ERP系统应用的风险意识和防范策略
汪莉莉 万方数据 编辑:
dezai 图片来源:网络
1 引言 ERP系统作为一项先进的管理工具,在企业资源优化配置的前提下,以业务流程为主线,对人、财、物等资源进行全面整合,以达到效率化经营的目标。现
1 引言
ERP系统作为一项先进的管理工具,在企业资源优化配置的前提下,以业务流程为主线,对人、财、物等资源进行全面整合,以达到效率化经营的目标。现已成为现代企业加强管理,提升竞争力的重要手段。然而,市场上各具特色的ERP系统导致许多盲目上线的企业,承受了灾难性的后果。因此,加强风险意识和防范ERP系统应用风险显得十分重要。
2 ERP系统的风险识别
结合企业开发和应用ERP系统的实践经验,可以将ERP系统风险归纳为四类:商业风险、控制风险、系统风险和安全风险。
2.1 商业风险
商业风险是指与企业经营有本质相关的、可能阻碍企业达到目标的风险,也是最重要的风险。ERP系统的商业风险主要表现在以下三个方面:
(1)项目开发和实施。项目目标不明确,定义不充分,是ERP失败的最重要原因之一。大多数企业错误的认为ERP实施工作是一项简单的信息化工程,然而事实并非如此。对项目的定义不明确,“胡子眉毛一把抓”,没有考虑项目目标、实施战略、系统架构、技术需求、成本等就盲目采纳ERP技术,结果是由IT技术来驱动ERP系统实施,从而导致失败。
(2)企业文化和再造。实施ERP是企业管理全方位的变革,正所谓“牵一发而动全身”。许多企业在没能充分认识到培植企业文化对实施ERP系统的重要性。ERP软件包括预制的商业流程,一定程度的企业流程再造是建立有效ERP系统的先决条件,高级管理层的支持是企业流程再造的重要条件。
(3)人员的因素。对员工的有效培训和使用者参与实施被认为ERP系统成功的最重要因素,用户参与不足、培训不充分则是系统的重要风险。ERP系统都是高度集成的,因此,任何一个错误,都将给企业带来巨大的风险。
2.2控制风险
控制风险是指ERP系统不能执行所设计的功能的风险。控制风险包括职责分离不足和运营无效。
(1)职责分离。职责分离是内部控制系统的重要组成部分,因此必须对应用系统的关系用户进行合理控制和管理,以实现用户授权适当和分工合理。在ERP系统中,由于流程是相互关联的循环过程,职责的正确分离可能是非常困难的,但缺乏必要的职责分离可能使潜在错误或欺诈产生灾难性的后果。
(2)运营无效。ERP系统的目标之一是提高运营的效率。但由于ERP系统中内控的存在,至少在实施的初始阶段,需经历一个磨合、适应的过程,使得效率大大降低。加上制度不配套、流程不畅、操作不熟练、用户不熟悉任务分配的职责等原因,最终导致运营无效。
2.3 系统风险
系统风险是指实施的系统并没有按设计发挥功能。系统控制点是由工程师和系统分析师设计的、由供应商决定的。加上公司IT人员缺乏ERP技术而过分依赖于ERP实施顾问,选择了错误的ERP系统都可能导致全部系统失败。
(1)ERP系统的错误选择。购置ERP系统要因企业而别,企业必须明确欲购置的ERP系统是否适合其本身的商业文化和业务流程。ERP市场竞争的激烈,导致供应商开发多样化的ERP系统,除了产品特性外,不同供应商的ERP系统的内部控制点也有很大的差别。选择了错误的ERP系统或者是出现供应商之间并购等情况都会带来不良后果。
(2)过分依赖实施顾问。由于ERP知识的缺乏,大部分企业将应用实施交由ERP顾问执行。但ERP顾问能力水平的高低和服务质量的好坏,对企业来说也是至关重要。
2.4 安全风险
安全风险是指未经授权进入设备、软件或者数据库的风险。安全控制可以分为两大类:物理控制和逻辑控制。物理控制把接近ERP终端或者设备的人限制于经授权的人员。逻辑控制包括利用密码、加密和防火墙,防止未经授权的人进入软件或者数据库。
实施ERP系统的主要目的之一是提高效率。当需要在安全控制和效率之间权衡时,管理层通常会选择效率优先。但是,缺乏安全控制的直接后果是系统在安全设计上存在着漏洞和缺陷。另外,由于业务往来,企业往往需要和与系统过程和控制相关的第三方伙伴相结合,所以,用户界面也会对企业的安全控制产生潜在的威胁。
3 ERP系统的风险防范
3.1 商业风险防范
明确项目目标和实施战略是成功开发ERP系统的先决条件和重要因素。ERP系统的技术设计和配置应当以实现企业的使命和目标为宗旨。一般来说,开发和实施一个ERP系统,管理层应当明确ERP系统对以下四个领域的影响:(1)对企业使命或目标的贡献;(2)经营业绩的变化;(3)ERP用户的满意度;(4)信息系统的适应性和可测性。
