劉 霞(副教授),任驛佳
2018年李克強(qiáng)總理在政府工作報(bào)告中7次提及“互聯(lián)網(wǎng)+”信息技術(shù)已廣泛融入企業(yè)管理與運(yùn)營(yíng)中,是我國(guó)經(jīng)濟(jì)轉(zhuǎn)型升級(jí)的強(qiáng)勁動(dòng)力。在這一背景下,對(duì)信息技術(shù)的投資已成為企業(yè)提升競(jìng)爭(zhēng)力不可或缺的方式,其中財(cái)務(wù)共享服務(wù)中心(Financial Shared Service Center,F(xiàn)SSC)是當(dāng)前企業(yè)最重要的IT投資方式之一。2015年安永華明會(huì)計(jì)師事務(wù)所調(diào)查顯示,已建立財(cái)務(wù)共享服務(wù)中心的企業(yè)中,五年前建立的占比22%,近五年內(nèi)建立的占比78%,說(shuō)明財(cái)務(wù)共享服務(wù)中心在我國(guó)的發(fā)展速度驚人。如何控制財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn),在時(shí)間、成本、質(zhì)量等方面實(shí)現(xiàn)組織目標(biāo),是項(xiàng)目團(tuán)隊(duì)與高管層面臨的最大挑戰(zhàn)。本文的研究目的在于針對(duì)財(cái)務(wù)共享服務(wù)中心面臨的風(fēng)險(xiǎn),建立風(fēng)險(xiǎn)管理機(jī)制,從而協(xié)助企業(yè)構(gòu)建全面的信息安全系統(tǒng)。
Van Grembergen等[1]指出,信息治理可視為公司治理的一部分,是通過(guò)建立一套合理的機(jī)制,規(guī)范組織信息流程與管理框架,協(xié)助企業(yè)達(dá)到信息戰(zhàn)略整合與提升價(jià)值等目的。為了處理更加深入和廣泛的信息技術(shù)問(wèn)題,國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)于2012年發(fā)布了《信息及相關(guān)技術(shù)控制目標(biāo)》(Control Objectives for Information and Related Technology)第五版(COBIT 5)。COBIT 5能夠確保組織的政策、計(jì)劃、程序和結(jié)構(gòu)設(shè)計(jì)實(shí)現(xiàn)業(yè)務(wù)目標(biāo),并防止、檢查或改正非預(yù)期的事件[2],也是企業(yè)進(jìn)行IT風(fēng)險(xiǎn)管理的框架[3]。COBIT 5已成為美國(guó)網(wǎng)絡(luò)安全新框架的核心[4],是國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)[5]。目前,我國(guó)對(duì)COBIT的研究以借鑒為主[6],對(duì)于COBIT理論應(yīng)用于信息系統(tǒng)的研究不夠深入,尚未有一套完整的信息系統(tǒng)控制規(guī)范。因此,本文基于COBIT 5,分析和討論財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理系統(tǒng),識(shí)別和評(píng)估風(fēng)險(xiǎn)因子,探討可供管理層選擇的風(fēng)險(xiǎn)應(yīng)對(duì)策略,以幫助企業(yè)建立與實(shí)施系統(tǒng)、完善的風(fēng)險(xiǎn)管理機(jī)制。
本文的貢獻(xiàn)在于:首先,對(duì)COBIT 5進(jìn)行了深入研究,將COBIT 5的條款從文字介紹落實(shí)到風(fēng)險(xiǎn)管理流程,真正落實(shí)到實(shí)處,為我國(guó)企業(yè)信息系統(tǒng)的實(shí)施積累經(jīng)驗(yàn)。其次,擴(kuò)展了財(cái)務(wù)共享服務(wù)中心的研究范圍,目前對(duì)財(cái)務(wù)共享服務(wù)中心的研究多集中在概念探討和現(xiàn)狀分析上,本文通過(guò)構(gòu)建財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理框架,分析財(cái)務(wù)共享服務(wù)中心從上線到日常運(yùn)作的整個(gè)過(guò)程,辨別和管理影響其上線和運(yùn)作的風(fēng)險(xiǎn)因子。最后,擴(kuò)展了風(fēng)險(xiǎn)管理研究范圍,當(dāng)前已有研究主要是針對(duì)基于COBIT 5的會(huì)計(jì)控制系統(tǒng),研究范圍集中于日常會(huì)計(jì)核算和監(jiān)督,而本文研究范圍從會(huì)計(jì)控制擴(kuò)展到風(fēng)險(xiǎn)管理,拓展了風(fēng)險(xiǎn)管理中信息技術(shù)的運(yùn)用范圍。
