Риск залог успеха

Психология как залог успеха

Ни разу не задумывались почему на вид одни и те же люди живут разной жизнью? Вроде у всех по две руки, по две ноги, голова одна и, примерно, одинаковой формы. Почему, например, этот человек в 30 лет зарабатывает 3 млн рублей (хотя преобладающее большинство таких же с виду людей работают и получают 50 тысяч рублей в месяц)? Или этот молодой парень в 23 года добился такого результата, что выручка его холдинга составляет 300 млн рублей (в основном, в 23 года люди радуются, если просто найдут работу в крупной компании)?

Я частенько себя спрашивал: чем ОНИ отличаются от меня? С внешней точки зрения я ещё и покрасившее их 🙂 Шутка.
Думал-думал и додумал… Лично я убежден, что отличия лишь в мышлении, в психике (можно употребить это пресловутое слово в психологии).

Неокрепшие новички, которые хотят “срубить бабулесик” на фондовом рынке часто меня спрашивают: “Макс, ты говоришь, что в трейдинге залог успеха — это психология. Я нифига не понимаю, что это значит. Я всегда считал, что залог успеха в стратегии и риск-менеджменте.”

Давайте разложим всё по полочкам.

Стратегий для зарабатывания на фондовом рынке просто невероятно большое количество. Причем, многие из них в открытом доступе. Бери любую и “руби капусту”.
Риск-менеджмент, безусловно, полезная штука. Согласен. Тогда почему столько моих знакомых слили деньги? Ведь мы работали по одной стратегии, с одинаковыми депозитами, и с одним и тем же риском на день?! Не понятно… Я то понимаю почему так произошло; новички не понимают. У всех одна установка: повторяй за тем, кто зарабатывает и со временем ты тоже будешь зарабатывать. Не всё так просто, мой юный друг.

Я за свою практику ни разу не видел, чтобы люди, которые трейдают руками, делали абсолютно одни и те же действия. Кто-то раньше заходит в позу, кто-то позже; кто-то берёт в позу 30 000 шерс, кто-то боится 1 000 взять (повторюсь, даже если люди работают по одной стратегии). Невероятно, но факт. Хоть Вы свяжите двух людей веревкой друг с другом, заставьте пялиться в один монитор и говорите, когда нужно нажимать на кнопку. Наверняка, один нажмёт кнопку раньше, другой вообще скажет, что сигнал херовый и пропустит данный трейд.

Психология на фондовом рынке:

  • это когда нет сигналов по твоим правилам, а ты всё равно торгуешь шлак, лишь бы поторговать (надо ведь перед пацанами похвастаться, что я “срубил капусту”);
  • это когда ты расписал подробный план на конкретный стак, а заходишь в позу не дожидаясь указанных пунктов (руки чешутся, не терпится “срубить капусту”);
  • это когда тебя вынесли по стопу, у тебя включается обида и злость, и ты начинаешь отбиваться (я самый умный… раз я зашёл в шорт, значит этот стак упадёт… блин, не падает…ща упадёт… что за херня…. вот ща точно упадёт…);
  • и т.д. (каждый в мельчайших подродностях знает, о чём идёт речь).

Думаю, теперь, Вы поняли что я имею в виду под психологией. Вот что нужно “прокачивать” для тех, кто работате «руками».

Алчность, жадность, страх, тщеславие — эти базовые инстинкты присущи абсолютно всем. “Мозг ящера” диктует свои правила поведения для каждого из нас. “Мозг ящера” очень полезен для выживания, но он очень вредит, когда дело касается зарабатывания денег.
От этих инстинктов невозможно избавиться. Их можно только контролировать. Именно те люди, которые научились контролировать свои эмоции — те и зарабатывают деньги на фондовом рынке.

Новая профессия: риск-менеджер

Риски — неотъемлемая часть ведения бизнеса. В классическом определении предпринимательской деятельности можно встретить два базовых понятия: «риск, который необходимо принять в ходе ее осуществления» и «прибыль как награда за принятие риска». При надлежащем подходе к управлению рисками прибыль компании может существенно возрасти. Ну а отвечают за реализацию «правильного» подхода — риск-менеджеры.

Говоря о риск-менеджменте, следует сразу отметить, что это скорее функция менеджера, чем отдельная профессия. Данный тезис следует из определения структуры рисков любого бизнеса:

1. Финансовые риски, вследствие реализации которых организация может оказаться не в состоянии исполнить свои финансовые обязательства перед контрагентами. К этому типу можно отнести:

  • риски ликвидности в части сбалансированности активов и пассивов по срокам нахождения на балансе;
  • рыночные риски как риски снижения стоимости активов вследствие изменения рыночных факторов;
  • кредитные риски как риски невозврата ссудных средств и пр.

