ERP系统实施和应用的风险管理(一).doc
ERP 系统实施和应用的风险管理(一) ERP 之路充满风险,这些风险包括哪些方面?有什么方法可以有效地管理这些风险,使企业能预先将风险尽可能降低? 过去的一年,关于 ERP 成功与失败的探讨基本是喜忧参半的:一方面是成功者看到信息化提升效率、降低成本的喜悦;另一方面是更多征战 ERP 的种种艰辛和差强人意的结果,甚至惨痛教训。ERP 之路充满风险,这些风险包括哪些方面?有什么方法可以有效地管理这些风险,使企业能预先将风险尽可能降低? ERP 系统本身所带给企业的应该是管理上的提高和企业竞争力的改善。然而,回顾 2002 年风风火火的中国 ERP 市场,给人更多的感受是企业热度很高,雷声很大,但最终实施 ERP 系统的企业并没有体验到成功的喜悦。 对于 ERP 失败的原因,无论是软件商、管理咨询公司、学术研究机构都从不同的视角给出问题的原因和相应的对策,比如说流程优化、管理改造与 ERP 项目的结合, ERP 系统上线后的持续改进等等,这些都是把注意力放在解决目前 ERP所遇到问题上面。 我们分析一下这些方法可以发现,他们都与企业组织结构、流程和项目 管理等有关,而技术方面的关联较少。事实上,由于 ERP 软件是基于流程式管理思想来设计的,同时技术上强调功能的集成性和数据的一致性,这就决定了 ERP 系统在使用中不同于其他企业办公软件的特点,这些特点犹如一把双刃剑,为企业带来管理效率提高的同时,也增加了许多企业运营管理的不确定性,这些不确定因素如果发生了,同样会给企业带来巨大的麻烦,甚至是灾难性的后果。 所谓不确定性,也就是 ERP 系统的风险所在。 ERP 系统在企业中没有获得预期的效果,一方面有软件选型、实施、项目管理和企业自身使用能力等方面的原因,另一方面就 在于企业对 ERP 应用过程中的所客观存在的脆弱性没有进行很好地管理。系统的脆弱性是由系统本身的特点决定的。企业通过信息系统进行大量的数据处理,这对企业来说是好事,提高了可靠性,节省了人力。但是在数据处理过程中,如果控制不力,缺少对数据进行检查和控制,从而导致数据出错,出错的数据与正确数据一同处理,其结果也是错误的。 技术风险 ERP 系统的使用涉及到整个企业的业务流程。高度集成的功能和系统使用户无论在企业的哪个角落都能获得访问系统并且控制或改变重要的业务参数的可能。显然, ERP 系统的特点一方面使企业员工以 更大的灵活性去处理问题、提高效率,但另一方面如果对这种灵活性缺乏有效的控制,那么 ERP 的高度集成性和分布式的系统技术结构同样会为企业带来风险。 首先, ERP 系统中高度集成的功能模块使得任何一点出现问题都会影响到其他模块的正常运行。举例来说,在分销模块中的采购定单的下达将同时会有相应的确认信息在成本管理模块和现金管理模块中产生。这种在线实时功能使得在某一数据输入点数据输入错误或模块发生问题时将会把这个影响迅速扩散到系统的其他功能应用上。 其次,传统的 ERP 系统采用的是客户端 /服务器结构。这种分布式的结构 使企业能够低成本、高效率地获得业务集成管理功能。但是,这种分布式的技术架构使系统管理的难度增大,系统更容易暴露在有意和无意的系统攻击的风险中。 第三,系统审计难度加大。复杂的 ERP 系统使得系统控制和审计人员必须具有相应的专业知识。但是,对于大型的 ERP 系统,几乎没有人能够对整个系统的功能和每个模块的特点有个全面的认识和理解。例如,对于熟悉财务管理模块的人员,他就无法做到对其他所有模块有深入的认识。 第四,许多 ERP 系统已经开始使用基于 WEB 的 B/S 技术,这种技术支持异地登录和访问。