在公司會計信息化實施的風險分析中,一般的會計信息化系統建設項目潛在的風險主要包括總體目標不具體、資金支持、開發商承諾、團隊建設、硬件、網絡技術、軟件、安全防范、知識轉移等風險通過風險管理分析可看出:在最初的項目理解階段,識別的潛在風險可能數量很多;通過項目風險管理控制點的評估和測試,對潛在風險進行篩選,去除那些運用普通的項目管理措施就可以避免和克服的風險,從而使風險管理人員將主要精力集中于那些為數不多的剩余風險上;在確定了剩余風險后,有的放矢地進行相應的管理和控制,最終使實施的整體奉獻能夠得到有效的控制。風險管理的實質就是:識別風險,篩選風險,控制重點風險,最終降低風險。
一、科學規劃、分步實施
集團會計信息化系統建設的具體目標為:“統一規劃、分步實施、急需先上,科學管理”。具體講就是指,在公司集團會計信息化總體目標的基礎上,根據公司不同發展階段面對的不同發展問題,確定會計信息化系統的分步建設目標。從最初的分散核算模式,到集團報表的集中網絡化管理;從資金單一的信貸管理,到整個集團的資金統一集中管理;從預算管理的各自為陣,到預算表格、預算分析、預算上報與下發的統一管理。實踐證明,務實而又科學的具體目標可以防止總體目標成為夸大空泛、虛無縹緲的目標,有效地防范了集團會計信息化目標不具體所帶來的風險。
二、領導重視、資金到位
面對眾多大型能源項目的建設,公司成立時的9億元資本金就顯得捉襟見肘,但公司主要領導仍然十分重視公司會計信息化建設,親自主抓和過問項目的建設進度和關鍵點,同時,每年按照會計信息化系統建設的具體目標拿出一部分資金,確保當年目標當年實現。
三、引進競爭、擇優選擇
在會計信息化系統建設中,處于競爭的壓力,軟件開發商因急于簽訂軟件銷售合同而可能過于夸大軟件的功能,或者隱瞞軟件存在的問題,以及給予企業種種不切實際的許諾,從而對項目的實施效果、項目的實際投資、項目實施進度等方面帶來許多不確定的因素,增加了項目實施風險。由于對系統的不了解和相關專業知識、專業技能欠缺,公司對軟件供應商的上述行為往往缺乏準確的判斷。面對這種風險可能,在實施集團報表網絡化建設中,引入競爭,先后與國內多家財務軟件公司聯系,擇優選擇合作,較好的控制了開發商承諾風險;在實施集團公司資金集中管理建設中,進行公開招標,通過引入公正的第三方招標代理機構,完全按照規范的招標程序進行操作,通過公開報價、現場述標、專家評審、招標領導小組討論,最終選擇了適合的公司實施該項目,簽定標準軟件購買合同,在保證滿足要求,確保實施效果的基礎上節約了軟件購買成本,最大限度的防范了軟件開發商承諾風險。
四、合理、嚴謹的項目組織管理及順暢的溝通交流
項目團隊建設的風險來自于兩方面:一方面,是軟件供應商的技術人員、實施人員經驗不足,項目控制能力差,同客戶的交流能力不強,不了解客戶的行業背景,甚至還不熟悉即將實施的系統知識;另一方面,客戶沒有認真對待自身的項目組織建設,沒有正確選擇項目組成員,難以確保固定的成員自始至終參與項目的建設。公司在項目團隊建設上下足了功夫。對于軟件供應商,選擇了在國內外財務軟件行業富有盛名的公司,該公司專門為各項目的建設成立了項目組,配備了咨詢顧問、項目總監、項目經理、實施顧問等人員,同時,求這些人員必須是主持或參與過所要實施的項目,確保投入人員的質量和素質。此外,為便于實現高度的合作及高效率的管理,公司也專門成立了包括客戶項目總監、客戶項目經理,以及由各單位項目負責人組成的項目工作小組,負責整個項目實施過程中的組織協調和實施監督。
五、合格的硬件設備和充分的安全性措施
