Совершенствование финансовых методов управления информационными рисками предприятий тема диссертации и автореферата по ВАК РФ 08.00.10, кандидат экономических наук Романенко, Наталья Александровна

Актуальность темы исследования.

Актуальность темы диссертационного исследования обусловлена необходимостью развития современного финансового менеджмента, включая такое направление, как управление информационными рисками. В научных исследованиях уделяется большое внимание управлению информационными рисками, но в основном в области обеспечения непрерывности бизнеса и сетевой безопасности. С середины 90-х годов прошлого века в ряде высокотехнологичных стран мира, главным образом в США, Великобритании, Германии, Канаде, подготовлено более десятка различных стандартов и спецификаций, детально регламентирующих вопросы управления информационными рисками.

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача- объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски, а также адекватность используемых средств контроля рисков для увеличения эффективности деятельности компаний.

Однако неоправданно мало исследований по внедрению и использованию финансовых методов управления информационными рисками предприятий.

Финансовые методы позволяют не только сформировать стоимостные показатели оценки и эффективности затрат на мероприятия по управлению информационными рисками, но и планировать затраты для их оценки.

Рассмотрение информационных рисков с позиции финансового менеджмента в наиболее полной мере раскрывает их экономическую природу, способствует преодолению их узкотехнического толкования только с позиции информационной безопасности и ее защиты. з

Актуальность избранной темы подтверждается необходимостью выявления финансовых механизмов защиты информации на предприятии и обоснования их роли в системе финансового менеджмента.

Постановка и научное обоснование проблемы управления информационных рисков предприятия, разработка рекомендаций по применению и совершенствованию финансовых методов управления этими рисками представляются важными разделами экономической науки, имеющими очевидную возрастающую практическую ценность.

Степень научной разработанности. При работе над диссертацией использовались труды отечественных и зарубежных ученых, в работах которых нашли отражение различные аспекты управления информационными рисками.

Вопросы, касающиеся экономических рисков, исследованы в работах многих отечественных и зарубежных ученых, среди которых Балабанов И. Т., Бернстайн П., Дункан Р., Ильенкова Н. Д., Луман Н., Маркович Г., Мертон Р., Мильнер Б., Найт Ф. X., Самуэльсон П. и др. Ими сформулированы общие принципы управления рисками, проведены их классификация, систематизация и анализ, представлены практические и научно-методические рекомендации по управлению рисками в различных сферах экономики. Но только в работах отдельных ученых информационные риски рассматриваются как разновидность экономических рисков.

В работе над диссертационным исследованием оказались полезными труды таких исследователей в области финансового менеджмента, инвестиций, бюджетирования, оценки стоимости компании, а также автоматизации финансов, как: Бланк И., Бочаров В., Бригхем Ю., Бурцев В., Бухалков М., Гапенски Л., Кузьмин Ю., Князев В., Мэй М., Шарп У. и др.

Математический инструментарий, методы анализа и оценки рисков приведены в работах Емельянова А. А., Костогрызова А. И., Кульбы В. В., Степанова П. В., Хрусталева Е. Ю. и др.

Использовались труды зарубежных и российских специалистов в области информатизации бизнеса, применения информационных технологий в управлении финансами предприятий, а также риск-менеджмента: Баутова А., Васильева А., Волоткина А., Гарнаева А., Карлберга К., Конева И., Кононова А., Ловцова Д., Лукацкого А., Петренко С., Симонова С., Садердинова А., Уфимцева Ю., Шпака В., Яновского А.

В работах российских и зарубежных авторов отражены многие проблемы использования информационных технологий в финансовой деятельности предприятий, механизмы и методы управления информационными рисками, изложены теоретические взгляды на инвестиции в мероприятия по защите информации, предложены методы оценки затрат компаний на управление информационными рисками. Вместе с тем в этих источниках не представлена целостная система управления информационными рисками бизнеса, в которой центральное место отводится финансовым методам.

Существующие методы и средства управления информационными рисками не объединены в рамках единой методологии, и могут применяться, как правило, только для исследования отдельных вопросов безопасности и качества информации. Не уделяется должного внимания использованию финансовых методов управления информационными рисками.

Таким образом, недостаточная степень разработанности проблемы управления информационными рисками на теоретическом, методологическом и методическом уровнях, обусловила выбор темы настоящего исследования, и определило его цели и задачи.

Цель и задачи исследования. Целью диссертационной работы является разработка научно обоснованного инструментария финансового менеджмента для совершенствования управления информационными рисками предприятий на основе использования финансовых методов.

В соответствии с целью исследования в работе поставлены следующие задачи, определившие структуру диссертации:

- раскрыть понятие «информационный риск» предприятия с позиций его финансово-экономической составляющей;

- обосновать необходимость финансового управления информационными рисками, определить его алгоритм и функциональную структуру и исследовать особенности применения финансовых методов управления информационными рисками;

- разработать методические подходы к страхованию информационных рисков предприятий;

- дать рекомендации по проведению анализа затрат на управление рисками, обосновав вложение денежных средств в управление информационными рисками и оценив в стоимостной форме ущерб, возникающий в случае реализации рискового события;

- обосновать направления совершенствования финансовых методов управления информационными рисками на основе разработки методики управления, опирающейся на их стоимостную оценку, и определить эффективность ее применения.

Предмет и объект исследования. Предметом исследования выступают экономические условия, финансовые отношения и финансовые методы управления и минимизации финансовых потерь, связанных с информационными рисками на предприятии.

Объектом исследования является финансово-экономическая деятельность предприятий, формирующих эффективную систему риск-менеджмента.

