Инвестиции в информационную безопасность

Рис.2.1. Входные данные для расчета РОSI по модели компании Intel [17]

     Модель  была разработана с использованием данных, собранных в течение 2 лет приблизительно с 18000 компьютеров. Данная ROSI методология включает в себя несколько шагов:

     1.Оценка  усредненных данных по инцидентам  за длительный промежуток времени;

     2.Измерение уменьшения числа инцидентов в результате внедрения программы безопасности;

     3.Оценка потенциального влияния предотвращенных инцидентов;

     4.Применение результатов к аналогичным областям для оценки будущей полезности.

     Шаги разбиваются на две фазы - анализ влияния и анализ полезности. Весь процесс оценки в виде схемы приведен в Приложении 1. Первая фаза включает сравнение трендов данных о кибер-атаках перед внедрением программы безопасности и после. Вторая фаза включает в себя количественную оценку полезности новой программы безопасности, основанную на уменьшении количества инцидентов, которое было достигнуто во время фазы 1. При этом используется общепринятая в индустрии формула расчета ROI для определения годовых ожидаемых потерь: Годовые ожидаемые потери = Годовое количество инцидентов × Ожидаемые единичные потери.

     Использование этой модели позволило компании принимать  обоснованные решения относительно программ безопасности, что в результате привело к экономии порядка 18 млн. долларов в год в виде предотвращенных потерь.

     Таким образом, модели основанные на расчете ROSI являются хорошим инструментом для  количественного определения потерь, которые могут быть предотвращены внедрением программ безопасности и прогнозированием потенциальных потерь в будущем, основываясь на исторических данных. Эта информация повышает возможности управлять инвестициями в IT и достигать оптимального уровня безопасности.

     Следующий показатель - простой срок окупаемости проекта (Payback Period- РР).

     Этот  критерий один из самых простых и  широко распространен в мировой  практике, не предполагает временной  упорядоченности денежных поступлений. Он состоит в вычислении количества лет, необходимых для полного возмещения первоначальных затрат, т.е. определяется момент, когда денежный поток доходов сравняется с суммой денежных потоков затрат. Отбираются проекты с наименьшими сроками окупаемости. Алгоритм для расчета точного срока окупаемости проекта:

     1.рассчитываются значения кумулятивного (накопленного) денежного потока;

     2.определяется период, в котором денежный поток принимает положительное значение;

     3.находится часть суммы инвестиций, непокрытой денежными поступлениями в периоде, предшествующем периоду перехода денежного потока в положительную область;

     4.делится непокрытый остаток суммы инвестиций на величину денежного поступления в периоде, когда поток принял положительное значение;

     5. для расчета срока окупаемости  используют формулу:

РР = год, предыдущий году возмещения затрат + (невозмещенные затраты на начало года возмещения) / (денежный поток на конец года возмещения) 

     Расчет срока окупаемости затрат полезен, когда руководство предприятия в большей степени озабочено решением проблемы ликвидности, а не рентабельности проекта - главное, чтобы инвестиции окупились как можно скорее. Метод также хорош в ситуации, когда инвестиции сопряжены с высокой степенью риска, поэтому, чем короче срок окупаемости, тем менее рискованным является проект. Метод РР успешно используется для быстрой отбраковки проектов, а также в условиях сильной инфляции, политической нестабильности или при дефиците ликвидных средств: эти обстоятельства ориентируют предприятие на получение максимальных доходов в кратчайшие сроки.

     Несмотря  на свои преимущества, показатели ТСО, ROI и РР являются статичными, отражающими некий временной срез – «фотографический снимок», не учитывая изменения ситуации во времени. Ведь информационные системы с течением времени подвергаются постоянным изменениям, появляются новые угрозы и уязвимости. Таким образом, обеспечение информационной безопасности – это процесс, который необходимо рассматривать именно во времени. Поэтому для анализа эффективности инвестиций в информационную безопасность предлагается рассмотреть возможность применения системы динамических показателей, основанных на концепции  дисконтирования потоков денежных средств. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     2.2.Методы, основанные на  использовании концепции  дисконтирования

     Необходимость дисконтирования обусловливает неодинаковая ценность денег во времени

     Дисконтированием  денежных потоков называется  приведение  их разновременных (относящихся к разным  шагам расчета)  значений  к их ценности на  определенный момент времени,  который называется моментом приведения и  обозначается  через  t⁰.

     Основным  экономическим нормативом,  используемым  при дисконтировании,  является  норма  дисконта  (i) или ставка дисконтирования, выражаемая  в долях единицы или в процентах в год.

       Дисконтирование денежного потока на m-м шаге осуществляется путем умножения его значения на коэффициент дисконтирования α_m, рассчитываемый по формуле:

     α_m=1/(1+i)^(t_m-t⁰),

     где t_m – момент окончания m-го шага расчета, i выражена в долях единицы в год, а (t_m – t⁰) – в годах.

     Норма дисконта (i) является экзогенно задаваемым основным экономическим нормативом, используемым при оценке эффективности ИП. Величина ставки дисконтирования отражает риски, связанные с обесцениванием денег из-за инфляции и с возможностью неудачи инвестиционного проекта, который может не принести ожидаемого эффекта. Другими словами, чем выше риски, связанные с проектом, тем больше значение ставки дисконтирования. Эта ставка также отражает общий уровень стоимости кредита для инвестиций.

