淺談醫院會計信息安全風險的防范

摘 要:實現醫院會計信息網絡化是確保醫療事業可持續發展的需要，但是在諸多因素的影響下，會計信息系統存在著很多潛在的安全風險。加強管理，防范信息系統的各種風險，盡力將潛在安全風險系數降至最低，是醫院現代信息管理的重要組成部分。

關鍵詞:醫院 會計信息 安全風險

中圖分類號:F234 文獻標識碼:A

文章編號:1004-4914(2010)05-177-02

隨著信息產業的快速發展，醫院數字化體系的建設成為醫院現代化信息管理的重要組成部分，也是知識時代的重要選擇，醫院作為獨立經營、自負盈虧的經濟實體，財務工作實施信息化管理有著廣泛的優越性。然而，在網絡、設備、人員等諸多主客觀因素的影響下，會計信息系統又存在著很多潛在的安全風險，如何利用好會計信息系統的長處并設法盡力做好安全風險的防范工作，成為醫院財務管理的另一工作重點。

一、醫院會計信息系統的特征

醫院會計信息系統負責收集、加工、存貯、輸送和利用會計信息，對醫院經濟活動進行控制和監督，具有以下三個特征。

1.會計信息系統的完整性。會計信息反映了醫院日常業務和醫院管理的全過程。一個完整的會計信息系統一般包括財務會計和管理會計兩個子系統。財務會計系統一般包括財務處理、報表管理、工資核算、材料核算、固定資產核算、成本核算、藥品核算等模塊。在醫院管理信息系統中，沒有哪個子系統的管理信息像會計信息那樣自始至終地貫穿于醫院的管理活動之中，與醫院管理信息系統各子系統交換數據最頻繁、結合最緊密的是會計信息子系統。

2.會計信息系統的復雜性。會計管理信息子系統是為醫院管理提供決策依據的，所以對會計信息的要求必須及時、可靠，同時它與其他子系統的數據交換最頻繁，所以在研究會計信息系統時必須要考慮它與所有其他子系統的聯系。會計管理信息系統接受各方面的信息，加工處理后又反饋給各方。它與各方交流越多，功能越強，其內部結構也越復雜。

3.會計信息系統的重要性。由于會計信息系統以貨幣形式反映醫院整個業務活動的綜合經濟信息，在醫院管理信息中所占比重很大，而且大多是綜合性的信息，因此醫院財務管理是醫院經濟管理的重要組成部分。會計信息是直接為醫院管理服務的重要信息，醫院會計信息系統是整個醫院管理信息系統的核心子系統，醫院會計電算化的發展將有力地促進整個醫院管理工作實現現代化。

二、醫院會計信息系統安全風險的表現形式

會計信息系統的安全風險是指人為的或非人為的因素使得會計信息系統保護安全的能力減弱，從而造成系統的信息失真、失竊和醫院資金財產損失及系統硬件、軟件無法正常運行等結果發生的可能性。其表現形式有:

1.會計信息失真。會計信息的真實、完整、準確是對會計信息處理的基本要求，由于會計信息是醫院生產經營活動的綜合、全面的反映，醫院的各個職能部門幾乎都不同程度的需要、利用會計信息，因此，會計信息的質量不僅僅關系到會計信息系統，還影響醫院管理的其他子系統乃至醫院的整個管理決策。一旦會計信息系統的安全受到侵害，最直接的影響就是會計數據錯誤、數據丟失或被篡改使會計信息失真，從而不同程度地影響會計信息的使用者進行有關決策。

2.醫院資產損失。利用非法手段侵吞醫院資產是會計信息系統安全風險的主要形式之一。其手段主要有:未經許可非法侵入他人計算機設施、通過網絡傳播病毒等有害程序、非法轉移電子資金及盜竊銀行存款等。隨著犯罪技術的日趨多樣化、復雜化，信息系統犯罪更加隱蔽、更加難以發現，涉及的金額也從最初的幾千元發展到幾萬元，甚至上億元，安全風險損失越來越大，后果越來越嚴重。

