產業分析
COBIT 5 與ERP 系統風險管理
『摘要』
過去研究著重於資訊系統/ 技術與專案方面的風險,或是僅限於辨識風險的階段。Sherer & Alter (2004) 認為資訊系統文獻提出數以百計的風險因子及許多重複的風險構成要素讓管理者難以評估與使用,另ERP系統導入後如何管理潛在的風險與協助實現組織績效的重要性是刻不容緩。因此,本文探討與分析ERP系統生命週期中可能會遭遇的風險,進而提供管理階層選擇適合評估與控管風險的策略, 並作為預計導入或是已經導入ERP系統的企業建立風險管理機制之參考。ISACA 於2012 年發布資訊科技治理與管理架構 - COBIT 5,本文以此架構為基礎期企業可藉由風險辨識、評估至控制與回應的活動完成整個風險管理的程序,快速找出潛在的風險因子並採取控制措施,提供給企業一個便利且有效的ERP 系統風險管理機制。
關鍵字:COBIT 5、企業資源規劃系統、風險管理
『壹、諸論』
近年來隨著科技的進步及經濟的蓬勃發展,企業資源規劃(Enterprise Resource Planning, ERP) 系統成為企業整合資訊流程的投資重點。Wailgum (2009) 在Forrester Research 調查近400 位北美及歐洲的軟體決策者發現即便在2008第四季全球經濟不景氣的情況下仍有三分之二的決策者積極主動投資ERP 系統,包括從專案導入到系統擴展與升級。導入ERP 系統有益於提昇競爭優勢,但學界與業者已經發現ERP 系統導入後的使用仍存在許多問題與挑戰 (Dezdar & Sulaiman, 2009),例如:資訊安全、個人資料保護及組織績效實現等。雖然適當地導入ERP 系統帶給企業相當顯著的益處,但相反地ERP 系統導入後使用的過程也耗費企業相當多的時間與資源 (Siau &Messersmith, 2002, 2003),企業亦不能忽視系統使用中失敗所需付出的代價,ERP 系統如同一把雙面刃同時可以為組織創造價值與損失。
臺灣的兆豐國際商業銀行在2012 年因未適當監督硬碟銷毀的過程,經民眾購買中古硬碟發現該銀行與客戶往來的業務資料,違反銀行法第45 條之1 第1 項,未建立及未落實執行內部控制制度之缺失,遭金管會核處新臺幣200萬罰鍰( 吳靜君,2012)。兆豐產險因違反內控制度,除了遭金管會開罰240 萬, 該公司的經理人也被解職( 顏真真,2009)。員工因故意或過失造成個資外洩的事件也時有所聞。包含信義房屋承辦人員求職者履歷資料夾帶在E-mail 寄出, 因而洩漏該公司求職者的個人資料,或東森休閒育樂公司離職經理涉嫌攜出客戶資料,並利用電話和網路販售該個資 ( 黃于珊,2012) 等事件。實務上針對企業常見員工舞弊發生的原因進行分析之結果( 張益紳、徐潔茹,2011),其中一點便為「企業應用系統授權不當」的問題,而此問題發生的原因大致上可歸納為:應用系統角色群組設計不適當、業務流程設計不適當、程式本身設計不適當以及應用系統授權誤判等因素,而對具有ERP 系統的企業來說,所有的交易資訊接紀錄於ERP應用系統之中,因此內部人員對於ERP 的存取控制(Access Control),應列為企業風險管控重點。臺灣達方電子財務處員工在2006透過竄改ERP系統程式來竊取授權的密碼以及金鑰,透過網路銀行轉帳至人頭帳戶,發生的主因為電子網路銀行的經辦、審核以及放行的作業是透過ERP 系統前端資訊的匯入,因為控制程序的設計不當致使不僅程式遭竄改,更甚者銀行帳號和金額也遭竄改。因此對控制點設計,如權限是否劃分、程式變更的控制、重要資料的變更是否有登入檔記錄(log),這些風險管理下控制制度的設計若能更為完善,相信更能大大減少類似風險事件的發生。