Теоретико-методологическую основу исследования составили обоснованные в трудах отечественных и зарубежных авторов принципиальные положения и выводы в области экономической теории, финансового менеджмента и корпоративных финансов; управления предприятием, экономико-математи-ческих методов, теории экономической безопасности, концепций информационной безопасности; исследования б механизмов повышения эффективности затрат на управление информацией и информационными рисками; публикации в периодической печати.

Нормативно-правовой базой исследования деятельности послужили Гражданский кодекс РФ, Налоговый кодекс РФ и другие законодательные и нормативно-правовые акты Российской Федерации, регулирующие функционирование реального сектора экономики в России, а также международные стандарты в области защиты информации, ратифицированные РФ, нормативные документы министерств и ведомств страны.

Инструментарно-методический аппарат исследования представлен рядом базовых методов научного познания, таких как: системно-функциональный, исторический, сравнительный, логический, экономико-статистический анализ, системный подход, монографический, программно-целевой, обобщения теоретических основ отечественной и зарубежной экономической науки в области управления информационными рисками, методы финансового менеджмента, экономико-математические модели и методы, логические и графические методы.

Информационно-эмпирическую базу исследования составили: официальные данные Федеральной службы государственной статистики, ее регионального представительства в Ростовской области; аналитические материалы Министерства финансов РФ; методические и рекомендательные материалы Российского союза промышленников и предпринимателей, Ассоциации менеджеров России, международных организаций по обеспечению информационной безопасности предприятий и граждан, управлению информационными рисками; материалы финансовой отчетности предприятий (ООО «Восток-Запад», ООО «Пара Д», ООО ПКФ «Альбион»); результаты исследований отечественных и зарубежных ученых, опубликованные в периодической и монографической литературе, авторских расчетов, а также материалы интернет-ресурсов.

Рабочая гипотеза диссертационного исследования базируется на идее применения финансовых методов управления информационными рисками, влияющими на финансовые результаты производственно-коммерческой деятельности предприятий. Она состоит в том, что устойчивое функционирование коммерческих организаций определяется использованием инструментария финансового менеджмента для стоимостной оценки и управления информационными рисками, включающей их мониторинг и контроль, что обеспечивает непрерывность бизнес-процессов организации и снижение потерь от реализации рисков.

Положения, выносимые на защиту

1. Информационные риски с полным правом могут быть отнесены к финансово-экономическим рискам, поскольку их наступление влечет за собой возможный ущерб, который можно оценить в стоимостной форме. Отсутствие понимания сущности информационных рисков с позиции рассмотрения их финансовой составляющей требует объективной необходимости расширения границ их теоретико-методологического познания с учетом интересов конечной деятельности предприятий, а именно получения прибыли и снижения затрат. Информационные риски возникают при осуществлении любой экономической деятельности и предопределяют необходимость ими управлять.

2. Необходимым условием развития и эффективной деятельности предприятий является финансовое управление их информационными рисками, что требует разработки соответствующего алгоритма и функциональной структуры. Финансовое управление осуществляется посредством применения различных методов, ключевыми из которых являются финансово-экономические. Финансовые методы следует выделить в отдельную группу, так как они являются универсальным средством противодействия информационным рискам. Их применение основывается на стоимостной оценке объекта управления, т.е. на стоимостной оценке информационных рисков. В этом и состоит основная сложность, поскольку такая оценка весьма 8 затруднена. В связи с практическим отсутствием в настоящее время методик комплексной оценки информационных рисков предприятия оценка может проводиться методами, применяемыми в сфере информационной безопасности, но они не лишены существенных недостатков.

3. С позиции финансового менеджмента страхование возможно рассматривать как один из главных и перспективных инструментов управления информационными рисками на предприятии. Для решения проблемы страхования информационных рисков в России и его широкого применения необходима разработка соответствующей методики и алгоритма ее применения. Необходимо ставить вопрос о соразмерности расходов на страхование информационных рисков и затрат, понесенных организацией в результате наступления рискового события. Решение проблемы страхования информационных рисков напрямую зависит от возможности стоимостной оценки и прогнозирования этих рисков, а также от наличия соответствующего правового базиса.

4. Для выбора наиболее оптимального варианта вложения затрат в управление информационными рисками и обоснования его целесообразности возникает необходимость в систематизации, оценке и проведении анализа затрат на управление рисками. С целью выделения и оценки затрат на управление специфическими информационными рисками и оценки возможного ущерба, наступившего в случае реализации рискового случая, можно рекомендовать использование положений методики определения совокупной стоимости владения.

5. Необходима разработка методики управления информационными рисками, основанной на их стоимостной оценке и, соответственно, применении финансовых методов, являющихся универсальными для противодействия любому риску. Во-первых, необходимо оценить сумму ущерба в случае реализации рискового события и обосновать целесообразность вложения затрат в управление информационными рисками; во-вторых, провести анализ и расчет затрат на их управление; затем оценить риски в стоимостной, а не только качественной форме; определить виды, классификации угроз рисков и стоимостную ценность каждого вида информационных активов; выявить взаимосвязи между средствами управления и материальными реализациями угроз рисков. Исходя из математической интерпретации информационных рисков в стоимостном выражении необходимо определить экономически эффективное вложение затрат в их управление. Экономический эффект от вложенных средств в управление информационными рисками возможно рассматривать как разницу между сбереженными и условно потерянными средствами.

Научная новизна проведенного исследования заключается в разработке научно обоснованного инструментария финансового менеджмента на основе совершенствования финансовых методов управления информационными рисками предприятий, максимально полно учитывающих финансово-экономическую составляющую рисков для их стоимостной оценки и регулирования.

