浅谈信息系统审计对加强卫生系统内部控制信息化建设的监督促进作用——以L市卫生健康委经责审计为例

来源: 柳州市审计局  |   发布日期: 2022-06-24 17:40    |  作者: 周典

    摘 要:大数据时代,一步步推动了部门管理信息化的发展。随着信息化发展步伐的加快,为了加强内部控制以及能够更加快速、高效的办公,越来越离不开信息系统的使用。

早期信息系统单机使用,涉及面窄,信息数据之间难以形成串联,这使得数据的运用大打折扣。特别是主管部门在对下级部门进行统一管理的时候,需要掌握各部门数据,没有统一的标准,搜集起来耗时耗力。这些都对内部控制信息化管理提出了新的要求。

各部门在进行内部控制的信息化建设时,在考虑“统一规划、集中监管、信息共享、互通互联”的基础下,兼顾信息系统的安全。那么在整个推进过程中,是否在大方向下能够实现建设目标,实现运用目标,达成绩效目的,信息系统审计可对其产生外部监督促进作用。

本文以L市卫生健康委员会主任经济责任审计为例,介绍了信息系统审计对加强卫生系统内部控制信息化建设的监督促进作用。总结了相关经验,为以后信息系统审计提供部分参考。

关键词:信息系统审计、内部控制、监督促进


一、 信息系统审计及意义

信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。[1]

审计机关开展信息系统审计工作,对依法属于审计监督对象的部门和单位信息系统的安全性、可靠性和经济性进行监督检查,揭示信息系统规划、建设和运行管理中存在的突出问题和重大风险隐患,提出审计意见建议,推动完善相关制度,促进提高资金使用绩效,保障信息系统安全、可靠和高效运行。


二、 信息系统审计的主要内容和重点

(一)信息系统建设管理情况

1.信息系统基本情况审计

查阅信息系统立项、批复、系统说明书等文件资料,了解被审计单位信息系统总体情况,关注信息系统整合共享情况,检查是否存在重复建设、信息孤岛等问题; 查阅信息系统建设合同,关注系统开发实施情况,检查是否存在功能目标未实现、进度管理不到位等问题;关注数据资源建设情况,检查是否存在数据质量低、数据中心布局不合理等问题。

2.信息系统建设情况审计

查阅系统建设预算文件、建设合同、项目招投标等资料,了解被审计单位信息系统建设资金使用情况、系统建设及设备采购招投标情况,关注项目立项采购情况,检查是否存在资金来源不合理、招投标程序不合规等问题;关注资金使用的真实合法效益情况,检查是否存在截留挪用、损失浪费等问题;检查是否存在数据和资产处置不当等问题。

3.正版软件使用情况审计

查阅单位预算批复文件、计算机软硬件台账,了解被审计单位信息系统正版软件采购情况,关注计算机设备采购年度预算中是否有配套的软件采购预算;关注从电脑的存量数和正版软件采购数是否相符,有无存在正版软件采购数量少于电脑硬件数量。

4.信息系统系统国产化情况审计

查阅单位信息系统系统说明书等文件资料,了解被审计单位信息系统设计、开发、运维及软硬件配置情况,关注是否国外企业设计开发、软硬件采用国外品牌情况,关注系统国产化比例情况。(报表中反映,交换意见时说明,不上结果报告)

5.信息系统管理基本情况审计

审阅系统使用手册、项目建设资料、维护记录,详细了解信息系统的系统架构和运行维护情况,关注是否按信息系统安全管理制度执行管理和维护,是否制定了紧急预案并按规定开展演练。

(二)信息系统应用绩效情况

查阅系统建设有关文档、建设资金使用情况以及利用系统开展工作后各项业务收入等情况,关注信息系统实际使用效果,检查是否存在重建设轻应用、资源利用率低等问题;关注信息系统的作用发挥情况,检查是否存在系统与业务“两张皮”、支撑能力不足等问题。

(三)网络和信息安全情况

1.信息安全管理控制审计

查阅系统有关文档记录,关注信息系统运行与维护情况,检查是否存在更新升级不及时、岗位权限管理不到位等问题;关注服务外包情况,检查是否存在对数据和系统的管理控制能力弱、外包服务商资质不合规等问题。查阅单位有关信息建设安全管理制度,关注网络安全制度建设情况,检查是否存在制度不完善、职责不明确等问题。

