新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

隨著醫(yī)療改革的深化，如何提高公立醫(yī)院
服務(wù)水平以滿足不斷增長(zhǎng)的民眾就醫(yī)需求被重
視起來(lái)。通過(guò)增強(qiáng)醫(yī)院運(yùn)營(yíng)管理，使醫(yī)院的各
項(xiàng)工作（醫(yī)療，醫(yī)技，科研及后勤等）有效結(jié)合，
以此提高醫(yī)院的運(yùn)行效率和質(zhì)量。越來(lái)越多的
公立醫(yī)院引入信息化技術(shù)來(lái)增強(qiáng)醫(yī)院管理，提
高運(yùn)作的效率。利用信息技術(shù)搭建的醫(yī)療信息
平臺(tái)，以快速的更新和升級(jí)，有效的為醫(yī)院管理
的各個(gè)方面提供支持，例如HIS(Hospital Informa⁃
tion System，醫(yī)院信息系統(tǒng))已經(jīng)成為了醫(yī)院各
項(xiàng)數(shù)據(jù)的集成平臺(tái)，主要為醫(yī)院門診，住院流程
提供再造，通過(guò)對(duì)醫(yī)院及病患的數(shù)據(jù)進(jìn)行高速
處理，提高醫(yī)院運(yùn)行效率；另外，搭建在HIS系統(tǒng)
上與其接口的各種輔助信息平臺(tái)，例如財(cái)務(wù)收
支管理、住院門診收費(fèi)、人事管理、醫(yī)務(wù)管理、物
流管理以及科研管理平臺(tái)等，也為醫(yī)院的各項(xiàng)
管理活動(dòng)提供信息化支撐。醫(yī)院利用有效的信
息系統(tǒng)資源，整合就醫(yī)流程，快速獲取并處理各
部門數(shù)據(jù)，從而為完善醫(yī)院管理提供基礎(chǔ)。
信息系統(tǒng)在發(fā)揮高效率，幫助醫(yī)院提高經(jīng)
營(yíng)管理水平的同時(shí)也帶來(lái)許多新的思考和挑
戰(zhàn)。由于計(jì)算機(jī)技術(shù)自身快速更新和升級(jí)，對(duì)
醫(yī)院管理提出了更高的要求。內(nèi)部審計(jì)作為醫(yī)
院管理的核心部門之一，往往需要對(duì)信息系統(tǒng)
平臺(tái)的有效性進(jìn)行評(píng)價(jià)和分析，這無(wú)疑成為內(nèi)
部審計(jì)人員的一項(xiàng)新的挑戰(zhàn)。因此，以現(xiàn)代風(fēng)
險(xiǎn)導(dǎo)向?qū)徲?jì)為理論基礎(chǔ)，如何有效的識(shí)別，評(píng)估
和糾正由于信息系統(tǒng)造成的風(fēng)險(xiǎn)，成為了內(nèi)部
審計(jì)人員新的工作重點(diǎn)。
現(xiàn)代醫(yī)療管理體系對(duì)醫(yī)院信息系統(tǒng)的依賴
給內(nèi)部審計(jì)帶來(lái)了與傳統(tǒng)審計(jì)工作不同的風(fēng)險(xiǎn)
關(guān)注點(diǎn)。首先，由于計(jì)算機(jī)軟件和硬件設(shè)備的
復(fù)雜性，使信息化下的醫(yī)院管理存在固有風(fēng)險(xiǎn)
（例如系統(tǒng)存在奔潰或服務(wù)器宕機(jī)等）；其次，人
為干預(yù)（例如篡改數(shù)據(jù)等）造成的控制風(fēng)險(xiǎn)也會(huì)
給醫(yī)院帶來(lái)重大的損失；同時(shí)，信息技術(shù)也改變
了傳統(tǒng)內(nèi)部審計(jì)的審計(jì)方法，審計(jì)對(duì)象和審計(jì)
線索，內(nèi)部審計(jì)人員必須采用新的審計(jì)技術(shù)（例
如運(yùn)用計(jì)算機(jī)審計(jì)的技術(shù)）以減少檢查風(fēng)險(xiǎn)。
因此，為了將信息系統(tǒng)導(dǎo)致?lián)p失的發(fā)生概率降
至最低，在信息化醫(yī)療背景下，醫(yī)院的內(nèi)部審計(jì)
工作必須關(guān)注如何實(shí)施風(fēng)險(xiǎn)評(píng)估程序，將其整
合于醫(yī)院整體風(fēng)險(xiǎn)評(píng)價(jià)體系中，從而尋找到最
有效的方式識(shí)別和評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)，并制定
進(jìn)一步審計(jì)程序?qū)⑵淇刂圃诤侠淼目扇萑谭秶?br /> 之內(nèi)。
本文將以某大型三甲醫(yī)院信息系統(tǒng)平臺(tái)的
