吴雪晖，任 馨

（1.四川大学华西第二医院，成都 610041；2.四川大学华西医院，成都 610041）

1 问题背景

医院的内部控制建设是一项长期的系统工程。医院不同业务领域所处的内控建设阶段和建设周期可能由于本身业务的复杂程度、业务部门的管理水平、信息化建设进度等因素而有所差异，而处在不同信息化发展阶段的内部控制管理也具有不同的特点。本文以新时期医院HRP 建设为背景，研究分析HRP 环境下医院内控管理的风险特征以及医院内控管理现状与存在的问题，并从强化风险评估、项目管理、配套制度建设及信息化辅助审计等角度提出HRP 环境下医院内控审计工作开展思路，帮助医院加强内控审计监督，完善信息化过程中的风险防控机制。

2 HRP 环境下医院内控管理现状与存在的问题

2.1 跨部门系统业务流程脱节

在医院HRP 系统建设过程中，涉及较多的管理模式改变或流程再造工作，但往往在系统功能设计和需求提出环节缺少基于业务链全流程、全周期的风险评估。一方面，职能部门往往仅从自身管理职责范围和业务环节出发提出系统功能需求，忽视了上下游的业务衔接、部门间的管理配合和系统间的数据稽核，从而容易形成信息孤岛、管理流程脱节或系统间数据差异。另一方面，跨部门业务流程往往存在部门间权限职责不清晰或缺少明确归口管理部门的问题，从而可能导致拟定相关系统流程及功能需求存在内控设计缺陷，例如：未对系统中申请与审批、审批与执行、执行与监控等不相容岗位进行分离，导致自编自审、伪造执行记录等风险，造成系统流程中相关内控措施失效；系统中预算信息与合同、资产数据库信息未联动，不能及时跟踪预算项目的具体执行进度，导致合同执行、验收付款节点与年度预算计划脱节；财务收支数据与HRP 系统收支数据存在差异，耗材出库信息与HRP 中医嘱信息口径不匹配，影响耗材存货管理和医疗项目成本测算等。

2.2 项目管理风险识别不到位

HRP 系统建设项目具有建设周期长、涉及部门多、数据结构复杂、项目投资大等特点。但医院在HRP 系统建设过程中往往关注业务层面的风险，项目执行过程中本身的项目管理风险往往被忽视。缺少相应的风险梳理和识别，可能导致系统安全与项目管理层面的内控缺陷，如：在数据安全管理层面，针对防病毒、防网络渗透、防统方、容灾备份、物理隔离等系统安全保障工作措施和工作方案不完善；在项目管理层面，信息建设规划、信息项目立项、系统需求确认、系统权限变更、系统功能变更、系统更新未按要求进行专业审查和院内审批，导致信息项目管理混乱；在合同管理层面，项目合同功能需求不明确，进度要求条款不完备，未明确验收交付条件等可能导致后期与信息系统厂商发生纠纷，增加医院的成本，影响项目建设进度；在业务衔接层面，线上线下业务流程未能够有效衔接，存在线上线下重复审批、数据差异、流程冲突等情况，存在系统统计数据之外的数据来源等，导致系统不能实现预期的内控目标或管理效率低下的问题出现。

2.3 系统配套管理制度缺失

HRP 系统的建设过程也是医院内控信息化的过程，但在此过程中，业务部门的管理思维往往只是将原有线下流程转为线上审批、线上处理，而忽视了HRP系统配套日常管理机制和制度的建设。特别对同时涉及线上与线下的流程或跨部门业务，若缺少系统配套的管理制度和流程图，可能会导致系统线上流程与现存制度文件脱节、线上线下管理要求冲突、系统业务的管理权限不明确等问题，如：未制定数据稽核和对账机制，可能导致系统间差异不能及时发现和调整，影响数据口径的一致性；未按照现有内控管理要求在系统分配合适的系统权限，导致系统权限与岗位不符、不同人员账号混用；系统管理日志、机房进出、系统更新记录未安排专人管理监督，系统BUG、异常数据、系统间差异数据没有及时处理和维护，从而导致系统数据安全和数据准确性、完整性存在问题。以上问题均可能造成系统相关业务管理脱节、管理混乱等情况发生，为医院带来信息安全风险、合规性风险和舞弊风险。

