Введение
В современных условиях роста конкуренции на международных рынках, экономической турбулентности и санкционной нагрузки для Российской Федерации – применение инновационных технологий и автоматизация процессов являются важными факторами достижения конкурентного преимущества для Российских корпораций. В этой связи эффективная работа с данными становится одним из ключевых направлений для бизнеса. Все большее количество корпораций внедряют технологию больших данных для целей повышения эффективности инвестиционно-проектного управления.
Технология больших данных, представляет из себя большие объемы структурированной и неструктурированной информации, эффективно обрабатывающиеся аналитическими инструментами в режиме реального времени. В современной практике принято считать, что применение передовых технологий для работы с большими данными становится важным конкурентным преимуществом, которое может оказать значительное влияние на общую финансовую устойчивость и доходность корпорации [1].
Современная деловая среда всё активнее использует инструменты на основе Больших Данных (Big Data) для повышения эффективности, скорости и точности принятия инвестиционных решений. По данным исследовательской компании IDC, мировой рынок решений в области Big Data и аналитики в 2023 году превысил 200 млрд долларов США, демонстрируя стабильный рост ежегодно [2]. Среди основных драйверов роста можно назвать широкое распространение облачных технологий, быстрое увеличение объёмов структурированных и неструктурированных данных (от данных транзакций до поведения пользователей в Интернете), а также совершенствование инструментов машинного обучения и искусственного интеллекта.
Однако вместе с новыми возможностями Big Data-инструменты несут в себе дополнительную совокупность рисков, связанных с безопасностью данных, сложностью аппаратного и программного окружения, а также со стратегическими и операционными рисками, которые возникают при принятии решений на основе больших массивов данных. Внедрение подобных инструментов в инвестиционную деятельность требует комплексного управления рисками с учётом специфики аналитических систем, юридических аспектов, а также стандартов управления информационной безопасностью.
Цель исследования – провести анализ существующих подходов к риск-менеджменту (в том числе с использованием международных стандартов ISO 31000, ISO/IEC 27005, COBIT, COSO ERM, MEHARI и других), выделить основные факторы, влияющие на появление рисков в процессе внедрения инструмента больших данных в инвестиционную деятельность корпорации, а также описать методы их идентификации, оценки, контроля и снижения. Для достижения этой цели были сформулированы следующие задачи:
1. Проанализировать специфику инвестиционных процессов в контексте использования больших данных.
2. Рассмотреть теоретические и нормативные основы управления рисками (ISO 31000, ISO/IEC 27005, COBIT, COSO ERM, MEHARI и др.) в условиях цифровой трансформации.
3. Выявить ключевые источники и виды рисков при внедрении Big Data в инвестиционную деятельность.
4. Предложить методы идентификации, оценки и снижения рисков, включая инструменты информационной безопасности и надлежащего корпоративного управления.
5. Сформулировать рекомендации для практиков по организации эффективной системы риск-менеджмента.
Научная новизна статьи состоит в обобщении разрозненных подходов к управлению рисками и их адаптации к случаям использования Big Data именно в инвестиционном процессе, где характерны повышенные требования к надёжности информации и высокой стоимости потенциальных ошибок в принятии решений.
Материал и методы исследования
Инвестиционная деятельность крупных корпораций включает анализ макроэкономических показателей, оценку рынка, отбор перспективных проектов, формирование портфеля инвестиций, мониторинг и выход (дивестиции). Принятие решений в таких компаниях основывается на:
• Точных финансовых показателях (например, финансовая отчётность потенциальных объектов инвестирования, котировки акций и т.д.).
• Статистических данных о поведении рынков, динамике стоимости активов, объёмах торгов.
• Сценарном моделировании, прогнозировании будущих доходов и рисков.
• Данных внешних агентств (рейтинговых, аудиторских, консалтинговых).
• Внутренних данных (собственные аналитики, модели, прогнозы).
Внедрение решений на основе Big Data расширяет спектр доступной информации: появляются поведенческие данные клиентов, создаются алгоритмы машинного обучения для прогнозирования движения рынка, анализируется активность социальных сетей, совокупные эффекты работы предприятий. Однако объём и сложность данных влекут за собой новые риски, особенно если решение принимается полностью на основе автоматических моделей без достаточного человеческого контроля.
По данным Европейского агентства по безопасности сетей и информации (ENISA), корпорации, переходящие к облачным и Big Data-решениям, часто недооценивают комплексность рисков, рассматривая главным образом вопросы технической защиты (шифрование, сетевые экраны) и пренебрегая организационными или правовыми аспектами [3]. Именно поэтому стандарты управления рисками, такие как ISO 31000, COSO ERM и ISO/IEC 27005, призваны обеспечить комплексный подход: от идентификации и анализа рисков до разработки стратегии и процедур по их мониторингу. Разберем существующие модели риск-менеджмента:
Стандарт ISO 31000:2009 «Risk management – Principles and guidelines» является одним из ключевых международных документов, описывающих общие принципы управления рисками. Он предлагает единый процесс, включающий несколько шагов [4]:
1. Установление контекста и постановка целей.
