ERP 系統(tǒng)實(shí)施風(fēng)險(xiǎn)控制框架研究

1、erp 系統(tǒng)實(shí)施風(fēng)險(xiǎn)控制框架研究摘要：erp系統(tǒng)是一個(gè)社會(huì)技術(shù)系統(tǒng)，它的實(shí)施已應(yīng)用涉及到企業(yè)的各個(gè)層面，實(shí)施過(guò)程風(fēng)險(xiǎn)較大。為了提高erp系統(tǒng)實(shí)施成功率，本文在分析erp系統(tǒng)特點(diǎn)和風(fēng)險(xiǎn)的基礎(chǔ)上，從企業(yè)系統(tǒng)視角出發(fā)，圍繞基礎(chǔ)架構(gòu)層面、應(yīng)用系統(tǒng)層面、運(yùn)營(yíng)管理層面、業(yè)務(wù)流程層面和人員意識(shí)層面構(gòu)建了erp系統(tǒng)實(shí)施企業(yè)風(fēng)險(xiǎn)控制系統(tǒng)。針對(duì)每個(gè)層面提出了具體的風(fēng)險(xiǎn)控制措施，對(duì)企業(yè)erp實(shí)施、加強(qiáng)實(shí)施過(guò)程風(fēng)險(xiǎn)控制具有極積的指導(dǎo)意義。關(guān)鍵詞：erp 實(shí)施 風(fēng)險(xiǎn)控制1. 引言在全球競(jìng)爭(zhēng)的環(huán)境下，企業(yè)面臨著復(fù)雜而多變的生存與發(fā)展空間，競(jìng)爭(zhēng)態(tài)勢(shì)空前激烈。信息化是提高企業(yè)價(jià)值和發(fā)展?jié)摿?、提高企業(yè)核心競(jìng)爭(zhēng)力的有效手段和途徑

2、。因此，企業(yè)資源計(jì)劃系統(tǒng)（enterprise resource planning , 簡(jiǎn)稱erp）因勢(shì)而形成，該系統(tǒng)可以對(duì)企業(yè)的各種資源進(jìn)行有效的管理、整合，實(shí)現(xiàn)各業(yè)務(wù)部門的資源共享，提升工作效率，并對(duì)管理決策提供支持。目前，許多大型企業(yè)已經(jīng)實(shí)施了erp 系統(tǒng)，但是，失敗的案例比比皆是。erp系統(tǒng)作為社會(huì)-技術(shù)系統(tǒng)，它涉及到企業(yè)的各個(gè)層面，實(shí)施周期長(zhǎng)，難度大。如企業(yè)的it能力、文化、管理水平等因素均會(huì)對(duì)系統(tǒng)實(shí)施產(chǎn)生重要影響。erp系統(tǒng)實(shí)施有別于傳統(tǒng)項(xiàng)目的特征是對(duì)象的復(fù)雜性和需要對(duì)企業(yè)業(yè)務(wù)流程進(jìn)行相應(yīng)的改造，也即是，業(yè)務(wù)流程重組。從而決定了在erp系統(tǒng)實(shí)施過(guò)程中存在大量的不確定性，進(jìn)而導(dǎo)致高風(fēng)

3、險(xiǎn)性。因此，風(fēng)險(xiǎn)管理和相應(yīng)的內(nèi)部控制越來(lái)越引起人們的重視。以往文獻(xiàn)多從單一的角度對(duì)erp系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行識(shí)別是，如運(yùn)用風(fēng)險(xiǎn)清單、流量圖等方法對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別，缺少?gòu)恼麄€(gè)企業(yè)系統(tǒng)的視角進(jìn)行風(fēng)險(xiǎn)分析，并針對(duì)不同層面的風(fēng)險(xiǎn)提出相應(yīng)的內(nèi)部控制框架。針對(duì)以上問(wèn)題，進(jìn)一步探討基于風(fēng)險(xiǎn)識(shí)別的erp系統(tǒng)實(shí)施內(nèi)部控制具有重要的理論價(jià)值和現(xiàn)實(shí)意義。本文首先分析了erp 系統(tǒng)本身的特點(diǎn)，圍繞該特性從企業(yè)系統(tǒng)的視角，建立了風(fēng)險(xiǎn)控制框架。該框架包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)控制和績(jī)效評(píng)估三個(gè)部分，構(gòu)成了一個(gè)閉環(huán)系統(tǒng)。本文重點(diǎn)是風(fēng)險(xiǎn)控制部分，從整個(gè)企業(yè)的視角出發(fā)，從五個(gè)層面對(duì)風(fēng)險(xiǎn)進(jìn)行控制，提出了相應(yīng)的控制措施，具有較強(qiáng)的操作性。最后是全

