集团化企业经营业态复杂,数字化转型失败的风险大。而我国的风险管理事业起步较晚,企业内各部门“自扫门前雪”现象普遍,风险管理零散分裂,精细化程度不够。有的照搬西方风险管理的细节,却无法消化本质,风险管理的组织状态很难有效支撑转型战略的真正落地。国有企业响应国家战略部署,加强落实风险管理的监管要求,探索并实施一个合适的全面风险管理框架,对实施数字化转型和发展数字经济具有重要意义。
现有研究主要从技术角度以及由技术升级引发的变革角度对数字化转型进行探讨,其真正含义是用治理逻辑来对数据的权责和运行等进行规范,但这容易忽略对治理情景本身的考虑。仅仅依靠资金和技术投入不足以支撑转型的成功。
大量企业的风险管理实践都表明,风险管理没有最好的框架只有最适合的框架。知名风险管理专家John Bugalla和James Kallman认为“最常被使用的往往是一个混合的框架,所谓混合模式的概念,就是选取两个框架(COSO和ISO31000)中更好更适合的部分并有机结合起来,从而产生一个更定制化的框架以服务企业的实际需求”。
可以把混合模式的概念进一步拓展:通过数字化可以提升风险治理技术,也应以风险视角对数字技术的应用进行治理。风险管理框架不仅需要混合使用,还可以在混合的基础上嵌套数据治理框架,从而实现双重视角的风险管理。
考虑到企业风险管理的现状,在基本框架的选择上:一要容易得到广泛接受和理解;二要考虑逐步与世界先进理念接轨,渐进式提升;三要注重实用性和可操作性。因此选择以财政部等五部委联合发布的《企业内部控制基本规范》结构为基础,结合《企业风险管理整合框架》(COSO-ERM)的部分要素概念,设计混合版风险控制框架,简称“定制框架”(如图1所示)。
1.定制框架中,风险管理的目标有5个,分别为战略发展、经营效率效果、财报真实、资产安全、合法合规。其中,在资产安全目标上,国有企业可以选择的余地并不多,但追求资产绝对的安全也是不切实际的。
2.设计6个风险管理要素,分别为内部环境、目标制定、风险评估、控制活动、信息与沟通、监督。其中,目标制定是风险管理流程的首要步骤,必须建立其基本要素的地位;信息与沟通要素中,需要鼓励员工在意识到重要风险后积极与管理层进行交流,而管理层也应当重视员工的反馈。
数据本身就是重要的战略资产,部分文献以此构建了数据治理框架。
以吴信东博士的大数据治理框架(如图2所示)作为嵌套对象。该框架提出:治理主体根据需求对数据治理进行评估,以设定数据治理的目标和发展方向,然后指导与推进数据治理战略的制定与实现,并且监督实施数据治理的全过程。
大数据治理框架的原则可拆分为三部分,分别嵌套融合。其中,“战略一致”“运营合规”并入定制框架的目标中;“风险可控”由定制框架提供整体支持;“价值创造”则经由“大数据服务创新”成为定制框架所体现价值的一部分。
定制框架的监督要素负责大数据治理框架“实施与评估”部分的“审计”内容;风险评估要素负责“成熟度评估”;目标制定要素负责“促成因素”;而“实施过程”则由定制框架整体进行管控。
除了定制框架整体和大数据治理框架的“数据生命周期管理”“数据质量管理”持续对核心域的剩余部分进行双重管控外,定制框架的信息与沟通、风险评估、目标制定三项要素还需要接受大数据治理的管理指导。经过解构与重组之后得到融合框架(如图3、图4所示)。
框架结构上的嵌套仅仅是设计层面的,有机融合还需要风险语言从中进行牵引,避免出现“两张皮”的情况。
风险语言体系属于企业文化的一部分,具有不同的行业特色,企业内部沟通时也有各自习惯,所以具有一定范围内适用的特殊性。数字技术的进步,为风险语言体系的上下贯通和发展提供良好的条件。
要建设好风险语言体系需要充分认识到其必要性并使用一些合适的方法,主要包括以下几个方面。
1.构建风险语言(语义)分类系统的必要性。风险语言的不统一会造成内部沟通上的障碍,突出表现为对“风险”的认知和态度不同。统一沟通标准,让不同业务线负责人使用通用语言来探讨风险,对成功实施全面风险管理有重要意义。
