摘 要:實(shí)現(xiàn)醫(yī)院會計信息網(wǎng)絡(luò)化是確保醫(yī)療事業(yè)可持續(xù)發(fā)展的需要，但是在諸多因素的影響下，會計信息系統(tǒng)存在著很多潛在的安全風(fēng)險。加強(qiáng)管理，防范信息系統(tǒng)的各種風(fēng)險，盡力將潛在安全風(fēng)險系數(shù)降至最低，是醫(yī)院現(xiàn)代信息管理的重要組成部分。

關(guān)鍵詞:醫(yī)院 會計信息 安全風(fēng)險

中圖分類號:F234 文獻(xiàn)標(biāo)識碼:A

文章編號:1004-4914(2010)05-177-02

隨著信息產(chǎn)業(yè)的快速發(fā)展，醫(yī)院數(shù)字化體系的建設(shè)成為醫(yī)院現(xiàn)代化信息管理的重要組成部分，也是知識時代的重要選擇，醫(yī)院作為獨(dú)立經(jīng)營、自負(fù)盈虧的經(jīng)濟(jì)實(shí)體，財務(wù)工作實(shí)施信息化管理有著廣泛的優(yōu)越性。然而，在網(wǎng)絡(luò)、設(shè)備、人員等諸多主客觀因素的影響下，會計信息系統(tǒng)又存在著很多潛在的安全風(fēng)險，如何利用好會計信息系統(tǒng)的長處并設(shè)法盡力做好安全風(fēng)險的防范工作，成為醫(yī)院財務(wù)管理的另一工作重點(diǎn)。

一、醫(yī)院會計信息系統(tǒng)的特征

醫(yī)院會計信息系統(tǒng)負(fù)責(zé)收集、加工、存貯、輸送和利用會計信息，對醫(yī)院經(jīng)濟(jì)活動進(jìn)行控制和監(jiān)督，具有以下三個特征。

1.會計信息系統(tǒng)的完整性。會計信息反映了醫(yī)院日常業(yè)務(wù)和醫(yī)院管理的全過程。一個完整的會計信息系統(tǒng)一般包括財務(wù)會計和管理會計兩個子系統(tǒng)。財務(wù)會計系統(tǒng)一般包括財務(wù)處理、報表管理、工資核算、材料核算、固定資產(chǎn)核算、成本核算、藥品核算等模塊。在醫(yī)院管理信息系統(tǒng)中，沒有哪個子系統(tǒng)的管理信息像會計信息那樣自始至終地貫穿于醫(yī)院的管理活動之中，與醫(yī)院管理信息系統(tǒng)各子系統(tǒng)交換數(shù)據(jù)最頻繁、結(jié)合最緊密的是會計信息子系統(tǒng)。

2.會計信息系統(tǒng)的復(fù)雜性。會計管理信息子系統(tǒng)是為醫(yī)院管理提供決策依據(jù)的，所以對會計信息的要求必須及時、可靠，同時它與其他子系統(tǒng)的數(shù)據(jù)交換最頻繁，所以在研究會計信息系統(tǒng)時必須要考慮它與所有其他子系統(tǒng)的聯(lián)系。會計管理信息系統(tǒng)接受各方面的信息，加工處理后又反饋給各方。它與各方交流越多，功能越強(qiáng)，其內(nèi)部結(jié)構(gòu)也越復(fù)雜。

3.會計信息系統(tǒng)的重要性。由于會計信息系統(tǒng)以貨幣形式反映醫(yī)院整個業(yè)務(wù)活動的綜合經(jīng)濟(jì)信息，在醫(yī)院管理信息中所占比重很大，而且大多是綜合性的信息，因此醫(yī)院財務(wù)管理是醫(yī)院經(jīng)濟(jì)管理的重要組成部分。會計信息是直接為醫(yī)院管理服務(wù)的重要信息，醫(yī)院會計信息系統(tǒng)是整個醫(yī)院管理信息系統(tǒng)的核心子系統(tǒng)，醫(yī)院會計電算化的發(fā)展將有力地促進(jìn)整個醫(yī)院管理工作實(shí)現(xiàn)現(xiàn)代化。

二、醫(yī)院會計信息系統(tǒng)安全風(fēng)險的表現(xiàn)形式

會計信息系統(tǒng)的安全風(fēng)險是指人為的或非人為的因素使得會計信息系統(tǒng)保護(hù)安全的能力減弱，從而造成系統(tǒng)的信息失真、失竊和醫(yī)院資金財產(chǎn)損失及系統(tǒng)硬件、軟件無法正常運(yùn)行等結(jié)果發(fā)生的可能性。其表現(xiàn)形式有:

