（会计学专业论文）erp项目实施中的风险管理.pdf

北京工商大学硕士学位论文 摘要 由于管理思想和技术的先进性，e r p 得到了广泛的应用和发展，成为了企业信 息化的主流。然而，实施e r p 却绝非易事。大量的研究表明e r p 是一项投资大、 周期长、高风险的项目，充满了企业家的“眼泪。因此，加强e r p 项目实施中的 风险管理，就成为了企业信息化过程中一个亟待解决的问题。 当前，理论界和实务界对e r p 项目实施中的风险管理研究大多基于经验的总结， 缺乏系统性的论述，还没有一套可以借鉴的方法，尤其是在风险监控领域。因此， 本文站在e r p 项目实施企业的角度，试图引入c o s o 和c o b i t 模型来构建e r p 项目 实施中的风险管理框架，并从内部审计的视角来实现对风险的监控，以期可以为e r p 项目的i l i o n 实施贡献微薄的力量。写作上，本文主要运用了统计、实地调研、定性 与定量分析相结合的方法。 本文主要分为四个部分： 第一部分，对e r p 项目实施、c o s o 和c o b i t 模型进行了简要的介绍，并对国内 外文献进行统计，分析当前研究的不足，提出基于c o s o 和c o b i t 相结合的e r p 项 目实施中的风险管理框架。 第二二部分，首先按照c o b i t 的控制目标对e r p 项目实施中的风险管理设定控制 总目标和子目标。在此基础上，结合已有的文献，运用因果分析图法识别各种可能 的风险因素，形成风险清单。最后，笔者对曾参与实施的e r p 项目企业进行问卷调 查，对其e r p 项目实施阶段的风险严重程度做出基于c i m 模型的风险定量评估。 第三部分，根据前文对风险所做的分析，该部分首先给出e r p 项目实施的风险 控制流程，并从管理与技术、战略与战术相结合的层面采取风险控制措施。 第四部分，将内部审计引入e r p 项目实施中的风险监控。该部分首先对其可行 性、必要性和困难性进行分析。在此基础上，描绘出审计工作流程，并针对e r p 项 目实施中的关键风险因素进行审计监控。 文章的最后，对全文进行了总结，指出存在的不足和需要进一步研究的视角。 关键词：e r p 风险管理c o s o c o bit 内部审计 a b s t r a c ，t e r ps y s t e m sa r ew i d e l yu s e da n db e c o m et h em a i n s t r e a mo fi n f o r m a t i o n a l m a n a g e m e n td u et ot h e i ri n t r i n s i c 稚v a n c e dm a n a g e m e n tt h e o r ya n dt e c h n o l o g y t h e i m p l e m e n t a t i o no fe r ps y s t e m s ，h o w e v e r , i sn o ta ne a s yt a s k v a r i o u sr e s e a r c hr e p o r t s h u g ei n v e s t m e n t 、l o n gp e r i o d 、h i g hr i s k sa n df u l lo f e n t e r p r i s e r s t e a r si ne r p p r o j e c t s t h e r e f o r e ，t os t r e n g t h e nt h er i s km a n a g e m e n to ft h ei m p l e m e n t a t i o no fe r ps y s t e m sh a s b e e na l li s s u et ob es o l v e du r g e n t l y t h e r ei sal a c ko f s y s t e m i cd i s c u s s i o na b o u tr i s km a n a g e m e n ti ne r p p r o j e c t sb o t h i nt h e o r ya n dp r a c t i c e ，e s p e c i a l l ya b o u tt h er i s km o n i t o r m o s tr e s e a r c h e sa r eb a s e do n e x p e r i e n c e s o ，f r o mt h ep e r s p e c t i v eo fe n t e r p r i s e ，t h i sa r t i c l ei n d u c t sc o s o 、c 0 l j i i t m o d e la n di n n e ra u d i tt oc o n c e i v et h er i s km a n a g e m e n tf r a m e w o r k ，a n da l s o ，i ta p p l y s s t a