时间:2023-09-14 17:27:39
序论:在您撰写财务安全信息时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
认识信息化,驾驭信息化,建设信息化财务,是时代赋予财务工作的崇高使命和艰巨任务。信息安全是信息化财务建设的生命线。财务工作必须面对和正视信息化现状,以积极的姿态建设财务信息化,确保各项财务信息安全无差错。
一、财务信息安全存在的隐患
1、计算机自身的问题
长期以来,人们设计计算机的目的主要是追求信息处理功能的提高和生产技术成本的降低,对于安全问题或没有考虑,或只是作为一项附带条件在设计时顺便考虑一下,因此计算机系统的各个组成部分、接口和界面、各个层次的相互转换,都存在着不少漏洞和薄弱环节。从全国范围来看,财务部门使用的计算机操作系统基本上还是外国生产的,它存在一定的安全缺口。此外,由于计算机系统的先天脆弱性,容易产生电磁泄露,即计算机信息系统设备工作时向外辐射电磁波的现象,一旦被侦收复原就造成信息泄露。
2、病毒入侵问题
利用计算机病毒攻击计算机,是目前不法者采用的一种最常用的方法。尽管计算机病毒种类繁多,表现形态各异,但一般存在传染性、隐蔽性、破坏性和不可预见性等特点。计算机病毒具有把自身复制到若干程序中的特性,一旦搜寻到符合传染条件的程序或存储介质,便将自身代码插入其中,达到自我复制的目的。计算机病毒能够隐藏在正常程序中,窃取到系统的控制权,轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃,影响到财务工作全局。
3、存储介质泄密问题
随着存储技术的发展,各类新型存储产品逐步出现,特别是形式多样的可移动存储介质迅速普及,渗透到工作和生活的各个方面。然而受商业因素的影响和技术发展的限制,市场上大部分电子信息存储产品并不具备良好的安全保密性能,大部分单位在可能导致泄密的关键环节,也没有严格进行限制。一旦这些移动存储介质在含有会计数据的计算机中使用时,就很容易感染木马程序,产生严重的财务数据泄密隐患。
4、网络攻击问题
随着互联网的广泛应用,不少安装了财务软件的计算机都接入了互联网,容易受到来自网络的攻击而致使软件受损,主要有逻辑炸弹和黑客攻击。逻辑炸弹指满足特定逻辑条件时按某种不同的方式运行,对目标系统实施破坏的计算机程序。该程序触发后会造成计算机数据丢失、不能从硬盘或者软盘引导,甚至会使整个网络系统瘫痪,并出现物理损坏的虚假现象。而黑客攻击的主要目的是利用获得的非法访问权,闯入计算机网络,破坏重要数据以及信息网络系统,主要分为恶作剧型、盗窃诈骗型、蓄意破坏型、控制占有型、恐吓勒索型、传播有害信息型和窃取情报型。
二、造成财务信息安全隐患的原因分析
1、主观原因分析
(1)安全意识薄弱。有些财务人员对新形势下信息安全战线的激烈斗争缺乏足够的认识,对日常工作中的秘密习以为常,思想观念放松,保密意识淡化;有些财务人员安全保密意识淡薄或是工作中主观随意性太大,对所使用的计算机及财务软件经常不设密码,或是长期重复使用一种密码不进行更换,这就容易被研究和推导出规律性,从而破译密码。
(2)安全常识缺乏。有的财务人员不注意学习,对泄密安全情况缺乏理解的掌握,涉秘载体乱插乱接,没有养成定期查杀病毒、更新病毒数据库的习惯,造成信息泄露而自己却毫不知情,给财务信息安全带来隐患。
(3)网络防范较弱。随着社会信息化程度的不断提高和社会竞争的日益加剧,竞争对手利用网络非法访问对方的内部信息,利用高超的计算机水平和十分先进的工具,有预谋地入侵对手的计算机系统,窃取、篡改、破坏信息,给财务信息化安全带来了严重的威胁和挑战。
2、客观原因分析
(1)管理机制不健全。由于财务信息化管理起步较晚,对于技术上的安全问题也不太了解,因此思想上没有高度重视信息化管理工作中的安全保密问题。另外,由于部分单位的领导对网络安全方面的问题知之甚少,采取了一种听之任之的态度,形成监督不力、行政管理不严的局面。
(2)基础设施不配套。由于一些单位和部门对财务信息安全管理不够重视,所以基本上没有设立单独的财务专用微机房,不能进行有效的物理隔离。也没有相应的技术条件来实施安全保密,这就形成了一个“瓶颈”,束缚了财务信息化的发展,甚至会产生严重的泄密后果。
(3)相关法律法规不完善。迄今为止,财务系统还没有建立比较系统、完善的信息安全管理的法律法规体系,因而就不能从制度上保障信息安全,从而形成无法可依、执法不严的局面,这就给财务部门的安全管理带来了许多不确定的因素,可能造成管理的混乱和泄露机密的后果。
三、加强财务信息安全的对策
1、建立健全信息安全管理体制,杜绝安全隐患
一是要制定上机操作规程,主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。二是要加快基础设施建设。要调动财务部门的积极性,主动进行财务信息安全建设基础设施的完善和优化,注重财务专用机房的建设,加大物理隔离的力度。选用金属材料,形成屏蔽网,以达到阻隔信息的目的;添设干扰机等设备,以增加信息被破译的难度。三是要完善法律法规体系。建立健全财务信息安全管理的相关法律法规,依法实施财务信息安全管理。这些法规主要包括计算机安全法规、财务安全法规、财务信息资源管理法规、网络安全法规等。目的是用法律机制规范、调节和引导财务部门对信息技术及信息保密技术的研究、开发和应用,建立规范的财务信息安全法律体系。
2、建立完善信息安全防护体系,加强全面监督
一是对财务业务发生的控制,即程序检查。在财务活动发生时,通过计算机的控制程序,对业务发生的合法性、可行性、完整性进行检查和控制。二是财务数据输入的控制。加强凭证控制,做好对平整的审核、自制、输入、传递、保管五个环节全面控制,保证凭证的合法、真实、正确、完整。三是对财务信息的控制,包括对财务信息传递、分析处理、使用、检索等的控制。确保传输的安全,及时更新维护系统,确保财务信息化系统产生数据和信息的安全存储,对各种磁介质材料做好标记、归档、保管,对于内部数据做好备份,保证数据方便快捷地被调用、检索。
3、充分使用信息安全技术手段,突破关键环节
一是信息加密,即通过对信息的变换或编码,将机密的第三信息变换成非法用户难以读懂的乱码,从而有效屏蔽真实信息。主要包括文件加密、数据库加密、存储介质加密和传输数据加密。二是网络隔离,即保证内部网与外部公共网相分离的技术方法,主要包括物理隔离和逻辑隔绝两种。三是入侵检查,即通过在网络中主动寻找入侵信号,来及时发现未授权或者异常行为,并发出预警的动态安全防护技术。四是病毒防护,即利用预防的检测的技术,主动发现并清除计算机病毒,以有效地阻止计算机病毒的危害。五是容灾备份,即通过在异地建立和维护一个备份存储系统,利用地理上的分离来保证财务数据和信息系统对灾难性事件的抵御能力。
