浅谈医院会计信息安全风险的防范
来源:用户上传
作者: 孙洪讯
摘 要:实现医院会计信息网络化是确保医疗事业可持续发展的需要,但是在诸多因素的影响下,会计信息系统存在着很多潜在的安全风险。加强管理,防范信息系统的各种风险,尽力将潜在安全风险系数降至最低,是医院现代信息管理的重要组成部分。
关键词:医院 会计信息 安全风险
中图分类号:F234 文献标识码:A
文章编号:1004-4914(2010)05-177-02
随着信息产业的快速发展,医院数字化体系的建设成为医院现代化信息管理的重要组成部分,也是知识时代的重要选择,医院作为独立经营、自负盈亏的经济实体,财务工作实施信息化管理有着广泛的优越性。然而,在网络、设备、人员等诸多主客观因素的影响下,会计信息系统又存在着很多潜在的安全风险,如何利用好会计信息系统的长处并设法尽力做好安全风险的防范工作,成为医院财务管理的另一工作重点。
一、医院会计信息系统的特征
医院会计信息系统负责收集、加工、存贮、输送和利用会计信息,对医院经济活动进行控制和监督,具有以下三个特征。
1.会计信息系统的完整性。会计信息反映了医院日常业务和医院管理的全过程。一个完整的会计信息系统一般包括财务会计和管理会计两个子系统。财务会计系统一般包括财务处理、报表管理、工资核算、材料核算、固定资产核算、成本核算、药品核算等模块。在医院管理信息系统中,没有哪个子系统的管理信息像会计信息那样自始至终地贯穿于医院的管理活动之中,与医院管理信息系统各子系统交换数据最频繁、结合最紧密的是会计信息子系统。
2.会计信息系统的复杂性。会计管理信息子系统是为医院管理提供决策依据的,所以对会计信息的要求必须及时、可靠,同时它与其他子系统的数据交换最频繁,所以在研究会计信息系统时必须要考虑它与所有其他子系统的联系。会计管理信息系统接受各方面的信息,加工处理后又反馈给各方。它与各方交流越多,功能越强,其内部结构也越复杂。
3.会计信息系统的重要性。由于会计信息系统以货币形式反映医院整个业务活动的综合经济信息,在医院管理信息中所占比重很大,而且大多是综合性的信息,因此医院财务管理是医院经济管理的重要组成部分。会计信息是直接为医院管理服务的重要信息,医院会计信息系统是整个医院管理信息系统的核心子系统,医院会计电算化的发展将有力地促进整个医院管理工作实现现代化。
二、医院会计信息系统安全风险的表现形式
会计信息系统的安全风险是指人为的或非人为的因素使得会计信息系统保护安全的能力减弱,从而造成系统的信息失真、失窃和医院资金财产损失及系统硬件、软件无法正常运行等结果发生的可能性。其表现形式有:
1.会计信息失真。会计信息的真实、完整、准确是对会计信息处理的基本要求,由于会计信息是医院生产经营活动的综合、全面的反映,医院的各个职能部门几乎都不同程度的需要、利用会计信息,因此,会计信息的质量不仅仅关系到会计信息系统,还影响医院管理的其他子系统乃至医院的整个管理决策。一旦会计信息系统的安全受到侵害,最直接的影响就是会计数据错误、数据丢失或被篡改使会计信息失真,从而不同程度地影响会计信息的使用者进行有关决策。
2.医院资产损失。利用非法手段侵吞医院资产是会计信息系统安全风险的主要形式之一。其手段主要有:未经许可非法侵入他人计算机设施、通过网络传播病毒等有害程序、非法转移电子资金及盗窃银行存款等。随着犯罪技术的日趋多样化、复杂化,信息系统犯罪更加隐蔽、更加难以发现,涉及的金额也从最初的几千元发展到几万元,甚至上亿元,安全风险损失越来越大,后果越来越严重。
3.医院重要信息泄露。目前,利用高科技手段窃取医院机密成为系统安全风险的重要形式。比如:窃取医院重要的会计信息并泄露给竞争对手以达到某种非法目的等,常常会对医院造成无法估量的损失。
4.系统无法正常运行。无论是无法避免的自然灾害,还是出于非法目的输入破坏性程序、操作者有意或无意的操作造成硬件设施的损害、计算机病毒的破坏等都有可能使会计信息系统的软件、硬件无法正常工作,甚至系统瘫痪,造成巨大损失。
三、医院会计信息系统安全风险的防范策略
1.在软件功能上施加必要的控制措施来保护会计数据的安全。
(1)增加必要的提示功能。如软件执行备份时,存储介质上无存储空间、备份介质未正确插入和安装;执行打印时未连接打印机或未打开打印机电源;用户输入数据时输入了与系统当前数据项不符的数据或未按要求输入等等,此时系统应给予必要的提示,并自动中断程序的执行。
(2)增加必要的保护功能。在突然断电、程序运行中用户的突然干扰等偶发事故,如软件执行结账时用户干预等发生时,能自动保护好原有的数据文件,防止数据破坏或丢失,同时对重要数据系统可增加退出系统时的强行备份功能,用户再次进入系统时自动把备份数据与机内数据比较对照,及时发现数据文件的改变。