2. Операционные риски, возникающие в бизнес-процессах, которые связаны с мошенничеством, различными сбоями в ИТ-обеспечении, несовершенством кадровой политики, нарушением правил безопасности на производстве, повреждением активов, юридическими инцидентами и прочими факторами, наступающими в ходе операционной деятельности организации.

3. Бизнес-риски, связанные с некорректным ведением управленческой деятельности:

  • выбор стратегии развития, которая не соответствует целям, миссии и видению организации;
  • утрата репутации на рынке;
  • снижение рыночной стоимости компании.

4. Прочие виды рисков, в зависимости от вида деятельности компании.

Как правило, многоплановая функция «управление рисками» распределяется между различными подразделениями компании (юридический департамент, служба безопасности, департамент управления рисками и пр.). Координирует ее руководитель организации (это стратегический вопрос) или специально уполномоченный исполнительный директор, в обязанности которого входит:

  • участие в определении стратегии развития компании;
  • поиск путей, где можно добиться максимально эффективного соотношения показателей «риск / доходность».

Сфера ответственности и требования к должности

Должность «риск-менеджер» в большей степени ассоциируется с финансовым сектором (банки, страховые и лизинговые компании, инвестиционные и пенсионные фонды и пр.). В силу определенной однородности финансовых продуктов и бизнес-процессов в финансовых компаниях стали выделять типовые сегменты деятельности, связанные с управлением однородными рисками. Должность специалиста, который отвечает за такое направление, получила название «риск-менеджер».

К примеру, в коммерческих банках востребованы риск-менеджеры, управляющие кредитными, операционными и финансовыми рисками в различных бизнес-линиях (корпоративной, малого и среднего бизнеса, розничной, инвестиционной и прочих).

Насколько универсальны эти специалисты? На рынке банковских и финансовых услуг — вполне. Так, риск-менеджер, который достаточно долго (более трех лет) проработал в универсальном коммерческом банке или страховой компании, в дальнейшем без особых затруднений сможет применить свои знания и наработанный инструментарий в любом аналогичном учреждении. А вот отрасли реального сектора отличаются гораздо больше: риск-менеджер, имеющий опыт работы в агрохолдингах, вряд ли быстро добьется успехов в металлургии либо в нефтепереработке.

В результате профессионализм риск-менеджера существенно ограничен отраслевой спецификой — знанием продуктов, бизнес-процессов и особенностей конкретного рынка. Этим обстоятельством во многом и определяются основные требования к должности:

  1. Знание бизнес-процессов и специфики деятельности компании (или, по крайней мере, знание бизнеса в той части, за управление рисками в которой риск-менеджер несет ответственность).
  2. Понимание особенностей рынка, на котором компания осуществляет свою деятельность, умение анализировать ситуацию.
  3. Владение инструментарием управления рисками на данном рынке.
  4. Понимание специфики рисков при заключении контрактов и последующем мониторинге их исполнения.

Подчиняется риск-менеджер (или соответствующее подразделение) всегда напрямую председателю совета директоров.

Функционал

В принципе, соответствующий вышеперечисленным требованиям специалист может справиться со своими основными функциональными задачами: определить приемлемый уровень рисков, при котором доходность компании будет максимальной. Но, конечно, успешность выполнения этих задач во многом зависит от его личностных качеств и наличия опыта.

Например, если риск-менеджер отвечает за полный цикл управления кредитным риском в коммерческом банке, то в его функционал входит цепочка задач — от организации настройки скоринговой модели* таким образом, чтобы уровень дефолта кредитного портфеля не превышал заданного порога, — до организации сбора проблемных активов, чтобы при минимальных затратах на сам процесс достичь максимально возможных сумм взыскания проблемной задолженности.

Основной же задачей в ходе управления операционными рисками является соблюдение баланса между уровнем рисков и оперативностью бизнес-процесса, которому они присущи. К примеру, установив излишнюю защиту каналов связи, можно существенно снизить скорость передачи данных, что, в свою очередь, неизбежно приведет к уменьшению количества операций, выполняемых в ИТ-комплексе и, соответственно, снижению доходности бизнеса.

Следует помнить, что конкретный функционал специалиста в этой сфере всегда зависит от специфики бизнеса, поскольку это хоть и важный, но все-таки поддерживающий (ведомый) процесс.

Требования к образованию

От специалиста в области управления рисками, как правило, ожидают прикладных знаний в таких сферах:

  • математический и статистический анализ;
  • информационные системы и технологии;
  • юриспруденция;
  • предметная область, в которой предстоит управлять рисками.

