劉 霞（副教授），任驛佳

一、引言

2018年李克強總理在政府工作報告中7次提及“互聯(lián)網(wǎng)+”信息技術(shù)已廣泛融入企業(yè)管理與運營中，是我國經(jīng)濟轉(zhuǎn)型升級的強勁動力。在這一背景下，對信息技術(shù)的投資已成為企業(yè)提升競爭力不可或缺的方式，其中財務共享服務中心（Financial Shared Service Center，F(xiàn)SSC）是當前企業(yè)最重要的IT投資方式之一。2015年安永華明會計師事務所調(diào)查顯示，已建立財務共享服務中心的企業(yè)中，五年前建立的占比22%，近五年內(nèi)建立的占比78%，說明財務共享服務中心在我國的發(fā)展速度驚人。如何控制財務共享服務中心的風險，在時間、成本、質(zhì)量等方面實現(xiàn)組織目標，是項目團隊與高管層面臨的最大挑戰(zhàn)。本文的研究目的在于針對財務共享服務中心面臨的風險，建立風險管理機制，從而協(xié)助企業(yè)構(gòu)建全面的信息安全系統(tǒng)。

Van Grembergen等[1]指出，信息治理可視為公司治理的一部分，是通過建立一套合理的機制，規(guī)范組織信息流程與管理框架，協(xié)助企業(yè)達到信息戰(zhàn)略整合與提升價值等目的。為了處理更加深入和廣泛的信息技術(shù)問題，國際信息系統(tǒng)審計與控制協(xié)會（ISACA）于2012年發(fā)布了《信息及相關(guān)技術(shù)控制目標》（Control Objectives for Information and Related Technology）第五版（COBIT 5）。COBIT 5能夠確保組織的政策、計劃、程序和結(jié)構(gòu)設(shè)計實現(xiàn)業(yè)務目標，并防止、檢查或改正非預期的事件[2]，也是企業(yè)進行IT風險管理的框架[3]。COBIT 5已成為美國網(wǎng)絡(luò)安全新框架的核心[4]，是國際上公認的最先進、最權(quán)威的安全與信息技術(shù)管理和控制標準[5]。目前，我國對COBIT的研究以借鑒為主[6]，對于COBIT理論應用于信息系統(tǒng)的研究不夠深入，尚未有一套完整的信息系統(tǒng)控制規(guī)范。因此，本文基于COBIT 5，分析和討論財務共享服務中心的風險管理系統(tǒng)，識別和評估風險因子，探討可供管理層選擇的風險應對策略，以幫助企業(yè)建立與實施系統(tǒng)、完善的風險管理機制。

本文的貢獻在于：首先，對COBIT 5進行了深入研究，將COBIT 5的條款從文字介紹落實到風險管理流程，真正落實到實處，為我國企業(yè)信息系統(tǒng)的實施積累經(jīng)驗。其次，擴展了財務共享服務中心的研究范圍，目前對財務共享服務中心的研究多集中在概念探討和現(xiàn)狀分析上，本文通過構(gòu)建財務共享服務中心風險管理框架，分析財務共享服務中心從上線到日常運作的整個過程，辨別和管理影響其上線和運作的風險因子。最后，擴展了風險管理研究范圍，當前已有研究主要是針對基于COBIT 5的會計控制系統(tǒng)，研究范圍集中于日常會計核算和監(jiān)督，而本文研究范圍從會計控制擴展到風險管理，拓展了風險管理中信息技術(shù)的運用范圍。

二、文獻綜述

（一）風險管理程序

美國反虛假財務報告全國委員會的發(fā)起組織委員會（COSO）在2014年發(fā)布了《企業(yè)風險管理整合框架》（COSO-ERM），并于2017年進行了修訂。修訂后的COSO-ERM將“風險”定義為事項發(fā)生并影響戰(zhàn)略和業(yè)務目標實現(xiàn)的可能性。所有組織中都存在風險，風險管理的最大挑戰(zhàn)是將風險控制在組織偏好的范圍之內(nèi)。近幾年許多風險管理機制應運而生，如 PMI 2001、SAFE Methodology、Risk Diag?nosing Methodology，這些都是經(jīng)典的循環(huán)性風險管理機制[7]。財務共享服務中心的風險管理程序可總結(jié)為風險識別、風險評估、風險應對、監(jiān)督與修正。

