基于大数据技术的企业风险管理研究

张敏 吴亭 李雨新

党的十九大报告提出，要推动互联网、大数据、人工智能和实体经济深度融合，新技术与企业管理的深度融合是其中极为重要的一个方面。本文在深入剖析企业传统风险管理存在不足的基础上，构建基于大数据技术的风险管理模式、实施路径，并介绍新模式下事前、事中、事后全方位风险管控的实施过程。

一、企业传统风险管理存在的问题

新技术与企业管理不断融合背景下，传统技术下的风险管理难以适应复杂多变的风险管理环境，风险管理水平低下是企业面临的一大难题。新技术冲击下，传统风险管理存在的问题主要集中在风险监控主动性不足、风险评估不够全面、预见性管理有限、风险应对能力弱等方面。

1.风险监控主动性不足。由于缺乏先进的数据采集和处理技术，以手工作业为主的传统风险管理无法及时获得有效、准确的信息。信息获取的成本高且时效性差，造成传统风险管理不能对数据信息实施动态监管，很难做到主动实施风险监控。

2.风险评估不够全面。传统风险管理系统拥有多个不同的数据系统，而且数据存储大多彼此独立。数据之间无法共通，数据信息难以及时被有效提取和整合，传统风险管理系统不能实时形成一个围绕风险事件的多元化数据信息流。聚焦于某一个或某几个数据系统提供的信息，传统风险管理难以实现全面风险评估。

3.预见性管理能力有限。新技术与企业管理融合使得风险管理对象呈现出多样性和复杂性特征。面对多样复杂的风险管理对象，企业单纯依靠传统方式（定期填制底稿表格、开展访谈）或建立信息系统来发现风险并识别错漏已显得力不从心，传统风险管理工作严重滞后。另外，现有的一些风险管理规则主要依赖于既定的指标及标准，面对大智移云等新兴信息化技术不断渗入，传统风险管理规则的自我成长性及灵活性都较差，风险管理实时监督功能的灵敏度低，预见性管理的能力有限。

4.风险应对效能弱。传统风险管理模式中各职能部门、业务部门间的风险管理工作被割裂和分块化，面对复杂风险时，如何对责任进行准确界定成为了传统风险管理的难点，风险应对效能被弱化。同时，受限于风险管理智能化程度，数据分析、信息传递与反馈、人员绩效考核评价以及风险管理工作报告的自动化与智能化等方面的欠缺，使得风险应对效能被削弱。

二、基于大数据技术的企业风险管理模式

大数据技术在企业风险管理中的运用重构了企业风险管理系统，缓解了传统风险管理中存在的问题。重构后的企业风险管理系统要求企业站在战略的高度，综合运用大数据思维、技术、标准，重塑大数据思维下的风险管理理念，创建基于大数据技术的企业风险管理模式。

具体而言，基于大数据技术的风险管理模式为：构建风险管理大数据处理中心，综合全面地配备工作人员，以全集团统一的信息标准与数据处理方法实时采集、存储与处理内外部数据，并借助大数据技术对其加以分析运用。这一过程贯穿于事前控制、事中控制和事后控制各阶段，从而实现基于大数据技术的风险管理（如图1所示）。

在此模式下，数据采集维度、数据分析手段以及数据应用能力都有很大提高，风险预警和监督功能得到根本性改变，风险事后应对效能得到增强。如图1所示，宽口径数据的采集，将使得风险管理工作的基础更加坚实；机器学习、可视化技术、自然语言处理以及社会网络分析等大数据分析手段的应用，极大地提升了风险管理中相关数据的应用与分析能力。大数据技术的运用使得风险管理工作的关口被前移，风险管理的时效性得到很大提升，从源头上改进了风险管理的预警和监督功能。大数据技术的事前、事中和事后全过程控制，将企业内部数据信息进行梳理打通和关联整合，并结合相关外部数据分析（宏观经济形势、行业信息、供应商及客户的税务、财政、银行、证券系统等），增强企业风险应对效能。