美國(guó)反虛假財(cái)務(wù)報(bào)告全國(guó)委員會(huì)的發(fā)起組織委員會(huì)(COSO)在2014年發(fā)布了《企業(yè)風(fēng)險(xiǎn)管理整合框架》(COSO-ERM),并于2017年進(jìn)行了修訂。修訂后的COSO-ERM將“風(fēng)險(xiǎn)”定義為事項(xiàng)發(fā)生并影響戰(zhàn)略和業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的可能性。所有組織中都存在風(fēng)險(xiǎn),風(fēng)險(xiǎn)管理的最大挑戰(zhàn)是將風(fēng)險(xiǎn)控制在組織偏好的范圍之內(nèi)。近幾年許多風(fēng)險(xiǎn)管理機(jī)制應(yīng)運(yùn)而生,如 PMI 2001、SAFE Methodology、Risk Diag?nosing Methodology,這些都是經(jīng)典的循環(huán)性風(fēng)險(xiǎn)管理機(jī)制[7]。財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理程序可總結(jié)為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、監(jiān)督與修正。
在財(cái)務(wù)共享服務(wù)中心導(dǎo)入前的選擇、導(dǎo)入后的運(yùn)作和管控的整個(gè)過(guò)程中,存在的風(fēng)險(xiǎn)包括:系統(tǒng)選擇不當(dāng)、項(xiàng)目團(tuán)隊(duì)能力不足、高管層參與度不高、主要使用者參與度低、缺乏訓(xùn)練與指導(dǎo)、不當(dāng)?shù)钠髽I(yè)流程再造、缺乏管理性的指引、無(wú)效的項(xiàng)目管理技術(shù)、不當(dāng)?shù)淖兏锕芾?、缺乏咨詢服?wù)、系統(tǒng)供貨商的穩(wěn)定性不佳與戰(zhàn)略規(guī)劃不合理。財(cái)務(wù)共享服務(wù)中心串聯(lián)整個(gè)企業(yè)功能,疏于風(fēng)險(xiǎn)管理,很可能會(huì)導(dǎo)致企業(yè)巨額虧損。因此,財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理是保證整個(gè)企業(yè)順利營(yíng)運(yùn)的關(guān)鍵要素之一。
當(dāng)前與風(fēng)險(xiǎn)管理相關(guān)的標(biāo)準(zhǔn)及規(guī)范主要包括:COSO-ERM、《風(fēng)險(xiǎn)管理——原則與實(shí)施指導(dǎo)準(zhǔn)則》(ISO/IEC 31000)、《信息技術(shù)——安全技術(shù)——信息安全管理體系——要求》(ISO/IEC 27001)與《信息技術(shù)——安全技術(shù)——信息安全風(fēng)險(xiǎn)管理》(ISO/IEC 27005)和COBIT 5。COSO-ERM是一個(gè)關(guān)于風(fēng)險(xiǎn)管理的高層級(jí)的概念框架,主要用于組織治理層面,對(duì)于IT控制目標(biāo)和相關(guān)活動(dòng)沒(méi)有詳細(xì)的標(biāo)準(zhǔn)。COBIT 5彌補(bǔ)了這一缺陷,其中不但包括組織治理、業(yè)務(wù)流程等,還列示了IT管理四大領(lǐng)域的詳細(xì)流程[3]。ISO/IEC 27001與ISO/IEC 27005強(qiáng)調(diào)IT管理的具體內(nèi)容,對(duì)IT治理沒(méi)有涉及。ISO/IEC 31000雖然制定了IT治理的流程,但在IT管理方面僅側(cè)重于調(diào)整、規(guī)劃與組織流程。綜上所述,COSO-ERM的原則性較高,COBIT 5不但彌補(bǔ)了COSO-ERM所欠缺的詳細(xì)流程,還補(bǔ)充和強(qiáng)化了ISO/IEC系列標(biāo)準(zhǔn)的內(nèi)容。
