高校财务信息化的风险类型及防控策略研究

引言2016年，财政部发文《会计改革与发展“十三五”规划纲要》，要求在不断提高企业财务信息化水平的同时，积极探索推动行政事业单位财务信息化工作。高等院校积极响应号召，探索搭建财务信息化平台，逐步实现网络环境下的电子化财务报销，推进财务信息化平台与其他业务系统相融合，推动会计工作从传统核算型向现代管理型转变。财务信息通过信息化平台实时传递、实时处理，提高财务服务质量与业务处理效率。但在高校财务信息化搭建和运行过程中，信息化风险伴随而生，实施风险防控是财务信息化建设的重要一环。本文通过识别分析财务信息化风险类型，针对性提出信息化风险防控策略，为财务信息化建设构建安全闭环。一、高校财务信息化风险类型高校财务信息化风险是指高校财务信息化建设过程中，可能存在影响信息化目标实现的各种不确定因素[1]，包括组织管理风险、设施及环境风险、信息系统应用风险、信息管理风险。（一）组织管理风险组织管理风险，是指信息化平台从组织搭建到顺利落地所面临的风险，包括宏观层面有战略规划、文化变革、监管法规缺失的风险；微观层面有信息化供应商能力不足、供应商后期维护无力、信息管理人才的缺乏，基层财务人员能力不足的风险。组织管理风险具体可表现为：一是高校决策人员的重视程度。决策人员先进的管理理念，以及对财务信息化的重视程度与资金投入程度，都会直接影响信息化的实现效果。重视程度越高，风险越小。二是信息系统供应商的级别。供应商的技术水平、提供服务的适用性和稳定性，与服务对象的需求匹配度是决定供应商级别的主要依据。级别越高，风险越小。三是系统使用者安全教育、培训和意识提升。财务工作人员若能够得到多方面多形式的安全教育培训，则能够纠正工作人员的危害行为，从而增强风险意识，降低信息化风险。（二）设施及环境风险设施及环境风险，是指信息化平台在运行过程中面临的硬件设施低安全、环境低安全等存在的风险。设施及环境风险具体指标可分为：一是硬件设施的安全风险，包括线路安全、计算机安全、网络基础设施安全，一旦这些设施遭受破坏，引起系统被迫停运，将会造成极大的损失。二是设施环境的安全风险，设施环境风险防范得当，即便发生灾难，仍可减少损失。三是机房访问人员的安全风险，避免非授权人员进入机房的风险。详情见表1。表1设施及环境方面的风险（三）信息系统应用风险信息系统应用风险，是指信息系统性能、恢复能力、安全管理措施等存在的风险。该类风险具体可表现为：一是信息系统恢复能力弱的风险。系统存在的弱点、缺陷，未能及时做出相应的更新，提高响应能力。响应能力越弱，风险值越高。二是网络安全级别低的风险。设置应用未分区，没有区分“校内网”“校外网”，无法实现防火墙访问控制和审计，未能保护内部网络免受外部攻击。网络安全级别越低，风险值越高。三是信息系统管理措施缺失的风险。无法根据信息系统环境的变化定期或不定期进行风险评估，难以真实反映系统安全状态，实施相应控制措施不到位，增加系统风险，详情见表2。表2信息系统应用方面的风险（四）信息管理风险信息管理风险，是指信息资产在分类、储存和访问过程中等存在的风险。该类风险包括有信息资产分类风险、数据储存加密级别风险和系统访问日志审计风险。数据将被分为机密的、内部的和外部的，能确保有价值的信息资产能得到适当的保护，降低风险。数据储存加密等级设置较高，降低系统风险。系统访问日志常规性地进行审计，良好的审计管理和技术，可以降低数据库应用风险。做好数据保护管理，是避免信息化风险的重要内容，详情见表3。表3信息管理方面的风险二、高校财务信息化风险的防控策略（一）战略规划控制策略战略规划是高校财务信息化建设的原动力，有效的战略规划控制是保证信息化建设能否成功的重要因素。从高校信息化风险防控的经验可知[1]，决策人员重视程度对信息化风险控制十分重要，决策人员站在战略规划的角度，宏观把握风险防控的方向，对风险防控进行指挥安排，高屋建瓴地对高校财务信息化风险进行控制。战略规划控制具体策略有完善风险管理领导机制，合理规划项目预算等。建立风险管理领导机制的意义在于，该领导机制有领导小组、专家小组和工作小组，以便计划、组织和协调高校财务部门的信息化项目建设。领导小组负责整个项目的统筹与协调；专家小组负责指导与论证项目的技术路线，解决具体技术问题；工作小组负责项目实际工作的开展，合理配置工作人员，全面落实相关职能。做到合理规划项目预算，因为预算方案是项目规划时需要着重考虑和解决风险的重要内容，也是促进项目正常运行和防范项目财务风险的有效工具。