談醫(yī)院會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)及控制

鄧小妹

隨著信息技術(shù)的發(fā)展及醫(yī)院運(yùn)行機(jī)制的轉(zhuǎn)變，醫(yī)院信息系統(tǒng)已成為現(xiàn)代化醫(yī)院必不可少的重要基礎(chǔ)設(shè)施與支撐環(huán)境。在醫(yī)院信息系統(tǒng)為醫(yī)院管理帶來(lái)方便快捷時(shí)，由于其信息的交互性、資源的共享性和傳遞的網(wǎng)絡(luò)性等特點(diǎn)，同時(shí)也帶來(lái)了諸多安全隱患。

一、醫(yī)院會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)普遍存在的狀況

1.醫(yī)院會(huì)計(jì)信息管理技術(shù)人才短缺；目前醫(yī)療系統(tǒng)無(wú)統(tǒng)一醫(yī)院會(huì)計(jì)系統(tǒng)軟件，各醫(yī)院與公司合作開(kāi)發(fā)隨意性較大，會(huì)計(jì)和信息部門(mén)技術(shù)力量薄弱，結(jié)構(gòu)素質(zhì)不全，很難找到復(fù)合型管理人員或組合型技術(shù)群，不能對(duì)開(kāi)發(fā)的軟件進(jìn)行有效的質(zhì)量控制，基本上是由軟件公司在自行開(kāi)發(fā)；普遍人員素質(zhì)是懂計(jì)算機(jī)的不熟悉醫(yī)院行業(yè)管理，而熟悉醫(yī)院管理的又不懂計(jì)算機(jī)，由于整體素質(zhì)之間存在較大的距離，造成軟件運(yùn)行過(guò)程中出現(xiàn)的故障不能及時(shí)排除，對(duì)違法行為不能及時(shí)發(fā)現(xiàn)。

2.醫(yī)院會(huì)計(jì)信息內(nèi)部控制主體多元化，醫(yī)院會(huì)計(jì)信息系統(tǒng)下會(huì)計(jì)部門(mén)人員除了財(cái)務(wù)會(huì)計(jì)專(zhuān)業(yè)人員，還包括醫(yī)院計(jì)算機(jī)人員，承建系統(tǒng)開(kāi)發(fā)外部軟件公司，使內(nèi)部控制主體多元化，范圍擴(kuò)大，責(zé)任延伸。

3.醫(yī)院會(huì)計(jì)信息系統(tǒng)控制復(fù)雜化，會(huì)計(jì)系統(tǒng)控制有效性取決于應(yīng)用程序的完善與正確，如果應(yīng)用程序發(fā)生差錯(cuò)，計(jì)算機(jī)尚不具備對(duì)不符合邏輯事項(xiàng)的判斷和處理能力，出了問(wèn)題難以發(fā)現(xiàn)，存在信息管理人員在理解和編程的差異，導(dǎo)致應(yīng)收未收，醫(yī)院資金不明流失等現(xiàn)象。

4.醫(yī)院會(huì)計(jì)信息系統(tǒng)控制數(shù)字化，會(huì)計(jì)數(shù)據(jù)儲(chǔ)存在計(jì)算機(jī)磁性介質(zhì)上的容易被篡改，甚至可以不留痕跡。計(jì)算機(jī)犯罪具有較大的隱蔽性和危害性，且會(huì)計(jì)和審計(jì)人員對(duì)會(huì)計(jì)電算化的工作本身不是太了解，對(duì)計(jì)算機(jī)不熟悉，由此增加了醫(yī)院管理內(nèi)部控制難度。

二、醫(yī)院會(huì)計(jì)信息系統(tǒng)開(kāi)發(fā)、運(yùn)行與維護(hù)主要風(fēng)險(xiǎn)

1.醫(yī)院會(huì)計(jì)信息系統(tǒng)開(kāi)發(fā)規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致醫(yī)院經(jīng)營(yíng)管理效率低下，浪費(fèi)資源；在建設(shè)醫(yī)院信息系統(tǒng)前，未規(guī)范會(huì)計(jì)信息系統(tǒng)的功能、性能、控制要求和安全性等方面開(kāi)發(fā)需求，模擬現(xiàn)行手工管理方法，進(jìn)行理論設(shè)計(jì)建立。

2.醫(yī)院會(huì)計(jì)信息系統(tǒng)開(kāi)發(fā)不符合財(cái)務(wù)管理內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無(wú)法利用信息技術(shù)實(shí)施有效控制；由于內(nèi)部控制制度薄弱，操作人員可能超越權(quán)限或未經(jīng)授權(quán)的人員可能通過(guò)計(jì)算機(jī)和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)，篡改、復(fù)制、銷(xiāo)毀重要的數(shù)據(jù)，或與相關(guān)人員勾結(jié)獲取非法利益以達(dá)到個(gè)人目的。

