吕海蓉+刘冉 摘要:为适应经济发展的需要,提高高校财务管理水平,近年来,各高校不断加快信息化建设步伐,并取得重要成果。然而,财务信息化建设是一把"双刃剑",在这一过程中也面临着一些风险问题。如何有效识别这些风险因素,并制定及时、有效的应对策略,是当前急需解决的重要问题。 关键词:高校财务 信息化 风险识别及应对 随着信息化时代的到来,计算机信息技术迅速发展,会计信息化建设受到各界人士的普遍关注。2014年1月6日,财政部发布的《企业会计信息化工作规范》正式施行。这是继20年前的《会计电算化管理办法》等相关规定发布之后,财政部首次以"会计信息化"的概念来规范企业的相关财务工作。企业会计信息化建设已取得显著成果,借鉴企业信息化建设的经验,研究高校财务信息化建设,可以提高高校财务工作的效率,也有助于高校的快速发展。财务信息化建设是一把"双刃剑",在发展过程中也面临诸多风险,如何做好信息时代背景下财务信息化风险识别及防范,成为高校财务人员需要面临的重要问题。 一、高校财务信息化风险概述 所谓高校财务信息化,是指采用现代信息技术对高校财务工作模式进行重整,将计算机、互联网和通信等信息技术与高校日常财务活动有效整合,创建财务信息系统,从而能够为高校的财务工作和决策活动提供全面、准确、充分、及时的财务信息资源,进一步增强高校资金使用的效益与效果。信息化的高速发展促进了高校财务信息化的进程,提高了财务人员的工作效率,减轻了财务人员的负担,但是在发展过程中,风险问题也日益突出。 (一)财务舞弊。财务舞弊是指行为人为获得不当利益,违反国家法律、法规的有关规定,凭借财务欺诈等方式,导致他人遭受损失的行为。当前,高校财务信息系统还不能做到完全意义上的信息化,如经费的预算编制、应收应付款的管理、工资的编制发放、银行对账单的定期核对、固定资产入库的核对等方面,均需要人为的干预和决策,一旦内部控制不完善,就容易存在财务舞弊。 (二)數据窃取。指以不正当的手段取得各项财务数据以达到自己的目的。财务信息化要依托于网络,而网络开放的信息资源、众多的用户等特点,使得财务数据在网络环境下总是存在着很多的安全威胁。社会中某些行为人出于各种目的,利用黑客技术登陆财务服务器,窃取各类财务信息,侵害了财务数据的机密性,严重扰乱了高校财务工作秩序。 (三)系统故障。系统故障是指由于某种原因造成系统非正常停止运行,比如设备故障、硬件损坏、软件的安全漏洞等,故障所造成的系统运行中断、数据丢失等后果,往往产生难以弥补的损失。现实中,高校财务经常面临信息化资金缺乏、投入不高的现状,财务信息系统设备老旧,服务器配置低、故障频繁等现象时有发生,严重影响高校财务工作的有效运行。 (四)病毒攻击。随着互联网的广泛应用,网络安全最大的威胁因素是计算机病毒,计算机病毒表现出隐蔽性高、破坏力强、周期短、速度快、清除难度大、难以防范等特点。高校财务局域网与互联网连接,使计算机系统感染病毒的几率和防范病毒的难度加大。外部一些有不良动机的不法分子会利用浏览网页、下载文件、收发邮件等手段,使财务系统感染病毒,严重威胁整个财务计算机网络系统和数据安全。 (五)恶意破坏。恶意破坏是指一些人出于不良动机,故意毁坏财务设备或网络,给高校财务带来严重的不良后果。恶意破坏对于任何信息化程度较高的单位破坏性都是致命的,无论对软件还是硬件的破坏都足以导致该单位陷入混乱的局面。在某些特殊情况下,财务舞弊人员会通过恶意破坏引起单位混乱,从而来掩盖其不法行为。 (六)自然灾害。自然灾害是指由于火、水、雷电、地震等不可抗力造成的财务信息化的外部风险。虽然发生的概率很小,但是一旦发生,造成的损失往往是毁灭性的,所以也应引起足够重视,提前做好防范措施。 上述影响高校财务信息化的风险因素,每一种风险发生的概率和产生的成本是不同的,根据成本效益的原则,对以上风险因素进行风险评估,确定合适的应对方法策略。 二、高校财务信息化风险评估 信息化风险是指可能存在影响信息化目标实现的各种不确定性因素,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。