Профессия риск-менеджера достаточно нова для нашей страны, поэтому рынок труда испытывает недостаток квалифицированных кадров, да и учебных заведений, способных подготовить специалистов к работе в этой области, в Украине мало. На сегодняшний день, насколько мне известно, такого направления подготовки / специализации в вузах не существует. До недавнего времени риск-менеджерами становились:

  • опытные руководители — выходцы из бизнес-подразделений, которые прекрасно понимают ключевые аспекты деятельности;
  • выпускники учебных заведений математических и технических специальностей, которые, имея в арсенале аппарат статистического и математического анализа управления рисками, буквально «на лету» осваивали специфику управления бизнесом.
Читайте так же:  Попросить гражданство у президента

Пока основной «кузницей кадров» для рынка остается НТУУ «Киевский политехнический институт», который окончили приблизительно 70% риск-менеджеров, работающих в банковской системе Украины.

Ситуация изменилась в 2010 году, когда международная Глобальная ассоциация профессионалов риск-менеджмента (Global Association of Risk Professionals, GARP) открыла в Украине свое отделение. В управляющий комитет регионального отделения GARP вошли известные украинские и международные банкиры. Сегодня GARP предлагает:

  • программы обучения и повышения квалификации от начального до высшего уровня менеджмента;
  • полную сертификацию в области риск-менеджмента.

Дважды в год GARP проводит экзамены на получение сертификата FRM (Financial Risk Manager) — всемирно признанного свидетельства о квалификации в области риск-менеджмента.

Привлечение сертифицированных специалистов — членов Ассоциации — позволяет компаниям формировать у себя современную культуру понимания риск-менеджмента во всей организации.

Карьера

Уровень вознаграждения риск-менеджера зависит от занимаемой позиции:

  • топ-менеджеры — руководители подразделений могут зарабатывать от 5 до 60 тыс. долл. в месяц (решается в индивидуальном порядке);
  • менеджеры среднего звена — 2,5– 3 тыс. долл. в месяц.

Многие люди, выбравшие эту профессию, имеют аналитический склад ума, поэтому их больше привлекает карьера профессионала — совершенствование навыков в рамках выбранного направления. Конечно, при этом они получают опыт в разных компаниях и секторах. Но все же к вертикальной карьере стремятся немногие: очень редко они «дорастают» до топовых позиций и практически никогда не становятся руководителями бизнеса.

Разумеется, среди риск-менеджеров есть люди с самым разным складом характера. Из личностных особенностей, которые помогают достичь успеха в профессии, можно отметить: аналитический склад ума и «жадность к деталям» — при удержании в фокусе внимания ситуации в целом. Именно в этом — залог успеха.

Целесообразность введения должности

Должность риск-менеджера, отвечающего за обеспечение безубыточности бизнеса, вводится на этапе зрелости компании. Введение в штатное расписание позиции с таким функционалом будет оправдано в том случае, если уже создана, описана и «работает» модель бизнес-процессов. При незрелости бизнес-процессов или ненадлежащем уровне корпоративного управления риск-менеджер вряд ли наилучшим образом впишется в общую структуру. Более того, ее введение может вызвать конфликты, связанные с разделением полномочий и сфер ответственности: если бизнес-процессы не определены, то невозможно назначить их владельцев и до конца определить рамки полномочий ответственных лиц.

Нужно отметить, что даже если в компании нет отдельного специалиста, занимающегося риск-менеджментом, сам процесс управления рисками есть всегда. В таких случаях он осуществляется различными структурными подразделениями, например:

  • Службой безопасности — в части обеспечения экономической и физической безопасности, противодействия мошенничеству и внешним угрозам.
  • Юридическим подразделением — в части минимизации юридических рисков.
  • Отделом информационной безопасности — в части обеспечения целостности, конфиденциальности и доступности информации.
  • Финансовым подразделением — в части управления финансовыми рисками.
  • Подразделением внутреннего контроля — в части управления операционными рисками и корректностью работы бизнес-процессов. И другими.

В заключение хотелось бы отметить, что единого определения профессии «риск-менеджер», с которым все согласны, пока нет. Бизнесу всегда присущи риски. Собственно говоря, прибыль — награда за управление рисками — и есть главная мотивация предпринимателя. При этом специфика рисков всегда определяется особенностями бизнеса.

В последнее время управление все сильнее вооружается информационными технологиями, а значит, многие традиционные подходы и инструменты управления рисками устаревают. Поэтому нельзя с уверенностью сказать, что профессиональный опыт риск-менеджера, ценный сегодня, будет востребован и в будущем — даже через год. Управление рисками — весьма динамичный процесс, и преуспевает в нем только тот, кто постоянно развивается и идет в ногу со временем.

* Кредитный скоринг — система оценки кредитоспособности (кредитных рисков), основанная на численных статистических методах. Сначала оценщики кредитных рисков разрабатывают анкеты для оценки рисков. Каждый пункт анкеты оценивается определенным количеством баллов. Решение об одобрении или отказе в выдаче кредита принимается в зависимости от количества набранных баллов.

