國有集團化企業在數字化轉型背景下構建風險管理框架的關鍵路徑研究

徐錦婷 黃毅哲

[摘要]本文探討數字化轉型背景下國有集團化企業融合構建風控體系的關鍵路徑，即以國有企業風險管理現狀為基礎，在框架設計上將風險管理與大數據治理嵌套融合，通過數字化轉型體現風險管理價值，并通過構建風險語言體系使兩者有機融合，希望為國有集團化企業風險管理提供參考思路。

[關鍵詞]數字化轉型? ?全面風險管理? ?風險語言? ?表單管理

一、引言

數字化轉型具有較大的不確定性，它會引發個人、組織和產業等多個層面的變革，并且在某些方面產生消極影響，給企業帶來諸多風險與挑戰。普華永道會計師事務所2018年的全球數字化運營調研報告顯示，調研范圍內僅有10%的制造類企業在數字化轉型方面取得了成功；據埃森哲公司2022年的中國企業數字化轉型指數報告反映，僅有17%的企業在數字化轉型方面成效顯著。其他文獻分析了多數組織數字化方面的問題：未警惕數據質量對信息數據平臺建設、分析及應用等方面的重要影響而盲目投入，缺乏對數據資源的整體規劃和綜合治理，最終導致一些項目終止實施和失敗。

集團化企業經營業態復雜，轉型失敗的風險更大。而我國的風險管理事業起步較晚，企業內各部門“自掃門前雪”現象普遍，風險管理零散分裂，精細化程度不夠。有的照搬西方風險管理的細節，卻無法消化本質，風險管理的組織狀態很難有效支撐轉型戰略的真正落地。國有企業響應國家戰略部署，加強落實風險管理的監管要求，探索并實施一個合適的全面風險管理框架，對實施數字化轉型和發展數字經濟具有重要意義。

二、相關定義概述

（一）風險語言

風險語言分為通俗語言（往往是損失、問題、危機的代名詞，并非真正的風險）和專業風險語言兩種，這是兩種具有明顯差異甚至對立的語言體系。專業的風險語言是隨著金融風險管理專業化而發展起來的，每一個概念和提法都內涵清晰、相應的實施工具和方法、有科學系統的理論支持的語言體系。

（二）本體論

本體論是一種概念化的詳細說明，主要用于定義某一領域或領域內的專業術語以及相互之間的關系。在這些概念的支持下，知識的搜索、積累和共享的效率能夠得到顯著提高，增加了真正實現知識重用和共享的可能性。

（三）治理技術與技術治理

企業對數字技術的規制，可以稱為治理技術；企業按照數字技術的邏輯，對自身進行改造與適應，可以稱為技術治理。

三、框架設計和融合

現有研究主要從技術角度以及由技術升級引發的變革角度對數字化轉型進行探討，其真正含義是用治理邏輯來對數據的權責和運行等進行規范，但這容易忽略對治理情景本身的考慮。愛爾蘭科克大學商業信息系統學部教授Ciara Heavin認為，數字化轉型的成功不僅依賴于技術，還需要優秀的領導、支持性的文化和新的業務流程。北京國泰道合董事長陳毅賢在中國企業發展論壇上提出，國有企業需要用經營責任制來應對“五慢”（發現機會慢、響應速度慢、內外部流程慢、決策速度慢、產品上線慢）。由此可見，僅僅依靠資金和技術投入不足以支撐轉型的成功。

大量企業的風險管理實踐都表明，風險管理沒有最好的框架只有最適合的框架。知名風險管理專家John Bugalla和James Kallman認為“最常被使用的往往是一個混合的框架，所謂混合模式的概念，就是選取兩個框架（COSO和ISO31000）中更好更適合的部分并有機結合起來，從而產生一個更定制化的框架以服務企業的實際需求”。