實(shí)施為案列，從執(zhí)行風(fēng)險(xiǎn)評(píng)估程序開(kāi)始，識(shí)別醫(yī)
院信息化環(huán)境下的風(fēng)險(xiǎn)；其次，就識(shí)別出的風(fēng)險(xiǎn)
進(jìn)行評(píng)估和分析；最后基于識(shí)別出的風(fēng)險(xiǎn)，進(jìn)一
步思考內(nèi)部審計(jì)人員應(yīng)當(dāng)采取何種措施，在合
理的范圍和時(shí)間內(nèi)有效應(yīng)對(duì)風(fēng)險(xiǎn)，實(shí)現(xiàn)醫(yī)院的
價(jià)值增值。
一、識(shí)別醫(yī)療信息系統(tǒng)風(fēng)險(xiǎn)
為了合理的識(shí)別醫(yī)療信息系統(tǒng)的風(fēng)險(xiǎn)，內(nèi)
部審計(jì)人員首先應(yīng)當(dāng)了解醫(yī)院的信息系統(tǒng)環(huán)
境。作為醫(yī)院和醫(yī)療組織不可分割的一部分，
了解信息系統(tǒng)的環(huán)境不能脫離醫(yī)療組織整體環(huán)
境而單獨(dú)進(jìn)行分析。內(nèi)部審計(jì)人員可以從以下
四個(gè)方面對(duì)醫(yī)院的信息系統(tǒng)環(huán)境進(jìn)行了解：
（一）了解信息技術(shù)在醫(yī)院中的運(yùn)行環(huán)境
信息技術(shù)在醫(yī)院運(yùn)行的本質(zhì)是為了改善醫(yī)
院的管理水平，為醫(yī)院運(yùn)行提供服務(wù)。因此，了
解信息技術(shù)的運(yùn)行環(huán)境，必須要結(jié)合醫(yī)院整體
環(huán)境來(lái)分析。隨著醫(yī)療改革的不斷深入，公立
醫(yī)院多承擔(dān)著繁重的醫(yī)療任務(wù)，為了保證醫(yī)療
信息化環(huán)境下公立醫(yī)院的
內(nèi)部審計(jì)風(fēng)險(xiǎn)及應(yīng)對(duì)措施
唐菁如
11
江蘇內(nèi)部審計(jì)2014年第4期
內(nèi)審信息化
服務(wù)的有序進(jìn)行，目前我公立醫(yī)院基本都搭建
了醫(yī)療管理信息平臺(tái)?；谶@一平臺(tái)，醫(yī)院可
以有效的將各項(xiàng)數(shù)據(jù)整合，進(jìn)行管理和控制活
動(dòng)。以案列醫(yī)院為例，該院搭建了的醫(yī)療信息
系統(tǒng)平臺(tái)中包括：醫(yī)院信息系統(tǒng)（HIS）為收費(fèi)，
檢查，門診及住院等活動(dòng)提供服務(wù)；臨床信息系
統(tǒng)（CIS）收集處理臨床數(shù)據(jù)；此外還有LIS、
PACS、電子病歷系統(tǒng)、叫號(hào)系統(tǒng)、財(cái)務(wù)系統(tǒng)、人事
系統(tǒng)、物流管理系統(tǒng)、電子點(diǎn)餐系統(tǒng)和科研教學(xué)
系統(tǒng)等等分別發(fā)揮著其各自的作用。因此，計(jì)
算機(jī)信息技術(shù)已經(jīng)融入到了醫(yī)院的各個(gè)主要業(yè)
務(wù)流程，不僅為病人和醫(yī)生服務(wù)，更為醫(yī)院管理
提供支撐。醫(yī)院信息系統(tǒng)平臺(tái)的搭建，一般都
得到院方的廣泛支持。
（二）了解搭建醫(yī)療信息系統(tǒng)平臺(tái)的應(yīng)用程
序、計(jì)算機(jī)操作系統(tǒng)及硬件設(shè)備
通過(guò)對(duì)軟件實(shí)施情況的了解，案例醫(yī)院中，
醫(yī)療信息軟件的使用情況相對(duì)復(fù)雜。首先，為
案例醫(yī)院服務(wù)的軟件品種較多，各個(gè)軟件間存
在相互接口交叉讀取數(shù)據(jù)的情況，有可能對(duì)數(shù)
據(jù)庫(kù)的安全穩(wěn)定造成影響；其次，由于各個(gè)醫(yī)院
的專科項(xiàng)目不同，醫(yī)療就診流程也存在著個(gè)性
化的差異，導(dǎo)致所使用的軟件以及軟件所配備
的應(yīng)用程序，操作系統(tǒng)也存在個(gè)性化差異較高
的現(xiàn)狀，這可能會(huì)導(dǎo)致醫(yī)療成本的大幅度提高；
第三，由于信息技術(shù)已經(jīng)融入醫(yī)院管理，醫(yī)院對(duì)
信息化系統(tǒng)的依賴程度較高，對(duì)系統(tǒng)本身的安
全性要求更加嚴(yán)格；第四，為了滿足臨床各科室
使用部門的實(shí)際需求，軟件工程師會(huì)頻繁的根
