Проблемы распределения рисков(на примере внутрифирменной
компьютеризованной информационной системы)МАТИАС КАРМАЗИН магистр, ассистент
МИХАЭЛЬ ТАЙЛЬ магистр, ассистент Экономический университет Вены
• Идентификация риска, угрозы и ущерба
зависит от ситуации, уровня информированности и
культурных предпосылок • При определении размера материального ущерба
важное значение имеет установление системных
границ • Риски для здоровья персонала несут
предприятия, пострадавшие и общество в целом
В настоящее время наблюдаются глубокие
изменения в ситуации с рисками: потенциал ущерба
становится многообразнее, крупнее, сложнее,
труднее предсказуем. От знакомства с различными
формами проявления рисков часто зависит
экономическое положение, а порой и существование
предприятия. Насколько адекватны традиционные
внутрифирменные подходы к феномену риска?
Возникают сомнения в правомерности концентрации
внимания на непосредственных, обычно в денежном
выражении оценках потенциального ущерба.
Подобный ограниченный подход в значительной
мере предопределяет ответ на вопросы, что в
данном социальном контексте понимается как риск
и какой размер ущерба считается допустимым и
обоснованным. Рассмотрим рисковые ситуации, возникающие при
внедрении и эксплуатации внутрифирменных
компьютеризованных систем информации. Здесь
можно выделить две основные категории рисков:
первая связана с
машинными компонентами,
вторая – с
людьми, которые организуют
работу системы и пользуются ею. Следует иметь в
виду, что в подобной системе сбор, хранение,
преобразование и передача информации
осуществляется, хотя бы частично, с помощью
электронных средств обработки данных,
обладающих высоким потенциалом риска. Эта область представляет особый интерес.
Во-первых, электронная обработка данных
охватывает широкий круг пользователей и
распространяется на все новые сферы
повседневной жизни. Во-вторых, развитие этого
сектора будет иметь далеко идущие последствия.
В-третьих, системы, включающие как машинный, так и
человеческий компоненты, особенно сложны в
отношении оценки фактора риска.
Риск и связанный с ним ущерб
В теории экономики предприятия известно
множество определений понятия риска, отражающих
как практические потребности принятия решений,
так и чисто теоретические положения. Не
акцентируя внимания на критике этих определений,
интересно проследить, насколько они отвечают
условиям современного общества, которое не без
основания называют “обществом риска”. Риск стал
своего рода синонимом непрерывных изменений
–общественных, производственных, личностных.
Если прежде причины ущерба усматривались во
влиянии “высших сил”, “ударов судьбы”, “божьей
воли”, то теперь возникновение рисков связывают
почти исключительно с общественными явлениями. Известные понятия риска в экономике
предприятия характеризуются определенной
ограниченностью. Во-первых, не все параметры
риска могут быть измерены в денежном
эквиваленте. Так, вред здоровью нельзя выразить
никакими количественными единицами. Это еще
более справедливо в отношении рисков в
экологической сфере, а также ряде других
областей. Во-вторых, сомнительно, что из-за
трудности установления воздействующих факторов
риски в действительности могут быть
представлены объективно и оперативно. Все
определяется степенью сложности исследуемой
обстановки. Одно дело строго ограниченная
ситуация с одним параметром ущерба, одним
потерпевшим в одном временном отрезке. Другое –
ситуация риска со сложными взаимосвязями (что
намного ближе к реальности), несколькими видами
ущерба, причиненного в разное время множеству
пострадавших. Риск и связанные с ним угроза и ущерб не
являются объективными категориями, а отражают
культурную предрасположенность общества. Отсюда
разногласия относительно того, что считать
риском. Таким образом, идентификация риска, угроз и
ущерба зависит от
ситуации, уровня
информированности и культурных предпосылок.
Это
ведет к разнобою в определениях, множеству более
или менее реализуемых моделей регулирования и
разнообразию экономической и производственной
реакции. В случае компьютеризованных информационных
систем
технические подходы
ориентированы в
основном на ущерб оборудованию обработки данных,
средствам хранения и самой информации. Предметом
производственно-экономического анализа
являются
проблемы, связанные с простоем предприятия,
медицинских
исследований
– возможности нанесения вреда
здоровью. В целом эти три подхода довольно
безотносительны друг к другу, поэтому претензии
на полноту анализа риска на их основе не могут
считаться обоснованными, а принимаемые
мероприятия всегда будут односторонними. Различия в толковании понятия риска отражаются
и на
идентификации сторон, терпящих убытки по
рискам.
