Положение и разработка методических рекомендаций по снижению инновационных рисков

• внедрении более дешевого метода производства товара или услуги по сравнению с уже использующимся. Подобные инвестиции будут приносить предпринимательской фирме временную сверхприбыль до тех пор, пока она является единственным обладателем данной технологии. В подобной ситуации фирма сталкивается лишь с одним видом риска — возможной неправильной оценкой спроса на производимый товар;
•   создании нового товара (услуги) на старом оборудовании. В этом случае к риску неправильной оценки спроса на новый товар или услугу добавляется риск несоответствия качества товара (услуги) в связи с использованием старого оборудования;
• производстве нового товара (услуги) при помощи новой техники и технологии. В данной ситуации инновационный риск включает в себя риски: того, что новый товар (услуга) может не найти покупателя; несоответствия нового оборудования и технологии необходимым требованиям для производства нового товара (услуги); невозможности продажи созданного оборудования, так как оно не подходит для производства иной продукции в случае неудачи.

В литературе по теории бизнеса  часто можно встретить термины «высокий риск» и «слабый риск». В данном случае речь идет о различных уровнях риска. Уровень риска зависит от отношения масштаба ожидаемых потерь к объему имущества предпринимательской фирмы, а также от вероятности наступления этих потерь.[2,с. 157]

 

1.2. Виды инновационных  рисков.

Неизбежным условием хозяйствования является неопределенность. Инновационная  деятельность в большей степени, нежели другие направления предпринимательства, сопряжена с риском. В условиях нестабильности экономической конъюнктуры  проблема риска возникновения потерь при вложении фирмой средств в  инновации становится особенно актуальной.

Можно выделить несколько  видов риска, наиболее характерных  для современных условий:

1. Риски ошибочного выбора  инновационных проектов. Причинами  возникновения данного вида рисков  может служить недостаточно обоснованный  выбор приоритетов экономической  и рыночной стратегии предприятия.  Это возможно, например, в случае  преобладания кратко-срочных интересов  при принятии решений над долгосрочными (желание быстрее распределить прибыль между собственниками делает менее вероятным увеличение доли продукции предприятия на рынке через несколько лет). Могут быть ошибочно оценены перспективы положения предприятия на рынке, его финансовая устойчивость (желание нарастить прибыль за счет увеличения объема продаж, выгодного продукта может, при резком ухудшении финансового состояния и изменении конъюнктуры рынка, привести к дополнительным расходам на освоение ресурсосберегающих технологий). Кроме того, зачастую автор инновационного проекта переоценивает его значимость для потребителя - в этом случае причиной возникновения риска служит ошибочная оценка рынка потребления.

2. Риск необеспечения  инновационного проекта достаточным  уровнем финансирования. Включает  в себя риск недополучения средств для разработки проекта (фирма не смогла привлечь инвесторов из-за некорректно составленного бизнес-плана проекта) и риск неправильного выбора источников финансирования (невозможность осуществления проекта за счет собственных средств, отсутствие доступных источников заемных средств и пр.)

3. Риск неисполнения хозяйственных договоров, так же может быть нескольких видов: риск отказа партнера от заключения договора после проведения переговоров (в случае резкого изменения экономической конъюнктуры), риск заключения договоров на не очень выгодных условиях (при диктате поставщика либо при отсутствии достаточного опыта у фирмы), риск заключения договоров с недееспособными (неплатежеспособными) партнерами, риск невыполнения партнерами договорных обязательств в срок (преимущественно зависит от резких колебаний экономической конъюнктуры).

4. Маркетинговые риски  текущего снабжения и сбыта.  Эта группа достаточно обширна.  В большинстве случаев определяется  недостаточным уровнем профессионализма  маркетинговых служб предприятия,  либо вообще отсутствием таковых. 

5. Риск, связанный с обеспечением  прав собственности. Проблема  возникновения этого вида риска  особенно актуальна для предприятий,  производящих инновационную продукцию.  Основной причиной его возникновения  у российских предприятий служит  несовершенство патентного законодательства (получение патента (лицензии) с  опозданием, короткий срок действия  патента и пр.) [3, с. 201]

 

2.Управление рисками в  инновационной деятельности

2.1. Сущность и основные  этапы управления рисками

Использование информационных систем связано с определенной совокупностью рисков. Когда риск (возможный ущерб) неприемлемо велик, необходимо принять экономически оправданные защитные меры. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения размер риска является функцией вероятности  реализации определенной угрозы (использующей некоторые уязвимости), а также  величины возможного ущерба.

