《ERP项目管理与实施》课件第9章

9.1ERP系统管理下的岗位制度9.2根据岗位分配用户权限

本章小结

习题

9.1.1企业管理制度变革的必然性

当今企业的生存与发展面临着巨大的压力，主要的压力有以下几个方面。

1.竞争环境复杂多变

竞争环境复杂多变集中表现在两个方面，一方面是全球化趋势，另一方面是电子商务的出现。全球化生产是未来制造业的一个趋势。世界各大汽车制造商已经开始实行零部件的“全球采购”，通过全球范围内的专业化分工与合作，大型制造商可以获得质量最好、价格最低的部件，从而降低整车成本。9.1ERP系统管理下的岗位制度中国进入WTO以后，对于中国的企业来说，既是一次机遇，也是一次挑战，我们的企业会与跨国企业在同一起跑线上同台竞争，外国企业进入中国市场与中国企业竞争，同时中国也应该走出国门与其他国家的企业竞争。电子商务是近年来出现的另一个商务模式，这种商务模式不但改变了企业的经营方式，同时也改变了人们的消费方式。在电子商务环境下，企业需要思考新的经营策略、产品及企业业务流程，以便发展出一个新的管理模式。

2.满足用户需求的难度增加

现在的用户对企业产品的需求也发生了变化，因为人们的观念在改变，消费者对企业产品的要求是产品交货期要短，价格要低，质量要高，服务要好，同时要有个性化。一句话，消费者的要求不仅仅是比较价格或质量，而是多方位的、全面的，特别是个性化的需求是当今用户需求的新特点。为此企业要建立快速响应用户需求的生产系统，这种生产系统就是敏捷制造与顾客化大规模定制生产模式。企业只有提高制造的敏捷响应速度以实现顾客化需求，才能在未来的市场竞争中立于不败之地。

3.社会对企业的要求增加

人类社会发展到今天，创造了不朽的科学技术与文化，人类利用地球给予我们的资源来发展经济、创造文明的同时，也在不自觉地破坏了我们赖以生存的自然，这是工业化带来的后果。当今一个全球关注的问题突现在我们面前，这就是可持续发展——我们不仅要发展经济满足当代人的物质需求，更应该保护子孙后代将要继续生存与发展的自然资源。制造业在可持续发展战略中担负着不可推卸的历史责任，这是社会对企业提出的新的要求。为此，制造业的生产制造方式要发生改变，要从粗放的生产转向精细化生产，减少资源的浪费，建立绿色清洁的制造系统与生产系统。面对这些压力，许多企业都在寻求新的管理模式与管理手段，而信息技术和信息系统是达到目标的必备手段和工具，ERP就是一个典型的代表。它不但是一个综合的企业管理信息系统软件，更为重要的是它是先进的管理的典范。ERP融系统化管理、集成化管理、网络化与全球化管理，业务流程重组等管理理论为一体，实现企业资源的开发性管理与全局优化。

ERP的核心理念是供应链管理，而供应链管理是一种新的管理理念，它强调在供应商、制造商、分销商、用户之间形成一种合作性竞争模式。它的基本思想集中体现在三个方面：集成性、系统性、协调性。供应链管理第一个基本特征是集成性，即通过企业部门与部门之间、企业之间的集成(这种集成包括物流、工作流、信息流、资金流等的集成)实现资源优化。从物质资源管理的角度看，供应链管理强调的是跳出企业的边界，建立跨部门、跨企业的联合，即建立扩展型企业EE(ExtendedEnterprise)，企业资源的优化空间从局部向全局扩展，拓展资源的利用范围，利用业务外包、动态联盟等新的管理手段，实现社会资源利用的最大化。从信息资源的利用角度看，供应链管理实现了跨企业的信息共享与同步响应，即实现了信息资源的共享性集成，消除了信息孤岛现象。除了物质资源、信息资源的共享集成外，对人力资源、技术资源等都可以通过建立供应链联盟实现优化配置。传统的信息系统无法满足供应链管理这种要求，ERP为供应链的资源共享集成与优化配置提供了有力的工具。

