И. М. Гостев
igor_i13@mail.ru
Уже в первобытном обществе люди пытались защитить себя и свою собственность, поскольку потребность в безопасности обусловлена самой человеческой природой, практически наравне с потребностью в пище. Советская власть отучила людей от самостоятельной защиты своей собственности, которой, по сути, у них и не было. С распадом существовавшей общественной системы и становлением рыночной экономики, государство переложило на плечи бизнесменов заботу об охране имущества их предприятий, безопасности информации и, в конечном счете, о безопасности капитала в целом. Но если присмотреться к предпринимательской сфере, в рядах ее представителей можно увидеть полную растерянность. На предприятиях отсутствует охрана. Промышленный шпионаж процветает. Кое-где еще существуют «крыши», которые не могут и не пытаются что-либо делать, а лишь получают свой процент только за то, что сами не вредят своим клиентам. Случаев воровства даже в частных фирмах не меньше, чем было при социализме, хотя обращений в милицию заметно убавилось – хозяева предпочитают сами разбираться со своими проблемами. Однако при столь безрадостной картине на многих предприятиях не появляется даже зачатков инфраструктуры безопасности.
В чем же дело, почему руководители фирм, хозяева бизнеса сами создают угрозу своему делу? Принято считать, что расходы на безопасность не окупаются, их называют пустой тратой денег, данью моде, однако, понимая где-то в глубине своего сознания, что это не так, бизнесмены все-таки откладывают заботу о безопасности собственного дела в долгий ящик: вот когда будем хорошо жить, тогда и «позволим себе это баловство». Доживут ли эти предприятия до «хорошей жизни» – очень большой вопрос! Ведь порой даже там, где созданы службы безопасности, их руководителям зачастую приходится выпрашивать средства на создание сколько-нибудь полноценной структуры.
Давайте попробуем разобраться: кто же прав в этом споре. Отбросим в сторону эмоции, возьмем карандаш и калькулятор и обратимся к экономической науке.
Риски и угрозы
Сегодня уже никому не надо доказывать, что деньги на деревьях не растут и бизнесмен, и руководитель предприятия не «бьют баклуши», а вкалывают в поте лица, работая не по восемь часов, как рядовой работник, а фактически круглые сутки. И просыпаются они в холодном поту не от жадности, а от тех невзгод и опасностей, которые их подстерегают на каждом шагу.
Угрозы бизнесу реально существуют. Еще в большей степени повышает рискованность сделок необеспеченность безопасности материальных и информационных ценностей. Недостаток информации о существовании конкретной опасности – это уже самостоятельная угроза бизнесу. При этом каждая угроза с той или иной степенью вероятности может вылиться в конкретное действие, от которого предприятие понесет убытки, может быть разорено или уничтожено. Если найдется хоть один человек, который скажет, что ему ничего не угрожает, значит, он уже мертв.
Естественной целью бизнеса является извлечение прибыли. Получение большой прибыли подразумевает высокий риск и возможность больших потерь. При этом традиционный русский «авось» не позволяет выбрать гарантированно верное решение.
Вот здесь и проявляется диалектика бытия. Чем выше доходность, тем выше риски, а соответственно, ниже уровень безопасности. Но кому нужен малорентабельный бизнес с высоким уровнем безопасности? Низкая рентабельность сама превращается в угрозу бизнесу. Как быть? Казалось бы, подтверждение закона философии – единство и борьба противоположностей. Исходя из этого, некоторые авторы процесс развития бизнеса, а получение прибыли и есть развитие, определяют как противоположность безопасности. Казалось бы, все правильно, но, оказывается, происходит подмена понятия. Развитие – это цель, процесс, состояние, в конце концов, это поле боя двух действительных противоположностей: риска и безопасности. Теперь, цель борьбы за безопасность очевидна – снизить риск до приемлемого уровня, чем и помочь развитию бизнеса.
Давайте попытаемся хотя бы в общем виде определить те виды рисков, которые угрожают современному предприятию на различных этапах его деятельности.
Для рассмотрения факторов угроз в научный обиход введены различные принципы их систематизации, например по уровням экономик, по отраслям, по природе явления, по направленности или источнику. Каждая из них может быть исчерпывающей в своем конкретном случае. Но в нашем случае мы не станем рассматривать все существующие виды угроз, не все они равнозначны и однонаправлены. Так, например, усиление топливно-сырьевой направленности при сокращении перерабатывающей промышленности, отставание разведки запасов полезных ископаемых от их добычи, безработица и нелегальная эмиграция являются серьезными угрозами национальной безопасности страны, но для хозяйствующих субъектов это в основном положительные факторы. Некоторые из них, такие как вывоз капитала за границу, в результате чего происходит сокращение внутренних инвестиций, является одновременно как угрозой экономической безопасности предприятий, так и способом защиты собственных средств от угрозы, исходящей от нестабильной социально-политической ситуации в стране и варварского налогового законодательства.