t i s t i c a lm e a t h o d 、q u a l i t a t i v ea n a l y s i s 、q u a n t i t a t i v ea n a l y s i sa n dm a k e s af i e l ds u r v e y t h i sa r t i c l ei n c l u d e sf o u rp a r t sp r i m a r i l y ： f i r s t l y , t h ei m p l e m e n t a t i o no fe r p 、c o s oa n dc o b i tm o d e la r ei n t r o d u c e d h e r ei ta n a l y z e st h ed e f i c i e n c yo fc u r r e n tl i t e r a t u r et r o u g hs t a t i s t i c ，a n d b r i n gf o r w a r d t h i sa r t i c l e sr i s km a n a g e m e n tf r a m e w o r kb a s e do nt h ec o s oa n dc o b i t m o d e l s e c o n d l y , t h eo b j e c t i v e sa r es e ta c c o r d i n gt ot h ec o n t r o lo b j e c t i v e so fc o b i t a n d t h e nt h er i s k sa r ei d e n t i f i e db yc a u s ea n de f f e c ta n a l y s i sm e a s u r eb a s e do nt h e p r e v i o u s r e s e a r c h a tl a s t ，ii n v e s t i g a t et h e c o r p o r a t i o n ，o n c eip a r t i c i p a t e di nw h o s ee r p p r o j e c t ， a n dm a k ea q u a n t i t a t i v er i s ka n a l y s i sb a s e do nc i mm o d e l t h i r d l y , a c c o r d i n gt or i s ka n a l y s i s ，t h i sp a r td e s c r i b e st h ef l o wc h a r to fr i s kc o n t r o l o fe r p p r o j e c ta n dp o i n t so u tt h a tw es h o u l dp e r f e c tt h er i s kc o n t r o lf r o mm a n a g e m e n t 、 t e c h n o l o g y 、s t r a t e g ya n dt a c t i c sp e r s p e c t i v e 。 f o u r t h l y , t h ei n n e ra u d i ti si n t r o d u c e di n t ot h er i s km o n i t o r t h i sp a r ta n a l y z e st h e f e a s i b i l i t y 、t h en e c e s s a r ya n dt h ed i f f i c u l t yo ft h i sc o n c e i v e a n dt h e ni tp i c t u r e s t h ef l o wo fi n n e ra u d i t ，a n dp u tf o r w a r d s u p e r v i s o r ym e a s u r e sa i m i n ga tt h ek e yr i s k s a 壤ee n do ft h ep a p e r , i tm a k e sa s u m m a r y , a l s op o i n t so u tt h ed e f i c i e n c i e sa n d w h a tn e e d st ob es t u d i e df u r t h e r k e y w o r d s ：e r pris km a n a g e m e n tc o s oc o bltln n e ra u dit i i 北京工商大学学位论文原创性声明 本人郑重声明：所呈交的学位论文是本人在导师指导下进行的研究工作所 取得的研究成果。除了文中已经注明引用的内容外，论文中不包含其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出重要贡献的个人和集体， 均已在文中以明确方式标明。