无忧支付网首页
站内搜索
您当前的位置:主页 > 行业资讯 > 支付行业分类 >

公立医院第三方支付的管理与控制

添加时间:2018-09-13 16:12
  一、公立医院第三方支付缴费的特点
  
  公立医院一般的就诊流程需几次缴费, 涉及开单、收费、执行等多个部门。患者的就诊信息均通过医院的信息系统 (以下简称HIS系统) 在各部门和人员之间传输。第三方支付涉及第三方 (微信、支付宝、银行、医保) 、终端设备 (终端一体机、云pos、微信公众号、窗口扫码枪) 、医院HIS之间系统通讯。整个支付产业链对外涉及电信运营商、第三方支付厂商、金融机构以及商户等, 对内涉及医院的多个部门、多个岗位, 诸多问题和环节需要协同处理, 又要相互牵制。与其他行业相比, 公立医院第三方支付的管理和内部控制有其特殊性。

公立医院支付
  
  二、公立医院第三方支付的管理与控制措施
  
  (一) 系统设计环节的控制
  
  1. 系统硬件使用的安全控制
  
  硬件以高标准配置, 并设置多台服务器, 实现多台机器备份、异地备份;传输、接受、返回等数据操作经多道密钥及验证程序完成;部署防火墙, 减少网络中毒和非法用户攻击, 提高服务器安全性能。
  
  2. 系统软件安全方面的控制
  
  在数据传输方面, 医院与第三方支付公司签订特定的传输协议, 采用特定的数据接口, 设定多道密钥验证程序进行数据传输、接受、返回等数据操作;与银行间使用专线传输数据;在数据操作安全方面, 医院内部的系统开发环境、系统维护环境与交易数据生成环境相互分离。
  
  (二) 对账控制
  
  1. 建立对账平台自动对账控制
  
  建立自动对账平台, 整合各平台通讯数据, 实现以上第三方支付的交易记录和医院HIS系统的交易记录以及每笔缴费的缴费人、收费人、终端设备 (设备编号) 、缴费状态等相关信息每日自动核对。自动对账系统可筛选出HIS、银行的异常交易记录, 并在自动对账平台内标红显示, 便于财务人员快速查找到交易不符的情况, 查明原因, 快速处理单边账的问题, 保证交易的安全, 防止舞弊发生。
  
  2. 程序设计控制
  
  通过程序设计形成对异常数据自动处理功能, 发生第三方缴费业务时, 若返回订单交易码异常则再次调用HIS支付接口。第二次发起时, HIS会先查看HIS里面是否有该笔订单, 若没有, 处理完后返回交易结果;若已经存在, 返回HIS里面交易状态。若HIS系统接收失败但第三方费用已扣款, 可直接在平台进行冲正;若退款时HIS系统扣款成功但第三方退款失败, 可直接在支付平台重新向第三方发起退款。
  
  3. 制订技术安全应急预案
  
  由信息科制订第三方支付技术安全应急预案, 一旦出现系统崩溃或者被恶意程序攻击的事件, 会尽快通知用户, 修复系统, 恢复数据, 将损失最小化。
  
  (三) 稽核控制
  
  通过第三方支付交易会涉及包括患者、医院、支付宝/微信、银行在内的四方参与者, 因此医院必须完善内部报表体系, 包括每位收费员和每台自助缴费机的收费日报表, 全院汇总的收费员日报表和自助缴费机的汇总日报表、月报表等, 医院建立稽核控制制度, 财务部门指定专人负责每日核对账表工作。特别对自动对账平台筛选出的异常数据、退款冲红数据、收费员缴款、第三方支付缴费、银行到账数据等信息数据要多方核对, 保证明细与总账相符、HIS交易数据与第三方平台和银行到账相符, 账务清晰明了, 及时清理未达账项。稽核方式包括系统稽核、报表稽核、现场稽核等, 以防错误与舞弊发生。
  
  (四) 资金安全的控制
  
  1. 在途资金的安全控制
  
  一是缩短资金停留在虚拟账户的时间。向第三方申请尽量短的提现时间, 目前最短的提现时间为“T十1”模式, 缩短在途资金停留时间, 有效降低资金滞留带来的信用风险;二是加强对账, 财务人员每日与银行对账, 及时发现和解决问题, 排除风险, 保证资金安全到位。
  
  2. 患者资金安全控制
  
  患者的资金安全分两种情形:一是借助支付平台合作方进行防控;二是在应用第三方支付平台交易过程中, 可能会出现网络延时、系统故障、操作不当等情况, 引发交易失败, 但系统却已扣除用户的费用, 造成了用户的资金损失。医院可通过上述对账流程发现此类情况, 并按退费流程将资金退给用户, 确保用户资金安全。
  
