Текст книги "Журнал "Компьютерра" №748"
Автор книги: Компьютерра Журнал
сообщить о нарушении
Текущая страница: 3 (всего у книги 7 страниц)
МЫСЛИ: Ворьё моё
Автор: Дмитрий Мартынов
Воровство и коммерция – ровесники. Первый в истории купец наверняка не успел еще продать свой первый товар, как у него уже что-то украли. И с тех пор коммерсанты пытаются бороться с хищениями. С переменным успехом.
Невзирая на успехи технического прогресса, благодаря которым руководитель может контролировать чуть ли не каждый вздох своих подчиненных, внутреннее воровство, как и прежде, остается для многих работников, может, и не основным, но значительным источником дохода. Инструменты выявления и пресечения воровства если и работают, то обходятся зачастую дороже возможных убытков: внутренняя служба безопасности, внешний аудит, штатные психологи, автоматизация учета, системы прослушивания, видеокамеры, детекторы лжи – все это очень и очень недешево.
Теоретически принципиальный директор может, конечно, победить воровство, но во многих случаях это будет пиррова победа. Значит ли это, что с воровством нужно смириться? Конечно, нет.
Игнорирование хищений в модели управления компанией приводит к фатальной ошибке модели. Если воровство невозможно победить, воровством нужно управлять.
Попустительство воровству
Может ли воровство принести пользу, если крадут у тебя? Как бы ни был очевиден отрицательный ответ на этот вопрос, во многих случаях жизнь оказывается сложнее. Любая транзакция – если не считать неожиданного визита специалистов из ОБЭП – в условиях неопределенного будущего несет в себе как отрицательные, так и положительные свойства. Например, официальная продажа товара со склада (положительная ситуация) уменьшает остатки товарного запаса, что уменьшает вероятность следующей – возможно, более выгодной – сделки (отрицательный результат). Попробуем рассмотреть плюсы и минусы внутренних хищений на примере.
Допустим, в нашей компании есть специалист, который занимается организацией рекламных мероприятий. Работа непростая, творческая. От него требуется придумать акцию, подготовить ее, выбрать место и время, договориться со всеми заинтересованными и не очень заинтересованными участниками. И специалист справляется. Возможно, работает он не идеально, но нас его работа устраивает. Работает он без срывов, мероприятия проводятся, продажи растут. И, что важно, не жалуется на небольшую зарплату. Это, кстати, вовсе не означает, что он ворует – мотивы у людей бывают самые разные. Но предположим, что этот конкретный специалист получает откаты при закупке материалов и услуг, а нам об этом известно из достоверных источников. Вред для компании очевиден. Рассмотрим плюсы.
1. Специалист зарабатывает деньги, которые недоплачиваем ему мы. Какие именно деньги – это еще вопрос, но об этом позже.
2. Специалист мотивирован делать свою работу хорошо. Если он перестанет справляться, то его уволят, какая бы зарплата у него ни была. Если станет работать хуже начальство (то есть, мы), не дай бог, заинтересуется деталями.
Стоит ли увольнять такого сотрудника или лучше оставить ему возможность воровать? Или предупредить его, что нам все известно? Из трех возможных вариантов самым полезным является четвертый: следует частично закрыть возможность получать крупные откаты, то есть пресечь воровство, заметное в масштабах компании. Можно ввести систему тендеров на крупные заказы. Или явно указать поставщиков, у которых следует производить закупку. Но закрывать все лазейки нельзя. Нам ясна мотивация сотрудника, а значит, вероятность его ухода (отрицательное событие в контексте стабильности компании) не высока.
Нужно ли сообщать сотруднику, что он "под колпаком"? Конечно, нет. Никакой пользы от этого не будет, а вот нервозность обстановки повысится. Такой сценарий годится только для начальника, который и сам не прочь "войти в долю". Нам же, поскольку мы обсуждаем процессы с точки зрения пользы для компании, важно повышение управляемости.
Никакого специального термина для снисходительного подхода к хищениям человечество пока не придумало, хотя миллионы начальников делают вид, что не замечают отдельных особенностей рабочего процесса. Для упрощения дальнейшего обсуждения я предлагаю называть такое отношение менеджментом попустительства воровству, indulgence management.