本声明的法律后果完全由本人承担。 学位论文作者签名：廛3 函耋 日期：砌岔年月日 北京工商大学学位论文授权使用声明 本人完全了解北京工商大学有关保留和使用学位论文的规定，即：研究生 在校攻读学位期间论文工作的知识产权单位属北京工商大学。学校有权保留并 向国家有关部门或机构送交论文的复印件和电子版，允许学位论文被查阅和借 阅：学校可以公布学位论文的全部或部分内容，可以采用影印、缩印或其它复 制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 学位论文电子版同意提交后，可于口当年口一年口二年后在学校图 书馆网站上发布，供校内师生浏览。 学位论文作者签名：! 亟委亟茎导师签名：左幺远 二日期：跏眸参月1 日 学位论文作者签名：! 垫旦鱼茎 导师签名： 敞k 蔓 日期：跏眸参月1 日 北京工商大学硕士学位论文 引言 e r p ( e n t e r p r i s er e s o u r c e sp l a n n i n g ，企业资源计划) 已经不再是一个陌生的名 词了。2 0 世纪9 0 年代初，美国著名的咨询公司g a r t n e rg r o u p 率先提出了它的概念， 它是在物料需求计划和制造资源计划的基础上发展起来的，融合了供需链管理、敏 捷制造、精益生产等一系列先进管理思想，是当前最先进的管理思想和i t 技术的 载体。e r p 是一种企业内部所有业务部门之间、以及企业同外部合作伙伴之间交换 和分享信息的系统，是集成供需链管理的工具、技术和应用系统，是管理决策和供 需链流程优化不可缺少的手段，是实现竞争优势的同义语。1 一、研究背景与意义 普华永道合伙人a n d r e wt o n e r 说：“利用技术支持整个企业的i t 治理、风险 管理和法规遵从工作的集成可帮助公司创建并维护高效的遵从方案。现在，企业面 临越来越严峻的挑战，必须快速响应全球市场变化及不断增长的企业透明度和企业 责任要求”。2 由于管理思想和应用技术的先进性，e r p 成为应对竞争、应对法律合 规等的有力武器。美国萨班斯一奥克斯利法案( 下文简称“萨班斯法案”) 的出 台对与财务报告相关的信息系统提出了重大挑战。普华永道的一项调查表明，面对： 萨班斯法案的挑战，4 0 ( 占据最高比冽) 的受访者认为在目前采用的工具中，最 有效地影响或提高数据处理、控制和数据可靠性的是e r p 系统。3 通过运用高度集 成的e r p 系统，i t 将为有效的财务报告内部控制系统提供强有力的支持。据调查， 在过去的几年里，超过6 0 的美国公司已经安装或正在安装e r p 软件，预计到2 0 1 0 年e r p 市场有可能达到1 万亿美元。4 加入w t o 以后，中国企业面临着日益严峻的全球化竞争和商业挑战，萨班斯 法案同样给中国企业带来了压力。中国监管层也开始考虑为国内上市公司套上类似 的内部控制“紧箍咒。5 投资e r p ，改善企业的管理水平，提高经济效益和竞争 力，已成为中国政府和企业的共识。中国信息产业部和国家经贸委联合发布了关 于加快推进企业管理信息化建设的指导意见，要求企业大力开展e r p 系统的建设 和应用，并把企业信息化建设列为国债贴息重点支持专项，对e r p 投资给予资金政 策支持。据e w o r k s 咨询公司发布的报告表明：2 0 0 4 年中国制造业管理信息化市场 容量为2 7 5 1 亿元，其中e r p 软件市场为2 3 9 3 亿元，约占全球e r p 市场份额的 e r p 项目实施中的风险管理 1 。6 用友公司总裁王文京认为，从2 0 0 5 年开始，e r p 将进入普及时代，e r p 将从 少数大企业的贵族消费走向普及型消费。而据e - w o r k s 预计，2 0 0 5 年至2 0 0 9 年中 国制造业e r p 市场的复合增长率将达2 3 。到2 0 0 9 年，中国制造业e r p 营业额将 达约6 7 亿元，在全球e r p 市场份额将超过2 。7 然而，在各企业纷纷斥巨资于e r p 的同时， “i t 投资黑洞”，“l t 生产力悖 论”的阴霾，也同样笼罩着e r p 投资。s t a n d i s hg r o u p 调查了8 0 0 0 个e r p 项目。 结果显示，在预算期内成功完成的只占了1 6 ，被取消的占3 1 ，超出计划的占 5 3 ，平均每个项目成本超出1 7 8 ，时间拖延2 3 0 ，而应用的功能却减少了5 9 。 m c t ag r o u p 调查了6 3 家实施e r p 的企业，数据显示，成本平均为1 0 6 0 万美元， 时间平均为2 3 个月，其中有2 1 0 万美元是花在对系统超过两年的维护上，其最终 结论是这些公司在超过6 年的时间里平均每年损失了1 5 0 万美元的投资收益。8 在中 国，e r p 项目的高失败率也一直是摆在人们面前的大难题，在国内也相应出现了 “e r p 实施成功率为零”、“不上e r p 等死，上e r p 是找死”等的悲观说法。据 统计，中国e r p 应用中，存在三种情况：按时期、按预算成功实现系统集成的仅占 1 0 - 一2 0 ；没有实现系统集成或实现部分集成的有3 0 一- , 4 0 ；而失败的却占5 0 。 