基于信息化的高校财务安全与风险防范探析*

刘 骁

(陕西中医药大学 计划财务处，陕西 咸阳 712046)

随着大数据时代步伐的不断加快，各高校财务管理的信息化建设也取得了显著成效，在很大程度上已经成为高校内涵式发展的重要标志。正因如此，高校财务管理的综合管理信息化水平才得到了长足的发展，给学校的各项工作带来了高效与便捷的支持服务。与此同时，高校财务管理的安全与风险防范也就成为财务部门工作的重中之重。

一、高校财务管理信息化系统的内涵

基于财务信息化的内涵概念，高校财务管理的信息化系统主要涵盖了日常账务处理系统、学生相关收费系统、个人收入申报系统、银校系统、工资申报系统、全面预算管理系统、报账系统、统一支付及微信支付平台、网查系统及国资对接系统等，这些系统的有效运作，从根本上可以有效地提高各单位与部门财务管理的效率，尤其是在很大程度上体现了财务管理过程中所涉及信息的准确、完整与及时性特征。如果从辩证法的角度来看，财务管理优势性的另一面就是具有一种潜在的财务信息安全风险。[1]这种风险极其复杂，涉及到的人员较多，如系统管理员、数据处理人员、数据复核员、数据管理员、档案管理员等，如果财务机密数据遭到破坏或泄密，将有可能给学校的发展带来不可估量的损失。因此，在严格的规范管理和刚性制度下，创新体制机制，消除隐患，切实保护核心资源，确保财务信息在安全、可靠、保密的环境下运行是财务管理工作者的神圣职责。

二、高校财务信息化背景下的安全与风险问题

根据大数据时代财务信息化带来的重大变革以及高校财务管理体制机制的现实运行情况来看，财务管理的安全风险主要体现在数据丢失和信息泄密两个方面：

(一)数据丢失是财务管理信息化的最大风险

在财务管理过程中，由于财务信息化的硬件与软件设施设备的质量与保养等多种原因的客观存在，物理损坏和信息数据破坏成为财务数据丢失的两个主要风险源。

1.物理损坏的原因分析

网络模式是财务信息化系统最基本的运行模式，一般情况下，数据都储存在服务器等设备中。因此，服务器的安全就非常重要，万一服务器出现问题，数据的丢失就不可避免，更可怕的后果是服务器上的相关财务系统也可能出现瘫痪情况，情况如果严重的话，整个财务信息化系统也面临瘫痪的危险。由此可见，保障财务数据的绝对安全是财务信息化的第一要务。

2.数据破坏的原因分析

在财务信息化的管理中，大量的数据是通过网络传输的。从一般的角度来看，信息数据的破坏主要体现在数据的可用性、完整性和保密性等方面是否遭到了破坏，其主要原因在于操作人员的误操作、安全意识与防范意识不强、管理措施不到位、监督机制缺失、通信线路问题、数据库管理系统和储存系统脆弱以及病毒和黑客的攻击等。

(二)信息泄密是财务工作信息化的重要风险

从多所高校财务信息化的成功经验与教训来看，财务信息化实施之后，造成财务信息泄密的主要原因是非法入侵和人为泄密。

1.非法入侵的原因分析

由于信息化社会的飞速发展，基于网络环境的电子符号和磁介质已经普及化，从理论上，网络环境下的信息都有可能被访问到，但从物理上的断开链接又是不太切合实际的。正因如此，信息化环境下的财务工作，时常出现的非法侵扰现象也就不可避免。社会上的个别人，以身试法，满足各自需求，实现自身目的，不择手段，有意或无意地对网络运行设备进行干扰或破坏，有的通过黑客程序进行违法的测试运行活动，从而对财务系统造成了严重威胁和破坏。现实生活中，那些黑客活动比病毒攻击的目的性更强，[2]凡是操作系统都有可能受到威胁。当然，黑客一旦攻击成功，就可能造成财务数据的泄露。

2.人为泄密的原因分析

在现实社会环境下，基于人的心理需求，人为泄密现象层出不穷。许多犯罪分子，正是利用了人性的弱点，使个别财务工作者失去防范心理，通过网络攻击或者使工作人员泄密信息进行犯罪活动。实际工作中，一些财务管理工作者或技术人员缺乏网络安全意识、安全教育不够、管理过程松懈等都是人为泄密的主要原因。[3]此外，个别管理者也有可能为了方便，将有些需要的软件自行安装在服务器上，这也会导致感染木马病毒；或者在不知情的情况下将财务数据自行拷贝出来存放到带有木马病毒的电脑上，这样就为不法分子窃取财务信息提供了可能性。

