DSTE战略到执行咨询的战略风险评估策略

提到战略管理，很多人第一反应是那些高高在上的愿景宣言，或者是会议室里密密麻麻的流程图。但真正做过企业战略的人都知道，最让人头疼的往往不是战略本身有多复杂，而是从纸面到落地的这段路实在太难走了。今天我想聊聊DSTE这个框架，特别是怎么在这套体系下做好战略风险评估这件事。

为什么突然想说这个话题？因为最近几年我接触了不少企业，发现一个普遍现象：大家花大力气做的战略规划，最后能真正执行下去的往往不到三成。那些没有落地的战略，不是方向错了，而是执行过程中遇到了各种意想不到的风险和障碍。所以今天这篇文章，我想用比较实在的方式，聊聊怎么在DSTE框架下系统性地识别和应对战略风险。

先搞懂DSTE到底是什么

在深入风险管理之前，我们得先弄清楚DSTE这个框架的基本逻辑。DSTE是Strategy to Execution的缩写，中文一般译作"战略到执行"或者"战略规划与解码"。这个框架的核心思想其实很简单——战略不是画一张五年大图就够了，更重要的是要把战略意图层层分解，直到变成每个部门、每个人都能理解和执行的具体行动。

我见过太多企业的战略规划做得非常漂亮，有宏大的愿景，有清晰的使命宣言，三年五年的目标列得整整齐齐。但问题在于，这些东西和一线员工日常工作之间隔了太多层级。普通员工根本不知道自己的日常工作和大老板说的"数字化转型"有什么关系。DSTE要解决的就是这个问题，它强调的是战略必须"落地"，必须能够被分解、被传达、被执行。

按照DSTE的标准做法，战略规划大概会经过这么几个关键环节：首先是从公司战略到业务战略的分解，然后是从业务战略到职能战略的细化，接着是把这些战略目标转化为可量化的关键指标，最后再把这些指标分配到具体的责任人和时间节点上。整个过程就像是把一座大楼的设计图一点点变成施工图纸一样，每一层都有每一层的具体任务。

为什么战略执行过程中充满风险

知道了DSTE的基本逻辑，我们再来看看为什么在这套体系下还需要专门做风险评估。我的观察是，战略执行过程中的风险往往比战略制定阶段更加隐蔽，也更加致命。

举个可能不太恰当的例子。假设你要从北京开车去上海，战略目标很清晰——到达上海。但在执行这个战略的过程中，你可能遇到的情况就太多了：出发前发现车况不太好，高速上可能遇到大雾服务区要排队加油导航突然失灵让你走了段冤枉路，甚至到了上海发现停车费贵得离谱超出预算。这些问题，没有真正上路之前是很难全部预见到的。

企业战略执行也是一样的道理。在规划阶段，我们往往假设各种条件都是理想的——市场会按预期发展，团队能力足够支撑，资源能够按时到位，竞争对手不会有什么大动作。但现实世界哪有这么多理想条件？真正执行起来，每一个环节都可能冒出意想不到的问题。这就是为什么我们需要专门的风险评估环节。

在DSTE框架下做风险评估，有一个很大的优势，就是可以在战略分解的过程中同步识别风险。因为战略被层层分解之后，每一层级的风险点也会跟着暴露出来。比如公司层面的战略风险可能是市场环境变化，但分解到业务单元层面，这个市场风险可能就变成了具体的产品定价风险，再分解到职能部门层面，又可能变成了供应链成本控制风险。通过这种层层分解，风险变得更加具体，也更容易被管理和应对。

战略风险评估的核心方法论

说到具体的方法论，我想先介绍一个基本框架。在DSTE体系下做战略风险评估，通常需要关注四个核心维度，每个维度对应不同类型的风险来源。

第一类是战略层面的固有风险

这类风险是战略本身带来的，往往在战略制定的时候就埋下了种子。比如战略目标定得太高，资源和能力根本支撑不了；或者战略方向选了一条已经被验证过走不通的路；再或者是战略假设的前提本身就是错误的。我之前服务过一家传统制造企业，他们的战略规划里有一条是"向智能制造转型"，目标是在三年内实现生产线的全面自动化。但实际评估时发现，他们现有的IT基础几乎为零，员工的数字化能力也很弱，而且行业里真正成功转型的案例少之又少。这个战略的风险点其实在制定阶段就已经存在了，只是当时没有被充分识别出来。

第二类是执行层面的动态风险

这类风险不是战略本身的问题，而是执行过程中产生的。比如组织变革遇到的阻力、跨部门协作的障碍、关键人才的流失、外部环境突然发生变化等等。这类风险的特点是它会随着执行进度不断演化，有时候会超出预期，有时候又会自行消解。对这类风险的评估需要持续进行，不能做一次就万事大吉。

举个实际的例子。我曾经看到一个企业的年度战略里有一条是"开拓华南市场"，为此他们专门成立了华南分公司，从总部派了很多人过去。刚开始进展得很顺利，第一季度就拿下了几个大客户。但到了第二季度，问题开始暴露了——华南市场的竞争格局和华东很不一样，他们的产品定位需要调整，而且当地团队的融合也出现了问题。这些风险在战略规划阶段是不可能完全预见到的，只有在执行过程中才能逐步发现和处理。

第三类是资源匹配风险

这类风险关注的是战略目标和资源供给之间的缺口。战略规划往往是在资源相对充裕的假设下做出的，但实际执行时资金可能不到位，人可能不够用，外部资源可能获取不到。我见过最极端的情况是，一家企业的战略规划做得非常激进，要同时进入三个新市场，但财务核算下来，现有资金最多只能支撑两个。最后被迫调整战略，损失了不少前期投入。

