Kiểm soát hệ thống thông tin kế toán

Một phần của tài liệu (LUẬN văn THẠC sĩ) nâng cao hiệu quả sử dụng phần mềm kế toán tại bệnh viện chấn thương chỉnh hình , luận văn thạc sĩ (Trang 54 - 58)

6. Kết cấu của luận văn

3.2. Giải pháp nâng cao hiệu quả sử dụng phần mềm kế toán tại bệnh viện

3.2.1. Kiểm soát hệ thống thông tin kế toán

3.2.1.1. Kiểm soát thiết bị

Bất kỳ loại tài sản nào của bệnh viện cũng đều cần phải được kiểm soát chặt chẽ. Hơn thế nữa, các trang thiết bị phần cứng của hệ thống thông tin phải được bảo vệ ở mức cao hơn. Việc tiếp cận các trang thiết bị này phải đúng thẩm quyền. Ví dụ: máy tính cá nhân của nhân viên kế tốn nào thì chỉ nhân viên đó có quyền sử dụng, máy chủ và các thiết bị mạng chỉ được do bộ phận công nghệ thông tin của bệnh viện tiếp cận. Sự vi phạm an toàn vật lý là mức nguy hiểm cao nhất đối với một hệ thống thơng tin.

Các nhân viên kế tốn của bệnh viện đang sử dụng chung một phòng là phòng kế tốn và các máy tính cá nhân đều để dưới bàn làm việc của họ. Chỉ cần một số kiến thức tin học tối thiểu, một nhân viên cũng dễ dàng tiếp cận và sử dụng được máy tính của nhân viên khác. Giải pháp cho việc này là mỗi nhân viên có một phịng ban riêng (rất khó thực hiện) hoặc gắn camera giám sát phịng 24/7 (có thể thực hiện ngay) để biết được nhân viên nào làm việc gì tại vị trí nào trong phịng. Điều đó hạn chế được việc vi phạm về kiểm soát thiết bị.

3.2.1.2. Kiểm soát phần mềm xử lý

Kiểm soát phần mềm xử lý bao gồm kiểm soát nhập liệu, kiểm sốt q trình xử lý dữ liệu và kiểm sốt thơng tin đầu ra. Với vai trò là người sử dụng phần mềm, bệnh viện khó có khả năng kiểm sốt được q trình xử lý dữ liệu nên người sử dụng càng phải quan tâm tới dữ liệu đầu vào và dữ liệu đầu ra của phần mềm kế toán.

a. Kiểm soát nhập liệu

Với cường độ làm việc cao của môi trường bệnh viện, việc người sử dụng nhầm lẫn trong quá trình nhập dữ liệu là khó tránh khỏi. Vì vậy ngồi các yêu cầu cơ bản về kiểm soát nhập dữ liệu, tác giả đề nghị các nhân viên nhập dữ liệu có thời gian làm việc vừa phải, hạn chế tăng ca, trực đêm thường xuyên, đảm bảo họ có một tinh thần thoải mái và cho kết quả công việc chính xác hơn.

Ngồi ra do đặc thù của ngành y tế, một số dữ liệu nhập – ví dụ như đơn thuốc – có sự ràng buộc về các dữ liệu khác nhau trong cùng một chứng từ cần nhập. Do đó phần mềm kế tốn đặc trưng cho ngành y tế nên trang bị thêm module trí tuệ nhân tạo, có nhiệm vụ:

− Dị tìm dữ liệu quá khứ để tìm ra điểm bất hợp lý trong chứng từ đang được nhập. Ví dụ như khi nhập đơn thuốc cho một căn bệnh, bác sĩ chỉ định dùng một loại thuốc mới mà với các đơn thuốc trước đó của cùng căn bệnh lại khơng có. Khi đó nhân viên nhập liệu hoặc bác sĩ sẽ được chú ý hơn đến loại thuốc này để đảm bảo đó khơng phải là một nhầm lẫn.