Подходы с ориентацией на решения
относят сюда лиц, принимающих их. Для остальных
подходов к трактовке содержания риска вопрос о
его носителях остается открытым. В конечном
счете, как считают некоторые исследователи, все
зависит от того, каким образом определяются
системные границы. Эти границы не
устанавливаются заранее на квазинатуральной
основе, а отражают конструкцию социальной
системы. Вопросы о том, кто и в каком объеме несет риски
(или не несет их вовсе), определяется не
экономической рациональностью (которая сама по
себе только кажется объективной), а зависит от
культурных
и социальных решений.
То, что в развитых
странах предприятие свободно от рисков,
связанных с квалификацией персонала и с
сокращением рабочих мест в результате внедрения
новой технологии, является не продуктом здравого
смысла, а следствием культурных рамочных
условий. То же можно сказать и относительно
распределения других, вытекающих из внедрения
новой технологии рисков между предприятием и
обществом, а также между индивидами, обществом и
коллективом. В тесной связи с этим стоит вопрос о том, в каком
размере допустимо несение риска. В ходе
дискуссий о приемлемости риска очерчены
следующие основные проблемы: • во-первых, пока нет ни одного метода выбора
приемлемой альтернативы, который не базировался
бы на стоимостных показателях; • во-вторых, решения о приемлемости рисков
принимаются в условиях общего социального
контекста; • в-третьих, эти решения не только отражают
общественные условия, но и оказывают влияние на
них. Таким образом,
приемлемый риск является
продуктом наших размышлений,
а мнения сегодня
у всех разные. В плюралистическом обществе
оценка не может опираться на единый стандарт.
Риски, присущие компьютеризованным
информационным системам
Как отмечалось, при эксплуатации систем типа
“человек – машина” риски разделяются на две
крупные категории: во-первых, связанные с
ущербом, наносимым машинам и оборудованию, и,
во-вторых, относящиеся к нанесению ущерба
персоналу. Соответственно выделяются два
основных вида ущерба – материальный в широком
смысле и здоровью людей. Материальные риски
Они охватывают широкий круг объектов, которым
может быть причинен ущерб. Сюда относятся
аппаратура для обработки данных, их носители и
средства передачи, сами данные и программы, а
также средства обеспечения, оборудование для
утилизации отходов, здания. С учетом факторов, влияние которых выходит за
рамки первичного эффекта, спектр рисков
расширяется. Это может быть распространение
ущерба из-за нарушений в работе компонентов
системы (например, прекращение подачи
электроэнергии ведет к потере данных). В более
широком контексте отказ электронных систем
управления уличным движением ведет к тяжелым
дорожно-транспортным происшествиям. Ложная
информация из-за ошибок в программах и банках
данных в системе обеспечения сбыта приводит к
росту рекламаций клиентов. Столь же разнообразна палитра возможных причин
ущерба. Их перечень труднообозрим. Это могут быть
механические и химические воздействия,
электромагнитные поля и излучения, компьютерные
вирусы, неправильное использование или
искажение данных и программ и многое другое. Формализованные процедуры оценки рисков,
например диаграммы хода событий, в принципе не
позволяют систематически выявлять возможные
причины и их комбинации. К тому же использование
этих процедур из-за крупных издержек
ограничивается, как правило, оборудованием с
высоким потенциалом сбоя или отдельными его
компонентами. Частота возникновения ущерба для отдельных
ситуаций относительно хорошо известна. Так,
ведутся исследования, предметом которых
является ущерб, связанный с эксплуатацией
компьютеров разных фирм-производителей. Данные
сопоставлений, распространяемые страховыми
компаниями, дают первое представление об
относительном значении отдельных причин ущерба.
Определенные события, например пожары, требующие
применения противопожарных средств, или удары
молнии, тщательно документируются. Напротив, в таких случаях, как утрата данных или
потери из-за компьютерного вируса, частота
ущерба пока остается невыясненной. Еще более
проблематичны события, которые или вообще не
воспринимаются или случайно напоминают факт
ущерба. Случаи, когда независимые друг от друга,
но сами по себе ошибочные контрольные расчеты
ведут к устойчивым и вероятным последствиям,
представляют собой лишь видимую часть айсберга. Установление размеров ущерба для машинных и
конструкционных компонентов, а также для
носителей данных может производиться
сравнительно простыми методами. Значительно
труднее эта задача решается в случае потери
данных и программных ошибок. Однако главная проблема в том, что на размер
ущерба часто влияет
неясность в определении
системных границ.