3.醫院重要信息泄露。目前，利用高科技手段竊取醫院機密成為系統安全風險的重要形式。比如:竊取醫院重要的會計信息并泄露給競爭對手以達到某種非法目的等，常常會對醫院造成無法估量的損失。

4.系統無法正常運行。無論是無法避免的自然災害，還是出于非法目的輸入破壞性程序、操作者有意或無意的操作造成硬件設施的損害、計算機病毒的破壞等都有可能使會計信息系統的軟件、硬件無法正常工作，甚至系統癱瘓，造成巨大損失。

三、醫院會計信息系統安全風險的防范策略

1.在軟件功能上施加必要的控制措施來保護會計數據的安全。

(1)增加必要的提示功能。如軟件執行備份時，存儲介質上無存儲空間、備份介質未正確插入和安裝;執行打印時未連接打印機或未打開打印機電源;用戶輸入數據時輸入了與系統當前數據項不符的數據或未按要求輸入等等，此時系統應給予必要的提示，并自動中斷程序的執行。

(2)增加必要的保護功能。在突然斷電、程序運行中用戶的突然干擾等偶發事故，如軟件執行結賬時用戶干預等發生時，能自動保護好原有的數據文件，防止數據破壞或丟失，同時對重要數據系統可增加退出系統時的強行備份功能，用戶再次進入系統時自動把備份數據與機內數據比較對照，及時發現數據文件的改變。

(3)必要的檢驗功能。一是設計適應電算化帳務處理的核算組織程序。任何由原始憑證人工編制的記賬憑證都應進行嚴格的審核、復核。在網絡環境系統中，輸入的工作量由多人共同分擔，憑證數據的輸入可以采用一組人員輸入，換人復核;或者采用兩組人員兩次輸入，輸入的數據分別存放在兩個暫存文件中，然后由計算機對兩個數據文件中的記錄逐條進行比較。對于存在差異的記錄進行對照顯示或打印，便于找出錯誤，進行修改。只有完全相同，系統才把錄入的數據作為正式的憑證數據存貯。未經校驗的數據系統應標記，不允許進入記賬憑證文件。二是對輸入系統的數據、代碼等都要進行檢驗。如:輸入記賬憑證時，每張憑證都要經過日期合法性、會計科目合法性、憑證類合法性等校驗。對于不符合要求的數據不予通過。根據會計核算的要求和網絡系統的特點，系統對輸入的同類記賬憑證、原始憑證自動按日或月分類順序編號，并且在多個用戶同時訪問同一個數據文件時，對各用戶操作的記錄進行鎖定，拒絕其他用戶的訪問。這樣可以避免多個用戶同時操作易引起的憑證斷號、重號和串號，而且便于分清責任，達到會計控制的目的。

(4)增加必要的限制功能。一是修改限制。修改功能可以方便用戶，提高系統的實用性，但同時也增加了系統的不安全因素。因此在帳務處理中有必要對修改功能加以限制:對未記賬的憑證，一經修改，必須進行復核，只有正確之后系統才對修改結果予以確認;對已經記賬的憑證系統不提供直接修改賬目的功能。只有通過編制記帳憑證，對錯誤的憑證進行沖正或補充登記;對修改過的憑證，系統予以標識，保留更改痕跡，并可以打印輸出以作核查依據;輸出的財務報表，其數據由系統自動按照用戶定義的格式和數據來源的公式生成，不提供對數據的修改功能;基礎數據，如:科目庫、代碼庫等的修改權限只授予系統維護員。二是處理數據的一次性限制。在賬務處理中、期末結賬，一旦執行，系統應予以標識，如果系統的某些設置(比如會計期間)未變，則不能再執行第二次。

