模型化的ERP系统权限管理
浏览:次|评论:0条 [收藏] [评论]
IDS Scheer 中国副总裁 王磊 ERP(企业资源计划)系统刚上线时,系统内的权限管理往往并不引起重视。大家关注更多的是系统能否顺畅运行、数据是否准确、财务账是否能对得上等等…
IDS Scheer 中国副总裁 王磊
ERP(企业资源计划)系统刚上线时,系统内的权限管理往往并不引起重视。大家关注更多的是系统能否顺畅运行、数据是否准确、财务账是否能对得上等等。事实上,此时为确保系统迅速运转起来,给很多用户的权限往往是放大的。几个月后,随着ERP系统的运行渐渐趋于平稳,系统内部的权限管理问题就慢慢显现出来了。处理好ERP系统内部的权限管理问题,须从几个方面入手。
确立清晰的授权原则
随着ERP系统运行越来越顺畅,使用者渐渐感受到了系统所带来的价值,于是大家便会要求给自己开通更多的功能。对于系统权限管理人员来说,面对大量增加权限的申请,究竟是开通还是不开通,似乎并不能找到一个清晰的标准。于是,请部门主管审批便成了一个最有效的解决方案。只要相关的部门主管认可,IT部门即予开通。然而,这仅仅是从管理职责上解决了谁负责的问题,并未解决权限管理的本质问题。即开通一个权限或不开通一个权限,是由某一个人来决定(不管此人是申请者、权限管理员还是部门主管),还是由某一管理规则来决定。从规范化、科学化和精细化管理的角度来说,当然应该是后者。另外,从风险控制的角度来说,就更应该是后者了。
事实上,随着ERP这样大集成的系统逐渐被采用,企业运营信息的加工和传递效率确实被极大提高了。但是,任何事务都有两面性,在这种情况下,如果授权不当,企业运营信息的风险也大大加大了。这种风险主要包括两个方面:一是让更多原本没有必要了解这些信息的员工可随时掌握这些信息,大大增加了泄密的可能性;二是让原本没有必要操作或加工这些信息的员工拥有了这些权力,增加了管理失控的可能性。
因此,对于实施了。ERP系统的企业来说,应建立一套基于业务活动的ERP系统权限管理体系。对于某一位员工来说,究竟应该拥有什么样的权限,取决于其在企业业务流程体系内所承担的角色和从事的活动。业务活动驱动应是判断一个员工是否拥有某一权力的重要原则。业务活动的整理可以通过Excel表格的形式来实现。但是事实证明,这样的技术手段很难保证业务活动梳理的全面性和准确性,维护起来也较为困难。利用ARIS建立一套基于业务流程的业务活动模型,是一种较为先进的技术手段。
避免系统权限被逐渐放大的风险
ERP系统内的权限管理是以“角色”这一概念展开的,一个角色分配上体现了权力的一组功能(T-Code),同时也体现了限制的授权条件(Profile)。举一个极端的例子,如果在ERP系统中给每一位员工建立一个角色,并且此角色只分配给一个员工,那么某一角色内的某一个权限的变动也就不会对他人的权限产生任何影响。但是,一般企业都不会这样做,因为如果员工数量一多,ERP系统中的角色体系就会过于庞杂,而且一个角色与另一角色之间的差异可能很小,这会导致数据的冗余变得很大。一般的做法是在ERP中建立一套通用角色、复合角色和单一角色所构成的角色体系来对用户进行授权。也就是说,一个ERP系统角色可能会分配给多个用户,此时因为某个人的需求而改动某一角色的权限就可能会影响到此角色所对应的其他用户的权限。即此角色所对应的所有用户都会同时增大或减少权限。鉴于这种情况,某一用户申请增加权限时,还应告之审批者其在ERP系统中所对应的角色,以及此角色所关联的其他用户,从而使行使审批权的主管能够决定是否给这些相关联的其他用户同时增加此权限。事实上,很少有企业能做到这一点。通常的做法是,某用户申请开通某一权限,主管确认后,系统管理员就在此用户对应的角色上凭经验选一个角色,直接加入此功能。这样,与此角色相关联的其他用户也就自动开通了此功能。一般来说,给用户增加权限是不会被用户投诉的。久而久之,权限就被逐渐放大。
要避免上述情况发生,须有一套模型化的流程活动驱动的权限管理体系,通过模型内各要素相互关联的特点,将上述信息全面、自动、准确地提供给审批人员和权限维护人员,而不是通过Excel表格加系统查询的方式来进行上述权限审批和调整工作。