风险评估的方法有定量分析法和定性分析法。 (一)定量分析方法。定量分析法是对社会现象的数量特征、数量关系与数量变化进行分析的方法。高校财务信息化风险评估是从数字上对风险进行分析评估,定量分析法思想明确、清晰,对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素都被赋值,风险评估的整个过程和结果也就都可以被量化了。本文对某高校财务信息化的风险进行了评估,其分析过程如下:首先,评估每一风险事项发生的可能性,根据事件发生的可能性推出高校财务信息化的风险系数(见表1);其次,根据表1的风险系数表估测每一个影响高校财务信息化风险事项发生的可能性,然后用评估的某高校财务信息化潜在损失乘以表1中的风险系数表,计算出每种事项的风险损失成本(见表2)。 从表1和表2中可以发现财务舞弊是财务损失最大的风险,其次是恶意破坏和系统故障。从内外部角度来看,内部因素比外部因素更具有破坏力。从表2中我们还可以看出发生风险最大的并不一定是损失最大的,例如发生损失最大的是财务舞弊,损失风险68.4万元,有57%的几率会发生;风险最大的是系统故障,损失风险17.28万元,有96%的几率会发生。通过定性分析方法我们很直观地看到影响高校财务信息化的风险因素发生概率以及发生损失的大小,从而根据成本效益原则制定适宜的应对措施。 (二)定性分析方法。在实际操作中,定量方法用于评估损失风险有一些困难,因为确定单位损失的相关成本及其发生的可能性有一定的随机性。所以我们实践中采用定量分析和定性分析相结合的方法。定性分析法亦称"非数量分析法",主要依靠预测人员的丰富实践经验以及主观的判断和分析能力,推断出事物的性质和发展趋势的分析方法。借鉴企业风险评估的方法,我们采用定性分析矩阵来评估影响高校财务信息化的风险因素(见表3),由表3进一步分析演化成综合定性分析表(见表4)。 以上我们分析的影响高校财务信息化的因素,根据影响程度和可能性,可以把风险因素依据预测人员的主观判断能力分别进行分析。例如财务舞弊属于很可能且带来的损失结果较大的一种风险,对应表3中的高风险区域,应该需要立即采取行动;对应表4中的,可能性很可能,结果较大的S严重风险,需要引起高校高层管理者密切注意和重视。自然灾害于发生的概率几乎不可能,但是一旦发生带来的损失较大,对应表3中的中风险区域,需要管理层密切监督;对应表4中的可能性几乎不可能,结果较大的M中度风险,管理者应该采取措施进行预防管理,做好日常的防范监督。 结合定量和定性分析方法,本文分析了影响高校财务信息化的风险因素,分析了各个风险的发生概率以及发生损失的大小,根据成本效益的原则,同时结合目前我国高校财务信息化的实际现状,比如财务管理系统比较落后,财务信息化程度较低,财务信息传递速度缓慢等,制定高效可行的应对措施。 三、高校财务信息化风险的应对措施 风险评估之后,高校管理者应当根据经济效益最大化的原則来确定采取风险应对措施。针对发生损失概率大,损失成本高的因素,采取积极主动应对措施,同时做好预防工作。针对发生损失概率较小,损失成本较高的因素,应引起高度重视。对于发生概率较大,损失成本较低的因素,应当妥善做好日常财务信息安全工作,从而避免不必要的损失。针对发生损失概率小,风险低的因素,应时常提醒财务人员有可能会面临的风险及如何应对。本文从影响高校财务信息化风险因素的角度,制定具体应对措施。 (一)岗位分工,实行职责分离。采取不同岗位管理人员职责分离来应对财务舞弊行为,从而降低财务风险。岗位设置可分为系统管理、监控、操作等。系统管理岗位主要负责日常管理、维护、用户授权、数据备份等,监控岗位可以通过信息网络平台对系统管理岗位和操作岗位的工作流程和结果进行识别、记录,防止利用网络进行欺诈舞弊等行为;操作岗位具体负责信息的采录与研判分析,细分为录入、核审、档案管理等岗位;现实中,系统管理、监控和操作岗位应由专人负责且应分工明确、互不干涉。例如接触实物资产和经常接触会计记录数据文档的岗位人员必须实现职责分离,否则这两种接触的特权放在一起容易产生舞弊和欺诈。 (二)创新体制,完善内部控制。