5信息系统.ppt

企业内部控制应用指引第18号信息系统 河北省财政厅会计人员服务中心 2012年会计人员继续教育 2012年08月 Contents 信息系统的概念及其发展 企业信息传递与沟通 企业信息系统内部控制的风险 企业信息系统的开发管理 企业信息系统的运行与维护 一 信息化概览 信息 物质和能源是人类社会发展的三大资源 工业时代 信息时代 信息化水平的高低已经成为衡量一个国家 一个地区现代化水平和综合国力的重要标志 第一节信息系统的概念及其发展 信息化是由工业社会向信息社会前进的动态过程 它反映了从有形的可触摸的物质产品起主导作用的社会到无形的难以触摸的信息产品起主导作用的社会演化和转型 在这一过程中 整个社会通过普遍地采用信息技术和电子信息设备 更有效地开发信息资源 使信息资源创造的价值在国民生产总值中的比例逐步上升直至占主导地位 一些发达国家五年前就开始了 智能大厦 数字家庭 数字社区 和 数字城市 的综合建设实验 国际信息化浪潮 信息化加快了世界范围内的产业结构调整和升级 加速了经济全球化的进程 有力地推动经济增长 我国信息化发展 信息化对国民经济的推动作用 信息化对国民经济的推动主要表现为在以下三方面推广应用信息技术 如下图所示 其中计算机在管理方面的应用占到全部应用的70 由此可见 管理信息系统 的重要性 我国信息化建设 我国自1983年大力推广微型计算机应用以来 管理信息系统 在理论和实践上发展迅速 1986年2月国务院批准建设了国家经济信息系统 1993年成立了全国电子信息系统推广办公室 1994年组成由24个部委局参加的国家信息化联席会议 统一领导与组织全国信息化及重点工程建设 八五 期间国家开发了一批大型信息系统 其中有 国家经济信息系统 电子数据交换系统 银行电子化业务管理系统 铁路运输系统 公安信息系统等 1993年又开始实施以金桥工程 金关工程 金卡工程和金税工程为代表的一系列 金 字号国民经济信息化工程 发挥了良好的示范带头作用 目前信息系统在管理中的应用已从管理层的信息管理向决策层的信息管理发展 应用水平日趋提高 信息化的推动作用 信息化与工业化的关系 信息系统是一个人造系统 它由人 硬件 软件和数据资源组成 目的是及时 正确地收集 加工 存储 传递和提供信息 实现组织中各项活动的管理 调节和控制 二 信息系统的概念 系统的特征 1 集合性系统是由两个或两个以上的可以相互区别的要素所组成的 2 相关性组成系统的要素是相互联系 相互作用的 3 阶层性系统的空间结构 一系列子系统和层次结构 4 整体性具有独立功能的系统要素及要素间的相互关系 相关性 阶层性 是根据逻辑统一性的要求 协调存在于系统整体之中 1 1 2 5 目的性系统与其它系统之间相互区别的标志 6 环境适应性 理想的系统 外部环境保持最优适应状态的系统 没有生命力的系统 不能适应外部环境变化的系统 例如 企业系统 信息系统是一个人造系统 它由人 硬件 软件和数据资源组成 目的是及时 正确地收集 加工 存储 传递和提供信息 实现组织中各项活动的管理 调节和控制 企业信息系统 三 信息系统的类型 按照处理对象 可把组织的信息系统分为作业信息系统与管理信息系统 作业信息系统 作业信息系统的任务是处理组织的业务 控制生产过程和支持办公事务 并更新有关的数据库 管理信息系统 管理信息系统是对一个组织 单位 企业或部门 的信息进行全面管理的人和计算机相结合的系统 它综合运用计算机技术 信息技术 管理技术和决策技术 与现代化的管理思想 方法和手段结合起来 辅助管理人员进行管理和决策 四 信息系统的发展 信息系统发展趋势 网络化 1991年 Internet对社会开放 1993年WWW 万维网 在Internet上出现 为信息系统的网络化创造了前所未有的条件 近年来 管理信息系统依托互联网正从企业内部向外部发展 出现了电子商务 供应链管理信息系统 虚拟企业 网上谈判支持系统等许多新的概念 电子商务的概念还在从商务活动进一步拓宽 