Современные условия функционирования предприятий инвестиционно-строительного комплекса характеризуются высоким уровнем конкурентной борьбы, интенсивно изменяющейся конъюнктурой рынка, ростом уровня требований, предъявляемым к строительной продукции. Стремительное изменение макросреды и среды ближайшего приближения предприятий инвестиционно-строительного комплекса существенно влияет на рост фактора неопределенности, являющегося первоприродой возникновения риска. В такой ситуации предприятия, оказавшись под влиянием того или иного риска, несут колоссальные потери, выражающиеся в упущенных выгодах и прямых убытках от реализации того или иного бизнес-проекта или бизнес-процесса. Выходом из сложившейся ситуации может стать формирование системы управления рисками, построенной с учетом отраслевых и иных особенностей предприятия. Одним из ключевых элементов данного процесса является разработка подходов и направлений идентификации рисков с последующей количественной оценкой вероятности их возникновения в деятельности предприятия в будущем и формирования факторного пространства как основы разработки защитных механизмов предприятия инвестиционно-строительного комплекса.
Риски в строительных проектах
1. Баронин С.А., Коршунов А.С. Маркетинговый анализ конкурентоспособности региональных компаний — лидеров на первичных рынках жилищной недвижимости /С.А. Баронин, А.С. Коршунов // Известия ПГПУ им. В.Г.
Белинского. – 2011. – № 24.
2. Научные аспекты формирования системы управления рисками предприятий инвестиционно-строительного комплекса: монография / Е.В. Духанина. – Пенза: ПГУАС, 2014. – 158 с.
3. Основные направления управления инвестиционным процессом в дорожно-строительном комплексе / Е.В. Духанина, Б.Б. Хрусталёв, Д.Н. Давыдов, О.В. Фомин. – Пенза: ПГУАС, 2007. – 124 с.
4. Теория и методология управления конкурентоспособностью бизнес-систем: монография / под общей редакцией д-ра экон. наук, проф. С.А. Баронина и д-ра экон. наук, проф. Л.Н. Семерковой. – М.: ИНФРА-М, 2014. – 329 с..
5. Хрусталёв Б.Б., Вяцкова Н.А. Анализ современного состояния строительного комплекса Пензенской области и проблем управления рисками / Б.Б. Хрусталёв, Н.А. Вяцкова // Управление экономическими системами: электронный научный журнал. – 2014. – № 5.
В настоящее время в условиях высокой конкурентной борьбы, быстро меняющейся конъюнктурой рынка в инвестиционно-строительном комплексе предприятия все в большей степени сталкиваются с проблемой управления рисками, с целью минимизации их отрицательного воздействия. И в этой связи одним из ключевых параметров процесса управления рисками выступает их идентификация. Что позволит на последующих этапах сформировать защитные механизмы и предупредить или минимизировать влияние риска на эффективность деятельности предприятия инвестиционно-строительного комплекса.
Цель исследования — разработка основных направлений идентификации рисков предприятий инвестиционно-строительного комплекса г. Пензы.
Система управления рисками за 5 шагов
Анализ большого количества трудов показал, что в современной экономической литературе существуют различные интерпретации определения понятия «риск». В большинстве подходов к трактовке понятия «риск» авторы проводят параллель с некой вероятностью наступления того или иного результата, отличного от задуманного или запланированного. В контексте проблемы управления рисками такой подход ориентирует на решение задачи выявления риска, с которым может быть сопряжена деятельность предприятия в будущем, т. е. его идентификация с учетом особенностей строительной отрасли. Вопросами управления рисками занимались Бочаров С.А., Швандар В.А., Вишняков Я.Д., Колчина Н.В , Балдин К.В., Веснин В.Р., Хохлов Н.В., Резниченко В.Ю., Уткин Э.А., Чернова Г.В., Богоявленский С.Б., Герасимова Е.Б., Милосердов А.А., Голубков Е.П., Гранатуров В.М., Кузнецова Н.В., Сейтжанов Б.С. и другие.
Материал и методы исследования
В современных условиях функционирования перед предприятиями инвестиционно- строительного комплекса остро встает вопрос формирования эффективной системы управления рисками как одного из основополагающих элементов общей системы управления предприятием. Поиск подходов к организации процесса управления рисками может быть ориентирован, во-первых, на изучение природы риска, а во-вторых — на формирование факторного пространства с учетом особенностей отраслевой принадлежности и внешней среды предприятия. Кроме этого, необходимым условием успешной реализации поставленной задачи может стать разработка вариантов повышения эффективности реализации каждого из элементов управленческого цикла, рассматриваемого через призму риск-менеджмента.