一个成功的ERP系统要求所有的功能领域应该涉及企业的文化定位或者说企业文化的变革。应当包含新技术革新,允许企业充分利用新技术的好处。另外,企业应当要求ERP供应商、咨询师和IT人员向高层管理者提供必要的技术信息。高级经理层应当掌握最基本的ERP及其对业务影响的知识。
不管什么类型的系统,管理层永远不能忽视人的因素,尤其是当ERP系统对企业整体经营产生普遍性影响的时候。在ERP环境下,提供足够的培训不仅包括事前、事中培训,事后培训也同样重要。部门之间协调和交流的好坏决定实施过程的工作质量和工作效率,用户参与定义ERP项目、ERP开发和系统转换也是实施成功非常重要的因素。所有员工都应当理解新业务流程模式、必需的作业、控制机制和业绩评价。管理层也应当考虑重新设计工作流程,尤其对那些压力大的功能性领域,
3.2 控制风险防范
针对ERP环境下的职责分离不足,在项目实施前,对内审部门和数据使用部门应当设置合理的授权作业。对那些被授权的用户,应当专人进行持续的监督现管理,以确保达到内部控制目标。内审人员为了获得对功能的理解和保证数据的机密性,应当进行风险的有效性测试。对发现的任何潜在风险,高级管理层和系统管理员应当采取所有必要的改正措施。
在ERP项目实施前,应有针对性做好与ERP未来应用方向一致的改革辅垫工作。既要重视合理的用户培训和开发阶段的用户参与等纵向推广,也要重视与非直接相关的综合、行政、人力等部门的横向沟通。培训项目不仅应当包括讲授使用新技术必要的技能,也应当确保用户完全理解流程再造对ERP系统成功的重要性。如果对流程再造的目的和重要性有较好的理解,用户对新技术的抵触情绪会降低。用户参与开发也是提高效率的关键要素。用户和IT人员之间建立起切实有效的沟通机制,能使得项目以用户为导向而非IT驱动的系统,ERP系统就会产生高效率。
3.3系统风险防范
ERP系统各具特色,选择一个合适的ERP系统也是极其困难的。当选择系统时,管理层需要从最宽泛的视野来进行评估,然后集中关注满足业务流程的特定应用。如果ERP系统还没有完全实施,但却不适应业务流程,必须考虑利用行业特定的附加系统或软件来支持企业自身的需要,以改进ERP系统。为了使企业免受由于并购而缺乏供应商的支持或者任何其他的原因而导致的不必要的经营中断,管理层不仅应当考虑ERP软件的功能性,也要把握供应商的财务、技术方面的优势与劣势,应当试图去评估供应商由于财务困难或者技术退步而导致的任何合并的可能。
当选择ERP顾问时,一定要了解他们的背景以确定他们的技术资格,ERP顾问的工作能力和经验决定实施过程的质量和成效。为了防止成本超标,管理层应当定义项目目标并在清晰定义的项目目标的基础上商谈服务内容。为了减少或者消除在实施阶段对ERP顾问的依赖,企业应当对IT人员进行广泛的培训。
3.4 安全风险防范
为了提高效率,管理层经常以牺牲安全控制为代价。安全控制不足可能不仅对运营效率而且对运营成本产生负面影响,企业应当在系统想要达到的效率水平和必要的安全控制方面加以权衡。管理层需要理解潜在的风险并选择能够提供最高水平保证防范风险的供应商。与防范控制风险一样,选择最合适的安全控制和界面设计的ERP系统是最关键的。另外 ,在将ERP系统与其他的外部实体的系统整合之前,管理层应当评估与其业务相关的交易方的安全系统,以确保未经授权的进入或交易输入企业系统。
4 结束语
对企业来说,ERP必须从系统工程的观点出发,对ERP系统的风险实施相关的防范措施是非常重要的。ERP系统要求企业再造或者改变其业务流程以适应一个高度集成的系统。改造过程中产生的任何潜在风险都可能导致严重后果。因此,管理层应认识到潜在风险和制定相关的防范措施,以确保ERP系统的成功实施,以达到效率最高。
本文作者:汪莉莉 来源:万方数据
CIO之家 www.ciozj.com 微信公众号:imciow
免责声明:本站转载此文章旨在分享信息,不代表对其内容的完全认同。文章来源已尽可能注明,若涉及版权问题,请及时与我们联系,我们将积极配合处理。同时,我们无法对文章内容的真实性、准确性及完整性进行完全保证,对于因文章内容而产生的任何后果,本账号不承担法律责任。转载仅出于传播目的,读者应自行对内容进行核实与判断。请谨慎参考文章信息,一切责任由读者自行承担。
延伸阅读