信息系统的战略

面向信息时代的信息技术前言本书是应国际注册内部审计师CIA培训需要，在2001年授课基础上编写而成。主要供企业内部审计人员参加CIA认证考试，以及企业管理人员学习掌握信息技术使用。随着我国加入世贸组织，企业需要在更广阔的国际视野中通过竞争，求生存、求发展。在这个过程中，利用信息技术提高企业核心竞争能力，将是发展的必然趋势。包括财会人员在内的企业管理人员，学习掌握信息技术，已经成为了不容回避的当务之急。注册内部审计师资格认证考试，以其新颖、务实的知识体系受到世界众多国家的认可。中国内审协会适时地引入了该项考试。关于信息技术已有的教材很多，但是适合于企业管理需要、供非专业人员学习的教材却很难发现。本书参照CIA认证考试所要求的知识体系，系统讲述了企业的信息系统应用、技术基础和相关的安全管理控制，特别适合管理人员对信息技术的学习、掌握和在实际工作中应用。本书包括5章内容。第1章重点讲述企业的各种信息系统应用及相关管理知识；第2章从计算机硬件、操作系统及网络通信等技术角度讲述信息系统的技术基础；第3章讲述信息系统中的数据管理；第3章介绍信息系统的建设方法、过程与相关步骤；第5章从系统安全的角度讲述各方面安全控制措施。在本书行将成稿之即，特别感谢李海峰硕士在本书编写过程中提供的各种支持。另外也感谢王颖峰小姐参与第3章内容的编写，并牺牲了大量个人时间为本书的编写提供帮助。本书编写时间紧，内容涵盖知识面广，多有未尽之处，请不吝赐教指正。第一章信息系统的战略信息系统安全的控制目标与信息系统相关的管理问题信息系统运转的职能部门信息系统的战略应用新出现的技术第二章硬件、平台、网络等计算机设备计算机网络通讯技术与数字通信操作系统第三章数据处理微机软件数据流与数据处理数据组织与不同类型的文件数据库程序EFT与EDI第四章系统开发最终用户开发的风险系统维护与更改控制的控制目标系统开发控制系统开发生命周期软件许可证问题程序设计方法系统开发的技术与工具第五章信息系统信息系统的风险不同水平的信息系统安全控制持续计划应用软件中的控制附录计算机术语第一章信息系统的战略信息系统安全的控制目标1信息系统的风险风险是发生某种威胁使资产损失或破坏的潜在可能。风险的概念包括以下内容威胁、薄弱点、处理过程或资产；对资产基于威胁和薄弱点的影响；袭击的可能性。风险的概念包括四个元素资产、威胁、脆弱性、影响。信息系统中的资产包括信息和数据、硬件、软件、服务、文档、人员信息系统受到的威胁包括错误、恶意破坏、欺诈、盗窃、软硬件故障信息系统的薄弱点包括用户缺乏知识、缺乏安全措施、口令缺少变化、未经测试的技术、无保护的数据传输威胁所带来的影响包括直接的经济损失、违反法律、名誉声望受损员工或客户受到威胁、信心受损商业机会的损失、效率与性能的降低、商业行为中断。2信息系统的控制目标控制是为实现企业目标，避免、检查、纠正不受欢迎事件发生提供合理担保的政策、措施和组织结构。控制目标是通过实施控制过程要达到的目的或结果。企业内部控制的目标包括资产的保全服从于公司的方针政策、管理和立法的需要输入授权处理过程准确且完整输出完整且安全处理过程的可靠性备份与恢复操作的有效性和效率内部控制目标应用于各个领域，不管是手工处理还是自动处理。因此信息系统环境下的控制目标并为发生改变，具体在一些控制特征上会有一些不同。信息系统控制目标的定义是通过在特定的信息系统行为中实施控制过程所要达到的目的或者获得的结果的描述。以下是信息系统控制目标的举例到目前为止自动系统上的数据一直被正确的处理和保存，从而处于安全状态。每项操作都经过授权，并且只处理一次。所有的操作都有记录，并且都是在正确的时间段进行的。所有的拒绝操作都有报告。重复操作有报告文件都经过充分备份，以备正确的恢复。对软件的所有变动都经核实，并进行了测试。与信息系统相关的管理问题1信息系统实施战略战略计划将公司或部门的目标变为具体的行动。理解计划有助于确保组织运转的有效性和效率。为了确保组织整体目标的成功实现，信息部门应该有自己的长期计划和短期计划。这些计划应与组织计划保持一致。组织的高层管理人员应一个计划或一个指导委员会以监督信息部门的行为。这个指导委员会应包括来自高级管理层、信息系统部门和用户部门的管理人员的代表。这个委员会对主要的信息系统项目进行综合评定，而不涉及信息系统的日常操作。委员会的主席最好能理解信息技术所带来的风险和问题。122人力资源政策与实践企业的人力资源政策应包括以下内容人员雇用、职工手册、提职政策、培训、考评、休假、解雇等。1人员雇用为了保证人选的符合空缺职位的需要以及公司成员工作的有效性和效率应采取以下检查背景检查信任协议雇员应受到约束防治财产失窃；利益冲突协议；非竞争协议；控制风险包括雇员可能不适合空缺的职位；指定的检查可能没有执行；临时雇员和第三方协约执行人可能带来不可控制的风险。2职工手册企业的职工手册包含以下内容安全政策与程序公司的期望雇员的利益休假政策加班规则出差业绩评价紧急情况处理纪律3提职政策企业的职位升迁政策应当公平易于理解，且基于客观因素，综合考虑雇员的业绩、教育、经验与担当的责任水平。4培训培训的内容应涵盖相关管理能力、工程管理与技术领域。当应用新的硬件与软件时必须提供培训。5工作计划表与时间报告正确的计划能够更有效的操作和使用计算机资源。