企業(yè)應(yīng)建立較為健全的IT內(nèi)部控制,以防止舞弊、檢查錯(cuò)誤,降低企業(yè)IT風(fēng)險(xiǎn)及其未來(lái)可能造成的損失。采用IT技術(shù)可以提升企業(yè)內(nèi)部控制質(zhì)量[8],IT內(nèi)部控制框架與標(biāo)準(zhǔn)可以幫助企業(yè)適應(yīng)環(huán)境的變化[9]。COSO在2013年更新了內(nèi)部控制整合框架,其中一項(xiàng)重要原則便是“針對(duì)信息技術(shù),組織應(yīng)選擇并執(zhí)行一般控制活動(dòng)以支持其目標(biāo)的實(shí)現(xiàn)”。COBIT是一個(gè)國(guó)際公認(rèn)的在IT管理和控制方面的權(quán)威標(biāo)準(zhǔn),明確了為實(shí)現(xiàn)企業(yè)控制目標(biāo),IT程序如何傳遞信息[10][11]。管理層可以運(yùn)用COBIT框架進(jìn)行財(cái)務(wù)報(bào)表審計(jì),以評(píng)估其IT內(nèi)部控制的有效性[12]。因此本文認(rèn)為,通過(guò)IT控制能夠?qū)崿F(xiàn)財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理的目的。
IT治理是通過(guò)開發(fā)和維護(hù)一個(gè)有效的IT控制與責(zé)任機(jī)制管理績(jī)效和風(fēng)險(xiǎn),確保信息系統(tǒng)的實(shí)施戰(zhàn)略與企業(yè)戰(zhàn)略得以銜接,實(shí)現(xiàn)企業(yè)價(jià)值最大化。在IT治理與公司治理同時(shí)有效運(yùn)作的情況下可以強(qiáng)化企業(yè)管理者的責(zé)任[13]。Bin-Abbas等[14]提出了50項(xiàng)IT治理的控制要素,幫助組織發(fā)現(xiàn)IT治理的優(yōu)勢(shì)和弱點(diǎn),找到未來(lái)治理的發(fā)展方向。IT治理研究所(ITGI)指出,COBIT是唯一能夠提供IT治理的管理框架,能夠支持IT目標(biāo)的實(shí)現(xiàn),確保IT定位準(zhǔn)確,提高IT效率效果。ISACA認(rèn)為COBIT是以IT程序、IT領(lǐng)域、信息準(zhǔn)則和IT資源為基礎(chǔ)的流程控制理論。COBIT已成為組織執(zhí)行IT控制的重要參考框架[12]。因此本文認(rèn)為,基于COBIT建立財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制不但可行,而且對(duì)于探討適合我國(guó)企業(yè)的IT控制具有重要意義。
首先,通過(guò)梳理文獻(xiàn),整理歸納出財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理因子,構(gòu)建基于COBIT 5的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理初步模型。本文整理的文獻(xiàn)主要包括:Jan 等[15]、Knol等[16]、Huang等[17]、Marijin等[18]、Martin[19]、Owens[20]、Spears等[21]、何瑛等[22]、張瑞君等[23]以及王光遠(yuǎn)等[24]。通過(guò)對(duì)這些文獻(xiàn)進(jìn)行整理,提煉出53項(xiàng)財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理因子。
其次,采用德爾菲專家問(wèn)卷法檢驗(yàn)由文獻(xiàn)歸納出的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制是否合理,并取得專家們的一致意見。德爾菲專家問(wèn)卷調(diào)查法是根據(jù)專家的專業(yè)知識(shí)、經(jīng)驗(yàn)及意見,經(jīng)由多回合的問(wèn)卷發(fā)放與反饋,獲取專家對(duì)某一議題的共識(shí)的一種研究方法[25][26]。本文聘請(qǐng)了14位從事財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理理論研究的專家和實(shí)務(wù)工作者,經(jīng)過(guò)以下六個(gè)步驟獲取專家意見:①成立專家小組;②設(shè)計(jì)問(wèn)卷;③發(fā)放問(wèn)卷給專家小組;④針對(duì)專家問(wèn)卷進(jìn)行分析歸納;⑤若各問(wèn)項(xiàng)未滿足一致性,則重新發(fā)放問(wèn)卷;⑥總結(jié)與報(bào)告。
最后,采用案例研究法確認(rèn)所構(gòu)建財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制的有效性。本文以某公司為研究對(duì)象,對(duì)其總經(jīng)理、副總經(jīng)理、信息部主管(CIO)、財(cái)務(wù)共享服務(wù)中心負(fù)責(zé)人或相關(guān)主管、負(fù)責(zé)執(zhí)行財(cái)務(wù)共享服務(wù)中心的項(xiàng)目成員進(jìn)行深度訪談。通過(guò)在案例企業(yè)現(xiàn)場(chǎng)收集企業(yè)實(shí)際運(yùn)作的數(shù)據(jù),并輔之以企業(yè)所在行業(yè)相關(guān)的研究報(bào)告、數(shù)據(jù)等資料,進(jìn)行分析和整理,歸納總結(jié)出相關(guān)研究結(jié)論。
