基于COBIT5建立財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制

劉 霞（副教授），任驛佳

一、引言

2018年李克強(qiáng)總理在政府工作報(bào)告中7次提及“互聯(lián)網(wǎng)+”信息技術(shù)已廣泛融入企業(yè)管理與運(yùn)營(yíng)中，是我國(guó)經(jīng)濟(jì)轉(zhuǎn)型升級(jí)的強(qiáng)勁動(dòng)力。在這一背景下，對(duì)信息技術(shù)的投資已成為企業(yè)提升競(jìng)爭(zhēng)力不可或缺的方式，其中財(cái)務(wù)共享服務(wù)中心（Financial Shared Service Center，F(xiàn)SSC）是當(dāng)前企業(yè)最重要的IT投資方式之一。2015年安永華明會(huì)計(jì)師事務(wù)所調(diào)查顯示，已建立財(cái)務(wù)共享服務(wù)中心的企業(yè)中，五年前建立的占比22%，近五年內(nèi)建立的占比78%，說(shuō)明財(cái)務(wù)共享服務(wù)中心在我國(guó)的發(fā)展速度驚人。如何控制財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)，在時(shí)間、成本、質(zhì)量等方面實(shí)現(xiàn)組織目標(biāo)，是項(xiàng)目團(tuán)隊(duì)與高管層面臨的最大挑戰(zhàn)。本文的研究目的在于針對(duì)財(cái)務(wù)共享服務(wù)中心面臨的風(fēng)險(xiǎn)，建立風(fēng)險(xiǎn)管理機(jī)制，從而協(xié)助企業(yè)構(gòu)建全面的信息安全系統(tǒng)。

Van Grembergen等[1]指出，信息治理可視為公司治理的一部分，是通過(guò)建立一套合理的機(jī)制，規(guī)范組織信息流程與管理框架，協(xié)助企業(yè)達(dá)到信息戰(zhàn)略整合與提升價(jià)值等目的。為了處理更加深入和廣泛的信息技術(shù)問(wèn)題，國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）于2012年發(fā)布了《信息及相關(guān)技術(shù)控制目標(biāo)》（Control Objectives for Information and Related Technology）第五版（COBIT 5）。COBIT 5能夠確保組織的政策、計(jì)劃、程序和結(jié)構(gòu)設(shè)計(jì)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，并防止、檢查或改正非預(yù)期的事件[2]，也是企業(yè)進(jìn)行IT風(fēng)險(xiǎn)管理的框架[3]。COBIT 5已成為美國(guó)網(wǎng)絡(luò)安全新框架的核心[4]，是國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)[5]。目前，我國(guó)對(duì)COBIT的研究以借鑒為主[6]，對(duì)于COBIT理論應(yīng)用于信息系統(tǒng)的研究不夠深入，尚未有一套完整的信息系統(tǒng)控制規(guī)范。因此，本文基于COBIT 5，分析和討論財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理系統(tǒng)，識(shí)別和評(píng)估風(fēng)險(xiǎn)因子，探討可供管理層選擇的風(fēng)險(xiǎn)應(yīng)對(duì)策略，以幫助企業(yè)建立與實(shí)施系統(tǒng)、完善的風(fēng)險(xiǎn)管理機(jī)制。

本文的貢獻(xiàn)在于：首先，對(duì)COBIT 5進(jìn)行了深入研究，將COBIT 5的條款從文字介紹落實(shí)到風(fēng)險(xiǎn)管理流程，真正落實(shí)到實(shí)處，為我國(guó)企業(yè)信息系統(tǒng)的實(shí)施積累經(jīng)驗(yàn)。其次，擴(kuò)展了財(cái)務(wù)共享服務(wù)中心的研究范圍，目前對(duì)財(cái)務(wù)共享服務(wù)中心的研究多集中在概念探討和現(xiàn)狀分析上，本文通過(guò)構(gòu)建財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理框架，分析財(cái)務(wù)共享服務(wù)中心從上線到日常運(yùn)作的整個(gè)過(guò)程，辨別和管理影響其上線和運(yùn)作的風(fēng)險(xiǎn)因子。最后，擴(kuò)展了風(fēng)險(xiǎn)管理研究范圍，當(dāng)前已有研究主要是針對(duì)基于COBIT 5的會(huì)計(jì)控制系統(tǒng)，研究范圍集中于日常會(huì)計(jì)核算和監(jiān)督，而本文研究范圍從會(huì)計(jì)控制擴(kuò)展到風(fēng)險(xiǎn)管理，拓展了風(fēng)險(xiǎn)管理中信息技術(shù)的運(yùn)用范圍。

