ЭК Безоп. 1. Специфика труда работников службы экономической безопасности в торговле 5
Скачать 232.5 Kb.
|
1.2 Методики определения оценки эффективности службы экономической безопасностиПредприятие, существующее в условиях жесткой конкуренции рынка, а с учетом российских реалий - и при высокой степени выраженности политических, инвестиционных, валютных, технологических и прочих средовых рисков, вынуждено заботиться о создании надежной системы экономической безопасности. Сравнение принятых в российской академической литературе определений экономической безопасности представлено в Таблице 1. Таблица 1.1 Понятие экономической безопасности
В рамках современных научных концепций под экономической безопасностью предприятия понимают такое состояние хозяйствующего субъекта, которое характеризуется организованной совокупностью концептуальных и прагматических факторов (теорию, методологию, последовательность конкретных мер), обеспечивающих данной системе: 1) защиту от нежелательных воздействий; 2) динамичное развитие; 3) эффективность жизненно важных процессов; 4) независимость; 5) возможность достижения целей. По видам объектов, т.е. входящих и исходящих ресурсов и основных потоков ресурсов внутри системы, а также по локализации источника угрозы и/или субъекта системы безопасности, экономическую безопасность можно классифицировать следующим образом (рис.1.1). Рис. 1.1. Виды экономической безопасности Безопасность в зависимости от локализации источника угрозы и/или субъекта системы безопасности. 1.1. Внешняя (институциональная). К внешним субъектам системы экономической безопасности относятся институты власти, правозащитные органы, органы таможенного и налогового контроля. Внешние институты обеспечивают регулирующее воздействие макроэкономического и социально-политического контекста осуществления хозяйственной деятельности, задают рамки возможных вариантов взаимодействия хозяйствующих субъектов, снимают некоторую часть потенциальных угроз. Институты исполнительной и законодательной власти ограничивают конкурентные позиции импортируемых в страну иностранных товаров за счет таможенных пошлин и систем квотирования; стимулируют отдельные виды деловой активности – обеспечивают ссудами сельхозпроизводителей, снижают налоговое бремя в отношении малого бизнеса и пр. К действующим на территории Российской Федерации внешним субъектам обеспечения экономической безопасности следует отнести ООО «ГЕККОН» (Российскую национальную службу экономической безопасности), ИБП (институт безопасности предпринимательства), РСПБ (Российский союз предприятий безопасности), Межведомственный центр экономической безопасности, Союз по безопасности предпринимательства РФ, а также Торгово-промышленную палату Российской Федерации, которая инициировала выпуск Реестра надежных партнеров России. Цели Реестра следующие: - «создание базы данных организаций и индивидуальных предпринимателей, участвующих в экономическом обороте товаров, услуг и результатов интеллектуальной деятельности и заявивших о себе как о надежных партнерах для предпринимательской деятельности; - содействие предпринимательской деятельности, в том числе внешнеэкономическому сотрудничеству, путем предоставления российским и иностранным организациям и предпринимателям необходимой информации для выбора партнеров из числа российских организаций и предпринимателей; - содействие повышению конкурентоспособности производимых отечественных товаров, услуг и результатов интеллектуальной деятельности; - повышение доверия к российским предпринимателям на внутреннем рынке и за рубежом» [1]. Наряду с регулирующим и защитным воздействием внешние субъекты могут оказывать (и оказывают) многоплановое негативное влияние, становясь, таким образом, источниками угроз экономической безопасности фирмы. Институты власти – источники политической нестабильности, непоследовательности государственной политики, что затрудняет нормальное ведение бизнеса и ставит под вопрос целесообразность инвестирования в наиболее перспективные, инновационные, проекты, по определению являющиеся венчурными. Как отмечают исследователи, активность инноваций находится в обратной связи от политической нестабильности государственной политики и незначительно зависит от макроэкономического состояния страны (в пример можно привести появление таких фирм, как «Ревлон», «Полароид» в годы «Великой Депрессии») [7]. Институциональные факторы благоприятствуют процветанию теневой экономики и мошенничества в силу несовершенства законодательства, недостаточного уровня общей правовой культуры. 1.2. Внутренняя (организационная). Внутренними субъектами обеспечения экономической безопасности являются специалисты специально организованной службы безопасности, специалисты других отделов, выполняющие отдельные функции по обеспечению безопасности, руководители организации (лица, принимающие решения). Фирма может привлекать помощь внешних субъектов обеспечения экономической безопасности. При внутрифирменной организации системы экономической безопасности, субъектами могут быть сотрудники отдела исследований и разработок, отдела продаж, стратегического планирования, маркетинга, IT-отдела. В крупных корпорациях вопросами экономической безопасности могут заниматься сотрудники разных отделов одновременно при наличии контролирующего центра (службы безопасности). Внутренние субъекты осуществляют контроль над рисками, мониторинг рыночных изменений, которые могут благоприятно или неблагоприятно сказаться на результатах хозяйственной деятельности предприятия, выполняют