ERP环境下基于系统参数的风险管理系统构建研究

2013-04-29 00:44陈旭李莲
会计之友 2013年9期
关键词:故障树层次分析法风险管理

陈旭 李莲

【摘 要】 ERP整合了企业所有资源且高度集成,是风险管理融入企业“DNA”的最佳平台。文章从ERP环境下信息系统风险管理现状入手,针对风险识别内容繁杂不清、风险评估标准不明确、风险监察手段不力等问题,提出构造基于系统参数的闭环适时风险管理系统。该系统包括风险识别、风险评估、风险评级和风险监察四个模块,运用故障树和层次分析法中的定权方法来对风险进行定量分析。

【关键词】 ERP; 系统参数; 风险管理; 故障树; 层次分析法

随着人们对信息技术依赖程度的增加,越来越多的企业业务开展与信息系统紧密相关,与此同时,信息系统风险也随之进入了人们的视野。风险管理是企业管理的重要内容之一,它直接影响一个企业的正常生产经营。信息时代的风险管理具有许多新的特征与内涵,需要更新观念,运用新的方法与手段,及时识别信息系统运行中的预警信号,采取措施,将风险控制在可接受范围。

一、信息系统风险管理现状

针对信息系统的风险问题,各相关机构发布了一系列的框架体系,如国际内部审计师协会(IIA)的“电子系统保证与控制”(ESAC)模型和美国IT治理研究院(ITGI)的信息及相关技术控制目标(COBIT)体系。目前,理论界对信息系统风险评估与管理的研究大部分停留在经验总结及定性分析阶段。在国务院国资委的《中央企业全面风险管理指引》、财政部的《企业内部控制基本规范》和《企业内部控制配套指引》相继颁布之后,实务界各软件公司也顺势推出了各自的内控风控系统,如金蝶K3、用友内控等,但其大都未对风险进行量化评估,部分有简单量化也仅停留于粗略的等级划分;另外,也未站在整个企业层面将风险统筹管理及逻辑展示,不利于管理者进行战略决策。

风险发生于企业的各个层面,其管理不能各自为政,而整合了企业所有资源高度集成的ERP,则创造了一个让风险管理融入企业“DNA”的最佳平台。本文在目前风险管理系统已有的研究基础上,针对系统参数设置可能造成的风险,利用故障树和层次分析法中的定权方法,构造出一个闭环适时的风险管理系统,以为解决目前信息系统风险管理中风险识别内容繁杂不清、风险评估标准不明确、风险监察手段不力等诸多问题提供思路,让风险管理伴随ERP真正渗透整个企业,成为企业的新型竞争优势。

二、ERP环境下风险管理系统构建

ERP环境下,企业内部控制与ERP的信息系统控制紧密结合,很多内部控制点的控制标准、控制方法通过信息系统控制的方式实现。因此,企业内部控制风险很大程度上取决于信息系统控制的风险。目前,信息系统控制的实现方式有程序代码固化控制和参数化控制两种,其中参数化控制的有效性取决于参数设置的正确性和及时性,如果一个控制参数没有正确设置或是被恶意错设,由于ERP最大的特点就是数据集中采集、信息共同分享,控制失效就会使系统反复发生相同的纰漏并蔓延至整个企业,其风险之大不言而喻。

因此,根据系统参数设置失误可能造成的影响来确定对应风险点,扫描汇总参数设置漏洞后进行风险评估;确定参数及风险权重,计算得出风险评估值,对企业风险评级;实时监控参数设置情况,当条件事件(敏感参数错设或风险超出企业容忍度)被触发时,进行反馈控制。以此方式来管理企业风险,可以合理保证企业在可控状态下安全运营。

综上,本风险管理系统主要包括四大基本功能模块:风险识别模块、风险评估模块、风险评级模块和风险监察模块。

(一)风险识别模块

首先,根据COSO及国务院国资委颁布的《中央企业全面风险管理指引》对风险的定义及描述,可以精细分类把风险整理成三个级别,依次是风险层次、风险类别及风险点(见表1)。根据风险点具体含义及描述,确定ERP每个模块系统参数错设时对应的风险点(见表2)。

本模块的主要任务是通过扫描汇总系统参数设置漏洞。

(二)风险评估模块

本模块分为故障树编制和风险定量分析两个子模块,其中,故障树对展示系统参数及对应风险之间的逻辑关系,并为下一步风险定量分析权重确定及风险值计算奠定基础。

1.编制风险故障树

故障树分析技术是美国贝尔电话实验室1962年开发的,它采用逻辑的方法,形象地进行危险的分析工作,特点是直观、明了,思路清晰,逻辑性强。用故障树的方法分析风险,既可定性也可定量,兼具系统性、准确性和预测性。根据表2编制出风险故障树(见图1),图中矩形代表顶上事件或中间事件,圆形代表不要求进一步展开的基本引发风险事件。

本文在故障树的建模过程中,只探讨了下级元素与上级元素为N:1关系且逻辑关系均为或门的情况,未能充分利用到故障树强大的处理复杂结构问题的功能。今后可进一步分析各控制参数设置直接和间接影响的风险点及风险之间可能存在的连锁反应,逐渐丰满故障树,以更全面准确地对风险进行定性和定量分析。