二、文獻(xiàn)綜述

（一）風(fēng)險(xiǎn)管理程序

美國(guó)反虛假財(cái)務(wù)報(bào)告全國(guó)委員會(huì)的發(fā)起組織委員會(huì)（COSO）在2014年發(fā)布了《企業(yè)風(fēng)險(xiǎn)管理整合框架》（COSO-ERM），并于2017年進(jìn)行了修訂。修訂后的COSO-ERM將“風(fēng)險(xiǎn)”定義為事項(xiàng)發(fā)生并影響戰(zhàn)略和業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的可能性。所有組織中都存在風(fēng)險(xiǎn)，風(fēng)險(xiǎn)管理的最大挑戰(zhàn)是將風(fēng)險(xiǎn)控制在組織偏好的范圍之內(nèi)。近幾年許多風(fēng)險(xiǎn)管理機(jī)制應(yīng)運(yùn)而生，如 PMI 2001、SAFE Methodology、Risk Diag?nosing Methodology，這些都是經(jīng)典的循環(huán)性風(fēng)險(xiǎn)管理機(jī)制[7]。財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理程序可總結(jié)為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、監(jiān)督與修正。

在財(cái)務(wù)共享服務(wù)中心導(dǎo)入前的選擇、導(dǎo)入后的運(yùn)作和管控的整個(gè)過(guò)程中，存在的風(fēng)險(xiǎn)包括：系統(tǒng)選擇不當(dāng)、項(xiàng)目團(tuán)隊(duì)能力不足、高管層參與度不高、主要使用者參與度低、缺乏訓(xùn)練與指導(dǎo)、不當(dāng)?shù)钠髽I(yè)流程再造、缺乏管理性的指引、無(wú)效的項(xiàng)目管理技術(shù)、不當(dāng)?shù)淖兏锕芾?、缺乏咨詢服?wù)、系統(tǒng)供貨商的穩(wěn)定性不佳與戰(zhàn)略規(guī)劃不合理。財(cái)務(wù)共享服務(wù)中心串聯(lián)整個(gè)企業(yè)功能，疏于風(fēng)險(xiǎn)管理，很可能會(huì)導(dǎo)致企業(yè)巨額虧損。因此，財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理是保證整個(gè)企業(yè)順利營(yíng)運(yùn)的關(guān)鍵要素之一。

（二）風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)與規(guī)范

當(dāng)前與風(fēng)險(xiǎn)管理相關(guān)的標(biāo)準(zhǔn)及規(guī)范主要包括：COSO-ERM、《風(fēng)險(xiǎn)管理——原則與實(shí)施指導(dǎo)準(zhǔn)則》（ISO/IEC 31000）、《信息技術(shù)——安全技術(shù)——信息安全管理體系——要求》（ISO/IEC 27001）與《信息技術(shù)——安全技術(shù)——信息安全風(fēng)險(xiǎn)管理》（ISO/IEC 27005）和COBIT 5。COSO-ERM是一個(gè)關(guān)于風(fēng)險(xiǎn)管理的高層級(jí)的概念框架，主要用于組織治理層面，對(duì)于IT控制目標(biāo)和相關(guān)活動(dòng)沒(méi)有詳細(xì)的標(biāo)準(zhǔn)。COBIT 5彌補(bǔ)了這一缺陷，其中不但包括組織治理、業(yè)務(wù)流程等，還列示了IT管理四大領(lǐng)域的詳細(xì)流程[3]。ISO/IEC 27001與ISO/IEC 27005強(qiáng)調(diào)IT管理的具體內(nèi)容，對(duì)IT治理沒(méi)有涉及。ISO/IEC 31000雖然制定了IT治理的流程，但在IT管理方面僅側(cè)重于調(diào)整、規(guī)劃與組織流程。綜上所述，COSO-ERM的原則性較高，COBIT 5不但彌補(bǔ)了COSO-ERM所欠缺的詳細(xì)流程，還補(bǔ)充和強(qiáng)化了ISO/IEC系列標(biāo)準(zhǔn)的內(nèi)容。

（三）IT控制與IT治理

企業(yè)應(yīng)建立較為健全的IT內(nèi)部控制，以防止舞弊、檢查錯(cuò)誤，降低企業(yè)IT風(fēng)險(xiǎn)及其未來(lái)可能造成的損失。采用IT技術(shù)可以提升企業(yè)內(nèi)部控制質(zhì)量[8]，IT內(nèi)部控制框架與標(biāo)準(zhǔn)可以幫助企業(yè)適應(yīng)環(huán)境的變化[9]。COSO在2013年更新了內(nèi)部控制整合框架，其中一項(xiàng)重要原則便是“針對(duì)信息技術(shù)，組織應(yīng)選擇并執(zhí)行一般控制活動(dòng)以支持其目標(biāo)的實(shí)現(xiàn)”。COBIT是一個(gè)國(guó)際公認(rèn)的在IT管理和控制方面的權(quán)威標(biāo)準(zhǔn)，明確了為實(shí)現(xiàn)企業(yè)控制目標(biāo)，IT程序如何傳遞信息[10][11]。管理層可以運(yùn)用COBIT框架進(jìn)行財(cái)務(wù)報(bào)表審計(jì)，以評(píng)估其IT內(nèi)部控制的有效性[12]。因此本文認(rèn)為，通過(guò)IT控制能夠?qū)崿F(xiàn)財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理的目的。

