會計(jì)信息系統(tǒng)安全與風(fēng)險防范.ppt

會計(jì)信息系統(tǒng) 主講人 方水明集美大學(xué)工商管理學(xué)院會計(jì)系6181112 第十二章信息系統(tǒng)安全與風(fēng)險防范 本章內(nèi)容 信息系統(tǒng)安全面臨風(fēng)險 會計(jì)信息系統(tǒng)計(jì)劃和建立過程中的風(fēng)險防范 會計(jì)信息系統(tǒng)使用和維護(hù)過程中的風(fēng)險防范 企業(yè)信息系統(tǒng)的監(jiān)管和評價 第一節(jié)信息系統(tǒng)安全面臨的風(fēng)險 一 信息系統(tǒng)安全面臨的風(fēng)險風(fēng)險是指可能發(fā)生的危險 風(fēng)險是潛在的或可能的損失 一旦受到觸發(fā) 即具備了一定的條件 風(fēng)險就會變成真正的損失 隨著信息技術(shù)的不斷發(fā)展 信息系統(tǒng)面臨的威脅也越來越大 越來越復(fù)雜 信息系統(tǒng)的安全受到了來自內(nèi)部和外部的嚴(yán)重威脅 甚至造成了巨大損失 這些威脅主要包括電腦病毒 特洛伊木馬 黑客和垃圾郵件等來自信息系統(tǒng)外部的威脅 以及內(nèi)部黑客和人為操作失當(dāng)?shù)葋碜孕畔⑾到y(tǒng)內(nèi)部的威脅 會計(jì)信息系統(tǒng)安全面臨的風(fēng)險 1 不適當(dāng)?shù)南到y(tǒng)開發(fā) 2 會計(jì)流程變化引起的錯誤的連續(xù)性與重復(fù)性 3 會計(jì)人員的分工變化以及數(shù)據(jù)和責(zé)任的高度集中 4 會計(jì)檔案存儲形式的變化使數(shù)據(jù)易于丟失和被篡改 5 未經(jīng)授權(quán)的應(yīng)用軟件調(diào)用和修改 6 應(yīng)用軟件系統(tǒng)缺乏對不合理業(yè)務(wù)的識別能力 7 一些人力不可抗拒因素造成的火災(zāi) 水災(zāi) 地震等災(zāi)害 計(jì)算機(jī)硬件的故障或損失 網(wǎng)絡(luò)上黑客對數(shù)據(jù)的攔截 計(jì)算機(jī)病毒的侵襲等 2 會計(jì)信息失真的類型 1 硬件風(fēng)險 2 軟件風(fēng)險刪除 修改 邏輯炸彈 特洛尹木馬術(shù) 泄密術(shù) 陷阱術(shù) 截尾術(shù) 盜竊會計(jì)軟件 3 會計(jì)數(shù)據(jù)的風(fēng)險破壞數(shù)據(jù)的秘密性 完整性 可用性 4 系統(tǒng)人員道德風(fēng)險 5 系統(tǒng)技術(shù)更新風(fēng)險有人預(yù)測 在今后5年 每一次新的科技浪潮將拋棄現(xiàn)存的信息安全準(zhǔn)則 增加新的安全問題 主機(jī)系統(tǒng) PC LAN 客戶 服務(wù)器結(jié)構(gòu) Internet 系統(tǒng)的安全性一次又一次地降到了零 二 信息系統(tǒng)安全簡介信息系統(tǒng)安全可以理解為 在計(jì)算機(jī)單機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的環(huán)境下 保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備設(shè)施以及數(shù)據(jù)不受偶然或惡意的侵入和破壞 檢測 防范和抵御來自系統(tǒng)內(nèi)部和系統(tǒng)外部的各種風(fēng)險 確保信息傳輸 信息處理和信息存儲全過程的正常運(yùn)作 保證信息系統(tǒng)功能正確可靠的實(shí)現(xiàn) 一 計(jì)算機(jī)單機(jī)安全在計(jì)算機(jī)單機(jī)環(huán)境下 硬件系統(tǒng)和軟件系統(tǒng)不受惡意或意外的破壞和損壞 得到物理上的保護(hù) 二 計(jì)算機(jī)網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)環(huán)境下的安全問題 1 信息系統(tǒng)自身即內(nèi)部網(wǎng)絡(luò)的安全問題 2 