Основные результаты, характеризующие новизну исследования, состоят в следующем:

1. Сформулирован авторский подход к понятию «информационный риск», заключающийся в рассмотрении его с позиции финансово-экономической составляющей информационных рисков, а не только узкотехнического толкования с позиции операционного менеджмента. Это позволяет любое случайное событие во внутренней или внешней среде предприятия оценить с учетом финансовых последствий реализации информационного риска (ущерб, уменьшение прибыли), определить и классифицировать полные расходы на управление им, а также расширить информационную базу финансового менеджмента предприятия.

2. Предложен алгоритм финансового управления информационными рисками предприятий и его функциональная структура, которые включают: определение допустимых значений информационных рисков; отбор неприемлемых рисков для данного предприятия на основе стоимостной ю оценки; комплекс мер по снижению стоимостного ущерба от выбранных рисков (составление карты информационных рисков); составление бюджета затрат на предупреждающие мероприятия с учетом степени оценки рисков, величины возможного ущерба и вероятности его наступления, а также оценку экономической эффективности мероприятий по управлению рисками. Применение данного алгоритма позволит экономически эффективно управлять информационными рисками, предварительно обосновав целесообразность вложения затрат в их управление, при этом повышая прибыльность компании в целом. Предложенная функциональная структура финансового управления позволит вовлекать в процесс управления не только специалистов информационных служб, но и менеджеров всех уровней, включая финансовые службы организации.

3. Обоснованы методические подходы к страхованию информационных рисков, основанные на систематизации объектов страхования и страховых рисков и отражающие: предварительный анализ существующих рисков для формулирования рекомендаций и мероприятий по их минимизации; обсуждение, утверждение условий и заключение страхового договора, последующий расчет и анализ затрат в случае реализации застрахованных рисков и согласование страховых сумм, покрывающих стоимостные затраты, и их последующую выплату. Применение предложенных подходов позволит стабилизировать доходность и снизить вероятность финансовых потерь предприятий в результате реализации рискового события наиболее экономически эффективным и наименее затратным способом.

4. Аргументировано положение о том, что финансовые затраты на управление информационными рисками являются инвестициями в эту область, поскольку речь идет о материализованном экономическом ущербе. Обоснование инвестиций в информационные активы предприятий сводится к анализу и расчету минимально необходимого (оптимального) объема затрат на управление информационными рисками, который позволит свести к минимуму финансовые потери и рассчитать совокупные затраты на

11 информационные активы компании, учитывая все прямые и косвенные издержки.

5. Разработана методика управления информационными рисками, позволяющая обеспечить их эффективное (финансовое) управление при наиболее оптимальном соотнесении финансовых затрат и получаемого эффекта, включающая: стоимостную оценку риска, определение видов и классификацию их угроз, определение стоимостной ценности каждого вида информационных активов и взаимосвязи между средствами управления и материальными реализациями угроз рисков. Исходя из авторской методики доказано, что экономически эффективное вложение затрат в управление информационными рисками, определяя риск в стоимостном выражении как математическое ожидание потерь на вероятность осуществления угрозы, будет осуществляться при использовании не более трех различных средств защиты (управления). Это позволит принимать экономически эффективные решения по управлению информационными рисками в условиях повышения прибыльности деятельности предприятий.

Теоретическая значимость диссертационного исследования состоит в том, что содержащиеся в ней теоретико-методологические и концептуальные положения расширяют теоретический ракурс исследования финансовых методов управления информационными рисками предприятий и могут быть использованы в качестве методологической базы формирования эффективного финансового управления информационными рисками предприятий.

Практическая значимость исследования определяется возможностью широкого применения основных положений, выводов и рекомендаций по применению и совершенствованию финансовых методов управления информационными рисками для аналитического обоснования вариантов вложения и оценки затрат в их управление. Обоснованные преимущества и предложенные рекомендации по совершенствованию финансовых методов позволяют рассматривать их в качестве перспективного

12 инструментария управления информационными рисками в деятельности финансового менеджмента коммерческих организаций и органов власти.

Апробация работы. Основные теоретические положения, а также практические результаты диссертационного исследования докладывались и обсуждались на 11 международных, региональных и межвузовских конференциях и форумах молодых ученых и аспирантов.

Результаты исследования нашли практическое применение на предприятиях ООО «Восток-Запад», ООО «Пара Д» и ООО ПКФ «Альбион», а также в учебном процессе Ростовского государственного экономического университета (РИНХ).

Публикации. Основные теоретические и практические положения диссертации отражены в 8 опубликованных работах общим объемом 3,67 п. л., в том числе три статьи объемом 2,18 п. л. в научных журналах, рекомендованных ВАК.

Логическая структура, концептуальная логика и объем диссертации. Логика исследования определяет структуру работы, состоящей из введения, трех глав, библиографического списка и приложений. Диссертация изложена на 162 страницах машинописного текста, содержит 15 таблиц и 18 рисунков, 6 приложений. Библиографический список включает 132 наименования.

Работа выполнена в соответствии с проблемно-предметной областью Паспорта специальности ВАК 08.00.10- финансы, денежное обращение и кредит, ч. 1 «Финансы», разд. 3 «Финансы предприятий и организаций», п. 3.6 «Проблемы управления финансовыми рисками», разд. 7 «Оценочная деятельность», п. 7.5 «Развитие методов оценки рисков и их влияния на рыночную стоимость».

Заключение

На основании проведенного исследования определенна суть информационного риска, заключающаяся в вероятности наступления случайного события во внутренней или внешней среде предприятия, повлекшего за собой не только негативное влияние на безопасность и качество информации, но и нанесение материального ущерба, уменьшение прибыли. При этом учитываются все события, которые могут произойти на всех этапах информационного процесса — от получения информации до ее использования в бизнес-процессах.

