信息系统课件

企业内部控制应用指引第18号

信息系统河北省财政厅会计人员服务中心2012年会计人员继续教育2012年08月5信息系统Contents信息系统的概念及其发展信息系统企业信息传递与沟通企业信息系统内部控制的风险企业信息系统的开发管理企业信息系统的运行与维护5信息系统一、信息化概览信息、物质和能源是人类社会发展的三大资源。物质能源信息工业时代信息时代

信息化水平的高低已经成为衡量一个国家、一个地区现代化水平和综合国力的重要标志。

第一节信息系统的概念及其发展5信息系统

信息化是由工业社会向信息社会前进的动态过程，它反映了从有形的可触摸的物质产品起主导作用的社会到无形的难以触摸的信息产品起主导作用的社会演化和转型。在这一过程中，整个社会通过普遍地采用信息技术和电子信息设备，更有效地开发信息资源，使信息资源创造的价值在国民生产总值中的比例逐步上升直至占主导地位。

如何理解

信息化5信息系统

一些发达国家五年前就开始了“智能大厦”、“数字家庭”、“数字社区”和“数字城市”的综合建设实验。国际信息化浪潮美国

率先提出了国家信息基础设施(NII)和全球信息基础设施(GII)计划。欧洲着力推进“信息社会”计划，并确定了欧洲信息社会的十大应用领域，作为欧盟“信息社会”建设的主攻方向。5信息系统信息化加快了世界范围内的产业结构调整和升级，加速了经济全球化的进程，有力地推动经济增长。我国信息化发展邓小平我国早在1984年，邓小平就指出：“开发信息资源，服务四化建设。”江泽民“要进一步把大力推广应用电子信息技术提到战略高度，充分发挥电子信息技术对经济的倍增作用”；“要把信息化提高到战略地位上来，要把信息化列为发展国民经济的重要方针”。5信息系统信息化对国民经济的推动作用

信息化对国民经济的推动主要表现为在以下三方面推广应用信息技术，如下图所示。

其中计算机在管理方面的应用占到全部应用的70%。由此可见“管理信息系统”的重要性。5信息系统我国信息化建设我国自1983年大力推广微型计算机应用以来，“管理信息系统”在理论和实践上发展迅速。

1986年2月国务院批准建设了国家经济信息系统；

1993年成立了全国电子信息系统推广办公室；

1994年组成由24个部委局参加的国家信息化联席会议，统一领导与组织全国信息化及重点工程建设；“八五”期间国家开发了一批大型信息系统，其中有：国家经济信息系统、电子数据交换系统、银行电子化业务管理系统、铁路运输系统、公安信息系统等。

1993年又开始实施以金桥工程、金关工程、金卡工程和金税工程为代表的一系列“金”字号国民经济信息化工程，发挥了良好的示范带头作用。目前信息系统在管理中的应用已从管理层的信息管理向决策层的信息管理发展，应用水平日趋提高。5信息系统信息化的推动作用依托信息化，促进产业结构的优化升级和经济增长方式转变，走资源节约型的可持续发展道路利用信息技术振兴装备制造业和外贸出口业运用计算机和网络技术，发展电子商务，提高企业的市场竞争力5信息系统信息化与工业化的关系5信息系统

信息系统是一个人造系统。它由人、硬件、软件和数据资源组成，目的是及时、正确地收集、加工、存储、传递和提供信息，实现组织中各项活动的管理、调节和控制。二、信息系统的概念5信息系统系统的特征（1）集合性

系统是由两个或两个以上的可以相互区别的要素所组成的。ABCDEF计算机网络系统

5信息系统（2）相关性

组成系统的要素是相互联系、相互作用的。PC-To-Hub网线集线器客户机服务器5信息系统（3）阶层性

系统的空间结构——一系列子系统和层次结构。集线器集线器交换机高速用户服务器普通用户5信息系统（4）整体性

具有独立功能的系统要素及要素间的相互关系（相关性、阶层性）是根据逻辑统一性的要求，协调存在于系统整体之中。

“1+1>2”（5）目的性系统与其它系统之间相互区别的标志。TQSC企业评价指标

5信息系统（6）环境适应性理想的系统：外部环境保持最优适应状态的系统。没有生命力的系统：不能适应外部环境变化的系统。5信息系统例如：企业系统5信息系统国家政策市场研究技术经济预测竞争状况企业能力资金来源资源条件社会需求生产可能生产组织与控制物、财、人、信息生产控制库存控制质量控制成本控制资金回收产品销售服务调查经营目标产品开发经营计划生产技术准备技术文件劳动力劳动手段劳动对象环境分析经营决策与计划投入转换产出图1—1工业企业生产经营活动过程示意图5信息系统

