基于COBIT5建立財務共享服務中心風險管理機制

劉 霞（副教授），任驛佳

一、引言

2018年李克強總理在政府工作報告中7次提及“互聯網+”信息技術已廣泛融入企業管理與運營中，是我國經濟轉型升級的強勁動力。在這一背景下，對信息技術的投資已成為企業提升競爭力不可或缺的方式，其中財務共享服務中心（Financial Shared Service Center，FSSC）是當前企業最重要的IT投資方式之一。2015年安永華明會計師事務所調查顯示，已建立財務共享服務中心的企業中，五年前建立的占比22%，近五年內建立的占比78%，說明財務共享服務中心在我國的發展速度驚人。如何控制財務共享服務中心的風險，在時間、成本、質量等方面實現組織目標，是項目團隊與高管層面臨的最大挑戰。本文的研究目的在于針對財務共享服務中心面臨的風險，建立風險管理機制，從而協助企業構建全面的信息安全系統。

Van Grembergen等[1]指出，信息治理可視為公司治理的一部分，是通過建立一套合理的機制，規范組織信息流程與管理框架，協助企業達到信息戰略整合與提升價值等目的。為了處理更加深入和廣泛的信息技術問題，國際信息系統審計與控制協會（ISACA）于2012年發布了《信息及相關技術控制目標》（Control Objectives for Information and Related Technology）第五版（COBIT 5）。COBIT 5能夠確保組織的政策、計劃、程序和結構設計實現業務目標，并防止、檢查或改正非預期的事件[2]，也是企業進行IT風險管理的框架[3]。COBIT 5已成為美國網絡安全新框架的核心[4]，是國際上公認的最先進、最權威的安全與信息技術管理和控制標準[5]。目前，我國對COBIT的研究以借鑒為主[6]，對于COBIT理論應用于信息系統的研究不夠深入，尚未有一套完整的信息系統控制規范。因此，本文基于COBIT 5，分析和討論財務共享服務中心的風險管理系統，識別和評估風險因子，探討可供管理層選擇的風險應對策略，以幫助企業建立與實施系統、完善的風險管理機制。

本文的貢獻在于：首先，對COBIT 5進行了深入研究，將COBIT 5的條款從文字介紹落實到風險管理流程，真正落實到實處，為我國企業信息系統的實施積累經驗。其次，擴展了財務共享服務中心的研究范圍，目前對財務共享服務中心的研究多集中在概念探討和現狀分析上，本文通過構建財務共享服務中心風險管理框架，分析財務共享服務中心從上線到日常運作的整個過程，辨別和管理影響其上線和運作的風險因子。最后，擴展了風險管理研究范圍，當前已有研究主要是針對基于COBIT 5的會計控制系統，研究范圍集中于日常會計核算和監督，而本文研究范圍從會計控制擴展到風險管理，拓展了風險管理中信息技術的運用范圍。

二、文獻綜述

（一）風險管理程序

美國反虛假財務報告全國委員會的發起組織委員會（COSO）在2014年發布了《企業風險管理整合框架》（COSO-ERM），并于2017年進行了修訂。修訂后的COSO-ERM將“風險”定義為事項發生并影響戰略和業務目標實現的可能性。所有組織中都存在風險，風險管理的最大挑戰是將風險控制在組織偏好的范圍之內。近幾年許多風險管理機制應運而生，如 PMI 2001、SAFE Methodology、Risk Diag?nosing Methodology，這些都是經典的循環性風險管理機制[7]。財務共享服務中心的風險管理程序可總結為風險識別、風險評估、風險應對、監督與修正。

在財務共享服務中心導入前的選擇、導入后的運作和管控的整個過程中，存在的風險包括：系統選擇不當、項目團隊能力不足、高管層參與度不高、主要使用者參與度低、缺乏訓練與指導、不當的企業流程再造、缺乏管理性的指引、無效的項目管理技術、不當的變革管理、缺乏咨詢服務、系統供貨商的穩定性不佳與戰略規劃不合理。財務共享服務中心串聯整個企業功能，疏于風險管理，很可能會導致企業巨額虧損。因此，財務共享服務中心的風險管理是保證整個企業順利營運的關鍵要素之一。

