高校財(cái)務(wù)信息化的風(fēng)險(xiǎn)類型及防控策略研究

鄭小翠 南方醫(yī)科大學(xué)

引言

2016 年，財(cái)政部發(fā)文《會(huì)計(jì)改革與發(fā)展“十三五”規(guī)劃綱要》，要求在不斷提高企業(yè)財(cái)務(wù)信息化水平的同時(shí)，積極探索推動(dòng)行政事業(yè)單位財(cái)務(wù)信息化工作。高等院校積極響應(yīng)號(hào)召，探索搭建財(cái)務(wù)信息化平臺(tái)，逐步實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境下的電子化財(cái)務(wù)報(bào)銷，推進(jìn)財(cái)務(wù)信息化平臺(tái)與其他業(yè)務(wù)系統(tǒng)相融合，推動(dòng)會(huì)計(jì)工作從傳統(tǒng)核算型向現(xiàn)代管理型轉(zhuǎn)變。財(cái)務(wù)信息通過(guò)信息化平臺(tái)實(shí)時(shí)傳遞、實(shí)時(shí)處理，提高財(cái)務(wù)服務(wù)質(zhì)量與業(yè)務(wù)處理效率。但在高校財(cái)務(wù)信息化搭建和運(yùn)行過(guò)程中，信息化風(fēng)險(xiǎn)伴隨而生，實(shí)施風(fēng)險(xiǎn)防控是財(cái)務(wù)信息化建設(shè)的重要一環(huán)。本文通過(guò)識(shí)別分析財(cái)務(wù)信息化風(fēng)險(xiǎn)類型，針對(duì)性提出信息化風(fēng)險(xiǎn)防控策略，為財(cái)務(wù)信息化建設(shè)構(gòu)建安全閉環(huán)。

一、高校財(cái)務(wù)信息化風(fēng)險(xiǎn)類型

高校財(cái)務(wù)信息化風(fēng)險(xiǎn)是指高校財(cái)務(wù)信息化建設(shè)過(guò)程中，可能存在影響信息化目標(biāo)實(shí)現(xiàn)的各種不確定因素[1]，包括組織管理風(fēng)險(xiǎn)、設(shè)施及環(huán)境風(fēng)險(xiǎn)、信息系統(tǒng)應(yīng)用風(fēng)險(xiǎn)、信息管理風(fēng)險(xiǎn)。

（一）組織管理風(fēng)險(xiǎn)

組織管理風(fēng)險(xiǎn)，是指信息化平臺(tái)從組織搭建到順利落地所面臨的風(fēng)險(xiǎn)，包括宏觀層面有戰(zhàn)略規(guī)劃、文化變革、監(jiān)管法規(guī)缺失的風(fēng)險(xiǎn)；微觀層面有信息化供應(yīng)商能力不足、供應(yīng)商后期維護(hù)無(wú)力、信息管理人才的缺乏，基層財(cái)務(wù)人員能力不足的風(fēng)險(xiǎn)。

組織管理風(fēng)險(xiǎn)具體可表現(xiàn)為：一是高校決策人員的重視程度。決策人員先進(jìn)的管理理念，以及對(duì)財(cái)務(wù)信息化的重視程度與資金投入程度，都會(huì)直接影響信息化的實(shí)現(xiàn)效果。重視程度越高，風(fēng)險(xiǎn)越小。二是信息系統(tǒng)供應(yīng)商的級(jí)別。供應(yīng)商的技術(shù)水平、提供服務(wù)的適用性和穩(wěn)定性，與服務(wù)對(duì)象的需求匹配度是決定供應(yīng)商級(jí)別的主要依據(jù)。級(jí)別越高，風(fēng)險(xiǎn)越小。三是系統(tǒng)使用者安全教育、培訓(xùn)和意識(shí)提升。財(cái)務(wù)工作人員若能夠得到多方面多形式的安全教育培訓(xùn)，則能夠糾正工作人員的危害行為，從而增強(qiáng)風(fēng)險(xiǎn)意識(shí)，降低信息化風(fēng)險(xiǎn)。

（二）設(shè)施及環(huán)境風(fēng)險(xiǎn)

