前言：尋找寫作靈感？中文期刊網用心挑選的信息化環境下醫院內部審計論文，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

1識別醫療信息系統風險

為了合理的識別醫療信息系統的風險，內部審計人員首先應當了解醫院的信息系統環境。

1．1了解信息技術在醫院中的運行環境

該院搭建的醫療信息系統平臺包括:醫院信息系統(HIS)為收費、檢查、門診及住院等活動提供服務;臨床信息系統(CIS)收集處理臨床數據;此外還有LIS、PACS、電子病歷系統、叫號系統、財務系統、人事系統、物流管理系統、電子點餐系統和科研教學系統等等分別發揮著其各自的作用。因此，計算機信息技術已經融入到了醫院的各個主要業務流程，不僅為病人和醫生服務，更為醫院管理提供支撐。醫院信息系統平臺的搭建，一般都得到院方的廣泛支持。

1．2了解搭建醫療信息系統平臺的應用程序、計算機操作系統及硬件設備

首先，為該院服務的軟件品種較多，各個軟件間存在相互接叉讀取數據的情況，有可能對數據庫的安全穩定造成影響;其次，由于各個醫院的專科項目不同，醫療就診流程也存在著個性化的差異，導致所使用的軟件以及軟件所配備的應用程序、操作系統也存在個性化差異較高的現狀，這可能會導致醫療成本的大幅度提高;第三，由于信息技術已經融入醫院管理，醫院對信息化系統的依賴程度較高，對系統本身的安全性要求更加嚴格。另外，為了滿足軟件的運行，醫院必須同時保證充足的硬件設備，例如電腦終端、大型服務器、保障設施(例如UPS)及交換機等，并負責維護設備的安全運行。此外醫院還需提供可靠的操作系統，例如主流的Windows和Linux系統等。

1．3了解醫院對應用程序及軟件的管理方式

為了有效地管理醫療信息軟件和保障醫療數據的安全，該院要求各個軟件提供單位派駐工作小組，長期為醫院的軟件提供外包管理服務。院方還成立專門的信息中心進行管理，信息中心制定了相應的信息系統管理規章制度，并對規章制度的監督、執行和有效更新負責。此外，為了監控軟件和硬件的日常運行情況，一些專門的預警機制也被引入醫療信息系統的管理中。例如，網絡運維管理平臺的使用有效的監控各個軟件應用程序、操作系統，以及服務器、交換機等硬件的運行狀態及運行環境，在軟硬件發生異常時提早預警，幫助軟件工程師及時排查錯誤。

1．4了解醫院信息系統實施是否有效地幫助醫院提高運營效率

2評估識別出的風險

基于風險導向審計為基礎的審計風險由3個部分組成。

2．1固有風險

信息系統的固有風險一般來自于系統本身的安全性。隨著計算機技術的普及和在醫院內部的廣泛使用，有效降低了人為舞弊情況的發生。但是，計算機軟件和硬件安全問題，信息系統設計造成的固有缺陷給醫院管理帶來了風險。首先，由于計算機網絡本身容易感染病毒，受到攻擊時會造成網絡癱瘓;硬件存放環境不當，對大型硬件設備造成損傷引發宕機。在對醫院信息系統高度依賴的環境下，軟硬件存在的固有風險，會給醫院造成重大的損失，影響正常的醫療秩序。其次，由于軟件工程師對醫療知識和管理知識的缺乏，計算機軟件設計開發的初始階段往往存在缺陷，運行期間則需要根據用戶的需求做反復的修改，此過程不僅增加了醫院的成本開支，也會影響到系統運行的安全性。

