摘  要：信息化的发展对医院内部审计带来了挑战和机遇，内部控制的多方面发生较大的变化,本文分析了目前医院内部审计存在的问题,并提出了医院内部审计信息化的实现路径。

关键词：医院  信息化  内部控制  审计

   

 随着计算机技术和互联网的飞速发展，医院的信息化建设也得到了极大提升，医院内部审计的环境、技术、手段等均发生了较大的变化，新形势下内部审计工作也迎来了新的发展机遇和潜在挑战。

一、信息化下内部控制的变化

医院内部控制制度是指经济组织为了保证医院财务、资产等数据的正确性和可靠性而采取的各种措施和方法，主要是各种凭证的记录、传递，业务处理过程，资金的使用，债权债务反映，会计报表编制等各个环节的控制制度和程序。信息化的发展对内部控制的影响是全方位、多范围的，从内部控制的环境、内容、范围乃至重点、具体控制技术和手段都出现了完全不同的变化。

1、内控环境的变化

现代审计是制度基础审计，严格依赖被审计单位的内部控制制度。信息化下，基于计算机环境的内部控制在控制环境方面发生了根本的变化。医院信息化环境下，无纸化数据、交易极大地减少了输入、数据处理等方面的的重复劳动，使医院经营管理、交易处理、财务处理、内部控制等管理活动处理程序化。比如药品的调拨环节，不需要向以前那样填制药品出库调拨单，只需要药库将发货的电子送货单传输到药房，药房根据传输的电子送货单核对送来的实物，核实后点击确认收货就完成了药品的调拨和移库。系统的内部控制更多地依赖自身的实时控制。于是，如何适应原有纸质审计证据的减少、内部控制环境（包括会计处理及业务处理流程）的变化就成为医院内部审计必须面对的问题。

2、内控内容的变化

在传统的人工手工操作下，互相监督和牵制是通过不相容职务的相互分离和合理的分工来实现的，比如药品的销售日报表，是收费员累积当天的收费发票金额进行分类汇总后制作，然后交发药部门签字确认的。局外人很难插手，而且相互之间不能越权处理，否则都有留下造假的痕迹。但在信息化方式下，销售日报表已不需要发药部门签字确认，收费员可以通过收费系统完成当天的销售日结。发药部门也是通过信息的传输来点击发药。这就存在如何识别合法操作员及其操作权限问题，因为都是计算机来负责识别和控制，靠分工是无法实现的。计算机内的数据也极易发生被删除、篡改或破坏的可能性，同时，防止计算机舞弊和病毒破坏也成为内部控制的一个重要内容。

3、内控范围的变化

    传统手工情况下的内部控制主要是对业务处理人员及其工作信息处理方法和程序进行控制，而信息化环境下，由于系统建立和运行的复杂程度大大提高，内部控制的范围也相应扩大了，包括了以前手工所没有的控制，如对计算机硬件、软件以及相关存储设备的控制、信息系统安全的控制、系统进入权限的控制、程序修改的控制等，同时，互联网技术和电子银行支付等的广泛应用，对内部控制系统的组成结构和模式产生了比较深远的影响，要实行远程报账、远程支付、远程报表、远程办公及远程审计等一系列功能，其相应环节的内部控制变得十分重要和必要，内部控制的范围已经延伸到信息系统的维护、软件的开发、系统转化过程、远程网络系统等。

4、内控重点的变化

信息化下内部控制的重点由业务部门向信息系统部门转移，由单纯的手工控制向计算机控制为主的人机控制转移。传统的内部控制制度主要是通过业务操作控制和数据处理控制的手工方式来完成的。业务操作控制主要是实现不相容职务的分离，以达到互相牵制，防止舞弊的目的。数据处理控制是将数据适当分散并划分数据处理方法，通过处理结果的比对，对数据加以评价。在信息化下，数据处理基本上是由计算机完成，如无异常情况，数据正确性是可以保证的，传统的岗位和职能将发生合并，数据处理的集中将增加计算机操作、数据录入、硬软件维护、系统管理等岗位，内部控制的重点自然从业务部门向信息系统部门转移。传统的业务部门实现了电子化操作后，数据采集逐步向自动化发展，内控的重点也应由手工控制方式向以计算机为主的人机相互监控转移。

