ERP環(huán)境下基于系統(tǒng)參數(shù)的風險管理系統(tǒng)構(gòu)建研究

陳旭　李蓮

【摘 要】 ERP整合了企業(yè)所有資源且高度集成，是風險管理融入企業(yè)“DNA”的最佳平臺。文章從ERP環(huán)境下信息系統(tǒng)風險管理現(xiàn)狀入手，針對風險識別內(nèi)容繁雜不清、風險評估標準不明確、風險監(jiān)察手段不力等問題，提出構(gòu)造基于系統(tǒng)參數(shù)的閉環(huán)適時風險管理系統(tǒng)。該系統(tǒng)包括風險識別、風險評估、風險評級和風險監(jiān)察四個模塊，運用故障樹和層次分析法中的定權(quán)方法來對風險進行定量分析。

【關(guān)鍵詞】 ERP； 系統(tǒng)參數(shù)； 風險管理； 故障樹； 層次分析法

隨著人們對信息技術(shù)依賴程度的增加，越來越多的企業(yè)業(yè)務(wù)開展與信息系統(tǒng)緊密相關(guān)，與此同時，信息系統(tǒng)風險也隨之進入了人們的視野。風險管理是企業(yè)管理的重要內(nèi)容之一，它直接影響一個企業(yè)的正常生產(chǎn)經(jīng)營。信息時代的風險管理具有許多新的特征與內(nèi)涵，需要更新觀念，運用新的方法與手段，及時識別信息系統(tǒng)運行中的預警信號，采取措施，將風險控制在可接受范圍。

一、信息系統(tǒng)風險管理現(xiàn)狀

針對信息系統(tǒng)的風險問題，各相關(guān)機構(gòu)發(fā)布了一系列的框架體系，如國際內(nèi)部審計師協(xié)會（IIA）的“電子系統(tǒng)保證與控制”（ESAC）模型和美國IT治理研究院（ITGI）的信息及相關(guān)技術(shù)控制目標（COBIT）體系。目前，理論界對信息系統(tǒng)風險評估與管理的研究大部分停留在經(jīng)驗總結(jié)及定性分析階段。在國務(wù)院國資委的《中央企業(yè)全面風險管理指引》、財政部的《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制配套指引》相繼頒布之后，實務(wù)界各軟件公司也順勢推出了各自的內(nèi)控風控系統(tǒng)，如金蝶K3、用友內(nèi)控等，但其大都未對風險進行量化評估，部分有簡單量化也僅停留于粗略的等級劃分；另外，也未站在整個企業(yè)層面將風險統(tǒng)籌管理及邏輯展示，不利于管理者進行戰(zhàn)略決策。

風險發(fā)生于企業(yè)的各個層面，其管理不能各自為政，而整合了企業(yè)所有資源高度集成的ERP，則創(chuàng)造了一個讓風險管理融入企業(yè)“DNA”的最佳平臺。本文在目前風險管理系統(tǒng)已有的研究基礎(chǔ)上，針對系統(tǒng)參數(shù)設(shè)置可能造成的風險，利用故障樹和層次分析法中的定權(quán)方法，構(gòu)造出一個閉環(huán)適時的風險管理系統(tǒng)，以為解決目前信息系統(tǒng)風險管理中風險識別內(nèi)容繁雜不清、風險評估標準不明確、風險監(jiān)察手段不力等諸多問題提供思路，讓風險管理伴隨ERP真正滲透整個企業(yè)，成為企業(yè)的新型競爭優(yōu)勢。

二、ERP環(huán)境下風險管理系統(tǒng)構(gòu)建

ERP環(huán)境下，企業(yè)內(nèi)部控制與ERP的信息系統(tǒng)控制緊密結(jié)合，很多內(nèi)部控制點的控制標準、控制方法通過信息系統(tǒng)控制的方式實現(xiàn)。因此，企業(yè)內(nèi)部控制風險很大程度上取決于信息系統(tǒng)控制的風險。目前，信息系統(tǒng)控制的實現(xiàn)方式有程序代碼固化控制和參數(shù)化控制兩種，其中參數(shù)化控制的有效性取決于參數(shù)設(shè)置的正確性和及時性，如果一個控制參數(shù)沒有正確設(shè)置或是被惡意錯設(shè)，由于ERP最大的特點就是數(shù)據(jù)集中采集、信息共同分享，控制失效就會使系統(tǒng)反復發(fā)生相同的紕漏并蔓延至整個企業(yè)，其風險之大不言而喻。

