La gestion des risques nous aide tous les jours. Lorsque nous traversons la route, notre réseau de neurones naturels évalue la situation, estime la vitesse d'un chauffeur de taxi déchirant violemment la lumière jaune, détermine la probabilité de se casser une clavicule en tombant du capot d'une voiture et propose une mesure pour minimiser les risques - attendez cinq secondes et ensuite avancez. La gestion des menaces est intégrée à nos gènes, même si nous l'appelons généralement différemment.
Mais cela vaut la peine de parler des «risques» dans une société décente, les interlocuteurs commencent à parler des investissements, d'un portefeuille de prêts, des méthodes d'allocation du capital bancaire et des tests de résistance - tout est en quelque sorte une question de finances. Oui, les banques ont été pionnières dans l'application de techniques avancées d'analyse des risques. Cependant, les risques ne concernent pas uniquement l'argent.
La gestion des risques est une discipline de gestion universelle qui est applicable dans tout processus où quelque chose se produit, il y a un résultat attendu et il y a une chance que nous ne l'obtenions pas. Autrement dit, presque toujours et partout. Et dans le travail des organes gouvernementaux aussi.
Pourquoi le gouvernement devrait-il s'engager dans la gestion des risques?
Gérer les risques, du point de vue de l'agence de l'État, signifie détecter à temps la menace pour la sécurité des citoyens ou les choses établies par la loi et éliminer ce danger. Ou du moins réduire les dommages collatéraux: les mêmes tremblements de terre sont inévitables, mais si nous obtenons les prévisions à temps, nous pouvons évacuer la population, bloquer les routes et retirer l'équipement.
Les risques dans le secteur public et les entreprises sont quelque peu similaires: ce sont des menaces qui doivent être trouvées et éliminées. La différence fondamentale entre la gestion des risques dans le secteur commercial et le gouvernement réside dans les mesures prises. Une entreprise peut abandonner les activités associées au risque, mais pas l'État.
Supposons qu'une banque n'aime pas un futur emprunteur hypothécaire: elle a demandé à plusieurs institutions financières à la fois, en retard un paiement par carte de crédit pendant 3 jours, et cela semble désordonné. Une banque peut refuser d'accorder un prêt à une personne sans donner de raisons. Juste pour ne pas s'impliquer dans le risque de la dette.
Si le service fiscal n'aime pas le futur directeur général de l'entreprise, mais formellement, tout va bien avec les papiers et qu'il n'y a pas de motif légal de refus, alors le service fiscal est tenu d'enregistrer une personne morale. Même si, selon toutes les indications, il s'agit d'un avenir "d'un jour", et son chef hier "a réécrit" sa compagnie passée à un grand-père du village avec une chèvre. L'État ne peut qu'observer le comportement d'une organisation suspecte et essayer d'attraper le contrevenant à temps pour l'évasion fiscale.
Voilà à quoi ça ressemble. Imaginez: vous êtes le propriétaire de l'entreprise et devez embaucher chaque candidat avec un curriculum vitae correspondant officiellement à l'offre d'emploi. Même si vous comprenez de son profil psychologique qu'il détruira l'équipe avec ses intrigues, il ne fonctionnera pas normalement et finira par retirer la moitié de l'équipement de bureau du bureau. Reste à observer, à mettre les tourniquets aux bons endroits, à verrouiller les armoires avec une serrure et à vérifier régulièrement si tout est en ordre.
Cela peut être désagréable pour le reste de vos employés, amical, travailleur et honnête. Ils devront supporter des caméras de surveillance et restreindre leur liberté. C'est la réalité du secteur public - le ministère de l'Intérieur, le ministère des Urgences, les douanes, la fiscalité et toutes les institutions avec les mots «contrôle» ou «supervision» dans le nom. Souvent, ils vérifient tout le monde pour trouver ceux qui enfreignent la loi. Pour ceux qui ne cassent pas, c'est douloureux. Et pour les agences gouvernementales - longues et coûteuses.