并且在实施成功的1 0 - 2 0 中大多为外资企业。9 我们姑且不去评论这些报道对成功和失败是如何定义及计算的，他们却从侧面 反映了e r p 项目的双重性，即一方面e r p 能够帮助企业获得竞争优势，另一方面， e r p 的应用也隐含着巨大的风险，要注意“管理。e r p 项目的实施绝不是简单的 软硬件购置和安装，更重要的是它所融入的先进管理思想的贯彻执行、企业管理模 式的变革等，这些错综复杂的关系决定了e r p 项目的高风险性。它们一旦发生，就 很有可能导致e r p 失败，给公司带来的不仅是时间和金钱的损失，更严重的可能是 企业竞争优势的丧失。 因此，在e r p 实施过程中，应当充分考虑各种可能存在的风险，通过有效的风 险管理确保e r p 项目目标的实现。目前，关于e r p 项目实施的风险管理理论和实践 都还比较薄弱，缺乏系统性的论述，还没有一套可以借鉴的方法。因此，本人收集 了相关资料并力求将理论和自己在用友公司的实习实践联系起来，站在企业的角 度，试图从c o s o 、c o b i t 模型及内部审计角度来寻找突破口。我相信，这对完善e r p 项目实施的风险管理理论以及e r p 项目的实施实践都是有意义的。 2 北京工商大学硕士学位论文 二、研究方法 本人拟在前人已有研究的基础上，采用理论结合实际的方法，通过统计、实地 调研、定性与定量分析相结合等方法来进行研究。定量分析数据的取得主要是通过 向本人参加过实施的e r p 项目企业发放调查问卷的方式，来搜集不同人员对e r p 项目实施阶段风险因素的看法。文中，为了更清楚的阐述，针对具体问题尽量运用 图表来加以分析，以期达到预想的目标。 三、预计的创新及突破点 第一，本文将c o s o 和c o b i t 这两个具有广泛指导意义的控制模型引入e r p 项目的实施，并针对e r p 项目实施的特征对这两个模型的运用进行适当的调整，以 使风险管理更具针对性。 第二，在已有文献对e r p 项目实施的风险进行分类识别的基础上，本文将基于 e r p 项目实施的生命周期，分阶段探讨风险因素，在风险的分析上运用定性和定量 相结合的方法，在风险监控上引入内部审计，真正地体现从企业的角度来观察研究 e r p 项目实施中的风险。 本人理论水平有限，参加过的e r p 项目不多，文章中的一些观点和解决方案必 然不够全面和完善，甚至可能失之偏颇，恳请各位老师批评指正，我将在今后的工 作和学习中，沿着这个方向继续思考探索，希望最终能有一个比较圆满的答案。 e r p 项目实施中的风险管理 第一章基本理论与文献分析 一、e r p 项目实施中的风险管理概述 ( 一) e r p 项目的涵义及其特征 1 、e r p 项目的涵义 所谓项目，就是具有一定时间、费用和技术性能目标的非日常性、非重复性、 一次性的任务，即项目是要在定时间里，在预算规定范围内，由一定的组织完成 的，并达到预定质量水平的一次性任务。1 0 实施e r p 就是在企业现有的管理和技术 水平的基础上，耗费一定的人力、物力和财力，在一定的时问内购进、安装并保证 其顺利使用，从而达到整合企业资源，提高管理水平和竞争力等的目的。因此，结 合项目的概念，我们可以看出，实施e r p 就是一个项目，是一个涉及企业管理、资 源、技术等多方面的i t 项目。 2 、e r p 项目的特征 除了和传统项目一样，受到人力、物力、资金等物质资源方面的约束，e r p 项 目还具有以下特征： ( 1 ) 高复杂性。e r p 系统是一个公认的智力高度密集的复杂系统，这既是由 于技术的复杂，又是由于管理的复杂，二者的结合，使得其实施的复杂性尤为突出。 ( 2 ) 高投资性。e r p 系统的高技术含量和复杂性决定了其价格普遍比较昂贵。 投资成本除了软硬件购置费，还包括了管理咨询、实施费用等。e r p 项目的一次性 投入比较大，后期维护和升级的费用数额也很可观，在系统使用的后续生命周期内， 投资是连续的。 ( 3 ) 高困难性。e r p 系统的复杂性和管理思想的先进性使实施的困难大幅度 提高。这种困难不仅在于技术难点，更重要的在于管理变革成为了它的前提和保障， 实施过程需要企业、厂商、管理咨询等的协调工作，涉及企业几乎所有重要部门和 相应人员，这些都增加了实施的困难和阻力。 ( 4 ) 高隐蔽性。e r p 建设初期，企业很难提供明确的需求。另外，e r p 会带来 什么样的效益，也有待项目建设过程的深入而逐渐显现。 4 北京工商大学硕士学位论文 ( 二) e r p 项目实施概述 1 、e r p 项目实施的概念 e r p 项目实施的概念有广义和狭义之分。 狭义的是指，从企业购买e r p 软件之日起，到购买的模块正式开始运行或验收 之日期间的全部活动。1 1 通常各种文献中提到的“实施周期”就是按此定义的。其 优点是有明确的项目起点和终点，缺点是倾向于从e r p 供应商、实施顾问等的角度 来划分实施阶段，使企业容易忽视软件购买前的活动，如e r p 原理的学习、项目立 项分析等，而且也容易使企业在实施过程中表现得很被动，甚至错误地认为实施 e r p 是软件供应商或咨询商的事。 