La gestión de riesgos nos ayuda todos los días. Cuando cruzamos la carretera, nuestra red neuronal natural evalúa la situación, estima la velocidad de un conductor de taxi que desgarra violentamente la luz amarilla, determina la probabilidad de romper una clavícula al caerse del capó de un automóvil y ofrece una medida para minimizar el riesgo: espere cinco segundos y solo luego avance. El manejo de amenazas está integrado en nuestros genes, incluso si generalmente lo llamamos de manera diferente.
Pero vale la pena hablar de "riesgos" en una sociedad decente, los interlocutores comienzan a hablar de inversiones, una cartera de préstamos, métodos de asignación de capital bancario y pruebas de estrés: todo se trata de alguna manera de las finanzas. Sí, los bancos fueron pioneros en la aplicación de técnicas avanzadas de análisis de riesgos. Sin embargo, los riesgos no son solo sobre el dinero.
La gestión de riesgos es una disciplina de gestión universal que se aplica en cualquier proceso en el que sucede algo, hay algún resultado esperado y existe la posibilidad de que no lo obtengamos. En pocas palabras, casi siempre y en todas partes. Y en el trabajo de los organismos gubernamentales, también.
¿Por qué debería el gobierno participar en la gestión de riesgos?
Gestionar los riesgos, desde el punto de vista de la agencia estatal, significa detectar la amenaza a la seguridad de los ciudadanos o las cosas establecidas por la ley a tiempo y eliminar este peligro. O al menos reducir el daño colateral: los mismos terremotos son inevitables, pero si obtenemos el pronóstico a tiempo, podemos evacuar a la población, bloquear las carreteras y sacar el equipo.
Los riesgos en el sector público y las empresas son algo similares: estas son algunas amenazas que deben ser encontradas y eliminadas. La diferencia fundamental entre la gestión de riesgos en el sector comercial y el gobierno son las medidas tomadas. Una empresa puede abandonar las actividades asociadas con el riesgo, pero el estado no.
Suponga que a un banco no le gusta un futuro prestatario hipotecario: solicitó a varias instituciones financieras a la vez, venció un pago con tarjeta de crédito por 3 días y parece desordenado. Un banco puede negarse a otorgar un préstamo a una persona sin dar razones. Simplemente no involucrarse en el riesgo de la deuda.
Si al servicio de impuestos no le gusta el futuro director general de la compañía, pero formalmente todo está bien con los documentos y no hay motivos legales para el rechazo, entonces el servicio de impuestos debe registrar una entidad legal. Incluso si todo indica que este es un futuro "de un día", y su líder ayer "reescribió" su compañía anterior a un abuelo de la aldea con una cabra. El estado solo puede observar el comportamiento de una organización sospechosa e intentar atrapar al infractor a tiempo para la evasión de impuestos.
Así es como se ve. Imagínese: usted es el propietario de la empresa y debe contratar a cada solicitante con un currículum que corresponda formalmente a la vacante. Incluso si comprende por su perfil psicológico que destruirá al equipo con sus intrigas, no trabajará normalmente y eventualmente sacará la mitad del equipo de la oficina. Queda por observar, colocar los torniquetes en los lugares correctos, cerrar los gabinetes con un candado y verificar regularmente si todo está en orden.
Puede ser desagradable para el resto de sus empleados, amable, trabajador y honesto. Tendrán que soportar las cámaras de vigilancia y restringir su libertad. Esta es la realidad del sector público: el Ministerio del Interior, el Ministerio de Emergencias, aduanas, impuestos y todas las instituciones con las palabras "control" o "supervisión" en el nombre. A menudo revisan a todos para encontrar a los pocos que violan la ley. Para aquellos que no se rompen, es doloroso. Y para las agencias gubernamentales, largas y caras.
En un mundo paralelo, casi todos los ciudadanos u organizaciones saben casi todo, hay muchos agentes de la ley y pueden teletransportarse. En un mundo así, la gestión de riesgos no es necesaria: cada elemento sospechoso, persona u organización se puede verificar en cualquier momento. Y nadie toca a ciudadanos respetables.
En nuestro mundo, esto no es así: no hay suficientes empleados, equipos, tiempo. Hay muchos objetos de control, pero poca información sobre ellos. Tenemos que exprimir al máximo los datos disponibles e intentar encontrar a los infractores antes de que migren a la región vecina o incluso a otra jurisdicción. Y las personas y empresas honestas sufren de un control excesivo.
Gestión de riesgos: de esto se trata: cómo distribuir correctamente los recursos de la organización en condiciones de incertidumbre, reducir las pérdidas improductivas de dinero y tiempo. Y como estamos hablando del control estatal, menos para atraer a quienes están limpios ante la ley.