预算方案不是一个数据清单，而是能预测风险的财务报表，重点是根据现金流量表和损益表计算具体的财务指标，以便及时识别和评估后续风险。（二）信息技术控制策略信息技术控制是高校财务信息化建设和风险防控的基础。选择能力强的供应商是化解信息化风险的重要手段。能力强的供应商则意味着有专业的IT队伍和丰富的实战经验，清晰了解信息化建设中的重难点，把风险牢牢控制在技术手段编制的网络里。信息化建设过程中，需要多种信息技术的支持，小到身份鉴别技术、数据存储加密技术，大到网络安全技术、系统恢复技术。而将这些技术应用于财务信息化建设，可减少信息化风险的发生，大力推动信息化风险管理工作的落实。（三）管理制度控制策略管理制度控制策略是指在信息化建设的过程中，建立和完善风险管理的规章制度，将信息化风险控制纳入日常财务工作的管理制度范围内。管理制度可包括以下三方面：1.建立基于高校财务风险管理的沟通协调制度在专家的指导下，设立信息化风险管理小组，打通风险管理沟通的渠道，形成高效率的沟通平台。校内风险管理的沟通协调制度，能够保证高校信息化风险评价工作可以顺畅地进行沟通协调。2.建立基于高校财务风险管理的校企合作机制校企合作机制是将企业纳入高校风险管理的工作队伍中，发挥企业的专业优势，整合高校自身资源，促进二者良好合作，起到优势互补的作用，共同推进高校财务信息化风险管理工作。3.建立基于高校财务信息化流程的风险内控制度风险内控制度是通过建立相关内部控制制度，将风险防控嵌入到财务业务的流程中，让风险管理变成日常的、持续的自动监督。即通过加强对财务信息化平台的监督，对平台的各个业务环节进行审查和评估，保证操作员程序的合规性和合法性，预防财务舞弊行为。同时，适应新的环境变化，不断优化信息化平台，设置新的业务流程和控制手段，保证在新的环境中安全运行。（四）人员控制策略人员控制策略，是指为应对信息化风险，对信息系统使用者和管理人员的控制策略。1.财务部门设置信息管理岗位国内高校大部分由网络中心主任行使信息主管的权利和职责，而网络中心主任虽然能参与和组织高校财务信息化建设的具体工作，但与财务分属不同部门，难以打破部门壁垒，信息流动不顺畅，造成管理效率低下的现象。在财务部门直接设置信息技术岗位，挑选具备信息技术专业背景和财务管理知识储备的复合人才任职。从财务部门组织结构入手，实现协调、统一的管理职能和权限，助力信息化风险防控。2.加强财务人员风险管理意识教育与培训财务基层员工是信息系统中最主要的使用者，如果缺乏良好的风险意识，技术风控的实施和维护效果将会大打折扣。为财务人员提供信息安全政策培训，培训财务人员识别信息安全事故，介绍相关法律法规知识。对新增或发生较大变化的信息安全政策，需向员工进行政策更新的培训学习。（五）物理环境控制策略财务信息化系统处于一定社会及自然环境之中，涵盖的风险包括社会政治变动、经济环境变动以及自然灾害等。社会环境的变动难以控制，但信息系统物理环境的安全维护是可实现的。物理环境控制要求信息化风险管理人员具备高度风险敏锐度，清晰意识到信息系统面临的环境风险，主动适应环境，在可控范围内减少环境因素造成的损失。一方面，维持软硬件设施环境的安全性。自然灾害难以预料，但对设备的保护可以减少因灾害引起的损失。做好包括计算机、网络设备在内的硬件设备的防火、防水和防雷保护，以及对机房温湿度控制与监控，保护得越周全，风险越小。另一方面，提升软硬件设施的稳定性。购置性能稳定，售后可靠的硬件设备，软件设备需经调试，试运行才正式投入使用，减少因不稳定造成的损失。（六）风险应急响应策略周密、万全的准备和保护，仍有可能发生意外事件，因此，将信息化风险管理视作动态管理过程，把风险应急响应策略作为信息化风险动态控制的补充策略，填补意外风险的漏洞。风险应急响应策略，是当信息化风险发生时，指导突发事件如何解决的具体安排。该策略一般分为事前准备、事中响应、事后总结调整三个步骤。事前准备工作包括拟定明确的应急响应计划，定期组织模拟演练。事中响应是该策略的关键步骤，主要为分析事件发生的根源、影响范围，制定限制风险损失范围的方案，研究出根除风险的方法，并恢复因风险事件遭受破坏的软硬件设备或物理环境。事后总结调整是指通过回顾风险事件的相关信息，总结响应方案的各方法步骤，将风险事件的相关文档资料备案。风险应急响应策略顺利、及时、有效地实施，才能达到降低或消除信息化风险产生的不良后果的目的，