高校財務(wù)信息化的風(fēng)險類型及防控策略研究

引言2016年，財政部發(fā)文《會計改革與發(fā)展“十三五”規(guī)劃綱要》，要求在不斷提高企業(yè)財務(wù)信息化水平的同時，積極探索推動行政事業(yè)單位財務(wù)信息化工作。高等院校積極響應(yīng)號召，探索搭建財務(wù)信息化平臺，逐步實現(xiàn)網(wǎng)絡(luò)環(huán)境下的電子化財務(wù)報銷，推進財務(wù)信息化平臺與其他業(yè)務(wù)系統(tǒng)相融合，推動會計工作從傳統(tǒng)核算型向現(xiàn)代管理型轉(zhuǎn)變。財務(wù)信息通過信息化平臺實時傳遞、實時處理，提高財務(wù)服務(wù)質(zhì)量與業(yè)務(wù)處理效率。但在高校財務(wù)信息化搭建和運行過程中，信息化風(fēng)險伴隨而生，實施風(fēng)險防控是財務(wù)信息化建設(shè)的重要一環(huán)。本文通過識別分析財務(wù)信息化風(fēng)險類型，針對性提出信息化風(fēng)險防控策略，為財務(wù)信息化建設(shè)構(gòu)建安全閉環(huán)。一、高校財務(wù)信息化風(fēng)險類型高校財務(wù)信息化風(fēng)險是指高校財務(wù)信息化建設(shè)過程中，可能存在影響信息化目標實現(xiàn)的各種不確定因素[1]，包括組織管理風(fēng)險、設(shè)施及環(huán)境風(fēng)險、信息系統(tǒng)應(yīng)用風(fēng)險、信息管理風(fēng)險。（一）組織管理風(fēng)險組織管理風(fēng)險，是指信息化平臺從組織搭建到順利落地所面臨的風(fēng)險，包括宏觀層面有戰(zhàn)略規(guī)劃、文化變革、監(jiān)管法規(guī)缺失的風(fēng)險；微觀層面有信息化供應(yīng)商能力不足、供應(yīng)商后期維護無力、信息管理人才的缺乏，基層財務(wù)人員能力不足的風(fēng)險。組織管理風(fēng)險具體可表現(xiàn)為：一是高校決策人員的重視程度。決策人員先進的管理理念，以及對財務(wù)信息化的重視程度與資金投入程度，都會直接影響信息化的實現(xiàn)效果。重視程度越高，風(fēng)險越小。二是信息系統(tǒng)供應(yīng)商的級別。供應(yīng)商的技術(shù)水平、提供服務(wù)的適用性和穩(wěn)定性，與服務(wù)對象的需求匹配度是決定供應(yīng)商級別的主要依據(jù)。級別越高，風(fēng)險越小。三是系統(tǒng)使用者安全教育、培訓(xùn)和意識提升。財務(wù)工作人員若能夠得到多方面多形式的安全教育培訓(xùn)，則能夠糾正工作人員的危害行為，從而增強風(fēng)險意識，降低信息化風(fēng)險。（二）設(shè)施及環(huán)境風(fēng)險設(shè)施及環(huán)境風(fēng)險，是指信息化平臺在運行過程中面臨的硬件設(shè)施低安全、環(huán)境低安全等存在的風(fēng)險。設(shè)施及環(huán)境風(fēng)險具體指標可分為：一是硬件設(shè)施的安全風(fēng)險，包括線路安全、計算機安全、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，一旦這些設(shè)施遭受破壞，引起系統(tǒng)被迫停運，將會造成極大的損失。二是設(shè)施環(huán)境的安全風(fēng)險，設(shè)施環(huán)境風(fēng)險防范得當(dāng)，即便發(fā)生災(zāi)難，仍可減少損失。三是機房訪問人員的安全風(fēng)險，避免非授權(quán)人員進入機房的風(fēng)險。詳情見表1。