Риск-аппетит или как не надо управлять рисками
Как бездумно потратить 220 тыс.рублей, ради сохранения 400 руб. Идиотизму поем мы оду. (Одноименный пост пока открыт для всех желающих)
Риск-аппетит или как не надо управлять рисками
Как я и говорил, буду максимально стараться излагать материал сугубо простым языком + на основе эмпирического опыта (но местами без теории не обойтись, это надо просто принять).
Погнали.
Итак, мы имеем некую середнячковую организацию (4-8 млрд выручки в год) , которую только что продали, убили всю региональную сеть и новый собственник начинает наводить свои порядки, что естественно.
На что он обратит внимание в первую очередь?
Скорей всего на резервы и обычные текущие расходы.
Вот об обычных и текущих речь и пойдёт.
Новому хозяину было озвучено, что в этой конкретной компании если кто и хотел что-то украсть посредством расходной части, давно украл и его тут уже нет. И на это не нужно тратить время и людские ресурсы.
Но новый хозяин принимает решение, что надо назначить 2 людей, которые будут контролировать все текущие (любые) расходы.
При этом совокупная зп этих 2х людей 330 тыс.руб. (да, не самые дешёвые люди).
Итог?
За 2 недели работы не выявлено никакого мошенничества и воровства (проверялось 100% расходов), а найден лишь один неверно оформленный акт выполненных работ на 2000 рублей.
Теперь математика
- совокупная зп 2х людей за две недели 165 тыс.руб.
- отчислим во внебюджет грубо 30%. Ещё 55 тыс.
- найденный риск? Риск по налогу на прибыль. 20% от 2000 рублей = 400 рублей. Штрафы, пени...вообще нематериальны.
Так о чем это все?
Риск-аппетит - это когда лучше оставить потерю на своем удержании, чем понести еще бОльшие потери, чтобы ее выявить или чтобы управлять ею.
Простыми словами, - потратить много тысяч и сэкономить пару сотен - неправильное управление риском. А руководителя, который принимает такое решение...даже и не знаю как назвать. Есть варианты?
Не согласны с этой историей? Ну... It's up to you.
Контрольные процедуры и управление рисками
Продолжаем погружаться в мир внутреннего контроля, рисков и самообразования.
Постом ранее мы, надеюсь, выяснили, что такое РИСК. А так как повторенье - мать ученья, озвучу ещё раз: Риск - любое неблагоприятное событие, которое может привести или уже привело бизнес к потерям.
Резонно встаёт вопрос по классику: "Что делать?"
Ответ прост. Своими рисками надо управлять.
Дабы избежать академичности и сухой теории, предлагаю смоделировать некую практическую историю.
Пусть у нас есть организация, у которой очень много расходов. А расходы, как мы знаем, уменьшают налогооблагаемую базу по налогу на прибыль.
Очевидный риск организации - налоговый. А именно, - доначисление налога, штрафы, пени и прочие "блага".
Почему?
Потому что расходы могут быть не подтверждены документально (доков нет, доки неверно оформлены, доки не бьются с налоговым периодом...НК РФ нам в помощь).
Чтобы этот риск нас не настиг надо что-то делать (управлять риском) :
- назначить ответственных за наличие, своевременность истребования, корректность документов;
- зафиксировать обязанности ответственных в должностных инструкциях;
- настроить напоминалки в информационной системе;
- разграничить права доступа в той же информ.системе...
И т.д. В каждом бизнесе есть свои нюансы и вариации.
Всё вышеозначенное является примером контрольных процедур - меры, которые помогают вам избежать потерь.
Если у вас их нет...пора задуматься и внедрить. Если есть - вы молодец, но стоит проверить, а эффективны ли ваши контрольные процедуры? Действительно ли они оберегают вас от потерь?
А про риск-аппетит наслышаны?
Об этом позднее.
Реальная история о сверхглупости последует.
Оставаться или нет... it's up to you.
Про контроль и риски
Т.к. в дальнейшем повествовании часто будут использоваться термины "контроль", " внутренний контроль", "риск", " Система Внутреннего Контроля (СВК)", думаю, будет не лишним разобраться, что это, несмотря на, казалось бы, очевидность их определения, а также в каком контексте они будут употребляться.
Многие привыкли и приняли как данность, что Система внутреннего контроля (равно как и Служба внутреннего контроля) - прерогатива крупных предприятий.
Поэтому продолжу с не самого очевидного: любой бизнес имеет Систему внутреннего контроля
Неважно, кто вы: самозанятый, ИП, ООО и т.д.
Например:
- Самозанятый, шьющий предметы одежды на дому, контролирует остаток материала, контролирует сроки выполнения работы и отправки заказа заказчику... ;
- ИП, который организовал небольшое производство детского конструктора контролирует качество поставленного материала, изнашиваемость оборудования и/или деталей к нему, мониторит (контролирует) проведение тематических выставок... ;
- ООО и более крупные единицы бизнеса контролируют сроки поставок, отгрузок, производства, выполнения услуг, организации продаж.... И много чего ещё. Думаю, суть ясна.