然而因應資訊化的趨勢與組織變革的發展,企業需要擴展對風險管理的看法以涵蓋新的風險概念(Sherer & Alter, 2004)。有效的風險管理制度可協助企業辨認及評估在日常營運過程中可能面臨的風險, 並適當地回應風險(林寶珠、王敏馨,2003),讓企業持續前進及利潤最大化的幕後推手是維持ERP 系統成功的風險管理機制。當企業決定導入ERP系統後,ERP系統的安全性變成一個重要的課題。企業成員所注重的是企業在ERP 系統上線後是否處在一個安全的環境中,當然也必須了解ERP 系統有哪些風險以及脆弱點,掌握這些資訊後企業又將會進行那些相對應的控制的措施或活動。
過去研究著重於資訊系統/ 技術與專案方面的風險,或是僅限於辨識風險的階段。Sherer and Alter (2004) 認為資訊系統文獻提出數以百計的風險因子及許多重複的風險構成要素讓管理者難以評估與使用, 另ERP系統導入後如何管理潛在的風險的重要性是刻不容緩。因此,本文探討與分析ERP 系統生命週期中可能會遭遇的風險,進而提供管理階層選擇適合評估與控管風險的策略,並作為預計導入或是已經導入ERP系統的企業建立風險管理機制之參考。ISACA於2012年發布資訊科技治理與管理架構 - COBIT 5,本文以此架構為基礎期企業可藉由風險辨識、評估至控制與回應的活動完成整個風險管理的程序,快速找出潛在的風險因子並採取控制措施,提供給企業一個便利且有效的ERP 系統風險管理工具。
『貳、風險管理程序與規範』
一、風險管理與程序
風險管理(Risk Management,RM) 在內部稽核協會(Institute of Internal Auditors,IIA) 網站定義為:「識別、評估、管理和控制潛在事件或情況的過程, 目的是為實現組織的既定目標並提供合理保證」。風險管理認識到風險存在於所有組織中的這一個事實, 因此,風險管理最大的挑戰就是將風險控制在組織偏好的範圍之內,也就是「將風險控制在組織願意接受的水平」。但擁有正確及完整的風險管理機制及收集風險資料,透過適當的風險監控作業,就能有效的降低風險發生的機率與其影響程度,讓整體組織資源的運用達到最佳化( 張碩毅、吳承志,2008)。換句話說,企業的經營因為不確定性的存在而面臨各種風險的可能性,管理風險的需求也因應而生。企業風險管理為一個程序,為預測可能發生之事件極可能之意外損失,進一步設計、規劃及執行風險管理機制 (Hermanson, 2003)。首先需針對潛在事件可能造成之影響進行評估,然後在可接受的範圍內進行風險管理。企業單位採取各種可行方法以認知、發現各種可能存在之風險,並衡量其可能發生之損失頻率與幅度,而於事先採取適當方法加以預防、控制,若已盡力預防控制仍難免發生損失時, 則於事後採取財務填補措施以恢復原狀,以保持企業之生存與發展 ( 鄭燦堂,2012)。
美國COSO委員會出版的企業風險管理- 整合架構(Enterprise Risk Management- Integrated Framework:ERM, 2004),將風險視為一個事項發生之可能後果,而該事項對達成企業目標會產生不利的影響。而風險管理意旨配置一個共同的系統化流程來評估風險的影響和使用成本效益方法及有適當技能的人力來確認和評估潛在的風險 (Comptroller and Auditor General, 2000)。整理出所有可能帶給企業正面及負面影響的因素,從而提升達成企業整體目標的可能性,並降低失敗的可能性和不確定性 (IRM, AIRMIC, and ALARM, 2002)。近幾年許多的風險管理機制應運而生,像是PMI 2001、Standards Australia 1999、SAFE Methodology、Risk Diagnosing Methodology,這些都是經典的循環性風險管理機制(Aloini, Dulmin, & Mininno, 2007)。本研究彙總(AS/NZS4360, 2004;鄧家駒,2005;Aloini et al., 2007)可適用於ERP系統的風險管理程序分別為風險辨認、風險評估、風險回應、以及監督與修正( 如表1)。