表1設(shè)施及環(huán)境方面的風(fēng)險（三）信息系統(tǒng)應(yīng)用風(fēng)險信息系統(tǒng)應(yīng)用風(fēng)險，是指信息系統(tǒng)性能、恢復(fù)能力、安全管理措施等存在的風(fēng)險。該類風(fēng)險具體可表現(xiàn)為：一是信息系統(tǒng)恢復(fù)能力弱的風(fēng)險。系統(tǒng)存在的弱點、缺陷，未能及時做出相應(yīng)的更新，提高響應(yīng)能力。響應(yīng)能力越弱，風(fēng)險值越高。二是網(wǎng)絡(luò)安全級別低的風(fēng)險。設(shè)置應(yīng)用未分區(qū)，沒有區(qū)分“校內(nèi)網(wǎng)”“校外網(wǎng)”，無法實現(xiàn)防火墻訪問控制和審計，未能保護內(nèi)部網(wǎng)絡(luò)免受外部攻擊。網(wǎng)絡(luò)安全級別越低，風(fēng)險值越高。三是信息系統(tǒng)管理措施缺失的風(fēng)險。無法根據(jù)信息系統(tǒng)環(huán)境的變化定期或不定期進行風(fēng)險評估，難以真實反映系統(tǒng)安全狀態(tài)，實施相應(yīng)控制措施不到位，增加系統(tǒng)風(fēng)險，詳情見表2。表2信息系統(tǒng)應(yīng)用方面的風(fēng)險（四）信息管理風(fēng)險信息管理風(fēng)險，是指信息資產(chǎn)在分類、儲存和訪問過程中等存在的風(fēng)險。該類風(fēng)險包括有信息資產(chǎn)分類風(fēng)險、數(shù)據(jù)儲存加密級別風(fēng)險和系統(tǒng)訪問日志審計風(fēng)險。數(shù)據(jù)將被分為機密的、內(nèi)部的和外部的，能確保有價值的信息資產(chǎn)能得到適當(dāng)?shù)谋Ｗo，降低風(fēng)險。數(shù)據(jù)儲存加密等級設(shè)置較高，降低系統(tǒng)風(fēng)險。系統(tǒng)訪問日志常規(guī)性地進行審計，良好的審計管理和技術(shù)，可以降低數(shù)據(jù)庫應(yīng)用風(fēng)險。做好數(shù)據(jù)保護管理，是避免信息化風(fēng)險的重要內(nèi)容，詳情見表3。表3信息管理方面的風(fēng)險二、高校財務(wù)信息化風(fēng)險的防控策略（一）戰(zhàn)略規(guī)劃控制策略戰(zhàn)略規(guī)劃是高校財務(wù)信息化建設(shè)的原動力，有效的戰(zhàn)略規(guī)劃控制是保證信息化建設(shè)能否成功的重要因素。從高校信息化風(fēng)險防控的經(jīng)驗可知[1]，決策人員重視程度對信息化風(fēng)險控制十分重要，決策人員站在戰(zhàn)略規(guī)劃的角度，宏觀把握風(fēng)險防控的方向，對風(fēng)險防控進行指揮安排，高屋建瓴地對高校財務(wù)信息化風(fēng)險進行控制。戰(zhàn)略規(guī)劃控制具體策略有完善風(fēng)險管理領(lǐng)導(dǎo)機制，合理規(guī)劃項目預(yù)算等。建立風(fēng)險管理領(lǐng)導(dǎo)機制的意義在于，該領(lǐng)導(dǎo)機制有領(lǐng)導(dǎo)小組、專家小組和工作小組，以便計劃、組織和協(xié)調(diào)高校財務(wù)部門的信息化項目建設(shè)。領(lǐng)導(dǎo)小組負責(zé)整個項目的統(tǒng)籌與協(xié)調(diào)；專家小組負責(zé)指導(dǎo)與論證項目的技術(shù)路線，解決具體技術(shù)問題；工作小組負責(zé)項目實際工作的開展，合理配置工作人員，全面落實相關(guān)職能。