医院信息化环境下计算机审计风险分类与防范由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“环境风险分级方法”。
医院信息化环境下 计算机审计风险分类与防范
张 鹏
摘要:在医院信息化的环境下如何规避计算机审计风险,是每个审计人所关注的课题。本文通过将医院计算机审计风险分类,提出切实可行的防范措施,使审计人员更好的运用计算机技术,提高审计效率,规避审计风险。
关键词:审计、医院、信息化、风险
随着计算机和数据库技术的广泛应用,医院信息系统(以下简称:HIS系统)已成为现代化医院的基础设施之一。几乎所有的医院业务核算都实现了HIS系统管理。审计对象发生重大变化,审计对象的信息化使得计算机审计成为必然,审计机关改变传统审计技术和方法的同时面临着计算机辅助审计下的新的审计风险。总结审计工作中产生风险的原因、找出相应对策,在以后的医院审计工作中有效规避风险、提高审计质量,是审计人员必须思考的问题之一。
一、医院计算机审计风险分类(一)医院计算机审计固有环境风险 固有环境风险是指会计电算化系统本身所处的环境引起的风险,它是从计算机信息系统的角度分析的,也是被审计单位的信息系统本身固有的,审计只能评估风险的大小,而无法控制固有环境风险,它包括软件环境风险和硬件环境风险。影响计算机审计的固有风险因素除传统审计的固有风险影响因素外还包括:(1)医院会计资料存储在计算机硬件磁性材料上,由于温度、湿度、灰尘、电压、震动造成的故障、损坏,导致审计资料改变、丢失,稳定性、安全性和保密性较差;(2)HIS系统软件本身程序设计的漏洞以及系统管理人员的技术水平达不到管理系统所必需的水平,导致的数据处理和应用错误;(3)计算机病毒的侵害,造成数据丢失。HIS信息系统的联机和数据库管理系统化,使信息系统不再是封闭的系统,病毒、黑客的入侵随时可以威胁信息系统的安全。
(二)医院计算机审计控制风险
医院计算机审计控制风险是指信息系统的内部控制不严密造成的风险。它属于审计的控制风险。实现信息化管理后,内部控制主要表现为人对人的监督、人对计算机系统的监督,而且以对HIS系统的控制为主。影响计算机审计的控制风险因素除传统审计的控制风险影响因素外还存在信息系统数据被篡改的可能。以上这些因素导致审计人员面临的环境比以往任何时候都复杂。由于审计资料的改变,在电算化系统中可人为篡改数据而不留痕迹。在HIS信息系统中,审计人员检查的数据资料,如会计凭证、收费项目、收费金额、收费数量及汇总报表大都存储在磁性介质上,且这部分信息既容易被更改、隐匿,也容易被转移、销毁或伪造。如果HIS系统被人为篡改或嵌入一些非法的程序,则计算机只会按设定程序以错误的方法处理所有业务,这样很难判定数据的正确与真实性。传统审计追踪审查已不适用,审计入手点更多的是靠自己的判断和经验。
(三)医院计算机审计检查风险
医院计算机审计检查风险是指是某审计员未能查出有关违规违纪问题可能性的风险。一是审计操作程序不规范。在审计实务中,审计人员没有严格遵循审计准则开展审计工作。譬如,审计进点以前没有对被审计单位包括内部控制制度、所处经营环境、经营状况、业务活动的性质与管理水平等基本情况做充分调查了解;没有利用分析性复核等方法对经营中存在的风险做出初步估计;没有按照审计项目计划的要求和了解到的基本情况制定可行周密的审计方案;搜集的审计证据与审计目的缺乏充分性、相关性和可靠性,并且对一些异常事项没有引起足够重视;编制的审计工作底稿格式不规范,内容不完整,记录、数据勾稽关系不清晰,结论不明确,复核工作不严密等。致使撰写的审计报告不能客观反映被审计医院的财务状况和经营成果,从而埋下了审计风险的隐患。二是审计技术方法落后造成的审计风险。医院HIS系统的数据库多为大型数据库如oracle等,这对审计人员的数据库操作技术要求较高。如果审计人员不提高自己的审计技术,仍然按照传统的审计实务操作,面对大量繁杂的会计记录,采取逐一审查凭证和账簿的方法,不仅费时费力,而且难免有所疏漏。在审计资源相对紧张的情况下,深入调查取证的过程还涉及到审计成本昂贵的问题。另一方面,在目前信息化的背景之下,信息数据通过电子介质存储,舞弊行为更为隐秘,若审计人员坚持使用对传统手工记账的查询方法,势必影响审计效率,留下风险隐患。三是审计人员的素质参差不齐造成的审计风险。审计人员不具备相应的专业知识和业务技能,在分析判断等方面出现误差,造成审计结论与事实不符。审计人员缺乏应有的敬业精神和职业道德,或由于认知上的偏见,在审计过程中不能客观公正处理和评判审计事项、或滥用职权、徇私舞弊、玩忽职守,不能如实反映或汇报问题。
二、医院计算机审计风险的防范措施(一)规范医院计算机审计程序