广义的是指，从企业正式提出需要引入e r p 系统之日起，直到企业e r p 系统 正式运行并达到预定的实施目标期间的全部活动。实施启动的标志是企业开始有目 的地接受e r p 概念及管理思想的教育与培训，或将企业实施e r p 项目正式列入战 略规划。汜有的专家将系统的实施理解为“是一个组织将一项创新或建议从概念转 化为现实的全部活动”，是非常有意义的。它明确了e r p 实施应当以企业为主体， 并且，企业应当将e r p 实施作为管理系统的一项创新活动来规划。 e r p 项目的实施实质上是一个知识转移的过程，项目失败的责任最终要落到企 业身上。而目前国内企业在实施过程中，广泛存在着企业过分依赖外部的咨询商、 实施商等的“错位现象”，加上国内e r p 市场的混乱与不成熟，往往导致企业e r p 项目的失败。因此本文将采用广义的实施概念，使企业的主体地位更好发挥出来。 当然，强调企业主体地位并不意味着抹杀实施中其他各方的作用，而在于促使企业 更加积极主动地配合其他各方，落实知识转移并加强风险管理，提高实施成功率。 2 、e r p 项目实施方的确定 e r p 项目涉及e r p 系统的实施企业、软件供应方和实施方。目前，企业在选择 e r p 实施方时一般采用以下三种方式： ( 1 ) 直接选择软件厂商担任实施方o ，其优点是软件厂商通常比较熟悉自身的 产品。然而，开展e r p 项目必然会牵涉到企业责、权、利的再分配。这些非技术性 问题的解决要求实施方不但是系统方面的专家，更应是管理方面的专家。从专业方 面考虑，软件厂商在这些方面的能力会有所不足。该方式中，软件厂商既提供软件 产品，又同时担任实施方，则可能在实施中无法辨别软件功能上的缺陷而增加项目 e r p 项目实施中的风险管理 风险。因此，引入中立的实施顾问公司，将有助于对软件商和实施方合二为一的角 色进行制衡，从而保证项目的顺利实施。 ( 2 ) 对e r p 厂商和实施方进行捆绑选择。有些e r p 软件商，如o r a c l e 、s a p 等通过代理来销售，通常代理商就是其软件的实施方。其优势在于能够控制成本， 、 提高总体效率。另外，捆绑的双方一般合作较多，配合默契，实施方对e r p 产品比 较熟悉，拥有类似于第一种模式的优势。缺点在于可能使企业混淆对两者独立的判 断，限制企业对软件选择和实施方选择两方面各自最优方案的辨别。 ( 3 ) 先选择e r p 厂商，再选择实施方。这是国际上大型企业在e r p 项目运作 过程中普遍采用的方法。这种方式的缺点是项目运作成本高，但能充分保证对软件 和实施方选择的独立性和全面性，从而显著降低项目风险。 目前，国内企业对实施方的选择应用较多的是第一种和第二种方式，而第二种 方式下，实施方也基本上是软件供应商的代表，其运作类似于第一种方式。由于本 文采用的是广义的实施概念，企业在项目启动阶段就非常有必要引入咨询公司对自 身的管理需求进行一番梳理，结合本人在用友公司实习期间参加的项目实施经验， 本文将采用引入咨询顾问，并选择软件厂商或其代理担任实施方的方式。目前，还 有一些文献提到e r p 项目监理的引入问题。考虑到目前中国企业信息化中应用项目 监理的还很少，即使部分项目采用了项目监理，也由于缺乏可资借鉴的规范和标准， 而不能真正发挥监理的作用，因此，本文不考虑监理方问题。 3 、e r p 项目的实施进程 企业实施e r p 总体上可以分为四个阶段：项目启动阶段、项目计划阶段、项目 实施阶段和项目验收阶段。之所以这样划分是从企业的角度来考虑实施，使企业的 风险管理工具更具针对性。实施进程中涉及的主要事项如图1 1 所示。 ( 1 ) 项目启动阶段 该阶段的任务是决定是否上马e r p 项目。因此，需要对领导层和筹备小组进行 培训，使他们理解掌握e r p 的基本原理和管理思想。在此基础上企业对自身现行的 业务流程和存在的问题进行诊断，寻求解决方案，定义预期的项目目标，做出书面 的需求分析和可行性分析。这一阶段，企业通过调查应当能回答以下问题：“企业 是不是到了该应用e r p 的阶段? ”“企业当前最迫切的需要解决的问题是什么，e r p 系统是否能够解决? e r p 系统的投资效益如何? ”“实施e r p 的基本条件是否具 备? 等。 6 北京工商大学硕士学位论文 企 业 信 息 化 总 体 规 划 成 一 业 筹 备 小 组 咨 询 公 司 引 入 人员培切 初 步 需 求 调 研 可 行 性 分 析 与 立 项 系 统 选 型 与 供 应 商 确 定 详 细 需 求 调 研 目小组组建 员培训 制 定 项 目 计 划 系 统 安 装 与 初 始 化 原 型 测 试 用 户 化 与 次 开 发 数据准备与导入 业务流程改善 人员培训 系 统 上 线 系 统 并 行 与 切 换 项 目 交 付 使 用 系 统 维 护 项目后评价 人员培 1 1 1 图1 1e r p 项目实施主要进程 ( 2 ) 项目计划阶段 该阶段的工作重点是e r p 系统选型、系统供应商选择、项目小组组建和实施计 划的制定。e r p 系统选型非常关键，企业必须在上系统前明确本企业需要什么样的 e r p 系统，并且要对软件供应商进行充分的考察。