①系统分析阶段又称为用户需求分析，系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上，详细描述业务活动涉及的各项工作以及用户的各种需求，从而建立未来目标系统的逻辑模型。

②系统设计阶段是根据系统需求分析阶段所确定的目标系统逻辑模型建立信息系统的物理模型。 ③系统实施阶段是编程和测试阶段。这个阶段的任务包括计算机等设备的购置、安装和调试、程序的编写与调试、人员培训、数据文件转换、系统调试与转换等。

（3）信息系统运行和维护时期，系统投入运行后，需要经常维护和评价，记录系统的运行情况，根据一定的标准对系统进行必要的修改，评价系统的工作质量和经济效益。

5．评价信息系统的外购调试开发方式，这种方式适合于哪种类型的企业?

5．答：信息系统外购调试方式的基本做法是企业购买成熟的商品化软件，通过参数配置和二次开发满足企业需求。

优点：开发建设周期短；成功率较高；成熟的商品化软件质量稳定，可靠性高；专业的软件提供商实施经验丰富。

缺点：难以满足企业的特殊需求；系统的后期升级进度受制于商品化软件供应商产品更新换代的速度，企业自主权不强，较为被动。

外购调试方式通常适用条件是企业的特殊需求较少，市场上已有成熟的商品化软件和系统实施方案。

6．针对企业信息系统内部控制以及利用信息系统实施内部控制，应关注哪些风险点?

6．答：企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险，为了达到信息系统内部控制目标，至少应当关注下列主要风险：

第一，信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。 第二，系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。 第三，系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

7．信息系统规划时期应关注哪些主要风险点?对此可以采取哪些控制措施?

7．答：信息系统战略规划是信息化建设的起点，战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。

制定信息系统战略规划的主要风险是：

第一，信息系统规划风险，即缺乏战略规划或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。

第二，信息技术无法有效满足业务需求的风险，即没有将信息化与企业业务需求结合，降低了信息系统的应用价值。

对此可以采取的措施有：

第一，企业必须制定信息系统开发的战略规划和中长期发展计划，并在每年制订经营计划的同时制订年度信息系统建设计划，促进经营管理活动与信息系统的协调统一。

第二，企业在制定信息化战略过程中，要充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通，提高战略规划的科学性、前瞻性和适应性。

第三，信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。

8．信息系统运行与维护中，日常运行维护的主要风险点是什么?应采取怎样的控制措施?

8．答：日常运行维护的目标是保证系统正常运转，主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。

这一环节的主要风险是：第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。第二，没有执行例行检查，导致一些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。第三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。

相应的控制措施有：第一，企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第二，切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应将异常现象、发生时间和可能的原因作出详细记录。第三，企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。第四，配备专业人员负责处理信息系统运行中的突发事件，必要时应会同系统开发人员或软硬件供应商共同解决。

9．内部沟通对企业有什么重要意义?

9．答：充分的内部沟通对于企业控制环境、控制作业、风险评估等各方面都起着至关重要的作用，企业所采取的沟通方式要能够达到顺畅沟通的目的，使员工们了解自己应承担的责任、应实现的目标，以及这些目标对企业的影响。有效的信息沟通需要合理考虑来自不同部门和岗位、不同渠道的相关信息，并进行合理筛选和相互核对。

10．列举三个内部沟通的方式，并分别说说它们的优缺点。

33

答：企业员工可以采取电子沟通、书面沟通、口头沟通等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时地传递和分享，确保董事会、管理层和企业员工之间有效沟通。

（1）电子沟通包括互联网、电子邮件、电话传真等方式。其优点是方便快捷，但是由于网络的开放性及技术上的要求，信息的安全性是需要考虑的问题。

（2）书面沟通包括例行或专题报告、调查研究报告、员工手册、内部刊物、教育培训资料等方式。书面沟通以文字为媒体，其优点是比较规范、信息传递准确度高、信息传递范围广、有据可查、便于保护。其缺点是可能会为了形式规范而耗用较长的时间导致成本效益不对等，并且缺少反馈或反馈机制不灵敏。

（3）口头沟通包括例行会议、专题会议、座谈会、讲座等方式。其优点是沟通迅速、灵活且反馈及时。缺点是由于信息的汇总及传递机制不到位导致信息失真的可能性较大。

(五)案例分析题

1．随着信息技术的发展，越来越多的企业开始利用信息技术为生产经营服务，信息系统的建立与维护成为企业活动的一个重要组成部分，其重要性日益显著。但是，企业的资源是有限的，大部分企业特别是中小企业不具备独立开发与维护信息系统的能力，信息系统外包为企业提供了一种以有限能力和较低投入开发与使用信息系统的途径。外包是企业通过将部分业务出包给其他单位，实现整合利用其外部最优秀的专业资源，从而达到降低成本、提高效率、充分发挥自身核心竞争力和增强企业对环境迅速应变能力的一种管理模式。