Одним из ключевых элементов системы управления рисками на предприятиях инвестиционно-строительного комплекса является идентификация рисков, то есть выявление количественного и их качественного состава конкретно для отдельно взятого предприятия. Уровень организации работ на данном этапе будет существенно влиять на успех всей работы по формированию системы управления рисками и непосредственно на работу спроектированного на результатах данного этапа защитного механизма. На этом этапе необходимо получить ответы на ряд вопросов: С какими видами риска сопряжена деятельность предприятия в настоящее время, в прошлом и в будущем? Каковы причины возникновения риска? Каков уровень влияния на деятельность предприятия? и т.д.
Решение задачи идентификации рисков может быть осуществлено на базе метода анкетирования, основным преимуществом которого является оперативность. Кроме того, высокая компетентность респондентов, состав которых должен быть сформирован из ведущих специалистов предприятия инвестиционно-строительного комплекса, обеспечит полноту информации и возможность учета специфики данного предприятия.
Такой метод идентификации риска строительного предприятия довольно прост в использовании и обработке результатов. Анкету заполняют ведущие специалисты предприятия, ориентирующиеся в широком спектре сфер и направлений реализации деятельности предприятия. Это позволяет с высокой степенью точности, опираясь на опыт ретроспективного анализа, спрогнозировать возможные риски и степень их влияния на предприятие в будущем.
С целью построения эффективного процесса идентификации риска предприятия инвестиционно-строительного комплекса по предложенной методике необходима поэтапная реализация определенных действий:
- Выявление группы рисков, с которыми была или возможно будет сопряжена деятельность предприятия в будущем и оценка предельного уровня по каждому из выявленных видов риска. Уровень риска оценивается по шкале.
- Для исключения снижения качества процесса идентификации рисков устанавливается дифференцированная оценка уровня компетентности экспертов, являющаяся конфиденциальной.
- Риск идентифицируется экспертами с точки зрения вероятности наступления рискового события (в долях единицы) и масштабов его отрицательного воздействия на анализируемое предприятие инвестиционно-строительного комплекса.
- Полученные в ходе идентификации рисков данные сводятся в таблицы с последующей обработкой и определением интегральной величины уровня по каждому виду риска. Далее необходимо определить принадлежность риска к одной из групп в зависимости от уровня его воздействия на предприятие.
- Разрабатывается комплекс мероприятия по формированию защитного механизма, обеспечивающего минимизацию негативного влияния риска на деятельность строительного предприятия.
Разработанная нами методика идентификации риска прошла апробацию на одном из ведущих предприятий инвестиционно-строительного комплекса Пензенской области.
В анкете идентификации рисков 16 блоков вопросов, на которые отвечали сотрудники сметно-договорного отдела, планово-аналитического отдела и отдела реализации проектов. При формировании группы экспертов мы ориентировались на ряд ограничений:
- эксперт должен иметь доступ ко всей имеющейся в распоряжении разработчика информации о проекте;
- эксперт должен обладать креативностью мышления достаточного уровня;
- эксперт должен иметь необходимый уровень знаний в соответствующей предметной области;
- эксперт должен иметь возможность оценивать любое число идентифицированных рисков.
Респондентам необходимо было отметить риски, с которыми сталкивалась организация за последние 3 года, и проранжировать из представленных вариантов вероятность возникновения того или иного риска в будущем.
Предложенная методика позволила идентифицировать риски исследуемого предприятия инвестиционно-строительного комплекса Пензенской области, с которыми может быть сопряжена его деятельность в будущем. Были получены следующие результаты, представленные в таблице 1.
Результаты идентификации рисков предприятия инвестиционно-строительного комплекса Пензенской области
Источник: science-education.ru
Риски ИБ в промышленных компаниях
Промышленность привлекает злоумышленников своими масштабами, значимостью выполняемых бизнес-процессов, влиянием на окружающий мир и жизнь граждан. Например, техногенная авария на ГЭС может оставить без электричества целую страну, как в случае с Венесуэлой, когда свет во всей стране погас на целых пять дней.