COBIT 5將IT管理領(lǐng)域分為四個(gè)層面:①協(xié)調(diào)、計(jì)劃與組織(APO),包括13項(xiàng)控制流程;②建立、獲取與實(shí)施(BAI),包括10項(xiàng)控制流程;③交付、服務(wù)與支持(DSS),包括6項(xiàng)控制流程;④監(jiān)督、評(píng)估與評(píng)價(jià)(MEA),包括3項(xiàng)控制流程,具體如表1所示。根據(jù)這四個(gè)層面的特點(diǎn),將53項(xiàng)風(fēng)險(xiǎn)因子進(jìn)行分類。下面以“安全措施的效果不佳”風(fēng)險(xiǎn)因子為例進(jìn)行分析:
表1 COBIT 5中IT管理領(lǐng)域四個(gè)層面的控制流程
第一步,“安全措施的效果不佳”這一風(fēng)險(xiǎn)因子符合APO層面“擬定信息環(huán)境框架”的內(nèi)涵,因此,將該風(fēng)險(xiǎn)因子劃分為APO層面,并進(jìn)行編號(hào)“Risk_APO.1安全措施的效果不佳”。
第二步,分析風(fēng)險(xiǎn)因子“安全措施的效果不佳”包括在哪些流程中。專家們針對(duì)該風(fēng)險(xiǎn)因子進(jìn)行討論,認(rèn)為涵蓋風(fēng)險(xiǎn)因子Risk_APO.1的流程包括“Pro_APO01界定與管理IT管理標(biāo)準(zhǔn)”和“Pro_DSS05確保系統(tǒng)安全”。
第三步,COBIT 5中為上述四個(gè)層面的32項(xiàng)控制流程確定了195個(gè)控制措施,如在Pro_APO01流程中,對(duì)應(yīng)控制措施有8個(gè):①定義組織結(jié)構(gòu);②建立角色和責(zé)任;③維護(hù)管理系統(tǒng)的實(shí)現(xiàn);④溝通管理的目標(biāo)和方向;⑤優(yōu)化IT運(yùn)作的位置;⑥界定信息(數(shù)據(jù))和系統(tǒng)的所有權(quán);⑦持續(xù)改進(jìn)管理的過(guò)程;⑧持續(xù)遵守政策和程序。與Risk_APO.1相關(guān)的控制流程為Pro_APO01、Pro_DSS05,專家們討論認(rèn)為相應(yīng)的控制措施為“持續(xù)遵守政策和程序”(對(duì)應(yīng)流程為Pro_APO01),“管理網(wǎng)絡(luò)連接的安全性”和“管理端點(diǎn)安全性”(對(duì)應(yīng)流程為Pro_DSS05)。據(jù)此,本文將這三項(xiàng)控制措施分別編號(hào)為“Obj_APO.1.1持續(xù)遵守政策和程序”、“Obj_APO.1.2管理網(wǎng)絡(luò)連接的安全性”和“Obj_APO.1.3管理端點(diǎn)安全性”。
第四步,根據(jù)所確定的控制流程與控制措施,參考COBIT 5中列示的26個(gè)角色和職能,針對(duì)組織內(nèi)角色與職能給予適當(dāng)?shù)呢?zé)任分配。
重復(fù)以上步驟,找出其余52項(xiàng)風(fēng)險(xiǎn)因子對(duì)應(yīng)的控制流程、控制措施,并明確對(duì)應(yīng)的角色和職能,最終建立基于COBIT 5的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制初步模型。該模型在APO層面包含20個(gè)風(fēng)險(xiǎn)因子(如表2所示)、BAI層面包含18個(gè)風(fēng)險(xiǎn)因子(如表3所示)、DSS層面包含9個(gè)風(fēng)險(xiǎn)因子(如表4所示)、MEA層面包含6個(gè)風(fēng)險(xiǎn)因子(如表5所示),共53個(gè)風(fēng)險(xiǎn)因子,對(duì)應(yīng)的具體控制措施為136項(xiàng)。
本研究在建立風(fēng)險(xiǎn)管理機(jī)制初步模型后,通過(guò)發(fā)放德爾菲問(wèn)卷的方式,取得理論界與實(shí)務(wù)界專家的意見與共識(shí),并進(jìn)行模型修正。德爾菲法能夠通過(guò)多回合的問(wèn)卷調(diào)查整理出一致的意見,且其匿名性可以克服面對(duì)面討論或開會(huì)的局限性,讓專家們?cè)诨ゲ挥绊懙臓顩r下提出合適的意見。