風險因子、關鍵成功因素和不確定因子常被用來傳達相同的意思 (Aloini et al., 2007),也有很多不同的管道可以用來描述與分類風險 (Baccarini, Salm, & Love, 2004),因此風險辨認對於管理階層來說是一大挑戰,同時資訊人員也需要以更廣泛的角度來看待系統的潛在問題,包含流程內所有可能的人員和部門 (Ojala, Vilpola, & Kouri, 2006)。組織導向的作業易受到組織動態、互動、合作和溝通之異常情形的影響, 因此訓練不足和重複培訓、內部專家不足、缺乏企業營運和技術知識的分析師、內部與外部專家不協調、不能遵循ERP 軟體支援的標準、與缺乏企業系統之間的整合 (Sumner, 2000; Wright & Wright, 2002) 都是潛在的ERP 系統風險因子(ERP 系統風險因子彙整如附錄一)。
風險評估即為辨認上述內、外在因素並予以分析、考量其發生之可能性及影響的過程,決定風險如何管理等步驟(COSO, 1992)。其主要目的在於透過列舉企業所面臨的潛在威脅與弱點藉以決定企業所面臨的風險值。通常需要藉由對歷史資訊預測未來事件,惟因相同因素會隨著時間經過而異動,而造成其影響程度的改變,可同時使用量化與質化的方法(COSO, 2004)。量化方法是指為每一個危險事件設定某一個層級的風險,通常會用年預期損失 (Annual Loss Expectancy;ALE) 來計算威脅;質化方法用分析師的專業和判斷,利用敘述性的變數來表達風險程度,就是對以界定出風險威脅事件的可能性 (Likelihood) 與衝擊程度 (Impact Loss Degree, ILD),決定其對企業營運影響的優先等級,此類也是較常採用的方法,因為只要對潛在的損失作定性程度的評估即可,不必計算威脅造成金錢損失。COSO (2004) 在 ERM 中增加風險回應的部份作為補強COSO 架構不足。當風險被辨認及評估後,管理階層應同時考量成本效益,選擇風險回應之方式,並進行一連串行動使風險能與企業之風險容忍度相互配合。盡可能地找出處理風險的可能方法,評估這些方法,準備風險對策計畫,以及執行這些風險對策。葉長齡 (2005) 認為一般常見的風險回應管理策略方法包括風險迴避法、風險控制法、風險承擔法與風險移轉法。
在風險回應後為瞭解周圍不斷改變的環境是否影響風險回應的優先順序,必須要監督風險與修正風險回應對策的有效性。為了確保風險管理能徹底執行, 研考會 (2009) 提出以下步驟:(1) 定期評估風險管理計畫的進度;(2) 定期審查風險管理的架構、政策及計畫是否仍適用於組織內部與外部的環境條件;(3) 風險報告須包含風險管理計畫的進度及風險管理政策遵循的程度;(4) 為維持審查風險管理程序的有效性, 應包含管控的適當性。由此可知風險需要持續性的監督,風險管理是一個連續性的過程。監控可以藉由持續的管理活動、個別評價或者兩者結合來完成 (COSO, 2004)。企業風險管理不是嚴格的順序過程,一個組成要素並不只是影響下一個組成要素。它是一個多方向,且反覆進行的過程,任一個組成要素都必須存在而且運作順利,才能使其發揮作用。風險管理必須隨著時間與環境的變遷來適度修正風險管理的策略,因此在成效考核與回饋上,必須提供決策者重要的指標以作為是否修正策略的依據( 鄧家駒,2005)。
