医院信息化环境下计算机审计风险防范探讨
开篇:润墨网以专业的文秘视角,为您筛选了一篇医院信息化环境下计算机审计风险防范探讨范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
(一)医院计算机审计内容 审计是通过审查评价组织内部活动合法性、规范性,促进组织目标实现的一种有效的客观监督活动。医院的内部审计工作包括财务审计、经营审计和专项审计。财务审计,是对医院财务收支、资金运转、债务状况、经营损益等经济活动进行的计量和审查,以报表的形式上交领导,供其了解公司状况和决策之用,以促进经济活动的真实性与合法性。经营审计,是对医院的经济活动等经营业务的监督与评价,负责发现经营和审计中出现的问题并及时提出解决方案,以改善经营管理,提高工作效益。专项审计,即对医院大型设备购置、药品采购等专项业务的专门审计活动,从基础保障审计工作的管理,降低医院审计风险。
(二)医院计算机审计现状 随着信息化的普及和计算机技术的广泛应用,计算机网络系统在医院的运用越来越多,HIS系统也已成为审计现代化基础设施之一而被众多医院采用。传统的手工审计遭到冲击,审计环境发生了深刻的变化。(1)审计线索的变化。审计线索贯穿于整个审计工作,具体包括收集审计数据、审核经济业务、实现审计目标,是审计人员工作开展的依据。传统的审计工作通过书面记录的方式完成。在计算机环境下,数据的生成、传递和存储等方式都发生了巨大改变,需要依靠计算机的硬件和软件设备完成读取工作,在增大数据空间、提高效率的同时也加大了数据窜改、覆盖的风险和查找的难度。(2)内控制度的变化。内控制度是审计工作的控制管理。现代审计是建立在制度基础之上,严重依赖医院内部的控制制度。计算机环境的变化,也导致了审计控制环境、程序和系统的变化,控制风险和风险水平都需要重新评估。(3)审计技术的变化。传统审计一般采用审阅、核对、分析、比较、函证、盘点和面谈、系统文档审阅等方法和技术完成会计资料的审计。而现代信息化审计则运用计算机审计方法,主要有在线连续审计技术(如嵌入审计模块)、测试法、平行模拟法等。这些变化都不断冲击着传统审计工作,使医院审计在计算机环境下的风险加大。
(三)医院计算机审计发展趋势 计算机和信息化的发展,改变了传统的审计系统和结构,不断推动着审计和医院的体制制度改革,以适应时代的需要,与时俱进;同时,审计制度的改变也要求医院管理体制的变革,使其与计算机环境下的审计工作相适应。这种改变使医院审计愈来愈朝着信息化、科学化和现代化的方向发展,计算机的深入运用和科学管理模式成为医院工作的发展趋势。网络的普及也使各医院之间联系加强,一些医院也逐渐由单一实体向集团化经营方向发展。
二、医院计算机审计风险
(一)计算机审计风险的含义 审计风险,是指在审计活动中,因未能发现会计等工作中存在的问题发表了不准确的意见,使审计主体蒙受损失的可能性;计算机审计风险,是指在计算机运用普及的环境下,医院审计工作引进计算机管理而增加的计算机运用与管理风险,以及由此带来的审计主体的损失。目前,计算机审计风险主要是:审计对象的变化,审计意识却相对落后,审计手段和审计人员无法适应信息化需求,影响了计算机审计工作质量和效率;审计数据的存储与管理,现阶段大部分医院建立了HIS(Hospital Information System)管理系统,集中以前分散到各个部门的数据,然后由计算机进行统一控制和管理,原始数据的存储方式也由手工记录转变为电脑存储,档案管理形式由纸质改为磁介质,而审计人员计算机运用水平不高和计算机存在的数据窜改、遗漏、覆盖等问题都增加了审计风险;HIS软件在不断更新,使审计工作变化较大,难以有效实现数据管理的统一,存在以偏概全的风险,等等,这些都是计算机运用后医院审计工作所存在的风险。