三、高校财务信息化安全与风险防范基本策略

(一)财务管理者的意识心理是安全与风险防范的先决条件

意识心理是财务安全与风险防范的先决条件。对财务管理岗位的每一位员工来说，必须从根本上具有安全风险意识，充分认识到安全与风险防范的重要性,针对日常工作中出现的大小问题不断进行反思与改进，积极参加多层次与多方位的信息安全宣传和培训活动,严格做好工作岗位的内控工作，真正提高大家的网络安全意识和防范能力。[4]要求每个人在工作过程中自始至终全程体现自我安全意识，不断学习与领会各级政府主管部门有关财务信息化工作管理方面的政策法规以及各类实施文件精神；严格遵循内部控制规范体系要求，加强财务信息化的自动防范和监控；在服务器以及内外网等工作设备上必须安装防病毒软件，在规定时间对运行系统进行查毒与垃圾清理工作，如果需要连接移动存储设备，必须在其他运行设备上对移动储存设备查杀并确认无病毒后方可连接。

(二)财务管理者的科学维护是安全与风险防范的基本前提

财务管理信息化的迅猛发展，硬件与软件设施设备的维护工作至关重要，对财务管理的安全风险防范具有极其重要的意义。因此，做到科学化的维护是财务管理者的使命之所在。

1.日常环节维护的习惯化

对财务管理者来说，工作过程的信息化设施设备是确保工作过程畅通与高效的关键，也是管理者取得工作业绩的助推器。所以，每一个工作人员都必须在硬件系统的定期维护、软件系统的病毒预防以及定期的数据清理和数据备份等方面要养成良好的维护习惯，这是财务管理信息化时代对每个工作人员的基本要求。

2.异常情况维护的技巧化

信息化的运行是置于社会的环境下实现的，社会发展过程的不可知因素或者潜在因素极其复杂。因此，管理者必须掌握第一时间能够果断处理突发情况的技能与技巧，以便快速应对意想不到而出现的异常情况，如断电、操作失误、数据损坏、帐表错误以及运行的硬件系统突发故障等实际情况

3.扩充功能维护的制度化。

为了确保信息化工作的科学运行，做好安全与风险防范的预防工作，以下工作一定要做好做实：一是由于工作安排或者专项活动的需要，对财务数据进行变更的话，必须如实填写《财务信息系统日常维护登记表》，经财务管理岗位负责人授权后方可使用系统管理员账户登陆；二是当已有运行系统在一定程度上不能适应新的发展需求时，就必须立足适应性原则，第一时间对软件系统的管理规范进行及时修改；三是依据财务信息的时代发展状况，在多方论证和科学保障的情况下，按照层级管理审核与批准程序，做好所有运行系统的升级、改造以及更高层次的扩展变动工作。

4.信息维护工作的规范化

信息维护是财务人员的主要职责与任务之一，一般情况下要做到信息维护的常态化。特殊情况下，可按照规定程序要求与软件开发公司实施联合维护，但必须通过规范化要求确保有关信息的安全与保密。为了做好信息维护工作的规范化，财务管理工作在基于日常维护的基础上，对其他任何形式的维护必须依照下列程序实施：一是提交申请，即岗位人员填写申请表，体现表格中的维护项目、维护理由、维护目标等实质内容；二是测试完善，即相关业务人员和技术人员对维护的项目进行测试与修正，通过目标指标值予以完善；三是维护反馈，即在维护目标无法实现的情况下，将分析的情况与合理建议逐级提交，并进行动态跟踪；四是历史归档，即维护人员对维护过程中的具体细节进行详细记录和保存，尤其是要对维护以前和维护以后的相关文档、源程序、数据等进行存档和备份；五是授权操作，即维护人员的一切操作必须在权限范围内进行，不得以任何借口对未授权的事项进行操作或修改。

(三)财务管理者的规范操作是安全与风险防范的根本要求

1.信息储存的安全性

要求财务管理人员第一时间将财务信息化数据定期进行自动备份并将备份数据储存在服务器、移动硬盘、存储设备等多个地方，特别重要的数据信息原则上需打印出来以纸质方式进行档案式保存，确保财务数据的万无一失，尤其是原始数据的查询与使用做到有据可依。

2.信息储存的技术性

财务会计软件的存储设备不仅具有会计档案的保管功能，而且还是工作过程中随时提取财务数据的重要依据，其储存的财务数据以及备份数据未经财务负责人许可严禁拷贝与外传，更不能进行更改。凡是采用磁性介质保存的数据，必须做到防潮、防尘、防磁与防火等防范工作，以免造成财务信息化数据的丢失。[5]财务信息化数据保存期限按财政部、国家档案局最新发布的《会计档案管理办法》的规定执行。