Поскольку информационные риски приводят к материальным ущербам предприятия, оцениваемым в стоимостной форме, то они с полным правом могут быть отнесены к экономическим рискам.

Для понимания финансово- экономической экономическую сущности информационных рисков, разработать и применить необходимые методы анализа, организовать систему управления ими в диссертации произведена классификация информационных рисков и идентифицированы объекты, этот риск потенциально порождающие.

Систему управления информационным риском можно охарактеризовать как совокупность методов, приемов и мероприятий, позволяющих в определенной степени прогнозировать наступление рисковых событий и принимать меры к исключению или снижению отрицательных последствий наступления таких событий.

Концепция системы управления информационными включает следующие этапы:

1. Определение элементов информационной инфраструктуры, являющихся потенциальными «носителями» риска;

2. Установление объектов и субъектов управления информационными рисками;

3. Составление карты информационных рисков;

4. Анализ и оценка уровня отдельных информационных рисков (как качественная, так и количественная);

5. Выбор методов управления информационными рисками и разработка системы мероприятий по их реализации;

6. Оценка эффективности мероприятий управления информационными рисками.

Данные этапы, по сути, инвариантны к виду экономической деятельности предприятия, а значит — применимы для любых предприятий.

Для эффективного управления информационными рисками на предприятиях необходима соответствующая организационная структура, которая зависит от объемов и масштабов деятельности предприятия.

Для управления информационными рисками применяются различные методы: программно-технические, организационные и финансово-экономические.

Выбор метода управления и стратегии управления информационными рисками зависит от степени ее зрелости, соответственно и проблема управления информационными рисками, их анализа будет формулироваться, и решаться по-разному для организаций, находящихся на разных уровнях развития.

В системе управления информационными рисками существенное место отводится финансовым методам управления, основывающимся на стоимостной оценке объекта управления, поскольку они являются универсальным средством противодействия практически любому информационному риску.

Главная проблема применения финансовых методов в управлении информационными рисками заключается в определении стоимостной оценки информационных рисков, которая затруднена в условиях неопределенности возникающих последствий и рискованности предпринимательской деятельности.

Это же относится к определению и обоснованию денежных затрат на управление информационными рисками.

Финансовые механизмы управления информационными рисками состоять из:

- Создания денежного резерва;

- Страхования информационных рисков.

Анализа и оценки затрат на управление информационными рисками.

Страхование информационных рисков — главный и перспективный инструмент управления информационными рисками на предприятии. С позиции риск-менеджмента, страхование можно рассматривать как основной инструмент «передачи рисков». Предприятия, в случае каких-либо серьезных нарушений в работе их информационных систем, утраты и искажения информационных активов получают возможность с помощью страховых выплат компенсировать ущерб.

Цель системы страхования информационных рисков - создание механизма возмещения финансовых затрат владельцам информационных активов из-за потери, утраты, кражи информации, мошенничества и несанкционированных действий третьих лиц, сбоев и ошибок в технических и программных средствах, преднамеренных и непреднамеренных действий персонала и прочих причин.

В ходе диссертационного исследования разработана методика страхования информационных рисков и предложена следующая структура процедуры страхования информационных рисков, включающая пять основных этапов:

1. Предварительный анализ существующих информационных рисков и их обследование;

2. Формулирование рекомендаций и мероприятий по минимизации информационных рисков;

3. Обсуждение, утверждение условий страхового договора и его заключение;

4. Расчет и анализ затрат в случае реализации застрахованных информационных рисков;

5. Согласование страховых сумм, покрывающих затраты и их последующая выплата.

Невозможно добиться стопроцентного уровня безопасности, даже страхуя информационные риски, поскольку такая абсолютная защита сделает информационные активы предприятия не доступными даже для самих сотрудников и потенциальных клиентов.

Целесообразно применение оптимального уровня безопасности, без создания абсолютной защиты.

Кроме страхования информационных рисков большое значение имеет страхование гражданской ответственности организаций, которые оказывают услуги по защите информационных ресурсов и информационные услуги большому числу пользователей:

Решение проблемы страхования информационных рисков напрямую зависит от возможности количественной оценки и прогнозирования информационных рисков, а также от наличия соответствующего правового базиса Страхование информационных рисков в РФ имеет большой потенциал, и должно развиваться в рамках общей культуры корпоративного управления и совершенствования инструментария финансового менеджмента.

Предложенная авторская методика страхования может быть применена для организации процесса страхования информационных рисков.

Финансовые затраты на управление информационными рисками можно рассматривать как инвестиции в эту область, поскольку речь идет о материализованном экономическом ущербе. Финансируя эти затраты, предприятие старается уберечься от еще больших потерь, вызванных потерей информации. Эффективное экономическое решение сводится к расчету минимально необходимого (оптимального) объема затрат на управления информационными рисками, который позволит свести к минимуму финансовые потери в случае несанкционированных действий.

Для обоснования затрат на управление информационными рисками разработана методика их системного анализа и оценки, опирающаяся на показатель совокупной стоимости владения (ССВ).

Анализа затрат на управление информационными рисками позволил получить результатов в форме, наиболее полезной и удобной для тех, кто в нем заинтересован. Результаты анализа затрат показывают объективную картину, отражающую существующие информационные риски.

В соответствие с этой методикой можно рассчитать совокупные затраты на информационные активы компании, учитывая включая все прямые и косвенные затраты. Общие затраты включают в себя сумму всех затрат на управление информационными рисками.

Для проведения анализа затрат предложена их классификация.

Представленная классификация затрат условна, поскольку идентификация, классификация и анализ затрат на управление информационными рисками — внутренняя деятельность компаний, и детальная разработка зависит от конкретных особенностей и профиля деятельности каждой организации. Главное при определении затрат на управление информационными рисками — взаимопонимание и согласие по статьям расходов внутри организации.

