Я тут в LinkedIn наткнулся на статью, в которой обсуждаются различия между валовой прибылью (gross margin) и операционной прибылью (operating margin) в публичных компаниях, занимающихся кибербезопасностью. Автор объясняет, что большинство продуктов, таких как DNS Security по модели SaaS или подписочные сервисы типа Threat Intelligence, имеют низкие затраты на производство, что положительно сказывается на валовой прибыли. Например, для CrowdStrike, с увеличением продаж, себестоимость решения практически не меняется и, в какой-то момент времени равна условной стоимости CD-ROM, на котором распространялся бы софт, если бы еще использовался такой способ доставки ПО.
У сервисных ИБ-компаний немного иная математика — там, наоборот, низкая валовая прибыль и высокая операционная.
Однако операционные расходы (исследования и разработка, продажи и маркетинг и административные расходы) сильно влияют на операционную прибыль. Исследования и разработка (R&D) связаны с созданием и улучшением программного обеспечения, что является основным направлением деятельности многих ИБ-компаний, но эти затраты не учитываются при расчете валовой прибыли и попадают в категорию операционных расходов. Другим примером могут служить маркетинговые затраты на выставки и мероприятия, поддержание офисов, которые также относятся к операционным расходам.
Помните, что любая ИБ-компания — это в первую очередь бизнес, а потом уже ИБ. И оценивать компанию надо не только по ее продуктам, но и по ее финансовым показателям, чтобы не остаться у разбитого корыта, когда компания не сможет ответить по всем своим обязательствам — перед клиентами, перед сотрудниками, перед кредиторами, перед акционерами…
И хотя с увеличением объема продаж и масштабирования бизнеса такие затраты должны снижаться относительно доходов, ИБ-компании в массе своей пока не достигли высокой операционной эффективности. Это контрастирует с другими технологическими гигантами, чья операционная маржа составляют около 20%. Обратите внимание на график — из «чистых» ИБ-компаний эффективно работает всего несколько компаний — остальные работают «в минус». К слову сказать, у Positive Technologies, также публичной ИБ-компании, операционная маржинальность по итогам 2023 года составила составила 36%.
Операционная маржинальность компаний по ИБ
С одной стороны отрицательная операционная маржинальность еще не означает, что все плохо. Автор статьи утверждает, что многие компании часто делают сознательный выбор, инвестируя в рост и лидерство на рынке, что должно помочь в будущем достичь экономики масштаба и улучшить их финансовую эффективность. Однако на это потребуется время, и не все компании смогут достигнуть таких результатов.
Например, BlackBerry недавно объявила о сокращении инвестиций в купленное в 2019-м подразделение Cylance, сосредоточив усилия на более прибыльных направлениях. Несмотря на это, компания продолжит развивать технологии искусственного интеллекта и кибербезопасности, но с меньшим бюджетом для Cylance. Это решение связано с тем, что подразделение не оправдало ожиданий в части роста прибыли. BlackBerry планирует перераспределить ресурсы в другие, более перспективные направления, что позволит компании улучшить свои финансовые показатели и укрепить позиции на рынке, но явно не на рынке ИБ. А вот тот же Amazon «выстрелил» после долгих лет убытков и инвестиций в свой рост. Аналогичная история может быть и у Cloudflare, которая пока работает также себе в минус, но на долгой дистанции может отыграться; тем более, что они явно описывают свою стратегию роста и почему она такая.
Помню, на одной из РусКрипто, в году этак 2010-м или около того, я выступал с презентацией на тему «Где вам вендора по ИБ врут». И один из первых мифов, который я развенчивал, был «Компании по ИБ спасают мир». На самом деле их задача зарабатывать деньги, а потом уже спасать мир. И если денег не хватает, то и мир спасать не на что. После этого выступления гендиректора двух российских ИБ-вендоров даже писали гневное письмо вице-президенту Cisco и требовали распять меня за подрыв доверия к отрасли ИБ.
В статье подчеркивается, что слияния, переход к платформенным решениям и управление расходами могут со временем улучшить финансовые показатели отрасли, хотя это будет происходить постепенно и не сразу. Но в целом, следить за реальным финансовым положением ИБ-компаний достаточно интересно — можно всякие разные выводы делать, что полезно, когда ты также работаешь на международных рынках и бьешься с грандами ИБ за место под солнцем.
Для быстрорастущих компаний рентабельность и маржинальность может и не быть показателем здорового бизнеса, так как потребность в больших инвестициях может искажать цифры. Но вот для стабильных компаний эти показатели уже достаточно важны и на них можно ориентироваться.
Да и для CISO это тоже полезное занятие — можно научиться понимать первые признаки рецессии в компании или ее стратегию развития. Ведь в отличие от того же Amazon или Cloudflare с их диверсификацией, на рынке ИБ жесточайшая конкуренция и ресурсов на игру в долгую у многих просто нет. Некоторые ИБ-компании осознанно выбирают стратегию быть проданными и поэтому фокусируются не на развитии своих продуктов, а на пене вокруг них — агрессивный маркетинг, крутые стенды, PR-туры и т.п.
В статье «Правило 40: как стартапам балансировать между ростом и доходностью» говорится об интересной метрике по оценке компаний — «правиле 40«, которое звучит как «сумма годового роста компании и ее маржинальности не должна быть меньше 40%». Из этого, как и любого другого, правила есть исключения (это же не аксиома), но оно позволяет оценить перспективность компаний по сбалансированному показателю «рост-рентабельность»
Вот так выглядит часть списка ИБ-компаний по «правилу 40». Только две компании находятся в положительной зоне (PT в списке нет по понятным причинам, но у нас сумма % роста и маржинальности приближается к 150), остальные балансируют в расчете на то, что их рост даст им возможности в будущем. Некоторые компании, типа SentinelOne, могут и не дожить до этих светлых времен или будут проданы и их настигнет судьбы CarbonBlack, Cylance и т.п.
Правило 40 для публичных ИБ-компаний
В России, да и на всем постсоветском пространстве, это все не так интересно, так как у нас только одна публичная ИБ-компания (да, это Positive Technologies), публикующая свою отчетность. Но сам процесс изучения финансовой отчетности достаточно занятен, так как не только позволяет понять, в кого из ИБ инвестировать (а у нас все-таки, если посмотреть на свежий отчет Центра стратегических исследований и разработок по российскому рынку ИБ, еще присутствуют иностранные вендора), но и лучше разбирать в том, как и чем живет бизнес. А это для современного ИБшника знания из разряда «must have«.