ERP 系統串連整個企業功能疏於管理其風險將很可能會導致企業體空前的損失,對企業的重要性不言而喻。此外ERP 專案失敗最常見的理由就是管理階層沒有做好其風險評估與管理 (Wright & Wright, 2002; Sherer & Alter, 2004)。因此ERP 系統的風險管理實為整個企業營運的重要關鍵之一。企業應該要有較為健全的內部控制以防止舞弊並且偵測錯誤,以降低企業的風險及其對企業未來可能造成的損失。也就是說企業若是有妥善設計其內部控制以及執行的話, 該企業之內部控制應該有良好的規範,使企業內部的各個部門能夠依照組織的設計各司其職,並且在內部控制的節制之下發揮其所有的營運能力( 李宗黎與林蕙真,2008)。但COSO (1992; 2004) 的內部控制整合框架在資訊系統方面較為缺乏( 詹順吉,2007)。因此企業透過了解資訊系統的風險以及弱點,企業應進行內部控制的動作以確保其資訊系統安全具有正確的管理,使得組織擁有的資產,甚至涉及個人隱私的資料都能夠受到保護( 張碩毅、黃士銘、阮金聲、洪育忠與洪新原,2005)。透過內部控制制度的強化實現ERP 系統風險管理的程序。
二、風險管理的標準與規範
風險管理相關的標準以及規範包括企業風險管理的整合架構(ERM) 考量企業內一般性風險管理所需要參考的環境要素;ISO 31000風險管理的指導原則與綱要,了解風險管理的原理、架構及過程; ISO 27005以及ISO 27001標準的探討,了解資訊風險管理的重要性,組織不論在建置ISMS時的風險管理程序或是在資訊安全方面透過ISO 27001得知相關的控制領域及控制目標。表2 整理與風險管理相關的標準及規範之發表年份與主要概念及目的。
由於企業大量採用IT以提高企業的競爭力,企業管理者紛紛採用各種資訊系統(Information System, IS) 或是資訊科技(Information Technology, IT),使企業可及時與確切地掌握各項關鍵的數據並做出即時的決策,因此資訊科技治理(Information Technology Governance, ITG) 也逐漸成為企業關注的議題。根據國際電腦稽核協會(Information System Audit and Control Association, ISACA) 於2011 年時針對全球電腦稽核協會的會員所進行的線上調查結果分析顯示,企業在日常營運中所面臨的前兩項重要問題,為企業在當地法規的遵循以及企業在IT管理/ 資訊科技治理(Information Technology Governance, ITG) 機制的建立。ITG 是保持資訊科技策略與企業策略間得以保持,透過開發和維護一個有效率的IT控制與責任機制、績效管理和風險管理來最大化企業的價值。一個組織的ITG 將包含:(1) 策略一致性;(2) 風險管理;(3) 績效管理; (4) 能力管理;(5) 管理與責任;(6) 透過IT 達到價值的傳遞(Webb et al., 2006)。一個企業若能有效率的建置以及運行ITG 的機制,將可以增加企業在IT 方面的投資回報,同時藉由有效率的ITG 機制強化企業內部原有的公司治理機制,在ITG機制與公司治理機制同時有效率的運作下也可以強化企業管理者的責任(Kaarst-Brown & Kelly, 2005)。換句話說, ITG 為在指導資訊業務時,必須使IT 的性能可以滿足企業目標、可靠地使用資訊資源,而且IT 與IS 所衍生的風險能被合理的控制(Weill & Broadbent, 2000)。在控制制度之下不可缺少的一環就是IT 與IS 控制的概念,為了強化IT 與IS 控制之遵循,其中最為廣泛使用之架構為國際電腦稽核協會(Information Systems Audit and Control Association, ISACA) 所制定的COBIT(Control Objectives For Information And Related Technology) 架構,最新版的COBIT 5 的架構(ISACA, 2012),被採用的原因:
.COBIT 5是一套通用且適用於各種規模企業的治理架構。
.提供更多利害關係人決定他們對於資訊或是相關科技的期待,以及他們的優先順序以確保期望價值實際達成。
.回應企業在成功時所日益依賴的外部商業夥伴或是各IT方,以及利用多元的內部方法與機制以達成預期的價值。
.處理大量日益顯著增加的資訊。
.涵蓋業務與IT 部門端到端的責任;涵蓋各種可以有效進行企業IT 治理與管理的面向。
.對於使用者發起與使用者控制之IT解決方案達到更好的控制。
.在相關的情況下可以與業界主要的架構與標準做連結與配合。
且根據ITGI (Information Technology Governance Institute) 指出:「COBIT是唯一一個能夠提供IT 投資全生命周期的管理框架。這個框架能支持IT 商業目標的完成、確保商業IT 定位、並且能夠提高IT 效率與有效性。」目前ERP系統高建置比率反映出實行ERP 系統風險管理的重要性與必要性,且在目前「資訊科技治理(ITG)」的環境之下指導各種資訊專案,期望透過COBIT 5架構強化IT與IS的控制制度, 更強調本研究以COBIT 5架構為基礎建構ERP系統風險管理機制的重要性。
『參、COBIT5 與ERP系統風險管理』
一、COBIT 5
COBIT 5是一個治理和管理企業資訊科技的架構, 且COBIT 5 提供一個全面的架構來幫助企業實現治理和管理企業資訊科技的目標。簡單地說,它透過達成效益、優化風險與資源的使用來幫助企業創造來自於資訊科技的最佳價值(ISACA, 2012)。並且COBIT是關於IT 安全和控管實務的標準,對管理階層、使用者以及資訊系統稽核、控管和安全的從業人員提供一個參考架構,指引企業對IT 實行有效的治理( 李培群,2010)。
COBIT 5是基於5個關鍵的原則來治理與管理企業的IT 包括:1) 滿足利害關係人需求(Meeting stakeholder needs);2) 涵蓋企業的端到端(Covering the Enterprise End-to-End);3) 採用單一且整合的架構(Applying a Single, Integrated Framework)4) 使用全面性的方法(Enabling a Holistic Approach);5) 區分治理和管理(Separating Governance From Management)。在COBIT 5的第五項原則之下,提到一個COBIT 5的流程參考模型(Process Reference Model) 的概念, 詳細的定義和描述這幾個治理和管理的流程,它代表在企業IT 相關活動中經常發現的所有流程,為IT管理人員供一個通用且容易理解的參考模型,這個流程的模型是一個完整的、綜合的模型,但是它並不是唯一可能的流程模型。COBIT 5也提出使用這個流程參考模型的公司須考慮到本身的情形,來定義與企業本身符合的流程集合。結合企業在IT活動所涉及的所有運作模式,是邁向良好管理的重要和關鍵的步驟之一。
COBIT 5在相較於過去之版本,更考慮了企業IT 的「治理」和「管理」的概念,透過此兩個概念,並且更多的在治理與管理之下的37支流程,得出相對應之關鍵管理實務(Key Management Practice)、IT控制目標以及組織之中職能角色的責任歸屬或是與流程相關之利害關係人,因此本文認為採用COBIT 5的架構對於目前ERP系統可能產生的風險,相較於過去的規範及標準,能有不一樣的方式達成ERP 系統的風險管理,甚至對於風險達到更有效的管理與控制。COBIT 5為此還提供一個衡量、監控IT 性能、提供IT 保障與服務供應商交流以及整合最好管理方法的架構。
