资金集中管理中的系统风险探析
2019-12-19倪晓燕
倪晓燕
(福建省交运集团财务有限公司,福建 福州 350014)
资金管理系统是继企业财务系统后近几年在企业应用软件市场新起的一套面向企业资金管理的专业系统。目前,国内一些已经成立资金管理中心或结算中心的集团化企业通常会考虑建立一套专业的资金管理系统,来进行相关的账户管理、资金预算、资金结算、票据管理等资金管理事务。资金结算,是资金管理系统的核心功能,资金管理系统的资金结算,是通过银企直联来进行的。银企直联,是指将企业资金管理系统经由数据接口与银行的支付平台进行对接,企业可以直接在资金管理系统中进行资金信息查询、资金内转、集团服务、资金结算等功能。资金管理系统结算功能的开通,使资金系统,具备了和银行网银系统相似的功能,也承担了和银行网银系统相似的风险。但是,银行每年在系统的维护和升级上投入几亿甚至几十亿元,而企业集团的信息化系统投资高的有几百万,低的有的可能只有几十万的投入。
一、资金管理系统进行结算的主要风险及分析
(一)系统风险
系统风险包括网络风险,软件风险,硬件风险,这种风险可能源于计算机本身,如系统漏洞、硬件受损等不确定因素,也可能自网络的外部病毒攻击或黑客攻击等。系统风险的预测性和控制具有较大难度,需要相关专精人才,而一旦发生,就有可能给企业集团带来巨大损失。另外,资金系统的业务是由电脑程序完成的,风险和内部控制主要依靠系统软件,尽管系统软件提供了层层安全性控制,也在不断更新和升级,但其安全性程度究竟能否足够抵御风险,其风险控制机制是否足够先进,在信息技术日新月异的时代,仍然需要集团有自己的技术人员进行判断和提前预防。
(二)操作风险
操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险。资金系统与财务核算系统不同,核算系统出现错误可追溯可调整,但资金支付具有不可逆性,一旦发生错误操作,无法在系统中进行逆转操作。
1、资金中心作为一个内设部门,人员配备往往不足,无法满足不相容职务分离的要求,相关操作由中心人员交叉分工,使资金中心人员系统权限过大,仅能依靠个人的道德进行防控。
2、系统软件已上线模块还需要软件公司协助维护,新的模块准备上线,使软件公司人员手上仍需保有绝大部分系统权限以便进行工作,虽进行了一定的权限分离控制,但仍有风险存在。
3、部分成员单位资金系统用户同时对资金中心的Ukey重视不够,可能会将ukey带离公司进行加班等,造成ukey脱离了公司可控范围。部分成员单位用户缺少风险意识,操作习惯不当,都可能造成操作风险。
(三)法律风险
目前通过第三方软件经由银企直联对外支付的各个关联方的权利义务,法律上尚未有非常明确的规定。银企直联采取的是直发式处理方式,企业通过银企直联系统发送的指令,银行支付平台会直接办理业务,不具有与网银相似的指令复核控制功能,由于银行方提供的安全控件及密码均内置在了前置机和资金软件上,权限设置和风险控制手段主要由资金软件承担,只要通过资金软件安全认证的支出均可进行对外支付。从业务流程上来看,如果出现问题,银行有可能可以免除大部分的责任。
二、防范资金管理系统风险的措施及建议
风险是客观存在的,特别是对信息化项目,风险更是不可回避的,关键在于如何将之控制在可接受的水平。由于系统带有对外支付结算的功能,使资金系统安全级别的要求,比将之控制在内部业务时高出了一个等级。
(一)资金管理软件所提供的支付结算模块,使用资金系统对外支付结算与通过银行网银对外支付结算,对集团的管理需要与数据监控、分析需要并没有产生实质上的差异。资金管理系统对外支付采用的是功能模块大多无法在系统中自动生成业务账,成员单位在资金系统仅仅是进行了对外付款的操作,而相关的信息数据还是需是通过银企互联从银行网银上调取数据,与直接使用银行网银结算,能获得的信息并无差异。对资金系统安全性从更谨慎的立场,在建设初期可以选择暂时不开放系统的对外支付功能,在系统中保留上划下拨、内部转账等仅涉及集团内部的业务,以使系统风险降低到集团的管控能力能控制的水平。将有限人手先放在内部业务的整合上,同时加强制度建设和技术支持人员配备,逐步提高对资金系统的安全管理水平。
(二)在进行资金管理系统建设时应联合集团的信息技术人员共同参与,必要时可以聘请商业银行、第三方软件企业的专家进行指导,对项目人员加强培训,提高进行资金管理系统建设的水平。资金管理系统建设过程中,要把系统安全管理建设放在重中之重的位置,在系统总体框架的构建上,设置多重防火墙和高强度安全加密措施,在操作人员安全认证方面,除系统自带的密码管理外,还可以加装CA数字证书的多重身份认证,确保每个用户操作的唯一性和可追溯性。
(三)尽快将资金管理中心向财务公司升级转型。资金管理中心是企业集团的内设机构,不具有法人结构,在外部市场上缺少作为金融机构的优势,缺乏外部监管介入,资金风险相对较大。财务公司是经批准设立的独立法人单位,存贷结业务受银保监会、人民银行等金融监管部门的严格监管,财务公司的系统安全性有一整套的标准要求,结算业务是财务公司的法定业务范围,法律风险较低。除此之外,财务公司还可以在金融市场和资本市场上进行债券发行、融资租赁、对外担保等活动,更有利于集团资金集中管理的效率效果。
