2011版《公司战略与风险管理》第十二章信息技术管理精选全文完整版

可编辑修改精选全文完整版
第十二章信息技术管理
内容索引
1. 信息的层次-战略规划：
例如，对于一家意大利餐馆，战略信息包括新菜品的设计、菜品对龙虾的未来需求量
以及竞争对手的计划。

2. 信息的层次-运营控制：
例如，对于电器公司来说，运营信息包括供应商及销售商退货情况（作为开具发票的
依据）、生产成本、存货控制、员工参与生产的工作时数、消防及安全法规的遵守情况。

3. 信息的质量：
针对使用者的需要。

应当始终记住使用者的需要，例如，高级经理需要的可能是摘要，而
初级管理者需要的可能是详情。

4. 内部报告的形成：
企业应当严格规定内部报告审核程序和设定审核权限。

例如，内部报告在传递前必须
签发部门负责人审核及确认信息的质量。

加强反舞弊机制建设在信息传递的内部控制
工作中也是不可缺的。

例如，通过设立员工信箱、投诉热线等方式，鼓励员工及企业
利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为；或通
过审计委员会对信访、内部审计、监察、接受举报过程中收集的信息进行复查，以及
对管理层进行监督。

5. 信息系统分类：
①事务处理系统
例如，管理者将通过事务处理系统下订单并每日分配库存产品。

②管理信息系统
例如，管理信息系统将生成有关债务人长期逾期未还债务的报告，并提供给管理层，
助其为收回未偿清债务制定后续措施。

在计划层面上，管理信息系统并不是特别有用。

③企业资源计划系统
企业资源计划系统通常记录用于会计处理的事务数据、操作型数据和客户及供应商数据，同时可通过数据仓库获得这些数据，并在此基础上生成自定义的报告。

系统包括
财务预测、生产能力、调整资源调度等方面的功能，能配合企业实现存货全面管理、
质量管理和生产资源调度管理及辅助决策。

企业资源计划系统中的数据可用于更新平
衡记分卡系统中的业绩指标,也可用于作业成本核算、股东价值分析、战略计划、客户关系管理和供应链管理。

④战略性企业管理
战略性企业管理是一种为战略管理过程提供所需支持的信息系统。

信息技术是以储存
在数据仓库的数据为基础的，这些数据同时又能被应用于一系列分析工具中，如股东
价值管理、作业成本核算和平衡记分卡系统。

⑤决策支持系统
一个较简单的决策支持系统例子可以是一份包括成本、销量和利润数据在内的电子表，管理层可以在对定价和产品盈利性的决策过程中修改售价以观察其对销量和利润的影响。

