Риск-менеджмент выручает нас каждый день. Когда мы переходим дорогу, наша естественная нейронная сеть оценивает обстановку, прикидывает скорость таксиста, яростно рвущегося на желтый свет, определяет вероятность сломать ключицу при падении с капота автомобиля и предлагает меру по минимизации риска — подождать секунд пять и только после этого двинуться вперед. Обработка угроз встроена в наши гены, даже если обычно мы называем это иначе.
Но стоит заговорить о «рисках» в приличном обществе, собеседники начинают рассуждать об инвестициях, кредитном портфеле, методах аллокации банковского капитала и стресс-тестировании — всё как-то о финансах. Да, банки были пионерами в применении передовых методов анализа рисков. Однако риски — это не только про деньги.
Риск-менеджмент — универсальная управленческая дисциплина, которая применима в любом процессе, где что-то происходит, есть какой-то ожидаемый результат и существует вероятность, что мы его не получим. Проще говоря, почти всегда и везде. И в работе государственных органов тоже.
Зачем государству заниматься риск-менеджментом?
Управлять рисками, с точки зрения госоргана, означает вовремя обнаружить угрозу безопасности граждан или установленному законом порядку вещёй и устранить эту опасность. Или хотя бы снизить сопутствующий ущерб: те же землетрясения неизбежны, но если мы вовремя получим прогноз, то сможем эвакуировать население, перекрыть дороги и вывезти технику.
Риски в госсекторе и бизнесе в чём-то похожи: это некие угрозы, которые нужно найти и устранить. Фундаментальное отличие риск-менеджмента в коммерческом секторе и государственных органах заключается в принимаемых мерах. Бизнес может отказаться от деятельности, связанной с риском, а государство — нет.
Допустим, банку не нравится будущий ипотечный заемщик: тот обратился в несколько финансовых учреждений сразу, просрочил на 3 дня платеж по кредитке, да и выглядит неопрятно. Банк может отказать человеку в выдаче кредита без объяснения причин. Просто чтобы не связываться с риском образования задолженности.
Если налоговой службе не нравится будущий гендиректор фирмы, но у него формально всё хорошо с бумагами и нет законных оснований для отказа, то налоговая обязана зарегистрировать юридическое лицо. Пусть даже по всем признакам это будущая «однодневка», а её руководитель вчера «переписал» свою прошлую фирму на деревенского деда с козой. Государству остается только наблюдать за поведением подозрительной организации и пытаться вовремя поймать нарушителя за неуплату налогов.
Вот на что это похоже. Представьте: вы владелец фирмы и должны принять на работу каждого просителя с резюме, формально соответствующим вакансии. Даже если по его психологическому профилю понимаете, что он разрушит коллектив своими интригами, не будет нормально работать и со временем вынесет из офиса половину оргтехники. Остается наблюдать, ставить в нужных местах турникеты, запирать шкафы на замок и регулярно проверять, всё ли в порядке.
Это может быть неприятно для остальных ваших сотрудников, доброжелательных, работящих и честных. Им придется мириться с камерами наблюдениями и ограничением их свободы. Такова реальность госсектора — МВД, МЧС, таможни, налоговой и всех учреждений со словами «контроль» или «надзор» в названии. Часто они проверяют всех, чтобы найти тех немногих, кто нарушает закон. Для тех, кто не нарушает, это болезненно. А для госорганов — долго и дорого.
В параллельном мире о каждом гражданине или организации известно почти всё, правоохранителей много и они умеют телепортироваться. В таком мире не нужен риск-менеджмент: каждый подозрительный предмет, человека или организацию можно проверить в любой момент. А добропорядочных граждан никто не трогает.
В нашем мире всё не так: не хватает сотрудников, техники, времени. Объектов контроля много, а значимой информации о них — мало. Приходится выжимать максимум из имеющихся данных и стараться обнаружить нарушителей до того, как они мигрируют в соседний регион или вообще в другую юрисдикцию. А честные люди и компании страдают от избыточного контроля.
Риск-менеджмент — он как раз об этом: как в условиях неопределенности правильно распределить ресурсы организации, снизить непроизводительные потери денег и времени. И раз мы говорим о госконтроле — поменьше дергать тех, кто чист перед законом.
Выражаясь языком квадратиков, отделить зерна от плевел:
При чём тут SAS?