而时间报告允许管理人员监督计划的执行情况，从而判断员工是否充足，操作是否有效。6业绩考评对雇员的评价，应对所有信息系统部门成员都是标准的，具有常规的评价依据。雇员工资的增加、授予荣誉以及职位的提升都应该基于对雇员业绩的评价。7休假不可缺少的假期能够保证在最小情况下，至少一年有一次，其他人可以来替代原雇员的工作。这样减少了错误或非法行为发生的机会。8解雇政策充分保护组织的计算机资产和数据自愿辞职当即解雇退回所有的钥匙、身份标志、出入证删除指定的注册号与密码；通知其他员工以及设备安全部门以提高意识；从工资表中删除该雇员返还所有的公司财产123信息系统的评估方法信息系统的评估方法提供了一个用于评价组织的行为是否或什么时间能够达到计划或期望的水平的机制。可行的方法包括1信息系统预算像其他部门一样，信息系统部门的管理人员也应编制预算。通过预算可以对财务信息进行预测、监督和分析。能够充分掌握资金使用情况，特别是在成本支出比较大的信息系统环境下。2性能与增长计划考虑到信息技术部门在企业中的战略重要性，以及技术的不断变化，性能与增长计划就显得非常重要。性能与增长计划在企业长期或短期计划中都是必须反映的，并且在编制预算时，也应考虑到。3用户满意程度用户满意程度，是评价有效的信息处理操作是否满足了用户的需要。用户与信息部门应就服务水平达成协议。审计人员定期进行审计，以检查协议是否得到贯彻执行。可以通过谈话或调查文件的方法获得。4工业标准工业标准为判断具有相同信息处理环境的性能水平提供了依据。这个标准或参照可以从供应商的其他用户、工业出版物或专业组织获得。5财务管理财务管理是企业职能的重要组成部份。在一个成本密集的计算机环境下，实施显著有效的财务管理是很重要的。用户为所接受的信息技术服务付费，可以促使应用系统的改善，并监督信息系统成本、和有限资源的利用。6完成目标。由于系统的效率取决于既有系统到改善，评估系统效果应包括将系统实际达到的性能和系统预想达到的目标。这些目标包括可操作性、技术或者经济效益等。信息系统部门应该安装有易理解的日志系统。包括手工和计算机自动生成的日志。这些日志允许管理者监督系统工作情况。也可以作为严重问题的早期预警系统。124质量管理信息系统部门的质量管理任务涵盖以下过程软件开发、维护与实施；软硬件的采购；日常操作；人力资源管理；综合管理。软件能力成熟度模型CMM（CAPABILITYMATURITYMODEL）将企业成熟度和软件质量过程划分为5个等级初始级、可重复级、已定义级、已管理级、优化级。初始级软件过程的特点是无秩序、甚至是混乱的，软件产品的成功往往依赖于极个别人的努力与机遇。可重复级已建立了基本的项目管理过程，可用于对成本、进度和功能特性进行跟踪。对类似的应用项目，有章可循并能重复以往所取得的成功。已定义级软件过程已文档化、标准化，并形成了整个软件组织的标准软件过程。全部项目均根据实际情况，采用了与实际情况相吻合的适当修改后的标准软件过程来进行操作。已管理级软件过程和产品质量有详细的度量标准。软件过程和产品质量得到了定量的认识和控制。优化级通过对来自过程、新概念和新技术等方面的有用信息的定量分析，能够不断、持续的对过程进行改进。信息系统运转的职能部门与信息处理设备有关的管理控制包括明确的人力资源政策和管理措施信息处理环境与其他组织环境的责任分离信息处理环境内部的责任分离评估操作有效性和效率的方法131管理结构信息系统管理部门的管理结构通常包括两种线型管理和项目管理。1线型管理线型管理的结构包括系统开发经理、用户支持经理、数据管理、数据库管理员、技术支持经理、安全管理员、网络管理/管理员、操作部门经理、质量保证经理。系统开发经理负责新系统开发和旧系统维护的程序员和系统分析员。最终用户支持经理负责信息系统部门与用户之间的联系。数据管理在大型信息技术环境下负责数据结构的定义，并将公司数据作为企业的一项资产进行管理。数据库管理员（DATABASEADMINISTRATOR）负责维护组织数据的数据库系统并保证其完整性。技术支持经理负责管理维护系统软件的的系统程序员。安全管理员负责对信息系统的程序、数据和设备提供充分的物理与逻辑安全网络经理/管理员负责计划、实施、维护通信技术基础。可能也负责语音网络。操作部门经理负责计算机操作人员，包括计算机操作员、档案员、日程安排与数据控制人员。质量保证经理负责谈判并促进信息技术各个领域的行为质量。考虑到公司的大小、系统平台和成熟度，公司实际情况中，一个人可能担负几个职责。从审计与控制的观点，日常操作与系统开发功能进行充分的分离是很重要的。这在小型的信息处理环境下可能无法实现。此时信息系统审计人员应特别注意一些弥补控制措施，例如较强的安全和最终用户调节等措施。2项目管理结构信息系统项目的组成人员可能来自组织内部的任何部门，包括信息系统部门。项目经理不一定信息系统部门的成员。项目经理应能控制项目的操作，并为项目的成功实施配置足够的资源。项目组成员应既包括信息系统的专业人员，也应包括来自用户部门的成员。在项目组中信息系统审计人员应作为控制的倡导者和专家身份出现。在项目中信息系统审计人员应提供独立客观的评价以确保不牵涉入过多的责任破坏独立性。132信息系统部门内部的职责信息部门的结构随着企业规模和工作量大小而不同。