Пять китов попустительства
Indulgence Management успешно освоили во многих компаниях. Один из знакомых бизнесменов рассказал мне, что при ежегодной инвентаризации на складе обнаруживается излишек товара на полмиллиона, и это только то, что кладовщик спрятать не успел! Почему же кладовщика до сих пор не уволили? А увольнять не за что: кладовщик исполнительный, клиенты довольны, на складе порядок.
Я пока не имел возможности изучить в достаточной мере бизнес-процессы в Европе и США, но отрывочные сведения из разных источников убедили меня, что эти механизмы негласно, но активно практикуются и там.
Это явление имеет пять отличительных особенностей. Первая – психологическая.
Мотивация воровством более глубокая, так как помимо очевидной финансовой составляющей повышает чувство самореализации сотрудника и наполняет его кровь адреналином. Правильная схема оплаты труда может создать у сотрудника ощущение, что он работает на себя. Но сотрудник, получающий откаты, автоматически получает уверенность, что работает не на хозяина.
Вернемся к нашему примеру. Когда мы частично ограничили сотруднику возможность получения откатов, в наших отношениях появился игровой элемент: мы закрываем лазейки, он ищет новые. Мы заставляем его двигаться дальше – и не исключено, что это движение принесет в конечном счете пользу компании. Пользу, сравнимую или даже превышающую возможные потери от воровства.
При этом важно, что мы именно попустительствуем воровству, а не явно разрешаем его. Официальная индульгенция расхитителям это нонсенс, информация о ней развратит коллектив: начнется тотальное воровство, а фирма в итоге развалится. Когда мы просим нашего сотрудника закупать товар именно у конкретной компании "Очень хорошие товары, Inc.", то делаем это не из недоверия, а потому, что у компании "Очень хорошие товары, Inc." дешевле.
Третья особенность indulgence management это контроль. Сотрудник не знает о том, что мы знаем о его "оптимизационных схемах". Если размер принесенных им убытков незначителен, то лучше не обращать на них внимания – у работника не будет причин лишний раз прятаться, а значит, мы сможем и дальше отслеживать его деятельность на этом поприще.
Самый сложный вопрос – оценка прибылей, убытков и рисков. Многие последствия наших решений непросто оценить в деньгах. При увольнении работника, проводящего рекламные мероприятия, мы можем примерно прикинуть, в какую сумму нам обойдется поиск нового. А вот оценить недополученную прибыль за период, когда рекламные мероприятия не проводились, уже труднее. Во сколько обойдется восстановление доли рынка – тоже. Так же не всегда возможно точно оценить объем откатов. Но это вопрос баланса должностных полномочий. Чтобы терпеть ворующего менеджера, нужно, чтобы польза, которую он приносит, наверняка была больше того, что он может украсть. Давая ему необходимые рычаги управления, мы делимся с ним небольшой частью своего бизнеса, но решаем для бизнеса большую и важную задачу.
Так что пятая тонкость – это соблюдение базовых принципов управления. Если мы указываем сотруднику другого поставщика, мы забираем у него рычаги управления, которые необходимы ему для реализации поставленных задач. И если завтра мы обнаружим, что намеченное мероприятие сорвалось, потому что компания "Очень хорошие товары, Inc.," не выполнила своих обязательств в срок, то виноват будет не сотрудник. Да и не будем же мы каждый раз решать за него задачу выбора поставщика?
Это нарушает главный принцип управления – делегирование полномочий (что незамедлительно скажется на результате). И нужно понимать, что одновременно с правом принятия решений сотрудник получает возможность этим правом злоупотреблять.
Глупый или ленивый сотрудник это право растеряет, не добившись нужного результата. Опытный же принесет пользу компании.
А может быть, и себе заодно.
Вопрос о том, кому полномочия дают, а кому нет, наглядно иллюстрирует спор между менеджером и руководителем, который мне довелось наблюдать:
– Он ходит с клиентами по ресторанам за счет фирмы и поэтому продает в пять раз больше...
– Нет, он продает в пять раз больше, поэтому и ходит с клиентами по ресторанам.
