信息化环境下医院内部审计论文

时间:2022-08-25 11:35:33

信息化环境下医院内部审计论文

1识别医疗信息系统风险

为了合理的识别医疗信息系统的风险,内部审计人员首先应当了解医院的信息系统环境。

1.1了解信息技术在医院中的运行环境

该院搭建的医疗信息系统平台包括:医院信息系统(HIS)为收费、检查、门诊及住院等活动提供服务;临床信息系统(CIS)收集处理临床数据;此外还有LIS、PACS、电子病历系统、叫号系统、财务系统、人事系统、物流管理系统、电子点餐系统和科研教学系统等等分别发挥着其各自的作用。因此,计算机信息技术已经融入到了医院的各个主要业务流程,不仅为病人和医生服务,更为医院管理提供支撑。医院信息系统平台的搭建,一般都得到院方的广泛支持。

1.2了解搭建医疗信息系统平台的应用程序、计算机操作系统及硬件设备

首先,为该院服务的软件品种较多,各个软件间存在相互接叉读取数据的情况,有可能对数据库的安全稳定造成影响;其次,由于各个医院的专科项目不同,医疗就诊流程也存在着个性化的差异,导致所使用的软件以及软件所配备的应用程序、操作系统也存在个性化差异较高的现状,这可能会导致医疗成本的大幅度提高;第三,由于信息技术已经融入医院管理,医院对信息化系统的依赖程度较高,对系统本身的安全性要求更加严格。另外,为了满足软件的运行,医院必须同时保证充足的硬件设备,例如电脑终端、大型服务器、保障设施(例如UPS)及交换机等,并负责维护设备的安全运行。此外医院还需提供可靠的操作系统,例如主流的Windows和Linux系统等。

1.3了解医院对应用程序及软件的管理方式

为了有效地管理医疗信息软件和保障医疗数据的安全,该院要求各个软件提供单位派驻工作小组,长期为医院的软件提供外包管理服务。院方还成立专门的信息中心进行管理,信息中心制定了相应的信息系统管理规章制度,并对规章制度的监督、执行和有效更新负责。此外,为了监控软件和硬件的日常运行情况,一些专门的预警机制也被引入医疗信息系统的管理中。例如,网络运维管理平台的使用有效的监控各个软件应用程序、操作系统,以及服务器、交换机等硬件的运行状态及运行环境,在软硬件发生异常时提早预警,帮助软件工程师及时排查错误。

1.4了解医院信息系统实施是否有效地帮助医院提高运营效率

2评估识别出的风险

基于风险导向审计为基础的审计风险由3个部分组成。

2.1固有风险

信息系统的固有风险一般来自于系统本身的安全性。随着计算机技术的普及和在医院内部的广泛使用,有效降低了人为舞弊情况的发生。但是,计算机软件和硬件安全问题,信息系统设计造成的固有缺陷给医院管理带来了风险。首先,由于计算机网络本身容易感染病毒,受到攻击时会造成网络瘫痪;硬件存放环境不当,对大型硬件设备造成损伤引发宕机。在对医院信息系统高度依赖的环境下,软硬件存在的固有风险,会给医院造成重大的损失,影响正常的医疗秩序。其次,由于软件工程师对医疗知识和管理知识的缺乏,计算机软件设计开发的初始阶段往往存在缺陷,运行期间则需要根据用户的需求做反复的修改,此过程不仅增加了医院的成本开支,也会影响到系统运行的安全性。

2.2控制风险

对医院信息系统的良好控制首先依赖于医院的制度规范执行。医院一般都设置专门的计算机信息部门,对医院的信息系统,包括软件程序、硬件设备和网络进行统一管理。该院在设立信息中心的同时,聘请软件开发企业进行外包服务,即由软件公司派驻专门的人员为医院的信息系统服务。如何平衡医院自主管理和对外包服务的依赖,给医院的管理提出了新的问题。因此审计人员在评价控制风险时,需要对医院自主管理能力和规章制度的执行情况进行分析,同时对外包服务的有效性进行评价。其次,对用户授权的控制。信息系统在医疗业务流程和管理流程内部控制的实现主要是通过对用户权限的设置来完成。相应层级的管理人员都具有不同的授权权限,在不同的业务流程中发挥作用。但是任何一个系统都存在一个超级用户,超级用户对所有的医疗信息、目录和文件有完全的访问权,它是安装后第一个登录到服务器上的用户,可以添加用户并设置系统内所有用户的权限。因此,内部审计人员必须对超级用户的实际状况进行分析,从而评价是否存在随意篡改数据的风险。此外,软硬件的成本是医疗信息系统建立并进行控制活动过程中不可忽略的问题。软件成本主要来自于人工费用和知识产权费用。但是,软件公司在销售产品的时候,常常隐蔽其真实的人工成本,并将知识产权费用夸大。医院采购部门往往很难判断软件产品的采购价格是否合理;医院信息平台的搭建同样还依赖于大量硬件设备,医院往往需要采购大型服务器、交换机和UPS;为了保证硬件设备的良好运行,医院还需要考虑良好的存放环境,利用辅助设施,保证存放地点湿度和温度的适当;基于软件程序,硬件设备的安全运行和有效管理考虑,很多医院为此引入了网络运维系统等非医疗信息系统软件,在另一个程度上增加了医院的系统购置成本。因此,内部审计人员必须对成本效益进行分析,在避免一味节约成本造成的信息系统搭建不完善的同时,避免为单纯追求效益导致的资源浪费。

