隨著醫(yī)療改革的深化,如何提高公立醫(yī)院
服務水平以滿足不斷增長的民眾就醫(yī)需求被重
視起來。通過增強醫(yī)院運營管理,使醫(yī)院的各
項工作(醫(yī)療,醫(yī)技,科研及后勤等)有效結合,
以此提高醫(yī)院的運行效率和質(zhì)量。越來越多的
公立醫(yī)院引入信息化技術來增強醫(yī)院管理,提
高運作的效率。利用信息技術搭建的醫(yī)療信息
平臺,以快速的更新和升級,有效的為醫(yī)院管理
的各個方面提供支持,例如HIS(Hospital Informa⁃
tion System,醫(yī)院信息系統(tǒng))已經(jīng)成為了醫(yī)院各
項數(shù)據(jù)的集成平臺,主要為醫(yī)院門診,住院流程
提供再造,通過對醫(yī)院及病患的數(shù)據(jù)進行高速
處理,提高醫(yī)院運行效率;另外,搭建在HIS系統(tǒng)
上與其接口的各種輔助信息平臺,例如財務收
支管理、住院門診收費、人事管理、醫(yī)務管理、物
流管理以及科研管理平臺等,也為醫(yī)院的各項
管理活動提供信息化支撐。醫(yī)院利用有效的信
息系統(tǒng)資源,整合就醫(yī)流程,快速獲取并處理各
部門數(shù)據(jù),從而為完善醫(yī)院管理提供基礎。
信息系統(tǒng)在發(fā)揮高效率,幫助醫(yī)院提高經(jīng)
營管理水平的同時也帶來許多新的思考和挑
戰(zhàn)。由于計算機技術自身快速更新和升級,對
醫(yī)院管理提出了更高的要求。內(nèi)部審計作為醫(yī)
院管理的核心部門之一,往往需要對信息系統(tǒng)
平臺的有效性進行評價和分析,這無疑成為內(nèi)
部審計人員的一項新的挑戰(zhàn)。因此,以現(xiàn)代風
險導向?qū)徲嫗槔碚摶A,如何有效的識別,評估
和糾正由于信息系統(tǒng)造成的風險,成為了內(nèi)部
審計人員新的工作重點。
現(xiàn)代醫(yī)療管理體系對醫(yī)院信息系統(tǒng)的依賴
給內(nèi)部審計帶來了與傳統(tǒng)審計工作不同的風險
關注點。首先,由于計算機軟件和硬件設備的
復雜性,使信息化下的醫(yī)院管理存在固有風險
(例如系統(tǒng)存在奔潰或服務器宕機等);其次,人
為干預(例如篡改數(shù)據(jù)等)造成的控制風險也會
給醫(yī)院帶來重大的損失;同時,信息技術也改變
了傳統(tǒng)內(nèi)部審計的審計方法,審計對象和審計
線索,內(nèi)部審計人員必須采用新的審計技術(例
如運用計算機審計的技術)以減少檢查風險。
因此,為了將信息系統(tǒng)導致?lián)p失的發(fā)生概率降
至最低,在信息化醫(yī)療背景下,醫(yī)院的內(nèi)部審計
工作必須關注如何實施風險評估程序,將其整
合于醫(yī)院整體風險評價體系中,從而尋找到最
有效的方式識別和評估信息系統(tǒng)風險,并制定
進一步審計程序?qū)⑵淇刂圃诤侠淼目扇萑谭秶?br />
之內(nèi)。
本文將以某大型三甲醫(yī)院信息系統(tǒng)平臺的
實施為案列,從執(zhí)行風險評估程序開始,識別醫(yī)
院信息化環(huán)境下的風險;其次,就識別出的風險
進行評估和分析;最后基于識別出的風險,進一
步思考內(nèi)部審計人員應當采取何種措施,在合
理的范圍和時間內(nèi)有效應對風險,實現(xiàn)醫(yī)院的
價值增值。
一、識別醫(yī)療信息系統(tǒng)風險
