信息化背景下的医院内部控制强化研究

王荣玉+王良明

摘 要：信息化在提高医院精细化管理和内部控制效果的同时，也给传统管理模式下的医院内部控制带来冲击和挑战，导致内部控制风险的增加。因此，应树立内部控制理念，建立适应信息化条件下的业务流程，加强信息系统的开发与测试，培养合格的内部控制人才，加强关注信息化条件下医院内部控制的重点和难点等，从而降低医院内部控制风险，保证医院财产安全。

关键词：医院；信息化；内部控制；风险

中图分类号：R197.322 文献标识码：A 文章编号：1671-9255（2017）02-0024-03

医院内部控制是指为了实现医院发展目标，保证资金、资产、资源安全完整并得到合理利用，保证会计信息真实、准确，保证有关法律、法规、规章的贯彻实施而制定和实施的一系列控制方法、保证措施和业务程序。[1]医院内部控制目标是保证医院经营活动符合政策、法律规定、资产安全、财务报告及相关信息真实可靠，提高医院经营效率和效益，实现社会效益和经济效益同步发展。

近年来，伴随我国医疗体制改革的不断推进，人们对关乎自己切身利益的特殊机构——医院的关注度超过以往，同时也将医院推向风口浪尖。一方面信息化和互联网技术的飞速发展，医院的管理方式和手段发生了巨大的变化，HIS、HERP、OA、LIS、PACS、手麻等各种管理信息系统和业务处理系统的广泛运用，管理智能化使医院管理效率和质量有了质的飞跃；另一方面，2014年开始实施的《行政事业单位内部控制规范》，对行政事业单位中最接近企业运行模式的医院提出了更高更严格的要求。因此，在医院信息化建设如何与内部控制有效融合上面临新的抉择，信息化背景下如何进一步强化医院的内部控制也成为现实工作的难点和重点，建立适应信息化和互联网时代的医院内部控制体系是一个亟待解决的难题。

一、医院内部控制制度现状分析

近年来，全国各地医院腐败案件频频曝光引起了社会各界的广泛关注，究其原因是多方面的，但是笔者认为内部控制制度乏力，则是医院腐败现象频发的重要原因。目前医院系统内部控制存在的问题主要表现在以下方面：

（一）内控意识不强，重业务轻管理思想普遍

医院作为技术密集型的单位，人们往往看重的是名医专家的医疗技术水平，管理者大多是业务出身，由于受自身专业背景、工作经历的影响，欠缺管理意识和能力，淡化经济管理，导致他们对内控制度的重要性缺乏足够的认识，重业务轻管理的思想较为普遍，如在管理流程设计上，职责不清晰、权限不明确。同时囿于传统的绩效评价体系，上级主管部门的考核机制大多侧重于对各项经济指标的考核，对医院的内控制度有效性很少评价，使得内部控制制度形同虚设。

（二）复合型审计人才缺乏，风险评估技术滞后

建立现代内部审计制度是推进内部控制制度有效执行的有利途径。目前，医院系统复合型审计人才培养工程进展缓慢，信息系统审计工作缺乏制度创新，内部审计的作用未能充分发挥。信息技术风险评估是医院信息系统内部审计的前提。现实是大多数医院的内部审计人员风险评估技术滞后，尚不能准确识别与信息系统技术相关的内部和外部风险，缺失完善的风险监控体系，不能准确分析信息系统发生风险的可能性和影响程度。[2]

（三）内控体系欠完善，信息资源缺乏有效整合

医院内部控制涉及各个部门，各单位都根据自身特点量身定做了内部管理和监督控制办法。但是，在顶层设计上缺乏综合衔接的内部“统一管理”办法和联动牵制的内部“监督控制”手段，导致部门之间工作重叠、利益矛盾、效率低下。同时，医院现有的人事管理、资产管理、采购、财务核算等信息系统很多是为了本部门管理需要分别开发的应用，系统多、系

统端口对接不全、数据共享性差。各部门在执行内部控制时采集的数据由于统计周期、统计口径的偏差，造成医院财务内部控制不能有效发挥应有的作用。[3]