在財務共享服務中心導入前的選擇、導入后的運作和管控的整個過程中，存在的風險包括：系統(tǒng)選擇不當、項目團隊能力不足、高管層參與度不高、主要使用者參與度低、缺乏訓練與指導、不當?shù)钠髽I(yè)流程再造、缺乏管理性的指引、無效的項目管理技術(shù)、不當?shù)淖兏锕芾?、缺乏咨詢服務、系統(tǒng)供貨商的穩(wěn)定性不佳與戰(zhàn)略規(guī)劃不合理。財務共享服務中心串聯(lián)整個企業(yè)功能，疏于風險管理，很可能會導致企業(yè)巨額虧損。因此，財務共享服務中心的風險管理是保證整個企業(yè)順利營運的關(guān)鍵要素之一。

（二）風險管理標準與規(guī)范

當前與風險管理相關(guān)的標準及規(guī)范主要包括：COSO-ERM、《風險管理——原則與實施指導準則》（ISO/IEC 31000）、《信息技術(shù)——安全技術(shù)——信息安全管理體系——要求》（ISO/IEC 27001）與《信息技術(shù)——安全技術(shù)——信息安全風險管理》（ISO/IEC 27005）和COBIT 5。COSO-ERM是一個關(guān)于風險管理的高層級的概念框架，主要用于組織治理層面，對于IT控制目標和相關(guān)活動沒有詳細的標準。COBIT 5彌補了這一缺陷，其中不但包括組織治理、業(yè)務流程等，還列示了IT管理四大領(lǐng)域的詳細流程[3]。ISO/IEC 27001與ISO/IEC 27005強調(diào)IT管理的具體內(nèi)容，對IT治理沒有涉及。ISO/IEC 31000雖然制定了IT治理的流程，但在IT管理方面僅側(cè)重于調(diào)整、規(guī)劃與組織流程。綜上所述，COSO-ERM的原則性較高，COBIT 5不但彌補了COSO-ERM所欠缺的詳細流程，還補充和強化了ISO/IEC系列標準的內(nèi)容。

（三）IT控制與IT治理

企業(yè)應建立較為健全的IT內(nèi)部控制，以防止舞弊、檢查錯誤，降低企業(yè)IT風險及其未來可能造成的損失。采用IT技術(shù)可以提升企業(yè)內(nèi)部控制質(zhì)量[8]，IT內(nèi)部控制框架與標準可以幫助企業(yè)適應環(huán)境的變化[9]。COSO在2013年更新了內(nèi)部控制整合框架，其中一項重要原則便是“針對信息技術(shù)，組織應選擇并執(zhí)行一般控制活動以支持其目標的實現(xiàn)”。COBIT是一個國際公認的在IT管理和控制方面的權(quán)威標準，明確了為實現(xiàn)企業(yè)控制目標，IT程序如何傳遞信息[10][11]。管理層可以運用COBIT框架進行財務報表審計，以評估其IT內(nèi)部控制的有效性[12]。因此本文認為，通過IT控制能夠?qū)崿F(xiàn)財務共享服務中心風險管理的目的。

IT治理是通過開發(fā)和維護一個有效的IT控制與責任機制管理績效和風險，確保信息系統(tǒng)的實施戰(zhàn)略與企業(yè)戰(zhàn)略得以銜接，實現(xiàn)企業(yè)價值最大化。在IT治理與公司治理同時有效運作的情況下可以強化企業(yè)管理者的責任[13]。Bin-Abbas等[14]提出了50項IT治理的控制要素，幫助組織發(fā)現(xiàn)IT治理的優(yōu)勢和弱點，找到未來治理的發(fā)展方向。IT治理研究所（ITGI）指出，COBIT是唯一能夠提供IT治理的管理框架，能夠支持IT目標的實現(xiàn)，確保IT定位準確，提高IT效率效果。ISACA認為COBIT是以IT程序、IT領(lǐng)域、信息準則和IT資源為基礎(chǔ)的流程控制理論。COBIT已成為組織執(zhí)行IT控制的重要參考框架[12]。因此本文認為，基于COBIT建立財務共享服務中心風險管理機制不但可行，而且對于探討適合我國企業(yè)的IT控制具有重要意義。

三、研究設(shè)計與方法

首先，通過梳理文獻，整理歸納出財務共享服務中心風險管理因子，構(gòu)建基于COBIT 5的財務共享服務中心風險管理初步模型。本文整理的文獻主要包括：Jan 等[15]、Knol等[16]、Huang等[17]、Marijin等[18]、Martin[19]、Owens[20]、Spears等[21]、何瑛等[22]、張瑞君等[23]以及王光遠等[24]。通過對這些文獻進行整理，提煉出53項財務共享服務中心風險管理因子。