4、文的總結(jié)和展望。2. erp 系統(tǒng)的特點(diǎn)-集成性erp 系統(tǒng)最大特點(diǎn)之一是集成性?！凹伞币辉~最早來(lái)源于it界數(shù)語(yǔ)“集成數(shù)據(jù)”，“集成數(shù)據(jù)”之后，又出現(xiàn)了“集成系統(tǒng)”。erp系統(tǒng)就產(chǎn)生于系統(tǒng)集成過(guò)程11。在erp系統(tǒng)出現(xiàn)之前，企業(yè)將很多的商業(yè)信息儲(chǔ)存在不同的部門，各部門用于管理這些信息的系統(tǒng)和技術(shù)也不盡相同。例如，存貨余額信息存儲(chǔ)在倉(cāng)管部門，產(chǎn)品成本信息存儲(chǔ)在財(cái)務(wù)部門。有些信息在不同的部門多次存儲(chǔ)，不僅造成大量的資源浪費(fèi)，還有可能造成數(shù)據(jù)的不一致。不難想象，這些分散在不同部門的信息給企業(yè)信息資源的安全性、保密性、準(zhǔn)確性、完整性和可靠性造成了極大的威脅。而erp系統(tǒng)將企業(yè)的所有數(shù)據(jù)存儲(chǔ)在一個(gè)中央

5、數(shù)據(jù)庫(kù)中，每個(gè)部門都可以獲得自己所需要的數(shù)據(jù)，實(shí)現(xiàn)了數(shù)據(jù)共享。企業(yè)只需向erp系統(tǒng)輸入一次數(shù)據(jù)便可更新所有相關(guān)信息，不再像以前那樣需多次記錄、轉(zhuǎn)抄數(shù)據(jù)才能完成，實(shí)現(xiàn)了“單點(diǎn)進(jìn)入”。不但提高了工作效率，而且保證了信息的質(zhì)量，消除了部門之間的界限。由于管理層能夠更快地獲取企業(yè)的信息，為企業(yè)的最佳決策提供了有力支持。3. erp系統(tǒng)實(shí)施風(fēng)險(xiǎn)控制框架由以上分析可以看出，集成性是erp系統(tǒng)最大特點(diǎn)，在給企業(yè)還來(lái)巨大優(yōu)勢(shì)的同時(shí)，也給企業(yè)來(lái)來(lái)巨大的風(fēng)險(xiǎn)。erp系統(tǒng)是一個(gè)社會(huì)技術(shù)系統(tǒng)，它的實(shí)施涉及到企業(yè)的方方面面，如企業(yè)的組織結(jié)構(gòu)、業(yè)務(wù)流程相應(yīng)的需要重組、重構(gòu)，管理機(jī)制需要相應(yīng)的變化、員工需要相應(yīng)的技能培訓(xùn)等

6、等。任何一個(gè)環(huán)節(jié)出現(xiàn)紕漏，都有可能導(dǎo)致系統(tǒng)實(shí)施的失敗。因此，對(duì)它的實(shí)施風(fēng)險(xiǎn)的控制，也應(yīng)該是erp系統(tǒng)所影響到的各個(gè)層面，而不單單是軟件系統(tǒng)本身。風(fēng)險(xiǎn)控制始于風(fēng)險(xiǎn)識(shí)別。本框架的第一步是進(jìn)行風(fēng)險(xiǎn)識(shí)別。中間的核心部分是五個(gè)層面的風(fēng)險(xiǎn)控制系統(tǒng)，最后，是對(duì)風(fēng)險(xiǎn)控制績(jī)效的評(píng)估。沒(méi)有評(píng)估就沒(méi)有改進(jìn)。它的結(jié)果反饋到風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)控制環(huán)節(jié)，作為一個(gè)輸入，為風(fēng)險(xiǎn)識(shí)別和控制提供信息。這樣，就構(gòu)成了一個(gè)完整的閉環(huán)反饋系統(tǒng)。建立erp系統(tǒng)實(shí)施風(fēng)險(xiǎn)控制框架如圖1所示。基礎(chǔ)架構(gòu)層面應(yīng)用系統(tǒng)層面業(yè)務(wù)流程層面運(yùn)營(yíng)管理層面人員意識(shí)層面企業(yè)內(nèi)部風(fēng)險(xiǎn)控制系統(tǒng)erp系統(tǒng)風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)控制績(jī)效評(píng)估企業(yè)系統(tǒng)圖1 erp系統(tǒng)實(shí)施風(fēng)險(xiǎn)控制框架下

7、面就對(duì)該框架的三要素進(jìn)行詳細(xì)說(shuō)明。3.1 erp系統(tǒng)風(fēng)險(xiǎn)識(shí)別任何it環(huán)境都會(huì)產(chǎn)生特定的脆弱性和威脅11。erp系統(tǒng)亦如此。脆弱性是指基于it系統(tǒng)的薄弱點(diǎn)和缺點(diǎn)，某些系統(tǒng)特性或資源被誤用或者其他一些具有破壞性的威脅產(chǎn)生，都會(huì)引發(fā)這些系統(tǒng)弱點(diǎn)而對(duì)企業(yè)環(huán)境造成破壞11。威脅可能來(lái)自于物理環(huán)境（如火災(zāi)、水污染、地震等），也可能是人為造成的（如失誤、疏忽、蓄意破壞等）10。當(dāng)威脅成為現(xiàn)實(shí)，并利用系統(tǒng)的脆弱性時(shí)，便會(huì)導(dǎo)致破壞性事件的發(fā)生，給企業(yè)帶來(lái)嚴(yán)重?fù)p失。破壞性事件的風(fēng)險(xiǎn)不可能被完全排除掉，但企業(yè)可以運(yùn)用控制手段將這些風(fēng)險(xiǎn)降低到合理水平。脆弱性評(píng)估是風(fēng)險(xiǎn)分析的一部分10。企業(yè)必須首先識(shí)別出系統(tǒng)脆弱性和存