(二)固有环境风险 固有环境风险是指传统手工审计中,会计电算化系统、计算机硬件等本身存在的漏洞及其所处的环境引起的风险,包括客观因素和主观因素风险。客观因素风险,即计算机的硬件和软件风险。计算机运用后,医院的数据主要存储在计算机硬件磁性材料上,材料的材质以及温度、湿度、灰尘、电压、震动等外部条件的影响,使其遭到损坏,导致审计数据的窜改、丢失等;HIS系统软件本身程序设计的漏洞以及更新换代速度较快,医院审计工作变动大,稳定性降低。主观因素风险,包括审计人员的计算机运用水平较低和系统控制人员出现的工作纰漏,造成数据记录和输出错误;某些不法分子进行黑客、病毒入侵而造成的数据丢失;HIS信息系统的建立与联合、医院数据库管理的系统化,使审计工作自身及其与其他部门的连接性和开放性增强,而造成的危害也更大,存在的风险更高。对于审计环境的固有风险,审计只能评估大小而无法控制。
(三)控制风险 计算机的运用使医院管理实现了信息化,但制度基础发生了改变,内部控制也发生了变化。医院计算机审计控制风险,是指信息系统本身存在的漏洞以及工作人员的水平不高、对系统的控制能力不强而造成的风险,主要包括对HIS系统的控制、人对计算机系统的监督和传统审计控制中的人对人的监督等;此外,计算机审计的控制风险还包括存在信息系统数据被篡改可能等影响因素。尽管实现计算机管理,但仍是由工作人员进行操作,在电算化系统和HIS信息系统中,对收费项目、收费金额、收费数量等数据的窜改更为容易,且不易察觉。医院对工作人员的管理和人对计算机系统的控制都较传统审计更为困难。
(四)检查风险 医院计算机审计检查风险,是指在审计工作检查中,审计人员未能及时发现有关违规违纪问题可能性的风险。审计人员的工作是依据审计准则进行的,但是在审计实务中,某些审计人员为寻求速度,没有严格按照准则规定的审计程序开展工作。例如,在工作开展前没有按照准则要求制定可行性审计方案;对经营中存在的风险缺乏预测和初步估计;审计人员积极性不高,对工作编制敷衍,格式内容等也没有达到准则的规范要求;计算机数据的准确性核查等,这些都可能影响审计报告的客观性和真实性,而缺乏这些工作的检查则会增加审计风险发生的可能性。
三、医院计算机审计风险产生的原因
(一)审计法律不健全 尽管国家已经出台了相关的审计和会计准则用于指导和规范审计工作,但是法律体系任然存在需要完善的地方。尤其是在经济持续快速发展和计算机普及的环境下,旧有的审计法律法规体系和准则体系已经不能及时反映和解决信息化审计中出现的问题,不能适应信息化环境,无法有效指导和规范医院审计的实践,审计的质量是否合格也有待进一步判断,加大了国家和医院审计工作的难度,信息化环境下医院审计风险加大。信息化本身是虚拟的环境,更新快,开放性强,这些都要求现阶段的法律法规的完善和信息化环境下审计机制的制定。
(二)审计工作的复杂性 审计工作的数据搜集、调查、整体和核实以及与此相关的工作作为一套完整体系,本身就十分复杂。目前,许多医院的财务收支真实性不强,提取费用和摊销费用不及时或不准确,固定资产的购进和报废不合规范等,都给审计工作造成了影响。在计算机运用后,信息数据通过电子介质存储,操作较手工审计更为复杂,舞弊行为更为隐秘,难以发觉;若不加审核,必然会影响报告的准确性,所以检查工作的难度也有所增加。随着国家医疗体制改革的深入,许多医院实行重组或兼并来调整资产结构以适应信息环境,其中就会涉及到国家、集体和个人的复杂利益关系。审计人员在工作中还要考虑此方面,如果未能准确的做出相应的职业判断,就有可能造成医院无形资产的流失,审计风险加大。
