浅议医院信息化中的内部控制问题

2007-12-29 00:00:00
会计之友 2007年26期


  【摘要】本文在分析医院信息化建设中内部控制存在的问题及内部控制新变化的基础上,提出了完善医院信息化内部控制的措施与对策,与同行共勉。
  
  在知识经济时代,医院信息化在医院的经营管理中发挥着重要的作用。但随着医院管理信息系统的广泛采用,原有的内部控制已无法适应医院管理的要求,迫切需要进行改进和完善。
  
  一、医院信息系统使用后内部控制存在的问题
  
  内部控制是指单位为了提高经营管理效率、保证信息质量真实可靠、保护资产安全完整、促进法律法规有效遵循和发展战略得以实现等,而由单位管理层及其员工共同实施的一个权责明确、制衡有力、动态改进的管理过程。搞好医院内部控制制度建设对于规范单位内部管理,有效防范经营风险,保护单位财产安全和完整,实现医院国有资产保值、增值等具有十分重要的作用。但在医院信息化逐步普及的今天,一部分医疗机构、特别是一些基层的医疗机构在开展信息化工作的同时,不注重加强内部控制建设和完善,在内部控制中存在一些问题,主要表现在:
  (一)医院信息系统的开发设计缺乏专业人员参与,在内部控制上是先天不足,没有很好地解决好内部控制问题
  主要表现在:医院信息系统中岗位分工控制虽有体现,但还不够合理明确,实践中可操作性不强;电算化系统应用程序中数据有效性检验控制不力,系统在特定方面发生错误或违规行为的可能性加大。
  (二)医院信息化软件使用后与财务会计工作相关的各岗位职责、分工、权限与手工处理未发生相应变化,经济业务缺乏有效牵制
  主要表现在:医院信息化后手工会计的记账、对账、月末(年末)结账、发票管理、收入支出统计、成本计算等大量工作已由电子计算机自动完成,数据处理的集中性使传统的组织控制功能减弱,部分业务流程变化较大,牵制缺乏有效性。
  (三)医院信息化软件使用后管理人员数据安全意识淡薄,操作口令管理不严,容易泄密或被人窃取,带来巨大安全隐患,造成部分内控制度失效
  主要表现在:
  1.一部分单位虽然设置有不同的业务分工,却往往是一个操作员身兼数职,可以以不同的身份进入系统进行不同的操作,这样,不相容职务分离控制就名存实亡。
  2.未经授权的计算机专业人员可以利用计算机技术和网络技术轻易地浏览各种数据文件,造成重要机密数据被泄漏,授权控制失控。
  3.档案管理人员缺乏安全意识,档案管理的内部控制未能有效落实,重要的档案数据泄漏、丢失的事件时有发生等。
  (四)人员素质不高,实际操作能力难以适应信息化环境下对内部控制的要求
  由于医院信息化涉及政策、法规较多,需要多专业、多层次、多学科人员参与,操89a9d13cdc3aaa465b0c7274721d00dd30d48413c22a8d29e21c48f7d19e46a8作人员虽然经过计算机等级培训,计算机管理人员也经过专业培训,但缺乏内控方面的学习研究,实施管理过程与实际要求水平还有较大差距,未能适应内部控制的要求。
  (五)内部控制制度执行不力,流于形式
  内部控制制度重在执行,部分医疗机构仅仅出于应付上级检查,有章不循,形式主义严重;部分医疗机构内部控制制度制定得较为健全,但由于单位负责人重视程度不够,或者执行人员业务素质所限,造成内部控制制度执行不力。
  
  二、医院信息化后内部控制的新变化
  
  医院信息系统使用后,给内部控制带来一些新的变化,主要表现在:
  