8、在的威脅，然后再確定現(xiàn)有控制是否能把風(fēng)險(xiǎn)低到一個(gè)可接受的水平。如果不能，有必要改進(jìn)控制和防護(hù)措施以減少威脅。早期的風(fēng)險(xiǎn)識(shí)別主要依賴個(gè)人風(fēng)險(xiǎn)管理經(jīng)驗(yàn)。boehm 于1978年提出了管理信息系統(tǒng)典型的八項(xiàng)風(fēng)險(xiǎn)因素，認(rèn)為依照風(fēng)險(xiǎn)源清單，可以識(shí)別出多數(shù)的風(fēng)險(xiǎn)因素。1993年，barki等通過(guò)文獻(xiàn)研究總結(jié)出了35項(xiàng)風(fēng)險(xiǎn)變量1。而marvin等人提出了“基于分類風(fēng)險(xiǎn)辯識(shí)”思想2，認(rèn)為項(xiàng)目風(fēng)險(xiǎn)在屬性和內(nèi)容方面都是權(quán)變的，都是隨著項(xiàng)目、技術(shù)、環(huán)境的變化而變化的，不是一成不變的。這些方法多數(shù)用于it軟件系統(tǒng)開(kāi)發(fā)的風(fēng)險(xiǎn)分析。對(duì)企業(yè)實(shí)施erp這一類復(fù)雜性很高的系統(tǒng)的風(fēng)險(xiǎn)識(shí)別就顯得針對(duì)性、可操作性不強(qiáng)。筆者認(rèn)為，er

9、p系統(tǒng)是一個(gè)社會(huì)-技術(shù)系統(tǒng)，它的實(shí)施牽涉到企業(yè)的各個(gè)層面，應(yīng)該站在企業(yè)這一大系統(tǒng)的角度，對(duì)系統(tǒng)實(shí)施牽涉到的各個(gè)層面的風(fēng)險(xiǎn)進(jìn)行分析。以此為分類的風(fēng)險(xiǎn)分析方法，對(duì)企業(yè)的erp實(shí)施具有積極的指導(dǎo)意義。常見(jiàn)的erp系統(tǒng)風(fēng)險(xiǎn)分為以下幾類2。 軟件選型與企業(yè)的it能力不相匹配。有些企業(yè)在購(gòu)erp系統(tǒng)時(shí)，盲目求新求大求全，而企業(yè)并不具備維護(hù)和使用這些大型系統(tǒng)的人才。實(shí)證研究表明，一項(xiàng)新技術(shù)的采用，用戶需要花大量的資源來(lái)進(jìn)行學(xué)習(xí)。企業(yè)如果不具備相關(guān)的it能力，會(huì)造成資源的大量浪費(fèi)。 erp軟件不能很好地滿足業(yè)務(wù)需求。企業(yè)選用的系統(tǒng)并不適合本企業(yè)的行業(yè)特點(diǎn)和需求，不能很好地滿足企業(yè)的業(yè)務(wù)需求。這一方面是由于用戶

10、不具備it技能，不能很充分表達(dá)他們的需求，別一方面，由于技術(shù)人員對(duì)業(yè)務(wù)流程不熟悉，未能充分理解用戶的需求，兩者不能很好地進(jìn)行溝通，結(jié)果造成系統(tǒng)不能很好是滿足業(yè)務(wù)需求。很多用戶為彌補(bǔ)erp系統(tǒng)的脆弱性，而對(duì)erp系統(tǒng)進(jìn)行二次開(kāi)發(fā)，或建立多余的手工系統(tǒng)，結(jié)果花費(fèi)了大量的人力物力和財(cái)力，系統(tǒng)的實(shí)施不能按時(shí)完成，同時(shí)，erp系統(tǒng)的集成性受到嚴(yán)重挑戰(zhàn)，信息資源的安全性、保密性、完整性受到嚴(yán)重威脅。 erp系統(tǒng)本身的邏輯錯(cuò)誤。在erp系統(tǒng)中，很多事務(wù)處理活動(dòng)都是自動(dòng)完成的，由系統(tǒng)本身邏輯或硬件錯(cuò)誤，造成一些錯(cuò)誤指令。如產(chǎn)生一個(gè)開(kāi)工日期在當(dāng)前日期之前的車間訂單，或某工作人員的工資單超過(guò)百萬(wàn)美元等。這些錯(cuò)誤在

11、人工處理的環(huán)境下是不能發(fā)生的，但是，由于erp系統(tǒng)的應(yīng)用，很多處理活動(dòng)實(shí)現(xiàn)了自動(dòng)化，與人工系統(tǒng)相比，企業(yè)并沒(méi)有派相等的人工對(duì)處理結(jié)果進(jìn)行檢查，而且，能夠理解erp應(yīng)用處理邏輯的人又較少。因此，在某些情況下，這些邏輯錯(cuò)誤很難被識(shí)別出來(lái)。 erp系統(tǒng)本身缺乏柔性。企業(yè)處在一個(gè)激烈競(jìng)爭(zhēng)的市場(chǎng)環(huán)境中，面臨極大的不確定性，需要按照客戶的需求快速地做出響應(yīng)。因此，企業(yè)的業(yè)務(wù)流程不是一成不變的，經(jīng)常需要快速地進(jìn)行調(diào)整。erp 的實(shí)施，往往需要企業(yè)對(duì)業(yè)務(wù)流程進(jìn)行變革和重組，如果erp系統(tǒng)本身不能按照業(yè)務(wù)流程的變化快速地滿足業(yè)務(wù)的特殊需求，則會(huì)讓企業(yè)面臨巨大的風(fēng)險(xiǎn)，失去競(jìng)爭(zhēng)優(yōu)勢(shì)。企業(yè)有可能會(huì)創(chuàng)建更多的系統(tǒng)來(lái)滿足

