ERP系統(tǒng)剛上線時(shí),系統(tǒng)內(nèi)的權(quán)限管理往往并不引起重視。大家關(guān)注更多的是系統(tǒng)能否順暢運(yùn)行、數(shù)據(jù)是否準(zhǔn)確,財(cái)務(wù)帳是否能對(duì)得上等等。事實(shí)上,此時(shí)為了確保系統(tǒng)迅速轉(zhuǎn)起來(lái),給很多用戶的權(quán)限往往是放大的。幾個(gè)月后,隨著ERP系統(tǒng)的運(yùn)行漸漸趨于平穩(wěn),系統(tǒng)內(nèi)部的權(quán)限管理問(wèn)題就慢慢突顯出來(lái)了。具體表現(xiàn)在以下幾個(gè)方面:
·沒(méi)有一個(gè)清晰的授權(quán)原則,不能確切的說(shuō)明為何授權(quán)或?yàn)楹尾皇跈?quán)
隨著ERP系統(tǒng)運(yùn)行越來(lái)越順暢,使用者漸漸感受到了系統(tǒng)所帶來(lái)的價(jià)值,于是大家便會(huì)要求給自已開(kāi)通更多的功能。對(duì)于系統(tǒng)權(quán)限管理人員來(lái)說(shuō),面對(duì)大量增加權(quán)限的申請(qǐng),究竟是開(kāi)通還是不開(kāi)通,似乎并不能找到一個(gè)清晰的標(biāo)準(zhǔn)。于是,請(qǐng)部門主管審批便成了一個(gè)最為有效的解決方案。只要相關(guān)的部門主管認(rèn)可,IT部門即予開(kāi)通。然而,這僅僅是從管理職責(zé)上解決了誰(shuí)負(fù)責(zé)的問(wèn)題,并未解決權(quán)限管理的本質(zhì)問(wèn)題。即開(kāi)通一個(gè)權(quán)限或不開(kāi)通一個(gè)權(quán)限,是由某一個(gè)人來(lái)判斷有無(wú)必要(不管此人是申請(qǐng)者、權(quán)限管理員還是部門主管),還是由某一管理規(guī)則來(lái)決定。從規(guī)范化、科學(xué)化和精細(xì)化管理的角度來(lái)說(shuō),當(dāng)然應(yīng)該是后者;從風(fēng)險(xiǎn)控制的角度來(lái)說(shuō),就更應(yīng)該是后者了。
事實(shí)上,隨著ERP這樣大集成的系統(tǒng)逐漸被采用,企業(yè)運(yùn)營(yíng)信息的加工和傳遞效率確實(shí)被極大提高了。但是,任何事務(wù)都有兩面性,在這種情況下,如果授權(quán)不當(dāng),企業(yè)運(yùn)營(yíng)信息的風(fēng)險(xiǎn)也大大提高了。這種風(fēng)險(xiǎn)主要包括兩個(gè)方面,一是讓更多原本沒(méi)有必要了解這些信息的員工可隨時(shí)掌握這些信息,大大增加了泄密的可能性;二是讓原本沒(méi)有必要操作或加工這些信息的員工擁有了這些權(quán)力,增加了管理的失控的可能。
因此,對(duì)于實(shí)施了ERP系統(tǒng)的企業(yè)來(lái)說(shuō),應(yīng)建立一套基于業(yè)務(wù)活動(dòng)的ERP系統(tǒng)權(quán)限管理體系。對(duì)于某一位員工來(lái)說(shuō),究竟應(yīng)該擁有什么樣的權(quán)限,取決于其在企業(yè)業(yè)務(wù)流程體系內(nèi)所承擔(dān)的角色及從事的活動(dòng)!皹I(yè)務(wù)活動(dòng)驅(qū)動(dòng)”應(yīng)是判斷一個(gè)員工是否擁有某一權(quán)力的重要原則!皹I(yè)務(wù)活動(dòng)”的整理可以通過(guò)Excel 表的形式來(lái)實(shí)現(xiàn),但是事實(shí)證明,這樣的技術(shù)手段很難保證“業(yè)務(wù)活動(dòng)”梳理的全面性和準(zhǔn)確性,維護(hù)起來(lái)也較為困難。建立一套基于業(yè)務(wù)流程的“業(yè)務(wù)活動(dòng)”模型,是一種較為先進(jìn)的技術(shù)手段。
