ERP 系统实施风险控制框架研究.doc

erp 系统实施风险控制框架研究摘要：erp系统是一个社会技术系统，它的实施已应用涉及到企业的各个层面，实施过程风险较大。为了提高erp系统实施成功率，本文在分析erp系统特点和风险的基础上，从企业系统视角出发，围绕基础架构层面、应用系统层面、运营管理层面、业务流程层面和人员意识层面构建了erp系统实施企业风险控制系统。针对每个层面提出了具体的风险控制措施，对企业erp实施、加强实施过程风险控制具有极积的指导意义。关键词：erp 实施 风险控制1. 引言在全球竞争的环境下，企业面临着复杂而多变的生存与发展空间，竞争态势空前激烈。信息化是提高企业价值和发展潜力、提高企业核心竞争力的有效手段和途径。因此，企业资源计划系统（enterprise resource planning , 简称erp）因势而形成，该系统可以对企业的各种资源进行有效的管理、整合，实现各业务部门的资源共享，提升工作效率，并对管理决策提供支持。目前，许多大型企业已经实施了erp 系统，但是，失败的案例比比皆是。erp系统作为社会-技术系统，它涉及到企业的各个层面，实施周期长，难度大。如企业的it能力、文化、管理水平等因素均会对系统实施产生重要影响。erp系统实施有别于传统项目的特征是对象的复杂性和需要对企业业务流程进行相应的改造，也即是，业务流程重组。从而决定了在erp系统实施过程中存在大量的不确定性，进而导致高风险性。因此，风险管理和相应的内部控制越来越引起人们的重视。以往文献多从单一的角度对erp系统的风险进行识别是，如运用风险清单、流量图等方法对风险进行识别，缺少从整个企业系统的视角进行风险分析，并针对不同层面的风险提出相应的内部控制框架。针对以上问题，进一步探讨基于风险识别的erp系统实施内部控制具有重要的理论价值和现实意义。本文首先分析了erp 系统本身的特点，围绕该特性从企业系统的视角，建立了风险控制框架。该框架包括风险识别、风险控制和绩效评估三个部分，构成了一个闭环系统。本文重点是风险控制部分，从整个企业的视角出发，从五个层面对风险进行控制，提出了相应的控制措施，具有较强的操作性。最后是全文的总结和展望。2. erp 系统的特点-集成性erp 系统最大特点之一是集成性。“集成”一词最早来源于it界数语“集成数据”，“集成数据”之后，又出现了“集成系统”。erp系统就产生于系统集成过程11。在erp系统出现之前，企业将很多的商业信息储存在不同的部门，各部门用于管理这些信息的系统和技术也不尽相同。例如，存货余额信息存储在仓管部门，产品成本信息存储在财务部门。有些信息在不同的部门多次存储，不仅造成大量的资源浪费，还有可能造成数据的不一致。不难想象，这些分散在不同部门的信息给企业信息资源的安全性、保密性、准确性、完整性和可靠性造成了极大的威胁。而erp系统将企业的所有数据存储在一个中央数据库中，每个部门都可以获得自己所需要的数据，实现了数据共享。企业只需向erp系统输入一次数据便可更新所有相关信息，不再像以前那样需多次记录、转抄数据才能完成，实现了“单点进入”。不但提高了工作效率，而且保证了信息的质量，消除了部门之间的界限。由于管理层能够更快地获取企业的信息，为企业的最佳决策提供了有力支持。3. erp系统实施风险控制框架由以上分析可以看出，集成性是erp系统最大特点，在给企业还来巨大优势的同时，也给企业来来巨大的风险。erp系统是一个社会技术系统，它的实施涉及到企业的方方面面，如企业的组织结构、业务流程相应的需要重组、重构，管理机制需要相应的变化、员工需要相应的技能培训等等。任何一个环节出现纰漏，都有可能导致系统实施的失败。因此，对它的实施风险的控制，也应该是erp系统所影响到的各个层面，而不单单是软件系统本身。风险控制始于风险识别。本框架的第一步是进行风险识别。中间的核心部分是五个层面的风险控制系统，最后，是对风险控制绩效的评估。没有评估就没有改进。它的结果反馈到风险识别和风险控制环节，作为一个输入，为风险识别和控制提供信息。这样，就构成了一个完整的闭环反馈系统。建立erp系统实施风险控制框架如图1所示。