Риск-менеджмент как залог успеха

Семинар о том, как не дать рискам разрушить амбициозные планы бизнесменов, провела общественная организация «Опора России».

Осознанное управление рисками – признак роста бизнеса и основа стабильного, поступательного развития предприятия. Именно поэтому он высоко ценится и входит в число управленческих компетенций, развиваемых в программах MBA корпоративных университетов всего мира.

Вниманию участников семинара была представлена программа управления рисками, разработанная специально для сегмента малый и средний бизнес. Спикер семинара заместитель директора по проектному управлению краснодарского филиала ОСАО «Россия» Наталья Пазина подробно осветила основные принципы риск-менеджмента. «Неопределенность, с одной стороны, таит в себе риск, а с другой – открывает широкие возможности», – уверена Наталья Пазина.

«Возможно, инвесторы не видят и не понимают всех рисков компании, несмотря на то, что сама компания своевременно выявляет и минимизирует риски», – указала она на одну из главных проблем, связанных с управлением рисками в секторе МСБ.

По мнению спикера, эффективный риск-менеджмент в контексте малого и среднего бизнеса – это системный подход к выявлению, анализу, минимизации и мониторингу рисков.

Говоря о рисках, эксперт перечислила 5 способов их выявления, как то: построение карт технологических потоков, использование классификаторов рисков, анализ управленческой и финансовой отчетности, инспекционные посещения производства и обмен опытом со специалистами в данной области. По мнению спикера, карты технологических потоков полезны для выявления основных процессов компании, от которых зависит ее надежность и устойчивость, они позволяют определить критические области в деятельности компании и обнаружить наиболее существенные риски.

«Необходимо учитывать как внутренние риски проекта, так и внешние факторы, которые могут повлиять на проект», – полагает эксперт, говоря о классификаторе рисков, как о втором способе выявления рисков. Так, источники рисков могут исходить из управленческой команды, технологий, финансовых рисков и софинансирования.

Спикер привела несколько примеров рисков, которыми необходимо управлять при реализации инновационного проекта. В числе особо важных опасностей для банковского бизнеса, исходящих из управленческой команды, она назвала отсутствие достаточной компетенции, слабое взаимодействие с внешними экспертами и зависимость от ключевых сотрудников.

Что касается финансовых рисков и софинансирования, Наталья Пазина указала на такие «подводные камни», как невозможность привлечения достаточного объема финансирования, валютные риски, разрывы в ликвидности и управление денежными потоками, а также отсутствие партнера для софинансирования бизнеса.

По мнению топ-менеджера ОСАО «Россия», много информации о рисках фиксируется в отчетности компании. «Любая внутренняя или внешняя отчетность может быть полезна при выявлении уже реализовавшихся рисков», – отметила спикер, перейдя к теме анализа управленческой и финансовой отчетности как третьего способа риск-менеджмента. «Вот лишь несколько примеров: рост дебиторской задолженности, рост сроков поставок, оборот дебиторской задолженности, показатель текущей и быстрой ликвидности», – добавила она.

Продолжая тему выявления рисков, Наталья Пазина рассказала об использовании опыта сотрудников. Как считает эксперт, лучше всего выявлять потенциальные опасности через общение с сотрудниками: «Общение с сотрудниками напрямую позволяет выявлять риски, которые зачастую не очевидны руководству компании». Для получения данных о рисках от сотрудников она порекомендовала использовать опросники, групповые семинары или индивидуальные интервью.

Помимо общения с сотрудниками, при выявлении рисков не менее важно взаимодействие с внешними специалистами в данной области. Здесь представитель страховщика советует обращать внимание на отраслевые отчеты и публикации, принимать участие в обсуждении на форумах.

Перечислив способы выявления рисков, спикер перешла к методам оценки и «приоритезации» потенциальных опасностей. В своей работе Наталья Пазина отдает предпочтение экспертной оценке как оценке рисков с точки зрения вероятности и ущерба. «Выявленные риски необходимо «приоритезировать», чтобы откинуть несущественные», – утверждает она. Как рассказала эксперт, размер потенциально ущерба от риска может измеряться в деньгах (финансовые потери) или ущербе репутации компании. Вероятность наступления ущерба, то есть вероятность риска зависит от истории реализации его в прошлом, уровня неопределенности и сложности процессов. На размер потенциального ущерба от риска в большей степени влияют финансовые потери. Далее следуют такие виды ущерба, как репутационный ущерб и ущерб третьим лицам.

Так называемый анализ «галстук-бабочка» является вторым методом оценки рисков. Суть метода заключается в разложении потенциальных рисков на причины и последствия. Метод схематически изображается как галстук-бабочка, за что и получил такое название. «Декомпозиция риска позволяет адекватно оценить вероятность и уровень ущерба от его реализации, а также обнаружить взаимозависимости между рисками», – объяснила Наталья Пазина, уточнив, что такой подход требует определенного времени для выполнения.

