企业信息技术管理：战略分析、实施与风险控制全攻略

hwyzw

    结构框架包含战略与战略管理，其中有战略分析外部环境，还有战略分析内部资源、能力与核心竞争力，以及战略选择、战略实施、战略控制，同时涵盖财务战略、内部控制、风险管理原则和风险管理实务，也涉及企业倒闭风险和信息技术管理。本章的考情分析表明，本章属于一般章节。企业信息技术管理的内容主要包含以下四个方面：一是企业的信息需求；二是信息技术在企业中的战略应用；三是信息系统的设计与实施；四是信息技术与信息系统相关的风险控制及管理。本章重点掌握的内容有：其一为信息的层次以及高质量信息的特征；其二是信息战略的类型；其三是管理信息数据的结果；其四是信息技术外包的优缺点；其五是信息安全控制的内容以及信息系统控制的类型；其六是信息技术基础数据库。此外，还有本章的考情分析。

    本章介绍了诸多基础概念以及基本的分析手段和方法。这些内容与本书其他章节既相互关联，又相互独立，一同构成了本书的完整内容。在企业的管理活动中，本章的信息技术管理始终蕴涵并穿插于战略管理活动和风险管理活动之中，与战略管理和风险管理共同构成了企业的管理活动。本章的考试题型主要包含客观题和简答题。2011 年教材有变动。其一，在第一节，增添了“企业内部信息传递应当关注的风险”以及“内部信息传递流程的管控”。其二，在第二节，增加了“企业信息系统内部控制以及利用信息系统实施内部控制所面临的主要风险”。信息需求方面，数据是指依据经验、观察、实验、计算机内部程序以及一组假设条件而收集到的事实集合体。 数据包含数字、词语以及映像，尤其是一组变

    量的测度或观察会得出相应结果。通常人们认为，数据是形成信息和知识的最基础层面的来源。并且，信息是经过处理后的数据，对于使用者而言更具意义。在现实的商业社会以及企业管理概念里，信息被当作一种极具价值的资源，是追求竞争优势的重要工具。信息技术和信息系统的主要作用在于向管理层提供合适种类和数量的信息，以助力管理者进行经营战略的选择、执行与控制。所以，信息战略需与商业战略相匹配。同时，企业生产经营管理信息在内部各管理层级间的有效沟通以及充分利用，会给这一过程带来益处。企业内部控制应用指引第 17 号内部信息传递提出，在内部信息传递过程中，企业应关注的有风险以及可实施的内部控制措施。这些风险包含：其一，如果企业；其二，如果企业；其三，如果企业……（根据具体风险内容依次列举）

    信息的可用性、及时性以及质量已然成为企业取得成功的重要因素。保险经纪人只有获取了投保人的详细风险评估资料，并且知晓承保人愿意为该风险开出的价格，才能够报出有竞争力的保费。企业需要不同类型的信息系统，这些系统要为一定范围内的不同职能领域提供不同的信息。企业的信息存在不同层次，不同的信息系统对应着不同的信息层次和职能领域需求。

    信息的层次。三、信息的质量，高质量信息的关键要素具备以下特点：三、信息的质量，【例题 1 单选题】在实际的商业社会以及企业管理概念里，（ ）是谋求竞争优势的关键工具。信息来源于信息系统，且与企业的长期发展方向相关。 数据来源于信息系统，且与企业的长期发展方向相关。 消息来源于信息系统，且与企业的长期发展方向相关。 指标来源于信息系统，且与企业的长期发展方向相关。战略规划源于信息系统，且与企业的长期发展方向有关。影响战略规划的因素有：明确企业面临的挑战；确定信息技术解决方案；确认和获取所需的东西。

    【例题 4 单选题】信息需包含所有应包括的内容，这指的是（ ）。信息的完整性意味着信息必须涵盖所有应当包含的内容。三、信息的质量，【例题 5 单选题】获得该信息所花费的成本不应超过从该信息中能够获得的益处，这指的是（ ）。成本效益原则要求获取信息的成本不得超过该信息可能带来的效用。

    企业成功的重要因素包括信息的可用性、及时性以及质量。不是所有信息都具有可靠性，而可靠性是信息质量的要求。从该信息中可获得的益处在于明确了这些与企业成功相关的信息特性。【例题 6 多选题】信息的下列特性中，可用性、及时性以及质量成为企业成功的重要因素，而不是所有信息都具有可靠性，可靠性是信息质量的要求。【答案】ABD 【解析】信息的可用性、及时性以及质量已成为企业成功的重要因素。不是所有的信息都具有可靠性的。可靠性是信息质量的要求。三、信息的质量，【例题 7 多选题】以下这些选项里，哪些属于信息级层呢？A.战略规划；B.质量控制；C.管理控制；D.运营控制。【答案】ACD。【解析】信息级层包含战略规划、管理控制以及运营控制这三层。【例题 8 多选题】以下哪些属于管理控制系统所产生的信息呢？生产效率方面；对于短期采购需求；涉及预算控制；还有方差分析报告，答案是生产效率。