其次，采用德爾菲專家問卷法檢驗由文獻歸納出的財務共享服務中心風險管理機制是否合理，并取得專家們的一致意見。德爾菲專家問卷調(diào)查法是根據(jù)專家的專業(yè)知識、經(jīng)驗及意見，經(jīng)由多回合的問卷發(fā)放與反饋，獲取專家對某一議題的共識的一種研究方法[25][26]。本文聘請了14位從事財務共享服務中心風險管理理論研究的專家和實務工作者，經(jīng)過以下六個步驟獲取專家意見：①成立專家小組；②設(shè)計問卷；③發(fā)放問卷給專家小組；④針對專家問卷進行分析歸納；⑤若各問項未滿足一致性，則重新發(fā)放問卷；⑥總結(jié)與報告。

最后，采用案例研究法確認所構(gòu)建財務共享服務中心風險管理機制的有效性。本文以某公司為研究對象，對其總經(jīng)理、副總經(jīng)理、信息部主管（CIO）、財務共享服務中心負責人或相關(guān)主管、負責執(zhí)行財務共享服務中心的項目成員進行深度訪談。通過在案例企業(yè)現(xiàn)場收集企業(yè)實際運作的數(shù)據(jù)，并輔之以企業(yè)所在行業(yè)相關(guān)的研究報告、數(shù)據(jù)等資料，進行分析和整理，歸納總結(jié)出相關(guān)研究結(jié)論。

四、構(gòu)建財務共享服務中心風險管理機制

（一）確認財務共享服務中心的風險管理因子

COBIT 5將IT管理領(lǐng)域分為四個層面：①協(xié)調(diào)、計劃與組織（APO），包括13項控制流程；②建立、獲取與實施（BAI），包括10項控制流程；③交付、服務與支持（DSS），包括6項控制流程；④監(jiān)督、評估與評價（MEA），包括3項控制流程，具體如表1所示。根據(jù)這四個層面的特點，將53項風險因子進行分類。下面以“安全措施的效果不佳”風險因子為例進行分析：

表1 COBIT 5中IT管理領(lǐng)域四個層面的控制流程

第一步，“安全措施的效果不佳”這一風險因子符合APO層面“擬定信息環(huán)境框架”的內(nèi)涵，因此，將該風險因子劃分為APO層面，并進行編號“Risk_APO.1安全措施的效果不佳”。

第二步，分析風險因子“安全措施的效果不佳”包括在哪些流程中。專家們針對該風險因子進行討論，認為涵蓋風險因子Risk_APO.1的流程包括“Pro_APO01界定與管理IT管理標準”和“Pro_DSS05確保系統(tǒng)安全”。

第三步，COBIT 5中為上述四個層面的32項控制流程確定了195個控制措施，如在Pro_APO01流程中，對應控制措施有8個：①定義組織結(jié)構(gòu)；②建立角色和責任；③維護管理系統(tǒng)的實現(xiàn)；④溝通管理的目標和方向；⑤優(yōu)化IT運作的位置；⑥界定信息（數(shù)據(jù)）和系統(tǒng)的所有權(quán)；⑦持續(xù)改進管理的過程；⑧持續(xù)遵守政策和程序。與Risk_APO.1相關(guān)的控制流程為Pro_APO01、Pro_DSS05，專家們討論認為相應的控制措施為“持續(xù)遵守政策和程序”（對應流程為Pro_APO01），“管理網(wǎng)絡(luò)連接的安全性”和“管理端點安全性”（對應流程為Pro_DSS05）。據(jù)此，本文將這三項控制措施分別編號為“Obj_APO.1.1持續(xù)遵守政策和程序”、“Obj_APO.1.2管理網(wǎng)絡(luò)連接的安全性”和“Obj_APO.1.3管理端點安全性”。

第四步，根據(jù)所確定的控制流程與控制措施，參考COBIT 5中列示的26個角色和職能，針對組織內(nèi)角色與職能給予適當?shù)呢熑畏峙洹?/p>

重復以上步驟，找出其余52項風險因子對應的控制流程、控制措施，并明確對應的角色和職能，最終建立基于COBIT 5的財務共享服務中心風險管理機制初步模型。該模型在APO層面包含20個風險因子（如表2所示）、BAI層面包含18個風險因子（如表3所示）、DSS層面包含9個風險因子（如表4所示）、MEA層面包含6個風險因子（如表5所示），共53個風險因子，對應的具體控制措施為136項。

