郑小翠
南方医科大学财务处 广东 广州
2016年,财政部发文《会计改革与发展“十三五”规划纲要》,要求在不断提高企业财务信息化水平的同时,积极探索推动行政事业单位财务信息化工作。高等院校积极响应号召,探索搭建财务信息化平台,逐步实现网络环境下的电子化财务报销,推进财务信息化平台与其他业务系统的融合,推动会计工作从传统核算型向现代管理型转变。财务信息通过信息化平台实时传递、适时处理,提高财务服务质量与业务处理效率。但是财务信息化平台在实际运行时,存在着错综复杂、难以量化且普遍存在的风险,如何识别风险、规避风险成为财务信息化建设需要关注的问题。
本文以N高校为例,识别多层次、多影响因素的财务信息化风险指标,采用层次分析法对风险指标赋予权重,通过模糊综合评判法综合评价信息化风险,即赋予一个唯一的评价值。评价的目的不仅给N高校一个综合评价分值,更重要的是识别出信息化平台的薄弱环节,对风险进行有针对性得防控规避,为国内高校财务信息化风险管理工作提供经验。
高校财务信息化风险评价,是指在识别和衡量风险的基础上,综合全面评估高校财务信息化建设过程中可能发生损失的程度。高校财务信息化风险,是指高校财务信息化建设过程中可能存在影响信息化实现目标的各种不确定因素,包括了组织管理风险、设施及环境风险、软件应用风险、信息管理风险等。其中,组织管理风险、设施及环境风险属于外部因素影响,软件应用风险、信息管理风险属于内部因素影响。所以,实务界和理论界都尝试对高校信息化风险的组成部分和风险程度进行评价。但由于高校信息化风险组成部分通常不可度量,造成各因素之间常无法比较,所以对高校财务信息化风险进行评价有一定的困难。
高校财务信息化风险评价通常是以文字描述、专家归纳等定性方法为主。定性分析较大程度依赖于评价人员的主观判断,主观判断可能出现纰漏和失误,难以被修正,而且风险指标之间不能进行比较,风险权重也无法确定。总体来说,该方法缺乏科学严谨的数学思维。
层次分析法(TheAnalyticHierarchyProcess,下文简记AHP)是美国著名的运筹学家T.L.Satty等人在20世纪70年代提出的一种定性与定量分析相结合的多准则决策方法。它将待分析问题的本质、影响因素及内在关系等进行深入分析之后,构建一个层次结构模型,然后利用较少的定量信息把待分析问题的思维过程数学化,从而为求解多目标、多准则或无结构特性的复杂问题提供一种简便的决策判断方法。对于高校财务信息化平台这个复杂系统来说,采用AHP可以解决层次结构模型中各层次指标相对于评价对象的权重问题。权重确定后,则需要通过模糊综合评价法为信息化风险给与综合评价。
模糊综合评价法,是借助模糊数学的一些概念对实际的综合评价问题提供一些评价的方法。针对信息化风险,可以将其作为一个整体,从风险构成因素的角度出发,对各个因素分别评价赋分,然后综合各部分的评价分值,实现对信息化风险整体的评价。
基于AHP的模糊综合评价法的具体步骤如下。首先,把高校财务信息化风险解构成不同因子,并将因子依据相互关系和隶属关系分类,从而形成层次分析结构模型。然后,专家团由下而上地给各层次因子的重要性给予赋值评判,确定最底层次因子相对于最高层次目标的相对重要性权值。最后,通过因子权数和专家评分,算出该风险的最终评价,即风险程度的整体评价。
考虑到目前我国高校财务信息化评价指标体系尚不完善,本文主要根据较为成熟并在信息安全领域普遍得到应用的《信息安全风险综合评价指标体系》,再结合国内高校财务信息化风险的特点,确立了既有硬件又有软件,既有外部影响又有内部影响,各因素相互影响、互相制约的指标体系,包括组织管理、设施及环境、软件应用、信息管理四个方面,并分别为每个方面设立对应的评价指标,形成一个多层次、多准测层的财务信息化风险评价指标层级体系,如图1。
图1 财务信息化风险评价体系
指标权重是指标评价过程中相对于评价对象的重要程度的一种主观客观度量的反映。目前传统确定权重的方法主要是依靠个人经验,该方法主要缺点是主观随意性较大。为了提高科学性,本文采用层次分析法,在数据处理方面使用算术平均值代表专家们的集中意见。这样所确定的权数能正确反映各指标的重要程度,保证评价结果的准确性。
(1)构建层次分析结构模型。对于高校财务信息化风险这个问题来说,层次分析模型主要分为三层,详情见图1。最高目标层即高校财务信息化风险防控;中间为准则层,即为风险防控四方面的准则组织管理风险、设施及环境风险、软件应用风险、信息管理风险;最下一层为方案层,即为解决问题的基本构成单位。