COBIT 5流程參考模型將企業IT 治理與管理流程分為主要兩個流程的關鍵領域,而治理與管理的關鍵領域,在治理的部份包含5個治理流程, 在每個流程之內,定義了評估(Evaluate)、指導(Direct) 與監督(Monitor) 的活動。管理的部份包含下列4個關鍵領域(Domain),根據責任區域的規劃(Plan)、建立(Build)、執行(Run) 與監督(Monitor),並且是涵蓋整個IT 的。這四個領域是從COBIT 4.1 的領域與流程演變而來的,彼此互動關聯,主要包含下列四個領域並分別針對各領域內容分述說明如下:
.規劃(Plan): 調整、規劃與組織(Align, Plan and Organize, APO) 本構面作業程序包括: 擬定策略性資訊技術規劃、擬定資訊環境架構、決定技術方向、釐定資訊組織及其關係、專業的投資管理、溝通管理目標與方向、人力資源管理、確保符合外部需求、風險評估、風險管理、專案管理及品質管理等。並提供傳送解決方案和服務的方向。
.建立(Build): 建立、獲得與建置(Build, Acquire and Implement, BAI) 本構面作業程序包括:確認自動化解決方案、應用軟體獲得及維護、技術架構的獲得及維護、科技基礎建設的取得及維護、開發及維護資訊程序、安裝及認證系統及變更管理等。並提供解決方案並將他們轉成服務項目。
.執行(Run): 交付、服務與支持(Deliver, Service and Support, DSS) 本構面作業程序包括:定義及管理服務層級(等級)、外包服務管理、績效及容量的管理、確保持續性的服務、確保系統安全、分析及分配成本、使用人員的教育訓練、客戶支援(協助)及諮詢、系統設定管理、問題及異常事件的管理、資料管理、硬體設施管理、知識管理、操作管理等。並接收解決方案並轉換成對終端使用者有用的活動。
.監督(Monitor):監督、評價與評估 (Monitor, Evaluate and Assess, MEA) 本構面作業程序包括:監督各項資訊流程、評鑑內部控制的允當性、是否有獨立之品質保證、提供獨立的稽核、監督與評估系統內部控制、監督與評估是否有遵循外部需求、監督與評估績效與一致性。並監控所有的流程,來確保所有的程序都確實進行。
再者COBIT 5在關鍵領域下又細分出流程,圖1 分別說明了「治理」關鍵領域下分為5 個流程(EDM01~EDM05),而「管理」關鍵領域下分為32 個流程(APO01~APO13;BAI01~BAI10;DSS01~DSS06; MEA01~MEA03)
COBIT 5的基本架構具有5個基本原則(Principle),且從治理與管理兩個概念的流程發展出流程參考模型(Process Reference Model)。由圖3可知在治理概念下具有5 個流程(EDM01 至EDM05), 而在管理概念底下具有四大領域(APO, BAI, DSSMEA),而這四大領域共有32個流程。本研究將針對在風險辨識步驟之下所對ERP 系統環境下風險因子進行風險的分類, 採用COBIT 5 的流程參考模型的「管理」概念下所包含的四大領域作為分類之依據,分別為調整、規劃與組織(APO)、建立、取得與導入(BAI)、交付、服務與支援(DSS)、監控、評估與衡量(MEA),這四個領域所包含的32 個細項的流程(如表3)。本研究將管理下這四個關鍵領域作為ERP系統環境下風險因子的分類構面,而在針對風險回應與控制活動的處理動作,利用此四大關鍵領域所涵蓋的32 支流程之下的管理活動進行針對風險因子控制項目(目標) 的建立。
二、ERP系統風險管理雛型與發展