12、他們的需求。 系統(tǒng)錯(cuò)誤的多米諾效應(yīng)。由于erp系統(tǒng)是一個(gè)集成化系統(tǒng)，一個(gè)模塊的錯(cuò)誤，會(huì)在系統(tǒng)引起另一個(gè)錯(cuò)誤，第二個(gè)錯(cuò)誤又會(huì)引起第三個(gè)錯(cuò)誤，依次類推，會(huì)在系統(tǒng)內(nèi)瀑布式擴(kuò)散，產(chǎn)生多米諾骨牌效應(yīng)。例如，訂單處理系統(tǒng)的錯(cuò)誤會(huì)起引存貨系統(tǒng)的錯(cuò)誤，和應(yīng)收賬款的錯(cuò)誤，而應(yīng)收賬款的錯(cuò)誤又會(huì)引起總賬和財(cái)務(wù)報(bào)表的錯(cuò)誤。通常，程序之間集成度越大，這種風(fēng)險(xiǎn)就越高。 數(shù)據(jù)輸入錯(cuò)誤。erp 系統(tǒng)中的許多數(shù)據(jù)是通過(guò)鍵盤輸入的。數(shù)據(jù)生成人員把需要輸入的數(shù)據(jù)抄錄到一些表格上，交給專職的錄入人員進(jìn)行錄入。由于對(duì)手寫文字或意思的誤解，以及錄入數(shù)據(jù)時(shí)人為的失誤，錯(cuò)誤有可能就發(fā)生在輸入計(jì)算機(jī)的過(guò)程中。一些新技術(shù)的產(chǎn)生，使得數(shù)據(jù)的產(chǎn)生和

13、輸入可以同進(jìn)進(jìn)行，例如，訂單錄入人員在接到電話訂單時(shí)，直接把訂單錄入到erp系統(tǒng)并存儲(chǔ)。由于未對(duì)數(shù)據(jù)進(jìn)行充分認(rèn)證，這個(gè)過(guò)程仍然有可能發(fā)生錯(cuò)誤。其他的數(shù)據(jù)錄入方式包括借助光電掃描儀、銷售點(diǎn)的pos機(jī)等設(shè)備輸入數(shù)據(jù)。盡管如此 ，由于這些全是機(jī)器設(shè)備，由于機(jī)械故障等原因，錯(cuò)誤在所免。錯(cuò)誤的輸入，必然導(dǎo)致錯(cuò)誤的輸出。這會(huì)對(duì)信息資源的準(zhǔn)確和可靠性產(chǎn)生巨大的威脅。 權(quán)責(zé)集中，沒(méi)有分離。erp系統(tǒng)將本應(yīng)由多人承擔(dān)的職責(zé)集中由自動(dòng)化程序來(lái)執(zhí)行。例如，數(shù)據(jù)庫(kù)管理員可能把企業(yè)中許多部門的數(shù)據(jù)控制責(zé)任集于一身，為了獲得個(gè)人利益而欺詐性增加、刪除、或修改數(shù)據(jù)（如支付憑證、報(bào)銷憑證等）。給企業(yè)信息資源的安全造成極大的隱

14、患。從以上對(duì)erp系統(tǒng)的風(fēng)險(xiǎn)分析可以看出，它不僅僅是技術(shù)層面的問(wèn)題，而是貫穿于整個(gè)企業(yè)的不同的層面。包括系統(tǒng)的應(yīng)用管理、基礎(chǔ)設(shè)施層面、人員的安全意識(shí)層面、erp系統(tǒng)軟件本身層面、以及業(yè)務(wù)流程層面等。相應(yīng)的，對(duì)erp系統(tǒng)的風(fēng)險(xiǎn)的控制，也應(yīng)該貫穿于企業(yè)的各個(gè)層面，企業(yè)可以通過(guò)一套整體風(fēng)險(xiǎn)管理體系來(lái)降低風(fēng)險(xiǎn)發(fā)生的可能性。3.2企業(yè)內(nèi)部風(fēng)險(xiǎn)控制系統(tǒng)企業(yè)內(nèi)部控制系統(tǒng)是為了降低以上所討論的諸多風(fēng)險(xiǎn)而建立的。其目的是為了保證信息資產(chǎn)的安全，避免浪費(fèi)、損失、濫用和占為已有，以及各種財(cái)務(wù)報(bào)表的正確可靠，符合相關(guān)法律法規(guī)的要求，如sox等。美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（aicpa）對(duì)內(nèi)部控制系統(tǒng)的定義是10：企業(yè)管理當(dāng)局為