（二）采用德爾菲法修正研究模型

本研究在建立風險管理機制初步模型后，通過發(fā)放德爾菲問卷的方式，取得理論界與實務界專家的意見與共識，并進行模型修正。德爾菲法能夠通過多回合的問卷調(diào)查整理出一致的意見，且其匿名性可以克服面對面討論或開會的局限性，讓專家們在互不影響的狀況下提出合適的意見。

德爾菲法要求進行反復詢問，直至專家們達成共識為止，目的是通過專家們的不斷討論，取得較為完善的解決方案。本文運用了兩輪德爾菲專家問卷，第一輪是由專家來決定問項歸類是否正確且適合作為財務共享服務中心的風險因子，第二輪是針對第一輪中專家意見分歧部分達成共識，再次確認所構(gòu)建的財務共享服務中心風險管理機制。兩輪問卷均以電子郵件的方式發(fā)放和回收，問卷回收后采用CVR值檢驗內(nèi)容效度[27]，采用四分位差檢驗專家意見離散程度[28]。

專家小組成員既包括財務共享服務中心領(lǐng)域和風險管理領(lǐng)域的咨詢顧問，也包括高校中從事財務共享服務中心和風險管理研究的學者。專家小組的成員為15人左右最佳[25]，本文選取14名專家，其中在企業(yè)及政府信息技術(shù)相關(guān)部門任職的有6人，在會計師事務所或管理咨詢公司任職的有6人，在高校任職的有2人。這14名專家的任職時間均值為11年。

1.第一輪問卷。第一輪問卷的實施自2017年4月8日開始，5月3日完成所有問卷的收回。問卷設(shè)計以邏輯判斷為主，并留有空白處使專家能充分表達意見。第一輪問卷結(jié)果的檢驗分為三步完成：

①檢驗問卷內(nèi)容的信度和效度，根據(jù)問卷填答結(jié)果計算CVR值。根據(jù)Lawshe[27]的研究，當調(diào)研人數(shù)為14人時，CVR的最小值為0.51。結(jié)果顯示，除“Risk_APO.3故意的行為”CVR值小于0.51之外，其余風險因子的CVR值均大于0.51。說明專家對財務共享服務中心環(huán)境下的風險因子歸類至COBIT 5中IT領(lǐng)域管理四個層面的恰當程度表示高度認同。

②確認所選項目是否適合作為財務共享服務中心的風險因子，四分位差大于0.6或標準差大于1，則表示未達到一致性[28]。結(jié)果顯示，四分位差大于0.6的控制措施包括Obj_APO.3.2、Obj_APO.3.3、Obj_APO.4.2、Obj_APO.10.1、Obj_APO.10.2、Obj_APO.13.1、Obj_APO.15.1、Obj_BAI.2.1、Obj_BAI.6.2、 Obj_BAI.7.2、 Obj_BAI.11.3、Obj_BAI.14.1、Obj_DSS.3.2，標準差大于1的控制措 施 包 括 Obj_APO.10.2、Obj_APO.12.2、Obj_APO.15.1、Obj_APO.15.2、Obj_APO.19.2、Obj_DSS.4.1、Obj_MEA.1.1，共計18項控制措施未達到一致性。這18項控制措施需要在第二輪問卷中進一步討論。

③請專家在空白處填寫意見，這些意見也將在第二輪問卷中進行討論。

2.第二輪問卷。第二輪共發(fā)出14份問卷，全部收回。根據(jù)專家意見對風險因子進行了修正，修正結(jié)果詳見表2～表5。針對在第一輪中未達到內(nèi)容效度的項目“Risk_APO.3故意的行為”，第二輪專家意見一致認為其不適合作為風險因子，予以刪除。第二輪結(jié)果顯示，修正后的風險因子“操作系統(tǒng)的瑕疵影響財務共享服務中心系統(tǒng)運作”的CVR值為0.43，低于最低標準，說明其不適合作為風險因子，予以刪除。最終剩余52項風險因子，且有些風險因子進行了重分類，如：Risk_APO.17重分類至BAI層面，Risk_BAI.2、Risk_BAI.9、Risk_BAI.12、Risk_DSS.2、Risk_DSS.3均重分類至APO層面。