(2)确定评价指标权重及一致性检验。建立层次分析模型之后,本文邀请专家对每一层次中的各元素进行两两比较,就各因素的相对重要性给出主观判断,这些判断通过1-9分的赋值表示出来,形成判断矩阵,本文运算过程以准则层A和基准层A1为例。现需确定评价指标对评价对象的权重,并进行一致性检验,数据结果见表1、表2。
表1 A财务信息化风险综合评价(准则层)判断矩阵及一致性检验结果
表2 A1组织管理风险的判断矩阵及一致性检验结果
最高目标层和准则层判断矩阵的CR值均低于0.10,具有满意的一致性。从上述结果可以看出,高校财务信息化风险相关因素的重要性排序结果为:决策人员的重视程度(0.1606),供应商服务级别(0.1544),用户访问权限授权(0.0850),设施的安全保护(0.0768),系统使用者安全教育、培训和意识提升(0.0767),用户访问身份鉴别(0.0689),机房的人员访问控制(0.0651),机房的环境安全保护(0.0617),周期性或不定期风险评估管理措施(0.0527),网络安全级别(0.0495),与供应商合同的控制和管理能力(0.0489),数据存储加密(0.0362),系统恢复能力(0.0329),信息资产分类(0.0170),系统访问日志审计(0.0135)。
(1)建立风险评价集。风险评价集是对各层次风险指标的一种语言描述,它是评价人对各评价指标所给出的风险程度的集合。本模型的风险共分为五个等级。具体的风险集为:
F=(F1,F2,F3,F4,F5)={高风险,较高风险,中等风险,较低风险,低风险}
(2)构造评价对象的隶属度矩阵。选取10名包括财务领域、系统工程领域及有关专家组成评审团,以问卷调查的形式让他们对图1中财务信息化风险指标体系的方案层各元素进行风险程度评价,得出对该项目所面临的各种风险及其驱动因素综合评价结果。
根据十名专家给出的风险评价数值,得出基准层A1隶属度矩阵,如下所示:
由AHP确定的权重和隶属度矩阵,进行综合评价,本文算子采用加权平均法。
根据权重数据A1和隶属度矩阵R1,得出基准层综合评价:
B1=A1R1=(0.016,0.129,0.268,0.332,0.225)
将上述基准层综合评价向量作为上层指标评价矩阵R,如下所示。
由表1可知,基准层对评价对象的权重A=(0.4406,0.2036,0.2364,0.1194),便可算得“信息化风险”的综合评价向量:
B=A R=(0.073,0.19,0.215,0.23,0.292)
以上的计算结果B为N高校信息化风险的综合评判结果,其表明“风险高”的成分为7.3%,“风险较高”的成分为19%,“风险中等”的成分为21.5%,“风险较低”的成分为23%,“风险低”的成分为29.2%。根据最大隶属度原则,N高校的财务信息化风险属于“低风险”水平。
通过分析可以看出,基于AHP的模糊综合评价法为高校财务信息化风险的防控提供了有效的工具,实现对N高校财务信息化风险的整体评价,总体呈现低风险水平,说明N高校财务信息化安全建设成果较好。在控制财务信息化风险方面,N高校主要有以下几个方面的经验。
第一,高校决策人员重视程度是风险防控的关键所在。在信息化风险诸因素中,排名第一为高校决策人员的重视程度(16.06%)。决策人员的重视意味着足够的资金投入与积极的人员调动,这些都有利于信息化建设更安全地落地。
第二,选择能力强的供应商是风险防控的重要保障。供应商服务级别占信息化风险各因素比重为15.44%。系统供应商服务级别高能力强则能够实现更安全地更个性化地将信息系统应用于高校。
第三,系统用户的权限授权和身份鉴别是风险防控的重要抓手。在信息化风险诸因素中,用户访问权限授权占比8.50%、用户访问身份鉴别占比6.89%。提高系统应用安全性,需做好用户身份授权与身份鉴别。授权用户在何时何地如何访问何种信息或信息系统,控制力度越大风险值越小。
第四,系统设备及环境的保护是风险防控的最后一道防线。设施的安全保护占信息化风险各因素比重为7.68%。设施及环境的安全,尤为注意设施安全保护。设施包括了网络线路安全、计算机安全、网络设备安全等。做好定期检查线路计算机等设施,减少硬件损坏造成系统崩溃的风险。