15、實(shí)現(xiàn)企業(yè)目標(biāo)而采取的組織規(guī)劃和一系列方法與措施，以確保企業(yè)的經(jīng)營(yíng)活動(dòng)有序而高效地展開(kāi)，包括貫徹執(zhí)行各項(xiàng)政策、保證資產(chǎn)的安全、防止和監(jiān)測(cè)錯(cuò)誤與舞弊行為的發(fā)生，保證會(huì)計(jì)記錄的準(zhǔn)確和完整以及確保財(cái)務(wù)信息編制的及時(shí)性。針對(duì)erp系統(tǒng)特點(diǎn)和erp系統(tǒng)風(fēng)險(xiǎn)的分析，以及aicpa對(duì)內(nèi)部控制系統(tǒng)的定義，本文擬從以下層面構(gòu)建企業(yè)內(nèi)部erp實(shí)施風(fēng)險(xiǎn)控制系統(tǒng)。3.2.1基礎(chǔ)架構(gòu)層面erp 系統(tǒng)是一個(gè)應(yīng)用系統(tǒng)。它建立在操作系統(tǒng)之上，數(shù)據(jù)庫(kù)是它的核心內(nèi)容，而且大部erp軟件運(yùn)行于網(wǎng)絡(luò)環(huán)境中，如果操作系統(tǒng)、數(shù)據(jù)庫(kù)或網(wǎng)絡(luò)環(huán)境出現(xiàn)安全隱患，則erp 系統(tǒng)面臨巨大的風(fēng)險(xiǎn)。常見(jiàn)的基礎(chǔ)架構(gòu)風(fēng)險(xiǎn)包括：操作系統(tǒng)丁不足、沒(méi)有對(duì)系統(tǒng)進(jìn)行安

16、全優(yōu)化、操作系統(tǒng)或數(shù)據(jù)庫(kù)中本身的隱患、以及技術(shù)配置人員對(duì)安全的意識(shí)不強(qiáng)等等。針對(duì)這些風(fēng)險(xiǎn)，相應(yīng)的控制措施有，制定規(guī)范的補(bǔ)丁和漏洞管理流程和方法，確保在基礎(chǔ)架構(gòu)層面發(fā)現(xiàn)隱患后，能及時(shí)進(jìn)行處理；同時(shí)，按照行業(yè)標(biāo)準(zhǔn)和相關(guān)的技術(shù)標(biāo)準(zhǔn)，建立自己的安全基準(zhǔn)，確?；A(chǔ)架構(gòu)層面的安全達(dá)到一個(gè)最低的要求；制定安全管理規(guī)范，定期對(duì)網(wǎng)絡(luò)進(jìn)行安全掃描，配置適當(dāng)?shù)娜肭謾z測(cè)系統(tǒng)；定期對(duì)更新病毒庫(kù)，合理配置防火墻；最后，是加強(qiáng)技術(shù)配置人員的安全意識(shí)教育，采取相關(guān)的措施，權(quán)限的限定等，保證系統(tǒng)安全可靠。3.2.2 應(yīng)用系統(tǒng)層面erp系統(tǒng)本身由于缺乏柔性，導(dǎo)致靈活性較差，或是由于高度集成性，導(dǎo)致錯(cuò)誤的多為諾效應(yīng)，以及系統(tǒng)本身的

17、一些處理邏輯錯(cuò)誤，使得在系統(tǒng)在應(yīng)用層面臨巨大的風(fēng)險(xiǎn)。針對(duì)這些風(fēng)險(xiǎn)，企業(yè)在系統(tǒng)選購(gòu)時(shí)，應(yīng)該充分考慮到行業(yè)和企業(yè)特殊性，針對(duì)本行業(yè)的特點(diǎn)選擇供應(yīng)商的解決方案?？梢越唤o供應(yīng)商一套模擬數(shù)據(jù)，由多個(gè)供應(yīng)商現(xiàn)場(chǎng)演示他們的解決方案，企業(yè)不但由it部門，更要有業(yè)務(wù)部門人員參與到供應(yīng)商的評(píng)估和方案選擇上來(lái)，這樣才能最大限度地使軟件適合業(yè)務(wù)的需求。另外，現(xiàn)在的erp系統(tǒng)在技術(shù)架構(gòu)上已經(jīng)有了很大的改變，有些已經(jīng)采用了基于soa的系統(tǒng)架構(gòu)，這為提升軟件的靈活性，適應(yīng)業(yè)務(wù)流程的多變性提供了很好的解決方案。因此，在選擇軟件時(shí)，應(yīng)該充分考慮到它的系統(tǒng)架構(gòu)的先進(jìn)性，與國(guó)際上有關(guān)標(biāo)準(zhǔn)的兼容性和常用軟件的集成性。這也是考核erp

18、軟件的一個(gè)重要指標(biāo)。針對(duì)erp系統(tǒng)軟件本身內(nèi)部的補(bǔ)?。╞ug）問(wèn)題，最好的控制就是在系統(tǒng)上線之前進(jìn)行充分的測(cè)試。企業(yè)應(yīng)該集中業(yè)務(wù)部門的骨干，將各業(yè)務(wù)部門的所有業(yè)務(wù)流程有一套模擬數(shù)據(jù)在系統(tǒng)內(nèi)進(jìn)行充分的測(cè)試。尤其需要重點(diǎn)測(cè)試的是業(yè)務(wù)部門之間的接口，也就是erp系統(tǒng)內(nèi)跨模塊的數(shù)據(jù)流。例如，一個(gè)采購(gòu)訂單接收之后，不僅要測(cè)試它的庫(kù)存數(shù)據(jù)的增加，更要測(cè)試它的應(yīng)收賬款的增加。這樣才能測(cè)試出整個(gè)系統(tǒng)的集成性和完整性。總之，對(duì)應(yīng)用系統(tǒng)層面的風(fēng)險(xiǎn)最好的方法就是實(shí)際測(cè)試。對(duì)于發(fā)現(xiàn)的問(wèn)題，應(yīng)該及時(shí)與供應(yīng)商進(jìn)行溝通，如果需要對(duì)系統(tǒng)進(jìn)行二次開(kāi)發(fā)，則開(kāi)發(fā)后新增加的內(nèi)容對(duì)原系統(tǒng)的影響，也必須進(jìn)行充分的測(cè)試。測(cè)試需要企業(yè)花費(fèi)一