根据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》等一些相关的法律法规,进一步完善医院计算机审计程序,从立法上规范内部审计工作程序。审计机关和审计人员在医院计算机审计实务中必须做到确保审计实施方案所定的审计步骤、审计内容实施到位,针对被审计单位的信息系统特点编制合理的、可行的审计实施方案。规范审计工作底稿的编制,要求审计人员在工作底稿上反映其专业判断的过程和工作轨迹,也就是说既要像一般审计一样记录清楚审计事项同时要详细记录医院计算机审计涉及的相关查询语句。建立指导、检查与监督制度,及时确定计算机审计工作中出现的新情况、新问题;建立分级复核制度,由审计组长或具有较高技能的审计人员对计算机审计工作底稿进行严密的层层复核。各内部审计机构和审计人员要在审计实践中积极贯彻落实,坚持依法审计,规范审计程序,时刻保持对审计风险必要的警惕性。
(二)重视审前调查的作用
审前调查,获取必要和充分的信息,保证审计数据的完整性审计实施前,应在对被审计医院进行传统调查的基础上,掌握了解HIS系统在被审计单位内的应用总体情况。然后,根据审计目标和重要性水平确定深入调查的子系统,进行全面、详细的了解。内容应包括软硬件系统、应用系统的开发情况、信息系统涉及的业务流程、有关技术文档、系统管理员的配置和系统的功能、数据库等情况。根据审前调查的内容制定切实可行的审计实施方案,提出可行的、能满足审计需要的数据采集对象及采集方法。为保证数据的准确与完整,一是获取数据时必须由被审计单位财务人员和系统管理员现场提供,并尽可能由被审计单位系统管理员操作备份导出数据,防止因审计人员不慎造成的被审计单位信息系统受损。因为被审计医院数据通常涉及被审计医院、患者的秘密或个人隐私,所以审计人员要注意保密,需用专用设备存储,专用计算机恢复、分析数据。二是检查这些数据是否有与之相配套的纸质凭证、账册和报表。同时,针对电子资料比纸质资料更容易篡改,并且难以发现篡改痕迹的实际,为降低计算机审计风险,必须建立被审计医院对所提供的电子数据的真实性、完整性负责的承诺制。
(三)完善审计软件的开发
开发和使用针对医院的专门审计软件可规范审计程序,完善审计方法。由于审计软件可按固定程序检查审计事项,可按统一方法查询被审计医院的数据库文件,故有助于审计人员对整个数据文件或选定的数据项目进行复核,有效地执行大量数据的验算、筛选、分类及汇总等工作,并能按审计人员指定的标准查找记录。在数据采集方面,特别需要专门从事数据采集的软件,以便更易访问被审计单位不同介质、不同编码、不同数据库类型的数据库,从中采集审计所需的原始数据,解决各种软件系统互不兼容的问题。在数据分析方面,面向特定的领域,开发新的更贴近审计工作实际应用的分析工具。最终将采集、整理、分析、汇总、备份等功能整理在一个软件系统中,达到完善软件的目的。所以审计软件的应用,一方面改进了审计的方法,提高了审计的效率,另一方面也有效地控制和降低了审计风险。
(四)提高审计人员素质
提高审计人员运用计算机开展医院计算机审计工作能力,增强防范计算机审计风险的意识。在被审计医院业务管理信息化的条件下,随着审计方法的改变、内部控制的改变、审计内容的改变和审计技术的改变,决定了对审计人员审计能力要求的提高。为了在信息化条件下能更好的实现医院审计监督的职能,审计人员不仅要有会计、医疗、审计理论和实务方面的知识,而且要掌握计算机数据库和电算会计方面的知识和技能,对审计人员提出了更高的要求。因此,加强审计人员应用计算机能力的培训,是解决的计算机审计风险的重要任务。优秀的审计人员必须具备良好的职业道德素质和较强的专业胜任能力,必须是综合性、复合型人才,除了具备基本的专业背景以外,还要有宏观分析能力,以及坚持不懈的后续教育。各部门、各单位、各审计协会组织应经常性地对审计人员进行职业后续教育,重视审计人员业务知识的学习和更新,不断提高审计人员综合素质,以适应审计工作发展的需要,减少人为的审计风险。
随着技术的发展,计算机、数据库和网络得到广泛应用,计算机审计工作将面临着越来越大的挑战和风险,必须通过制订完善的计算机审计标准和程序、运用先进的计算机审计技术,以及建立—支高素质的审计队伍,最大限度地防范和降低审计风险。
参考文献: 〔1〕陈哲.吉林省经济管理干部学院学报.试论我国计算机辅助审计所面临的问题及对策,2003(6)〔2〕许华.时代经贸.医院审计风险及防范对策探析,2008(6)
〔3〕管勇,杨少梅,尚涛.卫生经济研究.计算机环境下医院审计面临的挑战与对策,2005(7)〔4〕郭宗文,张红卫.计算机审计.北京:清华大学出 版社,2005(4)〔5〕盛学红.学术纵横.规避审计风险提高审计质量,2009(5)