Таким образом, суть работы по управлению рисками состоит в  том, чтобы оценить их размер, выработать эффективные и экономичные меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

• (пере)оценку (измерение) рисков;
• выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

• ликвидация риска (например, за счет устранения причины);
• уменьшение риска (например, за счет использования дополнительных защитных средств);
• принятие риска (и выработка плана действия в соответствующих условиях);
• переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками  можно подразделить на следующие  этапы:

1. выбор анализируемых объектов и уровня детализации их рассмотрения;
2. выбор методики оценки рисков;
3. идентификация активов;
4. анализ угроз и их последствий, определение уязвимостей в защите;
5. оценка рисков;
6. выбор защитных мер;
7. реализация и проверка выбранных мер;
8. оценка остаточного риска.

Этапы (6) и (7) относятся к  выбору защитных средств (нейтрализации  рисков), остальные — к оценке рисков.

Уже перечисление этапов показывает, что управление рисками — процесс  циклический. По существу, последний  этап — это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная  и тщательно документированная  первая оценка может существенно  упростить последующую деятельность.

Управление рисками, как  и любую другую деятельность в  области информационной безопасности, необходимо интегрировать в жизненный  цикл ИС. Тогда эффект оказывается наибольшим, а затраты — минимальными. Можно выделить пять основных этапов жизненного цикла ИС:

• инициация;
• закупка (разработка);
• установка;
• эксплуатация;
• выведение из эксплуатации.

Кратко опишем, что может  дать управление рисками на каждом из перечисленных этапов.

На этапе инициации  известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

На этапе закупки (разработки) выявленные риски способны помочь при  выборе архитектурных решений, играющих ключевую роль в обеспечении безопасности.

На этапе установки  выявленные риски следует учитывать  при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в  системе.

При выведении системы  из эксплуатации управление рисками  помогает убедиться в том, что  миграция данных происходит безопасным образом. [4, с. 77]

 

2.2. Подготовительные этапы управления рисками

Первые три этапа процесса управления рисками можно считать  подготовительными. Их суть состоит  в следующем.

Выбор анализируемых объектов и уровня детализации их рассмотрения — первый шаг в оценке рисков. Для небольшой организации допустимо  рассматривать всю информационную инфраструктуру; однако, если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приблизительностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

По многим причинам целесообразно  создать карту информационной системы  организации. Для управления рисками  подобная карта особенно важна, поскольку  она наглядно показывает, какие сервисы  выбраны для анализа, а какими было решено пренебречь. Если ИС меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые  или существенно изменившиеся сервисы  нуждаются в рассмотрении.

Вообще говоря, уязвимым является каждый компонент информационной системы — от куска сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу  анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться  на некотором уровне детализации, отдавая  себе отчет в приблизительности  оценки. Для новых систем предпочтителен детальный анализ; старая система, подвергшаяся небольшим модификациям, может быть проанализирована более поверхностно.

Очень важно выбрать разумную методику оценки рисков. Целью оценки является получение ответов на следующие  вопросы:

• приемлемы ли существующие риски?
• какие из неприемлемых рисков в первую очередь нуждаются в уменьшении?
• какие защитные средства экономически целесообразно использовать для уменьшения неприемлемых рисков?

Следовательно, оценка рисков должна быть количественной, допускающей  сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками — типичная оптимизационная задача, и существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных данных. Можно, конечно, попытаться получить для всех анализируемых величин денежное выражение, высчитать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой. Далее будет продемонстрировано, как это делается.

При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть о видимых основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект.

Одним из главных результатов  процесса идентификации активов  является получение детальной информационной структуры организации и способов ее (структуры) использования. Эти сведения целесообразно нанести на карту  ИС в качестве граней соответствующих  объектов.

Информационной основой  любой сколько-нибудь крупной организации  является сеть, поэтому в число  аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.).

К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), другое базовое и прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение и из каких узлов используется.

Третьим видом информационных активов являются данные, которые  хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и категориям критичности, выявить места их хранения и обработки, способы доступа к ним. Все  это важно для оценки последствий  нарушений информационной безопасности.