    管理控制系统具备帮助中层管理人员进行监督与控制的作用。其产生的信息涵盖生产效率、预算控制或方差分析报告、特定部门的预测和工作结果以及短期的采购需求等方面。三、信息的质量，【例题 9 多选题】以下这些属于高质量信息的关键要素所具有的特征的有（ ）。高质量信息关键要素的特征包含完整性、准确性、相关性、针对使用者需要、权威性、及时性、易于使用以及成本效益原则。其中，成本效益原则、权威性、完整性是高质量信息关键要素的特征。企业应当加强内部报告管理，注重内部信息传递流程的管控。全面梳理内部信息传递过程中的薄弱环节，需要企业准确识别主要风险点，并且要实施有效的管控措施。流程的重点在于内部报告。

    内部报告的形成有以下方面：企业需依据自身的发展战略以及环境和业务变化的因素，构建内部报告的指标体系，同时制定严谨的内部报告流程，借助信息技术来强化内部报告信息的集成，并且要求重要信息及时上报。本章第二节会对信息技术的应用进行介绍。在信息传递的内部控制工作中，加强反舞弊机制建设也是不可或缺的。设立员工信箱以及投诉热线等方式，以此来鼓励员工和企业利益相关方去举报和投诉企业内部存在的违法违规、舞弊以及其他会损害企业形象的行为；同时通过审计委员等途径来进行相关工作。

    会复查在信访、内部审计、监察以及接受举报过程中所收集的信息，同时会对管理层进行监督。四、内部信息传递流程的管控，（二）内部报告的使用，企业应当构建内部报告使用及保管的制度，通过职责分离以及授权接触等方式来避免商业秘密被泄露。并且，针对不同的内部报告，应依据其影响程度来规定其保管的年限。一些重要的内部文件，像股东登记表这类文件应永久保存。企业要建立内部报告的评估制度，并且定期对内部报告的形成和使用进行全面的评估，在评估时要重点关注内部报告的及时性、安全性以及有效性。同时，要切实执行奖惩机制，对于那些经常不能准确及时传递信息的相关人员，要对他们进行批评和教育，并且要将此与绩效考核体系相挂钩。信息战略的类型包括：其一，信息系统战略，此战略确定了一个企业的长期信息相关事宜。其二，……（根据具体需求继续补充其他信息战略类型的内容）

    息有相关要求，还为可能存在的不同信息技术提供了保障。信息系统涵盖了所有与信息收集、储存、产生以及分配相关的系统和程序。信息系统可分成七类，其中包括：五、信息战略的类型，五、信息战略的类型，以及 2. 信息技术战略。信息技术战略明确了满足企业信息需求所必需的特定系统，这些系统包含硬件、软件、操作系统等。每个信息技术系统都具备获取信息、处理信息、概括信息以及报告信息的能力。信息战略技术的有用性体现在以下几个方面：其一，信息战略的类型；其二，信息管理战略，该战略与信息的储存以及访问方式相关。概括来讲，信息系统战略主要关注各个信息业务单元，目的是让这些单元能满足内部或外部信息用户的需求；信息技术战略是以供应信息为导向的，其重点在于供应信息的活动以及

    支持这些活动需要的技术；信息管理战略是在整个企业的层次上以管理作为导向的。五、信息战略的类型，【例题 1 单选题】甲公司是国内某省的一家商业信用公司，为当地的中小企业提供贷款。为了提高贷款审批的效率，甲公司启用了自动审批系统。该系统的基本功能在于，当申请人的个人资料被输入系统后，系统会自动把此信息和信用资料机构所拥有的机密数据进行对比，并且能够对申请者的信用可靠性以及信用额度分配自动作出评判。甲公司启用的自动审批系统属于（某类系统）。专家系统储存从专家处获取的与专门领域相关的数据，并且将这些数据保存在结构化的格式或知识库中。专家系统能够为那些…… ；专家系统把从专家那里获得的、与特定领域有关的数据进行储存，同时将其置于结构化的格式或知识库里。专家系统给那些…… ；专家系统将从专家处得来的、与专门领域相关的数据予以储存，并且把这些数据存放在结构化的格式或知识库中。专家系统为那些……