·系統(tǒng)權(quán)限有被逐漸放大甚至失控的危險(xiǎn)
ERP系統(tǒng)內(nèi)的權(quán)限管理是以“角色”這一概念展開(kāi)的,一個(gè)“角色”上分配了體現(xiàn)權(quán)力的一組功能及體現(xiàn)限制的授權(quán)條件。舉一個(gè)極端的例子,如果在ERP系統(tǒng)中給每一位員工建立一個(gè)角色,并且此角色只分配給一個(gè)員工,那么某一角色內(nèi)的某一個(gè)權(quán)限的變動(dòng)也就不會(huì)對(duì)他人的權(quán)限產(chǎn)生任何影響。但是,一般企業(yè)都不會(huì)這樣做,因?yàn)槿绻麊T工數(shù)量一多,ERP系統(tǒng)中的角色體系就會(huì)過(guò)于龐雜。而且,一個(gè)角色與另一角色之間的差異可能很小,這會(huì)導(dǎo)致數(shù)據(jù)的冗余變得很大。一般的做法是在ERP中建立一套通用角色、復(fù)合角色和單一角色所構(gòu)成的角色體系來(lái)對(duì)用戶進(jìn)行授權(quán)。也就是說(shuō),一個(gè)ERP系統(tǒng)角色可能會(huì)分配給多個(gè)用戶,此時(shí)因?yàn)槟硞(gè)人的需求而改動(dòng)某一角色內(nèi)的權(quán)限就可能會(huì)影響到此角色所對(duì)應(yīng)的其他用戶的權(quán)限。即此角色所對(duì)應(yīng)的所有用戶都會(huì)同時(shí)增大或減少權(quán)限。鑒于這種情況,某一用戶申請(qǐng)?jiān)黾訖?quán)限時(shí),還應(yīng)告之審批者其在ERP系統(tǒng)中所對(duì)應(yīng)的角色,以及此角色所關(guān)聯(lián)的其他用戶,從而使得行使審批權(quán)的主管能夠決定是否給這些相關(guān)聯(lián)的其他用戶同時(shí)增加此權(quán)限。事實(shí)上,很少有企業(yè)能做到這一點(diǎn)。通常的做法是,某用戶申請(qǐng)開(kāi)通某一權(quán)限,主管確認(rèn)后,系統(tǒng)管理員就在此用戶對(duì)應(yīng)的角色上憑經(jīng)驗(yàn)選一個(gè)角色,直接加入此功能。這樣,與此角色相關(guān)聯(lián)的其他用戶也就自動(dòng)開(kāi)通了此功能。一般來(lái)說(shuō),給用戶增加權(quán)限是不會(huì)被用戶投訴的。久而久之,權(quán)限就被逐漸放大了。
要避免上述情況發(fā)生,需要有一套模型化的“流程活動(dòng)驅(qū)動(dòng)“的權(quán)限管理體系,通過(guò)模型內(nèi)各要素相互關(guān)聯(lián)的特點(diǎn),將上述信息全面、自動(dòng)、準(zhǔn)確的提供給審批人員和權(quán)限維護(hù)人員,而不是靠人工通過(guò)Excel 表加系統(tǒng)查詢的方式來(lái)進(jìn)行上述權(quán)限審批和調(diào)整工作。
·職責(zé)分離體系不能被有效建立和執(zhí)行
