ERP应用过程中的风险控制

    很多企业在ERP上线后，就开始开香槟庆贺了。其实系统上线不是既定收益实现的时候，它只是获得ERP投资收益过程的开始。优化的成本结构、对客户的快速响应以及更有效率的业务流程是在系统使用过程中逐步实现，并最终反映在我们的财务报表上的。在这个过程中，由于ERP系统本身的技术特点，也存在一些未知的风险。
　　在ERP系统产生以前，企业内部的业务系统基本上是基于业务职能部门建立，通常有销售、采购、库存管理和财务系统。这些系统的开发和使用都是独立于其它业务部门的，系统有些完全与其他业务部门的系统独立，有些通过接口与其它系统进行数据交换。
　　ERP系统的设计是以业务流程为核心和关注点，通过业务流程将各业务部门的功能整合起来。ERP系统优化了业务流程和提高效率的同时，业务流程的改变也改变了整个业务的其它方面，比如说内部控制。传统的文档审计线索消失了，对业务信息的访问的群体比以前更广了，任何主数据的改变将对整个业务产生影响。
　　相对于传统内部控制系统而言，这些新问题的出现，使得基于ERP系统的业务流程的控制体系需要得到相应的改变。

　　单点失效风险的控制

　　在过去的企业业务处理系统环境中，某一系统出现故障或数据丢失对其它业务系统的影响是比较有限的，因为各个系统之间相对来说是独立的。在ERP系统环境中，如果碰到类似的问题就不那么轻松了。笔者曾经在国内某实施ERP系统相对全面和成功的企业中发现，该公司专门为ERP系统成立了一个应急小组，任何系统出现细微的故障，都必须在24小时内解决。这么做的原因很简单，任何一点的系统故障将殃及整个集团的业务运作和管理。
　　在实施了ERP系统后，企业的运作管理就转变为网上实时管理，任何系统的不正常将直接导致业务运行出现混乱。举个例子，某食品分销商使用了ERP系统，内部效率提高几十倍。他们的产品代理商使用手持式输入系统作现场定单录入，定单信息实时传入公司后台ERP系统。一次，定单录入系统出现故障，代理商通过人工输入定单信息，由于缺乏经验造成数据差错，这个信息被实时传送到后端ERP库存系统。对于定单的差错，仓库人员由于对系统的陌生，没有及时发现并采取措施，形成发货错误而导致相应的库存信息不准确，接着影响到财务、生产等部门的统计和决策。
　　对于这类在ERP系统使用过程中最显著的风险，我们可以采用何种方式加以化解呢？
　　由于这类风险是由ERP系统本身的特点造成的，是固有的、不可能根本杜绝的。降低这类风险的关键是企业具有完整和全面的业务连续性管理计划。所谓业务连续性管理计划是指当系统出现问题后，能够有这样一套程序确保业务继续运行，同时为系统的恢复获得时间。
　　企业的业务连续性管理计划对那些实施了ERP系统，或者其业务对目前运行的系统依赖性非常强的企业非常重要，必须对此要做全面认识和规划。ERP有四个特征可能会对业务连续性规划产生影响，它们是：

　　* 大型、集成数据库；
　　* 功能模块较多，涉及较多的企业业务流程；
　　* 所有的模块都在物理上和逻辑上相互关联，需要同一时间对它们进行恢复处理；
　　* ERP同时会影响到与企业直接有系统关联的供应商和其它第三方的业务系统。

　　同时，对于ERP这样的实时业务系统还需要相应的在线实时监控以确保在严重问题发生以前或对其它业务产生影响前能够得到及时处理。

　　系统访问风险及其控制

　　由于ERP系统将所有大量的业务应用功能集成在一个系统环境之下，ERP用户就可能有更多的机会访问其它与之不相关的信息。虽然，ERP系统中都有权限控制的功能，但这并不能完全保证信息的保密性和完整性。另外，通过无线或远程登录ERP系统在这两年已开始推广，它们在一定程度上进一步增加了访问系统的机会。伴随着这些访问机率和途径的增加，对数据的准确性控制难度和各类恶意攻击将对系统构成威胁都将加大。
　　纵观目前市场上的ERP系统，几乎都具备不同程度的安全控制功能。例如在某ERP系统中，就有大量的安全参数设置，包括用户密码、入侵锁定、超级用户访问等等。为了确保万无一失，有些ERP系统还通过插件的方式获得更强的安全控制。除了技术手段外，企业还应该制定面向企业级的安全策略，用户的访问权限应该基于这个安全策略来定义，而不仅仅是基于业务需求的考虑。在实践中，对于访问风险控制我们可以考虑下面一些因素：

　　* 访问权限的定义和访问权限的使用应由不同的人员来执行；
　　* 权限应局限于用户的工作需要或根据用户在业务流程中的角色来定义，并符合企业级安全策略的要求；
　　* 权限的定义还要根据风险控制和成本效益平衡的原则，也就是说，消除用户某个权限后，规避的风险和可能付出的代价是否是合理的。

　　数据质量风险及其控制

　　许多实施了ERP系统的企业中流传这样一句话，如果数据的准确性、完整性不能保证，那么ERP系统的使用是没有任何意义的，“进去的是垃圾，出来的肯定也是垃圾”。ERP系统中，数据的录入一般有两种方式，一种是人工键入，另一种是通过数据录入装置，例如条形码扫描。对于后一种方式，数据录入的差错风险较小，但人工键入的方式差错率就比较高。虽然，ERP系统中可以设置一些参数来对错误数据进行报警，但无法根本上解决这类问题。
　　实验中，我们发现，对于系统弹出的警告，系统用户在经历多次后会变得麻木，甚至完全忽略。实践证明，建立完善的输入控制机制是有效化解这方面风险的手段。一方面，要加强人员的培训和增加控制点。例如，数据输入后，由另外一个人进行核对并确认。这种方式采用得比较普遍。但由于这种校对受到员工责任心、情绪和工作环境等因素影响，往往控制效果不是非常显著。因此，我们常常需要采取另外一些手段。这些手段是从“人机工程学”的角度来考虑，例如，原始凭证的设计和布局符合人们日常阅读的习惯，关键的数据采用加粗，键盘的设计有利于录入操作等等。

　　小结

　　企业信息化过程中，ERP系统的实施和应用是一个重要的方面。对于准备信息化的企业，无论是使用ERP系统还是选用CRM系统或其他商业应用系统，无论是属于制造业还是服务业，都将面临业务流程越来越依靠信息系统来实现这样一个趋势。从辩证的角度来看，任何事物总存在正反两方面的因素。通过对ERP系统风险的讨论，希望大家对企业信息化过程中信息技术可能给我们所带来的负面影响，特别是业务方面的影响有个初步的认识。
　　本次有关ERP系统风险管理的讲座只是起个抛砖引玉的作用。信息系统风险及其伴随的商业风险管理，在国内无论是研究还是实践都处于一个起步阶段，而在信息技术发达的国家已经成为一个非常受企业关注的领域，相应的风险分析手段和控制方法非常丰富。针对项目管理风险和系统使用风险控制的手段和方法，在以后的有关风险管理的专题中我们将进一步探讨。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：ERP应用过程中的风险控制

本文网址：http://www.toberp.com/html/consultation/1081983413.html