設(shè)施及環(huán)境風(fēng)險(xiǎn)，是指信息化平臺(tái)在運(yùn)行過(guò)程中面臨的硬件設(shè)施低安全、環(huán)境低安全等存在的風(fēng)險(xiǎn)。設(shè)施及環(huán)境風(fēng)險(xiǎn)具體指標(biāo)可分為：一是硬件設(shè)施的安全風(fēng)險(xiǎn)，包括線路安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，一旦這些設(shè)施遭受破壞，引起系統(tǒng)被迫停運(yùn)，將會(huì)造成極大的損失。二是設(shè)施環(huán)境的安全風(fēng)險(xiǎn)，設(shè)施環(huán)境風(fēng)險(xiǎn)防范得當(dāng)，即便發(fā)生災(zāi)難，仍可減少損失。三是機(jī)房訪問(wèn)人員的安全風(fēng)險(xiǎn)，避免非授權(quán)人員進(jìn)入機(jī)房的風(fēng)險(xiǎn)。詳情見(jiàn)表1。

表1 設(shè)施及環(huán)境方面的風(fēng)險(xiǎn)

（三）信息系統(tǒng)應(yīng)用風(fēng)險(xiǎn)

信息系統(tǒng)應(yīng)用風(fēng)險(xiǎn)，是指信息系統(tǒng)性能、恢復(fù)能力、安全管理措施等存在的風(fēng)險(xiǎn)。該類風(fēng)險(xiǎn)具體可表現(xiàn)為：一是信息系統(tǒng)恢復(fù)能力弱的風(fēng)險(xiǎn)。系統(tǒng)存在的弱點(diǎn)、缺陷，未能及時(shí)做出相應(yīng)的更新，提高響應(yīng)能力。響應(yīng)能力越弱，風(fēng)險(xiǎn)值越高。二是網(wǎng)絡(luò)安全級(jí)別低的風(fēng)險(xiǎn)。設(shè)置應(yīng)用未分區(qū)，沒(méi)有區(qū)分“校內(nèi)網(wǎng)”“校外網(wǎng)”，無(wú)法實(shí)現(xiàn)防火墻訪問(wèn)控制和審計(jì)，未能保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊。網(wǎng)絡(luò)安全級(jí)別越低，風(fēng)險(xiǎn)值越高。三是信息系統(tǒng)管理措施缺失的風(fēng)險(xiǎn)。無(wú)法根據(jù)信息系統(tǒng)環(huán)境的變化定期或不定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，難以真實(shí)反映系統(tǒng)安全狀態(tài)，實(shí)施相應(yīng)控制措施不到位，增加系統(tǒng)風(fēng)險(xiǎn)，詳情見(jiàn)表2。

表2 信息系統(tǒng)應(yīng)用方面的風(fēng)險(xiǎn)

（四）信息管理風(fēng)險(xiǎn)

信息管理風(fēng)險(xiǎn)，是指信息資產(chǎn)在分類、儲(chǔ)存和訪問(wèn)過(guò)程中等存在的風(fēng)險(xiǎn)。該類風(fēng)險(xiǎn)包括有信息資產(chǎn)分類風(fēng)險(xiǎn)、數(shù)據(jù)儲(chǔ)存加密級(jí)別風(fēng)險(xiǎn)和系統(tǒng)訪問(wèn)日志審計(jì)風(fēng)險(xiǎn)。數(shù)據(jù)將被分為機(jī)密的、內(nèi)部的和外部的，能確保有價(jià)值的信息資產(chǎn)能得到適當(dāng)?shù)谋Ｗo(hù)，降低風(fēng)險(xiǎn)。數(shù)據(jù)儲(chǔ)存加密等級(jí)設(shè)置較高，降低系統(tǒng)風(fēng)險(xiǎn)。系統(tǒng)訪問(wèn)日志常規(guī)性地進(jìn)行審計(jì)，良好的審計(jì)管理和技術(shù)，可以降低數(shù)據(jù)庫(kù)應(yīng)用風(fēng)險(xiǎn)。做好數(shù)據(jù)保護(hù)管理，是避免信息化風(fēng)險(xiǎn)的重要內(nèi)容，詳情見(jiàn)表3。

表3 信息管理方面的風(fēng)險(xiǎn)