建立职责分离体系并有效执行
企业的权限管理不仅仅是决定谁有权做什么,而且还应体现权力间的相互制约关系。比如裁判员同时不能做运动员是最为著名的权力制约关系。体现在企业管理上,也有众多制约关系须在权限管理中加以考虑。比如,一般来说,进行客户信用管理的人不能同时拥有客户订单维护的功能。信用管理就是对于销售订单的一种管控,如果要与信用等级较差的客户签订合同,按规定可能须经过一系列较为严格的评估和审批。本来信息化系统的优势就是可以及时共享信息并自动加以锁定,杜绝未经审批而直接给信用等级较差的客户下订单的情况。但是,如果给同一个员工同时授予客户信用管理和客户订单维护的功能,那么此员工就可以直接将某一客户的信用从较差改为良好,从而避开系统的自动锁定而直接给此客户下单。这样的授权就是典型的违背了职责分离原则的案例。
类似的职责分离原则有很多,比如在系统内维护价格清单的人,不应同时拥有在ERP中签订客户订单的权限。有库存出入库操作权限的人,不应拥有录入盘点结果的操作功能。有录入盘点结果功能的人,不应具有会计核算的功能等等。当然,这些规则有时也不是绝对的,企业可以根据自身的情况加以调整,有时一个企业不允许的,男一个企业可能就允许这样授权。也就是说,职责分离的粗细,取决于企业内外部风险管控的需要,并没有一个绝对的标准。但是,不管怎样,每个企业都应建立一套职责分离的规则体系,然后根据自身管理需求的发展加以调整。
总之,职责分离原则是业务活动驱动之外另一个分析系统授权是否合理的重要原则。这套规则的建立和有效执行,是建立风险控制体系的基础,也是一个企业管理科学化和精细化的体现。但是,在大多数ERP系统的权限管理中,这套职责分离原则是基于Excel表格来设计,同时又靠人工在系统中加以维护的。理论上,某员工申请增加某一功能时,系统管理员应查明此员工申请开通的功能与其现有功能之间是否存在违背职责分离原则的问题。但是,由于某员工在ERP系统中可能同时对应几个角色,系统管理员的工作就演变成先查明某员工目前所对应的所有角色,细列出此角色对应的所有功能,然后再一一核对每一个功能与申请开通的新功能之间是否有违背职责分离原则的问题,最后将检查的结果通报给进行审批的主管,供其决策参考。此外,申请开通此新功能的员工所对应的ERP系统角色可能同时也被斌予了其他员工,因此还要考虑其他员工是否可能由于同时增加了此新功能也存在违背职责分离原则的问题。这样一来,系统管理员的工作就很繁复了。事实上,这样的操作是很难被真正有效地执行的。久而久之,职责分离原则在企业的权限管理方面只是名义上存在而已。
要避免上述情况发生,就须在模型化的流程活动驱动的权限管理体系的基础上,再建立一套模型化的职责分离体系。这两套体系模型是相互关联的,并且能全面、自动、准确地对授权体系模型进行核查,并出具相关的警示报告,从而解决职责分离体系“落地”的操作性问题。
业务蓝图与实际系统要吻合
ERP实施过程中所绘制的业务流程蓝图与实际上线后系统内运行的业务流程往往并不一致。这就好比在设计一间屋子时屋内有一间屋,但当屋子建造完住户入住时却突然发现里面有了两间屋,更要命的是谁也讲不出为什么。例如,根据业务蓝图进行系统运行时,如果发现须对蓝图流程进行修正,大家往往会直接在系统中修改功能,并将此功能的权限赋予相关人员,但并不会同步修正业务蓝图。另外,当ERP系统上线后,企业的管理人员也会根据业务的变化来修改流程。这种修改也往往直接在系统中进行,没有人会去修改当初的设计稿。久而久之,ERP中的真实流程就成了谁也讲不清楚的“黑箱”了。这种“黑箱”情况对于系统的运维管理、企业内控和风险管理及整体管理体系的建立和维护都会造成极大的影响。
事实上,ERP系统主要是由功能和数据两部分组成。要解决上述问题,系统权限管理和数据管理是关键所在。如果能完全基于业务活动驱动和职责分离这两大模型进行系统的权限管理,同时数据管理流程也能被有效执行,那么就能确保业务蓝图与ERP系统的一致性,从而有效避免“两张皮”的问题。
延伸阅读
- 上一篇:煤企应采取实物与价值相结合的成本管理 下一篇:马钢凝聚职工创新民主管理