一、醫院會計電算化的安全風險
會計電算化后,由于存貯載體的變化、處理方式的變更、文件傳遞方式的變革,使會計信息的安全性受到了嚴重的挑戰,其安全隱患具體表現在:
(一)硬件環境存在的風險
計算機系統中硬件配置不當或硬件故障,會影響會計信息的流通,嚴重時會導致系統癱瘓,威脅傳輸的信息的完整性,甚至使信息丟失,造成不可估量的損失。硬件內部環境如計算機硬件的損壞或或運行不穩定而又沒有數據備份的情況下造成數據丟失,外部環境如操作時停電或處于磁場環境磁盤被磁化造成數據丟失。
(二)軟件開發和設計存在的風險
在應用軟件的研制過程中,由于研制人員所考慮的問題不是十分的全面、科學,致使實際工作中的一些情況與之不能吻合,容易出現差錯。當操作人員將原始資料輸入計算機后,在軟件的控制下對信息進行加工處理,從而形成各種結果。因此,會計軟件本身的好壞,將直接關系到數據的真實、安全、完整、可靠。
(三)人為的誤操作和有意破壞,造成數據存在被篡改或丟失的風險
由于電算化系統內的工作人員素質不高,或責任心不強等原因造成的數據錄入錯誤、操作步驟失誤、監控力度不夠等,使會計數據錄入或處理出現錯誤,從而導致會計信息的不真實、不可靠、不完整。
在實際業務操作不規范,具體控制措施不嚴的情況下,電算化系統的內部工作人員為了達到竊取或泄露商業秘密、非法轉移資金、掩蓋各種舞弊行為等非法目的,有意協助競爭對手獲取和破壞會計數據,從而對會計軟件、數據等進行非法篡改、刪除,從而造成嚴重的損失。
(四)電腦黑客的攻擊
電腦黑客是指非法侵入電算化系統的用戶或程序(特別是在網絡環境下更為嚴重)。在會計電算化系統中的電腦黑客指專門進行竊取商業秘密的機構或組織以及商業上的競爭對手,利用網絡的漏洞,采用線路監聽、信息截獲、口令試探、身份仿冒和插入假信息等手段,對信息安全的各個層面進行攻擊,使得會計信息面臨被盜用、仿冒和破壞的風險。
(五)計算機病毒的破壞
隨著計算機網絡和計算機技術的發展,計算機病毒呈現多樣化、傳播速度快、破壞力強、傳播途徑多和難以防范等特點,它通過破壞計算機系統程序、數據,甚至破壞硬件,嚴重威脅計算機系統信息的安全。計算機病毒的入侵使合法的用戶不能正常訪問網絡資源,有嚴格要求的系統服務不能得到正常的響應,甚至篡改和毀壞數據,造成會計信息失真。
(六)計算機系統維護不當釀成的風險
由于系統維護人員缺乏計算機專業技術,對系統缺乏科學的管理,以及在出現問題時處理不當或處理方式錯誤等,會直接導致數據的損壞。
二、醫院電算化會計安全風險的防范對策
(一)從技術上加強電算化系統的安全管理
電算化會計系統信息的安全防護,包括兩個內容:靜態數據安全和動態安全。前者指系統中集中存儲在中央數據庫和各分布式數據庫中數據的安全,后者指數據在通信過程中對完整性、保密性、有效性和真實性的保證。具體可以從以下幾個方面來實現。
1.建立系統實體安全與硬件安全的防范措施
實體安全涉及到計算機主機房的環境和各種技術安全要求、光和磁介質等數據存貯體的存放和保護。計算機機房建設應符合技術要求和安全要求,應充分滿足防電磁干擾、防火、防水、防潮、防盜、恒溫等技術條件,機房內用于動力、照明的供電線路應與計算機系統的供電線路分開,應配有空調和消防設置、UPS(不間斷電源)、防輻射和防電磁波干擾等設備。對用于數據備份的磁介質存貯媒體進行保護時應注意防潮、防塵和防磁,盡量定期對業務數據備多份,作好文字記載并異地存放,長期保存的磁介質存貯媒介應定期轉貯。