信息系统是一个人造系统。它由人、硬件、软件和数据资源组成，目的是及时、正确地收集、加工、存储、传递和提供信息，实现组织中各项活动的管理、调节和控制。企业信息系统5信息系统三、信息系统的类型

按照处理对象，可把组织的信息系统分为作业信息系统与管理信息系统。作业信息系统管理信息系统业务处理系统过程控制系统OA系统5信息系统作业信息系统

作业信息系统的任务是处理组织的业务、控制生产过程和支持办公事务，并更新有关的数据库。管理信息系统

管理信息系统是对一个组织（单位、企业或部门）的信息进行全面管理的人和计算机相结合的系统，它综合运用计算机技术、信息技术、管理技术和决策技术，与现代化的管理思想、方法和手段结合起来，辅助管理人员进行管理和决策。5信息系统四、信息系统的发展电子数据处理系统管理信息系统决策支持系统网络化的管理信息系统5信息系统信息系统发展趋势——网络化

1991年，Internet对社会开放。

1993年WWW(万维网)在Internet上出现，为信息系统的网络化创造了前所未有的条件。近年来，管理信息系统依托互联网正从企业内部向外部发展，出现了电子商务、供应链管理信息系统、虚拟企业、网上谈判支持系统等许多新的概念。电子商务的概念还在从商务活动进一步拓宽，出现了政府管理中的电子政务，教育领域中的电子教务（远程教育），医疗领域中的电子医务（远程医疗）等。5信息系统信息系统和管理

管理信息系统面临挑战

信息系统和管理信息系统与决策支持

决策的正确程度则取决于信息的质和量。企业要生存和发展，就必须依靠信息系统的支持。支持和推动决策的科学化是信息系统的重要任务。管理信息系统是一个社会技术系统。提高科学管理水平和企业文化是发展信息系统的关键。信息系统在计划、组织、领导和控制四大职能上对管理给予有力的支持。信息是关于客观事实的可通讯的知识。信息量的大小取决于信息内容能消除人们认识的不确定的程度。信息及其度量信息系统及其发展

五、信息系统与管理5信息系统例如：生产过程控制5信息系统

第二节信息传递与沟通

通过前面知识讲述，我们知道企业横向的经营流程与纵向的管理流程，伴随着物资运动的就是信息流，可以这样说，企业整个生产经营活动到处都是信息的传递与沟通。

这部分就是讲述信息如何在企业生产经营过程中传递与沟通。

大体上说来，信息传递指的是上下级的层次之间运动，应该是纵向的，包括由上往下的指令，由下往上的反馈；信息沟通指的是信息横向流动，不是指令，而是平行的层次之间交流，配合、协作，也是生产经营必需的信息流动。所以，讲述两个大问题：第一、信息传递；第二、信息沟通。5信息系统一、企业的信息传递

企业不可能没有信息传递，缺少信息传递一件事也干不成。企业高层制定了企业各种目标，这些目标要成为企业的方向，那就必须传达到每一个员工，这种高层的信息要通过会议、文件、报告、媒介、培训等传递给员工，而且必须保证不失真，原原本本传递到每一个层次，每一个员工。企业高层的指令，必须层层传递到执行单位。我们所讲的内部控制，不仅是人、财、物，还包括信息，在指令得到执行之前，必须控制这种信息的传递，必须保证其不失真，不停留，及时准确的传到位。5信息系统

企业的各个管理层还要不断的发出管理指令，以保证企业的生产经营活动按照预定的目标和轨道运行。这些指令也要控制其按规定的路径传递，既不许失真，又要保证传递速度。

上方的指令下达之后，执行的情况如何？企业的上层是急需得到反馈信息的，因为后面的指令要根据反馈信息制定。

所以，从下到上还有一个信息反馈的流动。对反馈信息的控制，某种意义上说，高层管理者认为比指令还重要。因为前面发出的指令执行如何？是高管层最关注的，同时又要根据执行情况决定下一个指令的发出。得不到及时的反馈信息，会影响下面指令的发出。