（二）風險管理標準與規范

當前與風險管理相關的標準及規范主要包括：COSO-ERM、《風險管理——原則與實施指導準則》（ISO/IEC 31000）、《信息技術——安全技術——信息安全管理體系——要求》（ISO/IEC 27001）與《信息技術——安全技術——信息安全風險管理》（ISO/IEC 27005）和COBIT 5。COSO-ERM是一個關于風險管理的高層級的概念框架，主要用于組織治理層面，對于IT控制目標和相關活動沒有詳細的標準。COBIT 5彌補了這一缺陷，其中不但包括組織治理、業務流程等，還列示了IT管理四大領域的詳細流程[3]。ISO/IEC 27001與ISO/IEC 27005強調IT管理的具體內容，對IT治理沒有涉及。ISO/IEC 31000雖然制定了IT治理的流程，但在IT管理方面僅側重于調整、規劃與組織流程。綜上所述，COSO-ERM的原則性較高，COBIT 5不但彌補了COSO-ERM所欠缺的詳細流程，還補充和強化了ISO/IEC系列標準的內容。

（三）IT控制與IT治理

企業應建立較為健全的IT內部控制，以防止舞弊、檢查錯誤，降低企業IT風險及其未來可能造成的損失。采用IT技術可以提升企業內部控制質量[8]，IT內部控制框架與標準可以幫助企業適應環境的變化[9]。COSO在2013年更新了內部控制整合框架，其中一項重要原則便是“針對信息技術，組織應選擇并執行一般控制活動以支持其目標的實現”。COBIT是一個國際公認的在IT管理和控制方面的權威標準，明確了為實現企業控制目標，IT程序如何傳遞信息[10][11]。管理層可以運用COBIT框架進行財務報表審計，以評估其IT內部控制的有效性[12]。因此本文認為，通過IT控制能夠實現財務共享服務中心風險管理的目的。

IT治理是通過開發和維護一個有效的IT控制與責任機制管理績效和風險，確保信息系統的實施戰略與企業戰略得以銜接，實現企業價值最大化。在IT治理與公司治理同時有效運作的情況下可以強化企業管理者的責任[13]。Bin-Abbas等[14]提出了50項IT治理的控制要素，幫助組織發現IT治理的優勢和弱點，找到未來治理的發展方向。IT治理研究所（ITGI）指出，COBIT是唯一能夠提供IT治理的管理框架，能夠支持IT目標的實現，確保IT定位準確，提高IT效率效果。ISACA認為COBIT是以IT程序、IT領域、信息準則和IT資源為基礎的流程控制理論。COBIT已成為組織執行IT控制的重要參考框架[12]。因此本文認為，基于COBIT建立財務共享服務中心風險管理機制不但可行，而且對于探討適合我國企業的IT控制具有重要意義。

三、研究設計與方法

首先，通過梳理文獻，整理歸納出財務共享服務中心風險管理因子，構建基于COBIT 5的財務共享服務中心風險管理初步模型。本文整理的文獻主要包括：Jan 等[15]、Knol等[16]、Huang等[17]、Marijin等[18]、Martin[19]、Owens[20]、Spears等[21]、何瑛等[22]、張瑞君等[23]以及王光遠等[24]。通過對這些文獻進行整理，提煉出53項財務共享服務中心風險管理因子。

其次，采用德爾菲專家問卷法檢驗由文獻歸納出的財務共享服務中心風險管理機制是否合理，并取得專家們的一致意見。德爾菲專家問卷調查法是根據專家的專業知識、經驗及意見，經由多回合的問卷發放與反饋，獲取專家對某一議題的共識的一種研究方法[25][26]。本文聘請了14位從事財務共享服務中心風險管理理論研究的專家和實務工作者，經過以下六個步驟獲取專家意見：①成立專家小組；②設計問卷；③發放問卷給專家小組；④針對專家問卷進行分析歸納；⑤若各問項未滿足一致性，則重新發放問卷；⑥總結與報告。

最后，采用案例研究法確認所構建財務共享服務中心風險管理機制的有效性。本文以某公司為研究對象，對其總經理、副總經理、信息部主管（CIO）、財務共享服務中心負責人或相關主管、負責執行財務共享服務中心的項目成員進行深度訪談。通過在案例企業現場收集企業實際運作的數據，并輔之以企業所在行業相關的研究報告、數據等資料，進行分析和整理，歸納總結出相關研究結論。

四、構建財務共享服務中心風險管理機制

（一）確認財務共享服務中心的風險管理因子

COBIT 5將IT管理領域分為四個層面：①協調、計劃與組織（APO），包括13項控制流程；②建立、獲取與實施（BAI），包括10項控制流程；③交付、服務與支持（DSS），包括6項控制流程；④監督、評估與評價（MEA），包括3項控制流程，具體如表1所示。根據這四個層面的特點，將53項風險因子進行分類。下面以“安全措施的效果不佳”風險因子為例進行分析：