一般包括两方面主要工作信息处理和系统开发维护。信息处理主要从操作的观点关注信息系统，经常包括计算机作业、系统编程、通信和档案管理等内容。系统开发主要关注计算机应用系统的开发、采购和维护。主要任务是系统分析和程序设计。信息系统操作部门的职能一般包括以下方面信息系统的操作管理计算机操作技术支持与帮助平台任务计划数据的输入输出控制质量保证程序变动控制档案管理问题管理过程监督资源使用有效性和效率的过程物理及环境安全管理1设备运转（OPERATIONS）设备运转部门包括所有保证设备正常、有效工作的员工。信息处理设备包括计算机、外设、磁存储介质和介质上存储的数据。机房应进行安全管理，只有经授权的人才能进入。除了操作人员以外其他任何人不得接触信息处理设备。计算机作业管理控制可分为三类物理安全、数据安全、处理控制。物理安全通过定义各种控制措施防止盗窃、火灾、水灾、恶意破坏以及机械和电力事故对企业计算机处理能力带来的损失。物理安全措施应足以防范处理任何可能发生的损失。数据安全包括用于保护数据防止数据受到未经授权的泄漏、修改或破化的标准和过程。信息处理部门管理控制的一个重要部分是提供足够水平的数据安全控制。数据安全措施应随着信息系统技术的进步而不断修改。数据安全必须与物理安全、雇员教育、逻辑安全等综合在一起实施控制。处理控制用于确保组织及时、完整、准确、安全地进行数据处理的控制措施。特别需要由计算机作业组完成的处理控制包括数据控制经常负责管理所有运行在各种环境中的数据，检查并确保获得的输出信息时完全的。对每个系统来说，充分且适用当前环境的控制手册是重要的。生产控制负责任务日程安排、任务提交和媒体管理。有效的日程安排对提高计算机资源的使用效率是非常重要的。2数据输入数据输入是重要的信息处理行为，有批处理和在线处理两种方式。在传统的信息系统部门中，批量数据输入通常是数据控制部门的任务。他们的工作包括从不同的部门获取原文件并妥善保存直到数据处理完成源文件和输出被返还。通过总数控制准备批处理文件。排定输入处理的计划；检查、记录、分发输出给正确的部门，对敏感信息需要予以格外的关注。今天大多数公司的数据输入由用户部门使用在线终端或个人计算机自己完成。在线输入由于可以可以进行大范围的输入数据在线检查，从而使终端用户更有效率。3控制组负责收集、转换并控制输入与平衡、将输出分发给用户团体。控制组的负责人向数据处理部门的作业经理报告。输入输出控制组在独立的工作区办公，只有经过授权人员处理敏感数据的时候才可以到这里。4档案档案是所有需要记录、分发、接收并保护的程序与数据文件。它们被存储在数据处理部门的计算机磁带或磁盘上。根据组织的大小，档案管理员可以全职也可以由数据控制部门人员兼职。它是IPF作业部门的一个组成部份。这是一个极重要的职位，许多组织通过使用特别的软件来加强对档案的控制管理。5安全管理安全管理从管理层身体力行开始。管理层必须能理解、评价安全风险，制定并执行既定的安全政策。安全政策上应清楚地陈述标准、需要采取的程序和安全管理员的责任。为了保证足够的职责分离，该职位应由全职雇员担任，并直接向信息处理部门（IPF）负责人报告。安全管理员的职责包括维护数据和其他信息资源的访问规则；保证授权用户的ID和口令安全与可用；监控安全侵袭并采取正确的行为确保提供充分的安全；阶段性的检查评价安全策略并对管理层提供必要的改进建议；制定程序加强并监督所有雇员的安全意识；测试安全体系结构以评价安全能力并检测可能的袭击。6质量保证质量保证组通常执行两个不同的任务质量保证和质量控制。质量保证帮助信息系统部门确保其雇员执行既定的质量保证程序。例如确保程序和文件符合标准和命名习惯。质量控制负责执行测试与检查以确保软件没有缺陷并满足用户的需要。它可以在程序开发的任何阶段执行，但必须在程序正式投入使用以前进行。为了能够起到有效的作用，该组织应该独立。在一些组织中可以是控制组的一部分，但是坚决不能由编程人员来担任。7数据库管理数据库管理员定义并维护公司数据库系统中的数据结构。数据库管理员必须理解组织、用户数据和数据关系的需要。这个职位负责存储在数据库系统中共享数据的安全和信息分类。数据库管理员负责公司数据库的实际设计、定义和正确维护。数据库管理员通常直接向数据开发部门（IDF）负责人汇报。数据库管理员的职责包括定义物理数据库结构；改变物理数据定义以改善系统性能；选择、安装数据库优化工具；测试、评价程序员工具和优化工具；回答程序员的询问，并就数据库结构对程序员进行培训；实施数据库定义控制、访问控制、修改控制（UPDATECONTROLS）、并发控制（CONCURRENCYCONTROLS）。监督数据库使用情况，收集性能统计信息和调整数据库。定义并实施备份与恢复过程。数据库管理员拥有控制数据库的工具，同样也具有绕过这些控制的能力。数据库管理员可以访问所有的数据，包括生产业务数据。完全禁止数据库管理员访问这些数据是不现实的，因此信息系统处理部门对数据库管理员应执行更严格的控制。控制措施包括职责分离；管理人员到DBA行为的授权；上级领导检查访问日志；检查对数据库工具使用的控制。8系统分析系统分析员是设计基于用户需要的信息系统的专家。他们通常在系统开发生命周期的初始阶段就参与工作。他们解释用户的需要，开发需求、功能定义与高水平的设计文档。