很多企業在ERP上線后，就開始開香檳慶賀了。其實系統上線不是既定收益實現的時候，它只是獲得ERP投資收益過程的開始。優化的成本結構、對客戶的快速響應以及更有效率的業務流程是在系統使用過程中逐步實現，并最終反映在我們的財務報表上的。在這個過程中，由于ERP系統本身的技術特點，也存在一些未知的風險。
　　在ERP系統產生以前，企業內部的業務系統基本上是基于業務職能部門建立，通常有銷售、采購、庫存管理和財務系統。這些系統的開發和使用都是獨立于其它業務部門的，系統有些完全與其他業務部門的系統獨立，有些通過接口與其它系統進行數據交換。
　　ERP系統的設計是以業務流程為核心和關注點，通過業務流程將各業務部門的功能整合起來。ERP系統優化了業務流程和提高效率的同時，業務流程的改變也改變了整個業務的其它方面，比如說內部控制。傳統的文檔審計線索消失了，對業務信息的訪問的群體比以前更廣了，任何主數據的改變將對整個業務產生影響。
　　相對于傳統內部控制系統而言，這些新問題的出現，使得基于ERP系統的業務流程的控制體系需要得到相應的改變。

　　單點失效風險的控制

　　在過去的企業業務處理系統環境中，某一系統出現故障或數據丟失對其它業務系統的影響是比較有限的，因為各個系統之間相對來說是獨立的。在ERP系統環境中，如果碰到類似的問題就不那么輕松了。筆者曾經在國內某實施ERP系統相對全面和成功的企業中發現，該公司專門為ERP系統成立了一個應急小組，任何系統出現細微的故障，都必須在24小時內解決。這么做的原因很簡單，任何一點的系統故障將殃及整個集團的業務運作和管理。
　　在實施了ERP系統后，企業的運作管理就轉變為網上實時管理，任何系統的不正常將直接導致業務運行出現混亂。舉個例子，某食品分銷商使用了ERP系統，內部效率提高幾十倍。他們的產品代理商使用手持式輸入系統作現場定單錄入，定單信息實時傳入公司后臺ERP系統。一次，定單錄入系統出現故障，代理商通過人工輸入定單信息，由于缺乏經驗造成數據差錯，這個信息被實時傳送到后端ERP庫存系統。對于定單的差錯，倉庫人員由于對系統的陌生，沒有及時發現并采取措施，形成發貨錯誤而導致相應的庫存信息不準確，接著影響到財務、生產等部門的統計和決策。
　　對于這類在ERP系統使用過程中最顯著的風險，我們可以采用何種方式加以化解呢？
　　由于這類風險是由ERP系統本身的特點造成的，是固有的、不可能根本杜絕的。降低這類風險的關鍵是企業具有完整和全面的業務連續性管理計劃。所謂業務連續性管理計劃是指當系統出現問題后，能夠有這樣一套程序確保業務繼續運行，同時為系統的恢復獲得時間。
　　企業的業務連續性管理計劃對那些實施了ERP系統，或者其業務對目前運行的系統依賴性非常強的企業非常重要，必須對此要做全面認識和規劃。ERP有四個特征可能會對業務連續性規劃產生影響，它們是：

　　* 大型、集成數據庫；
　　* 功能模塊較多，涉及較多的企業業務流程；
　　* 所有的模塊都在物理上和邏輯上相互關聯，需要同一時間對它們進行恢復處理；
　　* ERP同時會影響到與企業直接有系統關聯的供應商和其它第三方的業務系統。

　　同時，對于ERP這樣的實時業務系統還需要相應的在線實時監控以確保在嚴重問題發生以前或對其它業務產生影響前能夠得到及時處理。

　　系統訪問風險及其控制

　　由于ERP系統將所有大量的業務應用功能集成在一個系統環境之下，ERP用戶就可能有更多的機會訪問其它與之不相關的信息。雖然，ERP系統中都有權限控制的功能，但這并不能完全保證信息的保密性和完整性。另外，通過無線或遠程登錄ERP系統在這兩年已開始推廣，它們在一定程度上進一步增加了訪問系統的機會。伴隨著這些訪問機率和途徑的增加，對數據的準確性控制難度和各類惡意攻擊將對系統構成威脅都將加大。
　　縱觀目前市場上的ERP系統，幾乎都具備不同程度的安全控制功能。例如在某ERP系統中，就有大量的安全參數設置，包括用戶密碼、入侵鎖定、超級用戶訪問等等。為了確保萬無一失，有些ERP系統還通過插件的方式獲得更強的安全控制。除了技術手段外，企業還應該制定面向企業級的安全策略，用戶的訪問權限應該基于這個安全策略來定義，而不僅僅是基于業務需求的考慮。在實踐中，對于訪問風險控制我們可以考慮下面一些因素：

　　* 訪問權限的定義和訪問權限的使用應由不同的人員來執行；
　　* 權限應局限于用戶的工作需要或根據用戶在業務流程中的角色來定義，并符合企業級安全策略的要求；
　　* 權限的定義還要根據風險控制和成本效益平衡的原則，也就是說，消除用戶某個權限后，規避的風險和可能付出的代價是否是合理的。

　　數據質量風險及其控制

　　許多實施了ERP系統的企業中流傳這樣一句話，如果數據的準確性、完整性不能保證，那么ERP系統的使用是沒有任何意義的，“進去的是垃圾，出來的肯定也是垃圾”。ERP系統中，數據的錄入一般有兩種方式，一種是人工鍵入，另一種是通過數據錄入裝置，例如條形碼掃描。對于后一種方式，數據錄入的差錯風險較小，但人工鍵入的方式差錯率就比較高。雖然，ERP系統中可以設置一些參數來對錯誤數據進行報警，但無法根本上解決這類問題。
　　實驗中，我們發現，對于系統彈出的警告，系統用戶在經歷多次后會變得麻木，甚至完全忽略。實踐證明，建立完善的輸入控制機制是有效化解這方面風險的手段。一方面，要加強人員的培訓和增加控制點。例如，數據輸入后，由另外一個人進行核對并確認。這種方式采用得比較普遍。但由于這種校對受到員工責任心、情緒和工作環境等因素影響，往往控制效果不是非常顯著。因此，我們常常需要采取另外一些手段。這些手段是從“人機工程學”的角度來考慮，例如，原始憑證的設計和布局符合人們日常閱讀的習慣，關鍵的數據采用加粗，鍵盤的設計有利于錄入操作等等。

　　小結

　　企業信息化過程中，ERP系統的實施和應用是一個重要的方面。對于準備信息化的企業，無論是使用ERP系統還是選用CRM系統或其他商業應用系統，無論是屬于制造業還是服務業，都將面臨業務流程越來越依靠信息系統來實現這樣一個趨勢。從辯證的角度來看，任何事物總存在正反兩方面的因素。通過對ERP系統風險的討論，希望大家對企業信息化過程中信息技術可能給我們所帶來的負面影響，特別是業務方面的影響有個初步的認識。
　　本次有關ERP系統風險管理的講座只是起個拋磚引玉的作用。信息系統風險及其伴隨的商業風險管理，在國內無論是研究還是實踐都處于一個起步階段，而在信息技術發達的國家已經成為一個非常受企業關注的領域，相應的風險分析手段和控制方法非常豐富。針對項目管理風險和系統使用風險控制的手段和方法，在以后的有關風險管理的專題中我們將進一步探討。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：ERP應用過程中的風險控制

本文網址：http://www.guhuozai8.cn/html/consultation/1081983413.html