《公立医院信息技术服务采购审计探究.docx》由会员分享,可在线阅读,更多相关《公立医院信息技术服务采购审计探究.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、公立医院信息技术服务采购审计探究陈春宏摘要当前,公立医院正加快推进智慧医院建设和信息标准化建 设,信息技术服务采购领域风险日益凸显。本文基于流程分类框架理 论,合理区分业务流程阶段,确定信息技术服务采购关键流程和控制 点,识别风险点并进行风险等级排序,构建标准化审计程序。关键词公立医院信息技术服务采购审计流程分类框架一、研究背景及意义(一)公立医院信息技术服务采购审计的重要性当前,5G、互联网、物联网、人工智能、大数据等新技术广泛运 用于医疗行业,公立医院信息化建设迈向新台阶。为进一步落实国 务院办公厅关于促进“互联网+医疗健康”开展的意见和国务院 办公厅关于推动公立医院高质量开展的意见,公立
2、医院加快推进智 慧医院建设和信息标准化建设的进程。信息技术服务采购在医院采购 工程中占据日益重要地位,成为医院完善内部控制的重要环节。在新 形势下,强化对信息技术服务采购审计的重要性越发凸显。(二)公立医院信息技术服务采购审计的必要性理三年专项行开工作的通知和审计全覆盖的要求,都对公立医院信 息技术服务采购审计提出较高要求。医院应加大对信息技术服务采购 审计的监管力度,进一步规范政府采购管理专项工作,完善相关内部 制度,推进医院信息化建设。(三)公立医院信息技术服务采购审计的可行性开展信息技术服务采购审计,要求审计人员具备内控管理、政府 采购、信息技术等方面的综合知识。然而目前公立医院内部审计
3、人员 较少,且大多仅具有经管类专业背景,具备综合知识的审计人才较少, 这使得信息技术服务采购内部审计较难开展,更多需要依赖于外部审 计。(四)研究的意义近年来公立医院货物、设备类采购审计研究呈增长趋势,但专门 针对信息技术服务采购审计的研究仍较少。信息技术服务采购因其无 形性、难以计量、定价不确定、质量难以评估、专业性强和个性化需 求高等特性,与货物、工程采购存在明显差异。本文对信息技术服务 采购审计思路进行探析,为其他公立医院或行政事业单位开展信息技 术服务采购审计提供思路。二.信息技术服务采购审计的内涵和方式(一)内涵1 .信息技术服务采购包括软件开发或改造、系统平台集成、数据 处理或测试
4、、工程监理、运行维护等。由于工程周期长、涉及的业务 流程广,成为内部审计的重难点。2 .信息技术服务采购审计除了对经济活动的真实性、合法性、完 整性、效益性等方面进行监督和评价外,还应包括信息系统设计规划、 功能实现、信息业务的互联互通、运行维护、系统平安与流程连续性 等方面的监督和评价。(二)审计方式运用象限分析法,对信息技术服务采购审计任务压力和内审人员专业胜任能力水平两个维度指标进行分析,审计方式可以分为四种类型(如图1所示):1 .全部自审式。当医院信息技术服务采购工程少、复杂度较低且内审人员专业胜任能力较强的情况下,可以采用全部自审式。2 .牵头委外式。这种情况适用于内审人员专业胜任
5、能力较强但信 息技术服务采购工程多、复杂度较高的情况。内部审计人员对整个审 计方案进行顶层设计,指导并监督外聘审计人员进行审计,能够有效 地利用外部审计力量,取得较好的审计效果。3 .参与委外式。当内审人员专业胜任能力缺乏且信息技街服务采 购工程少、复杂度较低时,可以聘请有经验、有资质的中介机构授权 其进行审计,内审人员通过“参与式审计”,从中学习以到达审计目 的。4 .全部委外式。当内审人员专业胜任能力缺乏且信息技术服务采 购工程大、复杂度较高时,可选择全部依托于外部审计。值得注意的是,外部审计与内部审计的职业习惯和审计关注点存 在着明显差异,采用参与委外式和全部委外式的审计效果难以保证。三
6、.审计思路(一)审计的总体思路基于公立医院的信息技术服务采购具有的特点,总体的设计思路 为以风险导向的全流程、分层次审计。首先,梳理信息技术服务采购 的全部业务流程,合理区分业务流程阶段,确定关键流程和控制点; 其次,识别风险并排序,明确审计重点,兼顾审计效率和质量,最终 到达“审计本钱与审计质量”最优。(二)识别风险并进行排序的思路1 .确定信息技术服务采购关键控制点。运用美国生产力与质量中 心(简称APQC)开发的流程分类框架理论,依照科学性、可操作、 可量化的原那么,将信息技术服务采购整个业务流程分为五个阶段:立 项规划阶段、组织采购阶段、信息化建设阶段、验收阶段、应用阶段, 筛选出19
7、个关键业务环节(如图2所示)。2 .识别信息技术服务采购风险点。围绕关键业务流程环节,结合 上级指导文件、审计案例、以往内外部检查报告和医院内控环境等, 分析识别出公立医院信息技术服务采购在采购合规性、内控有效性、 建设完整性、系统平安性等方面的易发风险点(如表1所示)。3 .评估风险等级。运用风险矩阵分析法,建立契合信息技术服务 采购特点的风险评估规那么,制定科学、合理的定性和定量指标,赋予 风险发生的可能性和影响程度两因素分值(如表2所示),综合评估 风险大小并在矩阵图中展示其重要性等级(如图3所示)。对风险进 行排序,优先审计等级高的风险点,及时发现并纠正信息技术服务采 购中存在的问题。
