基于大数据的企业风险管理制度设计

2021-01-27 05:38张悦樊一阳教授
商业会计 2021年1期
关键词:风险管理企业

张悦 樊一阳(教授)

(上海外国语大学贤达经济人文学院商学院 上海 200083 上海理工大学管理学院 上海 200093)

近年来,随着我国经济发展开始由高速度发展向高质量发展的转型,市场竞争更加激烈,企业发展面临更多的不确定性,风险管理日益重要。为此,2018年8月,财政部印发了《管理会计应用指引第700号——风险管理》(以下简称《指引》),以促进企业加强风险管理,提高企业价值。《指引》的印发对企业进行系统、及时、有效的风险管理起到了关键的指导作用。

一、大数据背景下企业风险管理的特点

(一)综合性。大数据环境下,企业采集和存储的数据类型多样,除了传统的报表、数据库等结构化数据之外,还有影音、图形、邮件、日志文件等非结构化数据。企业的数据来源也极为丰富,可以存取内部的历史数据和预测数据,还可与供应商、客户、政府、行业协会等外部机构进行系统对接。因此,企业可以利用大数据技术,从各个角度全面进行风险识别和风险分析,同时对企业各个业务环节进行风险管理。

(二)前瞻性。大数据技术一直注重提高数据处理速度,利用大数据进行风险管理时,企业可很大程度上避免因数据缺乏、信息滞后造成的问题。当风险因素出现时,企业可及时预测并做出预警,以便及早做出应对措施,减少不利影响。

(三)复杂性。结构和技术本身的复杂性和风险性是采用大数据的最大挑战。程学旗等(2014)认为,大数据计算的复杂性包括数据、计算和系统三个层面。此外,大数据的信息规律性差、价值密度低,往往需要进行数据的清洗和筛选才能提取出有价值的信息。提供大数据服务的企业也在不断改进和更新其产品和技术,使其客户需要不断适应变化,也提高了数据处理的风险。

二、大数据下风险管理制度的构建

(一)基本原则。企业可遵照《指引》中所提的四条原则为出发点,结合大数据技术的特点,针对企业经营管理活动进行风险管理。

1.融合性原则。企业应当利用大数据技术,综合全面地获取和处理各类数据,将企业各个职能部门的经营管理活动结合起来。

2.全面性原则。大数据技术强调数据的挖掘和分析,突破了传统风险管理无法“求多求全”的困境,所以企业应当尽可能全面地涵盖各个层级的风险类型和业务内容。

3.重要性原则。考虑到数据的价值密度较低,在运用大数据技术时,企业应当注重对数据的压缩和提取,尽可能高效地将资源分配给重点风险领域。

4.平衡性原则。大数据技术从硬软件支持到人力和数据分析活动,成本远高于传统风险管理活动,因此企业应当在成本与收益之间寻找适当的平衡点。

(二)基本框架。《指引》明确了企业风险管理的流程。以此为基础,在大数据环境下,企业的风险管理框架如图1所示,包括基础设施平台、大数据技术、风险管理应用活动三个层面。其中,基础设施平台是采用大数据技术的硬软件基础;大数据技术是数据的采集、存储和提取使用的信息技术方法;风险管理应用活动则是根据企业战略目标和已经确定的针对不同类型风险的偏好程度,持续地进行风险识别和评估,对于超过预警临界值的风险及时予以应对,并定期对企业的风险管理制度进行监控和调整。

图1 大数据环境下的企业风险管理框架

(三)大数据技术在风险管理中的应用。

1.数据的采集。数据采集是大数据技术的基础。企业可以建立合适的数据采集引擎,通过与内外部相关实体接口对接,或采用开放数据库、底层数据交换等方式,实时准确地获取数据。数据采集的技术可以是云端核算决策系统常用的SaaS,也可以使用日志采集和网络爬虫技术,将非结构化数据提取出来,尽可能充分地获取与内外部风险相关的信息,并与企业的业务结合起来。

2.数据的存储。相比传统结构型数据库,Hadoop更适合作为大数据环境下的会计数据存储平台,数据的处理也转变为集中式和分布式相辅相成。企业可在Hadoop存储平台上将数据整合在一起,同时利用分布式存储,一方面利用不同终端存储数据,一方面实现各个终端的数据共享,以便进行数据的分析。另外,为了提高存储的效率,数据压缩和删重也是企业需要注意之处。

