注会《风险》第八章 管理信息系统的应用与管理03

第八章管理信息系统的风险与安全管理第一节项目管理1．项目：项目是为完成某一独特的产品、服务或任务所做的一次性努力。

2．项目的特征：1）项目是一次性任务。

2）人类有组织的活动都有其目的性。

3）项目是为了实现目标而展开的任务的集合。

3．项目管理：是以项目为对象的系统管理方法，通过一个临时性专门的柔性组织，对项目进行高效率的计划、组织、指导和控制，以实现项目的动态管理和项目目标的综合协调与优化。

4．项目管理的特征：1）需要通过一个专门的组织实施2）规划资源。

5．项目管理的领域：范围管理、时间管理、成本管理、质量管理、采购管理、人力资源管理、沟通管理、风险管理、综合管理。

6．采购是从系统外部获得货物、土建工程和服务的采办过程。

7．甘特图：又称条线图或横道图，主要用于项目的计划和项目进度的安排。

甘特图是一个二维平面图，横向维表示进度或活动的时间，纵向维表示工作的内容。

8．Microsoft Project包括以下几个基本模块：1）基本数据输入模块2）数据计算处理模块。

3）人机交互调整模块4）项目信息输出模块。

第二节管理信息系统风险管理1．风险：是由于从事某项特定活动过程中存在的不确定性而产生的经济或财务损失，自然破坏或损伤的可能性。

2．风险分类：1）按风险后果：纯粹风险、投机风险2）按风险来源：自然风险、人为风险3）按风险影响后果：政府风险、项目业主风险、承包风险、投资方风险、监理单位风险、供应商风险等4）按风险可预测性：已知风险、可预测风险、不可预测风险5）按原因角度：商业风险、技术风险、管理风险。

3．按对待风险的态度划分，可以分成风险的规避者、风险中立者、冒险者。

4．风险管理：是指在项目的执行过程中，持续不断地进行风险识别、分析、策略制定、监控风险执行情况的过程。

5．风险管理具体可以分为：风险识别、风险分析、风险规划、风险监控四个步骤6．风险识别：就是确定哪些风险可能会对事物产生影响，然后将这些风险按特征分类记录为文档，系统地确定对项目的威胁。