(三)信息化基础薄弱 目前,我国的信息系统审计工作还处于探索阶段,信息系统的建立与普及有待加强,专业审计的人才队伍力量薄弱,也缺少医院专业审计软件,信息化薄弱。信息化是在网络运用的基础上实现系统任务的完成,因而具有广泛性、虚拟性、实时性等特点,要求审计以HIS等信息系统为保障,以审计软件进行审计工作的运作。但是目前阶段,医院缺乏切实可行的信息系统,审计软件不匹配或运用不当,计算机审计风险增加,严重阻碍了审计的发展。审计软件有助于审计人员在信息化条件下开展审计工作,是提高审计效率与质量的有效工具。我国审计软件的开发设计起步相对较晚,且从事此工作的公司较少,在审计软件与财会软件、HIS的接口等问题上研究效果并不显著,导致医院的审计软件运用不充分,没有最大限度的发挥其作用;且医院缺乏与审计相配套的管理体制,管理信息化程度不高,限制了审计的信息化发展。
(四)审计人员计算机水平不高 计算机的广泛应用使医院审计不再满足于只会手工书面审计的工作人员,而是要求审计人员具备相当程度的计算机知识和运用水平。但是现阶段,医院审计人员素质参差不齐,专业知识和专业技能缺乏,且运用计算机进行审计的水平较低,数据的输入、判断和修改错误较多,往往出现审计结果与实际经营数据不相符合。此外,许多审计人员职业素质较低,尤其是医院工作人员应有的职业道德缺乏,在审计中不能客观公正完成数据存储分析、公正处理和评审审计项目,或的现象时有发生,造成审计风险。要求审计人员精通计算机知识并不现实,但是计算机依赖专家又会降低审计效率和审计准确度,所以在医院审计中,对审计人员的计算机水平要求不高,但是必须具备数据整合和制作表格等基础操作技术。
四、信息化环境下医院审计风险防范
(一)制定审计信息化法律法规 审计法律法规是审计工作的指导和规范,信息化环境下尤其要加强和完善审计法律准则的制定。现阶段,我国审计工作是根据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》和一些相关的审计准则展开的,在信息化环境下,审计部门要在原有法律准则的基础上增加信息化审计要求,进一步完善医院计算机审计程序。首先,在立法上,加强信息化审计法规的制定,规范医院内部审计工作程序,使审计工作人员和审计检查有法可依;其次,国家和医院机构要严格监管,保证法律法规的切实执行。在医院计算机实际审计工作中,审计人员要严格按照准则所规定的程序步骤开展工作,审计机关严格审计工作的管理和监督;在审计工作的底稿编制上,要先制定可行性方案,反映审计人员的专业判断过程和工作流程,详细记录医院审计工作。最后,要建立严格的审查制度,即指导医院的信息化审计工作,并对医院的审计工作规范与审计人员的职业素质进行监督,及时发现计算机审计中出现的新情况和新问题,要求各医院坚持依法审计,规范审计程序,时刻保持对审计风险必要的警惕性;对审计质量加以严格审查,保证医院工作的有序开展。国家要依据国情加强立法,创建和谐的计算机审计法制环境,推动法制部门对电子合同、电子签名、计算机犯罪等方面的立法工作,为医院信息化审计的合法性和规范性提供制度保障;在制定具体准则时,对计算机系统控制评价、审计人员职业素质等可能增加审计风险的部分有所偏重,以此来推动审计信息化法规的制定。
(二)健全医院审计机制 首先,要进行审前调查,即对医院的基础数据和系统进行调查和收集,包括系统开发状况、软硬件系统、业务流程等,获取必要和充分的信息,从而保证审计数据的完整;然后根据审前调查的内容制定切实可行的审计实施方案和审计方法。在系统控制上,还要建立信息化内控制度,加强数据系统管理。其次,要建立检查机制,及时有效地发现计算机审计工作中出现的问题,并及时寻找解决方案,降低审计风险;还可建立分级复核制度,即挑选一部分审计工作经验丰富、计算机审计运用技能较强的审计人员进行层层审核把关,规范计算机审计工作,提高审计底稿质量,保证和提高审计工作的整体质量。为减少数据篡改现象,应建立对电子数据的真实性、完整性负责的承诺制。在审计人员培养机制上,要将人才使用与干部培养,学历培养和实务培养、培养效果和工作奖惩以及内部培养和外部引进相结合,通过层层选拔和培训,提高审计部门、审计人员的计算机审计整体水平。