Нельзя полностью минимизировать все затраты на управление информационными рисками, но можно их привести к оптимальному уровню. Существуют виды как необходимых затрат, так и тех, которые можно уменьшить.

Недостатком методики является то, что с ее помощью нельзя сравнить результаты управления 1Т-рисками на предприятиях разных масштабов или на одной организации по различным годам.

Поэтому для сравнения эффективности управления информационными рисками кроме абсолютных необходимы и относительные величины показателей.

Целесообразно соотносить затраты на управление информационными рисками с объемом проданной продукции или трудоемкостью.

Анализ затрат на управление информационными рисками целесообразно оформить в виде отчета по затратам на управление информационными рисками.

Использование анализа затрат на управление информационными рисками на практике фактически отсутствует либо встречается крайне редко из-за мнимой сложности его использования, особенно на предприятиях малого и среднего бизнеса. При этом очевидна полезность данного мероприятия. Возможно использование предложенной методики анализа затрат на управления информационными рисками на отечественных предприятиях вместе с методами для расчета возврата инвестиций.

При анализе затрат важным аспектом является вопрос соотнесения затрат на управление информационными рисками и затрат, которые могут возникнуть в результате реализации рискового события, т.е. опять возникает вопрос оценки информационного риска.

Анализ затрат является отправной точкой практической реализации процесса управления информационными рисками предприятия. В рамках научного исследования анализ затрат был произведен на примере рекламно-производственных предприятий. Дальнейшие этапы связаны с анализом и оценкой уровня информационных рисков и выработкой стратегий воздействия на них.

Оценка информационного риска представляет собой определение величины конкретного риска.

Проведенное качественное оценивание информационных рисков рекламно-производственного предприятия с элементами стоимостного оценивания позволило не только апробировать методики оценки

140 информационных рисков, но и выявить наиболее существенные для предприятий данной сферы, и также сформулировать рекомендации по управлению данными рисками.

Однако, за простотой в использовании и наглядностью качественных методик скрыт один важный недостаток — они не позволили дать конкретную оценку экономической эффективности применимости контрмер. Для этого применяют количественные методы, с помощью которых можно с известной точностью сказать о необходимых контрмерах и об экономии от их внедрения.

Поскольку на сегодняшний день практически нет общепризнанных методик комплексной оценки информационных рисков, их количественная оценка может проводиться методами, применяемыми в сфере информационной безопасности. Наиболее распространенные методики и инструментальные средства количественно анализа и оценки 1Т-рисков: СоигйегМеазигез, «РискМенеджер», «Гриф». Однако, и данные методы не лишены недостатков.

При оценке информационных рисков необходимо учитывать такие специфические национальные особенности организации режима управления информационными рисками на объектах информатизации в России, как:

- концептуальные отличия действующих российских руководящих документов от аналогичных зарубежных стандартов;

- отсутствие в подавляющем большинстве случаев настоящих неформальных собственников информационных ресурсов, то есть лиц, заинтересованных в реальном обеспечении управлением информационными рисками, принятии на себя ответственности за выбор определенных величин остаточных рисков.

Учитывая все вышеизложенное, оценка информационных рисков на исследуемых предприятиях автором была произведена по методике, суть которой заключается в определении факторов риска, установлении потенциальной области риска и оценке воздействия. Анализ проводился экспертным путем, что позволило повысить объективность оценки.

Для устранения существующих недостатков и обоснования направлений совершенствования финансовых методов управления информационными рисками автором была разработана методика управления, опирающейся на их количественную оценку.

Ее суть в том, что для достижения 5%, т.е. наиболее оптимальной с экономической точки зрения, вероятности реализации угрозы информационного риска нужно иметь не более 3 различных средств защиты информации и управления информационными рисками с пересекающимися областями действия.

В случае уменьшения вероятности реализации угрозы, рост средств защиты информации и управления информационными рисками будет менее активно влиять на уменьшение риска.

Экономический эффект от вложенных средств в управление информационными рисками и защиту информации естественно рассматривать как разницу между сбереженными средствами и потерянными (уплаченными) средствами.

Такой финансовый метод управления информационными рисками как их страхование увеличит затраты, даже при самой маленькой ставке страховых взносов на 3-5 %.

В заключение, проведена апробация предлагаемых направлений совершенствования финансовых методов на основе разработки авторской методики управления информационными рисками, опирающейся на их количественную оценку.

По всем исследуемым предприятиям в результате использования авторской методики был получен значительный экономический эффект и достигнута реальная экономия денежных средств, что представлено на графиках и таблицах.

Систематическое управление информационными рисками, с помощью авторской методики, способно не только снизить вероятность реализации части угроз, но и повысить рентабельность предприятия в долгосрочном периоде.

1. Закон РФ от 27.11.1992 N 4015-1 (ред. от 29.11.2010) "Об организации страхового дела в Российской Федерации"// www.consultant.ru

2. Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 28.09.2010) "О техническом регулировании" (принят ГД ФС РФ 15.12.2002) //www.consultant.ru

3. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» www.consultant.ru

4. Федеральный закон РФ 20 февраля 1995 г. №24-ФЗ «Об информации, информатизации и защите информации» // www.consultant.ru

5. Федеральный закон РФ от 04 июля 1996 г. №85-ФЗ «Об участии в международном информационном обмене» // www.consultant.ru

6. Федеральный закон РФ от 10 января 2002г. №1-ФЗ «Об электронно-цифровой подписи» // www.consultant.ru

7. Агапова И.И. История экономических учений. Учебное пособие для студентов экономических специальностей. М.: Юристъ, 2007.

