郑小翠 南方医科大学

引言

2016 年，财政部发文《会计改革与发展“十三五”规划纲要》，要求在不断提高企业财务信息化水平的同时，积极探索推动行政事业单位财务信息化工作。高等院校积极响应号召，探索搭建财务信息化平台，逐步实现网络环境下的电子化财务报销，推进财务信息化平台与其他业务系统相融合，推动会计工作从传统核算型向现代管理型转变。财务信息通过信息化平台实时传递、实时处理，提高财务服务质量与业务处理效率。但在高校财务信息化搭建和运行过程中，信息化风险伴随而生，实施风险防控是财务信息化建设的重要一环。本文通过识别分析财务信息化风险类型，针对性提出信息化风险防控策略，为财务信息化建设构建安全闭环。

一、高校财务信息化风险类型

高校财务信息化风险是指高校财务信息化建设过程中，可能存在影响信息化目标实现的各种不确定因素[1]，包括组织管理风险、设施及环境风险、信息系统应用风险、信息管理风险。

（一）组织管理风险

组织管理风险，是指信息化平台从组织搭建到顺利落地所面临的风险，包括宏观层面有战略规划、文化变革、监管法规缺失的风险；微观层面有信息化供应商能力不足、供应商后期维护无力、信息管理人才的缺乏，基层财务人员能力不足的风险。

组织管理风险具体可表现为：一是高校决策人员的重视程度。决策人员先进的管理理念，以及对财务信息化的重视程度与资金投入程度，都会直接影响信息化的实现效果。重视程度越高，风险越小。二是信息系统供应商的级别。供应商的技术水平、提供服务的适用性和稳定性，与服务对象的需求匹配度是决定供应商级别的主要依据。级别越高，风险越小。三是系统使用者安全教育、培训和意识提升。财务工作人员若能够得到多方面多形式的安全教育培训，则能够纠正工作人员的危害行为，从而增强风险意识，降低信息化风险。

（二）设施及环境风险

设施及环境风险，是指信息化平台在运行过程中面临的硬件设施低安全、环境低安全等存在的风险。设施及环境风险具体指标可分为：一是硬件设施的安全风险，包括线路安全、计算机安全、网络基础设施安全，一旦这些设施遭受破坏，引起系统被迫停运，将会造成极大的损失。二是设施环境的安全风险，设施环境风险防范得当，即便发生灾难，仍可减少损失。三是机房访问人员的安全风险，避免非授权人员进入机房的风险。详情见表1。

表1 设施及环境方面的风险

（三）信息系统应用风险

信息系统应用风险，是指信息系统性能、恢复能力、安全管理措施等存在的风险。该类风险具体可表现为：一是信息系统恢复能力弱的风险。系统存在的弱点、缺陷，未能及时做出相应的更新，提高响应能力。响应能力越弱，风险值越高。二是网络安全级别低的风险。设置应用未分区，没有区分“校内网”“校外网”，无法实现防火墙访问控制和审计，未能保护内部网络免受外部攻击。网络安全级别越低，风险值越高。三是信息系统管理措施缺失的风险。无法根据信息系统环境的变化定期或不定期进行风险评估，难以真实反映系统安全状态，实施相应控制措施不到位，增加系统风险，详情见表2。

表2 信息系统应用方面的风险

（四）信息管理风险

信息管理风险，是指信息资产在分类、储存和访问过程中等存在的风险。该类风险包括有信息资产分类风险、数据储存加密级别风险和系统访问日志审计风险。数据将被分为机密的、内部的和外部的，能确保有价值的信息资产能得到适当的保护，降低风险。数据储存加密等级设置较高，降低系统风险。系统访问日志常规性地进行审计，良好的审计管理和技术，可以降低数据库应用风险。做好数据保护管理，是避免信息化风险的重要内容，详情见表3。

表3 信息管理方面的风险

二、高校财务信息化风险的防控策略

（一）战略规划控制策略

战略规划是高校财务信息化建设的原动力，有效的战略规划控制是保证信息化建设能否成功的重要因素。从高校信息化风险防控的经验可知[1]，决策人员重视程度对信息化风险控制十分重要，决策人员站在战略规划的角度，宏观把握风险防控的方向，对风险防控进行指挥安排，高屋建瓴地对高校财务信息化风险进行控制。战略规划控制具体策略有完善风险管理领导机制，合理规划项目预算等。

建立风险管理领导机制的意义在于，该领导机制有领导小组、专家小组和工作小组，以便计划、组织和协调高校财务部门的信息化项目建设。领导小组负责整个项目的统筹与协调；专家小组负责指导与论证项目的技术路线，解决具体技术问题；工作小组负责项目实际工作的开展，合理配置工作人员，全面落实相关职能。

做到合理规划项目预算，因为预算方案是项目规划时需要着重考虑和解决风险的重要内容，也是促进项目正常运行和防范项目财务风险的有效工具。预算方案不是一个数据清单，而是能预测风险的财务报表，重点是根据现金流量表和损益表计算具体的财务指标，以便及时识别和评估后续风险。