Крупный и мелкий бизнес
В чем причина популярности принципа попустительства воровству? В его низкой стоимости. Часто такой подход не требует дополнительных действий и затрат, кроме внимания к своим подчиненным. О том, что сотрудник получает левый доход, можно узнать не прибегая к специальным средствам – легко, например, проанализировать цены закупки материалов или задуматься о том, почему сотрудник не готов переводиться на более легкую работу с более высокой зарплатой. А дальше требуется не действие, а бездействие.
Кроме того, на популярность методы повлияли ошибки управления. Если руководителю определенного звена не выдают необходимых полномочий, он не может адекватно поощрять или наказывать своих сотрудников, если не открывает для себя заманчивых перспектив indulgence management. Все прочие альтернативы – подавление авторитетом или микроменеджмент вплоть до "сяду и сделаю сам" – в долговременном плане или трудно реализуемы, или самоубийственны.
В крупных компаниях со сложной организационной структурой происходит парадокс субординации, когда начальник, допускающий такое поведение своих подчиненных на пользу дела, в результате сам подпадает под подозрение. Так что метод попустительства воровству эффективен и безопасен, когда его применяют на верхних уровнях управления, если генеральный директор (а еще лучше – владелец бизнеса) знает всех ответственных сотрудников в лицо и лично держит их под контролем.
Особенно эффективно такая система используется в малом и среднем бизнесе, где верхний уровень управления является единственным значимым. Тем более что крупные компании готовы тратить деньги на оптимизацию бизнес-процессов и сложных управленческих схем, а у малого бизнеса таких денег нет.
Часто используется indulgence ma nage ment при открытии региональных филиалов. Во многих регионах воровство настолько укоренилось, что пытаться извести его – бессмысленно. Это заложено чуть ли не в генах. Такой уровень толерантности к хищениям тоже, в принципе, преодолим – глубокие перемены в обществе на протяжении многих лет могут изменить отношение местных жителей к работе.
Однако у нас нет задачи изменить менталитет целого региона. Мы хотим создать филиал, который займет свою долю рынка и будет приносить прибыль.
Мы создаем бизнес-структуру и нанимаем специалистов. Первое время филиал работает в убыток – хорошо, мы наводим порядок и ликвидируем лазейки для "вредного" воровства. Филиал начинает приносить прибыль. Но как только мы закрываем последнюю возможность получения левых доходов (особенно для руководства филиала), филиал не только перестает развиваться, он полностью замирает. И даже если уволить всех сотрудников, найти других, поднять зарплаты, ввести разумные схемы мотивации, то… ничего не изменится.
Подбиваем итоги
Многие воспринимают воровство как однозначное зло. Но это объективное явление бизнеса. Можно, конечно, бороться с тем, что река течет – вода куда-то утекает, а ее, допустим, жалко. Но полная остановка течения приведет к катастрофе.
Плоха и другая крайность, когда вопрос пущен на самотек. Нужно определить, на каких рабочих местах коррупция допустима, а на каких – нет, поскольку, например, отрицательно влияет на имидж компании.
А дальше – набирать персонал, исходя, в том числе, из его склонности к "левым доходам". Можно мониторить конкурентов, используя открытую информацию: где практикуется indulgence management, где нет, а при приеме сотрудника смотреть, в компаниях какого типа он успел поработать. HR-менеджеры многих компаний добавляют в анкеты косвенные вопросы, по которым можно оценить склонность сотрудника к воровству – и далеко не всегда эта склонность является отрицательным качеством.
Юридические риски руководства, которое частично управляет сотрудниками таким нетрадиционным образом, отсутствуют.
Менеджер не знает, что его махинации под контролем. Зачастую трудно доказать воровство менеджера, а доказать, что еще и руководство было в курсе, почти невозможно. Но даже если и было, что это меняет? Руководство не получало от этого прямой материальной выгоды, а значит, и доказывать бессмысленно. Едва ли статья, которую вы сейчас читаете, может быть использована в суде как доказательство наличия мотива. Кстати, именно недоказуемость причастности руководства к воровству на местах является причиной распространения коррупции в вертикали власти.
Я не ратую за узаконивание воровства.
Я принципиально против использования указанной методики в госструктурах. Но частный предприниматель служит не народу, а себе, и никому ничего не должен.
Так что позвольте у себя украсть. И вам вернется сторицей.