供应链管理的第二个基本特征是系统性。系统化管理是强调把企业的各个部门、各个合作伙伴的经营活动都要从供应链整体的角度出发进行规划与控制，局部的优化并不能获得企业的最优产出效果。因此，供应链管理提倡“双赢”(Win-Win)的合作模式，并且对供应链的评价也从供应链的整体角度去考察。传统的企业管理信息系统(MIS)的建设主要是从单个部门的角度进行规划的，缺乏对供应链的整体资源优化能力，而ERP从供应链的上游供应商管理到下游的客户关系管理，都从供应链系统的角度去优化，保证了企业获得真正的全局资源优化。

供应链管理的第三个基本特征就是协调性。供应链管理强调合作，但是合作如果没有协调机制作为保证，合作就很难长久，因此供应链管理需要协调。供应链的协调从职能上看，包括供应与制造的协调、制造与分销的协调、多点库存的协调；从协调的手段看，包括信息协调与非信息的协调。

既然ERP是新的管理理念和信息技术的结合，那么其应用必然会使企业原有的管理制度发生变革，管理制度的变革又为ERP的有效使用打下良好的基础。ERP系统上线后，如何保证其功能最大限度地发挥，“制度化”是很重要的一点。只有建立合理的系统运行管理制度，才能保证ERP系统的稳定运行，达到预期效果，从而避免系统越运行越混乱的现象。企业信息化系统的运行管理工作主要包括日常运行管理、运行情况记录以及对系统运行情况进行检查与评价三方面内容。日常运行管理工作十分繁重，一般包括数据的收集、例行的信息处理及服务工作、计算机本身的运行与维护、系统的安全管理等四项任务。这四项任务必须通过制定严格的规范来执行。另外，常常有一些临时性的信息服务要求会向信息系统提出，这些信息服务不在系统的日常工作范围之内但却可能很重要，因此通过制定具有弹性的规范来满足这种要求也不可或缺。运行情况的记录对系统管理、评价是十分重要和宝贵的资料，企业相关的主管人员应该从系统运行的开始就注意积累系统运行情况的详细材料。一般需要收集和积累的资料包括以下方面：有关工作数量的信息，如开机时间、报表数量、系统中积累的数据量等；有关工作效率的信息，如系统所提供的信息服务的质量、系统的维护修改情况、系统的故障情况等。对系统运行情况的检查与评价能为系统的改进、扩展及后续开发提供依据。这项工作应该在“一把手”的直接领导下，由系统分析员或专门的审计人员会同各类开发人员和业务部门经理共同参与，定期进行。需要强调的是，信息化系统的管理不仅仅是对计算机硬件进行管理，更重要的是对人员、数据及软件的管理。9.1.2制定新的岗位制度

在结合企业实际和对ERP运行管理内容有深刻认识的基础之上，在ERP实施的前期应制定相关制度。从而保证系统正常运行、员工职责明确，以及系统的稳定性和安全性。

首先是“信息中心”管理制度的建立。对于实施ERP的企业来说，用于运行信息系统这样的“重地”应该有严格的管理制度。这种制度一般包括如下内容：什么人员才能出入及出入时间的规定，出入人员对系统操作行为的规定，计算机硬件设施的管理措施，安全的措施等等。其次是对企业人员管理的制度。应使每一位操作计算机的人员养成遵守管理制度的习惯，将其工作职责以条款的形式予以明确，并且有必要对员工进行考核和检查，以使其完成工作任务。