據(jù)客戶需求修改系統(tǒng)，不利于系統(tǒng)的穩(wěn)定。另
外，為了滿足軟件的運(yùn)行，醫(yī)院必須同時(shí)保證充
足的硬件設(shè)備，例如電腦終端，大型服務(wù)器，保
障設(shè)施（例如ups）及交換機(jī)等，并負(fù)責(zé)維護(hù)設(shè)備
的安全運(yùn)行。此外醫(yī)院還需提供可靠的操作系
統(tǒng)，例如主流的windows和linux系統(tǒng)等。
（三）了解醫(yī)院對(duì)應(yīng)用程序及軟件的管理方式
為了有效的管理醫(yī)療信息軟件和保障醫(yī)療
數(shù)據(jù)的安全，案列醫(yī)院要求各個(gè)軟件單位派駐
工作小組，長(zhǎng)期為醫(yī)院的軟件提供外包管理服
務(wù)。院方還成立專門的信息中心進(jìn)行管理，信
息中心制定了相應(yīng)的信息系統(tǒng)管理規(guī)章制度，
并對(duì)規(guī)章制度的監(jiān)督、執(zhí)行和有效更新負(fù)責(zé)。
此外，為了監(jiān)控軟件和硬件的日常運(yùn)行情況，一
些專門的預(yù)警機(jī)制也被引入醫(yī)療信息系統(tǒng)的管
理中。例如，網(wǎng)絡(luò)運(yùn)維管理平臺(tái)的使用有效的
監(jiān)控各個(gè)軟件應(yīng)用程序，操作系統(tǒng)，以及服務(wù)
器，交換機(jī)等硬件的運(yùn)行狀態(tài)及運(yùn)行環(huán)境，在軟
硬件發(fā)生異常時(shí)提早預(yù)警，幫助軟件工程師及
時(shí)排查錯(cuò)誤。
（四）了解醫(yī)院信息系統(tǒng)實(shí)施是否有效的幫
助醫(yī)院提高運(yùn)營(yíng)效率
案例醫(yī)院醫(yī)療信息系統(tǒng)利用計(jì)算機(jī)技術(shù)，
為醫(yī)院收集、存儲(chǔ)、處理數(shù)據(jù)，可以滿足用戶的
功能需求。通過(guò)數(shù)據(jù)的整合，實(shí)現(xiàn)了信息的全
過(guò)程追蹤和動(dòng)態(tài)管理，從而為醫(yī)院帶來(lái)效益。
首先，數(shù)據(jù)處理的及時(shí)性節(jié)約了醫(yī)院管理環(huán)節(jié)
和醫(yī)療服務(wù)環(huán)節(jié)的耗用時(shí)間。例如，藥房管理
系統(tǒng)減少了病人的排隊(duì)時(shí)間；病人叫號(hào)系統(tǒng)優(yōu)
化了排隊(duì)流程，縮短了病人等待時(shí)間；管理科室
間利用信息平臺(tái)快速傳遞數(shù)據(jù)，提高了辦事效
率。其次，科學(xué)化的信息管理流程，改善了醫(yī)院
的管理質(zhì)量。例如物流管理系統(tǒng)的運(yùn)用幫助醫(yī)
院從采購(gòu)，驗(yàn)收，入庫(kù)等環(huán)節(jié)強(qiáng)制用戶執(zhí)行必要
的授權(quán)審批程序，有效的控制了醫(yī)療采購(gòu)中的
舞弊情況的發(fā)生。第三，醫(yī)療信息系統(tǒng)同樣也
提高醫(yī)療質(zhì)量。以電子病歷系統(tǒng)為例，通過(guò)計(jì)
算機(jī)開(kāi)出的處方和病歷，有效減少了由于手寫
處方和病歷不規(guī)范造成的醫(yī)療事故，增強(qiáng)對(duì)病
人的服務(wù)。因此，信息系統(tǒng)的全面實(shí)施，有效的
簡(jiǎn)化患者的診療過(guò)程，優(yōu)化就診環(huán)境，改變排隊(duì)
多、等候時(shí)間長(zhǎng)、秩序混亂的局面，提高了醫(yī)院
的醫(yī)療質(zhì)量和管理質(zhì)量，可以為醫(yī)院帶來(lái)顯著
的效益
二、評(píng)估識(shí)別出的風(fēng)險(xiǎn)
基于風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)為基礎(chǔ)的審計(jì)風(fēng)險(xiǎn)由三
個(gè)部分組成[2]，即固有風(fēng)險(xiǎn)，控制風(fēng)險(xiǎn)和檢查風(fēng)
險(xiǎn)。內(nèi)部審計(jì)風(fēng)險(xiǎn)同樣受固有風(fēng)險(xiǎn)影響，如管
理人員的品行和能力、行業(yè)所處環(huán)境、業(yè)務(wù)性質(zhì)
等；同時(shí)也受控制風(fēng)險(xiǎn)的影響，即組織的內(nèi)部控