这些文档帮助程序员开发特定的应用程序。9应用程序设计应用程序员负责开发新的系统和维护已经在用的系统。由于他们开发的程序最终将在生产环境中使用，因此管理人员应该确保程序员不能接触正在用的程序。他们只能在测试环境下工作。并由其他人将程序移植到生产环境中去。10系统程序设计系统程序员负责维护系统软件包括操作系统。该职能可能需要他们能够无限制的访问整个系统。信息系统管理人员必须通过要求他们保留工作日志和仅访问他们所维护软件的系统库的办法，紧密的监视系统程序员的行为。11网络管理今天许多组织的信息处理设备都散布在很大范围内。随着互联网的爆炸性增长，信息处理部门必须处理其他的资产例如互联网服务器、防火墙、代理服务器、路由器、交换机和大范围的软件。由于地理分布的原因，每个局域网都需要一个管理员。依据公司的政策不同，网络管理员可以向信息处理部门负责人汇报也可以在分布式操作环境下向最终用户经理汇报。这个职位负责局域网技术和管理控制。包括通信连接工作正常、系统备份、软硬件的购买都经授权并正确安装。在小的环境下，可以由局域网的安全管理员代替。局域网管理员不应该有应用开发的任务，但是可能担任终端用户的任务。12帮助平台管理在组织内对用户的技术问题作出答复的单位。许多软件公司都有帮助平台。问题与答案可以通过电话、传真、电子邮件的方式传递。帮助平台人员可以使用第三方帮助平台软件以迅速找到常见问题的答案。133、信息系统内部的职责分离通过合适的职责分离控制可以正确授权、记录公司的交易记录，并保护公司的资产。一旦职责进行了分离，接触计算机、生产数据档案、生产运行程序、程序文档、操作系统及相关工具将都被适当限制。从而降低人为破坏的风险。表11描述了必要进行职责分离的岗位矩阵。控制组系统分析应用程序设计数据录入计算机操作数据库管理员安全管理员磁带存档管理员系统程序设计质量保证控制组XXXXX系统分析XXXXXX应用程序设计XXXXXXXX数据录入XXXXXX计算机操作XXXXXXX数据库管理员XXXX安全管理员XXXXXX磁带存档管理员XXXX系统程序设计XXXXXXXX质量保证XX表11职责分离矩阵134、信息部门和其他部门之间的职责分离信息系统部门与其他职能部门的职责分离与信息系统部门内部职责分离同等重要。下面列出了几个需要进行职责分离的领域。1处理授权处理授权是用户部门的责任。授权应足够详细，达到能详细描述部门内获得授权人的责任的程度管理人员和审计师应定期检查发现未经授权的交易（事务）输入。2调节调节用户的一项极为重要的责任。一些组织中有限的调节是由控制组通过控制总数和调节表的办法实现的。3资产保全数据所有者通常指定特定的用户部门。数据所有者有责任决定授权的级别。数据安全组也有责任实施并加强安全体系。4数据访问针对数据访问的控制由用户部门和数据处理部门的物理、系统和应用安全提供。物理环境控制必须防止未经授权人员接触各种连接到中央处理设备的终端设备，以避免其通过该设备访问数据。系统和应用安全是另一个层面的安全措施，用于防止未经个人授权访问公司数据。随着国际互联网络的发展，从外部连接访问企业的数据越来越受到关注。因此信息系统管理部门增加了保护信息系统资产的责任。5授权单用户管理部门必须为信息系统提供正式的授权表单，以定义雇员的接触权利。也就是说管理人员必须说明谁将接触什么。授权单必须具有明显证据表明得到管理层的许可。6用户权限表信息系统部门依据授权单建立并维护用户权限表。用户权限表定义谁将有权力修改、删除、查看数据。这种权利可以在系统、事务或字段级别实现。用户权限表必须通过口令或数据加密的方法保证安全。控制日志中应记录下所有的行为。管理人员应该检查这个日志，并调查所有例外项目。7例外报告例外报告应该由管理层处理。管理人员应确保例外报告以最及时到方式得到处理。8审计线索对于设计较好的系统来说，审计线索是一个主要内容。审计线索帮助信息系统部门和审计人员以图表的形式跟踪操作流程。在缺少充分职责分离的情况下，好的审计线索是一个可接受的弥补控制措施。信息系统审计人员将能够判断谁执行了事物、某天的每个时间，输入时间，输入类型，什么字段信息得以保留，什么文件被修改了。9事务日志事务日志可以是手工生成也可以是自动生成。135外部服务提供商服务外包（OUTSOURCING）是指企业通过签订协议将信息系统部门的部分或全部职能交给外部组织来实现。企业将信息系统职能外包的原因包括企业集中精力于核心行为上。边际利润的压力；日益激烈的竞争要求降低成本；组织与结构的适应性；第三方服务提供商能够提供的服务包括数据输入（主要航线采用这种方式）新系统的设计与开发。主要用于企业本身员工不具备必要的技能或者有更重要的工作。维护现有应用使内部员工可以腾出手开发新的应用；将现有应用转换到新的平台；运作帮助台或呼叫中心。服务外包可能带来的不利成本超出了客户的期望；内部信息系统的经验受到损失；对信息系统的控制受到损失；供应商错误（FAILURE）；有限的产品访问；变换外包协议比较困难。服务外包的商业风险包括隐含成本（协议中未提及的）；服务成本在整个协议执行过程中无法竞争；供应商的信息系统过时、作废；与供应商的力量平衡。降低这些风险的途径包括形成一个可度量的盈利分红目标与奖励。