МЕТОДЫ УПРАВЛЕНИЯ РИСКАМИ ИТ-СЕРВИСА В РЕЗУЛЬТАТЕ ИХ СТРАХОВАНИЯ И ПЕРЕДАЧИ НА АУТСОРСИНГ

Аннотация


В статье предлагается применять аутсорсинг как защитную меру в случае высокой вероятности реализации рисков ИТ-сервисов. Рассчитывается экономическая эффективность от внедрения ИТ-аутсорсинга на малом предприятии, которая доказывает целесообразность его внедрения. Также дается постановка задачи разработки системы страхования от рисков и приводятся условия, при которых выгодно использовать эту защитную меру.

Полный текст

В последнее время все чаще говорят о новой концепции управления ИТ-подразделениями - ITSM (IT Service Management, управление ИТ-услугами). Суть ее состоит в концентрации на клиенте и его потребностях в бизнесе, а не на технологиях. В первую очередь ИТ-провайдер, т.е. поставщик ИТ-услуг, должен сосредоточиться на качестве ИТ-сервисов, которые они предоставляют своим заказчикам. ИТ-сервис - комплекс взаимодействующих ИТ-активов (сервисных активов), цель которого состоит в производстве ценности для потребителя [1]. При этом любой ИТ-сервис обладает следующими характеристиками: доступностью, мощностью, непрерывностью, безопасностью. В ходе повсеместного внедрения информационных технологий во все сферы человеческой жизни актуальной проблемой становится обеспечение информационной безопасности, а значит, такая характеристика ИТ-сервиса, как безопасность, является одной из ключевых. Следовательно, разработке мер по защите ИТ-сервиса от различных рисков ИТ-провайдеру стоит уделить больше внимания. Поскольку мы говорим об ИТ-сервисе, то и риски, с ними связанные, относятся к информационным. Информационный риск - это опасность возникновения убытков или ущерба в результате применения в организации информационных технологий, т.е. информационные риски связаны с созданием, хранением, передачей и обработкой информации. Анализ эксплуатации ИТ-сервиса на крупном предприятии показал, что риски, возникающие часто и требующие для их устранения больших временных затрат (около часа и более), целесообразно передать на аутсорсинг компании, специализирующейся на этом. Такие компании называют аутсорсинговыми или аутсорсерами. К главным преимуществам аутсорсинга относятся: снижение затрат, сокращение численности персонала, возможность концентрации на основной деятельности, получение услуг более высокого качества, деление ответственности. Прежде чем выбирать партнера-аутсорсера и заключать с ним договор на обслуживание, важно адекватно оценить свои финансовые ресурсы и возможности. Ниже на примере передачи части рисков малой организацией компании-аутсорсеру ООО «Синерго Софт Системс», расположенной в г. Новокузнецке, показано, что внедрение аутсорсинга в бизнес-деятельность взаимовыгодно для обеих сторон. В штате небольшой организации числится 50 сотрудников, каждый из них обеспечен компьютером, требующим сопровождения системным администратором. Все рабочие станции подключены к локальной сети предприятия, а также к глобальной сети - Интернету. Помимо этого, в офисе присутствует оргтехника, требующая периодического проведения профилактических мероприятий. Для выполнения этой работы руководству компании можно нанять сотрудника, а можно передать эти функции на аутсорсинг. Рассмотрим оба варианта и рассчитаем экономический эффект от использования ИТ-аутсорсинга. Целесообразно принимать на должность системного администратора двух человек, это обеспечит непрерывную работу организации в случае отпуска или больничного листа одного из них. Системный администратор выполняет следующие виды работ: установка и настройка компьютеров, оргтехники, программного обеспечения, монтаж оборудования, обеспечение непрерывной работы сетевого оборудования, восстановление работоспособности локальной сети и компьютеров при сбое и/или выходе из строя того или иного оборудования, а также обучения пользователей работе в локальной сети организации и составление инструкций по работе с программным обеспечением. Кроме заработной платы системным администраторам и отчислений на страховые взносы, на предприятии также высоки затраты на оплату телефонных переговоров, Интернет, закупку оргтехники, сетевого оборудования и др. При помощи экспертов-экономистов были рассчитаны максимально точно затраты для организации работы системного администратора, которые перечислены ниже. 1) средняя заработная плата системного администратора составляет 20 тысяч рублей; 2) страховые взносы составляют 30 % от заработной платы; 3) каждый системный администратор обеспечен компьютером, стоимость одного компьютера составляет 25 тысяч рублей; 4) стоимость комплекта программного обеспечения для системного администратора на один компьютер составляет 22,5 тысячи рублей; 5) на телефонные переговоры расходуется примерно 20 тысяч рублей в год; 6) расходы на канцелярские товары составляют 16 тысяч рублей в год; 7) амортизационные отчисления на основные средства, используемые сотрудниками (мебель, бумага и т.д.), составляют 12 тысяч рублей в год на человека; 8) стоимость комплектующих для ремонта и замены сетевого оборудования, а также стоимость заправки и восстановления картриджей составляет 110 тысяч рублей. Общая сумма годовых затрат на организацию работы системных администраторов представлена в таблице. Годовые затраты на обеспечение работы системных администраторов Затраты по видам Сумма, тыс. руб. в год Заработная плата 480 Страховые взносы 144 Компьютеры 50 Программное обеспечение 45 Телефонные переговоры 20 Канцелярские товары 16 Амортизационные отчисления 12 Комплектующие, заправка и восстановление картриджей 110 Итого 877 Также были выделены косвенные виды потерь - недополученная прибыль по причине невыполнения плана работы из-за простоя оборудования. Ежегодно такие потери могут составлять 10 % от прибыли, т.е. примерно 100 тысяч рублей в год. Таким образом, для расчета целесообразности внедрения ИТ-аутсорсинга на предприятии были приняты расходы на организацию работы системных администраторов в сумме 977 тысяч рублей в год. Далее определим стоимость услуг аутсорсеров на рынке, которая зависит в первую очередь от количества компьютеров, нуждающихся в постоянном обслуживании, и количества используемой оргтехники. В стоимость входят экстренный вызов специалиста в случае форс-мажорных обстоятельств, профилактические работы (ограниченное количество выездов) и телефонная поддержка пользователей. Проведенный анализ стоимости услуг компаний-аутсорсеров, представленных в г. Новокузнецке, показал, что ежемесячное обслуживание компьютеров для предприятия, оборудованного 50 рабочими местами, колеблется в пределах от 20 до 45 тысяч рублей, т.