     Нередко ставка дисконтирования определяется показателем средневзвешенной стоимости капитала (Weighted Average Cost of Capital – WACC). Это средняя норма дохода на вложенный капитал, которую приходится выплачивать за его использование. Обычно WACC рассматривается как минимальная норма отдачи, которая должна быть обеспечена инвестиционным проектом.

     Чистая  приведенная стоимость (Net Present Value – NPV)

     Этот  критерий оценки инвестиций основан  на сопоставлении величины инвестиционных затрат  и общей суммы скорректированных  во времени будущих денежных поступлений, генерируемых в течение прогнозируемого срока (в данном случае – уменьшение размера ущерба в результате реализации угроз информационной безопасности). При заданной ставке дисконтирования можно определить современную величину всех оттоков и притоков денежных средств в течение экономической жизни проекта, а также сопоставить их друг с другом. Результатом такого сопоставления будет положительная или отрицательная величина (чистый приток или чистый отток денежных средств), которая показывает, удовлетворяет или нет проект принятой норме дисконта.

     NPV рассчитывается по формуле:

      , где

     CFt – денежный поток в период t,

     It – величина инвестиций в период t,

     i – выбранная ставка дисконтирования,

     N – количество анализируемых периодов.

     Если  рассчитанная таким образом чистая современная стоимость потока платежей имеет положительный знак (NPV > 0), это означает, что в течение своей экономической жизни проект возместит инвестиции, обеспечит получение прибыли (эффективность вложений в информационную безопасность) согласно заданному стандарту i, а также ее некоторый резерв, равный NPV. Отрицательная величина NPV показывает, что заданная норма прибыли не обеспечивается и проект убыточен. При NPV=0 проект только окупает произведенные затраты, но не приносит дохода. Однако проект с NPV=0 имеет все же дополнительный аргумент в свою пользу – например, в случае реализации проекта объемы производства возрастут, т.е. компания увеличится в масштабах (что нередко рассматривается как положительная тенденция).

     При прогнозировании доходов по годам необходимо по возможности учитывать все виды поступлений как производственного, так и непроизводственного характера, которые могут быть ассоциированы с данным проектом. Так, если по окончании периода реализации проекта планируется поступление средств в виде ликвидационной стоимости оборудования или высвобождения части оборотных средств, они должны быть учтены как доходы соответствующих периодов [12].

     При помощи NPV-метода можно определить не только коммерческую эффективность  проекта, но и рассчитать ряд дополнительных показателей. Столь обширная область применения и относительная простота расчетов обеспечили NPV-методу широкое распространение, и в настоящее время он является одним из стандартных методов расчета эффективности инвестиций, рекомендованных к применению ООН и Всемирным банком.

     Несмотря  на свои преимущества оценки инвестиций, метод чистой текущей стоимости  не дает ответа на все вопросы, связанные  с экономической эффективностью капиталовложений. Этот метод дает ответ лишь на вопрос, способствует ли анализируемый вариант инвестирования росту ценности фирмы или богатства инвестора вообще, но никак не говорит об относительной мере такого роста.

     А эта мера всегда имеет большое  значение для любого инвестора. Поэтому  наряду с абсолютным показателем эффективности инвестиций NPV используются также и относительные – индекс рентабельности и внутренняя норма доходности.

     Индекс  доходности дисконтированных инвестиций (индекс рентабельности) (Profitability Index-PI)

     Индекс  рентабельности показывает приведенное значение денежных поступлений на одну условную единицу приведенных затрат. Этот метод является, по сути, следствием метода чистой современной стоимости. Для расчета показателя PI используется формула:

     

     Чем выше индекс доходности дисконтированных инвестиций, тем лучше проект. Если величина критерия РI > 1, то современная стоимость денежного потока проекта превышает инвестиции, обеспечивая тем самым получение нормативной прибыли. При РI< 1 – наоборот. Если РI = 1, то инвестиции не приносят дохода, - проект ни прибыльный, ни убыточный.

     Таким образом, критерий PI характеризует эффективность вложений. В отличие от чистого приведенного эффекта индекс рентабельности является относительным показателем. Благодаря этому он очень удобен при выборе одного проекта из ряда альтернативных, имеющих примерно одинаковые значения NPV, либо при комплектовании портфеля инвестиций с максимальным суммарным значением NPV.

       Недостатком индекса рентабельности  является то, что этот показатель сильно чувствителен к масштабу проекта. Он не всегда обеспечивает однозначную оценку эффективности инвестиций, и проект с наиболее высоким PI может не соответствовать проекту с наиболее высокой NPV [12]. В частности, использование индекса рентабельности не позволяет корректно оценить взаимоисключающие проекты. В связи с чем чаще используется как дополнение к критерию NPV.

     Внутренняя  норма прибыли  инвестиций (Internal Rate of Return - IRR)

     Внутренняя  норма доходности – наиболее широко используемый критерий эффективности инвестиций. Под внутренней нормой доходности понимают значение ставки дисконтирования i, при котором чистая современная стоимость инвестиционного проекта равна нулю: IRR = i, при котором NPV = f(i) = 0.

     Смысл расчета этого коэффициента при анализе эффективности планируемых инвестиций заключается в следующем: IRR показывает максимально допустимый относительный уровень расходов, которые могут быть ассоциированы с данным проектом. Например, если проект полностью финансируется за счет ссуды коммерческого банка, то значение IRR показывает верхнюю границу допустимого уровня банковской процентной ставки, превышение которого делает проект убыточным.