В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
В сложных экономических условиях самым очевидным способом убеждения заказчика выбрать конкретного подрядчика, который наиболее часто встречается в России, является уменьшение стоимости системы. Снижение цены обычно достигается за счет применения наиболее дешевого оборудования. Предположим, что оно будет выполнять поставленную перед системой задачу. Представим также, что дураков в России не так уж и много, и большинство конкурентов догадались перейти на дешевое оборудование. А тем, кто не догадался, поможет патриотическое стремление властей к импортозамещению. Что делать дальше в ситуации, когда все уже работают на дешевом оборудовании? Можно сократить и его количество, но тогда еще более остро встанет вопрос о полноценном выполнении системой стоящих перед ней задач. Или совсем уж страшный вопрос: что же мы продавали, а они (заказчики) оплачивали до 2008 г.? А если такой вопрос зададут себе заказчики?
Альтернативой вышеописанному является простой и честный подход – понять потребности заказчика и создавать системы, наиболее соответствующие его нуждам. К сожалению, простые вещи, как правило, оказываются самыми сложными для понимания и реализации. Да и сами заказчики часто не осознают свои потребности в достаточной мере.
Сейчас основной проблемой во взаимоотношениях заказчика и подрядчика являются финансы, точнее – их недостаток. До кризиса обе стороны относились к затратам на безопасность как к неизбежным финансовым потерям, однако при наличии средств такие потери не казались чем-то ужасным. Но когда денег не хватает на существование фирмы или зарплату, владельцы бизнеса или управляющие уже не могут позволить себе просто так их терять. А именно такое отношение к затратам на безопасность сформировалось до кризиса. Для разрешения данной проблемы нужно изменить мнение о затратах на безопасность и перевести их из разряда потерь в разряд инвестиций.
При этом инвестиционный подход к финансированию остается понятным для владельцев бизнеса, что позволяет общаться с ними на одном языке и успешнее достигать взаимопонимания. Остается только доказать им, что такое отношение к инвестициям в безопасность оправдано.
Выполнить расчет окупаемости инвестиций в безопасность какого-либо объекта в полном объеме, как это принято в экономике, – в общем случае задача очень непростая. Нужно собрать и обработать большой массив данных. Ситуация осложняется еще и тем, что обеспечение безопасности, по сравнению с обычным инвестпроектом, имеет ряд специфических особенностей, связанных с вероятностным характером процесса обеспечения безопасности и влиянием человеческого фактора. Чтобы лучше представить перечень затруднений, приведем неполный список вопросов, на которые нужно ответить или собрать по ним информацию:
Исходные данные, особенно количественные и основанные на статистическом подходе, имеются у страховых компаний, крупных фирм и корпораций, а также у государственных структур. Сложность их получения связана с тем, что все вышеперечисленные организации, как правило, не предоставляют имеющуюся у них информацию. Страховые компании – по причине коммерческой тайны, так как эти данные используются в их бизнесе. Крупные фирмы – по причине нежелания выносить на всеобщее обозрение информацию о своих неприятностях. А государственные структуры – по соображениям секретности.
В таких условиях выполнение полного классического инвестиционного расчета для систем безопасности становится сложной и весьма дорогостоящей задачей. Если к этому добавить еще вероятностный характер процесса и влияние человеческого фактора при отсутствии количественных статистических данных, то точность расчета становится трудноопределимой, что в сочетании с его высокой стоимостью снижает практическую целесообразность данного расчета.
В такой ситуации вместо полноценного инвестиционного расчета предлагается делать оценку возврата инвестиций в системы безопасности, которая состоит из трех направлений:
Выбранные направления являются наиболее важными для построения системы безопасности и формируют основной объем их финансирования.