出现了政府管理中的电子政务 教育领域中的电子教务 远程教育 医疗领域中的电子医务 远程医疗 等 五 信息系统与管理 例如 生产过程控制 第二节信息传递与沟通 通过前面知识讲述 我们知道企业横向的经营流程与纵向的管理流程 伴随着物资运动的就是信息流 可以这样说 企业整个生产经营活动到处都是信息的传递与沟通 这部分就是讲述信息如何在企业生产经营过程中传递与沟通 大体上说来 信息传递指的是上下级的层次之间运动 应该是纵向的 包括由上往下的指令 由下往上的反馈 信息沟通指的是信息横向流动 不是指令 而是平行的层次之间交流 配合 协作 也是生产经营必需的信息流动 所以 讲述两个大问题 第一 信息传递 第二 信息沟通 一 企业的信息传递 企业不可能没有信息传递 缺少信息传递一件事也干不成 企业高层制定了企业各种目标 这些目标要成为企业的方向 那就必须传达到每一个员工 这种高层的信息要通过会议 文件 报告 媒介 培训等传递给员工 而且必须保证不失真 原原本本传递到每一个层次 每一个员工 企业高层的指令 必须层层传递到执行单位 我们所讲的内部控制 不仅是人 财 物 还包括信息 在指令得到执行之前 必须控制这种信息的传递 必须保证其不失真 不停留 及时准确的传到位 企业的各个管理层还要不断的发出管理指令 以保证企业的生产经营活动按照预定的目标和轨道运行 这些指令也要控制其按规定的路径传递 既不许失真 又要保证传递速度 上方的指令下达之后 执行的情况如何 企业的上层是急需得到反馈信息的 因为后面的指令要根据反馈信息制定 所以 从下到上还有一个信息反馈的流动 对反馈信息的控制 某种意义上说 高层管理者认为比指令还重要 因为前面发出的指令执行如何 是高管层最关注的 同时又要根据执行情况决定下一个指令的发出 得不到及时的反馈信息 会影响下面指令的发出 反馈信息一是由执行层回报 而是由专门的信息反馈系统收集报告 再者由监督层汇报 企业应该如何控制信息传递呢 第一 企业必须设置信息管理机构 对信息资源统一管理 第二 对信息进行分类 明确每一类信息传递路线 责任 防止失真 第三 建立专门外部信息收集 处理 加工存储的机构 向管理层提供所需信息 第四 建立信息反快系统 保证高层管理者得到各种情况内部报告 如生产 销售 统计 财务 监察 信息中心等部门 第五 建立特殊情况报告制度 第六 建立定期生产经营例会制度 第七 出版内部情况通报 公布一些重要信息 第八 内部网上传递信息 二 企业的信息沟通信息沟通是指企业的横向信息流动 它不是指令性的信息 是企业生产经营活动中的一些信息主动的传递 以便互相合作 配合 去完成企业目标 企业内信息沟通分为正式沟通与非正式沟通两种 正式沟通正式沟通是事先计划和安排的信息交流 如定期书面报告 面谈 电讯汇报 会议等 非正式沟通非正式沟通是未经计划的 沟通途径通过组织内的各种社会关系进行的 如沙龙 闲聊 娱乐 一起吃饭 走动式交谈等 形式非常灵活 不需要特意准备 随时随地就可以进行 而且及时 有些问题发生后 马上就可以简短交谈 立刻就清楚了实际情况 从而使问题得到解决 通过非正式沟通 可以拉近人与人之间的距离 企业高层必须主动放下架子 多创造员工之间沟通的渠道 如座谈 舞会 娱乐活动 聚餐等等 总之 企业管理的过程就是信息流动的过程 对其控制不好 就要影响整个企业管理 第三节企业信息系统内部控制的风险 企业信息系统实施内部控制 至少应关注下列风险 1 信息系统缺乏或规划不合理 可能造成信息孤岛或重复建设 导致企业经营管理效率低下 2 信息系统开发不符合内部控制要求 授权管理不当 可能导致无法利用信息技术实施有效控制 3 系统运行和维护安全措施不到位 导致信息泄露或毁损 系统无法正常运行 第四节信息系统的开发 企业必须重视信息系统在内部控制中的作用 根据本企业实际情况 加大投入 开发和维护系统运行 全面提升企业现代化管理水平 企业要适应时代需要 设置专门机构对信息系统实施归口管理 明确相关单位和人员的岗位职责 建立有效工作机制 