ERP环境下基于系统参数风险管理系统构建探究.docVIP

ERP环境下基于系统参数风险管理系统构建探究 　　【摘 要】 ERP整合了企业所有资源且高度集成，是风险管理融入企业“DNA”的最佳平台。文章从ERP环境下信息系统风险管理现状入手，针对风险识别内容繁杂不清、风险评估标准不明确、风险监察手段不力等问题，提出构造基于系统参数的闭环适时风险管理系统。该系统包括风险识别、风险评估、风险评级和风险监察四个模块，运用故障树和层次分析法中的定权方法来对风险进行定量分析。 【关键词】 ERP； 系统参数； 风险管理； 故障树； 层次分析法 随着人们对信息技术依赖程度的增加，越来越多的企业业务开展与信息系统紧密相关，与此同时，信息系统风险也随之进入了人们的视野。风险管理是企业管理的重要内容之一，它直接影响一个企业的正常生产经营。信息时代的风险管理具有许多新的特征与内涵，需要更新观念，运用新的方法与手段，及时识别信息系统运行中的预警信号，采取措施，将风险控制在可接受范围。 一、信息系统风险管理现状 针对信息系统的风险问题，各相关机构发布了一系列的框架体系，如国际内部审计师协会（IIA）的“电子系统保证与控制”（ESAC）模型和美国IT治理研究院（ITGI）的信息及相关技术控制目标（COBIT）体系。目前，理论界对信息系统风险评估与管理的研究大部分停留在经验总结及定性分析阶段。在国务院国资委的《中央企业全面风险管理指引》、财政部的《企业内部控制基本规范》和《企业内部控制配套指引》相继颁布之后，实务界各软件公司也顺势推出了各自的内控风控系统，如金蝶K3、用友内控等，但其大都未对风险进行量化评估，部分有简单量化也仅停留于粗略的等级划分；另外，也未站在整个企业层面将风险统筹管理及逻辑展示，不利于管理者进行战略决策。 风险发生于企业的各个层面，其管理不能各自为政，而整合了企业所有资源高度集成的ERP，则创造了一个让风险管理融入企业“DNA”的最佳平台。本文在目前风险管理系统已有的研究基础上，针对系统参数设置可能造成的风险，利用故障树和层次分析法中的定权方法，构造出一个闭环适时的风险管理系统，以为解决目前信息系统风险管理中风险识别内容繁杂不清、风险评估标准不明确、风险监察手段不力等诸多问题提供思路，让风险管理伴随ERP真正渗透整个企业，成为企业的新型竞争优势。 二、ERP环境下风险管理系统构建 ERP环境下，企业内部控制与ERP的信息系统控制紧密结合，很多内部控制点的控制标准、控制方法通过信息系统控制的方式实现。因此，企业内部控制风险很大程度上取决于信息系统控制的风险。目前，信息系统控制的实现方式有程序代码固化控制和参数化控制两种，其中参数化控制的有效性取决于参数设置的正确性和及时性，如果一个控制参数没有正确设置或是被恶意错设，由于ERP最大的特点就是数据集中采集、信息共同分享，控制失效就会使系统反复发生相同的纰漏并蔓延至整个企业，其风险之大不言而喻。 因此，根据系统参数设置失误可能造成的影响来确定对应风险点，扫描汇总参数设置漏洞后进行风险评估；确定参数及风险权重，计算得出风险评估值，对企业风险评级；实时监控参数设置情况，当条件事件（敏感参数错设或风险超出企业容忍度）被触发时，进行反馈控制。以此方式来管理企业风险，可以合理保证企业在可控状态下安全运营。 综上，本风险管理系统主要包括四大基本功能模块：风险识别模块、风险评估模块、风险评级模块和风险监察模块。 （一）风险识别模块 首先，根据COSO及国务院国资委颁布的《中央企业全面风险管理指引》对风险的定义及描述，可以精细分类把风险整理成三个级别，依次是风险层次、风险类别及风险点（见表1）。根据风险点具体含义及描述，确定ERP每个模块系统参数错设时对应的风险点（见表2）。 本模块的主要任务是通过扫描汇总系统参数设置漏洞。 （二）风险评估模块 本模块分为故障树编制和风险定量分析两个子模块，其中，故障树对展示系统参数及对应风险之间的逻辑关系，并为下一步风险定量分析权重确定及风险值计算奠定基础。 1.编制风险故障树 故障树分析技术是美国贝尔电话实验室1962年开发的，它采用逻辑的方法，形象地进行危险的分析工作，特点是直观、明了，思路清晰，逻辑性强。用故障树的方法分析风险，既可定性也可定量，兼具系统性、准确性和预测性。根据表2编制出风险故障树（见图1），图中矩形代表顶上事件或中间事件，圆形代表不要求进一步展开的基本引发风险事件。 本文在故障树的建模过程中，只探讨了下级元素与上级元素为N：1关系且逻辑关系均为或门的情况，未能充分利用到故障树强大的处理复杂结构问题的功能。今后可进一步分析各控制参数设置直接和间接影响的风险点及风险之间可能存在的连锁反应，逐渐丰满故障树，以更全