8. Альгин А. П. Риск и его роль в общественной жизни. — М.: Мысль, 1989. с.20

9. Арутюнов, Ю.А. Финансовый менеджмент: учебное пособие / Ю.А. Арутюнов; 3-е изд., перераб. и доп. М.: КНОРУС, 2008. - 312с.

10. Балдин К.В., Воробьев С.Н. Управление рисками: Учеб.пособие для студентов вузов, обучающихся по специальностям экономики и управления / К.В. Балдин, С.Н.Воробьев. М.: Юнити, 2005.

11. Балдин, К.В. Риск-менеджмент / К.В. Балдин. М.: Эксмо,2006.

12. Буянов, В. П. Рискология ; управление рисками / В. П. Буянов, К.

13. A. Кирсанов, JI. А. Михайлов ; Моск. акад. экономики и права. М. : Экзамен, 2002. - 383 с.

14. Волков А.Н. Теория информационной безопасности и методология защиты информации. Курс лекций. Череповецкий государственный университет, Череповец, 2006.

15. Вяткин, В.Н. Управление рисками фирмы: Программы интерактивного риск-менеджмента / В.Н. Вяткин и др. М.: Финансы и статистика, 2006.

16. Галатенко В.А. Основы информационной безопасности. Курс лекций. М.:ИНТУИТ.РУ// «Интернет Университет Информационных технологий», 2006. .

17. Глущенко В.В. Управление рисками. Страхование. Железнодорожный, М. О., ТОО НПЦ «Крылья» 2009.

18. Глущенко, В.В. Финансовые риски в условиях глобализации /

19. B.В. Глущенко // Финансы и кредит. 2006. - №19.

20. Галкин Г. Методы определения экономического эффекта от ИТ-проекта // "intelligent enterprise", № 22 и 24, 2005г // http: // www.iteam.ru/publications/it/section53/article2905/

21. Гаценко О.Ю. Защита информации. Основы организационного управления. СПб.: Изд. дом «Сентябрь», 2001

22. Гилина, Т.Г. Экспертная оценка как элемент процесса управления рисками / Т.Г. Гилина // Финансы и кредит. 2008. - № 42.

23. Гончаренко, Л.П. Риск-менеджмент: учебное пособие / Л.П. Гончаренко, С.А. Филин; под ред. проф. Е.А. Олейникова. 3-е изд.,стер. -М.:Кнорус. - 2008. - 216 с.

24. Денис Брызгалов, Александр Цыганов. Страхование «электронных рисков». // «Директор-инфо» № 47 за 2010 г. С 35-41

25. Д. Дьяконов. Страхование информационных рисков как метод защиты информации // Хозяйство и право.- 2001.- № 3

26. Дамодаран А. Инвестиционная оценка. Инструменты и техника оценки любых активов. / Пер. с англ. М.:Альпина Бизнес Букс, 2004

27. Дресвянникова, A.B. Построение системы управления рисками на предприятии / A.B. Дресвянникова // Организатор производства. 2007. -№3.

28. Дубров A.M. Моделирование рисковых ситуаций в экономике и бизнесе: Учебное пособие для вузов. М.: Финансы и статистика, 2005

29. Долан Э.Дж., Линдсей Д. Рынок: микроэкономическая модель: Пер. с англ./ Под общ. Ред. Б. Лисовика, В. Лукашевича. СПб., 1992.

30. Дорждеев, A.B. Совершенствование управления рисками долговых обязательств / A.B. Дорждеев // Финансы и кредит. 2008. - №14.

31. Егорова, Е.Е. Системный подход оценки риска / Е.Е. Егорова // Управление рисками. 2002. - №2.

32. Завгородний В.И. Выбор методов и средств управления информационными рисками предприятия/ Аудит и финансовый анализ. №5, 2007, с. 13

33. Завгородний В.И. Информационные и банковские риски /Завгородний В.И. // Банковские услуги .- 2006.,-с.18

34. Завгородний В.И. Методика выбора механизмов управления информационными рисками. / Вестник Финансовой академии. №3, 2006, с. 137-148.

35. Завгородний В.И. Функции персонала предприятия в современной системе управления информационными рисками /Завгородний В.И. // Управление персоналом №18, 2007

36. Зинкевич В, Штатов Д, Информационные риски: анализ и количественная оценка// Бухгалтерия и банки, 2007, № 7

37. Капустина, Н.В. Новая методика оценки рисков деятельности предприятия / Н.В. Капустина, О.Г. Крюкова и др.// Менеджмент в России иза рубежом. 2008 . - №4.

38. Картвелишвилт, В.М. Аспекты современного восприятия риска / В.М. Картвелишвилт, Л.М. Колоскова, А.Ю. Митин // Экономическийанализ. 2009. - №8.

39. Кейнс Дж. Общая теория занятости, процента и денег. Избранное. М.: Эксмо, 2007

40. Кинев, Ю.Ю. Оценка рисков финансово-хозяйственной деятельности предприятий на этапе принятия управленческого решения / Ю.Ю. Кинев // Маркетинг в России и за рубежом. 2002. - №5.

41. Ковалев, В. В. Введение в финансовый менеджмент / В. В. Ковалев. М. : Финансы и статистика, 2006. - 768 с.

42. Колибаба, В.И. Специфика проявления и принципы классификации финансовых рисков в электроэнергетике / В.И. Колибаба, Ю.П. Ямпольский // Финансы и кредит. 2008. - №39 .

43. Коломина, М. Сущность и измерение инвестиционных рисков / М. Коломина // Финансы. 2007. - №4.

44. Козлова, Е.А. Методологические основы оценки экономических рисков и рискоустойчивости фирмы / Е.А. Козлова, И.Г. Шепелев// Организатор производства. 2006. - №4.