这种技术在为那些跨地 域、多工厂企业带来系统管理便利的同时也带来了潜在的风险。由于通过因特网登录,不受空间的限制,任何不正当的用户授权都能导致对系统的非法访问。 第五, ERP 系统的高度集成性的一大特点是使用单一的数据库,并且任何数据的输入都是单点的。这一方面保证了 ERP 系统数据的一致性和减少重复劳动的同时,使各个部门,比如生产、销售、库存和财务能够共享信息。在另一方面,这样的环境中,数据的所有权和维护成为一个问题。如果存在不合适的访问权限的定义,缺乏有效的法规对系统使用的控制,那么系统中的一些机密数据将会变得非常透明,将会 可能导致企业的重大损失。 管理风险 除了 ERP 系统本身的技术特点给企业带来新的管理风险外, ERP 系统的使用也对企业的组织管理带来了新的挑战。这些挑战处理不好,同样是企业面临的风险。 首先,由于 ERP 实行的是流程化的管理,会打破原来的条块分割,势必导致企业组织结构的改变,甚至是对业务流程的重新思考。许多咨询公司在为企业实施 ERP 时都要求对企业原有的业务流程进行重新设计,重新设计的手段就是减少或合并流程中重复的、不增值的环节。这对企业传统的内部控制产生影响,如果不能很快建立起新的、有效的内部控制 ,必然对企业的整体运营产生影响。 其次, ERP 系统使用会改变企业员工的职权。这种工作角色的转变和适应过程同样具有不确定性。一般来说,人们比较容易接纳外部环境的变化,但当外部环境需要他或她自身改变时,就容易出现抵触情绪。一个企业使用 ERP 系统一年多以后,企业员工还是希望能够将有的数据以报表的方式打印出来,因为觉得还是看报表方便。矛盾的是, ERP 系统提供了具有权限管理的数据访问以保证数据的安全;另一方面员工却无法改变过去的习惯。显然,人们对系统的所带来变化的适应过程和程度是不一样的,使用 ERP 的结果就不确 定了,这种不确定性同样会对业务运作产生风险。 第三,流程化的管理进一步密切了部门与部门之间的关系,系统用户必须对自己的每一个业务行为负责,因为它直接影响到其他部门的业务能否顺利进行,并且最终关系到整个企业运作秩序。过去,企业是基于职能部门的管理,各部门的主管只要扫好自家门前雪就行了,而当上了 ERP 系统,情况就变了。跨职能部门的流程管理使得原先的部门主管变为了某部分流程的所有者。某个环节出现问题,将直接影响到其他流程的运作。过去职能化的管理也许还有绕过变通的方法,而上了 ERP 系统就非得从每个流程过,系统 不认“走后门”。在这种情况下,任何一个环节出差错,就直接影响到后续流程的实施,显然风险特征与过去大不相同了。事实上也说明了这一点,许多上了 ERP 的企业部门主管不自觉地比以前更需要责任心了。 第四,由于 ERP 系统使数据的捕捉一次性完成。管理部门对信息质量的控制难度加大,而这些信息最终要成为业务决策的依据。 ERP 采用的是单一数据库,所有的数据采取一次性单点输入。在过去,企业的数据可能会来自不同部门。比如,库存和采购对某个产品都有统计数据,两个部门可以通过比较发现错误。而上了 ERP 系统后,某产品入库的具体数 量一般只有仓库确认,如果有差错,将直接影响销售、生产、财务等部门的统计。事实上,相比过去,对业务的控制点比以前少了。 管理风险 除了 ERP 系统本身的技术特点给企业带来新的管理风险外, ERP 系统的使用也对企业的组织管理带来了新的挑战。这些挑战处理不好,同样是企业面临的风险。 首先,由于 ERP 实行的是流程化的管理,会打破原来的条块分割,势必导致企业组织结构的改变,甚至是对业务流程的重新思考。