Третьим методом риск-менеджмента эксперт назвала анализ чувствительности и сценарный анализ. Она охарактеризовала данный метод как наиболее сложный, но и эффективный из всех вышеперечисленных, который требует от специалиста достаточного опыта и знаний. «Оценка потенциального влияния события на финансовую устойчивость компании концентрирует внимание на влиянии изменения конкретных параметров», – отметила Наталья Пазина. Она предложила ответить в качестве примера на такие вопросы: что произойдет с рентабельностью, если цена на продукт снизится на 10%, или что произойдет с выручкой, если курс доллара к рублю вырастет на 1%. Кроме того, могут быть полные сценарии, включая появление нового конкурента на рынке, или потеря крупного поставщика.

Читайте так же:  Договоры направленные на передачу вещи в собственность

От способов оценки рисков эксперт перешла к вариантам их минимизации. В числе основных способов были названы избежание риска, перенос риска, снижение риска, и, наконец, принятие риска.

В своей речи Наталья Пазина напомнила о необходимости постоянного мониторинга уровня рисков как минимум два раза в год. «Мониторингу должны быть подвергнуты и оценки вероятности риска, и ожидаемая величина риска, и составленные планы управления рисками и имеющиеся ресурсы для управления рисками», – уточнила она.

Наталья Пазина особо отметила культуру риск-менеджмента как основополагающий фактор по данному вопросу, подчеркнув, что корень успеха компании заключается в уровне ответственности ее сотрудников. Укрепление культуры управления рисками среди сотрудников является самым важным этапом внедрения системы управления рисками в организации, отметила она.

В заключение семинара спикер рассказала о рисках, которые может взять на себя страховая компания (убытки от перерыва в производстве, стихийные бедствия, противоправные действия третьих лиц), а также о рисках, которые еще не могут быть отнесены к страховому случаю (ошибка в принятии решения топ-менеджером, часто повторяющиеся риски).

Во второй части семинара выступила представитель краснодарского краевого отделения общероссийской общественной организации малого и среднего предпринимательства «Опора России». Заместитель председателя организации по молодежному предпринимательству Инна Чигарева ознакомила участников семинара с деятельностью «Опоры России», а также подробно рассказала о проектах организации для молодых и начинающих перспективных бизнесменов.

Риск, команда и вера в себя — залог успешного бизнеса, уверен эксперт

МОСКВА, 25 окт — РИА Новости. Любовь к своему делу — главное для бизнесмена, даже деньги не играют такой большой роли, как удовольствие от работы, уверен предприниматель Шахар Вайсер, прочитавший в РИА Новости в рамках проекта Tech in Media лекцию «Секреты успешных стартапов в России и за рубежом».

Вайсер занимается предпринимательством последние 15 лет. Он создал несколько компаний в разных странах — в Израиле, Америке, России.

РИА Новости запустило образовательный проект Tech in Media для того, чтобы российские журналисты могли повысить свои компетенции в инновационно-венчурной тематике. Интеллектуальным партнером Tech in Media является Российская венчурная компания (РВК). В рамках проекта с октября по ноябрь 2013 года пройдут 10 лекций и мастер-классов, на которых профессиональные журналисты, инвесторы и создатели успешных стартапов расскажут об особенностях рынка инноваций и венчурных инвестиций, о том, как правильно освещать стартапы, как распределяются гранты инновационных фондов, как на российском рынке появляются успешные проекты и др.

о мнению Вайсера — одна из самых полезных в бизнесе вещей — это, как ни парадоксально, неудача. Ошибки, стресс, кризис формируют человека и позволяют ему прийти к новым открытиям, хотя большинство людей воспринимают их совсем не так.

В качестве примера он привел историю, случившуюся с ним во время работы в телекоммуникационной компании. Она произошла в то время, как этот бизнес только начинал развиваться, а мобильные телефоны стоили еще недешево.

Компания, в которой работал Вайсер, продала одному из своих клиентов дорогостоящую телекоммуникационную систему. Через некоторое время в системе произошел сбой, из-за которого клиент потерял много денег. Представители компании-клиента очень хотели пообщаться с сотрудниками компании, в которой работал Вайсер, но так получилось, что на встречу с недовольным клиентом кроме него никто не поехал.

«Я ехал очень позитивно настроенным. Я до этого, даже когда мы уже продали систему, общался с разными людьми в этой компании, довольно крупными менеджерами, объясняя, что нужно делать дальше, что выстраивать, покупать и расширять, но внимания соответствующего не получал. А тут я понимаю — я еду, и меня ждут все. Я был уверен, что они будут внимательно слушать то, что я говорю. Меня встречали и президент, и все вице-президенты. Первый час был не очень приятным, я молчал и очень много всего выслушал. Но через час начали слушать они. Закончилась встреча самым большим контрактом в истории моей компании» — рассказал Вайсер.

