基于大數據的企業(yè)風險管理制度設計

張悅 樊一陽（教授）

（上海外國語大學賢達經濟人文學院商學院 上海 200083 上海理工大學管理學院 上海 200093）

近年來，隨著我國經濟發(fā)展開始由高速度發(fā)展向高質量發(fā)展的轉型，市場競爭更加激烈，企業(yè)發(fā)展面臨更多的不確定性，風險管理日益重要。為此，2018年8月，財政部印發(fā)了《管理會計應用指引第700號——風險管理》（以下簡稱《指引》），以促進企業(yè)加強風險管理，提高企業(yè)價值?！吨敢返挠“l(fā)對企業(yè)進行系統(tǒng)、及時、有效的風險管理起到了關鍵的指導作用。

一、大數據背景下企業(yè)風險管理的特點

（一）綜合性。大數據環(huán)境下，企業(yè)采集和存儲的數據類型多樣，除了傳統(tǒng)的報表、數據庫等結構化數據之外，還有影音、圖形、郵件、日志文件等非結構化數據。企業(yè)的數據來源也極為豐富，可以存取內部的歷史數據和預測數據，還可與供應商、客戶、政府、行業(yè)協(xié)會等外部機構進行系統(tǒng)對接。因此，企業(yè)可以利用大數據技術，從各個角度全面進行風險識別和風險分析，同時對企業(yè)各個業(yè)務環(huán)節(jié)進行風險管理。

（二）前瞻性。大數據技術一直注重提高數據處理速度，利用大數據進行風險管理時，企業(yè)可很大程度上避免因數據缺乏、信息滯后造成的問題。當風險因素出現(xiàn)時，企業(yè)可及時預測并做出預警，以便及早做出應對措施，減少不利影響。

（三）復雜性。結構和技術本身的復雜性和風險性是采用大數據的最大挑戰(zhàn)。程學旗等（2014）認為，大數據計算的復雜性包括數據、計算和系統(tǒng)三個層面。此外，大數據的信息規(guī)律性差、價值密度低，往往需要進行數據的清洗和篩選才能提取出有價值的信息。提供大數據服務的企業(yè)也在不斷改進和更新其產品和技術，使其客戶需要不斷適應變化，也提高了數據處理的風險。

二、大數據下風險管理制度的構建

（一）基本原則。企業(yè)可遵照《指引》中所提的四條原則為出發(fā)點，結合大數據技術的特點，針對企業(yè)經營管理活動進行風險管理。

1.融合性原則。企業(yè)應當利用大數據技術，綜合全面地獲取和處理各類數據，將企業(yè)各個職能部門的經營管理活動結合起來。

2.全面性原則。大數據技術強調數據的挖掘和分析，突破了傳統(tǒng)風險管理無法“求多求全”的困境，所以企業(yè)應當盡可能全面地涵蓋各個層級的風險類型和業(yè)務內容。

3.重要性原則?？紤]到數據的價值密度較低，在運用大數據技術時，企業(yè)應當注重對數據的壓縮和提取，盡可能高效地將資源分配給重點風險領域。

4.平衡性原則。大數據技術從硬軟件支持到人力和數據分析活動，成本遠高于傳統(tǒng)風險管理活動，因此企業(yè)應當在成本與收益之間尋找適當的平衡點。

（二）基本框架?！吨敢访鞔_了企業(yè)風險管理的流程。以此為基礎，在大數據環(huán)境下，企業(yè)的風險管理框架如圖1所示，包括基礎設施平臺、大數據技術、風險管理應用活動三個層面。其中，基礎設施平臺是采用大數據技術的硬軟件基礎；大數據技術是數據的采集、存儲和提取使用的信息技術方法；風險管理應用活動則是根據企業(yè)戰(zhàn)略目標和已經確定的針對不同類型風險的偏好程度，持續(xù)地進行風險識別和評估，對于超過預警臨界值的風險及時予以應對，并定期對企業(yè)的風險管理制度進行監(jiān)控和調整。