可以把混合模式的概念進一步拓展：通過數字化可以提升風險治理技術，也應以風險視角對數字技術的應用進行治理。風險管理框架不僅需要混合使用，還可以在混合的基礎上嵌套數據治理框架，從而實現雙重視角的風險管理。

（一）基礎框架的選擇和設計

考慮到企業風險管理的現狀，在基本框架的選擇上：一要容易得到廣泛接受和理解；二要考慮逐步與世界先進理念接軌，漸進式提升；三要注重實用性和可操作性。因此選擇以財政部等五部委聯合發布的《企業內部控制基本規范》結構為基礎，結合《企業風險管理整合框架》（COSO-ERM）的部分要素概念，設計混合版風險控制框架，簡稱“定制框架”（如圖1所示）。

1.定制框架中，風險管理的目標有5個，分別為戰略發展、經營效率效果、財報真實、資產安全、合法合規。其中，在資產安全目標上，國有企業可以選擇的余地并不多，但追求資產絕對的安全也是不切實際的。

2.設計6個風險管理要素，分別為內部環境、目標制定、風險評估、控制活動、信息與溝通、監督。其中，目標制定是風險管理流程的首要步驟，必須建立其基本要素的地位；信息與溝通要素中，需要鼓勵員工在意識到重要風險后積極與管理層進行交流，而管理層也應當重視員工的反饋。

（二）數據治理框架的嵌套與融合

數據本身就是重要的戰略資產，部分文獻以此構建了數據治理框架。

以吳信東博士的大數據治理框架（如圖2所示）作為嵌套對象。該框架提出：治理主體根據需求對數據治理進行評估，以設定數據治理的目標和發展方向，然后指導與推進數據治理戰略的制定與實現，并且監督實施數據治理的全過程。

大數據治理框架的原則可拆分為三部分，分別嵌套融合。其中，“戰略一致”“運營合規”并入定制框架的目標中；“風險可控”由定制框架提供整體支持；“價值創造”則經由“大數據服務創新”成為定制框架所體現價值的一部分。

定制框架的監督要素負責大數據治理框架“實施與評估”部分的“審計”內容；風險評估要素負責“成熟度評估”；目標制定要素負責“促成因素”；而“實施過程”則由定制框架整體進行管控。

除了定制框架整體和大數據治理框架的“數據生命周期管理”“數據質量管理”持續對核心域的剩余部分進行雙重管控外，定制框架的信息與溝通、風險評估、目標制定三項要素還需要接受大數據治理的管理指導。經過解構與重組之后得到融合框架（如圖3、圖4所示）。

（三）融合框架的“穿針引線”

框架結構上的嵌套僅僅是設計層面的，有機融合還需要風險語言從中進行牽引，避免出現“兩張皮”的情況。

風險語言體系屬于企業文化的一部分，具有不同的行業特色，企業內部溝通時也有各自習慣，所以具有一定范圍內適用的特殊性。數字技術的進步，為風險語言體系的上下貫通和發展提供良好的條件。

要建設好風險語言體系需要充分認識到其必要性并使用一些合適的方法，主要包括以下幾個方面。

1.構建風險語言（語義）分類系統的必要性。風險語言的不統一會造成內部溝通上的障礙，突出表現為對“風險”的認知和態度不同。通俗理解的“風險”偏重危害與損失，企業內部管理人員傾向隱瞞或回避，而專業風險管理人員采取中性立場，將威脅與機會一并考慮，更愿意談論“風險”、探討“機會”。認知和溝通態度上的矛盾成為國有企業推進風險管理的一個難點。另外，無論企業內部管理人員、運營人員還是學術研究人員在使用統一的風險術語方面都并沒有遵循既定的規則。諸如噪聲、模糊性、風險、威脅、危險、機會、脆弱性、影響、敞口、風險暴露、釋放、解凍、風險資產、化解、覆蓋等用詞都是在定義中缺乏精確性的例子；有些看似使用了術語，如法律風險、信用風險、風險偏好等，實際使用者的表達和接收人的理解卻又存在著偏差。基于自身經歷和知識結構的語言習慣，增加了溝通的障礙。統一溝通標準，讓不同業務線負責人使用通用語言來探討風險，對成功實施全面風險管理有重要意義。