45. Кравченко, П.П. Системные риски российской экономики / П.П. Кравченко // Финансовый менеджмент. 2009. - №4.

46. Кравцов В.Б., Синявская Т.Г. Методы управления финансовыми рисками/Учебное пособие - Ростов н/Д, 2009. - 114 с.

47. Круглова Н.Ю. Основы бизнеса. М.: Изд-во РДЛ, 2005

48. Кулаева, Д. Управление рисками компании при помощи деривативов / Д. Кулаева // Финансовая газета. 2008. - №21.

49. Куропятников Д.Ю. Управление рисками на стадииинвестиционного проектирования (на примере черной металлургии):147

50. Автореф. дис. канд. экон. наук / Государственная академия переподготовки и повышения квалификации руководящих работников и специалистов инвестиционной сферы. М., 2002

51. Ласкина, Л.Ю. Современные аспекты классификации рисков при оценке деятельности производственного предприятия / Л.Ю. Ласкина, Е.И. Джеджелава // Финансы и кредит. 2007. - №4 (244).

52. Литовченко, С. Подходы к управлению рисками на российскихпредприятиях / С. Литовченко // Финансовый директор. 2003. -№9.

53. Лукацкий A.B. Страхование информационных рисков. // Сети2003 № 12. С 41-50.

54. Макаревич, Л.М. Управление предпринимательскими рисками / Л.М. Макаревич. М.: Дело и сервис, 2007.

55. Маршалл А. Принципы экономической науки: В 3-х т. М.:1. Прогресс, 1993. Т.2.

56. М.Тюрин. Национальные особенности управления информационными рисками // BYTE Россия.-2006.-№ 3(91)

57. М. Медников и др. Экономика и организация безопасности хозяйствующих субъектов. 2-е изд. СПб: Питер, 2004

58. Маккарти Л. IT-безопасность. Стоит ли рисковать корпорацией? М.: Кудиц-образ, 2004

59. Медведева H.A. Оценка риска при принятии управленческих решений на предприятиях маслосыродельной и молочной отрасли : Дис. . канд. экон. наук : 08.00.05 : Вологда, 2003 163 с. РГБ ОД, 61:03-8/3309-Х

60. Мескон М.Х., Альберт М., Хедоури Ф. Основы менеджмента/ Пер. с англ. -М.: Дело, 1992.

61. Москвин, В. А. Управление рисками при реализации инвестиционных проектов : рекомендации для предприятий и коммерческих банков / В. А. Москвин. М. : Финансы и статистика, 2004. - 351 с.

62. Найт Ф. Риск, неопределённость и прибыль. М. : Дело, 2003.148

63. Насадкин Р. Страхование информационных рисков. //IFin.ru. http://www.ifîn.ru/publications/read/406.stm

64. Нейман Дж., Моргенштерн О. Теория игр и экономическое поведение. -М.: Наука, 1970.

65. Одинцов А. А. Защита предпринимательства (экономическая и информационная безопасность). Учебное пособие. М.: Международные отношения, 2010

66. Ольхович Е.А. Финансовые методы управления информационными рисками предприятия. Автореферат диссертации на соискание ученой степени к.э.н., М.-2008 стр. 14.

67. Петренко С., Симонов С. Информационная безопасность: экономические аспекты //Jet Info ОпИпе:сетевой журнал, 2003,№10 URL: http://citforum.ru/security/articles/sec/index.shtml (дата обращения 30.05.2011г)

68. Петренко С., Симонов С. Методики и технологии управления информационными рисками// IT Manager, №3(9), 2003 г

69. Предпринимательские риски: учебно-метод. пособие / под ред. Е.А. Олейникова. М.: 2002.

70. Покровский П. Оценка информационных рисков //Журнал сетевых решений/LAN, 2010 № 10, URL http://www.osp.ru/lan/2010/10/139689/ ( дата обращения 20.04.2011 г).

71. Половинкин, П. Предпринимательские риски и управление ими / П. Половинкин, А. Зозулюк // Российский экономический журнал. 2008. -№9.

72. Портфель конкуренции и управления финансами / Отв. ред. Рубин Ю. Б. — М.: СОМИНТЭК, 2006.

73. Пярин В. А., Кузьмин A.C., Смирнов С.Н. Безопасность электронного бизнеса.М.: Гелиос АРВ, 200973. ««Русский» рынок компьютерных преступлений в 2010 году: состояние и тенденции»// www.group-ib.ru

74. Рыхтикова, H.A. Особенности применения технологий идентификации рисков в рамках современного риск-менеджмента организаций в России / H.A. Рыхтикова // Менеджмент в России и за рубежом. 2009. - №1.

75. Романенко, Н. А. Страхование информационных рисков предприятий как инструмент риск-менеджмента / Н. А. Романенко // Финансовые исследования. 2011. - № 3.

76. Романенко H.A.Анализ затрат на управление информационными рисками предприятий // Вестник Ростовского экономического университета (РИНХ) -2011.-№2

77. Романенко H.A. Финансовый аспект управления информационными рисками предприятий// Известия высших учебных заведений Северо-Кавказский регион -2011.-№ 5

78. Романенко H.A. Понятие и методика оценки финансового риска// Экономика глазами молодых: материалы I -го международного экономического форума молодых ученых (Вилейка, Минск: ООО «ТМ Арго-графикс»,2008,224с.);

79. Романенко H.A. Особенности управления финансовыми рискамипредприятия, связанными с использованием программного обеспечения в РФ

80. Страны с переходной экономикой в условиях глобализации: Материалы150

81. VIII Международной научно-практической конференции студентов, аспирантов и молодых ученых, 11-13 марта 2009г.,Москва,Экономический факультет Российского университета Дружбы народов/Отв.ред. И.А. Айдрус.- М.: РУДН,2009,515 е.,

82. Сафонов А. Практическое применение методов и средств анализа рисков. // «Information Security/ Информационная безопасность» № 3, 2010

83. Семенов, Д. Управление рисками / Д. Семенов, А. Лисицын // Бюджет. -2006. -№10.

