王山江
医疗保险涉及面广,数据种类繁多、存储量巨大、结构复杂。仅从种类上看,医疗保险数据不但有参保人员基本信息数据、医院的HIS、CIS、CRM等系统数据,还有药店、药企的进销存数据和民政、公安、住房公积金等大量外部数据。这些数据是审计人员从各管理系统中获取的,它们有各类数据库的备份,也有格式不一的管理软件导出数据,因此无论是从种类、存储量和结构来看,这些数据大多无法直接使用,必须经过适当的数据整理来使其达到审计使用的要求。
一、数据的收集整理
数据整理是将收集到的原始电子数据加工成能供审计使用、满足审计需求的电子数据的过程,这项工作对于后续审计工作的开展有决定性作用。医疗保险的相关数据基本都是涉密数据,因此在收集时,必须指定专人使用专用设备来进行,同时将收集到的原始数据按不同的单位、数据类型进行分类,为了确保电子数据的真实性、完整性,应让电子数据提供者签署固定格式的审计承诺书。对存储原始数据的设备应设定一定的管理权限,进行授权访问管理。
(一)合理统筹分类数据
根据收集原始电子数据的情况,将原来的以单位、数据类型分类转换为按行业、数据功能分类。例如,在收集原始数据时,先按不同药店对数据分类,再按不同的信息系统分类即可,在数据整理时,则需先将所有药店归为一类,再将所有虽不是同一类型管理系统但都属于药店进销存的数据归为一类,这样分类,可将零散的同类数据归并,便于按审计需要分析数据、生成结构统一的药店进销存标准表。
(二)科学确定标准表结构
标准表是指可供审计人员直接使用的存储特定内容的结构化数据数据表。将原始数据转换为哪一类标准表,以及怎么样转换为标准表是这整个数据整理的关键环节。标准表应服务于审计工作,因此标准表应以审计人员普遍熟悉的数据库为基础,以内容单一明确为前提,以数据便于审计使用为重点,科学确定标准表的字段和数据类型。这里不能仅以表的结构为重,只将相关字段提取、整理出来,更加需要注意的是合理确定数据类型,使其能够满足审计人员的使用要求。例如将原始TXT格式的数据导入后,在生成标准表时需将金额、数量等文本型的字段转换为数值型的字段,这样才能在审计分析时直接对金额、数量进行数值运算,便于审计时直接使用。
(三)检查测试数据
由于医疗保险审计的数据量大,在处理数据时面对各类复杂的数据状况,往往需要较长的处理时间、耗费大量的人力。因此在形成标准表时,可选取数据小样进行试验性处理,便于快速发现和查找问题。避免一次性处理全部数据后发现难以校验和重复修正等问题。在生成标准表后,要对标准表的字段、数据类型和完整性进行严格的检验,确保数据完整、无误,才可作为正式的标准表用于工作。
二、数据的存储管理
(一)集约化管理存储数据
在大数据环境下,将零散的数据整合起来,形成规模适当的数据单元,进行集约化管理,尽量减少数据的迁移,避免对零散小数据的频繁读写,有利于对数据的高效处理。
(二)按照数据访问量合理配置存储资源
在管理存储时,可以根据数据访问量的大小,对于不同访问量的数据采取不同的存储策略。例如对于访问量高的数据,应使用SSD等高速存储设备来进行存储,而对不经常访问的数据,可以采用移动硬盘等外部存储设备来存放,从而发挥存储设备的最大效益。
(三)科学搭建数据传输平台
对于多个服务器之间的数据传输及查询需要依托网络来进行。对于同一服务器上需要同时运行不同操作系统环境下的数据库,可以采用虚拟化技术来实现。在实际管理中,可以将虚拟机看作一台物理机,两者之间的通信也可以使用网络来实现。在审计现场,一般采用交换机搭建局域网的方式来进行,对每台服务器的IP、端口和用户权限进行配置,从而形成一个即互通互联、又安全高效的网络平台。
三、数据审计管理
(一)分工科学合理
医疗保险审计的政策性非常强,因此在人员分工上首先应考虑人员对相关政策的了解程度,对于熟悉政策的同志应侧重于研究、制定计算机审计方法的工作,为整个计算机审计工作提供政策保障;对于熟悉计算机数据分析的同志应侧重于数据核对和检查工作,为计算机审计质量进行把关;对于熟悉数据库及应用软件的同志应侧重于数据筛查工作,实现具体审计手段。
(二)实施规范高效
计算机审计在具体实施时方法不尽相同,但对于审计结果应有明确的规范性要求。一般在对某审计事项进行计算机审计前,应根据审计的需要,科学制定结果表的结构,特别是对于一些关键字段,应明确字段大小及数据类型,防止结果表结构不统一、难以汇总或使用的情况发生。此外,还应对计算机审计人员编写的脚本、代码的规范性做出统一要求,例如脚本的功能模块、SOL语句等应标注详细的备注,便于日后维护和重复使用。
(三)安全效益并重
医疗保险数据大都具有保密要求,做好现场安全保密工作是必然要求。在审计实施时,坚持局域网和外部网络物理隔绝,严格U盘等外部存储入场管理、接入管理,还可根据给不同的账号设定不同的数据库访问权限,同时启用操作日志,从管理上杜绝电子数据安全事故发生。
四、審计成果管理
(一)强化审计成果验证
计算机审计的结论都是通过批量查询、筛选等运算产生的,一般情况下,使用的方法往往是可靠的,但由于相关电子数据的规范性问题,有时会产生不可预料的结果。因此必须对计算机审计的结论从数据层面上进行验证,主要是审计结果电子数据的数据量是否完整、数据表的结构是否正确,数据中有无逻辑错误等问题。在确保数据完整、无误的情况下,才可以作为正式结果使用。计算机审计的结论一般只作为审计疑点,最终的结论需以审计疑点的落实情况为准。
(二)加大审计成果利用力度
在计算机审计人员和成果使用人员分离的情况下,为了便于对审计成果的利用,要求计算机审计结论要具有良好的可读性,计算机审计人员可以制作成果表和结果说明,方便其他审计人员对计算机审计发现的疑点进行落实。在必要的时候,可采取计算机审计人员和成果使用人员联合落实疑点的办法来确保审计成果的落实。
(三)成果的收集保管
计算机审计的成果不仅体现在筛查的结果方面,还体现在计算机审计过程中所产生的各类文档、脚本、程序、数据方面,把这些成果收集起来,也是计算机审计现场管理的重要内容。可按照各审计事项,将相关的代码、数据归集起来,并根据情况编写实施过程文档,将这些电子数据打包后统一封存。便于以后在审计过程中重复使用,也为深入研究计算机审计方法提供了基础资料。endprint