4、提高财务人员安全管理意识,减少人为事故
财务信息安全管理是财务管理信息化、网络化的发展需求,需要精通财务知识,掌握计算机的复合型人才。一方面由院校直接培养既懂计算机又懂财务的复合型人才;另一方面各单位定期选拔一批干部集训,综合学习计算机信息安全管理知识。集训要注意改革集训方法和集训手段,使财务人员变被动学习为主动学习,同时加快计算机辅助教学软件的研制推广应用,加速实现集训方法和手段的现代化。还要邀请院校有关专业的专家、教授组成安全委员会,加强对财务信息安全管理的指导。此外,要加强对财务人员关于财务信息安全的教育工作,使他们充分认识到信息化网络潜在的危险,规范日常工作操作,确保财务工作的安全。
随着财务管理现代化进程的推进,企业财务会计电算化、财务信息化的普及,我们已经进入以计算机化运作为操作平台的财务时代。财务信息化在给传统财务带来质的变化的同时,引发的财务信息安全问题同样令人担忧,特别是涉及企业重大商业机密信息,由于财务信息中包含了许多公司重要的机密,加上财务业务又存在一定的专业性,所以对财务信息安全的管理就有一定的难度。
二、财务信息安全存在的风险
1、数据损坏风险。数据安全风险包括:物理损坏和恶意破坏。由于公司财务系统是基于网络模式运行,所有重要数据都储存在服务器中,一旦服务器出现问题不能正常运行,对于财务数据会带来不可挽回的损失,而整个财务系统将会受到毁灭性打击。另外,大量的数据通过网络传输,也可能会造成财务信息的丢失、泄漏。
2、信息失真风险。由于财务业务的特殊性,在没有实施会计电算化时,可以通过会计人员的笔迹,以及签章的确认来判断会计业务的真实性,但是实施了会计电算化后,有一部分的签名和签章用计算机处理了,无法判断会计业务是由本人经手还是他人处理。这样就使得手工环境下的内部控制机制受到了削弱。此外,操作人员的误操作也是造成信息失真的重要原因之一。
3、非法入侵风险。在网络环境下,电子符号代替了会计数据,磁介质代替了纸介质,在这个环境中一切信息在理论上都是可以被访问到的,除非它们在物理上断开链接。因此,财务部门在实现网络化管理的同时,很难避免非法侵扰。一些人可能出于各种目的,有意或无意地损坏网络设备,网络(局域网、广域网)上对管理系统进行黑客程序的测试运行等活动,对系统造成极大破坏。黑客活动比病毒破坏更具目的性,几乎覆盖了所有的操作系统,包括财务系统。
三、财务信息安全风险的规避
1、要强化网络安全防范的意识,使得每一个操作人员都有强烈的安全风险意识。要针对用户安全意识薄弱,对网络安全重视不够,安全措施不落实的现状,开展多层次、多方位的信息网络安全宣传和培训,真正提高用户的网络安全意识和防范能力。此外对于财务人员来说还应该加强职业操守的教育,使财务人员牢固树立保密的意识,杜绝由财务人员本身的原因,造成财务信息的泄漏。
2、优化财务流程设计,强化财务审批流程。由于财务信息的特殊性,所以对外公示财务信息一定要统一口径,对于财务业务流程应突出审计环节,对会计风险的控制始终贯穿于会计核算的每个环节。长久以来人们已习惯于按固有本职工作内容处理信息,在信息采集、信息共享方面未建立整体的管理规则,因此,需要企业业务从以职能划分转变为以流程优化重组,达到各部门信息共享、统一。
3、加强财务人员登录管理。由于在财务系统中系统所认的只有登录名,所产生的凭证、报表、其他单据都是以登录名为署名,一旦他人用财务人员的登录名进入系统后,就取得了相应的权限,这将带来极大的隐患。所以财务人员要保管好自己的登录密码,尽量使用复杂的密码。如果财务人员不能正常行使职能,应该在软件中使用权限委托的方式,而不是直接告诉自己的登录名和密码。这点对于行使审计职能的操作员来说更为重要。
4、从软件的角度来说,对于凭证和报表也使用数字签名的功能,电子签章的功能,以避免他人使用财务人员的登录名进入财务系统,填制和篡改凭证和报表,从而给公司带来损失。
目前实现数字签名的方法主要有三种:一是用公开密钥技术;二是利用传统密码技术;三是利用单向校验和函数进行压缩签名。1991年,美国颁布了数字签名标准DSS的安全性基础是离散对数问题的困难性。数字签名一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动,因为只有发信者才知道自己的私人钥匙,另一方面也确保发信者对自己发出的信息负责,信息一旦发出且署了名,他就无法再否认这一事实。通过数字签名技术,有效的保障了信息真实性。
5、针对操作人员的误操作,应该加强财务人员的计算机水平的培训。杜绝由于操作失误而带来的会计信息失真的风险。
6、建立完整的日志记录制度,对所有的操作人员的所有操作都应记录在案。日志中至少应该包括操作员登入系统的时间,操作内容,以及下线的时间。如果特殊情况要修改已审核的记账凭证,则尽量在软件中保留修改的痕迹。
7、加强计算机网络病毒的防治。病毒防治单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,在管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度、对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程。
随着会计电算化和信息化的推广,目前高等学校都实现了会计电算化。会计电算化在带来高效的工作效率的同时,也为财务信息安全带来了新的挑战。文中分析了会计电算化下高校财务信息面临的安全问题,系统研究了产生的原因及应对策略。
关键词:
高等学校;会计电算化;财务信息;信息安全
1高校财务信息安全面临的问题
在会计电算化下,高等学校的会计核算、会计信息的查询、会计数据的决策支持等基本都以电子数据为基础,都要以会计核算系统的正常运行为前提。而在实际的工作中,往往因为人为操作失误、病毒感染、硬件设备故障等造成电子财务数据的部分丢失或错误,严重情况下会造成电子财务数据的完全破坏和丢失。这一方面影响高校正常财务工作的开展;另一方面需要根据纸质的会计档案修正电子财务数据,特别是在电子财务数据的完全破坏和丢失的情况下,需要根据纸质会计档案重新建立电子数据库,在个别严重的情况下无法完全重建电子数据库,造成财务信息的不完整。
2造成高校财务信息安全问题的原因
2.1相关会计电算化规章制度难以落实
规章制度用于规范职工的操作,为业务办理提供规范性的指南与约束。部分高校虽然已采用了会计电算化,也制定了相关的会计电算化规章制度,但并不注重相关制度的落实。首先,部分高等学校只是重视会计电算化制度中规定的会计电算化业务规范,严格要求会计人员按照规定的规范进行会计核算业务,但很少注重会计电算化制度中禁律、维护手段和频率等内容。其次,大部分高等学校都没有切实安排人员监督会计电算化制度的落实,完全取决于会计人员对会计电算化制度的了解和认识以及对自身的约束性。最后,部分高等学校虽然安排了监督会计电算化制度实施的工作人员,但是往往是一名普通的工作人员,在发现同事甚至个别领导存在违反会计电算化制度的情况时,也不方便监督与更正。由于会计电算化制度不能切实实施,给高等学校的财务信息安全带来极大的隐患。
