Riskhantering av molnbaserade affärssystem : En studie inom bilhandeln / Risk management of cloud-based ERP-systems : A study about the automotive trade industry

Adamsson, Kevin, Forsberg, Fredrik

January 2020

Titel: Riskhantering av molnbaserade affärssystem Författare: Fredrik Forsberg & Kevin Adamsson Handledare: Pia Nylinder Examinator: Petter Boye Kurs: Företagsekonomi, Kandidatuppsats inom ekonomistyrning/redovisning Kurskod: 2FE75E Frågeställning: Hur arbetar företag inom bilförsäljningsbranschen med riskhanteringen av molnbaserade affärssystem? Syfte: Studiens syfte är att undersöka vilka risker molnbaserade affärssystem medför och hur företag inom bilhandeln arbetar för att hantera riskerna. Metod: För att uppfylla studiens mål har vi använt oss av den abduktiva ansatsen. Semistrukturerade intervjuer har genomförts och vi har genom detta samlat in empiri från åtta olika respondenter som är verksamma inom bilhandeln. Slutsats: Vi har kommit fram till att storleken på företag har en stor påverkan på hur riskprocessen samt riskhanteringen sker, även om riskerna har samma prioriteringsnivå. De flesta företagen har en plan för hur de skall hantera riskerna och arbeta för att motverka dessa. Vi har även kommit fram till att större ekonomiska resurser ger större utrymme för att arbeta i förebyggande syfte och på så sätt motverka de riskerna som studien har handlat om. Nyckelord: molntjänster, molnbaserade affärssystem, risker med molnbaserade affärssystem, riskhantering i samband med molnbaserade affärssystem, riskprocess. / Title: Risk management of cloud-based ERP-systems Writers: Fredrik Forsberg & Kevin Adamsson Supervisor: Pia Nylinder Examiner: Petter Boye Course: Business administration, Bachelor thesis in finance/accounting Course code: 2FE75E Research question: How do companies in the automotive trade industry work with risk management of cloud-based ERP-systems? Purpose: The purpose of this paper is to examine what risks that the cloud based ERP-systems entail and how companies in the automobile trade work with the risk management. Method: To fulfill the purpose of this paper we have used the abductive approach. Semi-structured interviews have been conducted in order to retrieve empirical data from eight different respondents who operates in the automobile trade. Conclusion: We have come to the conclusion that the size of the companies has a major impact on how the risk process and the risk management are done, even if the risks have the same level of priority. Greater financial resources provides more space for the companies to work with the risk management. Keywords: Cloud based services, Cloud based ERP-system, Risks with the cloud based ERP-systems, Risk management, Risk process.

Cloud based services

Cloud based ERP-system

Risks with the cloud based ERP-systems

Risk management

Risk process.

Molntjänster

molnbaserade affärssystem

risker med molnbaserade affärssystem

riskprocess.

Business Administration

Företagsekonomi

Introducing Risk Management Process to a manufacturing industry : Master thesis in identification of risk avoidance strategies at Coca Cola Enterprises Sweden