信息系統(tǒng)與外部網(wǎng)絡(luò)連接情況下的安全問題 根據(jù)國際標(biāo)準(zhǔn)化組織 ISO 提出的 開放系統(tǒng)互連 OSI 參考模型 網(wǎng)絡(luò)體系結(jié)構(gòu)劃分為三組 七個層次 P315圖12 4 ISO OSI參考模型是一個抽象的網(wǎng)絡(luò)體系結(jié)構(gòu) 并不是一個具體的網(wǎng)絡(luò) 它是設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)所作的原則性和概括性的說明 遠(yuǎn)東和標(biāo)準(zhǔn) 這個七層網(wǎng)絡(luò)體系結(jié)構(gòu) 可從三個方面理解 1 在ISO OSI網(wǎng)絡(luò)體系中 七個層次從最底層到最高層依次為物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會話層 表示層和應(yīng)用層 每個層次都有不同的功能 這七個層次可以分為三組 下面三層 物理層 數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層 是傳輸控制組 解決網(wǎng)絡(luò)的通信問題 上面三層 會話層 表示層和應(yīng)用層 是應(yīng)用控制組 處理應(yīng)用的訪問問題 中間一層 傳輸層 是傳輸控制組和應(yīng)用控制組的中間接口 解決兩之間的連接和傳輸問題 2 這七個層次都有各自的接口 上層通過接口向下層發(fā)出服務(wù)請求 下層通過接口向上層提供服務(wù) 3 兩主機(jī)之間的數(shù)據(jù)傳輸 實(shí)際上是數(shù)據(jù)由最上層傳遞到最下層 通過物理層進(jìn)行真正的數(shù)據(jù)通信 其他六個層次在對等層之間只是通過相應(yīng)的協(xié)議進(jìn)行虛擬的數(shù)據(jù)通信 網(wǎng)絡(luò)安全就是貫穿于這七個層次的安全問題 具體包括以下五個方面 1 物理層的安全 確保網(wǎng)絡(luò)物理連接和設(shè)備的安全 防止物理通道受到損壞 攻擊和干擾 2 數(shù)據(jù)鏈路層的安全 采用數(shù)據(jù)加密等技術(shù)確保數(shù)據(jù)鏈路傳輸數(shù)據(jù)的保密 防止信息的泄密 保證數(shù)據(jù)鏈路層的政常運(yùn)行及其功能的正常發(fā)揮 3 網(wǎng)絡(luò)層的安全 保證路由選擇的正確運(yùn)行 防止通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)被非法或未經(jīng)授權(quán)的監(jiān)聽 攔截和竊取 4 傳輸層的安全 這一層次常用的協(xié)議是傳輸控制協(xié)議 TCP 和用戶數(shù)據(jù)報文協(xié)議 UDP 確保各個傳輸連接的可靠和順暢 5 應(yīng)用控制組的安全 即保證運(yùn)行在操作系統(tǒng)上的WEB服務(wù) 電子郵件等各種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全 主要包括操作系統(tǒng)的安全 應(yīng)用平臺的安全和應(yīng)用系統(tǒng)的安全等 三 計(jì)算機(jī)信息安全信息安全是指信息在傳輸 處理和存儲過程中 沒有被非法或惡意竊取 篡改和破壞 信息的安全通常應(yīng)具備以下五個屬性 1 可信性 Authentication 這一屬性要求對信息輸入 輸出和處理的全過程都進(jìn)行必要的識別和驗(yàn)證 確保信息的真實(shí)可靠 2 完整性 Integrity 這一屬性要求信息沒有在未經(jīng)授權(quán)的情況下被篡改 確保信息在傳輸過程中保持一致 3 保密性 Confidentiality 這一屬性要求信息在未經(jīng)授權(quán)的情況下被泄露出去 只有經(jīng)過認(rèn)證的人員才可以獲取保密的信息 4 可用性 Availability 這一屬性要求合法用戶可以及時 正確地取得所需的信息 5 不可否認(rèn)性 Non repudiation 