基于信息化时代医院内部控制探析.docVIP

基于信息化时代医院内部控制探析 　　中图分类号：R19 文献标识：A 文章编号：1009-4202（2014）02-000-01 　　摘 要 本文主要从探索信息化后医院内部控制的新变化，并分析我国医院应如何在内部控制方面做出改变以降低信息化时代运营与管理带来的风险。同时提出了完善医院信息化内部控制的措施和对策。 　　关键词 信息化时代 医院内部控制 变化 措施 　　所谓医院内部控制，是指医院为了实现控制目标，通过制定制度、实施措施和执行程序，对医疗业务及经济活动的风险进行防范和管控的过程。随着医疗体制改革的不断深化以及医保的全民覆盖，医疗信息系统的运用已成为公立医院正常营运的基本条件。 　　一、医院信息化后内部控制的新变化 　　（一）岗位分离和授权的方式、执行与手工系统存在差异 　　不相容岗位分离控制、授权审批控制是最常见的、基础的内部控制。在手工处理环境下，不同岗位的人员各司其职，对于一项经济业务各环节处理都要经过两个或两个以上具有相应权限人员的签章，职能的分割与人员的分工便形成了行之有效的内部组织控制。医院信息系统使用后，对不相容岗位分离的控制主要通过信息化程序以及适当的授权来实现。但另一方面，利用特殊的授权文件或口令，对一项经济业务可用不同的身份或权限获得某种权利或运行特定程序进行业务处理，人员与职能的分工控制功能明显减弱。这就存在如何识别合法操作员及其操作权限问题，因为都是计算机来负责识别和控制，靠岗位分离是无法实现的。 　　（二）内部控制的实现方式发生了较大变化 　　信息化管理条件下，内控理念、控制程序、控制措施等要素通过信息化的手段固化到信息系统，实现内部控制与信息化工作同步开展，互相促进。数据收集、加工、处理由繁琐的手工处理转为计算机高度自动化处理；数据存储介质由纸质数据文件向电脑大型数据库、程序文件磁介质转变等等。内部控制手段由原来的手工控制转为手工控制和程序化控制相结合；控制的重点由业务部门向信息系统部门转移，由手工控制方式向以计算机为主的人机相互监控转移。 　　（三）内部控制的范围扩大，控制难度增加 　　计算机软硬件的维护、信息网络数据安全管理、计算机操作人员素质控制等问题是信息化工作开展以前不必涉及的内控范围。医院信息系统使用后，为实现内部控制目标，内部控制制度的范围和控制程序较之手工处理模式更加广泛，更加复杂。内部控制的内容也有所增加，包含了传统手工处理模式没有的内容，如网络系统安全的控制、系统开发过程的控制、数据编码的控制、使用人员系统权限的控制、数据调用和修改程序的控制等。同时信息化环境下，通过软件系统处理数据并储存在计算机磁性媒介上，未经授权的人员有可能通过计算机网络监测数据文件，甚至复制、伪造、销毁医院重要数据而不留痕迹。而使用者往往处于被动的位置，不仅难以发现问题，更是难于解决问题。这给内部控制带来一定的困难。 　　二、完善内部控制的措施及建议 　　（一）加强医院信息化系统的组织控制 　　在医院信息系统使用后，医院应根据实际情况全面系统地分析，梳理业务流程中所涉及的不相容职务，合理设置岗位并实施相应的分离措施，对原手工模式下不适应的部门及岗位进行调整，明确相关部门和岗位的职责、权限，形成各司其职、各负其责、相互制约的工作机制。确保软件开发与系统操作、系统操作与维护以及档案保管等不相容职务相分离，使涉及会计系统内部控制、信息系统开发、使用及管理中的有关人员正确、有效地履行自己的职责。同时，对信息系统中相关业务的操作和处理建立严格的授权控制制度，设置专门的授权模块，防止未经授权的机构或个人操作软件。有效地限制和及时发现错误和舞弊行为。 　　（二）加强医院信息化系统的管理控制 　　管理控制主要是针对信息系统涉及的各个部门和人员所建立的内部控制制度。主要内容是：1.各种人员的岗位责任制度，包括各岗位的职责范围及其考核办法。2.建立用户操作管理、上机守则、操作规程及上机记录制度。3.建立计算机网络安全管理制度，包括安全保密、授权口令密码的使用和管理办法、数据备份、计算机病毒防范、外来软件的限制安装、违规处理等管理制度。4.建立计算机软、硬件维护管理制度及系统应急预案。5.建立完备的设备管理制度。6.制定信息化档案管理制度等。7.制定内部审计或纪检监察制度。8.根据情况变化，适时修订各项内部控制制度。 　　（三）完善医院内部控制的信息系统建设 　　根据财政部颁布的《内部会计控制规范》和卫生部制定的《医疗机构财务会计内部控制规定（试行）》的要求，在应用信息系统的单位，结合单位（医院）本身的特点，实施电子信息化控制。 　　通过信息化手段来推进内部控制建设，有两个明显优势： 　　1.将医院内部控制的基本要求固化在信息系统之内，实现对各项业务活动的自动、实时控制，降低人为