2.建立必要的管理制度。

(1)實行用戶權限分級授權管理，建立起網絡化環境下會計信息系統的崗位責任制，按照網絡化會計系統業務的需求設定各會計上機操作崗位，明確崗位責任和權限，并通過為每個用戶進行系統功能的授權落實其責任和權限。結合密碼管理措施，使各個用戶進入系統時必須輸入自己的用戶號和口令，進入系統之后也只能執行自己權限范圍內的功能，防止非法操作。同時做到不相容職務的分離，各崗位之間要有一定的內部牽制作保障。比如:系統的維護人員和系統管理員不得上機處理日常會計業務;會計業務處理人員不能進行系統維護等。

(2)建立必要的上機操作控制和系統運行記錄控制。一是建立嚴格的硬件操作規程。二是規定操作員訪問系統的標準操作規程，明確規定各個操作員進入系統后執行程序的順序、各硬件設備的使用要求、數據文件和程序文件的使用要求以及處理系統偶發事故的操作要求，以便統一管理。三是通過設置軟件功能、利用系統提供的功能或人工控制記錄等措施對各用戶操作系統和所有活動予以記錄，并定期由系統主管進行監察和檢驗，及時了解非法用戶和有權用戶越權使用系統的情況。

(3)建立健全設備管理制度和損害補救措施，確保硬件設備的運行環境良好。各系統操作人員應分清責任，各自管理和使用自己職責范圍內的硬件設備，不得越權使用和禁止非計算機操作人員使用計算機系統，以免不當的操作損壞硬件設備。多個用戶使用同一臺設備的，要進行嚴格的登記，并記錄運行情況。

(4)建立嚴格的檔案管理制度。系統投入使用之后，原系統的所有程序文件和軟、硬件技術資料及所有會計數據文件應作為檔案進行保管，并由專人負責;嚴格限制無權用戶、有權用戶非正常時間的不正常接觸;建立一定的應急措施，加強數據備份管理，從源頭上嚴格把關。在檔案調用時也必須經系統主管和程序保管共同批準并詳細登記，以便日后核查。

(5)建立預防病毒的安全措施。堅持使用正版的軟件，不要使用盜版或來歷不明的軟件;定期備份磁盤的數據和軟件;在不能確定計算機是否帶有病毒的情況下，要讀取軟盤的數據應使軟盤處于寫保護狀態;不要打開和閱讀來歷不明的電子郵件;經常對計算機硬盤和軟盤進行病毒檢測。

(6)建立對黑客的預防措施。比如:設置防火墻，使用入侵檢測軟件;抓好網內主機管理;設置好的網絡環境，應該盡量做到有條件的限制(允許)網上訪問;加強對重要資料(如路由器、連接調制解調器的電腦號碼及所用的通信軟件的種類、網內的用戶名等)的保密;加強對重要網絡設備的管理等。

(7)提高醫院領導對信息系統安全風險的認識，提高系統使用人員的業務素質和思想修養，減少實際工作中的差錯，提高系統安全意識和保護系統安全的自覺性，培養知識結構全面的網絡系統管理人員，及時發現系統的安全風險隱患并及時排除。

總之，實現醫院會計信息網絡化是確保醫療事業可持續發展的需要，加強管理，防范信息系統的各種風險，盡力將潛在安全風險系數降至最低，是醫院現代信息管理的重要組成部分。信息時代既給會計工作帶來了嚴峻的挑戰，更為其帶來了極好的機遇。只要我們能抓住機遇、更新理念、注重人才培養、管理創新，確定科學的網絡技術的進一步發展，信息交流的進一步擴大，會計人員素質的逐步提高，醫院財務管理工作必然會在如今知識經濟時代實現一個歷史性的飛躍。

參考文獻:

1.趙立，蔣祥虎，時浩明.建立財務危機預警機制提高醫院經濟運行質量.中國醫院管理，2004(5)

2.趙明娟.檔案信息化建設在醫院現代信息管理中的重要性.中國醫院管理，2009(8)

(作者單位:河南省新鄉市中心醫院財務科 河南新鄉 453000)

(責編:紀毅)