19、定的人力物力和財(cái)力，需要有企業(yè)領(lǐng)導(dǎo)的大力支持。需要培養(yǎng)一批既懂業(yè)務(wù)又熟悉系統(tǒng)的業(yè)務(wù)骨干。3.2.3業(yè)務(wù)流程層面erp 系統(tǒng)應(yīng)用的第一步就是輸入需要處理的數(shù)據(jù)，如果不能從源頭上保證數(shù)據(jù)的準(zhǔn)確和及時(shí)性，那么，處理得到的結(jié)果只能是垃圾。因此，必須采取有效的輸入控制程序確保需要處理的事務(wù)能夠被正確完整地接受、處理和記錄。并且，只有合法的、經(jīng)授權(quán)的信息才能被輸入，并且對(duì)這些事務(wù)只處理一次。在一個(gè)集成的系統(tǒng)環(huán)境中，由一個(gè)系統(tǒng)產(chǎn)生的輸出往往是別一個(gè)子系統(tǒng)的輸入。常用的控制有10:l 輸入授權(quán)：輸入授權(quán)驗(yàn)證所有由管理層授權(quán)和批準(zhǔn)的事務(wù)，確保只有經(jīng)授權(quán)的數(shù)據(jù)才能進(jìn)入erp系統(tǒng)進(jìn)行處理。授權(quán)的類型包括： 在一批表

20、格或源文件上簽字，這樣可以提供恰當(dāng)?shù)淖C據(jù)。 在線訪問(wèn)控制-保證只有經(jīng)授權(quán)的人可以訪問(wèn)數(shù)據(jù)或進(jìn)入某些系統(tǒng)功能。例如，只有財(cái)務(wù)部門的人才可能訪問(wèn)財(cái)務(wù)數(shù)據(jù)。 所有的源文件應(yīng)當(dāng)恰當(dāng)控制，如事先編號(hào)，或有相關(guān)程序保證所有的源文件被輸入進(jìn)行了記數(shù)處理。l 批控制和批平衡：批控制是指輸入事務(wù)進(jìn)行分組，以提供總計(jì)控制。批控制的類型主要有： 總金額-確認(rèn)被系統(tǒng)處理的項(xiàng)目總金額等于處理前批文件中項(xiàng)目金額之和。例如，在一個(gè)批次中，銷售發(fā)票的總金額與被處理的銷售發(fā)票的總金額一致。 總項(xiàng)目數(shù)-確認(rèn)在本批次中每一個(gè)文件中的項(xiàng)目總數(shù)與被處理的項(xiàng)目總數(shù)一致。例如，在一個(gè)批次當(dāng)中，發(fā)票中貨物項(xiàng)目總數(shù)與被處理的貨物項(xiàng)目總數(shù)一致。

21、 總文件數(shù)-確認(rèn)一個(gè)批次中文件總數(shù)等于被處理文件總數(shù)。 哈希匯總-確認(rèn)一個(gè)批次中的所有文件中的數(shù)值類字段的總和與系統(tǒng)計(jì)算出來(lái)的總和相等。3.2.4運(yùn)營(yíng)管理層面運(yùn)營(yíng)管理層面對(duì)erp系統(tǒng)的成功起著至關(guān)重要的作用。如果在整個(gè)企業(yè)內(nèi)erp系統(tǒng)的實(shí)施得不到高層領(lǐng)導(dǎo)的支持，推行力度不夠，缺乏強(qiáng)有力的保障制度，對(duì)業(yè)務(wù)部門的實(shí)施效果不能很好地進(jìn)行監(jiān)控，那么erp系統(tǒng)的失敗在所難免。那么，應(yīng)該如何加強(qiáng)對(duì)運(yùn)營(yíng)層面的控制和管理？國(guó)際信息系統(tǒng)研究院提出的cobit模型（信息及相關(guān)技術(shù)的控制模型，control objects for information and related technology, 簡(jiǎn)稱cobi

22、t）,為企業(yè)管理者提供了很好的工具。其框架如圖2所示。圖2 cobit 框架cobit模型將企業(yè)it應(yīng)用生命周期分解為四個(gè)域：計(jì)劃與組織（plan and organise po）、獲取與實(shí)施（acquire and implement ai）、交付與支持（deliver and support ds）、監(jiān)控與評(píng)估（monitor and evaluate me）,每個(gè)域由一系列的過(guò)程所構(gòu)成，共計(jì)34個(gè)過(guò)程。cobit為每個(gè)過(guò)程定義了具體的控制目標(biāo)、管理指南，并采用cmm成熟度模型來(lái)表示“過(guò)程的成熟度”，來(lái)幫助管理者對(duì)過(guò)程水平績(jī)效進(jìn)行度量，以明確改進(jìn)的方向和目標(biāo)。在管理指南中，則詳細(xì)說(shuō)明了構(gòu)成