图1 基于大数据技术的企业风险管理模式

图2 风险管理大数据处理中心的人员配备

三、基于大数据技术的企业风险管理实施路径

为了有效实施基于大数据技术的企业风险管理模式，企业需要重塑风险管理理念，创建数据共享平台，利用大数据技术实现系统数据的整合、分析，构建风险管理大数据处理中心。

（一）重塑风险管理理念

基于大数据技术的企业风险管理将彻底摒弃局部风险管理的理念，实现全过程、实时、综合性管理理念。大数据技术应用背景下，风险管理要求企业站在战略高度，以全局视角综合考虑风险问题，利用大数据技术、统一的信息标准与数据处理方法，采集、存储和处理企业内外部数据，可以实时形成一个围绕风险事件的数据信息流，实现企业风险管理全过程实时监控。

（二）构建风险管理大数据处理中心

基于大数据技术的风险管理模式，核心就是构建风险管理大数据处理中心，企业将以此中心作为企业集团开展风险管理工作的据点。该中心通过不间断作业、实时反馈的工作方式，宽口径多维度地对数据进行收集和分析，实现对风险的事前控制、事中控制和事后控制。风险管理大数据处理中心的构建需从以下几点展开：

1.人员配备。风险管理大数据处理中心，不仅肩负着对海量数据资源的技术性收集与处理，而且还要承担事前、事中和事后的全过程风险管理。多重角色定位决定了其应有的人员配备结构，如图2所示。

首先，配备一定数量的技术型人才。技术型人才是构建风险管理大数据处理中心的基础，一方面保障风险管理大数据处理中心的正常高效运转，另一方面帮助相关新方案、新构想实现技术落地。

其次，配备足够的技术+业务+风险管理的复合型人才。同时具备这三项技能的复合型人才是风险管理大数据处理中心的核心力量，在很大程度上决定着处理中心工作的效率和效果。即懂业务又懂风险管理的人才能够根据不同业务的类型和特征，筛选出需采集的数据源并选择适当的数据处理方式，然后基于现有需求提出贴合实际的风险管理工作方案。同时精通业务和技术的人才既能避免纯技术人员因缺乏业务感知而方向错误，又能减少业务人员因技术知识的匮乏而过于天马行空。“技术+业务+风险管理”的复合型人才对于各种方案在技术上的可行性与运行效果有清晰的认知，在模型运行结果的解释能力与业务归因能力方面，也远超只懂技术或业务的一般员工。

最后，风险管理大数据处理中心还需要配备一定数量的专家顾问。拥有丰富行业经验的专家顾问以其高瞻远瞩的视角，从技术方案抉择到工作重点调整，均能够对风险管理工作予以战略意义上的指导和纠偏，及时对处理中心的工作方向与关键细节提出建议，使处理中心的运行效率持续保持增长活力。

2.工作内容设计。风险管理大数据处理中心工作内容的设计，是指利用大数据处理中心的数据信息流，将事前控制、事中控制与事后控制的全生命周期风险管理工作内容抽象出来。工作内容具体体现为：数据的采集、清洗、存储、分析和反馈（如图3所示）。

图3 风险管理大数据处理中心的工作内容

图4 基于大数据技术的风险管理事前控制

图5 风险管理进度看板示例

数据的采集工作就是对与风险管理工作相关的所有信息进行实时获取。采集的数据包括财务数据与非财务数据、内部数据与外部数据、结构化数据与非结构化数据（或半结构化数据），这些数据可体现为文本、音频、视频、图像、数据表等多种形式。就数据的载体而言，采集的数据可来源于内部文件、会议记录、新闻报道、访谈记载、生产流水、邮件往来、微博以及社交媒体等等。内部数据可通过在业务逻辑中嵌入采集代码完成收集，即埋点采集。外部数据可使用爬虫技术实现大规模的数据采集，其中获得授权的上下游单位、社会公众组织的外部数据采集也可通过API接口等技术实现采集。

采集到的内外部数据往往存在噪音，数据的清洗处理工作显得十分必要。譬如：采集的数据可能存在大量相关非结构化数据，需对其进行预处理；数据中存在的重复值、异常值、缺失值等可能影响数据分析的准确性；不同数据量纲差异过大造成标准化程度低，难以开展有效分析等等。鉴于此，在数据清洗环节可运用PowerBI的Powerquery模块、Python的Pandas库、NumPy库等工具，通过数据分箱、哑变量处理、行列操作等步骤，对海量原始数据进行处理，以提升数据的标准化程度和一致性。