計算機會計信息系統的可靠運行主要依賴于硬件設備,因此硬件設備的質量必須有充分保證。因此對硬件建設必須進行科學的規劃設計,并把安全問題作為重要問題給予評估,使會計電算化系統在正常運行后有一個穩定可靠的硬件平臺。
2.使用安全的財務軟件平臺等先進技術,從軟件技術上確保會計信息的安全
在財務軟件中應根據特點電算化系統具體特點增加相應的安全功能,會計電算化軟件數據處理應層層設防,在軟件功能上增加必要的提示功能、檢查功能和限制功能,要防止操作失誤數據破壞,操作人員進入系統要設置口令,并對系統操作人員進行授權,防止無權人員的操作。
3.建立預防病毒的安全措施
為了防止病毒的侵襲,要建立有效的計算機病毒防范體系。要堅持使用正版軟件,不能使用盜版或來路不明的軟件,對外來的軟盤要先進行病毒檢測,方可在計算機系統中使用;在系統中裝入防病毒軟件,并在系統進行時實監控,對系統數據文件進行病毒檢測,及時發現并殺死病毒;定期備份數據和文件;不打開和閱讀來歷不明的電子郵件等。
4.加強技術防護措施,建立網絡漏洞監測和攻擊防范系統
為了防止非法用戶和黑客的侵入,可以通過設置放火墻、安全的數據通信協議、身份識別系統等技術防護措施,將非法用戶拒之網絡之外,面對重要商業秘密泄露的問題,可以將軟件的重要信息采用安全性強的數據加密算法、利用過程密鑰、使用一次一密、安全鎖定等技術手段,以防止重要信息在傳播過程中被泄露。
(二)建立科學有效的制度保障機制
建立科學有效的制度保障機制是防止會計信息失真,防范和化解風險的重要手段和有效途徑。要求每一項技術應用都有相應的安全防范制度出臺,做到技術開展和制度建設并舉、技術應用和制度保障同步;做到制度建設為業務開展保駕護航、制度建設和業務創新相適應,在技術創新的同時不斷補充和完善各項制度,使制度更加科學和規范化。重點在完善內部控制制度和建立以安全審計為核心的風險評估和應急處理機制上下功夫。內部控制制度主要包括組織控制制度,主要是通過內部分工,實現互相牽制;開發和維護控制制度,主要是體現全程控制的思想,從電算化系統組建伊始,開始實施安全控制,確保給定控制功能的實現;數據訪問權限控制和重要數據備份制度,在對數據劃分重要性前提下,確定各類人員對不同數據的訪問權限,確保數據的準確性和保密性;應用控制制度,包括輸入、輸出和處理控制制度,以便檢測、預防和更正錯誤;日常管理制度,包括機房管理、并發控制和安全鎖定等制度。
定期安排專業審計人員,對會計電算化系統的相關活動或行為進行全面的、系統的安全審計,并對系統的安全狀況作出相應的評價。它包括安全控制目標審核、安全漏洞評估、安全控制措施檢驗和安全性測試等四個方面。通過安全測試可以全面評估系統的安全狀況,預測會計信息失真的風險,并有針對性地指導企業完善相應的安全措施,建立應急處理機制。
(三)加強會計電算化系統使用人員的安全教育與專業技術知識的培訓
在現代科學技術飛速發展的今天,人的素質顯得特別重要。一方面要通過教育,提高財會人員特別是系統操作人員的思想認識,提高安全防范意識和職業道德水準,嚴格執行各種操作規章制度和操作規程,防止工作中出現不必要的失誤;另一方面要加強計算機、通訊和網絡理論等專業知識的的學習和培訓,不斷提高系統操作人員電算化系統的安全防范手段應用水平。有條件的大型企業應立足于國際水準,培養或聘用一批掌握國際先進技術,精通信息技術,熟練應用會計電算化的高級技術人才,推動企業電算化事業由“核算型”向“管理型”、“智能型”轉變。中小企業應積極支持和組織會計人員學習和提高會計電算化知識,掌握計算機先進技術,培養復合型人才,為盡快建立高效的會計信息系統創造條件。