反馈信息一是由执行层回报；而是由专门的信息反馈系统收集报告；再者由监督层汇报。5信息系统企业应该如何控制信息传递呢？

第一，企业必须设置信息管理机构，对信息资源统一管理；第二，对信息进行分类，明确每一类信息传递路线、责任，防止失真；第三，建立专门外部信息收集、处理、加工存储的机构，向管理层提供所需信息；第四，建立信息反快系统，保证高层管理者得到各种情况内部报告，如生产、销售、统计、财务、监察、信息中心等部门；第五，建立特殊情况报告制度；第六，建立定期生产经营例会制度。第七，出版内部情况通报，公布一些重要信息。第八，内部网上传递信息。5信息系统二、企业的信息沟通

信息沟通是指企业的横向信息流动。它不是指令性的信息，是企业生产经营活动中的一些信息主动的传递，以便互相合作、配合，去完成企业目标。企业内信息沟通分为正式沟通与非正式沟通两种：

①正式沟通正式沟通是事先计划和安排的信息交流，如定期书面报告、面谈、电讯汇报、会议等。

②非正式沟通非正式沟通是未经计划的、沟通途径通过组织内的各种社会关系进行的。如沙龙、闲聊、娱乐、一起吃饭、走动式交谈等。形式非常灵活，5信息系统

不需要特意准备，随时随地就可以进行。而且及时，有些问题发生后，马上就可以简短交谈，立刻就清楚了实际情况，从而使问题得到解决。通过非正式沟通，可以拉近人与人之间的距离。

企业高层必须主动放下架子，多创造员工之间沟通的渠道。如座谈、舞会、娱乐活动、聚餐等等。

总之，企业管理的过程就是信息流动的过程，对其控制不好，就要影响整个企业管理。5信息系统第三节企业信息系统内部控制的风险

企业信息系统实施内部控制，至少应关注下列风险：

（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；

（2）信息系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；

（3）系统运行和维护安全措施不到位，导致信息泄露或毁损，系统无法正常运行5信息系统

第四节信息系统的开发企业必须重视信息系统在内部控制中的作用，根据本企业实际情况，加大投入，开发和维护系统运行，全面提升企业现代化管理水平。

企业要适应时代需要，设置专门机构对信息系统实施归口管理，明确相关单位和人员的岗位职责，建立有效工作机制。也可以委托专业机构进行信息系统开发、运行和维护工作。

企业负责人对信息系统建设负责。

——《应用指引第18号—信息系统》5信息系统（1）因地制宜原则。不管自行开发还是外包合作开发，必须考虑企业自身业务特点、企业规模、管理理念组织结构与核算方法等具体因素，设计适用于本企业的计算机信息系统。

（2）成本效益原则。计算机信息系统建设可以起到降低成本、纠正差错的作用，其建设成本和其应用后的效益应该匹配。（3）理念与技术并重原则。计算机信息系统建设应将管理理念与计算机技术整合，倡导员工参与建设，正确理解信息系统，达到提高信息系统运作效率。一、信息系统开发的原则5信息系统计算机在企业管理中的应用，一般要经历若干阶段。1973年，诺兰（Nolan）首次提出了信息系统发展的阶段理论，被称为诺兰阶段模型，1980年，诺兰又进一步完善了该模型。诺兰模型（六阶段）二、信息系统开发的主要阶段5信息系统（1）初装(诺兰阶段模型的阶段1)初装阶段标志着组织购买第一台计算机，并初步开发管理应用程序。特点⑴组织中只有个别人具有使用计算机的能力；⑵该阶段一般发生在一个组织的财务部门。5信息系统（2）蔓延(诺兰阶段模型的阶段2)处于蔓延阶段的组织中，计算机的应用初见成效，管理应用程序从少数部门扩散到多数部门。特点⑴数据处理能力得到迅速发展；⑵出现许多新问题（如数据冗余、数据不一致性、难以共享等）；⑶计算机使用效率不高等。5信息系统（3）控制(诺兰阶段模型的阶段3)主要指对组织中计算机的数量进行控制。特点⑴成立了一个领导小组；⑵采用了数据库（DB）技术；⑶这一阶段是计算机管理变为数据管理的关键。5信息系统（4）集成(诺兰阶段模型的阶段4)集成阶段就是在控制的基础上，对子系统中的硬件进行重新联接，建立集中式的数据库及能够充分利用和管理各种信息的系统。特点⑴建立集中式的DB及相应的IS；⑵增加大量硬件，预算费用迅速增长。5信息系统（5）数据管理(诺兰阶段模型的阶段5)（6）成熟(诺兰阶段模型的阶段6)由于80年代时，美国尚处在第四阶段，因此，诺兰没能对该两个阶段进行详细的描述。他认为数据管理应该是实现企业全方位的数据存储、检索、处理和维护等；成熟应该是形成了完善的信息系统，可以为各个管理层次提供信息。5信息系统三、信息系统开发管理信息系统的开发是一种变革，常常会遇到企业的阻力。5信息系统1、信息系统的开发方式（1）专门开发/自行开发