РЫНКИ: В погоне за идеальным антивирусом
Автор: Александр Бумагин
Недавно «Доктор Веб» последовал примеру компаний Panda и Trend Micro и решил больше не участвовать в авторитетном рейтинге антивирусов Virus Bulletin. Напомним, что в начале года на конференции в Бильбао создатели антивирусов учредили организацию AMTSO (Anti-Malware Testing Standards Organization) и заявили о необходимости стандартизации тестирования средств защиты от вредоносных программ. Означает ли это, что существующие независимые тесты никуда не годятся?
Спрашивать об этом самих тестеров было бы нелепо, а потому мы обратились за разъяснениями в антивирусные компании. Директор по исследованиям и разработке Лаборатории Касперского Николай Гребенников объективными считает av-comparatives.org и avtest.org, ведущий технический консультант из Symantec Рамиль Яфизов предпочитает Virus Bulletin, а директор компании «Доктор Веб» Борис Шаров ко всем «проверяющим организациям» относится со здоровым скепсисом, хотя и признает их влиятельность: «мнение ведущих тестеров – Virus Bulletin, немецкой лаборатории avtest.org и австрийской av-comparatives.org Андреаса Клементи – это путевка в жизнь для одних и приговор для других». Выходу «Доктора Веба» из рейтинга Virus Bulletin предшествовало несколько строгих приговоров: если верить VB, то с декабря прошлого года Dr.Web показал неудовлетворительные результаты в четырех сравнительных тестированиях подряд.
Впрочем, без пиетета Шаров относится и к остальным тестерам. По его мнению, раз уж антивирусные компании предоставляют свои продукты на растерзание, то вполне резонно ожидать не только результатов, но и подробностей об условиях, в которых проходило тестирование, а это, увы, случается далеко не всегда. А когда тестеры раскрывают методологию, то к ним возникает множество дополнительных вопросов. К примеру, Андреас Клементи из av-comparatives.org всегда присылал пропущенные антивирусом во время тестирования файлы, однако "часть этих файлов относится к так называемым неподтвержденным вирусам – в них имеется испорченный или ошибочный, но совершенно безопасный вирусный код". Какие-то антивирусы на эти файлы реагируют, продолжает Шаров, какие-то нет, но ведь "речь идет о детектировании опасности!" Конечно, тестеру трудно самостоятельно проверить 800 тысяч файлов, для этого нужно слишком много ресурсов, тем не менее на этой непроверенной базе составляется рейтинг, который, так или иначе, влияет на выбор пользователей. О том, что Клементи собирается брать с производителей антивирусов деньги за тестирование, Шаров говорит с улыбкой: "По-нашему, независимый тестер должен быть независим от тех, кого тестирует".
В компании Symantec ничего страшного в "безопасных вирусах" не видят. "Мы считаем, что программа антивирус должна отлавливать такие файлы, – говорит Яфизов, – поскольку дело не только в опасности файла. Важно и то, как он был заражен или испорчен вирусом – такая информация позволит проследить распространение вируса". Ситуацию же с платными независимыми тестами "Доктор Веб" и Symantec расценивают одинаково: от кого получаешь деньги, от того и зависишь.
У Лаборатории Касперского своя позиция. Гребенников согласен с Шаровым в том, что коллекции для тестов должны подбираться более ответственно, но против денежных претензий тестеров не возражает: "Тестирование требует времени и ресурсов, и вендоры, понимая это, по большей части готовы платить за проведение тестов. Подчеркиваю: не за результаты, а за процесс".
Николай Гребенников, лаборатория Касперского
О недостатках нынешних тестов
– Существует много методов динамической защиты, которые практически не рассматриваются независимыми тестирующими лабораториями. И дело не в том, что кто-то этого не понимает, а в том, что процесс подготовки и проведения тестов очень трудоемок. Практика тестирования должна соответствовать практике научного эксперимента. Любой человек должен иметь возможность, взяв исходные данные, повторить тестирование. Коллекцию, на которой тестируются программы сейчас, никто не готов предоставлять.
Методики тоже непрозрачны. Закрытость тестирования сама по себе всегда будет вызывать недоверие.