這一屬性要求信息的傳輸 處理和存儲過程有據(jù)可查 不能否認(rèn)過去真實(shí)發(fā)生的對信息的訪問和操作 三 信息系統(tǒng)安全等級劃分根據(jù)我國國家質(zhì)量技術(shù)監(jiān)督局于1999頒布的 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB17859 1999 信息系統(tǒng)安全保護(hù)能力劃分為用戶自主保護(hù)級 系統(tǒng)審計(jì)保護(hù)級 安全標(biāo)記保護(hù)級 結(jié)構(gòu)化保護(hù)級 訪問驗(yàn)證保護(hù)級等五個由低到高的等級 一 幾個重要的概念 1 計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基 TCB 是指計(jì)算機(jī)系統(tǒng)內(nèi)部保護(hù)裝置的總體 包括硬件 軟件和負(fù)責(zé)執(zhí)行安全策略的組合體 2 安全策略 SecurityPolicy 是指有關(guān)管理 保護(hù)和發(fā)布敏感信息的法律 規(guī)定和實(shí)施細(xì)則 3 隱蔽通道 CovertChannel 是指允許進(jìn)程以危害系統(tǒng)安全策略的方式 來傳輸信息的通信信道 4 訪問監(jiān)視器 ReferenceMonitor 是指監(jiān)控主體和客體之間授權(quán)訪問關(guān)系的部件 5 主體 Subject 是指引起信息在客體之間流動的人 進(jìn)程或設(shè)備等 客體是指信息的載體 二 信息系統(tǒng)安全等級的內(nèi)容第一級 用戶自主保護(hù)級 這一等級的TCB 通過隔離用戶與數(shù)據(jù) 使用戶具備自主安全保護(hù)的能力 第二級 系統(tǒng)審計(jì)保護(hù)級 這一等級的TCB 實(shí)施了比用戶自主保護(hù)級精度更細(xì)的自主訪問控制 通過登錄規(guī)程 審計(jì)安全性相關(guān)事件和隔離資源 使用戶對自己的行為負(fù)責(zé) 第三級 安全標(biāo)記保護(hù)級 這一等級的TCB 具有系統(tǒng)審計(jì)保護(hù)級的所有功能并有所擴(kuò)展 提供了基本的強(qiáng)制訪問功能 這一級的信息系統(tǒng)應(yīng)提供安全策略模型 數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述 具有準(zhǔn)確地標(biāo)記輸出信息的能力 并能消除通過測試發(fā)現(xiàn)的任何錯誤 第四級 結(jié)構(gòu)化保護(hù)級 這一等級的TCB 建立在一個明確定義的形式化安全策略模型之上 要求將第三級中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體 并考慮隱蔽通道 這一等級加強(qiáng)了鑒別機(jī)制 支持系統(tǒng)管理員和操作員的職能 提供可信設(shè)施管理 增強(qiáng)了配置管理控制 系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力 第五級 訪問驗(yàn)證保護(hù)級 這一等級的TCB 應(yīng)能夠滿足訪問控制器的需求 訪問控制器負(fù)責(zé)仲裁主體對客體的全部訪問 這一等級的信息系統(tǒng)應(yīng)支持安全管理員職能 擴(kuò)充審計(jì)機(jī)制 當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出信號 并提供系統(tǒng)恢復(fù)機(jī)制 系統(tǒng)具有很高抗?jié)B透能力 四 我國信息安全的發(fā)展態(tài)勢 1 國內(nèi)需求與日俱增 防火墻 智能卡安全產(chǎn)品 網(wǎng)絡(luò)安全檢測產(chǎn)品 身份認(rèn)證產(chǎn)品 CA產(chǎn)品 網(wǎng)絡(luò)監(jiān)視產(chǎn)品 特別是網(wǎng)絡(luò)安全的綜合解決方案 網(wǎng)絡(luò)安全集成系統(tǒng)等市場生機(jī)勃勃 