2.统一集团化企业的风险语言(语义)分类系统的方法。一般有6个步骤:确定概念范围、借鉴或复用现存本体、列出重要词汇、确定分类关系、确定各概念的属性、创建实例。这些步骤没有绝对的先后关系,只要能够保证成功构建一个本体,各步骤的工作可以交叉进行。
3.统一评价指标体系。一是在集团层面统一绩效指标描述标准,如将经营效率效果目标由“提升客户满意度”,细化成“退换货率达到X%以下”。二是设定并跟踪关键风险指标(KRI),如“员工流动率”“客户投诉次数”等。三是统一指标值的计量基础要求,如对电源使用效率(PUE)指标,要求对重要耗电设备单独安装电表进行计量,确保计算准确性,减少人为调节指标值的操作空间。除统一定量指标外,对某些风险定性指标也进行统一赋值,有利于风险评估工作的进行。
4.通过表单管理,规范业务描述,灌输风险语言。表单用简洁的文字或直观的图形来突出制度执行中的关键节点,表单管理可以显著提高管理质量和效率。一方面,规范表单的制订过程是对制度的重新思考与分析,是结合组织架构、制度、流程的统筹设计,将风险语言融入表单流转、报表填制等工作环节,潜移默化地灌输风险概念;另一方面,制订表单是对制度管控的进一步细化,同类型业务的表单还可以支持在不同企业间相互通用,提高统一标准覆盖范围。通过表单更容易让技术开发人员理解业务流程,这也有利于流程的信息化转换或数字化再造。
集团化企业是一个稳定的多层次经济组织,内部情况复杂,整体数字化转型成功的难度更高,需要应对多元化市场环境中更多的未知风险,转型失败的可能性和影响也更大。在实施转型上宜采取以下几个策略。
1.分块管理。对集团组织体系进行分块分析,主业突出且纵向发展的集团可按原料供应、生产组织、产品销售、其他副业等分块;横向发展的集团则主要按产业板块划分,也可以把轻、重资产的比例作为划分依据。
2.分层分散试点。需要准确区分集团中各成员企业的发展阶段,并进行管理链条的解构与重建,让机械式组织结构中组织生命活力较高的企业,集中发挥优势,树立内部标杆,带动提高集团整体应对转型风险的能力。其好处在于,一是可以集中管理精力,把工作做细做实;二是试错影响可控,便于纠正。
试点过程需要形成纵向和横向的协同联动。集团总部发挥战略协调统筹的领导作用,对框架推行、数据治理等涉及战略方向的内容做政策引导、支持和约束;总部的职能部门提供资源、信息、方案支持;试点企业对内统一认识,对外积极交流,允许向上反映困难、不满,立体收集试点经验;集团技术部门对试点企业的需求采取资源倾斜政策,优先保障技术支持。
在试点企业开展融合推进过程中,除了内部评价、自主优化,还需要集团内部审计部门同时从融合框架的风险管理与数据治理两个层面提供客观评价,进一步推动改革改进。
企业决策层需要展现对推动全面风险管理的坚定决心并提供有力支持。风险管理需要自上而下推动深化,企业领导的态度是构建企业风险管理文化的关键基石。同时,将风险管理纳入组织治理和决策中是确保其有效性的必要条件。
在初始阶段,管理框架的融合离不开专业人才的贡献;在具体实施时,也需要部署、扩增、储备人才资源;在优化阶段则需发挥人才优势,通过培训和学习,加强员工对风险管理和数据分析的理解和执行能力。
企业需要在基础设施、应用系统、数据传输三方面做好数据安全保障。从针对单个软件或设备的被动式管理,转向构建全系统的主动安全防御体系。
本文建立了风险管理与数据治理双重视角的全面风险管理融合框架,将风险语言体系、指标评价体系、分层分散试点等重要举措作为落实融合框架的“针线”。风险管理人员可以以所在企业的经营管理环境为基础,从管理细节入手,借助数字化发展大势,打造风险管理的数字技术工具,保护和创造企业价值。
文章摘自《中国内部审计》杂志2023年第6期,内容有删减。
作者:徐锦婷 黄毅哲
单位:杭州钢铁集团有限公司
编辑:孙哲