基于风险分析的ERP实施过程管理与控制研究

2009-03-02 02:43张金城
中国管理信息化 2009年4期
关键词:风险分析管理控制

金 文 张金城

[摘 要] ERP系统的高技术特征和企业管理的复杂性导致ERP的实施过程充满风险,为探求克服ERP实施风险的方法与过程,本文在研究基于风险分析的信息系统审计方法的基础上,探讨ERP实施过程的成功模型和成功评价体系,分析ERP实施过程的风险及其动因,建立了针对不同风险类别的管理控制过程及其控制目标,并依据过程管理的基本原理,构建了覆盖整个ERP实施过程、基于风险分析的管理与控制模型。

[关键词] ERP实施过程;风险分析;管理控制

[中图分类号]F270.7;C931.2[文献标识码]A[文章编号]1673-0194(2009)04-0062-05

ERP系统是面向供需链,将先进的企业管理理念、业务流程、基础数据、人力物力资源、计算机软硬件以及网络通讯技术整合于一体的企业资源管理信息系统。许多有一定规模的企业都把实施ERP作为规范企业管理、提升管理水平,获取竞争优势的重要手段,但是,信息技术的高技术特征和企业管理的复杂性使得ERP的实施成功率较低,如何通过系统化的管理和控制保证ERP实施的成功成为许多专家学者探究的课题。笔者在研究基于风险分析的信息系统审计方法的基础上,结合近年来对ERP的理论研究和企业实践体会,探索将这种方法包含的信息系统建设的管理过程与控制体系应用于ERP实施,研究基于风险分析的ERP实施管理与控制的系统化方法,并尝试构建ERP实施过程的管理与控制模型。

1 ERP实施过程与成功模型

ERP的实施过程指的是从企业提议准备引入ERP系统开始,到企业ERP系统正式运行并达到预定实施目标期间的全部活动。企业信息资源的复杂性,企业业务流程环节的众多和易变,企业管理理念变革所引起的冲击以及信息技术的日新月异,使ERP项目的实施成为一项复杂的系统工程。一般情况下,企业作为ERP实施的主体,需要经历的几个阶段及其主要工作有: ①准备与规划阶段。建立实施组织,通过学习、培训或咨询,进行相关知识准备。根据企业自身的实际情况和发展战略进行需求分析和目标定义,明确技术方向,定义约束条件,制订系统总体解决方案及其实施计划。 ②系统分析阶段。调查企业的业务及其管理的详细信息需求,描述并优化业务流程,确定企业的信息体系结构,明确系统基本的性能要求和质量标准。 ③软件及其实施方案选择阶段。通过一定的方法和程序获得ERP软件供应商提供的系统解决方案,并组织企业主要管理人员、业务骨干、技术骨干、企业信息化和营销管理咨询专家对方案进行评估分析,获取符合企业需求的解决方案。④系统实施阶段。制订详细的项目管理计划,执行系统安装、流程配置与测试、客户化设计与开发、数据准备与初始化、系统上线试运行等任务,并培训用户,建立用户权限和系统管理机制,在执行过程中依据项目管理计划跟踪检测,对项目进程中出现的偏差及时进行控制纠正。 ⑤验收评估阶段。根据实施目标、性能要求和质量标准对系统运行进行验收,并根据使用者的意见和使用效益进行评估。但是,按此过程实施ERP的许多企业并没有获得预期的成功,实施期限延长,费用突破预算,ERP系统的运用效果远未达到企业管理人员的期望,甚至有些ERP系统实施以完全失败告终。这显示了ERP实施的高风险特征。

