风险管理每天都在帮助我们。 当我们过马路时,我们的自然神经网络会评估情况,估计出租车司机猛烈地闯入黄灯的速度,确定从汽车引擎盖掉落时摔断锁骨的可能性,并采取措施将风险降到最低-等待五秒钟然后才向前走。 威胁处理已内置于我们的基因中,即使我们通常以不同的方式称呼它也是如此。
但是,值得谈论一个体面社会中的“风险”,对话者开始谈论投资,贷款组合,分配银行资本的方法和压力测试-一切都与财务有关。 是的,银行是应用高级风险分析技术的先锋。 但是,风险不只是金钱。
风险管理是一门通用的管理学科,适用于发生某些事情,有某些预期结果并且有可能无法实现的任何过程。 简而言之,几乎总是无处不在。 在政府机构的工作中也是如此。
政府为什么要进行风险管理?
从国家机构的角度来看,管理风险意味着及时发现对公民安全或法律规定的事物的威胁,并消除这种危险。 或至少减少了附带损害:相同的地震是不可避免的,但是如果我们及时得到预报,我们可以疏散人员,封锁道路并取出设备。
公共部门和企业中的风险有些相似:这些威胁需要找到并消除。 商业部门和政府的风险管理之间的根本区别在于所采取的措施。 企业可能会放弃与风险相关的活动,但州可能不会。
假设一家银行不喜欢未来的抵押贷款借款人:它一次向数家金融机构提出申请,逾期3天的信用卡还款期,看上去很不整洁。 银行可以在没有给出理由的情况下拒绝向某人提供贷款。 只是不参与债务风险。
如果税务服务部门不喜欢公司未来的总经理,但正式形式上一切都很好,并且没有拒绝法律依据,那么税务服务部门就必须注册一个法人实体。 即使有种种迹象表明,这也是未来的“一天”,其领导者昨天还是将自己过去的公司“改头换面”给了一个有山羊的乡村祖父。 国家只能观察到可疑组织的行为,并试图及时发现违规者以逃税。
这就是它的样子。 想象一下:您是公司的所有者,必须雇用每位申请人,并提供与职位空缺相对应的简历。 即使您从他的心理状况中了解到,他会以他的阴谋破坏团队,但他将无法正常工作,最终会从办公室拿走一半办公室设备。 仍然需要观察,将旋转门放在正确的位置,用锁将橱柜锁上,并定期检查一切是否井井有条。
对于您的其余员工而言,友好,勤奋和诚实可能会令人不快。 他们将不得不忍受监视摄像机并限制其自由。 这是公共部门的现实-内部事务部,紧急情况部,海关,税务部门和所有机构,名称中带有“控制”或“监督”字样。 他们通常会检查所有人,以找出少数违反法律的人。 对于那些不折不扣的人,这是痛苦的。 对于政府机构而言-时间长且昂贵。
在平行的世界中,几乎每个公民或组织几乎都知道所有事情,有许多执法人员,他们可以传送。 在这样的世界中,不需要风险管理:可以随时检查每个可疑项目,人员或组织。 没有人碰到可敬的公民。
在我们的世界中,情况并非如此:没有足够的员工,设备和时间。 有很多控制对象,但是关于它们的信息很少。 我们必须最大限度地利用现有数据,并在违规者迁移到邻近地区甚至另一个管辖区之前,先找到他们。 诚实的人和公司遭受过度控制。
风险管理-就是这样:如何在不确定的情况下正确分配组织的资源,减少非生产性的金钱和时间损失。 而且,既然我们在谈论国家控制,那就不要把那些干净的人拉到法律面前了。
用方块的语言,将谷粒与谷壳分开:
SAS与它有什么关系?