也可以委托专业机构进行信息系统开发 运行和维护工作 企业负责人对信息系统建设负责 应用指引第18号 信息系统 1 因地制宜原则 不管自行开发还是外包合作开发 必须考虑企业自身业务特点 企业规模 管理理念组织结构与核算方法等具体因素 设计适用于本企业的计算机信息系统 2 成本效益原则 计算机信息系统建设可以起到降低成本 纠正差错的作用 其建设成本和其应用后的效益应该匹配 3 理念与技术并重原则 计算机信息系统建设应将管理理念与计算机技术整合 倡导员工参与建设 正确理解信息系统 达到提高信息系统运作效率 一 信息系统开发的原则 计算机在企业管理中的应用 一般要经历若干阶段 1973年 诺兰 Nolan 首次提出了信息系统发展的阶段理论 被称为诺兰阶段模型 1980年 诺兰又进一步完善了该模型 二 信息系统开发的主要阶段 1 初装 诺兰阶段模型的阶段1 初装阶段标志着组织购买第一台计算机 并初步开发管理应用程序 2 蔓延 诺兰阶段模型的阶段2 处于蔓延阶段的组织中 计算机的应用初见成效 管理应用程序从少数部门扩散到多数部门 3 控制 诺兰阶段模型的阶段3 主要指对组织中计算机的数量进行控制 4 集成 诺兰阶段模型的阶段4 集成阶段就是在控制的基础上 对子系统中的硬件进行重新联接 建立集中式的数据库及能够充分利用和管理各种信息的系统 5 数据管理 诺兰阶段模型的阶段5 6 成熟 诺兰阶段模型的阶段6 由于80年代时 美国尚处在第四阶段 因此 诺兰没能对该两个阶段进行详细的描述 他认为数据管理应该是实现企业全方位的数据存储 检索 处理和维护等 成熟应该是形成了完善的信息系统 可以为各个管理层次提供信息 三 信息系统开发管理 信息系统的开发是一种变革 常常会遇到企业的阻力 1 信息系统的开发方式 1 专门开发 自行开发 2 全面购置商品软件 3 专门开发与全面购置商品软件二者集成 2 项目工作计划 编制项目工作计划的前提 在此基础上 根据总进度要求制定工作计划 落实项目 内容 要求 人员 时间 甘特图法 网络计划法 3 信息系统开发项目进度的控制 计划发生延误时 要进行具体原因的分析 一般说 开发进度脱期除与其它工程相同的原因 如 环境变化 资金不到位 人员变动等以外 还有一些特殊的原因 主要是 几乎没有一个信息系统开发项目能按时完成 由此造成很大损失 项目进度控制尤为重要 针对不同的原因 可能采取的解决措施 四 系统平台与商品应用软件的选用 系统平台软硬件费用占总投资50 以上 是应用系统开发 运行与维护的基础 系统平台软硬件主要包括 计算机硬件 网络设备 系统软件及开发工具等 我国企业在系统平台软硬件选用的问题上往往脱离系统实际而受人为因素左右 因此常造成 牛刀杀鸡 或 老牛拖车 的现象 1 系统平台软硬件的选用 系统平台软硬件的选用应考虑因素 2 商品应用软件的选用 成套商品应用软件费用高昂 对企业触动深刻 选用时应给以高度重视 做好前期工作 五 人员的培训 培训的对象是企业的各级管理人员及管理与维护信息系统的专业人员 第五节信息系统的运行与维护 信息系统的开发与运行是影响系统质量与效果的两个同等重要方面 如果运行不好 就无法体现新系统的优越性 一 运行管理的任务 运行管理的目的是使信息系统在一个预期的时间内能正常地发挥其应有的作用 产生其应有的效益 主要任务有 使系统始终保持良好的可运行状态 保管及更新系统技术文件与档案 通过各种软硬措施 使系统不受损失 二 系统的日常运行管理 1 系统运行情况记录 制定尽可能详尽的规章制度 设置自动记录功能 重要功能运行情况仍应做书面记录 2 系统运行的日常维护 定时定内容地重复进行的有关数据与硬件的维护 以及突发事件的处理等 3 系统的适应性维护 为适应环境的变化及克服本身存在的不足对系统作调整 修改与扩充 实践证明系统维护与系统运行始终并存 系统维护的代价往往要超过系统开发的代价 因此 系统维护将显著地影响系统的质量与生命周期 三 系统的文档的管理 