2.2重视力度不够
会计工作是一个高校的基础和保障工作,基本上所有高校的所有者和管理者都很重视会计工作,但是往往重视的是高校的筹资活动、投资活动、收入和成本管理、会计核算的真实完整、会计报表的准确真实等会计业务,往往忽视会计电算化电子档案和数据的管理。在会计电算化环境下,很多高校还是沿用老的管理模式,对纸质凭证及其他会计档案按照相关会计准则规定建档保存,但是对电子数据保存和使用的管理却远远落后。个别高校甚至在日常的工作中根本不理睬会计电算化系统的运行情况和数据的备份及维护,只有在会计电算化软件或硬件系统出现故障时,会计人员才会在软件工程师的指挥下备份会计电算化数据,清洁维护会计核算设备。在这种情况下,会计核算设备很容易出现故障,会计信息很容易被破坏或丢失。
2.3会计电算化设备相对不足
首先高等学校的财务工作是一项专业性很强的特殊领域。财务工作人员虽然具有很强的财务专业知识,但是一般不具备信息安全知识。在构建电算化系统时和后期的电算化系统使用过程中,财务人员从专业的角度出发往往要求以最小的成本实现最大的收益,只注重会计电算化业务功能的实现,而很少切实考虑日后使用过程中系统的稳定运行和财务数据的安全性问题,致使很多高校的电算化设备没有不间断电源、数据备份冗余设备、财务数据异地备份所需要的移动存储设备等。其次,会计电算化设备的相对不足还表现在会计电算化设备的陈旧。很多高校重视电算化系统的初始构建,但是不注重后期电算化设备的维护和更新,特别是会计电算化所用的服务器达到其使用寿命后仍在没有必要辅助设备的情况下继续使用,为会计电算化的财务数据安全性带来极大的威胁。最后,会计电算化设备的相对不足还表现在会计电算化配套设置如存放房间、空调等的不足。
2.4专业人才缺乏
很多高等学校,从事会计电算化业务的人员都是原来从事传统手工会计的会计人员或是现代会计相关专业毕业的会计人员。这些会计人员由于缺乏数据安全的专业知识、不了解电子设备的性能及相关维护知识、会计业务的专业特殊性及忙碌的工作等,只能按照构建电算化系统时软件工程师的指导意见对电算化系统及数据进行简单的维护,甚至在电算化系统正常运行的情况下基本不进行任何维护操作。虽然现在已有很多高校的财务部门开始引进一些计算机专业毕业的工作人员,但是由于在财务部门这种传统的专业技术领域,计算机专业人员很难得到应有的认可,导致很多的计算机专业人员开始慢慢放弃原来的专业而将更多地精力用于会计专业知识和业务的学习。
2.5会计电算化软件及设备的消极被动维护
很多高校都是由专业的会计人员兼职会计电算化系统和数据的维护工作。一方面这些工作人员都有正常的会计业务需要办理,并且这些会计工作基本被认为是其重要的本职工作,甚至是其考核的标准。这无形中导致了工作人员将主要精力用于会计业务而忽视会计电算化系统和数据的维护,同时繁重的会计业务也使这些会计专业人员没有更多地精力去改进会计电算化系统的性能和稳定性,只能简单的保证系统的正常运行。另一方面会计电算化系统和数据的维护是一项即辛苦又看不到成果的工作。很多时候这份工作也就会被慢慢的冷落而变成消极地应付性的简单维护工作,这为财务信息的安全带来了很大的隐患。
3保障财务信息安全的策略
3.1加强会计电算化制度的实施
高等学校应加强会计电算化制度的培训与学习,使会计工作人员熟悉会计电算化制度及其重要性,提高工作人员重视并自觉遵守相关制度的意识。同时,高等学校财务部门应安排直接领导负责会计电算化制度的执行情况,不定期抽查工作人员落实会计电算化制度的情况,及时发现并纠正违规行为。从制度落实方面规范会计工作人员的电算化行为,保证高等学校财务信息安全。
3.2提高重视程度
财务信息安全是会计电算化下高校财务工作的基础,筹资活动、投资活动、收入和成本管理、会计核算的真实完整、会计报表等都必须以准确的财务信息和稳定的会计电算化系统为基础,没有安全准确的财务信息,高等学校的财务工作将寸步难行。高等学校应切实提高对财务信息安全的重视程度,充分认识到财务信息安全的重要性,在人力和物力上保证电算化系统的正常运行,保障财务数据的准确与安全。
3.3加大对会计电算化的投入
一方面高等学校应该根据电子设备的特性,将会计电算化系统的重要设备存放在安全、清洁且恒温的房间,配备不间断电源避免服务器突然断电,配置必要的设备通过冗余技术提高会计电算化系统的稳定性,从而提高财务信息的安全。另一方面电子设备都有一定的使用寿命,当达到其使用寿命后电子设备的稳定性将大幅度下降。高等学校应该在会计电算化所用电子设备接近使用寿命时根据其运行状况及时更换,避免因电子设备的损坏造成电算化系统的瘫痪和财务数据的损坏或丢失。
3.4加强专业人才队伍建设
会计电算化系统的稳定性一方面取决于电子设备和软件系统的性能,另一方面取决于电算化系统的维护情况,而后者起着更重要的作用。为保证会计电算化系统的运行和财务数据的安全,高等学校财务部门应设置专业的会计电算化系统及财务信息的维护岗位,聘用具有会计电算化维护资格的计算机专业人员,从专业技术上为会计电算化下财务信息安全提供保障。在有条件的高等学校,可以像中山大学和华中科技大学一样在财务部门内部设置专业的信息部门并聘用计算机相关专业的工作人员从事会计电算化系统及数据的维护,并进行专用软件的开发。
3.5加强会计电算化系统及数据的维护
高等学校应要求会计电算化维护人员严格遵守学校会计电算化制度中关于会计电算化系统及数据的维护方式、维护频率及财务备份数据的保存方式等的规定,以规范完善的维护业务保证会计电算化系统的稳定和财务信息的安全。同时,现代科技日新月异,新的技术和设备不断涌现,高等学校应鼓励会计电算化维护人员根据单位的特点采用先进的维护技术,及时更新电算化系统所使用的电子设备,不断提高会计电算化系统的性能和稳定性,保证财务信息的安全性。
作者:孟庆书 单位:华南农业大学
参考文献:
[1]樊珊珊.目前我国会计电算化存在的问题及对策[J].会计之友,2011,(6):48.
[2]王中健,张强强,贺志官.对我国会计电算化问题现状分析的思考[J].中国电子商务,2012,(12):187.
[3]谷增军.信息化环境下会计信息安全问题探讨[J].新会计,2011,(4):63.
[4]胡英松.信息化中会计信息安全问题研究[J].哈尔滨商业大学学报(社会科学版),2009,(4):83.
[5]岳志雁.加强高校会计电算化内部控制的对策[J].山西财税,2009,(5):43.