制不完善或者即便存在完善的內(nèi)部控制但由于
未得到有效執(zhí)行而未能及時(shí)防止、發(fā)現(xiàn)并糾正
存在的錯(cuò)誤事項(xiàng)；另外，內(nèi)部審計(jì)人員在執(zhí)行審
12
江蘇內(nèi)部審計(jì)2014年第4期
內(nèi)審信息化
計(jì)程序時(shí)的不恰當(dāng)行為同樣會(huì)影響內(nèi)部審計(jì)風(fēng)
險(xiǎn)。作為醫(yī)院組織總體業(yè)務(wù)持續(xù)運(yùn)作不可分割
的一部分，基于對(duì)案例醫(yī)院信息系統(tǒng)的全面了
解，內(nèi)部審計(jì)人員應(yīng)當(dāng)分別從固有風(fēng)險(xiǎn)，控制風(fēng)
險(xiǎn)和檢查風(fēng)險(xiǎn)分別擬出以下關(guān)鍵風(fēng)險(xiǎn)點(diǎn)：
（一）固有風(fēng)險(xiǎn)
信息系統(tǒng)的固有風(fēng)險(xiǎn)一般來(lái)自于系統(tǒng)本身
的安全性。隨著計(jì)算機(jī)技術(shù)的普及和在醫(yī)院內(nèi)
部的廣泛使用，有效降低了人為舞弊情況的發(fā)
生。但是，計(jì)算機(jī)軟件和硬件安全問(wèn)題，信息系
統(tǒng)設(shè)計(jì)造成的固有缺陷給醫(yī)院管理帶來(lái)了風(fēng)
險(xiǎn)。首先，軟硬件的安全問(wèn)題，會(huì)給醫(yī)院的管理
造成很大的影響。由于計(jì)算機(jī)網(wǎng)絡(luò)本身容易感
染病毒，受到攻擊，會(huì)造成網(wǎng)絡(luò)癱瘓；軟硬件、網(wǎng)
絡(luò)程序存在不兼容性的特點(diǎn)，也會(huì)產(chǎn)生宕機(jī)的
現(xiàn)象；硬件存放環(huán)境不當(dāng)，容易對(duì)大型硬件設(shè)備
造成損傷。在對(duì)醫(yī)院信息系統(tǒng)高度依賴的環(huán)境
下，系統(tǒng)的宕機(jī)，尤其是存儲(chǔ)或運(yùn)行關(guān)鍵信息資
源的軟硬件系統(tǒng)發(fā)生故障，會(huì)給醫(yī)院造成重大
的損失，影響正常的醫(yī)療秩序。其次，計(jì)算機(jī)軟
件設(shè)計(jì)缺陷主要由于軟件工程師對(duì)醫(yī)療知識(shí)和
管理知識(shí)的缺乏。醫(yī)院信息系統(tǒng)的開(kāi)發(fā)是服務(wù)
于醫(yī)療行業(yè)和醫(yī)療管理領(lǐng)域的，大多計(jì)算機(jī)軟
件工程師專注于系統(tǒng)的編寫，而缺乏對(duì)醫(yī)療流
程或日常管理流程的感性認(rèn)識(shí)。一套信息系統(tǒng)
的開(kāi)發(fā)上線，往往需要根據(jù)用戶的需求做反復(fù)
的修改，此過(guò)程不僅增加了醫(yī)院的成本開(kāi)支，也
會(huì)影響到系統(tǒng)運(yùn)行的安全性。
（二）控制風(fēng)險(xiǎn)
組織內(nèi)部的控制風(fēng)險(xiǎn)，往往來(lái)自于內(nèi)部控
制設(shè)計(jì)的程度和執(zhí)行的程度。對(duì)醫(yī)院信息系統(tǒng)
的良好控制首先依賴于醫(yī)院的制度規(guī)范和對(duì)外
包服務(wù)的有效利用。根據(jù)調(diào)查，隨著信息系統(tǒng)
在公立醫(yī)院的廣泛使用，醫(yī)院一般都設(shè)置專門
的計(jì)算機(jī)信息部門，對(duì)醫(yī)院的信息系統(tǒng)，包括軟
件程序，硬件設(shè)備和網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理。案例
醫(yī)院還在設(shè)立信息中心的同時(shí)，聘請(qǐng)軟件開(kāi)發(fā)
企業(yè)進(jìn)行外包服務(wù)，即由軟件公司派駐專門的
人員為醫(yī)院的信息系統(tǒng)服務(wù)。如何平衡醫(yī)院自
主管理和對(duì)外包服務(wù)的依賴，給醫(yī)院的管理提
出了新的問(wèn)題。由于受外包行業(yè)真實(shí)成本的不
可控性，外包人員對(duì)醫(yī)院業(yè)務(wù)的不了解，主人公
意識(shí)淡薄，以及人員流動(dòng)性大等因素的影響，醫(yī)
院如果過(guò)分依賴外包服務(wù)，則必然對(duì)信息系統(tǒng)
的控制產(chǎn)生影響。因此審計(jì)人員在評(píng)價(jià)控制風(fēng)
