Добавить материал

и получить 10 документов
и свидетельство автора

Шибеко Марина Николаевна

Самостоятельная работа 3. Оценка экономической эффективности внедрения СЗИ методом дисконтирования денежных потоков

doc
26.04.2020

Публикация педагогических разработок

Бесплатное участие. Свидетельство автора сразу.
Мгновенные 10 документов в портфолио.

Добавить материал

0204. СР 3. Оценка экономической эффективности внедрения СЗИ.doc

Самостоятельная работа 3. Оценка экономической эффективности внедрения СЗИ методом дисконтирования денежных потоков

Цель занятия

· Изучить методику экономической оценки эффективности СЗИ

· Выявить потенциальные проблемы и ограничения применения методики оценки эффективности СЗИ на базе дисконтирования денежных потоков

Описание ситуации

Компании требуется оценить проект по защите одного из сегментов сети своей информационной системы при помощи системы анализа защищенности "ИСК". Известна величина риска, исчисляемая в денежном выражении (205 000 р. за год), которая учитывает потери от реализации тех или иных атак и вероятности их осуществления. Также известно, что величина риска после внедрения разработанного программного комплекса сократится на 60%. Стоимость программного комплекса составляет 100 000,00 р. Подробнее потоки денежных средств по данному проекту представлены в таблице 8.1.

Таблица 8.1. Потоки денежных средств
Периоды	0	1	2	3
Первоначальные инвестиции	- 100 000, 00
Выгоды (размер риска)		205 000, 00	205 000, 00	205 000, 00
Размер остаточного риска		-82 000, 00	-82 000, 00	-82 000, 00
Стоимость годовой поддержки		-50 000, 00	-50 000, 00	-50 000, 00
Затраты на администрирование		-7500, 00	-7500, 00	-7500, 00
Итого:	- 100 000, 00	60 500, 00	60 500, 00	60 500, 00

Описание методики

Как правило, затраты на информационную безопасность подразделяются на следующие категории:

1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты).

2. Затраты на контроль, т.е. на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия.

3. Внутренние затраты на ликвидацию последствий нарушения политики информационной безопасности (НПБ) - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут.

4. Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности - компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т. п.

5. Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (затраты на предупредительные мероприятия).

При этом обычно выделяют единовременные и систематические затраты. К единовременным относятся затраты на формирование политики безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты. Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации.

Очевидно, что расходы на внедрение и поддержку программы принадлежат к категории затрат на контроль. Основной объем затрат составляет оплата труда персонала службы безопасности и прочего персонала предприятия, занятого проверками и испытаниями. Эти затраты могут быть определены весьма точно. Оставшиеся затраты в основном связаны со стоимостью конкретных специальных работ и услуг внешних организаций и материально-техническим обеспечением системы безопасности. Они могут быть определены напрямую.

В то же время, использование программы позволит своевременно выявлять уязвимости СЗИ, устранение которых приведет к снижению риска нарушения ИБ и, тем самым, к снижению внутренних и внешних затрат на компенсацию нарушений политики безопасности. Внутренние затраты сокращаются по таким статьям, как:

· Восстановление баз данных и прочих информационных массивов.

· Утилизация скомпрометированных ресурсов.

· Проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.

· По проведению расследований нарушений политики безопасности.

Внешние затраты на компенсацию нарушений политики безопасности связаны с тем, что были скомпрометированы коммерческие данные партнеров и персональные данные пользователей услуг предприятия. Затраты, связанные с восстановлением доверия, определяются таким же образом, как и в случае внутренних потерь. Существуют и другие затраты, которые определить достаточно сложно. В их числе такие затраты, как:

· Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.

· Потери от компрометации производимой предприятием продукции и снижения цен на нее.

При определении затрат на обеспечение ИБ необходимо помнить, что:

· Затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т. п..

· Выплаты персоналу могут быть взяты из ведомостей.

· Объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности. Если только часть времени сотрудника затрачивается на деятельность по обеспечению информационной безопасности, то целесообразность оценки каждой из составляющих затрат его времени не должна подвергаться сомнению.