作为一个激励，在一块业务中使用多个供应商组建一个协议管理团队；协议执行标准定期竞争检查实施短期协议。对服务外包审计或安全部门应考虑的问题包括协议保护协议充分保护了公司；审计权利审计供应商操作的权利；操作的持续性在发生灾难的情况下提供连续不间断的服务；公司数据的完整、可信与可用；人员顾客缺乏忠诚或者对服务商的安排不高兴；访问控制与安全管理服务商控制入侵报告与跟踪服务商控制修改控制与测试服务商控制网络控制服务商控制性能管理服务商控制信息系统的战略应用141信息系统的类型信息系统按照所服务的管理层次可划分为四个层次六大类。（1）作业层（OPERATIONALEVEL）的事务处理系统TPS（TRANSACTIONPROCESSINGSYSTEMS）。事务（TRANSACTION）是与企业有关的交易。事务处理系统是用来记录商业交易的人员、设备、程序和数据库的有组织的集合。TPS又可称为电子数据处理EDP，主要面向企业底层的管理活动，即对企业每日正常运作必须的常规事务所发生的信息进行处理。例如订票系统、订单管理系统、工资发放系统、商业实时零售POS终端系统、全球贸易的电子数据交换系统，它提供的是企业运行的实时信息。（2）知识层（KNOWLEDGELEVEL）的知识运用系统KWS（KNOWLEDGEWORKSYSTEMS）和办公自动化系统OAS（OFFICEAUTOMATIONSYSTEMS）。知识运用系统KWS是辅助企业的专业人员（工程师、律师、投资分析家）为企业开发新产品所使用的专业化的信息系统。知识运用系统主要面向组织中的业务管理层和管理控制层，支持工程师、建筑师、科学家、律师、咨询专家等人员的工作，由于这类人员的工作具有知识密集型的特征，被称为知识工作者。知识工作者主要创造新的信息和知识，如政策制定、产品创新与设计、公关创意等，这些工作需要信息技术手段的支持，以促进新知识的创造，并将新的知识与技术集成到组织的产品、服务和管理中去。知识运用系统具有强大的数据、图形、图像以及多媒体处理能力，能够在网络化条件下广泛应用多方面信息和情报资源，并为知识工作者提供多方面的知识创造工具和手段。例如计算机辅助设计系统（CAD）、平面设计与制造系统、虚拟现实系统（VIRTUAREALITYSYSTEM）。办公自动化系统OAS是利用先进的科学技术和设备，协助办公人员处理某些业务，由此构成服务于管理目标的人机信息处理系统，以达到充分利用信息资源，提高办公效率和办公质量。日常办公事务包括两类事务型办公业务有规律的重复性工作文件收、发、存；电话、来访、会议安排、记录等。管理办公业务属创造性工作计划、统计分析、审核、批复等。OAS由最先进的科学技术和现代办公设备构成，用于快速有效地加工、管理和传递办公信息。如文字处理系统、电子邮件、电视会议系统等。办公自动化系统的功能包括文字处理数据处理工作日程管理文档管理印刷装订电子报表电子邮件电子会议联机情报检索决策分析（3）管理层（MANAGEMENTLEVEL）的管理信息系统MIS（MANAGEMENTINFORMATIONSYSTEMS,即狭义的MIS）和决策支持系统DSS（DECISIONSUPPORTSYSTEMS）。管理信息系统是为管理人员和决策者提供日常信息的人员、过程、数据库和设备的有组织的集合。管理系统可以支持市场营销、生产、财务和其他职能部门的工作，并将这些部门通过一个公用数据库联系起来。管理信息系统能根据事务处理系统提供的数据和信息生成标准的报告。管理信息系统定期（每天、每周、每月或每年）生成各种管理报告和报表，帮助管理人员完成工作。例如销售情况的汇总报告可以帮助计划部门预测未来的销售情况。管理信息系统的特征为作业层和管理层的结构化、半结构化问题提供决策支持。提供面向控制的日常报告面向企业内部已发生的数据和数据流；分析能力弱使用过去和当前的数据为决策提供支持相对稳定信息需求是已知和稳定的。经常需要较长的分析设计过程。DSS是以管理学、运筹学等为基础，以计算机为工具，综合运用模型和数据，辅助中高层人员解决半结构化决策问题的人机系统。它以提高管理决策的质量和效率为目标。特征支持半结构化问题的解决，具有较强的灵活性和适应性允许用户对系统进行初始化并能对输入和输出进行控制。在不需或很少专业程序员帮助的情况下进行操作。所解决问题的解决方案无法预先制定。使用复杂的数据分析和模型化工具。用户人机接口子系统数据库子系统模型库子系统方法库子系统知识库子系统DBMBABKBDSS的基本功能收集、整理、存储并提供本系统与决策过程相关数据收集、整理、存储并提供本系外与决策过程相关数据存储并提供所需决策模型对数据模型进行管理和维护提供方便、灵活的人机接口（4）战略层（STRATEGICLEVEL）的经理支持系统ESS（EXECUTIVESUPPORTSYSTEMS）。经理支持系统ESS是通过高级图形和通讯技术为战略层非结构化决策提供建议的信息系统。有效的经理支持系统可以在多方面对高层管理人员的战略决策提供支持，例如战略计划、组织、危机管理等。经理支持系统的功能包括支持战略目标的定义。为高层管理人员提供一个广阔的视野，包括企业的主要产品生产线和服务，以及现在和未来从事的产业类型和首要目标。支持战略计划。通过分析组织的优缺点，决定组织长期目标、预测未来的发展趋势、计划开发新生产线等。支持战略型规划和人员配置。