信息系统范围管理范文

时间:2023-04-05 02:54:18

导语:如何才能写好一篇信息系统范围管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息系统范围管理

篇1

关键字:信息系统范围管理;工具及技术;范围管理重要性

中图分类号:TL372文献标识码: A

[正文]项目范围管理在项目管理中起到非常重要的作用,在管理项目的范围之前,首先应收集客户等干系人的需求,并根据需求来定义并记录产品的特征与功能。范围管理确定在项目内包括什么工作和不包括什么工作,由此界定的项目范围在项目的全生命周期内可能因种种原因而变化,项目范围管理也要管理项目范围的这种变化。项目范围的变化也叫变更。采用科学的范围管理方法、工具和技术为项目的范围管理带来了事半功倍的效果。同时也为项目的成本、时间和资源的准确估算的准确打下良好的基础。下面我从以下几方面来论述信息系统项目的范围管理。

1.编制范围管理计划

从事项目管理者都知道,做任何事情之前都应该先做好计划,好的计划,是成功实施项目的基础。在项目中,项目经理非常重视范围计划的制定,在正式做计划之前,项目经理组织项目团队,进行大量细致的工作,采取用户访谈、调查方式收集用户对项目性能和功能的需求,了解用户使用的现有信息系统的优缺点,掌握实际情况,并且查找公司组织过程资产,找出制定范围管理计划的模板,再结合以往项目的经验,制定出了一份初步的计划,然后召集项目团队成员讨论,对计划进行修改和完善,在全体成员参与下,最终完成了一份详细的、科学的范围管理计划,用于指导项目如何定义、分解以及核实和控制项目范围。

2.范围定义

在范围计划基础上,定义好项目的范围。一个成功的项目,应该做且只做成功完成项目所需的全部工作,为了保证这一点,就需要在项目前期定义一个明确的项目范围。在项目的早期阶段,项目经理带领团队,到了客户现场收集需求。在收集需求的时候,采用原型法将收集到的需求,做成模型供客户参考确认,以此消除彼此的歧义,充分挖掘用户的需求,并基于团队自身的经验以及专业水平,对客户的需求进行引导、细化,将其模糊的概念形象化,粗糙的需求具体化。基于需求文件,项目经理召集项目的主要干系人进行开会讨论,同时邀请了系统的最终用户代表对系统功能做评价,通过用户的角度,去发现和改进系统的功能,以此最终形成了完整的项目范围说明书,主要包含有项目目标范围描述、主要交付成果、产品验收标准以及主要里程碑等内容。

3. 创建工作分解结构

基于项目范围说明书,项目经理带领团队开始对项目范围进行分解,将此项目涉及的需求调研、系统设计、开发、测试等完整模块都一一列出,避免遗漏必要的组成部分,在各层次上保持项目的完整性;对于该项目中的数据库设计,将其归入系统设计单位中,在其他单元不再重复出现,避免了交叉重属;对于项目中的每个工作包,都对其进行编号,并与组织结构图和成本控制点深度结合,便于项目的日后管理。WBS的最低层的工作单元是工作包,对于项目中的工作单元,遵循8/80原则将其细化,并制定具体的负责人,同时制作WBS词典,对工作包做具体描述。根据项目的特点,采用分解结构和滚动波式计划方法,并把当前要做的工作计划的细致些,将远期的工作计划的相对粗一些。

4.范围确认

范围确认是对已完成项目范围正式确认的过程。范围确认应该贯穿项目的始终。如需求确认、设计确认、布线施工确认、安装调试确认,各阶段确认汇总后,对系统总体检验作为最终交付的确认,即验收。同时规定了项目各阶段交付文档。

及时规范的范围确认可以使项目组成员提高士气,并且管理层和客户能够最直观的了解当前项目进度。在范围管理计划中我们明确规定,对被确认的可交付物,必须有客户正式的签字确认文件,即使是客户没有通过的,也要书面记录该结果以及被拒绝的原因,以待分析检查原因。

5范围控制

范围控制就是监督项目的范围状态,管理范围基准变更的过程。因此,在本项目中,项目经理定期组织召开项目状态审查会,审查项目的范围,通过对照范围基准,找出范围偏差,并做分析,严格杜绝一切的范围漫延。如,在一次状态审查会上,项目经理发现项目的功能模块中多了文件管理的功能,查了一下系统变更日志,未有找到有类似的变更记录,于是项目经理参照责任分配矩阵,找到了这个模块开发的负责人询问原因,得知是客户在一次电话中向他提过希望在功能模块中能增加一个文件管理的功能。针对这种情况,项目经理首先向这名成员强调了范围基准、以及变更流程的重要性;其次,针对这项多出来的功能,项目经理要求相关人员提交正式的变更申请,走正常的变更控制流程。

范围控制的核心是管理变更,即影响发生变更的因素、保证所有被请求的变更按照项目整体变更控制处理,并对范围变更实际发生时进行管理。在制定范围管理计划时,已经介绍了主要的范围控制的原则。为了对范围变更进行追踪,确保已通过的范围变更请求的处理,引入了配置管理系统,将所有的通过的变更请求作为配置项管理,并委派专门的配置管理人员不定期检查配置项的状态。此外,我们在定期的项目评审会议室,还要检查当前项目中是否引入了未批准的变更。另外,针对项目绩效报告,我们也要进行分析,确定是否需要采取措施引入变更。

总之,项目的范围管理是整个项目管理过程的重要环节,它与项目的质量、成本、人力资源等管理密切相关。每管理一个项目,项目经理认识到每个项目都具有自身的特点,范围定义、估算方法、控制技术都可能不同。但是无论怎样,作为项目经理,为了防止需求蔓延,必须保证项目在范围定义内进行,因此,如何更好地把握项目范围管理,灵活运用项目管理的工具、方法、技术,还有待于我们去研究、探索、实践和总结。

参考文献:

[1] 柳纯录.信息系统项目管理师教程(第2版),清华大学出版社,2008

[2] project management institute.项目管理知识体系指南(PMBOK指南)(第5版)电子工业出版社,2013

篇2

关键词:计算机信息系统;项目管理;应用

中图分类号:G623.58 文献标识码:A

引言

信息系统集成即指以计算计信息技术为支撑,以算机网络技术为基础,以大型数据库技术为依托,将网络内各个分离的设备或计算机组织在一起,使其协同工作的全过程。信息系统集成不仅包括计算机系统的软硬件,而且还包括其他各种集成所需的设备以及赖以支撑的网络系统。比如工厂的集散控制系统就是典型的计算机信息系统集成项目。

1、计算机信息系统集成的特征

在当今各种计算机系统集成的项目中,每个系统集成项目都是千差万别的,但系统集成项目的本身,还是具有一定相同点的。

1.1、多学科合作

计算机系统集成过程必须要与其应用领域的各种学科成果充分的集成到一起,也只有这样才能更好的发挥计算机系统集成项目的集成作用,它属于一个典型的多学科合作的集成项目。以商业进销存管理软件信息系统集成项目为例,不仅要需要用到计算机方面的知识,而且还需要用到各种商业逻辑和规则,此外,会计工作的一般方法和步骤以及相关的数学方程式和计算方法等都需要有所涉及。

1.2、具有创造性

计算机系统集成项目是一项具有明显创造性的工作,不同的集成项目都由着自己的特点,即使是同一个行业的计算机系统集成项目在实施过程中都会产生很多的不同点,因此,每一个计算机系统集成项目都有自己特有的创造性工作,需要对实施过程中存在的一些特殊问题进行特殊的解决。

1.3、质量不可控因素多

和传统的生产活动相比信息系统集成工作有很大的区别,传统的生产活动经过长时间的发展探索,已经形成了自己相对固定的操作流程,但是计算机系统集成工作当前还没有形成自身固定的行业标准或操作规范,而且不同计算机系统集成项目所处的环境都有着一定的区别,所以在计算机系统集成项目的实施过程中会有很多的不可控因素。

2、项目管理与计算机的信息系统集成

2.1、项目管理

项目是为了实现特有目的开展的临时任务,每个项目均会不同程度接受时间目标、成本目标与目标范围等约束,要获取项目成功,需要考虑范围、时间与成本因素,如中国长城与埃及的金字塔等,可说是最早项目。项目管理作为系统管理与科学管理,是领导方式下实施项目经理的责任制,在管理机构方面,坚持效益的最优原则,在管理方法方面,就得需要完善技术方案,并且给予一定程度上的支持。

2.2、计算机的信息系统集成内涵

所谓计算机的信息系统集成所指的是从事计算机应用与网络的系统工程总策划、开发、设计、服务与保障等。其内容包含软件平台的转换、硬件平台的整合、软件系统的整合与功能开发等,系统集成可从软硬件两层次划分,当前计算机的硬件与网络设备已经形成了完善成熟的规范,硬件层次集成要简单一些,软件层面集成要比较的复杂。信息系统集成含有特殊性、一次性与临时性等特点,容易受人员流动、环境变化与客户需求等方面因素影响,并且系统集成还具有下列方面的特点:一是创造性强,计算机的信息系统集成要为用户提供相关的软件与硬件产品,依据客户需求,提供可靠方案,并依据客户特殊需求实施一次性创造,满足客户个性化的需求;二是综合多学科性,系统集成项目含有许多学科的综合知识,也就是需要网络、计算机硬件、数据库与软件工程等技术,并要有 ERP 系统支持,展现其专业性与技术的高综合性等特点;三是强技术性与不稳定性,系统集成项目具有很强的技术性,会受人员工作效率的影响,成员责任心、结构与能力等,均会影响项目完成质量与进度,对于集成项目,应加强团队管理与人才激励的方法。