一、网络财务信息安全定义
网络财务信息安全的研究对象是网络财务信息,而网络财务信息是需要通过计算机系统及网络进行采集、存储、使用和传输的。因此,不妨将其定义为:为保证财务信息在整个信息管理流程中的安全而采取的防范措施及相关活动
二、网络财务信息安全存在的主要问题
在网络环境下,财务信息的传送借助网络完成,如何保证网络财务安全,防范风险成为一道难题。网络是一把“双刃剑”,它使企业在利用网络便利完成各项业务的同时,也将自己暴露于风险之中。原则上,任何联入因特网的计算机,都可能凭借网络获取网上任何一家企业的信息资源。这就决定了网络财务安全性较低,风险性较高,主要表现在以下几点:
(一)网络财务软硬件存在隐患。网络财务软件安装在硬件上,它在运行过程中,正确性和有效性通常受到物质基础和技术故障的威胁。一是计算机系统故障。一旦计算机硬件、软件出现了故障,将很有可能导致整个网络系统瘫痪、无法运行、数据丢失等,给企业造成极大的损失。二是网络财务软件的开发研制技术并不是完美无缺的,甚至可能存在很多的局限。正是这些技术上的局限,造成系统不可避免的存在漏洞和差错,而且事先并不为人所知。
(二)财务信息在网络传递过程的真实性和保密性难以保障。在网络环境下,财务信息在传递中,会计介质电子化替代了传统的纸介质来传递,替代的同时,纸介质财务流通过程中的签章及有关的重要签名等确认手段已不存在。由于缺乏有效的确认标识,财务信息的真实性没有可靠保障。另外,财务信息在传递过程中会受到电磁干扰及其他方面的影响,有可能丢失数据或数据不准确、不完整。计算机和其他一些网络设备大多数都是电子设备,当它工作时会产生电磁泄露。而且可被非法分子采取搭线窃取等手段获取信息。从而,对网络财务的信息安全带来隐患。
(三)计算机病毒及黑客的破坏。随着因特网的迅速发展,计算机病毒也在不断地表现出多样化、速度快、破坏力强、自我复制、难以防范等特点,给财务信息造成极大的威胁。同时,在庞大网络环境中,网络中的任意一台计算机都可以轻而易举地获取其他计算机的信息资源。所以,企业在进行交易时,处于一种极大的风险之中,其中最主要的是一些非法操作、网上黑客恶意攻击等。
(四)网络财务易造成管理漏洞。据有关资料显示,网络安全事件大多来自内部。内部工作人员由于熟悉内部网络情况而更容易窃取、篡改数据,带来信息安全隐患。此外,管理人员技术不精或者责任心不强,对财务网络系统未进行必要的安全配置和管理,对网络信息缺乏严密的监控;工作人员违反操作规程;用户不注意对系统进行口令保护,不设口令或使用很容易猜到的口令,使入侵者轻易冒充合法用户进入系统,造成泄密。还有一些不法分子通过收买系统的合法用户获取会计数据,或通过间接分析和询问来获取会计数据。事实上,管理不善已经成为网络信息安全的重要隐患。
三、网络财务信息安全风险防范措施
为了提高会计信息的准确性、可靠性和安全性,保障网络财务的健康发展,针对安全风险应采取以下措施:
(一)加强数据录入管理。在网络环境下,从不同计算机上输入的不同的企业业务交叉在一起,形成了一个庞大、复杂的数据库,再加上数据共享,如果内部控制制度不严密、不健全,没有严格检验的凭证或者数据录入到整个网络中,就很难查明原因,这就直接影响到财务信息的准确性和完整性。所以,必须加强数据管理,严格控制检验数据录入。在数据输入系统前要经过检验,并且分工录入,各负其责,明确责任。根据会计核算和网络系统的特点,可以把同类型的财务数据分组录入。
(二)加强内部人员控制。制定内部财务管理制度,加强内部人员道德素质培养,不断完善体制,严格把守财务信息存取关。也就是把计算机用户对信息的读入或修改控制在一定的范围内,按权限或级别访问浏览,进行身份认证,这样数据浏览和更改受到很大限制,就可以大大提高财务数据的安全性。
(三)加强对计算机病毒和黑客的防范。对于计算机病毒和黑客的防范,主要采取的方法是防火墙技术,它可以将病毒以及非法侵入拒之门外。目前,计算机病毒主要以电子邮件或潜伏在软件中进行传播,一旦打开邮件或下载软件,病毒将会进入网络财务系统中,构成严重的威胁。所以,不得打开来历不明的电子邮件和禁止在网上下载软件,必要时可停机以防止遭受破坏。
(四)利用加密技术防止传输中的泄密失真。加密技术是保护信息的保密性、完整性、可用性的有力手段,它可以在一种潜在的不安全的环境中保证通信及存储数据的安全。采用加密技术可以满足信息保密性的安全要求,避免财务信息在网络传输过程中被窃取和篡改。所以,采取有效适用的加密技术是网络财务信息安全的核心技术。
对于公立医院这样的医疗机构,财务、收费等信息一向敏感。一方面收费信息要对患者公开透明,另一方面要防止因内部人员暗箱操作而造成医疗机构的经济损失。如何防止职务犯罪,保障医院财务安全?信息化在医院形象建设和管理等方面起到了不可或缺的作用。曾经轰动一时的北京某医院的“石巧玲案”以及后来某著名医院的“马郸杰案”,给医疗机构的财物安全保障与信息化建设带来了一定的启示。
类似于“石、马”的案件除了医院管理不严以外,与医院未能充分利用信息技术也有很大关系。个人权限过大与软件设计的缺陷同样给犯罪份子提供了可乘之机。
当前医院财务管理模式
公立医疗机构的财务管理模式主要是事业单位管理模式,实行差额预算管理。随着医改的推进和新的医院财务制度的推出,这种管理模式是否会有所改变,还需时间的检验。但无论怎样的政策推出,多数医疗机构的经济活动程序和运作方式都是大同小异,财务管理的目标都是希望以最少投入取得最大收益。虽然医改提出公立医院要由粗放式发展转向集约式发展,但大多数医疗机构依然存在着重收入、轻管理的发展趋势。一些医院在规划缺失的情况下,盲目购进先进医疗仪器,扩建医院,修建高档病房,使得新项目带不来收益,造成了资金的大量浪费,从而使得医院负债成为普遍现象。这些行为间接损害了患者利益,使得医患矛盾更加突出。
目前,医院转型中出现的问题尤其是财务管理方面的问题已引起多方重视,但没有得到有效解决。相信随着今年新的医院财务制度的上线,微观监督失控、宏观监督乏力的现象会逐渐消失。
财务安全管理信息化实践
如何解决医院在当前发展模式中出现的财务管理问题?如何让医院在现今的环境中实现社会效益和经济效益同步?如何让信息技术能够在医院发展建设中产生效能?陕西省第二人民医院经过多年的实践,主要从两方面着手完善医院的财务安全管理。
全面预算管理制度
全面预算管理是医院财务管理控制的一种主要方法,是指以目标利润为导向,以财务部门为核心,对整个医院的所有经营活动实施全面的预算管理,通过编制、执行、控制、调整预算来建立的一种管理控制体系,以使整个医院的组织经营活动能沿着预算管理的轨道科学合理地进行,进而实现全面、全员、全过程预算控制和全面业绩评价。
全面预算管理在内容上主要包括三方面:一是各科室根据需要.编制本科室本年度支出计划.制成表格上报医院财务部门;二是由医院财务部门汇总上报领导.根据现金的流入量来安排现金的流出量,压缩一些不合理开支;三是由财务部门汇总编制年度经费预算。通过预算管理,实现年度收支综合平衡,较好地保障和促进医院各项任务的完成。
全面预算是医院经营计划的数字化表现,经营计划和全面预算都是对医院战略目标的分解和落实。因此,经营计划的合理性、准确性与战略的紧密衔接性决定了预算能否有效推动战略目标的实现。
全面预算管理能够实现医院战略、经营计划、预算之间的高度整合。与传统的计划管理不同,全面预算管理的本质是从粗放的定性化管理到精细的定量化管理的过程。它对医院的业务流、资金流、信息流、人力资源进行全面的整合,是集规划、控制、考核于一体的系统化管理工程。