二、信息时代医院内部控制的主要特征

（一）内部控制方式由事中控制转变为事前控制为主

在传统方式下，医院内部控制主要通过在业务发生过程中不同人员通过纸质凭证传递、审核、签名，相互校验、相互核对、分工协作来保证业务信息的真实完整性，防止或减少发生错误或舞弊发生的机会。在信息化条件下，在医院相关信息系统开发过程中，就应根据医院内部控制制度的要求，科学地规划业务流程，对相关操作人员合理地分配操作权限，变事中控制为事前控制。在业务发生时，信息系统将按事先设定的流程和步骤自动完成相关内部控制。

（二）内部控制功能主要依赖信息系统实现

在信息化条件下，医院内部控制的诸多措施和环节必须通过信息系统来进行落实和实施。信息系统的开发通常是由软件公司项目小组来开发的，其开发人员对医院的業务流程不熟悉，缺乏财务和内部控制方面的专业知识，对需要进行控制的关键点难以把握，会使信息系统的内部控制作用缺失。医院信息系统的基础是HIS系统。医院的业务工作量数据、门诊住院收费数据等信息均来源于HIS系统，如果这些基础数据来源存在问题，内部控制就成为一句空话。

系统开发完成后，通常都会按照业务流程进行模拟测试。由于测试者一般是按照规定动作走程序，难以发现系统开发设计过程的BUG。即使安排专门人员进行测试，由于测试时间短且对测试结果不需承担责任，难免松懈，难以全面发现缺陷和漏洞。在测试过程中，业务部门可能更关注产生的报表是否正确，对其中的流程是否符合内部控制的要求往往关注不够。

（三）信息系统自身安全性对内部控制直接产生影响

互联网时代要求网络具有开放性，同时给医院信息系统带来较大的风险。不可控的自然灾害、病毒入侵传播、黑客攻击、操作人员的错误或疏忽甚至舞弊和犯罪、数据存储风险等安全隐患，多个系统接口存在数据遗漏风险，程序升级后原数据的保存或可获得性风险，给内部控制的环境带来极大改变。如果一家医院的信息系统瘫痪几小时或一天，整个业务将面临停滞的局面，造成的后果是不可想象的。

同時，医院及员工对信息系统过度依赖，会导致内部控制风险的增加。在HIS系统中，只要原始数据录入相关系统，系统均能自动完成对账、试算平衡等内部控制功能，使得管理人员只关注最后形成的报表或结果，而过程有效性评估难度将加大。

三、强化信息化条件下的医院内部控制

的对策思考

（一）牢固树立内部控制管理理念

医院经营管理理念对医院的管理决策影响深远，当医院的内部控制理念和信息化技术发展相协调时，医院内部控制体系的建设理念才能在一定程度上得到创新，从而提高医院社会效益和经济效益。构建现代化的医院 HIS 信息系统，将医院的各个系统有效融合和集成，实现医院管理流程的事前、事中和事后分析及考核与绩效评价工作，提高内部控制的有效性，将医院业务内部控制落到实处。[4]

（二）建立适应信息化条件下的业务流程

医院信息系统是一个层次和结构比较复杂的系统，体系的完善与优化是医院内部控制形成的基本条件。在信息化条件下，按内部控制制度的要求，应当对医院现有的业务流程进行重新梳理，找出内部控制的风险点和关键点，并建立适应信息化需要并且符合内部控制要求的业务流程和控制制度。建立健全医院内部控制信息系统数据的互联互通，医院不仅要实现院内的 HIS、人事管理、资产管理、采购、财务管理等系统数据的横向对接，还要与社保、财政等外部数据的纵向联通，逐步建立统一高效 、资源整合、互联互通、信息共享、使用便捷的医院内部控制信息系统。[5]因此，医院内部控制的发展将注重监督体系的完善。首先，医院通过应用软件开发商或聘请外部专业人员进行内部控制机构，完善医院的基础建设。其次，医院通过优化内部控制途径，加强内部控制机构的完善、创新自身的内部控制观念、建立和完善内部控制制度，是医院内部控制在信息化背景下发展的必经之路。[6]

（三）高度重视信息系统的开发与测试

医院信息系统开发时，开发人员采集系统需求的对象主要是业务管理人员。而管理人员对信息系统的语言和功能描述不准确，提出的需求通常只是以自己在业务处理过程的理解为基础，缺乏全局观念，较少考虑到内部控制的需要。开发者常将这些碎片化的需求当成需要解决的主要问题，最终开发出的信息系统不符合内部控制的要求。[7]