Иными словами - везде и всегда есть какой никакой, но контроль. А значит уже есть и некая система контроля (СВК).
(Забегая немного вперёд, раскрою карты - ключевым моментом всегда (на протяжении всего периода жизни бизнеса) будет являться КАЧЕСТВО, ЭФФЕКТИВНОСТЬ И ДОСТАТОЧНОСТЬ этой системы контроля. Но об этом потом).
А сейчас. ..Revenons à nos moutons, как говорят французы. То бишь - вернёмся к нашим баранам, к сути поста.
Для чего мы контролируем свой бизнес?
Многие ответят: чтобы зарабатывать деньги, как и было запланировано.
Я не соглашусь и отвечу иначе: мы контролируем, чтобы НЕ терять деньги. То есть своевременно реагировать на некие неблагоприятные события....РИСКИ
Если наш самозанятый вовремя не закупит материал, вовремя не сошьет заказанные мною перчатки и вовремя их не отправит, чем он рискует:
- отказ от заказа с моей стороны (деньги на материал потрачены свои, время потрачено, доход не получен). Деньги потеряны. Когда вернутся(ли) ...неизвестно;
- негативный отзыв с моей стороны в соцсетях. Самозанятый потерял потенциальных будущих клиентов, ака доход.
Если наш ИП вовремя не обновил детали оборудования по производству конструктора, он никак не сможет выполнить весь объем заказов на конструкторы в срок, пока не получит новые детали к оборудованию.... Отказы от заказов, списание материалов в убыток, негативные отзывы, потери, потери потери...
Более крупный бизнес теряет деньги вообще на каждом шагу. Об этом можно отдельные посты делать.
Надеюсь, посыл понятен.
А задача сегодняшнего упражнения запомнить, что РИСК - это событие, которое уже привело к потерям, либо может привести! И что вы контролируете свой бизнес...вопрос насколько качественно.
Если кто-то не согласен, то может высказать свою позицию в комментариях, а в остальном... it's up to you
О родственных связях или проба пера
Это первый пост. Пусть это будет, как означено в заголовке, некая проба пера. Не судите строго.
В бизнесе нельзя верить никому!!!
Ни брату, ни свату, ни маме с папой, ни любовнице, ни жене...никому. Это факт. Поверьте.
Предадут, обманут, начнут играть на чувствах и просить послабления, перевёрнут всё в угоду себе, но никак не вам. И вы будете плохим (и только вы).
Бизнес этого не приемлет. Это колоссальный риск! Ваш риск.
Все взаимоотношения со всеми вышеозначенными людьми (да и со всеми прочими, разумеется) подлежат юридическому оформлению. Если этого не сделать...винить в потерях можно только себя.
Договоры, расписки о получении денег (даже от мамы) , соглашения о намерениях (нотариально заверенные с детализацией ролей в бизнесе), совместное учредительство (ака ответственность). Только так. Это всё должно у вас быть.
Неудобно? Неловко? :)
Да, такие ощущения бывают.
Ну как же ...он (она, они) близкие люди, моё родное, я верю, не обманут.
Обманут!!!
Узнано и проверено опытным путём.
Ну а дальше...
It's up to you...
Пару слов подписчикам
У меня два инфоресурса: бесплатный канал и платный проект.
Я пишу для взрослых думающих людей, понимающих, что компетентность стоит денег.
В общедоступных статьях я отвечаю на вопрос — что?
Что такое трейдинг — искусство или наука?
Можно ли торговать против тренда и комбинировать торговые стратегии?
Чем профессионал отличается от инвестиционного шарлатана?
Обучающий материал структурирован по тематическим подборкам, например, «Уровни мастерства» или «Управление риском».
Подписывайтесь, читайте, думайте.
Здесь на Sponsr мы говорим на тему — как?
Это для тех, кому интересно детальное погружение в трейдерское ремесло, кто действительно хочет разобраться в биржевой торговле. Кто устал от кричащих новостей ни о чём и сказок про успешный успех. Всё на реальных примерах, с подробными схемами и пошаговыми разъяснениями.
Я беру подписчика за руку и веду его вслед за трендом.
Как тренды классифицируются по достоверности?
Как нужно размечать графики в торговом терминале и как вести трейдерский дневник?
Авторская аналитика, с которой я сам работаю.
Если вам это надо — присоединяйтесь — чтобы не оставаться с рынком один на один.
