医院内部审计信息化的发展现状与趋势

郭文梅　布和朝鲁

[摘要] 随着计算机技术的发展和应用，医院也进入信息性化时代，探讨内部审计怎样才能更好地适应信息技术的发展，实现内部审计信息化，确保医院信息的安全、完整和有效，做到为医院的信息化发展起到良好的促进作用。

[关键词] 医院；内部审计；信息化发展

[中图分类号] R197.3；F239.1 [文献标识码] B [文章编号] 2095-0616（2014）03-173-03

计算机与网络技术的迅速发展使当今世界进入信息化数字时代，信息化改变了一个单位的管理模式、工作流程和工作方式，随着信息技术的快速发展，医院也进入了信息化数字时代，医院的信息系统要求能够连续、系统、准确地采集、存储、传递、处理相关的信息，为医院管理、临床医疗和服务提供能够安全可靠的技术支持。在医院的经营活动中，利用计算机和医院内部局域网等信息技术传输各种数据，如利用就诊卡进行挂号、看病和交费，避免许多重复项目的录入，并达到患者信息的多方共享；医院利用一卡通，使就诊患者的挂号、划价和收费同时执行，即患者在划价的同时进行收费，费用由计算机自动汇总，医院内部信息系统中的各子系统之间能通过集成实现信息的交互与共享，它还能够连续、系统、准确地采集、存储、传递相关的信息，为医院管理、临床医疗和服务提供包括决策支持在内的技术支撑，接诊医生利用就诊卡从内部信息网中可调阅出就诊患者的各种检查记录和结果，使医生能以最全面的信息快速判断出就诊患者需要治疗的最佳方案，使患者缩短了诊疗时间、提高诊断水平，减少患者看病的等候时间，同时也提高医生的工作效率，减少许多重复检查的项目，也减轻患者的经济负担，也为医院远程会诊提供更便捷的服务，并对提高医院的医疗服务质量和社会效益产生良好的作用。

信息技术的简便、快捷，切实提高了医院的工作效率，但是同时也使人对计算机系统的依赖性逐渐增强，为某些应用程序中的差错提供了重复运行的空间，导致在特定方面发生错误或违规行为[1]，如单位内部信息系统的应用程序若有错误或被人为篡改，计算机就会按错弊程序处理所有的业务，错误的后果将会给单位带来灭顶之灾，所以任何单位不能忽视监控职能，应该加强网络监督管理工作，构建一个与网络化环境相适应的适时监控机制和方案，重视单位内部审计部门对信息系统的审计和监督功能，由内部审计人员及时评价医院内部信息系统的运行情况，实现信息技术的综合性、全面性、多方位控制，使医院在经营过程中保持良好的发展态势。

1 医院内部审计信息化的发展现状

从审计实践应用计算机技术到逐步向审计信息化发展，但是现实审计现状情况是，计算机信息审计从深度和广度都受到主观和客观条件的制约，同时要建好医院的网站，要明确目标受体[2]。

1.1 主观因素是审计人员应用计算机的水平层次不齐

大部分内部审计人员只会简单的操作计算机，仅会使用简单的办公软件，仅停留在文档编制、数据加工等简单操作，根本达不到完全实现医院信息化审计的水平，内审人员因为计算机操作水平或信息化知识有限，专业胜任能力欠缺，分析、判断能力不强，使得医院内部审计人员不能或不敢去尝试利用计算机进行财会审计、风险管理审计和内部控制制度基础审计，医院信息化审计属于“摸着石头过河”。随着医院内部管理的信息化发展，打造一个基于计算机网络和信息技术的内部管理平台，是医院审计信息化建设的重要内容[3]。

1.2 客观因素是审计软件和硬件的发展不全面

目前我国医院内部审计中还没有开发专门针对医院信息系统审计信息软件，没有可使用的工具和技术。没有专门的审计软件和程序，内部审计人员想使用也无从下手，一般的应用是利用计算机辅助审计技术和利用审计软件或模块计算机辅助技术，但是目前我国审计实践中对医院信息系统审计的诸多工具和技术还没有完全加以应用，还是一个真空地带。

