ERP系統實施和應用的風險管理（三）(轉)

ERP系統實施和應用的風險管理（三）
有個農夫，看到自己田裡的青蛙太多了，怕莊稼受損害，就捉走了很多，可是過了幾天卻發現，莊稼全都枯萎了。明白的人都知道這是食物鏈的原因，青蛙沒有了，害蟲必然增多，莊稼自然枯萎。企業內部的資訊系統同樣也存在著這樣一條鎖鏈，既然是鏈，必然存在一個個緊密相連的環，這些環就是企業賴以生存的資料，一旦某一個環出現了問題，如果不得到及時的更正，勢必影響到其他環節，甚至造成連鎖反應。這是資訊系統的使用過程中最顯著的風險。

　　在第二篇中，我們重點討論了ERP系統實施中的一些風險和控制策略。由於ERP系統本身的技術特點，使得在使用中我們需要考慮一些與一般MIS不同的控制管理手段來化解ERP系統給我們帶來的業務風險。這一篇我們將從ERP使用的角度來闡述風險應對策略。

　　在ERP系統產生以前，企業內部的系統業務系統基本上是基於業務職能部門建立。通常會有銷售系統、採購系統、庫存管理系統和財務系統。這些系統的開發和使用都是獨立於其它業務部門。每個功能系統一般都有其獨立的應用系統或多個系統去實現相應的業務需求。這些系統有些完全與其他業務部門的系統獨立，有些通過介面與其它系統進行資料交換。這種模式常常導致資料交換上的遲滯、維護成本的增加和資料冗餘。在具有這樣特徵的業務應用系統環境中，企業對整個業務的控制一般還是以手工為主。以採購訂單為例，對於採購部門來說，採購定單一般在定單產生後先在採購部門獲得到批准。在供應商的發票到達財務部門後，需要重新從採購部門列印採購定單或從文件中調出並作為發票的附件在財務部門作付款的最終批准和實現付款。在整個付款過程中，採購單和付款審批需要多次確認。出現這樣的問題是因為傳統業務系統的設計和使用是以業務職能為關注點，造成資訊傳遞只能通過手工傳遞來完成。在ERP系統中，系統的設計是業務流程為核心和關注點，通過業務流程將各業務部門的功能整合起來，提供線上和實時的資訊整合系統來支援端到端的業務流程從而實現企業物流、資金流和資訊流的三流合一，充分優化企業資源的利用。但是，在使用了ERP系統優化了業務流程和提高效率的同時，業務流程的改變也改變了整個業務的其它方面，比如說內部控制。傳統的文件審計線索消失了，對業務資訊的訪問的群體比以前更廣了，任何主資料的改變將對整個業務產生影響。相對於傳統內部控制系統而言，這些新問題的出現使得基於ERP系統的業務流程的控制體系就需要得到相應的改變。顯然，ERP系統也好，其他商業系統也好，它們的使用將改變原來企業的內部風險特徵。

　　單點失效風險及其控制

　　在過去的企業業務處理系統環境中，某一系統出現的故障或資料丟失對其它業務系統的影響是比較有限的，因為各個系統之間相對來說是獨立的。系統出現的故障允許我們在幾天內通過其它應急措施或手工得以彌補，有較充裕的時間使系統恢復正常。在ERP系統環境中，如果碰到類似的問題就不那麼輕鬆了。我曾經在某國內實施ERP系統最全面和最成功的企業中發現，該公司專門為ERP系統成立了一個應急小組，任何系統出現細微的故障，都必須在24小時內解決，原因很簡單，任何一點的系統故障將殃及整個集團的業務運作和管理。在實施了ERP系統後，企業的運作管理就轉變為網上實時管理，任何系統的不正常將直接導致業務執行出現混亂。舉個例子，某食品分銷商使用了ERP系統，內部效率提高几十倍。他們的產品代理使用手持式輸入系統作現場定單錄入，定單資訊實時傳入公司後臺ERP系統。有一次，定單錄入系統出現故障，代理商通過人工輸入定單資訊，由於缺乏經驗造成資料差錯，定單資訊不準確。這個資訊被實時傳送到後端ERP庫存系統。對於定單的差錯，倉庫人員由於對系統的陌生，沒有及時發現並採取措施，形成發貨錯誤而導致相應的庫存資訊不準確影響到財務、生產等部門的統計和決策。對於這類在ERP系統使用過程中最顯著的風險，我們可以採用何種方式加以化解呢？