2.4 内控审计方法技术滞后

传统的医院内控评价技术更多采取的是查阅文档、检查记录、现场观察、访谈等方式进行事后的以线下方式为主的内控评价。但在HRP 环境下，多数业务流程环节已实现信息化，并以运行数据、电子签批及其他内控执行的系统记录替代原有手工统计记录和线下表格、台账等纸质记录；与此同时，HRP 环境下信息系统间的数据钩稽关系和后台权限管理会更加复杂，加大内控审计事后评价和取证难度。

在这种信息化环境下，首先，如果医院审计部门在系统设计期没有提前在系统中嵌入相关审计取证、数据统计功能需求，则可能造成后续内控评价时数据信息受限，缺少查询权限账号，而依赖信息部门或业务部门提供数据、截图，从而带来了伪造、修改系统数据记录的审计风险，同时也降低了审计工作效率，增加了在信息数据收集过程中的沟通成本；其次，如果审计部门在HRP 后期再介入进行系统运行的内控评价，则可能并不清楚系统中的权限设置情况及系统数据对应的逻辑和口径，不容易从系统数据和运行结果中发现异常问题，从而影响内控评价的效果；最后，面对HRP 中海量的数据和跨部门业务流程，如果缺少相应的信息化辅助手段，在进行系统抽样或系统测试时，仍依赖手工计算统计而不能利用系统进行自动的差异分析或数据提取，会大幅增加审计人员的工作量，降低审计效率。

3 HRP 环境下的医院内控审计思路

3.1 强化系统设计阶段的风险评估

基于上述HRP 环境下的医院内控风险特征，内控审计需要改变以往事后介入的工作模式，在HRP 系统建设前期的功能需求提出阶段就介入开展内控审计工作，协助相关业务部科室做好系统设计阶段的风险评估。具体而言，一是可在以前年度风险评估及外部审计问题的基础上，由医院审计部门协助业务部门梳理系统相关业务流程中关键风险、重点事项和重点环节；二是针对已识别的风险点，由内控牵头部门组织相关归口管理职能部门绘制HRP 系统相关的跨部门业务流程图及风险控制矩阵，明确跨部门业务流程中的业务衔接方式和数据接口；三是由具体操作部门基于识别的风险点，选择相应的风险防控措施，如采取自动化控制、数据预警或角色权限限定等方式提前嵌入系统业务流程，从而形成具体的业务流程管理要求或系统功能需求。

通过以上方式，让内控审计提前介入医院系统业务的内控设计过程，将HRP 建设的初期需求确定与风险评估相结合，从源头推进医院针对已识别的风险点建立健全内控措施制度，一定程度上避免了在跨部门HRP 业务流程设计中由于业务部门对自身风险识别不到位或风险防控措施选择不当产生的内控设计缺陷。与此同时，医院审计部门也可基于事前了解的不同事项的风险等级合理安排后续的系统数据查询接口或审计取证方式，有利于后期信息化审计的开展。

3.2 完善项目执行过程风险管理

针对HRP 系统建设过程中信息风险管控要求，内控审计人员在内控评价和日常内控审计监督过程中，应进一步参照《公立医院内部控制管理办法》 及 《第3205 号内部审计实务指南——信息系统审计》 相关要求，关注HRP 项目执行全周期过程相关制度机制的合理性和有效性：在系统建设阶段，应对项目规划、项目立项、项目采购、项目实施等HRP 项目建设管理全过程中相关院内审批、专业论证等过程资料的完整性、合规性进行审核；在系统上线阶段，应关注项目验收、项目上线过程中相关测试验收记录的完备性，必要时可参与相关业务模块功能的测试，及时发现系统设计缺陷，检查系统业务流程与前期设计的一致性；在系统运行阶段，应对数据提取管理、权限管理、系统运维管理、系统变更管理等方面的日常制度设计和执行情况进行评价；在内部审计力量不足的情况下，对涉及专业性较强的信息安全评估事项，可委托第三方专业机构开展数据安全或信息安全审计、防渗透测试，检查系统整体信息风险防控措施的有效性，及时修补系统防控漏洞。