Если нужно, сотрудники SAS погружаются в предметную область клиента, переосмысляют вместе с заказчиком его подходы к работе и помогают их улучшить. После ряда проектов в России и мире мы сформулировали концепцию аналитического риск-ориентированного подхода в контрольно-надзорной деятельности. Это когда государство не тратит время и деньги зря, а занимается теми, кто опаснее всего для общества или, как это принято говорить, «охраняемых законом ценностей». Помогают в этом технологии машинного обучения.
Как верно заметил в своей статье presale-директор Юлий Гольдберг, SAS анализировал данные до того, как это стало модным. Методами оценки рисков для нужд государственных органов мы тоже занимались задолго до старта в России нынешней реформы контрольно-надзорной деятельности, в рамках которой планируется повсеместно внедрить риск-ориентированный подход.
Мы рассказывали на конференциях и семинарах разного уровня о том, как управление рисками на основе аналитики помогает государственной машине работать эффективнее. Здорово, что государство услышало бизнес-сообщество — не столь важно, нас или коллег — и решило серьезно заняться совершенствованием госконтроля, включив риск-менеджмент в число приоритетных проектов реформы.
Основные положения реформы пересекаются с нашим видением, которое опирается на международный опыт.
Процитирую паспорт реформы
«… новая система контрольно-надзорной деятельности, основанная на концентрации
ограниченных ресурсов государства в зонах наибольшего риска в целях предотвращения причинения вреда охраняемым законом ценностям при одновременном снижении административной нагрузки на добросовестных хозяйствующих субъектов...»
«...cформирована система сбора объективных данных, позволяющая вести учет причиненного вреда в автоматическом режиме, внедрена модель актуализации индикаторов риска и показателей для «динамической модели» в зависимости от изменений профилей риска, внедрена «динамическая модель» управления рисками...»
«… внедрена система регулярной переоценки рисков в зависимости от фактического распределения ущерба по категориям риска (классам опасности), в том числе с использованием технологий работы с массивами больших данных (Big Data)...»
(источник)
ограниченных ресурсов государства в зонах наибольшего риска в целях предотвращения причинения вреда охраняемым законом ценностям при одновременном снижении административной нагрузки на добросовестных хозяйствующих субъектов...»
«...cформирована система сбора объективных данных, позволяющая вести учет причиненного вреда в автоматическом режиме, внедрена модель актуализации индикаторов риска и показателей для «динамической модели» в зависимости от изменений профилей риска, внедрена «динамическая модель» управления рисками...»
«… внедрена система регулярной переоценки рисков в зависимости от фактического распределения ущерба по категориям риска (классам опасности), в том числе с использованием технологий работы с массивами больших данных (Big Data)...»
(источник)
Радует, что государство осознает необходимость использования решений для работы с Big Data для систематической оценки рисков и прямо говорит об этом в одном из разделов паспорта проекта. Масштабы государственных задач иногда значительно превосходят таковые в коммерческом секторе и требуют применения соответствующих промышленных решений.
Эффективно контролировать всех налогоплательщиков или трансграничный товаропоток — это не то же самое, что принять решение о выдаче кредита пусть даже миллиону клиентов крупного банка. В 2017 году через таможенные органы России прошло 4,4 млн электронных деклараций на товары — в каждой от одной до сотни позиций, которые требовалось проверить на наличие нарушений. В начале 2018 года, по данным налоговой службы, в России действовало 4,4 млн юридических лиц и 3,8 млн индивидуальных предпринимателей. Не будем забывать про 73 млн. экономически активных российских граждан, часть из которых, кроме налога на доходы на физических лиц, платит ещё транспортный и земельный налоги.
Пусть по паспорту реформы углубленную аналитику в госконтроль собираются внедрить только в 2020 году — технологии готовы уже сейчас. Нам есть, что предложить и в методическом плане, и в части конкретных программных решений. О том, как это работает в практике российских госорганов на прошедшем в 2017 году на SAS Forum рассказывали Росфинмониторинг и Росалкогольрегулирование.
Описание нашей концепции получилось обширным, поэтому я разбил его на 3 части (сегодня — первая):
- Что такое риск в государственном контроле.
- Как методы машинного обучения помогают анализировать риски.
- Что делать с рисками, когда мы их обнаружили и как превратить это в систему.