如有必要,SAS员工会全神贯注于客户的主题领域,重新考虑与客户合作的方法,并帮助他们进行改进。 在俄罗斯和世界范围内开展了许多项目之后,我们在控制和监督活动中制定了一种基于分析风险的方法的概念。 在这种情况下,国家不会白白浪费时间和金钱,而是与那些对社会最危险或习惯上说“受法律保护的价值观”的人交往。 机器学习技术对此有所帮助。
正如
售前总监Julius Goldberg在他的文章中正确指出的那样,SAS在数据变得流行之前就对其进行了分析。 在俄罗斯目前的控制和监督活动改革开始之前,我们还处理了针对国家机构需求的风险评估方法,并计划在此框架内在所有地方引入基于风险的方法。
我们在各级会议和研讨会上谈到了基于分析的风险管理如何帮助状态机更有效地工作。 令人高兴的是,政府听取了企业界的意见,但没有我们或我们的同事那么重要,并决定认真致力于改善国家控制,包括将风险管理作为
优先改革项目之一 。
改革的主要规定与我们基于国际经验的愿景相交。
我会引用改革护照“ ...新的基于浓度的控制系统
为了避免损害受法律保护的价值的同时减轻善意商业实体的行政负担,将有限的国家资源置于风险最大的地区...““ ...已经形成了一个客观的数据收集系统,可以自动记录所造成的损害,引入了一种风险指标更新模型,并根据风险概况的变化引入了“动态模型”指标,引入了“动态风险管理模型...”“ ...根据风险类别(危害类别)的损害实际分布情况,引入了定期风险重新评估系统,包括使用用于处理大数据阵列的技术(大数据)...”(
来源 )
我很高兴该州意识到有必要使用解决方案来与大数据一起进行系统的风险评估,并在项目护照的其中一部分中直接谈到了这一点。 政府任务的范围有时会大大超出商业领域,需要使用适当的工业解决方案。
有效控制所有纳税人或跨境货物流动与决定是否向一家大型银行的一百万个客户提供贷款是不同的。 2017年,俄罗斯海关通过了
440万种电子货物申报单 -每一种到数百种需要进行违规检查的物品。 根据税务服务局的数据,2018年初,俄罗斯有440万个法人实体和380万个个体企业家。 别忘了有
7300万活跃于
经济活动的俄罗斯公民 ,其中一些人除了个人所得税外,还要缴纳交通和土地税。
根据改革护照,他们打算仅在2020年将深度分析引入国家控制中-这些技术现已准备就绪。 在方法论和特定软件解决方案方面,我们都有提供。
Rosfinmonitoring和Rosalkogolregulirovanie在2017年
的SAS论坛上谈到了俄罗斯政府机构
在实践中的工作方式。
我们对概念的描述非常广泛,因此我将其分为三部分(今天-第一部分):
- 国家控制的风险是什么?
- 机器学习方法如何帮助分析风险。
- 当我们发现风险时该怎么办以及如何将其变成系统。
首先-一小撮理论。
从状态控制的角度来看,风险是什么?
根据定义风险管理框架
的ISO 31000-2018标准 ,风险是不确定性对组织目标的影响。 也就是说,风险并不一定是坏的。 仅仅因为我们不知道某件事,结果可能会偏离预期的结果。
从参与监督法律遵守情况的国家机构的角度来看,默认情况下它应该始终是``良好''的:必须满足法律要求,必须缴税,不得偷运走私,不得私下砍伐森林,也不得犯罪。 与预期的偏差(如果有的话)只会使情况变得更糟。 因此,从国家控制的角度来看,风险与犯罪有关。
但是,风险不是违反事实。 无法控制事实,事实已经发生。 您只能管理未定义的未来情况。
我们只能以某种可能性近似地预测潜在的违规行为-这是风险的第一个重要特征,有助于正确分配资源。 如果在城市的某个地方发生抢劫的可能性是85%,而在另一地方则是35%,则很明显警察应该派去哪里巡逻(是的,几乎就像汤姆·克鲁斯(Tom Cruise)的科幻电影《少数派报告》一样,但这已经成为当今的惯例,称为预测性警务并涉及在地下室使用分析软件代替通灵术)。
但是,采取严重措施的可能性还不够:违规行为是重大且不是非常重要。 确定未来不良事件造成的损害程度很重要。 如果一个单独的谷仓燃烧,那是可悲的,但不像公寓楼或购物中心的大火。
专门讨论安全问题的
ISO / IEC指南
51:2014指出:“风险是不良事件的可能性和由此造成的损害的组合”。 这些特征的结合已经使我们能够清楚地管理和正确分配资源:人员,设备,金钱。
在国家控制下处于风险之下的俄罗斯控制和监督活动的改革的正式文件实际上理解相同。 尽管在法律中尚无此定义,但该定义是根据现行营业额得出的-《联邦法》
第8.1条 “关于在实施国家控制(监督)和市政控制的过程中保护法人和个体企业家的权利”。 是的,这也是概率加伤害。
在哪里寻找风险?