德爾菲法要求進(jìn)行反復(fù)詢問(wèn),直至專家們達(dá)成共識(shí)為止,目的是通過(guò)專家們的不斷討論,取得較為完善的解決方案。本文運(yùn)用了兩輪德爾菲專家問(wèn)卷,第一輪是由專家來(lái)決定問(wèn)項(xiàng)歸類是否正確且適合作為財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)因子,第二輪是針對(duì)第一輪中專家意見分歧部分達(dá)成共識(shí),再次確認(rèn)所構(gòu)建的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制。兩輪問(wèn)卷均以電子郵件的方式發(fā)放和回收,問(wèn)卷回收后采用CVR值檢驗(yàn)內(nèi)容效度[27],采用四分位差檢驗(yàn)專家意見離散程度[28]。
專家小組成員既包括財(cái)務(wù)共享服務(wù)中心領(lǐng)域和風(fēng)險(xiǎn)管理領(lǐng)域的咨詢顧問(wèn),也包括高校中從事財(cái)務(wù)共享服務(wù)中心和風(fēng)險(xiǎn)管理研究的學(xué)者。專家小組的成員為15人左右最佳[25],本文選取14名專家,其中在企業(yè)及政府信息技術(shù)相關(guān)部門任職的有6人,在會(huì)計(jì)師事務(wù)所或管理咨詢公司任職的有6人,在高校任職的有2人。這14名專家的任職時(shí)間均值為11年。
1.第一輪問(wèn)卷。第一輪問(wèn)卷的實(shí)施自2017年4月8日開始,5月3日完成所有問(wèn)卷的收回。問(wèn)卷設(shè)計(jì)以邏輯判斷為主,并留有空白處使專家能充分表達(dá)意見。第一輪問(wèn)卷結(jié)果的檢驗(yàn)分為三步完成:
①檢驗(yàn)問(wèn)卷內(nèi)容的信度和效度,根據(jù)問(wèn)卷填答結(jié)果計(jì)算CVR值。根據(jù)Lawshe[27]的研究,當(dāng)調(diào)研人數(shù)為14人時(shí),CVR的最小值為0.51。結(jié)果顯示,除“Risk_APO.3故意的行為”CVR值小于0.51之外,其余風(fēng)險(xiǎn)因子的CVR值均大于0.51。說(shuō)明專家對(duì)財(cái)務(wù)共享服務(wù)中心環(huán)境下的風(fēng)險(xiǎn)因子歸類至COBIT 5中IT領(lǐng)域管理四個(gè)層面的恰當(dāng)程度表示高度認(rèn)同。
②確認(rèn)所選項(xiàng)目是否適合作為財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)因子,四分位差大于0.6或標(biāo)準(zhǔn)差大于1,則表示未達(dá)到一致性[28]。結(jié)果顯示,四分位差大于0.6的控制措施包括Obj_APO.3.2、Obj_APO.3.3、Obj_APO.4.2、Obj_APO.10.1、Obj_APO.10.2、Obj_APO.13.1、Obj_APO.15.1、Obj_BAI.2.1、Obj_BAI.6.2、 Obj_BAI.7.2、 Obj_BAI.11.3、Obj_BAI.14.1、Obj_DSS.3.2,標(biāo)準(zhǔn)差大于1的控制措 施 包 括 Obj_APO.10.2、Obj_APO.12.2、Obj_APO.15.1、Obj_APO.15.2、Obj_APO.19.2、Obj_DSS.4.1、Obj_MEA.1.1,共計(jì)18項(xiàng)控制措施未達(dá)到一致性。這18項(xiàng)控制措施需要在第二輪問(wèn)卷中進(jìn)一步討論。
③請(qǐng)專家在空白處填寫意見,這些意見也將在第二輪問(wèn)卷中進(jìn)行討論。
2.第二輪問(wèn)卷。第二輪共發(fā)出14份問(wèn)卷,全部收回。根據(jù)專家意見對(duì)風(fēng)險(xiǎn)因子進(jìn)行了修正,修正結(jié)果詳見表2~表5。針對(duì)在第一輪中未達(dá)到內(nèi)容效度的項(xiàng)目“Risk_APO.3故意的行為”,第二輪專家意見一致認(rèn)為其不適合作為風(fēng)險(xiǎn)因子,予以刪除。第二輪結(jié)果顯示,修正后的風(fēng)險(xiǎn)因子“操作系統(tǒng)的瑕疵影響財(cái)務(wù)共享服務(wù)中心系統(tǒng)運(yùn)作”的CVR值為0.43,低于最低標(biāo)準(zhǔn),說(shuō)明其不適合作為風(fēng)險(xiǎn)因子,予以刪除。最終剩余52項(xiàng)風(fēng)險(xiǎn)因子,且有些風(fēng)險(xiǎn)因子進(jìn)行了重分類,如:Risk_APO.17重分類至BAI層面,Risk_BAI.2、Risk_BAI.9、Risk_BAI.12、Risk_DSS.2、Risk_DSS.3均重分類至APO層面。