Для начала — щепотка теории.
Что такое риск с точки зрения госконтроля?
Согласно стандарту ISO 31000-2018, который определяет рамочные положения риск-менеджмента, риск — это влияние неопределенности на цели организации. То есть риск — это необязательно плохо. Просто из-за того, что мы чего-то не знаем, результат может отклониться от ожидаемого в большую или меньшую сторону.
С точки зрения государственного органа, который занимается контролем соблюдения законодательства, «хорошо» должно быть всегда по умолчанию: требования закона должны выполняться, налоги платиться, контрабанда не ввозиться, лес тайком не рубиться, преступления не совершаться. Отклонения от ожидаемого если и бывают, то лишь в худшую сторону. Поэтому, с точки зрения госконтроля, риск — это что-то, связанное с правонарушением.
Однако риск — не сам факт нарушения. Управлять фактом нельзя, он уже случился. Управлять можно только тем, что произойдет в будущем, которое не определено.
Потенциальное нарушение мы можем предугадать только приблизительно, с какой-то вероятностью — это первая важная характеристика риска, которая помогает правильно распределять ресурсы. Если в некотором районе города вероятность ограбления 85%, а в другом — 35%, очевидно, куда стоит направить полицейский патруль (да, почти как в фантастическом фильме «Особое мнение» с Томом Крузом, но это уже практика сегодняшнего дня — называется predictive policing и подразумевает использование аналитического программного обеспечения вместо экстрасенсов в подвале).
Но одной вероятности для принятия серьезных мер мало: нарушения бывают существенные и не очень. Важно определить размер ущерба от будущего неблагоприятного события. Если горит одинокий сарай, это печально, но не так, как пожар в многоквартирном доме или торговом центре.
Руководство ISO/IEC 51:2014, посвященное вопросам безопасности, так и говорит: «риск — комбинация вероятности неблагоприятного события и ущерба от него». Совокупность этих характеристик уже позволяет чем-то внятно управлять и правильно распределять ресурсы: людей, технику, деньги.
Официальные документы реформы российской контрольно-надзорной деятельности под риском в госконтроле понимают фактически то же самое. Хотя нигде толком в законодательстве такое определение пока не сформулировано, оно вытекает из употребляемых оборотов — той же статьи 8.1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Да, это тоже вероятность плюс ущерб.
Где искать риски?
Риск характеризуется прежде всего областью — сегментом поднадзорной деятельности контролируемых субъектов (людей, организаций), которая сопряжена с определенной угрозой. Иногда госорганам проще пойти от объекта (предмета, товара, здания), чтобы никто не упрекнул в предвзятости — бездушному объекту не обидно, что он «какой-то не такой», он не будет закидывать жалобами прокуратуру за то, что оказался в «черном списке».
Например, при ввозе товаров из-за рубежа импортер должен заявить в декларации (и подтвердить документами) таможенную стоимость товаров, от которой потом будут рассчитываться таможенные платежи. Иногда импортеры хитрят и занижают стоимость, чтобы уплатить меньше пошлин и налогов. Областью риска в этом случае будет декларирование таможенной стоимости при ввозе товаров.
Вот ещё пара примеров:
Обычно при управлении рисками идут от общего к частному: определяют область риска, ту конкретную активность, где могут возникать нарушения (на основе статистических данных, опыта или догадок), потом в рамках этой области оценивают риски (идентифицируют их, определяют причины, условия возникновения и вероятность с ущербом), и после этого решают, что с ними делать. Это работает, когда известны основные характеристики нарушений: когда, кто и почему этим занимается.
Бывает и наоборот — обнаружив нарушение, определяют область риска, где оно произошло. А потом её «раскапывают» до точного описания самого риска со всеми характеристиками и проводят оценку. Так поступают при поиске новых, неизвестных схем правонарушений.
Как оценивают риски?
Есть два основных подхода к этому вопросу: статический и динамический. Об этом говорит и теория, и практика, и официальные документы реформы российской контрольно-надзорной деятельности.
Статический (не путать со статистическим) подход выглядит так: светлые головы собираются за круглым столом, много спорят, разносят имеющиеся объекты контроля по «функциональным классам опасности» и утверждают какое-нибудь ведомственное распоряжение или приказ. Например, формируют вот такой список в порядке убывания опасности чрезвычайных ситуаций:
- 1 класс — атомные станции
- 2 класс — жилые многофункциональные комплексы
- 3 класс — здания организаций торговли
- 4 класс — кинотеатры, жилые дома
- 5 класс — киоски.
