A gestão de riscos nos ajuda todos os dias. Quando atravessamos a rua, nossa rede neural natural avalia a situação, estima a velocidade de um motorista de táxi rasgando violentamente a luz amarela, determina a probabilidade de quebrar a clavícula ao cair do capô do carro e oferece uma medida para minimizar o risco - espere cinco segundos e só então siga em frente. O manejo de ameaças está incorporado em nossos genes, mesmo que normalmente o chamemos de maneira diferente.
Mas vale a pena falar sobre "riscos" em uma sociedade decente, os interlocutores começam a falar sobre investimentos, uma carteira de empréstimos, métodos de alocação de capital bancário e testes de estresse - tudo é de alguma forma sobre finanças. Sim, os bancos foram pioneiros na aplicação de técnicas avançadas de análise de risco. No entanto, os riscos não são apenas dinheiro.
O gerenciamento de riscos é uma disciplina administrativa universal aplicável a qualquer processo em que algo acontece, há algum resultado esperado e há uma chance de que não o possamos obter. Simplificando, quase sempre e em qualquer lugar. E no trabalho de órgãos do governo também.
Por que o governo deve se envolver na gestão de riscos?
Gerenciar riscos, do ponto de vista da agência estatal, significa detectar a ameaça à segurança dos cidadãos ou as coisas estabelecidas por lei a tempo e eliminar esse perigo. Ou pelo menos reduza os danos colaterais: os mesmos terremotos são inevitáveis, mas se recebermos a previsão a tempo, podemos evacuar a população, bloquear estradas e retirar o equipamento.
Os riscos no setor público e nos negócios são um pouco semelhantes: essas são algumas ameaças que precisam ser encontradas e eliminadas. A diferença fundamental entre a gestão de riscos no setor comercial e o governo são as medidas tomadas. Uma empresa pode abandonar as atividades associadas ao risco, mas o estado não.
Suponha que um banco não goste de um futuro tomador de hipoteca: ele se aplica a várias instituições financeiras de uma só vez, atrasa um pagamento com cartão de crédito por três dias e parece desarrumado. Um banco pode se recusar a conceder um empréstimo a uma pessoa sem apresentar motivos. Só para não se envolver no risco da dívida.
Se o serviço tributário não gostar do futuro diretor geral da empresa, mas formalmente tudo estiver bem com os papéis e não houver motivos legais para recusa, o serviço tributário será necessário para registrar uma entidade legal. Mesmo que por todas as indicações este seja um futuro "um dia", e seu líder ontem "reescreveu" sua empresa anterior em um avô da aldeia com uma cabra. O estado só pode observar o comportamento de uma organização suspeita e tentar capturar o infrator a tempo de evasão fiscal.
É assim que parece. Imagine: você é o proprietário da empresa e deve contratar todos os candidatos com um currículo formalmente correspondente à vaga. Mesmo se você entender pelo perfil psicológico dele que ele destruirá a equipe com suas intrigas, ele não funcionará normalmente e acabará retirando metade do equipamento do escritório. Resta observar, colocar as catracas nos lugares certos, trancar os armários com uma trava e verificar regularmente se está tudo em ordem.
Pode ser desagradável para o resto de seus funcionários, amigável, trabalhador e honesto. Eles terão que aturar câmeras de vigilância e restringir sua liberdade. Essa é a realidade do setor público - o Ministério da Administração Interna, o Ministério de Emergências, alfândega, impostos e todas as instituições com as palavras "controle" ou "supervisão" no nome. Frequentemente, eles conferem a todos para encontrar aqueles poucos que violam a lei. Para quem não quebra, é doloroso. E para agências governamentais - longas e caras.
Em um mundo paralelo, quase todo cidadão ou organização sabe quase tudo, existem muitos policiais e eles podem se teletransportar. Nesse mundo, o gerenciamento de riscos não é necessário: todos os itens, pessoas ou organizações suspeitas podem ser verificados a qualquer momento. E ninguém toca cidadãos respeitáveis.
Em nosso mundo, não é assim: não há funcionários, equipamentos e tempo suficientes. Existem muitos objetos de controle, mas pouca informação sobre eles. Temos que extrair o máximo dos dados disponíveis e tentar encontrar os infratores antes que eles migrem para a região vizinha ou mesmo para outra jurisdição. E pessoas e empresas honestas sofrem com o controle excessivo.
Gerenciamento de riscos - é exatamente isso: como distribuir corretamente os recursos da organização em condições de incerteza, reduzir perdas improdutivas de dinheiro e tempo. E já que estamos falando sobre controle estatal - menos para puxar aqueles que são limpos diante da lei.