3.醫(yī)院會(huì)計(jì)系統(tǒng)運(yùn)行、維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，存在系統(tǒng)無(wú)法正常運(yùn)行風(fēng)險(xiǎn)；由于存在黑客利用網(wǎng)絡(luò)安全的脆弱性，他們利用網(wǎng)絡(luò)的各種漏洞和缺陷，非法進(jìn)入主機(jī)破壞程序，或者竊取信息數(shù)據(jù)興風(fēng)作浪，或者施放病毒，使系統(tǒng)陷于癱瘓，造成不可估量的損失。

三、醫(yī)院會(huì)計(jì)信息系統(tǒng)關(guān)鍵控制點(diǎn)及控制措施

（一）開(kāi)發(fā)環(huán)節(jié)關(guān)鍵控制點(diǎn)及控制措施

1.開(kāi)發(fā)方式的選擇：有自行開(kāi)發(fā)、外購(gòu)調(diào)試、業(yè)務(wù)外包等方式開(kāi)發(fā)信息系統(tǒng)，而醫(yī)院一般選擇外購(gòu)調(diào)試或業(yè)務(wù)外包，選定外購(gòu)調(diào)試或業(yè)務(wù)外包方式的，應(yīng)采用公開(kāi)招標(biāo)等形式，簽訂服務(wù)合同及保密協(xié)議。

2.開(kāi)發(fā)單位的選擇：如何選好合作伙伴來(lái)承建系統(tǒng)項(xiàng)目，是系統(tǒng)建設(shè)成功與否的關(guān)鍵一環(huán)。醫(yī)院應(yīng)選擇在衛(wèi)生行業(yè)中財(cái)務(wù)管理知識(shí)及系統(tǒng)實(shí)施經(jīng)驗(yàn)積淀深的軟件企業(yè)，在本行業(yè)中有良好的品德形象和業(yè)績(jī)，使醫(yī)院財(cái)務(wù)管理上更加科學(xué)、規(guī)范和有效，提高醫(yī)院核心競(jìng)爭(zhēng)力。

3.開(kāi)發(fā)過(guò)程控制

（1）在建設(shè)醫(yī)院信息系統(tǒng)前，醫(yī)院首先規(guī)范自身的管理制度及運(yùn)行模式；在醫(yī)院開(kāi)發(fā)信息系統(tǒng)時(shí)，根據(jù)醫(yī)院管理模式采用科學(xué)化、信息化、規(guī)范化、標(biāo)準(zhǔn)化理論設(shè)計(jì)建立，將醫(yī)院管理業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)和處理規(guī)則嵌入系統(tǒng)程序，提高工作效率，不斷完善機(jī)制，實(shí)現(xiàn)手工環(huán)境下難以實(shí)現(xiàn)的控制功能，而不能簡(jiǎn)單地模擬現(xiàn)行管理方法。

（2）設(shè)置操作日志，確保操作的可審計(jì)性；對(duì)數(shù)據(jù)的輸入與輸出應(yīng)進(jìn)行系統(tǒng)數(shù)據(jù)的檢查和校驗(yàn)，試算平衡，對(duì)各項(xiàng)數(shù)據(jù)平衡關(guān)系進(jìn)行自查，將預(yù)防性控制與自查性控制相結(jié)合，對(duì)異?；蛘哌`背內(nèi)部控制要求的交易和數(shù)據(jù)，應(yīng)當(dāng)設(shè)計(jì)由系統(tǒng)自動(dòng)檢查報(bào)告并設(shè)置跟蹤處理機(jī)制。

（3）信息管理部門(mén)要加強(qiáng)信息系統(tǒng)開(kāi)發(fā)全過(guò)程的跟蹤管理，組織和參與開(kāi)發(fā)單位與本單位各部門(mén)的日常溝通和協(xié)調(diào)，督促開(kāi)發(fā)單位按照建設(shè)方案，計(jì)劃進(jìn)度和質(zhì)量要求完成編程工作和各部門(mén)的需求。

（4）醫(yī)院在新舊系統(tǒng)替換時(shí)，做好信息系統(tǒng)上線(xiàn)的各項(xiàng)準(zhǔn)備工作，培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人員，制定科學(xué)的上線(xiàn)計(jì)劃和新舊系統(tǒng)轉(zhuǎn)換方案，考慮應(yīng)急預(yù)案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。

（二）運(yùn)行和維護(hù)關(guān)鍵控制點(diǎn)及控制措施

1.建立不同等級(jí)信息的授權(quán)使用制度：醫(yī)院應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、重要性程度等情況，加強(qiáng)對(duì)重要業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限管理，根據(jù)權(quán)限管理功能，按照不同業(yè)務(wù)的控制要求，控制用戶(hù)的操作權(quán)限，特別是修改權(quán)限管理，每個(gè)事項(xiàng)由兩人或兩人以上相互制約，所有的操作權(quán)限根據(jù)實(shí)際執(zhí)行角色進(jìn)行分配，避免將不相容職責(zé)的處理權(quán)限授予同一用戶(hù)；并及時(shí)注銷(xiāo)離崗人員的用戶(hù)名和密碼；建立系統(tǒng)登錄密碼定期更改制度；建立信息系統(tǒng)安全保密和泄密責(zé)任追究制度，保證信息系統(tǒng)運(yùn)行安全有序。