Еще одна важная вещь в предпринимательстве — готовность рисковать и при этом верить в себя, в свою удачу и свою способность поменять мир. Люди в большинстве своем даже не пытаются сделать то, что на самом деле могут, считает бизнесмен.

«Есть один профессор, который на своих лекциях, кажется, на курсе предпринимательства, часто говорил студентам: «Будьте любезны, к следующей лекции встретьтесь с каким-то известным человеком. Это может быть известный человек в бизнесе, знаменитость — кто угодно, кто-то, с кем считается трудным встретиться». Всегда был один и тот же результат — 90% даже не пыталось» — рассказал Вайсер. Но у тех 10%, которые пытались, в 90% случаев все получалось, отметил он.

«Всех людей, которых я беру на работу, я в конце интервью спрашиваю «Насколько ты удачлив, от 1 до 10?» Меня поражают люди, которые говорят «Четыре». Это же его собственная вера. А мне ему (рассказывать) про то, что мы сейчас пойдем и сделаем то, чего никто не делал, и у нас будет лучше всех. А у него — «Четыре». И как мы пойдем?» — сказал бизнесмен.

Партнер и команда

«Бизнес очень похож на атлетизм, потому что это испытание воли», — считает Вайсер. Создание любого бизнеса, даже прачечной, — это тяжело и долго, и в процессе пути все будет немножко хуже, чем планировалось, поясняет он.

Вайсер рассказал, что почти не знает успешных партнерств. Очень сложно не приписывать все удачи своим заслугам и не валить все на партнера в случае неудачи. Если с этой проблемой удалось справиться, следующее испытание — это деньги, которые очень легко портят отношения между людьми. А уж большие деньги — это еще большее испытание, отметил он.

Конечно, есть материальная сторона опроса — сотрудникам компании нужно получать деньги. Однако это самое не главное, считает Вайсер. Чтобы сделать что-то выдающееся, нужно, чтобы люди горели общей целью, и здесь от лидера требуется умение заразить людей своим энтузиазмом. Важно также всегда помнить, что сильные игроки приводят таких же сильных игроков, поскольку им интересно работать вместе, а средние игроки приводят слабых, отмечает бизнесмен.

И все же единственный важный вопрос при организации новой компании — любите ли вы то, что делаете, считает Вайсер. Если теряешь любовь к делу, нужно останавливаться — отметил он.

Анализируем риск

Взвешенный подход — залог успеха Анализ риска — не самое любимое занятие для большинства специалистов по информационной безопасности. Предмет этот сух и выглядит слишком искусственным, далеким от переполнений буфера, открытых портов и систем с неустраненными уязвимыми местами.

Взвешенный подход — залог успеха

Анализ риска — не самое любимое занятие для большинства специалистов по информационной безопасности. Предмет этот сух и выглядит слишком искусственным, далеким от переполнений буфера, открытых портов и систем с неустраненными уязвимыми местами.

Так называемые эксперты по анализу информационного риска предложили несколько количественных методик для идентификации ресурсов, нуждающихся в защите, оценки угрозы для этих ресурсов и возможных последствий угрозы. Однако при оценке финансового ущерба от аварий нередки ошибки на порядок величины, что делает эти формулы и методы непригодными для специалистов-практиков. Но чем их заменить?

Несмотря не неточности существующих методов оценки риска, фундаментальные, основанные на здравом смысле принципы анализа риска полезны каждому, кто работает в сфере информационной безопасности, особенно когда приходится принимать решение о затратах времени и денег. В первую очередь необходимо признать, что ресурсы ограниченны. Было бы самонадеянно полагать, что можно предотвратить все возможные опасности. Попытки это сделать окажутся медвежьей услугой для предприятия.

Проблема заключается в том, что ресурсы ограниченны, а риск — нет. Следовательно, анализ риска в значительной степени сводится к тому, чтобы поделить пирог ресурсов между различными рисками. Но невозможно сделать правильный выбор, если следовать только за рекламой в средствах массовой информации или руководствоваться идеями шефа, которые меняются еженедельно после прочтения очередной статьи в «Коммерсанте». Тем не менее, соблюдая несколько принципов, основанных на здравом смысле, можно принять решение, которое сэкономит время и деньги.

Инвентаризация ресурсов

Прежде всего необходимо понять, какие ресурсы требуют защиты. Определение ресурсов меняется в зависимости от зоны ответственности специалиста и веса технической составляющей в его служебных обязанностях. Если попросить разных сотрудников одного ИТ-подразделения указать ресурсы, нуждающиеся в защите, то будут получены различные ответы: от конкретных серверов и устройств до баз данных, бизнес-процессов и даже таких абстрактных концепций, как доверительные партнерские отношения. Все эти ответы верны в зависимости от служебного положения сотрудника.