帮助分析人员配置决策、工资提高、雇员利用变化以及新的工作制度所产生的影响。支持战略控制。帮助高层管理人员充分利用现有资源并控制组织的整体运转。支持危机管理。在发生紧急情况下，协助高层管理人员实施应急计划，帮助组织恢复正常运作。142电子商务EC/EB1电子商务的概念电子商务是伴随信息技术迅速发展而产生到新兴技术，并且处于不断发展变化之中，因此其称呼和定义尚未有统一的说法。学者、商家从不同的角度出发，给出不同的定义和称呼，常见的有ELECTRONICCOMMERCE,ECOMMERCEECOMMERCE,ICOMMERCEICOMMERCE,INTERNETCOMMERCE,DIGITACOMMERCE,ETRADE,INTERNETTRADE,EBUSINESS,EDI,ECS等。电子商务是电子技术与商务活动形成的组合。1997年11月67日巴黎世界电子商务议指出电子商务是对整个贸易活动实现电子化。涵盖范围包括交易各方以电子方式进行的商业交易；从技术方面是一种多技术的集合体，包括交换数据（EDI,EMAIL）、获得数据（共享数据库，BBS）以及自动捕获数据（条形码）等。电子商务涵盖的业务包括信息交换售前售后服务销售电子支付运输、产品发送组建虚拟企业公司和贸易伙伴可以拥营和运营共享的商业方法联合国经济合作和发展组织OECD（ORGANIZATIONFORELECTRONICCOOPERATIONANDDEVELOPMENT,）在有关电子商务的报告中对电子商务作出了如下定义电子商务是通过数字通信进行商品和服务的买卖以及资金的转帐，包括EMAIL、文件传输、传真、电视会议、远程计算机联网所能实现的全部功能。美国政府在其“全球电子商务纲要”中对电子商务作出了如下定义电子商务通过INTERNET进行的各项商务活动，包括广告、交易、支付、服务等活动。全球电子商务将涉及世界各国。GIIC全球信息基础设施委员会电子商务工作委员会报告草案中给出是如下定义电子商务是运用电子通信作为手段的经济活动，通过这种方式人们可以对带有经济价值的产品进行宣传、购买和结算。这种交易的方式不受地理位置、资金多少或零售渠道的所有权影响，公有、私有企业、公司、政府组织、各种社会团体、一般公民、企业家都能自由地参加广泛的经济活动，其中包括各行各业及政府的服务业。电子商务能使产品在世界范围内交易并向消费者提供多种多样的选择。欧洲议会给出定义电子商务是通过电子方式进行的商业活动，包括如下内容。（1）数据传递（文本、声音和图象等）（2）电子贸易和服务（3）在线数据传递（4）电子资金划拨（5）电子证券交易（6）电子货运单证（7）商业拍卖（8）合作设计和工程（9）在线资料（10）公共产品获得（11）传统活动（健身、教育）（12）新型活动（虚拟购物、虚拟训练）常见的电子商务模式包括（1）告示牌（如自动应答软件）（2）在线黄页簿（如可按类型搜索）（3）电脑空间上的小册子（提供资料页）（4）虚拟百货商店（5）预定/订购（6）广告推销电子商务运作的基本技术包括（1）电子数据交换技术（EDIELECTRONICDATAINTERCHANGE）（2）高速计算机网络（宽带网、广域网的互联）（3）电子邮件和信息发布技术（4）共享网络数据库技术（5）信用卡及电子货币认证和支付技术（6）网络安全技术电子商务按交易对象不同可分为以下三类（1）BTOC，即企业与消费者之间（约占不到1/3）；（2）BTOB，即企业与企业之间（约占2/3以上）；（3）BOTG，即企业与政府之间（量较少）。2电子现金企业采用电子商务以后，可以使用传统的结算工具例如现金、支票和信用卡；也可以采用电子支付工具进行结算例如电子现金、电子钱包和智能卡等。使用信用卡结算，发卡银行要根据交易额向商家收取手续费，对于小额支付来说支付成本过高。互联网上的交易大多是小额交易，此时可以使用电子现金作为支付手段。电子现金，也称作数字现金，是一种表示现金的加密序列数，可以表示现实中各种金额的币值。（1）电子现金的特征电子现金具有以下特征货币价值具有一定的现金、银行授权的信用或银行证明的现金支票等支持；可交换性指可与（不同国家和地区的）纸币、商品/服务、网上信用卡、银行帐户存储金额、支票、负债等交换；可存储性从银行帐户中提取一定数额的数字现金存入计算机外存、IC卡等专用设备上。可重复性防止数字现金的复制和重复使用，建立事后（POSTFACT）检测和惩罚。（2）电子现金的使用方法电子现金的使用包括五步。购买ECASH买方在现金发布银行开设帐户，存入一定金额的资金；买方在数字现金发布银行开ECASH帐号并购买ECASH。存储ECASH使用PCECASH软件从ECASH银行取出一定数量的ECASH存在硬盘上，并拥有私有密钥。用ECASH购买商品和服务用卖方的公开密钥加密ECASH后传送给卖方。资金结算接收ECASH的卖方与ECASH发放银行之间进行结算，ECASH银行将买方购买商品的钱支付给卖方。两种方式（I）双方涉及交易双方（II）三方涉及交易双方和银行确认定单卖方获得付款后，向买方发送定单确认信息。