En el lenguaje de los cuadrados, separe el grano de la paja:
¿Qué tiene que ver SAS con eso?
Si es necesario, los empleados de SAS se sumergen en el área temática del cliente, reconsideran sus enfoques para trabajar con el cliente y ayudan a mejorarlos. Después de varios proyectos en Rusia y el mundo, formulamos el concepto de un enfoque analítico basado en el riesgo en las actividades de control y supervisión. Esto es cuando el estado no pierde tiempo y dinero en vano, sino que se involucra en aquellos que son más peligrosos para la sociedad o, como es costumbre decir, "valores protegidos por la ley". Las tecnologías de aprendizaje automático ayudan en esto.
Como el
director de preventa Julius Goldberg señaló correctamente
en su artículo , SAS analizó los datos antes de que se pusieran de moda. También abordamos los métodos de evaluación de riesgos para las necesidades de los organismos estatales mucho antes del inicio de la reforma actual de las actividades de control y supervisión en Rusia, en cuyo marco está previsto introducir un enfoque basado en el riesgo en todas partes.
Hablamos en conferencias y seminarios en varios niveles sobre cómo la gestión de riesgos basada en análisis ayuda a la máquina de estado a trabajar de manera más eficiente. Es genial que el gobierno haya escuchado a la comunidad empresarial, no tan importante como nosotros o nuestros colegas, y haya decidido comprometerse seriamente a mejorar el control estatal, incluida la gestión de riesgos como uno de los
proyectos de reforma prioritarios .
Las principales disposiciones de la reforma se cruzan con nuestra visión, que se basa en la experiencia internacional.
Citaré el pasaporte de reforma"... un nuevo sistema de control basado en la concentración
recursos estatales limitados en áreas de mayor riesgo para evitar daños a los valores legalmente protegidos mientras se reduce la carga administrativa sobre las entidades comerciales de buena fe ... ""... se ha formado un sistema objetivo de recopilación de datos que permite el registro automático del daño causado, se ha introducido un modelo para actualizar los indicadores de riesgo e indicadores para un" modelo dinámico "dependiendo de los cambios en los perfiles de riesgo, se ha introducido un" modelo dinámico para la gestión del riesgo ... ""... se ha introducido un sistema de reevaluación periódica de los riesgos en función de la distribución real de los daños por categoría de riesgo (clase de peligro), incluido el uso de tecnologías para trabajar con grandes conjuntos de datos (Big Data) ..."(
fuente )
Me alegra que el estado sea consciente de la necesidad de usar soluciones para trabajar con Big Data para una evaluación sistemática de riesgos y habla directamente sobre esto en una de las secciones del pasaporte del proyecto. El alcance de las tareas del gobierno a veces excede significativamente a las del sector comercial y requiere el uso de soluciones industriales apropiadas.
Controlar efectivamente a todos los contribuyentes o el flujo transfronterizo de bienes no es lo mismo que decidir si otorgar un préstamo incluso a un millón de clientes de un gran banco. En 2017,
4,4 millones de declaraciones electrónicas de productos pasaron por las autoridades aduaneras de Rusia, en cada una de cientos de artículos que debían verificarse por violaciones. A principios de 2018, según el servicio de impuestos, 4.4 millones de personas jurídicas y 3.8 millones de empresarios individuales operaban en Rusia. No olvidemos los
73 millones de ciudadanos rusos económicamente activos , algunos de los cuales, además del impuesto sobre la renta personal, también pagan impuestos de transporte y terrestres.
Según el pasaporte de la reforma, tienen la intención de introducir análisis en profundidad en el control estatal solo en 2020: las tecnologías están listas ahora. Tenemos algo que ofrecer tanto en términos de metodología como en términos de soluciones de software específicas.
Rosfinmonitoring y Rosalkogolregulirovanie hablaron sobre cómo funciona esto en la práctica de las agencias gubernamentales rusas
en el Foro SAS en 2017.
La descripción de nuestro concepto resultó ser extensa, así que la dividí en 3 partes (hoy, la primera):
- ¿Cuál es el riesgo en el control estatal?
- Cómo los métodos de aprendizaje automático ayudan a analizar los riesgos.
- Qué hacer con los riesgos cuando los descubrimos y cómo convertirlo en un sistema.
Para empezar, una pizca de teoría.
¿Cuál es el riesgo desde el punto de vista del control estatal?
Según
la norma ISO 31000-2018 , que define el marco para la gestión de riesgos, el riesgo es el efecto de la incertidumbre sobre los objetivos de una organización. Es decir, el riesgo no es necesariamente malo. Solo porque no sabemos algo, el resultado puede diferir del esperado hacia arriba o hacia abajo.
