随着医疗改革的深化，如何提高公立医院
服务水平以满足不断增长的民众就医需求被重
视起来。通过增强医院运营管理，使医院的各
项工作（医疗，医技，科研及后勤等）有效结合，
以此提高医院的运行效率和质量。越来越多的
公立医院引入信息化技术来增强医院管理，提
高运作的效率。利用信息技术搭建的医疗信息
平台，以快速的更新和升级，有效的为医院管理
的各个方面提供支持，例如HIS(Hospital Informa⁃
tion System，医院信息系统)已经成为了医院各
项数据的集成平台，主要为医院门诊，住院流程
提供再造，通过对医院及病患的数据进行高速
处理，提高医院运行效率；另外，搭建在HIS系统
上与其接口的各种辅助信息平台，例如财务收
支管理、住院门诊收费、人事管理、医务管理、物
流管理以及科研管理平台等，也为医院的各项
管理活动提供信息化支撑。医院利用有效的信
息系统资源，整合就医流程，快速获取并处理各
部门数据，从而为完善医院管理提供基础。
信息系统在发挥高效率，帮助医院提高经
营管理水平的同时也带来许多新的思考和挑
战。由于计算机技术自身快速更新和升级，对
医院管理提出了更高的要求。内部审计作为医
院管理的核心部门之一，往往需要对信息系统
平台的有效性进行评价和分析，这无疑成为内
部审计人员的一项新的挑战。因此，以现代风
险导向审计为理论基础，如何有效的识别，评估
和纠正由于信息系统造成的风险，成为了内部
审计人员新的工作重点。
现代医疗管理体系对医院信息系统的依赖
给内部审计带来了与传统审计工作不同的风险
关注点。首先，由于计算机软件和硬件设备的
复杂性，使信息化下的医院管理存在固有风险
（例如系统存在奔溃或服务器宕机等）；其次，人
为干预（例如篡改数据等）造成的控制风险也会
给医院带来重大的损失；同时，信息技术也改变
了传统内部审计的审计方法，审计对象和审计
线索，内部审计人员必须采用新的审计技术（例
如运用计算机审计的技术）以减少检查风险。
因此，为了将信息系统导致损失的发生概率降
至最低，在信息化医疗背景下，医院的内部审计
工作必须关注如何实施风险评估程序，将其整
合于医院整体风险评价体系中，从而寻找到最
有效的方式识别和评估信息系统风险，并制定
进一步审计程序将其控制在合理的可容忍范围
之内。
本文将以某大型三甲医院信息系统平台的
实施为案列，从执行风险评估程序开始，识别医
院信息化环境下的风险；其次，就识别出的风险
进行评估和分析；最后基于识别出的风险，进一
步思考内部审计人员应当采取何种措施，在合
理的范围和时间内有效应对风险，实现医院的
价值增值。
一、识别医疗信息系统风险
为了合理的识别医疗信息系统的风险，内
部审计人员首先应当了解医院的信息系统环
境。作为医院和医疗组织不可分割的一部分，
了解信息系统的环境不能脱离医疗组织整体环
境而单独进行分析。内部审计人员可以从以下
四个方面对医院的信息系统环境进行了解：
（一）了解信息技术在医院中的运行环境
信息技术在医院运行的本质是为了改善医
院的管理水平，为医院运行提供服务。因此，了
解信息技术的运行环境，必须要结合医院整体
环境来分析。随着医疗改革的不断深入，公立
医院多承担着繁重的医疗任务，为了保证医疗
信息化环境下公立医院的
内部审计风险及应对措施
唐菁如
11
江苏内部审计2014年第4期
内审信息化
服务的有序进行，目前我公立医院基本都搭建
了医疗管理信息平台。基于这一平台，医院可
以有效的将各项数据整合，进行管理和控制活
动。以案列医院为例，该院搭建了的医疗信息
系统平台中包括：医院信息系统（HIS）为收费，
检查，门诊及住院等活动提供服务；临床信息系
统（CIS）收集处理临床数据；此外还有LIS、