為了合理的識別醫(yī)療信息系統(tǒng)的風險,內(nèi)
部審計人員首先應當了解醫(yī)院的信息系統(tǒng)環(huán)
境。作為醫(yī)院和醫(yī)療組織不可分割的一部分,
了解信息系統(tǒng)的環(huán)境不能脫離醫(yī)療組織整體環(huán)
境而單獨進行分析。內(nèi)部審計人員可以從以下
四個方面對醫(yī)院的信息系統(tǒng)環(huán)境進行了解:
(一)了解信息技術在醫(yī)院中的運行環(huán)境
信息技術在醫(yī)院運行的本質(zhì)是為了改善醫(yī)
院的管理水平,為醫(yī)院運行提供服務。因此,了
解信息技術的運行環(huán)境,必須要結合醫(yī)院整體
環(huán)境來分析。隨著醫(yī)療改革的不斷深入,公立
醫(yī)院多承擔著繁重的醫(yī)療任務,為了保證醫(yī)療
信息化環(huán)境下公立醫(yī)院的
內(nèi)部審計風險及應對措施
唐菁如
11
江蘇內(nèi)部審計2014年第4期
內(nèi)審信息化
服務的有序進行,目前我公立醫(yī)院基本都搭建
了醫(yī)療管理信息平臺。基于這一平臺,醫(yī)院可
以有效的將各項數(shù)據(jù)整合,進行管理和控制活
動。以案列醫(yī)院為例,該院搭建了的醫(yī)療信息
系統(tǒng)平臺中包括:醫(yī)院信息系統(tǒng)(HIS)為收費,
檢查,門診及住院等活動提供服務;臨床信息系
統(tǒng)(CIS)收集處理臨床數(shù)據(jù);此外還有LIS、
PACS、電子病歷系統(tǒng)、叫號系統(tǒng)、財務系統(tǒng)、人事
系統(tǒng)、物流管理系統(tǒng)、電子點餐系統(tǒng)和科研教學
系統(tǒng)等等分別發(fā)揮著其各自的作用。因此,計
算機信息技術已經(jīng)融入到了醫(yī)院的各個主要業(yè)
務流程,不僅為病人和醫(yī)生服務,更為醫(yī)院管理
提供支撐。醫(yī)院信息系統(tǒng)平臺的搭建,一般都
得到院方的廣泛支持。
(二)了解搭建醫(yī)療信息系統(tǒng)平臺的應用程
序、計算機操作系統(tǒng)及硬件設備
通過對軟件實施情況的了解,案例醫(yī)院中,
醫(yī)療信息軟件的使用情況相對復雜。首先,為
案例醫(yī)院服務的軟件品種較多,各個軟件間存
在相互接口交叉讀取數(shù)據(jù)的情況,有可能對數(shù)
據(jù)庫的安全穩(wěn)定造成影響;其次,由于各個醫(yī)院
的專科項目不同,醫(yī)療就診流程也存在著個性
化的差異,導致所使用的軟件以及軟件所配備
的應用程序,操作系統(tǒng)也存在個性化差異較高
的現(xiàn)狀,這可能會導致醫(yī)療成本的大幅度提高;
第三,由于信息技術已經(jīng)融入醫(yī)院管理,醫(yī)院對
信息化系統(tǒng)的依賴程度較高,對系統(tǒng)本身的安
全性要求更加嚴格;第四,為了滿足臨床各科室
使用部門的實際需求,軟件工程師會頻繁的根
據(jù)客戶需求修改系統(tǒng),不利于系統(tǒng)的穩(wěn)定。另
外,為了滿足軟件的運行,醫(yī)院必須同時保證充
足的硬件設備,例如電腦終端,大型服務器,保
障設施(例如ups)及交換機等,并負責維護設備
的安全運行。此外醫(yī)院還需提供可靠的操作系
統(tǒng),例如主流的windows和linux系統(tǒng)等。
(三)了解醫(yī)院對應用程序及軟件的管理方式
