The identification of risks in info

The identification of risks in information systems projects has been the subjectof much research (Jiang et al., 1996; Zmud, 1980). A portfolio approach formanaging software development risk was discussed by McFarlan (1981). Priorresearch has looked at risk from a technological perspective (Anderson andNarasumhan, 1979) or from a software development perspective (Barki, et al.1993). Jiang and Klein (1999) examined risk as it related to a multidimensionalconcept of information success that included satisfaction with the developmentprocess, satisfaction with system use, satisfaction with system quality, and theimpact of the information system on the organization. In their study projectmanagers were asked about problems on a recently completed information systemsproject. The risks associated with the overall success of a systems project wereapplication complexity, lack of user experience, and lack of role clarity of roledefinitions of individuals on the project. Lack of user support was significant forthe organizational impact, while technological newness affected system qualitysatisfaction. Systems development was affected by the team’s general expertise,application complexity and user experience, and systems use was affected by roleclarity and user experience. Reel (1999) discussed the importance of understandinguser needs and mitigating user resistance, proper project management includingproject scope definition, top management sponsorship, and having a project teamthat possesses the appropriate skills. While these prior studies are relevant, noneexplicitly examined the environment of ERP systems. In these studies, the risksand controls were more technological focussing on software development ascompared to the implementation of packaged solutions that require thereengineering of business processes and limited software modificationsIn order to maximize the probability of success, the risks associated with atask must be minimized (Barki, et al. 1993; Jiang and Klein, 1999). As statedabove, audit firms minimize the risk of audit failure through the identification ofinherent, control and detection risks followed by the establishment of an acceptable,specified level of overall audit risk that is a function of those other risks (Arensand Loebbecke, 1997). The same rationale holds for the implementation of anERP system. In order to maximize the probability of success, the risks must beidentified and appropriate controls put in place to minimize those risks.The lack of alignment between the organization strategy, structure, andprocesses and the chosen ERP application is one risk that is repeatedly identifiedin the literature is (see, for example, (Davenport, 1998; 2000)). Both the businessprocess reengineering literature (Hammer, 1990; Hammer and Champy, 1993)and the ERP literature suggests that an ERP system alone cannot improve thecompany performance unless an organization restructures its operational
processes (Bingi et al., 1999; Davenport, 1998; Davenport, 2000). Further, the
ERP implementation project must be a business initiative. This requires the
organization to gain strategic clarity (i.e., know the business, how it delivers
value, etc.) and a constancy of purpose. Finally, an outcomes orientation is
required to achieve these goals.
Within an ERP project, the loss of control over the project is another major
risk. Loss of control can arise in at least two ways: the lack of control over the
project team, and the lack of control over employees once the system is
operational. Risks associated with controlling major projects existed prior to the
development of ERP software, and much has been written on project escalation
(see, for example, Brockner, 1992; Kanodia et al., 1989; Keil, 1995; Sharp and
Salter, 1997; Staw, 1976; 1981; Staw and Ross, 1987). The first risk is the lack
of control over the project team. This lack of control results from the
decentralization of decision-making and subsequent ineffective ratification of
decisions. Within the setting of an ERP project, in order to ensure the collocation
of knowledge with decision rights, it is common for an organization to form an
ERP system implementation project team that involves individuals who have
some relevant specific knowledge associated with the implementation of an ERP
system (such as information technology knowledge or change management
skills). Decision rights are then assigned to the team. However, where the project
team has complete control over the ratification of its own decisions creates a
potential business risk that the project team would act in their own interests
rather than act in the best interests of the organization. The second risk is that an
operational ERP system most always results in the devolution of responsibility
and empowerment of lower level employees. A lack of adequate controls over
this increased responsibility

Việc xác định các rủi ro trong dự án hệ thống thông tin đã trở thành chủ đề
của nhiều cuộc nghiên cứu (Jiang et al, 1996;. Zmud, 1980). Một cách tiếp cận danh mục đầu tư cho
quản lý rủi ro phát triển phần mềm đã được thảo luận bởi McFarlan (1981). Trước khi
nghiên cứu đã xem xét rủi ro từ góc độ công nghệ (Anderson và
Narasumhan, 1979) hoặc từ một quan điểm phát triển phần mềm (Barki, et al.