做到合理規(guī)劃項目預(yù)算，因為預(yù)算方案是項目規(guī)劃時需要著重考慮和解決風(fēng)險的重要內(nèi)容，也是促進項目正常運行和防范項目財務(wù)風(fēng)險的有效工具。預(yù)算方案不是一個數(shù)據(jù)清單，而是能預(yù)測風(fēng)險的財務(wù)報表，重點是根據(jù)現(xiàn)金流量表和損益表計算具體的財務(wù)指標，以便及時識別和評估后續(xù)風(fēng)險。（二）信息技術(shù)控制策略信息技術(shù)控制是高校財務(wù)信息化建設(shè)和風(fēng)險防控的基礎(chǔ)。選擇能力強的供應(yīng)商是化解信息化風(fēng)險的重要手段。能力強的供應(yīng)商則意味著有專業(yè)的IT隊伍和豐富的實戰(zhàn)經(jīng)驗，清晰了解信息化建設(shè)中的重難點，把風(fēng)險牢牢控制在技術(shù)手段編制的網(wǎng)絡(luò)里。信息化建設(shè)過程中，需要多種信息技術(shù)的支持，小到身份鑒別技術(shù)、數(shù)據(jù)存儲加密技術(shù)，大到網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)恢復(fù)技術(shù)。而將這些技術(shù)應(yīng)用于財務(wù)信息化建設(shè)，可減少信息化風(fēng)險的發(fā)生，大力推動信息化風(fēng)險管理工作的落實。（三）管理制度控制策略管理制度控制策略是指在信息化建設(shè)的過程中，建立和完善風(fēng)險管理的規(guī)章制度，將信息化風(fēng)險控制納入日常財務(wù)工作的管理制度范圍內(nèi)。管理制度可包括以下三方面：1.建立基于高校財務(wù)風(fēng)險管理的溝通協(xié)調(diào)制度在專家的指導(dǎo)下，設(shè)立信息化風(fēng)險管理小組，打通風(fēng)險管理溝通的渠道，形成高效率的溝通平臺。校內(nèi)風(fēng)險管理的溝通協(xié)調(diào)制度，能夠保證高校信息化風(fēng)險評價工作可以順暢地進行溝通協(xié)調(diào)。2.建立基于高校財務(wù)風(fēng)險管理的校企合作機制校企合作機制是將企業(yè)納入高校風(fēng)險管理的工作隊伍中，發(fā)揮企業(yè)的專業(yè)優(yōu)勢，整合高校自身資源，促進二者良好合作，起到優(yōu)勢互補的作用，共同推進高校財務(wù)信息化風(fēng)險管理工作。3.建立基于高校財務(wù)信息化流程的風(fēng)險內(nèi)控制度風(fēng)險內(nèi)控制度是通過建立相關(guān)內(nèi)部控制制度，將風(fēng)險防控嵌入到財務(wù)業(yè)務(wù)的流程中，讓風(fēng)險管理變成日常的、持續(xù)的自動監(jiān)督。即通過加強對財務(wù)信息化平臺的監(jiān)督，對平臺的各個業(yè)務(wù)環(huán)節(jié)進行審查和評估，保證操作員程序的合規(guī)性和合法性，預(yù)防財務(wù)舞弊行為。同時，適應(yīng)新的環(huán)境變化，不斷優(yōu)化信息化平臺，設(shè)置新的業(yè)務(wù)流程和控制手段，保證在新的環(huán)境中安全運行。（四）人員控制策略人員控制策略，是指為應(yīng)對信息化風(fēng)險，對信息系統(tǒng)使用者和管理人員的控制策略。1.財務(wù)部門設(shè)置信息管理崗位國內(nèi)高校大部分由網(wǎng)絡(luò)中心主任行使信息主管的權(quán)利和職責(zé)，而網(wǎng)絡(luò)中心主任雖然能參與和組織高校財務(wù)信息化建設(shè)的具體工作，但與財務(wù)分屬不同部門，難以打破部門壁壘，信息流動不順暢，造成管理效率低下的現(xiàn)象。