"Банковское дело в Москве", 2006, N 7

ВО ЧТО ОБХОДИТСЯ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Сегодня отечественные компании и предприятия с повышенными требованиями к информационной безопасности, в том числе банки, до 30% IT-бюджета тратят на обеспечение требуемого уровня информационной безопасности. Перед руководством компаний регулярно встает вопрос о целесообразном объеме инвестиций в информационную инфраструктуру и степени ее влияния на бизнес-процессы. К сожалению, до сих пор эти вопросы порой решаются "интуитивно", что не всегда приносит ожидаемый эффект. Но где взять качественное и количественное обоснование, требуемое для принятия обоснованных решений?

В организациях с передовым уровнем управленческой культуры для оценки экономического эффекта от внедрения информационных технологий, в том числе безопасности, давно и широко используют следующие показатели:

- совокупная стоимость владения информационной системой (TCO - Total Cost of Ownership).

- коэффициент возврата инвестиций в инфраструктуру предприятия (ROI - Return on Investment).

- экономическая эффективность от удовлетворения потребностей бизнеса, например внутренняя норма рентабельности (IRR - Internal Rate of Return), чистая приведенная стоимость (NPV - Net Present Value), а также некоторые другие метрики.

Для их вычисления разработаны понятные методики, предоставляющие возможность легко производить расчет, не используя сложный математический аппарат. Это позволяет компании количественно оценить уровень информационной безопасности, а также экономическую эффективность инвестиций в нее. По данным западных экспертов, эти методики широко используются руководящим звеном служб информационной безопасности. Особенно - в финансовом секторе.

Несмотря на ряд ограничений, присущих ROI, значение именно этого показателя чаще всего используется при оценке эффективности инвестиций. По данным CSI/FBI, в США в 2005 г. 38% компаний при принятии решений ориентировались на показатель ROI, 18% - NVP, 19% - IRR. Концепция общей стоимости владения (TCO) была выдвинута аналитической фирмой Gartner Group в конце 80-х годов. TCO - ключевой количественный показатель, позволяющий оценивать совокупные затраты на информационную инфраструктуру, анализировать и, соответственно, управлять IT-бюджетом. В настоящее время TCO являются частью плановой работы сотрудников IT-департамента при оценке информационных технологий. Наиболее распространенной является методика TCO Gartner, которая использует два основных критерия.

Прямые расходы включают видимые инвестиции, связанные с внедрением и поддержкой информационных технологий.

- Расходы на технические средства и программное обеспечение: затраты на приобретение или аренду оборудования (компьютеров, устройств хранения данных, сетевого оборудования и т.п.) и программного обеспечения. Для получения годовой цифры эти затраты делятся на ожидаемый жизненный цикл. Сюда же включаются затраты на обслуживание, запасные части и расходные материалы.

- Расходы на операции по поддержанию информационной инфраструктуры: все трудовые затраты, произведенные компанией, сторонними организациями (аутсорсинг), а также сетевые затраты.

- Административные расходы: затраты финансового, кадрового, административного и снабженческого подразделений. Иногда они включают затраты на планирование, однако наиболее существенную часть этой категории составляют затраты на обучение IT-специалистов и конечных пользователей.

Для вычисления прямых расходов необходимо иметь точные данные о закупаемом оборудовании, его стоимости и кадровом персонале предприятия. Включаются все вышеупомянутые затраты, даже если они организационно не входят в IT-бюджет.

Непрямые расходы. Эти затраты менее видимы и обычно распределены по структурным подразделениям организации.

- Расходы на операции конечных пользователей: затраты на самоподдержку, а также на поддержку пользователями друг друга в противовес официальной IT-поддержке, неофициальное обучение, самостоятельные прикладные разработки, поддержка локальной сети и пр. В то время как стоимость основной деятельности конечных пользователей легко рассчитывается, оценка затрат на самоподдержку, приводящую к потреблению значительного времени и ресурсов, - достаточно сложная задача, требующая тонкого анализа.

- Расходы на простои возникают в результате перерыва, вызванного остановками оборудования, простоями на обслуживание IT-систем (например, для обновления программного обеспечения) или нарушениями в их работе. Рассматриваются только те простои, которые ведут к потере производительности. Исходные данные для анализа фактической стоимости простоев получают из обзора по конечным пользователям.

Для получения совокупной стоимости владения информационными технологиями все прямые и непрямые расходы в расчете за год складываются между собой. Эта сумма может дать ошеломляющие результаты. TCO персонального компьютера стоимостью менее 1000 долл. США может достигать 5000 долл. США, а двухсотдолларовый принтер, с учетом всех вышеперечисленных затрат, может обходиться более чем в 1000 долл. США в год.

Оценка TCO применяется как для анализа существующих IT-активов, так и для экономического обоснования будущих проектов. Однако, принимая решение, необходимо учитывать многие качественные и количественные технологические, управленческие, кадровые и финансовые моменты. Не всегда наименьшее TCO указывает на эффективность проекта.