2 政府日益重視 加大支持力度 3 一門新興學(xué)科已經(jīng)崛起 4 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則的實(shí)施 五 信息安全發(fā)展的走向 1 Internet的發(fā)展態(tài)勢 優(yōu)質(zhì)服務(wù) 2 新技術(shù)不斷涌現(xiàn) 密碼學(xué) 3 控制還是放開 4 立法問題更加突出 電子簽名法 加密立法 電子證據(jù)立法 高科技犯罪立法等 5 呼吁標(biāo)準(zhǔn)先行 有關(guān)Internet安全協(xié)議和標(biāo)準(zhǔn) 電子商務(wù)安全協(xié)議和標(biāo)準(zhǔn) CC標(biāo)準(zhǔn)以及我國金卡工程安全規(guī)范等 6 螺旋式前進(jìn) 六 會計(jì)信息系統(tǒng)的安全性評價 1 安全問題是多方位的 2 安全問題是動態(tài)的 3 安全問題不能僅由安全產(chǎn)品來解決 4 安全產(chǎn)品的安全悖論 一般安全產(chǎn)品需要產(chǎn)品開發(fā)的安全保證和產(chǎn)品認(rèn)證的安全保證兩層保證 5 沒有100 的安全性 第二節(jié)會計(jì)信息系統(tǒng)計(jì)劃和建立過程中的風(fēng)險防范 Ernest Young于2001年10月至11月間 對世界上17個地區(qū)的459名首席財務(wù)官 IT主管和經(jīng)理人員進(jìn)行調(diào)查發(fā)現(xiàn) 有56 的受訪者認(rèn)為信息系統(tǒng)故障是由于計(jì)算機(jī)硬件和軟件問題造成的 一 選擇計(jì)算機(jī)硬件的風(fēng)險防范 一 存在的風(fēng)險1 計(jì)算機(jī)硬件由于性能和配置太低 無法支持會計(jì)軟件的正常運(yùn)行2 購買了過于高檔和昂貴的計(jì)算機(jī)硬件系統(tǒng) 造成資源的閑置和資金的浪費(fèi)3 選擇了質(zhì)量低劣的計(jì)算機(jī)硬件 嚴(yán)重影響日后會計(jì)信息系統(tǒng)的實(shí)施 二 選擇計(jì)算機(jī)硬件應(yīng)遵循的原則1 以商品化會計(jì)軟件的硬件最低配置要求或?qū)τ布慕ㄗh配置為標(biāo)準(zhǔn)2 計(jì)算機(jī)硬件的選擇要具有一定的前瞻性3 在選擇和購買太高檔與一定的前瞻性之間找到一個恰當(dāng)?shù)钠胶恻c(diǎn)4 可向會計(jì)軟件的開發(fā)商 技術(shù)人員和相關(guān)的顧問公司進(jìn)行咨詢5 應(yīng)盡量選擇規(guī)模大 信譽(yù)好的硬件提供商的產(chǎn)品 二 選擇會計(jì)軟件的風(fēng)險防范為了最大限度地降低風(fēng)險 會計(jì)軟件的選擇應(yīng)遵循 分析企業(yè)自身的需求在先 選擇產(chǎn)品在后 的基本原則 1 仔細(xì)分析企業(yè)自身的需求通用會計(jì)軟件一般可以滿足用戶70 的需求 若設(shè)計(jì)良好的通用會計(jì)軟件則可滿足用戶85 至90 的需求 而定制或自行開發(fā)的會計(jì)軟件能夠滿足用戶90 以上的需求 2 企業(yè)要制定合理的成本預(yù)算 購買成本 執(zhí)行成本 3 應(yīng)該 貨比三家 了解和評價不同會計(jì)軟件的特點(diǎn)和缺陷 三 會計(jì)軟件的評價體系簡介 P325圖12 51 可靠度會計(jì)軟件對會計(jì)信息完整性 真實(shí)性和準(zhǔn)確性的保證程度 這是評價會計(jì)軟件最為重要的指標(biāo) 可靠度可用追蹤力 控制力 持續(xù)力三個二級指標(biāo)來衡量 2 易用度指會計(jì)軟件是否易學(xué)易用 便于用戶掌握 3 靈活度稱為會計(jì)軟件的彈性 包括集成力 報告力和參數(shù)設(shè)置三個方面 4 支持度 1 軟件設(shè)計(jì)語言便于用戶自行對會計(jì)軟件進(jìn)行更新和維護(hù) 2 軟件開發(fā)商提供的售后技術(shù)支持5 功能度指會計(jì)軟件除了通常的會計(jì)核算功能以外 