二、高校財(cái)務(wù)信息化風(fēng)險(xiǎn)的防控策略

（一）戰(zhàn)略規(guī)劃控制策略

戰(zhàn)略規(guī)劃是高校財(cái)務(wù)信息化建設(shè)的原動(dòng)力，有效的戰(zhàn)略規(guī)劃控制是保證信息化建設(shè)能否成功的重要因素。從高校信息化風(fēng)險(xiǎn)防控的經(jīng)驗(yàn)可知[1]，決策人員重視程度對(duì)信息化風(fēng)險(xiǎn)控制十分重要，決策人員站在戰(zhàn)略規(guī)劃的角度，宏觀把握風(fēng)險(xiǎn)防控的方向，對(duì)風(fēng)險(xiǎn)防控進(jìn)行指揮安排，高屋建瓴地對(duì)高校財(cái)務(wù)信息化風(fēng)險(xiǎn)進(jìn)行控制。戰(zhàn)略規(guī)劃控制具體策略有完善風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)機(jī)制，合理規(guī)劃項(xiàng)目預(yù)算等。

建立風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)機(jī)制的意義在于，該領(lǐng)導(dǎo)機(jī)制有領(lǐng)導(dǎo)小組、專家小組和工作小組，以便計(jì)劃、組織和協(xié)調(diào)高校財(cái)務(wù)部門(mén)的信息化項(xiàng)目建設(shè)。領(lǐng)導(dǎo)小組負(fù)責(zé)整個(gè)項(xiàng)目的統(tǒng)籌與協(xié)調(diào)；專家小組負(fù)責(zé)指導(dǎo)與論證項(xiàng)目的技術(shù)路線，解決具體技術(shù)問(wèn)題；工作小組負(fù)責(zé)項(xiàng)目實(shí)際工作的開(kāi)展，合理配置工作人員，全面落實(shí)相關(guān)職能。

做到合理規(guī)劃項(xiàng)目預(yù)算，因?yàn)轭A(yù)算方案是項(xiàng)目規(guī)劃時(shí)需要著重考慮和解決風(fēng)險(xiǎn)的重要內(nèi)容，也是促進(jìn)項(xiàng)目正常運(yùn)行和防范項(xiàng)目財(cái)務(wù)風(fēng)險(xiǎn)的有效工具。預(yù)算方案不是一個(gè)數(shù)據(jù)清單，而是能預(yù)測(cè)風(fēng)險(xiǎn)的財(cái)務(wù)報(bào)表，重點(diǎn)是根據(jù)現(xiàn)金流量表和損益表計(jì)算具體的財(cái)務(wù)指標(biāo)，以便及時(shí)識(shí)別和評(píng)估后續(xù)風(fēng)險(xiǎn)。

（二）信息技術(shù)控制策略

信息技術(shù)控制是高校財(cái)務(wù)信息化建設(shè)和風(fēng)險(xiǎn)防控的基礎(chǔ)。選擇能力強(qiáng)的供應(yīng)商是化解信息化風(fēng)險(xiǎn)的重要手段。能力強(qiáng)的供應(yīng)商則意味著有專業(yè)的IT 隊(duì)伍和豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)，清晰了解信息化建設(shè)中的重難點(diǎn)，把風(fēng)險(xiǎn)牢牢控制在技術(shù)手段編制的網(wǎng)絡(luò)里。

信息化建設(shè)過(guò)程中，需要多種信息技術(shù)的支持，小到身份鑒別技術(shù)、數(shù)據(jù)存儲(chǔ)加密技術(shù)，大到網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)恢復(fù)技術(shù)。而將這些技術(shù)應(yīng)用于財(cái)務(wù)信息化建設(shè)，可減少信息化風(fēng)險(xiǎn)的發(fā)生，大力推動(dòng)信息化風(fēng)險(xiǎn)管理工作的落實(shí)。

（三）管理制度控制策略

管理制度控制策略是指在信息化建設(shè)的過(guò)程中，建立和完善風(fēng)險(xiǎn)管理的規(guī)章制度，將信息化風(fēng)險(xiǎn)控制納入日常財(cái)務(wù)工作的管理制度范圍內(nèi)。管理制度可包括以下三方面：

1.建立基于高校財(cái)務(wù)風(fēng)險(xiǎn)管理的溝通協(xié)調(diào)制度

在專家的指導(dǎo)下，設(shè)立信息化風(fēng)險(xiǎn)管理小組，打通風(fēng)險(xiǎn)管理溝通的渠道，形成高效率的溝通平臺(tái)。校內(nèi)風(fēng)險(xiǎn)管理的溝通協(xié)調(diào)制度，能夠保證高校信息化風(fēng)險(xiǎn)評(píng)價(jià)工作可以順暢地進(jìn)行溝通協(xié)調(diào)。

