徐锦婷 黄毅哲

[摘要]本文探讨数字化转型背景下国有集团化企业融合构建风控体系的关键路径，即以国有企业风险管理现状为基础，在框架设计上将风险管理与大数据治理嵌套融合，通过数字化转型体现风险管理价值，并通过构建风险语言体系使两者有机融合，希望为国有集团化企业风险管理提供参考思路。

[关键词]数字化转型   全面风险管理   风险语言   表单管理

一、引言

数字化转型具有较大的不确定性，它会引发个人、组织和产业等多个层面的变革，并且在某些方面产生消极影响，给企业带来诸多风险与挑战。普华永道会计师事务所2018年的全球数字化运营调研报告显示，调研范围内仅有10%的制造类企业在数字化转型方面取得了成功；据埃森哲公司2022年的中国企业数字化转型指数报告反映，仅有17%的企业在数字化转型方面成效显著。其他文献分析了多数组织数字化方面的问题：未警惕数据质量对信息数据平台建设、分析及应用等方面的重要影响而盲目投入，缺乏对数据资源的整体规划和综合治理，最终导致一些项目终止实施和失败。

集团化企业经营业态复杂，转型失败的风险更大。而我国的风险管理事业起步较晚，企业内各部门“自扫门前雪”现象普遍，风险管理零散分裂，精细化程度不够。有的照搬西方风险管理的细节，却无法消化本质，风险管理的组织状态很难有效支撑转型战略的真正落地。国有企业响应国家战略部署，加强落实风险管理的监管要求，探索并实施一个合适的全面风险管理框架，对实施数字化转型和发展数字经济具有重要意义。

二、相关定义概述

（一）风险语言

风险语言分为通俗语言（往往是损失、问题、危机的代名词，并非真正的风险）和专业风险语言两种，这是两种具有明显差异甚至对立的语言体系。专业的风险语言是随着金融风险管理专业化而发展起来的，每一个概念和提法都内涵清晰、相应的实施工具和方法、有科学系统的理论支持的语言体系。

（二）本体论

本体论是一种概念化的详细说明，主要用于定义某一领域或领域内的专业术语以及相互之间的关系。在这些概念的支持下，知识的搜索、积累和共享的效率能够得到显著提高，增加了真正实现知识重用和共享的可能性。

（三）治理技术与技术治理

企业对数字技术的规制，可以称为治理技术；企业按照数字技术的逻辑，对自身进行改造与适应，可以称为技术治理。

三、框架设计和融合

现有研究主要从技术角度以及由技术升级引发的变革角度对数字化转型进行探讨，其真正含义是用治理逻辑来对数据的权责和运行等进行规范，但这容易忽略对治理情景本身的考虑。爱尔兰科克大学商业信息系统学部教授Ciara Heavin认为，数字化转型的成功不仅依赖于技术，还需要优秀的领导、支持性的文化和新的业务流程。北京国泰道合董事长陈毅贤在中国企业发展论坛上提出，国有企业需要用经营责任制来应对“五慢”（发现机会慢、响应速度慢、内外部流程慢、决策速度慢、产品上线慢）。由此可见，仅仅依靠资金和技术投入不足以支撑转型的成功。

大量企业的风险管理实践都表明，风险管理没有最好的框架只有最适合的框架。知名风险管理专家John Bugalla和James Kallman认为“最常被使用的往往是一个混合的框架，所谓混合模式的概念，就是选取两个框架（COSO和ISO31000）中更好更适合的部分并有机结合起来，从而产生一个更定制化的框架以服务企业的实际需求”。

可以把混合模式的概念进一步拓展：通过数字化可以提升风险治理技术，也应以风险视角对数字技术的应用进行治理。风险管理框架不仅需要混合使用，还可以在混合的基础上嵌套数据治理框架，从而实现双重视角的风险管理。

（一）基础框架的选择和设计

考虑到企业风险管理的现状，在基本框架的选择上：一要容易得到广泛接受和理解；二要考虑逐步与世界先进理念接轨，渐进式提升；三要注重实用性和可操作性。因此选择以财政部等五部委联合发布的《企业内部控制基本规范》结构为基础，结合《企业风险管理整合框架》（COSO-ERM）的部分要素概念，设计混合版风险控制框架，简称“定制框架”（如图1所示）。

1.定制框架中，风险管理的目标有5个，分别为战略发展、经营效率效果、财报真实、资产安全、合法合规。其中，在资产安全目标上，国有企业可以选择的余地并不多，但追求资产绝对的安全也是不切实际的。

2.设计6个风险管理要素，分别为内部环境、目标制定、风险评估、控制活动、信息与沟通、监督。其中，目标制定是风险管理流程的首要步骤，必须建立其基本要素的地位；信息与沟通要素中，需要鼓励员工在意识到重要风险后积极与管理层进行交流，而管理层也应当重视员工的反馈。