2.信息系统等级保护情况审计

查阅单位信息系统有关安全等级保护定级申请、备案等文档,关注信息系统安全等级保护制度执行情况,检查是否存在未按规定进行系统定级、备案、测评和整改等问题。

3.信息系统安全防护情况审计

查阅信息系统建设有关安全防护技术有关资料以及现场检查,检查是否存在防护措施不到位(信息安全软硬件配置情况)、应急处置不及时等问题;关注数据安全管理情况,检查是否按保密规定指定保密制度并按照保密制度执行,必要时可利用保密检查工具对计算机设备开展涉密检查,检查是否存在数据泄露隐患等问题。

三、信息系统审计的思路和重点事项

四、以L市卫生健康委经济责任审计为例

(一)信息系统审计流程

根据信息系统审计的主要内容、思路和重点事项,在开展对L市卫生健康委员会(下称“卫生健康委”)主任经济责任审计时,将信息系统审计内容列入审计方案。

根据上级部门对审计机关信息系统审计中的要求,先将《信息系统基本情况表》由审计组交被审计单位填报。同时审计组根据被审计单位实际情况调谐《审计项目信息表》和《信息系统审计情况表》,初步掌握L市卫生健康委现有人口健康信息平台、“两票制”电子追溯和监管平台、预算及费用网报信息系统、区域卫生财务资源监审平台建设项目应用系统等信息系统的基本情况,对照被审计单位填报《信息系统基本情况表》,对信息系统存在问题的事项进行了深入的调查。

(二)审计监督发现存在的问题

作为L市各大公立医院的主管部门,为实现省区提出的稳步推进全区各级各类公立医院现代医院管理制度建设目标,L市卫生健康委进行了区域卫生财务资源监审平台建设项目应用系统建设,以期实现促进对L市医疗机构进行有效的运营管理,促进医院提升运营管理理念,对主管单位指导医院加强运营、效率、效益管理起到积极作用,为医疗资源的合理调配和调控提供重要依据,为监管人员提供统计分析和决策支持等目标,最终实现对L市公立医院进行全面的内部控制统筹,为医院的管理提供更好的指导意见等。

L市卫生健康委于201X年9月获得监审平台建设批复,投资概算8XX万元。项目于次年1月15日开工建设,建设内容主要为应用体系和应用支撑系统建设。按照合同约定,应用体系建设应22个月完成,应用支撑系统建设应16个月完成。截至202X年末,L市卫生健康委已支付88%的项目款,应用体系建设已完成,应用支撑系统受医院端口建设影响,现有数据不足以满足应用需求,截至开工27个月的时点,应用支撑系统尚未通过验收,L市卫生健康委未能全面实现利用监审平台对公立医院的综合经济运营进行监管的项目预期。

(三)深入分析产生问题的主要原因

通过查阅系统设计方案、信息系统审计调查表,了解系统建设目的及所承载业务,检查信息系统数据量存储量、登录日志、操作日志;对比检查系统存储数据量和实际业务发生量情况;检查系统登录日志、操作日志记录周期、频次判断是否建而不用或系统使用率低,结合向系统使用部门和岗位操作人员调查询问实际使用情况等方式得出结论并延伸调查具体原因。

由于L市医院信息管理系统建设资金均靠自筹,各医院的运营情况、发展进度和管理现状差异大,医院一直存在重医疗轻管理的现象,医院的预算管理、成本核算工作和固定资产管理等工作一直与医院财务制度和国家关于建设现代医院管理制度的要求存在很大差距。院端的医疗业务系统建设进度也远远快于管理系统建设这样一个不平衡的现状。因此存在由于院端实施进度不一致导致平台部分模块数据未能实现公立医院全覆盖,导致该平台的使用效益未能全面实现。L市卫生健康委也未能督促相关医院采取相应措施加快医院端口建设,以推动卫生财务资源监审平台尽快发挥效益。

(四)信息系统审计对此的监督促进作用

审计组根据实际情况,督促L市卫生健康委应对当前困难和问题,采取有效措施加快推进平台医院端口建设,有效发挥该平台L在市医疗机构运营、效率、效益管理等方面的作用。

L市卫生健康委根据审计建议,制定了相关处理方案,通过帮助筹集相关资金、开项目促进会等方式,推动各相关方面信息系统的加快建设。以更好的实现对L市医疗机构的统筹管理。


五、结语

做好信息系统建设有助于我们在部门工作中更好的提升工作效率,有效运用信息系统实行内部控制,实现管理者运用信息资源的最大化。实行信息系统审计,帮助相关部门发现问题、解决问题,对促进现代信息化建设具有重要意义。


参考文献:[1]360百科,《信息系统审计》。