又例如，一份包含预期现金流、支持资本投资评估的电子表是较复杂的决策支持
系统。

在使用概率论的过程中可采用现金流折现技术来生成不同资本成本下的现金流
预测报告。

⑥经理信息系统
经理信息系统是提供决策支持的系统，它包含了对摘要数据（通常是图表格式）的访问，使高层经理能对与企业及其环境有关的信息进行评价。

经理信息系统采用“向下
钻取”功能，从总计数据下移到更具体详细的层次（如客户、产品、业务单位）。

⑦专家系统
专家系统的最佳实例是用于信用批准。

6. 信息技术战略应用：
下面举例说明信息技术战略的应用。

A 公司要求5个分支机构将信息存储到只读光盘
中并作为报告每周邮寄到总部。

这样做不但会使IT系统数据在分部与总部之间的传输相当耗时而且还会产生一定的风险，比如在邮寄过程中丢失信息，造成遗失客户敏感
数据等问题。

因此，应当对信息技术战略作出改进，以提供一种网络来支持每天安全
传输信息。

如果认为内部网络的成本过高，可在加密传输数据的基础上利用宽带联网，这种方法成本较低。

7. 信息系统成本效益量化：
下面的例子进一步说明在量化信息系统成本效益时可能遇到的更大挑战。

A 公司将仅在成
本效益分析得出有利结果后，才会实施新的信息系统。

但是一个系统被判断为不利，是由
于系统带来的效益（如可省成本）少于投资成本。

但此项分析中不一定能清晰地反映出已
考虑了哪些成本和效益或者无形成本（如顾客的不满意而令企业失去商机）如何计量。

换
句话说，存在这样的危险，即某些必要的信息系统纯粹由于不符合投资标准而未予实施。

要解决这一问题，企业应在评价过程中考虑无形效益。

这样有可能对投资决策作出改进，
并使得那些能够快速提供信息的各种系统得以实施。

8. 内部网和外部网：
例如，汽车生产商可与物料供应商建立外联网，从而为汽车生产商订购原料或查询供
货情况等日常运作提供快捷的信息，进而提高效率。

泄密和系统间的兼容性是应用外
部网时必须面对的难题。

9. 电子商务：
1. 公共关系的确立。

网站可能包含有关该企业的详细信息，包括其产品、职员、财务信息等，它们也可以被用来与其他企业进行交易。

2. 信息传递。

公司的网页里有电子产品/服务手册文件，这些文件也可以被用户作为
一个单独的文件进行下载，许多公司在它们的网站上储存PDF格式的非常详细的报告。

3. 扩展零售途径渠道。

用户可以通过互联网进行商品的预订和购买。

10. 数据收集方法：
①电子数据交换（EDI）。

在企业间产品的销售中，通过电子数据交换在互联网上进
行交易。

供应商和顾客系统由一种共同的数据格式相连，以便顾客的购买订单能被自
动转化成销售商的销售订单。

例如，在汽车制造业，车辆制造商向零件供应商投入订单，这些订单将被严格准时地交付。

EDI交易使零件供应商确认能够完成订单，零件供应商的货物发送时间及地点可以通过物流公司进行条形码追踪。

多个组分按预定的顺
序准确交付以满足车辆装配生产线的要求。

任何延误和组分无序都可以使装配线停止。

供应商可通过EDI自动生成发票，物流供应商生成追踪交付单，装配线生成货物收据，直至最终付款给供应商。

②文件成像。

企业内纸张使用的减少能够提高效率和降低成本。

文件影像处理系统可以通过扫描图像，创建一个电子文件而对顾客的定单进行处理，这能对顾客进行快速
的响应，提高服务水平，减少人力的成本，可以更快地存取记录和减少丢失文件造成
的错误。

例如，一些银行现在采用文件成像技术处理客户的支票结算，从而减少把支
票正本以人工送往结算中心的时间，进而提高结算效率和客户满意度。

11. 设施管理：
设施管理（Facilities management）是外包发展的一种形式，通过外方来管理和运
作公司信息技术服务的一部分或全部。

外部职员常通过设施管理的安排，在客户允许
的前提下，外方可以在客户的办公处应用其信息技术设备进行工作。

例如，一家科技
园的管理公司把园内部分信息技术系统（如场地管理系统）交予外包公司运作，以节
省日常运作开支。

12. 一般控制和应用控制：
①一般控制
➢人员控制：例如，企业应立即停止已离开公司职员所有的访问权限。

➢逻辑访问控制：例如，要求系统用户定期更改密码并要求密码包含至少八位数值，且其中必须包含数字、字母和符号。

➢设备控制：例如，把他们锁在一间保护室或保护柜中，并使用报警系统，如果计算机从其位置上发生移动，报警系统将被激活。

➢业务连续性：在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下，业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息。

②应用控制
输入控制：
➢交易前的数据录入，如在发票与收到的货物，文件和采购订单相匹配后，核准供应商的发票。

➢数据输入屏幕的规定格式令使用者不得跳过强制输入字段。

➢输入体系内容的合理检查，如检查给予顾客的折扣是否在允许的限度内。

过程控制：过程控制确保过程的发生按照公司的要求进行，没有被忽略或处理不当的交易发生。

最常见的控制是交易记录、分批平衡和总量控制系统。

输出控制：输出控制确保输入和处理活动已经被执行，而且生成的信息可靠并分发给用户。

主要的输出控制形式是交易清单和例外报告等。

第十二章信息技术管理
1.《应用指引 17号——内部信息传递》中提及的风险★★★ 3
在内部信息传递中企业应关注的是风险及其可实施的内部控制措施。

其中风险包括：
①如果企业内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运
行
②如果内部信息传递不通畅、不及时，可能导致决策失误
③如果内部信息传递中泄露商业秘密，可能削弱企业核心竞争力
2.信息的层次★★★ 3
①战略规划
②管理控制
③运营控制
3.信息的质量★★ 8
①完整性
②准确性
③相关性
④针对使用者的需要
⑤权威性
⑥及时性
⑦易于使用
⑧成本效益
4. 内部信息传递流程的重点★★★ 2
①内部报告的形成
②内部报告的使用
内部报告的形成
*企业应当根据其自身的发展战略、环境和业务变化的因素，建立内部报告的指标体系，并制定严密的内部报告流程，利用信息技术，强化内部报告信息的集成并要求重要信
息及时上报。

