過去的一年,關于ERP成功與失敗的探討基本是喜憂參半的:一方面是成功者看到信息化提升效率、降低成本的喜悅;另一方面是征戰(zhàn)ERP的種種艱辛和差強人意的結果,甚至慘痛教訓。ERP之路充滿風險,這些風險包括哪些方面?有什么方法可以有效地管理這些風險,使企業(yè)能預先將風險盡可能降低?本欄目特請漢道信息技術咨詢有限公司資深顧問陸培煒先生來談談“風險管理”問題。
風險:缺少管理的一環(huán)
ERP系統(tǒng)本身所帶給企業(yè)的應該是管理上的提高和企業(yè)競爭力的改善。然而,回顧2002年風風火火的中國ERP市場,給人更多的感受是企業(yè)熱度高、雷聲大,但很多最終實施ERP系統(tǒng)的企業(yè)并沒有體驗到成功的喜悅。
對于ERP失敗的原因,軟件商、管理咨詢公司、學術研究機構都從不同的視角給出問題的原因和相應的對策,比如說流程優(yōu)化、管理改造與ERP項目的結合,ERP系統(tǒng)上線后的持續(xù)改進等等,這些都是把注意力放在解決目前ERP所遇到問題上面。
我們分析一下這些方法可以發(fā)現(xiàn),他們都與企業(yè)組織結構、流程和項目管理等有關,而技術方面的關聯(lián)較少。事實上,由于ERP軟件是基于流程式管理思想來設計的,同時技術上強調功能的集成性和數(shù)據(jù)的一致性,這就決定了ERP系統(tǒng)在使用中不同于其他企業(yè)辦公軟件的特點,這些特點猶如一把雙刃劍,為企業(yè)帶來管理效率提高的同時,也增加了許多企業(yè)運營管理的不確定性,這些不確定因素會給企業(yè)帶來巨大的麻煩,甚至是災難性的后果。
所謂不確定性,也就是ERP系統(tǒng)的風險所在。ERP系統(tǒng)在企業(yè)中沒有獲得預期的效果,一方面有軟件選型、實施、項目管理和企業(yè)自身使用能力等方面的原因,另一方面就在于企業(yè)對ERP應用過程中的客觀存在的脆弱性沒有進行很好地管理。系統(tǒng)的脆弱性是由系統(tǒng)本身的特點決定的。企業(yè)通過信息系統(tǒng)進行大量的數(shù)據(jù)處理,這對企業(yè)來說是好事,提高了可靠性,節(jié)省了人力。但是在數(shù)據(jù)處理過程中,如果控制不力,缺少對數(shù)據(jù)進行檢查和控制,從而導致數(shù)據(jù)出錯,出錯的數(shù)據(jù)與正確數(shù)據(jù)一同處理,其結果也是錯誤的!
技術風險
ERP系統(tǒng)的使用涉及到整個企業(yè)的業(yè)務流程。高度集成的功能和系統(tǒng)使用戶無論在企業(yè)的哪個角落都能獲得訪問系統(tǒng)并且控制或改變重要的業(yè)務參數(shù)的可能。顯然,ERP系統(tǒng)的特點一方面使企業(yè)員工以更大的靈活性去處理問題、提高效率,但另一方面如果對這種靈活性缺乏有效的控制,那么ERP的高度集成性和分布式的系統(tǒng)技術結構同樣會為企業(yè)帶來風險。
首先,ERP系統(tǒng)中高度集成的功能模塊使得任何一點出現(xiàn)問題都會影響到其他模塊的正常運行。舉例來說,分銷模塊中的采購定單的下達,將同時會有相應的確認信息在成本管理模塊和現(xiàn)金管理模塊中產(chǎn)生。這種在線實時功能使得在某一數(shù)據(jù)輸入點數(shù)據(jù)輸入錯誤或模塊發(fā)生問題時將會把這個影響迅速擴散到系統(tǒng)的其他功能應用上。
其次,傳統(tǒng)的ERP系統(tǒng)采用的是客戶端/服務器結構。這種分布式的結構使企業(yè)能夠低成本、高效率地獲得業(yè)務集成管理功能。但是,這種分布式的技術架構使系統(tǒng)管理的難度增大,系統(tǒng)更容易暴露在有意和無意的系統(tǒng)攻擊的風險中。
第三,系統(tǒng)審計難度加大。復雜的ERP系統(tǒng)使得系統(tǒng)控制和審計人員必須具有相應的專業(yè)知識。但是,對于大型的ERP系統(tǒng),幾乎沒有人能夠對整個系統(tǒng)的功能和每個模塊的特點有個全面的認識和理解。例如,對于熟悉財務管理模塊的人員,他就無法做到對其他所有模塊有深入的認識。