圖1 大數據環(huán)境下的企業(yè)風險管理框架

（三）大數據技術在風險管理中的應用。

1.數據的采集。數據采集是大數據技術的基礎。企業(yè)可以建立合適的數據采集引擎，通過與內外部相關實體接口對接，或采用開放數據庫、底層數據交換等方式，實時準確地獲取數據。數據采集的技術可以是云端核算決策系統(tǒng)常用的SaaS，也可以使用日志采集和網絡爬蟲技術，將非結構化數據提取出來，盡可能充分地獲取與內外部風險相關的信息，并與企業(yè)的業(yè)務結合起來。

2.數據的存儲。相比傳統(tǒng)結構型數據庫，Hadoop更適合作為大數據環(huán)境下的會計數據存儲平臺，數據的處理也轉變?yōu)榧惺胶头植际较噍o相成。企業(yè)可在Hadoop存儲平臺上將數據整合在一起，同時利用分布式存儲，一方面利用不同終端存儲數據，一方面實現(xiàn)各個終端的數據共享，以便進行數據的分析。另外，為了提高存儲的效率，數據壓縮和刪重也是企業(yè)需要注意之處。

3.數據的提取。數據的提取和分析是利用大數據進行企業(yè)管理的核心，管理會計系統(tǒng)可以依托于運算邏輯，采用數據倉庫系統(tǒng)，進行數據的統(tǒng)一匯集和處理。在風險管理中，企業(yè)在對數據源進行清理和裝載等預處理之后，可將已經結構化的數據存放于數據倉庫中，進行數據分析、數據挖掘等前端應用，并通過可視化的報表等形式為后續(xù)決策提供依據。這一過程的重點在于將采集到的信息轉換為決策有用的數據，根據事先確定的目標和需要進行建模和挖掘，進而分析、預測、估計和指示。

（四）大數據技術和風險管理流程的結合。秦榮生（2015）建議企業(yè)建立財務共享中心，聚集業(yè)務和財務數據，并提升大數據分析與應用能力，重視數據挖掘、數據結構和權重的分析、特征分析和趨勢研究。李海群和陸煜（2019）在對電力公司風險管理機制的創(chuàng)新研究中，提出了“風險識別-量化評估-風險應對-監(jiān)督改進”的風險管理路徑。因此，在將大數據思維應用于風險管理活動時，企業(yè)可一方面以《指引》為指導，一方面建立利用數據量的優(yōu)勢，實時監(jiān)測風險，綜合不同來源、不同類型的數據，借助計算機算法和模型，全面、適當地分析、預測和應對風險。

1.戰(zhàn)略目標與風險偏好。企業(yè)的風險管理活動應與戰(zhàn)略目標相一致。企業(yè)對待風險的態(tài)度決定了風險管理的目標，對于不同類型的風險，企業(yè)愿意承擔的風險也可能有所不同。為了高效利用大數據技術，企業(yè)應將戰(zhàn)略目標具體化，將自身對待不同類型風險的偏好程度定量化，以便建立符合風險管理需要的標準，以此標準對后續(xù)風險的識別和評估起到標桿作用。

2.風險識別?！吨敢返娜嫘栽瓌t要求企業(yè)盡可能全面地識別風險因素。因此，企業(yè)應當明確引起風險的事項及其相關影響因素，特別是理論或經驗表明會造成不利影響的事件，應在進行數據采集時重點監(jiān)控。企業(yè)高級管理層、職能部門和風險管理部門需協(xié)同工作，編制詳細、全面的事項目錄，并及時進行溝通。對于會觸發(fā)高風險的事項，應及時進行分析和預警；對于致險因素，應進一步進行數據挖掘，分析對企業(yè)造成影響的可能性和影響范圍。企業(yè)的數據采集可著重和業(yè)務流程相結合，對與行業(yè)環(huán)境、業(yè)務流程相關的風險予以特別關注，同時應不斷擴大事項目錄，結合歷史經驗，完善事項目錄。