一般经过调查研究，识别需求，确定新系统目标，制定项目计划；研究和建立新系统的模型；选择系统的软件和硬件；用户使用模型提出意见，对模型进行修改，直到用户满意；系统运行和维护等步骤。

步骤：开发过程应注意两点5信息系统（2）全面购置商品软件5信息系统（3）专门开发与全面购置商品软件二者集成5信息系统2、项目工作计划编制项目工作计划的前提在此基础上，根据总进度要求制定工作计划。落实项目“内容—要求—人员—时间”5信息系统5信息系统甘特图法5信息系统网络计划法5信息系统3、信息系统开发项目进度的控制计划发生延误时，要进行具体原因的分析。一般说，开发进度脱期除与其它工程相同的原因，如，环境变化、资金不到位、人员变动等以外，还有一些特殊的原因，主要是：几乎没有一个信息系统开发项目能按时完成，由此造成很大损失，项目进度控制尤为重要。5信息系统针对不同的原因，可能采取的解决措施：5信息系统四、系统平台与商品应用软件的选用

系统平台软硬件费用占总投资50％以上，是应用系统开发、运行与维护的基础。

系统平台软硬件主要包括：计算机硬件、网络设备、系统软件及开发工具等。我国企业在系统平台软硬件选用的问题上往往脱离系统实际而受人为因素左右，因此常造成“牛刀杀鸡”或“老牛拖车”的现象。1、系统平台软硬件的选用5信息系统系统平台软硬件的选用应考虑因素：（1）多看相关网站和专业报刊，多听取专家意见，多参加展示会和报告会，熟悉行情趋势。（2）不求气派或虚名，经费不足时分步走。（3）信息技术更新换代极快,一步到位决不可取。（4）选择成熟，信誉良好的供应商，尽可能不采用多家供应商集成的策略。（5）规模较大时，采用招标方式选择供应商。5信息系统2、商品应用软件的选用成套商品应用软件费用高昂，对企业触动深刻，选用时应给以高度重视，做好前期工作。

商品应用软件只有使用权，不提供软件代码，今后的维护和扩展只能唯一地依赖原供应商。对基础管理不很理想的组织，应选购管理模式和业务流程接近自己的软件。购置费用预算要注意：软件价格只是总费用的一小部分，咨询、培训、二次开发和维护等费用往往数倍于软件价格。5信息系统五、人员的培训

培训的对象是企业的各级管理人员及管理与维护信息系统的专业人员。5信息系统5信息系统第五节信息系统的运行与维护信息系统的开发与运行是影响系统质量与效果的两个同等重要方面，如果运行不好，就无法体现新系统的优越性。5信息系统一、运行管理的任务运行管理的目的是使信息系统在一个预期的时间内能正常地发挥其应有的作用，产生其应有的效益。主要任务有：使系统始终保持良好的可运行状态；保管及更新系统技术文件与档案；通过各种软硬措施，使系统不受损失。5信息系统二、系统的日常运行管理记录内容：工作站点开机，应用系统进入，功能选择执行，数据备份、存档、关机等不正常现象、发生时间及可能原因。（1）系统运行情况记录制定尽可能详尽的规章制度，设置自动记录功能，重要功能运行情况仍应做书面记录。5信息系统5信息系统（2）系统运行的日常维护定时定内容地重复进行的有关数据与硬件的维护，以及突发事件的处理等。5信息系统（3）系统的适应性维护为适应环境的变化及克服本身存在的不足对系统作调整、修改与扩充。实践证明系统维护与系统运行始终并存，系统维护的代价往往要超过系统开发的代价。因此，系统维护将显著地影响系统的质量与生命周期。5信息系统三、系统的文档的管理管理要求：保持文档的一致性与可追踪性管理工作：制定标准与规范、收存用管理等