1.會計信息失真。會計信息的真實(shí)、完整、準(zhǔn)確是對會計信息處理的基本要求，由于會計信息是醫(yī)院生產(chǎn)經(jīng)營活動的綜合、全面的反映，醫(yī)院的各個職能部門幾乎都不同程度的需要、利用會計信息，因此，會計信息的質(zhì)量不僅僅關(guān)系到會計信息系統(tǒng)，還影響醫(yī)院管理的其他子系統(tǒng)乃至醫(yī)院的整個管理決策。一旦會計信息系統(tǒng)的安全受到侵害，最直接的影響就是會計數(shù)據(jù)錯誤、數(shù)據(jù)丟失或被篡改使會計信息失真，從而不同程度地影響會計信息的使用者進(jìn)行有關(guān)決策。

2.醫(yī)院資產(chǎn)損失。利用非法手段侵吞醫(yī)院資產(chǎn)是會計信息系統(tǒng)安全風(fēng)險的主要形式之一。其手段主要有:未經(jīng)許可非法侵入他人計算機(jī)設(shè)施、通過網(wǎng)絡(luò)傳播病毒等有害程序、非法轉(zhuǎn)移電子資金及盜竊銀行存款等。隨著犯罪技術(shù)的日趨多樣化、復(fù)雜化，信息系統(tǒng)犯罪更加隱蔽、更加難以發(fā)現(xiàn)，涉及的金額也從最初的幾千元發(fā)展到幾萬元，甚至上億元，安全風(fēng)險損失越來越大，后果越來越嚴(yán)重。

3.醫(yī)院重要信息泄露。目前，利用高科技手段竊取醫(yī)院機(jī)密成為系統(tǒng)安全風(fēng)險的重要形式。比如:竊取醫(yī)院重要的會計信息并泄露給競爭對手以達(dá)到某種非法目的等，常常會對醫(yī)院造成無法估量的損失。

4.系統(tǒng)無法正常運(yùn)行。無論是無法避免的自然災(zāi)害，還是出于非法目的輸入破壞性程序、操作者有意或無意的操作造成硬件設(shè)施的損害、計算機(jī)病毒的破壞等都有可能使會計信息系統(tǒng)的軟件、硬件無法正常工作，甚至系統(tǒng)癱瘓，造成巨大損失。

三、醫(yī)院會計信息系統(tǒng)安全風(fēng)險的防范策略

1.在軟件功能上施加必要的控制措施來保護(hù)會計數(shù)據(jù)的安全。

(1)增加必要的提示功能。如軟件執(zhí)行備份時，存儲介質(zhì)上無存儲空間、備份介質(zhì)未正確插入和安裝;執(zhí)行打印時未連接打印機(jī)或未打開打印機(jī)電源;用戶輸入數(shù)據(jù)時輸入了與系統(tǒng)當(dāng)前數(shù)據(jù)項(xiàng)不符的數(shù)據(jù)或未按要求輸入等等，此時系統(tǒng)應(yīng)給予必要的提示，并自動中斷程序的執(zhí)行。

(2)增加必要的保護(hù)功能。在突然斷電、程序運(yùn)行中用戶的突然干擾等偶發(fā)事故，如軟件執(zhí)行結(jié)賬時用戶干預(yù)等發(fā)生時，能自動保護(hù)好原有的數(shù)據(jù)文件，防止數(shù)據(jù)破壞或丟失，同時對重要數(shù)據(jù)系統(tǒng)可增加退出系統(tǒng)時的強(qiáng)行備份功能，用戶再次進(jìn)入系統(tǒng)時自動把備份數(shù)據(jù)與機(jī)內(nèi)數(shù)據(jù)比較對照，及時發(fā)現(xiàn)數(shù)據(jù)文件的改變。