如何将清洗处理后的数据变成有用的数据信息？首先需要解决数据的存储问题。数据存储是数据应用的前提，其涵盖的内容是丰富的风险管理基础数据资源。企业可结合自身规模、安全级别以及对实时性、准确性的需求，选取适当数据存储模式，如购买云存储服务、选择工业常用的大型实时数据库等。

图6 实时风险坐标图

图7 风险热力图示例

图8 基于大数据的银行贷款决策支持效果

图9 2000条工程安全事故类型分布图

数据分析是风险管理大数据处理中心的工作核心，可以将清洗处理后的数据变成有用的数据信息。数据分析工作以时效性很强的风险管理相关数据为基础，借助RPA、机器学习、自然语言处理、社会网络分析等技术，以自动化和智能化的方式，增强企业风险管理的控制功能，提升企业风险管理过程的可视化程度，最终将智能分析生成的信息自动生成风险管理报告。

经智能分析生成的信息将反馈至相关部门与人员，以便及时应对易发的风险环节和已出现的风险事项，并对数据采集、分析等环节进行相应调整，提高风险管理大数据处理中心的工作效率。

3.工作方式转变。企业风险管理大数据处理中心，因其高度自动化、智能化的特点，能够以不间断作业和实时反馈的形式开展工作。RPA、爬虫与埋点采集等技术的运用，能够日夜不停地进行数据采集与提取，给大数据处理中心带来源源不断的实时数据。不同业务的各个风险管理模型无休运转，像分布在企业各个关键部位的传感器与仪表盘，时刻对业务运行进行风险监控，并实时反馈。数据的实时反馈不仅能够形成企业整体的实时风险清单，而且能够在业务单元层面、个别岗位层面实现风险预警与应对。企业风险管理大数据处理中心极大地提高了风险管理工作的精度与强度。

四、基于大数据技术的企业风险管理过程

在大数据处理中心的支撑下，企业风险管理能够获得源源不断的实时数据，并实现不间断的数据处理、加工与反馈。数据在风险管理大数据处理中心的流转过程是企业风险管理工作内容的抽象体现，将数据的流转映射到企业具体风险管理工作中去，则可将企业风险管理分为事前控制、事中控制、事后控制三个阶段，也就是基于大数据技术的企业风险管理全过程。

（一）事前控制

大数据技术下企业风险管理的事前控制，是基于关联分析的思想，利用智能分析技术对企业海量多源异构的内外部数据进行挖掘与分析，以了解企业运行状况和态势，从而构建基于机器学习的各业务模块风险预警模型，汇总实时风险清单或设置风险管理进度看板，识别和预警可能存在的风险并及时反馈（如图4所示）。

大数据技术的运用促使企业风险管理关口前移。大量事实证明，利用大数据技术对企业内部的会议文件、合同、业务流程职责、内控制度、年报、财务文本信息等大量文档进行分析，并判断企业的重大决策流程、内部控制的合规性，有助于增加企业风险管理提前干预的可能性。例如，已有文献研究发现上市公司年报披露的语气（正面词频vs负面词频）波动性越大，则代表企业风险越大（Campbell等，2020）；还有研究通过对企业董事会会议记录进行词频分析并呈现为词云图，能够迅速直观地了解企业战略目标与工作重点，继而与业务报告、岗位职责等文件进行智能比对，能够看出企业在业务层面是否如实遵循战略目标。

企业风险管理关口前移和随之而来的海量、多源、异构的数据洪流，使得风险管理领域成为大数据技术（如机器学习技术、流程自动化技术）的重点应用场景之一。借助机器学习技术，基于实时的数据信息，根据不同业务类型的相应流程与内控环节，企业风险管理人员能够有针对性地设计不同业务模块的风险预警模型。构建基于机器学习的各业务模块风险预警模型，包括以下几个步骤：

1.规则定义与历史数据的收集，这是搭建风险预警模型的基础。所谓规则定义实质上就是形成一个“规则知识库”。无论是企业宏观层面上的战略重点，还是业务单元层面上的具体目标，都是形成“规则知识库”的指引和依据，更是完成这一步骤的支撑和参考。在这一规则库中，包含了建构基于机器学习的风险预警模型所需的知识，主要体现为对规则定义的组合及预警条件的确定。例如，借助决策树模型等算法，通过自动化规则挖掘，同时结合专家经验，可以围绕不同业务各自的控制目标，得出适当的可自我迭代的内外部规则。这些内外部规则包括欺诈检测规则、评分规则、投资风险预警规则、供应链上下游企业协作风险规则等。