3、信息系统集成中的项目管理问题

3.1、项目风险的管理意识欠缺,管理团队不完善

在项目管理中,常有人把不确定性和风险混为一谈,本质上看,风险与不确定性并不等同,风险和目标是相关概念,也就是说,风险是发挥作用不确定,此处的发挥作用,所指的是对一个或者多个的目标产生影响。在项目管理中,其主体为项目团队,项目团队在项目中具有重要的作用,在计算机的信息系统集成企业中,企业要实现项目管理的目标,其重要的前提条件就是具有高素质高水平的项目团队。在大部分系统集成企业中,精通软硬件的技术人才众多,不过有关项目管理人员方面的人才较为缺乏,很多项目管理人员把规划当作关注重点,却忽视了技术、市场、成本与人力等方面,信息系统集成在技术工作方面的关注更多,在协调与沟通上的精力却较少,从而致使财务及销售等信息与项目整体相脱离。

3.2、范围管理相对不完善

在计算机的系统集成中,范围贯穿在集成项目管理整个过程中,对于某具体系统集成的项目来说,项目范围明确,方能应对项目在执行中的潜在意外状况,以确保项目顺利的实施。集成项目管理基础为需求分析,对于项目管理来说是很重要的内容,集成企业应在需求调查基础上,向客户普及有关需求分析的积极意义,以便于准确把握客户要求。范围管理在信息系统的集成管理当中具有决定性作用,只有将范围管理处理恰当,下一环节工作方能有效开展,假如范围管理处理不恰当,再多努力也不能有效发挥计算机集成系统的有效作用。

4、完善信息系统集成的项目管理措施

4.1、加强项目范围的管理

在计算机的信息继承中,客户主要的业务要求可定义为信息系统集成项目的主要依据,即项目范围应该将客户项目作为业务目标,并遵守内部的价值链,并不是需要全部业务均涉及,而是应该以客户的竞争优势与管理效率作为提升目的。对项目集成企业来说,需要关注效率与效益两方面。系统集成的项目范围是指从客户内部的管理需求作为起点,提出有关框架性的结构,将其所覆盖的内容,像库存、财务与采购等方面的管理,在项目管理下不要给以细化描述,而是用粗条方式,借助调查研究以完成项目细化工作,并时刻关注和控制项目的管理范围,以确保项目时间、成本与质量等目的的实现。

4.2、完善风险管理机制

在信息系统集成企业中,经常会面临各类项目管理与实施问题,面对利益评估、投资价值与不确定因素分析等问题,对于一个系统的集成项目来说,不论规模大小,一定会给用户方带来业务经营及管理等方面改变,让系统的集成项目存在高风险的特点,加强项目实施的风险控制与管理,已成为信息系统集成项目实施的必要条件。在信息系统的集成项目中,风险管理能划分成风险识别、分析、计划、跟踪与应对等步骤,而且项目风险管理贯穿在整个项目的过程中,在项目事件开始时,风险分析也要开始,可依据风险控制和事件出现的时间来划分风险管理。可划分成事前控制与风险管理的规划、事中控制与风险管理的方法、事后控制与风险管理的报告等,为有效控制集成项目的风险,管理者也可组织专门项目风险小组,对潜在项目风险进行列表分析,尤其是会直接带来经济损失的风险。

4.3、加强项目团队管理的完善

在信息系统集成的项目中,需要有强烈的创造与创新性,集成项目的最终成果在一定程度上是项目人员智力的投入,因此人力资源优劣性会对信息系统的集成项目管理水平具有很大影响,加强高效有序项目团队构建是很必要的,在项目团队构建中,需要配备基础知识扎实、专业性强且精通管理方面经验的领导,并筛选出高责任感、素质水平高与工作热情的项目成员,以确保系统的集成质量。和其他项目相比,信息系统的集成项目更易出现意外状况,像是人员变动、需求变化与同行竞争等,系统集成项目一旦确定,就需要高素质的项目团队来进行保证。

结束语

在计算机技术的发展过程中,计算机信息系统的集成是信息技术和计算机技术发展的必然,二者的结合也符合计算机技术和信息技术的现实要求。从目前计算机信息系统集成的过程来看,为了保证计算机信息系统构建取得积极效果,应在系统集成过程中采用全面的项目管理,通过具体的项目管理方法和手段,提高系统集成的效果,满足计算机信息系统集成的现实需要。所以,要想取得项目管理在计算机信息系统集成中的应用效果,就要对项目管理在计算机信息系统集成中的应用内容和特点进行全面分析,并根据计算机信息系统集成中项目管理的各个工作阶段,认真分析工作内容和注意事项,保证项目管理的应用效果。

参考文献

[1]张宝石. 计算机信息系统集成项目管理探析[J]. 计算机光盘软件与应用,2013,01:46-47.

[2]孟祥傧. 浅析计算机信息系统集成项目管理[J]. 黑龙江科技信息,2013,07:123.

篇3

【 关键词 】 风险评估;风险分析;项目管理

Implementation of Government Information Systems Risk Assessment

Yu Ying-tao 1 Li Xin 1 Xue Jun 2

(1.North China Institute of Computing Technology Beijing 100083;

2. Solid Waste Management Center,Department of Environmental Protection Beijing 100029)

【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.

【 Keywords 】 risk assessment; risk analysis; project management

0 引言

政务信息系统关系到国计民生,因此保障电子政务系统的信息安全是我国经济与社会信息化的先决条件之一,是国家信息化建设的重要内容。如何保证政务信息系统的安全性,风险评估是一项很基础的工作。通过对政务信息系统进行风险评估,可以了解信息与网络系统目前与未来的风险所在,充分评估这些风险可能带来的威胁与影响的程度,依据系统的风险和威胁,进行针对性的防范,做到“对症下药”,可以有效解决政务信息系统的安全问题。

1 政务系统风险评估概述

1.1 风险评估的概念

政务系统的信息安全关心的是保护政务信息资产免受威胁。风险评估是有效保证信息安全的前提条件,也是建立在网络入侵防护系统、实施风险管理程序所开展的一项基础性工作。其工作原理是对系统所采用的安全策略和管理制度进行评审,发现不合理的地方,采用模拟化攻击的方式对系统可能存在的安全漏洞进行逐项检查,确定存在的安全问题与风险级别。并根据检查结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。

风险评估的目的是全面、准确地了解政务信息系统的安全现状,发现系统的安全问题及其可能的危害,为后期进一步安全防护技术的实施提供了严谨的安全理论依据,为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。

1.2 风险评估的范围

政务信息系统风险评估的内容与范围需要涵盖整个系统,包括系统安全管理的状况、网络及安全防护技术架构、通信链路、系统数据及业务系统加密情况、系统访问控制状况等。在政务信息系统的安全防护工作中,“人”是关键要素,无论系统所采用的安全技术、安全策略和安全手段多么现代化与智能化,都需要“人”去操作、运行和管理。如果信息系统的安全管理水平落后,人员素质不高,那么政务信息系统的安全性就会减弱,安全漏洞就会增加。

1.3 风险评估的原则和依据

1.3.1指导原则

由于政务信息系统风险评估涉及的内容较多,因此在进行评估时就需要本着多角度、多层面的原则,从软件到硬件,从理论到实际,从技术到管理,从设备到人员,来具体制定详细的评估计划和分析步骤,避免遗漏。在评估时一般需遵循的如下几个原则:标准性、可靠性、可控性、保密性、技术先进和成熟性、全面性、高效性、持续性。

1.3.2相关法规和政策

《中华人民共和国计算机信息系统安全保护条例》(国务院令147号);

《商用密码管理条例》(国务院令 273号);

《计算机信息系统安全保护等级划分准则》;

《计算机机房场地安全要求》(GB9361-88);

《信息安全技术-信息安全风险评估规范》( GB/T 20984—2007)。

2 政务信息风险评估工作流程

2.1 系统调查

开展政务信息系统风险评估的第一步就是进行系统调查。通过调查政务信息系统上运行的所有应用,了解系统主要业务的流程,清楚的掌握支持业务运行的硬件基础设施的结构及安全系统现状,收集风险评估所需的系统全部信息。在进行系统调查的同时,还需对系统风险评估的评估范围进行分析、界定。对系统边界进行明确定义,有助于防止不必要的工作,并对改进风险评估的质量都是很重要的。

篇4

【关键词】 医院信息系统 网络安全 入侵检测 深度包过滤

一、 引言

随着大数据、云计算和互联网技术的快速发展,医院已经购买了先进的数据库服务器、Web服务器、防火墙服务器、路由器、交换机等设备,组建了现代化的光纤网络,部署了病房管理系统、药房管理系统、远程诊断系统等多个系统,提高了医院的自动化水平[1]。但是,由于医院的医师、护士、管理人员以及患者等多为普通用户,没有经历过专业的计算机操作训练,操作互联网不规范,非常容易造成系统数据泄露,携带的病毒或木R感染医院信息系统,因此亟需构建一个网络安全管理系统,采用先进的网络安全维护技术,比如入侵检测技术、状态检测技术和深度包过滤技术等,保障医院信息系统网络正常运行。

二、医院信息系统网络安全管理现状

医院信息系统承载网络经过多年的运行,面临着许多的安全威胁,比如黑客、病毒和木马等,这些安全威胁在感染、侵袭、破坏网络的过程中呈现出了很多新的特点,比如攻击渠道多样化、感染范围扩大化、潜藏周期长期化[2]。

2.1攻击渠道多样化

目前,医院信息系统覆盖的范围越来越广泛,并且多家医院联合开展诊疗活动也成为一个新趋势,这些医院把智能手机、平板电脑、PC电脑等终端设备接入到网络。这些系统集成时采用的网络拓扑结构包括星型网络、无线网络、总线型网络等,每一个接入的环节都可能成为攻击的渠道,不同设备的开发技术、系统架构集成在一起,也容易造成系统漏洞,无形中增加了互联网攻击渠道。