2．2控制風險

對醫院信息系統的良好控制首先依賴于醫院的制度規范執行。醫院一般都設置專門的計算機信息部門，對醫院的信息系統，包括軟件程序、硬件設備和網絡進行統一管理。該院在設立信息中心的同時，聘請軟件開發企業進行外包服務，即由軟件公司派駐專門的人員為醫院的信息系統服務。如何平衡醫院自主管理和對外包服務的依賴，給醫院的管理提出了新的問題。因此審計人員在評價控制風險時，需要對醫院自主管理能力和規章制度的執行情況進行分析，同時對外包服務的有效性進行評價。其次，對用戶授權的控制。信息系統在醫療業務流程和管理流程內部控制的實現主要是通過對用戶權限的設置來完成。相應層級的管理人員都具有不同的授權權限，在不同的業務流程中發揮作用。但是任何一個系統都存在一個超級用戶，超級用戶對所有的醫療信息、目錄和文件有完全的訪問權，它是安裝后第一個登錄到服務器上的用戶，可以添加用戶并設置系統內所有用戶的權限。因此，內部審計人員必須對超級用戶的實際狀況進行分析，從而評價是否存在隨意篡改數據的風險。此外，軟硬件的成本是醫療信息系統建立并進行控制活動過程中不可忽略的問題。軟件成本主要來自于人工費用和知識產權費用。但是，軟件公司在銷售產品的時候，常常隱蔽其真實的人工成本，并將知識產權費用夸大。醫院采購部門往往很難判斷軟件產品的采購價格是否合理;醫院信息平臺的搭建同樣還依賴于大量硬件設備，醫院往往需要采購大型服務器、交換機和UPS;為了保證硬件設備的良好運行，醫院還需要考慮良好的存放環境，利用輔助設施，保證存放地點濕度和溫度的適當;基于軟件程序，硬件設備的安全運行和有效管理考慮，很多醫院為此引入了網絡運維系統等非醫療信息系統軟件，在另一個程度上增加了醫院的系統購置成本。因此，內部審計人員必須對成本效益進行分析，在避免一味節約成本造成的信息系統搭建不完善的同時，避免為單純追求效益導致的資源浪費。

2．3檢查風險

檢查風險受固有風險和控制風險的影響。信息化的普及，改變了傳統審計的方法、審計對象和審計線索。傳統的內部審計通過執行控制測試和進一步審計程序，對財務報表的舞弊做出判斷;通過對醫院內部控制的了解，評價內部控制的有效性，幫助醫院提高內部管理水平等。醫療信息系統建立后，要求審計人員在掌握醫療管理流程的同時，還需要了解醫療信息系統中軟件程序、網絡和硬件設備等專業計算機知識，并利用信息技術進行內部審計。在缺乏系統的計算機專業知識，以及計算機審計規范不健全的情況下，內部審計人員未能恰當地施行審計程序，也會為醫院管理帶來風險。

3應對措施

內部審計人員在實施進一步審計程序時，應當關注以下幾點內容。

3．1將信息系統的哪些方面納入審計的范圍

在考慮成本效益的原則下，進一步審計程序應當將資源有效地集中于風險最大的部分。首先，內部審計人員應當評價風險的重要性。將后果嚴重的部分，進行重點關注，因此，在對醫療信息系統進行風險評估和分析之后，內部審計人員應該對系統中關鍵信息點進行重點審計，例如對HIS中病人的主索引、收費明細記錄、病歷記錄、處方記錄等執行詳細的審計程序;其次，內部審計人員應當關注特別風險事項，例如對于超級用戶權限管理的審計;最后，內部審計人員還要關注細微風險累計的影響，如果幾個細微風險累計產生的影響會對系統整體運行造成重大損失，內部審計人員則需要詳細地設計進一步審計程序以應對此類風險。

3．2采用怎樣的審計方式對醫院信息系統進行評估

與傳統內部審計工作不同，內部審計人員需要對系統運行的有效性進行評價，因此除了傳統的檢查、觀察、詢問、函證、重新執行和分析程序等進一步審計程序以外，內部審計人員還需要對系統中關鍵信息的數據庫語言進行分析。同時，還需要利用審計軟件進行信息化下醫院的內部審計工作。

