时间:2020-05-20 作者:刘媛媛 刘凌冰 (作者单位:东北财经大学)
[大]
[中]
[小]
摘要:
从世界范围内的ERP市场来看,其规模以每年3%的速度发展壮大,市场竞争也日趋激烈。市场风云变化也激发了多样化、差别化的ERP系统(如功能性和控制点差别显著的系统)被开发出来。然而,很多企业缺乏对ERP系统设计差异和新技术的掌握,在系统实施期间或者在系统实施后,承受了灾难性的后果。因此,防范和规避ERP系统应用所带来的风险成为企业关注和争论的焦点。
一、国际上公认的信息系统风险控制目标与框架
国际信息系统审计与控制协会(Information System Audit and Control Association,ISACA)于1996年提出了信息及相关技术的控制目标(the ControlObjectives for In for mationandre lated Technology,COBIT),该目标为管理层、使用者和审计人员理解商业风险、控制目的和技术问题提供了一个基本框架。
COSO委员会(The Committee of Sponsoring Organization)经过多年的研究,于1992年提出了《内部控制——整体框架》报告,该报告综合考虑了与商业、会计、审计和鉴证相关的风险,建立了内部控制评价的基本框架。
2002年,美国国会通过了萨班斯——奥克斯法案(Sarbanes-OxleyAct,SOX法案),该法案第404条款提出了对企业内部管理评估的...
从世界范围内的ERP市场来看,其规模以每年3%的速度发展壮大,市场竞争也日趋激烈。市场风云变化也激发了多样化、差别化的ERP系统(如功能性和控制点差别显著的系统)被开发出来。然而,很多企业缺乏对ERP系统设计差异和新技术的掌握,在系统实施期间或者在系统实施后,承受了灾难性的后果。因此,防范和规避ERP系统应用所带来的风险成为企业关注和争论的焦点。
一、国际上公认的信息系统风险控制目标与框架
国际信息系统审计与控制协会(Information System Audit and Control Association,ISACA)于1996年提出了信息及相关技术的控制目标(the ControlObjectives for In for mationandre lated Technology,COBIT),该目标为管理层、使用者和审计人员理解商业风险、控制目的和技术问题提供了一个基本框架。
COSO委员会(The Committee of Sponsoring Organization)经过多年的研究,于1992年提出了《内部控制——整体框架》报告,该报告综合考虑了与商业、会计、审计和鉴证相关的风险,建立了内部控制评价的基本框架。
2002年,美国国会通过了萨班斯——奥克斯法案(Sarbanes-OxleyAct,SOX法案),该法案第404条款提出了对企业内部管理评估的要求,并要求企业高层记录、证明和评价与公司财务报告相关的内部控制和过程的有效性。
严格地说,COSO报告和SOX法案并没有对信息系统提出要求,但如果上市公司实施了ERP系统,各个与财务数据相关的主要业务流程都由ERP系统支持,如果ERP系统控制的一致性和有效性不足,这将降低数据和自动控制的可依赖性,从而对整个内控体系的有效性产生负面影响,进而产生灾难性的后果。为此,识别ERP系统的风险并加强防范成为实施ERP系统的上市公司的一项重要工作。
二、ERP系统的风险识别
参考并借鉴上述公认的信息系统风险及其评估框架,结合ERP系统实践开发和应用经验,可将ERP系统的风险评估分成四类:商业风险、控制风险、系统风险和安全风险。
(一)商业风险
商业风险是指那些与企业经营业务本质有关的、可能阻碍企业达到目标的风险。由于商业风险最终影响到企业的运营,所带来的损失比较直接,因此受到普遍的关注,在ERP系统的四种风险中也是最重要的风险。ERP系统的商业风险表现在以下三个方面:
1、项目开发和实施。对项目定义不充分是ERP失败的最重要原因之一。在任何一个遗留系统(legacysystem)的开发和实施过程中,对项目计划的明确定义是成功的一个关键要素。由于遗留系统是一个松散耦合的信息系统,所以对项目的拙劣定义只会影响一些功能性领域。但是在一个集成的ERP系统中,对项目的定义不充分明确,会影响整个企业。很多企业没有考虑商业目标、实施战略、系统架构(landscaping)、技术需求、成本等就盲目采纳ERP技术,结果是由信息技术(IT)来驱动ERP实施,而由于缺乏把ERP系统与商业战略集成起来的、内在一致的实施战略却导致失败。
2、企业文化和再造。许多企业在充分实施ERP系统之前没能认识到培植企业文化的重要性。由于ERP软件包括预制的商业流程,因此一定程度的业务流程再造是建立有效ERP系统的先决条件,高级管理层的支持是企业流程再造的重要条件。许多ERP实施失败的事例也都归咎于高级管理层缺乏对技术及其对企业影响程度的理解。