表1 COBIT 5中IT管理領域四個層面的控制流程

第一步，“安全措施的效果不佳”這一風險因子符合APO層面“擬定信息環境框架”的內涵，因此，將該風險因子劃分為APO層面，并進行編號“Risk_APO.1安全措施的效果不佳”。

第二步，分析風險因子“安全措施的效果不佳”包括在哪些流程中。專家們針對該風險因子進行討論，認為涵蓋風險因子Risk_APO.1的流程包括“Pro_APO01界定與管理IT管理標準”和“Pro_DSS05確保系統安全”。

第三步，COBIT 5中為上述四個層面的32項控制流程確定了195個控制措施，如在Pro_APO01流程中，對應控制措施有8個：①定義組織結構；②建立角色和責任；③維護管理系統的實現；④溝通管理的目標和方向；⑤優化IT運作的位置；⑥界定信息（數據）和系統的所有權；⑦持續改進管理的過程；⑧持續遵守政策和程序。與Risk_APO.1相關的控制流程為Pro_APO01、Pro_DSS05，專家們討論認為相應的控制措施為“持續遵守政策和程序”（對應流程為Pro_APO01），“管理網絡連接的安全性”和“管理端點安全性”（對應流程為Pro_DSS05）。據此，本文將這三項控制措施分別編號為“Obj_APO.1.1持續遵守政策和程序”、“Obj_APO.1.2管理網絡連接的安全性”和“Obj_APO.1.3管理端點安全性”。

第四步，根據所確定的控制流程與控制措施，參考COBIT 5中列示的26個角色和職能，針對組織內角色與職能給予適當的責任分配。

重復以上步驟，找出其余52項風險因子對應的控制流程、控制措施，并明確對應的角色和職能，最終建立基于COBIT 5的財務共享服務中心風險管理機制初步模型。該模型在APO層面包含20個風險因子（如表2所示）、BAI層面包含18個風險因子（如表3所示）、DSS層面包含9個風險因子（如表4所示）、MEA層面包含6個風險因子（如表5所示），共53個風險因子，對應的具體控制措施為136項。

（二）采用德爾菲法修正研究模型

本研究在建立風險管理機制初步模型后，通過發放德爾菲問卷的方式，取得理論界與實務界專家的意見與共識，并進行模型修正。德爾菲法能夠通過多回合的問卷調查整理出一致的意見，且其匿名性可以克服面對面討論或開會的局限性，讓專家們在互不影響的狀況下提出合適的意見。

德爾菲法要求進行反復詢問，直至專家們達成共識為止，目的是通過專家們的不斷討論，取得較為完善的解決方案。本文運用了兩輪德爾菲專家問卷，第一輪是由專家來決定問項歸類是否正確且適合作為財務共享服務中心的風險因子，第二輪是針對第一輪中專家意見分歧部分達成共識，再次確認所構建的財務共享服務中心風險管理機制。兩輪問卷均以電子郵件的方式發放和回收，問卷回收后采用CVR值檢驗內容效度[27]，采用四分位差檢驗專家意見離散程度[28]。

專家小組成員既包括財務共享服務中心領域和風險管理領域的咨詢顧問，也包括高校中從事財務共享服務中心和風險管理研究的學者。專家小組的成員為15人左右最佳[25]，本文選取14名專家，其中在企業及政府信息技術相關部門任職的有6人，在會計師事務所或管理咨詢公司任職的有6人，在高校任職的有2人。這14名專家的任職時間均值為11年。

1.第一輪問卷。第一輪問卷的實施自2017年4月8日開始，5月3日完成所有問卷的收回。問卷設計以邏輯判斷為主，并留有空白處使專家能充分表達意見。第一輪問卷結果的檢驗分為三步完成：

①檢驗問卷內容的信度和效度，根據問卷填答結果計算CVR值。根據Lawshe[27]的研究，當調研人數為14人時，CVR的最小值為0.51。結果顯示，除“Risk_APO.3故意的行為”CVR值小于0.51之外，其余風險因子的CVR值均大于0.51。說明專家對財務共享服務中心環境下的風險因子歸類至COBIT 5中IT領域管理四個層面的恰當程度表示高度認同。

②確認所選項目是否適合作為財務共享服務中心的風險因子，四分位差大于0.6或標準差大于1，則表示未達到一致性[28]。結果顯示，四分位差大于0.6的控制措施包括Obj_APO.3.2、Obj_APO.3.3、Obj_APO.4.2、Obj_APO.10.1、Obj_APO.10.2、Obj_APO.13.1、Obj_APO.15.1、Obj_BAI.2.1、Obj_BAI.6.2、 Obj_BAI.7.2、 Obj_BAI.11.3、Obj_BAI.14.1、Obj_DSS.3.2，標準差大于1的控制措 施 包 括 Obj_APO.10.2、Obj_APO.12.2、Obj_APO.15.1、Obj_APO.15.2、Obj_APO.19.2、Obj_DSS.4.1、Obj_MEA.1.1，共計18項控制措施未達到一致性。這18項控制措施需要在第二輪問卷中進一步討論。