ERP实施过程的成功与否,其评价依据主要是企业所预期的效益是否达成,要达成这种效益,一方面,系统建设要与企业战略相一致,系统建设投入要与其所产生的效益相平衡;另一方面,系统所产生的效益依赖于对它充分与合理的使用,企业各层次管理人员的系统使用率和他们对使用系统的满意程度是获得其效益的关键因素。系统建设与企业战略的一致性,取决于系统建设规划是否以企业战略为前提,系统建设的投入与产出的平衡取决于对系统效益的合理预期和恰当地选择ERP软件和方案,并正确实施。而系统的使用率和使用满意度主要取决于需求分析所获得的结果是否符合企业的经营管理需求和使用人员在使用过程中对系统的感知,系统质量、信息质量和服务质量依赖于需求分析、实施过程以及系统所能提供的服务水平,是影响使用人员对系统感知的关键因素。前述所有关键因素都依赖于相关人员的素质和组织的支持,由此,可以构建ERP系统实施的成功模型,如图1所示。

ERP实施成功模型为ERP实施过程的管理指明了方向,但要使ERP实施真正获得成功,还必须要有相应的评价标准。由于企业经营的复杂性,ERP实施成功的评价标准必须结合企业的实际经营情况和发展战略制定。从应用系统的角度,可以引用平衡记分卡的概念,ERP实施成功评价标准的制定主要应考虑如下4个方面:

(1)财务效益。从企业整体和发展的角度,衡量系统建设投资与系统可交付受益的关系。

(2)用户利益。从企业各层管理工作人员和企业客户的角度,衡量用户对系统服务的满意度和系统处理信息的完整性、及时性、机密性、可靠性,以及给用户带来的价值。

(3)内部流程。从企业运作效率、效果和管理控制的角度,衡量通过ERP实现内部流程的价值性及其管理控制的合理性和合法性。

(4)学习与创新。从企业战略发展的角度,衡量企业职工素质是否得到提高,系统技术基础是否能持续适应企业的发展,系统建设是否能获得持续改善并驱动创造新的价值。

上述4个方面是相互关联的,具体制定成功评价标准时要考虑它们之间的平衡关系,并考虑其可测量性。

对照系统实施成功模型与成功评价标准的主要考虑因素,可以分析得出ERP实施过程的关键要素,即人、业务流程、技术方案与软件、系统基础设施和信息,这些关键要素的相互作用,将影响系统运行效果与效率,业务流程的合理性和合法性,信息处理的完整性、及时性、可靠性和机密性,从而影响系统实施的成功评价,因此,在系统的实施过程中,效率、效果、完整性、可靠性、机密性、合理与合法性可以作为系统实施过程中的管理控制目标参数。

2 ERP实施过程的风险及其动因分析

ERP实施成功模型及其实施成功评价标准可以为ERP的实施定义可测量的成功实施指标,但信息技术的高技术特征和企业管理的复杂性使实施过程充满了风险,要使ERP实施获得成功,必须克服实施过程中各种风险所带来的各种问题,这就需要实施系统化的风险识别和分析,并以此为基础,结合可测量的成功实施指标,有针对性地建立管理控制过程,运用系统化的过程管理方法,以有效化解系统实施过程中的各种风险,保证ERP系统实施获得成功。

ERP实施的风险是由于ERP实施过程中存在的弱点、威胁而导致损失或危险的可能性,风险的影响或严重程度是与其可能造成后果的严重性一致的。系统化的风险识别与分析就是针对ERP系统实施生命周期中各个阶段的活动和任务,识别其风险及其影响的可能性和严重程度,分析风险的动因。

通常,ERP实施风险主要可归类为如下技术风险和管理风险:

(1)技术方向定义风险。导致技术发展没有延续性,没有充分利用已有的技术基础设施,没有充分利用技术发展驱动业务战略以满足业务需求,ERP系统的效果与效率得不到充分发挥。其主要动因是没有将企业发展战略和业务需求与技术发展相联系,对技术发展动态不够了解,没有合理的对已有技术设施和可用技术进行评估的机制,没有合理明确的技术发展规划和计划。

(2)技术方案、软件及其供应商选择风险。导致不能充分提供业务所需的系统性能,系统的效果和效率不能满足应用需求,系统的实施和以后的维护得不到支持,难以与其他应用系统互联或数据共享。其主要动因是没有结合业务需求进行技术分析,没有合理有效的方案获取和评估方法与程序,没有从系统的整个生命周期考虑其适应性和效益,没有全面明确供应商的职责与义务,没有充分考虑系统的应用控制与安全需求,与已定义的技术方向不一致,没有考虑与已有的或规划中的其他应用系统的互联与数据共享。