基础架构层面应用系统层面业务流程层面运营管理层面人员意识层面企业内部风险控制系统erp系统风险识别风险控制绩效评估企业系统图1 erp系统实施风险控制框架下面就对该框架的三要素进行详细说明。3.1 erp系统风险识别任何it环境都会产生特定的脆弱性和威胁11。erp系统亦如此。脆弱性是指基于it系统的薄弱点和缺点，某些系统特性或资源被误用或者其他一些具有破坏性的威胁产生，都会引发这些系统弱点而对企业环境造成破坏11。威胁可能来自于物理环境（如火灾、水污染、地震等），也可能是人为造成的（如失误、疏忽、蓄意破坏等）10。当威胁成为现实，并利用系统的脆弱性时，便会导致破坏性事件的发生，给企业带来严重损失。破坏性事件的风险不可能被完全排除掉，但企业可以运用控制手段将这些风险降低到合理水平。脆弱性评估是风险分析的一部分10。企业必须首先识别出系统脆弱性和存在的威胁，然后再确定现有控制是否能把风险低到一个可接受的水平。如果不能，有必要改进控制和防护措施以减少威胁。早期的风险识别主要依赖个人风险管理经验。boehm 于1978年提出了管理信息系统典型的八项风险因素，认为依照风险源清单，可以识别出多数的风险因素。1993年，barki等通过文献研究总结出了35项风险变量1。而marvin等人提出了“基于分类风险辩识”思想2，认为项目风险在属性和内容方面都是权变的，都是随着项目、技术、环境的变化而变化的，不是一成不变的。这些方法多数用于it软件系统开发的风险分析。对企业实施erp这一类复杂性很高的系统的风险识别就显得针对性、可操作性不强。笔者认为，erp系统是一个社会-技术系统，它的实施牵涉到企业的各个层面，应该站在企业这一大系统的角度，对系统实施牵涉到的各个层面的风险进行分析。以此为分类的风险分析方法，对企业的erp实施具有积极的指导意义。常见的erp系统风险分为以下几类2。 软件选型与企业的it能力不相匹配。有些企业在购erp系统时，盲目求新求大求全，而企业并不具备维护和使用这些大型系统的人才。实证研究表明，一项新技术的采用，用户需要花大量的资源来进行学习。企业如果不具备相关的it能力，会造成资源的大量浪费。 erp软件不能很好地满足业务需求。企业选用的系统并不适合本企业的行业特点和需求，不能很好地满足企业的业务需求。这一方面是由于用户不具备it技能，不能很充分表达他们的需求，别一方面，由于技术人员对业务流程不熟悉，未能充分理解用户的需求，两者不能很好地进行沟通，结果造成系统不能很好是满足业务需求。很多用户为弥补erp系统的脆弱性，而对erp系统进行二次开发，或建立多余的手工系统，结果花费了大量的人力物力和财力，系统的实施不能按时完成，同时，erp系统的集成性受到严重挑战，信息资源的安全性、保密性、完整性受到严重威胁。 erp系统本身的逻辑错误。在erp系统中，很多事务处理活动都是自动完成的，由系统本身逻辑或硬件错误，造成一些错误指令。如产生一个开工日期在当前日期之前的车间订单，或某工作人员的工资单超过百万美元等。这些错误在人工处理的环境下是不能发生的，但是，由于erp系统的应用，很多处理活动实现了自动化，与人工系统相比，企业并没有派相等的人工对处理结果进行检查，而且，能够理解erp应用处理逻辑的人又较少。因此，在某些情况下，这些逻辑错误很难被识别出来。 erp系统本身缺乏柔性。企业处在一个激烈竞争的市场环境中，面临极大的不确定性，需要按照客户的需求快速地做出响应。因此，企业的业务流程不是一成不变的，经常需要快速地进行调整。erp 的实施，往往需要企业对业务流程进行变革和重组，如果erp系统本身不能按照业务流程的变化快速地满足业务的特殊需求，则会让企业面临巨大的风险，失去竞争优势。企业有可能会创建更多的系统来满足他们的需求。 系统错误的多米诺效应。由于erp系统是一个集成化系统，一个模块的错误，会在系统引起另一个错误，第二个错误又会引起第三个错误，依次类推，会在系统内瀑布式扩散，产生多米诺骨牌效应。例如，订单处理系统的错误会起引存货系统的错误，和应收账款的错误，而应收账款的错误又会引起总账和财务报表的错误。通常，程序之间集成度越大，这种风险就越高。 数据输入错误。erp 系统中的许多数据是通过键盘输入的。