(3)必要的檢驗(yàn)功能。一是設(shè)計適應(yīng)電算化帳務(wù)處理的核算組織程序。任何由原始憑證人工編制的記賬憑證都應(yīng)進(jìn)行嚴(yán)格的審核、復(fù)核。在網(wǎng)絡(luò)環(huán)境系統(tǒng)中，輸入的工作量由多人共同分擔(dān)，憑證數(shù)據(jù)的輸入可以采用一組人員輸入，換人復(fù)核;或者采用兩組人員兩次輸入，輸入的數(shù)據(jù)分別存放在兩個暫存文件中，然后由計算機(jī)對兩個數(shù)據(jù)文件中的記錄逐條進(jìn)行比較。對于存在差異的記錄進(jìn)行對照顯示或打印，便于找出錯誤，進(jìn)行修改。只有完全相同，系統(tǒng)才把錄入的數(shù)據(jù)作為正式的憑證數(shù)據(jù)存貯。未經(jīng)校驗(yàn)的數(shù)據(jù)系統(tǒng)應(yīng)標(biāo)記，不允許進(jìn)入記賬憑證文件。二是對輸入系統(tǒng)的數(shù)據(jù)、代碼等都要進(jìn)行檢驗(yàn)。如:輸入記賬憑證時，每張憑證都要經(jīng)過日期合法性、會計科目合法性、憑證類合法性等校驗(yàn)。對于不符合要求的數(shù)據(jù)不予通過。根據(jù)會計核算的要求和網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，系統(tǒng)對輸入的同類記賬憑證、原始憑證自動按日或月分類順序編號，并且在多個用戶同時訪問同一個數(shù)據(jù)文件時，對各用戶操作的記錄進(jìn)行鎖定，拒絕其他用戶的訪問。這樣可以避免多個用戶同時操作易引起的憑證斷號、重號和串號，而且便于分清責(zé)任，達(dá)到會計控制的目的。

(4)增加必要的限制功能。一是修改限制。修改功能可以方便用戶，提高系統(tǒng)的實(shí)用性，但同時也增加了系統(tǒng)的不安全因素。因此在帳務(wù)處理中有必要對修改功能加以限制:對未記賬的憑證，一經(jīng)修改，必須進(jìn)行復(fù)核，只有正確之后系統(tǒng)才對修改結(jié)果予以確認(rèn);對已經(jīng)記賬的憑證系統(tǒng)不提供直接修改賬目的功能。只有通過編制記帳憑證，對錯誤的憑證進(jìn)行沖正或補(bǔ)充登記;對修改過的憑證，系統(tǒng)予以標(biāo)識，保留更改痕跡，并可以打印輸出以作核查依據(jù);輸出的財務(wù)報表，其數(shù)據(jù)由系統(tǒng)自動按照用戶定義的格式和數(shù)據(jù)來源的公式生成，不提供對數(shù)據(jù)的修改功能;基礎(chǔ)數(shù)據(jù)，如:科目庫、代碼庫等的修改權(quán)限只授予系統(tǒng)維護(hù)員。二是處理數(shù)據(jù)的一次性限制。在賬務(wù)處理中、期末結(jié)賬，一旦執(zhí)行，系統(tǒng)應(yīng)予以標(biāo)識，如果系統(tǒng)的某些設(shè)置(比如會計期間)未變，則不能再執(zhí)行第二次。

2.建立必要的管理制度。

(1)實(shí)行用戶權(quán)限分級授權(quán)管理，建立起網(wǎng)絡(luò)化環(huán)境下會計信息系統(tǒng)的崗位責(zé)任制，按照網(wǎng)絡(luò)化會計系統(tǒng)業(yè)務(wù)的需求設(shè)定各會計上機(jī)操作崗位，明確崗位責(zé)任和權(quán)限，并通過為每個用戶進(jìn)行系統(tǒng)功能的授權(quán)落實(shí)其責(zé)任和權(quán)限。結(jié)合密碼管理措施，使各個用戶進(jìn)入系統(tǒng)時必須輸入自己的用戶號和口令，進(jìn)入系統(tǒng)之后也只能執(zhí)行自己權(quán)限范圍內(nèi)的功能，防止非法操作。同時做到不相容職務(wù)的分離，各崗位之間要有一定的內(nèi)部牽制作保障。比如:系統(tǒng)的維護(hù)人員和系統(tǒng)管理員不得上機(jī)處理日常會計業(yè)務(wù);會計業(yè)務(wù)處理人員不能進(jìn)行系統(tǒng)維護(hù)等。

(2)建立必要的上機(jī)操作控制和系統(tǒng)運(yùn)行記錄控制。一是建立嚴(yán)格的硬件操作規(guī)程。二是規(guī)定操作員訪問系統(tǒng)的標(biāo)準(zhǔn)操作規(guī)程，明確規(guī)定各個操作員進(jìn)入系統(tǒng)后執(zhí)行程序的順序、各硬件設(shè)備的使用要求、數(shù)據(jù)文件和程序文件的使用要求以及處理系統(tǒng)偶發(fā)事故的操作要求，以便統(tǒng)一管理。三是通過設(shè)置軟件功能、利用系統(tǒng)提供的功能或人工控制記錄等措施對各用戶操作系統(tǒng)和所有活動予以記錄，并定期由系統(tǒng)主管進(jìn)行監(jiān)察和檢驗(yàn)，及時了解非法用戶和有權(quán)用戶越權(quán)使用系統(tǒng)的情況。