③請專家在空白處填寫意見，這些意見也將在第二輪問卷中進行討論。

2.第二輪問卷。第二輪共發出14份問卷，全部收回。根據專家意見對風險因子進行了修正，修正結果詳見表2～表5。針對在第一輪中未達到內容效度的項目“Risk_APO.3故意的行為”，第二輪專家意見一致認為其不適合作為風險因子，予以刪除。第二輪結果顯示，修正后的風險因子“操作系統的瑕疵影響財務共享服務中心系統運作”的CVR值為0.43，低于最低標準，說明其不適合作為風險因子，予以刪除。最終剩余52項風險因子，且有些風險因子進行了重分類，如：Risk_APO.17重分類至BAI層面，Risk_BAI.2、Risk_BAI.9、Risk_BAI.12、Risk_DSS.2、Risk_DSS.3均重分類至APO層面。

在第二輪德爾菲問卷中針對風險因子所對應的控制措施進行一致性檢驗，對于四分位差大于0.6或標準差大于1的控制措施按照專家意見進行了修正，處理后的結果如下：①Obj_APO.15.2修訂為“需要基于企業文化建立一個有利于創新的環境”；②Obj_APO.19.1與Obj_APO.19.2兩項控制措施修訂為一項“規劃時考慮資源的分配并定期識別和記錄資產”；③Obj_APO.10.2修訂為“從企業流程再造的角度了解企業未來的發展方向”；④Obj_BAI.18.1與Obj_BAI.18.2兩項控制措施修訂為一項“持續追蹤新舊系統整合時變革的狀態”。被刪除的風險因子Risk_APO.3對應有4項控制措施，另有4項控制措施修正為兩項，最終剩余130項控制措施。

修正后的財務共享服務中心風險管理機制模型滿足效度與一致性要求。因此，本文通過兩輪的德爾菲問卷，構建的基于COBIT 5的財務共享服務中心風險管理機制已得到專家的一致認同，涵蓋IT管理領域的四個層面、52項風險因子、130項控制措施（詳見表2～表5）。

表2 風險管理機制模型——APO層面

續表2

續表2

表3 風險管理機制模型——BAI層面

續表3

續表3

表4 風險管理機制模型——DSS層面

續表4

表5 風險管理機制模型——MEA層面

五、風險管理機制的有效性驗證

本文以某汽車制造公司作為研究對象，通過結構化訪談驗證所構建的風險管理機制的有效性。首先了解案例公司實施財務共享服務中心的情況，以及在實施過程中所遇到的困難和挑戰；然后分析案例公司試用所構建的財務共享服務中心風險管理機制；最后與案例公司相關人員進行溝通，評估風險管理機制在財務共享服務中心風險管理中的有效性、不足之處與需要加強的部分。

（一）案例公司簡介

案例公司是國內一家大型汽車制造企業，下屬控股子公司30余家，擁有員工54000余人。公司產品主要針對國內消費者，同時也積極拓展海外市場，海外銷售已初見成效。公司的信息系統配置為SAP系統，包含三大模塊：配銷模塊、制造模塊及財務模塊。配銷模塊包括庫存管理、采購管理、訂單出貨管理等功能；制造模塊包括產品結構管理、工單管理、物料需求規劃、產能需求規劃、生產規劃以及成本管理等功能；財務模塊包括總賬、應收賬款、應付賬款、現金管理、固定資產等功能。

表6 案例公司財務共享服務中心在IT管理領域各層面可能發生的風險

（二）結構化訪談實施情況

本文以結構化訪談的方式驗證所構建的風險管理機制的有效性，訪談過程中用錄音記錄完整的訪談內容。訪談對象為公司的副總經理與IT管理部負責人，他們均為公司財務共享服務中心的項目組成員或負責人。訪談后不足的資料，以電子郵件和電話的方式進一步補充，用文字整理出訪談記錄。

案例公司將財務共享服務中心的運行分為導入與維護兩個階段。在導入階段，采用單獨項目實施的方式進行，項目主管明確項目的時間、成本、目標與范圍；在維護階段，公司進行正常維護，年底確定需要進行后續調整的部分。表6按照COBIT 5中IT管理領域的四個層面總結了案例公司可能發生的風險。

