Читаем Информатизация бизнеса. Управление рисками полностью

Выводы: 1. Для 1-й компании риск ошибочных аналитических выводов на уровне 0,15 при контроле продукции в течение месяца на предприятии-поставщике может быть признан как приемлемый.

2. Для 2-й компании предприятие-поставщик реализует откровенно бракованную продукцию (брак ежемесячно имеет место с вероятностью около 0,9), что негативно скажется в дальнейшем при эксплуатации системы.

Это – недвусмысленные выводы для дальнейшего ведения бизнеса.

Пример 2. В процессе длительной эксплуатации неизбежны аварии на трубопроводах. У первой из сравниваемых компаний их ожидается меньше за счет более эффективного управления качеством и рисками. Положим, на поддержание системы контроля качества на предприятиях-поставщиках ежегодные расходы 1-й компании, практикующей, в отличие от 2-й компании, различные виды проверок трубопродукции (акустические, магнитные, оптические, с проникающими веществами, радиационные, радиоволновые, тепловые и электромагнитные), оцениваются в 5 млн. руб., а 2-й компании – в 1 млн. руб., за 2 года расходы считаются вдвое больше. На мониторинг и контроль ситуации в процессе эксплуатации трубопровода 1-я компания, применяющая современные методы, включая комбинацию дистанционного зондирования интегральных и локальных методов инспекции, методов внутритрубной инспекции, расходует в течение 2 лет 50 млн. руб., а 2-я, использующая лишь вертолетное обследование и регулярные рентгенографические методы инспекции, – 10 млн. руб. Кроме этого, на меры противодействия рискам 1-я компания, применяющая в дополнение к мерам 2-й компании проверку качества выпускаемой продукции всеми рекомендованными видами и методами неразрушающего контроля и дистанционное зондирование (космический мониторинг и авиационную съемку), расходует в течение 2 лет 14 млн. руб., а 2-я компания – 12 млн. руб. Более детальные условия примера см. в монографиях [10], [11].

Требуется провести комплексный сравнительный анализ технической политики обеих компаний по показателям рисков и возможных ущербов с учетом затрат на систему контроля качества на предприятиях.

Для решения используются модели инструментария «УЯЗВИМОСТЬ». Комплексный сравнительный анализ технической политики обеих компаний по показателям рисков и возможных ущербов с учетом затрат на систему контроля качества на предприятиях, мониторинга и контроля при эксплуатации и принимаемых мер противодействия показал следующее (см. рис. 37, 38).

Рис. 37. Исходные данные и результаты анализа для 1-й компании, пример 2

Техническая политика 1-й компании характеризуется показателями: при суммарных затратах на меры ситуационного анализа, мониторинга и контроля и противодействия рискам в объеме 74 млн. у.е. риск негативного воздействия на компанию равен 0,334, а математическое ожидание (МОЖ) ущерба – 3,34 млн. у.е. Наибольший вес в уязвимость (риск равен 0,121 из 0,334) вносят неэффективные мониторинг и контроль. Если практически при разумных затратах принятые меры мониторинга и контроля неулучшаемы, то полученные риски и ущербы должны восприниматься 1-й компанией как неизбежные. Как интегральный результат показатели эффективности технической политики 1-й компании могут быть приняты в качестве положительного ориентира для аналогичного рода предприятий.

Рис. 38. Исходные данные и результаты анализа для 2-й компании, пример 2

Несмотря на существенно меньшие расходы 2-й компании (24 против 74 млн. у.е.), математическое ожидание ущерба 9,92 млн. у.е. в три раза превышает ожидаемый ущерб 1-й компании (3,34 млн. у.е.), при этом ущерб соизмерим с затратами. Наибольший вес в уязвимость (0,656 из 0,992) вносят неэффективные мониторинг и контроль и слабые меры противодействия рискам. Риск негативного воздействия на компанию, равный 0,992, свидетельствует о неизбежности реализации потенциальных угроз 2-й компании в течение ближайших 2 лет, несомненно, это отрицательно скажется на конкурентоспособности продукции и услуг компании. Более того, цифры говорят о том, что если даже принимаемые меры ситуационного анализа, мониторинга и контроля и противодействия рискам 2-й компании оформлены в виде документа «Техническая политика», приходится констатировать отсутствие таковой политики из-за ее неэффективности.

Пример 3. Положим, требуется оценить уровень информационной безопасности для крупного холдинга, включающего в свой состав головное предприятие и два других подчиненных предприятия. Территориально распределенная система информационной безопасности характеризуется подсистемами безопасности головного предприятия (подсистема 1), подсистемой связи (подсистема 2) и подсистемой из двух подчиненных предприятий (подсистема 3), каждая из которых базируется на средствах и технологиях защиты, принятых в головном предприятии (рис. 39).