【论文摘要】：本文作者以加强医院内部控制为背景，结合“新时代内部审计的创新发展”要求，针对加强医院防范经济风险的管理目标，通过分析内部审计在医院内部控制信息化管理中的现状，提出加强内部审计在构建医院内部控制信息化管理中的作用的意义和方法，对提高内部审计质量，促进医院内部控制信息化建设，防范医院运营管理风险具有重要意义。

　　【关键词】：信息化审计 内部控制信息化 内部控制审查与评价

　　2018年1月12日，审计署审计长会议审议通过了《审计署关于内部审计工作的规定》，对加强内部审计工作、建立健全内部审计制度、提升内部审计工作质量、充分发挥内部审计作用提供了纲领性的指导。该规定适用于国家机关、事业单位、社会团体等单位的内部审计机构或者履行内部审计职责的内设机构。该规定为医院制定机构和人员管理制度，设立内部审计职责权限和程序，加强审计结果运用以及对内部审计工作的指导、监督，责任追究等方面提供了制度支撑。以创新的理念将医院内部审计与内部控制信息化并相开展，以信息化助力实现对医院内部控制的再控制，对提高内部审计质量，促进医院内部控制信息化建设，防范医院管理风险具有重要意义。

　　一、医院内部控制信息化对内部审计的意义

　　(一)内部控制信息化的意义

　　内部控制信息化是将内控理念、内控流程、控制方法等要素，通过信息化的手段固化到信息系统中，从而实现内部控制体系的系统化与常态化。信息化为单位创造了信息，交互与共享的平台，实现内控信息的程序化和标准化，提高了信息沟通的效率，并减少了信息传递过程中人为因素的影响，提高了信息沟通的效果，完善的信息系统控制，有利于提高单位内部控制的效率和效果。

　　(二)内部审计与内部控制信息化审计

　　建立健全有效的内部控制是医院健康发展的保障，对内部控制信息化进行审计根本目标是为了保证医院内部控制目标的实现。内部控制信息化审计包括对系统的信息化审计和对医院内部控制的审查和评价两方面。

　　系统信息化审计是内部审计机构和内部审计人员通过实施信息系统审计工作，审查和评价组织实现信息技术管理目标的情况。医院内部审计基于评价意见提出管理建议，其目的是保证组织信息系统的安全、可靠、有效和高效，并且协助组织信息技术管理人员有效地履行职责，合理使用组织资源实现组织目标。

　　内部控制审查与评价是通过健全和完善医院的内部控制以及督促医院内部控制的有效执行，以促进医院改善内部控制及加强风险管理，是确认、评价医院内部控制有效性、分析内部控制缺陷形成原因、提出改进内部控制建议的过程，是内部控制的再控制。

　　二、医院内部控制信息化的现状和问题。

　　(一)医院内部控制信息化建设的现状和作用

　　随着国家医药改革的不断深入，信息化技术已经普遍运用在公立医院的日常经营活动中。医院信息系统HIS的整体部署、医院财务管理系统金蝶EAS的全面实施，以及检验信息管理系统、感染管理信息系统、麻醉临床信息系统、生殖技术管理信息系统、实验室信息系统、急诊医疗信息系统、病例质控信息系统、移动护理信息系统的应用都是医院采用信息化管理技术的重要体现，其内控理念体现在系统权限设置和功能、流程设置的各个方面，具体作用如下。

　　1、通过设置经济活动业务流程，减少人为因素对管理制度执行的影响

　　信息系统自动记录和关注业务流程的运行状态，并将不相容岗位相互分离控制和内部授权审批控制嵌入到信息系统中，使业务流程和管理制度实现自动流转和主动提示，自动实现了内部控制对各项经济业务的约束。任何违背内部控制规定的行为都能够得到系统限制。

　　2、提高风险管理的针对性和内部控制的有效性

　　信息化提高了信息传输的准确性，降低了日常工作的出错概率，使管理人员有更多的精力面对重要的突发性事件。

　　3、信息化提高了信息的时效性

　　信息系统能够及时生成日常管理所需的相关信息，通过网络传输数据，管理人员可以在各自权限范围内通过可视化界面得到有关信息并完成事务审批。如：《医院预算合同管理信息系统》有关预算执行各类指标数据的传输以及待执行事务的实时处理;《医院办公管理系统》中可以动态掌握管理职责范围内的各种安排、各项事务的流转审批、文件文档的实时传输，便于管理人员实时掌控全面信息，做出及时、准确的处理和科学、合理的决策。