2.2感染范围扩大化

随着黑客采用的技术增多,开发的病毒、木马拥有了更加强大的感染能力,如果某一个医院信息系统感染病毒或木马之后,其可以利用高速的网络带宽迅速在局域网范围内传播,感染医院局域网中的所有服务器、终端设备,感染范围呈现了扩大化和快速化特点,网络安全事故一旦爆发,将给医院信息系统带来严重的灾难,造成不可估量的损失。

2.3潜藏周期长期化

医院信息系统采用的杀毒软件和防御技术的水平越来越高,普通的病毒、木马一旦爆发将会被识别出来,被防御工具所狙杀。因此,许多黑客改变了传统的破坏模式,隐藏的周期越来越长,长期地、持续地对医院信息系统进行攻击,造成许多的机密数据被盗用。

三、医院信息系统网络安全维护

医院信息系统网络面临的安全威胁形势越来越严峻,因此需要采用先进的网络安全管理和维护技术提高防御能力,常用的网络安全管理和维护技术包括状态检测技术、入侵检测技术和深度包过滤技术,其可以积极主动地分析网络集成的设备运行情况,识别承载的应用软件存在的漏洞,也可以采集网络数据流,发现这些数据中是否存在木马或病毒,一旦发现则启动防御系统。

3.1状态检测技术

医院网络集成的软件系统越来越多,这些系统采用了不同的架构、程序设计语言和数据库,系统集成存在一些不兼容的现象,产生了安全漏洞。状态检测技术可以感知医院网络中接入的所有设备、应用软件的运行状况,根据系统运行的日志信息、网络传输数据流感知上下文信息,构建一个完善的医院网络状态扫描路径图,针对这些路径包含的内容进行实时的扫描,感知医院网络中数据状态内容,确定各个动态的监测项是否正常。

3.2入侵检测技术

医院网络入侵检测可以实时地采集、分析网络中的流量信息,发现网络中是否存在不正常的数据,从数据中发现病毒、木马和黑客攻击的特征,进而可以及时地启动防御系统。入侵检测作为一个主动防御技术,可以积极地对系统进行安全防御,避免攻击威胁利用漏洞攻击网络。

3.3深度包过滤技术

深度包过滤技术可以利用硬件技术,将黑客隐藏在数据包内的威胁识别出来,并且可以将其部署于一个专用的防火墙上,使用硬件快速地采集网络中数据流量包,然后针对包头、包内数据进行分析、识别和处理,及时地发现不正常的数据包。

四、结束语

医院信息系统网络安全管理和维护是一个长期的、系统的和动态的过程,未来需要引入更加先进的数据分析、可视化交互技术,以便提升网络安全管理性能,保证网络安全升级维护的有效性。

参 考 文 献

篇5

[关键词]信息系统;审计;

doi:10.3969/j.issn.1673 - 0194.2017.12.017

[中图分类号]F239.1 [文献标识码]A [文章编号]1673-0194(2017)12-00-02

1 信息系统审计的演进

“信息系统审计”(IS审计)是近些年我国出现的新概念。在国外,尤其是美国、日本等发达国家,信息系统审计已经发展到相当程度,但在我国信息系统审计才刚刚起步。它是与企业信息化过程紧密联系的,是审计技术与信息技术共同发展的必然产物。

20世纪中叶,计算机及其技术开始应用于企业的经营、管理。20世纪50年代,计算机第一次应用于工商企业――使用打孔卡作为数据存储和批处理。20世纪60年代,工业500强中超过50%的公司广泛使用电子数据处理操作。1975年,至少有20万台主机应用于企业,而物料需求计划(MRP)进入第二代物料资源计划(MRPⅡ)。但由于当时审计人员可用的审计软件(GAS)过多,导致组织在投资这些审计软件时不得不考虑成本效益,因此,从20世纪60年代到80年代,电子数据处理(EDP)相关(内部)审计技术应用缓慢。20世纪90年代,世界经济处在即将步入21世纪信息(技术)时代的顶点。

2 信息系统审计的业务范围及一般流程

2.1 信息系统审计的业务范围

信息系统审计的业务范围应包括与信息系统相关的所有领域,主要为:①对组织的信息系统审计,集中在对信息技g的管理控制;②技术方面的信息系统审计,包括构架、数据中心、数据通信等;③应用的信息系统审计,包括经营、财务;④开发实施信息系统审计,包括需求识别、设计、开发以及实施后阶段;⑤信息系统的合规性审计,主要指信息系统是否符合国家或国际标准的审计;⑥电子商务审计,包括网誉审计、电子签名审计业务等。

具体而言,信息系统审计的业务范围有:①信息系统开发计划、管理及组织架构的战略、政策、标准及相应实践过程的评估;②信息资源在运行环境、逻辑访问、IT基础设施等方面安全性的评估;③业务流程风险管理水平的评估;④灾难恢复及业务持续能力的评估;⑤技术基础设施及运行实践的效能以及效率的评估;⑥对于系统开发、实施与维护方法和过程的评估;⑦财务系统的评估。

2.2 信息系统审计的一般流程

信息系统审计的一般流程,与普通审计基本相同。审计过程一般可划分为准备阶段、实施阶段和终结阶段。

2.2.1 准备阶段

信息系统审计的准备阶段是整个审计程序的重要环节,这个阶段是整个审计过程的基础阶段,这个阶段的工作难点在于面对海量的数据。相关人员如果不使用风险分析方法,不关注内部控制,直接对信息系统的数据开展详查,容易导致对审计认识不足、准备工作不全面的不利局面。因此,有必要系统分析解决问题可以采取的方法、步骤,以及应注意的问题,并加以综合探讨。

2.2.2 实施阶段

审计实施阶段是根据审计准备阶段对企业的调查、审计风险的分析,确定审计内部控制测试和实质性测试的程序和范围,以此判定需要哪些数据信息,并对被审计单位及其信息系统展开审计活动的具体工作阶段。其主要任务是:按照信息系统审计方案所确定的审计内容、范围、重点和方式等要求,采用相应方法查明情况,对取得的各种证据进行鉴别、分析,判明是非和找到问题的本质,做出客观公正的评价,并酝酿处理意见和改进建议。

2.2.3 终结阶段

具体的实施工作完成后,将进入终结阶段。终结阶段的主要工作包括:①整理归纳审计资料,反映内控制度的结果,并揭示问题、明确责任、发现违法线索;②撰写审计报告,在审计报告中,应着重说明发现了哪些问题,并建议被审计单位进行改进;③与被审计信息系统管理者进行沟通;④发出审计结论和决定;⑤审计资料的归档和管理。

3 积极开展信息系统审计的重要意义

当今,信息化的发展已经达到了新的高度。许多企业开展了电子商务业务,并着手整合、升级自身的管理信息系统。信息系统作为企业现代化发展的重要标志,日益被众多企业重视,越来越多的信息系统陆续被应用于企业日常的经营、管理活动中,但也要看到信息系统规模的扩大、功能的增加也会给企业带来更大的风险。且社会对审计的要求也越来越高,需求越来越多,许多传统审计不能解决的问题,需要由信息系统审计来处理。因此,积极开展信息系统审计具有重要意义。

3.1 信息系统审计可以为利益各方提供有效的鉴证业务

被审计单位信息系统产生资料的真实性、可靠性、完整性,关乎企业本身的决策,影响着企业的生存与发展,同时这些信息对利益相关者也十分重要。但由于现实原因,信息使用者无法亲自对这些信息一一鉴别,且信息系统具有容易删除数据或篡改数据而不会留下痕迹的存储特征,导致信息系统在缺乏管理控制条件下产生的数据信息同样缺乏可信度。

由此可见,信息系统审计对信息系统内部环境安全控制,以及所产生数据的鉴证、评价作用是十分重要的,针对这些信息的真实性、完整性进行独立、客观的审计,且由此产生的公允、客观的审计报告,对合理保证资产的安全、数据的完整、系统有效实现组织目标并有效利用组织资源,乃至支撑整个信息化事业的发展,以及社会对信息化事业的信心具有举足轻重的作用。

3.2 信息系统审计可以为企业管理者以及业务人员提供及时的咨询活动

在信息系统审计过程中,信息系统审计师能够凭借自身,在构建、完善企业内部控制、信息系统管理等方面的专业知识、工作经验,根据企业的实际需要,为企业的管理者以及业务人员对现有的组织结构、业务流程、软件功能进行调整,以使之更好地适应企业的发展,并帮助降低信息化带来的风险。

为了进一步与国际接轨,建立起高效、迅速的现代物流系统,海尔集团请专业的IS审计人员对现有的物流系统进行评估。在审计评估的基础上,海尔集团结合企业自身的实际情况,改进了现有的物流系统,采用了SAP公司的ERP系统和BBP系统(原材料网上采购系统)。ERP系统和BBP系统采用以后,打破了原有的“信息孤岛”,使信息同步集成,提高了信息的实时性与准确性。

3.3 信息系统审计可以帮助企业更快、更好的发展

实施信息系统审计后,企业可出具具有一定法律效力的审计报告。同时,信息系统审计师也可以通过在线的方式,实时鉴证企业的信息。审计报告、实时鉴证对于企业的利益相关者来说具有重大的价值。如果通过审计报告、实时鉴证证明该企业信息系统产生的信息是可信赖的、完整的,将有利于利益相关者对企业经营活动的监督,同时也有利于企业的融资活动,促进企业快速发展。

4 结 语

信息系统审计对于审计信息化和审计现代化建设,以至整个信息化事业的发展具有重大意义。但目前我国的信息系统审计工作尚处于起步和探索阶段,与国际上信息系统审计已经体系化、标准化、程序化相比,存在明显的差距,尤其是缺少专业准则作为指引;缺少大量能够全面开展信息系统审计业务的队伍作为支撑;缺少“通用”“专业”的审计软件作为保障。面对目前日益发展的信息技术、扩大的信息系统审计领域,以及风险导向型审计的新要求,相关人员必须借鉴外国的先进经验,结合我国信息化的实际特点加强自身学习,了解并掌握信息系统审计所需的知R,不断提高信息系统审计的质量,不断推进审计向现代化发展,从而做好真正意义上的风险基础模式的审计业务。

主要参考文献

[1][美]贝利,格拉姆林,拉姆蒂.内部审计思想[M].王光远,译.北京:中国时代经济出版社,2006.