IT治理是通過(guò)開發(fā)和維護(hù)一個(gè)有效的IT控制與責(zé)任機(jī)制管理績(jī)效和風(fēng)險(xiǎn)，確保信息系統(tǒng)的實(shí)施戰(zhàn)略與企業(yè)戰(zhàn)略得以銜接，實(shí)現(xiàn)企業(yè)價(jià)值最大化。在IT治理與公司治理同時(shí)有效運(yùn)作的情況下可以強(qiáng)化企業(yè)管理者的責(zé)任[13]。Bin-Abbas等[14]提出了50項(xiàng)IT治理的控制要素，幫助組織發(fā)現(xiàn)IT治理的優(yōu)勢(shì)和弱點(diǎn)，找到未來(lái)治理的發(fā)展方向。IT治理研究所（ITGI）指出，COBIT是唯一能夠提供IT治理的管理框架，能夠支持IT目標(biāo)的實(shí)現(xiàn)，確保IT定位準(zhǔn)確，提高IT效率效果。ISACA認(rèn)為COBIT是以IT程序、IT領(lǐng)域、信息準(zhǔn)則和IT資源為基礎(chǔ)的流程控制理論。COBIT已成為組織執(zhí)行IT控制的重要參考框架[12]。因此本文認(rèn)為，基于COBIT建立財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制不但可行，而且對(duì)于探討適合我國(guó)企業(yè)的IT控制具有重要意義。

三、研究設(shè)計(jì)與方法

首先，通過(guò)梳理文獻(xiàn)，整理歸納出財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理因子，構(gòu)建基于COBIT 5的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理初步模型。本文整理的文獻(xiàn)主要包括：Jan 等[15]、Knol等[16]、Huang等[17]、Marijin等[18]、Martin[19]、Owens[20]、Spears等[21]、何瑛等[22]、張瑞君等[23]以及王光遠(yuǎn)等[24]。通過(guò)對(duì)這些文獻(xiàn)進(jìn)行整理，提煉出53項(xiàng)財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理因子。

其次，采用德爾菲專家問(wèn)卷法檢驗(yàn)由文獻(xiàn)歸納出的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制是否合理，并取得專家們的一致意見。德爾菲專家問(wèn)卷調(diào)查法是根據(jù)專家的專業(yè)知識(shí)、經(jīng)驗(yàn)及意見，經(jīng)由多回合的問(wèn)卷發(fā)放與反饋，獲取專家對(duì)某一議題的共識(shí)的一種研究方法[25][26]。本文聘請(qǐng)了14位從事財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理理論研究的專家和實(shí)務(wù)工作者，經(jīng)過(guò)以下六個(gè)步驟獲取專家意見：①成立專家小組；②設(shè)計(jì)問(wèn)卷；③發(fā)放問(wèn)卷給專家小組；④針對(duì)專家問(wèn)卷進(jìn)行分析歸納；⑤若各問(wèn)項(xiàng)未滿足一致性，則重新發(fā)放問(wèn)卷；⑥總結(jié)與報(bào)告。

最后，采用案例研究法確認(rèn)所構(gòu)建財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制的有效性。本文以某公司為研究對(duì)象，對(duì)其總經(jīng)理、副總經(jīng)理、信息部主管（CIO）、財(cái)務(wù)共享服務(wù)中心負(fù)責(zé)人或相關(guān)主管、負(fù)責(zé)執(zhí)行財(cái)務(wù)共享服務(wù)中心的項(xiàng)目成員進(jìn)行深度訪談。通過(guò)在案例企業(yè)現(xiàn)場(chǎng)收集企業(yè)實(shí)際運(yùn)作的數(shù)據(jù)，并輔之以企業(yè)所在行業(yè)相關(guān)的研究報(bào)告、數(shù)據(jù)等資料，進(jìn)行分析和整理，歸納總結(jié)出相關(guān)研究結(jié)論。