Любой бизнес связан с рисками. Их источники могут быть самыми разными:
Системы безопасности способны бороться только с частью из них. Но даже среди тех рисков, которым они могут противостоять, каждый бизнес имеет свои приоритетные специфичные риски. Для одних это материальные активы – недвижимость и оборудование, для других – люди с их умениями и навыками, для третьих – информация и т.д. Но чаще всего для произвольно выбранного бизнеса присутствуют сразу несколько видов рисков, но с разной степенью влияния. Учитывая неодинаковое воздействие рисков на разный бизнес, использовать одни и те же решения для построения систем безопасности разных объектов нецелесообразно, а с точки зрения экономики и возврата инвестиций – неэффективно.
Как определить, сколько видеокамер нужно установить в офисном центре и сколько дверей оснастить системой доступа на производстве, чтобы построить эффективную и экономически оправданную систему безопасности для столь разных объектов? В качестве критериев для построения эффективной системы безопасности целесообразно использовать подходы риск-менеджмента. Выявляя, оценивая и минимизируя риски, можно сформировать требования к функциям, количественному и качественному составу создаваемых систем безопасности для разных объектов, а также определить экономически оправданный для них бюджет.
На практике применение анализа рисков для создания систем безопасности образует два неравноценных варианта.
Первый вариант относится к ситуациям, в которых можно количественно точно определить небольшой набор имеющихся рисков, их финансовое влияние на бизнес, а также затраты на их устранение. В этом случае привычную формулу для определения эффективности инвестиций:
можно заменить на формулу подсчета возврата инвестиций в безопасность:
В качестве примера использования данной формулы рассмотрим следующую ситуацию. Некая компания несет убытки от 6 вирусных атак в год, каждая из которых наносит ущерб 15 000 руб. Реализация антивирусных мероприятий стоит 30 000 руб. и с вероятностью 80% защитит бизнес от атак. Тогда расчет окупаемости инвестиций составит:
Расчет показывает, что данная инвестиция в безопасность вполне экономически оправдана. Скорее всего, инвестор в этой или аналогичной ситуации не будет смотреть на вложения в безопасность как на потерю денежных средств и будет готов платить
К сожалению, при создании систем безопасности чаще встречается второй вариант, в котором количество рисков значительно больше, и точно определить их финансовое воздействие на защищаемый объект не представляется возможным. В этом случае вместо количественной предлагается выполнять качественную (экспертную) оценку рисков и определять приблизительную стоимость вложений в безопасность.
Оценка бюджета безопасности производится следующим способом. Выявляются имеющиеся на объекте риски, и определяется их суммарная величина. После этого оценивается, на сколько можно уменьшить имеющиеся риски за счет создания на объекте системы безопасности. Общая сумма уменьшенных рисков образует максимальный бюджет такой системы. Необходимо понимать, что если мы уменьшаем суммарный риск на определенную величину и на эту же самую сумму строим систему безопасности, то для инвестора это экономически неинтересно. Это уже не "черная" бюджетная дыра, но финансовый интерес появляется тогда, когда стоимость создания системы безопасности становится меньше суммарной стоимости уменьшенных рисков Чем больше разница между величиной уменьшенных рисков и стоимостью системы безопасности, тем выше экономическая выгода от внедрения
Опишем вкратце, как это делается
Для обработки сложных рисков используется методика качественной оценки, в результате применения которой получаются данные для построения эффективной системы безопасности защищаемого объекта или бизнеса. Использование этого метода на конкретном объекте требует тесного взаимодействия представителей исполнителя со всеми службами заказчика. Чем более открытым будет взаимодействие, тем точнее и качественнее будут определены и оценены риски для защищаемого объекта, а значит, появится возможность построить действительно оптимальную систему безопасности, учитывающую и минимизирующую риски предприятия.
На начальном этапе работы совместно с представителями заказчика определяется перечень опасностей, которые могут реализоваться. На этой стадии используется имеющаяся статистика реализации угроз на однотипных объектах, а также рассматриваются опасности, которые уже происходили на объекте заказчика или могут произойти. Полученный перечень оформляется в табличном виде, а все угрозы ранжируются по вероятности их наступления.