篇6

关键词:信息系统审计

随着我国经济社会发展进入信息化时代,信息技术在财务会计、管理领域的应用程度不断提高,信息系统审计逐渐受到社会各界的重视,信息系统审计逐渐成为审计工作中一个崭新而重要的领域。但是,我国在审计信息化建设中还存在一些问题,审计部门和单位对信息系统审计的有关情况了解不多,信息系统审计的积极作用尚未有效发挥。但是,只要树立起正确的审计观念,加快法律法规体系的制定,不断发展和壮大信息系统审计队伍,就能不断提高我国信息系统审计和审计信息化建设水平,促进市场经济更好更快发展。

一、信息系统审计的概念

目前,国际上对信息系统审计(Information system auditing)还没有公认通用的定义。1985年,日本通产省认为:信息系统审计是由独立于审计对象的信息系统审计师,站在客观的立场上,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,从而使系统更加健全。国际信息系统审计领域的一些权威专家将信息系统审计定义为:“信息系统审计是收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。

二、信息系统审计的发展过程

信息系统审计是现代信息技术和审计技术发展和相互结合的客观产物。

(一)信息系统审计是信息技术发展的产物

在信息系统审计的萌芽阶段(80年代初),信息系统审计主要称为计算机审计。在这一阶段,计算机的应用比较单一,计算机审计的重点是运用计算机对被审计单位数据进行收集、分析、计算等,严格意义上还称不上信息系统审计。在这一阶段,计算机审计的主要业务内容仅仅是针对被审计对象的金额、账户和报表等进行检查,其作用仅限于对客户的电子化会计数据进行处理和分析,属于审计程序中的实质性测试环节。因此,在当时的情况下,计算机审计只是传统财务审计业务的一种辅助工具。

随着信息化的不断深入发展,特别是踏入21世纪,计算机技术应用范围也在不断扩展,计算机审计所关注的内容也从单纯对电子数据的处理延伸到对计算机系统可靠性和安全性的评价上来,因此,计算机审计的业务内容已经扩展到了符合性测试领域。这时,计算机审计的业务范围已经覆盖了审计业务的全过程,严格意义上的信息系统审计已初步产生。

(二)信息系统审计是审计技术发展的结果

随着现代审计理论与技术的发展,审计经历了详细审计、系统审计和风险审计三个阶段。从现代审计理论来看,现代审计十分强调对系统控制的依赖。在会计信息手工处理的环境下,对系统的控制是由人工完成的,对系统控制的了解和测试也只能由审计人员凭借财务审计知识来判断。在信息化的飞速发展过程中,审计工作需要处理的数据量不断增加,面对庞大的数据,进行人工审计是不可想象的。随着计算机信息系统的介入,对系统的控制更多地由计算机来完成,使得审计人员对信息系统的控制更加依赖,信息系统审计因此可以作为一项独立的审计任务。

三、信息系统审计的目标

信息系统审计的目标,是通过对信息系统进行合规性、可靠性、安全性和有效性的审计,评价被审单位信息系统中输入、处理、存储、输出的电子数据的真实、完整性,查找和发现被审计单位在信息系统管理上存在的问题,并提出改进信息系统管理的相关建议。

四、信息系统审计的主要内容

信息系统审计的内容是由信息系统审计的对象决定的,信息系统的审计对象是被审计单位的计算机信息系统及其相关内部控制措施,因此,信息系统审计的主要内容包括以下方面:

(一)信息系统组成部分审计

信息系统由计算机硬件、系统软件、应用软件等部分所组成。由于计算机硬件和系统软件的可靠程度较高,在审计过程中发生变动的可能性较小。因此,信息系统审计在实践上主要以应用软件(或应用程序)审计为主要内容。应用软件(或应用程序)是信息系统的核心,其对经济业务的处理是否正确,直接关系到信息系统的可靠性。

(二)信息系统一般控制审计

信息系统的一般控制也称信息系统管理控制,是从管理的角度来对信息系统进行的内部控制。信息系统一般控制的对象包括:组织管理、数据资源管理、信息系统环境安全管理、信息系统运行管理。信息系统的一般控制适用于整个信息系统,为信息系统提供良好的工作条件和必要的安全保证。对信息系统一般控制的审计,是信息系统审计的重要内容。

(三)信息系统内部控制审计

根据内部控制在信息系统中的作用和范围不同把信息系统内部控制分为一般控制和应用控制。一般控制是适用于所有应用系统为应用系统提供环境上的保证,其目的在于保证所有的信息处理的准确性、完整性和可靠性。应用控制与具体的应用系统有关,其目的在于确保数据处理完整正确。

(四)信息系统应用控制审计

信息系统应用控制是从具体技术层面对信息系统的数据传输、数据处理和存储管理进行控制,以保证信息系统安全、可靠、高效运行。信息系统应用控制审计包括:对输入控制的审计、对处理控制的审计、对通信控制的审计、对数据库控制的审计、对输出控制的审计。

篇7

【关键词】施工企业;全面预算;信息系统;思考

全面预算管理信息系统作为一种现代企业管理手段,可以帮助企业实现资源的优化配置,有效的控制成本。并且克服预算控制的不足、预算编制的繁琐、预算分析的片面性。随着社会的不断推陈出新,企业必须建立一个将战略目标转化为执行能力的管理体系,而全面预算管理信息系统正是这样一个连接战略和执行能力的管理工具。

一、施工企业全面预算管理信息系统应用存在问题

施工企业预算管理信息系统通过编制、分析、控制、调整、决策支持来实现企业资源的最佳配置和降低成,预算管理信息系统越来越普遍。但就目前应用的情况看来,施工企业预算管理信息系统仍然存在一些问题。

1.信息化应用范围存在局限性

在我国,施工企业的全面预算管理信息技术还局限于部分企业,而在这些企业中信息技术往往又局限于局部的过程。在此同时,信息系统应用的推广也仅仅停留在企业的管理层和实际操控人员,有的甚至仅在企业的财务管理中有所应用,并没有在一定的范围形成网络和信息的共享平台,各部门缺乏必要的信息交流与互动,没有真正实现资源共享。现阶段信息技术充其量只不过为施工企业预算管理提供了工具,而并没有带来工作模式的根本性变革和实际应用上的便捷。

2.系统动态性滞后

当前的全面预算管理信息系统是在早期施工企业全面预算管理信息系统的基础上更新发展的,因此还不够完善,预算管理信息系统在面对突发状况时的处理方式还不够灵活,预算在面对突发状况时也没能快速的进行新的预算。而当前施工企业在工程施工过程中常常会出现各种不可控因素,如天气变化引起的工期推迟;预算实际执行过程中,工程发生改变或初期对预算情况的估计偏差要进行新的预算计划;施工材料的自然损耗等,在面对这些不可控因素时,预算管理信息系统缺乏健全的完善的信息反馈机制,对不可控因素无法做到及时反馈实时信息,并进行全面且深入的分析,从而不能客观及时的做出调整,动态性相对滞后。

3.系统不够满足企业的需求

全面预算管理信息系统在施工企业的应用实质上是为了满足企业对全面预算管理提出的需求。对于全面预算管理信息系统而言,充分了解客户提出的需求是信息系统不偏离方向、不扩大实施范围的根本保证。对于企业提出的需要,要能够分清楚哪些是核心需求,哪些是重要的业务需求,哪些又是一些华而不实的特性,且需求信息是否正确的传达。要将核心需求作为系统应用时最重要的部分,其他需求可以根据预算和预测的周期长短在未来予以实施。但目前而言,全面预算管理信息系统在这一方面并不够完善。

4.当前信息系统的安全存在威胁

目前阻碍全面预算管理信息系统发展的主要原因就是操作风险以及网络系统的不安全性。操作风险主要包括操作程序不规范和操作人员防范意识不强造成的风险。如操作人员缺乏安全意识和网络安全防范措施,对于网上下载的电子邮件或会计信息资源不做安全性技术检查、测试;操作人员对全面预算管理信息的非法访问、篡改、泄密和破坏等方面的风险。系统权限的滥用也是全面预算管理信息系统存在的问题之一,若权限未经允许给未授权的人使用或权限的滥用,将会给施工企业带来巨大的损失。上述安全性问题一方面降低了全面预算管理系统的保密性,同时降低了全面预算管理信息系统的稳定性。

5.缺乏预算管理信息系统人才

选合适的人,做合适的事,是组建全面预算管理信息系统项目实施小组应该遵循的基本原则。组建一个好的预算项目小组是一件不容易的事情,在从组织内部挑选人员的时候一定要注意所挑选的人员能够在预算管理的岗位上长期干下去,而且本人也对预算管理工作投入比较大的兴趣,能够全程参与到项目的整个实施过程中去,能够并且也愿意作决策并尽力实现目标。目前,公司的全面预算管理现状是有的单位由财务部门负责,有的单位由经营部门负责,有的单位有专职人员管理,有的单位是兼职人员负责,而有的单位特别是项目部根本就无预算管理人员,造成预算编制不准确、分析有困难。