為了有效的管理醫(yī)療信息軟件和保障醫(yī)療
數(shù)據(jù)的安全,案列醫(yī)院要求各個軟件單位派駐
工作小組,長期為醫(yī)院的軟件提供外包管理服
務。院方還成立專門的信息中心進行管理,信
息中心制定了相應的信息系統(tǒng)管理規(guī)章制度,
并對規(guī)章制度的監(jiān)督、執(zhí)行和有效更新負責。
此外,為了監(jiān)控軟件和硬件的日常運行情況,一
些專門的預警機制也被引入醫(yī)療信息系統(tǒng)的管
理中。例如,網(wǎng)絡運維管理平臺的使用有效的
監(jiān)控各個軟件應用程序,操作系統(tǒng),以及服務
器,交換機等硬件的運行狀態(tài)及運行環(huán)境,在軟
硬件發(fā)生異常時提早預警,幫助軟件工程師及
時排查錯誤。
(四)了解醫(yī)院信息系統(tǒng)實施是否有效的幫
助醫(yī)院提高運營效率
案例醫(yī)院醫(yī)療信息系統(tǒng)利用計算機技術,
為醫(yī)院收集、存儲、處理數(shù)據(jù),可以滿足用戶的
功能需求。通過數(shù)據(jù)的整合,實現(xiàn)了信息的全
過程追蹤和動態(tài)管理,從而為醫(yī)院帶來效益。
首先,數(shù)據(jù)處理的及時性節(jié)約了醫(yī)院管理環(huán)節(jié)
和醫(yī)療服務環(huán)節(jié)的耗用時間。例如,藥房管理
系統(tǒng)減少了病人的排隊時間;病人叫號系統(tǒng)優(yōu)
化了排隊流程,縮短了病人等待時間;管理科室
間利用信息平臺快速傳遞數(shù)據(jù),提高了辦事效
率。其次,科學化的信息管理流程,改善了醫(yī)院
的管理質(zhì)量。例如物流管理系統(tǒng)的運用幫助醫(yī)
院從采購,驗收,入庫等環(huán)節(jié)強制用戶執(zhí)行必要
的授權審批程序,有效的控制了醫(yī)療采購中的
舞弊情況的發(fā)生。第三,醫(yī)療信息系統(tǒng)同樣也
提高醫(yī)療質(zhì)量。以電子病歷系統(tǒng)為例,通過計
算機開出的處方和病歷,有效減少了由于手寫
處方和病歷不規(guī)范造成的醫(yī)療事故,增強對病
人的服務。因此,信息系統(tǒng)的全面實施,有效的
簡化患者的診療過程,優(yōu)化就診環(huán)境,改變排隊
多、等候時間長、秩序混亂的局面,提高了醫(yī)院
的醫(yī)療質(zhì)量和管理質(zhì)量,可以為醫(yī)院帶來顯著
的效益
二、評估識別出的風險
基于風險導向?qū)徲嫗榛A的審計風險由三
個部分組成[2],即固有風險,控制風險和檢查風
險。內(nèi)部審計風險同樣受固有風險影響,如管
理人員的品行和能力、行業(yè)所處環(huán)境、業(yè)務性質(zhì)
等;同時也受控制風險的影響,即組織的內(nèi)部控
制不完善或者即便存在完善的內(nèi)部控制但由于
未得到有效執(zhí)行而未能及時防止、發(fā)現(xiàn)并糾正
存在的錯誤事項;另外,內(nèi)部審計人員在執(zhí)行審
12
江蘇內(nèi)部審計2014年第4期
內(nèi)審信息化
計程序時的不恰當行為同樣會影響內(nèi)部審計風
險。作為醫(yī)院組織總體業(yè)務持續(xù)運作不可分割
的一部分,基于對案例醫(yī)院信息系統(tǒng)的全面了
解,內(nèi)部審計人員應當分別從固有風險,控制風
險和檢查風險分別擬出以下關鍵風險點:
(一)固有風險