Масштабы мошенничества
Стратегия пассивного инвестирования: разные ПИФы в разных банках
Сейчас это один из самых интересных вариантов на рынке
«Уровни терпения»: ориентиры в рыночном хаосе
Цифры эти нужно держать в голове, чтобы не дёргаться, не жечь зря время и нервы
Risk-Based Approach to Vulnerability Prioritization by Health-ISAC
Основное внимание в документе «Health-ISAC: Risk-Based Approach to Vulnerability Prioritization» уделяется пропаганде более тонкого и риск-ориентированного подхода к бесполезно-полезной задаче управления уязвимостями. И всё это в мире, где количество уязвимостей настолько велико, что это может довести любого, кто попытается их все исправить, до нервного срыва. Решение видится «радикальным» и инновационным — расставлять приоритеты на основе реального риска, а не просто бегать, как безголовый всадник, пытаясь справиться с оценкой CVSS пока с неба падают апокалиптичные коты.
В документе признается абсурдность традиционного подхода «это надо было исправить ещё вчера», учитывая, что только 2–7% опубликованных уязвимостей когда-либо эксплуатировались. Это все равно что каждый день готовиться ко всем возможным стихийным бедствиям, а не только к тем, которые, скорее всего, обрушатся на ваш район. В документе представлен набор методов, в том числе EPSS и SSVC, которые призваны помочь организациям разобраться в хаосе уязвимостей со снайперской точностью (ну или обесточить всё).
По сути, документ представляет собой призыв к организациям принять более стратегический, целенаправленный подход, учитывающий такие факторы, как фактическая возможность использования уязвимости, стоимость активов, подверженных риску, и то, находится ли уязвимый объект в Интернете или скрывается за уровнями контроля безопасности. Документ в очередной раз пытается продать идею работать умнее, а не усерднее, в кибербезопасном эквиваленте бесконечной игры в тетрис, где кубики просто летят все быстрее и быстрее.
Ключевые выводы
Итак, давайте погрузимся в захватывающий мир управления уязвимостями. Если вы молодая организация, у вас может возникнуть соблазн устранить все критические и близкие к ним уязвимости с помощью системы оценки в выбранном инструменте сканирования. Это все равно что пытаться купить весь фондовый рынок в попытке диверсифицироваться.
Не всегда требуется пользоваться самые критичными уязвимостями; вместо этого набор из менее критичных уязвимостей могут объединить в цепочку эксплойтов, чтобы получить доступ к системам.
Документ напоминает, что также необходимо учитывать сетевое расположение «активов». Уязвимости и неправильные настройки всегда должны быть в приоритете, иначе вашей компании стоит обратиться к дизайнерам за неоновой вывеской приглашающей зайти в клуб повеселиться.
Также не будем забывать об игре в «Монополию», т. е. о стоимости активов, только вместо собственности вы имеете дело с активами организации. Если устройство, имеющее первостепенное значение для функционирования бизнеса или содержащее критически важную информацию, будет скомпрометировано, вас мало будут беспокоить остальное (поэтому уберите бутылку виски с кнопки DELETE).
В то же время, важно думать о снижении риска в случае применения уязвимости. В идеале — уязвимость должна сработать в песочнице и не оказать никакого эффекта на другие узлы и устройства. Так что нанимайте серьёзных ребят, которые будут яростно выкидывать железо из окон в качестве компенсационных мер.
Наконец, есть система оценки прогнозирования эксплойтов (EPSS) и классификация уязвимостей для конкретных заинтересованных сторон (SSVC). EPSS подобен хрустальному шару, предсказывающему вероятность того, что уязвимость будет использована в реальности. SSVC, с другой стороны, подобен персонализированной дорожной карте, ориентированной на ценности, включая статус использования уязвимости в системе безопасности, её влияние на неё и распространённость затронутых продуктов.
Такой подход позволяет высвободить больше времени и на другие задачи и проблемы организации ну, или же, весело провести время на американских горках.
Подробный разбор
Как распознать липовую доходность?
Дикие анонимные проценты - безошибочный маркер
Убивая здравый смысл
Перфекционизм как враг трейдера
Совершенство в условиях неопределённости объективно невозможно
Разориться по учебнику
Учимся читать аналитику
Нужно понимать, куда аналитики толкают рыночную толпу, чтобы пойти против
Восстание зубных щёток
Риски новых технологий в трейдинге часто перевешивают сомнительную пользу и комфорт
Врачи, эксперты, аналитики
Про похвальное недоверие и не только
Зачем торговать по часам?
Модные приблуды не упрощают торговлю
Проклятие открытой позиции
О падающих акциях "Боинга" и не только
От блюза до трейдинга
Занимаясь второстепенным (аналитикой), не забывайте о главном (управление открытой позицией)
Обновления проекта
Статистика
Поделиться
Метки
Фильтры
Подарить подписку
RSS ссылка
Используйте ссылку в приложениях для аудио-подкастов или RSS-каналов, таких как Apple Podcasts, Castbox, Overcast, Feedly и другие.
Копировать ссылку