财务管理全面信息化
信息化对于任何一家企业都有极大的促进作用,经过近几年的发展,信息化在企业中得到了广泛研究和应用。对于医院来说,财务管理的信息化需要因地制宜,根据医院定位、业务人员素质等条件进行医院财务管理信息系统的个性化发展。
近年来,医院的人、财、物等管理越来越受到重视。许多从做财务软件起家的企业都做起了HRP。HRP起源于ERP,是针对医院人力资源管理(人流)、财务资源管理(财流)、物资管理(物流)、业务信息资源管理(信息流)集成的一体化的医院管理软件。如同ERP一样,HRP也是强调要以财务为核心。
关键词:公司治理 财务状况 安全会计信息披露
一、引言
2009年亿元国内生产总值生产安全事故死亡人数为0.248人;工矿商贸企业就业人员10万人生产安全事故死亡人数为2.4人;煤矿百万吨死亡人数为0.892人。直接财产损失9.1亿元。(《中华人民共和国2010年国民经济和社会发展统计公报》)如此高的损失严重制约了国民经济的健康发展,因此建立行之有效的安全会计信息披露机制对遏制生产事故的频繁发生显得尤为必要。2006年,财政部、国家安全生产监督管理总局根据《国务院进一步加强安全生产工作的决定》,联合制定了《高危行业企业安全生产费用财务管理暂行办法》并于2007年1月正式实施,该《办法》针对高危行业生产企业的安全生产费用的提取、使用、披露、财务监督等方面作了规定,并要求高危行业企业在年度财务会计报告中,披露安全费用提取和使用的具体情况。2008年,财政部了《关于做好执行会计准则企业2008年年报工作的通知》,要求高危行业企业提取安全生产费用。以“专项储备”项目在“盈余公积”下单独列报。2009年,财政部要求企业在所有者权益中单独设置“专项储备”一级科目。法律法规的相继出台表明安全会计信息的报表披露问题已经提上日程。但是据研究,安全会计信息披露的情况并不乐观:李恩柱在《高危行业上市公司安全会计信息披露现状分析》一文中研究发现,选取的样本中只有25.93%的企业披露了安全会计信息。那么,到底哪些因素影响安全会计信息的披露、这些因素与安全会计信息披露之间的互动关系是怎样的,则是本文要解决的问题。
二、安全会计概述
(一)安全会计的定义 关于安全会计的定义,目前国内的学者没有统一的定论。综合来看,主要分为“管理活动论”和“信息系统论”。从“管理活动论”的角度出发,代表的观点如下:李恩柱认为,安全会计是运用以货币为主的多种计量单位,对所有可能发生生产事故单位的安全预防投入资源、事故损失估算及补偿的过程和结果进行反映和控制的一项管理活动。刘朝霞认为,安全会计是以货币为主要计量单位的多重计量方式,连续、系统、准确地反映和监督企、事业单位在生产过程中所有与安全相关的经济业务的一项经济管理活动。王书明、何学秋认为,安全会计是以科学发展观为指导,以货币及中介变量的形式核算并监督安全资源的成本、价值和行为效用,并将其结果报告给有关方面的会计管理方法。 “管理活动论”强调安全会计的管理职能。基于“信息系统论”观点,董桂伶认为,安全会计是以安全会计假设为前提,通过对安全会计对象确认、计量、记录和报告程序,为政府部门、投资者、债权人以及社会利益相关者提供财务信息,以促进企业加强经营管理,提高经济效益的一系列相互联系的目标、原则、基本概念和方法。小芳认为,安全会计是企业会计的一个新型分支,它是运用会计学的基本原理和方法,采用多种计量手段和属性,连续、系统、全面地对企业的安全经济活动进行核算和监督的专门会计。杨永丰认为,安全会计理论体系是以安全会计假设为前提,围绕安全会计对象所形成的一系列相互联系的目标、原则、基本概念和方法体系组成的一个有机整体。 “信息系统论”强调安全会计作为会计的一个新的分支,是为管理提供信息的方法。以上两种观点并无绝对矛盾,关键在于看问题的角度不同。基于此,笔者认为,安全会计是以货币为主要计量单位,安全会计假设为前提,对企业与安全生产相关的经济业务进行连续、系统、准确地核算并监督的经济管理活动。
(二)安全会计的核算 根据财政部《企业会计准则解释第 3 号》规定,高危行业企业按照国家规定提取的安全生产费,应当计入相关产品的成本或当期损益,同时记入“4301 专项储备”科目。企业使用提取的安全生产费时,属于费用性支出的,直接冲减专项储备。企业使用提取的安全生产费形成固定资产的,应当通过“在建工程”科目归集所发生的支出,待安全项目完工达到预定可使用状 态时确认为固定资产;同时,按照形成固定资产的成本冲减专项储备,并确认相同金额的累计折旧。该固定资产在以后期间不再计提折旧。“专项储备”科目期末余额在资产负债表所有者权益项下“减:库存股”和“盈余公积”之间增设“专项储备”项目反映。
(三)安全会计信息披露 (1)安全会计信息披露内容。一是安全政策。包括国家相关部门颁布的安全方面的规定,如果对企业有比较重要的影响,企业应当对规定及所受影响予以披露;企业制定的与安全有关的政策及规章制度。二是安全投资成本费用、事故损失及安全效益。企业应该披露安全投资的成本费用、事故处理损失、停工损失以及安全投资取得的效益,通过这些信息的披露,利益相关者可以更好地了解企业在安全方面的投资与回报以及安全事故所带来的损失。三是安全方面的奖惩。企业应披露因安全事故受到的处罚,或者因为能够从事安全生产、取得安全效益而受到的奖励。四是安全责任信息。对于可能承担的安全责任或者遭受的安全诉讼以及事故赔偿及承担的责任对企业造成的不利影响,企业应该如实披露。(2)安全信息披露方式。安全会计信息可以通过三种方式披露。 第一,补充报告模式。在现有的财务会计报告的基础上,通过增加会计科目、会计报表和报告内容的方式披露企业安全会计信息。“专项储备”可以定量地反映企业安全方面的储备,并且可以在财务报表中体现。但是更多详细的内容如“专项储备--使用”反映的安全投资的成本费用及非正常损失不能通过报表项目获悉,可以在财务报表附注中反映。有些不能定量反映的安全信息,如企业获得的安全认证、国家安全生产政策的影响等,可以在财务报告附注中进行定性地描述。对于董事会议通过的安全方面的决策则可以在董事会报告中进行披露。 第二,独立报告模式。安全会计信息独立报告是一种相对比较正式、规范、专业的披露模式,是用单独的报告来披露企业与安全相关的所有重要信息。但由于没有固定模板、没有统一规定要求以及成本较高等原因,当前很少有企业采用独立报告模式披露安全信息。随着安全生产受到越来越多的重视,安全会计信息独立报告理应成为一种趋势,以后应该会有越来越多的企业自愿或者被要求采用这种模式。 第三,公司重大事项公告。如果企业发生重大安全事故,或者在安全投资等方面做出比较重要的决策,企业应该通过重大事项公告进行披露,以保证信息时效性,使利益相关者能及时获取信息,避免做出错误决策。(3)安全会计信息披露的计量形式。安全会计信息可以通过不同的计量形式进行披露。从货币与非货币的角度考虑,安全会计信息通常以货币、非货币、货币与非货币相结合的计量形式存在。其中,货币形式最多;其次是货币与非货币相结合;最后是非货币形式。需要说明的是,安全生产费用、安全基金、安全设备、事故赔偿等内容主要通过货币形式进行披露。这些内容几乎是在财务报表附注中的某一科目中出现,并作为一个与安全有关的明细科目加以列示。
三、研究设计