首先依過去風險因子(Risk Factor) 相關文獻整理與彙總出53項風險因子(如需參考,請向作者索取), 依照COBIT 5 的流程參考模型中「管理」概念所包含的四個領域(APO、BAI、DSS、MEA) 作為分類構面, 分別將53 項風險因子分類,例如風險因子:「4. 安全措施的效果不佳」,符合APO 領域下「擬定資訊環境架構」的概念,因此將此風險因子分類至「調整、規劃與組織(APO)」的構面,並給予此風險因子編號: 「APO.1 安全措施的效果不佳」,其餘風險因子的分類方式,依此概念進行( 如需參考,請向作者索取)。
第二步,探討此風險因子;如:「4. 安全措施的效果不佳」可能含括在COBIT 5的「管理」概念(APO、BAI、DSS 及MEA) 的32個流程中。舉例來說: 「4. 安全措施的效果不佳」本研究認為可能引起此風險所涉及的流程為:「APO01定義與管理IT 管理標準」與「DSS05確保系統安全」。
第三步,在COBIT 5的「Enabling Process」手冊中,為這32個流程之下訂定了195個控制目標,並詳細說明其控制活動內容及各控制目標的RACI表格(RACI Chart )。舉例來說:在APO的APO01流程之下,分別定了8個控制目標,分別為:(1)APO01.01定義的組織結構;(2)APO01.02建立角色和責任;(3) APO01.03維護管理系統的實現;(4)APO01.04溝通管理的目標和方向;(5)APO01.05最佳化的IT 運作的位置;(6)APO01.06定義資訊( 數據) 和系統的所有權; (7)APO01.07管理持續改進的過程;(8)APO01.08保持遵守政策和程序。
依照本風險因子「4. 安全措施的效果不佳」,與之相關流程為「APO01 定義與管理IT 管理標準」與「DSS05 確保系統安全」,因此,在APO01 流程下參考COBIT 5 標準,得出控制目標為APO01 之下的「APO01.08 保持遵守政策和程序」與DSS05 之下的「DSS05.02 管理網絡連接的安全性」、「DSS05.03 管理端點安全性」。因此得出在「4. 安全措施的效果不佳」風險之下的控制目標分別為:「APO01.08 保持遵守政策和程序」、「DSS05.02 管理網絡連接的安全性」與「DSS05.03 管理端點安全性」,本研究給予這三項控制目標編號:「APO.1.1 保持遵守政策和程序」、「APO.1.2 管理網絡連接的安全性」與「APO.1.3 管理端點安全性」。
第四步在確認此風險因子「4.安全措施的效果不佳」的分類構面以及得出相關之流程和流程的控制項目( 目標) 後,需找出在這些對應的控制目標下,針對組織內角色與職能給予適當的責任分配,因此,根據每一個控制項目的26 個角色與責任歸屬,可參照 COBIT 5: Enabling Processes。RACI 表格可以幫助企業組織,針對各個風險以及其可能導致風險發生的流程進行角色和職責的描述,但因每個組織的組織結構有所差異,相對地,組織內的角色或功能也有所差異。
COBIT 5 每個流程內的各項活動與分工團隊之角色與責任, 其回應動作分別以R、A、C、I 表示, RACI 為:
.承辦職責(Responsible):決定是誰完成這項任務的?(Who is getting the task done?)
.承擔責任(Accountable): 誰對任務的成功或失敗負責?(Who accounts for the success of the task?)
.被諮詢(Consulted): 誰提供輸入的?(Who is providing input?)
.被通知(Informed):誰接收這項資訊的?(Who is receiving information?)