Особенно полезно применять TCO при определении стоимости долгосрочных контрактов на аутсорсинг, лизинг и сервис. При этом должны учитываться реальные цифры. Может оказаться, что приобретение оборудования выгоднее лизинга.

Полезно также сравнивать полученные данные с показателями других компаний аналогичного профиля. Это дает возможность доказать руководству, что проект имеет экономические показатели не хуже, чем в среднем по отрасли. Gartner Group отслеживает средние и лучшие показатели TCO по многим предприятиям отраслей, в том числе банковской сферы.

В целом определение затрат компании на информационную инфраструктуру подразумевает решение следующих трех задач:

- оценку текущего уровня TCO корпоративной информационной системы в целом и системы защиты информации;

- аудит информационной безопасности компании на основе сравнения уровня ее защищенности и рекомендуемого ("лучшая мировая практика") уровня TCO;

- формирование целевой модели TCO.

Сравнение текущего показателя TCO IT-системы компании с модельным значением показателя позволяет провести анализ ее эффективности, определить недостатки, их причины и необходимые мероприятия по реорганизации системы защиты информации для обеспечения требуемого уровня защищенности.

С помощью TCO можно оценить затраты, необходимые для внедрения и поддержания информационной системы. Для оценки доходной части используются разнообразные методики расчета возврата инвестиций. ROI - отношение среднего увеличения прибыли к объему инвестиций. Срок окупаемости инвестиций - метод оценки инвестиционных проектов, когда важнейшим критерием выступает продолжительность срока (период окупаемости), в течение которого возвращаются первоначальные затраты. При этом предполагается, что все последующие доходы представляют собой чистую прибыль.

Для расчета ROI могут применяться методики различных разработчиков. Рассмотрим методику, которую предлагает фирма Nucleus Research. Исходя из того, что капиталовложения редко покрываются уже в первый год эксплуатации, за основу берется трехлетний период жизненного цикла. Расчет ROI производится по простой формуле:

ROI = ((чистая прибыль за 1 год + чистая прибыль за 2 год + чистая прибыль за 3 год) / 3 / капитальные затраты) х 100.

Возвращение инвестиций - средний объем чистой прибыли, поделенный на начальную стоимость проекта и умноженный на 100. Например, если стоимость проекта составляет 50 долл. США, а возврат в первый год - 100 долл. США, то ROI в первом году составил бы 100/50 х 100 = 200%.

Для расчетов ROI используются данные о стоимости:

- программного обеспечения и поддержание его в рабочем состоянии;

- аппаратного обеспечения, с учетом амортизации и обслуживания;

- персонала;

- консалтинга, при условии использования внешних консультантов;

- обучения персонала;

- других связанных с проектом мероприятий.

После сбора данных о затратах проводится оценка прибыли, которая может быть получена при внедрении нового проекта. При этом рассматривается прямая и непрямая прибыль.

Прямая прибыль включает, например, уменьшение расходов на бумагу, сокращение или реорганизацию штата сотрудников, продажу старого оборудования, ликвидацию или сокращение экспресс-почты и т.д.

Сложнее учесть непрямую прибыль. Один из способов - оценка ожидаемого изменения производительности. Время, сэкономленное сотрудником за год в результате внедрения новых технологий, умножают на стоимость его рабочего часа. При неуверенности в исходных данных полученная сумма умножается на поправочный коэффициент, который принимается в пределах 0,5. Произведя такие вычисления для каждой категории сотрудников и сложив полученные данные вместе, можно рассчитать экономическую эффективность IT-проекта. Эта методика позволяет одновременно вычислять период окупаемости проекта, что бывает важно для доклада руководству.

Учитывая высокую автоматизированность банков, внедрение нового, более эффективного и производительного программного обеспечения может принести значительную экономию времени. Качественное, грамотно спроектированное программное обеспечение значительно снижает количество пользовательских ошибок. Отпадает необходимость поиска и коррекции ошибки, уменьшается время на выполнение операции, а само предприятие избегает возможных последствий в виде штрафных санкций и потери репутации. Это приведет к уменьшению очередей в офисах, что, в свою очередь, положительно отражается на имидже.

В повседневной работе аналитикам финансовых учреждений необходимо контролировать и оперативно анализировать огромный объем рыночной и внутрибанковской информации. Поэтому внедрение в работу программных средств анализа данных, оптимизирующих и ускоряющих принятие оптимальных решений, также может обернуться значительной прибылью.

TCO, ROI и другие финансовые показатели широко используются при проведении аудита информационной безопасности на Западе. Это позволяет в конечном счете снизить ряд категорий рисков и выработать соответствующие политики в области информационной безопасности, обеспечивающие повышение эффективности бизнес-процессов. Применение этих показателей особенно актуально в связи с требованиями "Базеля II", а также предстоящим вступлением России в ВТО. Применение перечисленных методик за счет повышения открытости финансовой отчетности и соответствия ее современным международным требованиям может усилить положение и имидж банка не только на отечественном, но и на международном уровне.

И.Чикалев

Эксперт журнала

"Банковское дело в Москве"

С.Леденко

Эксперт журнала

"Банковское дело в Москве"

Подписано в печать

25.07.2006

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——