系统访问风险及其控制
由于ERP系统将所有大量的业务应用功能集成在一个系统环境之下,ERP用户就可能有更多的机会访问其它与之不相关的信息。虽然,ERP系统中都有权限控制的功能,但这并不能完全保证信息的保密性和完整性。另外,通过无线或远程登录ERP系统在这两年已开始推广,它们在一定程度上进一步增加了访问系统的机会。伴随着这些访问机率和途径的增加,对数据的准确性控制难度和各类恶意攻击将对系统构成威胁都将加大。
纵观目前市场上的ERP系统,几乎都具备不同程度的安全控制功能。例如在某ERP系统中,就有大量的安全参数设置,包括用户密码、入侵锁定、超级用户访问等等。为了确保万无一失,有些ERP系统还通过插件的方式获得更强的安全控制。除了技术手段外,企业还应该制定面向企业级的安全策略,用户的访问权限应该基于这个安全策略来定义,而不仅仅是基于业务需求的考虑。在实践中,对于访问风险控制我们可以考虑下面一些因素:
*访问权限的定义和访问权限的使用应由不同的人员来执行;
*权限应局限于用户的工作需要或根据用户在业务流程中的角色来定义,并符合企业级安全策略的要求;
*权限的定义还要根据风险控制和成本效益平衡的原则,也就是说,消除用户某个权限后,规避的风险和可能付出的代价是否是合理的。
数据质量风险及其控制
许多实施了ERP系统的企业中流传这样一句话,如果数据的准确性、完整性不能保证,那么ERP系统的使用是没有任何意义的,“进去的是垃圾,出来的肯定也是垃圾”。ERP系统中,数据的录入一般有两种方式,一种是人工键入,另一种是通过数据录入装置,例如条形码扫描。对于后一种方式,数据录入的差错风险较小,但人工键入的方式差错率就比较高。虽然,ERP系统中可以设置一些参数来对错误数据进行报警,但无法根本上解决这类问题。
实验中,我们发现,对于系统弹出的警告,系统用户在经历多次后会变得麻木,甚至完全忽略。实践证明,建立完善的输入控制机制是有效化解这方面风险的手段。一方面,要加强人员的培训和增加控制点。例如,数据输入后,由另外一个人进行核对并确认。这种方式采用得比较普遍。但由于这种校对受到员工责任心、情绪和工作环境等因素影响,往往控制效果不是非常显著。因此,我们常常需要采取另外一些手段。这些手段是从“人机工程学”的角度来考虑,例如,原始凭证的设计和布局符合人们日常阅读的习惯,关键的数据采用加粗,键盘的设计有利于录入操作等等。
小结
企业信息化过程中,ERP系统的实施和应用是一个重要的方面。对于准备信息化的企业,无论是使用ERP系统还是选用CRM系统或其他商业应用系统,无论是属于制造业还是服务业,都将面临业务流程越来越依靠信息系统来实现这样一个趋势。从辩证的角度来看,任何事物总存在正反两方面的因素。通过对ERP系统风险的讨论,希望大家对企业信息化过程中信息技术可能给我们所带来的负面影响,特别是业务方面的影响有个初步的认识。
本次有关ERP系统风险管理的讲座只是起个抛砖引玉的作用。信息系统风险及其伴随的商业风险管理,在国内无论是研究还是实践都处于一个起步阶段,而在信息技术发达的国家已经成为一个非常受企业关注的领域,相应的风险分析手段和控制方法非常丰富。针对项目管理风险和系统使用风险控制的手段和方法,在以后的有关风险管理的专题中我们将进一步探讨。
项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~
http://www.leadge.com/pmqhd/index.html