23、過(guò)程的每個(gè)活動(dòng)的目標(biāo)以及它們的度量指標(biāo)和管理者的職責(zé)。企業(yè)完全可以采用cobit 模型對(duì)erp系統(tǒng)應(yīng)用的生命周期進(jìn)行管理。在此基礎(chǔ)上，依據(jù)erp系統(tǒng)不同階段的任務(wù)和活動(dòng)，對(duì)照cobit的34個(gè)過(guò)程定義，構(gòu)建具體的過(guò)程集。然后，運(yùn)用cobit 的管理指南，對(duì)每個(gè)過(guò)程加以嚴(yán)格控制，并用成熟度模型對(duì)過(guò)程的績(jī)效水平進(jìn)行度量。例如，在交付與支持域，由定義和管理服務(wù)水平、管理第三方愛(ài)服務(wù)水平、確保持續(xù)性服務(wù)、確保系統(tǒng)安全、管理系統(tǒng)配置、管理問(wèn)題和數(shù)據(jù)等13個(gè)過(guò)程構(gòu)成。該域所對(duì)應(yīng)的活動(dòng)，相當(dāng)于企業(yè)在購(gòu)買erp軟件后，供應(yīng)商準(zhǔn)備交付erp軟件，以及系統(tǒng)實(shí)施后對(duì)后續(xù)服務(wù)的支持。管理者可以參照這13個(gè)活動(dòng)清單對(duì)供

24、應(yīng)商的產(chǎn)品的交付和后續(xù)支持活動(dòng)進(jìn)行管理。對(duì)其中的每一個(gè)活動(dòng)，例如，ds7, 教育和培訓(xùn)客戶，管理者可以參照它的管理指南，確保達(dá)到以下三個(gè)目標(biāo)： 對(duì)教育和培訓(xùn)的需求。針對(duì)企業(yè)不同的客戶群的需求，為其制定培訓(xùn)課程，并定期進(jìn)行更新。培訓(xùn)課程的制定應(yīng)該考慮到企業(yè)現(xiàn)在和將來(lái)的戰(zhàn)略需求，員工所需具備的專業(yè)技能，職業(yè)發(fā)展需要，以及培訓(xùn)的方式、時(shí)間、規(guī)模等具體因素。 對(duì)培訓(xùn)和教育的交付。在識(shí)別企業(yè)不同客戶群的不同培訓(xùn)需求的基礎(chǔ)上，明確培訓(xùn)的人員和具體的交付機(jī)制、和培訓(xùn)教師。安排具體的培訓(xùn)活動(dòng)。有效管理培訓(xùn)活動(dòng)，如培訓(xùn)課程簽字機(jī)制，并對(duì)培訓(xùn)效果進(jìn)行評(píng)估。 對(duì)供應(yīng)商提供的培訓(xùn)進(jìn)行評(píng)估。對(duì)供應(yīng)商提供培訓(xùn)的內(nèi)容依據(jù)相

25、關(guān)性、質(zhì)量、有效性、先進(jìn)性、成本和價(jià)值幾個(gè)方面進(jìn)行評(píng)估。評(píng)估結(jié)果應(yīng)該作為后續(xù)培訓(xùn)課程計(jì)劃的參考。為了達(dá)到以上三個(gè)控制目標(biāo)，它的關(guān)鍵活動(dòng)有：識(shí)別用戶培訓(xùn)需求、建立培訓(xùn)項(xiàng)目、執(zhí)行培訓(xùn)活動(dòng)、以及對(duì)培訓(xùn)交付的方法和工具進(jìn)行識(shí)別和評(píng)估。在不同的活動(dòng)中，不同的管理者，承擔(dān)不同的職責(zé)，管理指南也進(jìn)行了明確的定義。例如，在識(shí)別客戶培訓(xùn)需求中，由培訓(xùn)部門業(yè)務(wù)部門直接負(fù)責(zé)（responsible）,而cio 負(fù)領(lǐng)導(dǎo)責(zé)任。對(duì)于具體的過(guò)程或活動(dòng)，cobit也提供了具體的測(cè)量指標(biāo)。例如，可以采用培訓(xùn)課程的更新頻率、培訓(xùn)需求與培訓(xùn)交付的時(shí)間間隔對(duì)培訓(xùn)的活進(jìn)行評(píng)估。最后，企業(yè)可以采用成熟度模型對(duì)企業(yè)的培訓(xùn)與教育這一流程進(jìn)行

26、評(píng)估，共分為不存在的、初始的、重復(fù)的、定義的、管理和可度量的、優(yōu)化的六個(gè)等級(jí)，明確企業(yè)目前的水平以及改進(jìn)的方向。需要指出的是，cobit 模型給出了信息系統(tǒng)全生命周期的34個(gè)控制過(guò)程的控制目標(biāo)，非常詳細(xì)和具體。企業(yè)應(yīng)該根據(jù)自己的實(shí)際需求，將其作為一個(gè)指導(dǎo)框架，而不是一個(gè)教條，生搬硬套。3.2.5 人員意識(shí)層面如果企業(yè)內(nèi)部缺乏有效的安全監(jiān)控體系，對(duì)員工缺乏信息安全意識(shí)的培訓(xùn)，員工對(duì)信息安全的內(nèi)控的意識(shí)薄弱，那個(gè)，黑客可以很容易通過(guò)“社交工程”（social engineering）獲取用戶密碼，從而竊取公司機(jī)密數(shù)據(jù)。人是內(nèi)部控制環(huán)節(jié)中最重要的因素。因此，企業(yè)應(yīng)該根據(jù)公司的安全策略，明確各崗位的安

