系統(tǒng)訪問風險及其控制
由于ERP系統(tǒng)將所有大量的業(yè)務(wù)應(yīng)用功能集成在一個系統(tǒng)環(huán)境之下��,ERP用戶就可能有更多的機會訪問其它與之不相關(guān)的信息。雖然��,ERP系統(tǒng)中都有權(quán)限控制的功能�,但這并不能完全保證信息的保密性和完整性���。另外���,通過無線或遠程登錄ERP系統(tǒng)在這兩年已開始推廣�,它們在一定程度上進一步增加了訪問系統(tǒng)的機會����。伴隨著這些訪問機率和途徑的增加,對數(shù)據(jù)的準確性控制難度和各類惡意攻擊將對系統(tǒng)構(gòu)成威脅都將加大�����。
縱觀目前市場上的ERP系統(tǒng)��,幾乎都具備不同程度的安全控制功能�。例如在某ERP系統(tǒng)中,就有大量的安全參數(shù)設(shè)置�,包括用戶密碼、入侵鎖定����、超級用戶訪問等等。為了確保萬無一失�����,有些ERP系統(tǒng)還通過插件的方式獲得更強的安全控制。除了技術(shù)手段外��,企業(yè)還應(yīng)該制定面向企業(yè)級的安全策略�,用戶的訪問權(quán)限應(yīng)該基于這個安全策略來定義,而不僅僅是基于業(yè)務(wù)需求的考慮�����。在實踐中����,對于訪問風險控制我們可以考慮下面一些因素:
*訪問權(quán)限的定義和訪問權(quán)限的使用應(yīng)由不同的人員來執(zhí)行;
*權(quán)限應(yīng)局限于用戶的工作需要或根據(jù)用戶在業(yè)務(wù)流程中的角色來定義�����,并符合企業(yè)級安全策略的要求��;
*權(quán)限的定義還要根據(jù)風險控制和成本效益平衡的原則��,也就是說�����,消除用戶某個權(quán)限后���,規(guī)避的風險和可能付出的代價是否是合理的�。
數(shù)據(jù)質(zhì)量風險及其控制
許多實施了ERP系統(tǒng)的企業(yè)中流傳這樣一句話���,如果數(shù)據(jù)的準確性�����、完整性不能保證��,那么ERP系統(tǒng)的使用是沒有任何意義的�����,“進去的是垃圾����,出來的肯定也是垃圾”�����。ERP系統(tǒng)中��,數(shù)據(jù)的錄入一般有兩種方式����,一種是人工鍵入�,另一種是通過數(shù)據(jù)錄入裝置����,例如條形碼掃描。對于后一種方式���,數(shù)據(jù)錄入的差錯風險較小�����,但人工鍵入的方式差錯率就比較高��。雖然���,ERP系統(tǒng)中可以設(shè)置一些參數(shù)來對錯誤數(shù)據(jù)進行報警,但無法根本上解決這類問題�。
實驗中,我們發(fā)現(xiàn)�,對于系統(tǒng)彈出的警告,系統(tǒng)用戶在經(jīng)歷多次后會變得麻木�����,甚至完全忽略。實踐證明���,建立完善的輸入控制機制是有效化解這方面風險的手段。一方面����,要加強人員的培訓(xùn)和增加控制點。例如��,數(shù)據(jù)輸入后��,由另外一個人進行核對并確認��。這種方式采用得比較普遍��。但由于這種校對受到員工責任心�、情緒和工作環(huán)境等因素影響,往往控制效果不是非常顯著�。因此,我們常常需要采取另外一些手段����。這些手段是從“人機工程學(xué)”的角度來考慮,例如�����,原始憑證的設(shè)計和布局符合人們?nèi)粘i喿x的習(xí)慣,關(guān)鍵的數(shù)據(jù)采用加粗��,鍵盤的設(shè)計有利于錄入操作等等�。
小結(jié)
企業(yè)信息化過程中,ERP系統(tǒng)的實施和應(yīng)用是一個重要的方面���。對于準備信息化的企業(yè)�����,無論是使用ERP系統(tǒng)還是選用CRM系統(tǒng)或其他商業(yè)應(yīng)用系統(tǒng)����,無論是屬于制造業(yè)還是服務(wù)業(yè)�����,都將面臨業(yè)務(wù)流程越來越依靠信息系統(tǒng)來實現(xiàn)這樣一個趨勢���。從辯證的角度來看�,任何事物總存在正反兩方面的因素。通過對ERP系統(tǒng)風險的討論����,希望大家對企業(yè)信息化過程中信息技術(shù)可能給我們所帶來的負面影響,特別是業(yè)務(wù)方面的影響有個初步的認識�����。
本次有關(guān)ERP系統(tǒng)風險管理的講座只是起個拋磚引玉的作用����。信息系統(tǒng)風險及其伴隨的商業(yè)風險管理����,在國內(nèi)無論是研究還是實踐都處于一個起步階段,而在信息技術(shù)發(fā)達的國家已經(jīng)成為一個非常受企業(yè)關(guān)注的領(lǐng)域��,相應(yīng)的風險分析手段和控制方法非常豐富�����。針對項目管理風險和系統(tǒng)使用風險控制的手段和方法�,在以后的有關(guān)風險管理的專題中我們將進一步探討。
項目經(jīng)理勝任力免費測評PMQ上線啦�!快來測測你排多少名吧~
http://www.vanceur.cn/pmqhd/index.html