Об Amtso и будущем
– После того как AMTSO выработает общие для всех методики, тестовые лаборатории, входящие в эту организацию, как мы надеемся, начнут их применять. Перед лабораториями, не входящими в AMTSO, двери никто не закрывает. Журналистам и другим заинтересованным сторонам вне отрасли будут предложены упрощенные процедуры и методы, которые можно использовать для не слишком трудоемких тестов. Эти тесты не будут всесторонними, зато ограничения в процедуре будут четко обозначены и одинаковы для всех. И результаты тестов будут одинаковы. То, что сейчас творится с результатами, порой просто фантастика…
О том, пишут ли вирусы сами антивирусные компании
– Даже если не брать во внимание этическую сторону этого вопроса, вирусов, ежедневно появляющихся в интернете, более чем достаточно, чтобы не думать о написании своих. Доказать непричастность мы не можем. Впрочем, специалисты в таких доказательствах и не нуждаются.
Эпидемия всегда имеет источник. Практика борьбы с вирусом всегда предполагает и отслеживание этого источника. Представьте, что будет, если наш конкурент раскрутит ниточку, которая приведет его в Лабораторию Касперского. Компанию можно будет закрывать. Ни мы, ни наши коллеги не станем писать вирусы хотя бы из-за репутационных издержек. Именно поэтому мы очень тщательно проверяем биографии всех новых сотрудников, и, если выясняется, что человек в прошлом имел отношение к написанию вредоносного кода, то он в Лаборатории работать не будет.
Никому не выгодно?
В самом деле, откуда тестерам брать деньги на свое нелегкое дело? Заинтересованными должны быть крупные компании и правительства, считает Шаров, так как они больше других страдают от необъективности тестов.
Яфизов приводит в качестве примера модели для бизнеса все ту же лабораторию Virus Bulletin и издаваемый ею одноименный журнал. По мнению Гребенникова, за тесты продукта не должен платить потребитель – это вообще не принято ни в одной отрасли.
Однако провести грань между деньгами за тестирование и деньгами за результат иногда непросто. Подкуп может мерещиться даже там, где никакой мзды не просят вовсе, во всяком случае, все три наших собеседника имеют подозрения в нечистоплотности того или иного независимого тестера.
Позиции всех трех компаний близки и в том, что большая часть имеющихся тесто себя изжила. "Разные продукты обеспечивают защиту компьютера разными методами, – говорит Гребенников. – При их тестировании нужно проверять все подсистемы, которые обеспечивают защиту, а не опускаться до простой констатации того, кто сколько вирусов пропустил. Важно и детектирование, и уровень ложных срабатываний, и производительность, и самозащита программ". Гребенникова заочно дополняет Яфизов: "Пожалуй, нужно уходить от чистого тестирования на предмет вылавливания вирусов и двигаться в сторону проверки комплексных решений.
Ограничиваться прогонкой списка файлов нельзя уже очень давно".
Подводя промежуточный итог, можно нарисовать следующую мрачную картину. Те авторитетные тесты, в которые хоть кто-то верит, далеки от идеала. Все согласны, что методология тестов должна быть четкой и открытой. Тестирование требует значительных усилий и материальных затрат, а раз в деле замешаны деньги, то при желании в работе тестера можно всегда разглядеть руку и кошелек конкурента. По вопросам финансирования тестеров вендоры не единодушны, как и в подходе к методикам тестов. Но, может быть, методологией нас вскоре снабдит Anti-Malware Testing Standards Organization?
Рамиль Яфизов, Symantec
О ситуации с тестированием
– Существуют лаборатории, так или иначе связанные с конкретным производителем антивируса, но неспециалисту порой трудно это понять. В обзорах частенько используется тот тест, который выгоден заказчику, – таков маркетинг. Это очень большая проблема – склеенную подобным образом рекламу со ссылкой на авторитетного тестера пользователь съест за милую душу.
О том, как выбрать антивирус
– Нужно посетить (виртуально, конечно) несколько лабораторий, называющих себя независимыми; может быть, найти рейтинг лабораторий, почитать отзывы. Иногда, правда, рейтинги берутся с форумов, и это тоже больной вопрос. Маркетинг через форумы – явление распространенное.