Целью любых инвестиций является увеличение притока денежных средств (в данном случае - уменьшение размера ущерба в результате реализации угроз ИБ) по сравнению с существующим. При оценке инвестиционного проекта необходимо рассмотреть все потоки денежных средств, связанные с реализацией данного проекта. Неденежные затраты (такие, например, как амортизация) и затраты, уже понесенные до принятия решения об инвестициях, рассматриваться не должны. При этом необходимо учитывать зависимость потока денежных средств от времени.

Поэтому будущие поступления денежных средств (снижение ущерба) должны быть дисконтированы, т.е. приведены к текущей стоимости. Для этого применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции и с возможностью неудачи инвестиционного проекта, который может не принести ожидаемого эффекта. Другими словами, чем выше риски, связанные с проектом, тем больше значение ставки дисконтирования. Эта ставка также отражает общий уровень стоимости кредита для инвестиций.

К основным показателям, используемым для определения эффективности инвестиционного проекта, относятся:

· Чистый дисконтированный доход ( NPV ),

· Внутренняя норма доходности ( IRR ),

· Индекс доходности ( PI ),

· Срок окупаемости с учетом дисконтирования (Ток)

Методика использования дисконтированных показателей для определения экономической эффективности инвестиционного проекта

При оценке эффективности инвестиционного проекта соизмерение разновременных показателей осуществляется путем дисконтирования (приведения) их к ценности в начальном периоде. Для приведения разновременных затрат, результатов и эффекта используется норма дисконта (Е), равная приемлемой для инвестора норме дохода на каптал. Для дисконтирования разновременные затраты, результаты и эффект умножаются на коэффициент дисконтирования , определяемый для постоянной нормы дисконта как

$a_t = \frac {1}{(1+E)^t},$

где - номер шага расчета (t = 0, 1, 2…. T),

- горизонт расчета.

Величина NPV для постоянной нормы дисконта вычисляется по формуле:

$NPV = \sum_{t=0}^T (R_t-З_t) \frac {1}{(1+E)^t},$

где - результаты, достигаемые на t-ом шаге расчета,

- затраты, осуществляемые на t-ом шаге расчета,

Т - горизонт расчета.

Если NPV инвестиционного проекта (за расчетный период) положителен, проект является эффективным (при данной норме дисконта) и может рассматриваться вопрос об его принятии. Чем больше NPV, тем эффективнее проект.

На практике часто пользуются модифицированной формулой для определения NPV. Для этого из состава исключаются капитальные вложения:

$K= \sum_{t=0}^T K_t \frac {1}{(1+E)^t}$ ,

где - капитальные вложения на t-ом шаге,

К - сумма дисконтированных капиталовложений

Тогда формула NPV записывается в в PIе:

$NPV = \sum_{t=0}^T (R_t-З_t') \frac {1}{(1+E)^t}-K,$

где

- затраты на t-ом шаге расчета при условии, что в них не входят капиталовложения.

Оценка экономического результата может быть произведена на основании экономического эффекта за расчетный период по формуле:

$Э = \sum_{t=1}^{T^p} \frac {Д_t}{(1+Е_Н)^t}- \sum_{t=1}^{T^p} \frac {K_t}{(1+Е_Н)^t}$ ,

где - доход, получаемый от проекта в году t;

- инвестиции в год t;

- норма дисконта, характеризующая степень неравноценности разновременных затрат и результатов;

- продолжительность расчетного периода;

- номер года расчетного периода;

Индекс доходности представляет собой отношение суммы приведенных эффектов к величине капиталовложений.

$PI = \frac {1}{K} \sum_{t=0}^T (R_t-З_t') \frac {1}{(1+E)^t}$

тесно связан с NPV. Он строится из тех же элементов и его значение связано со значением NPV: если NPV положителен, то PI >1 и наоборот.

Если , проект эффективен,

Если , проект не эффективен.