信息系統(tǒng)的固有風險一般來自于系統(tǒng)本身
的安全性。隨著計算機技術的普及和在醫(yī)院內(nèi)
部的廣泛使用,有效降低了人為舞弊情況的發(fā)
生。但是,計算機軟件和硬件安全問題,信息系
統(tǒng)設計造成的固有缺陷給醫(yī)院管理帶來了風
險。首先,軟硬件的安全問題,會給醫(yī)院的管理
造成很大的影響。由于計算機網(wǎng)絡本身容易感
染病毒,受到攻擊,會造成網(wǎng)絡癱瘓;軟硬件、網(wǎng)
絡程序存在不兼容性的特點,也會產(chǎn)生宕機的
現(xiàn)象;硬件存放環(huán)境不當,容易對大型硬件設備
造成損傷。在對醫(yī)院信息系統(tǒng)高度依賴的環(huán)境
下,系統(tǒng)的宕機,尤其是存儲或運行關鍵信息資
源的軟硬件系統(tǒng)發(fā)生故障,會給醫(yī)院造成重大
的損失,影響正常的醫(yī)療秩序。其次,計算機軟
件設計缺陷主要由于軟件工程師對醫(yī)療知識和
管理知識的缺乏。醫(yī)院信息系統(tǒng)的開發(fā)是服務
于醫(yī)療行業(yè)和醫(yī)療管理領域的,大多計算機軟
件工程師專注于系統(tǒng)的編寫,而缺乏對醫(yī)療流
程或日常管理流程的感性認識。一套信息系統(tǒng)
的開發(fā)上線,往往需要根據(jù)用戶的需求做反復
的修改,此過程不僅增加了醫(yī)院的成本開支,也
會影響到系統(tǒng)運行的安全性。
(二)控制風險
組織內(nèi)部的控制風險,往往來自于內(nèi)部控
制設計的程度和執(zhí)行的程度。對醫(yī)院信息系統(tǒng)
的良好控制首先依賴于醫(yī)院的制度規(guī)范和對外
包服務的有效利用。根據(jù)調(diào)查,隨著信息系統(tǒng)
在公立醫(yī)院的廣泛使用,醫(yī)院一般都設置專門
的計算機信息部門,對醫(yī)院的信息系統(tǒng),包括軟
件程序,硬件設備和網(wǎng)絡進行統(tǒng)一管理。案例
醫(yī)院還在設立信息中心的同時,聘請軟件開發(fā)
企業(yè)進行外包服務,即由軟件公司派駐專門的
人員為醫(yī)院的信息系統(tǒng)服務。如何平衡醫(yī)院自
主管理和對外包服務的依賴,給醫(yī)院的管理提
出了新的問題。由于受外包行業(yè)真實成本的不
可控性,外包人員對醫(yī)院業(yè)務的不了解,主人公
意識淡薄,以及人員流動性大等因素的影響,醫(yī)
院如果過分依賴外包服務,則必然對信息系統(tǒng)
的控制產(chǎn)生影響。因此審計人員在評價控制風
險時,需要對醫(yī)院自主管理能力和外包服務的
深入程度進行分析。
其次,對用戶授權的控制。信息系統(tǒng)在醫(yī)
療業(yè)務流程和管理流程內(nèi)部控制的實現(xiàn)主要是
通過對用戶權限的設置來完成。相應層級的管
理人員都具有不同的授權權限,在不同的業(yè)務
流程中發(fā)揮作用。但是任何一個系統(tǒng)都存在一
個超級用戶,超級用戶對所有的醫(yī)療信息、目錄
和文件有完全的訪問權,它是安裝后第一個登
錄到服務器上的用戶,可以添加用戶并設置系
統(tǒng)內(nèi)所有用戶的權限。因此,內(nèi)部審計人員必
須對超級用戶的實際狀況進行分析,從而評價
是否存在隨意篡改數(shù)據(jù)的風險。
此外,軟硬件的成本是醫(yī)療信息系統(tǒng)建立
并進行控制活動過程中不可忽略的問題。軟件
成本主要來自于人工費用和知識產(chǎn)權費用。但