*企业应当严格规定内部报告审核程序和设定审核权限。

*在内部控制工作中加强反舞弊机制建设也是不可缺的
内部报告的使用
*企业应当建立内部报告使用及保管制度，通过职责分离、授权接触等手段防止商业秘
密泄露。

*对不同的内部报告应按其影响程度规定其保管年限。

*企业应建立内部报告的评估制度，定期考量，与绩效考核体系挂钩，执行奖惩机制
5.信息战略的类型★★★ 3
①信息系统战略
②信息技术战略
③信息管理战略
6.信息系统战略可分为七类★★★ 7
①事务处理系统
②管理信息系统
③企业资源计划系统
④战略性企业管理
⑤决策支持系统
⑥经理信息系统
⑦专家系统
7.企业必须有信息技术战略的原因★★ 5
①信息技术一般涉及高成本，而信息技术战略能对预算进行分配和控制
②信息技术对企业的成功至关重要，所以信息技术系统必须在任何时候都是可靠和可
访问的
③要形成和保持竞争优势，离不开信息技术
④信息技术可降低成本
⑤信息技术提供用于计划、决策和控制的信息，有助于管理者进行企业管理
8. 信息系统的效益包括★★ 4
①运用自动化系统提高生产能力和新技术所减少的成本
②经过改进的数据收集、存储和分析工具可能会带来以前不知道的销售机会
③改善客户服务和提高产品/服务质量
④改进决策制定过程
9.《应用指引 18号——信息系统》中提及的利用信息系统实施内部控制应关注的风
险★★★ 3
①信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效
率低下
②系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有
效控制
③系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行
10.内部网和外部网★★★ 2
①内联网就像一个迷你版的互联网，可以让公司员工获得保存在服务器上的电话簿、程序操作指南、参考资料等信息，用户操作界面与互联网类似。

内部网需要利用网页浏览器、超文本、电子邮件软件和一个可用网络，实现对所有用户在内部网上'快速的
数据传递
②外联网是获得批准的外部人员使用有效的用户名和密码即可访问的内联网，它主要用于商业伙伴之间信息的交换。

外联网可用于共享库存情况、交货状态等。

泄密和系统间的兼容性是应用外部网时必须面对的难题
11.电子商务★★★ 3
①公共关系的确立
②信息传递
③扩展零售途径渠道
12.数据收集方法★★★ 5
①电子销售点(Electronic point of sale，简称 EPOS)
②电子资金转账（EFTPOS)
③互联网购物
④电子数据交换（EDI）
⑤文件成像
13.定期报告★ 3
①交易报告
②例外报告
③定期总结报告
14.信息系统外包的主要优点是★★ 4
①外包服务供应商对不断变化的技术有更好的了解。

②能进行最准确的成本预测，因此可以进行更准确的预算控制
③专业外包供应商的服务能够提供更高标准和质量的服务
④公司减轻了管理专业人员的负担
15.信息系统外包的主要缺点★★ 4
①成本节约是短期的
②失去灵活性
③外包增加了成本
④质量和服务存在一定风险
16.设施管理★★ 5
①设施管理 (Facilities management)是外包发展的一种形式，通过外方来管理和
运作公司信息技术服务的一部分或全部
②外部职员常通过设施管理的安排，在客户允许的前提下，可以在客户的办公处应用
其信息技术设备进行工作
③企业通过竞标程序进行外包或设施管理，并遵循信息系统发展流程去实施
④外包和设施管理的风险可通过保留一小部分内部信息技术专家进行监督和与外包供应商一起工作而部分抵消。