1.3 医院领导不重视内部审计信息化建设，资金投入不足

医院领导的主要精力都放在医疗业务和经营管理上，对医院内能创收的临床一线和医技科室比较重视，忙于抓医院的业务收入，想尽各种办法吸引更多患者来医院看病就医，即注重医院经济效益和社会效益的提高，对其他一些辅助科室和后勤、行政科室因为不能为医院带来直接的经济利益而关注不够，对医务工作者医院都有硬性规定定期到上级医院脱产进修学习新的医疗知识和技术，而在医院各类信息系统建设和使用中，很少考虑到医院内部审计信息化的建设，认为不值得为内部审计部门投资，能保证一般性的监督、检查就可以了，没有必要投入更多的人、才、物的支持，没有创收就属于消费；单位领导或上级审计部门的内部审计协会也重视来够，没有投入信息性价比建设资金和专门的培训和学习，医院内部审计信息化建设只能是纸上谈兵。

医院内部审计信息化建设也是内部审计领域的一场变革，应该引起上级业务部门和审计部门的关注，可以研究专门的医院内部审计信息化专用软件，即专用的医院信息系统审计软件，定期组织培训和学习，提高内部审计人员的计算机水平，通过脱产和自学的形式对计算机信息系统进行系统学习，最好有专门的文件规定在3年或两年中必须有3个月以上的专业脱产学习时间，才能系统地掌握和应用计算机信息技术，为内部审计信息化打下坚实的基础，或是通过参加培训班的形式让内部审计人员到相关院校系统学习都是掌握计算机水平，内部审计人员应努力提高计算机应用技术，以此开展医疗机构内部各项审计业务工作。这样即改变传统审计滞后的局面，又降低了审计风险[4]。只有这样，内部审计人员的信息技术才能明显提高，才能发挥内部审计的监督、评价和鉴证功能。

2 医院内部审计信息化的发展趋势

在信息技术的快速发展下，各个行业都建立了会计信息系统和管理信息系统，医院信息系统审计的重点将是对医院内部网络信息系统的审计，对医院内部信息系统网络的开发和运行效率进行审计，认证信息系统的可靠性。

医院的信息系统是指由计算机及相关的和配套的设备、设施和网络构成的，按照医院的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统[5]。根据卫生部的要求，医院的信息系统必须符合《基于电子病历的医院信息系统平台建设技术解决方案》的相关要求，并符合卫生部相关的卫生信息标准和技术规范，并按照政府的要求，支持卫生信息的区域共享和交换。

2.1 医院的信息系统（hospital information system）

简称HIS系统，可以在医院内部联网的基础上达到数据交换和数据共享，并搭建有中间数据共享交换平台。为了保护医院计算机信息系统安全，必须规范医院的信息系统管理，保证合理利用系统资源，充分发挥信息系统在医院管理中的作用，医院内部审计人员由于对医院的运营环境和运营方式比较熟悉，可以对内部网络信息系统的合规性、数据处理的正确性以及网络生成的各种信息进行验证。医院内部的HIS系统是否实施国家信息安全等级保护制度，是否实行系统操作权限分级管理，信息安全采用身份认证、数据库和运行系统实行权限控制，保证数据的使用控制，并且能够保护就诊患者的隐私不泄露，使医院内部的信息系统运行维护做到规范化管理，保证医院内部业务的连续性。医院定期对运行数据进行收集、分析，每月制订报表，送领导批阅，并反馈给全院各科室传阅[6]。

医院内部信息系统内必须有挂号收费管理系统、药品管理系统、血库管理系统、物资管理系统、财务管理与成本核算系统、病案管理系统、办公OA、患者的咨询服务系统等，内部各子系统之间能通过集成实现信息的交互与共享[7]；信息系统在医院内部是否能够连续、系统、准确地采集、存储、传递相关的信息，能否更好地为医院管理、临床医疗和服务提供技术支持，能否及时自动生成各项相关的统计报表，并且能具备与基本医疗保障系统、卫生行政部门等系统的信息交换条件。