二、完善施工企业全面预算管理信息系统对策

1.全方位推广预算管理信息系统

就目前的情况而言,应该将全面预算管理信息系统全方位的推广。预算管理全面预算管理“全”的特殊性决定了其管理信息系统的实施不只是财务部门的事情,应该是企业综合的、全面的管理,而“全”也应该在所有施工企业。因此,预算管理信息系统需全体员工的积极配合与参与,同时进行全程的控制。在建立新的信息系统后它与企业原有的管理信息系统完全融合,成为各类数据汇集中心,通过分析处理与不同数据之间的联系。起到对全方位、全过程都具有约束力的作用。是一个全员都有可能使用到的系统。由此可见,施工企业必须全员、全方位、全过程的推行全面预算管理信息系统,真正将预算管理信息系统推行到施工企业各个细节。

2.建立有效的动态运行机制

建立完善的全面预算管理信息系统,既是预算管理本身的需要,也是实行动态管理的基本要求,鉴于当前施工企业预算管理系统动态性的滞后,与实际工作结合的不够紧密。因此,应及时对当前系统进行改善,加强信息系统的动态性,以期发挥其在施工管理中的全面作用。

首先,对于系统的业务功能方面,预算编制应该更贴切实际情况,以施工企业未来活动的预测为基础,充分的将预算计划与实际情况相结合,这样才能真正符合实际工程。预算执行方面,应对每月、每季的预算执行情况进行分析,确保预算执行的应变能力得以加强。

其次,对于预算管理信息反馈不够及时方面,应通过预算管理信息系统,提高上下级的沟通效率,各部门进行及时的对接,实现数据的实时共享,保证预算能及时进行调整。

最后,预算管理信息系统在已有的预算数和实际发生数之间应能自动生成简洁、数据勾稽清楚符合需要的各种报表并简单、多维度的分析,而不需要用户自己再通过定义复杂的公式导入相关信息来对数据进行展现,从而提高时效性。施工企业也能更加动态的应用全面预算管理信息系统。

3.有针对性的满足企业需求

全面预算管理信息系统应用的实质是满足企业对全面预算管理的要求,即企业对系统提出的需求。对于项目实施小组而言,根据需求不扩大实施范围是保证不偏离方向的重要原则。但面临重新梳理构建的大量财务需求必须要能够清楚的分辨出核心需求和重要的业务需求之间的差异,哪些是现阶段必须达成的,哪些是现阶段不能达成以后可能达成的,哪些只是不必要的、繁琐的、华而不实的要求。要将核心需求作为项目实施时最重要的部分。其他需求可以根据预算和预测的周期长短在未来予以实施或不予实施。只有充分了解客户的需求,将核心需求与其他需求进行合理评估,才可以制定出相应的实施方案,使整个过程不偏离方向、不做无用功。

4.加强预算管理信息系统安全性设置

必须加强全面预算管理信息系统的网络安全性。网络安全控制主要解决网络互联时通讯层的安全问题。保证网络系统提供数据传输和交换的完整性、保密性和可能性,提供透明的加密信道以保证数据传输的安全。计算机病毒检测技术是指通过一定的技术手段判定计算机病毒的一门技术,加强全面预算管理信息系统的安全性设置,需要在系统的设计、分析等方面进行研究。首先,在进行全面预算管理信息系统设计时,对访问的用户功能的设计,也即用户权限的设置要合理恰当。其次,分析全面预算管理信息系统可能存在的安全风险,充分考虑可能发生的安全事件,设计针对这些预见性问题的全面预算管理信息系统,建立信息备份和数据恢复功能。

5.选择并培养专业人才

从长远看来,提高施工企业预算管理信息系统方面的专业人员素质,才有可能使施工企业预算管理走上国际化道路。要优化预算管理人员,使预算管理信息系统得到强化,从而配备高素质的预算队伍。对于施工企业来说,高水平的预算人员更是施工企业的重中之重。施工企业预算管理信息系统要求预算人员要了解施工技术、工程校审、企业管理、财务会计等多方面知识,同时要具有良好的职业操守和高度的责任感,在提升自身工作能力外,还应深入现场了解施工程序。注重预算人员的培养,为他们提供条件,创造机会进行锻炼,鼓励支持预算人员多参与现场的管理活动,这样才能保证预算人员能够更清楚更熟练的操作预算管理信息系统。

为了施工企业更好的发展,推行全面预算管理信息系统势在必行。施工企业通过全面预算管理信息系统,加强信息和资源的集中与共享,对提升施工企业整体管理水平具有重要的意义。

参考文献:

[1]冯丽梅.浅谈预算管理及其信息化[J].中国乡镇企业会计,2011,7:71-72.

[2]权治国.浅议全面预算管理信息系统的实施[J].会计之友,2009,22:33-34.

篇8

【关键词】 护理管理;信息化建设

doi:10.3969/j.issn.1004-7484(x).2014.04.403

文章编号:1004-7484(2014)-04-2131-02

信息技术的渗透力极强,具有强大的增效功能,其迅速的介入,使医院管理领域发生了较大变化。1992年,计算机信息技术在医院诊疗工作上的应用,标志着医学诊断技术的重大飞跃。近年来,医院信息化建设正在飞速发展,并逐渐成为实现医院可持续发展和科学管理的重要手段。护理工作作为医院管理工作的重要内容,由于其管理特点,成为了广泛应用信息系统的组成部分。因此,深入研究护理工作,促进护理管理的现代化建设与可持续发展,应加强护理管理的信息化建设。

1 护理工作与医院信息系统应用的联系

医院信息系统,即医院管理信息系统,也就是利用网络通信技术、计算机技术等现代化技术手段,综合管理医院的物力、人力、财力,采集医疗活动的数据并进行处理、储存、汇总、加工生成各种信息,为医院的运行提供各种服务信息的全面管理。医院管理信息系统是将信息技术与管理思想相结合的精品,是一种有效的管理手段。护理管理工作在医院工作中占有重要地位。护理人员数量多,护理工作范围广,贯穿于病人就诊、治疗、出院的全部过程中,因此,护理工作的管理更需要标准化、规范化,而信息技术正符合护理管理的需要,所以进一步加强和规范护理管理工作的信息化十分重要。

1.1 医院信息系统的数字性与护理工作的复杂性 由于护理工作十分繁杂,其管理需要依靠信息技术去量化,以实现管理工作的规范化、标准化。医院信息系统可以让护理工作人员通录入工作信息,进而实现工作行为思维数量化,其不仅可以客观反映护理人员的工作规律,也方便管理者实施管理流程,提高管理效率,除此之外,护理管理量化也可实现严格管理,强化落实规章制度,从而提高护理服务的质量。

1.2 医院信息系统的共享性与护理工作的管理形式 护理工作的范围广、程度繁杂,因此其管理工作难度大。例如业务查房、调整班次、护理质量监控等,其管理过程费时费力,且管理信息反馈所需时间长。运用医院管理信息系统,不但可以实现信息资源共享,还利于信息快速流通,进而及时反馈护理信息,完善工作中的不足。

1.3 医院信息系统的时效性与护理质量监控 护理工作贯穿于病人就诊、治疗、出院的全部过程中,实现对护理工作过程的质量监控,就应注重管理每一个环节的护理质量,实行护理环节质量监控,增强护理质量管理工作的实际意义。医院管理信息系统应用可对信息发生点进行记录,其信息录入具有实时性,使信息管理具有时效性,使环节质量管理得到了可靠保证。除此之外,医院管理信息系统可以自动标记任何时间内每个岗位的工作信息,简化了环节质量分析和评价工作,使之有的放矢。

1.4 医院信息系统应用的广泛性与岗位的多样性 医院信息系统涉及医疗工作管理的全部过程,任何部门的问题均会为医院整体效益带来影响。护士岗位涉及医技科室、卫生经济、临床科室以及医疗统计部门,医院信息系统应囊括多种护理岗位的工作范围。护理岗位应成为医院信息系统的最早参与者、最活跃的群体,必将受益极大,最终提高工作效率和质量以及管理水平。

1.5 医院信息系统的集成性与护理工作效率 医院信息系统集成了医院各方面的管理,对医院管理工作流程实现了重构和优化,网络作业有效的规避了人力资源的浪费,缓解了护理人员工作压力,同时增加了护理服务时间,使护理服务得到改善,进而提高了护理工作的质量和效率。除此之外,医院信息系统的集成性使医院分割式管理模式向一体化管理模式转化,使单项管理变为多方面的控制,护理工作和管理活动也将变得透明,进而提高了医院整体管理水平。

2 提高护理管理水平与医院信息化建设的联系

医院信息化建设是其实现科学管理的必备基础,医院信息系统的应用可以体现医院管理水平。护理管理是医院信息化建设的重要方面,因此,护理管理者应积极参与医院信息化建设,提高自身管理能力和知识水平,促进护理管理发展。

2.1 更新护理管理观念 提高服务质量和科学管理的水平,实现管理效益的最大化,应强化信息意识,运用信息去发现并解决问题。医院运行医院信息系统后,标准制度、传统工作模式以及医务人员的观念等均会发生不同程度的改变。管理者观念对实施管理影响重大,管理者的信息意识是提高管理水平的关键性因素。在此,护理管理者应加强学习,不断强化信息意识,探索护理管理规律,积极参与医院信息化建设活动,以满足护理管理发展的要求。

2.2 探索护理管理方法,努力实现医院信息化建设的创新 信息化管理改变了护理工作模式和各岗位工作流程,护理管理方法也将随之发生变化。应用医院信息系统后,护理人员的工作通过计算机终端录入的信息来反映,信息发生过程反映了工作质量。因此,护理管理者应熟悉系统功能,还应该掌握数据分析、管理方法。例如病人入院、处置、核算、交费、出院等流程中的信息处理,可以通过监控工作截面来实现。在此,我们应利用信息技术,加快护理管理软件的开发,把先进的护理管理思想转化为工具,在医院管理信息系统的基础上,不断扩充护理管理领域,依靠科技提高护理管理水平。

3 结束语

综合上述,全面加强医院现代护理管理,我们应以医院信息化发展工作为中心,不断探究医院信息系统管理与护理工作相结合,转变护理观念,在新形势下不断进行护理管理创新,顺应护理管理的科学发展。在此鼓励护理管理者积极参与医院信息化建设活动,提高自身管理水平,为护理管理信息化建设做出贡献。

参考文献

[1] 樊晓玲.护理管理与医院信息化建设[J].护理管理杂志,2012,2(1):33-35.