图三方现金支付过程（3）电子现金的特点电子现金支付的特点包括银行和卖方之间应有协议和授权关系；买方、卖方和ECASH银行都需要使用ECASH软件；适合于小量的交易（MINIPAYMENT）；身份验证由ECASH本身完成；ECASH银行负责买方和卖方之间资金的转移；具有现金特点，可以存、取、转让；较为安全；若买方的硬盘出现故障并且没有备份时，数字现金就会丢失。（4）现行电子现金方案现行的数字现金解决方案IBM公司MINIPAY系统，使用RSA公共密钥数字签名，交易各方的身份验证通过证书来完成，电子证书当天有效。该产品适宜小额交易。DIGICASH（WWWDIGICASHCOM）ECASH软件，通过数字记录现金，集中控制和管理现金，较为安全。CYBERCASHCYBERCOIN，提供CYBERCOIN钱夹。该产品适宜小额交易。NETCASH（WWWISIEDU）设置分级货币服务器来验证和管理数字现金，较为安全。MODEX（WWWMODEXCOM）欧洲使用，以智能卡为电子钱包的数字现金系统。3电子钱包为了避免用户在每次购买商品时重复输入各种送货和结算信息。电子钱包用于存放信用卡和电子现金持有者的身份证明、地址及其他结算所需信息，从而便于商品的订购。常见的电子钱包有AGILEWALLETEWALLETMICROSOFTWALLET4智能卡智能卡（SMARTCARD）是一种嵌入了微处理器芯片的塑料卡，卡中存储了有关持卡人的大量信息。智能卡的信息存储量比磁卡大100倍，可以用于存储用户的个人信息诸如，财务数据、私有加密密钥、银行帐户信息、信用卡号码、健康保险信息等。智能卡中的信息是加密的可防止信息被窃取。同时智能卡还有便于携带、便于使用等优点。MONDEX智能卡是万事达国际公司的产品，可以存储电子现金。智能卡要求特殊的硬件支持才能使用。要在PC机上使用智能卡，就需要一个MONDEX刷卡器，以便从智能卡中提取现金。5信用卡和签帐卡信用卡和签帐卡统称为结算卡，是目前因特网上最普及的结算方式。结算卡非常普及、方便且易于使用。签帐卡不需要任何硬件设备，只需在表中输入卡号。信用卡的结算处理由银行网络来完成。只有商品交付给消费者后，销售收入才能转给商家。6安全套接层协议（SSL）和安全电子交易协议（SET）安全套接层协议（SSL）用于保证商家和消费者之间传输数据和其他敏感信息的安全。SSL无法验证消费者是否是结算卡的持有人。安全电子交易协议（SET）是万事达和VISA国际组织在微软公司、网景公司、IBM公司、GTE公司等的支持下联合设计的安全协议。主要为通过互联网在商家网站和处理银行之间传输数据和其他敏感信息时，提供安全保证。SET采用公开密钥和数字证书对消费者和商家进行验证。SET协议还特别提供了保密、数据完整、用户和商家身份认证及顾客不可否认等功能。143物料需求计划、制造资源计划与企业资源计划1物料需求计划系统MRP企业进行生产管理时，需要根据生产规划导出的主生产计划，由物料需求计划系统产生具体的作业计划。这些作业计划确定了为生产最终物料项目所需的零件和物料及其数量，需要何时下订单，何时接收订单、何时完成订单任务。基本的MRP系统的主要目的是为了控制库存水平，为物料项目设定操作优先级以及为生产系统提供能力计划。从库存的角度包括正确的零件、正确的数量、在正确的时间里订货；从优先级的角度包括按正确的完成日期订货，以及保持完成日期有效；从能力的角度包括制定一个完整的负荷计划，制定一个精确的负荷计划，以及计划的制定要有充足的时间来考虑未来到负荷。MRP系统到基本工作流程（图121）首先根据综合生产计划及客户订单生成一个主生产计划。该计划指出在特定时间内应生产的物料数量。物料清单文件指出用于制造每一种物料所用的材料及其数量。库存记录文件包括诸如现有物料的数量和已订购数量等数据。根据这三项数据，物料需求计划的软件程序计算生成整个生产流程的详细订单计划。从而确保在正确的时间、正确的地点得到正确的物料资源。MRP系统的输出报告包括两部分主报告和辅助报告。主报告是用于库存和生产控制的最普遍最主要的报告。包括在将来要下达的计划订单；执行计划订单的计划下达通知；改变后重新计划的订单的交货日期；主生产计划中被取消和暂停的订单；库存状态数据。辅助报告是MRP系统中可选的一些附加报告，包括三类用于预测未来某一时刻的库存和需求的计划报告；用于指出呆滞的物料以及确定物料的提前期、数量和成本的计划情况和实际情况之间的差别的绩效报告；指出严重偏差的例外报告，包括一些错误、超出某种范围、过期订单、过多的残料或不存在的零件等。工业类型特征获得效益面向库存装配由多种零部件构成一个最终产品，然后产品被存放到仓库中以满足客户需求。例如手表、工具、家电高面向库存加工物料项目是由机器制成而不是由零件装配的。这些是标准的库存产品项目，在接到客户订单之前即已完工。例如电开关、标准配件低面向订单装配最终装配是由顾客选择的标准部件构成。例如小汽车、电动机高面向订单加工物料项目是由机器根据客户的订单来制造的，这些是一般的工业订单。例如齿轮、轴承低面向订单制造物料项目装配或加工完全取决于客户的指定。例如重型机械工具高流程工业铸造、橡胶、塑料、化学用品等行业中等表121MRP系统对不同类型企业的效益采用MRP系统不同生产类型的企业获得的预期效益是不同的。如表121所示，对于以装配操作为中心的公司，MRP系统具有很高的使用价值，但在加工公司中其使用价值最低。另外对于每年只生产少量产品的公司，MRP系统不能很好的运行。