(一)理论基础 安全会计理论基础是:(1)委托理论。委托关系是一个人或一些人(委托人)委托其他人(人),根据委托人利益从事某些活动,并相应地授予人某些决策权的契约关系。在这一契约关系中,人们将能够主动设计契约形式的当事人称为委托人,而将被动地在接受或拒绝契约形式之间进行选择的人称为人。由于委托人和人之间的目标函数是不一致的,因而,在委托人与人之间,不可避免地存在着利益上的冲突。会计信息记录了委托的每一个环节,并经如实记录后呈报给相关各方,以方便投资者的预测、决策。企业在经营管理的过程中,这种委托的模式对会计信息披露的真实性与完整性提出了质疑。委托关系的存在,必然涉及到公司治理情况,因而,安全会计信息的披露与公司治理之间是一定的互动关系。(2)信息经济学理论。信息经济学理论( Economics of information)一词起源于1959 年马尔萨克的《信息经济学评论》。从本质上讲,信息经济学是非对称信息搏弈,非对称信息指的是某些参与人拥有、但另一些参与人不拥有的信息。新制度学派认为,现代企业是一系列契约关系的联结点。与公司制产权分离相伴而来的是“信息失衡”。信息失衡将导致管理者利用自己的信息优势作出一些于己有利而损害其他利益集团的决策。从而,加剧经营方与利益集团之间的利益失衡,增加公司运行成本,削弱经营的效率,妨碍资源的合理配置。然而,提高信息披露质量有助于降低公司管理当局与外部资本提供者(股东和债权人等)之间的信息不对称,有助于资本提供者做出合理决策并强化对公司“经营过程”的内在监管,并进而降低资本提供者所面临的不确定风险,最终降低公司资本成本、提高公司价值。这一逻辑的进一步推理是,当公司信息披露的边际成本低于其边际收益时,上市公司有自愿提高信息披露质量的强烈意愿;而当上市公司经营状况良好、盈利能力较强时,其提高信息披露质量的积极性会更高。可见,财务状况是决定公司信息披露质量的基础之一。所以,根据信息经济学理论,安全会计信息披露与公司财务状况也应该有一定的关联。
(二)研究假设 大企业受到社会公众的关注,受到的相关利益者的压力更大,他们为了避免政治成本、保持企业社会形象和回避诉讼风险,更有压力和动力披露安全会计信息,我国的上市企业从其自身发展和政策导向上,都需要扩张规模,因而需要大量的外部资本,而通过资本市场融资已成为规模较大企业融资渠道的首选。上市企业也会自愿提供更多更详细的安全会计信息。因此提出假设1:
假设1:安全会计信息资产规模的对数正相关
公司资产负债率与公司会计信息披露之间的关联关系主要是通过财务风险的作用机理而形成。研究表明,资产负债率越高,公司“粉饰”合并报表、进行盈余管理的动机越强烈,从而信息披露质量也可能越低。因此提出假设2:
假设2:安全会计信息披露与资产负债率负相关
当上市公司经营状况良好、盈利能力较强时,其提高信息披露质量的主观意愿更高。相反,亏损公司在亏损年度存在着人为调减收益的盈余管理行为(陆建桥, 2002)。本文以净资产收益率(ROE)这一综合指标作为财务收益能力的替代变量,并提出假设3:
假设3:安全会计信息披露与净资产收益率正相关
研究表明,当公司治理结构不能有效制约大股东和管理层自利行为时,公司提供高信息质量的可能性就很低。Fama和Jensen认为董事会中较高的独立董事比例,将有利于监督和限制经营者的机会主义行为。从中国实践表现看,独立董事作为决策方面的专家,独立于大股东和管理层,能够客观、公正地评价企业经营决策并提出建议,能够代表利益相关者对企业内部经营管理者进行有效的监督,保证企业经营战略决策的有效实施,限制管理者盈余管理和侵犯利益相关者的利益,督促企业提高会计信息披露的质量和全面性,因而有利于安全会计信息披露。因此提出假设4:
假设4:独立董事比例与安全信息披露正相关
何卫东(2003)的研究表明:与股权集中度低(控股股东持股比例低于30% )的公司相比,股权集中度高(控股股东持股比例超过50% )的公司规模大、信息披露质量高、财务业绩较好;且相对于非国有控股公司,国有控股公司的规模大,信息披露质量高。相反结论也依然存在。笔者认为,股权集中度越高,大股东对上市企业越容易形成操控。当大股东成为企业的“内部人”时,已具备获取信息的能力,更加可能会减少对安全会计信息的披露。因此提出假设5:
假设5:控股股东持股比例与安全会计信息披露相关
理论上认为,董事长和CEO两职合一体制不利于董事会发挥其应有治理作用,因此CEO和董事长分离将是非常必要的;实证研究表明,两职合一公司(即CEO统治公司)对公司自愿性信息披露具有负面影响(Gul和Leung2000):CEO出于自身集团利益的考虑,进行盈余管理的可能性较大、程度高,因而不能很好地履行安全责任,对外隐瞒不利的安全信息。基于上述分析,提出假设6:
假设6:两职合一与否与安全会计信息披露相关
(三)样本选取与数据来源 本文选择深、沪两市属于财政部、国家安全监督管理总局规定的高危行业的381家上市公司2009年的年报作为研究对象,来分析我国安全会计信息披露的现状。数据采集过程如下:(1)样本来自采掘业、建筑业、金属非金属、石化塑胶、交通运输等五个行业,采用的是随机抽样的统计方法;(2)有关公司治理状况、公司经营状况的指标取自国泰安治理数据库和财务数据库;(3)根据前文分析,安全会计信息披露主要以货币形式为主,所以本文的安全会计信息披露与否主要是看公司2009年度财务报表及附注的“专项储备”这一数字披露。(4)各年报下载自巨潮资讯网。采用年报的原因在于年报是外部投资者获取上市企业信息非常重要的途径之一,而且年报的信息披露水平与其他途径的披露水平正相关。本文使用的数据处理统计分析软件是SPSS16.0。
(四)变量定义和模型建立 Logistic回归模型是对二分类因变量进行回归分析时所常用的多元统计方法。其模型的数学表达式为:log it(y)=ln()=a0+a1x1+a2x2+…anxn
等价表示为:p=
在这里, y= (1, 0)表示某一事件发生的次数, y=1表示发生, y=0表示不发生。p=P (y=1)表示事件发生的概率。
a ( i=0,…n)为待估参数,x ( i=1,…n)为自变量。
本文构建以安全会计信息披露为因变量的多元回归方程:y=α+β1X1+β2X2+β3X3+β4X4+β5X5+β6X6+ε
其中,α是常数项,βi(i=1,2,…, n)分别是各个自变量的回归系数,ε是误差项,各自变量的定义及取值情况见(表1)。
四、实证结果分析
(一)显著性检验 笔者采用Enter方法,只进行一步,因此三个统计量观测值完全相同,此处P=0.000<0.001见(表3),统计量检验显著,表明模型有统计意义。
(二)拟合分析 对安全会计信息披露与否的情况进行拟合,对于y=0(未披露)有95.3%的准确性,对于y=1(披露)有19.7%的准确性。对于所有个案有70.1%的准确性见(表4)。
(三)回归分析 其中B为参数估计,S.E.为其标准误,Wald为检验统计量,Sig.为其相伴概率值,Exp(B)为其他条件不变时对应变量每增加一个单位后安全会计信息披露的概率与原安全会计信息披露的概率相比的倍数近似值(表5)所示。由此得到相应的logistic回归方程:ln( )=-8.938+0.274 X1+0.358 X2+1.666 X3+4.523 X4+0.325 X5+0.066 X6,其中p为y=1的概率。
