高校財務信息化的風險類型及防控策略研究

鄭小翠 南方醫科大學

引言

2016 年，財政部發文《會計改革與發展“十三五”規劃綱要》，要求在不斷提高企業財務信息化水平的同時，積極探索推動行政事業單位財務信息化工作。高等院校積極響應號召，探索搭建財務信息化平臺，逐步實現網絡環境下的電子化財務報銷，推進財務信息化平臺與其他業務系統相融合，推動會計工作從傳統核算型向現代管理型轉變。財務信息通過信息化平臺實時傳遞、實時處理，提高財務服務質量與業務處理效率。但在高校財務信息化搭建和運行過程中，信息化風險伴隨而生，實施風險防控是財務信息化建設的重要一環。本文通過識別分析財務信息化風險類型，針對性提出信息化風險防控策略，為財務信息化建設構建安全閉環。

一、高校財務信息化風險類型

高校財務信息化風險是指高校財務信息化建設過程中，可能存在影響信息化目標實現的各種不確定因素[1]，包括組織管理風險、設施及環境風險、信息系統應用風險、信息管理風險。

（一）組織管理風險

組織管理風險，是指信息化平臺從組織搭建到順利落地所面臨的風險，包括宏觀層面有戰略規劃、文化變革、監管法規缺失的風險；微觀層面有信息化供應商能力不足、供應商后期維護無力、信息管理人才的缺乏，基層財務人員能力不足的風險。

組織管理風險具體可表現為：一是高校決策人員的重視程度。決策人員先進的管理理念，以及對財務信息化的重視程度與資金投入程度，都會直接影響信息化的實現效果。重視程度越高，風險越小。二是信息系統供應商的級別。供應商的技術水平、提供服務的適用性和穩定性，與服務對象的需求匹配度是決定供應商級別的主要依據。級別越高，風險越小。三是系統使用者安全教育、培訓和意識提升。財務工作人員若能夠得到多方面多形式的安全教育培訓，則能夠糾正工作人員的危害行為，從而增強風險意識，降低信息化風險。

（二）設施及環境風險

設施及環境風險，是指信息化平臺在運行過程中面臨的硬件設施低安全、環境低安全等存在的風險。設施及環境風險具體指標可分為：一是硬件設施的安全風險，包括線路安全、計算機安全、網絡基礎設施安全，一旦這些設施遭受破壞，引起系統被迫停運，將會造成極大的損失。二是設施環境的安全風險，設施環境風險防范得當，即便發生災難，仍可減少損失。三是機房訪問人員的安全風險，避免非授權人員進入機房的風險。詳情見表1。

表1 設施及環境方面的風險

（三）信息系統應用風險

信息系統應用風險，是指信息系統性能、恢復能力、安全管理措施等存在的風險。該類風險具體可表現為：一是信息系統恢復能力弱的風險。系統存在的弱點、缺陷，未能及時做出相應的更新，提高響應能力。響應能力越弱，風險值越高。二是網絡安全級別低的風險。設置應用未分區，沒有區分“校內網”“校外網”，無法實現防火墻訪問控制和審計，未能保護內部網絡免受外部攻擊。網絡安全級別越低，風險值越高。三是信息系統管理措施缺失的風險。無法根據信息系統環境的變化定期或不定期進行風險評估，難以真實反映系統安全狀態，實施相應控制措施不到位，增加系統風險，詳情見表2。

表2 信息系統應用方面的風險

（四）信息管理風險

信息管理風險，是指信息資產在分類、儲存和訪問過程中等存在的風險。該類風險包括有信息資產分類風險、數據儲存加密級別風險和系統訪問日志審計風險。數據將被分為機密的、內部的和外部的，能確保有價值的信息資產能得到適當的保護，降低風險。數據儲存加密等級設置較高，降低系統風險。系統訪問日志常規性地進行審計，良好的審計管理和技術，可以降低數據庫應用風險。做好數據保護管理，是避免信息化風險的重要內容，詳情見表3。

表3 信息管理方面的風險

二、高校財務信息化風險的防控策略

（一）戰略規劃控制策略

戰略規劃是高校財務信息化建設的原動力，有效的戰略規劃控制是保證信息化建設能否成功的重要因素。從高校信息化風險防控的經驗可知[1]，決策人員重視程度對信息化風險控制十分重要，決策人員站在戰略規劃的角度，宏觀把握風險防控的方向，對風險防控進行指揮安排，高屋建瓴地對高校財務信息化風險進行控制。戰略規劃控制具體策略有完善風險管理領導機制，合理規劃項目預算等。

建立風險管理領導機制的意義在于，該領導機制有領導小組、專家小組和工作小組，以便計劃、組織和協調高校財務部門的信息化項目建設。領導小組負責整個項目的統籌與協調；專家小組負責指導與論證項目的技術路線，解決具體技術問題；工作小組負責項目實際工作的開展，合理配置工作人員，全面落實相關職能。

做到合理規劃項目預算，因為預算方案是項目規劃時需要著重考慮和解決風險的重要內容，也是促進項目正常運行和防范項目財務風險的有效工具。預算方案不是一個數據清單，而是能預測風險的財務報表，重點是根據現金流量表和損益表計算具體的財務指標，以便及時識別和評估后續風險。