  3. 恶意套现风险控制
  
  一是通过第三方支付交易流水金额与H I S的实际消费金额核对, 发现与实际消费金额不符的异常交易数据, 杜绝虚假交易和套现行为。二是通过退费资金原路返回的方式杜绝套现。对通过审核符合退医疗费的交易, 不能直接退现金给缴费人, 而是根据交易记录, 将资金按原交易方式 (微信、支付宝、银联、医保卡等) 原路退回。原路退回的交易资金在交易记录中以红色负数据体现, 冲减退费当日相应支付方式的日报表。
  
  4. 收费员日常结算资金的安全控制
  
  一是做到日清月结。医院HIS设定收费员每天的收入结算时点, 按结算时点打印收费日报表, 由收费组长汇总, 财务人员复核后当日缴存银行, 出纳每日向银行收回缴款入账单据并核对, 每月由收入会计汇总再次核对收费员的收费与缴款情况, 保证收费员日常资金日清月结。二是财务稽核会计针对收入的风险点对收入会计、出纳和收费员的工作进行稽核, 检查内部控制的执行情况, 防止风险和舞弊发生。三是现场抽查稽核, 财务稽核会计和内审人员不定期对收费员进行账账、账实稽核, 并逐一记录, 作为收费员和财务人员工作安全和质量考核指标之一。促进相关岗位人员认真履行职责, 避免舞弊现象的发生。
  
  (五) 退费控制
  
  1. 建立包括第三方支付在内的医院退费管理制度
  
  第三方支付退费包括退诊察费、药品费、医疗费、医保负担部分退费等。需视不同情况对系统与退费流程和手续予以规范, 把控退费的真实性、准确性, 如在系统控制方面, 授权医生作为退费的发起方, 只有医生能在HIS发起退费 (需说明退费理由) , 之后其他部门和人员才能执行相应的退费操作。但系统对医生的发起退费也有控制, 除非相应执行部门取消执行后医生才能发起退费, 保证各部门和人员对退费环节的相互制约。
  
  2. 设计退费复核制度, 复核与退费职责分离
  
  退费通道应是原路退还, 即银行卡支付的应退回原银行卡, 防套现等风险, 医保病员需进行费用分解, 将个人负担和医保负担部分分别退还。
  
  3. 建立应急退费处理人工通道
  
  因网络等技术问题引起的退费按上述对账平台设计方法智能解决, 若遇到其他程序无法正理需人工介入处理的, 由用户到医院的任意收费窗口查询该笔交费单是否支付成功。HIS显示已交费, 患者可继续看病, 若未成功, 提示患者再次缴费并且告知原款项会原路退回等。
  
  (六) 授权批准和岗位分离控制
  
  1. 授权批准和职务不相容岗位分离控制
  
  一是数据库操作的授权批准。数据库用户密码分多段分别由小部分不同人员管理。对数据库进行直接操作必须填写数据操作申请单, 经审批后由相关人员分别输入各自密码部分, 有效防止信息人员对数据进行非法操作。二是职务不相容岗位 (如收费和稽核) 必须分离, 操作人员权限设定不同级别, 不同岗位有权限分配。由医院领导授权给部门负责人, 部门负责人授权操作人员。所有授权均在监察室备案以便监督, 减少或增加授权必须经过审批后信息部门才能变动等, 有效降低舞弊风险。如:授权收费组长可撤销POS机消费操作, 当发生持卡人机刷卡消费后要求撤销时, 由收费员向收费组长提出申请, 经收费组长核实后, 由收费组长进行消费撤销操作, 可以避免收费员随意对POS机消费单进行撤销, 也规避了收费员通过POS机消费撤销进行舞弊的风险。
  
  2. 加强员工培训, 增强员工风险意识, 提高员工职业道德
  
  开展员工技能培训和职业道德教育, 让员工做到诚信与自律, 从思想上意识到自身如果操作失误或者操作不规范所能带来的巨大风险;意识到泄露用户个人隐私、挪用款项等违法犯罪行为的严重性和将面临的法律惩戒;意识到反洗钱和反恐怖融资是第三方移动支付机构必须尽到的责任和义务, 同时也是每个员工的义务。
  
  三、应用第三方支付管理和控制的体会
  
  第三方支付发展迅猛, 支付场景变化多端, 当前针对每个岗位、每个环节查找的风险点和制定的应对措施不能一蹴而就, 需根据变化修改相应的管理和控制的方法, 需要医院监管部门不定期进行管理和内部控制测试, 不断补充和完善。
  
  在查找风险点和制定应对措施的过程中, 笔者发现第三方支付缺乏行业标准和法律保障, 使监管工作的执行也没有根基。如安全技术标准及加密算法没有自主知识产权, 行业内也缺乏统一标准, 加大监管难度, 对第三方支付安全也带来了威胁。因此建议应尽快建立行业标准和健全有关法律, 加强监督管理, 如建立密钥托管机制, 逐步将政府数据等公共资源放在第三方支付平台上, 使有关部门能够进行信息采集与合作, 震慑潜在违约用户等, 使公立医院的第三方支付有更安全的环境保障、法律保障。
关闭

1.点击下面按钮复制微信号

***********

2.打开微信→查找微信号

加为好友 开始支付接入