是,軟件公司在銷售產(chǎn)品的時候,常常隱蔽其真
實的人工成本,并將知識產(chǎn)權費用夸大。醫(yī)院
采購部門往往很難判斷軟件產(chǎn)品的采購價格是
否合理;軟件市場的不規(guī)范和軟件產(chǎn)品的個性
化差異,也給醫(yī)院采購帶來了困難;醫(yī)院信息平
臺的搭建同樣還依賴于大量硬件設備,醫(yī)院往
往需要采購大型服務器,交換機和UPS,這些設
備本身價格都很昂貴,為了保證硬件設備的良
好運行,醫(yī)院還需要考慮良好的存放環(huán)境,利用
輔助設施,保證存放地點濕度和溫度的適當;基
于軟件程序,硬件設備的安全運行和有效管理
考慮,很多醫(yī)院為此引入了網(wǎng)絡運維系統(tǒng)等非
醫(yī)療信息系統(tǒng)軟件,在另一個程度上增加了醫(yī)
院的系統(tǒng)購置成本。因此,內(nèi)部審計人員必須
對成本效益進行分析,在控制一味節(jié)約成本造
成的信息系統(tǒng)搭建不完善情形的同時,避免為
單純追求效益導致的資源浪費。
(三)檢查風險
檢查風險是醫(yī)院可接受的信息系統(tǒng)帶來缺
陷的程度,它受固有風險和控制風險的影響,即
在可接受的審計風險固定的情況下,如果評價
13
江蘇內(nèi)部審計2014年第4期
內(nèi)審信息化
出的固有風險和控制風險較高,則可接受的檢
查風險低,審計人員需要采取較多的審計程序
來應對評估出的風險。在對信息系統(tǒng)進行審計
的過程中,內(nèi)部審計人員面臨著新的挑戰(zhàn)。信
息化的普及,改變了傳統(tǒng)審計的方法、審計對象
和審計線索[3]。傳統(tǒng)的內(nèi)部審計通過執(zhí)行控制
測試和進一步審計程序,對財務報表的舞弊做
出判斷;通過對醫(yī)院內(nèi)部控制的了解,評價內(nèi)部
控制的有效性,幫助醫(yī)院提高內(nèi)部管理水平
等。醫(yī)療信息系統(tǒng)建立后,要求審計人員在掌
握醫(yī)療管理流程的同時,還需要了解醫(yī)療信息
系統(tǒng)中軟件程序、網(wǎng)絡和硬件設備等專業(yè)計算
機知識的,并利用信息技術進行內(nèi)部審計。在
缺乏系統(tǒng)的計算機專業(yè)知識,以及計算機審計
規(guī)范不健全的情況下,內(nèi)部審計人員未能恰當
的施行審計程序,也會為醫(yī)院管理帶來風險。
三、應對措施
基于風險評估程序,內(nèi)部審計人員被要求
做出進一步的審計程序,采取措施應對評估出
的風險。內(nèi)部審計人員在實施進一步審計程序
時,應當關注一下幾點內(nèi)容:
(一)將信息系統(tǒng)的哪些方面納入審計的范圍
在考慮成本效益的原則下,進一步審計程
序應當將資源有效的集中于風險最大的部分。
首先,內(nèi)部審計人員應當評價風險的重要性。
將后果嚴重的部分,進行重點的關注,因此,在
對醫(yī)療信息系統(tǒng)進行風險評估和分析之后,內(nèi)
部審計人員應該對系統(tǒng)中關鍵信息點進行重點
審計,例如對HIS系統(tǒng)中病人的主索引,收費明
細記錄,病歷記錄,處方記錄等執(zhí)行詳細的審計
程序;其次,內(nèi)部審計人員應當關注特別風險事
項,即對系統(tǒng)中某一環(huán)節(jié)的特殊性可能給系統(tǒng)
整體運行造成影響的部分特別關注,例如對于
超級用戶權限管理的審計;最后,內(nèi)部審計人員
還要關注細微風險累計的影響,如果幾個細微