(三)开发HIS与审计软件 HIS是现阶段医院计算机审计常用的方法,也是未来一段时间内医院审计较为有效的应用系统,所以要加强HIS的开发和审查HIS的内部控制审计,通过检测样本数据法,将原始审计数据转换为标准格式,增强数据的可行性,然后按照要求进行核对、分析和综合归纳。重复测试法和模拟程序法在实际相互结合使用,实现HIS对各项业务处理的合法性、正确性和可追索性,减小HIS数据被篡改的可能性,有效达到审计目标。当一个HIS系统已经完成并投人使用后,要对它进行改进,审计人员应当积极参与HIS系统的开发、设计,在事前和事中都进行相应的审计工作,及早发现并改进审计中出现的问题。此外,还应加快专业审计软件的开发。专业审计软件是针对审计这一特定工作的内容与规范要求,将计算机系统特定化的软件,利用转换工具,更为有效的完成原始数据输入和输出,增强业务数据处理过程中的可见性,并可运用审计常用的工具盒数据资料,将计算机与审计工作有效结合,不仅提高了审计工作的效率,还使审计的独立性得到了有效保障。审计软件的运用有助于审计人员提高工作效率,有效完成大量数据的验算、筛选、分类及汇总等工作,并能按审计人员指定的标准查找记录,更能有效地控制和降低审计风险,所以要积极推动审计软件的更新换代,开发适合审计部门使用的通用审计软件和专业审计软件。
(四)提高审计人员专业水平 新的审计形势对医院审计人员提出了更高的职业素质要求,审计人员不仅要能够运用基本的计算机审计技术工具,还应充分关注数据得以产生的会计信息系统和业务管理信息系统;不仅要具备医疗、会计和审计等多方面的知识技能,而且要掌握电算会计和计算机运用管理方面的基本方法和技术,并能灵活运用;既要有专业背景,又要有把握国家和医院动态的宏观分析能力;还要求审计人员采用计算机审计方法进行审计工作,是一种复合型人才。因此,国家和医院对提高信息化环境下审计人员的素质责任重大,要加强审计人员计算和能力的培训,通过短期培训长期培训、基础培训和中高层培训,及时更新信息化和专业知识;同时要建立建立审计联合机制,即组建由审计人员、计算机专家、信息系统与电子商务专家构成的团队,结合各审计单位和医院部门,由专家对审计人员进行计算机知识技能的教授与培训,加强后续职业教育,激励审计人员学习业务和信息化知识,吸收经验提高计算机水平。其次,新的形势要求审计人员具备高的职业素质和道德素质增强防范计算机审计风险的意识,从而保证审计质量,规范我国审计工作和医院体制。
五、结论
审计法制的不健全,审计人员计算机运用和信息化基础的薄弱以及审计工作本身存在的复杂性,都使得医院审计工作存在着风险;随着科学技术的发展,计算机网络和现代管理技术得到广泛应用,医院计算机审计工作也将面临更多的风险和挑战。在信息化环境下,无论是审计的内控制度、审计工具,还是审计的重点、审计的覆盖面,相较于手工环境下的审计工作更具难度。现代信息技术的运用,数据的安全性、可靠性以及对医院审计人员的素质要求都有所提高。因此必须深化医疗体制的改革,制定和完善计算机审计标准和程序,防范和降低医院计算机审计工作的风险。
参考文献:
[1]管勇、杨少梅、尚涛:《计算机环境下医院审计面临的挑战与对策》,《卫生经济研究》2005年第7期。
[2]陈东、李正红:《现代审计技术方法在医院审计中运用探索》,《审计月刊》2006年第3期。