邓小妹

随着信息技术的发展及医院运行机制的转变，医院信息系统已成为现代化医院必不可少的重要基础设施与支撑环境。在医院信息系统为医院管理带来方便快捷时，由于其信息的交互性、资源的共享性和传递的网络性等特点，同时也带来了诸多安全隐患。

一、医院会计信息系统风险普遍存在的状况

1.医院会计信息管理技术人才短缺；目前医疗系统无统一医院会计系统软件，各医院与公司合作开发随意性较大，会计和信息部门技术力量薄弱，结构素质不全，很难找到复合型管理人员或组合型技术群，不能对开发的软件进行有效的质量控制，基本上是由软件公司在自行开发；普遍人员素质是懂计算机的不熟悉医院行业管理，而熟悉医院管理的又不懂计算机，由于整体素质之间存在较大的距离，造成软件运行过程中出现的故障不能及时排除，对违法行为不能及时发现。

2.医院会计信息内部控制主体多元化，医院会计信息系统下会计部门人员除了财务会计专业人员，还包括医院计算机人员，承建系统开发外部软件公司，使内部控制主体多元化，范围扩大，责任延伸。

3.医院会计信息系统控制复杂化，会计系统控制有效性取决于应用程序的完善与正确，如果应用程序发生差错，计算机尚不具备对不符合逻辑事项的判断和处理能力，出了问题难以发现，存在信息管理人员在理解和编程的差异，导致应收未收，医院资金不明流失等现象。

4.医院会计信息系统控制数字化，会计数据储存在计算机磁性介质上的容易被篡改，甚至可以不留痕迹。计算机犯罪具有较大的隐蔽性和危害性，且会计和审计人员对会计电算化的工作本身不是太了解，对计算机不熟悉，由此增加了医院管理内部控制难度。

二、医院会计信息系统开发、运行与维护主要风险

1.医院会计信息系统开发规划不合理，可能造成信息孤岛或重复建设，导致医院经营管理效率低下，浪费资源；在建设医院信息系统前，未规范会计信息系统的功能、性能、控制要求和安全性等方面开发需求，模拟现行手工管理方法，进行理论设计建立。

2.医院会计信息系统开发不符合财务管理内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；由于内部控制制度薄弱，操作人员可能超越权限或未经授权的人员可能通过计算机和网络浏览全部数据，篡改、复制、销毁重要的数据，或与相关人员勾结获取非法利益以达到个人目的。

3.医院会计系统运行、维护和安全措施不到位，可能导致信息泄漏或毁损，存在系统无法正常运行风险；由于存在黑客利用网络安全的脆弱性，他们利用网络的各种漏洞和缺陷，非法进入主机破坏程序，或者窃取信息数据兴风作浪，或者施放病毒，使系统陷于瘫痪，造成不可估量的损失。

三、医院会计信息系统关键控制点及控制措施

（一）开发环节关键控制点及控制措施

1.开发方式的选择：有自行开发、外购调试、业务外包等方式开发信息系统，而医院一般选择外购调试或业务外包，选定外购调试或业务外包方式的，应采用公开招标等形式，签订服务合同及保密协议。

2.开发单位的选择：如何选好合作伙伴来承建系统项目，是系统建设成功与否的关键一环。医院应选择在卫生行业中财务管理知识及系统实施经验积淀深的软件企业，在本行业中有良好的品德形象和业绩，使医院财务管理上更加科学、规范和有效，提高医院核心竞争力。

3.开发过程控制

（1）在建设医院信息系统前，医院首先规范自身的管理制度及运行模式；在医院开发信息系统时，根据医院管理模式采用科学化、信息化、规范化、标准化理论设计建立，将医院管理业务流程、关键控制点和处理规则嵌入系统程序，提高工作效率，不断完善机制，实现手工环境下难以实现的控制功能，而不能简单地模拟现行管理方法。

（2）设置操作日志，确保操作的可审计性；对数据的输入与输出应进行系统数据的检查和校验，试算平衡，对各项数据平衡关系进行自查，将预防性控制与自查性控制相结合，对异常或者违背内部控制要求的交易和数据，应当设计由系统自动检查报告并设置跟踪处理机制。

（3）信息管理部门要加强信息系统开发全过程的跟踪管理，组织和参与开发单位与本单位各部门的日常沟通和协调，督促开发单位按照建设方案，计划进度和质量要求完成编程工作和各部门的需求。

（4）医院在新旧系统替换时，做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。

（二）运行和维护关键控制点及控制措施

1.建立不同等级信息的授权使用制度：医院应根据业务性质、重要性程度等情况，加强对重要业务系统的访问权限管理，根据权限管理功能，按照不同业务的控制要求，控制用户的操作权限，特别是修改权限管理，每个事项由两人或两人以上相互制约，所有的操作权限根据实际执行角色进行分配，避免将不相容职责的处理权限授予同一用户；并及时注销离岗人员的用户名和密码；建立系统登录密码定期更改制度；建立信息系统安全保密和泄密责任追究制度，保证信息系统运行安全有序。

2.建立数据信息的输入和输出管理控制：医院应综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。对通过网络转输关键数据的医疗保险接口管理，应采用加密措施，确保信息传递的保密性、准确性和完整性。

3.建立数据备份制度：信息系统具备数据备份功能，应具备自动定时数据备份，程序操作备份和手工操作备份，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容；防止不可预见的事故及灾害，还应做到数据异地备份。

4.建立良好的物理环境：加强服务器等关键信息设备的管理，指定专人负责检查，内容主要主要包括：无关人员不能随便进入机房操作；不准把外来的软盘带进机房；开机后，操作人员不能擅自离开工作现场，及时处理异常情况等。未经授权，任何人不得接触关键信息设备。

5.建立信息系统变更管理流程：数据内容发生有误的，需按系统提供的功能或负数冲正的方式加以改正，并做好差错记录，信息系统操作人员不得擅自进行系统数据的删除、修改等操作；系统软件升级、系统软件版本改变、系统软件环境配置变化，应当由医院负责信息领导许可，并由两个信息系统操作人员相互监督下进行，严格遵照管理流程进行操作。

6.建立内部审计制度：医院应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性；运用新的IT审计方法和手段来对医院信息系统的处理过程及其中存储的业务数据进行监督和内部控制，保证医院信息系统中数据信息的真实性、完整性和可靠性。

7.加强人才培养：医院为适应市场竞争，应有计划、有步骤、有针对性地组织会计继续教育培训，改善会计人员知识结构，提高会计人员计算机应用水平和网络技术，培养具备熟悉信息技术和财务管理知识的复合型人才。

为了保证医院会计信息系统安全稳定地运行，把医院会计信息系统的风险降到最低，采取综合措施进行治理，多管齐下，使医院会计信息风险控制由复杂化向简单化转变，使控制简单化向流程化转变，不断提高医院会计信息系统规范管理模式和管理流程，将为医院带来的经济效益和社会效益产生积极的作用。