（二）数据治理框架的嵌套与融合

数据本身就是重要的战略资产，部分文献以此构建了数据治理框架。

以吴信东博士的大数据治理框架（如图2所示）作为嵌套对象。该框架提出：治理主体根据需求对数据治理进行评估，以设定数据治理的目标和发展方向，然后指导与推进数据治理战略的制定与实现，并且监督实施数据治理的全过程。

大数据治理框架的原则可拆分为三部分，分别嵌套融合。其中，“战略一致”“运营合规”并入定制框架的目标中；“风险可控”由定制框架提供整体支持；“价值创造”则经由“大数据服务创新”成为定制框架所体现价值的一部分。

定制框架的监督要素负责大数据治理框架“实施与评估”部分的“审计”内容；风险评估要素负责“成熟度评估”；目标制定要素负责“促成因素”；而“实施过程”则由定制框架整体进行管控。

除了定制框架整体和大数据治理框架的“数据生命周期管理”“数据质量管理”持续对核心域的剩余部分进行双重管控外，定制框架的信息与沟通、风险评估、目标制定三项要素还需要接受大数据治理的管理指导。经过解构与重组之后得到融合框架（如圖3、图4所示）。

（三）融合框架的“穿针引线”

框架结构上的嵌套仅仅是设计层面的，有机融合还需要风险语言从中进行牵引，避免出现“两张皮”的情况。

风险语言体系属于企业文化的一部分，具有不同的行业特色，企业内部沟通时也有各自习惯，所以具有一定范围内适用的特殊性。数字技术的进步，为风险语言体系的上下贯通和发展提供良好的条件。

要建设好风险语言体系需要充分认识到其必要性并使用一些合适的方法，主要包括以下几个方面。

1.构建风险语言（语义）分类系统的必要性。风险语言的不统一会造成内部沟通上的障碍，突出表现为对“风险”的认知和态度不同。通俗理解的“风险”偏重危害与损失，企业内部管理人员倾向隐瞒或回避，而专业风险管理人员采取中性立场，将威胁与机会一并考虑，更愿意谈论“风险”、探讨“机会”。认知和沟通态度上的矛盾成为国有企业推进风险管理的一个难点。另外，无论企业内部管理人员、运营人员还是学术研究人员在使用统一的风险术语方面都并没有遵循既定的规则。诸如噪声、模糊性、风险、威胁、危险、机会、脆弱性、影响、敞口、风险暴露、释放、解冻、风险资产、化解、覆盖等用词都是在定义中缺乏精确性的例子；有些看似使用了术语，如法律风险、信用风险、风险偏好等，实际使用者的表达和接收人的理解却又存在着偏差。基于自身经历和知识结构的语言习惯，增加了沟通的障碍。统一沟通标准，让不同业务线负责人使用通用语言来探讨风险，对成功实施全面风险管理有重要意义。

2.统一集团化企业的风险语言（语义）分类系统的方法。可以参考哲学的“本体论”，在整个集团范围内建立与风险有关的1到2个本体（如“事件识别”“风险指标”），用于定义基本概念间的关联关系。一般有6个步骤：确定概念范围、借鉴或复用现存本体、列出重要词汇、确定分类关系、确定各概念的属性、创建实例。这些步骤没有绝对的先后关系，只要能够保证成功构建一个本体，各步骤的工作可以交叉进行。

3.统一评价指标体系。一是在集团层面统一绩效指标描述标准，如将经营效率效果目标由“提升客户满意度”，细化成“退换货率达到X%以下”。二是设定并跟踪关键风险指标（KRI），如“员工流动率”“客户投诉次数”等。三是统一指标值的计量基础要求，如对电源使用效率（PUE）指标，要求对重要耗电设备单独安装电表进行计量，确保计算准确性，减少人为调节指标值的操作空间。除统一定量指标外，对某些风险定性指标也进行统一赋值，有利于风险评估工作的进行。

4.通过表单管理，规范业务描述，灌输风险语言。经过实践验证，以表单为有效载体促进各项专业管理逐级落地，是积极可行的。表单用简洁的文字或直观的图形来突出制度执行中的关键节点，表单管理可以显著提高管理质量和效率。一方面，规范表单的制订过程是对制度的重新思考与分析，是结合组织架构、制度、流程的统筹设计，将风险语言融入表单流转、报表填制等工作环节，潜移默化地灌输风险概念；另一方面，制订表单是对制度管控的进一步细化，同类型业务的表单还可以支持在不同企业间相互通用，提高统一标准覆盖范围。通过表单更容易让技术开发人员理解业务流程，这也有利于流程的信息化转换或数字化再造。

四、探索与实践中的重要方面

（一）分块管理，分层分散试点

集团化企业是一个稳定的多层次经济组织，内部情况复杂，整体数字化转型成功的难度更高，需要应对多元化市场环境中更多的未知风险，转型失败的可能性和影响也更大。在实施转型上宜采取以下几个策略。