企業(yè)的權(quán)限管理不僅僅是決定誰(shuí)有權(quán)做什么,而且還應(yīng)體現(xiàn)權(quán)力間的相互制約關(guān)系。比如“裁判員”同時(shí)不能做“運(yùn)動(dòng)員”是最為著名的權(quán)力制約關(guān)系。體現(xiàn)在企業(yè)管理上,也有眾多制約關(guān)系需要在權(quán)限管理中加以考慮。比如,一般來(lái)說(shuō),進(jìn)行“客戶信用管理”的人不能同時(shí)擁有“客戶訂單維護(hù)的”功能。本來(lái),信用管理就是對(duì)于銷售訂單的一種管控,如果要與信用等級(jí)較差的客戶簽訂合同,按規(guī)定可能需要經(jīng)過(guò)一系列較為嚴(yán)格的評(píng)估和審批。本來(lái)信息化系統(tǒng)的優(yōu)勢(shì)就是可以及時(shí)共享信息并自動(dòng)加以鎖定,杜絕未經(jīng)審批而直接給信用等級(jí)較差的客戶下訂單的情況。但是,如果給同一個(gè)員工同時(shí)授予“客戶信用管理”和“客戶訂單維護(hù)”的功能,那么此員工就可以直接將某一客戶的信用從“較差”改為“良好”,從而避開(kāi)系統(tǒng)的自動(dòng)鎖定而直接給此客戶下單。這樣的授權(quán)就是典型意義上違背了“職責(zé)分離”的原則案例。
類似的“職責(zé)分離”原則是很多的,比如在系統(tǒng)內(nèi)“維護(hù)價(jià)格清單”的人,不應(yīng)同時(shí)擁有在ERP中“簽訂客戶訂單”的權(quán)限。有“庫(kù)存出入庫(kù)”操作權(quán)限的人,不應(yīng)擁有“錄入盤點(diǎn)結(jié)果”的操作功能!坝袖浫氡P點(diǎn)結(jié)果”功能的人,不應(yīng)具有“會(huì)計(jì)核算”的功能,等等。當(dāng)然,這些規(guī)則有時(shí)也不是絕對(duì)的,企業(yè)可以根據(jù)自身的情況加以調(diào)整,有的企業(yè)不允許的,另一個(gè)企業(yè)可能就允許這樣授權(quán)。也就是說(shuō),“職責(zé)分離”的粗細(xì),取決于企業(yè)內(nèi)外部風(fēng)險(xiǎn)管控的需要,并沒(méi)有一個(gè)絕對(duì)的標(biāo)準(zhǔn)。但是,不管怎樣,每個(gè)企業(yè)都應(yīng)建立一套“職責(zé)分離”的規(guī)則體系,然后根據(jù)自身管理需求的發(fā)展加以調(diào)整。
總之,“職責(zé)分離”原則是“業(yè)務(wù)活動(dòng)驅(qū)動(dòng)”之外,另一個(gè)分析系統(tǒng)授權(quán)是否合理的重要原則。這類規(guī)則的建立和有效執(zhí)行,是建立風(fēng)險(xiǎn)控制體系的基礎(chǔ),也是一個(gè)企業(yè)管理科學(xué)化和精細(xì)化的體現(xiàn)。但是,在大多數(shù)ERP系統(tǒng)的權(quán)限管理中,這套“職責(zé)分離”原則是基于Excel 表來(lái)設(shè)計(jì),同時(shí)又靠人工在系統(tǒng)中加以維護(hù)的。理論上,某員工申請(qǐng)?jiān)黾幽骋还δ軙r(shí),系統(tǒng)管理員應(yīng)查明此員工申請(qǐng)開(kāi)通的功能與其現(xiàn)有功能之間是否存在違背“職責(zé)分離”原則的問(wèn)題。但是,由于某員工在ERP系統(tǒng)中可能同時(shí)對(duì)應(yīng)幾個(gè)角色,因此系統(tǒng)管理員的工作就演變成先查明某員工目前所對(duì)應(yīng)的所有角色,細(xì)列出此角色對(duì)應(yīng)的所有功能,然后再一一核對(duì)每一個(gè)功能與申請(qǐng)開(kāi)通的新功能之間是否有違背“職責(zé)分離”原則的問(wèn)題,最后將檢查的結(jié)果通報(bào)給進(jìn)行審批的主管,供其決策參考。