3、人的因素。对员工的充分培训和使用者参与实施被认为是ERP系统成功的最重要因素,相应地,用户参与不足、培训不充分则是ERP系统的重要风险。缺乏用户参与的典型后果包括无意识错误和无效率风险。另外一个经常被忽略的人的因素是员工承受巨大压力而导致的风险,尤其是财务与会计部门的员工在遗留系统中承受着繁重工作的压力。任何一个ERP系统都是高度集成的,因此,一个单一的错误,不管是有意的还是无意的,都将对数据的准确性产生重要影响。
(二)控制风险
控制风险是指ERP系统不能执行所设计的功能的风险。控制风险包括职责分离不足和运营的无效率。
1、职责分离不足。职责分离是内部控制系统的重要组成部分,也是SOX法案404条款要求的重点之一。根据业界的权威统计,在所有报告的实质性漏洞中,职责分离占了相当大的比重,因此必须对应用系统的关键用户进行合理的管理,以实现用户授权适当和分工合理。在ERP系统中,职责可能集中在应用系统和IT人员方面,由于流程的相互关联和自动执行,一个用户输入单一数据条目有可能引发关联的循环过程。对初始输入数据的接受和确认是固有的,但通常在其他环节没有进行再确认。尽管职责的正确分离可能是非常困难的,但缺乏正确的职责分离可能使潜在错误或欺诈产生灾难性的后果。
2、经营无效。内控系统的目标之一是提高运营的效率。但由于ERP系统中内控的存在,至少在实施的初始阶段使得运营效率大大地降低了。很多用户不熟悉任务分配的职责,把时间浪费在无价值的作业中而影响运营效率,如改错或重新键入数据。在一个高度集成的ERP系统中,改错会是非常单调乏味和困难的任务。许多员工利用ERP系统,除了改错和重做之外,可能还继续遵循旧的流程。在遗留系统中的那些流程在ERP系统中显然是很难执行的,最终导致结果无效。
(三)系统风险
系统风险是指已实施的系统并没有按设计发挥功能。系统控制点是由工程师和系统分析师设计的、由供应商决定的。另外,实施ERP系统时,公司内的IT人员可能不具备必要的技能和经验,因此大多数企业依赖于ERP的顾问选择了错误的ERP系统都可能导致全部系统失败。
1、ERP系统的错误选择。欲购置ERP系统的企业需要明确特定的系统是否适合其本身的商业文化和业务流程。ERP的供应商为了产品的差别化而为市场的特定群体开发了具有特性的产品。因此,ERP系统各具优势和劣势。除了产品特性,不同供应商的ERP系统的内部控制点可能也有很大的差别。大的ERP供应商为企业提供了更加复杂的控制系统。但即使在大的ERP供应商之间,系统控制点也有很大的不同。最近几年,供应商之间发生的并购事件也对售后服务和维护产生了不良影响,小的ERP供应商被另一家公司收购后停止提供售后维护是完全可能的。
2、咨询服务。由于缺乏行内经验,几乎所有的ERP实施都要聘用咨询公司。咨询公司提供了多样化服务,包括确认需求、为ERP系统设计必要的规范、选择ERP软件和应对新旧系统转换。但咨询公司服务质量差距很大,所以选择一个具备必需技能的咨询师对企业来说是至关重要的。
(四)安全风险
安全风险是指未经授权进入设备、软件或者数据库的风险。安全控制可以分为两大类:物理控制和逻辑控制。物理控制把接近ERP终端或者设备的人限制于经授权的人员。逻辑控制包括利用密码、加密和防火墙,来防止未经授权的人进入软件或者数据仓库。物理控制在遗留系统和ERP系统中是相同的,大多数企业物理控制措施较成熟,这里的讨论集中于逻辑控制的风险。
实施ERP系统的主要目的之一是提高效率。但是,安全控制可能影响效率。当需要在安全控制和效率之间权衡时,管理层通常选择效率优先安全控制。为使基于客户需求的软件与ERP系统协同工作而安装了附加系统(bolt-on)是带来安全风险的一个重要原因。如果附加系统是由同一个ERP供应商设计或者是为特定的ERP系统设计的,安全风险可能会比较低;而如果是由其他的ERP供应商依据用户需求定制或设计的,兼容性问题会产生更多的安全风险。
用户界面也会影响安全风险。不同的ERP系统有不同的界面设计和不同的安全控制。企业业务往往需要和与系统过程和控制相关的第三方伙伴相结合,比如客户和供应商之间,这就对企业的安全控制产生了潜在的威胁。
三、ERP系统的风险防范
(一)商业风险防范
明确定义项目目标和实施战略是成功开发信息系统的两个先决条件和重要因素。ERP软件的技术设计和配置应当实现企业的使命和目标。一般来说,如果开发和实施一个ERP系统,管理层应当明确ERP系统对以下四个领域的影响:(1)对企业使命或目标的贡献;(2)经营业绩的变化;(3)ERP用户的满意度;(4)信息系统的适应性和可量测性。