3.風險評估。風險矩陣是《指引》建議采用的風險評估工具之一，是指通過分析風險的可能性和影響程度，并據此進行預測、評級。在風險評估過程中，企業(yè)可以預先設定的標準和計算方法為基礎，對不同類型的風險因素給予不同權重，或借助系統(tǒng)建立數學模型，精確地評估大數據技術識別到的風險因素的影響，使分析結果更加客觀合理。例如，根據歷史經驗計算不同風險類型下風險因素的出現(xiàn)概率、量化影響期望值、估算風險的持續(xù)時間等。對于某些類別的風險，例如法律風險，數據的豐富性對評估結果可能產生巨大的影響。此外，得益于大數據技術，企業(yè)可以將不同來源之間的數據進行交叉索引，通過查詢和挖掘，對風險的形成和風險因素的特點形成清晰的認識，進而在風險評估時更有針對性。當然，由于數據量龐大，企業(yè)也應本著成本效益原則，注重數據提取過程的優(yōu)化，提高風險管理效率。

4.風險預警。根據《指引》的重要性和平衡性原則，企業(yè)可通過數據分析，識別重點關注的風險，對其進行重點監(jiān)測和適時預警。大數據技術使預設的指標體系更為客觀和細致，應適合不同風險主體，適應不斷變化的內外部環(huán)境。例如，企業(yè)可以“定制”不同類型的風險預警體系，細化同一風險對不同業(yè)務環(huán)節(jié)的預警臨界值，分別進行預警分級。預警臨界值可分為定性和定量兩類，當數據系統(tǒng)將風險因素確定為某類需要引起特別注意的特定風險，或預測結果超過一定數值時，就會進行預警。企業(yè)還可利用大數據技術實現(xiàn)更為合理的責任分配，根據數據分析的結果判斷相關主體，并采取相應措施，而不應采用傳統(tǒng)的“一刀切”，避免權責不匹配導致的部門間推脫責任或溝通不暢。

5.風險應對。風險應對是風險管理中最關鍵的一環(huán)，需要企業(yè)利用現(xiàn)有數據和報告進行決策。《指引》中建議的風險應對策略可以按照風險類別大致分為兩類，一類是機會性或有利因素帶來的風險，可采用接受、規(guī)避、轉移、降低的方法加以應對，另一類是威脅性或不利因素帶來的風險，可采用分擔、對沖、轉換、補償的方法加以應對。這一過程涉及各管理層和職能部門的溝通和判斷，為了減少人為主觀因素的影響，企業(yè)可以在數據分析時結合評估結果，提供歷史經驗數據或行業(yè)標準，也可采用數學模型對不同決策可能產生的不同結果進行預測和比較，結合不同部門的目標需要，以供決策層參考。同時，企業(yè)各層可結合數據和預測制定應急計劃，將其存入云端，在相關高風險出現(xiàn)時自動匹配，并通知相關部門和人員，及時進行控制活動。

6.數據更新和方案調整。在風險相關決策過程中，企業(yè)應持續(xù)采集相關風險的最新信息，通過數據分析，對風險事項進行動態(tài)跟蹤，調整應對措施和設計的職能部門，優(yōu)化風險管理決策。在企業(yè)采取相應風險應對決策后，還應考慮到相關的剩余風險和附加風險，繼續(xù)采集和分析最新信息，進行模擬運算，以確定決策的影響，如果發(fā)現(xiàn)決策有偏差，特別是應急預案存在不足時，應及時調整修正。對于風險高、影響面廣的事項，持續(xù)的數據挖掘和分析能大大提高預測的準確度，而對于經濟環(huán)境、政策制度等外部因素，不斷對現(xiàn)有數據進行補充也可促使企業(yè)及時采取應對措施，要充分利用大數據技術能實時獲取不同來源的數據、快速分析、提前預測的特點，這是大數據環(huán)境下進行風險應對的核心所在。

