陳旭　李蓮

【摘 要】 ERP整合了企業(yè)所有資源且高度集成，是風(fēng)險(xiǎn)管理融入企業(yè)“DNA”的最佳平臺(tái)。文章從ERP環(huán)境下信息系統(tǒng)風(fēng)險(xiǎn)管理現(xiàn)狀入手，針對(duì)風(fēng)險(xiǎn)識(shí)別內(nèi)容繁雜不清、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)不明確、風(fēng)險(xiǎn)監(jiān)察手段不力等問(wèn)題，提出構(gòu)造基于系統(tǒng)參數(shù)的閉環(huán)適時(shí)風(fēng)險(xiǎn)管理系統(tǒng)。該系統(tǒng)包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)評(píng)級(jí)和風(fēng)險(xiǎn)監(jiān)察四個(gè)模塊，運(yùn)用故障樹(shù)和層次分析法中的定權(quán)方法來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行定量分析。

【關(guān)鍵詞】 ERP； 系統(tǒng)參數(shù)； 風(fēng)險(xiǎn)管理； 故障樹(shù)； 層次分析法

隨著人們對(duì)信息技術(shù)依賴(lài)程度的增加，越來(lái)越多的企業(yè)業(yè)務(wù)開(kāi)展與信息系統(tǒng)緊密相關(guān)，與此同時(shí)，信息系統(tǒng)風(fēng)險(xiǎn)也隨之進(jìn)入了人們的視野。風(fēng)險(xiǎn)管理是企業(yè)管理的重要內(nèi)容之一，它直接影響一個(gè)企業(yè)的正常生產(chǎn)經(jīng)營(yíng)。信息時(shí)代的風(fēng)險(xiǎn)管理具有許多新的特征與內(nèi)涵，需要更新觀(guān)念，運(yùn)用新的方法與手段，及時(shí)識(shí)別信息系統(tǒng)運(yùn)行中的預(yù)警信號(hào)，采取措施，將風(fēng)險(xiǎn)控制在可接受范圍。

一、信息系統(tǒng)風(fēng)險(xiǎn)管理現(xiàn)狀

針對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)問(wèn)題，各相關(guān)機(jī)構(gòu)發(fā)布了一系列的框架體系，如國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）的“電子系統(tǒng)保證與控制”（ESAC）模型和美國(guó)IT治理研究院（ITGI）的信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）體系。目前，理論界對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與管理的研究大部分停留在經(jīng)驗(yàn)總結(jié)及定性分析階段。在國(guó)務(wù)院國(guó)資委的《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》、財(cái)政部的《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制配套指引》相繼頒布之后，實(shí)務(wù)界各軟件公司也順勢(shì)推出了各自的內(nèi)控風(fēng)控系統(tǒng)，如金蝶K3、用友內(nèi)控等，但其大都未對(duì)風(fēng)險(xiǎn)進(jìn)行量化評(píng)估，部分有簡(jiǎn)單量化也僅停留于粗略的等級(jí)劃分；另外，也未站在整個(gè)企業(yè)層面將風(fēng)險(xiǎn)統(tǒng)籌管理及邏輯展示，不利于管理者進(jìn)行戰(zhàn)略決策。

風(fēng)險(xiǎn)發(fā)生于企業(yè)的各個(gè)層面，其管理不能各自為政，而整合了企業(yè)所有資源高度集成的ERP，則創(chuàng)造了一個(gè)讓風(fēng)險(xiǎn)管理融入企業(yè)“DNA”的最佳平臺(tái)。本文在目前風(fēng)險(xiǎn)管理系統(tǒng)已有的研究基礎(chǔ)上，針對(duì)系統(tǒng)參數(shù)設(shè)置可能造成的風(fēng)險(xiǎn)，利用故障樹(shù)和層次分析法中的定權(quán)方法，構(gòu)造出一個(gè)閉環(huán)適時(shí)的風(fēng)險(xiǎn)管理系統(tǒng)，以為解決目前信息系統(tǒng)風(fēng)險(xiǎn)管理中風(fēng)險(xiǎn)識(shí)別內(nèi)容繁雜不清、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)不明確、風(fēng)險(xiǎn)監(jiān)察手段不力等諸多問(wèn)題提供思路，讓風(fēng)險(xiǎn)管理伴隨ERP真正滲透整個(gè)企業(yè)，成為企業(yè)的新型競(jìng)爭(zhēng)優(yōu)勢(shì)。

