淺議醫院信息化中的內部控制問題

　　【摘要】本文在分析醫院信息化建設中內部控制存在的問題及內部控制新變化的基礎上，提出了完善醫院信息化內部控制的措施與對策，與同行共勉。
　　
　　在知識經濟時代，醫院信息化在醫院的經營管理中發揮著重要的作用。但隨著醫院管理信息系統的廣泛采用，原有的內部控制已無法適應醫院管理的要求，迫切需要進行改進和完善。
　　
　　一、醫院信息系統使用后內部控制存在的問題
　　
　　內部控制是指單位為了提高經營管理效率、保證信息質量真實可靠、保護資產安全完整、促進法律法規有效遵循和發展戰略得以實現等，而由單位管理層及其員工共同實施的一個權責明確、制衡有力、動態改進的管理過程。搞好醫院內部控制制度建設對于規范單位內部管理，有效防范經營風險，保護單位財產安全和完整，實現醫院國有資產保值、增值等具有十分重要的作用。但在醫院信息化逐步普及的今天，一部分醫療機構、特別是一些基層的醫療機構在開展信息化工作的同時，不注重加強內部控制建設和完善，在內部控制中存在一些問題，主要表現在：
　　（一）醫院信息系統的開發設計缺乏專業人員參與，在內部控制上是先天不足，沒有很好地解決好內部控制問題
　　主要表現在：醫院信息系統中崗位分工控制雖有體現，但還不夠合理明確，實踐中可操作性不強；電算化系統應用程序中數據有效性檢驗控制不力，系統在特定方面發生錯誤或違規行為的可能性加大。
　　（二）醫院信息化軟件使用后與財務會計工作相關的各崗位職責、分工、權限與手工處理未發生相應變化，經濟業務缺乏有效牽制
　　主要表現在：醫院信息化后手工會計的記賬、對賬、月末（年末）結賬、發票管理、收入支出統計、成本計算等大量工作已由電子計算機自動完成，數據處理的集中性使傳統的組織控制功能減弱，部分業務流程變化較大，牽制缺乏有效性。
　　（三）醫院信息化軟件使用后管理人員數據安全意識淡薄，操作口令管理不嚴，容易泄密或被人竊取，帶來巨大安全隱患，造成部分內控制度失效
　　主要表現在：
　　1.一部分單位雖然設置有不同的業務分工，卻往往是一個操作員身兼數職，可以以不同的身份進入系統進行不同的操作，這樣，不相容職務分離控制就名存實亡。
　　2.未經授權的計算機專業人員可以利用計算機技術和網絡技術輕易地瀏覽各種數據文件，造成重要機密數據被泄漏，授權控制失控。
　　3.檔案管理人員缺乏安全意識，檔案管理的內部控制未能有效落實，重要的檔案數據泄漏、丟失的事件時有發生等。
　　（四）人員素質不高，實際操作能力難以適應信息化環境下對內部控制的要求
　　由于醫院信息化涉及政策、法規較多，需要多專業、多層次、多學科人員參與，操89a9d13cdc3aaa465b0c7274721d00dd30d48413c22a8d29e21c48f7d19e46a8作人員雖然經過計算機等級培訓，計算機管理人員也經過專業培訓，但缺乏內控方面的學習研究，實施管理過程與實際要求水平還有較大差距，未能適應內部控制的要求。
　　（五）內部控制制度執行不力，流于形式
　　內部控制制度重在執行，部分醫療機構僅僅出于應付上級檢查，有章不循，形式主義嚴重；部分醫療機構內部控制制度制定得較為健全，但由于單位負責人重視程度不夠，或者執行人員業務素質所限，造成內部控制制度執行不力。
　　
　　二、醫院信息化后內部控制的新變化
　　
　　醫院信息系統使用后，給內部控制帶來一些新的變化，主要表現在：
　　
　　（一）授權的方式、執行與手工系統存在差異
　　授權、批準控制是一種常見的、基礎的內部控制，在手工處理環境下，不同崗位的人員各司其職，對于一項經濟業務各環節處理都要經過具有相應權限人員的簽章，職能的分割與人員的分工便形成了行之有效的內部組織控制。但醫院信息系統使用后，操作人員可利用特殊的授權文件或口令，對一項經濟業務可用不同的身份或權限獲得某種權利或運行特定程序進行業務處理，人員與職能的分工控制功能明顯減弱。