Чтобы выявленные опасности реализовались, необходимо наличие уязвимостей. Уязвимость представляет собой слабость в защите объекта и сама по себе не является угрозой, но она делает возможной реализацию опасности. Уязвимости, выявленные при обследовании объекта, ранжируются и собираются в таблицу.
Уровень уязвимости в значительной степени зависит от типа нарушителя. Понятно, что подготовленный преступник с гораздо большей вероятностью преодолеет установленную преграду и достигнет своей цели, чем неподготовленный. Поэтому для противодействия разным типам нарушителей требуется создавать различные уровни преград. Определяется, от каких типов преступников необходимо защищать объект, оценивается вероятность появления определенного типа нарушителя, и полученная информация сводится в таблицу. Уровень уязвимости определяется для каждой опасности и каждого типа нарушителя с учетом вероятности его появления на защищаемом объекте.
При определении величины риска необходимо учитывать тяжесть последствий или ущерб, который может быть нанесен при наступлении опасности. Как правило, руководители бизнеса владеют информацией о величине убытков в случае простоя своего бизнеса в течение определенного времени. Они также имеют данные об аналогичных случаях, вызванных недостаточной защищенностью объекта или бизнеса, и величине соответствующих финансовых потерь. Ущерб может иметь материальный характер (кража, вывод из строя и уничтожение какого-либо имущества заказчика, расположенного на защищаемом объекте, и др.), а также приводить к смерти или потере здоровья для одного человека или группы людей. Собранная информация о величине ущерба объединяется в таблицу и выражается в денежной форме.
Риск определяется как функционал f, характеризующийся частотой или вероятностью реализации опасного события (F) и последствиями этого события или тяжестью причиненного вреда (C):
В свою очередь, вероятность реализации опасного события определяется как произведение вероятности наступления опасности на величину уязвимости объекта угрозы
Для определения величины рисков в одну таблицу (матрицу риска) сводятся вместе все уже полученные данные из таблиц величины опасностей, уязвимостей и ущербов. В результате для каждой опасности определяется значение риска, указанное в итоговой таблице. Данная таблица описывает ситуацию с рисками для защищаемого объекта. Далее риски ранжируются, и те риски, величина которых превышает установленный порог, подвергаются снижению с помощью разрабатываемой системы безопасности и, если потребуется, организационных мероприятий, для чего составляется сводная таблица с:
Эта таблица содержит данные для разработки оптимальной системы безопасности, и на ее основе определяется бюджет для этих целей.
Снижение рисков является главной задачей для обеспечения безопасности, непрерывности и успешного функционирования любого объекта или бизнеса, а системы, с помощью которых эта задача решается, являются лишь инструментом для достижения главной цели. Если анализ рисков показывает, что для обеспечения безопасности достаточно организационных мер или, например, установки качественных дверей и решеток на окнах, то заказчику рекомендуется вообще не устанавливать часть систем безопасности или устанавливать их в сильно урезанном виде
При оценке и снижении рисков не следует забывать, что далеко не все из них могут предотвращаться за счет применения систем безопасности. Но риски, которые нельзя предотвратить таким образом, могут быть переданы или разделены с другими организациями. Классическим примером передачи риска является страхование
Эффективность системы безопасности часто является основной причиной, из-за которой владельцы бизнеса выбирают то или иное решение. Под эффективностью понимается сокращение расходов на создание и эксплуатацию системы при обеспечении заданного уровня защищенности объекта или бизнеса.
Основным способом достижения эффективности является интеграция создаваемых систем. Объединение в единую интегрированную систему безопасности (далее ИСБ) позволяет уменьшать затраты как на этапе ее создания (капитальные затраты), так и на этапе эксплуатации (операционные расходы).
Выделяют три способа уменьшения капитальных затрат при использовании интеграции.
1. Часть одной из систем безопасности строится на оборудовании и программном обеспечении другой. Например, создание охранной сигнализации на базе системы контроля доступа.