Общий ущерб от утраты одного
носителя данных может ограничиться его
материальным компонентом, может дополниться
эффектом потери данных, а также иметь
последствия в результате остановки
производственного процесса. При выходе за сферу
предприятия возможны дальнейшие последствия.
Размытость иерархического соподчинения обычно
делает вероятным появление значительных внешних
событий ущерба. Законом предусмотрено привлечение лица,
причинившего ущерб, к ответственности, если
установлен факт ущерба, причинно-следственные
связи, а в некоторых случаях правонарушения и
вина. Доказуемость виновности и наличие
существенных обстоятельств для соответствующей
оценки оказывает влияние на размер компенсации.
Кроме того, его определение в значительной мере
зависит от конкретной ситуации. Поэтому
сомнительна возможность единого для всех
случаев подхода к оценке компенсации
пострадавшему за причиненный ущерб. К тому же значительная часть рисков может быть
передана страховым компаниям и сфере
технического обслуживания. Разработаны
специальные виды страхования компьютеров (от
выхода из строя аппаратного обеспечения,
неправильного использования, превышения
эксплуатационных расходов, а также от потери
информации, утраты носителей данных), которые
частично дополняют договора о техническом
обслуживании. Вместе с тем существует и ряд неподконтрольных
рисков вследствие неизвестности виновника
ущерба, его неспособности возместить ущерб,
отсутствия убедительных доказательств
виновности, невозможности точной оценки ущерба,
отказа страховой компании покрыть причиненный
ущерб. Таким образом, вопрос, в какой мере могут
быть учтены последствия ущерба, остается
открытым. Риски для здоровья
Эксплуатация аппаратуры для электронной
обработки данных чревата большими физическими и
психологическими нагрузками на обслуживающих
эту технику людей. Их влияние на организм
человека изучается и документируется уже давно.
Взаимосвязи в этой сфере не только далеко не
выяснены до конца, но по своей природе
значительно сложнее, чем в области машинных
компонентов информационной системы. Так,
остаются спорными оценки влияния на здоровье
людей низкочастотных электромагнитных полей. Проблемы со здоровьем возникают и при ряде
других обстоятельств “общения” человека с
компьютером. Так, специфическая ситуация у
экрана может привести к психическим
расстройствам, особенно когда воздействуют
дополнительные факторы, например неправильно
установленный экран или повышенная утомляемость
зрения. Правда, не исключено, что неправильное
положение тела и связанные с этим жалобы вызваны
не спецификой рабочего места при эксплуатации
электронной аппаратуры, а ее неправильной
оптической настройкой и т.п. Частота нанесения вреда здоровью при работе с
компьютером еще изучается. Проблемы здесь
обусловлены структурными недостатками
исследований. Существуют сомнения относительно
методики учета жалоб на здоровье, когда
обследуются только лица, которые по собственной
инициативе обращаются к врачу. Нет уверенности в
объективности определения таких симптомов, как
утомляемость зрения или недуги из-за длительного
пребывания за компьютерным столом. Нечетки и
критерии отбора причин заболевания: например,
учитывается возраст оператора и
продолжительность работы с компьютером в
течение рабочего дня, но игнорируется его
прежний стаж в таком же виде трудовой
деятельности. Эти неопределенности проявляются
в расхождении результатов исследований, когда,
например, в одном случае частота жалоб на
нарушение зрения составляет 23%, а в другом
превышает 75%. Определение размеров ущерба еще более
осложняет общую проблему оценки рисков.
Во-первых, нет необходимого критерия оценки,
какой существует для компонентов материального
ущерба. Такие параметры компенсаций, как затраты
на лечение или его продолжительность, вряд ли
отражают издержки, связанные с ущербом здоровью,
а для общих оценок риска они тем более
недостаточны. Во-вторых, остается проблема учета
последствий от ущерба здоровью, которая не
изучена вовсе, но стоит более остро, чем при
расчетах материального ущерба или потерь из-за
простоя предприятия. При анализе распределения рисков следует
различать три категории их носителей.
Предприятия
несут в основном риски, связанные с потерей
ключевых сотрудников и возможностей
своевременных технологических изменений. Часть
общего риска берет на себя
общество в целом
в
форме затрат на лечение, выплаты пособий из-за
потери трудоспособности и т.п. Наконец, сами
пострадавшие
также несут существенную долю риска в связи со
снижением трудоспособности из-за ухудшения
состояния здоровья. В случае материального ущерба благодаря
страхованию могут не только покрываться (хотя бы
частично) финансовые последствия, но и
приниматься меры по стимулированию профилактики
ущерба (например, путем выплаты адекватных риску
премий). Подобные меры не предусмотрены в рамках
социального страхования рисков, связанных с
нанесением вреда здоровью. Вместо этого от
предприятий требуют строго ориентироваться на
современный уровень техники безопасности.
