.
2. Ажмухамедов И. М. Моделирование на основе экспертных суждений процесса оценки информационной безопасности / И. М. Ажмухамедов // Вестник Астраханского государственного технического университета. Управление, вычислительная техника и информатика. - 2009. - № 2. - С. 101-109.
3. Ажмухамедов И. М. Системный анализ и управление социотехническими системами комплексного обеспечения информационной безопасности / И. М. Ажмухамедов // Проблемы информационной безопасности. Компьютерные системы. - 2013. - № 1. - С. 132-151.
4. Аникин И. В. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях : монография / И. В. Аникин. - Казань : редакционно-издательский центр «Школа», 2015. - 224 с.
5. Асанов А. А. Влияние надёжности человеческой информации на результаты применения методов принятия решений / А. А. Асанов, О. И. Ларичев //Автоматика и телемеханика. - 1999. - № 5. -С. 20-31.
6. Берч К. Риск Аппетит: «Не откусывайте больше, чем Вы можете проглотить» / К. Берч // Интернет-проект «Корпоративный менеджмент». - Режим доступа: http://www.cfin.ru/finanalysis/ risk/ Risk Appetite.shtml (дата обращения 10.09.2015), свободный. - Заглавие с экрана. - Яз. рус.
7. Брумштейн Ю. М. Анализ моделей и методов выбора оптимальных совокупностей решений для задач планирования в условиях ресурсных ограничений и рисков / Ю. М. Брумштейн, Д. А. Тарков, И. А. Дюдиков // Прикаспийский журнал: управление и высокие технологии. - 2013. -№ 3. - С. 169-179.
8. Брумштейн Ю. М. Анализ факторов, методов и модели управления рисками в процессе жизненного цикла медицинских информационных систем / Ю. М. Брумштейн, О. В. Сивер // Известия Южного федерального университета. Технические науки. - 2014. - № 10 (159). - С. 194-196.
9. Выборнова О. Н. Онтологическая модель процесса оценки рисков / О. Н. Выборнова // Вестник Астраханского государственного технического университета. Управление, вычислительная техничка и информатика. - 2015. - № 2 (апрель). - С. 97-102.
10. ГОСТ P ИСО / МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. - Введен 2011-12-01. -Москва : Стандартинформ, 2011. - 27 с.
11. Дмитриев М. Н. Количественный анализ риска инвестиционных проектов / М. Н. Дмитриев, С. А. Кошечкин // Интернет-проект «Корпоративный менеджмент». - Режим доступа: http://www.cfin.ru/finanalysis/quant_risk.shtml (дата обращения 30.08.2015), свободный. - Заглавие с экрана. - Яз. рус.
12. Ларичев О. И. Качественные методы принятия решений. Вербальный анализ решения / О. И. Ларичев, Е. М. Мошкович. - Москва : Наука, 2006. - 208 с.
13. Политика по управлению рисками ОАО «Казына Капитал Менеджмент». - Режим доступа: http://www.kcm-kazyna.kz/images/userfiles/files/risk%20ras.pdf (дата обращения 15.09.2015), свободный. - Заглавие с экрана. - Яз. рус.
14. Политика управления рисками в ОАО «МРСК Центра». - М., 2010. - Режим доступа: http://www.mrsk-l.ru/docs/regulitions7.doc (дата обращения 15.09.2015), свободный. - Заглавие с экрана. - Яз. рус.
15. Приемлемый риск как уровень безопасности производства // Студми. Учебные материалы для студентов. - Режим доступа: http://studme.org/12810419/bzhd/priemlemyy_risk_kak_uroven_ bezopasnosti_proizvodstva (дата обращения: 30.08.2015), свободный. - Заглавие с экрана. - Яз. рус.
16. Проталинский О. М. Системный анализ и моделирование слабо структурированных и плохо формализуемых процессов в социотехнических системах / О. М. Проталинский, И. М. Ажму-хамедов // Инженерный вестник Дона. - 2012. - № 3. - Режим доступа: http://www.ivdon.ru/ru/ magazine/archive/n3y2012/916, свободный. - Заглавие с экрана. - Яз. рус.
17. Управление рисками // Центр управления финансами. - Режим доступа: http://center-yf.ru/data/menedzheru/upravlenie-riskami.php (дата обращения 30.08.2015), свободный. - Заглавие с экрана. - Яз. рус.
18. Чернова Г. В. Управление рисками / Г. В. Чернова, А. А. Кудрявцев. - Москва : Проспект, 2003. - 160 с.
19. Численные методы решения нелинейных уравнений // Математический форум Math Help Planet. - Режим доступа: http://mathhelpplanet.com/static.php?p=metody-resheniya-nelineynykh-uravneniy (дата обращения 12.09.2015), свободный. - Заглавие с экрана. - Яз. рус.
20. Enterprise Risk Management - Integrated Framework: Executive summary // Committee of Sponsoring Organizations of the Treadway Commission. - Режим доступа: http://www.coso.org/ERM-IntegratedFramework.htm (дата обращения 30.08.2015), свободный. - Заглавие с экрана. - Яз. рус.