信息系统在企业风险管理中的应用企业风险管理是现代企业运营的重要组成部分，它旨在识别、评估和应对可能对企业目标实现产生不利影响的各种风险。

作为信息技术的重要应用领域之一，信息系统在企业风险管理中发挥着重要的作用。

本文将探讨信息系统在企业风险管理中的应用，并讨论其优势和挑战。

一、风险管理的基本概念在探讨信息系统在企业风险管理中的应用之前，首先需要了解风险管理的基本概念。

风险管理是一种系统性和有序的方法，它包括识别、评估、处理和监控风险的过程。

企业风险可以分为战略风险、操作风险、财务风险、法律风险等多个方面。

通过风险管理，企业可以更好地预防和应对风险，保证企业的可持续发展。

二、信息系统在风险识别与评估中的应用信息系统在企业风险管理中的首要任务是帮助企业准确地识别和评估风险。

通过信息系统，企业可以收集、存储和分析大量与风险相关的数据，帮助企业确定潜在的风险因素，并对其进行量化和评估。

信息系统可以利用数据挖掘和预测模型等技术手段，快速准确地识别风险，为企业的决策提供可靠的依据。

三、信息系统在风险处理中的应用一旦企业识别和评估了风险，接下来就需要采取相应的措施来处理风险。

信息系统在这个过程中发挥了重要的作用。

例如，企业可以借助信息系统来制定和执行风险应对策略，并确保风险处理措施的及时性和有效性。

此外，信息系统还可以提供风险监控和反馈机制，帮助企业实时跟踪风险的动态变化，并做出相应的调整和改进。

四、信息系统在风险监控与报告中的应用风险监控和报告是企业风险管理的重要环节，也是决策者了解企业风险状况的关键手段。

信息系统可以为企业提供实时的风险监控和报告功能，帮助决策者及时了解和评估企业的风险状况。

信息系统可以通过数据可视化和报表生成等功能，将大量的风险数据转化为易于理解和分析的形式，为决策者提供决策支持。

五、信息系统在风险管理中的优势和挑战信息系统在企业风险管理中具有许多优势，如高效性、准确性和可靠性。

信息系统可以帮助企业实现风险管理的自动化和规范化，提高企业的工作效率和风险处理的准确性。

第八章管理信息系统的应用与管理第三节管理信息系统的管理二、信息系统安全管理（一）信息系统安全管理概念（★★）1.信息系统的不安全因素及风险。

信息系统安全威胁是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。

从不同的角度对于信息系统安全威胁的分类有以下几类。

（1）按照威胁的来源分类。

①自然灾害威胁。

②意外人为威胁。

③有意人为威胁。

（2）按照作用对象分类。

按照所作用的对象，可以将信息系统的威胁分为以下两种。

第一种，针对信息的威胁。

针对信息（资源）的威胁又可以归结为以下几类：①信息破坏：非法取得信息的使用权，删除、修改、插入、恶意添加或重发某些数据，以影响正常用户对信息的正常使用。

②信息泄密：故意或偶然地非法侦收、截获、分析某些信息系统中的信息，造成系统数据泄密。

③假冒或否认：假冒某一可信任方进行通信或者对发送的数据事后予以否认。

第二种，针对系统的威胁。

针对系统的威胁包括对系统硬件的威胁、对系统软件的威胁和对于系统使用者的威胁。

对于通信线路、计算机网络以及主机、光盘、磁盘等的盗窃和破坏都是对于系统硬件（实体）的威胁；病毒等恶意程序是对系统软件的威胁；流氓软件等是对于系统使用者的威胁。

（3）按照威胁方法的分类。

按照威胁的手段，可以将信息系统的威胁分为以下六种：第一种，信息泄露。

信息泄露是指系统的敏感数据有意或无意地被未授权者知晓。

第二种，扫描。

扫描是指利用特定的软件工具向目标发送特制的数据包，对响应进行分析，以了解目标网络或主机的特征。

第三种，入侵。

入侵即非授权访问，是指没有经过授权（同意）就获得系统的访问权限或特权，对系统进行非正常访问，或擅自扩大访问权限越权访问系统信息。

第四种，拒绝服务。

拒绝服务是指系统可用性因服务中断而遭到破坏。

拒绝服务攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。

第五种，抵赖（否认）。

通信一方由于某种原因而实施的下列行为都称为抵赖：①发方事后否认自己曾经发送过某些消息；②收方事后否认自己曾经收到过某些消息；③发方事后否认自己曾经发送过某些消息的内容；④收方事后否认自己曾经收到过某些消息的内容。

第八章管理信息系统的应用与管理第二节管理信息系统的应用三、信息系统与组织决策（四）群体决策支持系统（GDSS）（★）1.群体决策与群体决策支持系统。

在组织中，大多数重大决策都不是某个个体完成的，而是群体决策的结果。

相比个体决策，群体决策具有如下特点：（1）通常决策的正确性更高，但速度较慢；（2）集思广益，决策可能更具创造性；（3）可能出现风险极端化，可能过度保守或过度冒险；（4）群体成员关系好坏可能左右决策效能；（5）决策群体的构成对群体决策的影响较大。

群体决策支持系统（group decision supportsystem，GDSS），是指在系统环境中，多个决策参与者共同进行思想和信息的交流，群策群力，寻找一个令人满意和可行的方案，但在决策过程中只由某个特定的人做出最终决策，并对决策结果负责。

