ERP系統剛上線時,系統內的權限管理往往并不引起重視。大家關注更多的是系統能否順暢運行、數據是否準確,財務帳是否能對得上等等。事實上,此時為了確保系統迅速轉起來,給很多用戶的權限往往是放大的。幾個月后,隨著ERP系統的運行漸漸趨于平穩,系統內部的權限管理問題就慢慢突顯出來了。具體表現在以下幾個方面:
·沒有一個清晰的授權原則,不能確切的說明為何授權或為何不授權
隨著ERP系統運行越來越順暢,使用者漸漸感受到了系統所帶來的價值,于是大家便會要求給自已開通更多的功能。對于系統權限管理人員來說,面對大量增加權限的申請,究竟是開通還是不開通,似乎并不能找到一個清晰的標準。于是,請部門主管審批便成了一個最為有效的解決方案。只要相關的部門主管認可,IT部門即予開通。然而,這僅僅是從管理職責上解決了誰負責的問題,并未解決權限管理的本質問題。即開通一個權限或不開通一個權限,是由某一個人來判斷有無必要(不管此人是申請者、權限管理員還是部門主管),還是由某一管理規則來決定。從規范化、科學化和精細化管理的角度來說,當然應該是后者;從風險控制的角度來說,就更應該是后者了。
事實上,隨著ERP這樣大集成的系統逐漸被采用,企業運營信息的加工和傳遞效率確實被極大提高了。但是,任何事務都有兩面性,在這種情況下,如果授權不當,企業運營信息的風險也大大提高了。這種風險主要包括兩個方面,一是讓更多原本沒有必要了解這些信息的員工可隨時掌握這些信息,大大增加了泄密的可能性;二是讓原本沒有必要操作或加工這些信息的員工擁有了這些權力,增加了管理的失控的可能。
因此,對于實施了ERP系統的企業來說,應建立一套基于業務活動的ERP系統權限管理體系。對于某一位員工來說,究竟應該擁有什么樣的權限,取決于其在企業業務流程體系內所承擔的角色及從事的活動。“業務活動驅動”應是判斷一個員工是否擁有某一權力的重要原則。“業務活動”的整理可以通過Excel 表的形式來實現,但是事實證明,這樣的技術手段很難保證“業務活動”梳理的全面性和準確性,維護起來也較為困難。建立一套基于業務流程的“業務活動”模型,是一種較為先進的技術手段。
·系統權限有被逐漸放大甚至失控的危險
ERP系統內的權限管理是以“角色”這一概念展開的,一個“角色”上分配了體現權力的一組功能及體現限制的授權條件。舉一個極端的例子,如果在ERP系統中給每一位員工建立一個角色,并且此角色只分配給一個員工,那么某一角色內的某一個權限的變動也就不會對他人的權限產生任何影響。但是,一般企業都不會這樣做,因為如果員工數量一多,ERP系統中的角色體系就會過于龐雜。而且,一個角色與另一角色之間的差異可能很小,這會導致數據的冗余變得很大。一般的做法是在ERP中建立一套通用角色、復合角色和單一角色所構成的角色體系來對用戶進行授權。也就是說,一個ERP系統角色可能會分配給多個用戶,此時因為某個人的需求而改動某一角色內的權限就可能會影響到此角色所對應的其他用戶的權限。即此角色所對應的所有用戶都會同時增大或減少權限。鑒于這種情況,某一用戶申請增加權限時,還應告之審批者其在ERP系統中所對應的角色,以及此角色所關聯的其他用戶,從而使得行使審批權的主管能夠決定是否給這些相關聯的其他用戶同時增加此權限。事實上,很少有企業能做到這一點。通常的做法是,某用戶申請開通某一權限,主管確認后,系統管理員就在此用戶對應的角色上憑經驗選一個角色,直接加入此功能。這樣,與此角色相關聯的其他用戶也就自動開通了此功能。一般來說,給用戶增加權限是不會被用戶投訴的。久而久之,權限就被逐漸放大了。
要避免上述情況發生,需要有一套模型化的“流程活動驅動“的權限管理體系,通過模型內各要素相互關聯的特點,將上述信息全面、自動、準確的提供給審批人員和權限維護人員,而不是靠人工通過Excel 表加系統查詢的方式來進行上述權限審批和調整工作。
·職責分離體系不能被有效建立和執行
