如何防范外部财务信息安全问题?

　　至于外部财务信息风险的应对，首先就是服务商的选择。阮祺康认为，在选择云服务上要考察四方面的因素。

　　“一是要考虑其是否提供核心技术，是否具有核心竞争力;二是其所提供的技术是否通过信誉度高的认证，在此基础上选择信任的服务商。”阮祺康说，“对于财务信息等敏感内容要签订保密协议，并确保具有法律效力。此外，要考虑服务商的安全投入，是否能够真正确保安全，制定业务连续性计划，选择在系统恢复方面可提供透明服务的供应商进行备份并测试恢复能力。”

　　林育民补充说，除了上述因素，还应该考虑服务商的服务水平，考察服务商的财务水平以及是否满足法律要求。

　　“不能满足企业要求的服务既会造成浪费也不能保障财务信息安全，而对方财务状况糟糕一旦出现倒闭或不能正常运营，也无法保障其承诺的服务。”林育民说，“此外，中国法律有诸多限制，要考虑其提供的服务是否符合法律要求。”

　　其实，云服务还存在其他的财务信息风险。云计算一方面以指数级别增加了海量的数据信息，另一方面又迫使IT部门将更多原本可以封闭起来加以保护的信息放在更为开放的平台上以提升效能。在私有云中，由于很难明确数据实际存放的物理位置，财务部门的机密信息可能会泄露至其他部门或者企业外部。对此，东北财经大学会计学院教授王棣华则对本报记者表示，不能够公开披露的财务信息不应通过云服务管理。

　　“财务部门的机密信息不能放在开放的平台上，否则很难避免风险。”王棣华说。

　　而安永上述调查报告也显示，为缓解由使用移动设备引发新增风险或加剧风险，有7%的受访者所在企业禁止将所有平板电脑和智能手机用于专业服务。为控制敏感信息的数据泄露，15%的受访者所在企业限制访问敏感信息。

　　不过，阮祺康也表示，依赖外部企业不足以彻底解决所有与云计算相关的风险，包括财务信息风险。阮祺康建议：“企业应该采取务实、积极的措施而不是被动地应对。董事会应更多地探讨信息安全问题，制定明确的战略以支持云计算服务及其他服务。然而，大多数企业要实现上述目标还有很长的路要走。”

　　加强内部控制防范内部财务信息风险

　　“在对云计算风险点全面分析后，企业应制定相应的内部控制制度，培训相关人员，提高风险防范意识。”王棣华说。

　　阮祺康则认为，要从管理、流程和技术上加强内部控制。他指出，从管理方面来说，企业要对相关财务人员进行相关培训，提高员工防范财务信息风险的意识，清楚地告诉财务人员，违规便要受到惩罚。从流程方面来说，目前应用云服务的很多企业还仅仅停留在业务层面，但是云服务打破了部门的边界，这样一来，存在潜在的信息泄露点。为此，企业要制定敏感数据分类和处理政策，并以此作为防止财务数据泄露风险的一项控制措施。从技术上来说，要从网络的架构、系统的安全等方面来考虑，采用数据泄露保护工具，适时调整企业信息安全策略，持续不断地对风险进行评估。

　　王棣华还表示，除了在云计算技术方面加强内部控制之外，全面提升内部控制水平是关键。对人的内部控制一定要跟上，否则问题会越来越多。

　　林育民也指出，从传统上来考量，仍然要做到权责分明，在业务流程上要有一定的授权，不能一到数字化便将内控“消灭”。

　　“管钱不管账、权责区分、不同角色应有不同权限这样的传统内控措施仍然需要加强。”林育民说。

　　对于云时代的内部控制，软件提供商也早有准备。针对集团企业的内部控制与风险管理，金蝶亦提出了以内部控制推动集团企业管理与信息化转型的观点。金蝶认为，要通过内部控制提升企业的管理水平，使内部控制的制度、流程通过企业信息系统落地，真正让企业通过内控获得收益。

　　短评：

　　企业财务信息安全问题是一个常谈常新的问题。随着信息技术的发展，财务信息安全问题已经不只是传统的财务信息错误、内幕信息泄露等问题;相应地，“云计算”的不断应用，企业财务信息也增加了更容易泄露的途径———外部人也有可能获取，并且是大量地获取企业的财务信息。但是防范这些风险的发生，归根结底还是在于“人”。

　　因此，从企业财务人员的角度来说，云时代，不仅要懂财务会计这本行的业务，也要懂得计算机技术。当然，企业不可能要求所有的财务人员都成为IT高手，然而，却会要求财务人员至少有基本的计算机常识。

　　从EXCEL的使用、企业财务电算化等日常应用到注会行业网络化建设、注会考试实行机考等行业发展问题，再到企业财务信息安全问题的防范，会计人还有什么理由对计算机技术说不?时不我待，勇立潮头才是正道!

(责任编辑：)