PACS、电子病历系统、叫号系统、财务系统、人事
系统、物流管理系统、电子点餐系统和科研教学
系统等等分别发挥着其各自的作用。因此，计
算机信息技术已经融入到了医院的各个主要业
务流程，不仅为病人和医生服务，更为医院管理
提供支撑。医院信息系统平台的搭建，一般都
得到院方的广泛支持。
（二）了解搭建医疗信息系统平台的应用程
序、计算机操作系统及硬件设备
通过对软件实施情况的了解，案例医院中，
医疗信息软件的使用情况相对复杂。首先，为
案例医院服务的软件品种较多，各个软件间存
在相互接口交叉读取数据的情况，有可能对数
据库的安全稳定造成影响；其次，由于各个医院
的专科项目不同，医疗就诊流程也存在着个性
化的差异，导致所使用的软件以及软件所配备
的应用程序，操作系统也存在个性化差异较高
的现状，这可能会导致医疗成本的大幅度提高；
第三，由于信息技术已经融入医院管理，医院对
信息化系统的依赖程度较高，对系统本身的安
全性要求更加严格；第四，为了满足临床各科室
使用部门的实际需求，软件工程师会频繁的根
据客户需求修改系统，不利于系统的稳定。另
外，为了满足软件的运行，医院必须同时保证充
足的硬件设备，例如电脑终端，大型服务器，保
障设施（例如ups）及交换机等，并负责维护设备
的安全运行。此外医院还需提供可靠的操作系
统，例如主流的windows和linux系统等。
（三）了解医院对应用程序及软件的管理方式
为了有效的管理医疗信息软件和保障医疗
数据的安全，案列医院要求各个软件单位派驻
工作小组，长期为医院的软件提供外包管理服
务。院方还成立专门的信息中心进行管理，信
息中心制定了相应的信息系统管理规章制度，
并对规章制度的监督、执行和有效更新负责。
此外，为了监控软件和硬件的日常运行情况，一
些专门的预警机制也被引入医疗信息系统的管
理中。例如，网络运维管理平台的使用有效的
监控各个软件应用程序，操作系统，以及服务
器，交换机等硬件的运行状态及运行环境，在软
硬件发生异常时提早预警，帮助软件工程师及
时排查错误。
（四）了解医院信息系统实施是否有效的帮
助医院提高运营效率
案例医院医疗信息系统利用计算机技术，
为医院收集、存储、处理数据，可以满足用户的
功能需求。通过数据的整合，实现了信息的全
过程追踪和动态管理，从而为医院带来效益。
首先，数据处理的及时性节约了医院管理环节
和医疗服务环节的耗用时间。例如，药房管理
系统减少了病人的排队时间；病人叫号系统优
化了排队流程，缩短了病人等待时间；管理科室
间利用信息平台快速传递数据，提高了办事效
率。其次，科学化的信息管理流程，改善了医院
的管理质量。例如物流管理系统的运用帮助医
院从采购，验收，入库等环节强制用户执行必要
的授权审批程序，有效的控制了医疗采购中的
舞弊情况的发生。第三，医疗信息系统同样也
提高医疗质量。以电子病历系统为例，通过计
算机开出的处方和病历，有效减少了由于手写
处方和病历不规范造成的医疗事故，增强对病
人的服务。因此，信息系统的全面实施，有效的
简化患者的诊疗过程，优化就诊环境，改变排队
多、等候时间长、秩序混乱的局面，提高了医院
的医疗质量和管理质量，可以为医院带来显著
的效益
二、评估识别出的风险
基于风险导向审计为基础的审计风险由三
个部分组成[2]，即固有风险，控制风险和检查风
险。内部审计风险同样受固有风险影响，如管
理人员的品行和能力、行业所处环境、业务性质
等；同时也受控制风险的影响，即组织的内部控
制不完善或者即便存在完善的内部控制但由于
未得到有效执行而未能及时防止、发现并纠正
存在的错误事项；另外，内部审计人员在执行审
12
江苏内部审计2014年第4期
内审信息化
计程序时的不恰当行为同样会影响内部审计风
