很多企業(yè)在ERP上線后,就開始開香檳慶賀了。其實(shí)系統(tǒng)上線不是既定收益實(shí)現(xiàn)的時(shí)候,它只是獲得ERP投資收益過程的開始。優(yōu)化的成本結(jié)構(gòu)、對(duì)客戶的快速響應(yīng)以及更有效率的業(yè)務(wù)流程是在系統(tǒng)使用過程中逐步實(shí)現(xiàn),并最終反映在我們的財(cái)務(wù)報(bào)表上的。在這個(gè)過程中,由于ERP系統(tǒng)本身的技術(shù)特點(diǎn),也存在一些未知的風(fēng)險(xiǎn)。
在ERP系統(tǒng)產(chǎn)生以前,企業(yè)內(nèi)部的業(yè)務(wù)系統(tǒng)基本上是基于業(yè)務(wù)職能部門建立,通常有銷售、采購、庫存管理和財(cái)務(wù)系統(tǒng)。這些系統(tǒng)的開發(fā)和使用都是獨(dú)立于其它業(yè)務(wù)部門的,系統(tǒng)有些完全與其他業(yè)務(wù)部門的系統(tǒng)獨(dú)立,有些通過接口與其它系統(tǒng)進(jìn)行數(shù)據(jù)交換。
ERP系統(tǒng)的設(shè)計(jì)是以業(yè)務(wù)流程為核心和關(guān)注點(diǎn),通過業(yè)務(wù)流程將各業(yè)務(wù)部門的功能整合起來。ERP系統(tǒng)優(yōu)化了業(yè)務(wù)流程和提高效率的同時(shí),業(yè)務(wù)流程的改變也改變了整個(gè)業(yè)務(wù)的其它方面,比如說內(nèi)部控制。傳統(tǒng)的文檔審計(jì)線索消失了,對(duì)業(yè)務(wù)信息的訪問的群體比以前更廣了,任何主數(shù)據(jù)的改變將對(duì)整個(gè)業(yè)務(wù)產(chǎn)生影響。
相對(duì)于傳統(tǒng)內(nèi)部控制系統(tǒng)而言,這些新問題的出現(xiàn),使得基于ERP系統(tǒng)的業(yè)務(wù)流程的控制體系需要得到相應(yīng)的改變。
單點(diǎn)失效風(fēng)險(xiǎn)的控制
在過去的企業(yè)業(yè)務(wù)處理系統(tǒng)環(huán)境中,某一系統(tǒng)出現(xiàn)故障或數(shù)據(jù)丟失對(duì)其它業(yè)務(wù)系統(tǒng)的影響是比較有限的,因?yàn)楦鱾(gè)系統(tǒng)之間相對(duì)來說是獨(dú)立的。在ERP系統(tǒng)環(huán)境中,如果碰到類似的問題就不那么輕松了。筆者曾經(jīng)在國內(nèi)某實(shí)施ERP系統(tǒng)相對(duì)全面和成功的企業(yè)中發(fā)現(xiàn),該公司專門為ERP系統(tǒng)成立了一個(gè)應(yīng)急小組,任何系統(tǒng)出現(xiàn)細(xì)微的故障,都必須在24小時(shí)內(nèi)解決。這么做的原因很簡單,任何一點(diǎn)的系統(tǒng)故障將殃及整個(gè)集團(tuán)的業(yè)務(wù)運(yùn)作和管理。
在實(shí)施了ERP系統(tǒng)后,企業(yè)的運(yùn)作管理就轉(zhuǎn)變?yōu)榫W(wǎng)上實(shí)時(shí)管理,任何系統(tǒng)的不正常將直接導(dǎo)致業(yè)務(wù)運(yùn)行出現(xiàn)混亂。舉個(gè)例子,某食品分銷商使用了ERP系統(tǒng),內(nèi)部效率提高幾十倍。他們的產(chǎn)品代理商使用手持式輸入系統(tǒng)作現(xiàn)場定單錄入,定單信息實(shí)時(shí)傳入公司后臺(tái)ERP系統(tǒng)。一次,定單錄入系統(tǒng)出現(xiàn)故障,代理商通過人工輸入定單信息,由于缺乏經(jīng)驗(yàn)造成數(shù)據(jù)差錯(cuò),這個(gè)信息被實(shí)時(shí)傳送到后端ERP庫存系統(tǒng)。對(duì)于定單的差錯(cuò),倉庫人員由于對(duì)系統(tǒng)的陌生,沒有及時(shí)發(fā)現(xiàn)并采取措施,形成發(fā)貨錯(cuò)誤而導(dǎo)致相應(yīng)的庫存信息不準(zhǔn)確,接著影響到財(cái)務(wù)、生產(chǎn)等部門的統(tǒng)計(jì)和決策。
對(duì)于這類在ERP系統(tǒng)使用過程中最顯著的風(fēng)險(xiǎn),我們可以采用何種方式加以化解呢?