(3)系统基础设施建设与维护风险。导致系统基础平台建设与业务需求不相适应,ERP系统的效果、效率与可靠性满足不了业务需求,设备使用生命周期短,建设成本高,与其他系统或设备兼容性和互联性差。其主要动因是系统基础设施建设不符合技术发展方向和相关的技术标准;系统基础设施建设与维护过程中设备的采购、安装与维护没有合理的管理控制机制作保障;没有根据业务的需求与发展对设施技术性能提出明确的要求;没有充分评估拟获取设施的技术性能、兼容性、可靠性和安全性,没有规范的版权与版本管理和更新控制,系统基础设施得不到有效的维护与支持。

(4)应用系统开发和维护风险。导致系统服务水平低下,业务流程得不到优化与贯彻,系统的效果、效率、完整性和可靠性得不到保证,系统使用率和使用满意度达不到预期,系统生命周期短,效益低下。其主要动因是对系统服务水平没有明确的定义,应用开发与维护程序不够规范,没有合理规范的知识管理与培训机制,与用户的沟通渠道和问题响应机制不完善,得不到软件供应商的有效支持与服务。

(5)系统安装与验收风险。导致系统的效果、效率、完整性、可靠性达不到预期;系统存在弱点或缺陷。其主要动因是系统安装过程和测试程序不够规范,系统测试不够全面,没有充分从应用角度设计测试数据。

(6)组织管理风险。导致系统实施目标得不到贯彻;技术与业务脱节,系统的安全、质量得不到保障,执行力低下等。其主要动因是实施组织架构与层次及其职能不匹配,组织的角色定义、工作描述与责任不明确,没有有效的指导、授权与监控等内部控制机制。

(7)规划管理风险。导致系统实施计划、质量和规模与企业发展战略不一致,系统对业务目标的支持错位,系统实施没有清晰合理的目标和计划,系统实施的经济与组织管理的可行性得不到保证。其主要动因是没有理解或明确企业发展战略,没有对系统如何支持业务目标进行明确定义,没有充分考虑系统实施的风险,没有充分考虑与已有应用系统的关系,没有明确合理的规划程序及其管理控制。

(8)投资管理风险。导致系统投资和实际效益不平衡,实际花费与预算脱节,费用超支。其主要动因是没有合理有效的成本和效益预估的方法和程序,费用预算和效益预期不合理,对系统的生命周期没有恰当的预估,未充分考虑企业的发展战略,无合理可行的费用计划与控制机制。

(9)人力资源管理风险。导致在系统实施过程中团队成员的引入、使用以及退出不畅,相应岗位的工作人员没有足够的工作能力,不能充分发挥工作人员的积极性,工作质量依赖于个别成员,团队成员的知识得不到应有的增长,团队的知识体系不够完善。其主要动因是没有完善的、与系统实施要求相一致的人力资源计划,没有完善的团队成员引入、激励和控制机制,没有明确的岗位资格要求和培训制度,没有完善的业绩评价体系。

(10)项目管理风险。导致系统实施的进度、成本、质量不能约束在预定的范围内,实施进程难以跟踪,不能按预期交付实施成果。其主要动因是没有掌握足够的项目管理技能,项目计划不完善,缺乏过程监控的手段,没有明确的工作任务分解、阶段里程碑和审核批准机制,没有相应的沟通与管理控制程序以及质量保证措施。

(11)质量管理风险。导致系统的效果与效率、完整性和可靠性达不到预期,其主要动因是没有开发和完善覆盖整个系统实施生命周期的质量管理计划,质量管理的角色定义和职责不明确,没有明确的、可测量的质量标准和质量控制程序,没有完善的质量培训和知识管理制度。