二、ERP環(huán)境下風(fēng)險(xiǎn)管理系統(tǒng)構(gòu)建

ERP環(huán)境下，企業(yè)內(nèi)部控制與ERP的信息系統(tǒng)控制緊密結(jié)合，很多內(nèi)部控制點(diǎn)的控制標(biāo)準(zhǔn)、控制方法通過(guò)信息系統(tǒng)控制的方式實(shí)現(xiàn)。因此，企業(yè)內(nèi)部控制風(fēng)險(xiǎn)很大程度上取決于信息系統(tǒng)控制的風(fēng)險(xiǎn)。目前，信息系統(tǒng)控制的實(shí)現(xiàn)方式有程序代碼固化控制和參數(shù)化控制兩種，其中參數(shù)化控制的有效性取決于參數(shù)設(shè)置的正確性和及時(shí)性，如果一個(gè)控制參數(shù)沒(méi)有正確設(shè)置或是被惡意錯(cuò)設(shè)，由于ERP最大的特點(diǎn)就是數(shù)據(jù)集中采集、信息共同分享，控制失效就會(huì)使系統(tǒng)反復(fù)發(fā)生相同的紕漏并蔓延至整個(gè)企業(yè)，其風(fēng)險(xiǎn)之大不言而喻。

因此，根據(jù)系統(tǒng)參數(shù)設(shè)置失誤可能造成的影響來(lái)確定對(duì)應(yīng)風(fēng)險(xiǎn)點(diǎn)，掃描匯總參數(shù)設(shè)置漏洞后進(jìn)行風(fēng)險(xiǎn)評(píng)估；確定參數(shù)及風(fēng)險(xiǎn)權(quán)重，計(jì)算得出風(fēng)險(xiǎn)評(píng)估值，對(duì)企業(yè)風(fēng)險(xiǎn)評(píng)級(jí)；實(shí)時(shí)監(jiān)控參數(shù)設(shè)置情況，當(dāng)條件事件（敏感參數(shù)錯(cuò)設(shè)或風(fēng)險(xiǎn)超出企業(yè)容忍度）被觸發(fā)時(shí)，進(jìn)行反饋控制。以此方式來(lái)管理企業(yè)風(fēng)險(xiǎn)，可以合理保證企業(yè)在可控狀態(tài)下安全運(yùn)營(yíng)。

綜上，本風(fēng)險(xiǎn)管理系統(tǒng)主要包括四大基本功能模塊：風(fēng)險(xiǎn)識(shí)別模塊、風(fēng)險(xiǎn)評(píng)估模塊、風(fēng)險(xiǎn)評(píng)級(jí)模塊和風(fēng)險(xiǎn)監(jiān)察模塊。

（一）風(fēng)險(xiǎn)識(shí)別模塊

首先，根據(jù)COSO及國(guó)務(wù)院國(guó)資委頒布的《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》對(duì)風(fēng)險(xiǎn)的定義及描述，可以精細(xì)分類(lèi)把風(fēng)險(xiǎn)整理成三個(gè)級(jí)別，依次是風(fēng)險(xiǎn)層次、風(fēng)險(xiǎn)類(lèi)別及風(fēng)險(xiǎn)點(diǎn)（見(jiàn)表1）。根據(jù)風(fēng)險(xiǎn)點(diǎn)具體含義及描述，確定ERP每個(gè)模塊系統(tǒng)參數(shù)錯(cuò)設(shè)時(shí)對(duì)應(yīng)的風(fēng)險(xiǎn)點(diǎn)（見(jiàn)表2）。