    需要判断的问题会提供解决方案。用户通过图表式用户界面向系统提问，系统会要求提供更多信息。接着，专家系统运用各种规则进行决策。专家系统在信用批准方面有最佳实例。依据提示，把邮编、电话号码、年龄以及工作经历等相关信息输入至系统当中，接着系统会把这些信息和信用资料机构所拥有的机密数据进行对比，从而自动对申请者的信用可靠性以及信用额度分配作出判断。企业资源计划系统的发展有以下三个方向：其一，面向客户，以满足客户需求；其二，面向管理层，满足管理方面的需求；其三，面向供货商，满足供应链的需要。所以答案为 BCD。

    面向客户时具备客户关系管理功能；面向管理层的话，借助战略性企业管理系统，能够满足管理层的信息需求以及决策需要。因此，选项 B、C、D 是正确的。五、信息战略的类型，【例题 3 单选题】信息管理战略在整个企业层次上是以何种导向呢？信息技术战略以（技术）为导向，它重点关注供应信息活动以及支持这些活动所需的技术。信息技术战略的导向是供应信息，其重点在于供应信息活动以及支撑这些活动所需要的技术。

    信息系统有事务处理系统，有管理信息系统，有企业资源计划系统，还有其他一些系统（具体未明确指出）。信息系统可分为七类，分别是事务处理系统、管理信息系统、企业资源计划系统、战略性企业管理、决策支持系统、经理信息系统和专家系统。五、信息战略的类型，【例题 7 多选题】以下战略中，属于信息战略的包含哪些呢？ A.信息系统战略 B.信息技术战略 C

    信息战略包含信息系统战略、信息技术战略以及信息管理战略这三种战略。信息管理战略为 D，信息采集战略也包含其中。【答案】ABC 【解析】信息战略涵盖了上述三种战略。【例题 8 多选题】每一个信息技术战略都必须具备能够获取信息的功能。信息技术战略定义了满足企业信息需要所必需的特定系统，其中包含硬件、软件、操作系统等。每个这样的信息技术系统都必须具备获取必要信息的能力，必须能够处理必要信息，必须能够概括必要信息，并且必须能够报告必要信息。以下属于信息技术战略有用性的说法的有（ ）。信息技术战略能够进行预算的分配与控制，能够形成并保持竞争优势，能够降低成本，还能够帮助管理层对企业进行管理。

    信息技术可以提供用于计划、决策和控制的信息，有助于管理者进行企业管理。信息系统的评价方面，收集、处理、分析和报告信息可能会耗费高昂成本，所以必须留意要保证所获取的信息的价值高于其成本。系统的效益包含以下内容：【提示】量化信息系统的效益可能比量化成本更困难。六、关于信息系统的评价。另外，企业内部控制应用指引第 18 号是信息系统，它提出了企业在利用信息系统实施内部控制时应关注的风险，这些风险包括

    (3)系统的运行维护以及安全措施如果没有做到位，有可能会导致信息发生泄漏或者被毁损，并且系统也无法正常地运行。针对上述风险，在信息系统的开发阶段、运行阶段以及维护阶段，本章的第三节和第四节将会讨论能够实施的主要管控措施。七、信息和网络，1.互联网，互联网的名字源自于一项技术，凭借该项技术，任何一台计算机都具备了与其他达到配置标准的计算机建立通讯链接的能力，从而可以发送和接收信息。互联网是由计算机、网络服务器、通讯线路以及通讯软件构成的。它能够让用户借助万维网（www）在多个方面进行操作和交互。

    计算机之间可以进行数据的存取。内部网和外部网方面，除了互联网之外，大多数企业通常会利用内联网和外联网来传播信息。关于电子商务，它是指通过互联网来进行商品买卖以及金融服务的活动。在数据收集方法方面，大多数的数据收集是计算机系统交易记录所产生的副产品。2. 管理信息数据的结果，包括定期报告等形式。制定定期报告时，主要问题在于其内容以量化为主，只关注短期表现，而忽视了外部因素，所以很难从所提出的数据中分辨出主要的绩效信息。简报（了解）方面，十、涉及信息系统外包与……

    信息系统外包，即非核心部分和技术支撑活动的外包在企业中越来越常见。尤其在提供信息技术服务时，若将技术支撑工作外包给相关专业公司，企业便能将精力集中于自身的核心活动。信息系统外包与管理方面，信息技术共享服务中心有其独特之处。外包中，供应商和客户是割裂的，而共享服务中心的信息技术服务是保留在企业内部的。在商业持续变化以及新兴信息技术的大环境当中，企业有可能需要开发新的信息系统。企业开发信息系统时，能够采取自行开发、外购调试以及业务外包等这些方式。依据企业内部控制应用指引第 18 号信息系统的相关规定。

    企业选定外购调试或业务外包方式进行开发活动时，应当通过公开招标等形式来选择供应商或开发单位，并且要择优确定。3. 系统执行计划与实施后的回顾，执行计划包含并行运行，即新系统与现有系统一同运行，直至新系统被证实能达到两个系统工作时一致的结果，且用户对新系统满意，对停止现有系统并应用新系统充满信心。信息系统的运行与维护主要涵盖三个方面，分别是日常运行维护、系统变更以及安全管理。若要强化这些方面的管理，企业可以采取相应措施。