2.风险定量分析

为体现企业对风险的容忍度,本文将故障树单纯考虑事件的发生概率加上权重因素后综合考虑。为便于得到逻辑推理计算公式,加强其概括性,设故障树顶上事件为T0,中间事件为AIi,基本事件为XIi。其中,中间事件和基本事件的下标I均表示元素所在的层次,i表示事件在该层次的顺序编号。下面依次讲解权重的确定及风险值计算具体方法。

(1)权重计算

故障树事件的定权借用层次分析法中权重确定方法求得。在构造比较判断矩阵时,事件两两比较的基础是风险发生可能造成的后果危害程度和企业对该参数设置的敏感程度,而非对顶层事件的影响大小。此法可避免对所有个体直接进行排序的困难,使决策者注意力集中,较为客观地评价两者的“优先”程度,以提高准确度。

据此,首先对照层次分析法中的标度含义表,构造出比较判断矩阵,然后利用“和法”取列向量算术平均进行求权,最后对矩阵进行一致性检验,检查矩阵A的不一致程度是否在容许范围之内。若有满意的一致性,通过一致性检验,可用其归一化特征向量作为权向量,否则要重新构造成对比较矩阵A。

例:现金流风险分支下辖3个元素X41(出纳签字)、X42(货币资金赤字警告)、X43(收款预算控制)。

比较3个元素可能造成现金流风险后果的危害程度和企业对元素的重视程度,构造出成对比较阵:

依此按照底层→次顶层→顶层→最顶层的顺序循环,可计算出故障树所有事件权重及风险值,最终即可汇总出各企业总风险值T0=∑ni=1R(A1i)·E(A1i)。

(三)风险评级模块

依据会计确认对可能性的估计区间的划分及事件风险的权重赋值,计算出风险评估矩阵(见表3)。

如图3,当事件发生可能性极小且权重为极低、低、中时,风险等级为低;当事件发生可能性极小且权重为高和极高、事件可能和很可能发生且权重为极低时,风险等级为较低;当事件可能发生且权重为低、中和高,事件很可能发生且权重为低、事件基本确定发生但权重为低和极低时,风险等级为中度;当事件可能发生且权重为极高、事件很可能发生且权重为中和高、事件基本确定发生但权重为中时,风险等级为高度;当事件很可能发生且权重为极高、事件基本确定发生且权重为高和极高时,风险等级为极高。

根据风险等级划分原则和评估矩阵计算结果,可得出每个风险等级区间的临界值,由此划分出风险评级表(见表4)。

依据风险定量分析中得出的风险评估值,对照该表,可对应得出各风险所对应的风险等级,视情况进行分级管理。

(四)风险监察模块

一个闭环的风险管理系统,它的信息流通途径及反应机制应为“控制信息→反馈信息→控制信息(控制手段)”。其中前馈的控制信息应是企业根据管理需求,在故障树的节点处自定义的触发条件。其触发条件可以是敏感参数的错误设置或超出企业容忍度的风险评估值抑或是信息系统某模块参数设置的漏洞总数。

在控制信息传达出去后便得到反馈信息,再次回馈的控制信息就应该是控制手段。风险监察模块提供人工控制和程序控制两种控制手段,可根据企业需求调整控制强度,如预警提示、禁止业务进行等多个强度级别。

对风险的识别绝不是一个单一的、一次性的过程。在风险管理系统建立之初,经各种程序识别的一系列风险所在的环境,将随着这些已识别风险性质的改变而迅速发生变化,企业还需对已识别的风险进行监察。首先,在应用之初根据实际应用的ERP特点及具体业务情况确定参数及对应风险。在运营过程中,需综合考虑计算机购置成本、服务器承载能力、风险容忍度、运营效率等多个因素,依据成本效益原则,合理调整故障树并及时变更风险监察的反应机制,以适应企业运营管理需要。

三、风险管理系统的应用

通过风险管理系统对参数漏洞进行定期扫描和主动反应,可以对企业信息系统风险洞察入微,防止人为或非人为等未知因素在暗处干扰企业运行。另外,通过将风险管理系统中的参数设置和风险评级历史情况进行存档,一可将历史记录与企业经营中的财务及业务数值进行对比,建立线性关系,以探寻既定的企业运营效率之下最合适的风险容忍度及参数配置值;二可以在企业进行内审的时候给予一定的切入点,如某段时间客户信用管理参数设置为“是”,则应重点审查信用额度高的客户销售业务,如为“否”,则需重点检查销售欠款较多的客户的相关业务。●

【参考文献】

[1] 陈旭,李莲.基于ERP系统参数的内部控制及风险评估研究[C].第十一届会计信息化年会论文集,2012.

[2] 史定华,王松瑞.故障树分析技术方法和理论[M].北京:北京师范大学出版社,1993.

[3] 赵焕臣,许树柏,和金生.层次分析法[M].北京:科学出版社,1986.

猜你喜欢
故障树层次分析法风险管理
探讨风险管理在呼吸机维护与维修中的应用
房地产合作开发项目的风险管理
某型发动机喘振故障的研究
数控机床液压系统故障诊断专家系统的研究
系统安全性分析技术在空空导弹中的应用
基层社会管理关键绩效指标体系构建研究
基于层次分析法的乳制品品牌顾客满意度实证研究
基于模糊综合评价模型对道路拥堵的研究
民用飞机强度试验故障处理流程研究
护理风险管理在冠状动脉介入治疗中的应用