四、構(gòu)建財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制

（一）確認(rèn)財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理因子

COBIT 5將IT管理領(lǐng)域分為四個(gè)層面：①協(xié)調(diào)、計(jì)劃與組織（APO），包括13項(xiàng)控制流程；②建立、獲取與實(shí)施（BAI），包括10項(xiàng)控制流程；③交付、服務(wù)與支持（DSS），包括6項(xiàng)控制流程；④監(jiān)督、評(píng)估與評(píng)價(jià)（MEA），包括3項(xiàng)控制流程，具體如表1所示。根據(jù)這四個(gè)層面的特點(diǎn)，將53項(xiàng)風(fēng)險(xiǎn)因子進(jìn)行分類。下面以“安全措施的效果不佳”風(fēng)險(xiǎn)因子為例進(jìn)行分析：

表1 COBIT 5中IT管理領(lǐng)域四個(gè)層面的控制流程

第一步，“安全措施的效果不佳”這一風(fēng)險(xiǎn)因子符合APO層面“擬定信息環(huán)境框架”的內(nèi)涵，因此，將該風(fēng)險(xiǎn)因子劃分為APO層面，并進(jìn)行編號(hào)“Risk_APO.1安全措施的效果不佳”。

第二步，分析風(fēng)險(xiǎn)因子“安全措施的效果不佳”包括在哪些流程中。專家們針對(duì)該風(fēng)險(xiǎn)因子進(jìn)行討論，認(rèn)為涵蓋風(fēng)險(xiǎn)因子Risk_APO.1的流程包括“Pro_APO01界定與管理IT管理標(biāo)準(zhǔn)”和“Pro_DSS05確保系統(tǒng)安全”。

第三步，COBIT 5中為上述四個(gè)層面的32項(xiàng)控制流程確定了195個(gè)控制措施，如在Pro_APO01流程中，對(duì)應(yīng)控制措施有8個(gè)：①定義組織結(jié)構(gòu)；②建立角色和責(zé)任；③維護(hù)管理系統(tǒng)的實(shí)現(xiàn)；④溝通管理的目標(biāo)和方向；⑤優(yōu)化IT運(yùn)作的位置；⑥界定信息（數(shù)據(jù)）和系統(tǒng)的所有權(quán)；⑦持續(xù)改進(jìn)管理的過(guò)程；⑧持續(xù)遵守政策和程序。與Risk_APO.1相關(guān)的控制流程為Pro_APO01、Pro_DSS05，專家們討論認(rèn)為相應(yīng)的控制措施為“持續(xù)遵守政策和程序”（對(duì)應(yīng)流程為Pro_APO01），“管理網(wǎng)絡(luò)連接的安全性”和“管理端點(diǎn)安全性”（對(duì)應(yīng)流程為Pro_DSS05）。據(jù)此，本文將這三項(xiàng)控制措施分別編號(hào)為“Obj_APO.1.1持續(xù)遵守政策和程序”、“Obj_APO.1.2管理網(wǎng)絡(luò)連接的安全性”和“Obj_APO.1.3管理端點(diǎn)安全性”。

第四步，根據(jù)所確定的控制流程與控制措施，參考COBIT 5中列示的26個(gè)角色和職能，針對(duì)組織內(nèi)角色與職能給予適當(dāng)?shù)呢?zé)任分配。

重復(fù)以上步驟，找出其余52項(xiàng)風(fēng)險(xiǎn)因子對(duì)應(yīng)的控制流程、控制措施，并明確對(duì)應(yīng)的角色和職能，最終建立基于COBIT 5的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制初步模型。該模型在APO層面包含20個(gè)風(fēng)險(xiǎn)因子（如表2所示）、BAI層面包含18個(gè)風(fēng)險(xiǎn)因子（如表3所示）、DSS層面包含9個(gè)風(fēng)險(xiǎn)因子（如表4所示）、MEA層面包含6個(gè)風(fēng)險(xiǎn)因子（如表5所示），共53個(gè)風(fēng)險(xiǎn)因子，對(duì)應(yīng)的具體控制措施為136項(xiàng)。

（二）采用德爾菲法修正研究模型

本研究在建立風(fēng)險(xiǎn)管理機(jī)制初步模型后，通過(guò)發(fā)放德爾菲問(wèn)卷的方式，取得理論界與實(shí)務(wù)界專家的意見與共識(shí)，并進(jìn)行模型修正。德爾菲法能夠通過(guò)多回合的問(wèn)卷調(diào)查整理出一致的意見，且其匿名性可以克服面對(duì)面討論或開會(huì)的局限性，讓專家們?cè)诨ゲ挥绊懙臓顩r下提出合適的意見。