1993). Giang và Klein (1999) đã kiểm tra nguy cơ vì nó liên quan đến một đa chiều
khái niệm thành công thông tin đó bao gồm sự hài lòng với sự phát triển
quá trình, sự hài lòng với việc sử dụng hệ thống, sự hài lòng với chất lượng của hệ thống, và các
tác động của các hệ thống thông tin về tổ chức. Trong dự án nghiên cứu của họ
quản lý được hỏi về vấn đề trên một hệ thống thông tin gần đây đã hoàn thành
dự án. Các rủi ro liên quan với thành công chung của một dự án hệ thống được
ứng dụng phức tạp, thiếu kinh nghiệm người dùng, và thiếu vai trò rõ ràng về vai trò của
các định nghĩa của các cá nhân trong dự án này. Thiếu hỗ trợ người sử dụng có ý nghĩa đối với
các tác động của tổ chức, trong khi sự mới mẻ về công nghệ ảnh hưởng chất lượng hệ thống
hài lòng. Phát triển hệ thống bị ảnh hưởng bởi chuyên môn nói chung, của nhóm nghiên cứu
phức tạp ứng dụng và kinh nghiệm người dùng, và các hệ thống sử dụng đã bị ảnh hưởng bởi vai trò
rõ ràng và kinh nghiệm người dùng. Reel (1999) đã thảo luận về tầm quan trọng của sự hiểu biết
nhu cầu của người sử dụng và giảm thiểu sức đề kháng của người dùng, quản lý dự án thích hợp bao gồm
định nghĩa phạm vi dự án, tài trợ quản lý hàng đầu, và có một đội ngũ dự án
mà sở hữu những kỹ năng thích hợp. Trong khi các nghiên cứu trước đây có liên quan, không có gì
rõ ràng kiểm tra môi trường của hệ thống ERP. Trong những nghiên cứu này, những rủi ro
và kiểm soát được lấy nét công nghệ nhiều hơn vào phát triển phần mềm như
so với việc thực hiện các giải pháp đóng gói đó có yêu cầu
tái cấu trúc quy trình kinh doanh và sửa đổi phần mềm hạn chế
Để tối đa hóa khả năng thành công, các rủi ro liên quan với một
nhiệm vụ phải được giảm thiểu (Barki, et al 1993;. Giang và Klein, 1999). Như đã nêu
ở trên, các công ty kiểm toán giảm thiểu nguy cơ thất bại kiểm toán thông qua việc xác định
vốn có, kiểm soát và phát hiện rủi ro tiếp theo là thành lập một, chấp nhận
mức quy định của rủi ro kiểm toán tổng thể đó là một chức năng của những rủi ro khác (Arens
và Loebbecke, 1997 ). Các lý do tương tự cũng cho việc thực hiện một
hệ thống ERP. Để tối đa hóa khả năng thành công, các rủi ro phải được
xác định và kiểm soát thích hợp đưa ra để giảm thiểu những rủi ro này.
Việc thiếu sự liên kết giữa chiến lược tổ chức, cấu trúc và
các quá trình và các ứng dụng ERP được chọn là một trong những nguy cơ đó là nhiều lần xác định
trong văn học là (xem, ví dụ, (Davenport, 1998; 2000)). Cả kinh doanh
văn học quá trình tái cấu trúc (Hammer, 1990; Hammer và Champy, 1993)
và các tài liệu ERP cho thấy rằng một hệ thống ERP một mình không thể cải thiện
hiệu suất công ty trừ khi một tổ chức tái cơ cấu hoạt động của nó
quá trình (Bingi et al, 1999;. Davenport, 1998 ; Davenport, 2000). Hơn nữa, các
dự án triển khai ERP phải là một sáng kiến kinh doanh. Điều này đòi hỏi các
tổ chức để đạt được sự rõ ràng chiến lược (ví dụ, biết kinh doanh, làm thế nào nó mang
giá trị, vv) và kiên trì mục đích. Cuối cùng, một định hướng kết quả là
cần thiết để đạt được những mục tiêu này.
Trong vòng một dự án ERP, mất kiểm soát dự án là khác lớn
rủi ro. Mất kiểm soát có thể phát sinh trong ít nhất hai cách: thiếu kiểm soát các
nhóm dự án, và sự thiếu kiểm soát nhân viên một khi hệ thống đang
hoạt động. Rủi ro liên quan đến việc kiểm soát các dự án lớn hiện hữu trước khi
phát triển phần mềm ERP, và nhiều điều đã được viết về sự leo thang dự án
(xem, ví dụ, Brockner, 1992; Kanodia et al, 1989;. Keil, 1995; Sharp và
Salter, 1997; Staw, 1976; 1981; Staw và Ross, 1987). Nguy cơ đầu tiên là sự thiếu
kiểm soát đối với nhóm dự án. Sự thiếu kết quả kiểm soát từ
phân cấp ra quyết định và phê chuẩn không hiệu quả tiếp theo của
quyết định. Trong khung cảnh của một dự án ERP, để đảm bảo sự sắp xếp thứ tự
các kiến thức với quyền quyết định, nó được phổ biến cho một tổ chức để tạo thành một
nhóm dự án triển khai hệ thống ERP có liên quan đến cá nhân có
một số kiến thức cụ thể có liên quan liên quan đến việc thực hiện một hệ thống ERP
hệ thống (chẳng hạn như kiến thức công nghệ thông tin hoặc quản lý thay đổi
các kỹ năng). Quyền quyết định sau đó được giao cho các đội. Tuy nhiên, khi các dự án
nhóm hoàn toàn kiểm soát việc phê chuẩn các quyết định của mình tạo ra một
rủi ro kinh doanh tiềm năng mà nhóm dự án sẽ hành động vì lợi ích riêng của họ
chứ không phải là hành động vì lợi ích tốt nhất của tổ chức. Rủi ro thứ hai là một
hệ thống ERP hoạt động luôn luôn nhất dẫn đến việc chuyển giao quyền
và trao quyền cho nhân viên cấp dưới. Một thiếu kiểm soát đầy đủ hơn
trách nhiệm tăng này