信息系统的文档是描述系统发展与演变过程及各状态的资料 在系统开发 运行与维护中积累而形成 系统的开发要以文档的描述为依据 系统实体的运行与维护更需要文档来支持 系统文档是信息系统的生命线 文档可分为技术文档 管理文档及记录文档等 三 信息系统运行的控制要点 正是由于上述存在的技术风险 企业管理层必须制定内部控制新规定 以确保企业信息的准确性 可靠性和安全性 控制要点如下 第一 岗位分工 责任明确 操作控制 由于微机环境下的操作往往是一人一机 要明确岗位责任 凭密码进入微机 获取 或制作 信息必须凭文件 并保存批准原始文件 以备检查核对 重要的信息输入输出必须获得授权 不能单独一人操作 需要在授权人监督下同工作 如果一个人操作 必须限制别人操作 该微机的信息输入 处理 输出均由个人负责 第二 数据和程序软件的安全控制 计算机病毒可谓微机环境下的最大威胁 而且 计算机病毒的严重性容易被人们忽视 所以 有的企业规定员工外带软盘将被开除 所有输入必须经批准 并且严格病毒扫描 这一控制不仅适用软盘等可移动存储器 而且还适用于数据的网络来源 所以 企业要 指定责任人负责软件保管 不断完善防火防水设置 所有磁盘使用前都要病毒自动扫描 文件移入移出实行手续制度 安装拷贝保护程序 第三 程序和数据的逻辑安全控制 计算机的程序和数据很容易被篡改 微机的软件没有足够的控制功能 因此 可以在机内安装一些控制程序 防止程序和数据遭到破坏 控制措施主要有如下几点 将信息化分为多个文件 将文件分别存放在不同的文件目录下 这是指允许将文件划分多个的条件下 分别存储到可移动和不可移动的存储介质中 未经授权的人 是很难进入不可移动存储介质的 使用隐秘文件和秘密文件 机密文件 敏感数据可以使用秘密文件名保护 使用密码 使用登录名和密码分级使用制度 密码由相关员工分配合保管 限定接触范围 对常设数据更改进行授权制度 至少常用数据的更改要经过独立授权 财会部门更正错误 必须实行有痕迹更正 依照凭证进行 绝对不许删除 第四 计算机硬件管理微机 服务器等由于物理特性 容易被盗窃 损坏 非法进入和滥用 为保证微机硬件安全 应采取如下措施 微机安放地点限制非办工人员接近 微机警报 任何时候中断和移动微机 警报会自动启动 自锁机功能 以控制开关进入 这虽然不能防盗 但能有效阻止文件被盗 微机存放地点安装录像监控 3 信息系统的安全保护措施 计算机信息系统既然存在技术风险 这下一个问题一定是如何管理与控制这些风险 针对性的讲五个安全保护措施 加密加密是信息保密的核心方法 数据加密并不是设置密码 设置密码保护是指通过设密码限制数据访问权限 而数据加密则是将数据转换成难以理解的形式 防止数据被截获或被非法访问而造成泄密 当我们使用数据时 再把数据恢复到易于理解的形式 则称为解密 数据通过 密钥 进行加密解密 密钥是一个真实的数值 通过一种数学算法变换数据 加密技术是否有效 主要取决于密钥的长度和算法 数据加密以后 如果不能解密 那是无法读取的 所以无论在计算机传输中 还是计算机系统存储器中 都可以保密 无法获得身份认证的用户 没有办法解密 看到的是不规则的数字与字母组合 密钥应当足够稳定和严格 而且要不断变化 数据机密程度越高 密钥应当越严格 数字签名数字签名是通过专用加密密钥对信息发送者的身份确认的一种技术 数字签名技术的应用 可以保证信息传输的稳定性和安全性 简单的说 数字签名就是对数据单元作了密码变换 这种数据变换 允许数据单元的接收者用以确认数据的来源 防止被他人伪造 数字签名技术是不对称加密算法的应用 应用过程就是数据源发送方使用自己的私钥校验或者其他数据的变量进行加密处理 完成数字签名 数据接收方则用对方的公钥解读收到的签名 并将解读结果用于对数据完整性的检验 确认签名的合法性 数字签名技术是在网络系统虚拟环境中确认身份的重要技术 完全可以代替现实生活中的 亲笔签字 有技术上和法律上的保证 只不过应用中应注意私钥的保密性 数字证书为了保证互联网上电子交易的安全性 保密性 防范交易及支