在logistic回归分析中,要比较自变量在回归方程中的重要性,一般直接比较Wald统计量的大小,自变量的Wald统计量越大,显著性就高,也就更重要。从(表2)可知,在安全会计信息披露的logstic回归方程中各自变量Wald统计量大小比较情况为:x1>x3>x4>x2>x5>x6。也就是说在考察诸因素中,对安全会计信息披露的影响程度从大到小分别为:总资产对数、净资产收益率、独立董事比例、资产负债率、控股股东持股比例、两职合一与否。总资产对数对安全会计信息披露的影响最大,而两职合一与否的影响最小。其次,影响安全会计信息披露的因素中,公司财务状况因素高于公司治理因素。选取的六个自变量中,总资产对数、资产负债率、净资产收益率体现的是公司的财务状况,独立董事比例、控股股东持股比例、两职合一与否体现的是公司治理情况。从整体来看,体现公司财务状况的指标的Wald值较大于体现公司治理的指标。也就是说,公司财务状况与公司治理情况相比,前者更容易影响的公司是否倾向于披露安全会计信息。再次,独立董事比例的变动影响最大。独立董事比例,即独立董事数/董事会成员总数。这一指标的Exp(B)=92.068,远大于其他指标的Exp(B)。这表明,在其他条件不变时,独立董事比例每增加一个单位后安全会计信息披露的概率与原安全会计信息披露的概率相比的倍数近似值为92.068,这种变动影响是最为明显的。最后,各因素对安全会计信息披露的具体影响。回归方程中,总资产对数的回归系数为0.274,显著性水平为0.004<0.05,表明总资产对数与安全会计信息披露正相关,且通过检验,假设1成立。净资产收益率、独立董事比例的回归系数分别是1.666、4.523,且均通过显著性检验,表明两者与安全会计信息披露正相关,假设3、假设4成立。资产负债率、控股股东持股比例、两职合一情况的回归系数均为正数,但是其显著性水平均大于0.05,为通过显著性检验,即假设2并没有得到很好的验证,控股股东持股比例、两职合一对安全会计信息的披露影响并不大,假设5、假设6不成立。
五、结论
本文研究结果表明,上市公司目前安全信息披露水平总体不高,资产规模较大、净资产收益率较高、独立董事比例较高的公司更倾向于以“专项储备”披露企业的安全会计信息。企业的股权集中度、资产负债率、两职合一或分离都与安全会计信息披露指数显著不相关。我国目前的公司治理不利于企业安全会计信息披露,企业即使有经济能力承担安全责任也没有积极性。我国的上市公司根据自身所处的行业,如何设置有利于经济和安全双赢的治理结构是个重大的课题。本文的研究存在以下不足:(1)安全会计信息披露的替代变量选取问题。本文以高危行业中的381家企业作为研究样本,安全会计信息是否披露仅仅取决于是否以货币形式单独列示“专项储备―安全生产费”,但根据前文的论述,安全会计信息的披露还包括安全政策、安全投入与产出等内容,所以仅以货币计量的方式来考察安全会计信息披露这一做法是否权威可信,是值得商榷的问题之一。但是根据财政部《企业会计准则解释第3号》的规定,高危行业提取的安全生产费计入相关产品的成本或当期损益,同时计入“专项储备”科目。尽管变量选取可能存在不足,但我认为还是合理和可取的。(2)本文只从年报中收集,而没有统计企业的招股说明书、上市公告书、中期报告等公告里涉及的安全会计信息披露,这可能会影响本文的结论。(3)在讨论安全会计信息披露时,控股股东性质、外部审计师的属性都有可能直接或间接影响安全会计信息的披露,本文仅在一般水平上分析了安全会计信息披露和财务状况、公司治理的关系。尚需扩大样本量,考虑控股股东性质、外部审计师的属性等因素,探讨安全会计信息披露与财务状况、公司治理的互动关系。
参考文献:
关键词:财务外包;信息安全风险;甄别与控制
一、引言
随着时代的发展,以及经济水平的不断提高,人们逐渐意识到了财务外包的重要性。公司在实行财务外包后,在享受其优越性的同时,也会面临着一些风险。公司在实行财务外包后可能面临的风险多种多样,需要公司管理层深思熟虑。主要面临的风险有三种,第一种为最为常见的外包决策战略失误风险;第二种为外包信息安全的风险;第三种风险为外包成本远远的超过了预期。因此财务外包策略在执行的过程中需要考虑到财务外包信息安全的风险以及对这些风险因素进行针对性的甄别,从众多影响因素中挑选出风险因素最后再采取相应的措施来控制这些风险,以达到实行财务外包的公司在避免财务外包信息安全风险的同时,享受到其独特的优点。
二、财务外包的信息安全风险的相关内涵
一般来讲财务外包就是公司通过与承担外包的公司也就是承包商签订详细的合同或者协议,根据合同或者协议内容将本公司全部或者一部分的财务工作委托给承包商,在承包商依法履约其应有的义务后,支付其应有的报酬。如今越来越多的公司意识到财务外包的重要性,甚至把其当成有力的竞争手段。公司的管理层充分的意识到,如果不进行财务外包,那么公司很有可能在激烈的外部竞争中处于劣势,以致予淘汰出局。财务外包在我国目前发展虽然有着广阔的前景,但发展还是比较缓慢的,仍有较大的改进空间。许多公司对财务外包没有完全放下顾虑,仍然对外包后存在的信息泄露风险存有一定的顾虑。
财务外包的信息安全风险也就是指,公司将财务进行外包后公司内一些与公司核心业务有关的重要信息和数据被无意或者有意泄露以及盗用的风险。众所周知,一个公司的财务部门对财务部门的保密度比较高,并且在日常公司的运营过程中财务工作中会产生大量的内部信息,在这些信息之中好多信息对公司来说都是商业机密,如果在财务外包后这些重要信息发生了泄露,那么这对企业造成的损失将是难以估量的,尤其是这些信息被公司的竞争对手的得到,后果就更加不可想象了。因此与财务有关的各项业务一般都会保密,除非强制性披露的要求,否则这些信息是不会向外部透漏的,哪怕是公司一般的管理层有时候也要加以保密。
三、财务外包的信息安全风险的甄别
在实施财务外包决策的过程中,要结合公司自身的实际情况来甄别一些潜在的或者明面上存在的相关信息安全风险,在充分分析这些风险的来源、发生概率以及危害程度的基础上,接着采取相应的手段和方式加以有效的控制,因此在此过程中,安全风险的甄别与控制对财务外包有着重要的影响,甚至在某种程度上可以决定着财务外包是否能够成功。公司财务外包的信息安全风险主要有以下几个方面:
第一、信息泄露的风险。信息泄露风险是公司财务外包所面临的发生概率最大的信息安全风险。此风险的发生虽然有诸多因素引起的,但最主要的因素就是客户公司重要信息或者数据的保密程度不够,或者承包商在采取保密过程中所采用的保密措施不够完善。因此外包商对于客户的资料是否依据实际情况建立了比较严格的保密制度,对于承包商内部的员工是否明确了相关责任追究制度来避免信息泄露风险的发生。这些因素都会对承包商内部员工产生影响,进而会有承包商内部员工将其所接触到的客户信息泄露的可能。
第二、信息被丢失的风险。信息被丢失主要发生在信息传递以及信息处理时,有可能在外包过程中承包商的相关技术不够完善或者不够成熟,因此其相关技术在稳定性以及安全性上仍有不足之处。承包商在面对信息丢失事故时所采取的补救措施是否得当合理、采用补救和预防技术的时效性,这些因素处理的效率和效果都会在一定程度上对信息丢失产生重要的影响。
第三、信息被盗取的风险。发生此风险主要的原因在于外包商对于自己客户的信息资料保护措施做得不够好,相关保护制度不完善,以致于在保护制度或者措施上存在漏洞。因此公司进行财务外包时,承包商是否采取相应的措施来对客户的信息建立起有效的管理制度,以及承包商专业团队成员的整体素质情况等,这些因素实施的好坏,都会对企业信息被盗造成了重要的影响。另外,对信息进行承包的企业属于服务性行业,这个行业的特点也决定了其内部员工的流动性也比较大,因此在人才流动的过程中也在一定程度上加大了所承包企业在信息经营过程中被盗的风险,而且这个风险不容易完全规避。
四、财务外包的信息安全风险的控制