Dans un monde parallèle, presque chaque citoyen ou organisation sait presque tout, il y a beaucoup d'agents chargés de l'application des lois et ils peuvent se téléporter. Dans un tel monde, la gestion des risques n'est pas nécessaire: chaque élément, personne ou organisation suspecte peut être vérifiée à tout moment. Et personne ne touche des citoyens respectables.
Dans notre monde, ce n'est pas le cas: il n'y a pas assez d'employés, d'équipement, de temps. Il existe de nombreux objets de contrôle, mais peu d'informations à leur sujet. Nous devons tirer le maximum des données disponibles et essayer de trouver les contrevenants avant qu'ils ne migrent vers la région voisine ou même vers une autre juridiction. Et les gens et les entreprises honnêtes souffrent d'un contrôle excessif.
Gestion des risques - il ne s’agit que de cela: comment répartir correctement les ressources de l’organisation dans des conditions d’incertitude, réduire les pertes de temps et d’argent improductives. Et puisque nous parlons de contrôle de l'État - moins pour tirer ceux qui sont purs devant la loi.
Dans la langue des carrés, séparez le grain de l'ivraie:
Qu'est-ce que SAS a à voir avec ça?
Si nécessaire, les employés de SAS se plongent dans le domaine du client, repensent leurs approches pour travailler avec le client et contribuent à les améliorer. Après plusieurs projets en Russie et dans le monde, nous avons formulé le concept d'une approche analytique basée sur les risques dans les activités de contrôle et de supervision. C'est à ce moment-là que l'État ne perd pas son temps et son argent en vain, mais s'engage auprès de ceux qui sont les plus dangereux pour la société ou, comme il est d'usage de le dire, «des valeurs protégées par la loi». Les technologies d'apprentissage automatique y contribuent.
Comme le
directeur de prévente Julius Goldberg l'a correctement noté
dans son article , SAS a analysé les données avant qu'elles ne deviennent à la mode. Nous avons également traité des méthodes d'évaluation des risques pour les besoins des organismes publics bien avant le début de la réforme en cours des activités de contrôle et de surveillance en Russie, dans le cadre de laquelle il est prévu d'introduire partout une approche fondée sur les risques.
Nous avons parlé lors de conférences et de séminaires à différents niveaux sur la façon dont la gestion des risques basée sur l'analyse aide la machine d'état à fonctionner plus efficacement. Il est formidable que le gouvernement ait entendu le monde des affaires - pas aussi important que nous ou nos collègues - et ait décidé de s'engager sérieusement dans l'amélioration du contrôle de l'État, y compris la gestion des risques comme l'un des
projets de réforme prioritaires .
Les principales dispositions de la réforme rejoignent notre vision, qui se fonde sur l'expérience internationale.
Je citerai le passeport de réforme«... un nouveau système de contrôle basé sur la concentration
des ressources d'État limitées dans les zones les plus à risque afin de ne pas nuire aux valeurs juridiquement protégées tout en réduisant la charge administrative pesant sur les entités commerciales de bonne foi ... ""... un système objectif de collecte de données a été formé qui permet l'enregistrement automatique des dommages causés, un modèle de mise à jour des indicateurs de risque et des indicateurs d'un" modèle dynamique "en fonction de l'évolution des profils de risque a été introduit, un" modèle dynamique de gestion des risques a été introduit ... "«... un système de réévaluation régulière des risques a été mis en place en fonction de la répartition réelle des dommages par catégorie de risque (classe de danger), notamment en utilisant des technologies pour travailler avec des baies de Big Data (Big Data) ...»(
source )
Je suis heureux que l'État soit conscient de la nécessité d'utiliser des solutions pour travailler avec les Big Data pour une évaluation systématique des risques et en parle directement dans l'une des sections du passeport du projet. L'étendue des tâches gouvernementales dépasse parfois de manière significative celles du secteur commercial et nécessite l'utilisation de solutions industrielles appropriées.