No idioma dos quadrados, separe o grão do joio:
O que o SAS tem a ver com isso?
Se necessário, os funcionários da SAS mergulham na área de assunto do cliente, repensam suas abordagens para trabalhar com o cliente e ajudam a melhorá-las. Após vários projetos na Rússia e no mundo, formulamos o conceito de uma abordagem analítica baseada em risco nas atividades de controle e supervisão. É quando o Estado não perde tempo e dinheiro em vão, mas se envolve com aqueles que são mais perigosos para a sociedade ou, como costuma dizer, "valores protegidos por lei". As tecnologias de aprendizado de máquina ajudam nisso.
Como o
diretor de pré-venda, Julius Goldberg, observou corretamente
em seu artigo , o SAS analisou os dados antes de se tornarem moda. Também lidamos com métodos de avaliação de riscos para as necessidades dos órgãos estatais muito antes do início da atual reforma das atividades de controle e supervisão na Rússia, dentro da estrutura da qual está planejado introduzir uma abordagem baseada em riscos em todos os lugares.
Conversamos em conferências e seminários em vários níveis sobre como o gerenciamento de riscos baseado em análises ajuda a máquina estatal a trabalhar com mais eficiência. É ótimo que o governo tenha ouvido a comunidade empresarial - não tão importante quanto nós ou nossos colegas - e decidido se empenhar seriamente em melhorar o controle do estado, incluindo a gestão de riscos como um dos
projetos prioritários de reforma .
As principais disposições da reforma se cruzam com a nossa visão, baseada na experiência internacional.
Vou citar o passaporte da reforma“... um novo sistema de controle baseado em concentração
recursos estatais limitados nas áreas de maior risco, a fim de evitar danos a valores protegidos legalmente e reduzir o ônus administrativo para as empresas de boa fé ... "“... foi formado um sistema objetivo de coleta de dados que permite o registro automático de danos causados, foi introduzido um modelo para atualização de indicadores de risco e indicadores para um“ modelo dinâmico ”dependendo das mudanças nos perfis de risco,“ um modelo dinâmico para gerenciamento de riscos foi introduzido ... ”"... foi introduzido um sistema de reavaliação regular de riscos, dependendo da distribuição real dos danos por categoria de risco (classe de risco), incluindo o uso de tecnologias para trabalhar com matrizes de big data (Big Data) ..."(
fonte )
Fico feliz que o estado esteja ciente da necessidade de usar soluções para trabalhar com o Big Data para uma avaliação sistemática de riscos e fale diretamente sobre isso em uma das seções do passaporte do projeto. O escopo das tarefas governamentais às vezes excede significativamente as do setor comercial e requer o uso de soluções industriais apropriadas.
Controlar efetivamente todos os contribuintes ou o fluxo de mercadorias transfronteiriço não é o mesmo que decidir se deve conceder um empréstimo até a um milhão de clientes de um grande banco. Em 2017,
4,4 milhões de declarações eletrônicas de mercadorias passaram pelas autoridades aduaneiras da Rússia - em cada uma delas, de uma a centenas de itens que precisavam ser verificados quanto a violações. No início de 2018, de acordo com o serviço tributário, 4,4 milhões de pessoas jurídicas e 3,8 milhões de empresários individuais operavam na Rússia. Não devemos esquecer cerca de
73 milhões de cidadãos russos economicamente ativos , alguns dos quais, além do imposto de renda pessoal, também pagam impostos sobre transporte e terra.
De acordo com o passaporte da reforma, eles pretendem introduzir análises aprofundadas no controle do estado apenas em 2020 - as tecnologias estão prontas agora. Temos algo a oferecer em termos de metodologia e em soluções de software específicas.
Rosfinmonitoring e Rosalkogolregulirovanie falaram sobre como isso funciona na prática das agências governamentais russas
no Fórum SAS em 2017.
A descrição do nosso conceito acabou sendo extensa, então eu o dividi em três partes (hoje - a primeira):
- Qual é o risco no controle do estado.
- Como os métodos de aprendizado de máquina ajudam a analisar riscos.
- O que fazer com os riscos quando os descobrimos e como transformá-lo em um sistema.
Para começar - uma pitada de teoria.
Qual é o risco do ponto de vista do controle estatal?
De acordo com
a norma ISO 31000-2018 , que define a estrutura para gerenciamento de riscos, risco é o efeito da incerteza nos objetivos de uma organização. Ou seja, o risco não é necessariamente ruim. Só porque não sabemos algo, o resultado pode divergir do esperado para cima ou para baixo.