德爾菲法要求進(jìn)行反復(fù)詢問(wèn)，直至專家們達(dá)成共識(shí)為止，目的是通過(guò)專家們的不斷討論，取得較為完善的解決方案。本文運(yùn)用了兩輪德爾菲專家問(wèn)卷，第一輪是由專家來(lái)決定問(wèn)項(xiàng)歸類是否正確且適合作為財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)因子，第二輪是針對(duì)第一輪中專家意見分歧部分達(dá)成共識(shí)，再次確認(rèn)所構(gòu)建的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制。兩輪問(wèn)卷均以電子郵件的方式發(fā)放和回收，問(wèn)卷回收后采用CVR值檢驗(yàn)內(nèi)容效度[27]，采用四分位差檢驗(yàn)專家意見離散程度[28]。

專家小組成員既包括財(cái)務(wù)共享服務(wù)中心領(lǐng)域和風(fēng)險(xiǎn)管理領(lǐng)域的咨詢顧問(wèn)，也包括高校中從事財(cái)務(wù)共享服務(wù)中心和風(fēng)險(xiǎn)管理研究的學(xué)者。專家小組的成員為15人左右最佳[25]，本文選取14名專家，其中在企業(yè)及政府信息技術(shù)相關(guān)部門任職的有6人，在會(huì)計(jì)師事務(wù)所或管理咨詢公司任職的有6人，在高校任職的有2人。這14名專家的任職時(shí)間均值為11年。

1.第一輪問(wèn)卷。第一輪問(wèn)卷的實(shí)施自2017年4月8日開始，5月3日完成所有問(wèn)卷的收回。問(wèn)卷設(shè)計(jì)以邏輯判斷為主，并留有空白處使專家能充分表達(dá)意見。第一輪問(wèn)卷結(jié)果的檢驗(yàn)分為三步完成：

①檢驗(yàn)問(wèn)卷內(nèi)容的信度和效度，根據(jù)問(wèn)卷填答結(jié)果計(jì)算CVR值。根據(jù)Lawshe[27]的研究，當(dāng)調(diào)研人數(shù)為14人時(shí)，CVR的最小值為0.51。結(jié)果顯示，除“Risk_APO.3故意的行為”CVR值小于0.51之外，其余風(fēng)險(xiǎn)因子的CVR值均大于0.51。說(shuō)明專家對(duì)財(cái)務(wù)共享服務(wù)中心環(huán)境下的風(fēng)險(xiǎn)因子歸類至COBIT 5中IT領(lǐng)域管理四個(gè)層面的恰當(dāng)程度表示高度認(rèn)同。

②確認(rèn)所選項(xiàng)目是否適合作為財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)因子，四分位差大于0.6或標(biāo)準(zhǔn)差大于1，則表示未達(dá)到一致性[28]。結(jié)果顯示，四分位差大于0.6的控制措施包括Obj_APO.3.2、Obj_APO.3.3、Obj_APO.4.2、Obj_APO.10.1、Obj_APO.10.2、Obj_APO.13.1、Obj_APO.15.1、Obj_BAI.2.1、Obj_BAI.6.2、 Obj_BAI.7.2、 Obj_BAI.11.3、Obj_BAI.14.1、Obj_DSS.3.2，標(biāo)準(zhǔn)差大于1的控制措 施 包 括 Obj_APO.10.2、Obj_APO.12.2、Obj_APO.15.1、Obj_APO.15.2、Obj_APO.19.2、Obj_DSS.4.1、Obj_MEA.1.1，共計(jì)18項(xiàng)控制措施未達(dá)到一致性。這18項(xiàng)控制措施需要在第二輪問(wèn)卷中進(jìn)一步討論。

③請(qǐng)專家在空白處填寫意見，這些意見也將在第二輪問(wèn)卷中進(jìn)行討論。

2.第二輪問(wèn)卷。第二輪共發(fā)出14份問(wèn)卷，全部收回。根據(jù)專家意見對(duì)風(fēng)險(xiǎn)因子進(jìn)行了修正，修正結(jié)果詳見表2～表5。針對(duì)在第一輪中未達(dá)到內(nèi)容效度的項(xiàng)目“Risk_APO.3故意的行為”，第二輪專家意見一致認(rèn)為其不適合作為風(fēng)險(xiǎn)因子，予以刪除。第二輪結(jié)果顯示，修正后的風(fēng)險(xiǎn)因子“操作系統(tǒng)的瑕疵影響財(cái)務(wù)共享服務(wù)中心系統(tǒng)運(yùn)作”的CVR值為0.43，低于最低標(biāo)準(zhǔn)，說(shuō)明其不適合作為風(fēng)險(xiǎn)因子，予以刪除。最終剩余52項(xiàng)風(fēng)險(xiǎn)因子，且有些風(fēng)險(xiǎn)因子進(jìn)行了重分類，如：Risk_APO.17重分類至BAI層面，Risk_BAI.2、Risk_BAI.9、Risk_BAI.12、Risk_DSS.2、Risk_DSS.3均重分類至APO層面。