(3)必要的检验功能。一是设计适应电算化帐务处理的核算组织程序。任何由原始凭证人工编制的记账凭证都应进行严格的审核、复核。在网络环境系统中,输入的工作量由多人共同分担,凭证数据的输入可以采用一组人员输入,换人复核;或者采用两组人员两次输入,输入的数据分别存放在两个暂存文件中,然后由计算机对两个数据文件中的记录逐条进行比较。对于存在差异的记录进行对照显示或打印,便于找出错误,进行修改。只有完全相同,系统才把录入的数据作为正式的凭证数据存贮。未经校验的数据系统应标记,不允许进入记账凭证文件。二是对输入系统的数据、代码等都要进行检验。如:输入记账凭证时,每张凭证都要经过日期合法性、会计科目合法性、凭证类合法性等校验。对于不符合要求的数据不予通过。根据会计核算的要求和网络系统的特点,系统对输入的同类记账凭证、原始凭证自动按日或月分类顺序编号,并且在多个用户同时访问同一个数据文件时,对各用户操作的记录进行锁定,拒绝其他用户的访问。这样可以避免多个用户同时操作易引起的凭证断号、重号和串号,而且便于分清责任,达到会计控制的目的。
(4)增加必要的限制功能。一是修改限制。修改功能可以方便用户,提高系统的实用性,但同时也增加了系统的不安全因素。因此在帐务处理中有必要对修改功能加以限制:对未记账的凭证,一经修改,必须进行复核,只有正确之后系统才对修改结果予以确认;对已经记账的凭证系统不提供直接修改账目的功能。只有通过编制记帐凭证,对错误的凭证进行冲正或补充登记;对修改过的凭证,系统予以标识,保留更改痕迹,并可以打印输出以作核查依据;输出的财务报表,其数据由系统自动按照用户定义的格式和数据来源的公式生成,不提供对数据的修改功能;基础数据,如:科目库、代码库等的修改权限只授予系统维护员。二是处理数据的一次性限制。在账务处理中、期末结账,一旦执行,系统应予以标识,如果系统的某些设置(比如会计期间)未变,则不能再执行第二次。
2.建立必要的管理制度。
(1)实行用户权限分级授权管理,建立起网络化环境下会计信息系统的岗位责任制,按照网络化会计系统业务的需求设定各会计上机操作岗位,明确岗位责任和权限,并通过为每个用户进行系统功能的授权落实其责任和权限。结合密码管理措施,使各个用户进入系统时必须输入自己的用户号和口令,进入系统之后也只能执行自己权限范围内的功能,防止非法操作。同时做到不相容职务的分离,各岗位之间要有一定的内部牵制作保障。比如:系统的维护人员和系统管理员不得上机处理日常会计业务;会计业务处理人员不能进行系统维护等。
(2)建立必要的上机操作控制和系统运行记录控制。一是建立严格的硬件操作规程。二是规定操作员访问系统的标准操作规程,明确规定各个操作员进入系统后执行程序的顺序、各硬件设备的使用要求、数据文件和程序文件的使用要求以及处理系统偶发事故的操作要求,以便统一管理。三是通过设置软件功能、利用系统提供的功能或人工控制记录等措施对各用户操作系统和所有活动予以记录,并定期由系统主管进行监察和检验,及时了解非法用户和有权用户越权使用系统的情况。
(3)建立健全设备管理制度和损害补救措施,确保硬件设备的运行环境良好。各系统操作人员应分清责任,各自管理和使用自己职责范围内的硬件设备,不得越权使用和禁止非计算机操作人员使用计算机系统,以免不当的操作损坏硬件设备。多个用户使用同一台设备的,要进行严格的登记,并记录运行情况。
(4)建立严格的档案管理制度。系统投入使用之后,原系统的所有程序文件和软、硬件技术资料及所有会计数据文件应作为档案进行保管,并由专人负责;严格限制无权用户、有权用户非正常时间的不正常接触;建立一定的应急措施,加强数据备份管理,从源头上严格把关。在档案调用时也必须经系统主管和程序保管共同批准并详细登记,以便日后核查。
(5)建立预防病毒的安全措施。坚持使用正版的软件,不要使用盗版或来历不明的软件;定期备份磁盘的数据和软件;在不能确定计算机是否带有病毒的情况下,要读取软盘的数据应使软盘处于写保护状态;不要打开和阅读来历不明的电子邮件;经常对计算机硬盘和软盘进行病毒检测。
(6)建立对黑客的预防措施。比如:设置防火墙,使用入侵检测软件;抓好网内主机管理;设置好的网络环境,应该尽量做到有条件的限制(允许)网上访问;加强对重要资料(如路由器、连接调制解调器的电脑号码及所用的通信软件的种类、网内的用户名等)的保密;加强对重要网络设备的管理等。
(7)提高医院领导对信息系统安全风险的认识,提高系统使用人员的业务素质和思想修养,减少实际工作中的差错,提高系统安全意识和保护系统安全的自觉性,培养知识结构全面的网络系统管理人员,及时发现系统的安全风险隐患并及时排除。
总之,实现医院会计信息网络化是确保医疗事业可持续发展的需要,加强管理,防范信息系统的各种风险,尽力将潜在安全风险系数降至最低,是医院现代信息管理的重要组成部分。信息时代既给会计工作带来了严峻的挑战,更为其带来了极好的机遇。只要我们能抓住机遇、更新理念、注重人才培养、管理创新,确定科学的网络技术的进一步发展,信息交流的进一步扩大,会计人员素质的逐步提高,医院财务管理工作必然会在如今知识经济时代实现一个历史性的飞跃。
参考文献:
1.赵立,蒋祥虎,时浩明.建立财务危机预警机制提高医院经济运行质量.中国医院管理,2004(5)
2.赵明娟.档案信息化建设在医院现代信息管理中的重要性.中国医院管理,2009(8)
(作者单位:河南省新乡市中心医院财务科 河南新乡 453000)
(责编:纪毅)
转载注明来源:https://www.xzbu.com/3/view-734372.htm