3.数据的提取。数据的提取和分析是利用大数据进行企业管理的核心,管理会计系统可以依托于运算逻辑,采用数据仓库系统,进行数据的统一汇集和处理。在风险管理中,企业在对数据源进行清理和装载等预处理之后,可将已经结构化的数据存放于数据仓库中,进行数据分析、数据挖掘等前端应用,并通过可视化的报表等形式为后续决策提供依据。这一过程的重点在于将采集到的信息转换为决策有用的数据,根据事先确定的目标和需要进行建模和挖掘,进而分析、预测、估计和指示。

(四)大数据技术和风险管理流程的结合。秦荣生(2015)建议企业建立财务共享中心,聚集业务和财务数据,并提升大数据分析与应用能力,重视数据挖掘、数据结构和权重的分析、特征分析和趋势研究。李海群和陆煜(2019)在对电力公司风险管理机制的创新研究中,提出了“风险识别-量化评估-风险应对-监督改进”的风险管理路径。因此,在将大数据思维应用于风险管理活动时,企业可一方面以《指引》为指导,一方面建立利用数据量的优势,实时监测风险,综合不同来源、不同类型的数据,借助计算机算法和模型,全面、适当地分析、预测和应对风险。

1.战略目标与风险偏好。企业的风险管理活动应与战略目标相一致。企业对待风险的态度决定了风险管理的目标,对于不同类型的风险,企业愿意承担的风险也可能有所不同。为了高效利用大数据技术,企业应将战略目标具体化,将自身对待不同类型风险的偏好程度定量化,以便建立符合风险管理需要的标准,以此标准对后续风险的识别和评估起到标杆作用。

2.风险识别。《指引》的全面性原则要求企业尽可能全面地识别风险因素。因此,企业应当明确引起风险的事项及其相关影响因素,特别是理论或经验表明会造成不利影响的事件,应在进行数据采集时重点监控。企业高级管理层、职能部门和风险管理部门需协同工作,编制详细、全面的事项目录,并及时进行沟通。对于会触发高风险的事项,应及时进行分析和预警;对于致险因素,应进一步进行数据挖掘,分析对企业造成影响的可能性和影响范围。企业的数据采集可着重和业务流程相结合,对与行业环境、业务流程相关的风险予以特别关注,同时应不断扩大事项目录,结合历史经验,完善事项目录。

3.风险评估。风险矩阵是《指引》建议采用的风险评估工具之一,是指通过分析风险的可能性和影响程度,并据此进行预测、评级。在风险评估过程中,企业可以预先设定的标准和计算方法为基础,对不同类型的风险因素给予不同权重,或借助系统建立数学模型,精确地评估大数据技术识别到的风险因素的影响,使分析结果更加客观合理。例如,根据历史经验计算不同风险类型下风险因素的出现概率、量化影响期望值、估算风险的持续时间等。对于某些类别的风险,例如法律风险,数据的丰富性对评估结果可能产生巨大的影响。此外,得益于大数据技术,企业可以将不同来源之间的数据进行交叉索引,通过查询和挖掘,对风险的形成和风险因素的特点形成清晰的认识,进而在风险评估时更有针对性。当然,由于数据量庞大,企业也应本着成本效益原则,注重数据提取过程的优化,提高风险管理效率。

4.风险预警。根据《指引》的重要性和平衡性原则,企业可通过数据分析,识别重点关注的风险,对其进行重点监测和适时预警。大数据技术使预设的指标体系更为客观和细致,应适合不同风险主体,适应不断变化的内外部环境。例如,企业可以“定制”不同类型的风险预警体系,细化同一风险对不同业务环节的预警临界值,分别进行预警分级。预警临界值可分为定性和定量两类,当数据系统将风险因素确定为某类需要引起特别注意的特定风险,或预测结果超过一定数值时,就会进行预警。企业还可利用大数据技术实现更为合理的责任分配,根据数据分析的结果判断相关主体,并采取相应措施,而不应采用传统的“一刀切”,避免权责不匹配导致的部门间推脱责任或沟通不畅。

5.风险应对。风险应对是风险管理中最关键的一环,需要企业利用现有数据和报告进行决策。《指引》中建议的风险应对策略可以按照风险类别大致分为两类,一类是机会性或有利因素带来的风险,可采用接受、规避、转移、降低的方法加以应对,另一类是威胁性或不利因素带来的风险,可采用分担、对冲、转换、补偿的方法加以应对。这一过程涉及各管理层和职能部门的沟通和判断,为了减少人为主观因素的影响,企业可以在数据分析时结合评估结果,提供历史经验数据或行业标准,也可采用数学模型对不同决策可能产生的不同结果进行预测和比较,结合不同部门的目标需要,以供决策层参考。同时,企业各层可结合数据和预测制定应急计划,将其存入云端,在相关高风险出现时自动匹配,并通知相关部门和人员,及时进行控制活动。