在第二輪德爾菲問(wèn)卷中針對(duì)風(fēng)險(xiǎn)因子所對(duì)應(yīng)的控制措施進(jìn)行一致性檢驗(yàn)，對(duì)于四分位差大于0.6或標(biāo)準(zhǔn)差大于1的控制措施按照專家意見進(jìn)行了修正，處理后的結(jié)果如下：①Obj_APO.15.2修訂為“需要基于企業(yè)文化建立一個(gè)有利于創(chuàng)新的環(huán)境”；②Obj_APO.19.1與Obj_APO.19.2兩項(xiàng)控制措施修訂為一項(xiàng)“規(guī)劃時(shí)考慮資源的分配并定期識(shí)別和記錄資產(chǎn)”；③Obj_APO.10.2修訂為“從企業(yè)流程再造的角度了解企業(yè)未來(lái)的發(fā)展方向”；④Obj_BAI.18.1與Obj_BAI.18.2兩項(xiàng)控制措施修訂為一項(xiàng)“持續(xù)追蹤新舊系統(tǒng)整合時(shí)變革的狀態(tài)”。被刪除的風(fēng)險(xiǎn)因子Risk_APO.3對(duì)應(yīng)有4項(xiàng)控制措施，另有4項(xiàng)控制措施修正為兩項(xiàng)，最終剩余130項(xiàng)控制措施。

修正后的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制模型滿足效度與一致性要求。因此，本文通過(guò)兩輪的德爾菲問(wèn)卷，構(gòu)建的基于COBIT 5的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制已得到專家的一致認(rèn)同，涵蓋IT管理領(lǐng)域的四個(gè)層面、52項(xiàng)風(fēng)險(xiǎn)因子、130項(xiàng)控制措施（詳見表2～表5）。

表2 風(fēng)險(xiǎn)管理機(jī)制模型——APO層面

續(xù)表2

續(xù)表2

表3 風(fēng)險(xiǎn)管理機(jī)制模型——BAI層面

續(xù)表3

續(xù)表3

表4 風(fēng)險(xiǎn)管理機(jī)制模型——DSS層面

續(xù)表4

表5 風(fēng)險(xiǎn)管理機(jī)制模型——MEA層面

五、風(fēng)險(xiǎn)管理機(jī)制的有效性驗(yàn)證

本文以某汽車制造公司作為研究對(duì)象，通過(guò)結(jié)構(gòu)化訪談驗(yàn)證所構(gòu)建的風(fēng)險(xiǎn)管理機(jī)制的有效性。首先了解案例公司實(shí)施財(cái)務(wù)共享服務(wù)中心的情況，以及在實(shí)施過(guò)程中所遇到的困難和挑戰(zhàn)；然后分析案例公司試用所構(gòu)建的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制；最后與案例公司相關(guān)人員進(jìn)行溝通，評(píng)估風(fēng)險(xiǎn)管理機(jī)制在財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理中的有效性、不足之處與需要加強(qiáng)的部分。

（一）案例公司簡(jiǎn)介

案例公司是國(guó)內(nèi)一家大型汽車制造企業(yè)，下屬控股子公司30余家，擁有員工54000余人。公司產(chǎn)品主要針對(duì)國(guó)內(nèi)消費(fèi)者，同時(shí)也積極拓展海外市場(chǎng)，海外銷售已初見成效。公司的信息系統(tǒng)配置為SAP系統(tǒng)，包含三大模塊：配銷模塊、制造模塊及財(cái)務(wù)模塊。配銷模塊包括庫(kù)存管理、采購(gòu)管理、訂單出貨管理等功能；制造模塊包括產(chǎn)品結(jié)構(gòu)管理、工單管理、物料需求規(guī)劃、產(chǎn)能需求規(guī)劃、生產(chǎn)規(guī)劃以及成本管理等功能；財(cái)務(wù)模塊包括總賬、應(yīng)收賬款、應(yīng)付賬款、現(xiàn)金管理、固定資產(chǎn)等功能。

表6 案例公司財(cái)務(wù)共享服務(wù)中心在IT管理領(lǐng)域各層面可能發(fā)生的風(fēng)險(xiǎn)

（二）結(jié)構(gòu)化訪談實(shí)施情況

本文以結(jié)構(gòu)化訪談的方式驗(yàn)證所構(gòu)建的風(fēng)險(xiǎn)管理機(jī)制的有效性，訪談過(guò)程中用錄音記錄完整的訪談內(nèi)容。訪談對(duì)象為公司的副總經(jīng)理與IT管理部負(fù)責(zé)人，他們均為公司財(cái)務(wù)共享服務(wù)中心的項(xiàng)目組成員或負(fù)責(zé)人。訪談后不足的資料，以電子郵件和電話的方式進(jìn)一步補(bǔ)充，用文字整理出訪談?dòng)涗洝?/p>