医院信息系统开发时，医院内部控制、审计、财务管理、业务管理、信息等部门和项目开发人员应共同成立项目开发组，深度参与医院信息系统的设计和开发工作，按照既定的业务流程，将必要的内部控制要点应尽可能全面地落实到系统开发中。医院信息管理部门应全程参与跟踪系统的开发过程，熟悉系统并监控业务流程和内部控制是否得到落实。

系统开发完成后的测试工作应专门抽调一线操作人员来进行，应保证有足够的时间来反复进行压力测试，尽可能提前发现系统缺陷，防患于未然。充分测试后可选择一两个科室进行全院的联调联试，并保持“两条腿”同时运行，原流程及操作不变，由测试人员在新系统中录入信息同步运转。试点一段时间（不少于1个月）数据信息能保持一致，可以扩大范围启用新系统。系统正式上线后，医院还应定期召集一线操作人员座谈，了解信息系统是否存在问题、系统的稳定性和可操作性，进一步加以完善。

（四）培养合格的内部控制人才

内部控制制度只有在称职和合格的人员监督执行下才能产生应有的作用，才能实现医院内部控制的目标。医院进入信息化时代，对内部控制人员提出了更高、更严格的要求。信息化要求医院内部控制人员不仅要熟悉医院的整个业务运转流程，还需要内部控制人员掌握一定的财务管理和计算机专业知识，这种近乎“全才”、“通才”的人才实在难得。医院应具有长远眼光，通过对一些具备医疗业务或计算机或财务管理等基础知识的员工进行多层次、多部门轮岗锻炼、培训，以便培养出合格的内部控制人才。

（五）关注信息化条件下医院内部控制的重点和难点

1.医院信息系统模块化的建设方式，使得内部控制的风险成倍增加。系统缺失部分模块，不能形成一个完整的闭环，数据间联络中断，需要人为地核对和控制。

2.信息系统上线初期，由于使用者不熟悉或开发者考虑不周，会产生各种意外情况，造成数据信息混乱，也是内部控制风险最高的一段时间。管理部门应加强数据的核对，发现和纠正新系统中可能存在的问题和漏洞，降低内部控制风险。

3.医院的挂号、收费业务具有现金流量大、发生频次高、支付方式多样（现金、社保卡、银联卡、微信、支付宝、自助机等）、收费项目复杂、收款退款频繁及原因多样等特点，并且医院招聘的收费人员素质要求不高，收费人员面临窗口服务，工作强度相对较大，各种因素使收费管理存在一定的难度，内部控制风险较高，近年来多有发生医院收费人员贪污挪用公款现象。在考量方便病人及一线医护员工工作的情况下，设计合理的收退费内部控制制度和流程，加大人工核查力度，保证医院现金安全。

4.坚持某些行之有效的传统内部控制方法。通过信息系统的运用，传统内部控制方法中有的可以通过信息系统得以实现或加强，如不相容职务分离、授权控制、预算控制、会计控制等方法。有些传统的内部控制方法如人工账表核对、不定期的现金盘查、财产定期盘点、内部控制审计等，对发现信息系统内控措施是否真实有效起着至关重要的作用，需得到进一步的强化和落实。

参考文献

[1]卫生部规划财务司.卫生系统内部审计操作指南[M].北京：人民卫生出版社，2012：70.

[2]王秀娟.基于信息化环境的医院内部控制系统分析[J].北方经济，2013，6（下）：91-96.

[3]袁勋.医院信息化下会计内部控制的问题与对策[J].中国误诊学杂志，2011，11（31）：7667-7668.

[4]胡荣. 信息化环境下医院内部控制体系优化研究[J].会计师，2016（1）：50-51.

[5]许卫明.信息化管理条件下加强医院财务内部控制的思考[J].中国管理信息化，2016（1）：26-27.

[6]陈艳.信息化背景下医院内部控制研究[J].中国管理信息化，2016，19（24）：36.

[7]王艳.网络环境下会计信息系统的内部控制[J].财务与会计，2015（3）：57-59.

（责任编辑 胡增芳）

Abstract： Informationization can help enhance the detailed management and internal control effect in hospitals， but it also brings impact and challenge to the internal control of hospitals under traditional management mode， which results in the increase in internal control risks. Therefore， the authors think that hospitals should adopt the concept of internal control， establish a business process complying with informationization， improve development and test of information system， cultivate qualified internal control talents， pay more attention to the emphases as well as difficulties in hospitals internal control， so as to lower the risks in internal control and safeguard hospitals property.

Key Words： hospital； informationization； internal control； risk