鄧小妹

隨著信息技術的發(fā)展及醫(yī)院運行機制的轉變，醫(yī)院信息系統(tǒng)已成為現代化醫(yī)院必不可少的重要基礎設施與支撐環(huán)境。在醫(yī)院信息系統(tǒng)為醫(yī)院管理帶來方便快捷時，由于其信息的交互性、資源的共享性和傳遞的網絡性等特點，同時也帶來了諸多安全隱患。

一、醫(yī)院會計信息系統(tǒng)風險普遍存在的狀況

1.醫(yī)院會計信息管理技術人才短缺；目前醫(yī)療系統(tǒng)無統(tǒng)一醫(yī)院會計系統(tǒng)軟件，各醫(yī)院與公司合作開發(fā)隨意性較大，會計和信息部門技術力量薄弱，結構素質不全，很難找到復合型管理人員或組合型技術群，不能對開發(fā)的軟件進行有效的質量控制，基本上是由軟件公司在自行開發(fā)；普遍人員素質是懂計算機的不熟悉醫(yī)院行業(yè)管理，而熟悉醫(yī)院管理的又不懂計算機，由于整體素質之間存在較大的距離，造成軟件運行過程中出現的故障不能及時排除，對違法行為不能及時發(fā)現。

2.醫(yī)院會計信息內部控制主體多元化，醫(yī)院會計信息系統(tǒng)下會計部門人員除了財務會計專業(yè)人員，還包括醫(yī)院計算機人員，承建系統(tǒng)開發(fā)外部軟件公司，使內部控制主體多元化，范圍擴大，責任延伸。

3.醫(yī)院會計信息系統(tǒng)控制復雜化，會計系統(tǒng)控制有效性取決于應用程序的完善與正確，如果應用程序發(fā)生差錯，計算機尚不具備對不符合邏輯事項的判斷和處理能力，出了問題難以發(fā)現，存在信息管理人員在理解和編程的差異，導致應收未收，醫(yī)院資金不明流失等現象。

4.醫(yī)院會計信息系統(tǒng)控制數字化，會計數據儲存在計算機磁性介質上的容易被篡改，甚至可以不留痕跡。計算機犯罪具有較大的隱蔽性和危害性，且會計和審計人員對會計電算化的工作本身不是太了解，對計算機不熟悉，由此增加了醫(yī)院管理內部控制難度。

二、醫(yī)院會計信息系統(tǒng)開發(fā)、運行與維護主要風險

1.醫(yī)院會計信息系統(tǒng)開發(fā)規(guī)劃不合理，可能造成信息孤島或重復建設，導致醫(yī)院經營管理效率低下，浪費資源；在建設醫(yī)院信息系統(tǒng)前，未規(guī)范會計信息系統(tǒng)的功能、性能、控制要求和安全性等方面開發(fā)需求，模擬現行手工管理方法，進行理論設計建立。

2.醫(yī)院會計信息系統(tǒng)開發(fā)不符合財務管理內部控制要求，授權管理不當，可能導致無法利用信息技術實施有效控制；由于內部控制制度薄弱，操作人員可能超越權限或未經授權的人員可能通過計算機和網絡瀏覽全部數據，篡改、復制、銷毀重要的數據，或與相關人員勾結獲取非法利益以達到個人目的。

3.醫(yī)院會計系統(tǒng)運行、維護和安全措施不到位，可能導致信息泄漏或毀損，存在系統(tǒng)無法正常運行風險；由于存在黑客利用網絡安全的脆弱性，他們利用網絡的各種漏洞和缺陷，非法進入主機破壞程序，或者竊取信息數據興風作浪，或者施放病毒，使系統(tǒng)陷于癱瘓，造成不可估量的損失。

三、醫(yī)院會計信息系統(tǒng)關鍵控制點及控制措施

（一）開發(fā)環(huán)節(jié)關鍵控制點及控制措施

1.開發(fā)方式的選擇：有自行開發(fā)、外購調試、業(yè)務外包等方式開發(fā)信息系統(tǒng)，而醫(yī)院一般選擇外購調試或業(yè)務外包，選定外購調試或業(yè)務外包方式的，應采用公開招標等形式，簽訂服務合同及保密協(xié)議。

2.開發(fā)單位的選擇：如何選好合作伙伴來承建系統(tǒng)項目，是系統(tǒng)建設成功與否的關鍵一環(huán)。醫(yī)院應選擇在衛(wèi)生行業(yè)中財務管理知識及系統(tǒng)實施經驗積淀深的軟件企業(yè)，在本行業(yè)中有良好的品德形象和業(yè)績，使醫(yī)院財務管理上更加科學、規(guī)范和有效，提高醫(yī)院核心競爭力。