数据生成人员把需要输入的数据抄录到一些表格上，交给专职的录入人员进行录入。由于对手写文字或意思的误解，以及录入数据时人为的失误，错误有可能就发生在输入计算机的过程中。一些新技术的产生，使得数据的产生和输入可以同进进行，例如，订单录入人员在接到电话订单时，直接把订单录入到erp系统并存储。由于未对数据进行充分认证，这个过程仍然有可能发生错误。其他的数据录入方式包括借助光电扫描仪、销售点的pos机等设备输入数据。尽管如此 ，由于这些全是机器设备，由于机械故障等原因，错误在所免。错误的输入，必然导致错误的输出。这会对信息资源的准确和可靠性产生巨大的威胁。 权责集中，没有分离。erp系统将本应由多人承担的职责集中由自动化程序来执行。例如，数据库管理员可能把企业中许多部门的数据控制责任集于一身，为了获得个人利益而欺诈性增加、删除、或修改数据（如支付凭证、报销凭证等）。给企业信息资源的安全造成极大的隐患。从以上对erp系统的风险分析可以看出，它不仅仅是技术层面的问题，而是贯穿于整个企业的不同的层面。包括系统的应用管理、基础设施层面、人员的安全意识层面、erp系统软件本身层面、以及业务流程层面等。相应的，对erp系统的风险的控制，也应该贯穿于企业的各个层面，企业可以通过一套整体风险管理体系来降低风险发生的可能性。3.2企业内部风险控制系统企业内部控制系统是为了降低以上所讨论的诸多风险而建立的。其目的是为了保证信息资产的安全，避免浪费、损失、滥用和占为已有，以及各种财务报表的正确可靠，符合相关法律法规的要求，如sox等。美国注册会计师协会（aicpa）对内部控制系统的定义是10：企业管理当局为实现企业目标而采取的组织规划和一系列方法与措施，以确保企业的经营活动有序而高效地展开，包括贯彻执行各项政策、保证资产的安全、防止和监测错误与舞弊行为的发生，保证会计记录的准确和完整以及确保财务信息编制的及时性。针对erp系统特点和erp系统风险的分析，以及aicpa对内部控制系统的定义，本文拟从以下层面构建企业内部erp实施风险控制系统。3.2.1基础架构层面erp 系统是一个应用系统。它建立在操作系统之上，数据库是它的核心内容，而且大部erp软件运行于网络环境中，如果操作系统、数据库或网络环境出现安全隐患，则erp 系统面临巨大的风险。常见的基础架构风险包括：操作系统丁不足、没有对系统进行安全优化、操作系统或数据库中本身的隐患、以及技术配置人员对安全的意识不强等等。针对这些风险，相应的控制措施有，制定规范的补丁和漏洞管理流程和方法，确保在基础架构层面发现隐患后，能及时进行处理；同时，按照行业标准和相关的技术标准，建立自己的安全基准，确保基础架构层面的安全达到一个最低的要求；制定安全管理规范，定期对网络进行安全扫描，配置适当的入侵检测系统；定期对更新病毒库，合理配置防火墙；最后，是加强技术配置人员的安全意识教育，采取相关的措施，权限的限定等，保证系统安全可靠。3.2.2 应用系统层面erp系统本身由于缺乏柔性，导致灵活性较差，或是由于高度集成性，导致错误的多为诺效应，以及系统本身的一些处理逻辑错误，使得在系统在应用层面临巨大的风险。针对这些风险，企业在系统选购时，应该充分考虑到行业和企业特殊性，针对本行业的特点选择供应商的解决方案。可以交给供应商一套模拟数据，由多个供应商现场演示他们的解决方案，企业不但由it部门，更要有业务部门人员参与到供应商的评估和方案选择上来，这样才能最大限度地使软件适合业务的需求。另外，现在的erp系统在技术架构上已经有了很大的改变，有些已经采用了基于soa的系统架构，这为提升软件的灵活性，适应业务流程的多变性提供了很好的解决方案。因此，在选择软件时，应该充分考虑到它的系统架构的先进性，与国际上有关标准的兼容性和常用软件的集成性。这也是考核erp软件的一个重要指标。针对erp系统软件本身内部的补丁（bug）问题，最好的控制就是在系统上线之前进行充分的测试。企业应该集中业务部门的骨干，将各业务部门的所有业务流程有一套模拟数据在系统内进行充分的测试。尤其需要重点测试的是业务部门之间的接口，也就是erp系统内跨模块的数据流。例如，一个采购订单接收之后，不仅要测试它的库存数据的增加，更要测试它的应收账款的增加。