險(xiǎn)時(shí)，需要對(duì)醫(yī)院自主管理能力和外包服務(wù)的
深入程度進(jìn)行分析。
其次，對(duì)用戶授權(quán)的控制。信息系統(tǒng)在醫(yī)
療業(yè)務(wù)流程和管理流程內(nèi)部控制的實(shí)現(xiàn)主要是
通過(guò)對(duì)用戶權(quán)限的設(shè)置來(lái)完成。相應(yīng)層級(jí)的管
理人員都具有不同的授權(quán)權(quán)限，在不同的業(yè)務(wù)
流程中發(fā)揮作用。但是任何一個(gè)系統(tǒng)都存在一
個(gè)超級(jí)用戶，超級(jí)用戶對(duì)所有的醫(yī)療信息、目錄
和文件有完全的訪問(wèn)權(quán)，它是安裝后第一個(gè)登
錄到服務(wù)器上的用戶，可以添加用戶并設(shè)置系
統(tǒng)內(nèi)所有用戶的權(quán)限。因此，內(nèi)部審計(jì)人員必
須對(duì)超級(jí)用戶的實(shí)際狀況進(jìn)行分析，從而評(píng)價(jià)
是否存在隨意篡改數(shù)據(jù)的風(fēng)險(xiǎn)。
此外，軟硬件的成本是醫(yī)療信息系統(tǒng)建立
并進(jìn)行控制活動(dòng)過(guò)程中不可忽略的問(wèn)題。軟件
成本主要來(lái)自于人工費(fèi)用和知識(shí)產(chǎn)權(quán)費(fèi)用。但
是，軟件公司在銷售產(chǎn)品的時(shí)候，常常隱蔽其真
實(shí)的人工成本，并將知識(shí)產(chǎn)權(quán)費(fèi)用夸大。醫(yī)院
采購(gòu)部門往往很難判斷軟件產(chǎn)品的采購(gòu)價(jià)格是
否合理；軟件市場(chǎng)的不規(guī)范和軟件產(chǎn)品的個(gè)性
化差異，也給醫(yī)院采購(gòu)帶來(lái)了困難；醫(yī)院信息平
臺(tái)的搭建同樣還依賴于大量硬件設(shè)備，醫(yī)院往
往需要采購(gòu)大型服務(wù)器，交換機(jī)和UPS，這些設(shè)
備本身價(jià)格都很昂貴，為了保證硬件設(shè)備的良
好運(yùn)行，醫(yī)院還需要考慮良好的存放環(huán)境，利用
輔助設(shè)施，保證存放地點(diǎn)濕度和溫度的適當(dāng)；基
于軟件程序，硬件設(shè)備的安全運(yùn)行和有效管理
考慮，很多醫(yī)院為此引入了網(wǎng)絡(luò)運(yùn)維系統(tǒng)等非
醫(yī)療信息系統(tǒng)軟件，在另一個(gè)程度上增加了醫(yī)
院的系統(tǒng)購(gòu)置成本。因此，內(nèi)部審計(jì)人員必須
對(duì)成本效益進(jìn)行分析，在控制一味節(jié)約成本造
成的信息系統(tǒng)搭建不完善情形的同時(shí)，避免為
單純追求效益導(dǎo)致的資源浪費(fèi)。
（三）檢查風(fēng)險(xiǎn)
檢查風(fēng)險(xiǎn)是醫(yī)院可接受的信息系統(tǒng)帶來(lái)缺
陷的程度，它受固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的影響，即
在可接受的審計(jì)風(fēng)險(xiǎn)固定的情況下，如果評(píng)價(jià)
13
江蘇內(nèi)部審計(jì)2014年第4期
內(nèi)審信息化
出的固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)較高，則可接受的檢
查風(fēng)險(xiǎn)低，審計(jì)人員需要采取較多的審計(jì)程序
來(lái)應(yīng)對(duì)評(píng)估出的風(fēng)險(xiǎn)。在對(duì)信息系統(tǒng)進(jìn)行審計(jì)
的過(guò)程中，內(nèi)部審計(jì)人員面臨著新的挑戰(zhàn)。信
息化的普及，改變了傳統(tǒng)審計(jì)的方法、審計(jì)對(duì)象
和審計(jì)線索[3]。傳統(tǒng)的內(nèi)部審計(jì)通過(guò)執(zhí)行控制
測(cè)試和進(jìn)一步審計(jì)程序，對(duì)財(cái)務(wù)報(bào)表的舞弊做
出判斷；通過(guò)對(duì)醫(yī)院內(nèi)部控制的了解，評(píng)價(jià)內(nèi)部
控制的有效性，幫助醫(yī)院提高內(nèi)部管理水平
等。醫(yī)療信息系統(tǒng)建立后，要求審計(jì)人員在掌
握醫(yī)療管理流程的同時(shí)，還需要了解醫(yī)療信息