2. Развитая программно-аппаратная интеграция позволяет использовать одно ПО и одно оборудование для нескольких систем. Например, объединение под одним ПО работы систем контроля доступа, охранной сигнализации и диспетчеризации, а также управление системой видеонаблюдения и отображение информации о состоянии пожарной сигнализации.
3. Благодаря интеграции один компьютер управления устанавливается сразу на несколько систем, а не на каждую отдельно. Кроме того, интеграция систем дает возможность сократить и операционные расходы.
Интеграция не является единственным способом обеспечения эффективности системы безопасности. Большое воздействие на величину эффективности оказывают такие свойства систем, как надежность и долговечность.
Надежность системы заключается в способности непрерывно обеспечивать и поддерживать на протяжении времени сохранение заданных характеристик и проявляется во время использования. Чем она выше, тем меньше хлопот доставит система ее владельцу. Стоимость эксплуатации с точки зрения надежности состоит в затратах на замену вышедших из строя компонентов и на содержание штата персонала, поддерживающего работоспособность системы. А значит, стоимость владения надежной системой будет меньше по сравнению с менее надежной. Важным, но редко учитываемым фактором, напрямую связанным с надежностью, является нормальное функционирование оборудования. Чтобы оценить его важность, надо представить, что произойдет и какие затраты придется понести владельцу объекта, если система выйдет из строя.
Долговечность решения определяется сроком нормальной эксплуатации. Чем дольше система сохраняет свою работоспособность, тем выше выгода от ее установки для владельца.
Стоимость имеет значение. Однако не всегда самое дешевое оборудование является самым выгодным, так как его функциональность, надежность и долговечность могут быть низкими, что в результате приведет к низкой финансовой конкурентоспособности даже по сравнению с дорогими устройствами.
Использование системы безопасности для поддержки и развития основной миссии бизнеса составляет суть третьего направления. Здесь технологические возможности и функциональные решения, заложенные в нее, используются для улучшения бизнес-процессов, сокращения расходов и увеличения доходов. Безопасность перестает быть затратным решением, деньги на которое тратятся в связи с необходимостью, но становится системой, которая играет значительную, а подчас и ключевую роль для успешного функционирования бизнеса. И тогда оценка ее экономической привлекательности производится точно так же, как и для любого другого бизнес-проекта.
Приведем ряд примеров, доказывающих справедливость данного утверждения.
Современное оборудование систем безопасности постоянно увеличивает свой интеллект, что гарантирует в будущем все более глубокую их интеграцию в бизнес-процессы и рост влияния на эффективность бизнеса. Повышается также уровень и значение взаимодействия систем безопасности с другими устройствами, имеющимися на защищаемых объектах.
Благодаря их участию в бизнес-процессах для предпринимателей и инвесторов не представляет труда оценить величину полезного вклада этих систем в результат деятельности бизнеса и, исходя из этого, определить оправданный размер инвестиций в безопасность своего предприятия.
Предлагаемый трехуровневый подход к оценке возврата инвестиций в безопасность позволяет комплексно, понятно и объективно определить для предпринимателей и инвесторов необходимость и экономически обоснованный размер финансовых затрат на построение системы безопасности объекта или бизнеса.
Применение риск-менеджмента и использование методики качественной оценки риска для формирования критериев организации системы безопасности дает возможность инвестору выбрать для защиты своего бизнеса оптимальное по функциям и размеру решение с понятным обоснованием его стоимости.
Оценка эффективности системы безопасности с учетом ее жизненного цикла помогает инвестору понять преимущества и недостатки предлагаемых ему устройств по целому ряду параметров и найти для себя оптимальный вариант системы и ее производителя.
Привлечение ресурсов создаваемой системы безопасности для увеличения эффективности собственного бизнеса помогает заказчику сделать окончательный выбор нужного ему решения с четким пониманием размера ожидаемых доходов от его эксплуатации.
Опубликовано: Журнал "Системы безопасности" #3, 2016
Посещений: 5492
Автор
| |||
В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