Do ponto de vista do órgão estatal envolvido no monitoramento da conformidade com a lei, ele deve sempre ser “bom” por padrão: os requisitos da lei devem ser cumpridos, os impostos devem ser pagos, o contrabando não deve ser trazido, a floresta não deve ser cortada secretamente e os crimes não devem ser cometidos. Desvios do esperado, se houver, são apenas para o pior. Portanto, do ponto de vista do controle estatal, o risco é algo relacionado ao crime.
No entanto, o risco não é o fato de violação. É impossível controlar o fato, isso já aconteceu. Você só pode gerenciar o que acontecerá no futuro, o que não está definido.
Podemos prever uma possível violação apenas aproximadamente, com alguma probabilidade - essa é a primeira característica importante do risco, o que ajuda a alocar recursos corretamente. Se em alguma parte da cidade a probabilidade de roubo é de 85%, e em outra - 35%, é óbvio para onde a patrulha policial deve ser enviada (sim, quase como no filme de ficção científica "Minority Report" com Tom Cruise, mas essa já é a prática de hoje - chamada policiamento preditivo e envolve o uso de software analítico em vez de paranormais).
Mas a probabilidade de tomar medidas sérias não é suficiente: as violações são significativas e não muito significativas. É importante determinar a extensão dos danos causados por um evento adverso futuro. Se um celeiro solitário queima, é triste, mas não como um incêndio em um prédio de apartamentos ou em um shopping center.
O
ISO / IEC Guide
51: 2014 , dedicado a questões de segurança, diz: "o risco é uma combinação da probabilidade de um evento adverso e os danos dele". A combinação dessas características já nos permite gerenciar claramente e distribuir corretamente recursos: pessoas, equipamentos, dinheiro.
Os documentos oficiais da reforma da atividade de controle e supervisão russa sob o risco no controle estatal entendem praticamente a mesma coisa. Embora em nenhuma parte da lei essa definição tenha sido formulada ainda, decorre das rotações prevalecentes - o mesmo
artigo 8.1 da Lei Federal “Sobre a Proteção dos Direitos das Pessoas Jurídicas e dos Empreendedores Individuais na Implementação do Controle Estadual (Supervisão) e Controle Municipal”. Sim, isso também é uma probabilidade mais danos.
Onde procurar riscos?
O risco é caracterizado principalmente por uma
área - um segmento da atividade supervisionada de entidades controladas (pessoas, organizações), que está associado a uma certa ameaça. Às vezes, é mais fácil para as agências governamentais passar de um objeto (objeto, produto, construção), para que ninguém censure o viés - o objeto sem alma não se ofende por ser "de alguma forma não assim", não vai apresentar queixas ao promotor por estar "preto" a lista ".
Por exemplo, ao importar mercadorias do exterior, o importador deve declarar na declaração (e confirmar com documentos) o valor aduaneiro das mercadorias, a partir do qual os pagamentos aduaneiros serão calculados. Às vezes, os importadores são complicados e desvalorizados para pagar menos impostos e taxas. A área de risco, neste caso, será a declaração do valor aduaneiro ao importar mercadorias.
Aqui estão mais alguns exemplos:
Normalmente, ao gerenciar riscos, eles vão de geral para particular: determinam a área de risco, a atividade específica em que as violações podem ocorrer (com base em dados estatísticos, experiência ou suposições); depois, os riscos são avaliados nessa área (identifique-os, determine as causas, condições de ocorrência e probabilidade de dano) e decida o que fazer com eles. Isso funciona quando as principais características das violações são conhecidas: quando, quem e por quê.
Isso acontece ao contrário - quando uma violação é descoberta, eles determinam a área de risco em que ocorreu. E então eles o desenterram para uma descrição exata do próprio risco, com todas as características e realizam uma avaliação. É o que acontece ao procurar novas ofensas desconhecidas.
Como os riscos são avaliados?
Existem duas abordagens principais para esse problema: estático e dinâmico. Isso é evidenciado pela teoria, prática e documentos oficiais da reforma das atividades de controle e supervisão da Rússia.
A abordagem
estática (que não deve ser confundida com a estatística) é assim: cabeças brilhantes se reúnem em torno de uma mesa redonda, discutem bastante, classificam os objetos de controle existentes em "classes funcionais de risco" e aprovam alguma ordem ou ordem departamental. Por exemplo, forme uma lista em ordem decrescente de risco de situações de emergência:
- Grau 1 - usinas nucleares
- Grau 2 - complexos multifuncionais residenciais
- Grau 3 - edifícios da organização comercial
- Grau 4 - cinemas, edifícios residenciais
- Grau 5 - barracas.