一个成功的ERP系统要求所有的功能领域应该涉及企业的文化定位或者说企业文化的变革。商业文化应当包含新技术革新和经营的任何变化,允许企业充分利用新技术的好处。除此之外,企业应当要求ERP供应商、咨询师和IT人员向高层管理者提供必要的技术信息。高级经理层应当在最低的限度内掌握最基本的ERP及其对业务影响的知识。
不管什么类型的系统,管理层永远不能忽视人的因素,尤其是当ERP系统对企业整体经营产生普遍性影响的时候。在ERP环境下,提供足够的培训不仅包括预实施阶段,也包括同样重要的事后培训。用户参与定义ERP项目、ERP开发和系统转换也是成功非常重要的因素。所有员工都应当理解新业务流程模式、必需的作业、控制机制和业绩评价。管理层也应当考虑重新设计工作流程,尤其对那些压力大的功能性领域。另外,以前的监控系统应当得以贯彻执行,这样任何早期预警信号,都可能迅速而有效地得以处理。
(二)控制风险防范
为了弥补ERP环境下特有的职责分离不足,在ERP项目实施前,内部审计部门和依靠数据才能运营的部门或分部的经营应当设置合理的授权作业。对那些被授权的用户,经理应当进行持续的监管以确保达到内部控制目标。
内部审计人员为了获得对功能的理解和保证数据的机密性,应当确定潜在的控制风险和开展减轻风险的有效性测试。任何风险暴露或者发现的错误都应当报告给高级管理层和系统管理员。为了降低或者消除损失的可能性,高级管理层和系统管理员应当采取所有必要的改正措施。
在项目实施之前提高运营效率的一个重要措施是合理的用户培训和开发阶段的用户参与。培训项目不仅应当包括讲授使用新技术必要的技能,也应当确保用户完全理解流程再造对ERP系统成功的重要性,训练有素的员工应当具备识别和消除无价值作业的必要技能。如果对流程再造的目的和重要性有一个比较好的理解,用户对新技术的抵触情绪会降低,这样,在一个积极向上的环境中,生产力会大大提高。开发阶段用户的参与是提高效率的另一个关键要素。用户的参与使得用户和IT人员之间建立起一种切实有效的沟通机制,而开发阶段良好的沟通使得项目以用户为导向而非IT驱动的系统。当用户的需求被识别并得以技术支持时,ERP系统就产生了效率。
(三)系统风险防范
ERP系统都有各自的特性,因此,选择一个合适的ERP系统以解决企业所有的问题,即使可能,也是极其困难的。当选择ERP系统时,管理层需要从最宽泛的视野来进行评估,然后集中关注满足业务流程的特定应用。如果ERP系统还没有完全实施,但却不适应业务流程,经理必须考虑利用行业特定的附加系统或软件来支持企业自身的需要,以改进ERP系统。为了使企业免受由于并购而缺乏供应商的支持或者任何其他的原因而导致的不必要的经营中断,管理层不仅应当考虑ERP软件的功能性,也要把握供应商的财务、技术方面的优势与劣势,应当试图去评估供应商由于财务困难或者技术退步而导致的任何合并的可能性。
当选择咨询公司时,高级管理层还有IT人员应当会见咨询师,了解他们的背景以确定他们的技术资格,服务合同需要列明咨询团队中提供服务的特定的成员。为了防止成本超标,管理层应当定义项目目标并在清晰定义的项目目标的基础上商谈服务内容。为了减少或者消除在实施阶段对咨询公司的依赖,企业应当对IT人员进行广泛的培训。信息系统部门应当从支持遗留系统转变到运行ERP系统。如果有必要,企业还应当搜寻额外的IT专家。
(四)安全风险防范
为了提高运营效率,管理层经常以牺牲安全控制为代价。安全控制不足可能不仅对运营效率而且对运营成本产生负面影响,企业应当在系统想要达到的效率水平和必要的安全控制方面加以权衡。为了降低源自附加系统兼容性问题的安全风险,管理层需要理解潜在的风险并选择能够提供最高水平保证防范风险的供应商。如果需要附加系统,管理层首先应当考虑选择由同一个供应商或者其他供应商设计的专用于ERP系统的附加系统。与防范控制风险一样,选择最适合的安全控制和界面设计的ERP系统是很关键的。另外,在将ERP系统与其他的外部实体的系统整合之前,管理层应当评估与其业务相关的交易方的安全系统,以确保未经授权的进入或交易输入企业系统。
此外,对企业管理层来说,对ERP系统的风险及其为了消除或者减轻这些风险可能实施的相关的防范措施有个基本了解是非常重要的。ERP系统要求企业再造或者改变其业务流程以适应一个高度集成的系统。改造流程和ERP系统的特性对商业运营、控制、系统和安全产生了潜在的风险。任何风险或者风险组合都可能导致运营上的严重后果。由于ERP系统的实施成本不确定,有一些隐藏成本,如咨询、测试、培训人员,因此业务流程的再造不但会增加成本,还会延长实施时间。高层管理者应认识到潜在风险和相关的防范措施,以确保ERP系统的成功实施。
责任编辑 刘黎静
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 电话:010-88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号