系統(tǒng)中軟件程序、網(wǎng)絡(luò)和硬件設(shè)備等專業(yè)計(jì)算
機(jī)知識(shí)的，并利用信息技術(shù)進(jìn)行內(nèi)部審計(jì)。在
缺乏系統(tǒng)的計(jì)算機(jī)專業(yè)知識(shí)，以及計(jì)算機(jī)審計(jì)
規(guī)范不健全的情況下，內(nèi)部審計(jì)人員未能恰當(dāng)
的施行審計(jì)程序，也會(huì)為醫(yī)院管理帶來(lái)風(fēng)險(xiǎn)。
三、應(yīng)對(duì)措施
基于風(fēng)險(xiǎn)評(píng)估程序，內(nèi)部審計(jì)人員被要求
做出進(jìn)一步的審計(jì)程序，采取措施應(yīng)對(duì)評(píng)估出
的風(fēng)險(xiǎn)。內(nèi)部審計(jì)人員在實(shí)施進(jìn)一步審計(jì)程序
時(shí)，應(yīng)當(dāng)關(guān)注一下幾點(diǎn)內(nèi)容：
（一）將信息系統(tǒng)的哪些方面納入審計(jì)的范圍
在考慮成本效益的原則下，進(jìn)一步審計(jì)程
序應(yīng)當(dāng)將資源有效的集中于風(fēng)險(xiǎn)最大的部分。
首先，內(nèi)部審計(jì)人員應(yīng)當(dāng)評(píng)價(jià)風(fēng)險(xiǎn)的重要性。
將后果嚴(yán)重的部分，進(jìn)行重點(diǎn)的關(guān)注，因此，在
對(duì)醫(yī)療信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估和分析之后，內(nèi)
部審計(jì)人員應(yīng)該對(duì)系統(tǒng)中關(guān)鍵信息點(diǎn)進(jìn)行重點(diǎn)
審計(jì)，例如對(duì)HIS系統(tǒng)中病人的主索引，收費(fèi)明
細(xì)記錄，病歷記錄，處方記錄等執(zhí)行詳細(xì)的審計(jì)
程序；其次，內(nèi)部審計(jì)人員應(yīng)當(dāng)關(guān)注特別風(fēng)險(xiǎn)事
項(xiàng)，即對(duì)系統(tǒng)中某一環(huán)節(jié)的特殊性可能給系統(tǒng)
整體運(yùn)行造成影響的部分特別關(guān)注，例如對(duì)于
超級(jí)用戶權(quán)限管理的審計(jì)；最后，內(nèi)部審計(jì)人員
還要關(guān)注細(xì)微風(fēng)險(xiǎn)累計(jì)的影響，如果幾個(gè)細(xì)微
風(fēng)險(xiǎn)累計(jì)產(chǎn)生的影響會(huì)對(duì)系統(tǒng)整體運(yùn)行造成重
大損失，內(nèi)部審計(jì)人員則需要詳細(xì)的設(shè)計(jì)進(jìn)一
步審計(jì)程序以應(yīng)對(duì)此類風(fēng)險(xiǎn)。
（二）采用怎樣的審計(jì)方式對(duì)醫(yī)院信息系統(tǒng)
進(jìn)行評(píng)估
與傳統(tǒng)內(nèi)部審計(jì)工作不同，內(nèi)部審計(jì)人員
要求對(duì)系統(tǒng)運(yùn)行的有效性進(jìn)行評(píng)價(jià)，因此除了
傳統(tǒng)的檢查、觀察、詢問(wèn)、函證、重新執(zhí)行和分析
程序等進(jìn)一步審計(jì)程序以外，內(nèi)部審計(jì)人員還
需要對(duì)系統(tǒng)中關(guān)鍵信息的數(shù)據(jù)庫(kù)語(yǔ)言進(jìn)行分
析。同時(shí)，審計(jì)人員還需要利用審計(jì)軟件進(jìn)行
信息化下醫(yī)院的內(nèi)部審計(jì)工作。
（三）以何種頻率進(jìn)行審計(jì)
表一：風(fēng)險(xiǎn)等級(jí)及審計(jì)頻率
在確定了審計(jì)范圍和審計(jì)方法之后，內(nèi)部
審計(jì)人員還應(yīng)當(dāng)明確，在公立醫(yī)院環(huán)境下，應(yīng)當(dāng)
何時(shí)已何種頻率進(jìn)行審計(jì)。根據(jù)（表一），基于
識(shí)別出的信息技術(shù)在醫(yī)院運(yùn)行的風(fēng)險(xiǎn)，內(nèi)部審
計(jì)人員應(yīng)當(dāng)將識(shí)別出的風(fēng)險(xiǎn)進(jìn)行排序。通常風(fēng)
險(xiǎn)被劃分為高、中、低三個(gè)等級(jí)。在被識(shí)別的高