　　由於這類風險ERP系統本身的特點造成的，是固有的，不可能根本性的消除它們。降低這類風險的關鍵是企業具有完整和全面的業務連續性管理計劃。所謂業務連續性管理計劃是指當系統出現問題後，能夠有這樣一套程式確保業務繼續執行同時為系統的恢復獲得時間。調查表明，許多企業在沒有實施ERP系統以前都沒有業務連續性管理計劃。企業的業務連續性管理計劃對那些實施了ERP系統或者其業務對目前執行的系統依賴性非常強的企業非常重要，必須對此要做全面認識和規劃。ERP有四個特徵可能會對業務連續性規劃產生影響，它們是：

　　大型、整合資料庫

　　功能模組較多，涉及較多的企業業務流程

　　所有的模組都在物理上和邏輯上相互關聯，需要同一時間對它們進行恢復處理

　　ERP同時會影響到與企業直接有系統關聯的供應商和其它第三方的業務系統

　　同時，對於ERP這樣的實時業務系統還需要相應的線上實時監控以確保在嚴重問題發生以前或對其它業務產生影響前能夠得到及時處理。

　　系統訪問風險及其控制

　　系統安全目前正逐步引起企業的重視。由於ERP系統將所有大量的業務應用功能整合在一個系統環境之下，ERP使用者就可能有更多的機會訪問其它與之不相關的資訊。雖然，ERP系統中都有許可權控制的功 能，但這並不能完全保證資訊的保密性和完整性。另外，通過無線或遠端登入ERP系統在這兩年已開始推廣，它們在一定程度上進一步增加了訪問系統的機會。伴隨著這些訪問機率和途徑的增加，對資料的準確性控制和各類惡意攻擊將對系統構成威脅。

　　縱觀目前市場上的ERP系統，幾乎都具備不同程度的安全控制功能。例如在SAP R/3系統中，大量的安全引數設定包括使用者密碼、入侵鎖定、超級使用者訪問等等。為了確保萬無一失，有些ERP系統還通過外掛的方式獲得更強的安全控制。除了技術手段外，企業還應該制定面向企業級的安全策略，使用者的訪問許可權應該基於這個安全策略來定義而不僅僅是基於業務需求的考慮。在實踐中，對與訪問風險控制我們可以考慮下面一些因素：

　　訪問許可權的定義和訪問許可權的使用應由不同的人員來執行

　　許可權應侷限於使用者的工作需要或根據使用者在業務流程中的角色來定義並符合企業級安全策略的要求

　　許可權的定義還要根據風險控制和成本效益平衡的原則，也就是說消除使用者獲得某個訪問許可權後對系統可能造成的風險所付出的代價是否是經濟合理的 資料質量風險及其控制

　　由於ERP系統使用一個資料庫，這就對資料完整性提出了要求。許多實施了ERP系統的企業中流傳這樣一句話，如果資料的準確性、完整性不能保證，那麼ERP系統的使用是沒有任何意義的，“進去的是垃圾，出來的肯定也是垃圾”。ERP系統中，資料的錄入一般有兩種方式，一種是人工鍵入，另一種是通過資料錄入裝置，例如條形碼掃描。對於後一種方式，資料錄入的差錯風險較小，但人工鍵入的方式，差錯率就比較高。雖然，ERP系統中可以設定一些引數來對錯誤資料進行報警，但無法根本上解決這類問題。實驗中，我們發現，對於系統彈出的警告，系統使用者在經歷多次後會變得麻木，甚至被忽略，從而失去效果。實踐證明，建立完善的輸入控制機制是有效化解這方面風險的手段。一方面，加強人員的培訓和增加控制點的方式。例如，資料輸入後，由另外一個人進行核對並確認。這種方式採用得比較普遍，但由於這種校對受到員工責任心、情緒和工作環境等因素影響，往往這類控制效果不是非常顯著，我們常常需要從採取另外一些手段。這些手段是從“人機工程學”的角度來考慮。例如，原始憑證的設計和佈局符合人們日常閱讀的習慣，關鍵的資料採用加粗，鍵盤的設計有利於錄入操作等等。

　　企業資訊化過程中，ERP系統的實施和應用是一個重要的方面。對於準備資訊化的企業，無論是使用ERP系統還是選用客戶關係管理系統(CRM)或其他商業應用系統，無論是屬於製造業還是服務業，都將面臨業務流程越來越依靠資訊系統來實現這樣一個趨勢。從辯證的角度來看，任何事物總存在正反兩方面的因素。通過對ERP系統風險的討論，希望大家對企業資訊化過程中資訊科技可能給我們所帶來的負面影響特別是業務方面的影響有個初步的認識。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/7942439/viewspace-20667/，如需轉載，請註明出處，否則將追究法律責任。