当前位置:首页 期刊杂志

高校财务信息化的风险类型及防控策略研究

时间:2024-04-24

郑小翠 南方医科大学

引言

2016 年,财政部发文《会计改革与发展“十三五”规划纲要》,要求在不断提高企业财务信息化水平的同时,积极探索推动行政事业单位财务信息化工作。高等院校积极响应号召,探索搭建财务信息化平台,逐步实现网络环境下的电子化财务报销,推进财务信息化平台与其他业务系统相融合,推动会计工作从传统核算型向现代管理型转变。财务信息通过信息化平台实时传递、实时处理,提高财务服务质量与业务处理效率。但在高校财务信息化搭建和运行过程中,信息化风险伴随而生,实施风险防控是财务信息化建设的重要一环。本文通过识别分析财务信息化风险类型,针对性提出信息化风险防控策略,为财务信息化建设构建安全闭环。

一、高校财务信息化风险类型

高校财务信息化风险是指高校财务信息化建设过程中,可能存在影响信息化目标实现的各种不确定因素[1],包括组织管理风险、设施及环境风险、信息系统应用风险、信息管理风险。

(一)组织管理风险

组织管理风险,是指信息化平台从组织搭建到顺利落地所面临的风险,包括宏观层面有战略规划、文化变革、监管法规缺失的风险;微观层面有信息化供应商能力不足、供应商后期维护无力、信息管理人才的缺乏,基层财务人员能力不足的风险。

组织管理风险具体可表现为:一是高校决策人员的重视程度。决策人员先进的管理理念,以及对财务信息化的重视程度与资金投入程度,都会直接影响信息化的实现效果。重视程度越高,风险越小。二是信息系统供应商的级别。供应商的技术水平、提供服务的适用性和稳定性,与服务对象的需求匹配度是决定供应商级别的主要依据。级别越高,风险越小。三是系统使用者安全教育、培训和意识提升。财务工作人员若能够得到多方面多形式的安全教育培训,则能够纠正工作人员的危害行为,从而增强风险意识,降低信息化风险。

(二)设施及环境风险

设施及环境风险,是指信息化平台在运行过程中面临的硬件设施低安全、环境低安全等存在的风险。设施及环境风险具体指标可分为:一是硬件设施的安全风险,包括线路安全、计算机安全、网络基础设施安全,一旦这些设施遭受破坏,引起系统被迫停运,将会造成极大的损失。二是设施环境的安全风险,设施环境风险防范得当,即便发生灾难,仍可减少损失。三是机房访问人员的安全风险,避免非授权人员进入机房的风险。详情见表1。

表1 设施及环境方面的风险

(三)信息系统应用风险

信息系统应用风险,是指信息系统性能、恢复能力、安全管理措施等存在的风险。该类风险具体可表现为:一是信息系统恢复能力弱的风险。系统存在的弱点、缺陷,未能及时做出相应的更新,提高响应能力。响应能力越弱,风险值越高。二是网络安全级别低的风险。设置应用未分区,没有区分“校内网”“校外网”,无法实现防火墙访问控制和审计,未能保护内部网络免受外部攻击。网络安全级别越低,风险值越高。三是信息系统管理措施缺失的风险。无法根据信息系统环境的变化定期或不定期进行风险评估,难以真实反映系统安全状态,实施相应控制措施不到位,增加系统风险,详情见表2。

表2 信息系统应用方面的风险

(四)信息管理风险

信息管理风险,是指信息资产在分类、储存和访问过程中等存在的风险。该类风险包括有信息资产分类风险、数据储存加密级别风险和系统访问日志审计风险。数据将被分为机密的、内部的和外部的,能确保有价值的信息资产能得到适当的保护,降低风险。数据储存加密等级设置较高,降低系统风险。系统访问日志常规性地进行审计,良好的审计管理和技术,可以降低数据库应用风险。做好数据保护管理,是避免信息化风险的重要内容,详情见表3。

表3 信息管理方面的风险

二、高校财务信息化风险的防控策略

(一)战略规划控制策略

战略规划是高校财务信息化建设的原动力,有效的战略规划控制是保证信息化建设能否成功的重要因素。从高校信息化风险防控的经验可知[1],决策人员重视程度对信息化风险控制十分重要,决策人员站在战略规划的角度,宏观把握风险防控的方向,对风险防控进行指挥安排,高屋建瓴地对高校财务信息化风险进行控制。战略规划控制具体策略有完善风险管理领导机制,合理规划项目预算等。

建立风险管理领导机制的意义在于,该领导机制有领导小组、专家小组和工作小组,以便计划、组织和协调高校财务部门的信息化项目建设。领导小组负责整个项目的统筹与协调;专家小组负责指导与论证项目的技术路线,解决具体技术问题;工作小组负责项目实际工作的开展,合理配置工作人员,全面落实相关职能。

做到合理规划项目预算,因为预算方案是项目规划时需要着重考虑和解决风险的重要内容,也是促进项目正常运行和防范项目财务风险的有效工具。预算方案不是一个数据清单,而是能预测风险的财务报表,重点是根据现金流量表和损益表计算具体的财务指标,以便及时识别和评估后续风险。