（二）信息技术控制策略

信息技术控制是高校财务信息化建设和风险防控的基础。选择能力强的供应商是化解信息化风险的重要手段。能力强的供应商则意味着有专业的IT 队伍和丰富的实战经验，清晰了解信息化建设中的重难点，把风险牢牢控制在技术手段编制的网络里。

信息化建设过程中，需要多种信息技术的支持，小到身份鉴别技术、数据存储加密技术，大到网络安全技术、系统恢复技术。而将这些技术应用于财务信息化建设，可减少信息化风险的发生，大力推动信息化风险管理工作的落实。

（三）管理制度控制策略

管理制度控制策略是指在信息化建设的过程中，建立和完善风险管理的规章制度，将信息化风险控制纳入日常财务工作的管理制度范围内。管理制度可包括以下三方面：

1.建立基于高校财务风险管理的沟通协调制度

在专家的指导下，设立信息化风险管理小组，打通风险管理沟通的渠道，形成高效率的沟通平台。校内风险管理的沟通协调制度，能够保证高校信息化风险评价工作可以顺畅地进行沟通协调。

2.建立基于高校财务风险管理的校企合作机制

校企合作机制是将企业纳入高校风险管理的工作队伍中，发挥企业的专业优势，整合高校自身资源，促进二者良好合作，起到优势互补的作用，共同推进高校财务信息化风险管理工作。

3.建立基于高校财务信息化流程的风险内控制度

风险内控制度是通过建立相关内部控制制度，将风险防控嵌入到财务业务的流程中，让风险管理变成日常的、持续的自动监督。即通过加强对财务信息化平台的监督，对平台的各个业务环节进行审查和评估，保证操作员程序的合规性和合法性，预防财务舞弊行为。同时，适应新的环境变化，不断优化信息化平台，设置新的业务流程和控制手段，保证在新的环境中安全运行。

（四）人员控制策略

人员控制策略，是指为应对信息化风险，对信息系统使用者和管理人员的控制策略。

1.财务部门设置信息管理岗位

国内高校大部分由网络中心主任行使信息主管的权利和职责，而网络中心主任虽然能参与和组织高校财务信息化建设的具体工作，但与财务分属不同部门，难以打破部门壁垒，信息流动不顺畅，造成管理效率低下的现象。在财务部门直接设置信息技术岗位，挑选具备信息技术专业背景和财务管理知识储备的复合人才任职。从财务部门组织结构入手，实现协调、统一的管理职能和权限，助力信息化风险防控。

2.加强财务人员风险管理意识教育与培训

财务基层员工是信息系统中最主要的使用者，如果缺乏良好的风险意识，技术风控的实施和维护效果将会大打折扣。为财务人员提供信息安全政策培训，培训财务人员识别信息安全事故，介绍相关法律法规知识。对新增或发生较大变化的信息安全政策，需向员工进行政策更新的培训学习。

（五）物理环境控制策略

财务信息化系统处于一定社会及自然环境之中，涵盖的风险包括社会政治变动、经济环境变动以及自然灾害等。社会环境的变动难以控制，但信息系统物理环境的安全维护是可实现的。物理环境控制要求信息化风险管理人员具备高度风险敏锐度，清晰意识到信息系统面临的环境风险，主动适应环境，在可控范围内减少环境因素造成的损失。

一方面，维持软硬件设施环境的安全性。自然灾害难以预料，但对设备的保护可以减少因灾害引起的损失。做好包括计算机、网络设备在内的硬件设备的防火、防水和防雷保护，以及对机房温湿度控制与监控，保护得越周全，风险越小。另一方面，提升软硬件设施的稳定性。购置性能稳定，售后可靠的硬件设备，软件设备需经调试，试运行才正式投入使用，减少因不稳定造成的损失。

（六）风险应急响应策略

周密、万全的准备和保护，仍有可能发生意外事件，因此，将信息化风险管理视作动态管理过程，把风险应急响应策略作为信息化风险动态控制的补充策略，填补意外风险的漏洞。风险应急响应策略，是当信息化风险发生时，指导突发事件如何解决的具体安排。

该策略一般分为事前准备、事中响应、事后总结调整三个步骤。事前准备工作包括拟定明确的应急响应计划，定期组织模拟演练。事中响应是该策略的关键步骤，主要为分析事件发生的根源、影响范围，制定限制风险损失范围的方案，研究出根除风险的方法，并恢复因风险事件遭受破坏的软硬件设备或物理环境。事后总结调整是指通过回顾风险事件的相关信息，总结响应方案的各方法步骤，将风险事件的相关文档资料备案。风险应急响应策略顺利、及时、有效地实施，才能达到降低或消除信息化风险产生的不良后果的目的，推进高校财务信息化风险防控工作。

结语

通过识别、分析高校财务信息化建设过程中的风险因素，将众多风险归纳为组织管理风险、设施及环境风险、信息系统应用风险、信息管理风险，并针对性地提出风险防控策略，即战略规划控制策略、信息技术控制策略、管理制度控制策略、人员控制策略、物理环境控制策略和风险应急响应策略。有效实施风险防控策略，可促进高校财务信息化发展，积极化解财务信息化风险，构建信息化安全闭环。