欧派橱柜先将欧洲“整体厨房”的概念引入中国，被誉为中国“厨房革命”的倡导者、整体橱柜的领潮人。在北京有十余家分店及售后安装部门，办公设备数十台。这种情况如不采用IT外包，需数名技术人员奔走于各分部之问，而且可能会造成设备故障不能及时处理的问题，会影响公司的正常业务。与神州在线签约IT外包后，各部门设备出现故障时，神州在线即可安排工程师，快捷、专业、及时上门排除故障。

结合以上资料分析信息技术外包的优缺点。

1．分析提示：

信息系统业务外包开发的主要优点是：企业可以充分利用专业公司的专业优势，量体裁衣，构建全面、高效满足企业需求的个性化系统。企业不必培养、维持庞大的开发队伍，相应节约了人力资源成本。其缺点是沟通成本高，系统开发方难以深刻理解企业需求，可能导致开发的信息系统与企业的期望产生较大偏差。同时，由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系，也要求企业必须加大对外包项目的监督力度。

2．A公司在2010年与软件商B公司签订了ERP系统建设合同。合同约定B公司在六个月内完成系统建设工作，若B公司不能按时交工，将按合同标的5％。支付违约金，这一赔偿金比例远远高于当时市场平均违约金赔偿率2‰。据悉，所要安装的ERP软件系统是由B公司的独家代理商c公司提供的M型计算机管理信息系统。系统建设过程中，B公司发现c公司设计的软件产品与企业生产经营状况有所脱节，造成软件安装后A公司的一些经营性表格、单据等无法正确生成。由于c公司负责该产品的项目经理正在国外参加技术培训，使得此问题暂时搁置起来。在A公司的再三催促下，B公司请c公司的其他技术人员对软件产品进行技术修改，但一些关键技术问题仍无法彻底解决，导致系统建设工程最终失败。此后，A公司委托其他软件公司承担系统建设工作，并按照合同约定要求B公司赔偿150万元违约金。后经调解，考虑到B公司为系统建设工作付出了一定的财力物力，赔偿违约金100万元。

结合材料，从信息与沟通的角度，分析B公司的内部控制中存在的突出问题。

2．分析提示：

B公司在信息与沟通方面存在的突出问题有：

第一，在接手A公司的ERP系统建设订单前，B公司与A公司的交流沟通不足，对客户生产经营状况和项目实施难度缺乏足够了解。同时，B公司对违约赔偿金的市场平均水平了解不够，也说明其在信息搜集方面存在严重不足。

第二，在系统建设过程中，针对存在的问题，B公司未能与A公司进行灵活有效的沟通，导致问题被搁置而贻误了妥善解决问题的时机。

第三，对于c公司仍然无法解决的技术难题，B公司显得束手无策。实际上，B公司可以寻求其他软件商的技术帮助，力争避免赔偿或将损失降到最低，这也反映了B公司在信息搜集、处理、利用等方面的能力确实比较薄弱。

3．某银行进行信用卡客户信息管理的信息系统设计开发，考虑到成本效益问题，该银行采用了业务外包的方式进行此项业务的开发。在开发过程中，银行派出了一名信用卡管理部门的工作人员王某同外包商一起进行该项工作，为外包商提供关于银行需求的详细信息，同时也参与信息系统开发的程序设计工作。双方沟通融洽，合作顺利，在合约时间内很好地完成了该项工作。开发完成的信息系统交由银行进行系统的初始化录入工作。由于王某参与了系统开发，对该系统比较了解，银行决定仍由他主持参与该系统的初始化工作。在录入过程中，王某利用自己对系统程序的掌握，在信用卡透支限额扫描、超额锁卡等的信息录入中，篡改了程序，使系统扫描跳过了对自己的信用卡的检测，使自己的信用卡不会因透支限额限制而停止使用。这次之后，王某的信用卡就成了没有任何透支限额的“至尊卡”。但是一年多以后，由于一次偶发的停电事故，银行不得不对信用卡透支额度做人工扫描，这时才发现王某的信用卡已存在了巨额透支，并且仍可以正常使用，而系统却从未检测到。经过有关部门的调查取证，最终对王某进行了相应处罚，银行最终也修护了信用卡信息系统。

根据材料，分析在信息系统开发、维护等阶段存在何种风险，应如何应对。

3．分析提示：

材料中的风险主要是在信息系统的安全与维护方面：

第一，业务部门信息安全意识薄弱，对系统和信息安全缺乏有效的监管手段。少数员工可能恶意或非

34

恶意滥用系统资源，造成系统运行效率降低。该信息系统的开发与操作王某都有参与，缺乏监督机制，就给案例中的行为提供了机会。

第二，系统使用后需要确认系统是不是适合企业，有没有漏洞，有没有高效地帮助企业提高管理效率。案例中没有做到定期维护、检测系统，使王某的行为可以持续一年多而没有被发现。