6.数据更新和方案调整。在风险相关决策过程中,企业应持续采集相关风险的最新信息,通过数据分析,对风险事项进行动态跟踪,调整应对措施和设计的职能部门,优化风险管理决策。在企业采取相应风险应对决策后,还应考虑到相关的剩余风险和附加风险,继续采集和分析最新信息,进行模拟运算,以确定决策的影响,如果发现决策有偏差,特别是应急预案存在不足时,应及时调整修正。对于风险高、影响面广的事项,持续的数据挖掘和分析能大大提高预测的准确度,而对于经济环境、政策制度等外部因素,不断对现有数据进行补充也可促使企业及时采取应对措施,要充分利用大数据技术能实时获取不同来源的数据、快速分析、提前预测的特点,这是大数据环境下进行风险应对的核心所在。

(五)大数据环境下的信息安全。在企业利用大数据进行风险管理活动时,还应建立应对信息安全的控制活动。第一,制定针对网络安全的内部控制,明确人员的权限,设置防火墙,严格防控未经授权的访问,从而保护信息安全。第二,不断对系统进行升级、维护,及时处理存在安全隐患的漏洞。第三,详细记录数据系统的活动,例如访问者、访问地址、修改记录等,防止非法读写,也有助于进行系统分析。第四,注重数据备份和容灾方案,防止意外状况下数据的丢失。

三、大数据环境下《指引》框架的落实

在风险管理制度基本框架之下,企业还应根据自身情况,不断对其风险管理活动加以完善。企业可以采用“4+1”式的支撑体系,以战略目标为指导,以《指引》的基本原则为标准,从经营管理层面和数据技术层面落实风险管理制度。

(一)经营管理层面。

1.效果。效果维度着重利用财务和非财务指标对风险管理结果进行评价,包括评价相关管理活动是否减少不利影响,风险因素出现后是否及时反映,预警临界值和风险等级的确定是否恰当,对于不同风险类型的决策结果是否恰当等。当然,企业应将主要资源集中于会产生重大影响的风险,需要平衡成本投入与管理效果,实现成本效益最大化。

2.流程。流程维度是对风险管理过程的评价。企业应结合《指引》框架,识别出风险分析方法和和制定应对策略过程中的缺陷和问题,判断是否能结合实时数据进行决策调整,并加以优化、减少不确定性的影响,还应根据企业自身特点去冗去繁,提高风险管理的效率。另外,企业还应定期审查制度文件、针对重点风险的应急计划和与风险管理相关的第三方合同协议,及时发现和纠正缺漏之处。

3.结构。结构维度评价的是员工在风险管理活动中的参与情况。首先,企业应注重培养各级员工的风险管理意识,定期进行考核和培训。其次,企业应考察各部门、各层级、各业务单位的参与情况,促进中高管理层和风险管理部门与各职能部门合作,解决沟通和权责分配工作中的不足之处,有效发挥各部门的功能。

4.数据。数据维度主要用于评价数据的丰富性和完整性。企业的数据系统会持续采集外部数据,员工在日常经营管理活动中会生成内部数据,企业应尽可能全面地上传、采集和保存相关数据,这些数据包括内部预算、各类报表和报告、系统执行结果、内外部人员沟通记录等内部数据,以及通过系统对接或数据挖掘获得的外部企业、行业和政府数据等。

(二)数据技术层面。基于大数据的风险管理制度对信息技术极为依赖,企业的技术部门和其他业务部门应相互协作,从数据技术层面提供支持。秦荣生(2015)提出了大数据环境下的容错率思维和相关性思维,建议企业适当降低对数据精确度的要求、侧重及时性,通过相关信息认识事物本质。基于这一思想,企业可在技术层面重点关注数据的相关性和及时性,兼顾提升数据有效性和价值密度,以期实现在风险因素出现时可以快速、准确地加以防范和应对。同时,企业可对数据的采集、挖掘、提取和分析的能力进行综合测评,聘用和培养综合性技术人员,定期维护和更新硬件基础设施和软件应用。信息安全的控制活动也是企业应重点关注的,企业应制定数据使用规范、设定安全防御措施,还应建立适当的评估体系,从技术层面支持企业的风险管理活动。

猜你喜欢
风险管理企业
企业
建筑工程施工安全风险管理与防范
企业
企业
企业
企业
住房公积金风险管理信息化审计探讨
风险管理在心内科中的应用效果观察
沙盘推演工具在“国和一号”示范工程项目风险管理中的应用
敢为人先的企业——超惠投不动产