首先,應保證計算機信息系統各種設備的物理安全,具體是指保護計算機網絡設備、實施以及其他媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其次,通過采取數據庫分層次,操作員分工明確,操作記錄加密,數據傳輸加密,防火墻設置,配備入侵檢測系統,安裝防病毒系統,安裝主服務器安全防護系統,數據實時備份與恢復機制等一些列防范措施來確保會計信息化系統建設的安全性。
六、安全穩定、成熟快捷的網絡技術
公司專門研究制訂了集團公司網絡安全通道暨內外網分離改造方案,具體方案是:公司統一申請一個公網IP地址,下屬各單位登陸該公網IP地址,經過USBkey身份認證,通過SSL VPN地址轉換,自動登錄到集團應用服務器上,實現用友ERP-U8賬務處理,集團報表網絡化填寫、報送,資金集中統一管理,完全實現了公司目前規劃的集團會計信息化系統建設方案,實踐證明該網絡實施方案是完全可行的,符合集團會計信息化系統的建設和安全保密的需要。對于各單位登陸公網和安全認證的方式,公司邀請的專家一致評審認為,目前有租用專用通道的下屬單位使用專用通道登陸財務服務器,進行數據交換。沒有專用通道的單位通過訪問Internet連接公司本部SSL VPN設備,經強認證后進行連接訪問。原各下屬公司的IPSEC VPN設備由于安全性、穩定性較差不易維護,停止使用。公司通過購買加密根證書與USBkey加密,自建CA認證服務器,外網用戶使用SSL VPN訪問內網時應通過使用自建CA認證服務器的方式進行強加密認證。
七、身份認證、訪問控制、數據加密以及數字簽名技術相結合
利用數字證書進行用戶身份認證和信息加密是網上資金結算系統的安全基石。在具體的實施過程中,公司首先委托第三方CA證書管理中心提供證書服務。CA中心的職能是為用戶進行數字證書的簽發、生成和注銷,建立系統中的相互認證體系和用戶管理辦法。其次,使用資金結算系統的所有用戶的證書保存在USBkey硬件的機密模塊里,傳輸中的加密通過硬件加密模塊實現,并通過密碼進行保護。再次,WEB服務器和客戶端之間通過證書身份認證后,將加密后的數據在Internet網絡上加密傳輸。最后,采用身份控制的登錄方式訪問被授權的網頁,建立加密的安全通道,用戶需要在頁面上做數字簽名操作,然后返回數字簽名被驗證成功的結果。
八、多角度思考、全方位設計
首先,通過多方比較,選擇軟件股份有限公司開發ERP-NC管理軟件,該軟件是基于網絡環境而開發的B/S方式訪問的軟件,采用了Jay語言和ORACAL大型數據庫,具備Web架構。在集團報表網絡化實施過程中,編制IUFO報表的集團公司操作員在服務器設置報表參數后,分配各單位操作員的訪問權限和操作權限,所有與IUFO報表相關的人員在線完成所有的編制工作環節,隨時可以做到會計報表模版的下發、會計報表的查詢、上報、匯總、合并等工作,這些工作都可以通過遠程進行監控,從而保證了系統的安全性。在資金集中統一管理實施過程中,通過賦予各單位不同的用戶具備不同的角色,具備不同角色的用戶通過CA身份認證后進行資金的不同結算業務。其次,在集團本部服務器安裝了江民網絡殺毒軟件,做到實時殺毒、實時備份、實時升級,對重要數據做到定期轉移備份和隔離備份。同時,要求各基層單位同時安裝殺毒軟件,定期殺毒和備份,這些工作對有效地控制軟件的自身風險起到了重要的作用。
九、全程開展項目培訓
科學合理的、全程、全員的項目培訓不僅是項目實施工作的重要組成部分,更是避免項目知識轉移風險的唯一途徑。做好項目全程、全員培訓不但可以提高企業應用人員的操作技能,減少系統推廣阻力,取得良好的項目應用效果,而且還可使企業接觸外界先進的管理思想和管理方法,增強企業知識能力。做好項目培訓工作,必須明確項目培訓的目的,項目培訓工作應該貫穿項目建設的全過程。在資金集中統一管理實施過程中,重點對關鍵用戶進行詳細的培訓,要求他們參與學習、實施項目整個過程,隨后提煉的重要知識傳授給最終用戶,做到通俗易懂、方便操作,從而有效地排除知識轉移風險。