企业也可通过建立长期伙伴关系或进行合资来减小风险⑤另一种选择是签订一个外购合同，供应商的一员留守于客户的公司，成为客户和外
包商之间一个永久的联络员。

这种做法有时被称为“植入”
17.信息技术共享服务中心★★ 5
①共享服务中心为企业内大部分或所有部门提供所需服务
②信息技术共享服务中心独特的属性是它们在企业内提供共同的信息技术服务，包括
系统设计、数据处理、信息技术安全性、报告生成等
③共享服务中心不同于传统的集中活动，其服务体现于顾客或用户的指定要求
*传统的集中服务主要关注控制和集中需求，其中政策和方向是由总部制定的
*共享服务中心的性质是不同的，它聚焦于质量和客户服务，并集中资源以实现共同的
目标
④如同外包服务，可与共享服务中心通过服务级别协议建立质量和服务的要求
⑤共享服务中心不同于外包，是因为在外包中，供应商和客户之间是被割裂的，而共
享服务中心的信息技术服务则保留在企业内部
18.信息系统项目管理的重要环节包括★ 11
①项目计划和定义
②管理支持
③成立项目小组：决定指导委员会、项目委员会和项目经理的作用和责任
④资源规划和分配
⑤质量控制和进展监督
⑥风险管理(风险识别、评估和管理)
⑦系统的设计和审批
⑧系统测试和执行
⑨用户参与使用和介入
⑩沟通与协调
○11用户教育和培训
19.系统开发周期包括★★★ 6
①可行性研究及方案制定
②系统分析
③系统设计
④信息系统测试与上线计划
⑤系统执行计划与实施后评价
⑥系统运行与维护
20. 信息系统运行与维护包含的主要内容★★ 3
①日常运行维护
②系统变更管理
③安全管理
21.系统实施后的复核包括★ 6
①确定新系统是否满足用户的需要
②与系统规范相比，评价系统的实际绩效
③③提出改进意见
④确定系统实施管理质量和以后的项目值得学习的地方
⑤对系统开发程序提出改进建议
⑥比较实际成本和项目预算费用，确定是否已取得效益
22.日常运行维护包括的内容★★ 4
①定信息系统使用操作程序、信息管理制度以及操作规范、及时跟踪
②定期检查在硬件方面的保养和运营状况及更换易耗品
③定期审阅系统账户，避免授权不当或存在非授权账户，禁止不相容职务的用户账号
交叉操作
④设置突发事件（如系统故障）应变机制及配备专业负责处理
23.安全控制可以从以下四个方面进行界定★★ 4
①预测性
②预防性
③侦察性
④矫正性
24. 信息系统中的控制分类★★★ 2
①一般控制
②应用控制
25.信息技术中的控制分类★★★ 2
①软件控制和软件盗版
②网络控制
26.信息系统一般控制包括★★★ 4
①人员控制
②逻辑访问控制
③设备控制
④业务连续性
27.信息系统应用控制包括★★★ 3
①输入控制
②过程控制
③输出控制
28.最常用的网络控制措施包括★★★ 4
①防火墙
②数据加密
③授权
④病毒防护
29.信息技术部门的规模和结构取决于公司的★★★ 4
①规模
②信息需求
③信息技术需求程度
④内部供应和外包
30.信息中心职能★ 7
①服务台以应用软件解决用户的问题，包括应用远程诊断软件，为用户提供相关技术
进展
②在硬件和软件购买决策上提供建议，并为系统一体化的标准提供建议，特别是应用
企业资源、计划系统、战略性企业管理、决策支持系统和经理信息系统
③为应用开发提供建议，无论是内部还是使用外包承包商，包括与系统开发过程相关
的建议
④监测网络中央处理器和硬盘存储的使用情况，以保障有足够的能力进行日常数据的
备份
⑤维护企业数据库
⑥系统维护和测试、用户培训和系统地存储用户文档
⑦维护信息技术安全
31.信息技术基础设施库★★ 11
它包括十个流程和一项功能。

其中有五个流程目标在于服务支持，五个流程侧重于提供服务。

服务台的功能是对所有十个流程的功能接口提供从客户到信息技术的单点联
系。

这五个服务支持流程和目标包括 :
①配置管理
②事件管理
③变更管理
④问题管理
⑤发布管理
五个提供服务的流程和目标是
①服务级别管理
②可用性管理
③能力管理
④信息技术服务持续性管理
⑤财务管理
服务台的功能和目标是为处理事件提供单点联系，或提供顾客和业务的单点联系，从
而促进正常的操作服务的恢复。

大篇幅描述性语言要点提炼。