[2] 白利峰.医院信息化建设在医院管理中的应用研究[J].中国医药指南,2012,10(36):652-653.

[3] 胡小波.计算机网络在医院信息化建设中的应用[J].医疗装备,2011,22(7):26-29.

篇9

关键字:会计信息化 信息工程监理 必要性 实施监理

21世纪,信息技术的突飞猛进,会计这一传统职业正随着信息化的发展进行着深刻的变化。在信息,信息化能极大的提高企业的核心竞争力,而会计信息化是企业信息化核心的之一;社会的快速发展和社会分工的细化,使得企业的边界越来越模糊,会计信息更加分散;会计信息化就是要充分利用社会的优势及时、准确的进行会计信息采集、存储和处理,为企业管理、、决策提供强有力的信息支持。由于会计信息化系统是一个复杂且专业性极强的信息系统工程,为了提高和保证会计信息化建设的质量,有必要在会计信息化建设中引入中立、客观、专业的信息工程监理制度。

会计信息化和会计电算化的区别

我国从70年代末期开始引入会计电算化,信息技术在财务领域得到快速发展,由过去独立的、核算型的会计电算化,发展为现在网络化的、与其他信息系统互连的、面向管理和决策的会计信息化。会计信息化在会计电算化的基础上产生了质的飞跃。讨论会计信息化首先需要分清会计信息化和会计电算化的区别。

会计电算化产生于社会,一般作用于财务部门范围内,设计时只考虑了财务部门的需要,与业务处理和管理控制相分割的独立的信息系统;它是基于手工会计系统的基础发展而来,模拟人工业务流程,主要是为了减轻手工操作系统的重复性劳动,提高工作效率;现行的会计电算化系统由于所产生的环境束缚和基础,决定了它是以事务处理为主的事后核算型信息系统。

会计信息化是建立在信息技术环境下的会计信息系统,它充分利用机技术和网络技术,通过计算机网络自动、及时、准确、完整的采集、存储、处理整个企业财务信息,对外获取和披露相关信息;会计信息系统不再是信息孤岛,它是企业信息化中的非常重要的组成模块,和企业信息化中其他模块唇齿相依;会计信息化系统是从企业管理者角度来设计的,强调管理型会计模型,充分发挥会计在企业管理和决策中核心作用,使得会计工作真正从核算型会计向管理型会计转变,会计核算只是其主要职能中的次要职能;会计信息化对会计信息处理流程进行根本性的改变,它基于事件驱动模型,用集成化的方式,面向对象的进行设计,使其能为会计信息使用者提供准确、完整、及时、合理的会计信息。会计信息化将从两个方向发展:面向日常事务处理的基于事件驱动的企业内集成的会计信息系统;面向分析处理的智能型会计决策支持系统。

信息化工程监理的职能

信息系统工程监理是指在大型信息系统工程建设中引入第三方参与的管理机制,在业主或项目建设管理机构的授权委托下,根据项目的建设目标、业务需求和质量标准,对承建方提出的技术方案、项目管理活动以及系统设计、开发、集成和实施部署等活动进行全方位、全过程的审核、监督和控制,以保证项目在预算范围内按时按质完成,保护业主的利益,规避或降低项目的风险。信息工程监理主要有六个方面的职能:

(一)评估职能。监理方根据业主提出的系统建设的构架和需求,提出可行性评估意见;同时对承建方的资信以及提交的项目建议书和实施方案进行评估。从而保证系统建设总体方案的性、先进性、实用性与合理性,为项目的顺利实施打下良好的基础。

(二)审核职能。监理的审核职能主要包括两个方面。一方面在科学评估的基础上,对信息系统建设工程的合同进行审核。由于信息系统建设工程合同属于专业性很强的技术合同,不仅涉及各种技术细节,还包括业务流程、知识产权和双方的权责等方面。另一方面,对双方的各种开支、技术报告与资料、工程计划与组织实施方案、系统工程的结算、以及各种软硬件的型号、规格和质量等进行审核,以保证经费的合理使用、系统设备质量和工程的顺利进行。

(三)检查职能。监理的检查职能主要是在系统建设过程中检查、督促承建方严格执行合同所规定的各项要求与技术标准;检查承建方提供的软硬件设备是否符合要求,包括是否是合同规定品牌与型号、系统参数与配置是否符合要求、附件与资料是否完整等;检查与控制系统开发、安装、调试、施工的质量与进度,实行阶段性验收;按合同规定和各种技术标准对软件进行功能性、可靠性、稳定性、可维护性、兼容性等诸方面的测试;督促各种技术文档的整理;组织系统总成的测试与验收等。

(四)咨询职能。监理的咨询职能主要是为业主和承建方双方提供咨询服务。业主往往精通业务而不擅长信息技术,而承建方擅长信息技术而不熟悉业主的具体业务,所以业主和承建方在制定需求和计划以及项目实施、验收时,可能会存在许多沟通障碍,从而降低了系统实施效率。监理作为中介,可为业主提供专业的信息技术咨询服务,为承建方提供企业的业务咨询服务。

(五)协调职能。监理的协调职能可分为系统内部的协调和系统外部的协调。系统内部的协调是指在信息系统工程建设内部各种关系的协调,如内部的人际关系、内部的组织关系、内部的需求关系等。系统外部的协调是指在信息系统工程建设项目整个活动过程以外的关系协调,包括协调业主单位与承建方单位的合同关系,以及协调他们与主管部门和机构、新闻媒体、社会团体等的关系。监理在执行协调职能时应采取公平、公正、独立、守法、诚信、科学的原则。

(六)报告职能。建立项目监理的汇报制度是保证工程顺利进行的有效方法,可使工程实施处于透明可监控状态。监理单位依据所采集到的信息和资料,将定期和不定期地向业主和承建方提供监理周报、月报、书面通知和回复等监理文件,这些文件包含了监理过程中有关对项目实施的控制和管理信息。除此之外,还需提供项目可行性分析报告、评估报告、验收报告等。

会计信息化建设中建立信息系统工程监理的必要性

会计信息化系统的信息工程监理属于信息系统工程监理的一部分,但它更注重会计的专业性,需要高素质的同时精通会计和计算机信息技术两方面知识的监理人员。虽然,会计信息化系统只是企业信息化系统的组成部分之一,但有必要在信息系统工程监理中建立专门的会计信息化系统工程监理。

(一)信息系统工程监理是信息化系统建设成功的关键之一。企业信息化建设是高风险投资,PMI的一项统计数据表明:在信息化项目中,43%的项目完成后超出预算,62%的项目超期完成,58%的项目验收时达不到合同要求。信息系统工程建设具有含量高、涉及的领域宽广、投资大、周期长、高风险的特点;而且在信息系统工程建设中,很多业主单位在技术、能力、人员等方面的不足,对实施的难度估计不足,对实施效果期望过大,缺乏自身对信息系统工程控制能力,这必然造成系统建设过程中对于质量、进度、投资和变更等方面管理问题的出现;另一方面,对供应商而言,虽然在技术性信息管理方面一般不会出现问题,但由于系统建设必然还要大量涉及业务方面的,而这部分信息的管理又因为行业的不同而各有特点,因此供应商有可能在对业务信息的管理方面存在缺陷,这也会对工程建设造成很大的。鉴于这种在信息工程系统中用户和供应商双方信息的互不对称性的客观存在,根据国内外成功的经验表明:由用户委托专业的第三方监理机构,建立工程监理制度,对工程建设的全过程进行有效监督管理,使其处于严格的监控之下,可以大大的降低工程建设风险,保证工程质量、进度、投资控制目标的完成。实施信息工程监理有助于降低风险,它也是国际上风险控制的一种通行惯例。

(二)会计信息化系统是一个复杂性的系统工程。会计信息化系统是企业信息化系统的一个子系统,它是基于事件驱动模式的信息系统,即会计信息的采集、存储、处理、传输嵌入在企业业务处理系统中,或者说管理信息系统和企业的业务执行系统融为一体,在业务发生时能够实时采集详细的业务、财务信息,并且进行处理和控制,从而使会计信息化系统不仅能执行事后的统计分析评价,而且能够进行事中控制。这种系统的核心是集成,即集成业务处理和信息处理,集成财务信息和非财务信息,集成核算与管理,使会计信息系统着眼于企业全局。现代企业发展的多元化,以及企业的边界模糊化,使会计信息化系统需要把技术、计算机技术、网络技术、软件开发技术和通讯技术紧密地结合在一起,在业务发生时实时的、自动的跨地区、跨行业、跨部门采集详细的业务、财务信息进行存储、处理、分析和传输。正是由于会计信息系统的复杂性,为了保证工程质量,需要有第三方监理对项目进行全程咨询、监督和评估。