2.将历史数据分为训练集与测试集，通过调用Python工具包的方式，使用适当的算法完成对模型的训练和测试。基于机器学习的风险预警模型，所面对样本的一大特点就是负样本在所有样本中所占的比例极少。换言之，可供学习的有标签的样本较为稀缺，如内控失效、合谋舞弊等情形，并非日常频频出现。这些特征决定了在风险管理事前控制这一场景中，半监督算法与无监督算法的适用程度更高。

3.调试模型参数，增强模型的时效性与解释度。由于风险预警模型主要是运用在事前控制环节，其功能定位和时效性要求模型在初始设置时可适当降低模型的复杂度与精度。

4.在实际应用中，风险预警模型根据反馈信息不断优化，进一步增强模型的预警功能与适用性。

随着各业务单元的风险预警模型的持续运行，基于大数据技术的企业风险管理系统可以汇总形成集团公司层面的实时风险清单，将其中的风险事项、关键风险环节、重点风险责任人、风险影响范围等信息以可视化的形式呈现出来。具体而言，可以在公司领导及业务部门负责人的办公场所设置风险管理进度看板（如图5所示）；或者将各业务环节风险状况进行汇总，并借助饼图、折线图、词云图、仪表盘、散点图等形式加以展现；也可以将风险影响范围与发生的可能性以不同颜色标示直观地呈现出来，如使用红色代表紧急重大风险、使用黄色代表一般风险等等，从而使相关人员能够第一时间接收到风险状况变化的信息。

此外，一旦风险预警模型或文本挖掘分析过程中识别到风险迹象，企业风险预警模型可借助流程自动化技术（RPA），设置信息的自动反馈机制，自动将相关信息在办公系统内发送给相应的部门及管理人员。这一过程，不仅有助于风险状况的实时反馈与提醒，同时也有助于责任归属的划分，避免企业内部各职能部门间推诿“懒政”。

（二）事中控制

事中控制是指风险管理人员对事前控制环节形成的风险相关事项进行实时监控。换言之，事中控制可以通过对事前识别到的关键环节与关键事项设定相应的监控机制，一旦相关指标异常或触发监控报警规则，则代表风险的出现，此时基于大数据技术的风险管理系统就会引发报警并实施风险应对。这一环节，风险应对的智能化显得尤为重要，其中主要包括关键风险点实时监控与风险应对决策的智能化分析两大部分。

1.关键风险点的实时监控是指利用机器学习技术，对事前预警中涉及的风险信息关键点进行实时监控。对关键风险点的实时监控，有助于风险管理关口的前移，增强风险管理人工干预和应对工作的主动性与及时性。具体步骤如下：

首先，形成重点实时监控风险对象清单。基于大数据技术的企业风险管理系统对集团所有业务进行常规监控的同时，还应根据事前控制中识别出的高风险客户或业务流程中的隐患风险，形成相应的重点实时监控风险对象清单。

其次，设计相应的动态风险监控规则与指标。根据重点实时监控风险清单上列明的具体风险事项与监控流程，运用机器学习技术构建模型并设计相应的动态风险监控规则与指标。基于机器学习技术的模型具有自我学习和自我成长特性，能够在人为不加干预的情况下，学习寻找风险管理事中控制的规则，并保证这种规则始终处于动态重构与不断优化的过程中。

最后，实时绘制风险坐标图。基于机器学习技术的模型会主动按照风险发生的可能性及其影响程度生成不同等级的提示，为人工干预和风险应对提供判断依据。在实时监控中，该模型对风险发生的可能性及其影响程度加以展示时，可以借助可视化技术，实时自动绘制风险坐标图，并通过直观的颜色表示来进行风险情况的提示和监控。如图6、图7所示，对于红色区域予以特别关注，应及时进行分析汇报。

关键风险点的实时监控将产生不同等级的风险情况，如何对不同等级的风险情况实施有效的人工干预和应对是事中控制环节的重要任务。针对不同风险情况所实施的人工干预和应对策略可以从可规避性、可接受性等视角，做出风险回避、降低、分担或承受等不同等级的方案。面对多种风险应对方案，如何选择是关键。风险应对策略的智能分析显得尤为重要，决策智能分析系统应运而生。

