发帖
雷达卡
A企业是国内一家从事制造建筑工程施工车辆的公司。该企业从九十年代就开始准备ERP项目,并在二十世纪九十年代后期选定了软件,开始实施包括财务、分销和制造在内的整合的ERP系统。 为此,A公司专门成立了ERP实施小组,在专业咨询公司的协助下,经过一段时间的需求分析、流程设计、用户培训,实施工作进入了紧张的上线前数据准备的关键阶段。
这时候,采购部门对敏感的采购信息在系统中的安全性提出了质疑,包括对相关采购数据的输入、修改、批准、查询、报告、打印等,提出了一系列要求。
整个采购部门有几十个从事采购相关业务的工作人员,分管几十个大类、数以万计的不同物品的相关采购工作。
根据内控的要求,不同大类物品的采购价格和数量,以及到货时间等诸如此类的定单信息和供应商信息,对其他无关部门,甚至同部门的其他采购人员,都是保密的。
在这样的内控要求下,ERP用户权限的设定,不是仅在功能模块的菜单上设定权限,就能符合岗位隔离的要求的。不少安全要求,具体到需要对数据库内的数据表的字段做出相应的权限设定。岗位隔离的要求,形成了一个极其复杂的安全需求矩阵。
在系统实施工作的后期阶段,提出这样的安全要求,对ERP实施小组无疑是个难题。由于事先准备不足,ERP系统的功能、需求分析、流程设计、项目实施的资源,都没有充分考虑公司内控和信息安全的要求。
上述信息安全和岗位隔离的要求,对采购模块的实施,形成了难以逾越的障碍,并且直接导致:
1.采购模块没有和其他模块一起集成上线。
2.应付账款模块、库存管理模块、成本计算功能的应用,都受到了很大的制约。
3.该ERP系统的实施,没能达到产供销财务一体化的目标。
其实,该公司内其他部门也有类似的信息安全的考虑和内控的要求,只不过没有采购部门反应强烈而已。
这些问题深深困扰着A企业……
讨论参考题:
1.在系统分析阶段,开发人员和A企业在哪方面存在重大的失误?
2.系统“需求分析”和“系统规划”的目标是什么?
3.如果你是A企业的CIO,面对上述问题,你会做出什么样的决策?
京公网安备 11010802022788号