Мы же, для упрощения подхода, примем классификацию по источнику опасности и природе явления, то есть будем рассматривать две основные группы угроз: внешние и внутренние. Источники внешних угроз бизнеса лежат вне юрисдикции хозяйствующего субъекта, а иногда находятся лишь в ведении господа бога. Это и природно-климатические факторы, политические, экономические и законодательные новации как федеральных, так и муниципальных властей, действия противников, в том числе террористов, криминал и др. Внутренние источники угроз – это, как правило, люди и их вольные или невольные действия. К сожалению, люди, как индивидуумы, не так легко предсказуемы, как социальные системы, а уж тем более техника.
Чтобы быть до конца объективными, необходимо ввести в нашей классификации третью группу (переменные угрозы), которой при рассмотрении конкретной ситуации, скорее всего, не будет, так как перечисленные в ней факторы угроз будут отнесены к внешним или внутренним.
Также, принимая во внимание разный уровень капитализации бизнеса, необходимо рассматривать отдельно угрозы для предприятий различных отраслей, для различных по размеру групп предприятий, например относящихся к категории крупного бизнеса, и отдельно, для мелкого и среднего бизнеса. Конечно, это разделение условно, мы обращаем на него ваше внимание лишь для того, чтобы показать наличие существенной разницы в уровне грозящей опасности и, соответственно, в общем уровне затрат необходимых на обеспечение безопасности. Оговоримся сразу, что приведенная матрица угроз (табл. 1) не является исчерпывающей и единственно верной. В конечном счете, каждое предприятие будет самостоятельно определять существующие опасности и оценивать их уровень.
Табл. 1. Факторы угроз
Природа явления
|
Источник проявления |
От внешних источников опасности |
Природно-климатические
|
Землетрясение, наводнение, смерч, шторм, гроза,
магнитные бури, снегопад, сход лавин и ледников и др. |
Техногенные
|
Авиационные, морские, космические катастрофы, пожары,
взрывы и др. в результате различных отказов техники |
| Антропогенные |
Политические
и макроэкономические
|
Военные действия, терроризм и диверсии, изменение законодательства, изменение таможенных правил и тарифов,
значительный внешний долг государства, завоевание внутреннего рынка России иностранными фирмами, передел отраслевых рынков, дискриминация России во внешней экономике, скупка инофирмами отечественных предприятий,
необустроенность таможенной границы, неразвитость инфраструктуры экспортно-импортных операций, неблагоприятный климат для внешних инвестиций, вывоз капиталов за границу, сокращение внутренних инвестиций, разрыв интеграционных отраслевых и производственно-технических связей, высокий уровень монополизации экономики, кризис финансово�кредитной системы, изменение социально-политической ситуации, дефицит бюджета, инфляция, социальная напряженность, имущественная дифференциация населения, черный пиар и др. |
Мезоэкономические
|
Неравномерность развития регионов, политическая ориентация губернаторов, социально-демографическая ситуация
в регионе/миграция населения, уровень жизни населения
в регионе, уровень предпринимательской активности в регионе, особенности местного законодательства, активности
и особенности деятельности контрольных органов, захват
собственности крупных градообразующих предприятий,
черный пиар и др. |
Микроэкономические
|
Захват собственности, изменение цен на рынке, конкуренция,
недобросовестная конкуренция, преднамеренное введение
в заблуждение относительно своей состоятельности или своих намерений со стороны возможных партнеров и конкурентов, внедрение конкурентами своих агентов в организацию,
утечка информации путем похищения документов или снятия
копий, корпоративный шантаж, черный пиар и др. |
Криминальные
|
Криминализация экономики, бандитизм, коррупция, хищение материальных ценностей посторонними лицами, посягательства на жизнь и здоровье сотрудников, шантаж и вымогательство, подкуп сотрудников с целью получения конфиденциальной информации организации саботажа или
вредительства, использование технических средств негласного получения информации и др. |
Переменные угрозы |
Экономические
|
Старение и разрушение производственной базы, разрушение научно-технического потенциала, низкая конкурентоспособность продукции, банкротство |
Криминальные
|
Повреждение оборудования и техники, систем жизнеобеспечения предприятия, преднамеренное похищение или
уничтожение информации, лжебанкротство и преднамеренное банкротство предприятий |
Травмы и гибель людей |
От внутренних источников опасности |
Изменение личных отношений между руководителями (владельцами), конфликты
собственников, менеджеров, коллектива, в том числе с участием третьей стороны |
| Столкновение интересов различных личностей, групп, коллективов |
| Нелояльность сотрудников |
| Несанкционированное изменение технологии и дезорганизация работы |
| Разглашение конфиденциальной информации |
| Пьянство и наркомания |
| Хищение материальных ценностей собственными работниками |
| Нарушение правил эксплуатации средств защиты |
| Нарушение правил техники безопасности и правил пожарной безопасности |
Понятно, что с ростом общего количества угроз возрастает и риск наступления вреда. До какого-то момента уровень вреда является допустимым, но есть и один-единственный рубеж, за которым существование бизнеса становится невозможным – порог банкротства. Это можно условно изобразить на графике (рис. 1).