本模塊的主要任務(wù)是通過(guò)掃描匯總系統(tǒng)參數(shù)設(shè)置漏洞。

（二）風(fēng)險(xiǎn)評(píng)估模塊

本模塊分為故障樹(shù)編制和風(fēng)險(xiǎn)定量分析兩個(gè)子模塊，其中，故障樹(shù)對(duì)展示系統(tǒng)參數(shù)及對(duì)應(yīng)風(fēng)險(xiǎn)之間的邏輯關(guān)系，并為下一步風(fēng)險(xiǎn)定量分析權(quán)重確定及風(fēng)險(xiǎn)值計(jì)算奠定基礎(chǔ)。

1.編制風(fēng)險(xiǎn)故障樹(shù)

故障樹(shù)分析技術(shù)是美國(guó)貝爾電話(huà)實(shí)驗(yàn)室1962年開(kāi)發(fā)的，它采用邏輯的方法，形象地進(jìn)行危險(xiǎn)的分析工作，特點(diǎn)是直觀(guān)、明了，思路清晰，邏輯性強(qiáng)。用故障樹(shù)的方法分析風(fēng)險(xiǎn)，既可定性也可定量，兼具系統(tǒng)性、準(zhǔn)確性和預(yù)測(cè)性。根據(jù)表2編制出風(fēng)險(xiǎn)故障樹(shù)（見(jiàn)圖1），圖中矩形代表頂上事件或中間事件，圓形代表不要求進(jìn)一步展開(kāi)的基本引發(fā)風(fēng)險(xiǎn)事件。

本文在故障樹(shù)的建模過(guò)程中，只探討了下級(jí)元素與上級(jí)元素為N：1關(guān)系且邏輯關(guān)系均為或門(mén)的情況，未能充分利用到故障樹(shù)強(qiáng)大的處理復(fù)雜結(jié)構(gòu)問(wèn)題的功能。今后可進(jìn)一步分析各控制參數(shù)設(shè)置直接和間接影響的風(fēng)險(xiǎn)點(diǎn)及風(fēng)險(xiǎn)之間可能存在的連鎖反應(yīng)，逐漸豐滿(mǎn)故障樹(shù)，以更全面準(zhǔn)確地對(duì)風(fēng)險(xiǎn)進(jìn)行定性和定量分析。

2.風(fēng)險(xiǎn)定量分析

為體現(xiàn)企業(yè)對(duì)風(fēng)險(xiǎn)的容忍度，本文將故障樹(shù)單純考慮事件的發(fā)生概率加上權(quán)重因素后綜合考慮。為便于得到邏輯推理計(jì)算公式，加強(qiáng)其概括性，設(shè)故障樹(shù)頂上事件為T(mén)0，中間事件為AIi，基本事件為XIi。其中，中間事件和基本事件的下標(biāo)I均表示元素所在的層次，i表示事件在該層次的順序編號(hào)。下面依次講解權(quán)重的確定及風(fēng)險(xiǎn)值計(jì)算具體方法。

（1）權(quán)重計(jì)算

故障樹(shù)事件的定權(quán)借用層次分析法中權(quán)重確定方法求得。在構(gòu)造比較判斷矩陣時(shí)，事件兩兩比較的基礎(chǔ)是風(fēng)險(xiǎn)發(fā)生可能造成的后果危害程度和企業(yè)對(duì)該參數(shù)設(shè)置的敏感程度，而非對(duì)頂層事件的影響大小。此法可避免對(duì)所有個(gè)體直接進(jìn)行排序的困難，使決策者注意力集中，較為客觀(guān)地評(píng)價(jià)兩者的“優(yōu)先”程度，以提高準(zhǔn)確度。

