ייעוץ עסקי בקרה וניהול סיכונים

מאמר בנושא ניהול סיכונים במערכות ERP

במאמר זה אנסה להאיר את דעתם של הקוראים על החשיבות בניהול הסיכונים של מערכות ERP בשלב ההטמעה ובשלב שלאחר ההטמעה (Post Implementation Review).

מטרתי הנה להציג נקודות עיקריות אשר אותן מנהלי מחלקות טכנולוגיות המידע, מנהלי כספים, מבקרים פנימיים וגורמים שונים נוספים בארגון צריכים לבדוק כי נסקרו בארגונם בשלב ההטמעה או בשלב של לאחר ההטמעה. סקירה זו תאפשר לאבחן האם מערכת ה- ERP  המוטמעת מספקת את המידע המצופה ממנה ברמת דיוק, שלמות ותקפות נאותים.

למערכת ERP יתרונות רבים על פני מערכות ה LEGACY – המערכות הותיקות בארגון. יתרונות אלה באים לידי ביטוי בין היתר בהגדלת הפרודוקטיביות, קביעת סטנדרטים מתקדמים ונוהלי עבודה משופרים בחברה, ייעול התקשורת הבין מחלקתית כפועל יוצא של הפחתת התלות בניירת המועברת בין המחלקות, עיבוד מידע בזמן אמת, שיפור יכולת קבלת ההחלטות, שיפור השירות ללקוח, שיפור הקשר עם הספק ועוד.


הצורך בניהול סיכונים במערכות
ERP

בשל מורכבותן והאינטגרציה הגבוהה של מערכות אלו בארגון,  הן טומנות בחובן סיכונים ואתגרים בתחומי הבקרה ואבטחת המידע. מניסיוננו עולה כי במקרים רבים בעת הטמעת מערכות מידע ובפרט מערכות ERP ,  הארגונים אינם מפנים את המשאבים הנדרשים לצורך ניהול סיכונים. להלן רשימה חלקית של הסיכונים הקיימים ביישום פרוייקט מסוג זה:

  • מערכות ERP מפחיתות באופן ניכר את הניירת המועברת בין מחלקות הארגון. נתיב הביקורת המסורתי המשמש את הארגון, על מנת להתחקות אחר אי סדרים וטעויות נעלם ודורש יצירת תהליכי בקרה מפצים ממוחשבים.
  • הטמעת מערכת ERP בארגון גורמת בדרך כלל לבחינה מחודשת ושינוי של תהליכי העבודה. לעיתים, השינויים הנדרשים בתהליכי העבודה מהותיים ביותר, דבר החושף את הארגון לסיכון של חוסר תפקוד בימים הראשונים של העלאת המערכת.
  • מערכת ה-ERP משתמשת בבסיס נתונים אחד לגבי כלל פעילויות המחשוב בחברה (כספים, שיווק, כוח אדם, ייצור, מלאי וכו')  ובכך מונעת היווצרות של כפילות בנתונים, צורך בעדכון חוזר של בסיס המידע במקרה של שינוי ואו כשל,  וחיסכון בתהליכי בקרה על מנת לוודא כי בסיסי הנתונים אכן מסונכרנים ומעודכנים.
  • מערכת ה ERP משמשת את כלל עובדי הארגון. יישומים מסווגים, כגון מערכת הכספים שהייתה נחלתם של אנשי הכספים בלבד, הנם חלק ממערכת זו. הדבר חושף את הארגון לסיכון של זליגת מידע, סיכון שיש לנהלו באמצעות תכנון קפדני של קבוצות המשתמשים ורמת ההרשאות במערכת.
  • אחד מיתרונות ה- ERP נובע מהאופן שבו המודולים השונים במערכת מזינים אחד את השני בזמן אמת. יתרון זה חושף את הארגון גם לסיכון היות והעדר בקרות קלט מתאימות תגרור טעויות בכל המודולים הרלוונטיים למערכת.
  • הטמעת מערכת לא מהווה שינוי טכנולוגי בלבד אלא שינוי בחשיבה ובדרכי ההתנהגות של העובדים. מידת המוכנות של העובדים מבחינת הכשרה ותרגול העבודה בסביבה החדשה עשוי להקטין סיכון זה.
  • הבקרות במערכות ERP  מוגדרות ומנוהלות על ידי פרמטרים רבים שמאוחסנים בטבלאות שונות במערכת ולשם תחזוקתן נדרש ידע מעמיק ומקצועי.
  • עקב לוח זמנים צפוף בשלב ההטמעה והרצון העז לקצר עד כמה שניתן את שלב המעבר בין מערכות המחשוב הישנות למערכת ה ERP, נוטים ארגונים להזניח את יישום הבקרות והטיפול באבטחת המידע של המערכת.
  • הצורך הקיים בדרך כלל בגיור המערכות לישראל, כגון: התאמה להוראות ניהול ספרים, ניהול הערכים הכספים במספר מטבעות ועוד.
  • הצורך בהמרת הנתונים ממערכות מחשב קודמות בחברה למערכת החדשה לעיתים גורם לאי דיוק במערכת החדשה.