加强内控制度建设,应对财务舞弊、数据窃取、行为人的恶意破坏等违法行为。首先,高校内控制度建设需要进一步完善管理制度,例如网络维护与管理制度、数据安全与维护制度、机房管理制度、计算机软件操作及维护制度、操作权限控制,计算机软硬件使用与维护制度,业务处理流程、设备管理制度等,从源头上对高校财务工作人员进行行为约束。其次,进一步提高对数据访问和运用的核审机制。对高校财务信息系统的各类重要数据参数及敏感资料进行实时监控,根据不同人员设置类别不同的使用权限,未经有效授权严禁拷录、使用系统资源,避免数据窃取、程序和系统破坏现象的出现,切实提高财务信息风险管控水平。最后,要建立高校财务信息化系统的安保体系,确保网络和信息畅通,防止人为破坏。 (三)减少威胁,诚信与法律结合。实践中,对财务信息管理系统恶意破坏且造成严重后果者,高校可以采用法律手段维护自身合法利益,我国《刑法》《民法》《中华人民共和国计算机信息系统安全保护条例》等多部法律明确规定,任何组织或个人,不得利用计算机信息系统从事危害国家利益、公共利益和公民个人合法利益的活动,不得危害计算机信息系统的安全。任何组织或者个人违反本条例的规定,给国家、集体或者他人合法财产造成损失的,应当依法承担相应法律责任。《计算机信息网络国际联网管理暂行规定》规定用户不得擅自进入未经许可的计算机系统,篡改他人信息;不得制造、传播计算机病毒及从事其他侵犯网络和他人合法权益的活动。《公安部计算机信息网络国际互联网安全保护管理办法》规定任何单位和个人未经允许不得对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;不得故意制作、传播计算机病毒等破坏性程序。同时,对一些主观恶性较小,处于违法行为预备阶段或尚未造成危害后果的行为人可以对其加强宣传教育,依靠诚信原则及道德力量来约束、规范行为人。 (四)数据备份,确保数据安全。数据备份在工作实践中具有十分重要的现实意义,系统故障、人为破坏或意外事故等风险因素均会对数据的保存和延续造成影响,因此应定期做好备份,可采用云备份或软、硬盘等多种存储介质同时备份,并可配备专门的服务器,从而保证财务数据万无一失。对于重要的财务档案或台账应指定专人负责,对于备份的电子数据及纸质台账要严格按照国家规定的管理办法进行归档和保存,妥善做好各种防护措施,确保财务数据的完整和安全。 (五)防范病毒,保证系统安全。针对病毒攻击我们应建立完善的防病毒体系。计算机病毒传播范围广、时间短、危害大,对财务信息系统的正常运行及数据的安全造成严重威胁,因此高校财务系统管理者必须建立完善的防病毒防护体系,将杀毒软件及网络防火墙在有关网络和计算机上实现全方位覆盖,并启动实时监控系统,定期升级病毒库,严格执行防病毒措施,且应当制定严格的计算机管理制度,禁止在工作机上安装无关软件和危险插件,财务专用机由专人负责,慎用U 盘等移动存储介质。 (六)强化培训,提高人员素质。高校财务人员应当进一步提高自己预防风险和管控风险的能力。当前,财务信息化已成为高校财务管理发展的必然趋势,信息化的发展对工作人员的能力提出了更高的要求,在新形势下,要想胜任财务工作岗位,必须在掌握财务专业基础上精通计算机操作等相关技能,因此,高校管理者必须进一步加强复合型人才的培养,一方面要进行宣传教育,提升工作人员的思想认识,使财务人员明确新知识、新技能在现实工作中的重要意义;另一方面要定期开展业务培训,结合财务信息化系统的使用提升财务人员计算机操作技能,增强其风险防范意识和管控水平,从而进一步推动高效财务信息化进程迈出坚实的步伐。 参考文献: [1]高娟.高校风险管理研究综述[J].财会通讯,2015,(16):43-47 [2]牛丽云.信息化环境下高校会计信息化人才培养的探讨[J].商业会计,2014,(21):122-123. [3]魏春波.高校财务信息化风险管理探析[J].沈阳建筑大学学报(社会科学版),2007,(4):427-437. 作者简介: 刘冉,女,毕业于南京财经大学,研究生,会计学专业。科研成果:参与课题江苏高校哲学社会科学研究一般项目《信息化条件下的高校财务内部控制研究》。