企业通过采用MRP系统取得了以下竞争优势产品定价更有竞争性；销售价格降低；库存减少；更好的顾客服务；对市场需求的反应更快；改变主计划的能力增强；生产准备和设备拆卸的费用降低；空闲时间减少；另外MRP系统能够提前通知管理人员，使他们能够在下达实际订单之前看到计划情况；指出何时应加快进度，何时应减慢进度；推迟或取消订单；改变订单的数量；提前或推迟订单的交货日期；生成辅助能力计划。2闭环的MRPMRP系统只解决了生产所需物料的需求计划，未考虑生产能力对计划的约束。从工作中心的角度讲，如果有足够的能力，那么所有的作业都能按时完成，生产任务计划也就能有条不紊的加以执行。而如果没有足够的能力资源，必然会出现工序的延时完成，从而破坏整个计划的执行。于是人们对MRP系统加以改进。带有能力需求计划的MRP软件包允许重新调整计划以求平衡能力需求，解决的方法是将部分工作量提前或推迟，从而更均衡的分布工作负荷，并将其保持在有效能力水平之内。具有从自身模块获得反馈信息的MRP系统称为闭环MRP。闭环MRP以物料需求计划为核心，并包括销售及运营等其他功能的系统。如图122所示MRP系统计算出为满足计划所需要的所有零件、组件等资源以后，能力需求计划模块检查MRP的输出，判断是否有足够的生产能力，如果没有返回重新修改主生产计划，然后生成新的物料需求计划，将订单下达给生产系统。3制造资源计划MRPII（1）MRPII简介20世纪70年代，一些企业提出，希望MRP系统能同时反映财务信息，使得企业的经济效益最终以货币的形式表达出来。也就是说，希望财会部门能同步的从MRP系统获得货币信息，例如把产品销售计划用金额表示，以说明销售收入；对物料以货币方式计量，以计算成本方便报价；用金额表示能力和采购计划，以编制预算；用金额表示库存量，以反映资金占用情况等等。于是闭环MRP系统进一步发展，把物料流动同资金流动结合起来，形成一个完整的生产经营计划管理系统。在这个系统中，人们还把计算机模拟功能纳入进来，使管理人员能够通过对计划、工艺、成本等功能的模拟，预见到“如果，将（WHATIF）”，为管理者提出预见性和寻求合理解决方案的决策工具。人们称该系统为制造资源计划，为了与物料需求计划相区别，简称为MRPII。MRPII系统通过闭环MRP来计划和控制制造企业所有的资源（包括生产、市场营销、财务和工程设计），并且还能模拟出所考虑的生产计划与管理决策的各种可能结果，形成一个完整的经营生产信息系统。MRPII的主要功能一般包括订单及预测管理、主生产计划（含粗能力计划）、物料需求计划（含能力计划）、销售管理、生产基本信息、成本管理、采购管理、库存管理、车间作业管理、财务管理、设备管理、质量管理和劳动人事管理。其中前9个模块是闭环MRPII所必备的。它可在周密的计划下有效地利用各种制造资源，控制资金占用，缩短生产周期，降低成本，实现企业整体优化，以最佳的产品和服务占领市场。采用MRPII之后，一般可在以下方面取得明显的效果库存资金降低1540；资金周转次数提高50200；库存盘点误差率降低到12；短缺件减少6080；劳动生产率提高515；加班工作量减少1030；按期交货率达9098；成本下降712；采购费用降低5左右；利润增加510等等。此外，可使管理人员从复杂的事务中解脱出来，真正把精力放在提高管理水平上，去解决管理中的实质性问题。当今的MRP概念包括了对企业所有制造资源人力、设备、物料、资金等进行管理和控制。它既包含MRP，又包含整个企业资源的管理。MRP是一个从生产计划到资源需求的闭环系统。当市场改变，需要调整计划时，运用仿真，就可以对工厂各项资源作出快速的决策和处理，以便获得最优的管理效果。因此MRP是一种具有管理理论基础，建立在信息技术之上的工具，能有效地提高管理水平和企业的经济效益。MRP为进一步发展计算机集成制造系统CIMS奠定了基础。MRP是一种管理思想，是一个完整的经营生产管理计划体系，是实现制造业企业整体效益的有效管理模式。其管理模式有以下六个特点计划的一贯性与可行性MRP是一种计划主导管理模式，计划层次从宏观到微观，从战略到战术，由粗到细逐层细化，但始终保证与企业经济战略目标一致。MRP中的“计划”，一般分为三级，即战略级（主生产计划）、战术级（厂级职能部门）和运行级（车间班组）。计划下达前反复验证和平衡生产能力，并根据反馈信息及时调整、处理供需矛盾，保证计划的一贯性、有效性和可执行性。管理系统性MRP把企业所有与生产经营有关部门联系成一个整体。数据共享性实行MRP管理模式是统一的数据库支持下，按照规范化的处理程序进行管理和决策。动态应变性MRP是一个闭环系统，管理人员可随时根据企业内外环境条件的变化迅速做出响应，及时决策和调整。模拟预见性MRP可以解决“如果怎样将会怎样”问题，使管理人员从忙碌的事务堆中解脱出来，致力于实质性的分析研究，提供多个可行方案供领导决策。物流和资金流的统一MRP包括了成本会计和财务功能，由生产活动直接产生财务数据，把实物形态的物料流动直接转换成为价值形态的资金流动，保证生产和财务数据一致。4企业资源计划ERP（1）ERP的概念国际权威机构APICS的统计表明，企业在使用MRP管理后，可明显改善库存管理、减少库存资金占用、提高资金周转次数、提高劳动