    实施不同程度的内部控制措施。若企业委托专业机构来进行系统的运行与维护管理，那就应当对该机构的资质进行审查，并且要与它签订服务合同以及保密协议。其中包括日常的运行维护工作。（2）系统变更管理。建立严格的程序，涵盖系统变更的申请、审批与执行。具体而言：信息系统操作人员若未经授权，就不得私自更改软件系统环境的配置或者改变软件版本；而系统变更（像软件升级这类情况），必须要遵循与新系统开发相同的流程。

    项目具有相同的验证和测试程序。（3）关于安全管理方面，企业能够依据第四节中所提出的各类系统控制措施来开展安全管理工作，以此保证系统不会遭受到不必要的干扰。信息技术与信息系统相关的风险控制方面，系统和数据容易因多种原因遭受损失。其一，人为错误会导致损失；其二，蓄意的欺骗行为会引发损失；其三，技术性错误（像硬件或软件故障等情况）会造成损失；其四，自然灾害（例如火灾、水灾、爆炸和闪电等）会致使损失。所以，信息安全是极为重要的。其四，【例题 1 单选题】苏州某民营企业拥。

    有一些休闲服销售连锁店。该企业为避免员工在销售时未经许可给顾客超出 5%的价格折扣，就在电子付款系统里设置了输入控制。通过这种输入控制来检查售货员输入的价格折扣，只有当折扣在允许限度内时才允许进行交易，并且会打印发票。这种控制的类别是（）。信息安全控制要求将发生风险的可能性降至最低。信息安全控制具有预防性，其要求是在事件发生之前，就采取相应的措施来防止问题的出现。这种预防性的特点能够提前对可能出现的风险进行识别和防范，从而降低安全事件发生的可能性。与预测性侧重于对未来情况的预估不同，预防性更强调在当下采取行动以避免不良后果的产生；与侦察性注重对潜在威胁的发现相比，预防性更注重提前的防范；与矫正性着眼于对已经发生的问题进行纠正不同，预防性致力于阻止问题的发生。

    信息安全控制需要确定可能出现的问题并提出相应的控制，这是其预测性的要求，能将风险的可能降至最低。 【例题 3 单选题】确定可能的问题并提出适当的控制是信息安全控制（ ）的要求。A.预测性 B.预防性 C.侦察性 D.矫正性 【答案】A 【解析】信息安全控制的预测性要求就是确定可能的问题并提出适当的控制。【解析】最常见的网络控制包含防火墙、数据加密、授权以及病毒防护这四种措施。信息技术部门的规模和结构受多种因素影响。其一，取决于公司的规模；其二，取决于信息需求；其三，取决于对信息技术的需求程度；其四，取决于其信息技术系统是内部供应还是外包。这些因素共同作用，影响着信息技术部门的规模和结构。

    十四、信息技术基础设施库，它通过规划来指导商业用户，依据商业需求提供和管理信息技术服务的质量。并且，它协助企业对其信息技术服务进行调整。它包含十个流程以及一项功能。其中十个流程里，有瓦个流程的目标是为了服务支持，还有五个流程主要侧重于提供服务。服务台的功能是为所有十个流程的功能接口提供从客户到信息技术的单点联系。这五个服务支持流程及其目标具体如下：(1)配置管理，要在所有信息技术组建中进行识别、记录和报告；(2)事件管理。在事故发生的时刻，以最为迅速的时间让服务操作恢复至正常状态，从而降低对业务运作所带来的不良影响。十四、信息技术基础设施库，（3）变更管理。要高效且快速地处理所有变更，就需要具备标准的方法以及程序步骤，以此来减小因变更而产生的相关影响。

    事件所造成的影响有助于改进正常操作。比如，企业能够建立软件和硬件的资料库，并且制定变更管理流程，以此让日常信息系统的变更符合规定的程序和步骤。（4）问题管理方面，要减小因信息技术基础设施故障给商业带来的负面影响，防止与之相关的错误再次出现。问题管理的目的在于找出根本原因，并采取行动消除这个错误。信息技术基础设施库中的发布管理，需保证所有方面一起发布，无论是技术方面还是非技术方面都要加以考虑。 例如，企业可借助知识库吸收事故排除经验，当小故障再次发生时，知识库能提供直接解决方案，以此减少恢复正常运作的时间。其三，能力管理。(5)财务管理，要对能够提供信息技术服务的信息、技术资产和资源进行有效的管理。服务台的功能是为处理事件提供单点联系，目标是为顾客和业务提供单点联系，以此来促进正常的操作服务得以恢复。