1.分块管理。对集团组织体系进行分块分析，主业突出且纵向发展的集团可按原料供应、生产组织、产品销售、其他副业等分块；横向发展的集团则主要按产业板块划分，也可以把轻、重资产的比例作为划分依据。要谨慎划分板块，以虚拟组织形式为主。原则是既要利于集中资源进行风险评估，又要利于统筹实施产业数字化转型战略。

2.分层分散试点。根据企业生命周期理论，不同生命周期的企业，其发展特征、需防范的风险、管理水平、人员能力、企业价值等都不同。需要准确区分集团中各成员企业的发展阶段，并进行管理链条的解构与重建，让机械式组织结构中组织生命活力较高的企业，集中发挥创新意识强、技能知识熟、管理意识高、经营意识好、廉洁守正氛围浓等企业文化软实力优势，树立内部标杆，带动提高集团整体应对转型风险的能力。其好处在于，一是可以集中管理精力，把工作做细做实；二是试错影响可控，便于纠正。

试点工作能将集团融合框架的要素进一步明确：拓展业务层风险语言的词汇；将风险管理绩效指标融入到企业的具体目标；将已经识别出的风险落实到内控措施上加以管理，并通过各种图表来向决策层直观展现。

（二）有机协同联动

试点过程需要形成纵向和横向的协同联动。集团总部发挥战略协调统筹的领导作用，对框架推行、数据治理等涉及战略方向的内容做政策引导、支持和约束；总部的职能部门提供资源、信息、方案支持；试点企业对内统一认识，对外积极交流，允许向上反映困难、不满，立体收集试点经验；集团技术部门对试点企业的需求采取资源倾斜政策，优先保障技术支持。

（三）循环评估改进

在试点企业开展融合推进过程中，除了内部评价、自主优化，还需要集团内部审计部门同时从融合框架的风险管理与数据治理两个层面提供客观评价，进一步推动改革改进。

五、构建融合框架的关键支持

（一）组织清晰有力

企业决策层需要展现对推动全面风险管理的坚定决心并提供有力支持。风险管理需要自上而下推动深化，企业领导的态度是构建企业风险管理文化的关键基石。同时，将风险管理纳入组织治理和决策中是确保其有效性的必要条件。

（二）人力资源支持

在初始阶段，管理框架的融合离不开专业人才的贡献；在具体实施时，也需要部署、扩增、储备人才资源；在优化阶段则需发挥人才优势，通过培训和学习，加强员工对风险管理和数据分析的理解和执行能力，夯实风险量化管理基础，利用大数据分析挖掘的技术与手段，发现潜在的风险和机会，提高决策的精确性和效率。把风险管理的思维和数字技术结合，应用在风险预警、客户画像分析、消费趋势预测等方面，實现管理创效、技术变现。

（三）数据安全保障

企业需要在基础设施、应用系统、数据传输三方面做好数据安全保障。从针对单个软件或设备的被动式管理，转向构建全系统的主动安全防御体系。不断加强内部管控，研究制定数据安全治理战略，完善业务流程和安全管理制度；持续对关键数字基础设施进行国产化替代，确保基础系统、基础硬件、基础应用软件等独立自主。优化软件系统稳健性，预防外部入侵植入代码和内部程序缺陷导致系统崩溃或信息泄露，同时在网络、平台、硬件设施方面加强安全防护，确保关键数据的存储安全。

六、探索小结

集团化企业复杂的管理体系是导致内部环境梳理和任务分工协调困难的主要原因。因此，国有集团化企业实施全面风险管理、进行大数据治理需要董事会等决策层充分认识其必要性与困难程度，公开展现迎难而上的坚定决心，积极有力地投入人、财、物等资源，要以文化建设、能力建设为基础，以组织协调、数字技术支撑为保障，以提质增效、转危为机作为目标，持续性地开展相关工作。

本文建立了风险管理与数据治理双重视角的全面风险管理融合框架，将风险语言体系、指标评价体系、分层分散试点等重要举措作为落实融合框架的“针线”。风险管理人员可以以所在企业的经营管理环境为基础，从管理细节入手，借助数字化发展大势，打造风险管理的数字技术工具，保护和创造企业价值。

（作者单位：杭州钢铁集团有限公司，邮政编码：310022，电子邮箱：1011790267@qq.com）

主要参考文献

[1]王一鳴.我国国有企业风险管理现状及应对策略探讨[J].企业改革与管理， 2021（1）：27-28

[2]吴信东，董丙冰，堵新政，等.数据治理技术[J].软件学报， 2019（9）：2830-2856

[3]尤建新，彭博达，徐涛.基于失效模式及影响分析的数字化转型风险分析[J].同济大学学报（自然科学版）， 2022（2）：160-167

[4]曾德麟，蔡家玮，欧阳桃花.数字化转型研究：整合框架与未来展望[J].外国经济与管理， 2021（5）：63-76

[5]张冰.用表单教会员工“如何做”[J].企业管理， 2020（8）：93-95

[6]张铁男，李晶蕾.企业组织生命活力的评价研究[J].经济管理， 2002（10）：63-67