21. Harrington Е. С. The desirable function / Е. С. Harrington // Industrial Quality Control. - 1965. -Vol. 21, № 10.-P. 494-498.
22. The Security Risk Management Guide // Mcrosoft Methodology. - Available at: http:// www.microsoft.com/en-us/download/details.aspx?id=6232 (accessed 20.08.2015).
23. Zwikael O. The effectiveness of risk management: an analysis of project risk planning across industries and countries / O. Zwikael, M. Ahn // Risk Analysis. - 2011. - Vol. 31, № 1. - P. 25-37.
References
1. Azhmukhamedov A. I., Kopytina T. A. Motivatsionnoe, institutsionalnoe i informatsionnoe upravlenie personalom kommercheskogo banka [Personnel management of the commercial bank under condition of uncertainty]. Prikaspiyskiy zhurnal: upravlenie i vysokie tekhnologii [Caspian Journal: Management and High Technologies], 2015, no. 2. pp. 10-20.
2. Azhmukhamedov I. M. Modelirovanie na osnove ekspertnykh suzhdeniy protsessa otsenki in-formatsionnoy bezopasnosti [Modelling based on the expert judgements of the process of informational safety evaluation], Vestnik Astrakhanskogo go sudarstvennogo tekhnicheskogo universiteta. Upravlenie, vy-chislitelnaya tekhnika i informatika [Bulletin of the Astrakhan State Technical University. Management, Computer Science and Informatics], 2009, no. 2. pp. 101-109.
3. Azhmukhamedov I. M. Sistemnyy analiz i upravlenie sotsiotekhnicheskimi sistemami kom-pleksnogo obespecheniya informatsionnoy bezopasnosti [System analysis and management of socio-technical systems of complex ensuring information security]. Problemy informatsionnoy bezopasnosti. Kom-pyuternye sistemy [Problem of Information Security. Computer Systems], 2013, no. 1, pp. 132-151.
4. Anikin I. V. Metody otsenki i upravleniya riskami informatsionnoy bezopasnosti v korporativ-nykh informatsionnykh setyakh [Evaluation methods and risk managements of information security in corporate information networks], Kazan, redaktsionno-izdatelskiy tsentr «Shkola» Publ., 2015. 224 p.
5. Asanov A. A., Larichev O. I. Vliyanie nadezhnosti chelovecheskoy informatsii na rezultaty pri-meneniya metodov prinyatiya resheniy [Influence of reliability of human information on results of application of methods of decision making], Avtomatika i telemekhanika [Automation and Remote Control], 1999, no. 5, pp. 20-31.
6. Berch K. Risk Appetit: «Ne otkusyvayte bolshe, chem Vy mozhete proglotit» [Risk Appetite: «Don't bite off more, than you can swallow»]. Internet-proekt «Korporativnyy menedzhment» [Internet project "Corporate management"]. Available at: http://www.cfin.ru/finanalysis/risk/Risk_Appetite.shtml (accessed 10.09.2015).
7. Brumshteyn Yu. M., Tarkov D. A., Dyudikov I. A. Analiz modeley i metodov vybora optimal-nykh sovokupnostey resheniy dlya zadach planirovaniya v usloviyakh resursnykh ogranicheniy i riskov [The models and methods analysis of optimum choice for decisions sets in conditions of resources restrictions and risks]. Prikaspiyskiy zhurnal: upravlenie i vysokie tekhnologii [Caspian Journal: Management and High Technologies], 2013, no. 3, pp. 169-179.
8. Brumshteyn Yu. M., Siver O. V. Analiz faktorov, metodov i modeli upravleniya riskami v prot-sesse zhiznennogo tsikla meditsinskikh informatsionnykh sistem [System analysis of risks in process of medical information systems life cycle]. Izvestiya Yuzhnogo federalnogo universiteta. Tekhnicheskie nauki [Southern Federal University. Engineering Sciences], 2014, no. 10 (159), pp. 194-196.
9. Vybornova O. N. Ontologicheskaya model protsessa otsenki riskov [Ontological model of the process of risk assessment] Vestnik Astrakhanskogo gosudarstvennogo tekhnicheskogo universiteta. Upravlenie, vychislitelnaya tekhnika i informatika [Bulletin of the Astrakhan State Technical University. Management, Computer Science and Informatics], 2015, no. 2 (April), pp. 97-102.
10. GOST R ISO / IEC 27005-2010. Information technology. Methods and tools for baking have been ensured security. Information security risk management. Introduced 2011-12-01. Moscow, Standartin-formPubl., 2011. 27 p.
11. Dmitriev M. N., Koshechkin S. A. Kolichestvennyy analiz riska investitsionnykh proektov [Quantitative risk analysis of investment projects]. Internet-proekt «Korporativnyy menedzhment» [Internet project "Corporate management"]. Available at: http://www.cfin.ru/finanalysis/quant_risk.shtml (accessed 30.08.2015).
12. Larichev O. I., Moshkovich Ye. M. Kachestvennye metody prinyatiya resheniy. Verbalnyy analiz resheniya [Qualitative methods of decision-making. Verbal analysis solutions], Moscow, Nauka Publ., 2006. 208 p.