（三）應對財務共享服務中心風險的控制措施

案例公司應對財務共享服務中心風險的控制措施主要包括導入前的規范與導入后的管理，具體措施如表7所示。

表7 案例公司應對風險的控制措施

案例公司在財務共享服務中心系統導入后，采用以下四個步驟進行風險管理：風險發現、比較、追蹤和監管。首先，由財務共享服務中心項目小組提出財務共享服務中心面臨的風險，并提出解決方案；其次，將財務共享服務中心小組提出的風險與風險項目表進行比較，將與風險項目表不對應的風險項目直接列入表內或修改原有風險項目表，擴大其涵蓋范圍；再次，由財務共享服務中心項目小組追蹤識別出風險；最后，將風險管理結果與進度向管理層報告。風險管理結果通常包括移除非風險項目、改變風險管控模式以及增加新項目。

受訪者針對財務共享服務中心的風險管理程序進行了補充說明：①導入前，會針對系統權限制定相關的風險管理計劃；②導入后，會針對實際運作中發生的異常，執行改善程序；③年度總結中，會重新分析當前風險。

（四）財務共享服務中心風險管理機制有效性評估

訪談前請受訪者審閱并使用所構建的基于COBIT 5的財務共享服務中心風險管理機制，根據執行結果評價其有效性。本文按照財務共享服務中心風險管理的四個步驟（風險識別、風險評估、風險應對、監督與修正）進行結構化訪談。

1.風險識別。針對模型中列示的52項風險因子，請訪談人員識別這些風險在公司中是否曾經發生或可能發生。訪談結果顯示，APO層面有23項風險因子可能發生，其中有16項（16/23≈70%）一定會發生；BAI層面有16項風險因子可能發生，其中有8項（50%）一定會發生；DSS層面有7項風險因子可能發生，其中有6項（86%）一定會發生；MEA層面有6項風險因子可能發生，其中有2項一定會發生（33%）。總之，受訪者認為，在IT管理領域四個層面的52項風險因子中有32項（62%）一定會發生，說明本文構建的風險管理機制在風險識別階段是有效的。

2.風險評估。Hughes等[29]認為風險因子本身無法識別風險，需要通過風險評估才能找到重要的風險。因此，訪談中邀請受訪者按照影響程度的高、中、低不同等級評估四個層面的風險因子。評估結果顯示，APO層面有5項風險因子被評為影響程度高，BAI層面有2項風險因子被評為影響程度高，DSS層面有1項風險因子被評為影響程度高，MEA層面有1項風險因子被評為影響程度高。影響程度高的風險因子有9項，影響程度中等的風險因子有13項，影響程度低的風險因子有10項，可選擇優先處理影響程度高的風險因子。

3.風險應對。針對9項影響程度高的風險因子，列出受訪者認為控制效果“好”和“中”的控制措施（如表8所示），這些措施便是公司在遇到影響程度高的風險因子時，可優先采取的應對措施。

在監督與修正方面，目前公司進行的財務共享服務中心的風險管理，分為導入前的規范和導入后針對異常情況的管理。受訪者表示，本文所構建的風險管理機制的效用在于能清晰地評價風險因子的重要程度，明確列示出所對應的控制措施，使得財務共享服務中心導入時可以迅速評估風險、制訂周詳的風險應對計劃。因此，對案例公司相關人員的訪談印證了所構建的財務共享服務中心風險管理機制的有效性。

六、結論

本文以COBIT 5為基礎構建了一個便于企業識別、評估、應對與控制財務共享服務中心風險的風險管理機制，并分析財務共享服務中心的風險因子的類型與特征，評估各項風險因子的影響，討論可采取的方式和措施以應對風險。

表8 影響程度高的風險因子與對應的控制措施

本文由文獻歸納總結財務共享服務中心風險因子，運用德爾菲專家問卷法進一步補充完善，并根據COBIT 5的規范提煉出相應的控制措施，最終提出涵蓋IT管理4個層面的52項風險因子，以及應對這些風險因子的130項控制措施。本文還運用案例企業結構化訪談的方法驗證了所提出的風險管理機制的有效性。

本文與現有研究的差異在于，基于信息技術控制目標（COBIT 5），結合財務共享服務中心風險管理的特點建立風險管理機制，方便企業快速識別風險，采取措施積極響應與改善缺陷，充分發揮其風險管理效果。隨著技術的不斷進步，本文所構建的風險管理機制無法涵蓋所有未來可能發生的風險，這既是本文研究的局限也是未來研究的方向。