還具有哪些其他拓展的功能 第三節(jié)會計(jì)信息系統(tǒng)使用和維護(hù)過程中的風(fēng)險防范 一 內(nèi)部風(fēng)險及其防范1 公司內(nèi)部人員未經(jīng)授權(quán)進(jìn)入或使用會計(jì)信息系統(tǒng) 以及更為嚴(yán)重的內(nèi)部黑客行為根據(jù)有關(guān)調(diào)查發(fā)現(xiàn) 約有84 的信息系統(tǒng)舞弊是公司內(nèi)部人員 包括經(jīng)理等高級管理人員 未經(jīng)授權(quán)篡改會計(jì)信息數(shù)據(jù)造成的防范措施 1 設(shè)置良好的用戶名稱和密碼保護(hù)系統(tǒng) 2 終端操作人員的招聘應(yīng)有嚴(yán)格的程序 并且定期進(jìn)行培訓(xùn)和誠信教育 提高員工的道德素質(zhì) 3 設(shè)立系統(tǒng)監(jiān)督人員 2 計(jì)算機(jī)硬件和會計(jì)軟件的技術(shù)故障 1 謹(jǐn)慎選擇計(jì)算機(jī)硬件和會計(jì)軟件 2 用戶自行對軟件程序進(jìn)行修改和更新必須經(jīng)過嚴(yán)格授權(quán) 只能由勝任的人員進(jìn)行 3 備份會計(jì)軟件以前所有的版本3 人為使用和操作不當(dāng) 1 招聘合格的員工 進(jìn)行上崗培訓(xùn) 并定期進(jìn)行后續(xù)教育 2 選擇和使用具有清晰明了的用戶友好界面的會計(jì)軟件 并且有充分的輸入控制 保證數(shù)據(jù)輸入的準(zhǔn)確性 4 與會計(jì)信息系統(tǒng)相關(guān)的重要崗位人員的離職 將對公司造成重大的影響 1 挽留重要崗位人員 2 應(yīng)培訓(xùn)后備人員 二 外部風(fēng)險及其防范1 計(jì)算機(jī)病毒感染 1 購買并安裝防病毒軟件 2 當(dāng)系統(tǒng)通過互聯(lián)網(wǎng)與外界連接時 最好要設(shè)置病毒 防火墻 3 運(yùn)行軟盤或可移動磁盤上的文件時應(yīng)先經(jīng)過病毒檢查 或者甚至禁止使用這些設(shè)備2 通過互聯(lián)網(wǎng)從系統(tǒng)外部非法侵入會計(jì)信息系統(tǒng) 即所謂的黑客侵入和攻擊利用防火墻技術(shù)進(jìn)行用戶訪問控制是較為常用和有效的安全防范手段防火墻一般有數(shù)據(jù)包過濾防火墻和應(yīng)用級網(wǎng)關(guān)防火墻P360圖12 4Intranet中會計(jì)信息系統(tǒng)的控制模型 MAISI 3 自然災(zāi)害和突發(fā)風(fēng)險 1 計(jì)算機(jī)房的位置應(yīng)處于較高的樓層 2 計(jì)算機(jī)房的一個墻面最好應(yīng)為防水的玻璃 并設(shè)置煙霧檢測裝置和消防設(shè)備 3 關(guān)鍵的計(jì)算機(jī)設(shè)備應(yīng)配備不間斷電源供應(yīng)裝置 UPS 4 日常應(yīng)對重要的數(shù)據(jù)進(jìn)行備份 建立自動備份系統(tǒng)或手動備份系統(tǒng) 乃至網(wǎng)絡(luò)備份系統(tǒng)在會計(jì)信息系統(tǒng)從計(jì)劃 建立到使用 維護(hù)過程中 執(zhí)行這些風(fēng)險防范時 應(yīng)當(dāng)考慮成本效益原則 同時 不同的企業(yè)還應(yīng)該根據(jù)自身的具體情況 采取適合的風(fēng)險防范措施 保證會計(jì)信息系統(tǒng)的正常 順利運(yùn)行 會計(jì)信息系統(tǒng)風(fēng)險的防范 1 技術(shù)性的防范2 有效的內(nèi)部控制體系3 開展計(jì)算機(jī)審計(jì)4 員工職業(yè)道德與素質(zhì)的培養(yǎng)5 計(jì)算機(jī)安全與犯罪的立法 思考題 ABC制造公司有一個大型的計(jì)算機(jī)部門 X為公司內(nèi)部審計(jì)主管 在調(diào)查日常事務(wù)時發(fā)現(xiàn)以下問題 幾個顧客賬目是假冒的 一些余額超過10000元的賬戶在賬戶列表中無法找到匹配的姓名和地址 例如 一個賬戶列示為戴潔的人 當(dāng)X試著聯(lián)系戴潔這個人時 發(fā)現(xiàn)那人地址是當(dāng)?shù)毓沟牡刂?