　　(二)医院内部控制信息化的主要问题

　　1、对内部控制信息化中信息系统的功能期待过高

　　认为通过系统授权能够解决所有内部控制问题是对内部控制信息化的一个错误认识。信息系统的流程控制基于传统的手工控制，大量人工控制固化在信息系统中。过于依赖信息系统，坚信信息系统的程序化控制不会出错，减少了必要的复核程序则会降低对系统运行的必要控制。如：通过资产信息系统对固定资产计提折旧时，因为疏漏了资产类型选项而影响了部分固定资产的折旧计提。

　　2、完全绕过信息系统控制，实行线上一套、线下一套

　　实际应用中对某些业务的控制存在线上、线下不一致的现象，使得信息系统中的控制与实际操作控制不一致。比如无计划、超预算采购医疗用品。实际工作中以临床急需为由的无计划超预算采购事项，因为无法通过信息系统完成，采取了线下审批的形式。

　　3、系统之间相互独立，与实施一体化内部控制还存在差距

　　目前公立医院实施的系统之间大多没有有效的数据接口，有些医院虽然实施了企业资源计划(ERP)系统，将医院的供应链系统、临床信息支持系统、人力资源系统、财务系统等主要系统进行了关联和整合，但是作为医院目标计划和战略实施管理主线的预算管理系统却没有与整个ERP系统进行整合。从而失去了预算作为医院内部控制的重要管理手段的关键作用。

　　三、内部审计在医院内部控制信息化建设中面临的主要问题

　　(一)内部审计与内部控制信息化发展不匹配

　　1、医院内部控制信息化开展较少、重视不够

　　随着信息技术及网络化的迅猛发展，计算机技术的广泛应用，如今医院管理很大程度上依赖管理信息系统，但对信息系统与内部控制管理的结合方面考虑较少，因此成熟的内部控制信息系统并不多见。同时，受到传统观念以及审计的特殊性的限制，过于强调对原始凭证的查验，尚未对信息化的审计给予足够的重视。导致医院内部控制信息化审计开展较少。

　　2、软件技术受限、审计人员信息化水平不高

　　医院管理信息系统下的授权和执行可以由计算机程序自动完成，使得授权过程不明显，控制的时效往往在损失发生后才被察觉，这就需要一套完整有效的审计软件相配套，形成了“医院信息化发展迅速与审计软件开发相对滞后”之间的矛盾;信息技术的发展和管理软件的升级要求内审人员必须能在ERP环境下独立开展内部控制审计业务，而审计人员普遍没有接受过系统开发应用的培训，形成了形成了“对人员信息化水平的提高的要求与审计人员信息技术知识的缺乏”之间的矛盾。以上两组矛盾造成了医院内部审计与医院信息化发展不匹配。

　　(二)自身的审计风险阻碍了内部控制信息化审计的发展

　　1、主观上对信息化审计风险认识不足

　　主观上往往被信息系统采集数据更加便捷的假象所迷惑，而忽略了数据采集的风险。在信息化环境下的医院管理活动中，具体的账务处理都已被软件所代替，而在软件中可能无法看到计算机汇总数据所依据的各项明细数据或原始凭证。对原始数据采集的困难大大增加了审计的风险，由于缺乏实践，审计人员主观上尚未认识到其中的风险。

　　2、客观上实际审计过程中的风险无法规避

　　审计人员对计算机知识的缺乏以及不安全的数据采集方式，可能造成企业财务机密的泄露。一旦单位计算机运行处在缺乏控制的状态，审计人员从计算机系统所获得的审计证据的可靠性就难以保证。

　　3、信息系统的环境可能存在安全问题

　　医院要实现内部控制的信息化可能需要更多借助外力，包括行政事业单位内部控制专业咨询机构、行政事业单位内部控制应用软件开发商、高校专门研究行政事业单位内部控制的教授、研究人员等来共同完成。诸多机构的参与客观上加大了医院关键数据泄露的风险，如果医院没有适当的信息系统安全策略，将是内部控制的薄弱的环节，使医院面临较大的风险。