Contrôler efficacement tous les contribuables ou les flux transfrontières de marchandises ne revient pas à décider d'octroyer un prêt, même à un million de clients d'une grande banque. En 2017,
4,4 millions de déclarations électroniques de marchandises ont transité par les autorités douanières de la Russie - chacune contenant de un à des centaines d'articles devant être contrôlés pour détecter d'éventuelles violations. Début 2018, selon l'administration fiscale, 4,4 millions d'entités juridiques et 3,8 millions d'entrepreneurs individuels opéraient en Russie. N'oublions pas
73 millions de citoyens russes économiquement actifs , dont certains, en plus de l'impôt sur le revenu des particuliers, paient également des taxes de transport et foncières.
Selon le passeport de réforme, ils ont l'intention d'introduire des analyses approfondies dans le contrôle de l'État uniquement en 2020 - les technologies sont prêtes maintenant. Nous avons quelque chose à offrir à la fois en termes de méthodologie et en termes de solutions logicielles spécifiques.
Rosfinmonitoring et Rosalkogolregulirovanie ont expliqué comment cela fonctionne dans la pratique des agences gouvernementales russes
lors du Forum SAS en 2017.
La description de notre concept s'est avérée longue, je l'ai donc divisée en 3 parties (aujourd'hui - la première):
- Quel est le risque dans le contrôle de l'État.
- Comment les méthodes d'apprentissage automatique aident à analyser les risques.
- Que faire des risques lorsque nous les avons découverts et comment les transformer en système.
Pour commencer - une pincée de théorie.
Quel est le risque du point de vue du contrôle étatique?
Selon
la norme ISO 31000-2018 , qui définit le cadre de gestion des risques, le risque est l’effet de l’incertitude sur les objectifs d’une organisation. Autrement dit, le risque n'est pas nécessairement mauvais. Juste parce que nous ne savons pas quelque chose, le résultat peut dévier de celui attendu vers le haut ou vers le bas.
Du point de vue de l'organisme étatique impliqué dans le contrôle du respect de la loi, il devrait toujours être `` bon '' par défaut: les exigences de la loi doivent être respectées, les taxes doivent être payées, la contrebande ne doit pas être introduite, la forêt ne doit pas être abattue secrètement et aucun crime ne doit être commis. Les écarts par rapport aux prévisions, le cas échéant, ne sont que pour le pire. Par conséquent, du point de vue du contrôle de l'État, le risque est lié à l'infraction.
Cependant, le risque n'est pas le fait de la violation. Il est impossible de contrôler le fait, c'est déjà arrivé. Vous ne pouvez gérer que ce qui se passera à l'avenir, ce qui n'est pas défini.
Nous ne pouvons prédire une violation potentielle qu'approximativement, avec une certaine probabilité - c'est la première caractéristique importante du risque, qui aide à allouer correctement les ressources. Si dans une partie de la ville la probabilité de vol est de 85%, et dans une autre - 35%, il est évident où la patrouille de police devrait être envoyée (oui, presque comme dans le film de science-fiction "Minority Report" avec Tom Cruise, mais c'est déjà la pratique d'aujourd'hui - appelée police prédictive et implique l'utilisation d'un logiciel d'analyse au lieu de médiums dans le sous-sol).
Mais la probabilité de prendre des mesures sérieuses n'est pas suffisante: les violations sont importantes et peu importantes. Il est important de déterminer l'étendue des dommages causés par un événement indésirable futur. Si une grange isolée brûle, c'est triste, mais pas comme un incendie dans un immeuble ou un centre commercial.
Le Guide
ISO / CEI 51: 2014 , consacré aux questions de sécurité, dit: «le risque est une combinaison de la probabilité d'un événement indésirable et des dommages qui en découlent». La combinaison de ces caractéristiques nous permet déjà de gérer clairement et de répartir correctement les ressources: personnes, équipements, argent.