许多咨询公司在为企业实施 ERP 时都要求对企业原有的业务流程进行重新设计,重新设计的手段就是减少或合并流程 中重复的、不增值的环节。这对企业传统的内部控制产生影响,如果不能很快建立起新的、有效的内部控制,必然对企业的整体运营产生影响。 其次, ERP 系统使用会改变企业员工的职权。这种工作角色的转变和适应过程同样具有不确定性。一般来说,人们比较容易接纳外部环境的变化,但当外部环境需要他或她自身改变时,就容易出现抵触情绪。一个企业使用 ERP 系统一年多以后,企业员工还是希望能够将有的数据以报表的方式打印出来,因为觉得还是看报表方便。矛盾的是, ERP 系统提供了具有权限管理的数据访问以保证数据的安全;另一方面员工却无法 改变过去的习惯。显然,人们对系统的所带来变化的适应过程和程度是不一样的,使用 ERP 的结果就不确定了,这种不确定性同样会对业务运作产生风险。 第三,流程化的管理进一步密切了部门与部门之间的关系,系统用户必须对自己的每一个业务行为负责,因为它直接影响到其他部门的业务能否顺利进行,并且最终关系到整个企业运作秩序。过去,企业是基于职能部门的管理,各部门的主管只要扫好自家门前雪就行了,而当上了 ERP 系统,情况就变了。跨职能部门的流程管理使得原先的部门主管变为了某部分流程的所有者。某个环节出现问题,将直接影响到其 他流程的运作。过去职能化的管理也许还有绕过变通的方法,而上了 ERP 系统就非得从每个流程过,系统不认“走后门”。在这种情况下,任何一个环节出差错,就直接影响到后续流程的实施,显然风险特征与过去大不相同了。事实上也说明了这一点,许多上了 ERP 的企业部门主管不自觉地比以前更需要责任心了。 第四,由于 ERP 系统使数据的捕捉一次性完成。管理部门对信息质量的控制难度加大,而这些信息最终要成为业务决策的依据。 ERP 采用的是单一数据库,所有的数据采取一次性单点输入。在过去,企业的数据可能会来自不同部门。比如,库存和采 购对某个产品都有统计数据,两个部门可以通过比较发现错误。而上了 ERP 系统后,某产品入库的具体数量一般只有仓库确认,如果有差错,将直接影响销售、生产、财务等部门的统计。事实上,相比过去,对业务的控制点比以前少了。 项目成本超支风险 造成 ERP 项目超支的原因在许多媒体上都有分析。原因包括企业变革管理的需要,培训的投入和软件功能无法满足要求而导致的额外开发费用等等。另外,软件系统的客户化和集成也占去整个实际实施费用的一部分。一般来说,在确保ERP 标准系统能够满足业务主体需求的情况下,应该尽量避免客户化 定制,追求系统完美的与业务需求匹配是不现实的。其它的一些地方也存在导致费用超支的风险,例如低估了程序接口的开发费用,数据转换,报表的开发和反复集成测试等而产生的额外实施费用。除此之外,由于企业特点不同,还会有许多没有考虑到的成本,这些往往隐藏在支撑 ERP 系统使用所需要的辅助项目中。 项目成本超支风险控制 控制项目超支风险最好的方式是通过明确定义项目的范围,并通过充分利用第三方的实施经验来细化项目支出。由于 ERP 项目涉及各业务部门,面比较广,项目复杂、周期长。这里可以建议企业尽可能把项目细分成适合控制的 小项目,这样即可以使项目能够目标明确,更重要的是项目费用的控制难度可以降低。企业决策者们应该非常清楚地意识到化繁为简,这有助于制定相应的管理机制去面对不确定因素导致的额外费用。项目的超支应该及时充分利用这些机制去预测和证实,以便及早采取控制措施。 BPR 对业务运作的风险 对于熟悉过去那些基于单一业务功能系统的企业来说,基于流程并且具有高度集成性的 ERP 系统给他们提出了新的挑战。 