另外電話號碼也是偽造的 此外當(dāng)?shù)氐碾娫挷旧喜]有戴潔這個人 額外的調(diào)查顯示 文檔中沒有這個人的信用卡申請 使事情變得更加復(fù)雜的是 所有這些賬戶都是超過12個月仍未付款 由于一些未確定的原因 這些賬戶沒有一個出現(xiàn)在應(yīng)收賬款報告中 要求 1 這里很可能存在哪些欺騙罪行 犯罪的人很可能包括哪些人 2 應(yīng)如何解決這類問題 變更程序是存在問題最有可能的原因 1 很可能有人修改了應(yīng)收賬款程序 使未通過信用驗(yàn)證者的交易得到許可 這個人用選定賬齡程序忽視這些賬戶的辦法來掩蓋一切 也有一種可能是程序員和信用部門的某些人串通 程序員可能在程序中設(shè)置了一個陷門 可以使某些人通過信用認(rèn)證 盡管這些人不在經(jīng)核準(zhǔn)的顧客數(shù)據(jù)庫中 這可以在沒有信用部門人員幫助的情況下完成 2 程序也可能被系統(tǒng)操作員更改 系統(tǒng)操作員有時能夠接觸到計(jì)算機(jī)系統(tǒng)的所有文檔 系統(tǒng)操作員可能用改變的版本替換應(yīng)收賬款程序的合法版本 解決這類問題的方法是建立一個安裝和維護(hù)軟件的正式系統(tǒng) 1 所有對軟件做出的改變應(yīng)該有文件證明 包括全套的審查和批準(zhǔn) 2 程序員不應(yīng)該得到訪問軟件工作版本的權(quán)力 他們應(yīng)該在核實(shí)的基礎(chǔ)上有限制地修改工作軟件副本 被修改的備份應(yīng)該在正式安裝以前得到檢驗(yàn) 3 軟件的主要備份應(yīng)該保存在安全的地方 應(yīng)該使用合適的工具 將這些主要的備份與運(yùn)行中的版本定期進(jìn)行比較 設(shè)計(jì)分析討論題2 一 企業(yè)概述艾諾儀器公司是按照國際慣例組建的高新技術(shù)股份制公司 成立于1993年 專業(yè)從事電測儀器 變頻電源和智能控制器等產(chǎn)品的研發(fā)和制造 1995年與外方合資成立了青島艾諾智能儀器有限公司 并在濟(jì)南成立了山東艾諾分公司 在深圳設(shè)立了辦事處 公司持續(xù)投入大量資金引進(jìn)國外先進(jìn)技術(shù) 潛心研究并加以消化吸收 技術(shù)水平和企業(yè)規(guī)模一直處于行業(yè)領(lǐng)先地位 公司在1998年順利通過ISO9001質(zhì)量保證體系認(rèn)證的基顧上 于2001年在同行業(yè)首家率先升級通過了2000版質(zhì)量管理體系認(rèn)證 公司憑借雄厚的技術(shù)實(shí)力 嚴(yán)謹(jǐn)?shù)漠a(chǎn)品質(zhì)保體系和專業(yè)技術(shù)服務(wù)隊(duì)伍 贏得了海爾 海信 聯(lián)想 春蘭 長虹等各行業(yè)幾千家客戶的信賴 艾諾產(chǎn)品不僅出口至俄羅斯 阿根廷 馬來西亞 意大利 伊朗等國家 也為大量來華投資企業(yè) 如LG PHILIPS PANASONIC ELECTROLUX等提供了優(yōu)質(zhì)的產(chǎn)品和服務(wù) 隨著市場競爭的加劇 客戶的個性化需求越來越高 企業(yè)的快速反應(yīng)能力和柔性制造能力成為克敵制勝的關(guān)鍵 這就對管理提出了更高的要求 信息要更加及時和準(zhǔn)確 管理控制更加到位 企業(yè)的信息化迫在眉睫 二 公司在經(jīng)營中存在的問題隨著企業(yè)規(guī)模的不斷擴(kuò)大和市場競爭的加劇 在艾諾的經(jīng)營過程中暴露出如下的問題 1 信息不能共享 各部門不能及時傳遞由于采取手工操作 各部門的信息只有部門內(nèi)部掌握 在部門間無法共享或傳遞速度緩慢 形成部門的信息孤島 2 手工的采購需求計(jì)算不能適應(yīng)市場變化艾諾公司生產(chǎn)的是電測儀器 智能控制器等設(shè)備 屬多品種小批量生產(chǎn) 每次接到客戶訂單后開始組織生產(chǎn)過程 由于產(chǎn)品品種多 很多訂單還要研發(fā)部門進(jìn)行個性化的設(shè)計(jì) 