(三)会计信息化系统是企业经营管理的重要工具和手段。企业经营的主要目的是为了获取利润,企业财务管理的目标应该是“企业价值最大化”或者“股东财富最大化”。财务管理作为企业管理的组成部分,与经济价值或财富的保值增值有关,是关于创造财富的决策,企业生存、发展、获利的总目标离不开财务的筹资、投资以及对资金的运用管理。另一方面,财务管理目标是制定生产目标、销售目标等一系列目标的基础和前提,这使得财务管理在企业管理中处于一个核心地位,财务管理目标将从根本上反映企业的总目标。所以确立一个合理的财务管理目标对企业的长远发展有重要的意义。正因为财务管理在企业管理中是如此的重要,作为进行财务管理的工具和手段的会计信息化系统在企业信息化系统中同样具有重要作用。会计信息化系统从企业信息化系统获取、分析、回馈、会计信息时必须做到合法、真实、准确、及时 、完整。会计信息化系统作为企业经营管理的重要工具和手段,为了保证企业的管理和决策获得准确、及时 、完整的信息,在会计信息化建设中应引入第三方监理对项目的设计、实施和验收进行咨询、监督和测评。

(四)信息化系统的建设具有很强的专业性。会计信息化系统是集会计和实践与信息技术为一体的专业化的信息化系统。现代信息技术只是实现会计信息化的工具和手段。会计信息化的理论基础是现代会计理论和实践。只有具有深厚会计理论知识才能从繁杂的系统数据中获取必要的信息,剔除冗余的信息,正确处理获得的信息。另一方面会计信息化系统的现代信息技术需要整合技术、机技术、技术、软件开发技术和通讯技术,也具有极强的专业性。所以要求从事会计信息化建设、监理、管理的人员,不但需要精通信息技术,还要熟练掌握相关的财务理论和财务。由于,业主和承建者一般都只擅长于自身业务,而会计信息化工程监理方的监理工程师不但精通信息技术,还熟悉财务业务,他们可以为双方提供详细而专业的咨询、协调、评估。

会计信息化工程监理的实施

在会计信息化项目工程监理中我们一般将监理过程分为三部分:项期监理、项目过程监理、项目后期监理。监理的主要包括项目实施目标和计划的监理、项目投入资源和项目成果的监理、项目实施效益的监理。

(一)项目前期监理。在项目启动之前,就需要对会计信息化项目进行监理。在这个阶段,业主一般会对整个项目抱有较高的期望,但对项目的实施进程、项目所需的投入和实施过程中可能出现的和阻力没有或不是非常了解。监理方在此阶段主要为业主提供项目立项、总体计划制定、招标等方面的咨询和协助。

1.对会计信息化项目进行可行性,确保项目的性、完整性、实用性和可实施性。可行性分析是项目立项的基本保证。监理方通过对业主的会计业务的了解,项目的可行性、技术可行性、可行性,以及项目的实用性;提交可行性分析报告,说明项目的实现在技术、经济和条件方面的可行性,评述各种可能方案,并加以论证。

2.协助业主制定会计信息化总体计划、范围和目标,确保项目的总体范围和目标以及对项目的期望值合理。监理方根据“够用、实用、易于扩展、易于二次开发”的理念,对业主进行的会计信息化系统需求分析的相关内容、过程、活动进行审查,确认是否满足要求,是否符合要求,协助业主根据会计信息化系统需求分析制定会计信息化总体计划、范围和目标。

3.对会计信息化系统的招投标进行监理,维护业主利益,提高经济效益,保证项目质量。首先,监理方应协助业主对投标单位的资质和质量管理体系审查,投标单位应具备一定的软件资质、系统集成企业资质以及在会计信息化领域的成功经验;监理方要全程监督招标过程,维护招标过程的公开、公平、公正;监理方应协助业主与承建方之间对各种合同进行分析、谈判、协商、拟定、签署等活动,切实维护合同双方的利益,规避项目风险。

(二)项目过程监理。它主要是指在会计信息化项目的进行过程中,对项目进行监督和控制,其主要作用和任务是控制项目实施过程中投入的各种资源和达到的目标,使之达到项目实施计划的要求。

1.项目工程质量监督是监理工作的重中之重。会计信息系统建设过程是人的智力劳动过程,容易受人的主观性;另外,信息工程的可视性差,质量缺陷较隐蔽,故障定位比较困难,改正错误的代价大。而会计业务的特殊性对信息系统的稳定性和数据处理的准确度要求极高,所以工程质量的好坏决定了项目的成败。监理方对项目质量进行监督管理和协调,既要按照自己的质量控制体系从事监理活动,还要对承建方的质量控制体系以及业主的工程管理体系进行监督和指导,使之能在工程建设过程中得到有效的实施。在监理过程中以质量预控为重点,准确把握质量控制的关键点,对关键工序进行全程跟踪参与,做到对项目质量的事前、事中、事后控制,确定消除产生不良结果的方案。

2.信息系统安全性是会计信息系统建设中的关注焦点之一,也是信息系统监理的重点。财务信息是企业的核心机密,篡改、遗失、泄露、伪造、毁损财务信息将对企业造成不可估量的损失。但信息系统工程的安全没有绝对的只是相对的,要根据会计信息系统的特点,充分考虑系统的安全性、可用性以及投资成本的协调,制订出系统所需的安全度。监理方要确保承建方在合理的投资控制前提下,信息系统安全设计上尽可能没有漏洞;确保信息系统安全在可用性、安全性、完整性与信息系统的可维护性技术上的协调;监督承建方按技术标准施工,检查设计过程中的安全隐患和现象,加强承建方的安全意识;协助业主制定或完善信息安全管理制度和规范,督促业主加强信息安全管理的,使相关人员树立强烈的安全意识,严格执行安全操作和管理。

3.为了在规定时间范围内保质保量的完成会计信息系统建设,必须对项目进度进行控制。严格的进度控制有利于降低信息系统的投资风险,维护良好的项目管理秩序,使其能尽快发挥投资效益。项目监理方运用运筹学、网络计划、进度可视化等技术,完善项目控制计划,审查承建方的施工进度计划,做好各项动态控制工作,协调好各方关系,预防并处理好工期索赔,以求设计的施工进度达到计划施工进度要求。监理方用动态管理和主动预控相结合的方法对承建方实际进度情况全程跟踪监督,及时进行分析和评估,对那些出现偏差的工作采取必要措施,适时调整进度计划,以保证项目按原定进度执行。

4.对会计信息化项目投资控制的目的在于降低项目成本,提高经济效益。投资控制应坚持投资最优化、全面成本控制、动态控制以及责权利相结合的原则。监理方不能简单的把投资控制理解为使项目实际成本控制在计划投资范围内,应认识到它是与质量和进度控制同时进行的,实现投资控制的同时需要兼顾质量和进度目标。监理方应从项目的全寿命期的投资费效比来进行投资控制,立足于项目的整体经济效益。监理方应督促承建方编制项目费用计划并审核其可行性;定期审核承建方提交的工程阶段性报告和付款申请;确定工程变更引起的投资计划变更。

5.变更在信息系统建设过程中经常发生,监理方的变更控制就是评估变更风险,确保变更的合理性和正确性。由于信息技术更新速度快,以及承建方在工程实施过程中根据业主的实际情况需对技术方案做适当调整,以更好的满足业主的需求,所以一定范围内的变更能更好的实现项目目标。监理方对可能发生的变更应保持预控能力,防患于未然;对变更请求做出快速响应,以应付各种突发事件;明确变更范围,防止变更范围扩大化;所有变更应得到三方的确认;谨慎评估变更风险和效果,选择对项目总体计划冲击最小的方案。

(三)项目后期监理。项目后期监理主要是指会计信息化项目完成后,再对项目的整个实施过程进行回顾、分析和评判,考察会计信息化项目实施结果,分析项目实施的得失,对会计信息化项目实施结束后继续进行监督和控制。

1.在会计信息化工程完工后,监理方应协同业主对项目进行评估与验收,以确保实现设计目标。监理方应按照合同审查承建方提供的各种审核报告和测试报告内容;评审承建方的测试手段和流程;与业主一起组成验收委员会;根据合同和相关技术标准审核软件配置和验收测试;对所取得的测试结果与项目设计书中的各项指标进行分析、比较和评估,并出具科学的验收报告。

2.完善的售后服务是保证会计信息化系统正常、高效运行的必要条件。监理方应监督和审查业主和承建方以及其他售后服务商签订的各种售后服务合同与条款;监督承建方对系统的后续升级和改进;督促承建方按照合同规定,为业主提供相关的人员和业务培训服务,确保系统的正常运行。

会计信息化项目监理是要规范会计信息化工程,更好的促进会计信息化建设,为会计信息化和企业信息化保驾护航。要想把会计信息化项目建设好、管理好,不能采取“重实施不重规划、重测试不重评审、重结果不重过程、各管一段”的监理模式,既要有一个可行立足本企业实际兼顾长远的规划,也要有一套切实可行的项目管理方法,对项目从立项到验收的每个阶段都要一步一个脚印、踏踏实实按确定的计划和方案推进,对项目至始至终实施全程监理,这关系到会计信息化项目的成败。