Внутренняя норма доходности ( IRR ) представляет собой ту норму дисконта (Евн), при которой величина приведенных эффектов равно приведенным к капиталовложениям. Иными словами является решением уравнения:

$\sum_{t=0}^T \frac {R_t - З_t'}{(1+Е_{ВН})^t} = \sum_{t=0}^T \frac {K_t}{(1+Е_{ВН})^t}$

В случае, когда IRR равен или больше требуемой инвестором нормы дохода на капитал, инвестиции в данный проект оправданы, и может рассматриваться вопрос об его принятии. В противном случае инвестиции в данный проект нецелесообразны.

Срок окупаемости - период, начиная с которого первоначальные вложения и другие затраты, связанные с инвестиционным проектом, покрываются суммарными результатами его осуществления. Срок окупаемости рекомендуется определять с использованием дисконтирования.

Определение нормы дисконта

Оценка эффективности проекта, основанная на дисконтированных показателях, позволяет учесть неравноценность денежных потоков, возникающих в разные моменты времени. Для сопоставления потоки и платежей необходимо продисконтировать их на определенную дату. Поэтому наиболее важным экономическим нормативом, необходимым для оценки экономической эффективности проекта, является норма дисконта.

Норма дисконта, не включающая премии за риск (безрисковая норма дисконта), отражает доходность альтернативных безрисковых направлений инвестирования.

Вследствие того, что расчеты проводятся в постоянных ценах, то в основе нормы дисконта должна лежать реальная процентная ставка (не учитывающая темп инфляции). Постоянные цены - цены, сложившиеся в экономике на текущий момент времени. У метода расчета эффективности проекта в постоянных ценах есть ряд преимуществ. Во-первых, это простота подготовки исходной информации, а, во-вторых, сопоставимость разделенных во времени стоимостных показателей (например, прибыли, затрат) на протяжении установленного срока жизни инновационного проекта. Таким образом можно оценить планируемые результаты осуществления инновационного проекта, не выходя за рамки существующего на момент принятия решения масштаба цен. Расчет в постоянных ценах является основным при выполнении прединвестиционных решений в мировой практике. Допущение, принятое для данного метода, заключается в том, что не учитывается неоднородность структурной инфляции.

Корректировку нормы дисконта производят с использованием формулы Ирвинга-Фишера, связывающей номинальную и реальную ставки процента.

$E_p = \frac {E_H-I}{1+I},$

где - реальная процентная ставка,

- номинальная процентная ставка (равна ставке рефинансирования ЦБ - 10%),

- прогнозируемый темп инфляции (7%).

Норма дисконта, включающая поправку на риск, отражает доходность альтернативных направлений инвестирования, характеризующихся тем же риском, что и инвестиции в оцениваемый проект.

Поправка на риск неполучения предусмотренных проектом доходов определяется с учетом технической реализуемости и обоснованности проекта, детальности проработки проектных решений, наличия необходимого научного и опытно-конструкторского задела и представительности маркетинговых исследований.

Поправка на риск определяется пофакторным расчетом. При этом в поправке на риск суммируется влияние учитываемых факторов. К числу этих факторов можно отнести:

· новизну применяемой технологии;

· степень неопределенности объемов спроса и уровня цен на производимую продукцию;

· наличие нестабильности (цикличности) спроса на продукцию;

· наличие неопределенности внешней среды при реализации проекта;

· наличие неопределенности процесса освоения применяемой техники или технологии.

Каждому фактору в зависимости от его оценки можно приписать величину поправки на риск по этому фактору, зависящую от отрасли, к которой относится проект, и региона, в котором он реализуется. В тех случаях, когда эти факторы являются независимыми и в смысле риска дополняют друг друга, поправки на риск по отдельным факторам следует сложить для получения общей поправки, учитывающей риск неполучения доходов, запланированных проектом.

При этом если отсутствуют специальные соображения относительно рисков инвестиционного проекта, размер этого вида поправки на риск помимо вышеизложенного метода может быть ориентировочно определена в соответствии с таблицу 8.2.