Риск присутствует всегда и во всем. И задача стоит в том, чтобы максимально его снизить до допустимого уровня, хотя полностью его устранить невозможно. Кривая роста может изменять свою крутизну, но изменить ее направление можно лишь общим комплексом мер по обеспечению безопасности деятельности.
В сложившейся практике анализа рисков не учитывается частота повторяемости возможной реализации конкретных угроз, а размеры возможного ущерба принимаются эмпирическим путем. То есть исследуется абстрактная статическая модель без учета динамики угроз.
Определившись с существующими угрозами и недостатками существующей практики, для того чтобы оценить уровень грозящей опасности, мы должны ввести критерии измерений:
1. Для лучшего понимания предпочтительным является количественное описание коммерческих выгод и убытков, делающее их реально осязаемыми для людей.
2. Чтобы было возможно определить размер возможных убытков должен быть оценен и возможный уровень угрозы, как каждой в отдельности, так и суммарный в процессе их развития.
Полученные расчетным путем данные о возможных убытках позволят определить «соотношение риска и выгод» (risk-benefit ratio). Это понятие, позаимствованное из хирургии, точнее всего отражает необходимость тщательно взвесить все выгоды пациента в сравнении с его риском.
Прежде чем приступить к оценке угроз бизнесу, необходимо знать реальные экономические показатели фирмы, такие как капитализация, оборотный капитал, ликвидные активы. При наличии этих показателей, понимании жизненно важных интересов фирмы и направленности угроз на определенные элементы объекта защиты может быть произведена оценка уровней риска и выбор оптимальной системы защиты. При этом, очевидно, что оценка вероятности реализации угроз и возможных потерь – наиболее ответственная часть аналитической деятельности, предшествующей принятию решения, и допущенная ошибка грозит обернуться значительными материальными потерями для хозяйствующего субъекта.
Адекватная оценка может быть выполнена лишь специалистами службы безопасности, при внимательном отношении к информации, поступившей от других служб предприятия и, возможно, максимально объективной её оценки. Подобный комплекс информационно-аналитических мероприятий должен проводиться постоянно. Только такой мониторинг позволит своевременно выявить возникновение новых угроз и выработать своевременные адекватные меры по их ликвидации или блокированию.
Комплекс мероприятий по оценке уровня угроз и экономической эффективности системы обеспечения безопасности хозяйствующего субъекта можно изобразить на схеме (рис. 2).
Оценка уровней риска
Риск может быть определен как стоимостное выражение вероятного события, ведущего к потерям. Риск потенциально вреден и опасен, но гораздо хуже – неопределенность, то есть состояние незнания угрозы, невозможность его оценить и измерить.
Для наших целей необходима оценка уровней риска в абсолютных величинах, так как мы должны рассмотреть определенные виды потерь от конкретного вида угроз. При рассмотрении должны учитываться в стоимостном выражении все виды потерь: экономические, экологические, социальные и морально-психологические.
Максимальный предел допустимого риска может оцениваться по объему абсолютно ликвидных активов, включающих сумму денежных средств и ценных бумаг, находящихся в распоряжении компании. Этот предел ограничивает область абсолютной устойчивости (безрисковая зона) и область нормальной устойчивости (минимальный уровень риска) и примерно соответствует нижней границе области неустойчивого предприятия, определенной по методу анализа целесообразности затрат.
Порог банкротства, то есть критический уровень риска, для большинства хозяйствующих субъектов может определяться по уровню капитализации бизнеса либо общей сумме оборотного капитала.
Используя объем абсолютно ликвидных активов, как предельное значение допустимого риска ( W ) , и планируя определенные издержки при благоприятном исходе ( Р ) , взяв за основу метод комплексной оценки экономического риска, мы можем рассчитать плановое значение степени риска ( b ) , которое нам понадобится в дальнейших расчетах:
b = P / W.
Получив численное выражение планируемого риска от отдельного вида угрозы, мы сможем просуммировать показатели рисков и получить общее значение суммы рисков для существования бизнеса при неблагоприятных условиях ( В ), то есть при наступлении вредных последствий от нескольких различного рода угроз.
B = b 1 + b 2 + b 3 + ... + b n
Этот показатель и позволит нам теперь определить максимально возможную сумму потерь ( P max) при неблагоприятных условиях, то есть при реализации нескольких различных угроз. Ее мы можем рассчитать по формуле:
Pmax = B · W
Сама по себе суммарная оценка уровней риска и, следовательно, оценка суммы потерь будут недостаточно корректны без учета возможности наступления угрозы, ведь практически исключается их совпадение в один момент, даже самый неблагоприятный. Поэтому, параллельно должна производиться оценка вероятности наступления угроз.
"Защита информации. Кофидент", №4, 2003