　　四、医院内部审计在构建内部控制信息化管理中的作用

　　目前医院信息化系统正逐步由单一系统扩展到多系统，共享数据信息的一体化模式，旨在建立较为完善的内部控制体系，提高医院综合管理的水平。根据2014年国家出台的《行政事业单位内部控制规范》，公立医院的内部审计如何在信息化的大环境下，对医院内部控制信息化进行适时的审查和评价，使医院的内部控制进一步优化和提升，是当前医院管理的一项重要工作。

　　(一)内部审计对医院信息化的审计

　　信息化审计是随着信息技术在组织经营管理领域的广泛使用和会计信息系统的快速发展而发展起来的，随着医院管理信息化以及临床专项软件的开发和广泛使用，分析基础证据的数量和比例相对减少，传统的审计方法越来越不适应。另外，由于计算机信息系统进行业务处理较手工系统进行业务处理在数据处理工具方法流程等方面都发生了很大变化，审计方法和技术也相应发生了变化。因而信息化审计也已经成为当前内部审计的一个重要发展方向和工作重点。

　　1、内部审计对医院信息系统风险的整体评估

　　内部审计在医院建立内部控制信息化时，需要对医院的信息系统风险进行评估，识别医院所面临的与信息技术相关的内外部风险，并运用适当的风险评估方法评价其发生的可能性和影响程度，以进一步确定信息化审计的目标与范围。

　　2、内部审计有助于医院提高信息系统的运行效率

　　信息系统的效率是指用最少的系统资源投入，产出最多的用户所需要的信息。信息系统的效率体现在多个方面，如：系统硬件处理能力、软件资源和数据资源的优化和利用程度、数据处理的速度、响应查询的响应时间等。信息系统的效率并不是由单个子系统效率决定的，而是与整个信息系统的效率有关。即使是某个子系统的效率特别高，但是其他子系统效率低，也会使得整个系统效率变慢。因此，在评价整个信息系统的效率时，应当确定整个系统的短板在哪里，才能够有针对性地加以改进。

　　3、内部审计有助于医院优化信息系统的有效性

　　信息系统的有效性是指系统能够实现既定目标，系统的各项业务处理过程是否符合国家有关法律、法规的要求。要评价系统的有效性，一般需要经过一段时间对系统业务及运行有所了解后再进行审查。同时还应该以业务的相关法律法规为依据，对系统的各项业务是否符合相关规定作出评价并提出改进意见。以保证系统的运行符合法律、法规以及相关监管要求。

　　4、内部审计过程中选择合适的信息化审计方法

　　依据是否对计算机系统内部的文件和程序以及处理和控制功能进行直接审查，可以将审计的基本方法分为绕过计算机审计方法和穿过计算机审计方法。前者主要适用于内部审计人员在不掌握计算机的相关知识，不了解被审计单位计算机系统的具体情况的审计。后者，即：穿过计算机审计方法，大大提高了信息系统审计的深度，扩大了审计范围。基本克服了由于审计线索的变化而导致审计困难，更适应医院会计和管理信息系统的发展和要求，也体现了审计现代化的内在要求，符合信息化审计方法选取的发展趋势。

　　(二)内部审计对医院内部控制的审查与评价

　　1、健全和完善信息系统的内部控制

　　内部审计通过对组织内部信息系统的审查与评价，合理关注医院发生的不当行为，并向管理层提出建议以协助组织管理层健全和完善信息系统的内部控制，有助于医院相关部门相关岗位加强沟通，相互配合形成联动机制，共同做好内控规范的贯彻落实。工作中运用信息化手段，按照制度价格及工作思路提高内部控制的方式和方法的有效性形成相互制约和相互监督制衡机制，提高内部控制的执行力和有效性，确保内部控制设计和运行中的主要问题和重大风险得到及时解决和有效控制。

　　2、充分的评估审计风险并对之合理规避

　　由于一体化医院管理信息系统的操作复杂性以及信息技术的专业性，加上内部审计人员对系统的了解不可能做到面面俱到，信息化审计的风险更应受到充分的重视。内部审计人员在内部控制审计整个过程中应强化风险防范意识，必要时聘请社会审计或外部专家指导以协助信息系统审计的顺利进行。