е. годовые услуги аутсорсера могут составлять от 240 до 540 тысяч рублей. Проведем предварительный расчет экономического эффекта при максимальной стоимости услуг, т.е. 540 тысяч рублей в год. При данных условиях минимальная экономическая выгода составит 437 тысяч рублей в год (977-540 тыс. руб.), при этом руководству организации не требуется нанимать дополнительных сотрудников и оборудовать им рабочие места. Отсюда следует, что экономическая эффективность внедрения аутсорсинга на предприятии в рассмотренном примере составляет около 44 %. Таким образом, можно говорить о целесообразности внедрения ИТ-аутсорсинга в организациях, нуждающихся в обслуживании компьютеров, основная деятельность которых не связана с информационными технологиями. Одним из наиболее эффективных, но одновременно и самых дорогостоящих способов защиты от некоторых рисков также является страхование. Из практики следует, что к страхованию прибегают при возникновении опасности форс-мажорных обстоятельств. Страхованием называется система мероприятий по созданию денежного (страхового) фонда за счет взносов его участников, из средств которого возмещается ущерб, причиненный стихийными бедствиями, несчастными случаями, а также выплачиваются иные денежные суммы в связи с наступлением определенных событий. Страхование информационных рисков предприятия - это метод защиты информации в рамках финансово-экономического обеспечения системы защиты информации, основанный на выдаче страховыми обществами гарантий субъектам информационных отношений по восполнению материального ущерба в случае реализации угроз информационной безопасности [2]. Поскольку страхование является достаточно дорогим методом защиты, не следует применять его повсеместно и необдуманно. Его целесообразно внедрять в том случае, если вероятность реализации риска мала, но при этом ущерб может быть значительным. Кроме того, в случае низкого потенциального ущерба при высокой вероятности реализации угрозы применение страхования будет обоснованным. Также важно обратить внимание на ценность информации; если ее утрата или модификация несущественны для организации или возможно ее быстрое восстановление, то стоит направить большую часть средств на страхование, в противном случае следует уделить больше внимания в первую очередь различным защитным мерам. У страхования две роли: предупредительная и мотивационная. Под предупредительной понимается свойство страхования побуждать страхователя, т.е. организацию, передающую риск, увеличивать отчисления на предупредительные мероприятия. Под мотивационной ролью страхования будем понимать его свойство побуждать страхователей выбирать действия, снижающие ущерб от наступления страховых случаев [3]. На основе модели взаимодействия страховщика с одним страхователем (в этой роли выступает ИТ-провайдер, а модель задана в виде ограничений, приведенных в постановке задачи) дадим ниже постановку задачи разработки системы страхования от рисков [4]. Дано: 1. Основные нормативные акты законодательства по страхованию; 2. Стоимость активов страхователя D; 3. Сумма расходов, запланированная страхователем для предупредительных мер ν; 4. Вероятность наступления страхового случая Р; 5. Доход страхователя H(D), который определяется объемом оказанных ИТ-услуг, У ≥ 0; 6. Ограничения: а) суммарные страховые взносы не должны быть ниже ожидаемых выплат, т.е. ω ≥ EW, где ω - сумма страхового взноса, ω = δ0W, δ0 - нетто-ставка, W - величина, определяющая размер текущих сумм выплат за рассматриваемый промежуток времени; EW - математическое ожидание текущей суммы выплат; б) нетто-ставка должна быть не меньше вероятности наступления страхового случая: δ0 ≥ Р. 7. Критерий: целевая функция страхователя: Ef(v, D) = H(D) - - Z(D) - v - k(v, D) + p(v, D) [(1 + ε)V(v, D) - ΔW], где ν - сумма, затрачиваемая на предупредительные меры; p(ν, D) - вероятность наступления страхового случая; Z(D) - затраты страхователя; ε - параметр, отражающий степень несклонности страхователя к риску ИТ-сервиса (оценивается экспертом); k(ν, D) - страховой взнос; V(ν, D) - страховое возмещение; ΔW - размер ущерба страхователя от реализации риска. Требуется: разработать систему страхования рисков при выполнении ограничений и максимизации целевой функции страхователя. Самым большим недостатком такого способа защиты от рисков, как страхование, является его дороговизна. Поэтому, прежде чем применять его на практике, нужно провести тщательный анализ и оценку возможных рисков и убедиться в том, что применение этого способа целесообразно. Решение данной задачи привело к выявлению условий, при выполнении которых принимать защиту от рисков путем страхования выгодно. Простейшие зависимости затрат и дохода от действий страхователя: (1) где С - цена реализации продукции/услуги; Z0 - постоянные издержки; - удельные переменные издержки. Из условия можно определить точку безубыточности, т.е. тот минимальный объем производства , при котором деятельность страхователя еще выгодна: . При отсутствии системы страхования целевая функция страхователя имеет вид (2) Оптимальной стратегией страхователя будет выбор (v*, D*) таких, что где (3) Рассмотрим пример, который показывает вышеописанные зависимости. Пусть , где kv и kD - положительные константы. Решая уравнения (3), получаем (4) Ожидаемые потери при этом равны 1/kv. В случае страхования, при котором ущерб компенсируется полностью, т.е. , оптимальной стратегией страхователя без учета ограничения безубыточности будет выбор таких (v*, D*), что (5) Если ε0(v, D) - нагрузка к нетто-ставке страхования, а также имеет место следующее соотношение: (6) тогда (5) примет вид (7) В рамках рассматриваемой модели оптимальной стратегией страховщика является выбор зависимости ε0(∙) нагрузки к нетто-ставке от затрат на предупредительные мероприятия и действий страхователя. Таким образом, в статье были рассмотрены такие понятия, как управление ИТ-услугами, ИТ-сервис. Дано определение информационного риска, для защиты от которого предложено два способа: передача риска на аутсорсинг и страхование от него. На конкретном примере доказана эффективность использования на малом предприятии принципа передачи информационных рисков на аутсорсинг. Также даны постановка задачи разработки системы страхования от рисков и условия, при выполнении которых выгодно принимать защиту от рисков путем страхования.