Bayer, Emma, Öberg Bustad, Gabriel

January 2013

Risk can be viewed as a state where there is a possibility of a loss but also a hope of gain. To realise the existence of a risk, one must be aware of both the gains and losses incurred.Increased number of natural disasters and companies having global supply chains to a higher extent, are both factors which have increased the number of risks that can affect anorganisation’s supply chain negatively. This fact has made it even more important to focus on risk prevention. In the beverage industry market, characterized by fast-moving products,manufacturing companies like Coca-Cola Enterprises Sweden (CCES) can be highly affected if disturbances occur in their supply chain. Risk management is, according to ISO 31000, “coordinated activities to direct and control an organization with regard to risk “. A risk management processes therefore aims at mitigatingnegative impact of external and internal disturbances in order to avoid interruptions in production, product quality issues and financial losses. CCES’s control over internal processes and its disturbances is mostly based on reactive approaches rather than a proactive strategy and there exist no guidelines of how to identify and handle occurring disturbances. The main purpose of the project has therefore been to identify the most critical risks the company is facing within their “Source” and “Make” processes, and find both proactive and reactive mitigation actions. Another significant part of the project delivery is to present a model for how the company should organize and maintain a sustainable risk picture. The model aims to present a dynamic risk management process that can be used by CCES as well as other companies in the future. The project consists of three major phases; Risk Identification, Risk Avoidance Mapping and Implementation of a Risk Management Process. In the first phase, the brainstorming tool Hazard and Operability (HAZOP) has been used during workshop events for risk identification and assessment. Some of the most critical risks identified are; Sabotage during  transport from supplier to CCES, Lack of spare parts for maintenance, Lost production time due to long beverage change overs and Filling bottles with too much beverage. In order to find feasible preventive and reactive mitigation actions for the critical risks, both employee interviews and the Supply Chain Operations Reference (SCOR) model has been applied. Some of the actions recommended to perform are concluded to be; Let suppliers own transports, Standardize the product change process and the shift hand overs and Implement routines of having locked transports from supplier to CCES. The structure of the project has acted as a basis for the recommended way of continuing the risk management work at CCES. The authors have identified the importance of keeping the risk management process dynamic, and therefore a Risk Register have been introduced for documentation and follow-up. Another way of following up the risk management work, is to perform Risk Audits after the event of a disturbance. This will help the organisation to realize the impact a certain disturbance brings, but it will also measure of the recovery work’s effectiveness. The authors highlight the importance of having a dedicated owner of the risk management process in order to keep it dynamic. A complete risk management process has finally been created, adaptable to different kind of organisations. By making this process a part of SCOR, the authors believes that the process can be used to identify individual risks within the management processes Plan, Source, Make, Deliver and Return for all SCOR member companies. Thereafter, a general risk mapping can be created from the individual risks that can be used to share information and experiences among the member companies. / En risk kan förklaras som ett tillstånd där det finns en chans att vinna, men också en sannolikhet för förlust. För att vara medveten om en risks existens måste man därför förstå både vad det finns att förlora och vinna. Under de senaste årtiondena har antalet naturkatastrofer och annan extern påverkan ökat. Detta i kombination med att företag idag har globala värdekedjor i allt större utsträckning, har gjort att organisationer utsätter sig för risker till en större grad idag. Därför har betydelsen av att fokusera på riskförmildrande åtgärder ökat. I dryckesindustrin, karaktäriserat av snabbrörliga produkter, kan företag såsom Coca-Cola Enterprises Sweden (CCES) påverkas hårt om störningar sker i deras värdekedja. Risk Management är, enligt ISO 31000, ”koordinerade aktiviteter för att styra och kontrollera riskhantering i en organisation”. En riskhanteringsprocess ämnar därför förmildra negativ påverkan av interna och externa störningar för att undvika till exempel avvikelser i produktion, försämrad produktkvalitet och finansiella förluster. CCES’s kontroll över interna processer och dess störningar baseras främst på reaktiva åtgärder, och företaget har inga riktlinjer för hur de ska identifiera och hantera uppkommande störningar. Syftet med detta projekt har därför varit att identifiera kritiska risker inom företagets leverantörs- och produktionsprocesser och att hitta proaktiva och reaktiva lösningar för att förmildra och undvika störningar. Ytterligare en stor del av projektets syfte har varit att presentera en dynamisk process för hur CCES, samt andra företag, ska organisera en hållbar riskbild. Projektet består av tre huvudsakliga delar; riskidentifiering, riskförmildrande åtgärder och implementering av en riskhanteringsprocess. I den första fasen har verktyget Hazard and Operability (HAZOP) används under workshops för att identifiera och värdera risker. Några av de mest kritiska riskerna som identifierats är; Sabotage under transport från leverantör till CCES, Brist på reservdelar för underhållsarbete, Förlorad produktionstid på grund av för långa dryckesbytartider och Fyller flaskor med för mycket dryck. För att hitta passande reaktiva och proaktiva lösningar för de kritiska riskerna har både intervjuer med anställda genomförts och referensmodellen Supply Chain Reference Model (SCOR) använts. Några av de åtgärder rekommenderade att göra har identifierats till att vara; Låta leverantörerna själva sköta transporter, Standardisera produktbytesprocessen samt skiftöverlämningar och Implementera rutiner för att ha låsta transporter från leverantör till CCES. Strukturen av projektet har använts som en bas för den rekommenderade strukturen på CCE’s fortskridande arbete inom riskhantering. Författarna vill bestryka vikten av att hålla den framtida riskhanteringsprocessen dynamisk och i detta syfte har därför ett riskregister tagits fram för dokumentation och uppföljning. Ett annat sätt att följa upp riskprocessarbetet är att genomföra så kallade audits efter en störning har inträffat. Detta hjälper organisationen både att förstår en störnings påverkan på verksamheten, men fungerar också som ett verktyg för att mäta hur effektivt återhämtningsarbetet efter en störning har varit. Författarna menar också att en dedikerad ägare till riskprocessen är av stor betydelse för ett dynamiskt, framgångsrikt och effektivt riskarbete. En fullständig riskhanteringsprocess har slutligen sammanställts, användbar för många olika typer av organisationer. Genom att göra processen till en del av SCOR-modellen, kan processen i framtiden användas till att identifiera individuella risker inom de fem managementprocesserna Planering, Inköp, Tillverkning, Leverans och Retur för alla SCOR’s medlemsföretag. Därefter menar författarna att en generell kartläggning över de mest kritiska riskerna inom varje managementprocess kan skapas för att dela information och utbyta erfarenheter mellan medlemsföretagen.

Coca-Cola Enterprises

Risk management process

Risk identification

assessment and avoidance mapping

SCOR

HAZOP

Risk Register

Risk auditing

Resilience

Coca-Cola Enterprises

Riskprocess

Riskidentifiering

Riskvärdering

SCOR

HAZOP

Riskregister

Riskuppföljning

Motståndskraft

Engineering and Technology

Teknik och teknologier