產(chǎn)品的物料清單變化頻繁 需要的配件和原材料品種繁多 因此采購計(jì)劃的制定很復(fù)雜 每次計(jì)算采購需求往往需要很長時間 3 流程不暢 業(yè)務(wù)與財務(wù)分離由于沒有采用信息化管理 加之溝通不暢 財務(wù)與業(yè)務(wù)數(shù)據(jù)是分離的 不能有效控制 4 管理成本過高由于手工操作 為了加強(qiáng)管理和控制 保證數(shù)據(jù)的準(zhǔn)確反映 勢必增加人員 引起管理成本增加 庫存管理仍然處在手工狀態(tài) 勞動強(qiáng)度大 而準(zhǔn)確性低 會出現(xiàn)多余采購和多余存儲的風(fēng)險 三 討論議題假設(shè)你被公司聘為信息技術(shù)部經(jīng)理 CIO 明天要向公司高層陳述一項(xiàng)公司信息策略計(jì)劃 以推動公司管理規(guī)范化 精細(xì)化的需要 運(yùn)用你所掌握的系統(tǒng)開發(fā)知識 介紹一套適合艾諾公司的信息系統(tǒng)開發(fā)策略 信息系統(tǒng)實(shí)施的六大致命問題 1 沒有搭建一個好的班子2 培訓(xùn)缺乏有效的方法3 缺乏一個有影響力的主導(dǎo)者4 領(lǐng)導(dǎo)重視程度不夠5 缺乏溝通與協(xié)作6 主體意識不強(qiáng) 第四節(jié)企業(yè)信息系統(tǒng)的監(jiān)管和評價企業(yè)信息系統(tǒng)是比會計(jì)信息系統(tǒng)集成度更高 功能更強(qiáng)大的信息系統(tǒng) 涵蓋了企業(yè)經(jīng)營的全過程 會計(jì)信息系統(tǒng)成為其中的一個重要子系統(tǒng) 如 SAP公司開發(fā)的ERP軟件SAPR 3 該系統(tǒng)由物料管理 生產(chǎn)計(jì)劃 質(zhì)量管理 銷售與分銷 財務(wù)會計(jì) 管理會計(jì) 資產(chǎn)管理 工廠管理 人力資源 項(xiàng)目系統(tǒng) 工作流 工業(yè)解決方案等十二個標(biāo)準(zhǔn)應(yīng)用模塊組成 企業(yè)信息系統(tǒng)的監(jiān)管是會計(jì)信息系統(tǒng)風(fēng)險防范的延續(xù)和拓展 更為復(fù)雜 難度更大 一 會計(jì)信息系統(tǒng)發(fā)展為企業(yè)信息系統(tǒng)的必然性和必要性1 從信息技術(shù)的發(fā)展?fàn)顩r看2 從會計(jì)軟件的發(fā)展?fàn)顩r看3 從企業(yè)自身發(fā)展的過程看 二 企業(yè)信息系統(tǒng)監(jiān)管的標(biāo)準(zhǔn)2007年5月 信息系統(tǒng)審計(jì)和控制協(xié)會 InformationSystemAuditandControlAssociation ISACA 下屬的信息技術(shù)治理研究院發(fā)布了 信息及相關(guān)技術(shù)控制目標(biāo) 第4 1版 它是國際上公認(rèn)的最先進(jìn) 最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn) COBIT由綜述 框架 控制目標(biāo) 審計(jì)指導(dǎo)原則 執(zhí)行工具箱和管理指導(dǎo)原則六個部分組成 三 企業(yè)信息系統(tǒng)監(jiān)管的評價在COBIT中 提出了信息系統(tǒng)監(jiān)管的自我評價體系 P364 365 從縱向看 列出了信息系統(tǒng)實(shí)施和使用全過程的四個階段 計(jì)劃與組織購買與執(zhí)行傳遞與支持監(jiān)控從橫向看 列出了六個方面的評價內(nèi)容 第五節(jié)電子商務(wù)與網(wǎng)絡(luò)會計(jì)信息系統(tǒng) 一 電子商務(wù)1 電子商務(wù) Web IT聯(lián)合國國際貿(mào)易法委員會指出 電子商務(wù)是通過電子數(shù)據(jù)交換 EDI 和及其他通訊手段進(jìn)行的日益增長的國際貿(mào)易的功能之一 其主要功能包括 網(wǎng)上的廣告 訂貨 付款 客戶服務(wù)和貨物遞交等銷售 售前和售后服務(wù) 