隨著醫療改革的深化,如何提高公立醫院
服務水平以滿足不斷增長的民眾就醫需求被重
視起來。通過增強醫院運營管理,使醫院的各
項工作(醫療,醫技,科研及后勤等)有效結合,
以此提高醫院的運行效率和質量。越來越多的
公立醫院引入信息化技術來增強醫院管理,提
高運作的效率。利用信息技術搭建的醫療信息
平臺,以快速的更新和升級,有效的為醫院管理
的各個方面提供支持,例如HIS(Hospital Informa⁃
tion System,醫院信息系統)已經成為了醫院各
項數據的集成平臺,主要為醫院門診,住院流程
提供再造,通過對醫院及病患的數據進行高速
處理,提高醫院運行效率;另外,搭建在HIS系統
上與其接口的各種輔助信息平臺,例如財務收
支管理、住院門診收費、人事管理、醫務管理、物
流管理以及科研管理平臺等,也為醫院的各項
管理活動提供信息化支撐。醫院利用有效的信
息系統資源,整合就醫流程,快速獲取并處理各
部門數據,從而為完善醫院管理提供基礎。
信息系統在發揮高效率,幫助醫院提高經
營管理水平的同時也帶來許多新的思考和挑
戰。由于計算機技術自身快速更新和升級,對
醫院管理提出了更高的要求。內部審計作為醫
院管理的核心部門之一,往往需要對信息系統
平臺的有效性進行評價和分析,這無疑成為內
部審計人員的一項新的挑戰。因此,以現代風
險導向審計為理論基礎,如何有效的識別,評估
和糾正由于信息系統造成的風險,成為了內部
審計人員新的工作重點。
現代醫療管理體系對醫院信息系統的依賴
給內部審計帶來了與傳統審計工作不同的風險
關注點。首先,由于計算機軟件和硬件設備的
復雜性,使信息化下的醫院管理存在固有風險
(例如系統存在奔潰或服務器宕機等);其次,人
為干預(例如篡改數據等)造成的控制風險也會
給醫院帶來重大的損失;同時,信息技術也改變
了傳統內部審計的審計方法,審計對象和審計
線索,內部審計人員必須采用新的審計技術(例
如運用計算機審計的技術)以減少檢查風險。
因此,為了將信息系統導致損失的發生概率降
至最低,在信息化醫療背景下,醫院的內部審計
工作必須關注如何實施風險評估程序,將其整
合于醫院整體風險評價體系中,從而尋找到最
有效的方式識別和評估信息系統風險,并制定
進一步審計程序將其控制在合理的可容忍范圍
之內。
本文將以某大型三甲醫院信息系統平臺的
實施為案列,從執行風險評估程序開始,識別醫
院信息化環境下的風險;其次,就識別出的風險
進行評估和分析;最后基于識別出的風險,進一
步思考內部審計人員應當采取何種措施,在合
理的范圍和時間內有效應對風險,實現醫院的
價值增值。
一、識別醫療信息系統風險
為了合理的識別醫療信息系統的風險,內
部審計人員首先應當了解醫院的信息系統環
境。作為醫院和醫療組織不可分割的一部分,
了解信息系統的環境不能脫離醫療組織整體環
境而單獨進行分析。內部審計人員可以從以下
四個方面對醫院的信息系統環境進行了解:
(一)了解信息技術在醫院中的運行環境
信息技術在醫院運行的本質是為了改善醫
院的管理水平,為醫院運行提供服務。因此,了
解信息技術的運行環境,必須要結合醫院整體
環境來分析。隨著醫療改革的不斷深入,公立
醫院多承擔著繁重的醫療任務,為了保證醫療
信息化環境下公立醫院的
內部審計風險及應對措施
唐菁如
11
江蘇內部審計2014年第4期
內審信息化
服務的有序進行,目前我公立醫院基本都搭建
了醫療管理信息平臺。基于這一平臺,醫院可
以有效的將各項數據整合,進行管理和控制活
動。以案列醫院為例,該院搭建了的醫療信息
系統平臺中包括:醫院信息系統(HIS)為收費,
檢查,門診及住院等活動提供服務;臨床信息系
統(CIS)收集處理臨床數據;此外還有LIS、