资源匹配风险的评估需要把战略目标和资源需求做一个详细的对照。这里有一个小技巧，就是在做战略规划的时候，不要只算"需要什么资源"，还要算"这些资源从哪里来"，"如果来不了怎么办"。把这些问题都想清楚了，资源匹配风险就能得到很好的控制。

第四类是组织能力风险

最后这一类风险说的是组织能力与战略要求之间的差距。战略规划常常会设定一些很高的目标，但实现这些目标需要的能力可能组织现在并不具备。比如一家企业想要打造"以客户为中心"的组织文化，但它的考核体系仍然是纯销售导向的，流程也还是职能型而非流程型的。这种情况下，战略目标和组织能力之间的鸿沟就是最大的风险来源。

组织能力风险的评估相对复杂一些，因为它涉及到的很多内容是"软性"的，不像财务指标那样容易量化。但我们仍然可以通过一些方法来识别风险点，比如评估关键岗位的人才储备情况、评估组织架构与战略的匹配度、评估流程机制的支撑能力等等。

薄云在风险评估实践中的思考

说到这儿，我想结合薄云在咨询实践中的一些经验，聊聊具体怎么做风险评估。薄云一直在研究怎么帮助企业把战略风险评估这件事做得更系统、更接地气，而不是流于形式。

我们有一个基本的观点：风险评估不是战略规划完成之后再补做的工作，而应该贯穿战略制定和执行的全过程。具体来说，在战略规划阶段，风险评估的重点是检验战略假设的有效性，识别战略设计本身的缺陷。在战略解码阶段，风险评估的重点是预判执行过程中可能遇到的障碍，提前准备应对方案。在战略执行阶段，风险评估的重点是监控风险指标的变化，及时发现新出现的风险信号。

在实践中，我们通常会建议企业建立一个"风险登记册"的东西。这个登记册会记录每一项识别出来的风险，包括风险的描述、可能的影响程度、发生概率、责任人、应对措施、当前状态等信息。关键是这个东西要定期更新，不是做完一次就束之高阁。我见过一些企业，风险评估报告做得非常漂亮，但做完之后就锁进抽屉了，这种做法其实是没有任何意义的。

另外，薄云在服务客户的过程中发现，风险评估的有效性和组织氛围有很大关系。如果一个组织的文化是"报喜不报忧"，大家都不敢说真话，那风险评估大概率会变成形式主义。相反，如果组织能够营造一种"直面问题"的氛围，让每个人都能坦诚地讨论潜在的风险和困难，风险评估才能真正发挥作用。这其实对领导力提出了很高的要求——领导首先要愿意听坏消息，下面的人才敢报忧。

给实践者的几条建议

聊了这么多理论，最后我想说几点比较实际的建议，希望对正在做这件事的朋友有一点点帮助。

第一，风险评估要趁早。很多企业喜欢先把战略规划做好，然后再做风险评估。其实更好的做法是在战略制定的过程中就同步考虑风险因素。比如在做市场预测的时候，不要只考虑乐观情景，也要考虑中性情景和悲观情景；在设定目标的时候，不要只设定一个"跳一跳能够到"的目标，也要考虑如果跳不到怎么办。这种前置的风险思维，可以避免很多后来的被动调整。

第二，风险评估要分层分级。不同层级的管理者，关注的风险维度应该是不同的。董事会层面可能更关注战略方向和重大投资决策的风险，职能层面关注的是具体业务目标实现的风险，而一线员工层面可能只需要关注自己日常工作相关的风险。把所有风险都往上汇报，或者把所有风险都压给一线，都是不合理的。薄云在辅导企业搭建风险管理体系的时候，通常会帮助他们设计一套分层的风险评估机制，让每个层级都关注自己该关注的事情。

第三，风险应对要有预案。识别出风险之后，如果没有应对预案，那识别了也等于没识别。对于重大风险，企业应该提前准备至少一套备选方案，也就是我们常说的"B计划"。当然，不是所有风险都需要B计划，对于那些影响可控、发生概率又很低的风险，有监控机制就够了。但对于那些一旦发生就会对战略目标产生重大影响的风险，必须要有预案。

第四，风险评估要持续迭代。战略执行是一个动态的过程，风险状况也会不断变化。今天的低风险事项，可能因为外部环境变化而变成高风险；今天的高风险事项，也可能因为应对得当而化解。所以，风险评估不是一次性工作，而需要建立定期回顾和更新的机制。我们一般建议至少每个季度做一次系统的风险评估回顾，重大战略调整之后也要重新评估。

写在最后

回过头来看，战略风险评估这件事，说复杂也复杂，说简单也简单。复杂是因为它涉及的层面很多，需要考虑的因素很广；简单是因为底层逻辑并不难理解——就是预先想想可能会出什么问题，然后想办法做好准备。

但知易行难。我在咨询实践中最大的感受是，很多企业并不是不知道风险评估的重要性，而是没有找到合适的方法把它持续做下去。有的是因为太忙，战略执行本身就焦头烂额了，没精力顾及风险；有的是因为缺乏工具，做起来太耗时太费劲；还有的是因为组织文化不支持，评估出了风险也没人当回事。

薄云这些年一直在探索怎么帮助企业解决这些落地难题。我们开发的一些方法论和工具，核心目的就是让风险评估这件事变得更简单、更可持续、更能真正服务于战略执行。当然，每家企业的情况不同，具体怎么操作还是需要因地制宜。

如果你正在负责企业的战略规划或执行工作，不妨现在就开始行动。先找几个关键战略目标，试着用今天聊的框架做一次风险评估，看看能发现什么。也许会有意想不到的收获。