险。作为医院组织总体业务持续运作不可分割
的一部分，基于对案例医院信息系统的全面了
解，内部审计人员应当分别从固有风险，控制风
险和检查风险分别拟出以下关键风险点：
（一）固有风险
信息系统的固有风险一般来自于系统本身
的安全性。随着计算机技术的普及和在医院内
部的广泛使用，有效降低了人为舞弊情况的发
生。但是，计算机软件和硬件安全问题，信息系
统设计造成的固有缺陷给医院管理带来了风
险。首先，软硬件的安全问题，会给医院的管理
造成很大的影响。由于计算机网络本身容易感
染病毒，受到攻击，会造成网络瘫痪；软硬件、网
络程序存在不兼容性的特点，也会产生宕机的
现象；硬件存放环境不当，容易对大型硬件设备
造成损伤。在对医院信息系统高度依赖的环境
下，系统的宕机，尤其是存储或运行关键信息资
源的软硬件系统发生故障，会给医院造成重大
的损失，影响正常的医疗秩序。其次，计算机软
件设计缺陷主要由于软件工程师对医疗知识和
管理知识的缺乏。医院信息系统的开发是服务
于医疗行业和医疗管理领域的，大多计算机软
件工程师专注于系统的编写，而缺乏对医疗流
程或日常管理流程的感性认识。一套信息系统
的开发上线，往往需要根据用户的需求做反复
的修改，此过程不仅增加了医院的成本开支，也
会影响到系统运行的安全性。
（二）控制风险
组织内部的控制风险，往往来自于内部控
制设计的程度和执行的程度。对医院信息系统
的良好控制首先依赖于医院的制度规范和对外
包服务的有效利用。根据调查，随着信息系统
在公立医院的广泛使用，医院一般都设置专门
的计算机信息部门，对医院的信息系统，包括软
件程序，硬件设备和网络进行统一管理。案例
医院还在设立信息中心的同时，聘请软件开发
企业进行外包服务，即由软件公司派驻专门的
人员为医院的信息系统服务。如何平衡医院自
主管理和对外包服务的依赖，给医院的管理提
出了新的问题。由于受外包行业真实成本的不
可控性，外包人员对医院业务的不了解，主人公
意识淡薄，以及人员流动性大等因素的影响，医
院如果过分依赖外包服务，则必然对信息系统
的控制产生影响。因此审计人员在评价控制风
险时，需要对医院自主管理能力和外包服务的
深入程度进行分析。
其次，对用户授权的控制。信息系统在医
疗业务流程和管理流程内部控制的实现主要是
通过对用户权限的设置来完成。相应层级的管
理人员都具有不同的授权权限，在不同的业务
流程中发挥作用。但是任何一个系统都存在一
个超级用户，超级用户对所有的医疗信息、目录
和文件有完全的访问权，它是安装后第一个登
录到服务器上的用户，可以添加用户并设置系
统内所有用户的权限。因此，内部审计人员必
须对超级用户的实际状况进行分析，从而评价
是否存在随意篡改数据的风险。
此外，软硬件的成本是医疗信息系统建立
并进行控制活动过程中不可忽略的问题。软件
成本主要来自于人工费用和知识产权费用。但
是，软件公司在销售产品的时候，常常隐蔽其真
实的人工成本，并将知识产权费用夸大。医院
采购部门往往很难判断软件产品的采购价格是
否合理；软件市场的不规范和软件产品的个性
化差异，也给医院采购带来了困难；医院信息平
台的搭建同样还依赖于大量硬件设备，医院往
往需要采购大型服务器，交换机和UPS，这些设
备本身价格都很昂贵，为了保证硬件设备的良
好运行，医院还需要考虑良好的存放环境，利用
辅助设施，保证存放地点湿度和温度的适当；基
于软件程序，硬件设备的安全运行和有效管理
考虑，很多医院为此引入了网络运维系统等非
医疗信息系统软件，在另一个程度上增加了医
院的系统购置成本。因此，内部审计人员必须
对成本效益进行分析，在控制一味节约成本造
成的信息系统搭建不完善情形的同时，避免为
单纯追求效益导致的资源浪费。