（五）大數據環(huán)境下的信息安全。在企業(yè)利用大數據進行風險管理活動時，還應建立應對信息安全的控制活動。第一，制定針對網絡安全的內部控制，明確人員的權限，設置防火墻，嚴格防控未經授權的訪問，從而保護信息安全。第二，不斷對系統(tǒng)進行升級、維護，及時處理存在安全隱患的漏洞。第三，詳細記錄數據系統(tǒng)的活動，例如訪問者、訪問地址、修改記錄等，防止非法讀寫，也有助于進行系統(tǒng)分析。第四，注重數據備份和容災方案，防止意外狀況下數據的丟失。

三、大數據環(huán)境下《指引》框架的落實

在風險管理制度基本框架之下，企業(yè)還應根據自身情況，不斷對其風險管理活動加以完善。企業(yè)可以采用“4+1”式的支撐體系，以戰(zhàn)略目標為指導，以《指引》的基本原則為標準，從經營管理層面和數據技術層面落實風險管理制度。

（一）經營管理層面。

1.效果。效果維度著重利用財務和非財務指標對風險管理結果進行評價，包括評價相關管理活動是否減少不利影響，風險因素出現(xiàn)后是否及時反映，預警臨界值和風險等級的確定是否恰當，對于不同風險類型的決策結果是否恰當等。當然，企業(yè)應將主要資源集中于會產生重大影響的風險，需要平衡成本投入與管理效果，實現(xiàn)成本效益最大化。

2.流程。流程維度是對風險管理過程的評價。企業(yè)應結合《指引》框架，識別出風險分析方法和和制定應對策略過程中的缺陷和問題，判斷是否能結合實時數據進行決策調整，并加以優(yōu)化、減少不確定性的影響，還應根據企業(yè)自身特點去冗去繁，提高風險管理的效率。另外，企業(yè)還應定期審查制度文件、針對重點風險的應急計劃和與風險管理相關的第三方合同協(xié)議，及時發(fā)現(xiàn)和糾正缺漏之處。

3.結構。結構維度評價的是員工在風險管理活動中的參與情況。首先，企業(yè)應注重培養(yǎng)各級員工的風險管理意識，定期進行考核和培訓。其次，企業(yè)應考察各部門、各層級、各業(yè)務單位的參與情況，促進中高管理層和風險管理部門與各職能部門合作，解決溝通和權責分配工作中的不足之處，有效發(fā)揮各部門的功能。

4.數據。數據維度主要用于評價數據的豐富性和完整性。企業(yè)的數據系統(tǒng)會持續(xù)采集外部數據，員工在日常經營管理活動中會生成內部數據，企業(yè)應盡可能全面地上傳、采集和保存相關數據，這些數據包括內部預算、各類報表和報告、系統(tǒng)執(zhí)行結果、內外部人員溝通記錄等內部數據，以及通過系統(tǒng)對接或數據挖掘獲得的外部企業(yè)、行業(yè)和政府數據等。

（二）數據技術層面?；诖髷祿娘L險管理制度對信息技術極為依賴，企業(yè)的技術部門和其他業(yè)務部門應相互協(xié)作，從數據技術層面提供支持。秦榮生（2015）提出了大數據環(huán)境下的容錯率思維和相關性思維，建議企業(yè)適當降低對數據精確度的要求、側重及時性，通過相關信息認識事物本質?；谶@一思想，企業(yè)可在技術層面重點關注數據的相關性和及時性，兼顧提升數據有效性和價值密度，以期實現(xiàn)在風險因素出現(xiàn)時可以快速、準確地加以防范和應對。同時，企業(yè)可對數據的采集、挖掘、提取和分析的能力進行綜合測評，聘用和培養(yǎng)綜合性技術人員，定期維護和更新硬件基礎設施和軟件應用。信息安全的控制活動也是企業(yè)應重點關注的，企業(yè)應制定數據使用規(guī)范、設定安全防御措施，還應建立適當的評估體系，從技術層面支持企業(yè)的風險管理活動。