2.建立數(shù)據(jù)信息的輸入和輸出管理控制：醫(yī)院應(yīng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測(cè)等軟件技術(shù)以及遠(yuǎn)程訪(fǎng)問(wèn)安全策略等手段，加強(qiáng)網(wǎng)絡(luò)安全，防范來(lái)自網(wǎng)絡(luò)的攻擊和非法侵入。對(duì)通過(guò)網(wǎng)絡(luò)轉(zhuǎn)輸關(guān)鍵數(shù)據(jù)的醫(yī)療保險(xiǎn)接口管理，應(yīng)采用加密措施，確保信息傳遞的保密性、準(zhǔn)確性和完整性。

3.建立數(shù)據(jù)備份制度：信息系統(tǒng)具備數(shù)據(jù)備份功能，應(yīng)具備自動(dòng)定時(shí)數(shù)據(jù)備份，程序操作備份和手工操作備份，明確備份范圍、頻度、方法、責(zé)任人、存放地點(diǎn)、有效性檢查等內(nèi)容；防止不可預(yù)見(jiàn)的事故及災(zāi)害，還應(yīng)做到數(shù)據(jù)異地備份。

4.建立良好的物理環(huán)境：加強(qiáng)服務(wù)器等關(guān)鍵信息設(shè)備的管理，指定專(zhuān)人負(fù)責(zé)檢查，內(nèi)容主要主要包括：無(wú)關(guān)人員不能隨便進(jìn)入機(jī)房操作；不準(zhǔn)把外來(lái)的軟盤(pán)帶進(jìn)機(jī)房；開(kāi)機(jī)后，操作人員不能擅自離開(kāi)工作現(xiàn)場(chǎng)，及時(shí)處理異常情況等。未經(jīng)授權(quán)，任何人不得接觸關(guān)鍵信息設(shè)備。

5.建立信息系統(tǒng)變更管理流程：數(shù)據(jù)內(nèi)容發(fā)生有誤的，需按系統(tǒng)提供的功能或負(fù)數(shù)沖正的方式加以改正，并做好差錯(cuò)記錄，信息系統(tǒng)操作人員不得擅自進(jìn)行系統(tǒng)數(shù)據(jù)的刪除、修改等操作；系統(tǒng)軟件升級(jí)、系統(tǒng)軟件版本改變、系統(tǒng)軟件環(huán)境配置變化，應(yīng)當(dāng)由醫(yī)院負(fù)責(zé)信息領(lǐng)導(dǎo)許可，并由兩個(gè)信息系統(tǒng)操作人員相互監(jiān)督下進(jìn)行，嚴(yán)格遵照管理流程進(jìn)行操作。

6.建立內(nèi)部審計(jì)制度：醫(yī)院應(yīng)當(dāng)加強(qiáng)內(nèi)部審計(jì)工作，保證內(nèi)部審計(jì)機(jī)構(gòu)設(shè)置、人員配備和工作的獨(dú)立性；運(yùn)用新的IT審計(jì)方法和手段來(lái)對(duì)醫(yī)院信息系統(tǒng)的處理過(guò)程及其中存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)進(jìn)行監(jiān)督和內(nèi)部控制，保證醫(yī)院信息系統(tǒng)中數(shù)據(jù)信息的真實(shí)性、完整性和可靠性。

7.加強(qiáng)人才培養(yǎng)：醫(yī)院為適應(yīng)市場(chǎng)競(jìng)爭(zhēng)，應(yīng)有計(jì)劃、有步驟、有針對(duì)性地組織會(huì)計(jì)繼續(xù)教育培訓(xùn)，改善會(huì)計(jì)人員知識(shí)結(jié)構(gòu)，提高會(huì)計(jì)人員計(jì)算機(jī)應(yīng)用水平和網(wǎng)絡(luò)技術(shù)，培養(yǎng)具備熟悉信息技術(shù)和財(cái)務(wù)管理知識(shí)的復(fù)合型人才。

為了保證醫(yī)院會(huì)計(jì)信息系統(tǒng)安全穩(wěn)定地運(yùn)行，把醫(yī)院會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)降到最低，采取綜合措施進(jìn)行治理，多管齊下，使醫(yī)院會(huì)計(jì)信息風(fēng)險(xiǎn)控制由復(fù)雜化向簡(jiǎn)單化轉(zhuǎn)變，使控制簡(jiǎn)單化向流程化轉(zhuǎn)變，不斷提高醫(yī)院會(huì)計(jì)信息系統(tǒng)規(guī)范管理模式和管理流程，將為醫(yī)院帶來(lái)的經(jīng)濟(jì)效益和社會(huì)效益產(chǎn)生積極的作用。