(四)财务信息化的刚性要求是安全与风险防范的基本原则

财务管理信息化是适应信息化时代发展而兴起的高效管理与运作手段，从根本上对管理人员提出了一系列严格的规范要求：一是财务管理专业岗位人员必须对与岗位业务对应的全部信息化用户的使用权限实施科学化的管理，涵盖权限范围的设置、分配与收发等；二是在信息化管理过程中，严禁未经授权人员进入财务信息化系统，即使授权人员也仅限定在所给定的权限内使用，未授权人不得以任何借口或理由进入系统操作；三是因业务范围需要授权的人员，在取得使用权限后，应严格按照系统使用的使用说明书和操作规定进行操作。所以，使用者不但要严格密码管理，而且要定期或不定期修改；严禁用本人“口令”进入系统而由他人代为操作的违规现象；四是原授权的岗位信息管理员，如遇到岗位变动，必须在离岗前，按照规定的操作程序和规范要求，逐级退出财务信息化系统。原则上，调离人员以书面形式提出禁用申请，在确认禁用权限完全丧失后方可离岗；五是财务信息数据库中的数据具有很强的客观性，任何形式的修改与删除都必须严格遵循财务管理流程的刚性要求，坚决杜绝违规操作现象的发生；六是任何财务人员不得以任何方式和借口，将来历不明的储存设备在财务信息化系统局域网电脑上连接使用，管理人员要按照定期和不定期相结合的原则对电脑系统和软件进行杀毒；七是严格要求内外网的物理隔离，坚持做账电脑不上网，上网电脑不做账的原则；八是用于财务管理信息化的专用设备，如服务器、存储设备、终端设备等在淘汰处理前，必须进行不可恢复性删除处理，以防财务信息数据的意外泄密；九是按照刚性规定，认真分析每个岗位的工作性质和自身特殊性，分别授予其操作过程的最小权限，实行应用系统用户权限分离，所有密码均实行多元化组合原则；十是聘请专业公司部署相关财务软件时，本单位管理岗位责任人员必须在场，并对部署过程进行严格监控，部署完毕后岗位管理人员应立即更换密码。

四、高校财务信息化安全与风险防范的机制保障

(一)组织保障

高等学校的财务信息化工作涉及面广、受众对象众多、业务类型复杂，这就要求安全与风险防范工作必须有一个坚强的组织保障机制。学校必须充分发挥各级工作小组的优势作用，使各级组织保障做实做强，每个小组成员都要在理论学习、政策掌控、科学管理、工作指导、制度实施以及评估反馈等方面发挥好重要的指导与监控作用。

(二)人员保障

基于大数据的时代气息，对高校这块前沿阵地来说，财务管理人员的信息化素养将会不断得到提升，信息化的课程学习、业务培训、技能训练、能力比赛、会议交流等都可能成为信息化素养提升的基本途径和手段。因此，一个基于学历学位背景下的高素质管理团队日益显得重要和必要，职业道德、业务能力、信息化水平等都将成为财务管理者专业成长的重要抓手。

(三)制度保障

高效而规范的财务信息化运作是确保学校工作跨越式发展的关键。所以，财务信息化的安全风险防范必须在严格而科学的制度下运行，这是财务信息化安全运行的基本要求。每所学校必须根据各级政府部门的文件精神以及本校的实际情况出台具有刚性规定的一系列财务管理方面的制度文件，尤其是安全风险防范的规范化规定，让财务管理工作在制度的框架下有效运作。

(四)条件保障

财务信息化管理的重要性不言而喻，但信息化作用的最大化发挥必须建立在先进而良好的设施设备基础之上，这就要求财务管理部门根据相关政策有计划、有目的、有针对性地对信息化的设施设备进行更新换代与升级改造，始终保持财务管理信息化的先进性和时代性。因此，条件保障不仅是信息化安全与风险防范的需求，更是财务工作高效和科学化运作的需要求。

纵观信息技术与共享服务的发展过程，并依据多种渠道的评估指标与数据分析，信息化背景下的高等学校财务信息化的重视度和应用水平不断得到提高，其安全与风险的预防和处理的制度与措施也日趋科学化、人性化和时代化。在各级财务管理人员的不断努力下，各高校财务管理的信息化正在为学校综合实力的整体提升发挥着极其重要的作用。