（二）信息技術控制策略

信息技術控制是高校財務信息化建設和風險防控的基礎。選擇能力強的供應商是化解信息化風險的重要手段。能力強的供應商則意味著有專業的IT 隊伍和豐富的實戰經驗，清晰了解信息化建設中的重難點，把風險牢牢控制在技術手段編制的網絡里。

信息化建設過程中，需要多種信息技術的支持，小到身份鑒別技術、數據存儲加密技術，大到網絡安全技術、系統恢復技術。而將這些技術應用于財務信息化建設，可減少信息化風險的發生，大力推動信息化風險管理工作的落實。

（三）管理制度控制策略

管理制度控制策略是指在信息化建設的過程中，建立和完善風險管理的規章制度，將信息化風險控制納入日常財務工作的管理制度范圍內。管理制度可包括以下三方面：

1.建立基于高校財務風險管理的溝通協調制度

在專家的指導下，設立信息化風險管理小組，打通風險管理溝通的渠道，形成高效率的溝通平臺。校內風險管理的溝通協調制度，能夠保證高校信息化風險評價工作可以順暢地進行溝通協調。

2.建立基于高校財務風險管理的校企合作機制

校企合作機制是將企業納入高校風險管理的工作隊伍中，發揮企業的專業優勢，整合高校自身資源，促進二者良好合作，起到優勢互補的作用，共同推進高校財務信息化風險管理工作。

3.建立基于高校財務信息化流程的風險內控制度

風險內控制度是通過建立相關內部控制制度，將風險防控嵌入到財務業務的流程中，讓風險管理變成日常的、持續的自動監督。即通過加強對財務信息化平臺的監督，對平臺的各個業務環節進行審查和評估，保證操作員程序的合規性和合法性，預防財務舞弊行為。同時，適應新的環境變化，不斷優化信息化平臺，設置新的業務流程和控制手段，保證在新的環境中安全運行。

（四）人員控制策略

人員控制策略，是指為應對信息化風險，對信息系統使用者和管理人員的控制策略。

1.財務部門設置信息管理崗位

國內高校大部分由網絡中心主任行使信息主管的權利和職責，而網絡中心主任雖然能參與和組織高校財務信息化建設的具體工作，但與財務分屬不同部門，難以打破部門壁壘，信息流動不順暢，造成管理效率低下的現象。在財務部門直接設置信息技術崗位，挑選具備信息技術專業背景和財務管理知識儲備的復合人才任職。從財務部門組織結構入手，實現協調、統一的管理職能和權限，助力信息化風險防控。

2.加強財務人員風險管理意識教育與培訓

財務基層員工是信息系統中最主要的使用者，如果缺乏良好的風險意識，技術風控的實施和維護效果將會大打折扣。為財務人員提供信息安全政策培訓，培訓財務人員識別信息安全事故，介紹相關法律法規知識。對新增或發生較大變化的信息安全政策，需向員工進行政策更新的培訓學習。

（五）物理環境控制策略

財務信息化系統處于一定社會及自然環境之中，涵蓋的風險包括社會政治變動、經濟環境變動以及自然災害等。社會環境的變動難以控制，但信息系統物理環境的安全維護是可實現的。物理環境控制要求信息化風險管理人員具備高度風險敏銳度，清晰意識到信息系統面臨的環境風險，主動適應環境，在可控范圍內減少環境因素造成的損失。

一方面，維持軟硬件設施環境的安全性。自然災害難以預料，但對設備的保護可以減少因災害引起的損失。做好包括計算機、網絡設備在內的硬件設備的防火、防水和防雷保護，以及對機房溫濕度控制與監控，保護得越周全，風險越小。另一方面，提升軟硬件設施的穩定性。購置性能穩定，售后可靠的硬件設備，軟件設備需經調試，試運行才正式投入使用，減少因不穩定造成的損失。

（六）風險應急響應策略

周密、萬全的準備和保護，仍有可能發生意外事件，因此，將信息化風險管理視作動態管理過程，把風險應急響應策略作為信息化風險動態控制的補充策略，填補意外風險的漏洞。風險應急響應策略，是當信息化風險發生時，指導突發事件如何解決的具體安排。

該策略一般分為事前準備、事中響應、事后總結調整三個步驟。事前準備工作包括擬定明確的應急響應計劃，定期組織模擬演練。事中響應是該策略的關鍵步驟，主要為分析事件發生的根源、影響范圍，制定限制風險損失范圍的方案，研究出根除風險的方法，并恢復因風險事件遭受破壞的軟硬件設備或物理環境。事后總結調整是指通過回顧風險事件的相關信息，總結響應方案的各方法步驟，將風險事件的相關文檔資料備案。風險應急響應策略順利、及時、有效地實施，才能達到降低或消除信息化風險產生的不良后果的目的，推進高校財務信息化風險防控工作。

結語

通過識別、分析高校財務信息化建設過程中的風險因素，將眾多風險歸納為組織管理風險、設施及環境風險、信息系統應用風險、信息管理風險，并針對性地提出風險防控策略，即戰略規劃控制策略、信息技術控制策略、管理制度控制策略、人員控制策略、物理環境控制策略和風險應急響應策略。有效實施風險防控策略，可促進高校財務信息化發展，積極化解財務信息化風險，構建信息化安全閉環。