项目小组要负责整个实施过程， 一般分为项目领导小组、项目实施小组和项目应用小组三个层次。要根据以上各步 骤的讨论、调研，确定实施计划。 ( 3 ) 项目实施阶段 这是e r p 项目实施的核心阶段。该阶段的任务是执行上一阶段制定的项目计 划，将前期的各项准备工作转化为目标实现的过程，在此过程中需要进行项目的监 督和控制。这一阶段包含着从系统客户化、数据准备到系统切换上线等e r p 实施的 全过程，中间还穿插着企业业务流程改善和员工培训。 ( 4 ) 项目验收阶段 这是企业实施e r p 项目的终点，同时也是e r p 运行维护和升级的开始。该阶段 要对相关文档进行验收，对此次项目的实施情况进行评估。 7 e r p 项目实施中的风险管理 ( 三) f r p 项目实施中的风险管理理论文献与案例统计分析 为了了解目前学术界对e r p 项目实施风险的研究状况，笔者对搜索到的1 0 篇 国外理论文献和4 0 篇国内理论文献进行整理统计，结果如表1 1 所示： 表1 1e r p 项目实施中的风险管理研究角度统计分析 e r p 项目实施中的风国外文献1 0 篇国内文献4 0 篇汇总5 0 篇 险管理研究角度频数百分比频数百分比频数百分比 风险识别 l o1 0 0 3 28 0 4 28 4 风险评估 33 0 71 7 5 1 02 0 风险控制措施 22 0 1 84 5 2 04 0 风险监控 oo 41 0 4 8 由表1 1 我们可以看出，目前学术界对e r p 项目实施中的风险管理研究主要侧 重于风险识别领域，汇总比率高达8 4 。风险控制措施角度的研究次之，汇总比率 为4 0 。风险评估方面却相对很薄弱，仅占2 0 ，且其中约1 3 的文献仅是对评估 方法的介绍。最为薄弱甚至可称之为“无”的是风险监控领域的研究。在l o 篇国 外文献中，无一提到监控问题，而在国内的4 篇文献中，一篇是关于内部审计在e r p 实施风险监控中的作用描述；一篇是关于对e r p 实施进行审计的内容介绍；而另两 篇仅提到要进行风险监控，如实行项目审计等，至于如何操作没有论述。 进一步地，为了对e r p 项目实施巾的风险因素有一个总括的了解及检验理论和 实践的一致性，以求得相关的启示，指导本文的写作，笔者对上述风险识别方面的 l o 篇国外文献、3 2 篇国内文献及笔者通过查阅书籍和网上搜索的方式增加的2 0 篇 案例进行统计分析，结果见表1 2 ： 表i 2e r p 项目实施中的关键风险因素统计分析 e r p 项目实施中的关键风险国外文献1 0 篇国内文献3 2 篇案例2 0 篇汇总6 2 篇 因素频数百分比频数 百分比频数 百分比频数百分比 外部环境风险 22 0 l l3 4 3 8 21 0 1 52 4 1 9 信息化规划风险 00 4 1 2 5 o 0 46 4 5 企业基础风险 33 0 l l3 4 3 8 73 5 2 l3 3 8 7 高层领导支持与参与风险 4 4 0 1 4 4 3 7 5 1 3 6 5 3 1 5 0 需求分析风险 44 0 1 85 6 2 5 l l5 5 3 35 3 2 3 项日小组风险 55 0 2 l6 5 6 3 84 0 3 45 4 8 4 项目目标风险 33 0 82 5 15 1 21 9 3 5 项目范风险 33 0 92 8 1 2 42 0 1 62 5 8 1 项 进度、成本、质量风险 77 0 2 47 5 94 5 4 06 4 5 2 业务中断风险 l l o 26 2 5 l5 4 6 4 5 转变l j 调整风险 55 0 82 5 21 0 1 52 4 1 9 业务流程重组风险 66 0 1 75 3 1 3 84 0 3 l5 0 培训风险 8 8 0 1 44 3 7 5 63 0 2 84 5 1 6 技术风险 5 5 0 1 34 0 6 3 2 l o 2 0 3 2 2 6 实施方法论风险 33 0 39 3 8 52 5 l l1 7 7 4 人员风险 7 7 0 1 54 6 8 8 i o5 0 3 25 1 6 1 咨询商风险 3 3 0 1 4 4 3 7 5 4 2 0 2 13 3 8 7 实施方风险 22 0 39 3 8 2 l o 7 1 1 2 9 北京工商大学硕士学位论文 合作风险 22 0 82 5 2l o 1 21 9 3 5 合同风险 1l o 39 3 8 21 0 69 6 8 数据风险 55 0 1 54 6 8 8 7 3 5 2 74 3 5 5 软件选型风险 7 7 0 2 78 4 3 8 1 05 0 4 47 0 9 7 软件供应商风险 44 0 1 85 6 2 5 94 5 3 l5 0 文档风险 o0 61 8 7 5 0o 69 6 8 二次开发风险 4 4 0 1 54 6 8 8 94 5 2 84 5 1 6 系统维护风险 0o 3 9 3 8 o o 34 8 4 项目评价风险 22 0 92 8 1 2 31 5 1 42 2 5 8 由表1 2 我们可以看出，出现频率位列前五的风险因素分别是软件选型风险、 项目进度、成本和质量风险、项目小组风险、需求分析风险、人员风险，汇总比率 分别为7 0 9 7 、6 4 5 2 、5 4 8 4 、5 3 2 3 和5 1 6 1 ，并且我们发现，理论研究基 本上还是能够经受实践检验的。 