由于這類風(fēng)險(xiǎn)是由ERP系統(tǒng)本身的特點(diǎn)造成的,是固有的、不可能根本杜絕的。降低這類風(fēng)險(xiǎn)的關(guān)鍵是企業(yè)具有完整和全面的業(yè)務(wù)連續(xù)性管理計(jì)劃。所謂業(yè)務(wù)連續(xù)性管理計(jì)劃是指當(dāng)系統(tǒng)出現(xiàn)問題后,能夠有這樣一套程序確保業(yè)務(wù)繼續(xù)運(yùn)行,同時(shí)為系統(tǒng)的恢復(fù)獲得時(shí)間。
企業(yè)的業(yè)務(wù)連續(xù)性管理計(jì)劃對(duì)那些實(shí)施了ERP系統(tǒng),或者其業(yè)務(wù)對(duì)目前運(yùn)行的系統(tǒng)依賴性非常強(qiáng)的企業(yè)非常重要,必須對(duì)此要做全面認(rèn)識(shí)和規(guī)劃。ERP有四個(gè)特征可能會(huì)對(duì)業(yè)務(wù)連續(xù)性規(guī)劃產(chǎn)生影響,它們是:
* 大型、集成數(shù)據(jù)庫;
* 功能模塊較多,涉及較多的企業(yè)業(yè)務(wù)流程;
* 所有的模塊都在物理上和邏輯上相互關(guān)聯(lián),需要同一時(shí)間對(duì)它們進(jìn)行恢復(fù)處理;
* ERP同時(shí)會(huì)影響到與企業(yè)直接有系統(tǒng)關(guān)聯(lián)的供應(yīng)商和其它第三方的業(yè)務(wù)系統(tǒng)。
同時(shí),對(duì)于ERP這樣的實(shí)時(shí)業(yè)務(wù)系統(tǒng)還需要相應(yīng)的在線實(shí)時(shí)監(jiān)控以確保在嚴(yán)重問題發(fā)生以前或?qū)ζ渌鼧I(yè)務(wù)產(chǎn)生影響前能夠得到及時(shí)處理。
系統(tǒng)訪問風(fēng)險(xiǎn)及其控制
由于ERP系統(tǒng)將所有大量的業(yè)務(wù)應(yīng)用功能集成在一個(gè)系統(tǒng)環(huán)境之下,ERP用戶就可能有更多的機(jī)會(huì)訪問其它與之不相關(guān)的信息。雖然,ERP系統(tǒng)中都有權(quán)限控制的功能,但這并不能完全保證信息的保密性和完整性。另外,通過無線或遠(yuǎn)程登錄ERP系統(tǒng)在這兩年已開始推廣,它們?cè)谝欢ǔ潭壬线M(jìn)一步增加了訪問系統(tǒng)的機(jī)會(huì)。伴隨著這些訪問機(jī)率和途徑的增加,對(duì)數(shù)據(jù)的準(zhǔn)確性控制難度和各類惡意攻擊將對(duì)系統(tǒng)構(gòu)成威脅都將加大。
縱觀目前市場上的ERP系統(tǒng),幾乎都具備不同程度的安全控制功能。例如在某ERP系統(tǒng)中,就有大量的安全參數(shù)設(shè)置,包括用戶密碼、入侵鎖定、超級(jí)用戶訪問等等。為了確保萬無一失,有些ERP系統(tǒng)還通過插件的方式獲得更強(qiáng)的安全控制。除了技術(shù)手段外,企業(yè)還應(yīng)該制定面向企業(yè)級(jí)的安全策略,用戶的訪問權(quán)限應(yīng)該基于這個(gè)安全策略來定義,而不僅僅是基于業(yè)務(wù)需求的考慮。在實(shí)踐中,對(duì)于訪問風(fēng)險(xiǎn)控制我們可以考慮下面一些因素:
* 訪問權(quán)限的定義和訪問權(quán)限的使用應(yīng)由不同的人員來執(zhí)行;
* 權(quán)限應(yīng)局限于用戶的工作需要或根據(jù)用戶在業(yè)務(wù)流程中的角色來定義,并符合企業(yè)級(jí)安全策略的要求;
* 權(quán)限的定義還要根據(jù)風(fēng)險(xiǎn)控制和成本效益平衡的原則,也就是說,消除用戶某個(gè)權(quán)限后,規(guī)避的風(fēng)險(xiǎn)和可能付出的代價(jià)是否是合理的。