2.統一集團化企業的風險語言（語義）分類系統的方法。可以參考哲學的“本體論”，在整個集團范圍內建立與風險有關的1到2個本體（如“事件識別”“風險指標”），用于定義基本概念間的關聯關系。一般有6個步驟：確定概念范圍、借鑒或復用現存本體、列出重要詞匯、確定分類關系、確定各概念的屬性、創建實例。這些步驟沒有絕對的先后關系，只要能夠保證成功構建一個本體，各步驟的工作可以交叉進行。

3.統一評價指標體系。一是在集團層面統一績效指標描述標準，如將經營效率效果目標由“提升客戶滿意度”，細化成“退換貨率達到X%以下”。二是設定并跟蹤關鍵風險指標（KRI），如“員工流動率”“客戶投訴次數”等。三是統一指標值的計量基礎要求，如對電源使用效率（PUE）指標，要求對重要耗電設備單獨安裝電表進行計量，確保計算準確性，減少人為調節指標值的操作空間。除統一定量指標外，對某些風險定性指標也進行統一賦值，有利于風險評估工作的進行。

4.通過表單管理，規范業務描述，灌輸風險語言。經過實踐驗證，以表單為有效載體促進各項專業管理逐級落地，是積極可行的。表單用簡潔的文字或直觀的圖形來突出制度執行中的關鍵節點，表單管理可以顯著提高管理質量和效率。一方面，規范表單的制訂過程是對制度的重新思考與分析，是結合組織架構、制度、流程的統籌設計，將風險語言融入表單流轉、報表填制等工作環節，潛移默化地灌輸風險概念；另一方面，制訂表單是對制度管控的進一步細化，同類型業務的表單還可以支持在不同企業間相互通用，提高統一標準覆蓋范圍。通過表單更容易讓技術開發人員理解業務流程，這也有利于流程的信息化轉換或數字化再造。

四、探索與實踐中的重要方面

（一）分塊管理，分層分散試點

集團化企業是一個穩定的多層次經濟組織，內部情況復雜，整體數字化轉型成功的難度更高，需要應對多元化市場環境中更多的未知風險，轉型失敗的可能性和影響也更大。在實施轉型上宜采取以下幾個策略。

1.分塊管理。對集團組織體系進行分塊分析，主業突出且縱向發展的集團可按原料供應、生產組織、產品銷售、其他副業等分塊；橫向發展的集團則主要按產業板塊劃分，也可以把輕、重資產的比例作為劃分依據。要謹慎劃分板塊，以虛擬組織形式為主。原則是既要利于集中資源進行風險評估，又要利于統籌實施產業數字化轉型戰略。

2.分層分散試點。根據企業生命周期理論，不同生命周期的企業，其發展特征、需防范的風險、管理水平、人員能力、企業價值等都不同。需要準確區分集團中各成員企業的發展階段，并進行管理鏈條的解構與重建，讓機械式組織結構中組織生命活力較高的企業，集中發揮創新意識強、技能知識熟、管理意識高、經營意識好、廉潔守正氛圍濃等企業文化軟實力優勢，樹立內部標桿，帶動提高集團整體應對轉型風險的能力。其好處在于，一是可以集中管理精力，把工作做細做實；二是試錯影響可控，便于糾正。

試點工作能將集團融合框架的要素進一步明確：拓展業務層風險語言的詞匯；將風險管理績效指標融入到企業的具體目標；將已經識別出的風險落實到內控措施上加以管理，并通過各種圖表來向決策層直觀展現。