Оценка распределения рисков
Операциональность рисковых ситуаций
отражается на распределении рисков. Ситуации, не
поддающиеся количественной оценке, сложно
контролировать как в рамках традиционных
методов управления рисками, нацеленных на их
идентификацию, оценку и разработку
соответствующих мероприятий, так и при
использовании инструментария страхования с
целью полного отнесения рисков на счет страховых
компаний. В случае трудно определяемых рисков возрастает
роль разного рода привходящих факторов. Так на
оценку рисков воздействуют воспоминания и
представления экспертов о прежних подобных
событиях. Часто под влиянием этих впечатлений
статистические данные игнорируются или ошибочно
интерпретируются, суждения строятся не на
объективной основе, а на базе сложившихся
аналогий. В конечном счете оценка становится
зависимой от исходных целевых установок. Подобные проблемы свойственны и относительно
хорошо документированной группе ущербов (т.е.
прежде всего материальных) и группе ущербов с
размытым и неполным описанием (т.е. связанных со
здоровьем). В категории последних
иррациональность оценки выражена, естественно,
резче. Поэтому селективный подход к
использованию информации проявляется тем
сильнее, чем противоречивее данные и
неопределеннее получаемые результаты, а также
чем сложнее сама проблема. Видимо, в силу этого
учет фактов ущерба здоровью отходит на второй
план по сравнению с материальными рисками. Определение границ событий, которые можно
отнести в разряд рисковых, также сопряжено со
значительными трудностями. Ни религия или
политика как формирующие правовую базу
инстанции, ни рынок или средства массовой
информации не в состоянии создать
соответствующие консенсусные критерии. Некоторые исследователи предлагают привлечь
науку
в качестве легитимационной базы для
специфических определений в области рисков.
По
их мнению, именно потому, что ошибки в
определении рисков чреваты крупными социальными
последствиями, в интересах сторон целесообразно
использовать научные достижения. Это позволит
расширить свободу действий партнеров путем
совершенствования методологической базы,
выявления ранее неизвестных факторов влияния и
т.п. В результате определение рисков не будет
слишком жестким, сохранит способность к
постоянным изменениям. Наука здесь может быть
использована самыми разными способами, чтобы в
рамках связанных с рисками конфликтов стороны
имели возможность отстаивать свои интересы. Решение двух основных проблем управления
рисками, т.е. определение и разграничение рисков,
с одной стороны, и их распределение – с другой,
в принципе зависит от
культурных и этических
предпосылок, сложившихся на предприятиях или в
рамках более обширной системы.
В первом случае
речь идет о том, чтобы избежать возможных
внесистемных последствий, а следовательно, и
ответственности по рискам, во втором – стоит
вопрос о справедливом распределении рисков. По возможности полный охват рисков и их
отнесение на счет отдельных лиц или организаций
необходимы как по экономическим, так и этическим
соображениям. Однако любая форма распределения
рисков с привлечением пострадавших индивидов,
государства или предприятий не лишена
специфических слабостей и потому оказывается в
конечном счете неудовлетворительной. В настоящее время должно усилиться значение
предприятия в качестве исходной инстанции,
которая создает систему оценок и распределения
рисков и использует ее в своей деятельности.
Именно оно обладает информацией относительно
качества такой системы и извлекает
экономическую выгоду от ее эксплуатации. Таким образом, в информационном обществе
проблема распределения рисков должна стать
объектом широкой дискуссии. Ее невозможно
рационально разрешить без прямой
ответственности предприятия, которая должна
быть превентивной. Для этого необходимо
определить правовые рамочные условия. Такая
правовая
конструкция, по нашему мнению, должна: •
ориентироваться на предприятие, а не на
отдельную личность,
т.е. в центре должна стоять
ответственность предприятия, а не индивида; •
принимать в расчет социальную и этическую
ответственность предприятия,
стимулируя его
поведение так, чтобы оно стремилось к повышению
уровня всеобщего благосостояния; •
легко вписываться в действующую
экономическую систему,
чтобы иметь
возможность использовать экономически
приемлемые санкции и институты. Это позволит
предприятиям в сложившихся рамочных условиях
конкуренции оставаться на уровне предъявляемых
этических требований без потери
конкурентоспособности.
Статья публикуется с любезного
разрешения швейцарского издательства “Пауль
Хаупт”.
|