（三）检查风险
检查风险是医院可接受的信息系统带来缺
陷的程度，它受固有风险和控制风险的影响，即
在可接受的审计风险固定的情况下，如果评价
13
江苏内部审计2014年第4期
内审信息化
出的固有风险和控制风险较高，则可接受的检
查风险低，审计人员需要采取较多的审计程序
来应对评估出的风险。在对信息系统进行审计
的过程中，内部审计人员面临着新的挑战。信
息化的普及，改变了传统审计的方法、审计对象
和审计线索[3]。传统的内部审计通过执行控制
测试和进一步审计程序，对财务报表的舞弊做
出判断；通过对医院内部控制的了解，评价内部
控制的有效性，帮助医院提高内部管理水平
等。医疗信息系统建立后，要求审计人员在掌
握医疗管理流程的同时，还需要了解医疗信息
系统中软件程序、网络和硬件设备等专业计算
机知识的，并利用信息技术进行内部审计。在
缺乏系统的计算机专业知识，以及计算机审计
规范不健全的情况下，内部审计人员未能恰当
的施行审计程序，也会为医院管理带来风险。
三、应对措施
基于风险评估程序，内部审计人员被要求
做出进一步的审计程序，采取措施应对评估出
的风险。内部审计人员在实施进一步审计程序
时，应当关注一下几点内容：
（一）将信息系统的哪些方面纳入审计的范围
在考虑成本效益的原则下，进一步审计程
序应当将资源有效的集中于风险最大的部分。
首先，内部审计人员应当评价风险的重要性。
将后果严重的部分，进行重点的关注，因此，在
对医疗信息系统进行风险评估和分析之后，内
部审计人员应该对系统中关键信息点进行重点
审计，例如对HIS系统中病人的主索引，收费明
细记录，病历记录，处方记录等执行详细的审计
程序；其次，内部审计人员应当关注特别风险事
项，即对系统中某一环节的特殊性可能给系统
整体运行造成影响的部分特别关注，例如对于
超级用户权限管理的审计；最后，内部审计人员
还要关注细微风险累计的影响，如果几个细微
风险累计产生的影响会对系统整体运行造成重
大损失，内部审计人员则需要详细的设计进一
步审计程序以应对此类风险。
（二）采用怎样的审计方式对医院信息系统
进行评估
与传统内部审计工作不同，内部审计人员
要求对系统运行的有效性进行评价，因此除了
传统的检查、观察、询问、函证、重新执行和分析
程序等进一步审计程序以外，内部审计人员还
需要对系统中关键信息的数据库语言进行分
析。同时，审计人员还需要利用审计软件进行
信息化下医院的内部审计工作。
（三）以何种频率进行审计
表一：风险等级及审计频率
在确定了审计范围和审计方法之后，内部
审计人员还应当明确，在公立医院环境下，应当
何时已何种频率进行审计。根据（表一），基于
识别出的信息技术在医院运行的风险，内部审
计人员应当将识别出的风险进行排序。通常风
险被划分为高、中、低三个等级。在被识别的高
风险等级中，信息技术风险被认定为发生概率
高且对医院的运行影响范围广，因此内部审计
人员通常应当每1-2年进行一次审计；对风险级
别和影响程度及范围均适中的风险点，每2-3年
进行一次审计；对风险级别低，不经常发生以及
影响范围和程度均不明显的部分则在每3-5年
进行一次审计。
基于以上理论，内部审计人员应针对医院
信息化背景下产生的固有风险进行评价，对控
制风险和检查风险分别采取应对措施，降低风
险的影响程度。
1.固有风险的评估
由于固有风险是医院在搭建医疗信息系统
平台时无法避免的缺陷所造成的损失，内部审
计人员无法控制此类固有风险，只能评估风险
的大小[4]。由于医院对医疗信息系统的高度依
风险
级别
高
中
低
发生
概率
风险发生的
概率较高
风险发生的
概率适中
风险发生的
概率很低
影响
范围
对医院运行的影响
范围较广程度较高
对医院运行的影响