综上，国内外对e r p 项目实施中的风险管理的讨论为本文的研究提供了很好的 借鉴。同时，我们也发现一些不足：首先，已有研究缺乏系统性，没有完整的风险 管理框架做指导，国外的较多基于案例和访谈，而国内的则更多基于经验总结或简 单罗列；其次，定量研究不多，有些也只是引入了评估方法，没有风险指标体系的 构建与运用；最后，e r p 项目实施中的风险监控研究非常薄弱。因此，引入先进的 控制模型，建立一套行之有效的风险管理机制对e r p 项目的实施成功至关重要。 二、c o s o 企业风险管理整合框架概述 ( 一) 企业风险管理整合框架出台背景 c o s o 全称为“发起机构委员会”( t h ec o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n ) ， 其于1 9 9 2 年发表，并于1 9 9 4 年修订的内部控制整体框架报告，标志着内 部控制理论和实践进入了整体框架的新阶段，并被世界上许多企业采用。尽管如此， 理论界和实务界纷纷对内部控制框架提出一些改进建议，强调内部控制框架的建立 应与企业的风险管理相结合。m 2 0 0 1 年年底以来，美国爆发了以安然、世通等公司为代表的财务舞弊丑闻，重 创了美国资本市场，暴露了美国公司在内部控制上存在的问题，由此导致了美国萨 班斯法案的出台。2 0 0 4 年9 月，在高管人员的监督问题日益突出，国际社会对改善 公司治理的呼声日益高涨的背景下，c o s 0 在其1 9 9 2 年内部控制报告的基础上，结 合萨班斯法案相关方面的要求，发布了企业风险管理整合框架。 9 e r p 项目实施中的风险管理 ( 二) 企业风险管理整合框架主要内容 1 、企业风险管理的定义 “企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应 用于企业的战略制定和企业的各个部门和各项经营活动，用于确认可能影响企业的 事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理的保证”。 2 、企业目标 包括战略目标、经营目标、报告目标和遵从目标四个方面。战略目标是企业高 层次目标，和企业的任务和预期相联系并支持他们的实现；经营目标指企业经营的 效率性和效果性，包括经营业绩和盈利能力目标；报告目标指企业报告的有效性， 包括对内和对外报告，以及财务信息和非财务信息；遵从目标指企业符合相关的法 律和法规。 3 、企业风险管理的构成要素 内部环境。它是其他风险管理要素的基础，为他们提供规则和结构。主要包 括董事会、管理者、风险偏好和风险文化等。 目标设定。根据企业确定的任务或预期，管理者制定企业的战略目标，选择 战略并确定其他与之相关的目标并在企业内层层分解和落实。设定目标应当和企业 风险偏好保持一致。 事项识别。企业管理层应当识别影响企业战略实施成功和企业目标实现的潜 在事项。对企业有潜在负面影响的事项是企业的风险，要求管理层进行评估并采取 措施。对企业有潜在正面影响的事项可以抵消负面影响或给企业带来机会。 风险评估。风险评估与影响企业目标实现的潜在事项有关，管理层应当从可 能性和影响两方面来评估风险，可以采用定量和定性的方法。对潜在负面事项的评 估包括固有风险评估和剩余风险评估。 风险应对。可分为风险回避、风险降低、风险共担和风险接受四种。在制定 风险应对方案时，应考虑成本效益原则，在风险容忍度和预期范围内选择。 控制活动。指有助于风险应对方案得到正确执行的相关政策和程序，它贯穿 于企业的各部分、各个层面和各个部门。管理层应对企业所有重要系统进行控制， 包括信息系统的控制。 信息和沟通。来自企业内部和外部的相关信息必须以一定的格式和时间间隔 1 0 北京工商大学硕士学位论文 进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通是广 义的概念，包括企业内自上而下、自下而上以及横向的沟通，还包括将相关的信息 与企业外部相关方的有效沟通和交换。 监控。是指评估风险管理要素的内容和运行及一段时期的执行质量的一个过 程。可以通过持续监控和个别评估或者两者的结合来实现。 4 、风险管理要素和企业目标之间的关系 企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下 来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构 成要素都能够、也的确会影响其他构成要素。八个要素都是为企业的四个目标服务 的；企业各个层级都要坚持服从企业的四个目标；各个层级都必须从以上八个方面 进行风险管理，该框架适合各种类型的企业或机构的风险管理，当然也适合于企业 的项目风险管理。 ( 三) 新旧c o s 0 报告的对比 新的风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提 高，主要表现在：提出一个新的观念风险组合观，指出要用风险组合的观点 来看风险，而不是孤立地看待企业内每个单位的风险；增加了一类目标战略 目标，并扩大了财务报告目标的范畴，该目标覆盖了企业编制的所有报告；引入 风险偏好、风险容忍度、情景分析等概念；新增了“目标制定”、“事项识别”、“风 险应对”三个风险管理要素，对其他要素的分析更加深入，范围上也有所扩大。 董事会、管理层和内部审计等相关责任人的角色和任务发生了变化，并且要求设立 风险管理部门，新增风险经理角色。 三、信息化管控模型c o b it 随着企业信息化建设的推进和深入，企业的日常业务已经越来越依赖于i t 系 统。i t 在给企业提供增值服务的同时，也给企业带来了更大的风险。管理层非常需 要一个统一的管控体系，对企业内所有层次的i t 风险进行评价和分析。c o b i t ( c o n t r o lo b j e c t i v e sf o ri n f o r m a t i o na n dr e l a t e dt e c h n o l o g y ，信息及相关技术控制目 标) ，是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。 普华永道的一项统计表明，全世界6 3 的公司采用了c o b i t 控制框架标准，这一 e r p 项目实施中的风险管理 比率是1 1 r 控制框架采用率最高的。1 5 它由美国信息系统审计和控制协会下属的r r 治理协会于1 9 9 6 年发布第l 版本，1 9 9 8 年第2 版本，2 0 0 0 年发布第3 版本，2 0 0 5 年1 1 月发布4 o 版本，2 0 0 7 年5 月发布4 1 版本。c o b i t 提供了一个基于风险自 评估来识别和管理i t 相关风险的框架。1 6 c o b i t 的使用对象是管理者、1 1 r 人员、 控制和审计职能部门与业务人员，c o b i t 的控制目标为他们提供了一份行之有效的 参考材料。 ( 一) c o b i t 的控制原理 c o b i t 的构建是基于这样的一个假设：为了提供企业实现业务目标所需的信 息，企业需要投资、管理和控制i t 资源。通过对i t 过程的管理能有效地管理i t 资 源，满足业务需求。其原理可以用图1 2 来表示： 反 ( 二) c o b i t 的框架 圈1 2 c o b i t 控制原理 图1 3 显示了c o b i t 的框架，其中，信息准则集中反映了企业的业务目标，l t 资源是信息化管控的对象，n 过程是在准则指导下管理n 资源的方式。 1 、信息准则。通常，企业目标映射为n 目标，意味着从业务的观点看，i t 必 须满足哪些准则，才能保证其收益的实现。这意味着从业务的观点来看，信息应该 具备：有效性：既能处理与业务过程有关的信息，又能以及时、正确、一致和可 用的方式交付。高效性：考虑通过最优的( 最有效和最经济的) 资源利用来提供 信息。机密性：考虑保护敏感的信息免于暴露给未经授权的人。完整性：既关 系到信息的正确性和完全性，又关系到与业务价值和期望的一致性。可用性：主 要关注不论在当前还是将来，用户在需要时都可获取信息。同时还关注必要资源和 相关能力的安全保护措施。符合性：指i t 和商业过程必须遵从法律、法规和合 同的规定，如，外部强制的商业标准以及内部控制政策。可靠性：为管理层开展 1 2 旁 。圈 备八 北京工商大学硕士学位论文 业务经营和履行受托和管理责任提供适当信息。 需要指出的是，所有的信息准则并不一定同样程度地影响1 1 r 资源，也并不一 定必须同样程度地满足不同的业务需求。在c o b i t 框架中信息准则有“主要 和 “次要”之分。 业务目标 i t 过 程 图1 3c o b l t 立体框架图 2 、l t 资源。包括：应用系统：产生信息的计算机及手工的程序的总和。 信息：通过信息系统输入、处理和输出的所有形式的数据。基础设施：支持应 用系统的所有技术和设备，如，硬件、操作系统、数据库管理系统、网络等。 人：计划、组织、获取、交付、支持、监控、评估信息系统及服务的人。 3 、i t 过程。c o b i t 对1 1 r 资源的管理包括三个层次活动、过程和域。 最底层包含可测量结果的活动或任务。在这个层次上，任何活动或任务都能得 到有效的评测和控制，通过对它们的评测和控制，达到积少成多，完成对整个过程 的控制。 第二层定义为过程，由一个个相互关联的活动所组成，完成相对独立的一个功 能。在这一层，c o b i t 确定了3 4 个信息技术处理过程。 在最高层，过程被自然归组成域。过程的自然组合被作为组织结构的职责域， 并与应用于i t 处理过程的生命周期相一致，每个域都有各自明确的控制目标及其 所涵盖的功能范围。c o b i t 包括以下四个域：规划与组织域( p o ) ：包括战略和 战术两个层面，重点关注如何识别满足业务目标的i t 系统。同时，战略目标的实 e r p 项目实施中的风险管理 现应规划，并从不同的层面沟通和管理。最后，良好的组织架构和技术基础架构是 必不可少的。获取与实施( a i ) ：理解i t 战略后，应识别、开发或获取、实施i t 解决方案，同时，密切与业务