Desde el punto de vista del organismo estatal que está involucrado en el monitoreo del cumplimiento de la ley, siempre debe ser "bueno" por defecto: los requisitos de la ley deben cumplirse, los impuestos deben pagarse, el contrabando no debe ser introducido, el bosque no debe ser talado en secreto y los delitos no deben ser cometidos. Las desviaciones de lo esperado, si las hay, son solo para peor. Por lo tanto, desde el punto de vista del control estatal, el riesgo es algo relacionado con el delito.
Sin embargo, el riesgo no es el hecho de la violación. Es imposible controlar el hecho, ya ha sucedido. Solo puede administrar lo que sucederá en el futuro, que no está definido.
Podemos predecir una posible violación solo aproximadamente, con cierta probabilidad: esta es la primera característica importante del riesgo, que ayuda a asignar correctamente los recursos. Si en alguna parte de la ciudad la probabilidad de robo es del 85% y en otra, del 35%, es obvio hacia dónde debe dirigirse la patrulla policial (sí, casi como en la película de ciencia ficción "Minority Report" con Tom Cruise, pero esto ya es una práctica hoy en día) e implica el uso de software analítico en lugar de psíquicos en el sótano).
Pero la probabilidad de tomar medidas serias no es suficiente: las violaciones son significativas y no muy significativas. Es importante determinar el alcance del daño de un evento adverso futuro. Si se quema un granero solitario, es triste, pero no como un incendio en un edificio de apartamentos o en un centro comercial.
La Guía
ISO / IEC 51: 2014 , dedicada a cuestiones de seguridad, dice: "el riesgo es una combinación de la probabilidad de un evento adverso y el daño que ocasiona". La combinación de estas características ya nos permite gestionar claramente y distribuir correctamente los recursos: personas, equipos, dinero.
Los documentos oficiales de la reforma de la actividad de control y supervisión rusa bajo el riesgo del control estatal comprenden prácticamente lo mismo. Aunque en ninguna parte de la ley se ha formulado una definición de este tipo, se desprende de las pérdidas prevalecientes: el mismo
artículo 8.1 de la Ley Federal "sobre la protección de los derechos de las personas jurídicas y los empresarios individuales en la implementación del control estatal (supervisión) y el control municipal". Sí, esto también es una probabilidad más daño.
¿Dónde buscar riesgos?
El riesgo se caracteriza principalmente por un
área : un segmento de la actividad supervisada de entidades controladas (personas, organizaciones), que está asociada con una determinada amenaza. A veces es más fácil para las agencias gubernamentales pasar de un objeto (objeto, producto, edificio) para que nadie reproche con prejuicios: el objeto sin alma no se ofende porque es "algún tipo de error", no presentará quejas al fiscal por estar en "negro" la lista ".
Por ejemplo, al importar bienes del extranjero, el importador debe declarar en la declaración (y confirmar con documentos) el valor en aduana de los bienes, a partir del cual se calcularán los pagos en aduana. A veces, los importadores son difíciles y están infravalorados para pagar menos derechos e impuestos. El área de riesgo en este caso será la declaración del valor en aduana al importar mercancías.
Aquí hay un par de ejemplos más:
Por lo general, cuando se manejan riesgos, van de lo general a lo particular: determinan el área de riesgo, esa actividad específica donde pueden ocurrir violaciones (en base a datos estadísticos, experiencia o conjeturas), luego los riesgos se evalúan dentro de esta área (identificarlos, determinar las causas, condiciones de ocurrencia y probabilidad con daño), y luego decidir qué hacer con ellos. Esto funciona cuando se conocen las principales características de las violaciones: cuándo, quién y por qué.
Sucede al revés: cuando se descubre una violación, determinan el área de riesgo donde ocurrió. Y luego lo excavan hasta una descripción exacta del riesgo en sí con todas las características y llevan a cabo una evaluación. Esto es lo que sucede cuando se buscan nuevas ofensas desconocidas.
¿Cómo se evalúan los riesgos?
Hay dos enfoques principales para este problema: estático y dinámico. Esto se evidencia por la teoría, la práctica y los documentos oficiales de la reforma de las actividades de control y supervisión rusas.
El enfoque
estático (que no debe confundirse con el estadístico) se ve así: las cabezas brillantes se reúnen alrededor de una mesa redonda, discuten mucho, clasifican los objetos de control existentes en "clases de peligro funcional" y aprueban algún orden u orden departamental. Por ejemplo, forme una lista de este tipo en orden descendente de peligro de situaciones de emergencia:
- Grado 1 - centrales nucleares
- Grado 2 - complejos residenciales multifuncionales
- Grado 3 - edificios de organizaciones comerciales
- Grado 4 - cines, edificios residenciales
- Grado 5 - puestos.