風險累計產(chǎn)生的影響會對系統(tǒng)整體運行造成重
大損失,內(nèi)部審計人員則需要詳細的設計進一
步審計程序以應對此類風險。
(二)采用怎樣的審計方式對醫(yī)院信息系統(tǒng)
進行評估
與傳統(tǒng)內(nèi)部審計工作不同,內(nèi)部審計人員
要求對系統(tǒng)運行的有效性進行評價,因此除了
傳統(tǒng)的檢查、觀察、詢問、函證、重新執(zhí)行和分析
程序等進一步審計程序以外,內(nèi)部審計人員還
需要對系統(tǒng)中關鍵信息的數(shù)據(jù)庫語言進行分
析。同時,審計人員還需要利用審計軟件進行
信息化下醫(yī)院的內(nèi)部審計工作。
(三)以何種頻率進行審計
表一:風險等級及審計頻率
在確定了審計范圍和審計方法之后,內(nèi)部
審計人員還應當明確,在公立醫(yī)院環(huán)境下,應當
何時已何種頻率進行審計。根據(jù)(表一),基于
識別出的信息技術在醫(yī)院運行的風險,內(nèi)部審
計人員應當將識別出的風險進行排序。通常風
險被劃分為高、中、低三個等級。在被識別的高
風險等級中,信息技術風險被認定為發(fā)生概率
高且對醫(yī)院的運行影響范圍廣,因此內(nèi)部審計
人員通常應當每1-2年進行一次審計;對風險級
別和影響程度及范圍均適中的風險點,每2-3年
進行一次審計;對風險級別低,不經(jīng)常發(fā)生以及
影響范圍和程度均不明顯的部分則在每3-5年
進行一次審計。
基于以上理論,內(nèi)部審計人員應針對醫(yī)院
信息化背景下產(chǎn)生的固有風險進行評價,對控
制風險和檢查風險分別采取應對措施,降低風
險的影響程度。
1.固有風險的評估
由于固有風險是醫(yī)院在搭建醫(yī)療信息系統(tǒng)
平臺時無法避免的缺陷所造成的損失,內(nèi)部審
計人員無法控制此類固有風險,只能評估風險
的大小[4]。由于醫(yī)院對醫(yī)療信息系統(tǒng)的高度依
風險
級別
高
中
低
發(fā)生
概率
風險發(fā)生的
概率較高
風險發(fā)生的
概率適中
風險發(fā)生的
概率很低
影響
范圍
對醫(yī)院運行的影響
范圍較廣程度較高
對醫(yī)院運行的影響
范圍適中程度適中
對醫(yī)院運行的影響
范圍有限程度較低
審計
頻率
1-2年
2-3年
4-5年
14
江蘇內(nèi)部審計2014年第4期
內(nèi)審信息化
賴,計算機軟硬件缺陷或故障帶給醫(yī)院的損失
都是巨大的,例如服務器斷電,感染病毒等情況
造成信息系統(tǒng)的癱瘓,會導致系統(tǒng)前臺使用用
戶無法操作,門診和住院等關鍵業(yè)務流程[5]受到
干擾,嚴重的則會影響到醫(yī)院的日常操作。因
此內(nèi)部審計人員雖然不能控制計算機軟硬件故
障的發(fā)生,但是通過評估固有風險的大小,協(xié)助
相關科室建立應急方案,一旦發(fā)現(xiàn)了由于信息
系統(tǒng)故障造成的問題,立即采用人工應急預案,
有效的減少損失,保證醫(yī)療服務的質(zhì)量。
2.控制風險的應對
加強對醫(yī)院信息化環(huán)境中內(nèi)部控制的管
理。健全有效的內(nèi)部控制可以有效的減少內(nèi)部
審計風險。內(nèi)部審計人員可以通過觀察,詢問,
檢查等傳統(tǒng)審計手段對內(nèi)部控制進行審查并得
出關鍵控制點,通過對案例醫(yī)院的分析,可以從
以下幾個方面對控制風險進行應對:
(1)醫(yī)院對外包服務建立有效管理體制。
