集团型企业数据中台项目风险管控能力提升

赵子林 王金亮

(1.山东高速路桥集团股份有限公司，山东 济南 250021；2.山东高速信息集团有限公司，山东 济南 250021)

0 引言

数据中台最早是由阿里巴巴集团提出的，通过建设数据中台，实现了阿里巴巴集团内部海量数据的采集、汇聚、计算、存储、加工，并能够为其集团内提供高效的数据服务，大幅提升其数据资源复用程度和数据服务开发效率。此后，数据中台的概念迅速席卷国内互联网行业，腾讯、百度、京东、美团等，纷纷开始打造自己的企业级数据中台。根据相关报告数据，2020年数据中台市场规模达到68.2亿元，随着企业数字化转型驱动，预计到2023年将达到183.2亿元。

通过分析国内数据中台项目的建设结果，也应当清醒地认识到，数据中台项目的建设并非都是一帆风顺的，每个项目都存在已知的或未知的风险，也有不少项目因无法承担风险的代价而中途暂停、返工，甚至出现项目废止的后果。某知名家电销售集团的董事长在数据中台上线后发布长篇文章表示“花了上亿元的中台项目，效果与预期相去甚远”；某知名视频互联网公司投入几百人建设数据中台，却在短短十几个月后叫停项目，人员转岗或被裁；某知名车企运用数据中台建立了客户评估与流失管理模型，得出的结果却被证明是错误的。

但自2020年起，党中央、国务院在深化新一代信息技术与制造业融合发展、打造数字经济新优势等方面进行决策部署，积极引导国有企业把握数字经济发展机遇，加速提高企业创新能力。大型国有企业对此纷纷响应，启动数字化转型。在此过程中，数据中台自然成为当前国有企业信息化体系中不可或缺的重要组成部分，其数据中台项目的建设也呈现出更加冷静和理性的趋势。

本文基于以上情况，分析集团型企业数据中台项目中较为常见的共性风险问题，并在风险识别与分析、风险登记与评估、主要应对策略、风险跟踪流程、风险经验知识库等方面提出合理化建议，从而有针对性地对项目的类似风险进行预判和有效管控，降低集团型企业数据中台项目运营管理风险。

1 项目风险分类

数据中台项目不仅包括过程管理风险和中台开发技术风险，还包括项目所属组织自身的风险，以及来自于组织外部的风险。主要风险如下：

(1)过程管理风险。可行性研究、规划设计、研发实施、系统运行等。

(2)技术风险。技术选型、技术框架发展、技术团队、知识转移等。

(3)组织自身风险。信息化建设现状、高层认知程度、团队能力水平等。

(4)组织外部风险。产品供应商、合作开发流程等。

2 风险识别与分析

基于集团型企业对于数据中台安全性、可靠性和易用性等方面的要求，企业数据中台项目一般采用国际/国内较为主流的相关技术，整体框架一般分为数据接入层、存储层、计算层、分析层、服务层和应用层。在传统的项目管理方法论中，风险识别的方法一般包括头脑风暴、德尔菲、调研、根本原因分析等在内的信息收集技术以及文档分析、专家分析和SWOT分析等。对于多数集团型企业来说，往往是第一次进行数据中台项目建设，内部可借鉴的经验不多，因此建议采用以调研、专家分析为主的风险识别手段开展工作。

通过识别与分析，目前集团型企业数据中台项目普遍存在以下共性风险问题：

(1)领导层重视程度不够，对数据中台项目的风险认识不足。在这种情况下会出现组织人员之间、业务单元之间、权属单位之间协同力不足，造成项目进度延期、沟通成本增加等风险。

(2)对数据源前期建设情况、接入方式、网络情况、数据结构等现状了解不足。企业内外部各数据源由各业务或管理领域的信息化系统产生，因此各数据源对应的信息系统在建设时间、技术路线、运维模式、网络部署位置等方面存在较大差异，如果没有全面掌握各数据源的现状细节，后续工作将会有多方面风险。

(3)数据源质量存在缺陷，或在接入数据中台后，部分数据源质量发生变化。低质量或存在质量缺陷的数据源，会直接导致数据计算后的产出物无法对业务起到有效的支撑作用，甚至因为分析结果不准确或错误，还会给企业运营管理造成负面影响。

(4)数据加工任务繁多，造成不必要的服务器资源消耗，以及较大的维护难度。目前大部分数据中台能够实现加工任务可视化管理的功能，但是在中台运行过程中，运维和开发团队往往会出于简单快速见效的考虑，在处理数据需求时直接增加新的数据加工任务，而不是考虑有限复用或改造复用现有任务，长此以往将会造成系统消耗的浪费，并会大幅增加硬件资源成本。