在第二輪德爾菲問卷中針對風險因子所對應的控制措施進行一致性檢驗，對于四分位差大于0.6或標準差大于1的控制措施按照專家意見進行了修正，處理后的結(jié)果如下：①Obj_APO.15.2修訂為“需要基于企業(yè)文化建立一個有利于創(chuàng)新的環(huán)境”；②Obj_APO.19.1與Obj_APO.19.2兩項控制措施修訂為一項“規(guī)劃時考慮資源的分配并定期識別和記錄資產(chǎn)”；③Obj_APO.10.2修訂為“從企業(yè)流程再造的角度了解企業(yè)未來的發(fā)展方向”；④Obj_BAI.18.1與Obj_BAI.18.2兩項控制措施修訂為一項“持續(xù)追蹤新舊系統(tǒng)整合時變革的狀態(tài)”。被刪除的風險因子Risk_APO.3對應有4項控制措施，另有4項控制措施修正為兩項，最終剩余130項控制措施。

修正后的財務共享服務中心風險管理機制模型滿足效度與一致性要求。因此，本文通過兩輪的德爾菲問卷，構(gòu)建的基于COBIT 5的財務共享服務中心風險管理機制已得到專家的一致認同，涵蓋IT管理領(lǐng)域的四個層面、52項風險因子、130項控制措施（詳見表2～表5）。

表2 風險管理機制模型——APO層面

續(xù)表2

續(xù)表2

表3 風險管理機制模型——BAI層面

續(xù)表3

續(xù)表3

表4 風險管理機制模型——DSS層面

續(xù)表4

表5 風險管理機制模型——MEA層面

五、風險管理機制的有效性驗證

本文以某汽車制造公司作為研究對象，通過結(jié)構(gòu)化訪談驗證所構(gòu)建的風險管理機制的有效性。首先了解案例公司實施財務共享服務中心的情況，以及在實施過程中所遇到的困難和挑戰(zhàn)；然后分析案例公司試用所構(gòu)建的財務共享服務中心風險管理機制；最后與案例公司相關(guān)人員進行溝通，評估風險管理機制在財務共享服務中心風險管理中的有效性、不足之處與需要加強的部分。

（一）案例公司簡介

案例公司是國內(nèi)一家大型汽車制造企業(yè)，下屬控股子公司30余家，擁有員工54000余人。公司產(chǎn)品主要針對國內(nèi)消費者，同時也積極拓展海外市場，海外銷售已初見成效。公司的信息系統(tǒng)配置為SAP系統(tǒng)，包含三大模塊：配銷模塊、制造模塊及財務模塊。配銷模塊包括庫存管理、采購管理、訂單出貨管理等功能；制造模塊包括產(chǎn)品結(jié)構(gòu)管理、工單管理、物料需求規(guī)劃、產(chǎn)能需求規(guī)劃、生產(chǎn)規(guī)劃以及成本管理等功能；財務模塊包括總賬、應收賬款、應付賬款、現(xiàn)金管理、固定資產(chǎn)等功能。

表6 案例公司財務共享服務中心在IT管理領(lǐng)域各層面可能發(fā)生的風險

（二）結(jié)構(gòu)化訪談實施情況

本文以結(jié)構(gòu)化訪談的方式驗證所構(gòu)建的風險管理機制的有效性，訪談過程中用錄音記錄完整的訪談內(nèi)容。訪談對象為公司的副總經(jīng)理與IT管理部負責人，他們均為公司財務共享服務中心的項目組成員或負責人。訪談后不足的資料，以電子郵件和電話的方式進一步補充，用文字整理出訪談記錄。

案例公司將財務共享服務中心的運行分為導入與維護兩個階段。在導入階段，采用單獨項目實施的方式進行，項目主管明確項目的時間、成本、目標與范圍；在維護階段，公司進行正常維護，年底確定需要進行后續(xù)調(diào)整的部分。表6按照COBIT 5中IT管理領(lǐng)域的四個層面總結(jié)了案例公司可能發(fā)生的風險。

（三）應對財務共享服務中心風險的控制措施

案例公司應對財務共享服務中心風險的控制措施主要包括導入前的規(guī)范與導入后的管理，具體措施如表7所示。

表7 案例公司應對風險的控制措施

案例公司在財務共享服務中心系統(tǒng)導入后，采用以下四個步驟進行風險管理：風險發(fā)現(xiàn)、比較、追蹤和監(jiān)管。首先，由財務共享服務中心項目小組提出財務共享服務中心面臨的風險，并提出解決方案；其次，將財務共享服務中心小組提出的風險與風險項目表進行比較，將與風險項目表不對應的風險項目直接列入表內(nèi)或修改原有風險項目表，擴大其涵蓋范圍；再次，由財務共享服務中心項目小組追蹤識別出風險；最后，將風險管理結(jié)果與進度向管理層報告。風險管理結(jié)果通常包括移除非風險項目、改變風險管控模式以及增加新項目。