若想进行全面而有效的控制,因此要结合公司所处的环境以及自身的特点,从外包的全过程入手,在整体全局上建立合适的控制机制,从而从全过程以及全方位的减少和防范财务外包后所带来的不确定的各种信息安全风险,进而最大限度的为公司安全运营服务,公司在进行财务外包前要建立信息安全风险的相关防范机制,可以从以下三个方面来入手:
一、引言
随着时代的发展,以及经济水平的不断提高,人们逐渐意识到了财务外包的重要性。公司在实行财务外包后,在享受其优越性的同时,也会面临着一些风险。公司在实行财务外包后可能面临的风险多种多样,需要公司管理层深思熟虑。主要面临的风险有三种,第一种为最为常见的外包决策战略失误风险;第二种为外包信息安全的风险;第三种风险为外包成本远远的超过了预期。因此财务外包策略在执行的过程中需要考虑到财务外包信息安全的风险以及对这些风险因素进行针对性的甄别,从众多影响因素中挑选出风险因素最后再采取相应的措施来控制这些风险,以达到实行财务外包的公司在避免财务外包信息安全风险的同时,享受到其独特的优点。
二、财务外包的信息安全风险的相关内涵
一般来讲财务外包就是公司通过与承担外包的公司也就是承包商签订详细的合同或者协议,根据合同或者协议内容将本公司全部或者一部分的财务工作委托给承包商,在承包商依法履约其应有的义务后,支付其应有的报酬。如今越来越多的公司意识到财务外包的重要性,甚至把其当成有力的竞争手段。公司的管理层充分的意识到,如果不进行财务外包,那么公司很有可能在激烈的外部竞争中处于劣势,以致予淘汰出局。财务外包在我国目前发展虽然有着广阔的前景,但发展还是比较缓慢的,仍有较大的改进空间。许多公司对财务外包没有完全放下顾虑,仍然对外包后存在的信息泄露风险存有一定的顾虑。
财务外包的信息安全风险也就是指,公司将财务进行外包后公司内一些与公司核心业务有关的重要信息和数据被无意或者有意泄露以及盗用的风险。众所周知,一个公司的财务部门对财务部门的保密度比较高,并且在日常公司的运营过程中财务工作中会产生大量的内部信息,在这些信息之中好多信息对公司来说都是商业机密,如果在财务外包后这些重要信息发生了泄露,那么这对企业造成的损失将是难以估量的,尤其是这些信息被公司的竞争对手的得到,后果就更加不可想象了。因此与财务有关的各项业务一般都会保密,除非强制性披露的要求,否则这些信息是不会向外部透漏的,哪怕是公司一般的管理层有时候也要加以保密。
三、财务外包的信息安全风险的甄别
在实施财务外包决策的过程中,要结合公司自身的实际情况来甄别一些潜在的或者明面上存在的相关信息安全风险,在充分分析这些风险的来源、发生概率以及危害程度的基础上,接着采取相应的手段和方式加以有效的控制,因此在此过程中,安全风险的甄别与控制对财务外包有着重要的影响,甚至在某种程度上可以决定着财务外包是否能够成功。公司财务外包的信息安全风险主要有以下几个方面:
第一、信息泄露的风险。信息泄露风险是公司财务外包所面临的发生概率最大的信息安全风险。此风险的发生虽然有诸多因素引起的,但最主要的因素就是客户公司重要信息或者数据的保密程度不够,或者承包商在采取保密过程中所采用的保密措施不够完善。因此外包商对于客户的资料是否依据实际情况建立了比较严格的保密制度,对于承包商内部的员工是否明确了相关责任追究制度来避免信息泄露风险的发生。这些因素都会对承包商内部员工产生影响,进而会有承包商内部员工将其所接触到的客户信息泄露的可能。
第二、信息被丢失的风险。信息被丢失主要发生在信息传递以及信息处理时,有可能在外包过程中承包商的相关技术不够完善或者不虺墒欤因此其相关技术在稳定性以及安全性上仍有不足之处。承包商在面对信息丢失事故时所采取的补救措施是否得当合理、采用补救和预防技术的时效性,这些因素处理的效率和效果都会在一定程度上对信息丢失产生重要的影响。
第三、信息被盗取的风险。发生此风险主要的原因在于外包商对于自己客户的信息资料保护措施做得不够好,相关保护制度不完善,以致于在保护制度或者措施上存在漏洞。因此当公司进行财务外包时,承包商是否采取相应的措施来对客户的信息建立起有效的管理制度,以及承包商专业团队成员的整体素质情况等,这些因素实施的好坏,都会对企业信息被盗造成了重要的影响。另外,对信息进行承包的企业属于服务性行业,这个行业的特点也决定了其内部员工的流动性也比较大,因此在人才流动的过程中也在一定程度上加大了所承包企业在信息经营过程中被盗的风险,而且这个风险不容易完全规避。
四、财务外包的信息安全风险的控制
若想进行全面而有效的控制,因此要结合公司所处的环境以及自身的特点,从外包的全过程入手,在整体全局上建立合适的控制机制,从而从全过程以及全方位的减少和防范财务外包后所带来的不确定的各种信息安全风险,进而最大限度的为公司安全运营服务,公司在进行财务外包前要建立信息安全风险的相关防范机制,可以从以下三个方面来入手:
第一,慎重选择承包商。唯有慎重选择外包商,才能在有效的降低财务外包的风险,这是第一步,同时这也是最关键的一步。在决定承包商之前,要详细的了解承包商的信誉度,因为信誉是经过常年累月积累起来的,因此一般情况下信誉良好的承包商,因为它们不但保密工作做得好,并且各项技术也比较齐全,这些都是保证公司财务外包信息安全的物质基础。并且要有几个备选的外包商公司,来进行综合的比较,择优录取。另外公司还需要时刻关注外包商的相关工作是否有相关合法的知识产权保护制度,这可以在法律层面保护公司的财务外包信息安全。
第二,与外包商签订相关的安全信息合同或者协议。为了保证公司财务外包信息的安全,公司应该与承包商签订详细合理的信息安全协议,并且要合法的、详细的列举公司与承包商的权利和义务,严格控制承包商所拥有的权限,禁止其有越权的行为,并且在今后实施的过程中,要求承包商依法对信息安全做出承诺。在实施过程中若因为外包商的原因造成的信息泄露或者丢失进而对委托方造成经济损失的,那么在合同或者协议中要明确规定具体相关的补偿办法和措施来对委托方进行相应的补偿。由于财务外包还属于新兴的产业仍处于发展初期,因此目前仍无完善的法律法规对其进行规范和约束,这也是财务外包发展所面临的障碍。目前我国的信誉体系仍比较脆弱,并不能完全满足其快速发展的需求,因此唯有订立严格周全的信息安全协议才能在法律层面为公司的信息安全提供最坚定的保障。
第三,合理选择财务外包的内容。公司在决定进行财务外包前,应对财务业务链上的每个环节进行检查,优先将一些非核心的业务外包出去,随着公司与外包商逐步建立起合作信任关系后,在考虑外包一些重要的、核心的业务。对于一些外包后信息安全存在较大风险的业务,公司要慎重考虑,最好不进行外包。这样公司选择的余地更大,更能充分利用外包商的核心优势,并且还可以起到分散风险的作用。
五、总结
本文在分析财务外包的信息安全风险的内涵的基础上,给出了财务外包的有关定义。并结合其定义来对财务外包的信息安全风险进行甄别:有信息泄露的风险、信息被丢失的风险以及信息被盗取的风险。针对这些风险采取了一些风险控制的措施:有慎重选择外包商、与外包商签订相关的安全信息合同或者协议以及合理选择财务外包的内容。通过这些措施可以有效地减少财务外包的信息安全风险,并未财务外包的发展做出相应的贡献。
参考文献:
[1]罗艳.财务外包风险规避的探讨[D].江西财经大学,2010.
[2]柳金叶.企业财务外包风险管理研究[D].东北石油大学,2011.
[3]雷振红.高校信息安全服务外包风险的管理与控制[D].昆明理工大学,2009.
[4]钟男.企业财务外包风险应对研究[D].西南财经大学,2012.