3.開發(fā)過程控制

（1）在建設醫(yī)院信息系統(tǒng)前，醫(yī)院首先規(guī)范自身的管理制度及運行模式；在醫(yī)院開發(fā)信息系統(tǒng)時，根據醫(yī)院管理模式采用科學化、信息化、規(guī)范化、標準化理論設計建立，將醫(yī)院管理業(yè)務流程、關鍵控制點和處理規(guī)則嵌入系統(tǒng)程序，提高工作效率，不斷完善機制，實現手工環(huán)境下難以實現的控制功能，而不能簡單地模擬現行管理方法。

（2）設置操作日志，確保操作的可審計性；對數據的輸入與輸出應進行系統(tǒng)數據的檢查和校驗，試算平衡，對各項數據平衡關系進行自查，將預防性控制與自查性控制相結合，對異?；蛘哌`背內部控制要求的交易和數據，應當設計由系統(tǒng)自動檢查報告并設置跟蹤處理機制。

（3）信息管理部門要加強信息系統(tǒng)開發(fā)全過程的跟蹤管理，組織和參與開發(fā)單位與本單位各部門的日常溝通和協(xié)調，督促開發(fā)單位按照建設方案，計劃進度和質量要求完成編程工作和各部門的需求。

（4）醫(yī)院在新舊系統(tǒng)替換時，做好信息系統(tǒng)上線的各項準備工作，培訓業(yè)務操作和系統(tǒng)管理人員，制定科學的上線計劃和新舊系統(tǒng)轉換方案，考慮應急預案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。

（二）運行和維護關鍵控制點及控制措施

1.建立不同等級信息的授權使用制度：醫(yī)院應根據業(yè)務性質、重要性程度等情況，加強對重要業(yè)務系統(tǒng)的訪問權限管理，根據權限管理功能，按照不同業(yè)務的控制要求，控制用戶的操作權限，特別是修改權限管理，每個事項由兩人或兩人以上相互制約，所有的操作權限根據實際執(zhí)行角色進行分配，避免將不相容職責的處理權限授予同一用戶；并及時注銷離崗人員的用戶名和密碼；建立系統(tǒng)登錄密碼定期更改制度；建立信息系統(tǒng)安全保密和泄密責任追究制度，保證信息系統(tǒng)運行安全有序。

2.建立數據信息的輸入和輸出管理控制：醫(yī)院應綜合利用防火墻、路由器等網絡設備，漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全策略等手段，加強網絡安全，防范來自網絡的攻擊和非法侵入。對通過網絡轉輸關鍵數據的醫(yī)療保險接口管理，應采用加密措施，確保信息傳遞的保密性、準確性和完整性。

3.建立數據備份制度：信息系統(tǒng)具備數據備份功能，應具備自動定時數據備份，程序操作備份和手工操作備份，明確備份范圍、頻度、方法、責任人、存放地點、有效性檢查等內容；防止不可預見的事故及災害，還應做到數據異地備份。

4.建立良好的物理環(huán)境：加強服務器等關鍵信息設備的管理，指定專人負責檢查，內容主要主要包括：無關人員不能隨便進入機房操作；不準把外來的軟盤帶進機房；開機后，操作人員不能擅自離開工作現場，及時處理異常情況等。未經授權，任何人不得接觸關鍵信息設備。

5.建立信息系統(tǒng)變更管理流程：數據內容發(fā)生有誤的，需按系統(tǒng)提供的功能或負數沖正的方式加以改正，并做好差錯記錄，信息系統(tǒng)操作人員不得擅自進行系統(tǒng)數據的刪除、修改等操作；系統(tǒng)軟件升級、系統(tǒng)軟件版本改變、系統(tǒng)軟件環(huán)境配置變化，應當由醫(yī)院負責信息領導許可，并由兩個信息系統(tǒng)操作人員相互監(jiān)督下進行，嚴格遵照管理流程進行操作。

6.建立內部審計制度：醫(yī)院應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性；運用新的IT審計方法和手段來對醫(yī)院信息系統(tǒng)的處理過程及其中存儲的業(yè)務數據進行監(jiān)督和內部控制，保證醫(yī)院信息系統(tǒng)中數據信息的真實性、完整性和可靠性。

7.加強人才培養(yǎng)：醫(yī)院為適應市場競爭，應有計劃、有步驟、有針對性地組織會計繼續(xù)教育培訓，改善會計人員知識結構，提高會計人員計算機應用水平和網絡技術，培養(yǎng)具備熟悉信息技術和財務管理知識的復合型人才。

為了保證醫(yī)院會計信息系統(tǒng)安全穩(wěn)定地運行，把醫(yī)院會計信息系統(tǒng)的風險降到最低，采取綜合措施進行治理，多管齊下，使醫(yī)院會計信息風險控制由復雜化向簡單化轉變，使控制簡單化向流程化轉變，不斷提高醫(yī)院會計信息系統(tǒng)規(guī)范管理模式和管理流程，將為醫(yī)院帶來的經濟效益和社會效益產生積極的作用。