这样才能测试出整个系统的集成性和完整性。总之，对应用系统层面的风险最好的方法就是实际测试。对于发现的问题，应该及时与供应商进行沟通，如果需要对系统进行二次开发，则开发后新增加的内容对原系统的影响，也必须进行充分的测试。测试需要企业花费一定的人力物力和财力，需要有企业领导的大力支持。需要培养一批既懂业务又熟悉系统的业务骨干。3.2.3业务流程层面erp 系统应用的第一步就是输入需要处理的数据，如果不能从源头上保证数据的准确和及时性，那么，处理得到的结果只能是垃圾。因此，必须采取有效的输入控制程序确保需要处理的事务能够被正确完整地接受、处理和记录。并且，只有合法的、经授权的信息才能被输入，并且对这些事务只处理一次。在一个集成的系统环境中，由一个系统产生的输出往往是别一个子系统的输入。常用的控制有10:l 输入授权：输入授权验证所有由管理层授权和批准的事务，确保只有经授权的数据才能进入erp系统进行处理。授权的类型包括： 在一批表格或源文件上签字，这样可以提供恰当的证据。 在线访问控制-保证只有经授权的人可以访问数据或进入某些系统功能。例如，只有财务部门的人才可能访问财务数据。 所有的源文件应当恰当控制，如事先编号，或有相关程序保证所有的源文件被输入进行了记数处理。l 批控制和批平衡：批控制是指输入事务进行分组，以提供总计控制。批控制的类型主要有： 总金额-确认被系统处理的项目总金额等于处理前批文件中项目金额之和。例如，在一个批次中，销售发票的总金额与被处理的销售发票的总金额一致。 总项目数-确认在本批次中每一个文件中的项目总数与被处理的项目总数一致。例如，在一个批次当中，发票中货物项目总数与被处理的货物项目总数一致。 总文件数-确认一个批次中文件总数等于被处理文件总数。 哈希汇总-确认一个批次中的所有文件中的数值类字段的总和与系统计算出来的总和相等。3.2.4运营管理层面运营管理层面对erp系统的成功起着至关重要的作用。如果在整个企业内erp系统的实施得不到高层领导的支持，推行力度不够，缺乏强有力的保障制度，对业务部门的实施效果不能很好地进行监控，那么erp系统的失败在所难免。那么，应该如何加强对运营层面的控制和管理？国际信息系统研究院提出的cobit模型（信息及相关技术的控制模型，control objects for information and related technology, 简称cobit）,为企业管理者提供了很好的工具。其框架如图2所示。图2 cobit 框架cobit模型将企业it应用生命周期分解为四个域：计划与组织（plan and organise po）、获取与实施（acquire and implement ai）、交付与支持（deliver and support ds）、监控与评估（monitor and evaluate me）,每个域由一系列的过程所构成，共计34个过程。cobit为每个过程定义了具体的控制目标、管理指南，并采用cmm成熟度模型来表示“过程的成熟度”，来帮助管理者对过程水平绩效进行度量，以明确改进的方向和目标。在管理指南中，则详细说明了构成过程的每个活动的目标以及它们的度量指标和管理者的职责。企业完全可以采用cobit 模型对erp系统应用的生命周期进行管理。在此基础上，依据erp系统不同阶段的任务和活动，对照cobit的34个过程定义，构建具体的过程集。然后，运用cobit 的管理指南，对每个过程加以严格控制，并用成熟度模型对过程的绩效水平进行度量。例如，在交付与支持域，由定义和管理服务水平、管理第三方爱服务水平、确保持续性服务、确保系统安全、管理系统配置、管理问题和数据等13个过程构成。该域所对应的活动，相当于企业在购买erp软件后，供应商准备交付erp软件，以及系统实施后对后续服务的支持。管理者可以参照这13个活动清单对供应商的产品的交付和后续支持活动进行管理。对其中的每一个活动，例如，ds7, 教育和培训客户，管理者可以参照它的管理指南，确保达到以下三个目标： 对教育和培训的需求。针对企业不同的客户群的需求，为其制定培训课程，并定期进行更新。培训课程的制定应该考虑到企业现在和将来的战略需求，员工所需具备的专业技能，职业发展需要，以及培训的方式、时间、规模等具体因素。 