受訪者針對財務共享服務中心的風險管理程序進行了補充說明：①導入前，會針對系統(tǒng)權(quán)限制定相關(guān)的風險管理計劃；②導入后，會針對實際運作中發(fā)生的異常，執(zhí)行改善程序；③年度總結(jié)中，會重新分析當前風險。

（四）財務共享服務中心風險管理機制有效性評估

訪談前請受訪者審閱并使用所構(gòu)建的基于COBIT 5的財務共享服務中心風險管理機制，根據(jù)執(zhí)行結(jié)果評價其有效性。本文按照財務共享服務中心風險管理的四個步驟（風險識別、風險評估、風險應對、監(jiān)督與修正）進行結(jié)構(gòu)化訪談。

1.風險識別。針對模型中列示的52項風險因子，請訪談人員識別這些風險在公司中是否曾經(jīng)發(fā)生或可能發(fā)生。訪談結(jié)果顯示，APO層面有23項風險因子可能發(fā)生，其中有16項（16/23≈70%）一定會發(fā)生；BAI層面有16項風險因子可能發(fā)生，其中有8項（50%）一定會發(fā)生；DSS層面有7項風險因子可能發(fā)生，其中有6項（86%）一定會發(fā)生；MEA層面有6項風險因子可能發(fā)生，其中有2項一定會發(fā)生（33%）?？傊?，受訪者認為，在IT管理領(lǐng)域四個層面的52項風險因子中有32項（62%）一定會發(fā)生，說明本文構(gòu)建的風險管理機制在風險識別階段是有效的。

2.風險評估。Hughes等[29]認為風險因子本身無法識別風險，需要通過風險評估才能找到重要的風險。因此，訪談中邀請受訪者按照影響程度的高、中、低不同等級評估四個層面的風險因子。評估結(jié)果顯示，APO層面有5項風險因子被評為影響程度高，BAI層面有2項風險因子被評為影響程度高，DSS層面有1項風險因子被評為影響程度高，MEA層面有1項風險因子被評為影響程度高。影響程度高的風險因子有9項，影響程度中等的風險因子有13項，影響程度低的風險因子有10項，可選擇優(yōu)先處理影響程度高的風險因子。

3.風險應對。針對9項影響程度高的風險因子，列出受訪者認為控制效果“好”和“中”的控制措施（如表8所示），這些措施便是公司在遇到影響程度高的風險因子時，可優(yōu)先采取的應對措施。

在監(jiān)督與修正方面，目前公司進行的財務共享服務中心的風險管理，分為導入前的規(guī)范和導入后針對異常情況的管理。受訪者表示，本文所構(gòu)建的風險管理機制的效用在于能清晰地評價風險因子的重要程度，明確列示出所對應的控制措施，使得財務共享服務中心導入時可以迅速評估風險、制訂周詳?shù)娘L險應對計劃。因此，對案例公司相關(guān)人員的訪談印證了所構(gòu)建的財務共享服務中心風險管理機制的有效性。

六、結(jié)論

本文以COBIT 5為基礎(chǔ)構(gòu)建了一個便于企業(yè)識別、評估、應對與控制財務共享服務中心風險的風險管理機制，并分析財務共享服務中心的風險因子的類型與特征，評估各項風險因子的影響，討論可采取的方式和措施以應對風險。

表8 影響程度高的風險因子與對應的控制措施

本文由文獻歸納總結(jié)財務共享服務中心風險因子，運用德爾菲專家問卷法進一步補充完善，并根據(jù)COBIT 5的規(guī)范提煉出相應的控制措施，最終提出涵蓋IT管理4個層面的52項風險因子，以及應對這些風險因子的130項控制措施。本文還運用案例企業(yè)結(jié)構(gòu)化訪談的方法驗證了所提出的風險管理機制的有效性。

本文與現(xiàn)有研究的差異在于，基于信息技術(shù)控制目標（COBIT 5），結(jié)合財務共享服務中心風險管理的特點建立風險管理機制，方便企業(yè)快速識別風險，采取措施積極響應與改善缺陷，充分發(fā)揮其風險管理效果。隨著技術(shù)的不斷進步，本文所構(gòu)建的風險管理機制無法涵蓋所有未來可能發(fā)生的風險，這既是本文研究的局限也是未來研究的方向。