3.3 审查系统配套流程制度的有效性

为避免HRP 在项目推进过程中系统相关业务管理脱节、管理混乱等情况的发生，内控审计人员需关注系统配套流程制度的有效性，保障相关系统管理配套制度与HRP 系统实际运行流程的有效衔接，并符合医院内控管理要求。

具体而言，一是内控审计人员需收集整理系统配套流程制度和系统设计文档，并审查数据安全管理、权限管理、数据稽核机制等系统配套流程制度是否涵盖了前期梳理的风险点、是否与系统实际流程一致，确保现有的系统实际功能满足医院相关风险管理需求。二是应关注在实际系统运行过程中，系统相关业务流程是否按照上述制度文件要求有效执行，相关执行是否留有真实准确的执行记录，如：采取系统抽样或进行穿行测试、系统试错等方式，检查系统内部实际岗位权限是否分离，授权审核、预算控制、数据稽核、权限分离等内控措施是否有效执行。三是严格区分不同性质的内控缺陷，针对性地提出审计整改意见：对于系统设计层面因素导致的数据差错、记录缺失等问题，应告知信息管理部门对系统功能和系统流程进行完善，及时修复系统BUG、调整系统数据、完善后台记录；对于系统设计之外若存在因人为因素产生的越权审批、伪造记录、未执行检查程序等风险，则应进一步通过延伸审计、扩大抽样范围等方式，检查整个业务流程内控设计的有效性以及与内控管控目标的一致性，从而及时向业务部门提出制度修订和系统优化建议，防范相关的合规性风险及舞弊风险。

3.4 加强信息化辅助审计

在内控审计关注信息化审计同时，也要注重审计方法、技术的信息化，也即是通过信息化辅助提高内控审计工作效率，改进完善现有审计技术和审计方法。具体而言，一是在系统建设初期就需要在系统中预设相应的审计取证、取数、穿行测试功能以及审计查询权限角色，并根据需要集成相应的分析报表或预警功能，便于后期利用系统功能进行远程审计、风险评估和内控运行评价。二是利用信息化手段进行内控、风险知识的内部共享，利用系统定制的分析报表加强内控审计结果分析利用效率，如通过建立医院风险数据库、内控评价数据库、审计问题数据库、制度流程数据库等方式实现医院领导层、内控建设部门与审计部门等内控建设决策、执行、监督多方的信息共享，将内控审计及风险评估形成的风险矩阵、风险地图、内控评价的相关成果以数字化、显性化的方式进行展现，帮助医院领导层和业务部门更好地了解和认知医院目前的风险业务分布情况和待整改内控缺陷问题。三是将内控审计项目管理流程进行信息化，如将审计方案编制、审计通知书下发、审计底稿编制、审计报告审签、审计问题整改等统一模板格式及时限要求，并纳入审计系统管理，从而加强审计项目质量管理、进度管理和档案管理。

4 研究结论

通过本文的分析可以看出，医院内控审计需要结合HRP 环境下不同内控建设阶段的风险特征和存在的问题，进一步转变内控审计关注的风险点和工作方式，从而适应HRP 环境下的医院内控管理需要。本文在梳理相关风险及管理现状的同时，从强化风险评估、项目管理、配套制度建设及信息化辅助审计等方面提出了内控审计工作开展的新思路，将原有聚焦事后、被动、封闭的内控审计模式转变为聚焦全过程、主动、开放、信息化的内控审计模式，从而充分发掘现有审计资源潜力和专业优势，提升内控审计的质量和效率，帮助医院加强HRP 环境下的内控审计监督，完善信息化过程中的风险防控机制。