27、全角色和職責(zé)，包括合同商以及第三方所應(yīng)承擔(dān)的安全職責(zé)，都應(yīng)形成正式的公司文件，納入公司的安全體系。待添加的隱藏文字內(nèi)容2在員工的受聘期內(nèi)，應(yīng)該對(duì)員工進(jìn)行充分的安全教育，確保他們明確針對(duì)公司的安全策略，并簽署相關(guān)的協(xié)議，以明確他們所應(yīng)承擔(dān)的職責(zé)和義務(wù)。3.3 風(fēng)險(xiǎn)控制績(jī)效評(píng)估對(duì)erp實(shí)施風(fēng)險(xiǎn)的控制結(jié)果必須進(jìn)行度量，沒(méi)有度量就沒(méi)有改進(jìn)。它的績(jī)效可以用系統(tǒng)實(shí)施效果來(lái)間接地進(jìn)行度量。系統(tǒng)實(shí)施效果好，則相應(yīng)風(fēng)險(xiǎn)控制較好，反之，則較差。erp系統(tǒng)實(shí)施效果評(píng)估是個(gè)復(fù)雜的系統(tǒng)工程12。需要有相應(yīng)的評(píng)估方法和工具。許多學(xué)者對(duì)此進(jìn)行了研究，有大量的研究成果。例如，有學(xué)者從“用戶滿意度”5視角來(lái)進(jìn)行評(píng)估；也有利用回

28、歸分析來(lái)進(jìn)行系統(tǒng)成功與否的評(píng)價(jià)6。其中最為著名的是“平衡積分卡”方式，本文推薦采用此方法對(duì)erp系統(tǒng)實(shí)施績(jī)效進(jìn)行評(píng)估?！捌胶夥e分卡”12是一種先進(jìn)的績(jī)效評(píng)估體系，它從財(cái)務(wù)指標(biāo)、客戶滿意度、內(nèi)部業(yè)務(wù)流程改進(jìn)、以及組織學(xué)習(xí)與成長(zhǎng)能力的增長(zhǎng)這四個(gè)方面來(lái)評(píng)估erp系統(tǒng)的應(yīng)用績(jī)效，非常全面具體，操作性也強(qiáng)。通過(guò)對(duì)erp應(yīng)用績(jī)效的評(píng)估，可以反映出對(duì)實(shí)施過(guò)程中風(fēng)險(xiǎn)控制與預(yù)期效果的偏差。例如，如果業(yè)務(wù)部門不能及時(shí)從系統(tǒng)得到相關(guān)的業(yè)務(wù)信息或數(shù)據(jù)，或者是，系統(tǒng)提供的數(shù)據(jù)信息不準(zhǔn)確，那么相對(duì)應(yīng)的，數(shù)據(jù)輸入和系統(tǒng)內(nèi)部處理邏輯的風(fēng)險(xiǎn)有可能沒(méi)有很好地控制?？傊?，沒(méi)有度量，就沒(méi)有改進(jìn)。通過(guò)對(duì)風(fēng)險(xiǎn)控制的度量，可以找出企業(yè)內(nèi)部

29、對(duì)風(fēng)險(xiǎn)控制的偏差，從而加以改進(jìn)和提高。4結(jié)束語(yǔ)任何it技術(shù)都是一把雙刃劍，在為企業(yè)帶來(lái)機(jī)遇和競(jìng)爭(zhēng)優(yōu)勢(shì)的同時(shí)，也給企業(yè)帶來(lái)巨大的風(fēng)險(xiǎn)。企業(yè)應(yīng)該在識(shí)別風(fēng)險(xiǎn)的基礎(chǔ)上，加強(qiáng)風(fēng)險(xiǎn)控制，使風(fēng)險(xiǎn)控制在可接受的水平內(nèi)。本文在分析erp系統(tǒng)特點(diǎn)和主要風(fēng)險(xiǎn)的基礎(chǔ)上，從企業(yè)系統(tǒng)視角出發(fā)，圍繞基礎(chǔ)架構(gòu)層面、應(yīng)用系統(tǒng)層面、運(yùn)營(yíng)管理層面、業(yè)務(wù)流程層面和人員意識(shí)層面構(gòu)建了企業(yè)風(fēng)險(xiǎn)系統(tǒng)。提出了每個(gè)層面具體的風(fēng)險(xiǎn)控制措施，對(duì)企業(yè)erp實(shí)施、加強(qiáng)內(nèi)部風(fēng)險(xiǎn)控制具有極積的指導(dǎo)意義。參考文獻(xiàn)：1 barki h., riverd s., talbot j. toward an assessment of software development risk. journal of management information system, 1993,; 10(2)2 marvin j., carr s.,l. konda, i. monarch , f. c. ulrich , c. f.