2. Идентификация рисков.
3. Анализ рисков (качественный или количественный).
4. Оценка (приоритизация) рисков.
5. Обработка (реагирование на) риски – принятие, уклонение, передача, смягчение.
6. Мониторинг и обзор.
Особенностью ISO 31000 является универсальность: он применим как к финансовым, так и к технологическим или репутационным рискам. Поэтому при работе с Big Data в инвестициях корпорация может использовать эту модель в качестве «каркаса», адаптируя конкретные детали под свою специфику.
ERM (Enterprise Risk Management) по версии COSO (Committee of Sponsoring Organizations of the Treadway Commission) – ещё один широко распространённый подход к управлению рисками. Основное внимание в нём уделяется [5]:
• Установке «аппетита к риску» (Risk Appetite) в рамках стратегии компании.
• Интеграции риск-менеджмента во все уровни организации (от совета директоров до линейных подразделений).
• Оценке как «возможностей» (opportunities), так и «угроз» (threats), которые могут повлиять на достижение целей компании.
В условиях Big Data-кейсов этот фреймворк может применяться при оценке стратегических рисков – например, необходимости дорогостоящего развёртывания инфраструктуры для аналитики и сопоставления потенциальных выгод (улучшенные прогнозы, экономия на транзакциях) с риском недостижения желаемого результата.
Стандарт ISO/IEC 27005 ориентирован конкретно на управление рисками в области информационной безопасности. Он описывает процесс управления рисками, разбивая его на этапы [6]:
1. Установление контекста (определение границ системы, существующих механизмов безопасности и т.д.).
2. Идентификация активов, угроз и уязвимостей.
3. Оценка последствий (impact) и вероятности (likelihood) реализации угрозы.
4. Формирование плана обработки рисков: выбор мер контроля (технических, административных и физических).
5. Мониторинг, обновление и рецензирование.
Для Big Data-инструментов, особенно тех, которые используют облачные сервисы и обрабатывают большие объёмы конфиденциальных данных, ISO/IEC 27005 помогает выявлять и анализировать разнообразные киберриски: угрозы взлома, утечки данных, отказов инфраструктуры, сложность контроля за распределёнными вычислительными средами и т. д.
MEHARI (Méthode Harmonisée d’Analyse de Risques) – это методика французского клуба по информационной безопасности (CLUSIF) [7] для анализа рисков. Она предоставляет набор анкет, сценариев угроз и советов по выбору мер снижения. Отличается детализированным подходом и готовыми шаблонами для идентификации рисков. MEHARI может оказаться полезной, если требуется быстро провести оценку комплексных ИТ-ландшафтов, учитывая особенности облачных технологий и инвестиционных систем.
Все перечисленные методы (ISO 31000, COSO ERM, ISO/IEC 27005, MEHARI) имеют общую структуру управления рисками: нужно последовательно идентифицировать, анализировать, оценивать и обрабатывать риски, а затем мониторить результат. Разница кроется в сфере применения и степени детализации. Для инвестиционной деятельности, где ключевыми оказываются финансовые параметры и стратегические цели, часто выступает на первый план COSO ERM. Для киберрисков и конфиденциальности – ISO/IEC 27005, тогда как ISO 31000 задаёт общий «зонтик» для всех типов рисков, а MEHARI даёт конкретные практические инструменты.
Процесс внедрения Big Data-инструмента в корпорации обычно разбивается на несколько этапов:
1. Формирование целей и требований:
• Определить бизнес-цели (например, улучшение точности прогнозирования доходности, оптимизация портфеля, выявление инсайтов из неструктурированных данных).
• Понять требования к объёму, скорости и формату данных, учесть регулятивную базу (GDPR, местные законы о конфиденциальности).
2. Пилотный проект:
• Часто компании начинают с «Proof of Concept» (PoC) или «Minimal Viable Product» (MVP), где на ограниченном наборе данных тестируется полезность Big Data-решения.
• На этом этапе уже целесообразно провести предварительный риск-анализ, так как ошибки в архитектуре могут вылиться в дорогостоящие проблемы позже.
3. Масштабирование и интеграция:
• Включение Big Data-инструмента в общую ИТ-инфраструктуру (ERP, CRM, системы электронного документооборота, кастомные инвестиционные платформы).
• Настройка каналов получения данных (API к биржам, партнёрам, провайдерам рыночной аналитики).
• Подключение облачных сервисов (PaaS, IaaS, SaaS) при необходимости.
4. Эксплуатация и постоянное совершенствование:
• Регулярное обучение аналитиков и экспертов в инвестиционном подразделении.
• Отслеживание изменений в законодательстве и технологиях, обновление моделей риск-менеджмента.
На каждом из этапов целесообразно проводить контрольные мероприятия:
• Архитектурный аудит: Проверка совместимости Big Data-инструмента с существующими системами, соответствие требованиям производительности и безопасности.
• Аудит информационной безопасности: Оценка механизма шифрования данных, разграничения прав доступа, защиты от сетевых атак, а также проверка соответствия таким стандартам, как ISO/IEC 27001.