3．3以何種頻率進行審計

通常風險被劃分為高、中、低3個等級。在被識別的高風險等級中，信息技術風險被認定為發生概率高且對醫院的運行影響范圍廣，因此內部審計人員通常應當每1～2年進行1次審計;對風險級別和影響程度及范圍均適中的風險點，每2～3年進行1次審計;對風險級別低，不經常發生以及影響范圍和程度均不明顯的部分則在每3～5年進行1次審計。

3．4針對醫院信息化背景下產生的固有風險進行評價

對控制風險和檢查風險分別采取應對措施降低風險的影響程度

3．4．1固有風險的評估。

由于固有風險是醫院在搭建醫療信息系統平臺時無法避免的缺陷所造成的損失，內部審計人員無法控制此類固有風險，只能評估風險的大小。內部審計人員應當評估固有風險的大小，協助相關科室建立應急方案，一旦發現由于信息系統故障造成的問題，立即采用人工應急預案，有效地減少損失，保證醫療服務的質量。

3．4．2控制風險的應對。

(1)醫院對外包服務建立有效管理體制。根據調查和實踐證明，合理適當的外包，可以減少醫院管理成本，節約人力資源。但是過多的將醫院的信息系統管理建立在外包服務的基礎上，同樣也會給醫院帶來風險。如果關鍵的管理點均依賴于外包服務，那么就會造成權責不清的情況發生。因此，醫院內部加強對信息系統的管理，建立完善的管理制度，培養醫院內部計算機管理人才，平衡外包服務和自身管理的程度，對外包工作進行有效的監督和管理是減少控制風險的關鍵。內部審計人員應當幫助醫院評價計算機中心管理制度是否存在缺陷，并提出相關建議。(2)對濫用超級用戶功能的控制。由于超級用戶的存在，人為從后臺篡改數據給醫院的內部控制造成隱患，例如，醫生可以從后臺修改已開出的處方和病歷，不利于醫院對已開具病歷和處方的管理，極易造成醫療糾紛;財務人員也可能惡意的對系統中已錄入的財務數據進行修改，或隱藏一部分財務數據，造成醫院財務管理的風險。因此，內部審計工作中，審計人員要關注超級用戶的管理方法，嚴格控制其使用范圍，以防人為惡意篡改數據。(3)加強采購環節的控制。內部審計人員應當分析本院的所有信息系統軟件是否符合醫院管理的成本效益原則，評價現有軟件有無浪費，以及由于信息技術快速更新造成的應淘汰軟件仍然在續訂的情況。內部審計人員可以通過幫助建立完善的物流采購程序，對大型軟件嚴格采取政府公開招標的形式，利用外部專家進行分析。同時，加強對成本的考察，軟件成本大多來自于軟件工程師的腦力勞動和知識產權，一般很難評估，內審可以通過相同產品的詢價，比較軟件給醫院帶來的效益等方式來評價軟件是否應該引入。

3．4．3檢查風險的應對措施。

(1)加強內部審計人員的計算機技術。由于醫院信息平臺建立在計算機技術的基礎上，因此必須加強內部審計人員計算機技術的培訓，要求內部審計人員對數據庫技術、網絡技術和硬件的基礎配置有基本了解。(2)利用審計軟件進行內部審計。內部審計人員不是也不可能做到對信息系統知識的全面掌握，因此引入審計軟件，做到醫院內部審計的信息化可以降低檢查風險。選取適當的審計軟件，將有利于醫院內審人員有效地讀取財務、工程以及其他所需的審計資料，幫助審計人員整理、歸納及分析相應的數據;在對信息系統安全的控制上，審計軟件也可以通過對數據庫日志的分析，對發生宕機用數據庫語言進行篩選;同時，記錄用戶登錄信息，選取關鍵用戶信息進行分析，檢查是否存在篡改數據的情況發生。

作者：唐菁如 單位：南京鼓樓醫院審計辦