以及市場調(diào)查分析 財務(wù)核計(jì)及生產(chǎn)安排等多項(xiàng)Internet開發(fā)的商業(yè)活動 2 電子商務(wù)的網(wǎng)絡(luò)計(jì)算環(huán)境 因特網(wǎng) 企業(yè)內(nèi)部網(wǎng)和企業(yè)外部網(wǎng) 3 電子商務(wù)的優(yōu)越性 1 大大提高了通信速度 尤其是國際范圍內(nèi)的通信速度 2 節(jié)省了潛在開支 如電子郵件節(jié)省了通信郵費(fèi) 而電子數(shù)據(jù)交換節(jié)省了管理和人員環(huán)節(jié)的開銷 3 增加了客戶與供貨方的聯(lián)系 電子數(shù)據(jù)交換意味著企業(yè)間的合作得到了加強(qiáng) 4 提高了服務(wù)質(zhì)量 能以一種快捷方便的方式提供企業(yè)及其產(chǎn)品的信息及客戶所需的服務(wù) 5 提供了交互式的銷售渠道 4 電子商務(wù)的功能 廣告宣傳 咨詢洽談 網(wǎng)上訂購 網(wǎng)上支付 電子賬戶 服務(wù)傳遞 意見征詢 交易管理等5 企業(yè)電子商務(wù)的解決方案網(wǎng)上黃頁 簡單電子商務(wù)解決方案 完整電子商務(wù)解決方案6 電子商務(wù)的標(biāo)準(zhǔn) 1 UN EDIFACT標(biāo)準(zhǔn) 是聯(lián)合國推薦使用的電子商務(wù)國際標(biāo)準(zhǔn) 為各國進(jìn)行跨國商務(wù)交流提供了一個統(tǒng)一的商業(yè)語言標(biāo)準(zhǔn) 2 國際數(shù)字保證商務(wù)通則 GUIDEC GeneralUsageforInternationalDigitallyEnsuredCommerce 3 RosettaNet提出 全球電子商務(wù)標(biāo)準(zhǔn) 為供應(yīng)鏈管理創(chuàng)立 開放式電子內(nèi)容和交易標(biāo)準(zhǔn) 4 亞洲建立電子商務(wù)標(biāo)準(zhǔn)的努力 二 電子商務(wù)與會計(jì)信息系統(tǒng) 一 電子商務(wù)對傳統(tǒng)會計(jì)的影響1 會計(jì)組織的演變 使企業(yè)管理的許多層次不再顯得那么重要 2 會計(jì)計(jì)量的發(fā)展 在電子商務(wù)環(huán)境下 一個網(wǎng)址即代表一個企業(yè) 無論是 虛擬企業(yè) 還是 實(shí)體企業(yè) 只有通過域名網(wǎng)址 企業(yè)方可在網(wǎng)上進(jìn)行國內(nèi)國際交流 從事跨國經(jīng)營 3 會計(jì)信息的披露 披露范圍不僅包括財務(wù)信息本身 而且覆蓋所有與企業(yè)經(jīng)營有關(guān)的方面 包括非貨幣信息 4 會計(jì)信息的傳遞 財務(wù)停息的發(fā)送和財務(wù)信息資源的索取 具有高效 經(jīng)濟(jì)的特點(diǎn) 5 會計(jì)信息系統(tǒng)的安全性 二 電子商務(wù)條件下會計(jì)發(fā)展的新趨勢 1 電子商務(wù)對會計(jì)提出了新的要求 1 電子商務(wù)要求會計(jì)服務(wù)范圍更加廣泛 形成全球統(tǒng)一 規(guī)范競爭的有序的大市場 2 電子商務(wù)要求會計(jì)系統(tǒng)多樣化和現(xiàn)代化 在電子商務(wù)中 企業(yè)運(yùn)用各種現(xiàn)代化的電子信息工具 諸如EOS 電子貨幣 EDI 電子數(shù)據(jù)交換 E MAIL BBS 電子公共系統(tǒng) 等系列化 系統(tǒng)化的工具 使得各主體間的交易得以迅速 準(zhǔn)確地進(jìn)行 3 電子商務(wù)要求會計(jì)市場國際化 2 在電子商務(wù)環(huán)境下會計(jì)呈現(xiàn)的發(fā)展趨勢 1 訴訟會計(jì) 它把會計(jì)知識與法律知識有機(jī)結(jié)合起來 保障電子商務(wù)活動在合法化的環(huán)境下進(jìn)行 2 安全會計(jì) 黑客襲擊網(wǎng)站 用戶的誤操作 計(jì)算機(jī)病毒和計(jì)算機(jī)本身的機(jī)械性故障等都為電