管理信息系统案例分析题

忽略了安全需求的ERP
A企业是国内一家从事制造建筑工程施工车辆的公司。该企业从九十年代就开始准备ERP项目，并在二十世纪九十年代后期选定了软件，开始实施包括财务、分销和制造在内的整合的ERP系统。
为此，A公司专门成立了ERP实施小组，在专业咨询公司的协助下，经过一段时间的需求分析、流程设计、用户培训，实施工作进入了紧张的上线前数据准备的关键阶段。
这时候，采购部门对敏感的采购信息在系统中的安全性提出了质疑，包括对相关采购数据的输入、修改、批准、查询、报告、打印等，提出了一系列要求。
整个采购部门有几十个从事采购相关业务的工作人员，分管几十个大类、数以万计的不同物品的相关采购工作。
根据内控的要求，不同大类物品的采购价格和数量,以及到货时间等诸如此类的定单信息和供应商信息，对其他无关部门，甚至同部门的其他采购人员，都是保密的。
在这样的内控要求下，ERP用户权限的设定，不是仅在功能模块的菜单上设定权限，就能符合岗位隔离的要求的。不少安全要求，具体到需要对数据库内的数据表的字段做出相应的权限设定。岗位隔离的要求，形成了一个极其复杂的安全需求矩阵。
在系统实施工作的后期阶段，提出这样的安全要求，对ERP实施小组无疑是个难题。由于事先准备不足，ERP系统的功能、需求分析、流程设计、项目实施的资源，都没有充分考虑公司内控和信息安全的要求。
上述信息安全和岗位隔离的要求，对采购模块的实施，形成了难以逾越的障碍，并且直接导致：
1. 采购模块没有和其他模块一起集成上线。
2. 应付账款模块、库存管理模块、成本计算功能的应用，都受到了很大的制约。
3. 该ERP系统的实施，没能达到产供销财务一体化的目标。
其实，该公司内其他部门也有类似的信息安全的考虑和内控的要求，只不过没有采购部门反应强烈而已。这些问题深深困扰着A企业……
1、在系统分析阶段，开发人员和A企业在哪方面存在重大的失误？
2、如果你是A企业的CIO，面对上述问题，你会做出什么样的决策？
3、在信息系统的建设过程中，要经历哪些阶段?公司的领导和各部门都起什么作用?