企業的權限管理不僅僅是決定誰有權做什么,而且還應體現權力間的相互制約關系。比如“裁判員”同時不能做“運動員”是最為著名的權力制約關系。體現在企業管理上,也有眾多制約關系需要在權限管理中加以考慮。比如,一般來說,進行“客戶信用管理”的人不能同時擁有“客戶訂單維護的”功能。本來,信用管理就是對于銷售訂單的一種管控,如果要與信用等級較差的客戶簽訂合同,按規定可能需要經過一系列較為嚴格的評估和審批。本來信息化系統的優勢就是可以及時共享信息并自動加以鎖定,杜絕未經審批而直接給信用等級較差的客戶下訂單的情況。但是,如果給同一個員工同時授予“客戶信用管理”和“客戶訂單維護”的功能,那么此員工就可以直接將某一客戶的信用從“較差”改為“良好”,從而避開系統的自動鎖定而直接給此客戶下單。這樣的授權就是典型意義上違背了“職責分離”的原則案例。
類似的“職責分離”原則是很多的,比如在系統內“維護價格清單”的人,不應同時擁有在ERP中“簽訂客戶訂單”的權限。有“庫存出入庫”操作權限的人,不應擁有“錄入盤點結果”的操作功能。“有錄入盤點結果”功能的人,不應具有“會計核算”的功能,等等。當然,這些規則有時也不是絕對的,企業可以根據自身的情況加以調整,有的企業不允許的,另一個企業可能就允許這樣授權。也就是說,“職責分離”的粗細,取決于企業內外部風險管控的需要,并沒有一個絕對的標準。但是,不管怎樣,每個企業都應建立一套“職責分離”的規則體系,然后根據自身管理需求的發展加以調整。
總之,“職責分離”原則是“業務活動驅動”之外,另一個分析系統授權是否合理的重要原則。這類規則的建立和有效執行,是建立風險控制體系的基礎,也是一個企業管理科學化和精細化的體現。但是,在大多數ERP系統的權限管理中,這套“職責分離”原則是基于Excel 表來設計,同時又靠人工在系統中加以維護的。理論上,某員工申請增加某一功能時,系統管理員應查明此員工申請開通的功能與其現有功能之間是否存在違背“職責分離”原則的問題。但是,由于某員工在ERP系統中可能同時對應幾個角色,因此系統管理員的工作就演變成先查明某員工目前所對應的所有角色,細列出此角色對應的所有功能,然后再一一核對每一個功能與申請開通的新功能之間是否有違背“職責分離”原則的問題,最后將檢查的結果通報給進行審批的主管,供其決策參考。如果,我們將問題再說得復雜一點,申請開通此新功能的員工所對應的ERP系統角色可能同時賦于了其他員工,因此還要考慮其他員工是否可能因為同時增加了此新功能,也存在違背“職責分離”原則的問題。這樣一來,系統管理員的工作就顯得很繁復了。事實上,這樣的操作是很難被真正有效地執行的。久而久之,“職責分離”原則在企業的權限管理方面只是名義上存在而已了。
要避免上述情況發生,就需要在模型化的“流程活動驅動”的權限管理體系的基礎上,再建立一套模型化的“職責分離體系”,這兩套體系模型是相互關聯的,并且能全面、自動、準確對授權體系模型進行核查,并出具相關的警示報告,從而解決“職責分離體系”落地的操作性問題。
·業務藍圖與實際系統“兩張皮”的現象愈來愈嚴重
ERP實施過程中所繪制的業務流程藍圖與實際上線后系統內運行的業務流程往往并不一致。這就好比在設計一間屋子時屋內有一間屋,但當屋子造完住戶入住時卻突然發現里面有了兩間屋了,更要命的是誰也講不出為什么。比如,根據業務藍圖進行系統實現時,如果發現需要對藍圖流程進行修正,大家往往會直接在系統中修改功能,并將此功能的權限賦于相關人員,但并不會同步修正業務藍圖。另外,當ERP系統上線后,企業的管理人員也會根據業務的變化來修改流程。這種修改也往往直接在系統中進行,沒有人會去修改當初的設計稿。久而久之,ERP中的真實流程就成了誰成講不清楚的黑箱了。這種“黑箱”情況對于系統的運維管理、企業的內控和風險管理及整體管理體系的建立和維護都會造成極大的影響。
事實上,ERP系統主要是由功能和數據兩部分組成。要解決上述問題,系統權限管理和數據管理將是關鍵所在。如果能完全基于“業務活動驅動”和“職責分離”這兩大模型進行系統的權限管理,同時,“數據管理”流程也能被有效執行,那么就能確保業務藍圖與ERP系統的一致性,從而有效避免“兩張皮”的問題。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:模型化的ERP系統權限管理
本文網址:http://www.guhuozai8.cn/html/consultation/1082063230.html
相關文章