在第二輪德爾菲問(wèn)卷中針對(duì)風(fēng)險(xiǎn)因子所對(duì)應(yīng)的控制措施進(jìn)行一致性檢驗(yàn),對(duì)于四分位差大于0.6或標(biāo)準(zhǔn)差大于1的控制措施按照專家意見進(jìn)行了修正,處理后的結(jié)果如下:①Obj_APO.15.2修訂為“需要基于企業(yè)文化建立一個(gè)有利于創(chuàng)新的環(huán)境”;②Obj_APO.19.1與Obj_APO.19.2兩項(xiàng)控制措施修訂為一項(xiàng)“規(guī)劃時(shí)考慮資源的分配并定期識(shí)別和記錄資產(chǎn)”;③Obj_APO.10.2修訂為“從企業(yè)流程再造的角度了解企業(yè)未來(lái)的發(fā)展方向”;④Obj_BAI.18.1與Obj_BAI.18.2兩項(xiàng)控制措施修訂為一項(xiàng)“持續(xù)追蹤新舊系統(tǒng)整合時(shí)變革的狀態(tài)”。被刪除的風(fēng)險(xiǎn)因子Risk_APO.3對(duì)應(yīng)有4項(xiàng)控制措施,另有4項(xiàng)控制措施修正為兩項(xiàng),最終剩余130項(xiàng)控制措施。
修正后的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制模型滿足效度與一致性要求。因此,本文通過(guò)兩輪的德爾菲問(wèn)卷,構(gòu)建的基于COBIT 5的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制已得到專家的一致認(rèn)同,涵蓋IT管理領(lǐng)域的四個(gè)層面、52項(xiàng)風(fēng)險(xiǎn)因子、130項(xiàng)控制措施(詳見表2~表5)。
表2 風(fēng)險(xiǎn)管理機(jī)制模型——APO層面
續(xù)表2
續(xù)表2
表3 風(fēng)險(xiǎn)管理機(jī)制模型——BAI層面
續(xù)表3
續(xù)表3
表4 風(fēng)險(xiǎn)管理機(jī)制模型——DSS層面
續(xù)表4
表5 風(fēng)險(xiǎn)管理機(jī)制模型——MEA層面
本文以某汽車制造公司作為研究對(duì)象,通過(guò)結(jié)構(gòu)化訪談驗(yàn)證所構(gòu)建的風(fēng)險(xiǎn)管理機(jī)制的有效性。首先了解案例公司實(shí)施財(cái)務(wù)共享服務(wù)中心的情況,以及在實(shí)施過(guò)程中所遇到的困難和挑戰(zhàn);然后分析案例公司試用所構(gòu)建的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制;最后與案例公司相關(guān)人員進(jìn)行溝通,評(píng)估風(fēng)險(xiǎn)管理機(jī)制在財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理中的有效性、不足之處與需要加強(qiáng)的部分。
案例公司是國(guó)內(nèi)一家大型汽車制造企業(yè),下屬控股子公司30余家,擁有員工54000余人。公司產(chǎn)品主要針對(duì)國(guó)內(nèi)消費(fèi)者,同時(shí)也積極拓展海外市場(chǎng),海外銷售已初見成效。公司的信息系統(tǒng)配置為SAP系統(tǒng),包含三大模塊:配銷模塊、制造模塊及財(cái)務(wù)模塊。配銷模塊包括庫(kù)存管理、采購(gòu)管理、訂單出貨管理等功能;制造模塊包括產(chǎn)品結(jié)構(gòu)管理、工單管理、物料需求規(guī)劃、產(chǎn)能需求規(guī)劃、生產(chǎn)規(guī)劃以及成本管理等功能;財(cái)務(wù)模塊包括總賬、應(yīng)收賬款、應(yīng)付賬款、現(xiàn)金管理、固定資產(chǎn)等功能。
表6 案例公司財(cái)務(wù)共享服務(wù)中心在IT管理領(lǐng)域各層面可能發(fā)生的風(fēng)險(xiǎn)
本文以結(jié)構(gòu)化訪談的方式驗(yàn)證所構(gòu)建的風(fēng)險(xiǎn)管理機(jī)制的有效性,訪談過(guò)程中用錄音記錄完整的訪談內(nèi)容。訪談對(duì)象為公司的副總經(jīng)理與IT管理部負(fù)責(zé)人,他們均為公司財(cái)務(wù)共享服務(wù)中心的項(xiàng)目組成員或負(fù)責(zé)人。訪談后不足的資料,以電子郵件和電話的方式進(jìn)一步補(bǔ)充,用文字整理出訪談?dòng)涗洝?/p>