2.2 检查医院的信息系统是否实施国家信息安全等级保护制度

为了保证医院内部信息系统运行稳定、安全，医院还必须具有防灾备份系统，实行网络运行监控，有防止病毒入侵的各种措施；具有冗灾设备、UPS设备、防雷设备、网管系统、防病毒软件和防火墙设备，以保证医院内信息系统运行稳定、安全。医院内部审计人员可以定期对医院内部的信息系统进行查检；检查操作权限是否实行分级管理，信息安全是否采用身份认证、权限控制（包括数据库和运用系统）、保障网络信息安全。

2.3 医院内部的信息系统必须实行信息系统操作权限分级管理

为了保障网络信息安全和所有信息不外漏，定期检查医院内部的信息系统即医院的信息平台能不能良好运行，医院信息化发展的重点是以电子病历为核心的临床信息系统，是否能为临床提供服务，医院内部是否形成以患者为中心的信息集成平台，可以建立多个临床信息的消息集成系统，使电子病历可以共享与集成其他系统产生的患者诊断与治疗信息，为患者信息的横向交流和远程医疗提供支持，满足医院内部临床需要，能够提高医生和护士的工作效率。

2.4 加强信息系统的运行维护

加强对专职技术人员监管管理，定期检查其工作日志、必须有完整的技术档案，并有信息网络运行、设备管理和维护、技术文档管理记录；必须有系统信息变更、配置管理的制度和相关记录；并有完整的日常运行维护记录和值班记录，并且能够及时处置安全隐患，必须有信息系统运行事件（如系统瘫痪）相关的应急预案，各部门各科室都有相应的应急措施。

（1）定期检查医院内部是否备份医院信息系统所有的数据，包括全部患者的费用信息和医疗信息。（2）是否制订医院《数据备份方案》，并按照要求做到逐条认真操作。（3）定期对数据进行完整性检查，并做恢复试验，以确保备份数据的安全可靠，并定期对数据进行整理。（4）是否对服务器每天进行仔细检查，客户端登录和访问数据库是否正常等，如果系统发现异常情况，是否马上进行了处理和检查。（5）医院内部是否严格遵守保密制度和信息系统管理规范，做到各种口令不外泄。每次对服务器进行操作时，认真做好登计；医院内部的数据备份磁带是否做到异地存放；医院网络管理必须准备两个以上数据库备份，并且存放在两安全的地方。

现代内部审计从财务审计向经营审计和管理审计发展；从事后审计向事前审计发展；从手工审计向计算机审计发展；从帐项基础审计向风险导向审计发展[8]。信息系统审计是建立在审计人员能熟练掌握计算机系统应用的基础上，由于审计软件的审计自动化程度高，由此对多方获取的无纸化的审计证据的梳理与判断的难度增大了，而审计人员的更需要有较强的判断力[9]。

所以医院内部审计人员必须有紧迫感和历史使命感，努力学习和运用计算机和信息系统审计知识，系统掌握计算机知识和各种信息系统审计技术手段，创造条件，在加快内部审计自身信息化建设的同时，应积极应对信息化带来的挑战，不断发展信息系统审计，促进医院管理水平的提高，增强核心竟争力[10]。

[参考文献]

[1] 黄作宾.信息系统审计[M].大连：东北财经大学出版社，2012：121.

[2] 王振东，魏冰玉.医院网站设计思路及前景展望[J].中国医院管理，2007，24（2）：63-64.

[3] 宫智.审计信息化建设的方向和架构[J].中国审计，2013（1）：55.

[4] 李芳.医疗机构内部审计风险的防范与控制[J].中国卫生经济，2004，23（8）：74.

[5] 钱勇.浅谈医院信息网络安全管理[J].现代医院管理，2009，21（9）：11.

[6] 宋建敏，陆涯林.信息服务中心在医院优质服务中的作用[J].医院管理论坛，2012，29（6）：25.

[7] 内蒙古自治区卫生厅.内蒙古自治区三级综合医院评审标准实施细则[S].2012：174.

[8] 蔡春，车宣呈，陈孝.现代审计功能拓展论[M].北京：中国时代经济出版社，2006：128.

[9] 黄作宾.信息系统审计[M].大连：东北财经大学出版社，2012：278.

[10] 仲福英，赵永军.内部审计应对信息化发展策略探究[J]. 中国内部审计，2011（2）：45.

（收稿日期：2013-12-02）