北京
(一)公立医院信息技术服务采购审计的重要性
当前,5G、互联网、物联网、人工智能、大数据等新技术广泛运用于医疗行业,公立医院信息化建设迈向新台阶。信息技术服务采购在医院采购项目中占据日益重要地位,成为医院完善内部控制的重要环节。在新形势下,强化对信息技术服务采购审计的重要性越发凸显。
(二)公立医院信息技术服务采购审计的必要性
《国家卫生健康委办公厅关于全面落实规范和加强政府采购管理三年专项行动工作的通知》和审计全覆盖的要求,都对公立医院信息技术服务采购审计提出较高要求。医院应加大对信息技术服务采购审计的监管力度,进一步规范政府采购管理专项工作,完善相关内部制度,推进医院信息化建设。
(三)公立医院信息技术服务采购审计的可行性
开展信息技术服务采购审计,要求审计人员具备内控管理、政府采购、信息技术等方面的综合知识。然而目前公立医院内部审计人员较少,且大多仅具有经管类专业背景,具备综合知识的审计人才较少,这使得信息技术服务采购内部审计较难开展,更多需要依赖于外部审计。
(四)研究的意义
近年来公立医院货物、设备类采购审计研究呈增长趋势,但专门针对信息技术服务采购审计的研究仍较少。信息技术服务采购因其无形性、难以计量、定价不确定、质量难以评估、专业性强和个性化需求高等特性,与货物、工程采购存在明显差异。本文对信息技术服务采购审计思路进行探析,为其他公立医院或行政事业单位开展信息技术服务采购审计提供思路。
(一)内涵
1.信息技术服务采购包括软件开发或改造、系统平台集成、数据处理或测试、项目监理、运行维护等。由于项目周期长、涉及的业务流程广,成为内部审计的重难点。
2.信息技术服务采购审计除了对经济活动的真实性、合法性、完整性、效益性等方面进行监督和评价外,还应包括信息系统设计规划、功能实现、信息业务的互联互通、运行维护、系统安全与流程连续性等方面的监督和评价。
(二)审计方式
运用象限分析法,对信息技术服务采购审计任务压力和内审人员专业胜任能力水平两个维度指标进行分析,审计方式可以分为全部自审式、牵头委外式、参与委外式、全部委外式这四种类型(如下图)。值得注意的是,外部审计与内部审计的职业习惯和审计关注点存在着明显差异,采用参与委外式和全部委外式的审计效果难以保证。
(一)审计的总体思路
基于公立医院的信息技术服务采购具有的特点,总体的设计思路为以风险导向的全流程、分层次审计。首先,梳理信息技术服务采购的全部业务流程,合理区分业务流程阶段,确定关键流程和控制点;其次,识别风险并排序,明确审计重点,兼顾审计效率和质量,最终达到“审计成本与审计质量”最优。
(二)识别风险并进行排序的思路
1.确定信息技术服务采购关键控制点。运用美国生产力与质量中心(简称APQC)开发的流程分类框架理论,依照科学性、可操作、可量化的原则,将信息技术服务采购整个业务流程分为五个阶段:立项规划阶段、组织采购阶段、信息化建设阶段、验收阶段、应用阶段,筛选出关键业务环节。
2.识别信息技术服务采购风险点。围绕关键业务流程环节,结合上级指导文件、审计案例、以往内外部检查报告和医院内控环境等,分析识别出公立医院信息技术服务采购在采购合规性、内控有效性、建设完整性、系统安全性等方面的易发风险点。
3.评估风险等级。运用风险矩阵分析法,建立契合信息技术服务采购特点的风险评估规则,制定科学、合理的定性和定量指标,赋予风险发生的可能性和影响程度两因素分值,综合评估风险大小并在矩阵图中展示其重要性等级。对风险进行排序,优先审计等级高的风险点,及时发现并纠正信息技术服务采购中存在的问题。
(三)审计的流程思路
审计流程分为三个阶段:审前准备阶段、审计实施阶段和审计终结阶段。
1.审前准备阶段的工作思路。审前准备阶段的工作内容主要是:了解医院组织架构、业务流程及内控管理水平,识别并评估关键控制点和风险点,设计审计方案。
2.审计实施阶段的工作思路。审计实施阶段的工作内容主要是:对内部控制进行测试,重新审查原拟订审计方案的可行性;围绕审定后的审计实施方案进行现场审计。审计组可按金额或项目类型分层抽样,对采购合规性、内控有效性、建设完整性、系统安全性等方面进行全流程审计。
内部审计人员在审计时,如其专业胜任能力不足,则可咨询行业专家的意见或聘请具有资质的中介机构协助审计。
3.审计终结阶段的工作思路。审计终结阶段的工作内容主要是:与审计对象充分沟通后出具审计报告并提出建议,并在整改结束后进行后续审计。合理的审计建议可以进一步规范医院信息技术服务采购流程、提升内控精细化管理和信息化建设水平。审计组应要求审计对象在规定的时间内按照问题清单全面自查整改,并开展后续跟踪审计。将整改不到位或效果不明显的问题反馈到下一个审计计划中,通过PDCA循环审计法实现信息技术服务采购的持续改进。
(一)构建标准化审计程序
运用流程分类框架理论,合理区分业务流程阶段,确定信息技术服务采购关键流程和控制点,识别风险点并进行风险等级排序,构建标准化审计程序。充分收集立项规划、组织采购、招标合同、建设实施、验收运用所需要的字段和数据,实现审计作业全面可控,提高审计效率和质量。
(二)优化督促整改机制
充分重视审计成果的利用,加大整改督办力度,建立分段整改督导机制。对尚未整改到位的问题重新梳理、分析原因、研究对策,列入下一次循环审计的整改事项中,确保循环审计工作良好运转,持续推动医院信息技术服务采购规范化建设。
作者:陈春宏
单位:厦门大学附属心血管病医院
文章摘自《中国内部审计》杂志2022年第4期(节选原文部分内容)
目前120000+人已关注我们,您还等什么?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