案例公司將財(cái)務(wù)共享服務(wù)中心的運(yùn)行分為導(dǎo)入與維護(hù)兩個(gè)階段。在導(dǎo)入階段,采用單獨(dú)項(xiàng)目實(shí)施的方式進(jìn)行,項(xiàng)目主管明確項(xiàng)目的時(shí)間、成本、目標(biāo)與范圍;在維護(hù)階段,公司進(jìn)行正常維護(hù),年底確定需要進(jìn)行后續(xù)調(diào)整的部分。表6按照COBIT 5中IT管理領(lǐng)域的四個(gè)層面總結(jié)了案例公司可能發(fā)生的風(fēng)險(xiǎn)。
案例公司應(yīng)對(duì)財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)的控制措施主要包括導(dǎo)入前的規(guī)范與導(dǎo)入后的管理,具體措施如表7所示。
表7 案例公司應(yīng)對(duì)風(fēng)險(xiǎn)的控制措施
案例公司在財(cái)務(wù)共享服務(wù)中心系統(tǒng)導(dǎo)入后,采用以下四個(gè)步驟進(jìn)行風(fēng)險(xiǎn)管理:風(fēng)險(xiǎn)發(fā)現(xiàn)、比較、追蹤和監(jiān)管。首先,由財(cái)務(wù)共享服務(wù)中心項(xiàng)目小組提出財(cái)務(wù)共享服務(wù)中心面臨的風(fēng)險(xiǎn),并提出解決方案;其次,將財(cái)務(wù)共享服務(wù)中心小組提出的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)項(xiàng)目表進(jìn)行比較,將與風(fēng)險(xiǎn)項(xiàng)目表不對(duì)應(yīng)的風(fēng)險(xiǎn)項(xiàng)目直接列入表內(nèi)或修改原有風(fēng)險(xiǎn)項(xiàng)目表,擴(kuò)大其涵蓋范圍;再次,由財(cái)務(wù)共享服務(wù)中心項(xiàng)目小組追蹤識(shí)別出風(fēng)險(xiǎn);最后,將風(fēng)險(xiǎn)管理結(jié)果與進(jìn)度向管理層報(bào)告。風(fēng)險(xiǎn)管理結(jié)果通常包括移除非風(fēng)險(xiǎn)項(xiàng)目、改變風(fēng)險(xiǎn)管控模式以及增加新項(xiàng)目。
受訪者針對(duì)財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理程序進(jìn)行了補(bǔ)充說(shuō)明:①導(dǎo)入前,會(huì)針對(duì)系統(tǒng)權(quán)限制定相關(guān)的風(fēng)險(xiǎn)管理計(jì)劃;②導(dǎo)入后,會(huì)針對(duì)實(shí)際運(yùn)作中發(fā)生的異常,執(zhí)行改善程序;③年度總結(jié)中,會(huì)重新分析當(dāng)前風(fēng)險(xiǎn)。
訪談前請(qǐng)受訪者審閱并使用所構(gòu)建的基于COBIT 5的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制,根據(jù)執(zhí)行結(jié)果評(píng)價(jià)其有效性。本文按照財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理的四個(gè)步驟(風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、監(jiān)督與修正)進(jìn)行結(jié)構(gòu)化訪談。
1.風(fēng)險(xiǎn)識(shí)別。針對(duì)模型中列示的52項(xiàng)風(fēng)險(xiǎn)因子,請(qǐng)?jiān)L談人員識(shí)別這些風(fēng)險(xiǎn)在公司中是否曾經(jīng)發(fā)生或可能發(fā)生。訪談結(jié)果顯示,APO層面有23項(xiàng)風(fēng)險(xiǎn)因子可能發(fā)生,其中有16項(xiàng)(16/23≈70%)一定會(huì)發(fā)生;BAI層面有16項(xiàng)風(fēng)險(xiǎn)因子可能發(fā)生,其中有8項(xiàng)(50%)一定會(huì)發(fā)生;DSS層面有7項(xiàng)風(fēng)險(xiǎn)因子可能發(fā)生,其中有6項(xiàng)(86%)一定會(huì)發(fā)生;MEA層面有6項(xiàng)風(fēng)險(xiǎn)因子可能發(fā)生,其中有2項(xiàng)一定會(huì)發(fā)生(33%)??傊茉L者認(rèn)為,在IT管理領(lǐng)域四個(gè)層面的52項(xiàng)風(fēng)險(xiǎn)因子中有32項(xiàng)(62%)一定會(huì)發(fā)生,說(shuō)明本文構(gòu)建的風(fēng)險(xiǎn)管理機(jī)制在風(fēng)險(xiǎn)識(shí)別階段是有效的。