对培训和教育的交付。在识别企业不同客户群的不同培训需求的基础上，明确培训的人员和具体的交付机制、和培训教师。安排具体的培训活动。有效管理培训活动，如培训课程签字机制，并对培训效果进行评估。 对供应商提供的培训进行评估。对供应商提供培训的内容依据相关性、质量、有效性、先进性、成本和价值几个方面进行评估。评估结果应该作为后续培训课程计划的参考。为了达到以上三个控制目标，它的关键活动有：识别用户培训需求、建立培训项目、执行培训活动、以及对培训交付的方法和工具进行识别和评估。在不同的活动中，不同的管理者，承担不同的职责，管理指南也进行了明确的定义。例如，在识别客户培训需求中，由培训部门业务部门直接负责（responsible）,而cio 负领导责任。对于具体的过程或活动，cobit也提供了具体的测量指标。例如，可以采用培训课程的更新频率、培训需求与培训交付的时间间隔对培训的活进行评估。最后，企业可以采用成熟度模型对企业的培训与教育这一流程进行评估，共分为不存在的、初始的、重复的、定义的、管理和可度量的、优化的六个等级，明确企业目前的水平以及改进的方向。需要指出的是，cobit 模型给出了信息系统全生命周期的34个控制过程的控制目标，非常详细和具体。企业应该根据自己的实际需求，将其作为一个指导框架，而不是一个教条，生搬硬套。3.2.5 人员意识层面如果企业内部缺乏有效的安全监控体系，对员工缺乏信息安全意识的培训，员工对信息安全的内控的意识薄弱，那个，黑客可以很容易通过“社交工程”（social engineering）获取用户密码，从而窃取公司机密数据。人是内部控制环节中最重要的因素。因此，企业应该根据公司的安全策略，明确各岗位的安全角色和职责，包括合同商以及第三方所应承担的安全职责，都应形成正式的公司文件，纳入公司的安全体系。在员工的受聘期内，应该对员工进行充分的安全教育，确保他们明确针对公司的安全策略，并签署相关的协议，以明确他们所应承担的职责和义务。3.3 风险控制绩效评估对erp实施风险的控制结果必须进行度量，没有度量就没有改进。它的绩效可以用系统实施效果来间接地进行度量。系统实施效果好，则相应风险控制较好，反之，则较差。erp系统实施效果评估是个复杂的系统工程12。需要有相应的评估方法和工具。许多学者对此进行了研究，有大量的研究成果。例如，有学者从“用户满意度”5视角来进行评估；也有利用回归分析来进行系统成功与否的评价6。其中最为著名的是“平衡积分卡”方式，本文推荐采用此方法对erp系统实施绩效进行评估。“平衡积分卡”12是一种先进的绩效评估体系，它从财务指标、客户满意度、内部业务流程改进、以及组织学习与成长能力的增长这四个方面来评估erp系统的应用绩效，非常全面具体，操作性也强。通过对erp应用绩效的评估，可以反映出对实施过程中风险控制与预期效果的偏差。例如，如果业务部门不能及时从系统得到相关的业务信息或数据，或者是，系统提供的数据信息不准确，那么相对应的，数据输入和系统内部处理逻辑的风险有可能没有很好地控制。总之，没有度量，就没有改进。通过对风险控制的度量，可以找出企业内部对风险控制的偏差，从而加以改进和提高。4结束语任何it技术都是一把双刃剑，在为企业带来机遇和竞争优势的同时，也给企业带来巨大的风险。企业应该在识别风险的基础上，加强风险控制，使风险控制在可接受的水平内。本文在分析erp系统特点和主要风险的基础上，从企业系统视角出发，围绕基础架构层面、应用系统层面、运营管理层面、业务流程层面和人员意识层面构建了企业风险系统。提出了每个层面具体的风险控制措施，对企业erp实施、加强内部风险控制具有极积的指导意义。参考文献：1 barki h., riverd s., talbot j. toward an assessment of software development risk. journal of management information system, 1993,; 10(2)2 marvin j., carr s.,l. konda, i. monarch , f. c. ulrich , c. f. w