BPR 在优化流程、提高流程效率的同时,不可避免的带来了潜在的影响因素。许多企业的管理层在考虑使用 ERP 系统时提出较多的问题就是 岗位的变动。其实,这种疑虑是由于许多 ERP 系统实施商爱用业务流程重组( BPR)来描述 ERP 实施的第一阶段。事实上,在过去我所经历的项目中,算得上需要“伤筋动骨”的企业几乎没有。流程化的管理确实需要对岗位做出一定的调整,但我觉得这种调整更多的是关于原有岗位特征的重新描述或者说特征的调整,业务流程的优化造成不同程度组织结构和岗位特征的变动是很自然。对于习惯过去的组织结构和岗位要求的人来说,新的岗位角色可能会造成很多的不适应,其特点就是在 ERP 系统使用前期某些业务职能不能很好地得到实现。另外,经过优化改动的流程如 果在系统中没有配置好同样也会导致出现不正确的处理结果或业务控制被削弱的现象。 BPR 对业务运作的风险控制 通过完善的企业变革管理和相应的岗位培训,使系统的使用者对他们各自在整个业务流程中的每一项操作对其他流程、用户和整个系统的影响有个正确的认识和理解。对于岗位的变动,应该采用公开和透明的态度和原则让所有人了解,不要怕会产生阻力而遮遮掩掩,这反而会造成更多的猜疑和阻力。对于 ERP 系统的每个使用者来说,除了对与自己的操作有关的技能和知识有清楚的认识之外,还要有对系统有个整体的概念。另外,用户的培训和 相应程序控制机制需要在系统上线前就明确定义。 许多成功实施了 ERP 的企业都会遇到这样的情况,即 ERP 成功上线后遇到了业务绩效下滑的局面。对于任何实施 ERP 的企业来说,这种业务运行指标的下滑在各个企业中都回遇到,而且特征是不一样的。这主要是由于不同的人对业务操作和管理的变化需要有个适应过程。为了应对这些问题,企业应该在系统正式上线前做好所有准备,一方面抓好管理和系统使用技能培训,另一方面还需要有不同的预案和措施来应付在实时和在线环境中产生的数据错误。配置方案必须让用户完全理解并且根据业务需求的特点进行文 档化管理以便于参考。 软件功能风险 不少准备上 ERP 系统的企业在对软件系统功能作详细了解后发现,软件并不能解决他们业务所涉及的所有问题。这种现象一方面是企业认为 ERP 能解决所有业务问题,这点本身是错误的,在这里不具体讨论。另外一方面, ERP 软件供应商的过分宣传自己产品的特点也是一大原因。对于企业来说,应该把注意力放在软件功能是否满足企业的关键业务需求,当然这个前提是客户自己提出的业务需求必须是正确。软件功能的风险就在于企业用户没有正确认清功能的匹配程度以及需要匹配到多大的程度。 软件功能风险控制 企业需要基于对本身业务需求的正确理解和定义来决定需要的软件功能,并进行评估来确定合适的软件。这里有个非常值得注意的问题,就是企业总是认为自己对业务需求的理解是正确的。事实上,企业在这方面过于乐观。许多企业提出的需求和要解决的问题往往是表面的而不是根本性的。降低消除这种由于业务需求理解不清楚导致软件定位不准确风险的关键是通过第三方专业的管理咨询公司来解决。管理咨询公司在确定业务需求时往往比较全面和客观。对于客户企业来说,第三方可以更全面的审视企业存在的各种问题,不会根据需要选择的软件功能来思考问题的根 源或者陷入企业的原有思维。许多企业提出的需求其实是企业完全可以通过其他管理手段,例如流程优化去解决,而不需要都靠系统来满足。另外,伴随系统的实施,系统集成测试、系统用户的验收等都需要按规范流程进行,以确保系统运行达到所预期的结果。系统性能也是一个重要的测试内容,它能够为应用系统和相应的技术的平台稳定地处理在典型负荷下的业务交易提供保证。