Читать книгу Обеспечение информационной безопасности бизнеса - Группа авторов - Страница 17

Основное содержание любого бизнеса – управление ресурсами в пространстве и времени для достижения цели. Не претендуя на построение общей модели бизнеса, которая могла быть использована для практических целей, таких как его улучшение, увеличение прибыли и т. п., рассмотрим некоторую сильно упрощенную (обобщенную) модель управления ресурсами организации, применимую для целей анализа влияния ИБ на бизнес, и, как следствие, лучшего понимания места и роли ИБ в организациях. Основными особенностями бизнеса являются:

а) привлекаемый (используемый) ресурс для достижения цели (производства продукта, предоставления услуги) приобретается в общем случае на заемные средства;

б) производимый продукт реализуется на рынке, и выручка, полученная в ходе реализации, есть источник покрытия всех издержек.

Будем считать, что бизнес осуществляется в виде двух операций: заем, инвестирование – и характеризуется временем реализации цели T_Ц. Под целью понимается своевременный возврат заемных средств и получение прибыли в результате реализации продукта, произведенного за счет инвестирования заемных средств. При этом предполагается, что кроме заемных средств собственник (организация), осуществляющий бизнес, располагает собственными средствами в виде некоей совокупности активов, часть из которых ликвидная.

Заем характеризуется объемом  платой за заем П_Z, интервалом времени возврата T_Z. Пусть  Тогда заем есть пара <V_Z, T_Z>.

Инвестиция характеризуется объемом  временем возврата инвестиций T_И, величиной возврата инвестиций  Цель любого инвестирования – вернуть больше, т. е. выполнить соотношение

Будем считать бизнес сходимым, если возврат инвестиций осуществлен в большем объеме, чем заем и все остальные издержки, т. е. если  При этом время T_Ц реализации цели не столь критично, как время T_Z возврата заемных средств.

Вследствие того, что только параметр T_Z является фиксированным, а остальные параметры процесса подвержены рискам различной природы, может оказаться, что на момент возврата инвестиций ΔV < 0. Возникающая коллизия может быть покрыта в конечном счете только из собственных средств организации, ее способность разрешать такие коллизии является рисковой категорией.

Рассмотрим последовательно некоторые виды возникающих рисков. По факторам, от которых они зависят, их можно разделить на две группы:

– неуправляемые риски, полностью определяемые внешними факторами – в первую очередь рыночные риски R_р;

– управляемые или частично управляемые риски, зависящие от внутренних и внешних факторов.

На управляемые риски организация может влиять, проводя соответствующие мероприятия, и влияние тем сильнее, чем больше доля внутренних факторов, от которых зависят риски. Для упрощения рассмотрения ограничимся пока тремя видами рисков этой группы: стратегическим R_стр, операционным R_оп и ликвидности R_л.

С учетом рыночного риска объем возврата инвестиций (реализации)  может оказаться как меньше, так и больше ожидаемого объема V_Р. В худшем случае – меньше. С учетом рыночного риска  – убыток от реализации, привносимый рыночным риском. При отрицательном убытке получим, что  Аналогичным образом рыночный риск влияет на время реализации, привнося дополнительное время ΔT_Рр, которое может быть как положительным, так и отрицательным.

Для покрытия издержек от реализовавшихся рисковых событий организация должна либо иметь страховой фонд (резерв капитала), либо уметь быстро реализовывать часть своих активов для получения недостающих средств. Собственно, страховой фонд (резерв капитала) – это тоже актив.

Страховой фонд может быть создан за счет заемных средств. При условии, что рисковые события реализовались, фактические инвестиции увеличатся на величину ущербов, полученных от реализовавшихся событий стратегического и операционного риска. Оценка риска до начала инвестиций позволяет спрогнозировать эти потери. Объем инвестиций с учетом возможных потерь будет включать

V_И = V_Z + V _Zстр+ V_Zоп, (1)

где V_Zстр, V_Zоп – резервы на предполагаемые потери, связанные со стратегическим и операционным рисками соответственно.

Действия по реализации части активов могут быть направлены на формирование фонда резервирования основного капитала организации, при этом важнейшими показателями являются свойство ликвидности этого резерва и объем резерва.

Связанный с реализацией части актива риск R_л называется риском ликвидности. На этот риск влияют три фактора: V_Л – объем ликвидных активов, C_Л – стоимость этих активов и T_Л – время их реализации. Из них V_Л по сути есть характеристика структуры (количества и характера) активов – внутренний (управляемый) фактор организации, а C_Л и T_Л – это внешние факторы, зависящие от величины рыночного риска.

Таким образом, существует система рисков, воздействующих на объемные (V_i), временны́е (T_i) параметры либо на оба типа параметров (V_i, T_i) одновременно. Связи рисков с параметрами иллюстрируются рис. 6.

Каждая организация идентифицирует свои риски достижения заявленных целей. Выявленная в результате идентификации рисков система рисков есть риск-ориентированная модель организации, определяющая условия достижимости ее целей деятельности.

Рис. 6. Обобщенная модель распределения ресурсов организации в условиях рисков

С точки зрения проблемы ИБ часть идентифицированных рисков, имеющая отображение на информационную сферу организации, образует базис, используемый далее для построения модели ИБ организации, отражающей причинно-следственные связи и отношения между рисками ИБ и рисками для целей деятельности организации. Сами идентифицированные риски для целей деятельности организации, образующие базис, будем называть базовыми.