13. Politika po upravleniyu riskami AO «Kazyna Kapital Menedzhment» [Policy on risk management of JSC «Kazyna Capital Management»]. Available at: http://www.kcm-kazyna.kz/images/userfiles/ files/risk%20rus.pdf (accessed 15.09.2015).
14. Politika upravleniYa riskami v OAO «MRSK Centra» [Risk management policy in JSC «IDGC of Centre»]. Available at: http://www.mrsk-l.ru/docs/regulitions7.doc (accessed 15.09.2015).
15. Priemlemyy risk kak uroven bezopasnosti proizvodstva [Acceptable risk as level of safety of production], Studmi. Uchebnye materialy dlya studentov [Studmi. Educational Materials for Students] Available at: (http://studme.org/12810419/bzhd/priemlemyy_risk_kak_uroven_bezopasnosti_proizvodstva (accessed 30.08.2015).
16. Protalinskiy O. M., Azhmukhamedov I.M. Sistemnyj analiz i modelirovanie slabo strukturiro-vannyh i ploho formalizuemyh processov v sociotehnicheskih sistemah [System analysis and modeling of poorly structured and badly formalized processes in socio-technical systems]. Inzhenernyy vestnik Dona [Engineering Bullein of Don], 2012, no. 3. Available at: http://www.ivdon.ru/ru/magazine/archive/n3y2012/916.
17. Upravlenie riskami [Risk management]. Tsentr upravleniya finansami [Center for Financial Management]. Available at: http://center-yf.ru/data/menedzheru/upravlenie-riskami.php (accessed 30.08.2015).
18. Chernova G. V., Kudryavtsev A. A. Upravlenie riskami [Risk management], Moscow, Prospekt Publ., 2005. 160 p.
19. Chislennye metody resheniya nelineynykh uravleniy [Numerical methods of the solution of nonlinear uravleniy], Matematicheskiy forum Math Help Planet [The Mathematical Forum Math Help
Planet]. Available at: http://mathhelpplanet.com/static.php?p=metody-resheniya-nelineynykh-uravneniy (accessed 12 .09.2015).
20. Enterprise Risk Management - Integrated Framework: Executive summary. Committee of Sponsoring Organizations of the Treadway Commission. Available at: http://www.coso.org/ERM-IntegratedFramework.htm (accessed 30.08.2015).
21. Harrington E. C. The desirable function. Industrial Quality Control, 1965, vol. 21, no. 10, pp. 494-498.
22. The Security Risk Management Guide. Microsoft Methodology. Available at: http://www.microsoft.com/en-us/download/details.aspx?id=6232 (accessed 20.08.2015).
23. Zwikael O., Ahn M. The effectiveness of risk management: an analysis of project risk planning across industries and countries. Risk Analysis, 2011, vol. 31, no. 1, pp. 25-37.
УДК 004:65.01
СОВРЕМЕННЫЕ ПОДХОДЫ К РАЗВИТИЮ ПЕРСОНАЛА В РОССИИ
Статья поступила в редакцию 12.11.2015 г., в окончательном варианте 23.11.2015 г.
Минева Оксана Карловна, доктор экономических наук, декан, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, e-mail: okmineva@rambler.ru
Ходенкова Ольга Павловна, кандидат экономических наук, доцент, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, e-mail: fbe@aspu.ru
Храмова Татьяна Михайловна, кандидат экономических наук, доцент, первый проректор - проректор по экономике, финансам и развитию, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, e-mail: econo-mist@aspu.ru
Войнова Юлия Сергеевна, кандидат экономических наук, доцент, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, e-mail: uristagma@yandex.ru
Современные тенденции в области управления персоналом, менеджментом карьер, организационного управления, развития информационных технологий (ИТ) существенно расширяют горизонты профессиональной деятельности менеджера в области управления развитием персонала. Отказ от узкого понимания данного вида управления, как процесса наращивания человеческого капитала, в пользу более широкого стратегического видения (от диагностики существующего потенциала сотрудников до персональной идентификации их со стратегическими целями развития компании) предполагает создание трехступенчатой структуры программы развития персонала. Авторами предложена схема управления развитием сотрудников организации, опирающаяся на определение конкурентных преимуществ и «проблемных зон» в области управления персоналом - эта схема отражает опыт успешного менеджмента ведущих компаний. Динамические процессы в области работы с персоналом, происходящие в западных странах, оказывают существенное влияние на выбор приоритетных направлений работы, этапность реализации принимаемых решений и в Российских компаниях. В этой связи проактивность менеджеров по персоналу, активное использование ИТ выступают конкурентными преимуществами тех компаний, в которых такие подходы применяются. В рамках данной статьи авторы представляют программу развития сотрудников в современной компании. При этом делается определенный акцент на анализе взаимосвязей между развитием ИТ и особенностями управления персоналом, реализацией программ его развития. Также в статье представлена математическая модель для выбора оптимального распределения затрат на развитие персонала с учетом его направлений деятельности, квалификации и ожидаемой продолжительности работы в организации.