− Cảnh báo dữ liệu bất thường trong chứng từ đang được nhập. Ví dụ khi nhập một đơn thuốc, các loại thuốc đều có số ngày sử dụng là 5 ngày nhưng lại có một thuốc có số ngày sử dụng là 50 ngày, module trí tuệ nhân tạo sẽ gây ra sự chú ý của nhân viên nhập tới số 50 để nhân viên nhập chắc chắn hơn về con số mình đã nhập.

− Tự động nhập các thông tin liên quan theo kiểu đưa ra dữ liệu mặc định (nhưng dữ liệu mặc định lại tự động thay đổi dựa trên các tính tốn với dữ liệu lịch sử và dữ liệu đang nhập của chứng từ). Ví dụ như hóa đơn tính chi phí nằm viện của một bệnh nhân, khi nhân viên nhập thuộc tính căn bệnh và số ngày điều trị, dựa theo các hóa đơn trước đây có thể liệt kê ra các y dụng cụ, thuốc điều trị và các y phẩm phụ, như vậy nhân viên nhập chỉ cần chọn thêm hoặc bớt các hạng mục trong danh sách, điều này giúp hạn chế được sai sót so với nhân viên phải nhập toàn bộ danh sách từ đầu.

Đề nghị về module trí tuệ nhân tạo là rất khó thực hiện nhưng nếu bệnh viện có yêu cầu, các công ty phần mềm sẽ phải suy nghĩ và phát triển thêm về hướng này.

b. Kiểm sốt thơng tin đầu ra

Theo quy định của ngành, các kết xuất của phần mềm đều có đầy đủ các mục theo mẫu. Tuy nhiên các dữ liệu trong kết xuất phải được kiểm tra lại tính chính xác, tính đầy đủ và trung thực. Việc kiểm tra phải phân công theo 3 cấp chịu trách nhiệm: cấp thấp nhất là chính người đưa dữ liệu vào hệ thống, cấp trung gian là nhân viên kế toán phụ trách bộ phận và cấp cao nhất là kế toán trưởng. Khi cả 3 cấp phụ trách từ chi tiết đến tổng hợp đều đảm bảo tính tin cậy của hệ thống.

Ngồi ra cần có quy định rõ về nơi sử dụng cũng như thời hạn sử dụng của các kết xuất của hệ thống. Ví dụ như quy định hóa đơn chỉ hợp lệ trong bao nhiêu ngày kể từ khi xuất hóa đơn, quy định liên nào thì giao cho ai,…

3.2.1.3. Kiểm sốt lưu trữ dữ liệu

a. Kiểm soát thiết bị lưu trữ

Dữ liệu chính là thứ quý giá nhất trong hệ thống thơng tin, do đó việc lữu trữ chúng phải được đặt vào một hệ thống đáng tin cậy cả về chất lượng, tốc độ và độ an toàn. Như vậy các điểm cần chú ý để đảm bảo về kiểm soát thiết bị lưu trữ là:

− Đảm bảo an toàn cho thiết bị lưu trữ: sử dụng các đĩa cứng mới có độ tin cậy cao, tốc độ nhanh. Tốt nhất là sử dụng nhiều đĩa cứng để có thể ghi dữ liệu ở chế độ mirror – dữ liệu được ghi đồng loạt vào nhiều đĩa cứng tại cùng thời điểm – giúp giảm thiểu được khả năng hư hỏng của đĩa cứng làm mất dữ liệu.

− Dán nhãn, đặt tên, phân loại, sắp xếp theo thời gian: các thiết bị lưu trữ được chú thích rõ ràng giúp cho việc tìm và sử dụng lại chúng (việc tìm do con người thực hiện) trở nên dễ dàng và nhanh chóng hơn.