А простой на автомобильном заводе может привести к крупным убыткам, как в истории с заводом Honda, подвергшимся атаке вируса-шифровальщика. К счастью, кибератаки на промышленные компании с такими серьезными последствиями являются единичными, ведь они требуют повышенного уровня квалификации злоумышленников. Задача экспертов по информационной безопасности — сделать так, чтобы аварии на производстве не стали регулярными. Для этого необходимо определить недопустимые для компании события и обеспечить такой уровень ИБ, который будет гарантировать, что эти события не произойдут в результате кибератаки.
В 2020 году промышленная сфера была у хакеров второй по популярности после государственной: по нашим подсчетам на нее было направлено 12% атак.
Основными киберугрозами для промышленных компаний сегодня являются шпионаж и финансовые потери. Так, в 2020 году мотивом большинства атак (84% случаев) было получение данных, а финансовая выгода интересовала 36% хакеров.
Последствия кибератак могут быть существенны:
-
Остановка производства
Из-за обычного шифровальщика, запущенного в корпоративную сеть автопроизводителя Honda с целью получения выкупа, компании пришлось на целый день остановить производство на нескольких заводах. После такого вмешательства у компании уйдет немало сил, чтобы вернуться к нормальной работе и обеспечить дальнейшее полноценное функционирование технологических и бизнес-систем, а также не допустить повторного вторжения.
В мае 2021 года в результате атаки вируса-шифровальщика была нарушена работа Colonial Pipeline — крупнейшего в США поставщика топлива. Из-за недельного простоя компьютерных систем компании закрылась половина заправочных станций в нескольких юго-восточных штатах, выросли оптовые цены на бензин, возник ажиотажный спрос на топливо. В 2020 году злоумышленники пытались атаковать системы водоснабжения и очистки воды в Израиле. А в феврале 2021 года одному хакеру удалось получить доступ к системам водоочистных сооружений в небольшом городе США и изменить химический состав воды.
В феврале 2020 года в результате хакерской атаки хорватская нефтяная компания INA не могла выставлять счета-фактуры, фиксировать использование карт лояльности, выпускать новые мобильные ваучеры и принимать от клиентов плату за топливо. Причиной нарушения бизнес-процессов стала программа-вымогатель Clop, зашифровавшая данные на внутренних серверах компании.
Главная задача, которая сегодня стоит перед специалистами по ИБ, — оценить реализуемость различных рисков ИБ в компании и выявить возможные последствия кибератак, чтобы на основании этих знаний выстроить эффективную систему защиты. Вопрос в том, как это сделать, если любые действия в инфраструктуре, способные негативно повлиять на технологический процесс, никогда не будут согласованы руководством.
Оценка реализуемости рисков на киберполигоне
Киберучения — это контролируемые атаки, проводимые с целью проверки и улучшения навыков службы ИБ по обнаружению киберугроз и реагированию на них. Атаки на киберучениях The Standoff реализуются с привлечением десятков команд атакующих, состоящих из экспертов по ИБ
На киберполигоне The Standoff в мае 2021 года мы предложили командам атакующих реализовать риски ИБ на инфраструктуре газораспределительной станции. Условия были максимально приближены к реальным. Например, даже сетевое взаимодействие происходило по распространенным протоколам АСУ ТП (OPC DA, Modbus TCP, UMAS, IEC 60870-5-101, Siemens Simatic S7, Siemens DIGSI, Vnet/IP, CIP (EtherNet/IP), IEC 61850, BACnet/IP), по SNMP и, конечно, по HTTP.
Чтобы нарушить технологический процесс подачи газа, атакующим потребовалось два дня. Получив доступ к системе управления газовой станцией, хакеры остановили процесс подачи газа и устроили взрыв. Ежедневно в офисе компании защитники фиксировали в среднем 32 инцидента.
Рисунок 2. Упрощенная схема сценария реализации рисков ИБ для газораспределительной станции в рамках The Standoff 2021 Рисунок 3. Газораспределительная станция за несколько секунд до взрыва
Последствиями реализации рисков на газораспределительной станции в реальной жизни могут стать человеческие жертвы, отставка руководства, судебные иски, ошибочные действия или бездействие персонала в случае чрезвычайной ситуации, поломка оборудования, затраты на восстановление, недополучение прибыли из-за простоя.
