ERP系统实施和应用的风险特征
过去的一年,关于ERP成功与失败的探讨基本是喜忧参半的:一方面是成功者看到信息化提升效率、降低成本的喜悦;另一方面是征战ERP的种种艰辛和差强人意的结果,甚至惨痛教训。ERP之路充满风险,这些风险包括哪些方面?有什么方法可以有效地管理这些风险,使企业能预先将风险尽可能降低?本栏目特请汉道信息技术咨询有限公司资深顾问陆培炜先生来谈谈“风险管理”问题。 风险:缺少管理的一环 ERP系统本身所带给企业的应该是管理上的提高和企业竞争力的改善。然而,回顾2002年风风火火的中国ERP市场,给人更多的感受是企业热度高、雷声大,但很多最终实施ERP系统的企业并没有体验到成功的喜悦。 对于ERP失败的原因,软件商、管理咨询公司、学术研究机构都从不同的视角给出问题的原因和相应的对策,比如说流程优化、管理改造与ERP项目的结合,ERP系统上线后的持续改进等等,这些都是把注意力放在解决目前ERP所遇到问题上面。 我们分析一下这些方法可以发现,他们都与企业组织结构、流程和项目管理等有关,而技术方面的关联较少。事实上,由于ERP软件是基于流程式管理思想来设计的,同时技术上强调功能的集成性和数据的一致性,这就决定了ERP系统在使用中不同于其他企业办公软件的特点,这些特点犹如一把双刃剑,为企业带来管理效率提高的同时,也增加了许多企业运营管理的不确定性,这些不确定因素会给企业带来巨大的麻烦,甚至是灾难性的后果。 所谓不确定性,也就是ERP系统的风险所在。ERP系统在企业中没有获得预期的效果,一方面有软件选型、实施、项目管理和企业自身使用能力等方面的原因,另一方面就在于企业对ERP应用过程中的客观存在的脆弱性没有进行很好地管理。系统的脆弱性是由系统本身的特点决定的。企业通过信息系统进行大量的数据处理,这对企业来说是好事,提高了可靠性,节省了人力。但是在数据处理过程中,如果控制不力,缺少对数据进行检查和控制,从而导致数据出错,出错的数据与正确数据一同处理,其结果也是错误的。 技术风险 ERP系统的使用涉及到整个企业的业务流程。高度集成的功能和系统使用户无论在企业的哪个角落都能获得访问系统并且控制或改变重要的业务参数的可能。显然,ERP系统的特点一方面使企业员工以更大的灵活性去处理问题、提高效率,但另一方面如果对这种灵活性缺乏有效的控制,那么ERP的高度集成性和分布式的系统技术结构同样会为企业带来风险。 首先,ERP系统中高度集成的功能模块使得任何一点出现问题都会影响到其他模块的正常运行。举例来说,分销模块中的采购定单的下达,将同时会有相应的确认信息在成本管理模块和现金管理模块中产生。这种在线实时功能使得在某一数据输入点数据输入错误或模块发生问题时将会把这个影响迅速扩散到系统的其他功能应用上。 其次,传统的ERP系统采用的是客户端/服务器结构。这种分布式的结构使企业能够低成本、高效率地获得业务集成管理功能。但是,这种分布式的技术架构使系统管理的难度增大,系统更容易暴露在有意和无意的系统攻击的风险中。 第三,系统审计难度加大。复杂的ERP系统使得系统控制和审计人员必须具有相应的专业知识。但是,对于大型的ERP系统,几乎没有人能够对整个系统的功能和每个模块的特点有个全面的认识和理解。例如,对于熟悉财务管理模块的人员,他就无法做到对其他所有模块有深入的认识。
第四,许多ERP系统已经开始使用基于WEB的B/S技术,这种技术支持异地登录和访问。这种技术在为那些跨地域、多工厂企业带来系统管理便利的同时,也带来了潜在的风险。由于通过因特网登录,不受空间的限制,任何不正当的用户授权都能导致对系统的非法访问。 第五,ERP系统的高度集成性的一大特点是使用单一的数据库,并且任何数据的输入都是单点的。这一方面保证了ERP系统数据的一致性和减少重复劳动,使各个部门,如生产、销售、库存和财务能够共享信息。另一方面,在这样的环境中,数据的所有权和维护成为一个问题。如果存在不合适的访问权限的定义,缺乏有效的法规对系统使用的控制,那么系统中的一些机密数据将会变得非常透明,将会可能导致企业的重大损失。 管理风险 除了ERP系统本身的技术特点给企业带来新的管理风险外,ERP系统的使用也对企业的组织管理带来了新的挑战。这些挑战处理不好,同样是企业面临的风险。 首先,由于ERP实行的是流程化的管理,会打破原来的条块分割,势必导致企业组织结构的改变,甚至是对业务流程的重新思考。许多咨询公司在为企业实施ERP时都要求对企业原有的业务流程进行重新设计,重新设计的手段就是减少或合并流程中重复的、不增值的环节。这对企业传统的内部控制产生影响,如果不能很快建立起新的、有效的内部控制,必然对企业的整体运营产生影响。 其次,ERP系统使用会改变企业员工的职权。这种工作角色的转变和适应过程同样具有不确定性。一般来说,人们比较容易接纳外部环境的变化,但当外部环境需要他或她自身改变时,就容易出现抵触情绪。一个企业使用ERP系统一年多以后,企业员工还是希望能够将有的数据以报表的方式打印出来,因为觉得还是看报表方便。矛盾的是,ERP系统提供了具有权限管理的数据访问以保证数据的安全;另一方面员工却无法改变过去的习惯。显然,人们对系统的所带来变化的适应过程和程度是不一样的,使用ERP的结果就不确定了,这种不确定性同样会给业务运作带来风险。
第三,流程化的管理进一步密切了部门与部门之间的关系。系统用户必须对自己的每一个业务行为负责,因为它直接影响到其他部门的业务能否顺利进行,并且最终关系到整个企业运作秩序。过去,企业是基于职能部门的管理,各部门的主管只要扫好自家门前雪就行了,而上了ERP系统,情况就变了。跨职能部门的流程管理使得原先的部门主管变为了某部分流程的所有者。某个环节出现问题,将直接影响到其他流程的运作。过去职能化的管理也许还有绕过变通的方法,而上了ERP系统就非得从每个流程过,系统不认“走后门”。在这种情况下,任何一个环节出差错,就直接影响到后续流程的实施,显然风险特征与过去大不相同了。事实上也说明了这一点,许多上了ERP的企业部门主管不自觉地比以前更需要责任心了。 第四,由于ERP系统使数据的捕捉一次性完成。管理部门对信息质量的控制难度加大,而这些信息最终要成为业务决策的依据。ERP采用的是单一数据库,所有的数据采取一次性单点输入。在过去,企业的数据可能会来自不同部门。比如,库存和采购对某个产品都有统计数据,两个部门可以通过比较发现错误。而上了ERP系统后,某产品入库的具体数量一般只有仓库确认,如果有差错,将直接影响销售、生产、和财务等部门的统计。事实上,相比过去,对业务的控制点比以前少了。