相应可以采取的控制措施有：

第一，企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度，防范利用计算机舞弊和犯罪。一般而言，信息系统不相容职务涉及的人员可以分为三类：系统开发建设人员、系统管理和维护人员、系统操作使用人员。开发人员在运行阶段不能操作使用信息系统，否则就可能掌握其中的涉密数据，进行非法利用。信息系统使用人员也需要区分不同岗位，包括业务数据录入、数据检查、业务批准等，在他们之间也应有必要的相互牵制。

第二，企业应定期对信息系统进行检测、维护，确保系统安全没有漏洞，使系统能更高效地发挥自己的作用

4．2009年，已从某大型超市一分店辞职的方某、陈某和当时在该店任咨询员的于某合谋，利用非法程序截留超市营业款。此后一年多时间里，由方某设计并定期修改非法程序，利用其他人担任超市咨询员、收银员的工作便利，将方某设计的非法应用程序安装传送到该超市其他数个分店的收银系统，并从社会上物色和招聘人员，进行面试和犯罪技能培训，然后将“自己人”安插到超市收银员等岗位，先后侵吞营业款近400万元。上述赃款由收银员上交后，再按比例分成，涉案人员各得赃款几千元至数十万元不等。

众所周知，正因为有了功能强大的信息系统——POS系统，零售业才有了脱胎换骨的变化。然而，信息技术是一把双刃剑，随着企业信息系统的应用和会计信息系统的普及，信息技术帮助企业改善了经营管理，加强了会计的反映和监控职能，整体提高了企业的营运效率和信息质量水平，这些都显现出了信息技术的有利一面。但与此同时，恶意的数据窃取、计算机舞弊、病毒侵袭、黑客的肆意妄为、非法的程序变更现象屡见不鲜，这又折射出了信息技术不利的一面。

(1)该大型超市收银舞弊案之所以会发生的主要原因是什么? (2)针对这种舞弊案，应该如何加强超市内部控制，特别是P0s系统的内部控制功能? 4．分析提示：

(1)本案发生的主要原因有以下几个方面： 第一，系统开发阶段未对系统的安全性设计周全，在系统设计时没有全面考虑可能发生的风险，使罪犯有机可乘。

第二，业务部门信息安全意识欠佳，对系统和信息安全缺乏有效的监管手段。系统维护工作不到位，没有定期的专业维护，导致案件在很长时问以后才被发现。

第三，系统使用者的权限安排没有做到严格控制，以咨询员和收银员的身份就可以将非法应用程序安装到超市收银系统，由此可以再次看出超市的收银系统本身就存在漏洞。

第四，没有做好企业人员培训工作，没有使工作人员形成保守内部机密的意识，应签订保密合约并说明违约的法律后果。

(2)针对此案例，超市可以在以下方面加强内部控制：

第一，系统开发方面，在设计系统时要使信息系统适应周围环境，应充分考虑环境中已存在和潜在的风险，为系统安全做好初步服务。

第二，系统维护方面，做好系统的日常维护工作，及时发现问题并予以修改。

第三，系统安全方面，提高业务部门信息安全意识，建立对系统和信息安全有效的监管手段。建立对信息系统操作人员的严密监控，避免任何导致舞弊和利用计算机犯罪的可能。企业应当有效利用信息系统技术手段，对硬件配置调整、软件参数修改严加控制。企业也可以委托专业机构进行系统运行与维护管理，并与其签订正式的服务合同和保密协议。

第四，针对P0S系统，P0S系统是直接管理货币循环的一种方式，每扫一次码，仓库、收银、财务同时自动更新数据，降低传统内部控制失灵的可能。使用POS系统时，应做好不相容职务分离的工作，操作人员和技术、维护人员职权分离，使收银人员没有机会接触到系统的技术环节从而修改系统。

5．某民营服装企业创业十余年，发展规模不断壮大，随着知名度、市场、销量、产能的不断发展，一个棘手的问题摆在眼前——居高不下的存货占用了大量资金。针对这个问题，各部门的经理都振振有词。

销售经理：生产有问题。生产计划根据每年的订货会确定，从采购原材料到最终成品送往各分公司一共要2到5个月。我们生产半年后的成衣，但半年后这些成衣又不是客户所需要的，自然会有大量积压。

生产经理：生产部根据每年三次订货会制订生产计划，再根据分公司的日报表和月报表调整计划。如果不按订货会生产，很可能导致分公司到时提不到货。而且分公司信息反馈不准确，再加上我们依靠手工计划，不可能十分准确和细化。

分公司经理：信息反馈速度慢和不准确是手工管理的必然后果。人工盘点、电话传真订货的确做到精确控制。

该企业在发展过程中遇到了什么问题?可以相应采取什么控制措施?