風(fēng)險(xiǎn)等級(jí)中，信息技術(shù)風(fēng)險(xiǎn)被認(rèn)定為發(fā)生概率
高且對(duì)醫(yī)院的運(yùn)行影響范圍廣，因此內(nèi)部審計(jì)
人員通常應(yīng)當(dāng)每1-2年進(jìn)行一次審計(jì)；對(duì)風(fēng)險(xiǎn)級(jí)
別和影響程度及范圍均適中的風(fēng)險(xiǎn)點(diǎn)，每2-3年
進(jìn)行一次審計(jì)；對(duì)風(fēng)險(xiǎn)級(jí)別低，不經(jīng)常發(fā)生以及
影響范圍和程度均不明顯的部分則在每3-5年
進(jìn)行一次審計(jì)。
基于以上理論，內(nèi)部審計(jì)人員應(yīng)針對(duì)醫(yī)院
信息化背景下產(chǎn)生的固有風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，對(duì)控
制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)分別采取應(yīng)對(duì)措施，降低風(fēng)
險(xiǎn)的影響程度。
1.固有風(fēng)險(xiǎn)的評(píng)估
由于固有風(fēng)險(xiǎn)是醫(yī)院在搭建醫(yī)療信息系統(tǒng)
平臺(tái)時(shí)無(wú)法避免的缺陷所造成的損失，內(nèi)部審
計(jì)人員無(wú)法控制此類固有風(fēng)險(xiǎn)，只能評(píng)估風(fēng)險(xiǎn)
的大小[4]。由于醫(yī)院對(duì)醫(yī)療信息系統(tǒng)的高度依
風(fēng)險(xiǎn)
級(jí)別
高
中
低
發(fā)生
概率
風(fēng)險(xiǎn)發(fā)生的
概率較高
風(fēng)險(xiǎn)發(fā)生的
概率適中
風(fēng)險(xiǎn)發(fā)生的
概率很低
影響
范圍
對(duì)醫(yī)院運(yùn)行的影響
范圍較廣程度較高
對(duì)醫(yī)院運(yùn)行的影響
范圍適中程度適中
對(duì)醫(yī)院運(yùn)行的影響
范圍有限程度較低
審計(jì)
頻率
1-2年
2-3年
4-5年
14
江蘇內(nèi)部審計(jì)2014年第4期
內(nèi)審信息化
賴，計(jì)算機(jī)軟硬件缺陷或故障帶給醫(yī)院的損失
都是巨大的，例如服務(wù)器斷電，感染病毒等情況
造成信息系統(tǒng)的癱瘓，會(huì)導(dǎo)致系統(tǒng)前臺(tái)使用用
戶無(wú)法操作，門診和住院等關(guān)鍵業(yè)務(wù)流程[5]受到
干擾，嚴(yán)重的則會(huì)影響到醫(yī)院的日常操作。因
此內(nèi)部審計(jì)人員雖然不能控制計(jì)算機(jī)軟硬件故
障的發(fā)生，但是通過(guò)評(píng)估固有風(fēng)險(xiǎn)的大小，協(xié)助
相關(guān)科室建立應(yīng)急方案，一旦發(fā)現(xiàn)了由于信息
系統(tǒng)故障造成的問(wèn)題，立即采用人工應(yīng)急預(yù)案，
有效的減少損失，保證醫(yī)療服務(wù)的質(zhì)量。
2.控制風(fēng)險(xiǎn)的應(yīng)對(duì)
加強(qiáng)對(duì)醫(yī)院信息化環(huán)境中內(nèi)部控制的管
理。健全有效的內(nèi)部控制可以有效的減少內(nèi)部
審計(jì)風(fēng)險(xiǎn)。內(nèi)部審計(jì)人員可以通過(guò)觀察，詢問(wèn)，
檢查等傳統(tǒng)審計(jì)手段對(duì)內(nèi)部控制進(jìn)行審查并得
出關(guān)鍵控制點(diǎn)，通過(guò)對(duì)案例醫(yī)院的分析，可以從
以下幾個(gè)方面對(duì)控制風(fēng)險(xiǎn)進(jìn)行應(yīng)對(duì)：
（1）醫(yī)院對(duì)外包服務(wù)建立有效管理體制。
根據(jù)調(diào)查和實(shí)踐證明，合理適當(dāng)?shù)耐獍梢詼p
少醫(yī)院管理成本，節(jié)約人力資源。但是過(guò)多的
將醫(yī)院的信息系統(tǒng)管理建立的外包服務(wù)的基礎(chǔ)
上，同樣也會(huì)給醫(yī)院帶來(lái)風(fēng)險(xiǎn)。如果關(guān)鍵的管
理點(diǎn)均依賴于外包服務(wù)，那么就會(huì)造成權(quán)責(zé)不
清的情況發(fā)生。因此，醫(yī)院內(nèi)部加強(qiáng)對(duì)信息系