Об авторах

Е. В Маслова

Сибирский государственный индустриальный университет

Email: elenamaslova1805@yandex.ru

Список литературы

  1. Зимин В.В., Ивушкин А.А., Кулаков С.М. Управление жизненным циклом сервисов систем информатики и автоматизации: учеб. пособие. - Кемерово; М.: Российские университеты: Кузбассвузиздат, АСТШ, 2012. - 437 с.
  2. Дьяконов Д. Страхование информационных рисков как метод защиты информации // Хозяйство и право. - 2001. - № 3. - С. 25-33.
  3. Механизмы страхования в социально-экономических системах / В.Н. Бурков, А.Ю. Заложнев, О.С. Кулик, Д.А. Новиков. - М.: Изд-во ИПУ РАН, 2001. - 109 с.
  4. Киселева Т.В., Маслова Е.В. Риски ИТ-сервиса и страхование как способ их устранения // Перспективы развития науки и образования: сб. тр. междунар. науч.-практ. конф. - М.: АР-консалт, 2014. - Ч. 3. - С. 55-57.

Статистика

Просмотры

Аннотация - 47

PDF (Russian) - 32

Ссылки

  • Ссылки не определены.

Данный сайт использует cookie-файлы

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, которые обеспечивают правильную работу сайта.

О куки-файлах