(5)数据服务粒度规划不清晰，可能会导致数据中台不但没有实现数据资源的高效服用，反而带来了更多的开发和维护成本。此类风险与上一类风险类似，由于运行过程中复用程度低，造成资源浪费和成本增加。不同之处在于，数据服务复用程度的高低往往取决于业务规划是否清晰和能否做到根据业务变化而及时更新。

(6)数据应用的合规性与安全性。近几年随着国家数据安全相关政策法规的发布，数据应用的合规合法、数据安全、隐私保护等风险日益凸显出来，许多业界知名互联网公司也因触犯了数据安全这条红线而受到巨额罚款。对于企业数据中台项目来说，如果没有对接入的数据源进行确权，并且没有对业主方、责任方、运营方的权利义务明确划分，那就意味着在后续的数据运营过程中企业将承担巨大的法律风险。

(7)其他不可控风险，如选定的技术路线发生重大变更等。数据中台建设涉及运用整个数据体系内多方面的技术，而以大数据技术为代表的技术在近几年发展到相对成熟的阶段，同时依然呈现出高速发展的态势。这就意味着随着技术的演进，项目建设时期所采用的技术路线很有可能在不远的将来会发生变化，如何应对技术路线变化的风险，也是项目建设方需要提前规划和考虑的重要内容。

3 风险登记与评估

通过风险识别和初步分析得到的结果应记录在风险登记册(表1)中，形成该文档最初始化的内容。这些初始风险登记至少要包括风险ID、所属分类、概括和详细描述、负责人、原因分析、应对策略和潜在的应对措施等内容。

表1 第一次风险识别后的风险登记册

根据风险登记册清单，可逐条开展风险量化评估，本环节的重要手段是风险概率与影响评估技术。具体工作的开展可分为3个步骤：

(1)建立风险影响分级表。风险影响分级表的定义是否合理将直接决定项目风险管理工作的价值，建议通过调研访谈、内外部专家会议、历史项目文档库检索，充分参考集团型企业数据中台项目或同等投资规模、实施难度的项目，以保证风险影响分级划定相对合理并接近实际。某集团公司数据中台项目风险影响分级表，见表2。

表2 风险影响分级表

(2)形成风险发生概率与影响矩阵。风险发生概率是指每个风险发生的可能性，一般常见的有信息系统项目中风险事件发生的概率。它可以通过对功能需求的描述与历史项目文档库的比对，或调研具有类似项目经验的人员等方式进行评估。但是对于集团型企业数据中台项目来说，往往可借鉴的信息寥寥无几，建议邀请行业内数据中台专家以召开会议的形式进行评估，并邀请具备丰富风险管理经验的专家作为主持人引导讨论过程。结合风险清单逐条进行风险发生概率评估，评估过程可能会出现被认为发生概率极低的风险，对于此类风险一般可不进行下一步风险影响程度值的计算，但不要把它们从风险登记册中删除，而是要在备注中做出标记，供将来进一步观察。

(3)风险影响程度值的计算。公式如下

风险影响程度值=风险影响程度级别×风险发生概率

根据风险清单采用公式对每项风险进行计算，将风险影响程度值、风险发生概率、风险影响级别一并更新至风险登记册。

4 风险应对策略

根据集团型企业数据中台项目的建设经验，为增加项目成功机会、减少风险带来的威胁，可有针对性地从组织意识、数据源、安全合规和技术路线等四个方面制定相应的风险应对策略。

4.1 高层认知方面

对于集团型企业来说，公司高层对数据中台及其技术的认知不足，是发生概率较大、影响程度等级较高的风险，往往会对项目推进产生较大的负面影响。集团型企业本身存在规模大、人员多、机构层级复杂的特点，如果缺少高层领导的支持和统一把控，数据中台项目很有可能停滞不前甚至最终以失败告终。近年来，很多走在数字化前列的集团型企业纷纷设立CIO(首席信息官)、CDO(首席数据官)等高层岗位，就是为了让企业能够更好地掌握和开发所拥有的数据资产，这也确实在信息化项目推进和数字化建设过程中起到了十分积极的作用。

在项目可行性研究、项目立项阶段要充分利用外部相关资源，如专家会议、行业数字化建设调研等方式，借助内外部力量尽可能促进公司高层对数据中台的理解，进而提升整个企业对数据中台项目的认知水平。

4.2 数据源方面

集团型企业数据中台项目中的数据源风险，往往是发生概率最大、影响程度等级中等的风险。如果把数据中台比作生产工具，那么平台接入的各个数据源就是生产资料，如果数据源缺失或存在问题，那么数据中台就如同无源之水，难以发挥其应有的作用和价值。在数据中台项目风险中，数据源系统的网络连接稳定性、数据全面性、数据抽取持续性等问题一般来说是占比最高的风险，而数据源风险的影响又因集团型企业业务线广、信息系统多、网络情况复杂等特点，表现得更为突出。