על מנת להבטיח יישום מוצלח של מערכת ERP, מומלץ להשתמש במתודולוגיה מובנית לניהול סיכונים. כפועל יוצא מכך פותחו בעולם מתודולוגיות לניהול סיכוני הטמעת מערכות ERP, אשר מסייעות לארגונים לנהל את הסיכונים בשלב ההטמעה או בשלב שלאחר ההטמעה (Post Implementation Review).

אחת ממתודולוגיות אלו הנה מתודולוגית ניהול סיכונים שפותחה בחברת PricewaterhouseCoopers על בסיס ידע וניסיון בינלאומי בהטמעה וסקירה של מערכות ERP. מתודולוגיה זו מספקת מענה מקיף לצורכי ניהול הסיכונים וכוללת התייחסות גם לכלי עבודה ממוכנים (כדוגמת "ACE") המסייעים בניתוח נהלי הבקרה והאבטחה.  "ACE" הוא כלי ייעודי ,שפותח על ידי PricewaterhouseCoopers, המאפשר לסקור באופן ממוכן את הפרמטרים במודול הבסיסי ותקפות הפרדת תפקידים, במערכות ERP של חברת SAP.

תוצר עבודת ניהול סיכונים הינו דוח כתוב להנהלת הארגון בו מפורטים החולשות בבקרות והסיכונים שעולים במהלך הסקירה, והפתרונות הנדרשים ליישום לשם הקטנת החשיפות. כמו כן, דירוג הליקויים והפתרונות הנדרשים בהתאם לחומרתם ולדחיפות המומלצת ליישומם, על פי הדרוג הבא:

  • חולשה שיכולה להשפיע באופן מהותי על הבקרה הפנימית של המערכת ועל אמינות הנתונים ולכן מומלץ ליישם בקרות בנושא מהר ככל האפשר.
  • נושאים חשובים לבקרה הפנימית ולהפחתת הסיכונים במערכת בכללותה אך לא מחייבים נקיטת צעדים מיידים.
  • שיפורים מומלצים לבקרה הפנימית או ליעילות המערכת אך אינם קריטיים לבקרת המערכת.

לסיכום
הצורך בריכוז משאבים ואיחוד מערכות מחשב בחברות ובדרישה שהולכת וגוברת ליעילות תפעולית ומתן מענה עסקי כמעט בכל מצב וזמן מאותם חברות, מעלה לחברות צורך להתמודד מבעוד מועד במניעת כשלים ואבחון מוקדם של טעויות. ללא בקרות נאותות, רמת אבטחת מידע מספקת והפרדת תפקידים נאותה, החברות יכולות בקלות יתרה לאבד שליטה על הנעשה במערכת המידע. מצב זה העלול בין היתר להביא לאובדן כספי ניכר הנובע מהסתמכות על נתונים שגויים בעת קבלת החלטות.
ניהול הסיכונים בשלב ההטמעה ואו בשלב שלאחר ההטמעה יביא לניהול ויישום נכון של המערכת ,יקטין את הסיכונים העלולים לנבוע בעתיד, יאפשר לארגון להפיק את מירב הפונקציונליות האפשרית מהמערכת בהתאם לאופי פעילותו ויאפשר לייעל את תהליכי העבודה. עם זאת יש לשים לב כי ניהול הסיכונים יעשה על ידי חברה מיומנת ובעלת מתודולוגית עבודה הן בתחום ה ERP והן בתחום ניהול הסיכונים.

יצירת קשר