據(jù)此，首先對(duì)照層次分析法中的標(biāo)度含義表，構(gòu)造出比較判斷矩陣，然后利用“和法”取列向量算術(shù)平均進(jìn)行求權(quán)，最后對(duì)矩陣進(jìn)行一致性檢驗(yàn)，檢查矩陣A的不一致程度是否在容許范圍之內(nèi)。若有滿(mǎn)意的一致性，通過(guò)一致性檢驗(yàn)，可用其歸一化特征向量作為權(quán)向量，否則要重新構(gòu)造成對(duì)比較矩陣A。

例：現(xiàn)金流風(fēng)險(xiǎn)分支下轄3個(gè)元素X41（出納簽字）、X42（貨幣資金赤字警告）、X43（收款預(yù)算控制）。

比較3個(gè)元素可能造成現(xiàn)金流風(fēng)險(xiǎn)后果的危害程度和企業(yè)對(duì)元素的重視程度，構(gòu)造出成對(duì)比較陣：

依此按照底層→次頂層→頂層→最頂層的順序循環(huán)，可計(jì)算出故障樹(shù)所有事件權(quán)重及風(fēng)險(xiǎn)值，最終即可匯總出各企業(yè)總風(fēng)險(xiǎn)值T0=∑ni=1R（A1i）·E（A1i）。

（三）風(fēng)險(xiǎn)評(píng)級(jí)模塊

依據(jù)會(huì)計(jì)確認(rèn)對(duì)可能性的估計(jì)區(qū)間的劃分及事件風(fēng)險(xiǎn)的權(quán)重賦值，計(jì)算出風(fēng)險(xiǎn)評(píng)估矩陣（見(jiàn)表3）。

如圖3，當(dāng)事件發(fā)生可能性極小且權(quán)重為極低、低、中時(shí)，風(fēng)險(xiǎn)等級(jí)為低；當(dāng)事件發(fā)生可能性極小且權(quán)重為高和極高、事件可能和很可能發(fā)生且權(quán)重為極低時(shí)，風(fēng)險(xiǎn)等級(jí)為較低；當(dāng)事件可能發(fā)生且權(quán)重為低、中和高，事件很可能發(fā)生且權(quán)重為低、事件基本確定發(fā)生但權(quán)重為低和極低時(shí)，風(fēng)險(xiǎn)等級(jí)為中度；當(dāng)事件可能發(fā)生且權(quán)重為極高、事件很可能發(fā)生且權(quán)重為中和高、事件基本確定發(fā)生但權(quán)重為中時(shí)，風(fēng)險(xiǎn)等級(jí)為高度；當(dāng)事件很可能發(fā)生且權(quán)重為極高、事件基本確定發(fā)生且權(quán)重為高和極高時(shí)，風(fēng)險(xiǎn)等級(jí)為極高。

根據(jù)風(fēng)險(xiǎn)等級(jí)劃分原則和評(píng)估矩陣計(jì)算結(jié)果，可得出每個(gè)風(fēng)險(xiǎn)等級(jí)區(qū)間的臨界值，由此劃分出風(fēng)險(xiǎn)評(píng)級(jí)表（見(jiàn)表4）。

依據(jù)風(fēng)險(xiǎn)定量分析中得出的風(fēng)險(xiǎn)評(píng)估值，對(duì)照該表，可對(duì)應(yīng)得出各風(fēng)險(xiǎn)所對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)，視情況進(jìn)行分級(jí)管理。

（四）風(fēng)險(xiǎn)監(jiān)察模塊

一個(gè)閉環(huán)的風(fēng)險(xiǎn)管理系統(tǒng)，它的信息流通途徑及反應(yīng)機(jī)制應(yīng)為“控制信息→反饋信息→控制信息（控制手段）”。其中前饋的控制信息應(yīng)是企業(yè)根據(jù)管理需求，在故障樹(shù)的節(jié)點(diǎn)處自定義的觸發(fā)條件。其觸發(fā)條件可以是敏感參數(shù)的錯(cuò)誤設(shè)置或超出企業(yè)容忍度的風(fēng)險(xiǎn)評(píng)估值抑或是信息系統(tǒng)某模塊參數(shù)設(shè)置的漏洞總數(shù)。