Выполняя анализ защищенности реальной инфраструктуры промышленного предприятия, эксперты по ИБ, скорее всего, смогли бы продемонстрировать лишь подмену данных о транспортировке газа в системе мониторинга. Провести атаки, нарушающие или останавливающие технологические или бизнес-процессы, им бы точно не позволили, а значит и реализуемость рисков осталась бы под вопросом.
Какие риски ИБ актуальны для промышленных компаний
Анализируя защищенность инфраструктуры компаний, специалисты Positive Technologies ищут в ней уязвимые места и демонстрируют возможность проведения атак, моделируя действия хакеров. Наш опыт показывает, что уровень защищенности большинства промышленных компаний очень низок. Согласно нашим исследованиям, главными уязвимостями являются:
- низкая защищенность внешнего периметра сети, доступного из интернета;
- низкая защищенность от проникновения в технологическую сеть;
- недостатки конфигурации устройств;
- недостатки сегментации сетей и фильтрации трафика;
- использование словарных паролей;
- использование устаревших версий ПО.
По результатам проектов по анализу защищенности в 2020 году было установлено, что в 91% промышленных организаций внешний злоумышленник может проникнуть в корпоративную сеть. Оказавшись во внутренней сети, он в 100% случаев может получить учетные данные пользователей и полный контроль над инфраструктурой, а в 69% — украсть конфиденциальные данные: информацию о партнерах и сотрудниках компании, почтовую переписку и внутреннюю документацию. Но самое важное, что в 75% промышленных компаний По результатам 12 проектов по анализу защищенности корпоративных информационных систем от внешних и внутренних нарушителей в промышленных компаниях, реализованных в 2017—2020 годах, в которых установленной целью было получение доступа в технологическую сеть. был получен доступ в технологический сегмент сети. Это позволило злоумышленникам в 56% случаев получить доступ к системам управления технологическими процессами.
Статистика неутешительна, но попробуем разобраться, почему так происходит. Во внутренней сети каждой промышленной компании во время проведения пилотных проектов по внедрению PT NAD мы выявляем множество подозрительных событий.
Вас могут заинтересовать следующие вебинары:
Планирование [1] => Управление проектами [2] => Закрытие месяца [3] => Продажи [4] => 1С: CRM [5] => Отчеты в 1С [6] => 1С:Управление производственным предприятием [7] => Моделирование [8] => 1С:Комплексная автоматизация [9] => Интеграция 1С [10] => Налоги [11] => Внедрение ERP [12] => Сравнение конфигураций [13] => Лизинг [14] => Оптимизация [15] => 1С:Зарплата и Управление Персоналом [16] => 1С: ERP [17] => Внедрение [18] => 1С:Бухгалтерия [19] => Производство [20] => Бюджетирование [21] => Оценка задач [22] => Программные права [23] => МСФО [24] => 1С: Конвертация данных [25] => Перенос данных [26] => Финансовый учет [27] => Конвертация данных [28] => Обмен между базами [29] => Лицензии 1С [30] => Бесшовная интеграция [31] => Бурение скважин [32] => Отчетность [33] => 1С: Розница [34] => 1С: Управление торговлей [35] => HTTP [36] => 1С: Университет [37] => Отпуск [38] => 1С:Управление холдингом [39] => БУ [40] => com-объекты [41] => Как сделать в 1С [42] => Корпоративное сопровождение [43] => РСБУ [44] => 1С:Управление корпоративными финансами [45] => Администрирование 1С [46] => 1С: Договорчики [47] => 1С:Управление ремонтами и обслуживанием оборудования [48] => 1С: Колледж [49] => Правила обмена [50] => 1С: Интеграция [51] => LINUX [52] => WEB [53] => 1С: Документооборот [54] => Excel [55] => ADO [56] => Техническое задание [57] => Ценообразование [58] => Битрикс24 [59] => MS SQL Server [60] => Блокировки в 1С [61] => БСП [62] => Расширение конфигурации [63] => СКД [64] => Word [65] => WEB-сервисы 1С [66] => Программирование в 1С [67] => Проводки 1С [68] => 1С: WMS Управление складом [69] => 1С:Управление нашей фирмой [70] => 1С: Сценарное тестирование [71] => 1С: Аренда и управление недвижимостью [72] => 1С:Управление автотранспортом [73] => 1С: Платформа ) —>
Источник: www.koderline.ru