3 基于风险分析的管理过程与控制目标

在分析ERP实施过程中主要风险的影响及其动因的基础上,对风险进行有效的管理和控制是成功实施ERP系统的保证。运用系统工程的方法,针对ERP实施过程中主要风险的不同类别,依据企业实施ERP的目标和评价标准,建立相应的管理过程,通过过程管理,建立有效的风险管理和控制机制,进而综合管理控制整个ERP的实施过程,这就是基于风险分析的ERP实施过程管理与控制的方法。

基于风险分析的管理过程是为了保证组织按既定的目标开展工作,在风险分析的基础上制定控制目标和指导策略,监控实施过程的执行状况,与预设的控制目标相比较,指导实施过程应对风险,其工作原理如图2所示。

基于风险分析的管理过程的关键是要依据具体的ERP系统实施成功评价标准,在分析风险影响及其动因的基础上制定切实可行的控制目标。虽然对于不同企业的ERP实施过程,由于其发展战略和具体状况的不同使其各管理过程有不同的具体控制目标,但其基本的控制目标、控制参数以及制定控制目标所要考虑的因素是基本类同的。表1描述了ERP各种风险管理过程的基本控制目标和制定控制目标主要考虑的因素,以及相应的关键要素和控制指标参数。

4 基于风险分析的ERP实施过程管理与控制的模型

ERP系统是服务于企业供需链的管理信息系统,其实施过程必须面向系统的整体目标,在风险分析的基础上,可以为不同的风险类别建立相应的管理过程。但如果不对建立在不同风险类别基础上的管理过程加以整合,则将难以对整个实施过程进行有效的管理控制。

对不同管理过程的整合,首先是对控制目标的综合与协调。各管理过程的控制目标是依据系统成功评价标准对整个系统实施过程中各阶段任务与活动的风险分析获得的,它们之间有目标重叠或目标冲突的可能性,因此,控制目标的综合和协调不是简单地对控制目标进行排列和汇总,而是必须再一次对照系统建设成功模型及其评价标准,在各管理过程控制目标的基础上,建立面向整个实施过程的管理控制目标体系,该目标体系应是平衡的和相关的,并且支持整体系统实施目标的实现。

对实施过程的管理与控制是始终伴随着系统实施过程的全程,该过程整合基于各类风险分析的管理过程,在综合与协调的控制目标体系基础上,有计划地指导系统实施,监视并及时反馈实施状态信息,比较差异,并进一步指导实施,从而为系统实施的成功提供保证机制。要有效地实现这一过程,依据过程的管理模型,应有计划、执行、监控以及评价这几个子过程。管理控制过程的计划主要内容应包括控制目标、指导策略、执行程序、监控方法与工具、评价方法与程序。管理控制过程的执行主要是依据计划指导系统实施。管理控制过程的监控主要是获取系统实施状态信息,测量其与控制目标的一致性,适时调整指导策略和指导活动。管理控制过程的评价主要是对计划、指导与监控的效果进行及时评价,使管理控制过程成为持续改善的过程。在协调的管理控制目标体系下,针对各类不同性质的风险,实施管理过程,有计划地执行对实施过程的指导、测控与评价,由此,可以构建出基于风险分析的ERP实施过程的管理与控制模型,如图3所示。

主要参考文献

[1] 陈启申. ERP——从内部集成起步[M]. 北京:电子工业出版社,2004.

[2] 彼得·维尔,珍妮·W·罗斯. IT治理——一流绩效企业的IT治理之道[M]. 北京:商务印书馆,2005.

[3] 维威克·凯乐. SAP软件实施[M]. 北京: 中国人民大学出版社,2003.

[4] ISACA. Control Objectives for Information and Related Technology(COBIT)[S]. 3rded. 2000:9-15.

[5] ISACA. IS Standards, Guidelines and Procedures for Auditing and Control Professionals[S]. 2006.

猜你喜欢
风险分析管理控制
焊装夹具定位销管理控制方法
加强建筑工程施工管理控制探讨
探析企业会计电算化的风险及防范
P2P网络借贷平台的现状分析及发展展望
企业资金集中管理税收风险的探析
民间担保公司的风险分析与控制
建筑施工危险源的辨识与管理控制探讨