另外，对于系统中的数据管理也是极其重要的，应该有相应的规章制度。对于企业来说，某些数据可能意味着重大商机，对这类数据应该规定查看权限和操作权限，以防止企业因此受损。数据管理还包括数据备份，这是保证系统安全的一个重要措施，它能够保证在系统发生故障后能恢复到最近的系统状态。对数据备份也应该写入管理制度中，比如多久备份一次等。最后，就是对信息系统运行的档案管理，主要包括系统开发阶段的可行性分析报告、系统说明书、系统设计说明书、程序清单、测试报告、用户手册、操作说明、评价报告、运行日记、维护日志等。这些文档的管理同样很重要，因为这些文档保证了系统的可追溯性。相关档案的借阅也必须建立严格的管理制度和必要的控制手段。9.2.1ERP系统的权限管理

一般的ERP系统中都对系统的权限进行了管理，例如K/3系统中的权限管理提供了功能权限、数据权限、字段权限等多种方式，以满足不同组织机构对用户的不同要求。

1.功能权限

功能权限是指对各子系统中功能模块的操作权限，只有当用户拥有了子系统功能模块的功能权限时，才能进行对应模块的功能操作。功能权限的授权界面如图9-1所示。9.2根据岗位分配用户权限图9-1功能权限的授权界面

“用户管理_权限管理”界面的授权是一种快捷的授权方式，如果不进行明细的授权则可以在此处授权，否则点击“高级”按钮直接在“用户权限”界面中授权。功能权限的高级管理界面如图9-2所示。图9-2功能权限的高级管理界面

2.数据权限

数据权限是指对系统中具体数据的操作权限，分为数据查询权、数据修改权、数据删除权。系统中默认所有数据均不进行数据权限控制，用户拥有数据类别的功能操作权限就可以进行该类别下所有数据的操作。数据权限控制范围包括基础资料、BOM、等基础资料。“设置数据权限控制”界面如图9-3所示。图9-3数据权限的设置界面当授权用户在【数据权限】菜单的【设置数据权限控制】功能中设置了该数据类型【启用数据权限控制】后才进行数据权限检查，这时只有同时拥有该数据类别的功能操作权限和指定明细数据相应的数据权限，才能对该数据进行相应的操作。图9-4为针对“公共基础资料”——“客户”采用“按明细数据授权”方式进行授权操作的示意图。图9-4“按明细数据授权”设置界面

3.字段权限

字段权限是指各子系统中某数据类别的字段操作权限，默认系统不进行字段权限检查。当授权用户对指定字段设置了字段权限控制后，用户可对该数据类别的指定字段进行操作及权限检查。在系统中，可以进行字段授权的数据包括公共基础资料(仅为核算项目)、BOS基础资料和BOS单据。字段权限的授权界面如图9-5所示。图9-5字段权限的授权界面9.2.2根据用户的岗位分配用户权限

可以采用基于角色的访问控制(RoleBasedAccessControl，RBAC)的基本思想来进行用户权限的管理与分配。RBAC方法是目前公认的解决大型企业统一资源访问控制的有效方法，其显著的两大特征是：①减小授权管理的复杂性，降低管理开销；②灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。美国国家标准与技术研究院(TheNationalInstituteofStandardsandTechnology，NIST)标准RBAC模型由四个部件模型组成，这四个部件模型分别是基本模型RBAC0(CoreRBAC)、角色分级模型RBAC1(HierarchalRBAC)、角色限制模型RBAC2(ConstraintRBAC)和统一模型RBAC3(CombinedRBAC)。RBAC0模型如图9-6所示。图9-6RBAC0模型

RBAC0定义了能构成一个RBAC控制系统的最小的元素集合。在RBAC之中，包含用户USERS(Users)、角色ROLES(Roles)、目标OBS(Objects)、操作OPS(Operations)、许可权PRMS(Permissions)五个基本数据元素，权限被赋予角色而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。会话(Sessions)是用户与激活的角色集合之间的映射。RBAC0与传统访问控制的差别在于增加了一层间接性，因此带来了更大的灵活性，RBAC1、RBAC2、RBAC3都是先后在RBAC0上的扩展。