在財務(wù)部門直接設(shè)置信息技術(shù)崗位，挑選具備信息技術(shù)專業(yè)背景和財務(wù)管理知識儲備的復(fù)合人才任職。從財務(wù)部門組織結(jié)構(gòu)入手，實現(xiàn)協(xié)調(diào)、統(tǒng)一的管理職能和權(quán)限，助力信息化風(fēng)險防控。2.加強財務(wù)人員風(fēng)險管理意識教育與培訓(xùn)財務(wù)基層員工是信息系統(tǒng)中最主要的使用者，如果缺乏良好的風(fēng)險意識，技術(shù)風(fēng)控的實施和維護效果將會大打折扣。為財務(wù)人員提供信息安全政策培訓(xùn)，培訓(xùn)財務(wù)人員識別信息安全事故，介紹相關(guān)法律法規(guī)知識。對新增或發(fā)生較大變化的信息安全政策，需向員工進行政策更新的培訓(xùn)學(xué)習(xí)。（五）物理環(huán)境控制策略財務(wù)信息化系統(tǒng)處于一定社會及自然環(huán)境之中，涵蓋的風(fēng)險包括社會政治變動、經(jīng)濟環(huán)境變動以及自然災(zāi)害等。社會環(huán)境的變動難以控制，但信息系統(tǒng)物理環(huán)境的安全維護是可實現(xiàn)的。物理環(huán)境控制要求信息化風(fēng)險管理人員具備高度風(fēng)險敏銳度，清晰意識到信息系統(tǒng)面臨的環(huán)境風(fēng)險，主動適應(yīng)環(huán)境，在可控范圍內(nèi)減少環(huán)境因素造成的損失。一方面，維持軟硬件設(shè)施環(huán)境的安全性。自然災(zāi)害難以預(yù)料，但對設(shè)備的保護可以減少因災(zāi)害引起的損失。做好包括計算機、網(wǎng)絡(luò)設(shè)備在內(nèi)的硬件設(shè)備的防火、防水和防雷保護，以及對機房溫濕度控制與監(jiān)控，保護得越周全，風(fēng)險越小。另一方面，提升軟硬件設(shè)施的穩(wěn)定性。購置性能穩(wěn)定，售后可靠的硬件設(shè)備，軟件設(shè)備需經(jīng)調(diào)試，試運行才正式投入使用，減少因不穩(wěn)定造成的損失。（六）風(fēng)險應(yīng)急響應(yīng)策略周密、萬全的準備和保護，仍有可能發(fā)生意外事件，因此，將信息化風(fēng)險管理視作動態(tài)管理過程，把風(fēng)險應(yīng)急響應(yīng)策略作為信息化風(fēng)險動態(tài)控制的補充策略，填補意外風(fēng)險的漏洞。風(fēng)險應(yīng)急響應(yīng)策略，是當(dāng)信息化風(fēng)險發(fā)生時，指導(dǎo)突發(fā)事件如何解決的具體安排。該策略一般分為事前準備、事中響應(yīng)、事后總結(jié)調(diào)整三個步驟。事前準備工作包括擬定明確的應(yīng)急響應(yīng)計劃，定期組織模擬演練。事中響應(yīng)是該策略的關(guān)鍵步驟，主要為分析事件發(fā)生的根源、影響范圍，制定限制風(fēng)險損失范圍的方案，研究出根除風(fēng)險的方法，并恢復(fù)因風(fēng)險事件遭受破壞的軟硬件設(shè)備或物理環(huán)境。事后總結(jié)調(diào)整是指通過回顧風(fēng)險事件的相關(guān)信息，總結(jié)響應(yīng)方案的各方法步驟，將風(fēng)險事件的相關(guān)文檔資料備案。風(fēng)險應(yīng)急響應(yīng)策略順利、及時、有效地實施，才能達到降低或消除信息化風(fēng)險產(chǎn)生的不良后果的目的，