如果,我們將問(wèn)題再說(shuō)得復(fù)雜一點(diǎn),申請(qǐng)開(kāi)通此新功能的員工所對(duì)應(yīng)的ERP系統(tǒng)角色可能同時(shí)賦于了其他員工,因此還要考慮其他員工是否可能因?yàn)橥瑫r(shí)增加了此新功能,也存在違背“職責(zé)分離”原則的問(wèn)題。這樣一來(lái),系統(tǒng)管理員的工作就顯得很繁復(fù)了。事實(shí)上,這樣的操作是很難被真正有效地執(zhí)行的。久而久之,“職責(zé)分離”原則在企業(yè)的權(quán)限管理方面只是名義上存在而已了。
要避免上述情況發(fā)生,就需要在模型化的“流程活動(dòng)驅(qū)動(dòng)”的權(quán)限管理體系的基礎(chǔ)上,再建立一套模型化的“職責(zé)分離體系”,這兩套體系模型是相互關(guān)聯(lián)的,并且能全面、自動(dòng)、準(zhǔn)確對(duì)授權(quán)體系模型進(jìn)行核查,并出具相關(guān)的警示報(bào)告,從而解決“職責(zé)分離體系”落地的操作性問(wèn)題。
·業(yè)務(wù)藍(lán)圖與實(shí)際系統(tǒng)“兩張皮”的現(xiàn)象愈來(lái)愈嚴(yán)重
ERP實(shí)施過(guò)程中所繪制的業(yè)務(wù)流程藍(lán)圖與實(shí)際上線后系統(tǒng)內(nèi)運(yùn)行的業(yè)務(wù)流程往往并不一致。這就好比在設(shè)計(jì)一間屋子時(shí)屋內(nèi)有一間屋,但當(dāng)屋子造完住戶入住時(shí)卻突然發(fā)現(xiàn)里面有了兩間屋了,更要命的是誰(shuí)也講不出為什么。比如,根據(jù)業(yè)務(wù)藍(lán)圖進(jìn)行系統(tǒng)實(shí)現(xiàn)時(shí),如果發(fā)現(xiàn)需要對(duì)藍(lán)圖流程進(jìn)行修正,大家往往會(huì)直接在系統(tǒng)中修改功能,并將此功能的權(quán)限賦于相關(guān)人員,但并不會(huì)同步修正業(yè)務(wù)藍(lán)圖。另外,當(dāng)ERP系統(tǒng)上線后,企業(yè)的管理人員也會(huì)根據(jù)業(yè)務(wù)的變化來(lái)修改流程。這種修改也往往直接在系統(tǒng)中進(jìn)行,沒(méi)有人會(huì)去修改當(dāng)初的設(shè)計(jì)稿。久而久之,ERP中的真實(shí)流程就成了誰(shuí)成講不清楚的黑箱了。這種“黑箱”情況對(duì)于系統(tǒng)的運(yùn)維管理、企業(yè)的內(nèi)控和風(fēng)險(xiǎn)管理及整體管理體系的建立和維護(hù)都會(huì)造成極大的影響。
事實(shí)上,ERP系統(tǒng)主要是由功能和數(shù)據(jù)兩部分組成。要解決上述問(wèn)題,系統(tǒng)權(quán)限管理和數(shù)據(jù)管理將是關(guān)鍵所在。如果能完全基于“業(yè)務(wù)活動(dòng)驅(qū)動(dòng)”和“職責(zé)分離”這兩大模型進(jìn)行系統(tǒng)的權(quán)限管理,同時(shí),“數(shù)據(jù)管理”流程也能被有效執(zhí)行,那么就能確保業(yè)務(wù)藍(lán)圖與ERP系統(tǒng)的一致性,從而有效避免“兩張皮”的問(wèn)題。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:模型化的ERP系統(tǒng)權(quán)限管理
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1082063230.html