26 個角色包括董事會(Board)、執行長(Chief Executive Officer, CEO)、財務長(Chief Financial Officer, CFO)、營運長(Chief Operating Officer, COO)、風險長(Chief Risk Officer, CRO)、資訊長(Chief Information Officer, CIO)、資訊安全長(Chief Information Security Officer, CISO)、業務高階主管(Business Executive)、業務流程擁有者(Business Process Owner)、策略執行委員會(Strategy Committee)、指導( 計劃/ 專案) 委員會(Steering Committee)、架構委員會(Architecture Board)、企業風險委員會(Enterprise Risk Committee)、人力資源主管(Head of HR)、遵循部(Compliance)、稽核室(Audit)、架構主管(Head of Architecture)、開發主管(Head of Development)、IT 營運主管(Head of IT Operation)、IT 管理主管(Head of IT Administration)、專案管理辦公室(Programme and Project Management Office)、價值管理中心(Value Management Office)、服務經理(Service Manager)、資訊安全經理(Information Security Manager)、營運持續經理(Business Continuity Manager)、隱私保護長(Privacy Officer)。
最後根據控制項目(目標) 的文獻來源, 參照COBIT 5: Enabling Processes 分別歸屬控制項目的26 個組織內角色和職能。著重在風險因子發生對應的流程與其控制項目( 目標);並根據控制項目(目標) 的文獻來源,也可參照COBIT 5:enabling processes 手冊, 了解其控制項目的26個組織內角色和職能歸屬。
重複以上步驗分別將附錄一經文獻探討所得53個風險因子,以COBIT 5 為基礎分析歸納影響流程及控制項目( 目標) 並重新編碼。附錄二為本文提出之COBIT 5 為基礎的ERP 系統風險管理機制之雛形,在APO 構面下包含20個風險因子、BAI 構面含18個風險因子、DSS 構面含9項風險因子與MEA 構面的6 項風險因子,共53項風險因子,其流程之控制目標共為136項。
『肆、結論』
資訊科技治理及管理的架構 - COBIT 5 為基礎,探討ERP 系統可能發生的風險因子、類別與特質,進一步評估各個風險對企業的影響及探討企業應該採取哪些方式來回應與控制風險,並提供管理者一個便利、迅速、正確的辨識、評估、回應與控制ERP系統風險管理的機制。從過去針對資訊科技風險管理的研究中,大多以探討風險因子與評量、分析風險作為研究目的,而本文與其差異之處在於提出應用於資訊科技/ 資訊系統的控制架構-COBIT 5,結合屬於資訊科技其中一部分的ERP 系統風險管理上, 期望藉由本研究幫助企業組織重視ERP 系統的風險管理,以快速的方式辨識出風險並進行回應與改善的動作,進而發揮整個風險管理效果,本文期待研究之結果可做為未來欲針對COBIT 架構之研究人員進行相關研究時的參考。未來研究方向應加強根據控制項目定義明確、完整的職能分配(RACI),相信更能達成對於風險因子的有效控制,使整個ERP 系統的風險管理程序更臻完善。
『參考文獻』
行政院研究發展考核委員會,2009,風險管理及危機處理作業手冊,http://www.rdec.gov.tw/ct.asp?xIt em=3854955&CtNode=12944&mp=100, 搜尋日期: 2011 年7 月31 日。
林寶珠與王敏馨,2003,21 世紀的企業風險管理制度,會計研究月刊,第210 期:51~58。
吳靜君,2012,大紀元汰換硬碟資料外洩兆豐銀遭罰, http://www.epochtimes.com/b5/12/5/31/ n3601884.htm ,搜尋日期:2013 年8 月1 日。
李宗黎、林蕙真,2008,審計新論,台北:證業出版股份有限公司。
黃于珊,2012,惡魔藏在細節中個資外洩的四大漏洞,網路資訊雜誌,249 期8 月號,http://news. networkmagazine.com.tw/magazine/2012/08/14/42204/ ,搜尋日期:2013 年8 月1 日。
葉長齡,2005,企業風險管理,台北:松德國際企業管理顧問有限公司。
張益紳與徐潔茹,2011,走出經濟低盪時代的省思 - 員工舞弊風險管控,電腦稽核期刊,第23 期: 156-165。
張碩毅與吳承志,2008,企業資源規劃系統建置與管理,台北:碁峰資訊。
張碩毅、黃士銘、阮金聲、洪育忠與洪新原,2006,企業資源規劃,台北:全華科技圖書股份有限公司。
詹順吉,2007,資訊循環內部控制制度建構之研究-以企業資源規劃系統為例,國立中正大學會計與資訊科技學系研究所碩士論文。
顏真真,2009,兆豐產險違反內控制度 金管會開罰240萬、經理人解職,http://www.nownews. com/2009/12/10/91-2544840.htm#ixzz2ek11gUOw , 搜尋日期:2013 年8 月1 日。
鄧家駒,2005,風險管理,台北:華泰文化事業股份有限公司。
鄭燦堂,2012,風險管理:理論與實務,台北: 五南圖書出版股份有限公司。