8、(三)审计的流程思路审计流程分为三个阶段:审前准备阶段、审计实施阶段和审计终 结阶段,信息技术服务采购的审计流程思路如图4所示。1 .审前准备阶段的工作思路。审前准备阶段的工作内容主要是: 了解医院组织架构、业务流程及内控管理水平,识别并评估关键控制 点和风险点,设计审计方案。审计组可通过获取相关制度文件、采购流程图、工程汇总明细表、年度采购预算及决算表等审前资料,梳理医院信息技术服务采购关键 业务流程和控制点,比照国家的相关规定,查看内部制度是否健全并 分析内部制度执行中是否存在风险薄弱环节;查看采购工程汇总明细 表、年度预决算报表和无形资产账表等,初步了解信息技术服务类采 购的年度预算执行
9、、采购工程数量及金额、出入库、付款进度等情况;查看采购岗位表和重点岗位轮岗记录,初步判断医院内控水平;收集 以往的内外部检查报告或政府处分决定书,关注相关问题的整改情况。 对信息技术服务采购各流程进行风险评估,分析可能存在的问题,确 定审计重点,设计审计实施方案。2 .审计实施阶段的工作思路。审计实施阶段的工作内容主要是: 对内部控制进行测试,重新审查原拟订审计方案的可行性;围绕审定 后的审计实施方案进行现场审计。审计组可按金额或工程类型分层抽 样,对采购合规性、内控有效性、建设完整性、系统平安性等方面进 行全流程审计。(1)采购合规性、内控有效性方面的审计思路。查看合同实际 金额是否超过年度
10、预决算、院长办公会或党委会决议的预算;信息技 术服务采购是否归口管理,是否实行不相容岗位相互别离制度;采购 申请表是否按规定授权审批,审批时间是否与调研时间、采购时间、 院会议纪要的时间倒置;是否执行事前绩效评估论证报告制度;符合 “三重一大”的采购事项是否按规定上会研究表决,比照合同协议、 “三重一大”决策记录与实际执行情况,查看是否存在决策与执行两 张皮的现象;限额以上的工程是否采用政府采购方式,组织采购是否 符合国家和医院的规定,招标参数联签是否按规定审批权限审批通过; 合同签定是否和采购文件中确定的事项相符,合同联签是否执行到位; 工程验收流程是否符合规定,大型的信息开发或改造工程是否
11、组织院 外验收评审会;工程验收后是否及时入库,是否按合同约定的付款条 件支付款项等。此外,还应分析排查是否有未经批准通过化整为零或 其他方式规避公开招标的工程。(2)建设完整性方面的审计思路。查看医院信息化建设中长期 规划书,分析整体设计完整与否,是否存在建设缺失或重复的情况; 了解各业务信息互联互通的情况,评价各系统接口改造服务完整与否, 业务数据能否形成闭环;查看工程验收条款是否满足规划书的要求, 关注执行进度慢、无法按期验收的工程数量,查看其采购需求研调记 录是否充分、采购文件要求描述是否完整,询问经办人超期的原因并 分析合理性;查看建成后系统的后台使用数据,关注使用率低或闲置 不用的采
12、购工程等。(3)系统平安性方面的审计思路。查看医院信息系统平安保密 及泄密责任追究的相关制度;查看密码应用、平安审查、信息系统共 享、系统报错和维修等相关记录是否完整,询问使用科室出现漏洞的 次数以及修护时间,是否存在长时间无法修复的缺陷;现场查看系统 超级管理人员的数量和权限,查阅系统授权变更的审批记录等;查看 平安防护水平是否低于等级保护的级别;物理平安是否达标,如场地 平安、设备平安、介质平安等是否到达规定要求。内部审计人员在审计时,如其专业胜任能力缺乏,那么可咨询行业 专家的意见或聘请具有资质的中介机构协助审计。3 .审计终结阶段的工作思路。审计终结阶段的工作内容主要是: 与审计对象充
13、分沟通后出具审计报告并提出建议,并在整改结束后进 行后续审计。合理的审计建议可以进一步规范医院信息技术服务采购流程、提 升内控精细化管理和信息化建设水平。审计组应要求审计对象在规定 的时间内按照问题清单全面自查整改,并开展后续跟踪审计。将整改 不到位或效果不明显的问题反应到下一个审计计划中,通过PDCA循 环审计法实现信息技术服务采购的持续改进。四、优化审计方法(一)构建标准化审计程序运用流程分类框架理论,合理区分业务流程阶段,确定信息技术 服务采购关键流程和控制点,识别风险点并进行风险等级排序,构建 标准化审计程序。充分收集立项规划、组织采购、招标合同、建设实 施、验收运用所需要的字段和数据
14、,实现审计作业全面可控,提高审 计效率和质量。(二)优化催促整改机制充分重视审计成果的利用,加大整改督办力度,建立分段整改督 导机制。对尚未整改到位的问题重新梳理、分析原因、研究对策,列 入下一次循环审计的整改事项中,确保循环审计工作良好运转,持续 推动医院信息技术服务采购规范化建设。(作者单位:厦门大学附属心血管病医院,邮政编码:361016, 电子邮箱:181407605. com)主要参考文献1董哲恒.输变电工程关键节点过程管理审计模式探索仃.中 国内部审计,2022 (8): 56-582商允伟,王运福,周超.山东审计厅揭秘“信息系统开发工程” 的采购过程J.中国政府采购,2022 (2): 48-503王璇.公立医院设备采购审计的工作思路及关键控制点探析J.中国内部审计,2022 (2): 46-48