Вроде бы, всё верно. Если рванет атомная станция, мало никому не покажется — потенциально это очень опасный объект. Наверное, следует немедленно отправить всех имеющихся проверяющих на ближайшую АЭС, и не выпускать, пока не найдут все нарушения.
Но как часто происходят аварии на атомных электростанциях? Последний раз в мире это случилось на АЭС «Фукусима-1» в 2011 году, 7 лет назад (в России 43 года назад — в 1975 году). Увы, пожары в торговых центрах и кинотеатрах случаются чаще: если верить прессе, крупные трагедии с жертвами в России с 2005 года происходили 8 раз (включая «Зимнюю вишню»), а весной 2018 года всего за 2 недели произошло 3 крупных пожара на торговых площадях.
В этом недостаток подхода на основе классов опасности: нештатные ситуации случаются не по нормативам, которые мы определили для угроз. Мир слишком хаотичен. Среда, в которой находятся объекты контроля, постоянно меняется, меняются и сами объекты. То, что работало вчера, необязательно сработает завтра. Кроме того, опасный объект — необязательно объект с нарушениями.
Другой подход, который применяется, в частности, в банках — динамическая оценка риска на основе поведения клиента (ее иногда называют «поведенческой» оценкой). На основе информации о платежах клиента по предыдущим и текущим кредитам, по данным о его активности определяется вероятность невозврата кредита. Очень упрощенно: если клиент просрочит очередной платеж — вероятность повысится, если платежная дисциплина улучшится — снизится.
То же применимо в госконтроле. Риск неполной уплаты налогов можно регулярно переоценивать по сданным налоговым декларациям и характеристикам экономической деятельности и сведениям от онлайн-касс. Риск выдачи недействительных сертификатов соответствия — по объемам документов, выданных сертификационным центром, по данным о тех, с какими испытательными лабораториями и заявителями он работал. И так далее.
Динамическая оценка риска для государственного контроля более предпочтительна, чем статическая, поскольку, в конечном счете, государство имеет дело не со статичными предметами, товарами или документами, а с лицами, которые их производят, ввозят, создают или уничтожают. Нарушают не предметы — нарушают люди. И за каждым человеком стоит определенный паттерн поведения. Именно его нужно обнаружить, чтобы выявить риск и осознать, к чему и когда он приведет.
Это задача анализа рисков, который можно проводить по-разному: руководствоваться опытом, интуицией и суждениями экспертов, опираться на статистику или применять современные технологии обработки данных.
Мы считаем, что для оценки рисков перспективнее всего сочетать накопленный опыт с машинным обучением. Это позволит на основе информации о предшествующей деятельности объекта предсказать, где возникнут нарушения в будущем. Такой риск-менеджмент выгодно отличается от «затыкания дыр» по мере их возникновения. Из реактивного госконтроль превращается в проактивный.
Например, для органов охраны окружающей среды можно заранее оценить риск нелегального негативного воздействия (сверх установленных нормативов) предприятия на окружающую среду. Это можно сделать по характеристикам его предшествующей деятельности: потреблению ресурсов, производству и нештатным ситуациям.
Для органов, занимающихся чрезвычайными происшествиями, теми же пожарами (в России — МЧС), целесообразно оценивать риск возгорания по каждому зданию: по его состоянию, социально-демографическим данным района и истории происшествий. По данным от физических датчиков и спутниковым снимкам возможно прогнозировать сход сели и минимизировать человеческие жертвы.
Для таможенных органов риск контрабанды можно спрогнозировать по характеристикам цепочки поставки товаров и участвовавшим в ней организациями. А с точки зрения борьбы с терроризмом в Росфинмониторинге — определить физических лиц с высоким риском причастности к террористической деятельности по параметрам проводимых ими финансовых операций.
Машинное обучение позволяет переварить весь имеющийся (и растущий от года к году) набор сведений об объектах контроля, вычленить значимую информацию и построить модель правонарушения, которая подскажет, кто, где и когда его, скорее всего, совершит.
Но об этом в следующей статье. Не переключайтесь, рекламы не будет.