PACS、電子病歷系統、叫號系統、財務系統、人事
系統、物流管理系統、電子點餐系統和科研教學
系統等等分別發揮著其各自的作用。因此,計
算機信息技術已經融入到了醫院的各個主要業
務流程,不僅為病人和醫生服務,更為醫院管理
提供支撐。醫院信息系統平臺的搭建,一般都
得到院方的廣泛支持。
(二)了解搭建醫療信息系統平臺的應用程
序、計算機操作系統及硬件設備
通過對軟件實施情況的了解,案例醫院中,
醫療信息軟件的使用情況相對復雜。首先,為
案例醫院服務的軟件品種較多,各個軟件間存
在相互接口交叉讀取數據的情況,有可能對數
據庫的安全穩定造成影響;其次,由于各個醫院
的專科項目不同,醫療就診流程也存在著個性
化的差異,導致所使用的軟件以及軟件所配備
的應用程序,操作系統也存在個性化差異較高
的現狀,這可能會導致醫療成本的大幅度提高;
第三,由于信息技術已經融入醫院管理,醫院對
信息化系統的依賴程度較高,對系統本身的安
全性要求更加嚴格;第四,為了滿足臨床各科室
使用部門的實際需求,軟件工程師會頻繁的根
據客戶需求修改系統,不利于系統的穩定。另
外,為了滿足軟件的運行,醫院必須同時保證充
足的硬件設備,例如電腦終端,大型服務器,保
障設施(例如ups)及交換機等,并負責維護設備
的安全運行。此外醫院還需提供可靠的操作系
統,例如主流的windows和linux系統等。
(三)了解醫院對應用程序及軟件的管理方式
為了有效的管理醫療信息軟件和保障醫療
數據的安全,案列醫院要求各個軟件單位派駐
工作小組,長期為醫院的軟件提供外包管理服
務。院方還成立專門的信息中心進行管理,信
息中心制定了相應的信息系統管理規章制度,
并對規章制度的監督、執行和有效更新負責。
此外,為了監控軟件和硬件的日常運行情況,一
些專門的預警機制也被引入醫療信息系統的管
理中。例如,網絡運維管理平臺的使用有效的
監控各個軟件應用程序,操作系統,以及服務
器,交換機等硬件的運行狀態及運行環境,在軟
硬件發生異常時提早預警,幫助軟件工程師及
時排查錯誤。
(四)了解醫院信息系統實施是否有效的幫
助醫院提高運營效率
案例醫院醫療信息系統利用計算機技術,
為醫院收集、存儲、處理數據,可以滿足用戶的
功能需求。通過數據的整合,實現了信息的全
過程追蹤和動態管理,從而為醫院帶來效益。
首先,數據處理的及時性節約了醫院管理環節
和醫療服務環節的耗用時間。例如,藥房管理
系統減少了病人的排隊時間;病人叫號系統優
化了排隊流程,縮短了病人等待時間;管理科室
間利用信息平臺快速傳遞數據,提高了辦事效
率。其次,科學化的信息管理流程,改善了醫院
的管理質量。例如物流管理系統的運用幫助醫
院從采購,驗收,入庫等環節強制用戶執行必要
的授權審批程序,有效的控制了醫療采購中的
舞弊情況的發生。第三,醫療信息系統同樣也
提高醫療質量。以電子病歷系統為例,通過計
算機開出的處方和病歷,有效減少了由于手寫
處方和病歷不規范造成的醫療事故,增強對病
人的服務。因此,信息系統的全面實施,有效的
簡化患者的診療過程,優化就診環境,改變排隊
多、等候時間長、秩序混亂的局面,提高了醫院
的醫療質量和管理質量,可以為醫院帶來顯著
的效益
二、評估識別出的風險
基于風險導向審計為基礎的審計風險由三
個部分組成[2],即固有風險,控制風險和檢查風
險。內部審計風險同樣受固有風險影響,如管
理人員的品行和能力、行業所處環境、業務性質
等;同時也受控制風險的影響,即組織的內部控
制不完善或者即便存在完善的內部控制但由于
未得到有效執行而未能及時防止、發現并糾正
存在的錯誤事項;另外,內部審計人員在執行審
12
江蘇內部審計2014年第4期
內審信息化
計程序時的不恰當行為同樣會影響內部審計風