信息系统的文档是描述系统发展与演变过程及各状态的资料，在系统开发、运行与维护中积累而形成。系统的开发要以文档的描述为依据，系统实体的运行与维护更需要文档来支持。系统文档是信息系统的生命线。5信息系统文档可分为技术文档、管理文档及记录文档等。5信息系统

三、信息系统运行的控制要点

正是由于上述存在的技术风险，企业管理层必须制定内部控制新规定，以确保企业信息的准确性、可靠性和安全性。控制要点如下：

第一，岗位分工，责任明确，操作控制。

由于微机环境下的操作往往是一人一机，要明确岗位责任，凭密码进入微机，获取（或制作）信息必须凭文件，并保存批准原始文件，以备检查核对；重要的信息输入输出必须获得授权，不能单独一人操作，需要在授权人监督下同工作。如果一个人操作，必须限制别人操作，该微机的信息输入、处理、输出均由个人负责；

第二，数据和程序软件的安全控制。

计算机病毒可谓微机环境下的最大威胁，而且5信息系统计算机病毒的严重性容易被人们忽视。所以，有的企业规定员工外带软盘将被开除，所有输入必须经批准，并且严格病毒扫描。这一控制不仅适用软盘等可移动存储器，而且还适用于数据的网络来源。所以，企业要：

指定责任人负责软件保管；不断完善防火防水设置；所有磁盘使用前都要病毒自动扫描；文件移入移出实行手续制度；安装拷贝保护程序。第三，程序和数据的逻辑安全控制。计算机的程序和数据很容易被篡改，微机的软件没有足够的控制功能。因此，可以在机内安装一些控制程序，防止程序和数据遭到破坏。控制措施主要有如下几点:5信息系统①将信息化分为多个文件，将文件分别存放在不同的文件目录下。这是指允许将文件划分多个的条件下，分别存储到可移动和不可移动的存储介质中。未经授权的人，是很难进入不可移动存储介质的。

②使用隐秘文件和秘密文件。机密文件、敏感数据可以使用秘密文件名保护。③使用密码。使用登录名和密码分级使用制度，密码由相关员工分配合保管，限定接触范围。5信息系统

④对常设数据更改进行授权制度。至少常用数据的更改要经过独立授权。财会部门更正错误，必须实行有痕迹更正，依照凭证进行，绝对不许删除。

第四，计算机硬件管理微机、服务器等由于物理特性，容易被盗窃、损坏、非法进入和滥用，为保证微机硬件安全，应采取如下措施：①微机安放地点限制非办工人员接近；②微机警报，任何时候中断和移动微机，警报会自动启动；③自锁机功能，以控制开关进入。这虽然不能防盗，但能有效阻止文件被盗；④微机存放地点安装录像监控。5信息系统（3）信息系统的安全保护措施计算机信息系统既然存在技术风险，这下一个问题一定是如何管理与控制这些风险。针对性的讲五个安全保护措施：

①加密

加密是信息保密的核心方法。数据加密并不是设置密码。设置密码保护是指通过设密码限制数据访问权限。而数据加密则是将数据转换成难以理解的形式，防止数据被截获或被非法访问而造成泄密。当我们使用数据时，再把数据恢复到易于理解的形式，则称为解密。

数据通过“密钥”进行加密解密。密钥是一个真实的数值，通过一种数学算法变换数据。5信息系统

加密技术是否有效，主要取决于密钥的长度和算法。

数据加密以后，如果不能解密，那是无法读取的，所以无论在计算机传输中，还是计算机系统存储器中，都可以保密。无法获得身份认证的用户，没有办法解密，看到的是不规则的数字与字母组合。密钥应当足够稳定和严格，而且要不断变化，数据机密程度越高，密钥应当越严格。

②数字签名

数字签名是通过专用加密密钥对信息发送者的身份确认的一种技术。数字签名技术的应用，可以保证信息传输的稳定性和安全性。简单的说，数字签名就是对数据单元作了密码变换。这种数据变换，允许数据单元的接收者用以确认数据的来源，防止被他人伪造。5信息系统

数字签名技术是不对称加密算法的应用，应用过程就