ERP应用过程中的风险控制.docxVIP

1

ERP应用过程中的风险控制

很多企业在ERP上线后，就开始开香槟庆贺了。其实系统上线不是既定收益实现的时候，它只是获得ERP投资收益过程的开始。在这个过程中，由于ERP系统本身的技术特点，必然存在一些未知的风险。

很多企业在ERP上线后，就开始开香槟庆贺了。其实系统上线不是既定收益实现的时候，它只是获得ERP投资收益过程的开始。优化的成本结构、对客户的快速响应以及更有效率的业务流程是在系统使用过程中逐步实现，并最终反映在我们的财务报表上的。在这个过程中，由于ERP系统本身的技术特点，也存在一些未知的风险。

在ERP系统产生以前，企业内部的业务系统基本上是基于业务职能部门建立，通常有销售、采购、库存管理和财务系统。这些系统的开发和使用都是独立于其他业务部门的，系统有些完全与其他业务部门的系统独立，有些通过接口与其他系统进行数据交换。

ERP系统的设计是以业务流程为核心和关注点，通过业务流程将各业务部门的功能整合起来。ERP系统优化了业务流程和提高效率的同时，业务流程的改变也改变了整个业务

2

的其他方面，比如说内部控制。传统的文档审计线索消失了，对业务信息的访问的群体比以前更广了，任何主数据的改变将对整个业务产生影响。

相对于传统内部控制系统而言，这些新问题的出现，使得基于ERP系统的业务流程的控制体系需要得到相应的改变。

单点失效风险的控制

在过去的企业业务处理系统环境中，某一系统出现故障或数据丢失对其他业务系统的影响是比较有限的，因为各个系统之间相对来说是独立的。在ERP系统环境中，如果碰到类似的问题就不那么轻松了。笔者曾经在国内某实施ERP系统相对全面和成功的企业中发现，该公司专门为ERP系统成立了一个应急小组，任何系统出现细微的故障，都必须在24小时内解决。这么做的原因很简单，任何一点的系统故障将殃及整个集团的业务运作和管理。

在实施了ERP系统后，企业的运作管理就转变为网上实时管理，任何系统的不正常将直接导致业务运行出现混乱。举个例子，某食品分销商使用了ERP系统，内部效率提高几

3

十倍。他们的产品代理商使用手持式输入系统作现场订单录入，订单信息实时传入公司后台ERP系统。一次，订单录入系统出现故障，代理商通过人工输入订单信息，由于缺乏经验造成数据差错，这个信息被实时传送到后端ERP库存系统。对于订单的差错，仓库人员由于对系统的陌生，没有及时发现并采取措施，形成发货错误而导致相应的库存信息不准确，接着影响到财务、生产等部门的统计和决策。

对于这类在ERP系统使用过程中最显著的风险，我们可以采用何种方式加以化解呢？

由于这类风险是由ERP系统本身的特点造成的，是固有的、不可能根本杜绝的。降低这类风险的关键是企业具有完整和全面的业务连续性管理计划。所谓业务连续性管理计划是指当系统出现问题后，能够有这样一套程序确保业务继续运行，同时为系统的恢复获得时间。

企业的业务连续性管理计划对那些实施了ERP系统，或者其业务对目前运行的系统依赖性非常强的企业非常重要，必须对此要做全面认识和规划。ERP有四个特征可能会对业务连续性规划产生影响，它们是：大型、集成数据库；功能模块较多，涉及较多的企业业务流程；所有的模块都在物理

4

上和逻辑上相互关联，需要同一时间对它们进行恢复处理；ERP同时会影响到与企业直接有系统关联的供应商和其他第三方的业务系统。

同时，对于ERP这样的实时业务系统还需要相应的在线实时监控以确保在严重问题发生以前或对其他业务产生影响前能够得到及时处理。

系统访问风险及其控制

由于ERP系统将所有大量的业务应用功能集成在一个系统环境之下，ERP用户就可能有更多的机会访问其他与之不相关的信息。虽然，ERP系统中都有权限控制的功能，但这并不能完全保证信息的必威体育官网网址性和完整性。另外，通过无线或远程登录ERP系统在这两年已开始推广，它们在一定程度上进一步增加了访问系统的机会。伴随着这些访问几率和途径的增加，对数据的准确性控制难度和各类恶意攻击将对系统构成威胁都将加大。

纵观目前市场上的ERP系统，几乎都具备不同程度的安全控制功能。例如在某ERP系统中，就有大量的安全参数设置，包括用户密码、入侵锁定、超级用户访问等等。为了确

5

保万无一失，有些ERP系统还通过插件的方式获得更强的安全控制。除了技术手段外，企业还应该制定面向企业级的安全策略，用户的访问权限应该基于这个安全策略来定义，而不仅仅是基于业务需求的考虑。在实践中，对于访问风险控制我们可以考虑下面一些因素：访问权限的定义和访问权