險。作為醫院組織總體業務持續運作不可分割
的一部分,基于對案例醫院信息系統的全面了
解,內部審計人員應當分別從固有風險,控制風
險和檢查風險分別擬出以下關鍵風險點:
(一)固有風險
信息系統的固有風險一般來自于系統本身
的安全性。隨著計算機技術的普及和在醫院內
部的廣泛使用,有效降低了人為舞弊情況的發
生。但是,計算機軟件和硬件安全問題,信息系
統設計造成的固有缺陷給醫院管理帶來了風
險。首先,軟硬件的安全問題,會給醫院的管理
造成很大的影響。由于計算機網絡本身容易感
染病毒,受到攻擊,會造成網絡癱瘓;軟硬件、網
絡程序存在不兼容性的特點,也會產生宕機的
現象;硬件存放環境不當,容易對大型硬件設備
造成損傷。在對醫院信息系統高度依賴的環境
下,系統的宕機,尤其是存儲或運行關鍵信息資
源的軟硬件系統發生故障,會給醫院造成重大
的損失,影響正常的醫療秩序。其次,計算機軟
件設計缺陷主要由于軟件工程師對醫療知識和
管理知識的缺乏。醫院信息系統的開發是服務
于醫療行業和醫療管理領域的,大多計算機軟
件工程師專注于系統的編寫,而缺乏對醫療流
程或日常管理流程的感性認識。一套信息系統
的開發上線,往往需要根據用戶的需求做反復
的修改,此過程不僅增加了醫院的成本開支,也
會影響到系統運行的安全性。
(二)控制風險
組織內部的控制風險,往往來自于內部控
制設計的程度和執行的程度。對醫院信息系統
的良好控制首先依賴于醫院的制度規范和對外
包服務的有效利用。根據調查,隨著信息系統
在公立醫院的廣泛使用,醫院一般都設置專門
的計算機信息部門,對醫院的信息系統,包括軟
件程序,硬件設備和網絡進行統一管理。案例
醫院還在設立信息中心的同時,聘請軟件開發
企業進行外包服務,即由軟件公司派駐專門的
人員為醫院的信息系統服務。如何平衡醫院自
主管理和對外包服務的依賴,給醫院的管理提
出了新的問題。由于受外包行業真實成本的不
可控性,外包人員對醫院業務的不了解,主人公
意識淡薄,以及人員流動性大等因素的影響,醫
院如果過分依賴外包服務,則必然對信息系統
的控制產生影響。因此審計人員在評價控制風
險時,需要對醫院自主管理能力和外包服務的
深入程度進行分析。
其次,對用戶授權的控制。信息系統在醫
療業務流程和管理流程內部控制的實現主要是
通過對用戶權限的設置來完成。相應層級的管
理人員都具有不同的授權權限,在不同的業務
流程中發揮作用。但是任何一個系統都存在一
個超級用戶,超級用戶對所有的醫療信息、目錄
和文件有完全的訪問權,它是安裝后第一個登
錄到服務器上的用戶,可以添加用戶并設置系
統內所有用戶的權限。因此,內部審計人員必
須對超級用戶的實際狀況進行分析,從而評價
是否存在隨意篡改數據的風險。
此外,軟硬件的成本是醫療信息系統建立
并進行控制活動過程中不可忽略的問題。軟件
成本主要來自于人工費用和知識產權費用。但
是,軟件公司在銷售產品的時候,常常隱蔽其真
實的人工成本,并將知識產權費用夸大。醫院
采購部門往往很難判斷軟件產品的采購價格是
否合理;軟件市場的不規范和軟件產品的個性
化差異,也給醫院采購帶來了困難;醫院信息平
臺的搭建同樣還依賴于大量硬件設備,醫院往
往需要采購大型服務器,交換機和UPS,這些設
備本身價格都很昂貴,為了保證硬件設備的良
好運行,醫院還需要考慮良好的存放環境,利用
輔助設施,保證存放地點濕度和溫度的適當;基
于軟件程序,硬件設備的安全運行和有效管理
考慮,很多醫院為此引入了網絡運維系統等非
醫療信息系統軟件,在另一個程度上增加了醫
院的系統購置成本。因此,內部審計人員必須
對成本效益進行分析,在控制一味節約成本造
成的信息系統搭建不完善情形的同時,避免為
單純追求效益導致的資源浪費。