5．分析提示：

案例中的企业在内部消息传递控制中出现了问题。由于硬件设备条件有限，销售部门不能把数据信息在第一时间进行最快的更新与分析，并且传递到生产部门以便及时调整生产计划，这是最重要的原因之一。服装行业的成功来自于每一季较短的产品生命周期和对市场的敏锐洞察与把握，对销售数据做快速、准确地采集与传递和进一步细致分析的要求较高。服装行业对信息化的要求是内生的。

35

相应可以采取的措施主要有以下三方面：

第一，在公司设置信息经理(c10)及相关的部门，负责处理业务信息相关事务，如数据搜集更新、分析处理、传递共享等。

第二，根据本企业对信息的要求，清理信息在企业内部传递流通的种类和渠道，病症对不同业务情景进行定义与细化，明确员工在信息流中的责任。还应该建立相应的规章制度，规范信息的种类、要求、搜集及传递范围和具体作业员工的行为。

第三，选择适合服装业的软件进行信息化改革，提高各部门的沟通效率，增强企业竞争力。

6．2010年4月开始，三泰集团内部审计部联合管理咨询公司组成内部控制项目组(以下简称“项目组”)，依据《企业内部控制基本规范》、《企业内部控制应用指引第18号——信息系统》等有关规定，对三泰集团控股的三泰公司信息系统内部控制进行设计。

项目启动前，三泰集团整体规划不健全，有规划的部分也存在不少不合理之处，这是企业形成信息孤岛的一个隐患，有可能会使企业因重复建设而导致资源浪费。三泰当前所使用的系统授权管理不当，不符合内部控制要求，可能导致无法利用信息技术实施有效控制。而且系统运行维护和安全措施不到位，信息泄露或毁损现象时有发生，导致系统无法正常运行。

项目组对识别出来的风险点认真分析和评估后，确定新的信息系统在以下几个方面尤为关注：一是职责分工、权限范围和审批程序明确规范，机构设置和人员配备科学合理，重大信息系统开发与使用事项审批程序；二是信息系统开发、变更和维护流程；三是访问安全制度，操作权限、信息使用、信息管理制度的有效l生，硬件管理和审批程序的合理l生。

要求：

根据材料，总结出三泰集团信息系统内部控制的风险点和关键控制点，并尝试提出一些相应的控制措施。

6．分析提示：

三泰集团信息系统内部控制的风险点主要有：①前期规划阶段，缺乏整体规划或者规划不合理，可能导致企业形成信息孤岛、重复建设、资源浪费。②信息系统开发阶段，系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。③信息系统运行与维护阶段，系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。

关键控制点主要有：①明确规范职责分工、权限范围和审批程序，机构设置和人员配备科学合理。②信息系统开发、变更和维护流程。③访问安全建设，操作权限、信息使用、信息管理制度的有效性，硬件管理和审批程序的合理性。

相应的控制措施主要有：①根据企业内部控制要求建立信息系统岗位责任制。根据信息系统开发要求设定系统分析、编程、测试、程序管理、数据控制信息系统管理岗位，明确岗位职责。②明确系统开发和变更过程不相容岗位和职责，开发或变更、立项、审批、编程、测试环节要分离；系统访问过程申请、审批、操作、监控不相容岗位和职责要分离。信息系统战略规划、重要信息系统政策等重大事项应当经由管理层审批通过后，方可实施。③成立专门的信息系统安全管理机构，由企业主要领导负总责，并制定信息系统安全实施细则来规范信息的使用和管理；要采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏，应有相应措施对硬件进行保护，还要建立系统数据定期备份制度保护数据。

第七章

(一)单项选择题

1．企业筹资、投资和资金营运等活动的总称是( )。 A．资金活动 B．资产管理 C．担保业务 D．工程项目

2．资金活动中的采购环节、生产环节、销售环节这三个环节具体属于( )。 A．投资活动 B．营运活动 c．筹资活动 D．经营活动

3．缺乏对采购合同履行的跟踪管理，运输工具和方式选择不当，忽视投保等，造成采购物资损失或无法保证供应这是( )的主要风险。

A．订立采购合同 B．确定采购方式和采购价格 c．管理供应过程 D．验收

5．在固定资产管理的业务流程中，可能出现固定资产抵押制度不完善风险的环节是( )。 A．资产投保 B．更新改造 c．抵押、质押 D．登记造册

6．除全面梳理资产管理流程、查找薄弱环节外，资产管理的总体要求还包括( )。 A．重视投保 B．严格执行与监控

C．完善相关管理制度 D．以战略为导向 7．以下不属于销售业务风险点的是( )。 A．销售计划管理 B．销售过程管理 c．客户信用管理 D．订立销售合同

8．销售业务中收款环节存在的主要风险不包括( )。 A．结算方式选择不当 B．账款回收不力

36