Les documents officiels de la réforme de l'activité de contrôle et de surveillance russe sous le risque du contrôle de l'Etat comprennent pratiquement la même chose. Bien que nulle part dans la loi une telle définition n'ait encore été formulée, elle découle des chiffres d'affaires en vigueur - le même
article 8.1 de la loi fédérale sur la protection des droits des personnes morales et des entrepreneurs individuels dans la mise en œuvre du contrôle de l'État (surveillance) et du contrôle municipal. Oui, c'est aussi une probabilité plus des dégâts.
Où rechercher les risques?
Le risque est principalement caractérisé par un
domaine - un segment de l'activité supervisée des entités contrôlées (personnes, organisations), qui est associé à une certaine menace. Parfois, il est plus facile pour les agences gouvernementales de passer d'un objet (objet, produit, bâtiment) pour que personne ne lui reproche de biais - l'objet sans âme n'est pas offensé qu'il "ne soit pas du tout comme ça", il ne portera pas plainte au procureur pour être en "noir" la liste. "
Par exemple, lors de l'importation de marchandises de l'étranger, l'importateur doit déclarer dans la déclaration (et confirmer avec des documents) la valeur en douane des marchandises, à partir de laquelle les paiements en douane seront ensuite calculés. Parfois, les importateurs sont délicats et sous-évalués afin de payer moins de droits et taxes. La zone de risque dans ce cas sera la déclaration de valeur en douane lors de l'importation de marchandises.
Voici quelques autres exemples:
En règle générale, lors de la gestion des risques, ils vont du général au particulier: ils déterminent le domaine de risque, l'activité spécifique où des violations peuvent se produire (sur la base de données statistiques, d'expériences ou de suppositions), puis les risques sont évalués dans ce domaine (les identifier, déterminer les causes, les conditions d'occurrence et probabilité de dommages), puis décidez quoi en faire. Cela fonctionne lorsque les principales caractéristiques des violations sont connues: quand, qui et pourquoi.
Cela se produit dans l'autre sens - lorsqu'une violation est découverte, ils déterminent la zone de risque où elle s'est produite. Et puis ils le déterrent jusqu'à une description exacte du risque lui-même avec toutes les caractéristiques et effectuent une évaluation. C'est ce qui se produit lors de la recherche de nouvelles infractions inconnues.
Comment les risques sont-ils évalués?
Il existe deux approches principales à ce problème: statique et dynamique. Ceci est démontré par la théorie et la pratique, et les documents officiels de la réforme des activités de contrôle et de supervision russes.
L' approche
statique (à ne pas confondre avec l'approche statistique) ressemble à ceci: des têtes brillantes se rassemblent autour d'une table ronde, discutent beaucoup, classent les objets de contrôle existants en «classes de risques fonctionnels» et approuvent un ordre ou un ordre ministériel. Par exemple, formez une telle liste par ordre décroissant de danger de situations d'urgence:
- Grade 1 - centrales nucléaires
- Grade 2 - complexes résidentiels multifonctionnels
- Grade 3 - Bâtiments des organisations professionnelles
- 4e année - cinémas, bâtiments résidentiels
- Grade 5 - stalles.
Tout semble aller bien. Si une centrale nucléaire explose, cela ne semblera à personne - c'est potentiellement une installation très dangereuse. Vous devriez probablement envoyer immédiatement tous les inspecteurs disponibles à la centrale nucléaire la plus proche, et ne pas laisser sortir jusqu'à ce que vous trouviez toutes les violations.
Mais à quelle fréquence les accidents se produisent-ils dans les centrales nucléaires? La dernière fois au monde, cela s'est produit à la centrale nucléaire de Fukushima-1 en 2011, il y a 7 ans (en Russie il y a 43 ans, en 1975). Hélas, les incendies dans les centres commerciaux et les cinémas se produisent plus souvent: selon la presse, de grandes tragédies avec des victimes en Russie se sont
produites 8 fois depuis 2005 (y compris Winter Cherry), et au printemps 2018, en seulement 2 semaines
, 3 incendies majeurs se sont produits dans les parquets .