Читайте так же:  Образец заявления о переводе работника на временную должность

Привязка к ресурсам высокого уровня

Выбирая технический компонент или процесс ИТ-инфраструктуры, нуждающийся в защите, нужно связать низкоуровневый ресурс с соответствующим ресурсом высокого уровня. Например, резервные копии данных потребителей представляют собой технический ресурс, связанный с несколькими ценными бизнес-ресурсами высокого уровня, в том числе с основным процессом выполнения заказов, от которого зависит прибыль предприятия, добрыми отношениями с потребителями, которые доверили предприятию конфиденциальную информацию, и соответствием законодательным актам. С этой точки зрения выделение дополнительных ресурсов для защиты данных потребителей будет оправданным.

Но вряд ли следует делать то же самое для хранилища данных компании. В отличие от базы данных потребителей, в хранилище данных нет персональной информации, она не влияет на процесс выполнения заказов и не обеспечивает серьезной финансовой отдачи при оптимизации цепи поставок.

Привязка к высокоуровневым рискам

Также полезно связать технические риски с высокоуровневыми бизнес-рисками перед тем, как приступать к внедрению контрмер. Этот шаг поможет избежать применения параметров и технологий безопасности только потому, что они существуют, без учета их эффективности.

Например, можно шифровать резервные наборы данных, но для этого обычно требуются дополнительные затраты труда и иногда новые аппаратные средства, если перед шифрованием и записью на ленту данные требуется хранить на диске. Шифрование данных потребителей снижает серьезный риск разглашения строго конфиденциальной информации. Эти меры не обязательно связаны с большими финансовыми затратами, так как небольшую базу данных можно зашифровать на диске и переписать на ленту без применения SAN для промежуточного хранения.

Однако шифрование хранилища данных предприятия может быть пустой тратой ресурсов. Если отказаться от шифрования, то в худшем случае незашифрованные данные бизнес-аналитики могут попасть к конкурентам. Если хранилище данных столь велико, что придется покупать дополнительные устройства памяти для промежуточного хранения, то необоснованность повышенных мер защиты становится очевидной.

Борьба с реальной угрозой

Защита паролей от взлома — идеальный пример нерационального использования ресурсов некоторыми администраторами. Можно потратить время на выбор наиболее эффективных комбинаций символов и длины пароля, которые окажутся неприступными для новейших инструментов взлома или по крайней мере задержат взломщиков. А можно досадовать на легкость, с которой взломщики разгадывают пароли с помощью готовых таблиц гораздо быстрее, чем в прошлом. Мой совет — все продумать, прежде чем тратить большие деньги, и убедиться в реальности угрозы.

Чтобы взломать пароль, взломщику необходимо добыть экземпляр хеша пароля. Обычно для этого нужны административные полномочия или физический доступ к целевой системе. Согласно вечному закону компьютерной безопасности, лицу с административными полномочиями или физическим доступом к системе предоставляется полная свобода действий, и борьба с ним заведомо безнадежна. Попытки помешать злоумышленнику — администратору или человеку, имеющему физический доступ к системе, подобны отсечению одной змеи от головы Медузы Горгоны: можно решить одну проблему, но в действительности их гораздо больше.

Вместо того чтобы тратить ресурсы на создание паролей, которые трудно взломать, лучше защитить учетные записи администраторов и строго контролировать физический доступ к системам, а также предусмотреть другие сценарии, которые могут привести к краже данных, необходимых для взлома пароля. Например, при удачном стечении обстоятельств взломщик может перехватить пакеты, которыми обмениваются стороны в процессе аутентификации. Если в организации болезненно относятся к перехвату данных аутентификации, риск можно смягчить, применив более надежные сетевые протоколы аутентификации, обеспечив физическую недоступность сетевых линий и уменьшив уязвимость сети к перенаправлению протокола ARP.

Эффективный анализ риска сводится к одному важному положению: затраты на защиту ресурсов не должны превышать их ценности. Конечно, это скользкий путь, так как количественная оценка переменных относится к сфере черной магии, а не науки. Но, понимая связь между низкоуровневыми и высокоуровневыми ресурсами и рисками, взвешивая возможные варианты и вступая в бой лишь в том случае, если победа окупит затраты, можно максимально эффективно использовать ограниченные ресурсы.

Рэнди Франклин Смит — Редактор Windows IT Pro, ведущий инструктор и разработчик курсов для программы по безопасности Windows NT/2000 института MIS Training. Его компания, Monterey Technology Group, занимается консалтингом в области информационной безопасности. Связаться с ним можно по адресу: [email protected]

Поделитесь материалом с коллегами и друзьями

Риски инвестиций: как не разочароваться в фондовом рынке

Руководитель департамента по управлению инвестициями УК «Уралсиб» Сергей Григорян поделился своими соображениями по поводу выбора стратегии приумножения капитала на фондовом рынке.