2.風(fēng)險(xiǎn)評(píng)估。Hughes等[29]認(rèn)為風(fēng)險(xiǎn)因子本身無(wú)法識(shí)別風(fēng)險(xiǎn),需要通過(guò)風(fēng)險(xiǎn)評(píng)估才能找到重要的風(fēng)險(xiǎn)。因此,訪談中邀請(qǐng)受訪者按照影響程度的高、中、低不同等級(jí)評(píng)估四個(gè)層面的風(fēng)險(xiǎn)因子。評(píng)估結(jié)果顯示,APO層面有5項(xiàng)風(fēng)險(xiǎn)因子被評(píng)為影響程度高,BAI層面有2項(xiàng)風(fēng)險(xiǎn)因子被評(píng)為影響程度高,DSS層面有1項(xiàng)風(fēng)險(xiǎn)因子被評(píng)為影響程度高,MEA層面有1項(xiàng)風(fēng)險(xiǎn)因子被評(píng)為影響程度高。影響程度高的風(fēng)險(xiǎn)因子有9項(xiàng),影響程度中等的風(fēng)險(xiǎn)因子有13項(xiàng),影響程度低的風(fēng)險(xiǎn)因子有10項(xiàng),可選擇優(yōu)先處理影響程度高的風(fēng)險(xiǎn)因子。
3.風(fēng)險(xiǎn)應(yīng)對(duì)。針對(duì)9項(xiàng)影響程度高的風(fēng)險(xiǎn)因子,列出受訪者認(rèn)為控制效果“好”和“中”的控制措施(如表8所示),這些措施便是公司在遇到影響程度高的風(fēng)險(xiǎn)因子時(shí),可優(yōu)先采取的應(yīng)對(duì)措施。
在監(jiān)督與修正方面,目前公司進(jìn)行的財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)管理,分為導(dǎo)入前的規(guī)范和導(dǎo)入后針對(duì)異常情況的管理。受訪者表示,本文所構(gòu)建的風(fēng)險(xiǎn)管理機(jī)制的效用在于能清晰地評(píng)價(jià)風(fēng)險(xiǎn)因子的重要程度,明確列示出所對(duì)應(yīng)的控制措施,使得財(cái)務(wù)共享服務(wù)中心導(dǎo)入時(shí)可以迅速評(píng)估風(fēng)險(xiǎn)、制訂周詳?shù)娘L(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。因此,對(duì)案例公司相關(guān)人員的訪談?dòng)∽C了所構(gòu)建的財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理機(jī)制的有效性。
本文以COBIT 5為基礎(chǔ)構(gòu)建了一個(gè)便于企業(yè)識(shí)別、評(píng)估、應(yīng)對(duì)與控制財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)的風(fēng)險(xiǎn)管理機(jī)制,并分析財(cái)務(wù)共享服務(wù)中心的風(fēng)險(xiǎn)因子的類型與特征,評(píng)估各項(xiàng)風(fēng)險(xiǎn)因子的影響,討論可采取的方式和措施以應(yīng)對(duì)風(fēng)險(xiǎn)。
表8 影響程度高的風(fēng)險(xiǎn)因子與對(duì)應(yīng)的控制措施
本文由文獻(xiàn)歸納總結(jié)財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)因子,運(yùn)用德爾菲專家問(wèn)卷法進(jìn)一步補(bǔ)充完善,并根據(jù)COBIT 5的規(guī)范提煉出相應(yīng)的控制措施,最終提出涵蓋IT管理4個(gè)層面的52項(xiàng)風(fēng)險(xiǎn)因子,以及應(yīng)對(duì)這些風(fēng)險(xiǎn)因子的130項(xiàng)控制措施。本文還運(yùn)用案例企業(yè)結(jié)構(gòu)化訪談的方法驗(yàn)證了所提出的風(fēng)險(xiǎn)管理機(jī)制的有效性。
本文與現(xiàn)有研究的差異在于,基于信息技術(shù)控制目標(biāo)(COBIT 5),結(jié)合財(cái)務(wù)共享服務(wù)中心風(fēng)險(xiǎn)管理的特點(diǎn)建立風(fēng)險(xiǎn)管理機(jī)制,方便企業(yè)快速識(shí)別風(fēng)險(xiǎn),采取措施積極響應(yīng)與改善缺陷,充分發(fā)揮其風(fēng)險(xiǎn)管理效果。隨著技術(shù)的不斷進(jìn)步,本文所構(gòu)建的風(fēng)險(xiǎn)管理機(jī)制無(wú)法涵蓋所有未來(lái)可能發(fā)生的風(fēng)險(xiǎn),這既是本文研究的局限也是未來(lái)研究的方向。