Tudo parece estar certo. Se uma usina nuclear explodir, não parecerá para ninguém - essa é potencialmente uma instalação muito perigosa. Provavelmente, você deve enviar imediatamente todos os inspetores disponíveis para a usina nuclear mais próxima e não deixar escapar até encontrar todas as violações.
Mas com que frequência ocorrem acidentes em usinas nucleares? A última vez no mundo que aconteceu na central nuclear de Fukushima-1 em 2011, há 7 anos (na Rússia, há 43 anos, em 1975). Infelizmente, incêndios em shopping centers e cinemas acontecem com mais frequência: de acordo com a imprensa, grandes tragédias com vítimas na Rússia
ocorreram 8 vezes desde 2005 (incluindo Winter Cherry) e, na primavera de 2018, em apenas duas semanas
, ocorreram três grandes incêndios em pregões. .
Essa é a desvantagem da abordagem de classe de risco: as contingências não ocorrem de acordo com os padrões que identificamos para ameaças. O mundo é muito caótico. O ambiente em que os objetos de controle estão localizados está constantemente mudando, e os próprios objetos estão mudando. O que funcionou ontem não necessariamente funcionará amanhã. Além disso, um objeto perigoso não é necessariamente um objeto com violações.
Outra abordagem usada, em particular, nos bancos é uma
avaliação dinâmica de riscos baseada no comportamento do cliente (às vezes é chamada de avaliação "comportamental"). Com base nas informações sobre pagamentos de clientes em empréstimos anteriores e atuais, a probabilidade de não pagamento do empréstimo é determinada a partir dos dados de sua atividade. Muito simplificado: se o cliente atrasar o próximo pagamento, a probabilidade aumentará, se a disciplina de pagamento melhorar, ela diminuirá.
O mesmo se aplica no controle de estado. O risco de pagamento incompleto de impostos pode ser reavaliado regularmente de acordo com as declarações fiscais apresentadas e as características da atividade econômica e as informações das caixas registradoras on-line. O risco de emitir certificados de conformidade inválidos - de acordo com o volume de documentos emitidos pelo centro de certificação, de acordo com aqueles com os quais laboratórios de testes e candidatos ele trabalhou. E assim por diante
Uma avaliação dinâmica de riscos é mais preferível para o controle estatal do que estática, pois, em última análise, o estado não lida com objetos, bens ou documentos estáticos, mas com as pessoas que as produzem, importam, criam ou destroem. Não são objetos que violam - pessoas violam. E por trás de cada pessoa há um certo padrão de comportamento. É ele quem precisa ser descoberto para identificar o risco e perceber o que e quando ele levará.
Essa é a tarefa da análise de risco, que pode ser realizada de diferentes maneiras: guiar-se pela experiência, intuição e opiniões de especialistas, confiar em estatísticas ou aplicar modernas tecnologias de processamento de dados.
Acreditamos que, para avaliar riscos, é mais promissor combinar a experiência acumulada com o aprendizado de máquina. Isso permitirá, com base nas informações da atividade anterior da instalação, prever onde futuras violações ocorrerão. Esse gerenciamento de risco se compara favoravelmente com os “buracos de obstrução” à medida que surgem. Do controle do estado reativo se transforma em pró-ativo.
Por exemplo, para as autoridades ambientais, é possível avaliar antecipadamente o risco de impacto negativo ilegal (além dos padrões estabelecidos) de uma empresa no meio ambiente. Isso pode ser feito de acordo com as características de suas atividades anteriores: consumo de recursos, produção e contingências.
Para as autoridades envolvidas em emergências, os mesmos incêndios (na Rússia - o Ministério de Emergências), é aconselhável avaliar o risco de incêndio para cada edifício: por sua condição, dados sociodemográficos da área e histórico de incidentes. De acordo com dados de sensores físicos e imagens de satélite, é possível prever a coleta de aldeias e minimizar as baixas humanas.
Para as autoridades aduaneiras, o risco de contrabando pode ser previsto pelas características da cadeia de suprimentos de mercadorias e pelas organizações envolvidas. E do ponto de vista da luta contra o terrorismo no monitoramento de rosfin - para identificar indivíduos com alto risco de envolvimento em atividades terroristas de acordo com os parâmetros de suas operações financeiras.
O aprendizado de máquina permite digerir todo o conjunto disponível (e crescendo de ano para ano) de informações sobre objetos de controle, isolar informações significativas e criar um modelo de ofensa que informe quem, onde e quando é mais provável que se comprometa.
Mas mais sobre isso
no próximo artigo . Não mude, não haverá publicidade.