范围适中程度适中
对医院运行的影响
范围有限程度较低
审计
频率
1-2年
2-3年
4-5年
14
江苏内部审计2014年第4期
内审信息化
赖，计算机软硬件缺陷或故障带给医院的损失
都是巨大的，例如服务器断电，感染病毒等情况
造成信息系统的瘫痪，会导致系统前台使用用
户无法操作，门诊和住院等关键业务流程[5]受到
干扰，严重的则会影响到医院的日常操作。因
此内部审计人员虽然不能控制计算机软硬件故
障的发生，但是通过评估固有风险的大小，协助
相关科室建立应急方案，一旦发现了由于信息
系统故障造成的问题，立即采用人工应急预案，
有效的减少损失，保证医疗服务的质量。
2.控制风险的应对
加强对医院信息化环境中内部控制的管
理。健全有效的内部控制可以有效的减少内部
审计风险。内部审计人员可以通过观察，询问，
检查等传统审计手段对内部控制进行审查并得
出关键控制点，通过对案例医院的分析，可以从
以下几个方面对控制风险进行应对：
（1）医院对外包服务建立有效管理体制。
根据调查和实践证明，合理适当的外包，可以减
少医院管理成本，节约人力资源。但是过多的
将医院的信息系统管理建立的外包服务的基础
上，同样也会给医院带来风险。如果关键的管
理点均依赖于外包服务，那么就会造成权责不
清的情况发生。因此，医院内部加强对信息系
统的管理，建立完善的管理制度，培养医院内部
计算机管理人才，平衡外包服务和自身管理的
程度，对外包工作进行有效的监督和管理是减
少控制风险的关键。内部审计人员应当帮助医
院评价计算机中心管理制度是否存在缺陷，并
提出相关建议。
（2）对滥用超级用户功能的控制。信息系
统作为医院管理的重要辅助工具之一，通过对
用户权限的设置，帮助医院达到有效的内部控
制。但由于超级用户的存在，人为从后台篡改
数据给医院的内部控制造成的隐患，例如，医生
可以从后台修改已开出的处方和病历，不利于
医院对已开具病历和处方的管理，极易造成医
疗纠纷；财务人员也可能恶意的对系统中已录
入的财务数据进行修改，或隐藏一部分财务数
据，造成医院财务管理的风险。超级用户是系
统的总管家，不能否定其存在的价值。因此，内
部审计工作中，审计人员要关注超级用户的管
理方法，严格控制其使用范围，以防人为恶意篡
改数据。
（3）加强采购环节的控制。内部审计人员
应当分析本院的所有信息系统软件是否符合医
院管理的成本效益原则，评价现有软件有无浪
费，以及由于信息技术快速更新造成的应淘汰
软件仍然在续订的情况。内部审计人员可以通
过帮助建立完善的物流采购程序，对大型软件
严格采取政府公开招标的形式，利用外部专家
进行分析。同时，加强对成本的考察，软件成本
大多来自于软件工程师的脑力劳动和知识产
权，一般很难评估，内审可以通过相同产品的询
价，比较软件给医院带来的效益，评价软件是否
应该引入等方式来达到这一目的。
3.检查风险的应对措施
（1）加强内部审计人员的计算机技术。由
于医院信息平台建立在对计算机技术的基础
上，因此必须加强内部审计人员计算机技术的
培训，要求内部审计人员对数据库技术，网络技
术和硬件的基础配置有基本的了解。
（2）利用审计软件进行内部审计。内部审
计人员不是也不可能做到对信息系统知识的全
面掌握，因此引入审计软件，做到医院内部审计
的信息化可以降低检查风险。选取适当的审计
软件，将有利于医院内审人员有效的读取财务，
工程以及其他所需的审计资料，帮助审计人员
整理，归纳及分析相应的数据；在对信息系统安
全的控制上，审计软件也可以通过对数据库日
志的分析，对发生宕机是数据库语言进行筛选；
同时，记录用户登录信息，选取关键用户信息进
行分析，检查是否存在篡改数据的情况发生。
（作者单位：南京市鼓楼医院）