2.3检查风险

检查风险受固有风险和控制风险的影响。信息化的普及,改变了传统审计的方法、审计对象和审计线索。传统的内部审计通过执行控制测试和进一步审计程序,对财务报表的舞弊做出判断;通过对医院内部控制的了解,评价内部控制的有效性,帮助医院提高内部管理水平等。医疗信息系统建立后,要求审计人员在掌握医疗管理流程的同时,还需要了解医疗信息系统中软件程序、网络和硬件设备等专业计算机知识,并利用信息技术进行内部审计。在缺乏系统的计算机专业知识,以及计算机审计规范不健全的情况下,内部审计人员未能恰当地施行审计程序,也会为医院管理带来风险。

3应对措施

内部审计人员在实施进一步审计程序时,应当关注以下几点内容。

3.1将信息系统的哪些方面纳入审计的范围

在考虑成本效益的原则下,进一步审计程序应当将资源有效地集中于风险最大的部分。首先,内部审计人员应当评价风险的重要性。将后果严重的部分,进行重点关注,因此,在对医疗信息系统进行风险评估和分析之后,内部审计人员应该对系统中关键信息点进行重点审计,例如对HIS中病人的主索引、收费明细记录、病历记录、处方记录等执行详细的审计程序;其次,内部审计人员应当关注特别风险事项,例如对于超级用户权限管理的审计;最后,内部审计人员还要关注细微风险累计的影响,如果几个细微风险累计产生的影响会对系统整体运行造成重大损失,内部审计人员则需要详细地设计进一步审计程序以应对此类风险。

3.2采用怎样的审计方式对医院信息系统进行评估

与传统内部审计工作不同,内部审计人员需要对系统运行的有效性进行评价,因此除了传统的检查、观察、询问、函证、重新执行和分析程序等进一步审计程序以外,内部审计人员还需要对系统中关键信息的数据库语言进行分析。同时,还需要利用审计软件进行信息化下医院的内部审计工作。

3.3以何种频率进行审计

通常风险被划分为高、中、低3个等级。在被识别的高风险等级中,信息技术风险被认定为发生概率高且对医院的运行影响范围广,因此内部审计人员通常应当每1~2年进行1次审计;对风险级别和影响程度及范围均适中的风险点,每2~3年进行1次审计;对风险级别低,不经常发生以及影响范围和程度均不明显的部分则在每3~5年进行1次审计。

3.4针对医院信息化背景下产生的固有风险进行评价

对控制风险和检查风险分别采取应对措施降低风险的影响程度

3.4.1固有风险的评估。

由于固有风险是医院在搭建医疗信息系统平台时无法避免的缺陷所造成的损失,内部审计人员无法控制此类固有风险,只能评估风险的大小。内部审计人员应当评估固有风险的大小,协助相关科室建立应急方案,一旦发现由于信息系统故障造成的问题,立即采用人工应急预案,有效地减少损失,保证医疗服务的质量。

3.4.2控制风险的应对。

(1)医院对外包服务建立有效管理体制。根据调查和实践证明,合理适当的外包,可以减少医院管理成本,节约人力资源。但是过多的将医院的信息系统管理建立在外包服务的基础上,同样也会给医院带来风险。如果关键的管理点均依赖于外包服务,那么就会造成权责不清的情况发生。因此,医院内部加强对信息系统的管理,建立完善的管理制度,培养医院内部计算机管理人才,平衡外包服务和自身管理的程度,对外包工作进行有效的监督和管理是减少控制风险的关键。内部审计人员应当帮助医院评价计算机中心管理制度是否存在缺陷,并提出相关建议。(2)对滥用超级用户功能的控制。由于超级用户的存在,人为从后台篡改数据给医院的内部控制造成隐患,例如,医生可以从后台修改已开出的处方和病历,不利于医院对已开具病历和处方的管理,极易造成医疗纠纷;财务人员也可能恶意的对系统中已录入的财务数据进行修改,或隐藏一部分财务数据,造成医院财务管理的风险。因此,内部审计工作中,审计人员要关注超级用户的管理方法,严格控制其使用范围,以防人为恶意篡改数据。(3)加强采购环节的控制。内部审计人员应当分析本院的所有信息系统软件是否符合医院管理的成本效益原则,评价现有软件有无浪费,以及由于信息技术快速更新造成的应淘汰软件仍然在续订的情况。内部审计人员可以通过帮助建立完善的物流采购程序,对大型软件严格采取政府公开招标的形式,利用外部专家进行分析。同时,加强对成本的考察,软件成本大多来自于软件工程师的脑力劳动和知识产权,一般很难评估,内审可以通过相同产品的询价,比较软件给医院带来的效益等方式来评价软件是否应该引入。

3.4.3检查风险的应对措施。

(1)加强内部审计人员的计算机技术。由于医院信息平台建立在计算机技术的基础上,因此必须加强内部审计人员计算机技术的培训,要求内部审计人员对数据库技术、网络技术和硬件的基础配置有基本了解。(2)利用审计软件进行内部审计。内部审计人员不是也不可能做到对信息系统知识的全面掌握,因此引入审计软件,做到医院内部审计的信息化可以降低检查风险。选取适当的审计软件,将有利于医院内审人员有效地读取财务、工程以及其他所需的审计资料,帮助审计人员整理、归纳及分析相应的数据;在对信息系统安全的控制上,审计软件也可以通过对数据库日志的分析,对发生宕机用数据库语言进行筛选;同时,记录用户登录信息,选取关键用户信息进行分析,检查是否存在篡改数据的情况发生。

作者:唐菁如 单位:南京鼓楼医院审计办

上一篇:我国风险导向内部审计论文 下一篇:全面质量管理水利内部审计论文