因此，根據(jù)系統(tǒng)參數(shù)設(shè)置失誤可能造成的影響來確定對應(yīng)風險點，掃描匯總參數(shù)設(shè)置漏洞后進行風險評估；確定參數(shù)及風險權(quán)重，計算得出風險評估值，對企業(yè)風險評級；實時監(jiān)控參數(shù)設(shè)置情況，當條件事件（敏感參數(shù)錯設(shè)或風險超出企業(yè)容忍度）被觸發(fā)時，進行反饋控制。以此方式來管理企業(yè)風險，可以合理保證企業(yè)在可控狀態(tài)下安全運營。

綜上，本風險管理系統(tǒng)主要包括四大基本功能模塊：風險識別模塊、風險評估模塊、風險評級模塊和風險監(jiān)察模塊。

（一）風險識別模塊

首先，根據(jù)COSO及國務(wù)院國資委頒布的《中央企業(yè)全面風險管理指引》對風險的定義及描述，可以精細分類把風險整理成三個級別，依次是風險層次、風險類別及風險點（見表1）。根據(jù)風險點具體含義及描述，確定ERP每個模塊系統(tǒng)參數(shù)錯設(shè)時對應(yīng)的風險點（見表2）。

本模塊的主要任務(wù)是通過掃描匯總系統(tǒng)參數(shù)設(shè)置漏洞。

（二）風險評估模塊

本模塊分為故障樹編制和風險定量分析兩個子模塊，其中，故障樹對展示系統(tǒng)參數(shù)及對應(yīng)風險之間的邏輯關(guān)系，并為下一步風險定量分析權(quán)重確定及風險值計算奠定基礎(chǔ)。

1.編制風險故障樹

故障樹分析技術(shù)是美國貝爾電話實驗室1962年開發(fā)的，它采用邏輯的方法，形象地進行危險的分析工作，特點是直觀、明了，思路清晰，邏輯性強。用故障樹的方法分析風險，既可定性也可定量，兼具系統(tǒng)性、準確性和預測性。根據(jù)表2編制出風險故障樹（見圖1），圖中矩形代表頂上事件或中間事件，圓形代表不要求進一步展開的基本引發(fā)風險事件。

本文在故障樹的建模過程中，只探討了下級元素與上級元素為N：1關(guān)系且邏輯關(guān)系均為或門的情況，未能充分利用到故障樹強大的處理復雜結(jié)構(gòu)問題的功能。今后可進一步分析各控制參數(shù)設(shè)置直接和間接影響的風險點及風險之間可能存在的連鎖反應(yīng)，逐漸豐滿故障樹，以更全面準確地對風險進行定性和定量分析。

2.風險定量分析

為體現(xiàn)企業(yè)對風險的容忍度，本文將故障樹單純考慮事件的發(fā)生概率加上權(quán)重因素后綜合考慮。為便于得到邏輯推理計算公式，加強其概括性，設(shè)故障樹頂上事件為T0，中間事件為AIi，基本事件為XIi。其中，中間事件和基本事件的下標I均表示元素所在的層次，i表示事件在該層次的順序編號。下面依次講解權(quán)重的確定及風險值計算具體方法。

（1）權(quán)重計算

故障樹事件的定權(quán)借用層次分析法中權(quán)重確定方法求得。在構(gòu)造比較判斷矩陣時，事件兩兩比較的基礎(chǔ)是風險發(fā)生可能造成的后果危害程度和企業(yè)對該參數(shù)設(shè)置的敏感程度，而非對頂層事件的影響大小。此法可避免對所有個體直接進行排序的困難，使決策者注意力集中，較為客觀地評價兩者的“優(yōu)先”程度，以提高準確度。

據(jù)此，首先對照層次分析法中的標度含義表，構(gòu)造出比較判斷矩陣，然后利用“和法”取列向量算術(shù)平均進行求權(quán)，最后對矩陣進行一致性檢驗，檢查矩陣A的不一致程度是否在容許范圍之內(nèi)。若有滿意的一致性，通過一致性檢驗，可用其歸一化特征向量作為權(quán)向量，否則要重新構(gòu)造成對比較矩陣A。

例：現(xiàn)金流風險分支下轄3個元素X41（出納簽字）、X42（貨幣資金赤字警告）、X43（收款預算控制）。

比較3個元素可能造成現(xiàn)金流風險后果的危害程度和企業(yè)對元素的重視程度，構(gòu)造出成對比較陣：

依此按照底層→次頂層→頂層→最頂層的順序循環(huán)，可計算出故障樹所有事件權(quán)重及風險值，最終即可匯總出各企業(yè)總風險值T0=∑ni=1R（A1i）·E（A1i）。