案例公司將財(cái)務(wù)共享服務(wù)中心的運(yùn)行分為導(dǎo)入與維護(hù)兩個(gè)階段。在導(dǎo)入階段，采用單獨(dú)項(xiàng)目實(shí)施的方式進(jìn)行，項(xiàng)目主管明確項(xiàng)目的時(shí)間、成本、目標(biāo)與范圍；在維護(hù)階段，公司進(jìn)行正常維護(hù)，年底確定需要進(jìn)行后續(xù)調(diào)整的部分。表6按照COBIT 5中IT管理領(lǐng)域的四個(gè)層面總結(jié)了案例公司可能發(fā)生的風(fēng)險(xiǎn)。

（三）應(yīng)對(duì)財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)的控制措施

案例公司應(yīng)對(duì)財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)的控制措施主要包括導(dǎo)入前的規(guī)范與導(dǎo)入后的管理，具體措施如表7所示。

表7 案例公司應(yīng)對(duì)風(fēng)險(xiǎn)的控制措施

案例公司在財(cái)務(wù)共享服務(wù)中心系統(tǒng)導(dǎo)入后，采用以下四個(gè)步驟進(jìn)行風(fēng)險(xiǎn)管理：風(fēng)險(xiǎn)發(fā)現(xiàn)、比較、追蹤和監(jiān)管。首先，由財(cái)務(wù)共享服務(wù)中心項(xiàng)目小組提出財(cái)務(wù)共享服務(wù)中心面臨的風(fēng)險(xiǎn)，并提出解決方案；其次，將財(cái)務(wù)共享服務(wù)中心小組提出的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)項(xiàng)目表進(jìn)行比較，將與風(fēng)險(xiǎn)項(xiàng)目表不對(duì)應(yīng)的風(fēng)險(xiǎn)項(xiàng)目直接列入表內(nèi)或修改原有風(fēng)險(xiǎn)項(xiàng)目表，擴(kuò)大其涵蓋范圍；再次，由財(cái)務(wù)共享服務(wù)中心項(xiàng)目小組追蹤識(shí)別出風(fēng)險(xiǎn)；最后，將風(fēng)險(xiǎn)管理結(jié)果與進(jìn)度向管理層報(bào)告。風(fēng)險(xiǎn)管理結(jié)果通常包括移除非風(fēng)險(xiǎn)項(xiàng)目、改變風(fēng)險(xiǎn)管控模式以及增加新項(xiàng)目。

受訪者針對(duì)財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理程序進(jìn)行了補(bǔ)充說(shuō)明：①導(dǎo)入前，會(huì)針對(duì)系統(tǒng)權(quán)限制定相關(guān)的風(fēng)險(xiǎn)管理計(jì)劃；②導(dǎo)入后，會(huì)針對(duì)實(shí)際運(yùn)作中發(fā)生的異常，執(zhí)行改善程序；③年度總結(jié)中，會(huì)重新分析當(dāng)前風(fēng)險(xiǎn)。

（四）財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制有效性評(píng)估

訪談前請(qǐng)受訪者審閱并使用所構(gòu)建的基于COBIT 5的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制，根據(jù)執(zhí)行結(jié)果評(píng)價(jià)其有效性。本文按照財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理的四個(gè)步驟（風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、監(jiān)督與修正）進(jìn)行結(jié)構(gòu)化訪談。

1.風(fēng)險(xiǎn)識(shí)別。針對(duì)模型中列示的52項(xiàng)風(fēng)險(xiǎn)因子，請(qǐng)?jiān)L談人員識(shí)別這些風(fēng)險(xiǎn)在公司中是否曾經(jīng)發(fā)生或可能發(fā)生。訪談結(jié)果顯示，APO層面有23項(xiàng)風(fēng)險(xiǎn)因子可能發(fā)生，其中有16項(xiàng)（16/23≈70%）一定會(huì)發(fā)生；BAI層面有16項(xiàng)風(fēng)險(xiǎn)因子可能發(fā)生，其中有8項(xiàng)（50%）一定會(huì)發(fā)生；DSS層面有7項(xiàng)風(fēng)險(xiǎn)因子可能發(fā)生，其中有6項(xiàng)（86%）一定會(huì)發(fā)生；MEA層面有6項(xiàng)風(fēng)險(xiǎn)因子可能發(fā)生，其中有2項(xiàng)一定會(huì)發(fā)生（33%）?？傊茉L者認(rèn)為，在IT管理領(lǐng)域四個(gè)層面的52項(xiàng)風(fēng)險(xiǎn)因子中有32項(xiàng)（62%）一定會(huì)發(fā)生，說(shuō)明本文構(gòu)建的風(fēng)險(xiǎn)管理機(jī)制在風(fēng)險(xiǎn)識(shí)別階段是有效的。