(二)信息技术控制策略

信息技术控制是高校财务信息化建设和风险防控的基础。选择能力强的供应商是化解信息化风险的重要手段。能力强的供应商则意味着有专业的IT 队伍和丰富的实战经验,清晰了解信息化建设中的重难点,把风险牢牢控制在技术手段编制的网络里。

信息化建设过程中,需要多种信息技术的支持,小到身份鉴别技术、数据存储加密技术,大到网络安全技术、系统恢复技术。而将这些技术应用于财务信息化建设,可减少信息化风险的发生,大力推动信息化风险管理工作的落实。

(三)管理制度控制策略

管理制度控制策略是指在信息化建设的过程中,建立和完善风险管理的规章制度,将信息化风险控制纳入日常财务工作的管理制度范围内。管理制度可包括以下三方面:

1.建立基于高校财务风险管理的沟通协调制度

在专家的指导下,设立信息化风险管理小组,打通风险管理沟通的渠道,形成高效率的沟通平台。校内风险管理的沟通协调制度,能够保证高校信息化风险评价工作可以顺畅地进行沟通协调。

2.建立基于高校财务风险管理的校企合作机制

校企合作机制是将企业纳入高校风险管理的工作队伍中,发挥企业的专业优势,整合高校自身资源,促进二者良好合作,起到优势互补的作用,共同推进高校财务信息化风险管理工作。

3.建立基于高校财务信息化流程的风险内控制度

风险内控制度是通过建立相关内部控制制度,将风险防控嵌入到财务业务的流程中,让风险管理变成日常的、持续的自动监督。即通过加强对财务信息化平台的监督,对平台的各个业务环节进行审查和评估,保证操作员程序的合规性和合法性,预防财务舞弊行为。同时,适应新的环境变化,不断优化信息化平台,设置新的业务流程和控制手段,保证在新的环境中安全运行。

(四)人员控制策略

人员控制策略,是指为应对信息化风险,对信息系统使用者和管理人员的控制策略。

1.财务部门设置信息管理岗位

国内高校大部分由网络中心主任行使信息主管的权利和职责,而网络中心主任虽然能参与和组织高校财务信息化建设的具体工作,但与财务分属不同部门,难以打破部门壁垒,信息流动不顺畅,造成管理效率低下的现象。在财务部门直接设置信息技术岗位,挑选具备信息技术专业背景和财务管理知识储备的复合人才任职。从财务部门组织结构入手,实现协调、统一的管理职能和权限,助力信息化风险防控。

2.加强财务人员风险管理意识教育与培训

财务基层员工是信息系统中最主要的使用者,如果缺乏良好的风险意识,技术风控的实施和维护效果将会大打折扣。为财务人员提供信息安全政策培训,培训财务人员识别信息安全事故,介绍相关法律法规知识。对新增或发生较大变化的信息安全政策,需向员工进行政策更新的培训学习。

(五)物理环境控制策略

财务信息化系统处于一定社会及自然环境之中,涵盖的风险包括社会政治变动、经济环境变动以及自然灾害等。社会环境的变动难以控制,但信息系统物理环境的安全维护是可实现的。物理环境控制要求信息化风险管理人员具备高度风险敏锐度,清晰意识到信息系统面临的环境风险,主动适应环境,在可控范围内减少环境因素造成的损失。

一方面,维持软硬件设施环境的安全性。自然灾害难以预料,但对设备的保护可以减少因灾害引起的损失。做好包括计算机、网络设备在内的硬件设备的防火、防水和防雷保护,以及对机房温湿度控制与监控,保护得越周全,风险越小。另一方面,提升软硬件设施的稳定性。购置性能稳定,售后可靠的硬件设备,软件设备需经调试,试运行才正式投入使用,减少因不稳定造成的损失。

(六)风险应急响应策略

周密、万全的准备和保护,仍有可能发生意外事件,因此,将信息化风险管理视作动态管理过程,把风险应急响应策略作为信息化风险动态控制的补充策略,填补意外风险的漏洞。风险应急响应策略,是当信息化风险发生时,指导突发事件如何解决的具体安排。

该策略一般分为事前准备、事中响应、事后总结调整三个步骤。事前准备工作包括拟定明确的应急响应计划,定期组织模拟演练。事中响应是该策略的关键步骤,主要为分析事件发生的根源、影响范围,制定限制风险损失范围的方案,研究出根除风险的方法,并恢复因风险事件遭受破坏的软硬件设备或物理环境。事后总结调整是指通过回顾风险事件的相关信息,总结响应方案的各方法步骤,将风险事件的相关文档资料备案。风险应急响应策略顺利、及时、有效地实施,才能达到降低或消除信息化风险产生的不良后果的目的,推进高校财务信息化风险防控工作。

结语

通过识别、分析高校财务信息化建设过程中的风险因素,将众多风险归纳为组织管理风险、设施及环境风险、信息系统应用风险、信息管理风险,并针对性地提出风险防控策略,即战略规划控制策略、信息技术控制策略、管理制度控制策略、人员控制策略、物理环境控制策略和风险应急响应策略。有效实施风险防控策略,可促进高校财务信息化发展,积极化解财务信息化风险,构建信息化安全闭环。

免责声明

我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!