• Мониторинг SLA при облачном размещении: Проверка показателей доступности, времени отклика, скорости масштабирования, а также исполнения провайдером своих обязательств.
• Регулярный пересмотр риск-профиля: Учитывая динамику рынка и быструю эволюцию технологий, риск-профиль и приоритеты могут меняться, поэтому важно проводить повторные оценки с определённой периодичностью (например, ежеквартально или ежегодно).
Результаты исследования и их обсуждение
Разберем основные риски и способы их снижения:
1. Технологические риски
Сбой в инфраструктуре.
• Способы снижения: дублирование критически важных компонентов (кластеризация, резервные каналы связи), использование мультиоблачных стратегий (multi-cloud), резервное копирование данных, тестирование планов восстановления.
Недостаточная производительность.
• Способы снижения: стресс-тесты на различных нагрузках, оптимизация рабочих нагрузок, применение адаптивных механизмов распределения вычислительных ресурсов.
2. Риски информационной безопасности
Неавторизованный доступ и утечки.
• Способы снижения: строгая политика разграничения прав (RBAC), регулярный аудит учетных записей, шифрование данных «на лету» (in transit) и «на хранении» (at rest), двуфакторная аутентификация, SIEM-системы для мониторинга инцидентов.
Атаки на облачного провайдера.
• Способы снижения: выбор проверенного провайдера, имеющего сертификаты безопасности (ISO/IEC 27001, SOC2), проведение собственного анализа SLA и условий договора, использование инструментов мониторинга Cloud Security Posture Management (CSPM).
3. Стратегические и финансовые риски
Неправильная трактовка результатов:
• Способы снижения: внедрение системы валидации аналитических моделей (валидность данных, кросс-проверки с историческими и внешними источниками), участие экспертов-аналитиков, которые имеют опыт в конкретной отрасли.
Недостаточная окупаемость:
• Способы снижения: чёткое определение ключевых показателей эффективности (KPI) и критериев успешности проекта, регулярный контроль бюджета, внедрение итеративных методологий (например, Agile/Scrum) для гибкого управления ресурсами.
4. Организационные риски
Сопротивление изменениям:
• Способы снижения: обучение сотрудников, мотивационные программы, включение ключевых сотрудников инвестблока в процесс разработки.
Недостаток компетенций:
• Способы снижения: наём или переквалификация специалистов (Data Scientist, Data Engineer), партнёрство с консалтинговыми компаниями, постоянный профессиональный рост сотрудников через курсы, вебинары. Инвестиции в технологии анализа персонала позволят ускорить внедрение новой технологии [8].
5. Юридические и комплаенс-риски
Несоблюдение нормативов:
• Способы снижения: регулярные аудиты, поддержание системы менеджмента безопасности информации (ISMS), консультации с юридическим отделом, отслеживание изменений в законодательстве (например, новых требований GDPR или локальных законов).
Возможные штрафы и судебные иски:
• Способы снижения: внедрение процедур реагирования на инциденты (Incident Response Plan), хранение логов действий в безопасном месте, прозрачная политика конфиденциальности, договоры NDA со всеми участниками процесса.
Выводы
В статье проанализированы принципы и практические аспекты управления рисками при внедрении Big Data-инструмента в инвестиционную деятельность крупной корпорации. Ключевой вывод заключается в том, что риск-менеджмент в сфере больших данных не может быть сведён к узкотехническим решениям: требуются комплексные меры, включающие организационные, правовые, стратегические и финансовые аспекты. Инвестиционные компании должны уделять особое внимание:
1. Стратегической интеграции: Big Data-инструмент следует увязывать с общей бизнес-стратегией и определённым «аппетитом к риску».
2. Соответствию стандартам: Использование ISO 31000 и COSO ERM для общего управления рисками, а также ISO/IEC 27005 для киберрисков, что даёт целостную систему контроля.
3. Постоянному мониторингу рисков: Рынки и технологии развиваются быстро, поэтому пересмотр риск-профиля необходим минимум ежегодно или даже ежеквартально.
4. Развитию компетенций: Проблема кадровой подготовки и организационной культуры часто оказывается ключевой при внедрении новых инструментов, особенно таких сложных, как Big Data.
5. Координации с облачными провайдерами: Надлежащее заключение договоров, ясное определение SLA и контроль их исполнения.
Таким образом, при должной адаптации описанных методов и стандартов к конкретной ситуации корпорация сможет минимизировать вероятность и последствия негативных сценариев, при этом максимально эффективно использовать преимущества анализa больших данных для принятия инвестиционных решений.
Возможное направление дальнейших исследований – детальный количественный анализ эффективности тех или иных мер риска (например, внедрение SIEM-систем, дублирование облачных сервисов), а также разработка интегрированных инструментов для автоматизации риск-менеджмента в Big Data-среде. Дополнительный интерес представляет изучение эволюции законодательных и этических требований, в том числе вопросов «прозрачного» использования пользовательских данных в аналитических алгоритмах и моделей.