RBAC1引入角色间的继承关系，角色间的继承关系可分为一般继承关系和受限继承关系。RBAC2模型中添加了责任分离关系。RBAC2的约束规定了权限被赋予角色时，或角色被赋予用户时，以及当用户在某一时刻激活一个角色时所应遵循的强制性规则。责任分离包括静态责任分离和动态责任分离。约束与用户-角色-权限关系一起决定了RBAC2模型中用户的访问许可。

RBAC3包含了RBAC1和RBAC2，既提供了角色间的继承关系，又提供了责任分离关系。

根据RBAC模型的权限设计思想，可以建立权限管理系统的核心对象模型。对象模型中包含的基本元素主要有用户、用户组、角色、目标、访问模式、操作。主要的关系有角色权限分配(PermissionAssignment，PA)、用户角色分配(UsersAssignmen，UA)。RBAC设计模型如图9-7所示。图9-7RBAC设计模型图9-7中各主要元素的描述如下：

(1)控制对象：系统所要保护的资源(Resource)，可以被访问的对象。资源的定义需要注意以下两个问题：

①资源具有层次关系和包含关系。例如，网页是资源，网页上的按钮、文本框等对象也是资源，是网页节点的子节点，若能访问按钮，则必须也能访问页面。②这里提及的资源概念是指资源的类别(ResourceClass)，而不是某个特定资源的实例(ResourceInstance)。资源的类别和资源的实例的区分，以及资源的粒度的细分，有利于确定权限管理系统和应用系统之间的管理边界，权限管理系统需要对资源的类别进行权限管理，而应用系统需要对特定资源的实例进行权限管理。两者的区分主要是基于以下两点

考虑：一方面，资源实例的权限常具有资源的相关性，即根据资源实例和访问资源的主体之间的关联关系，才可能进行资源的实例权限判断。例如，在管理信息系统中，需要按照营业区域划分不同部门的客户，A区和B区都具有修改客户资料这一受控的资源，这里“客户档案资料”属于资源类别的范畴。如果规定A区只能修改A区管理的客户资料，就必须要区分出资料的归属，这里的资源属于资源实例的范畴。客户档案(资源)本身应该有其使用者的信息(客户资料可能就含有营业区域这一属性)，才能区分特定资源的实例操作，可以修改属于自己管辖的信息内容。另一方面，资源的实例权限常具有相当大的业务逻辑相关性，对不同的业务逻辑，常常意味着完全不同的权限判定原则和策略。

(2)访问模式：对受保护的资源操作的访问许可(Access

Permission)，是绑定在特定的资源实例上的。对应地，访问策略(AccessStrategy)和资源类别相关，不同的资源类别可能采用不同的访问模式。例如，页面具有能打开、不能打开的访问模式，按钮具有可用、不可用的访问模式，文本编辑框具有可编辑、不可编辑的访问模式。同一资源的访问策略可能存在排斥和包含关系。例如，某个数据集的可修改访问模式就包含了可查询访问模式。

(3)用户：权限的拥有者或主体。用户和权限实现分离，通过授权管理进行绑定。

(4)用户组：一组用户的集合。在业务逻辑的判断中，可以实现基于个人身份或组的身份进行判断。系统弱化了用户组的概念，主要实现了用户(个人的身份)的方式。

(5)角色：权限分配的单位与载体。角色通过继承关系支持分级的权限实现。例如，科长角色同时具有科长角色、科内不同业务人员角色。

(6)操作：完成资源的类别和访问策略之间的绑定。

(7)角色权限分配(PA)：实现操作和角色之间的关联关系映射。

(8)用户角色分配(UA)：实现用户和角色之间的关联关系映射。该对象模型最终将访问控制模型转化为访问矩阵形式。访问矩阵中的行对应于用户，列对应于操作，每个矩阵元素规定了相应的角色，对应于相应的目标被准予的访问许可、实施行为。按访问矩阵中的行看，是访问能力表(AccessCapabilit