(三)檢查風險
檢查風險是醫院可接受的信息系統帶來缺
陷的程度,它受固有風險和控制風險的影響,即
在可接受的審計風險固定的情況下,如果評價
13
江蘇內部審計2014年第4期
內審信息化
出的固有風險和控制風險較高,則可接受的檢
查風險低,審計人員需要采取較多的審計程序
來應對評估出的風險。在對信息系統進行審計
的過程中,內部審計人員面臨著新的挑戰。信
息化的普及,改變了傳統審計的方法、審計對象
和審計線索[3]。傳統的內部審計通過執行控制
測試和進一步審計程序,對財務報表的舞弊做
出判斷;通過對醫院內部控制的了解,評價內部
控制的有效性,幫助醫院提高內部管理水平
等。醫療信息系統建立后,要求審計人員在掌
握醫療管理流程的同時,還需要了解醫療信息
系統中軟件程序、網絡和硬件設備等專業計算
機知識的,并利用信息技術進行內部審計。在
缺乏系統的計算機專業知識,以及計算機審計
規范不健全的情況下,內部審計人員未能恰當
的施行審計程序,也會為醫院管理帶來風險。
三、應對措施
基于風險評估程序,內部審計人員被要求
做出進一步的審計程序,采取措施應對評估出
的風險。內部審計人員在實施進一步審計程序
時,應當關注一下幾點內容:
(一)將信息系統的哪些方面納入審計的范圍
在考慮成本效益的原則下,進一步審計程
序應當將資源有效的集中于風險最大的部分。
首先,內部審計人員應當評價風險的重要性。
將后果嚴重的部分,進行重點的關注,因此,在
對醫療信息系統進行風險評估和分析之后,內
部審計人員應該對系統中關鍵信息點進行重點
審計,例如對HIS系統中病人的主索引,收費明
細記錄,病歷記錄,處方記錄等執行詳細的審計
程序;其次,內部審計人員應當關注特別風險事
項,即對系統中某一環節的特殊性可能給系統
整體運行造成影響的部分特別關注,例如對于
超級用戶權限管理的審計;最后,內部審計人員
還要關注細微風險累計的影響,如果幾個細微
風險累計產生的影響會對系統整體運行造成重
大損失,內部審計人員則需要詳細的設計進一
步審計程序以應對此類風險。
(二)采用怎樣的審計方式對醫院信息系統
進行評估
與傳統內部審計工作不同,內部審計人員
要求對系統運行的有效性進行評價,因此除了
傳統的檢查、觀察、詢問、函證、重新執行和分析
程序等進一步審計程序以外,內部審計人員還
需要對系統中關鍵信息的數據庫語言進行分
析。同時,審計人員還需要利用審計軟件進行
信息化下醫院的內部審計工作。
(三)以何種頻率進行審計
表一:風險等級及審計頻率
在確定了審計范圍和審計方法之后,內部
審計人員還應當明確,在公立醫院環境下,應當
何時已何種頻率進行審計。根據(表一),基于
識別出的信息技術在醫院運行的風險,內部審
計人員應當將識別出的風險進行排序。通常風
險被劃分為高、中、低三個等級。在被識別的高
風險等級中,信息技術風險被認定為發生概率
高且對醫院的運行影響范圍廣,因此內部審計
人員通常應當每1-2年進行一次審計;對風險級
別和影響程度及范圍均適中的風險點,每2-3年
進行一次審計;對風險級別低,不經常發生以及
影響范圍和程度均不明顯的部分則在每3-5年
進行一次審計。
基于以上理論,內部審計人員應針對醫院
信息化背景下產生的固有風險進行評價,對控
制風險和檢查風險分別采取應對措施,降低風
險的影響程度。
1.固有風險的評估
由于固有風險是醫院在搭建醫療信息系統
平臺時無法避免的缺陷所造成的損失,內部審
計人員無法控制此類固有風險,只能評估風險
的大小[4]。由于醫院對醫療信息系統的高度依
風險
級別
高
中
低
發生
概率
風險發生的
概率較高
風險發生的
概率適中
風險發生的
概率很低
影響
范圍
對醫院運行的影響
范圍較廣程度較高
對醫院運行的影響