2.建立基于高校財(cái)務(wù)風(fēng)險(xiǎn)管理的校企合作機(jī)制

校企合作機(jī)制是將企業(yè)納入高校風(fēng)險(xiǎn)管理的工作隊(duì)伍中，發(fā)揮企業(yè)的專業(yè)優(yōu)勢(shì)，整合高校自身資源，促進(jìn)二者良好合作，起到優(yōu)勢(shì)互補(bǔ)的作用，共同推進(jìn)高校財(cái)務(wù)信息化風(fēng)險(xiǎn)管理工作。

3.建立基于高校財(cái)務(wù)信息化流程的風(fēng)險(xiǎn)內(nèi)控制度

風(fēng)險(xiǎn)內(nèi)控制度是通過(guò)建立相關(guān)內(nèi)部控制制度，將風(fēng)險(xiǎn)防控嵌入到財(cái)務(wù)業(yè)務(wù)的流程中，讓風(fēng)險(xiǎn)管理變成日常的、持續(xù)的自動(dòng)監(jiān)督。即通過(guò)加強(qiáng)對(duì)財(cái)務(wù)信息化平臺(tái)的監(jiān)督，對(duì)平臺(tái)的各個(gè)業(yè)務(wù)環(huán)節(jié)進(jìn)行審查和評(píng)估，保證操作員程序的合規(guī)性和合法性，預(yù)防財(cái)務(wù)舞弊行為。同時(shí)，適應(yīng)新的環(huán)境變化，不斷優(yōu)化信息化平臺(tái)，設(shè)置新的業(yè)務(wù)流程和控制手段，保證在新的環(huán)境中安全運(yùn)行。

（四）人員控制策略

人員控制策略，是指為應(yīng)對(duì)信息化風(fēng)險(xiǎn)，對(duì)信息系統(tǒng)使用者和管理人員的控制策略。

1.財(cái)務(wù)部門(mén)設(shè)置信息管理崗位

國(guó)內(nèi)高校大部分由網(wǎng)絡(luò)中心主任行使信息主管的權(quán)利和職責(zé)，而網(wǎng)絡(luò)中心主任雖然能參與和組織高校財(cái)務(wù)信息化建設(shè)的具體工作，但與財(cái)務(wù)分屬不同部門(mén)，難以打破部門(mén)壁壘，信息流動(dòng)不順暢，造成管理效率低下的現(xiàn)象。在財(cái)務(wù)部門(mén)直接設(shè)置信息技術(shù)崗位，挑選具備信息技術(shù)專業(yè)背景和財(cái)務(wù)管理知識(shí)儲(chǔ)備的復(fù)合人才任職。從財(cái)務(wù)部門(mén)組織結(jié)構(gòu)入手，實(shí)現(xiàn)協(xié)調(diào)、統(tǒng)一的管理職能和權(quán)限，助力信息化風(fēng)險(xiǎn)防控。

2.加強(qiáng)財(cái)務(wù)人員風(fēng)險(xiǎn)管理意識(shí)教育與培訓(xùn)

財(cái)務(wù)基層員工是信息系統(tǒng)中最主要的使用者，如果缺乏良好的風(fēng)險(xiǎn)意識(shí)，技術(shù)風(fēng)控的實(shí)施和維護(hù)效果將會(huì)大打折扣。為財(cái)務(wù)人員提供信息安全政策培訓(xùn)，培訓(xùn)財(cái)務(wù)人員識(shí)別信息安全事故，介紹相關(guān)法律法規(guī)知識(shí)。對(duì)新增或發(fā)生較大變化的信息安全政策，需向員工進(jìn)行政策更新的培訓(xùn)學(xué)習(xí)。

（五）物理環(huán)境控制策略

財(cái)務(wù)信息化系統(tǒng)處于一定社會(huì)及自然環(huán)境之中，涵蓋的風(fēng)險(xiǎn)包括社會(huì)政治變動(dòng)、經(jīng)濟(jì)環(huán)境變動(dòng)以及自然災(zāi)害等。社會(huì)環(huán)境的變動(dòng)難以控制，但信息系統(tǒng)物理環(huán)境的安全維護(hù)是可實(shí)現(xiàn)的。物理環(huán)境控制要求信息化風(fēng)險(xiǎn)管理人員具備高度風(fēng)險(xiǎn)敏銳度，清晰意識(shí)到信息系統(tǒng)面臨的環(huán)境風(fēng)險(xiǎn)，主動(dòng)適應(yīng)環(huán)境，在可控范圍內(nèi)減少環(huán)境因素造成的損失。