− Thay thế định kỳ và hủy thiết bị không sử dụng nữa: mỗi thiết bị lưu trữ đều có tuổi thọ nhất định. Ví dụ với đĩa cứng cơ thì chỉ nên sử dụng khơng q 5 năm, với đĩa quang thì khơng q 2 năm.

b. Kiểm sốt sao lưu dự phịng

Trên thực tế có những rủi ro khó tránh khỏi như thiên tai, lũ lụt, mất điện, trang thiết bị phần cứng bị cháy, nổ, hư hỏng. Do đó dữ liệu lưu trữ khơng bao giờ đảm bảo 100% là an toàn.

Để hạn chế tổn thất, tất cả dữ liệu phải được sao lưu trong mỗi ngày hoặc mỗi tuần. Ngoài ra cũng nên có chiến lược sao lưu hợp lý.

Trong bệnh viện, phương pháp sao lưu đề nghị là sử dụng đĩa cứng gắn ngoài sao lưu hàng ngày và sử dụng đĩa DVD sao lưu mỗi tuần.

− Sử dụng đĩa cứng gắn ngoài sao lưu mỗi ngày: tận dụng ưu điểm của đĩa cứng gắn ngoài là sao lưu nhanh và có thể thực hiện tự động, kế tốn trưởng khơng cần điều khiển mà vẫn đảm bảo được hệ quản trị cơ sở dữ liệu sẽ tự sao lưu dữ liệu ra thiết bị lưu trữ ngoài. Nhược điểm của phương pháp này là dữ liệu lưu trữ được khơng lớn và chi phí đĩa cứng ngoài cao.

− Sử dụng đĩa DVD sao lưu mỗi tuần: hạn chế được hai nhược điểm của phương pháp trên nhưng cần sự thao tác của người sử dụng.

Có thể tham khảo các phương tiện sao lưu trong phụ lục D. 3.2.1.4. Kiểm soát truy cập

Mỗi nhân viên kế toán khi truy cập vào hệ thống thông tin phải sử dụng tài khoản cá nhân của riêng mình. Bất kỳ sự truy xuất nào từ một tài khoản đều phải được ghi nhận (ghi nhận cả hành động xem, sửa, xóa dữ liệu và cả dữ liệu thay đổi).

Phải có chính sách bắt buộc các nhân viên chỉ được sử dụng tài khoản của mình và đảm bảo an tồn cho tài khoản của mình.

Nghiêm cấm cho xem, cho mượn tài khoản cá nhân cho người khác, ngay cả kế toán trưởng hay cấp trên.

Khi thực hiện đầy đủ các biện pháp trên, bộ phận hay cơ quan thực hiện kiểm soát nội bộ sẽ dễ dàng biết được những thay đổi, hư hỏng, mất mát,... là do nhân viên nào thực hiện.

3.2.1.5. Kiểm sốt truyền thơng dữ liệu

Dữ liệu dù được lưu trữ hay truyền tải đều cần được mã hóa để phịng tránh việc bị mất cắp hoặc chỉnh sửa thơng tin. Phần 3.2.1.6a trình bày về giải pháp mã hóa dữ liệu. Ngồi ra khi gửi hoặc nhận dữ liệu, hệ thống cũng phải xác thực nơi nhận hoặc nơi gửi có đúng là đối tác thực của hệ thống hay không. Cuối cùng là phải đảm bảo thông tin nhận được phải đúng là thơng tin đã gửi và khơng có sự sửa đổi nào. Hai vấn đề cuối có thể đảm bảo được thơng qua việc sử dụng chữ ký số (trình bày trong phần 3.2.1.6b).

a. Mã hóa dữ liệu

Dữ liệu được lưu trữ mà khơng được mã hóa sẽ rất nguy hiểm trong trường hợp hàng rào an tồn vật lý bị xâm phạm. Những rủi ro có thể gặp phải khi dữ liệu khơng được mã hóa khi lưu trữ như bị lộ thông tin mật, bị thay đổi thơng tin.

Mã hóa dữ liệu có thể được thực hiện theo một trong các hướng sau:

− Bản thân hệ thống thơng tin kế tốn, cụ thể hơn là phần mềm kế tốn, có cơng cụ để tự mã hóa dữ liệu của mình. Nếu tiến hành theo hướng này thì chi phí cho phần mềm lớn mà hiệu quả khơng cao. Chi phí để chuyển đổi dữ liệu trong trường hợp phát triển thêm phần mềm kế toán cũng rất cao.