二、医院审计信息化面临的问题

2002年开始的审计信息系统建设，其目的就是逐步实现审计监督的“三个转变”，即从单一的事后审计转变为事后审计与事中审计相结合，从单一的静态审计转变为静态审计与动态审计相结合，从单一的现场审计转变为现场审计与远程审计相结合。

所谓内部审计信息化，是指将内部审计信息作为管理信息资源，全面运用以计算机网络和通讯为主的信息技术对其进行获取、加工、传递、存储、应用等处理，建立计算机技术与内部审计高度融合的、开放、信息共享的现代医院内部审计信息系统，为医院经营管理、内部控制决策和经济运行提供了准确、实时、全方位的信息。

目前，正在建设中的江宁区卫生信息化系统主要由新型农村合作医疗信息系统、社区卫生服务信息系统、医疗服务信息系统、公共卫生信息系统、医学科教信息系统和电子办公系统组成。在内部审计信息化方面存在一些问题。

1、信息孤岛现象仍然存在

医院内部审计部门的电脑虽然都已接入网络，但目前适用于医院内审的成熟软件仍然缺乏，目前医院上的系统有HIS管理系统、财务软件系统、成本核算系统、绩效考核系统、人事管理系统、移动查房系统等，但不同的系统是由不同的软件开发商提供，由于进入权限和接口问题，各个电脑上的数据仍然是如同单机版。审计流程上的各类信息是分散的，不同的审计人员所采集的信息都在不同的电脑上，无法有效地通过管理平台实现资源共享。

2、计算机审计专业人才缺乏

目前，医院的内部审计人员大都只具有会计专业背景，在计算机知识方面，只掌握简单的办公软件操作、文档处理、数据输入、表格制作和财务软件的使用。未接受过专业的计算机应用和操作培训，不熟悉医院的业务管理系统，更谈不上数据库知识及分析处理技术。具有现代审计和信息化能力的复合型人才的缺乏，严重影响了信息化下内部审计发展的进程，降低了审计工作的效率，影响了审计目标的实现。因此，信息化时代，对审计人员的培训以及引进计算机方面的人才加入审计队伍尤为重要。

3、沟通与交流欠缺

注册会计师审计准则中强调了前后任审计人员之间的沟通，审计人员与治理层、管理层的沟通，并将内部控制存在的缺陷向公司治理层反映。但实际上从系统的设计、内部审计的流程、业务处理的流程、信息的录入和处理以及系统的后续维护等方面都缺乏有效的沟通。系统开发商在设计系统时只与医院信息中心联系，而缺少与熟悉医院内部管理和业务流程的审计人员交流，导致设计架构不能完全符合内部控制的要求。医院管理层在上马财务软件、成本核算、绩效考核等软件时，未征求审计人员的建议对软件进行符合医院自身特点的有效改进，导致具体控制程序存在缺陷。这些问题的存在延长了审计时间，影响了审计结果的处理，耗费人力、物力。

三、信息化下医院内部审计的实现路径

1、综合运用嵌入式审计模块及审计软件

嵌入式审计模块是集成于应用系统各个环节的代码段，用来持续的监控或获取重要的审计信息，从而实现对被审计事项或被审计单位的持续监督。由于我区有近三十家医疗卫生单位，大量的数据需要处理，因此该审计技术尤其适合。