2.决策智能分析系统通过建立智能决策模型，对多种风险应对策略进行智能化分析，并帮助风险管理人员作出合理的选择。它能够在大量历史经验的基础上，对多种风险应对方案进行智能比较，筛选出符合公司长远目标的风险应对选项，从而给出判断结果并辅助决策，最终由人工选择采取何种风险应对方案。这一职业判断结果，又将作为新的训练数据输入至决策模型中。与传统的人工决策相比，辅以智能分析决策的风险应对，能够提高风险管理工作的事中控制效果。

以银行贷款决策为例，如图8所示，大数据决策模型相较于传统决策模型而言，由于其信息量大，判断标准更为丰富（电脑自动处理），其贷款拒绝率较低，同时贷款违约率也很低（秦璐，2018）。

（三）事后控制

风险管理工作的事后控制环节，是对事前控制和事中控制的结果进行汇总、分析和评价。开展完善切实的事后控制，是提升风险管理工作效率效果、形成风险管理闭环的必要环节。基于大数据技术进行风险管理工作事后控制，主要体现为非标准化风险管理报告、事后进行历史风险事故分析和建立风险管理业绩评分模型等三个方面。

1.在非标准化风险管理报告的呈现上，风险管理系统可借助自动化流程，将生成的“个性化”风险管理报告自动发送至相应的风险管理报告使用者。同时，风险管理系统也可借助语音自动播报与可视化技术等手段，使风险管理报告的使用更为便捷和直观。目前业界已有运用自然语言处理技术自动生成审计报告的先例，极大地节省了人的精力。自然语言处理技术能够通过人与计算机之间的“语言交互”，实现文本情感分析、文本分类、机器翻译、自动文摘、生成文本等功能。更进一步地，自然语言处理技术也可用于满足公司不同主体层级的需求，结合不同使用对象的关注点，有针对性地选择不同的颗粒度与侧重范围，自动生成非标准化的公司层面、专项层面、业务层面、岗位层面的风险管理报告。由于省去了繁琐的人工编写及校对时间，风险管理报告的及时性也将得到极大提升。

2.在事后进行历史风险事故分析时，风险管理系统可以以集团历史风险数据库中的完整风险管理报告作为分析样本，利用自然语言处理技术读取文本，结合风险事件的原因、经过、结果、影响因素等大量信息进行分类或聚类，开展针对风险因素和风险发生次数的分析，生成风险因素分布图，能够明显识别出集团自身的关键风险因素。如：黄亚春（2019）从美国职业安全与健康管理局（OSHA）数据库中搜集到大约2000条建设工程安全事故历史报告，利用大数据技术对其进行文本分析，并借助可视化技术，用图表展示的形式替代对文本内容冗长的解释，生成依据事故发生原因分类的事故类型分布图（如图9所示）。 分布图中信息显示跌落事故占比 32.45%，非常突出且远高于其他事故。这意味着，可以在之后的安全风险管理中着重关注此类风险因素。

3.在建立风险管理业绩评分模型方面，基于大数据技术的风险管理系统可以根据系统日志等元数据及大量全面的其他基础数据，得到在各流程节点上关于接到预警的具体岗位、接到预警的时间、做出应对的时间、采用的具体应对措施、具体事项造成损失的定量估算等重要评价因素。这些评价因素的具体责任人、该责任人做出应对是否及时、是否符合智能决策系统的判断（包括：不采用智能决策系统推荐方案的原因记录）以及风险应对的成果、跟踪评价等信息也可以通过基础数据获得。

在上述评价因素的基础上，依据专家经验，公司根据实际情况选取评价因素，并确定这些评价因素的合理权重，进而建立风险管理业绩评分模型。这一模型可以对责任人在风险管理过程中的表现做出评价，自动生成考核结果。考核结果作为相关人员业绩考核的重要指标，与职位晋升、人员薪酬相挂钩。

上述事后控制的整个过程，使风险管理工作形成闭环。事后控制在汇总形成不同层级的风险管理报告、加强风险管理结果分析的同时，还可以监督考核风险管理工作的执行力度。