Todo parece estar bien. Si una planta de energía nuclear explota, no le parecerá a nadie, esta es una instalación potencialmente muy peligrosa. Probablemente, debe enviar de inmediato a todos los inspectores disponibles a la planta de energía nuclear más cercana, y no dejar salir hasta que encuentre todas las violaciones.
Pero, ¿con qué frecuencia ocurren accidentes en las centrales nucleares? La última vez en el mundo esto sucedió en la central nuclear de Fukushima-1 en 2011, hace 7 años (en Rusia hace 43 años, en 1975). Lamentablemente, los incendios en los centros comerciales y los cines ocurren con mayor frecuencia: según la prensa, se han
producido 8 grandes tragedias con víctimas en Rusia
8 veces desde 2005 (incluido Winter Cherry), y en la primavera de 2018, en solo 2 semanas
, ocurrieron 3 incendios grandes en las salas de comercio .
Este es el inconveniente del enfoque de clase de peligro: las contingencias no ocurren de acuerdo con los estándares que identificamos para las amenazas. El mundo es demasiado caótico. El entorno en el que se ubican los objetos de control cambia constantemente, y los objetos mismos cambian. Lo que funcionó ayer no necesariamente funcionará mañana. Además, un objeto peligroso no es necesariamente un objeto con violaciones.
Otro enfoque que se utiliza, en particular, en los bancos es una
evaluación dinámica del riesgo basada en el comportamiento del cliente (a veces se la denomina evaluación "conductual"). Según la información sobre los pagos de los clientes en préstamos anteriores y actuales, la probabilidad de impago del préstamo se determina a partir de los datos sobre su actividad. Muy simplificado: si el cliente retrasa el próximo pago, la probabilidad aumentará, si la disciplina de pago mejora, disminuirá.
Lo mismo se aplica en el control estatal. El riesgo de pago de impuestos incompleto puede reevaluarse regularmente de acuerdo con las declaraciones de impuestos presentadas y las características de la actividad económica y la información de las cajas registradoras en línea. El riesgo de emitir certificados de cumplimiento no válidos, de acuerdo con el volumen de documentos emitidos por el centro de certificación, de acuerdo con aquellos con los que trabajó los laboratorios de pruebas y los solicitantes. Y así sucesivamente.
Una evaluación de riesgo dinámica es más preferible para el control estatal que una estática, ya que, en última instancia, el estado no trata con objetos, bienes o documentos estáticos, sino con las personas que los producen, importan, crean o destruyen. No son los objetos los que violan, la gente viola. Y detrás de cada persona hay un cierto patrón de comportamiento. Es él quien necesita ser descubierto para identificar el riesgo y darse cuenta de qué y cuándo conducirá.
Esta es la tarea del análisis de riesgos, que puede llevarse a cabo de diferentes maneras: guiarse por la experiencia, la intuición y las opiniones de expertos, confiar en estadísticas o aplicar tecnologías modernas de procesamiento de datos.
Creemos que para evaluar los riesgos, lo más prometedor es combinar la experiencia acumulada con el aprendizaje automático. Esto permitirá, según la información sobre la actividad previa de la instalación, predecir dónde ocurrirán futuras violaciones. Tal gestión de riesgos se compara favorablemente con los "agujeros de taponamiento" a medida que surgen. Desde el estado reactivo el control se convierte en proactivo.
Por ejemplo, para las autoridades ambientales es posible evaluar de antemano el riesgo de impacto negativo ilegal (más allá de los estándares establecidos) de una empresa en el medio ambiente. Esto puede hacerse según las características de sus actividades anteriores: consumo de recursos, producción y contingencias.
Para las autoridades involucradas en emergencias, los mismos incendios (en Rusia - el Ministerio de Emergencias), es aconsejable evaluar el riesgo de incendio para cada edificio: por su condición, datos sociodemográficos del área y el historial de incidentes. Según los datos de los sensores físicos y las imágenes de satélite, es posible predecir la reunión de aldeas y minimizar las víctimas humanas.
Para las autoridades aduaneras, el riesgo de contrabando puede predecirse por las características de la cadena de suministro de bienes y las organizaciones involucradas en él. Y desde el punto de vista de la lucha contra el terrorismo en Rosfinmonitoring, identificar a las personas con un alto riesgo de involucrarse en actividades terroristas de acuerdo con los parámetros de sus operaciones financieras.
El aprendizaje automático le permite digerir todo el conjunto de información disponible (y creciendo de año en año) sobre objetos de control, aislar información significativa y construir un modelo de una ofensa que le dice quién, dónde y cuándo es más probable que cometa.
Pero más sobre eso
en el próximo artículo . No cambie, no habrá publicidad.