數(shù)據(jù)質(zhì)量風(fēng)險(xiǎn)及其控制
許多實(shí)施了ERP系統(tǒng)的企業(yè)中流傳這樣一句話,如果數(shù)據(jù)的準(zhǔn)確性、完整性不能保證,那么ERP系統(tǒng)的使用是沒有任何意義的,“進(jìn)去的是垃圾,出來的肯定也是垃圾”。ERP系統(tǒng)中,數(shù)據(jù)的錄入一般有兩種方式,一種是人工鍵入,另一種是通過數(shù)據(jù)錄入裝置,例如條形碼掃描。對(duì)于后一種方式,數(shù)據(jù)錄入的差錯(cuò)風(fēng)險(xiǎn)較小,但人工鍵入的方式差錯(cuò)率就比較高。雖然,ERP系統(tǒng)中可以設(shè)置一些參數(shù)來對(duì)錯(cuò)誤數(shù)據(jù)進(jìn)行報(bào)警,但無法根本上解決這類問題。
實(shí)驗(yàn)中,我們發(fā)現(xiàn),對(duì)于系統(tǒng)彈出的警告,系統(tǒng)用戶在經(jīng)歷多次后會(huì)變得麻木,甚至完全忽略。實(shí)踐證明,建立完善的輸入控制機(jī)制是有效化解這方面風(fēng)險(xiǎn)的手段。一方面,要加強(qiáng)人員的培訓(xùn)和增加控制點(diǎn)。例如,數(shù)據(jù)輸入后,由另外一個(gè)人進(jìn)行核對(duì)并確認(rèn)。這種方式采用得比較普遍。但由于這種校對(duì)受到員工責(zé)任心、情緒和工作環(huán)境等因素影響,往往控制效果不是非常顯著。因此,我們常常需要采取另外一些手段。這些手段是從“人機(jī)工程學(xué)”的角度來考慮,例如,原始憑證的設(shè)計(jì)和布局符合人們?nèi)粘i喿x的習(xí)慣,關(guān)鍵的數(shù)據(jù)采用加粗,鍵盤的設(shè)計(jì)有利于錄入操作等等。
小結(jié)
企業(yè)信息化過程中,ERP系統(tǒng)的實(shí)施和應(yīng)用是一個(gè)重要的方面。對(duì)于準(zhǔn)備信息化的企業(yè),無論是使用ERP系統(tǒng)還是選用CRM系統(tǒng)或其他商業(yè)應(yīng)用系統(tǒng),無論是屬于制造業(yè)還是服務(wù)業(yè),都將面臨業(yè)務(wù)流程越來越依靠信息系統(tǒng)來實(shí)現(xiàn)這樣一個(gè)趨勢(shì)。從辯證的角度來看,任何事物總存在正反兩方面的因素。通過對(duì)ERP系統(tǒng)風(fēng)險(xiǎn)的討論,希望大家對(duì)企業(yè)信息化過程中信息技術(shù)可能給我們所帶來的負(fù)面影響,特別是業(yè)務(wù)方面的影響有個(gè)初步的認(rèn)識(shí)。
本次有關(guān)ERP系統(tǒng)風(fēng)險(xiǎn)管理的講座只是起個(gè)拋磚引玉的作用。信息系統(tǒng)風(fēng)險(xiǎn)及其伴隨的商業(yè)風(fēng)險(xiǎn)管理,在國內(nèi)無論是研究還是實(shí)踐都處于一個(gè)起步階段,而在信息技術(shù)發(fā)達(dá)的國家已經(jīng)成為一個(gè)非常受企業(yè)關(guān)注的領(lǐng)域,相應(yīng)的風(fēng)險(xiǎn)分析手段和控制方法非常豐富。針對(duì)項(xiàng)目管理風(fēng)險(xiǎn)和系統(tǒng)使用風(fēng)險(xiǎn)控制的手段和方法,在以后的有關(guān)風(fēng)險(xiǎn)管理的專題中我們將進(jìn)一步探討。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:ERP應(yīng)用過程中的風(fēng)險(xiǎn)控制
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1081983413.html