医院信息化环境下计算机审计风险防范探析.docVIP

医院信息化环境下计算机审计风险防范探析 　　一、医院信息化环境下的计算机审计 （一）医院计算机审计内容 审计是通过审查评价组织内部活动合法性、规范性，促进组织目标实现的一种有效的客观监督活动。医院的内部审计工作包括财务审计、经营审计和专项审计。财务审计，是对医院财务收支、资金运转、债务状况、经营损益等经济活动进行的计量和审查，以报表的形式上交领导，供其了解公司状况和决策之用，以促进经济活动的真实性与合法性。经营审计，是对医院的经济活动等经营业务的监督与评价，负责发现经营和审计中出现的问题并及时提出解决方案，以改善经营管理，提高工作效益。专项审计，即对医院大型设备购置、药品采购等专项业务的专门审计活动，从基础保障审计工作的管理，降低医院审计风险。 （二）医院计算机审计现状 随着信息化的普及和计算机技术的广泛应用，计算机网络系统在医院的运用越来越多，HIS系统也已成为审计现代化基础设施之一而被众多医院采用。传统的手工审计遭到冲击，审计环境发生了深刻的变化。（1）审计线索的变化。审计线索贯穿于整个审计工作，具体包括收集审计数据、审核经济业务、实现审计目标，是审计人员工作开展的依据。传统的审计工作通过书面记录的方式完成。在计算机环境下，数据的生成、传递和存储等方式都发生了巨大改变，需要依靠计算机的硬件和软件设备完成读取工作，在增大数据空间、提高效率的同时也加大了数据窜改、覆盖的风险和查找的难度。（2）内控制度的变化。内控制度是审计工作的控制管理。现代审计是建立在制度基础之上，严重依赖医院内部的控制制度。计算机环境的变化，也导致了审计控制环境、程序和系统的变化，控制风险和风险水平都需要重新评估。（3）审计技术的变化。传统审计一般采用审阅、核对、分析、比较、函证、盘点和面谈、系统文档审阅等方法和技术完成会计资料的审计。而现代信息化审计则运用计算机审计方法，主要有在线连续审计技术（如嵌入审计模块）、测试法、平行模拟法等。这些变化都不断冲击着传统审计工作，使医院审计在计算机环境下的风险加大。 （三）医院计算机审计发展趋势 计算机和信息化的发展，改变了传统的审计系统和结构，不断推动着审计和医院的体制制度改革，以适应时代的需要，与时俱进；同时，审计制度的改变也要求医院管理体制的变革，使其与计算机环境下的审计工作相适应。这种改变使医院审计愈来愈朝着信息化、科学化和现代化的方向发展，计算机的深入运用和科学管理模式成为医院工作的发展趋势。网络的普及也使各医院之间联系加强，一些医院也逐渐由单一实体向集团化经营方向发展。 二、医院计算机审计风险 （一）计算机审计风险的含义 审计风险，是指在审计活动中，因未能发现会计等工作中存在的问题发表了不准确的意见，使审计主体蒙受损失的可能性；计算机审计风险，是指在计算机运用普及的环境下，医院审计工作引进计算机管理而增加的计算机运用与管理风险，以及由此带来的审计主体的损失。目前，计算机审计风险主要是：审计对象的变化，审计意识却相对落后，审计手段和审计人员无法适应信息化需求，影响了计算机审计工作质量和效率；审计数据的存储与管理，现阶段大部分医院建立了HIS（Hospital Information System）管理系统，集中以前分散到各个部门的数据，然后由计算机进行统一控制和管理，原始数据的存储方式也由手工记录转变为电脑存储，档案管理形式由纸质改为磁介质，而审计人员计算机运用水平不高和计算机存在的数据窜改、遗漏、覆盖等问题都增加了审计风险；HIS软件在不断更新，使审计工作变化较大，难以有效实现数据管理的统一，存在以偏概全的风险，等等，这些都是计算机运用后医院审计工作所存在的风险。 （二）固有环境风险 固有环境风险是指传统手工审计中，会计电算化系统、计算机硬件等本身存在的漏洞及其所处的环境引起的风险，包括客观因素和主观因素风险。客观因素风险，即计算机的硬件和软件风险。计算机运用后，医院的数据主要存储在计算机硬件磁性材料上，材料的材质以及温度、湿度、灰尘、电压、震动等外部条件的影响，使其遭到损坏，导致审计数据的窜改、丢失等；HIS系统软件本身程序设计的漏洞以及更新换代速度较快，医院审计工作变动大，稳定性降低。主观因素风险，包括审计人员的计算机运用水平较低和系统控制人员出现的工作纰漏，造成数据记录和输出错误；某些不法分子进行黑客、病毒入侵而造成的数据丢失；HIS信息系统的建立与联合、医院数据库管理的系统化，使审计工作自身及其与其他部门的连接性和开放性增强，而造成的危害也更大，存在的风险更高。对于审计环境的固有风险，审计只能评估大小而无法控制。 （三）控制风险 计算机的运用使医院管理实现了信息化，但制度基础发生了改变，内部控制也发生了变化。医院计算机审计控制风险，是指信息系统本