范圍適中程度適中
對醫院運行的影響
范圍有限程度較低
審計
頻率
1-2年
2-3年
4-5年
14
江蘇內部審計2014年第4期
內審信息化
賴,計算機軟硬件缺陷或故障帶給醫院的損失
都是巨大的,例如服務器斷電,感染病毒等情況
造成信息系統的癱瘓,會導致系統前臺使用用
戶無法操作,門診和住院等關鍵業務流程[5]受到
干擾,嚴重的則會影響到醫院的日常操作。因
此內部審計人員雖然不能控制計算機軟硬件故
障的發生,但是通過評估固有風險的大小,協助
相關科室建立應急方案,一旦發現了由于信息
系統故障造成的問題,立即采用人工應急預案,
有效的減少損失,保證醫療服務的質量。
2.控制風險的應對
加強對醫院信息化環境中內部控制的管
理。健全有效的內部控制可以有效的減少內部
審計風險。內部審計人員可以通過觀察,詢問,
檢查等傳統審計手段對內部控制進行審查并得
出關鍵控制點,通過對案例醫院的分析,可以從
以下幾個方面對控制風險進行應對:
(1)醫院對外包服務建立有效管理體制。
根據調查和實踐證明,合理適當的外包,可以減
少醫院管理成本,節約人力資源。但是過多的
將醫院的信息系統管理建立的外包服務的基礎
上,同樣也會給醫院帶來風險。如果關鍵的管
理點均依賴于外包服務,那么就會造成權責不
清的情況發生。因此,醫院內部加強對信息系
統的管理,建立完善的管理制度,培養醫院內部
計算機管理人才,平衡外包服務和自身管理的
程度,對外包工作進行有效的監督和管理是減
少控制風險的關鍵。內部審計人員應當幫助醫
院評價計算機中心管理制度是否存在缺陷,并
提出相關建議。
(2)對濫用超級用戶功能的控制。信息系
統作為醫院管理的重要輔助工具之一,通過對
用戶權限的設置,幫助醫院達到有效的內部控
制。但由于超級用戶的存在,人為從后臺篡改
數據給醫院的內部控制造成的隱患,例如,醫生
可以從后臺修改已開出的處方和病歷,不利于
醫院對已開具病歷和處方的管理,極易造成醫
療糾紛;財務人員也可能惡意的對系統中已錄
入的財務數據進行修改,或隱藏一部分財務數
據,造成醫院財務管理的風險。超級用戶是系
統的總管家,不能否定其存在的價值。因此,內
部審計工作中,審計人員要關注超級用戶的管
理方法,嚴格控制其使用范圍,以防人為惡意篡
改數據。
(3)加強采購環節的控制。內部審計人員
應當分析本院的所有信息系統軟件是否符合醫
院管理的成本效益原則,評價現有軟件有無浪
費,以及由于信息技術快速更新造成的應淘汰
軟件仍然在續訂的情況。內部審計人員可以通
過幫助建立完善的物流采購程序,對大型軟件
嚴格采取政府公開招標的形式,利用外部專家
進行分析。同時,加強對成本的考察,軟件成本
大多來自于軟件工程師的腦力勞動和知識產
權,一般很難評估,內審可以通過相同產品的詢
價,比較軟件給醫院帶來的效益,評價軟件是否
應該引入等方式來達到這一目的。
3.檢查風險的應對措施
(1)加強內部審計人員的計算機技術。由
于醫院信息平臺建立在對計算機技術的基礎
上,因此必須加強內部審計人員計算機技術的
培訓,要求內部審計人員對數據庫技術,網絡技
術和硬件的基礎配置有基本的了解。
(2)利用審計軟件進行內部審計。內部審
計人員不是也不可能做到對信息系統知識的全
面掌握,因此引入審計軟件,做到醫院內部審計
的信息化可以降低檢查風險。選取適當的審計
軟件,將有利于醫院內審人員有效的讀取財務,
工程以及其他所需的審計資料,幫助審計人員
整理,歸納及分析相應的數據;在對信息系統安
全的控制上,審計軟件也可以通過對數據庫日
志的分析,對發生宕機是數據庫語言進行篩選;
同時,記錄用戶登錄信息,選取關鍵用戶信息進
行分析,檢查是否存在篡改數據的情況發生。
(作者單位:南京市鼓樓醫院)