根據(jù)調(diào)查和實踐證明,合理適當?shù)耐獍梢詼p
少醫(yī)院管理成本,節(jié)約人力資源。但是過多的
將醫(yī)院的信息系統(tǒng)管理建立的外包服務的基礎
上,同樣也會給醫(yī)院帶來風險。如果關鍵的管
理點均依賴于外包服務,那么就會造成權責不
清的情況發(fā)生。因此,醫(yī)院內(nèi)部加強對信息系
統(tǒng)的管理,建立完善的管理制度,培養(yǎng)醫(yī)院內(nèi)部
計算機管理人才,平衡外包服務和自身管理的
程度,對外包工作進行有效的監(jiān)督和管理是減
少控制風險的關鍵。內(nèi)部審計人員應當幫助醫(yī)
院評價計算機中心管理制度是否存在缺陷,并
提出相關建議。
(2)對濫用超級用戶功能的控制。信息系
統(tǒng)作為醫(yī)院管理的重要輔助工具之一,通過對
用戶權限的設置,幫助醫(yī)院達到有效的內(nèi)部控
制。但由于超級用戶的存在,人為從后臺篡改
數(shù)據(jù)給醫(yī)院的內(nèi)部控制造成的隱患,例如,醫(yī)生
可以從后臺修改已開出的處方和病歷,不利于
醫(yī)院對已開具病歷和處方的管理,極易造成醫(yī)
療糾紛;財務人員也可能惡意的對系統(tǒng)中已錄
入的財務數(shù)據(jù)進行修改,或隱藏一部分財務數(shù)
據(jù),造成醫(yī)院財務管理的風險。超級用戶是系
統(tǒng)的總管家,不能否定其存在的價值。因此,內(nèi)
部審計工作中,審計人員要關注超級用戶的管
理方法,嚴格控制其使用范圍,以防人為惡意篡
改數(shù)據(jù)。
(3)加強采購環(huán)節(jié)的控制。內(nèi)部審計人員
應當分析本院的所有信息系統(tǒng)軟件是否符合醫(yī)
院管理的成本效益原則,評價現(xiàn)有軟件有無浪
費,以及由于信息技術快速更新造成的應淘汰
軟件仍然在續(xù)訂的情況。內(nèi)部審計人員可以通
過幫助建立完善的物流采購程序,對大型軟件
嚴格采取政府公開招標的形式,利用外部專家
進行分析。同時,加強對成本的考察,軟件成本
大多來自于軟件工程師的腦力勞動和知識產(chǎn)
權,一般很難評估,內(nèi)審可以通過相同產(chǎn)品的詢
價,比較軟件給醫(yī)院帶來的效益,評價軟件是否
應該引入等方式來達到這一目的。
3.檢查風險的應對措施
(1)加強內(nèi)部審計人員的計算機技術。由
于醫(yī)院信息平臺建立在對計算機技術的基礎
上,因此必須加強內(nèi)部審計人員計算機技術的
培訓,要求內(nèi)部審計人員對數(shù)據(jù)庫技術,網(wǎng)絡技
術和硬件的基礎配置有基本的了解。
(2)利用審計軟件進行內(nèi)部審計。內(nèi)部審
計人員不是也不可能做到對信息系統(tǒng)知識的全
面掌握,因此引入審計軟件,做到醫(yī)院內(nèi)部審計
的信息化可以降低檢查風險。選取適當?shù)膶徲?br />
軟件,將有利于醫(yī)院內(nèi)審人員有效的讀取財務,
工程以及其他所需的審計資料,幫助審計人員
整理,歸納及分析相應的數(shù)據(jù);在對信息系統(tǒng)安
全的控制上,審計軟件也可以通過對數(shù)據(jù)庫日
志的分析,對發(fā)生宕機是數(shù)據(jù)庫語言進行篩選;
同時,記錄用戶登錄信息,選取關鍵用戶信息進
行分析,檢查是否存在篡改數(shù)據(jù)的情況發(fā)生。
(作者單位:南京市鼓樓醫(yī)院)