（二）有機協同聯動

試點過程需要形成縱向和橫向的協同聯動。集團總部發揮戰略協調統籌的領導作用，對框架推行、數據治理等涉及戰略方向的內容做政策引導、支持和約束；總部的職能部門提供資源、信息、方案支持；試點企業對內統一認識，對外積極交流，允許向上反映困難、不滿，立體收集試點經驗；集團技術部門對試點企業的需求采取資源傾斜政策，優先保障技術支持。

（三）循環評估改進

在試點企業開展融合推進過程中，除了內部評價、自主優化，還需要集團內部審計部門同時從融合框架的風險管理與數據治理兩個層面提供客觀評價，進一步推動改革改進。

五、構建融合框架的關鍵支持

（一）組織清晰有力

企業決策層需要展現對推動全面風險管理的堅定決心并提供有力支持。風險管理需要自上而下推動深化，企業領導的態度是構建企業風險管理文化的關鍵基石。同時，將風險管理納入組織治理和決策中是確保其有效性的必要條件。

（二）人力資源支持

在初始階段，管理框架的融合離不開專業人才的貢獻；在具體實施時，也需要部署、擴增、儲備人才資源；在優化階段則需發揮人才優勢，通過培訓和學習，加強員工對風險管理和數據分析的理解和執行能力，夯實風險量化管理基礎，利用大數據分析挖掘的技術與手段，發現潛在的風險和機會，提高決策的精確性和效率。把風險管理的思維和數字技術結合，應用在風險預警、客戶畫像分析、消費趨勢預測等方面，實現管理創效、技術變現。

（三）數據安全保障

企業需要在基礎設施、應用系統、數據傳輸三方面做好數據安全保障。從針對單個軟件或設備的被動式管理，轉向構建全系統的主動安全防御體系。不斷加強內部管控，研究制定數據安全治理戰略，完善業務流程和安全管理制度；持續對關鍵數字基礎設施進行國產化替代，確保基礎系統、基礎硬件、基礎應用軟件等獨立自主。優化軟件系統穩健性，預防外部入侵植入代碼和內部程序缺陷導致系統崩潰或信息泄露，同時在網絡、平臺、硬件設施方面加強安全防護，確保關鍵數據的存儲安全。

六、探索小結

集團化企業復雜的管理體系是導致內部環境梳理和任務分工協調困難的主要原因。因此，國有集團化企業實施全面風險管理、進行大數據治理需要董事會等決策層充分認識其必要性與困難程度，公開展現迎難而上的堅定決心，積極有力地投入人、財、物等資源，要以文化建設、能力建設為基礎，以組織協調、數字技術支撐為保障，以提質增效、轉危為機作為目標，持續性地開展相關工作。

本文建立了風險管理與數據治理雙重視角的全面風險管理融合框架，將風險語言體系、指標評價體系、分層分散試點等重要舉措作為落實融合框架的“針線”。風險管理人員可以以所在企業的經營管理環境為基礎，從管理細節入手，借助數字化發展大勢，打造風險管理的數字技術工具，保護和創造企業價值。

（作者單位：杭州鋼鐵集團有限公司，郵政編碼：310022，電子郵箱：1011790267@qq.com）

主要參考文獻

[1]王一鳴.我國國有企業風險管理現狀及應對策略探討[J].企業改革與管理， 2021（1）：27-28

[2]吳信東，董丙冰，堵新政，等.數據治理技術[J].軟件學報， 2019（9）：2830-2856

[3]尤建新，彭博達，徐濤.基于失效模式及影響分析的數字化轉型風險分析[J].同濟大學學報（自然科學版）， 2022（2）：160-167

[4]曾德麟，蔡家瑋，歐陽桃花.數字化轉型研究：整合框架與未來展望[J].外國經濟與管理， 2021（5）：63-76

[5]張冰.用表單教會員工“如何做”[J].企業管理， 2020（8）：93-95

[6]張鐵男，李晶蕾.企業組織生命活力的評價研究[J].經濟管理， 2002（10）：63-67