C'est l'inconvénient de l'approche par classe de danger: les imprévus ne se produisent pas selon les normes que nous avons identifiées pour les menaces. Le monde est trop chaotique. L'environnement dans lequel se trouvent les objets de contrôle change constamment, et les objets eux-mêmes changent. Ce qui a fonctionné hier ne fonctionnera pas nécessairement demain. De plus, un objet dangereux n'est pas nécessairement un objet avec violations.
Une autre approche utilisée, en particulier, dans les banques est une
évaluation dynamique des risques basée sur le comportement du client (elle est parfois appelée évaluation «comportementale»). Sur la base des informations sur les paiements des clients sur les prêts antérieurs et en cours, la probabilité de non-remboursement du prêt est déterminée à partir des données sur son activité. Très simplifié: si le client retarde le prochain paiement, la probabilité augmentera, si la discipline de paiement s'améliore, elle diminuera.
Il en va de même pour le contrôle de l'État. Le risque de paiement fiscal incomplet peut être régulièrement réévalué en fonction des déclarations de revenus soumises et des caractéristiques de l'activité économique et des informations des caisses enregistreuses en ligne. Le risque de délivrer des certificats de conformité invalides - selon le volume de documents délivrés par le centre de certification, selon ceux avec lesquels les laboratoires d'essais et les candidats ont travaillé. Et ainsi de suite.
Une évaluation dynamique des risques est plus préférable pour le contrôle de l'État qu'une évaluation statique, car, en fin de compte, l'État ne traite pas des objets, des biens ou des documents statiques, mais des personnes qui les produisent, les importent, les créent ou les détruisent. Ce ne sont pas des objets qui violent - les gens violent. Et derrière chaque personne, il y a un certain schéma de comportement. C'est lui qui doit être découvert afin d'identifier le risque et de réaliser quoi et quand il va conduire.
C'est la tâche de l'analyse des risques, qui peut être réalisée de différentes manières: être guidé par l'expérience, l'intuition et les opinions d'experts, s'appuyer sur des statistiques ou appliquer des technologies informatiques modernes.
Nous pensons que pour évaluer les risques, il est très prometteur de combiner l'expérience accumulée avec l'apprentissage automatique. Cela permettra, sur la base d'informations sur l'activité précédente de l'installation, de prédire où de futures violations se produiront. Une telle gestion des risques se compare favorablement aux «bouchons» lorsqu'ils se produisent. De l'état réactif, le contrôle devient proactif.
Par exemple, pour les autorités environnementales, il est possible d'évaluer à l'avance le risque d'impact négatif illégal (supérieur aux normes établies) d'une entreprise sur l'environnement. Cela peut se faire en fonction des caractéristiques de ses activités antérieures: consommation de ressources, production et imprévus.
Pour les autorités impliquées dans des situations d'urgence, les mêmes incendies (en Russie - le ministère des Urgences), il est conseillé d'évaluer le risque d'incendie pour chaque bâtiment: par son état, les données sociodémographiques de la zone et l'historique des incidents. Selon les données des capteurs physiques et des images satellites, il est possible de prédire le rassemblement des villages et de minimiser les pertes humaines.
Pour les autorités douanières, le risque de contrebande peut être prédit par les caractéristiques de la chaîne d'approvisionnement des marchandises et des organisations qui y participent. Et du point de vue de la lutte contre le terrorisme à Rosfinmonitoring - identifier les individus à haut risque d'implication dans des activités terroristes en fonction des paramètres de leurs opérations financières.
L'apprentissage automatique vous permet de digérer l'ensemble des informations disponibles (et croissantes d'année en année) sur les objets de contrôle, d'isoler les informations importantes et de construire un modèle de l'infraction qui dira qui, où et quand il est le plus susceptible de commettre.
Mais plus à ce sujet
dans le prochain article . Ne changez pas, il n'y aura pas de publicité.