Инвесторы по своей сути — обычные люди со своими страхами и заблуждениями. Вот только излишне эмоциональные решения начинающих финансистов зачастую приводят к печальным последствиям. Некоторые даже разочаровываются в фондовом рынке и возвращаются к более безопасным инвестициям – депозитам и недвижимости.

Психологические ловушки

Рынок хорош тем, что даже у новичка есть шанс разбогатеть, выиграв за счет везения. Иногда человеку фортуна улыбается несколько раз подряд, и у него возникает иллюзия, что трейдинг – это просто и безопасно. Хотя на самом деле излишняя самоуверенность может выйти боком.

Чрезмерно самоуверенному инвестору присуща иллюзия контроля. Человек, который часами следит за торговым монитором и регулярно заключает сделки, может решить, что он в курсе всех событий и всегда сможет избежать провала. Хотя, по сути, он всего лишь азартный игрок, переплачивающий брокерские комиссии.

Другой фактор, который мешает успеху, заключается в неприятии потерь. Психологи знают, что людям свойственно острее воспринимать потери, чем прибыль. Сила эмоций от потери $1000 близка к удовлетворению от получения $2000.

Такая особенность психики присуща большинству людей, которые пытаются заработать на фондовом рынке. Довольно часто приходится сталкиваться с азартными клиентами, считающими себя приверженцами агрессивной стратегии инвестирования и рассчитывающими, что управляющая компания обеспечит им доходность в 20% годовых в долларах, но при этом исключающими просадку портфеля более чем на 5–10%. Они не понимают, что стратегии, направленные на получения высокой прибыли, неизбежно связаны с определенными рисками.

Чтобы избежать психологических ловушек-заблуждений, достаточно разработать правила инвестиционного поведения и придерживаться их на практике. Эти правила сильно зависят от типа инвестора. Прежде чем выработать их, необходимо честно разобраться с вопросом: «Какова моя роль на фондовом рынке и чего я хочу от инвестиций?»

Человеку, который видит залог успеха в активной торговле, необходимо придерживаться жесткого управления рисками, не ставить на кон в одной сделке более 1-5% капитала (тут многое зависит от особенностей методики торговли). Такой подход позволит постепенно набраться трейдерского опыта, не рискуя сразу большими деньгами.

Для большинства инвесторов все же комфортнее придерживаться консервативного отношения к управлению финансами, ставить во главу угла долгосрочные цели. В этом случае в роли решающего фактора выступает отношение инвестора к риску. К примеру, если вложиться в рынок акций США, то в долгосрочной перспективе инвестиции принесут 7–8% годовых. Это неплохая доходность в долларах, но бывают и кризисы: последний раз такое случилось в 2008–2009 годах, когда индекс S&P 500 проседал на 51%. Немногие россияне спокойно перенесли бы такие убытки.

Большинство людей находят более привлекательным соотношение ожидаемого дохода на уровне 4–5% годовых при возможной просадке максимум в 15%. Поэтому многие предпочитают инвестировать в рынок облигаций.

Составление портфеля инвестиций

Наиболее рационально не ограничиваться одним инструментом или классом активов, а использовать портфельный подход. Такая стратегия в последние годы стала намного доступнее благодаря развитию биржевых фондов ETF.

Например, один из самых простых сбалансированных портфелей, включающий 60% акций S&P 500 (ETF SPY) и 40% облигаций американских компаний (ETF LQD), является гораздо менее рискованным по сравнению с портфелем, в котором только акции. В последние 13 лет средняя доходность такого портфеля составила 7% годовых, а максимальная просадка – 34% (добавление облигаций уменьшило этот показатель на 17%).

Риск-профиль такого портфеля можно оптимизировать, если избегать длительных отрезков «медвежьего» рынка. Для отделения «бычьего» тренда от «медвежьего» подойдет, к примеру, девятимесячная скользящая средняя. Суть этого фильтра следующая: если ETF закрывает месяц выше своего среднего показателя за последние 9 месяцев, остаемся в фонде, а если ниже – на месяц уходим в деньги. Такой анализ повторяется каждый месяц. Вышеприведенная оптимизация риск-профиля позволила добиться уменьшения максимальной просадки до однозначных значений.

Имеются и другие эффективные приемы риск-менеджмента. Однако перед тем как определиться с ними, нужно четко сформулировать цель. Одни хотят получить быструю прибыль, для других важнее минимизация рисков и т.д. Четкие правила инвестирования, основанные на целях и психологических особенностях инвестора, непременно помогут увеличить капитал без лишнего риска и нервотрепки.