应对数据源风险，要求项目团队从前期调研、数据接入技术、数据质量提升、持续性管理等方面开展相应工作。在数据源调研阶段，要全面了解数据源实际情况，掌握每个数据源接入的可行性、数据范围、网络连接方式、预期存储占用、预期更新频率、数据库用户权限与连接串配置等信息。在接入技术方面，需要综合考虑数据源现状、数据中台业务需求、性能资源等因素，选择在线或离线抽取数据的方式，同时注意技术路线要符合当前发展方向。在数据质量方面，要明确不存在一直百分之百完美的数据，数据质量提升的目标是使数据质量长期保持在一个较高的水平，具体手段可以通过系统逻辑检查、人工抽查、定期生成数据质量报告等方式，持续促进各数据源信息系统开展数据质量改善，进而达到提高企业数据资源整体质量的目标。除质量管理之外，数据源的运营维护、基于数据资源的服务开发、数据服务的生命周期管理等工作，也都会贯穿项目始终，并且是数据中台项目运行期间持续存在的工作，在由专职团队人员负责的基础上，还需要制定相应的管理办法和规范制度进行约束。

4.3 安全合规方面

对于集团型企业来说，数据中台项目安全合规风险发生概率不高，但是影响程度等级较高，一旦发生类似事件，有可能严重损坏企业的社会形象和品牌价值。随着国家《数据安全法》的出台，数据合规与安全已经成为企业运用数据资源开展经营活动的红线，在遵守国家相关法规的基础上，集团型企业内部也需要建立一套标准化的数据资源管理流程，使数据资产能够在安全合规的前提下为业务赋能。流程应至少包括数据资源的确权、接入、存储、加工、服务、调用等环节。

在确权和接入的过程中，数据中台项目应采取积极告知和签署文件的形式，以便让相关数据资源归属组织能够充分了解数据接入后的权利和义务。在数据形成服务和被调用的过程中，数据中台可采取实时获取、按周期订阅、按需发起等多种形式，做好调用记录管理，以及调用次数和数据规模的计量，为后续相关审计工作提供有效依据。

4.4 技术路线方面

对于集团型企业来说，如果通过采购纯商业化产品去建设企业数据中台，这部分风险相对较小，并且可以通过合同条款将此风险转移。如果通过企业信息化团队自主研发或联合开发数据中台，一旦所采用的开源技术框架发生重大变化调整，将对研发工作造成极大影响，这就要求在项目建设过程中针对相关风险提前制定相应的回避或减轻策略。

回避策略可采用多技术路线并行的方式进行预防，数据中台所使用到的技术较为广泛，数据抽取一般采用ETL/Sqoop/Kafka、数据存储一般采用HDFS/Hbase/Redis/PG/Hive、数据计算一般采用MapReduce/Flink等技术，在一个功能板块内，建议采用不少于两种平行的技术路线，以实现技术互补与互为备份。

减轻策略可制订相应的技术替换方案，通过培训学习、招聘借调等方式确保团队具备相关的技术能力，通过规划应急储备应对该风险发生后带来的额外成本。

5 风险闭环管理

风险管理活动应贯穿数据中台项目始终，要根据风险管理计划通过分级定期汇报、处置过程跟踪、风险审计、风险再评估、风险退出、维护历史风险库等流程，实现项目全生命周期的风险闭环管理。

根据项目风险影响严重程度、紧急程度、发生概率预测等信息，有针对性地按照不同周期召开风险专题会，由责任人对近期情况进行汇报。在风险发生并采取相应的应对措施后，要全程保持对风险处置情况的跟踪，检查相关措施是否有效。当风险处置完成后，通过风险再评估环节判断风险是否可以关闭，或者已经减轻到何种程度。风险的退出环节，要提交尽可能详细的分析报告并召开评审会，通过评审确认符合条件的风险可以正式关闭。在项目风险管理全生命周期的过程中，相关清单文件、数据报表、分析报告、会议纪要均应保留在企业风险文档库中，形成组织过程资产。

组织过程资产中数据中台项目相关信息的累积，是企业在实践中形成的独特过程资产，将直接影响企业类似项目的成功。对于集团型企业数据中台项目的乙方，也就是数据中台的建设方来说，形成组织过程资产，将更能够直接提升其在数据中台领域市场中的核心竞争力。

6 结语

本文对集团型企业数据中台项目的风险分类、识别分析、风险评估、风险应对、闭环管理等方面进行阐述，并结合理论知识与实践经验，分析了项目过程中较为典型的风险问题，提出了有针对性的风险应对策略。希望本文中提到的建议和措施能够运用到集团型企业数据中台项目的建设中，并能够产生积极的影响，切实提升企业项目风险管控水平。