84. Симонов С. Анализ рисков, управление рисками // Jetlnfo № 1,2010

85. Симонов С Технологии и инструментарий для управления рисками // Jetlnfo № 2, 2003

86. Скрипкин К.Г. Экономическая эффективность информационныхсистем.1. М.: ДМК Пресс, 2002

87. Словарь по экономике и финансам/Глоссарий.ги © 2000-2006 EDI-Press & Web Miss// http://slovari.yandex.ru/

88. Смит А. Исследование о природе и причинах богатства народов.

89. М.: Эксмо, 2007. — (Серия: Антология экономической мысли).151

90. Страхование коммерческих и финансовых рисков : учеб. Для вузов / Т. В. Никитина. СПб. : Питер, 2002. - 234 с.

91. Ступаков, B.C. Риск-менеджмент / B.C. Ступаков, Г.С. Токаренко. М.: Финансы и статистика, 2006.

92. Сумцова К.В. Экономическая теория. М.: ЮНИТИ-ДАНА, 2000.

93. Управление информационными рисками. Экономически оправданная безопасность / Петренко С. А., Симонов С. В. М.: Компания АйТи ; ДМК Пресс, 2004. - 384 е.: ил. - (Информационные технологии для инженеров).

94. Фатрелл Р. Т., Шафер Д. Ф., Шафер J1. И. Управление программными проектами: достижение оптимального качества при минимальных затратах / пер. с англ. М.: Вильяме, 2004.

95. Филлипс Д. Менеджмент ИТ-проектов. М.: ЛОРИ, 2005.

96. Федотов, Д.К. Комплексный подход к управлению рисками / Д.К. Федотов // Финансовый бизнес. 2007. - №6.

97. Финансовые риски: теоретическое понятие и практическая классификация // Корпоративное управление и стратегический менеджмент. -2003.- №5.

98. Финансовый менеджмент : учебник для вузов по спец. "Менеджмент" / Гос. ун-т упр. ; под ред. А. М. Ковалевой. М. : ИНФРА-М, 2004. - 283 с.

99. Филобокова, Л.Ю. Методические подходы к оценке конкурентоспособности и предпринимательского риска в малом предпринимательстве / Л.Ю. Филобокова // Экономический анализ. 2009. -№5.

100. Хайдаршина, Г.А. Комплексная модель оценки риска банкротства / Г.А. Хайдаршина // Финансы. 2009. - №2.

101. Цыганов А.Управление рисками электронной коммерции и их страхование // eCommerce World, №04, 2009 г

102. Чернова, Г.В. Управление рисками / Г.В. Чернова, А.А. Кудрявцев. М.: Проспект, 2007.

103. Черкасов В. В. Проблемы риска в управленческой деятельности. Монография. —М.: Рефл-бук, К.: Ваклер, 1999.

104. Черкасова, В.А. Учет факторов риска при формировании стратегии компании / В.А. Черкасова // Финансы и кредит. 2008. - №7

105. Шапкин А. С., Шапкин В. А. Теория риска и моделирование рисковых ситуации: Учебник. — М.: Издательско-торговая корпорация «Дашков и К°», 2005.

106. Шапкин, А. С. Экономические и финансовые риски. Оценка, управление, портфель инвестиций / А. С. Шапкин. 2-е изд. - М. : Дашков и К, 2003. - 543 с.

107. Шарп У.Ф., Александер Г.Дж., Бэйли Джеффри В. Инвестиции: Пер. с англ. М.: Инфра-М, 2004

108. Шахов, В.В. Риски. Теоретический аспект / В.В. Шахов // Финансы. 2000. - №7.

109. Щеглов А.Ю. Эффективность средств защиты информации. // http://articles.security-bridge.com/articles/15/12051/.

110. Ягдагаров Я.С. История экономических учений. М.: ИНФРА2001

111. Яйли, Е.А. Что мы хотим определить, оценить и чем мы хотим управлять? Методологические аспекты проблемы риска / Е.А. Яйли // Управление риском. 2006. - №3.

112. Яшина, Н.М. Основные принципы управления риском / Н.М. Яшина // Финансы и кредит. 2006. - №36.

113. Boehm В. W. Software risk management. IEEE Computer Society Press. Washington, 1989.

114. British Standard. Information security management systems -Spécification with guidance for use. British Standards Institution. BS 7799-2:2002

115. Gerald L., Kovacich G. The Information Systems Security Officers Guide: Establishing and Managing an Information Protection Program, Second Edition. (Butterworth-Heinemann), 2003

116. ISO/IEC TR 16326:1999. Guide for the application of ISO/IEC 12207 to project management.

117. Markowitz H. Portfolio selection// The journal of finance. 1952. -Vol. II, No. 1

118. Mitnick K., Simon W. The Art of Deception: Controlling the Human Element of Security. Indianapolis (Wiley), 2002

119. MSF, Microsoft, Microsoft Solutions Framework. Отдел MSF, Microsoft, 2002.

120. Peltier, Thomas R Information security risk analysis. Auerbach 2001. ISBN 0-8493-0880-1

121. Taylor L. Risk analysis tools&how they work //URL. http:// www. riskwatch. com

122. Tudor J.Information Security Architecture: An Integrated Approach to Security in the Organization. New-York (Auerbach Publications), 2000