　　（二）內部控制的實現方式發生了較大變化。主要表現在：數據收集、加工、處理由繁瑣的手工處理轉為計算機高度自動化處理；內部控制手段由原來的手工控制轉為手工控制和程序化控制相結合；控制的重點由原來的人員控制轉為由人員控制與計算機軟件控制相結合；數據存儲介質由紙質數據文件向電腦大型數據庫、程序文件磁介質轉變等等。
　　（三）內部控制的范圍擴大，控制內容增加
　　計算機軟硬件的維護、信息網絡數據安全管理、計算機操作人員素質控制等問題是信息化工作開展以前不必涉及的內控范圍。醫院信息系統使用后，為實現內部控制目標，內部控制制度的范圍和控制程序較之手工處理模式更加廣泛，更加復雜。內部控制的內容也有所增加，包含了傳統手工處理模式沒有的內容，如網絡系統安全的控制、系統開發過程的控制、數據編碼的控制、使用人員系統權限的控制、數據調用和修改程序的控制等。
　　
　　三、完善內部控制的措施及建議
　　
　　在研究內部控制變化的基礎上，如何進一步完善內部控制制度，筆者認為應加強以下幾個方面：
　　
　　（一）加強醫院信息化系統的組織控制
　　在醫院信息系統使用后，醫院應根據實際情況合理設置崗位，對原手工模式下不適應的部門及崗位進行調整，明確相關部門和崗位的職責、權限，在保證原有會計系統內部控制的基礎上，確保軟件開發與系統操作、系統操作與維護以及檔案保管等不相容職務相分離，使涉及會計系統內部控制、信息系統開發、使用及管理中的有關人員正確、有效地履行自己的職責，并能有效地限制和及時發現錯誤和舞弊行為。
　　
　　（二）加強醫院信息化系統的管理控制
　　管理控制主要是針對信息系統涉及的各個部門和人員所建立的內部控制制度。主要內容是：
　　1.各種人員的崗位責任制度，包括各崗位的職責范圍及其考核辦法。
　　2.建立用戶操作管理、上機守則、操作規程及上機記錄制度。
　　3.建立計算機網絡安全管理制度，包括安全保密、授權口令密碼的使用和管理辦法、數據備份、計算機病毒防范、外來軟件的限制安裝、違規處理等管理制度。
　　4.建立計算機軟、硬件維護管理制度及系統應急預案。
　　5.建立完備的設備管理制度。
　　6.制定信息化檔案管理制度等。
　　
　　（三）加強人員素質控制
　　再好的制度也要由人來執行，加強人員業務素質控制是實行內部控制的關鍵。一是加強各崗人員的思想品德修養，樹立正確的人生觀、價值觀，提高各崗人員的政治、業務素質。培養各崗人員熱愛本職工作，刻苦鉆研業務，不斷更新觀念、更新知識，把自己培養成既精通業務，又熟悉政策的一專多能人才，增強發現問題和解決問題的能力。二是提高各崗人員的業務水平，系統管理員要不斷提高維護水平及應急處理能力，操作人員要具備扎實的基礎知識和熟練的專業技能，加強對計算機操作的熟練程度，適應醫院發展需要。
　　
　　（四）醫院信息化后的內部控制制度的執行檢查及完善
　　1.加強醫院信息化的內部審計或紀檢監察工作，加強對內部控制制度執行情況的監督檢查，確保內部控制制度的有效執行。
　　2.加強對內部控制制度的分析和評價，圍繞內部控制制度的健全性、合理性、有效性，針對內控中不科學、不合理的控制措施，不充分、不必要的控制程序，找出運行中存在的漏洞及缺陷，提出相應的改進及補救措施。
　　3.根據情況變化，適時修訂各項內部控制制度。內部控制制度和內部控制環境也不是一成不變的，內部控制度的設計、制定應隨著醫院經營管理戰略、方針、理念等內部環境的變化和國家法律法規、制度政策等外部環境的改變而進行相應的修訂和完善。
　　總之，醫院信息化是時代發展的方向，通過查找內部控制中存在的問題，深入分析信息化軟件使用給醫院內部控制帶來的新變化，博采眾長，密切聯系實際，不斷健全、完善醫院內部控制制度，才能有效地控制和防范經營風險，確保醫院經營戰略目標的實現。