(3)建立健全設(shè)備管理制度和損害補(bǔ)救措施，確保硬件設(shè)備的運(yùn)行環(huán)境良好。各系統(tǒng)操作人員應(yīng)分清責(zé)任，各自管理和使用自己職責(zé)范圍內(nèi)的硬件設(shè)備，不得越權(quán)使用和禁止非計算機(jī)操作人員使用計算機(jī)系統(tǒng)，以免不當(dāng)?shù)牟僮鲹p壞硬件設(shè)備。多個用戶使用同一臺設(shè)備的，要進(jìn)行嚴(yán)格的登記，并記錄運(yùn)行情況。

(4)建立嚴(yán)格的檔案管理制度。系統(tǒng)投入使用之后，原系統(tǒng)的所有程序文件和軟、硬件技術(shù)資料及所有會計數(shù)據(jù)文件應(yīng)作為檔案進(jìn)行保管，并由專人負(fù)責(zé);嚴(yán)格限制無權(quán)用戶、有權(quán)用戶非正常時間的不正常接觸;建立一定的應(yīng)急措施，加強(qiáng)數(shù)據(jù)備份管理，從源頭上嚴(yán)格把關(guān)。在檔案調(diào)用時也必須經(jīng)系統(tǒng)主管和程序保管共同批準(zhǔn)并詳細(xì)登記，以便日后核查。

(5)建立預(yù)防病毒的安全措施。堅持使用正版的軟件，不要使用盜版或來歷不明的軟件;定期備份磁盤的數(shù)據(jù)和軟件;在不能確定計算機(jī)是否帶有病毒的情況下，要讀取軟盤的數(shù)據(jù)應(yīng)使軟盤處于寫保護(hù)狀態(tài);不要打開和閱讀來歷不明的電子郵件;經(jīng)常對計算機(jī)硬盤和軟盤進(jìn)行病毒檢測。

(6)建立對黑客的預(yù)防措施。比如:設(shè)置防火墻，使用入侵檢測軟件;抓好網(wǎng)內(nèi)主機(jī)管理;設(shè)置好的網(wǎng)絡(luò)環(huán)境，應(yīng)該盡量做到有條件的限制(允許)網(wǎng)上訪問;加強(qiáng)對重要資料(如路由器、連接調(diào)制解調(diào)器的電腦號碼及所用的通信軟件的種類、網(wǎng)內(nèi)的用戶名等)的保密;加強(qiáng)對重要網(wǎng)絡(luò)設(shè)備的管理等。

(7)提高醫(yī)院領(lǐng)導(dǎo)對信息系統(tǒng)安全風(fēng)險的認(rèn)識，提高系統(tǒng)使用人員的業(yè)務(wù)素質(zhì)和思想修養(yǎng)，減少實(shí)際工作中的差錯，提高系統(tǒng)安全意識和保護(hù)系統(tǒng)安全的自覺性，培養(yǎng)知識結(jié)構(gòu)全面的網(wǎng)絡(luò)系統(tǒng)管理人員，及時發(fā)現(xiàn)系統(tǒng)的安全風(fēng)險隱患并及時排除。

總之，實(shí)現(xiàn)醫(yī)院會計信息網(wǎng)絡(luò)化是確保醫(yī)療事業(yè)可持續(xù)發(fā)展的需要，加強(qiáng)管理，防范信息系統(tǒng)的各種風(fēng)險，盡力將潛在安全風(fēng)險系數(shù)降至最低，是醫(yī)院現(xiàn)代信息管理的重要組成部分。信息時代既給會計工作帶來了嚴(yán)峻的挑戰(zhàn)，更為其帶來了極好的機(jī)遇。只要我們能抓住機(jī)遇、更新理念、注重人才培養(yǎng)、管理創(chuàng)新，確定科學(xué)的網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，信息交流的進(jìn)一步擴(kuò)大，會計人員素質(zhì)的逐步提高，醫(yī)院財務(wù)管理工作必然會在如今知識經(jīng)濟(jì)時代實(shí)現(xiàn)一個歷史性的飛躍。

參考文獻(xiàn):

1.趙立，蔣祥虎，時浩明.建立財務(wù)危機(jī)預(yù)警機(jī)制提高醫(yī)院經(jīng)濟(jì)運(yùn)行質(zhì)量.中國醫(yī)院管理，2004(5)

2.趙明娟.檔案信息化建設(shè)在醫(yī)院現(xiàn)代信息管理中的重要性.中國醫(yī)院管理，2009(8)

(作者單位:河南省新鄉(xiāng)市中心醫(yī)院財務(wù)科 河南新鄉(xiāng) 453000)

(責(zé)編:紀(jì)毅)