весь комплекс профилактических и реакционных мер, связанных с рисками и новыми возможностями для повышения уровня экономической безопасности. Внутренняя безопасность – объект многочисленных исследования в рамках различных направлений теории и методологии: теории риска, теории принятия решений, исследования операций, управления конкурентной позицией фирмы и пр. Внутренняя безопасность предполагает, помимо прочего, отлаженную управленческую систему, скоординированность и эффективное взаимодействие структурных подразделений для достижения общекорпоративных целей. Затраты на обеспечение информационной безопасности следует считать эффективными, если они обеспечивают выполнение требований нормативных документов и стандартов, принятых государством, а также концепции информационной безопасности организации. Предотвращенный ущерб Конечным результатом внедрения и проведения мероприятий по обеспечению информационной безопасности является значение предотвращенных потерь (Ппр), которое рассчитывают, исходя из вероятности возникновения инцидента информационной безопасности и возможных экономических потерь от него до и после реализации мероприятий по обеспечению информационной безопасности на объекте: Ппр = П1 – П2. П1 – потери от реализации угроз до внедрения мероприятий, повышающих уровень информационной безопасности. П2 – потери от реализации угроз после внедрения мероприятий, повышающих уровень информационной безопасности. По сути, Ппр является разностью потерь до и после реализации мероприятий, направленных на повышение уровня информационной безопасности, и в целом отражает ту часть прибыли, которая могла быть потеряна. Возмещенный ущерб Показателем, который непосредственно характеризует деятельность подразделения, является хозрасчетная эффективность (Эх.р.). В случае оценки подразделения по защите информации она отражает количество средств, непосредственно возвращенных организации в результате деятельности подразделения за расчетный период. Это могут быть средства, полученные в результате депремирования сотрудников, виновных в инцидентах ИБ, средства, возмещенные третьей стороной, которая виновна в инциденте ИБ, и т.п. Затраты на обеспечение Показателем, напрямую влияющим на эффективность работы подразделения по защите информации, являются затраты на его содержание (С) за расчетный период, куда входят оплата труда специалистов, закупка и содержание технических средств защиты информации и др. Коэффициент эффективности Коэффициент эффективности подразделения по защите информации за расчетный период должен объективно и доступно отражать суть его деятельности. Так как от эффективности подразделения по защите информации напрямую зависит количество инцидентов информационной безопасности, то коэффициент эффективности можно выразить как разность заведомой полной эффективности и относительной частоты возникновения инцидентов информационной безопасности: К = 1 – И/И эф р.п.max р.п. Ир.п. – количество инцидентов информационной безопасности за расчетный период. Иmax р.п. – максимально возможное количество инцидентов информационной безопасности за расчетный период. Практическое значение Использование при расчете ключевых показателей, напрямую отражающих деятельность подразделения по защите информации, позволяет дать его объективную экономическую оценку, а также исключить условности и, как следствие, снизить меру неопределенности в оценке. При определении максимально возможного количества инцидентов информационной безопасности (Иmax р.п.) не о б хо димо пользоваться статистическими данными, если же они недоступны, можно воспользоваться методом экспертно-аналитической оценки. Коэффициент эффективности подразделения по защите информации всегда принимает значение 0 ≤ Кэф ≤ 1. Расчет эффективности Таким образом, экономическая эффективность (Ээф) подразделения по защите информации за расчетный период может быть определена по формуле: Ээф = (Ппр + Эх.р. – С) х Кэф. Комментарий эксперта Оценка экономической эффективности деятельности подразделения информационной безопасности является сложной и одновременно интересной задачей. По опыту общения с коллегами можно сделать вывод, что рекомендации международных стандартов по выделению ИБ в самостоятельное подразделение не нашли понимания у руководства российских компаний, что во многом обусловлено “трудностями перевода” целей и задач на понятный бизнесу язык. Место информационной безопасности в структуре предприятия чаще всего находится либо в безопасности, либо в IT. В случае когда ИБ находится в службе безопасности, не всегда удается полностью раскрыть потенциал подразделения, которое воспринимается, как внутреннее IT-по-дразделение, сотрудники часто занимаются несвойственными им функциями. Во втором варианте ИБ воспринимается как вспомогательный элемент контроля качества IT-сервисов, проекты финансируются по остаточному принципу, возможны внутренние конфликты. Наличие объективной методики оценки эффективности позволит изменить ситуацию, повысить статус подразделения ИБ внутри компании и сделать его деятельность более понятной для бизнеса. При анализе целесообразности тех или иных проектов ИБ обычно используется рискориентированный подход, когда оцениваются величины актуальных рисков безопасности и стоимость внедряемых контрмер, снижающих их до приемлемого уровня. Данная же методика является хорошим вариантом формализации процессной составляющей деятельности подразделения ИБ, позволяет оценить эффективность работы по ежедневным задачам, разработать объективные критерии отчетности. |