Увеличим норму дисконта на величину поправки на риск:

где - безрисковая безинфляционная процентная ставка,

- поправка на риск (см. таблицу 8.2).

Таблица 8.2. Ориентировочная величина поправок на риск неполучения предусмотренных проектом доходов
Величина риска	Цели проекта	Величина поправки на риск, %
Низкий	Вложения в развитие производства на базе освоенной техники	3-5
Средний	Увеличение объема продаж существующей продукции	8-10
Высокий	Производство и продвижение на рынок нового продукта	13-15
Очень высокий	Вложения в исследования и инновации	18-20

Применение методики для расчета эффективности внедрения СЗИ "ИСК"

Рассмотрим, как использование программного комплекса ИСК изменит общие затраты на ИБ.

Проект связан с проведением НИОКР, поэтому характеризуется очень высокими рисками. Примем поправку на риск равной 18%. Подставляя числовые значения, получаем $E_p= \frac {0.1-0.07}{1+0.07}$ = 2.8%. Таким образом, в данном случае норма дисконта E = 2.8% + 18% = 20.8%. Тогда норма дисконта равна 20.8 %.

При анализе этого проекта с учетом стоимости капитала мы имеем следующий результат: инвестирование в этот проект будет эффективным, так как значение NPV будет положительным (25 862, 50 р.).

1 год: NPV1 = 50 082, 75 у.е.

2 год: NPV2 = 41 459, 25 у.е.

Сумма денежных средств за два года равна 50 082, 751+ 41 459, 25 = 91 542, 00 р.

"Непокрытый остаток" денежных средств: 91 542, 00 - 100 000, 00 = - 8 458, 00 р.

3 год: NPV3 = 34 300, 00 р.

$Т_ok = 2 + \frac{8458.00}{34300.00} = 2.25 г$ .

Таким образом, проект окупается на третий год с момента запуска.

Индекс доходности на уровне 1.259 (PI > 1,2%) также свидетельствует об эффективности инвестиций и является одним из критериев устойчивости инновационного проекта.

Чтобы рассчитать внутренний коэффициент отдачи (Internal Rate of Return - IRR ), найдем такую ставку дисконтирования, при которой значение NPV будет равно нулю. В данном случае получим значение IRR равное 36,5%. Мы получили значение IRR, превышающее заданную норму дисконта (20.8 %). В этой точке дисконтированный поток затрат равен дисконтированному потоку доходов. Данный показатель позволяет определить целесообразность вложения средств и свидетельствует об эффективности инвестиций в проект внедрения программного комплекса "Инструментальные средства криптоанализа".

Качество информации, необходимой для принятия решения о целесообразности инвестиций, в первую очередь, будет зависеть от исходных данных, на основе которых производились вычисления. Уязвимым местом в любой методике расчета является именно сбор и обработка первичных данных, их качество и достоверность. Одним из основных вопросов является оценка затрат на ИБ.

Краткие итоги

В результате выполнения лабораторной работы студенты должны:

· научиться смотреть на информационную систему с позиции финансиста

· получить навыки вычислять и анализировать набор финансово-экономических показателей для оценки эффективности СКЗИ с экономических позиций

· получить навыки обоснования целесообразности внедрения системы по обеспечению информационной безопасности на предприятии с экономической точки зрения;

Скачано с www.znanio.ru

Самостоятельная работа 3. Оценка экономической эффективности внедрения

Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (затраты на предупредительные мероприятия)

Затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т

NPV . Он строится из тех же элементов и его значение связано со значением

Допущение, принятое для данного метода, заключается в том, что не учитывается неоднородность структурной инфляции

Таблица 8.2. Ориентировочная величина поправок на риск неполучения предусмотренных проектом доходов

Данный показатель позволяет определить целесообразность вложения средств и свидетельствует об эффективности инвестиций в проект внедрения программного комплекса "Инструментальные средства криптоанализа"

Материалы на данной страницы взяты из открытых источников либо размещены пользователем в соответствии с договором-офертой сайта. Вы можете сообщить о нарушении.

Посмотрите также