2.風(fēng)險(xiǎn)評(píng)估。Hughes等[29]認(rèn)為風(fēng)險(xiǎn)因子本身無(wú)法識(shí)別風(fēng)險(xiǎn)，需要通過(guò)風(fēng)險(xiǎn)評(píng)估才能找到重要的風(fēng)險(xiǎn)。因此，訪談中邀請(qǐng)受訪者按照影響程度的高、中、低不同等級(jí)評(píng)估四個(gè)層面的風(fēng)險(xiǎn)因子。評(píng)估結(jié)果顯示，APO層面有5項(xiàng)風(fēng)險(xiǎn)因子被評(píng)為影響程度高，BAI層面有2項(xiàng)風(fēng)險(xiǎn)因子被評(píng)為影響程度高，DSS層面有1項(xiàng)風(fēng)險(xiǎn)因子被評(píng)為影響程度高，MEA層面有1項(xiàng)風(fēng)險(xiǎn)因子被評(píng)為影響程度高。影響程度高的風(fēng)險(xiǎn)因子有9項(xiàng)，影響程度中等的風(fēng)險(xiǎn)因子有13項(xiàng)，影響程度低的風(fēng)險(xiǎn)因子有10項(xiàng)，可選擇優(yōu)先處理影響程度高的風(fēng)險(xiǎn)因子。

3.風(fēng)險(xiǎn)應(yīng)對(duì)。針對(duì)9項(xiàng)影響程度高的風(fēng)險(xiǎn)因子，列出受訪者認(rèn)為控制效果“好”和“中”的控制措施（如表8所示），這些措施便是公司在遇到影響程度高的風(fēng)險(xiǎn)因子時(shí)，可優(yōu)先采取的應(yīng)對(duì)措施。

在監(jiān)督與修正方面，目前公司進(jìn)行的財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理，分為導(dǎo)入前的規(guī)范和導(dǎo)入后針對(duì)異常情況的管理。受訪者表示，本文所構(gòu)建的風(fēng)險(xiǎn)管理機(jī)制的效用在于能清晰地評(píng)價(jià)風(fēng)險(xiǎn)因子的重要程度，明確列示出所對(duì)應(yīng)的控制措施，使得財(cái)務(wù)共享服務(wù)中心導(dǎo)入時(shí)可以迅速評(píng)估風(fēng)險(xiǎn)、制訂周詳?shù)娘L(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。因此，對(duì)案例公司相關(guān)人員的訪談?dòng)∽C了所構(gòu)建的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制的有效性。

六、結(jié)論

本文以COBIT 5為基礎(chǔ)構(gòu)建了一個(gè)便于企業(yè)識(shí)別、評(píng)估、應(yīng)對(duì)與控制財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)的風(fēng)險(xiǎn)管理機(jī)制，并分析財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)因子的類型與特征，評(píng)估各項(xiàng)風(fēng)險(xiǎn)因子的影響，討論可采取的方式和措施以應(yīng)對(duì)風(fēng)險(xiǎn)。

表8 影響程度高的風(fēng)險(xiǎn)因子與對(duì)應(yīng)的控制措施

本文由文獻(xiàn)歸納總結(jié)財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)因子，運(yùn)用德爾菲專家問(wèn)卷法進(jìn)一步補(bǔ)充完善，并根據(jù)COBIT 5的規(guī)范提煉出相應(yīng)的控制措施，最終提出涵蓋IT管理4個(gè)層面的52項(xiàng)風(fēng)險(xiǎn)因子，以及應(yīng)對(duì)這些風(fēng)險(xiǎn)因子的130項(xiàng)控制措施。本文還運(yùn)用案例企業(yè)結(jié)構(gòu)化訪談的方法驗(yàn)證了所提出的風(fēng)險(xiǎn)管理機(jī)制的有效性。

本文與現(xiàn)有研究的差異在于，基于信息技術(shù)控制目標(biāo)（COBIT 5），結(jié)合財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理的特點(diǎn)建立風(fēng)險(xiǎn)管理機(jī)制，方便企業(yè)快速識(shí)別風(fēng)險(xiǎn)，采取措施積極響應(yīng)與改善缺陷，充分發(fā)揮其風(fēng)險(xiǎn)管理效果。隨著技術(shù)的不斷進(jìn)步，本文所構(gòu)建的風(fēng)險(xiǎn)管理機(jī)制無(wú)法涵蓋所有未來(lái)可能發(fā)生的風(fēng)險(xiǎn)，這既是本文研究的局限也是未來(lái)研究的方向。