一方面，維持軟硬件設(shè)施環(huán)境的安全性。自然災(zāi)害難以預(yù)料，但對(duì)設(shè)備的保護(hù)可以減少因?yàn)?zāi)害引起的損失。做好包括計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備在內(nèi)的硬件設(shè)備的防火、防水和防雷保護(hù)，以及對(duì)機(jī)房溫濕度控制與監(jiān)控，保護(hù)得越周全，風(fēng)險(xiǎn)越小。另一方面，提升軟硬件設(shè)施的穩(wěn)定性。購(gòu)置性能穩(wěn)定，售后可靠的硬件設(shè)備，軟件設(shè)備需經(jīng)調(diào)試，試運(yùn)行才正式投入使用，減少因不穩(wěn)定造成的損失。

（六）風(fēng)險(xiǎn)應(yīng)急響應(yīng)策略

周密、萬(wàn)全的準(zhǔn)備和保護(hù)，仍有可能發(fā)生意外事件，因此，將信息化風(fēng)險(xiǎn)管理視作動(dòng)態(tài)管理過(guò)程，把風(fēng)險(xiǎn)應(yīng)急響應(yīng)策略作為信息化風(fēng)險(xiǎn)動(dòng)態(tài)控制的補(bǔ)充策略，填補(bǔ)意外風(fēng)險(xiǎn)的漏洞。風(fēng)險(xiǎn)應(yīng)急響應(yīng)策略，是當(dāng)信息化風(fēng)險(xiǎn)發(fā)生時(shí)，指導(dǎo)突發(fā)事件如何解決的具體安排。

該策略一般分為事前準(zhǔn)備、事中響應(yīng)、事后總結(jié)調(diào)整三個(gè)步驟。事前準(zhǔn)備工作包括擬定明確的應(yīng)急響應(yīng)計(jì)劃，定期組織模擬演練。事中響應(yīng)是該策略的關(guān)鍵步驟，主要為分析事件發(fā)生的根源、影響范圍，制定限制風(fēng)險(xiǎn)損失范圍的方案，研究出根除風(fēng)險(xiǎn)的方法，并恢復(fù)因風(fēng)險(xiǎn)事件遭受破壞的軟硬件設(shè)備或物理環(huán)境。事后總結(jié)調(diào)整是指通過(guò)回顧風(fēng)險(xiǎn)事件的相關(guān)信息，總結(jié)響應(yīng)方案的各方法步驟，將風(fēng)險(xiǎn)事件的相關(guān)文檔資料備案。風(fēng)險(xiǎn)應(yīng)急響應(yīng)策略順利、及時(shí)、有效地實(shí)施，才能達(dá)到降低或消除信息化風(fēng)險(xiǎn)產(chǎn)生的不良后果的目的，推進(jìn)高校財(cái)務(wù)信息化風(fēng)險(xiǎn)防控工作。

結(jié)語(yǔ)

通過(guò)識(shí)別、分析高校財(cái)務(wù)信息化建設(shè)過(guò)程中的風(fēng)險(xiǎn)因素，將眾多風(fēng)險(xiǎn)歸納為組織管理風(fēng)險(xiǎn)、設(shè)施及環(huán)境風(fēng)險(xiǎn)、信息系統(tǒng)應(yīng)用風(fēng)險(xiǎn)、信息管理風(fēng)險(xiǎn)，并針對(duì)性地提出風(fēng)險(xiǎn)防控策略，即戰(zhàn)略規(guī)劃控制策略、信息技術(shù)控制策略、管理制度控制策略、人員控制策略、物理環(huán)境控制策略和風(fēng)險(xiǎn)應(yīng)急響應(yīng)策略。有效實(shí)施風(fēng)險(xiǎn)防控策略，可促進(jìn)高校財(cái)務(wù)信息化發(fā)展，積極化解財(cái)務(wù)信息化風(fēng)險(xiǎn)，構(gòu)建信息化安全閉環(huán)。