（三）風險評級模塊

依據(jù)會計確認對可能性的估計區(qū)間的劃分及事件風險的權(quán)重賦值，計算出風險評估矩陣（見表3）。

如圖3，當事件發(fā)生可能性極小且權(quán)重為極低、低、中時，風險等級為低；當事件發(fā)生可能性極小且權(quán)重為高和極高、事件可能和很可能發(fā)生且權(quán)重為極低時，風險等級為較低；當事件可能發(fā)生且權(quán)重為低、中和高，事件很可能發(fā)生且權(quán)重為低、事件基本確定發(fā)生但權(quán)重為低和極低時，風險等級為中度；當事件可能發(fā)生且權(quán)重為極高、事件很可能發(fā)生且權(quán)重為中和高、事件基本確定發(fā)生但權(quán)重為中時，風險等級為高度；當事件很可能發(fā)生且權(quán)重為極高、事件基本確定發(fā)生且權(quán)重為高和極高時，風險等級為極高。

根據(jù)風險等級劃分原則和評估矩陣計算結(jié)果，可得出每個風險等級區(qū)間的臨界值，由此劃分出風險評級表（見表4）。

依據(jù)風險定量分析中得出的風險評估值，對照該表，可對應(yīng)得出各風險所對應(yīng)的風險等級，視情況進行分級管理。

（四）風險監(jiān)察模塊

一個閉環(huán)的風險管理系統(tǒng)，它的信息流通途徑及反應(yīng)機制應(yīng)為“控制信息→反饋信息→控制信息（控制手段）”。其中前饋的控制信息應(yīng)是企業(yè)根據(jù)管理需求，在故障樹的節(jié)點處自定義的觸發(fā)條件。其觸發(fā)條件可以是敏感參數(shù)的錯誤設(shè)置或超出企業(yè)容忍度的風險評估值抑或是信息系統(tǒng)某模塊參數(shù)設(shè)置的漏洞總數(shù)。

在控制信息傳達出去后便得到反饋信息，再次回饋的控制信息就應(yīng)該是控制手段。風險監(jiān)察模塊提供人工控制和程序控制兩種控制手段，可根據(jù)企業(yè)需求調(diào)整控制強度，如預警提示、禁止業(yè)務(wù)進行等多個強度級別。

對風險的識別絕不是一個單一的、一次性的過程。在風險管理系統(tǒng)建立之初，經(jīng)各種程序識別的一系列風險所在的環(huán)境，將隨著這些已識別風險性質(zhì)的改變而迅速發(fā)生變化，企業(yè)還需對已識別的風險進行監(jiān)察。首先，在應(yīng)用之初根據(jù)實際應(yīng)用的ERP特點及具體業(yè)務(wù)情況確定參數(shù)及對應(yīng)風險。在運營過程中，需綜合考慮計算機購置成本、服務(wù)器承載能力、風險容忍度、運營效率等多個因素，依據(jù)成本效益原則，合理調(diào)整故障樹并及時變更風險監(jiān)察的反應(yīng)機制，以適應(yīng)企業(yè)運營管理需要。

三、風險管理系統(tǒng)的應(yīng)用

通過風險管理系統(tǒng)對參數(shù)漏洞進行定期掃描和主動反應(yīng)，可以對企業(yè)信息系統(tǒng)風險洞察入微，防止人為或非人為等未知因素在暗處干擾企業(yè)運行。另外，通過將風險管理系統(tǒng)中的參數(shù)設(shè)置和風險評級歷史情況進行存檔，一可將歷史記錄與企業(yè)經(jīng)營中的財務(wù)及業(yè)務(wù)數(shù)值進行對比，建立線性關(guān)系，以探尋既定的企業(yè)運營效率之下最合適的風險容忍度及參數(shù)配置值；二可以在企業(yè)進行內(nèi)審的時候給予一定的切入點，如某段時間客戶信用管理參數(shù)設(shè)置為“是”，則應(yīng)重點審查信用額度高的客戶銷售業(yè)務(wù)，如為“否”，則需重點檢查銷售欠款較多的客戶的相關(guān)業(yè)務(wù)。●

【參考文獻】

[1] 陳旭，李蓮.基于ERP系統(tǒng)參數(shù)的內(nèi)部控制及風險評估研究[C].第十一屆會計信息化年會論文集，2012.

[2] 史定華，王松瑞.故障樹分析技術(shù)方法和理論[M].北京：北京師范大學出版社，1993.

[3] 趙煥臣，許樹柏，和金生.層次分析法[M].北京：科學出版社，1986.