統(tǒng)的管理，建立完善的管理制度，培養(yǎng)醫(yī)院內(nèi)部
計(jì)算機(jī)管理人才，平衡外包服務(wù)和自身管理的
程度，對(duì)外包工作進(jìn)行有效的監(jiān)督和管理是減
少控制風(fēng)險(xiǎn)的關(guān)鍵。內(nèi)部審計(jì)人員應(yīng)當(dāng)幫助醫(yī)
院評(píng)價(jià)計(jì)算機(jī)中心管理制度是否存在缺陷，并
提出相關(guān)建議。
（2）對(duì)濫用超級(jí)用戶功能的控制。信息系
統(tǒng)作為醫(yī)院管理的重要輔助工具之一，通過(guò)對(duì)
用戶權(quán)限的設(shè)置，幫助醫(yī)院達(dá)到有效的內(nèi)部控
制。但由于超級(jí)用戶的存在，人為從后臺(tái)篡改
數(shù)據(jù)給醫(yī)院的內(nèi)部控制造成的隱患，例如，醫(yī)生
可以從后臺(tái)修改已開(kāi)出的處方和病歷，不利于
醫(yī)院對(duì)已開(kāi)具病歷和處方的管理，極易造成醫(yī)
療糾紛；財(cái)務(wù)人員也可能惡意的對(duì)系統(tǒng)中已錄
入的財(cái)務(wù)數(shù)據(jù)進(jìn)行修改，或隱藏一部分財(cái)務(wù)數(shù)
據(jù)，造成醫(yī)院財(cái)務(wù)管理的風(fēng)險(xiǎn)。超級(jí)用戶是系
統(tǒng)的總管家，不能否定其存在的價(jià)值。因此，內(nèi)
部審計(jì)工作中，審計(jì)人員要關(guān)注超級(jí)用戶的管
理方法，嚴(yán)格控制其使用范圍，以防人為惡意篡
改數(shù)據(jù)。
（3）加強(qiáng)采購(gòu)環(huán)節(jié)的控制。內(nèi)部審計(jì)人員
應(yīng)當(dāng)分析本院的所有信息系統(tǒng)軟件是否符合醫(yī)
院管理的成本效益原則，評(píng)價(jià)現(xiàn)有軟件有無(wú)浪
費(fèi)，以及由于信息技術(shù)快速更新造成的應(yīng)淘汰
軟件仍然在續(xù)訂的情況。內(nèi)部審計(jì)人員可以通
過(guò)幫助建立完善的物流采購(gòu)程序，對(duì)大型軟件
嚴(yán)格采取政府公開(kāi)招標(biāo)的形式，利用外部專家
進(jìn)行分析。同時(shí)，加強(qiáng)對(duì)成本的考察，軟件成本
大多來(lái)自于軟件工程師的腦力勞動(dòng)和知識(shí)產(chǎn)
權(quán)，一般很難評(píng)估，內(nèi)審可以通過(guò)相同產(chǎn)品的詢
價(jià)，比較軟件給醫(yī)院帶來(lái)的效益，評(píng)價(jià)軟件是否
應(yīng)該引入等方式來(lái)達(dá)到這一目的。
3.檢查風(fēng)險(xiǎn)的應(yīng)對(duì)措施
（1）加強(qiáng)內(nèi)部審計(jì)人員的計(jì)算機(jī)技術(shù)。由
于醫(yī)院信息平臺(tái)建立在對(duì)計(jì)算機(jī)技術(shù)的基礎(chǔ)
上，因此必須加強(qiáng)內(nèi)部審計(jì)人員計(jì)算機(jī)技術(shù)的
培訓(xùn)，要求內(nèi)部審計(jì)人員對(duì)數(shù)據(jù)庫(kù)技術(shù)，網(wǎng)絡(luò)技
術(shù)和硬件的基礎(chǔ)配置有基本的了解。
（2）利用審計(jì)軟件進(jìn)行內(nèi)部審計(jì)。內(nèi)部審
計(jì)人員不是也不可能做到對(duì)信息系統(tǒng)知識(shí)的全
面掌握，因此引入審計(jì)軟件，做到醫(yī)院內(nèi)部審計(jì)
的信息化可以降低檢查風(fēng)險(xiǎn)。選取適當(dāng)?shù)膶徲?jì)
軟件，將有利于醫(yī)院內(nèi)審人員有效的讀取財(cái)務(wù)，
工程以及其他所需的審計(jì)資料，幫助審計(jì)人員
整理，歸納及分析相應(yīng)的數(shù)據(jù)；在對(duì)信息系統(tǒng)安
全的控制上，審計(jì)軟件也可以通過(guò)對(duì)數(shù)據(jù)庫(kù)日
志的分析，對(duì)發(fā)生宕機(jī)是數(shù)據(jù)庫(kù)語(yǔ)言進(jìn)行篩選；
同時(shí)，記錄用戶登錄信息，選取關(guān)鍵用戶信息進(jìn)
行分析，檢查是否存在篡改數(shù)據(jù)的情況發(fā)生。
（作者單位：南京市鼓樓醫(yī)院）