风险的主要特征是
区域 -与某些威胁相关的受控实体(人员,组织)的监督活动的一部分。 有时,政府机构更容易脱离某个物体(物体,产品,建筑物),以至于没有人因偏见而受到指责-毫无生气的物体不会因为“某种程度上不是这样”而得罪,也不会向检察官投诉是“黑色”列表。”
例如,从国外进口货物时,进口商必须在声明中声明(并与单据确认)货物的海关价值,然后从中计算出海关付款。 有时进口商为了减少关税和税款而感到棘手且被低估了。 在这种情况下,风险范围将是进口货物时的海关价值申报。
以下是几个示例:
通常,在管理风险时,它们从一般性到特殊性:确定风险范围,可能发生违规的特定活动(基于统计数据,经验或猜测),然后在该范围内评估风险(确定风险,确定发生原因,发生状况和造成损害的可能性),然后决定如何处理。 当知道违规的主要特征时,何时,何人以及为什么,这将起作用。
它以相反的方式发生-发现违规时,他们确定发生违规的风险区域。 然后他们将其挖掘为具有所有特征的风险本身的精确描述,然后进行评估。 搜索新的未知攻击时会发生这种情况。
如何评估风险?
解决此问题的方法主要有两种:静态和动态。 俄罗斯的控制和监督活动改革的理论,实践和官方文件证明了这一点。
静态 (不要与统计混淆)的方法看起来像这样:头脑清晰的人围在圆桌旁,争论不休,将现有的控制对象分类为“功能性危害类别”,并批准某些部门的命令或命令。 例如,按照紧急情况危险的降序排列这样的列表:
- 1级-核电厂
- 2级-住宅多功能综合楼
- 三年级-贸易组织大楼
- 四年级-电影院,住宅楼
- 5年级-档位。
一切似乎都是正确的。 如果核电站爆炸,在任何人看来都不会-这可能是非常危险的设施。 可能您应该立即将所有可用的检查员送到最近的核电站,并且在发现所有违规事件之前不要放手。
但是,核电站发生事故的频率是多少? 这是世界上最后一次发生在7年前的2011年福岛1核电站(在43年前的俄罗斯,在1975年)。 las,在购物中心和电影院发生大火的频率更高:据媒体报道,自2005年以来,与受害者在俄罗斯
发生的重大悲剧
发生了8次 (包括Winter Cherry),而在2018年春季,短短两周内
,交易大厅发生了3起大火 。
这是危险等级方法的缺点:根据我们确定的威胁标准,不会发生突发事件。 世界太混乱了。 控制对象所在的环境不断变化,并且对象本身也在变化。 昨天的工作不一定明天就可以工作。 另外,危险物体不一定是违规物体。
特别是在银行中使用的另一种方法是基于客户行为的
动态风险评估 (有时称为“行为”评估)。 根据有关以前和当前贷款的客户付款的信息,根据其活动数据确定未偿还贷款的可能性。 非常简化:如果客户延迟下一次付款,则概率将增加,如果付款纪律得到改善,则概率将降低。
状态控制中也是如此。 可以根据提交的纳税申报表,经济活动的特征以及在线收银机中的信息定期重新评估不完全纳税的风险。 签发无效的合格证明书的风险-根据认证中心签发的文件数量,以及与他工作的测试实验室和申请人的文件数量而定。 依此类推。
动态风险评估比静态风险评估更适合于状态控制,因为最终,国家不处理静态对象,商品或单据,而是处理生产,进口,创造或销毁它们的人员。 不是违反的对象-人们违反的。 每个人的背后都有一定的行为模式。 需要发现他才能识别风险并意识到将导致什么风险和何时导致风险。
这是风险分析的任务,可以以不同的方式执行:以专家的经验,直觉和意见为指导,依靠统计数据或应用现代数据处理技术。
我们认为,为了评估风险,将积累的经验与机器学习相结合是最有前途的。 基于有关该设施先前活动的信息,这将允许预测将来发生违规的地方。 这种风险管理与出现的“漏洞”相比具有优势。 控制从被动状态转变为主动状态。
例如,对于环境主管部门而言,可以预先评估企业对环境的非法负面影响(超过既定标准)的风险。 这可以根据他先前活动的特征来完成:资源消耗,生产和突发事件。
对于涉及紧急情况的当局,同样的大火(在俄罗斯-紧急部),建议评估每栋建筑物的火灾风险:根据其状况,该地区的社会人口统计数据和事件历史记录。 根据来自物理传感器和卫星图像的数据,可以预测村庄的聚集并最大程度地减少人员伤亡。
对于海关当局而言,走私风险可以通过商品供应链及其所涉组织的特征来预测。 并且从Rosfinmonitoring中的反恐斗争的角度出发-根据其财务活动的参数来识别参与恐怖活动的高风险个人。
机器学习使您能够消化与控制对象有关的全部可用信息(并且逐年增长),隔离重要信息,并建立可告知您最可能在何处,何时何地实施的攻击模型。
但是
在下一篇文章中会对此
进行更多
介绍 。 不要切换,不会有广告。