О независимости тестов
– Мы хотели бы, чтобы лаборатории были независимыми. Если есть спонсорство со стороны заинтересованной компании, то кто ж поверит таким тестам? Даже если какая-то лаборатория возьмет со всех участников тестов, скажем, по сто долларов, все равно такое "независимое" тестирование будет некорректным, поскольку предполагает исключение тех, кто не заплатил.
Пусть лаборатория, претендующая на независимость, упрочивает собственную репутацию, раскручивает свой брэнд и находит деньги не в кармане вендора, а продавая информацию о своих тестах пользователям и СМИ.
О том, что производители антивирусов вирусы не пишут
– Это извечный вопрос, который задается с первого появления антивирусных программ. Но количество нового вредоносного кода таково, что даже крупная компания, во-первых, полностью загружена по отлову заразы и написанию "противоядий", а, во-вторых, физически не способна все это произвести. Но и это не главное. А главное – это то, что ни мы, ни другая, уважающая себя компания, не стали бы рисковать всем, включая само существование фирмы, ради непонятно чего.
Amtso и стандарты
«Ничего нельзя сделать. Кардинально сейчас ничего не меняется. Есть тестеры с высокой репутацией, появляются и новые компании, которым заслужить репутацию непросто», – отвечает Яфизов на вопрос о том, можно ли создать тест, который устроит если не всех производителей, то подавляющее большинство.
Шаров (отказавшийся комментировать непосредственно инициативы AMTSO) в принципе смотрит на проблему независимости тестов с пессимизмом, констатируя, что он не знаком с тестерами, финансируемыми не антивирусными компаниями. Гребенников же полагает, что AMTSO поможет решить проблемы с непохожими друг на друга тестами; более того, первый тест на общих принципах (пока не выработанных) появится уже в конце следующего года. "В мире пока нет единого центра, который бы мог тестировать все системы защиты. Когда объединяются столько разных компаний, – говорит Николай, – проблем не избежать. Я считаю, что дело на месте не стоит, вопросы обсуждаются, позиции сближаются. Конечно, если есть сорок компаний и десять из них с чем-то не согласны, то решение будет приниматься оставшимися тридцатью". Впрочем, Гребенников тут же добавляет, что главная проблема заключается в том, что процесс тестирования крайне трудоемок, организовать и провести его крайне сложно.
В том, что даже появление тестов AMTSO ситуацию вряд ли изменит, сомнений почти нет. Парадоксально, но сегодняшняя ситуация худо-бедно устраивает почти всех производителей и тестеров, тогда как единый и общепринятый стандарт в области тестирования антивирусов никому, в общем-то, не нужен – ни тестерам, поскольку для проведения тестирования по чужим лекалам вполне хватит одной-единственной компании, ни производителям, поскольку сегодняшняя анархия обеспечивают какую-никакую свободу маневра: если результаты теста производителю не по вкусу, он всегда может обвинить тестера в необъективности и отказаться от участия в дальнейшем тестировании.
Так что, даже если случится чудо и на какое-то время индустрия поддержит AMTSO, согласие продлится недолго – спрос на альтернативные решения очевиден, а значит, на рынке довольно скоро появятся не зависящие от AMTSO и ее стандартов тестовые лаборатории.
И все начнется сначала.
Борис Шаров, «доктор веб»
О работе тестеров
– Антивирусная компания ежедневно перелопачивает груды вирусов, делает нужное обществу дело, спасает людей. А тестеры на этом паразитируют. Какая от них польза?
О подходах к тестированию
– Когда один антивирус сравнивают с другим, разговор переходит к абстракциям.
Как провести тест? Первое, что приходит на ум: посмотрим, как программы детектируют вирусы. Этим почти все и занимаются. Но как отобрать сэмплы для тестирования? Ведь всегда можно подобрать коллекцию под конкретный антивирус, что открывает широкие возможности для обеления избранных! Поэтому мы считаем, что целесообразнее говорить о том, кто из нас хуже остальных.
О том, выгодна ли индустрии победа над вирусами
– Думаете, не выгодна? Но такое можно сказать про любых поставщиков безопасности. Врачи распространяют грипп, пожарные занимаются поджогами. Все мы паразитируем на бедах людей. Но если серьезно: то, с чем мы боремся, это криминальная индустрия без конца и края. С ней не справиться, как не справиться с наркотиками.Никогда. По крайней мере, пока не изменится человеческая мораль.