− Sử dụng máy chủ riêng hoặc hệ quản trị dữ liệu riêng để lưu trữ cơ sở dữ liệu và máy chủ riêng này phải có chế độ mã hóa dữ liệu. Hướng giải quyết này chi phí rẻ, thích hợp cho dữ liệu lưu trữ lớn nhưng tốc độ chấp nhận được chứ không cao.

− Sử dụng thiết bị lưu trữ tích hợp mã hóa. Thiết bị phần cứng thực hiện mã hóa nhanh hơn rất nhiều so với phần mềm. Chi phí của thiết bị lưu trữ cao nhưng theo thời gian sẽ giảm nhiều theo tác dụng của định luật Moore. Ở thời điểm hiện tại (năm 2010), bệnh viện nên áp dụng theo hướng thứ hai. Cịn trong tầm nhìn 5-10 năm thì áp dụng hướng thứ ba.

b. Chữ ký số

Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lơ gíc với thơng điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thơng điệp dữ liệu được ký. (trích Điều 21 Luật Giao dịch Điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005).

Chữ ký số là một phạm trù con của chữ ký điện tử, muốn nói đến việc ký vào thông điệp, gửi thông điệp, kiểm tra và xác nhận chữ ký đều dựa trên máy tính (computer) và mạng máy tính (computer network).

Sử dụng chữ ký số trong bệnh viện kết hợp với sự điều chỉnh bổ sung Luật kế tốn (khơng bắt buộc lưu trữ chứng từ in trên giấy) giúp bệnh viện tiết kiệm được chi phí in ấn, chuyển giao, báo cáo, bảo quản các chứng từ kế toán. Chữ ký

số cũng ràng buộc người ký khơng thể thối thác trách nhiệm về mỗi nghiệp vụ phát sinh đồng thời tính đúng đắn của nghiệp vụ được đảm bảo giữ nguyên không thay đổi như khi được xét duyệt.

Tuy nhiên cho tới thời điểm cuối năm 2010, các doanh nghiệp cung cấp chữ ký số ở Việt Nam mới ở bước tuyên truyền, việc cung cấp chữ ký số cho tổ chức, cá nhân chưa thuận tiện. Do đó việc sử dụng chữ ký số có thể đưa vào tầm nhìn 5- 10 năm trong quá trình xậy dựng hệ thống phần mềm kế toán mới hoặc cải thiện hệ thống phần mềm kế tốn hiện có của bệnh viện.

3.2.1.6. Lập kế hoạch an ninh

Kế hoạch an ninh là tập hợp các quy định, điều lệ, quy tắc xử lý khi có các sự kiện xảy ra trong hệ thống thơng tin. Trong đó quy định rõ: Ai cần thơng tin? Khi nào? Ở đâu? Để làm gì? Vị trí nào trong hệ thống cung cấp thơng tin? Mức độ cung cấp thơng tin?

Rủi ro mang tính hệ thống nhất của bệnh viện là thiếu kế hoạch an ninh của riêng hệ thống thông tin. Các quy định và cách hành xử hiện nay phần lớn là theo kinh nghiệm của người lãnh đạo cũng như người thừa hành trong hệ thống. Như vậy bệnh viện phải lập ra kế hoạch an ninh hệ thống thông tin và kế hoạch an ninh này phải được thường xuyên xem xét, đánh giá lại. Ngoài ra các cấp lãnh đạo phải giám sát, thúc ép toàn bộ nhân viên thực hiện kế hoạch an ninh.

Một phần của tài liệu (LUẬN văn THẠC sĩ) nâng cao hiệu quả sử dụng phần mềm kế toán tại bệnh viện chấn thương chỉnh hình , luận văn thạc sĩ (Trang 54 - 58)

Tải bản đầy đủ (PDF)

(85 trang)