　　以财务信息系统为例，一方面评价医院的内部控制能在很大程度上确保会计电算化系统中会计记录的正确性和可靠性;另一方面，评价内部控制的有效执行能在很大程度上保护资产的完整性。通过以上两方面的评价，可以判断医院内部控制系统能在何种程度上防止或发现会计报表中的错误及运营管理过程的舞弊。

　　3、关注人工控制与程序控制相结合的内部控制审查与评价

　　信息化环境下大部分内部控制被程序化控制，目标、方法、指标被设置在系统中，但仍有一部分控制还需要手工完成。因此，在信息化环境下，医院内部控制是人工控制与程序控制的相互结合。医院进行内部控制审查和评价时，应当对总体的内部控制体系建立与执行情况进行评估，再对信息系统的内部控制体系进行评价，重点关注内部控制与信息系统的整合情况及例外事项执行情况。

　　4、加强对审计人员的内部控制信息化培训

　　在现代技术环境下内部审计人员只有能够使用信息系统并理解与之相关的风险，才能在组织内部开展信息系统审计工作。因此，内部审计人员应当能够熟练的掌握信息技术术语、概念和技能，并在实际中加以应用。同时，内部审计人员不但要了解组织信息系统的业务处理规程及其执行情况，还应该实际跟踪系统的业务流，观察数据是如何准备的、如何审批的、如何输入系统和输出系统的，这需要审计人员具备相应的计算机信息化管理知识。在对审计人员内部控制审计技能培训的同时加强审计人员电算化应用水平的培训，配合审计系统开发人员提出审计软件的需求，提高电算化审计水平。

　　(三)建立以预算为核心的一体化内部控制系统

　　基于预算为核心的财务管理一体化的信息建设，使目前医院各自体“外循环”的数据进一步整合。按照医院经济运行的精细化管理的要求，高度整合组织构建授权，及内部控制信息化构建,财务信息集中反映的全面预算管理框架，涵盖预算成本及费用等医院经济管理活动，推动程序化，标准化及透明的财务管理制度。实践政府提出的：公立医院要强化精细化管理的目标，建立医院内部决策和制约机制，重大决策、重要干部任免、重大项目实施、大额资金使用集体讨论并按规定程序执行，重点公开财务状况，绩效考核质量安全，价格和医疗费用等信息的要求，将有利于内部控制信息化体系的整体构建。

　　五、内部控制信息化审计的前景展望

　　(一)建立内部控制信息化审计与其他审计的联动机制

　　内部控制审计信息平台的建立为其他审计类型信息化建设开辟了信息渠道，提供了建设性的参考。在下一步内部信息化工作中，我们将按照其他审计类型的特点开发信息系统，统一搭建内部信息化平台。

　　(二)采用先进的审计方法——“嵌入审计程序法”

　　嵌入审计程序法，是在被审计系统的开发阶段，在被审计应用系统中嵌入能够执行某些审计测试功能的程序模块，当业务数据输入计算机系统时，应用程序对其进行编辑和处理同时嵌入的审计程序模块也对数据实施检查，如果符合既定的条件，则自动将其拷贝到审计控制文件上。同时，系统设置对异常情况和差错的检测和报告控制，在对不期望出现的异常情况和差错进行定义的基础上，在系统中设定检测控制，一旦出现未定义的异常情况和差错，系统会自动向相关的部门和人员进行报告，以方便组织及时采取纠正措施。

　　内部审计人员可以定期或不定期地将审计控制文件打印输出，对程序和数据处理情况进行检查和评价。嵌入审计程序法，可以用于成批处理系统，也可以用于实时系统作为日常监控手段，非常适用于未来内部控制信息化审计。

　　结语

　　随着医院内部控制一体化的建立，内部控制信息化审计也将作为医院内部审计的一项专项审计。无论是审查数据还是审查程序，都不是单靠内部审计部门独立完成，更应该发挥医院各职能部门的协同效应，合理选择使用先进的技术并将之很好的组合，充分发挥这些技术的作用，切实改进医院内部审计的质量与效率。