嵌入式审计模块将内部控制制度植入管理系统中，采取各环节和流程的事前控制和事后控制（即前馈和反馈控制）来对医疗单位的经济运行状况进行全程控制和监督，确保医疗单位会计内部控制制度的有效实施，保证组织目标的实现。通过对医疗单位业务系统的全面信息化，审计人员可以直接从医疗单位的业务数据库中提取数据，可以实现实时查询所需要的数据，保证了数据来源的可靠性。全区医疗服务信息系统主要涵盖临床医疗业务、费用核算业务、药品管理业务、后勤管理业务和综合统计与咨询业务五大部分，信息资源的整合和共享，减少了人为操作的可能。通过医院审计信息化建设可以实现：（1）对公立医院业务运行状况的实时监控（门诊流量、入出院数、处方、收入及其构成、公共卫生服务量全面财务数据等）；（2）对处方的监控（处方金额、重点管理药品管理、医生开单情况、大处方审查、抗生素处方、二联以上抗生素处方等）；（3）对药品采购销售的监控（药品的采购统计、销售情况统计、药品供应商供货统计、供货率统计、到货率统计等）；（4）公共卫生考核（工作量、工作质量指标的统计）。

通用审计软件是专门为审计人员设计的，能够直接访问各种数据库及平面文件系统的标准软件。它包括汇总、分类（排序）、对比、合并、更新、数学函数、抽取、条件操作、抽样、报告编写、数据管理、统计程序等功能特征，可以帮助审计人员完成基本的审计任务，尤其擅于测试数据和信息。它还应该具有如下软件包：字处理、电子表格程序、数据库管理和文件维护程序、抽样程序、图形分析程序、流程图编制程序、定量分析程序、“下载”程序。利用其自动化工作底稿功能执行风险评估、审计进度安排、生成工作底稿和报告、追踪未解决的问题及其成本代价等工作，可大大提高审计的效率和效果。通用审计软件应能提供财务收支审计、经济责任审计、绩效审计、物价比对审计和工程审计等多种功能。

2、设计总体控制与具体控制审计

总体控制与控制环境息息相关，具体控制则是针对具体的程序和活动进行的控制。完善的总体控制有利于保证具体控制真正地发挥作用。特别是在计算机的环境下，总体控制的重要性尤为明显。总体控制的无效，会使完善的具体控制难以发挥出应有的作用。由于内部审计处在医院的内部控制环境下，具有其特殊的地位。对医院管理风格、医院文化、业务处理流程、会计核算和控制程序等方面，均非常熟悉，并了解各方面的业务开展的流程和关键点。因此，医院内部审计在设计内部控制方面具有独特优势。比如通过对现有财务软件系统增加管理权限，对金额权限进行控制，实现对具体金额数量划分级别，根据操作员的级别和职位进行金额控制，限制他们制单时可以使用的金额数量。通过严密的制单控制，实现不相容职务的分离和系统自动报警功能，通过严格的复核审批制度，保证了业务处理的合法性和真实性。对总体控制的审计主要是组织控制、系统开发与维护控制、系统安全控制、硬件和系统软件控制和操作控制等方面的审计。对具体控制的审计主要是业务流程、输入控制和操作权限的控制审计等。

3、加大审计人员培训和引进力度

信息化下审计环境的变化要求内部审计人员不仅要掌握传统的内部审计的基本知识，要会利用计算机审计技术工具，还应掌握计算机系统的知识及其应用技术、数据处理和数据库技术、互联网知识及电子商务和网上银行、电子支付等。不仅要熟悉财务软件、业务管理和HIS系统，还要会操作内部审计软件，并能根据需要编写出各种测试审查程序，具有审查系统文档和电算化系统内部控制的能力，实时监控数据的真实性和准确性。因此，要加大培训力度，提高审计人员的计算机审计水平和能力，并通过引进计算机专业技术人才逐步优化审计人员结构，实现人员科学合理配置。也可以聘请外部专家协助医院内部审计信息化建设，推动医院内部审计信息化水平。(南京市江宁区卫生局 申健)

（本文内容仅为作者个人观点，不代表任何审计机关和本网站的观点，未经许可，不得转载）