  (一)授权的方式、执行与手工系统存在差异
  授权、批准控制是一种常见的、基础的内部控制,在手工处理环境下,不同岗位的人员各司其职,对于一项经济业务各环节处理都要经过具有相应权限人员的签章,职能的分割与人员的分工便形成了行之有效的内部组织控制。但医院信息系统使用后,操作人员可利用特殊的授权文件或口令,对一项经济业务可用不同的身份或权限获得某种权利或运行特定程序进行业务处理,人员与职能的分工控制功能明显减弱。
  (二)内部控制的实现方式发生了较大变化。主要表现在:数据收集、加工、处理由繁琐的手工处理转为计算机高度自动化处理;内部控制手段由原来的手工控制转为手工控制和程序化控制相结合;控制的重点由原来的人员控制转为由人员控制与计算机软件控制相结合;数据存储介质由纸质数据文件向电脑大型数据库、程序文件磁介质转变等等。
  (三)内部控制的范围扩大,控制内容增加
  计算机软硬件的维护、信息网络数据安全管理、计算机操作人员素质控制等问题是信息化工作开展以前不必涉及的内控范围。医院信息系统使用后,为实现内部控制目标,内部控制制度的范围和控制程序较之手工处理模式更加广泛,更加复杂。内部控制的内容也有所增加,包含了传统手工处理模式没有的内容,如网络系统安全的控制、系统开发过程的控制、数据编码的控制、使用人员系统权限的控制、数据调用和修改程序的控制等。
  
  三、完善内部控制的措施及建议
  
  在研究内部控制变化的基础上,如何进一步完善内部控制制度,笔者认为应加强以下几个方面:
  
  (一)加强医院信息化系统的组织控制
  在医院信息系统使用后,医院应根据实际情况合理设置岗位,对原手工模式下不适应的部门及岗位进行调整,明确相关部门和岗位的职责、权限,在保证原有会计系统内部控制的基础上,确保软件开发与系统操作、系统操作与维护以及档案保管等不相容职务相分离,使涉及会计系统内部控制、信息系统开发、使用及管理中的有关人员正确、有效地履行自己的职责,并能有效地限制和及时发现错误和舞弊行为。
  
  (二)加强医院信息化系统的管理控制
  管理控制主要是针对信息系统涉及的各个部门和人员所建立的内部控制制度。主要内容是:
  1.各种人员的岗位责任制度,包括各岗位的职责范围及其考核办法。
  2.建立用户操作管理、上机守则、操作规程及上机记录制度。
  3.建立计算机网络安全管理制度,包括安全保密、授权口令密码的使用和管理办法、数据备份、计算机病毒防范、外来软件的限制安装、违规处理等管理制度。
  4.建立计算机软、硬件维护管理制度及系统应急预案。
  5.建立完备的设备管理制度。
  6.制定信息化档案管理制度等。
  
  (三)加强人员素质控制
  再好的制度也要由人来执行,加强人员业务素质控制是实行内部控制的关键。一是加强各岗人员的思想品德修养,树立正确的人生观、价值观,提高各岗人员的政治、业务素质。培养各岗人员热爱本职工作,刻苦钻研业务,不断更新观念、更新知识,把自己培养成既精通业务,又熟悉政策的一专多能人才,增强发现问题和解决问题的能力。二是提高各岗人员的业务水平,系统管理员要不断提高维护水平及应急处理能力,操作人员要具备扎实的基础知识和熟练的专业技能,加强对计算机操作的熟练程度,适应医院发展需要。
  
  (四)医院信息化后的内部控制制度的执行检查及完善
  1.加强医院信息化的内部审计或纪检监察工作,加强对内部控制制度执行情况的监督检查,确保内部控制制度的有效执行。
  2.加强对内部控制制度的分析和评价,围绕内部控制制度的健全性、合理性、有效性,针对内控中不科学、不合理的控制措施,不充分、不必要的控制程序,找出运行中存在的漏洞及缺陷,提出相应的改进及补救措施。
  3.根据情况变化,适时修订各项内部控制制度。内部控制制度和内部控制环境也不是一成不变的,内部控制度的设计、制定应随着医院经营管理战略、方针、理念等内部环境的变化和国家法律法规、制度政策等外部环境的改变而进行相应的修订和完善。
  总之,医院信息化是时代发展的方向,通过查找内部控制中存在的问题,深入分析信息化软件使用给医院内部控制带来的新变化,博采众长,密切联系实际,不断健全、完善医院内部控制制度,才能有效地控制和防范经营风险,确保医院经营战略目标的实现。