2.群体决策支持系统的应用。

GDSS按照决策时间和群体成员地理上的邻近程度可分为决策室、局域决策网、电子会议、远程决策四种应用类型。

（1）决策室。

决策室的主要特征是决策者面对面地在同一时间和地点进行群体决策。

设立一个与传统会议室相似的决策室，决策者通过互联的计算机站点相互合作完成决策。

决策室是相对较简单的GDSS，主要缺点是不能有效地屏蔽各决策者之间的相互影响。

（2）局域决策网。

局域决策网型GDSS建立在局域网（local areanetwork，LAN）的基础上。

在决策过程中，各决策者在近距离的不同房间的工作站上参与群体决策，共享决策源，通过网络相互通信，以了解其他决策结点的状态及全局状态。

这种类型GDSS的主要优点是可以克服定时决策的限制，决策者可在决策周期内分时地参与决策。

（3）电子会议。

电子会议利用计算机网络的通信技术，使分散各地的决策者在同一时间内进行集中决策。

电子会议实质上与决策室相同，它的优点是能克服空间距离的限制。

（4）远程决策。

远程决策型GDSS充分利用广域网、互联网等信息技术来支持群体决策，综合了局域决策网与电子会议的优点，可使决策者异时异地共同对同一问题做出决策。

第八章管理信息系统的应用与管理第三节管理信息系统的管理二、信息系统安全管理（一）信息系统安全管理概念（★★）1.信息系统的不安全因素及风险。

信息系统安全威胁是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。

从不同的角度对于信息系统安全威胁的分类有以下几类。

（1）按照威胁的来源分类。

①自然灾害威胁。

②意外人为威胁。

③有意人为威胁。

（2）按照作用对象分类。

按照所作用的对象，可以将信息系统的威胁分为以下两种。

第一种，针对信息的威胁。

针对信息（资源）的威胁又可以归结为以下几类：①信息破坏：非法取得信息的使用权，删除、修改、插入、恶意添加或重发某些数据，以影响正常用户对信息的正常使用。

②信息泄密：故意或偶然地非法侦收、截获、分析某些信息系统中的信息，造成系统数据泄密。

③假冒或否认：假冒某一可信任方进行通信或者对发送的数据事后予以否认。

第二种，针对系统的威胁。

针对系统的威胁包括对系统硬件的威胁、对系统软件的威胁和对于系统使用者的威胁。

对于通信线路、计算机网络以及主机、光盘、磁盘等的盗窃和破坏都是对于系统硬件（实体）的威胁；病毒等恶意程序是对系统软件的威胁；流氓软件等是对于系统使用者的威胁。

（3）按照威胁方法的分类。

按照威胁的手段，可以将信息系统的威胁分为以下六种：第一种，信息泄露。

信息泄露是指系统的敏感数据有意或无意地被未授权者知晓。

第二种，扫描。

扫描是指利用特定的软件工具向目标发送特制的数据包，对响应进行分析，以了解目标网络或主机的特征。

第三种，入侵。

入侵即非授权访问，是指没有经过授权（同意）就获得系统的访问权限或特权，对系统进行非正常访问，或擅自扩大访问权限越权访问系统信息。

第四种，拒绝服务。

拒绝服务是指系统可用性因服务中断而遭到破坏。

拒绝服务攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。

第五种，抵赖（否认）。

通信一方由于某种原因而实施的下列行为都称为抵赖：①发方事后否认自己曾经发送过某些消息；②收方事后否认自己曾经收到过某些消息；③发方事后否认自己曾经发送过某些消息的内容；④收方事后否认自己曾经收到过某些消息的内容。

第八章管理信息系统的应用与管理【必背考点1】简述管理信息与管理活动的关系1、管理信息是管理活动的基础和核心2、管理信息是提高管理效益的关键3、管理信息是有效控制企业运行过程的灵魂【记忆口诀】重点把握关键字：基础和核心、关键、灵魂【必背考点2】简述管理信息系统的特点1、面对管理决策的系统2、综合性的系统3、人-机相互作用的系统4、现代管理方法与手段相结合的系统5、多学科交叉的边缘科学【必背考点3】简述流程管理和信息技术的关系（1）信息化助力流程管理①信息技术实现了五流合一，提高了业务流程的运作效力。

所谓五流即指信息流、商流、资金流、事务流和物流。

②信息技术规范了流程的运作，提高了业务流程的有效性③信息技术有利于优化企业的组织结构，从而建立以流程为导向的组织（2）流程管理推进信息化【记忆口诀】信息化助力流程管理；流程管理推进信息化【必背考点4】简述信息系统与组织变革的关系，以及信息系统对组织结构变革的影响信息系统与组织变革是相互影响的关系。

一方面，信息系统是推动组织变革的诱因；另一方面，组织变革又进一步促进信息系统应用信息系统对组织变革的影响具体表现为以下几个方面：（1）支持组织扁平化调整（2）支持新型组织结构【记忆口诀】信息系统与组织变革相互影响，推动诱因与促进应用【必背考点5】简述信息系统的评价方法有哪些？（1）多因素加权平均法（2）层次分析法（3）数据包络分析法（4）经济效果评价法第七章风险管理框架下的内部控制【必背考点1】简述COSO委员会和我国《企业内部控制基本归法》对内部控制的定义、目标和要素。

COSO委员会规定的内部控制三项目标包括：取得经营的效率和有效性；确保财务报告的可靠性；遵循适用的法律法规内部控制的五大要素包括：控制环境、风险评估、控制活动、信息与沟通、监控监督我国《企业内部控制基本规范》要求企业建立内部控制体系时应符合以下目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。