在控制信息傳達(dá)出去后便得到反饋信息，再次回饋的控制信息就應(yīng)該是控制手段。風(fēng)險(xiǎn)監(jiān)察模塊提供人工控制和程序控制兩種控制手段，可根據(jù)企業(yè)需求調(diào)整控制強(qiáng)度，如預(yù)警提示、禁止業(yè)務(wù)進(jìn)行等多個(gè)強(qiáng)度級(jí)別。

對(duì)風(fēng)險(xiǎn)的識(shí)別絕不是一個(gè)單一的、一次性的過(guò)程。在風(fēng)險(xiǎn)管理系統(tǒng)建立之初，經(jīng)各種程序識(shí)別的一系列風(fēng)險(xiǎn)所在的環(huán)境，將隨著這些已識(shí)別風(fēng)險(xiǎn)性質(zhì)的改變而迅速發(fā)生變化，企業(yè)還需對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行監(jiān)察。首先，在應(yīng)用之初根據(jù)實(shí)際應(yīng)用的ERP特點(diǎn)及具體業(yè)務(wù)情況確定參數(shù)及對(duì)應(yīng)風(fēng)險(xiǎn)。在運(yùn)營(yíng)過(guò)程中，需綜合考慮計(jì)算機(jī)購(gòu)置成本、服務(wù)器承載能力、風(fēng)險(xiǎn)容忍度、運(yùn)營(yíng)效率等多個(gè)因素，依據(jù)成本效益原則，合理調(diào)整故障樹(shù)并及時(shí)變更風(fēng)險(xiǎn)監(jiān)察的反應(yīng)機(jī)制，以適應(yīng)企業(yè)運(yùn)營(yíng)管理需要。

三、風(fēng)險(xiǎn)管理系統(tǒng)的應(yīng)用

通過(guò)風(fēng)險(xiǎn)管理系統(tǒng)對(duì)參數(shù)漏洞進(jìn)行定期掃描和主動(dòng)反應(yīng)，可以對(duì)企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)洞察入微，防止人為或非人為等未知因素在暗處干擾企業(yè)運(yùn)行。另外，通過(guò)將風(fēng)險(xiǎn)管理系統(tǒng)中的參數(shù)設(shè)置和風(fēng)險(xiǎn)評(píng)級(jí)歷史情況進(jìn)行存檔，一可將歷史記錄與企業(yè)經(jīng)營(yíng)中的財(cái)務(wù)及業(yè)務(wù)數(shù)值進(jìn)行對(duì)比，建立線(xiàn)性關(guān)系，以探尋既定的企業(yè)運(yùn)營(yíng)效率之下最合適的風(fēng)險(xiǎn)容忍度及參數(shù)配置值；二可以在企業(yè)進(jìn)行內(nèi)審的時(shí)候給予一定的切入點(diǎn)，如某段時(shí)間客戶(hù)信用管理參數(shù)設(shè)置為“是”，則應(yīng)重點(diǎn)審查信用額度高的客戶(hù)銷(xiāo)售業(yè)務(wù)，如為“否”，則需重點(diǎn)檢查銷(xiāo)售欠款較多的客戶(hù)的相關(guān)業(yè)務(wù)。●

【參考文獻(xiàn)】

[1] 陳旭，李蓮.基于ERP系統(tǒng)參數(shù)的內(nèi)部控制及風(fēng)險(xiǎn)評(píng)估研究[C].第十一屆會(huì)計(jì)信息化年會(huì)論文集，2012.

[2] 史定華，王松瑞.故障樹(shù)分析技術(shù)方法和理論[M].北京：北京師范大學(xué)出版社，1993.

[3] 趙煥臣，許樹(shù)柏，和金生.層次分析法[M].北京：科學(xué)出版社，1986.