第四,許多ERP系統(tǒng)已經(jīng)開始使用基于WEB的B/S技術,這種技術支持異地登錄和訪問。這種技術在為那些跨地域、多工廠企業(yè)帶來系統(tǒng)管理便利的同時,也帶來了潛在的風險。由于通過因特網(wǎng)登錄,不受空間的限制,任何不正當?shù)挠脩羰跈喽寄軐е聦ο到y(tǒng)的非法訪問。
第五,ERP系統(tǒng)的高度集成性的一大特點是使用單一的數(shù)據(jù)庫,并且任何數(shù)據(jù)的輸入都是單點的。這一方面保證了ERP系統(tǒng)數(shù)據(jù)的一致性和減少重復勞動,使各個部門,如生產(chǎn)、銷售、庫存和財務能夠共享信息。另一方面,在這樣的環(huán)境中,數(shù)據(jù)的所有權和維護成為一個問題。如果存在不合適的訪問權限的定義,缺乏有效的法規(guī)對系統(tǒng)使用的控制,那么系統(tǒng)中的一些機密數(shù)據(jù)將會變得非常透明,將會可能導致企業(yè)的重大損失。
管理風險
除了ERP系統(tǒng)本身的技術特點給企業(yè)帶來新的管理風險外,ERP系統(tǒng)的使用也對企業(yè)的組織管理帶來了新的挑戰(zhàn)。這些挑戰(zhàn)處理不好,同樣是企業(yè)面臨的風險。
首先,由于ERP實行的是流程化的管理,會打破原來的條塊分割,勢必導致企業(yè)組織結構的改變,甚至是對業(yè)務流程的重新思考。許多咨詢公司在為企業(yè)實施ERP時都要求對企業(yè)原有的業(yè)務流程進行重新設計,重新設計的手段就是減少或合并流程中重復的、不增值的環(huán)節(jié)。這對企業(yè)傳統(tǒng)的內部控制產(chǎn)生影響,如果不能很快建立起新的、有效的內部控制,必然對企業(yè)的整體運營產(chǎn)生影響。
其次,ERP系統(tǒng)使用會改變企業(yè)員工的職權。這種工作角色的轉變和適應過程同樣具有不確定性。一般來說,人們比較容易接納外部環(huán)境的變化,但當外部環(huán)境需要他或她自身改變時,就容易出現(xiàn)抵觸情緒。一個企業(yè)使用ERP系統(tǒng)一年多以后,企業(yè)員工還是希望能夠將有的數(shù)據(jù)以報表的方式打印出來,因為覺得還是看報表方便。矛盾的是,ERP系統(tǒng)提供了具有權限管理的數(shù)據(jù)訪問以保證數(shù)據(jù)的安全;另一方面員工卻無法改變過去的習慣。顯然,人們對系統(tǒng)的所帶來變化的適應過程和程度是不一樣的,使用ERP的結果就不確定了,這種不確定性同樣會給業(yè)務運作帶來風險。
第三,流程化的管理進一步密切了部門與部門之間的關系。系統(tǒng)用戶必須對自己的每一個業(yè)務行為負責,因為它直接影響到其他部門的業(yè)務能否順利進行,并且最終關系到整個企業(yè)運作秩序。過去,企業(yè)是基于職能部門的管理,各部門的主管只要掃好自家門前雪就行了,而上了ERP系統(tǒng),情況就變了?缏毮懿块T的流程管理使得原先的部門主管變?yōu)榱四巢糠至鞒痰乃姓。某個環(huán)節(jié)出現(xiàn)問題,將直接影響到其他流程的運作。過去職能化的管理也許還有繞過變通的方法,而上了ERP系統(tǒng)就非得從每個流程過,系統(tǒng)不認“走后門”。在這種情況下,任何一個環(huán)節(jié)出差錯,就直接影響到后續(xù)流程的實施,顯然風險特征與過去大不相同了。事實上也說明了這一點,許多上了ERP的企業(yè)部門主管不自覺地比以前更需要責任心了。
第四,由于ERP系統(tǒng)使數(shù)據(jù)的捕捉一次性完成。管理部門對信息質量的控制難度加大,而這些信息最終要成為業(yè)務決策的依據(jù)。ERP采用的是單一數(shù)據(jù)庫,所有的數(shù)據(jù)采取一次性單點輸入。在過去,企業(yè)的數(shù)據(jù)可能會來自不同部門。比如,庫存和采購對某個產(chǎn)品都有統(tǒng)計數(shù)據(jù),兩個部門可以通過比較發(fā)現(xiàn)錯誤。而上了ERP系統(tǒng)后,某產(chǎn)品入庫的具體數(shù)量一般只有倉庫確認,如果有差錯,將直接影響銷售、生產(chǎn)、和財務等部門的統(tǒng)計。事實上,相比過去,對業(yè)務的控制點比以前少了。