注册会计师公司战略与风险管理（管理信息系统的应用）模拟试卷3及答案与解析一、单项选择题每题只有一个正确答案，请从每题的备选答案中选出一个你认为最正确的答案。

1 下列决策中不属于按照决策的战略重要性划分的是( )。

（A）战略决策（B）战术决策（C）结构化决策（D）业务决策2 ( )是存储、管理、提供与维护用于决策支持数据的基本部件，由数据库和数据库管理系统两部分组成。

（A）模型库子系统（B）数据库子系统（C）知识库子系统（D）人机对话子系统3 ( )主要靠决策者的知识、经验与智慧完成决策。

（A）结构化决策（B）非结构化决策（C）半结构化决策（D）战术决策4 根据决策的一般过程，下列排序正确的是( )。

①准备报送拟请管理层审议的市场风险管理方案②制定市场风险管理办法及限额、交易后监督等操作流程和实施细则③收集路透社最新财经信息及企业内部交易敞口、PV01等信息④国际汇率市场波动剧烈。

市场风险成当前突出问题⑤召开总裁办公会确定当前经济形势下市场风险管理应对策略（A）③①④②⑤（B）⑤①②④③（C）④③①⑤②（D）②④①③②5 下列不属于“三系统”结构的决策支持系统(DSS)优点的是( )。

（A）统一了知识的看法（B）重点关注了数据库和模型库系统之间的区别和联系（C）明确了语言系统在人机交互中的作用（D）突出了DSS问题处理特性6 下列对于智能决策支持系统(IDSS)的理解不正确的是( )。

（A）专家系统是一种模拟人类专家解决领域问题的计算机程序系统（B）神经网络是一个数学模型，是人工智能研究的一种方法（C）遗传算法对问题的种类具有很强的鲁棒性（D）智能代理能够感知所处的环境，并对其中发生的相关事件做出适时反应，这是其主动性的体现7 下列对于群体决策支持系统(GDSS)的表述错误的是( )。

（A）决策室主要优点是能够有效屏蔽各决策者之间的相互影响（B）局域决策网的主要优点是可以克服定时决策的限制（C）电子会议的主要优点是能够克服空间距离的限制（D）远程决策的主要优点是可使决策者异时异地共同对同一问题做出决策8 下列关于商业智能(BI)的理解不正确的是( )。

第八章管理信息系统的应用与管理第二节管理信息系统的应用二、信息系统与组织流程（三）客户关系管理（CRM）及系统（★★）客户关系管理的理念是以客户关系的建立、发展和维持为目的。

当企业和上游供应商打交道时，企业是客户，因此需要“管理”供应商；当企业和下游或终端客户打交道时，企业是供应商，因此需要“管理”客户。

1.客户关系管理的概念。

客户关系管理（customer relationshipmanagement，CRM）是一种以客户为中心的经营策略，它以信息技术为手段，对业务功能进行重新设计，并对工作流程进行重组，通过交流沟通，理解并影响客户行为，最终实现提高客户获得、客户保留、客户忠诚和客户创利的目的。

CRM核心是客户价值管理，它将客户价值分为既成价值、潜在价值和模型价值，通过“一对一”营销原则，满足不同价值客户的个性化需求，提高客户忠诚度和保有率，实现客户价值持续贡献，从而全面提升企业贏利能力。

2.CRM系统。

按照目前流行的功能分类方法，CRM应用系统可以分为运营型CRM、分析型CR M、协同型CRM。

如果把CRM比作一个完整的人，那么运营型CRM是的CRM四肢，分析型CRM则是CRM的大脑和心脏，而协作型CRM就是各个感觉器官。

（1）CRM运营型系统。

运营型CRM系统使企业在网络环境中以电子化方式完成从市场、销售到服务的全部商务过程。

它主要有以下五个方面的应用：①CRM销售套件。

销售套件对企业的典型作用在于帮助企业管理跟踪从销售机会产生到结束的全程信息。

②CRM营销套件。

帮助企业管理者清楚地了解所有市场营销活动的成效与投资回报率。

③CRM服务套件。

它帮助企业以最低的成本为客户提供包括服务请求及投诉的创建、分配、解决、跟踪、反馈、回访等相关服务环节的闭环处理模式。

④CRM电子商务套件。

它是使客户关系管理成为企业商务过程电子化的“前沿阵地”，帮助企业将门户站点、各种商务渠道集成在一起，开拓新的销售渠道及商务处理方式。