[1]葛乃康:《信息工程建设监理》,电子出版社,2002年

[2]何曙光、李钢等《信息系统工程监理研究》,《天津大学学报(社会科学版)》2004年第2期

[3]宋振晖《信息系统工程监理实施模型》,《信息技术与标准化》2004年第6期

[4]佟芳芳:《信息系统工程监理发展探讨》,《信息技术与标准化》2004年第11期

[5]信息产业部:《信息系统工程监理暂行规定》,2002年

[6]杨周南:《论会计管理信息化的ISCA模型》,会计学术研究网

篇10

为了合理的识别医疗信息系统的风险,内部审计人员首先应当了解医院的信息系统环境。

1.1了解信息技术在医院中的运行环境

该院搭建的医疗信息系统平台包括:医院信息系统(HIS)为收费、检查、门诊及住院等活动提供服务;临床信息系统(CIS)收集处理临床数据;此外还有LIS、PACS、电子病历系统、叫号系统、财务系统、人事系统、物流管理系统、电子点餐系统和科研教学系统等等分别发挥着其各自的作用。因此,计算机信息技术已经融入到了医院的各个主要业务流程,不仅为病人和医生服务,更为医院管理提供支撑。医院信息系统平台的搭建,一般都得到院方的广泛支持。

1.2了解搭建医疗信息系统平台的应用程序、计算机操作系统及硬件设备

首先,为该院服务的软件品种较多,各个软件间存在相互接叉读取数据的情况,有可能对数据库的安全稳定造成影响;其次,由于各个医院的专科项目不同,医疗就诊流程也存在着个性化的差异,导致所使用的软件以及软件所配备的应用程序、操作系统也存在个性化差异较高的现状,这可能会导致医疗成本的大幅度提高;第三,由于信息技术已经融入医院管理,医院对信息化系统的依赖程度较高,对系统本身的安全性要求更加严格。另外,为了满足软件的运行,医院必须同时保证充足的硬件设备,例如电脑终端、大型服务器、保障设施(例如UPS)及交换机等,并负责维护设备的安全运行。此外医院还需提供可靠的操作系统,例如主流的Windows和Linux系统等。

1.3了解医院对应用程序及软件的管理方式

为了有效地管理医疗信息软件和保障医疗数据的安全,该院要求各个软件提供单位派驻工作小组,长期为医院的软件提供外包管理服务。院方还成立专门的信息中心进行管理,信息中心制定了相应的信息系统管理规章制度,并对规章制度的监督、执行和有效更新负责。此外,为了监控软件和硬件的日常运行情况,一些专门的预警机制也被引入医疗信息系统的管理中。例如,网络运维管理平台的使用有效的监控各个软件应用程序、操作系统,以及服务器、交换机等硬件的运行状态及运行环境,在软硬件发生异常时提早预警,帮助软件工程师及时排查错误。

1.4了解医院信息系统实施是否有效地帮助医院提高运营效率

2评估识别出的风险

基于风险导向审计为基础的审计风险由3个部分组成。

2.1固有风险

信息系统的固有风险一般来自于系统本身的安全性。随着计算机技术的普及和在医院内部的广泛使用,有效降低了人为舞弊情况的发生。但是,计算机软件和硬件安全问题,信息系统设计造成的固有缺陷给医院管理带来了风险。首先,由于计算机网络本身容易感染病毒,受到攻击时会造成网络瘫痪;硬件存放环境不当,对大型硬件设备造成损伤引发宕机。在对医院信息系统高度依赖的环境下,软硬件存在的固有风险,会给医院造成重大的损失,影响正常的医疗秩序。其次,由于软件工程师对医疗知识和管理知识的缺乏,计算机软件设计开发的初始阶段往往存在缺陷,运行期间则需要根据用户的需求做反复的修改,此过程不仅增加了医院的成本开支,也会影响到系统运行的安全性。

2.2控制风险

对医院信息系统的良好控制首先依赖于医院的制度规范执行。医院一般都设置专门的计算机信息部门,对医院的信息系统,包括软件程序、硬件设备和网络进行统一管理。该院在设立信息中心的同时,聘请软件开发企业进行外包服务,即由软件公司派驻专门的人员为医院的信息系统服务。如何平衡医院自主管理和对外包服务的依赖,给医院的管理提出了新的问题。因此审计人员在评价控制风险时,需要对医院自主管理能力和规章制度的执行情况进行分析,同时对外包服务的有效性进行评价。其次,对用户授权的控制。信息系统在医疗业务流程和管理流程内部控制的实现主要是通过对用户权限的设置来完成。相应层级的管理人员都具有不同的授权权限,在不同的业务流程中发挥作用。但是任何一个系统都存在一个超级用户,超级用户对所有的医疗信息、目录和文件有完全的访问权,它是安装后第一个登录到服务器上的用户,可以添加用户并设置系统内所有用户的权限。因此,内部审计人员必须对超级用户的实际状况进行分析,从而评价是否存在随意篡改数据的风险。此外,软硬件的成本是医疗信息系统建立并进行控制活动过程中不可忽略的问题。软件成本主要来自于人工费用和知识产权费用。但是,软件公司在销售产品的时候,常常隐蔽其真实的人工成本,并将知识产权费用夸大。医院采购部门往往很难判断软件产品的采购价格是否合理;医院信息平台的搭建同样还依赖于大量硬件设备,医院往往需要采购大型服务器、交换机和UPS;为了保证硬件设备的良好运行,医院还需要考虑良好的存放环境,利用辅助设施,保证存放地点湿度和温度的适当;基于软件程序,硬件设备的安全运行和有效管理考虑,很多医院为此引入了网络运维系统等非医疗信息系统软件,在另一个程度上增加了医院的系统购置成本。因此,内部审计人员必须对成本效益进行分析,在避免一味节约成本造成的信息系统搭建不完善的同时,避免为单纯追求效益导致的资源浪费。

2.3检查风险

检查风险受固有风险和控制风险的影响。信息化的普及,改变了传统审计的方法、审计对象和审计线索。传统的内部审计通过执行控制测试和进一步审计程序,对财务报表的舞弊做出判断;通过对医院内部控制的了解,评价内部控制的有效性,帮助医院提高内部管理水平等。医疗信息系统建立后,要求审计人员在掌握医疗管理流程的同时,还需要了解医疗信息系统中软件程序、网络和硬件设备等专业计算机知识,并利用信息技术进行内部审计。在缺乏系统的计算机专业知识,以及计算机审计规范不健全的情况下,内部审计人员未能恰当地施行审计程序,也会为医院管理带来风险。

3应对措施

内部审计人员在实施进一步审计程序时,应当关注以下几点内容。

3.1将信息系统的哪些方面纳入审计的范围

在考虑成本效益的原则下,进一步审计程序应当将资源有效地集中于风险最大的部分。首先,内部审计人员应当评价风险的重要性。将后果严重的部分,进行重点关注,因此,在对医疗信息系统进行风险评估和分析之后,内部审计人员应该对系统中关键信息点进行重点审计,例如对HIS中病人的主索引、收费明细记录、病历记录、处方记录等执行详细的审计程序;其次,内部审计人员应当关注特别风险事项,例如对于超级用户权限管理的审计;最后,内部审计人员还要关注细微风险累计的影响,如果几个细微风险累计产生的影响会对系统整体运行造成重大损失,内部审计人员则需要详细地设计进一步审计程序以应对此类风险。

3.2采用怎样的审计方式对医院信息系统进行评估

与传统内部审计工作不同,内部审计人员需要对系统运行的有效性进行评价,因此除了传统的检查、观察、询问、函证、重新执行和分析程序等进一步审计程序以外,内部审计人员还需要对系统中关键信息的数据库语言进行分析。同时,还需要利用审计软件进行信息化下医院的内部审计工作。

3.3以何种频率进行审计

通常风险被划分为高、中、低3个等级。在被识别的高风险等级中,信息技术风险被认定为发生概率高且对医院的运行影响范围广,因此内部审计人员通常应当每1~2年进行1次审计;对风险级别和影响程度及范围均适中的风险点,每2~3年进行1次审计;对风险级别低,不经常发生以及影响范围和程度均不明显的部分则在每3~5年进行1次审计。

3.4针对医院信息化背景下产生的固有风险进行评价

对控制风险和检查风险分别采取应对措施降低风险的影响程度

3.4.1固有风险的评估。

由于固有风险是医院在搭建医疗信息系统平台时无法避免的缺陷所造成的损失,内部审计人员无法控制此类固有风险,只能评估风险的大小。内部审计人员应当评估固有风险的大小,协助相关科室建立应急方案,一旦发现由于信息系统故障造成的问题,立即采用人工应急预案,有效地减少损失,保证医疗服务的质量。

3.4.2控制风险的应对。

(1)医院对外包服务建立有效管理体制。根据调查和实践证明,合理适当的外包,可以减少医院管理成本,节约人力资源。但是过多的将医院的信息系统管理建立在外包服务的基础上,同样也会给医院带来风险。如果关键的管理点均依赖于外包服务,那么就会造成权责不清的情况发生。因此,医院内部加强对信息系统的管理,建立完善的管理制度,培养医院内部计算机管理人才,平衡外包服务和自身管理的程度,对外包工作进行有效的监督和管理是减少控制风险的关键。内部审计人员应当帮助医院评价计算机中心管理制度是否存在缺陷,并提出相关建议。(2)对滥用超级用户功能的控制。由于超级用户的存在,人为从后台篡改数据给医院的内部控制造成隐患,例如,医生可以从后台修改已开出的处方和病历,不利于医院对已开具病历和处方的管理,极易造成医疗纠纷;财务人员也可能恶意的对系统中已录入的财务数据进行修改,或隐藏一部分财务数据,造成医院财务管理的风险。因此,内部审计工作中,审计人员要关注超级用户的管理方法,严格控制其使用范围,以防人为恶意篡改数据。(3)加强采购环节的控制。内部审计人员应当分析本院的所有信息系统软件是否符合医院管理的成本效益原则,评价现有软件有无浪费,以及由于信息技术快速更新造成的应淘汰软件仍然在续订的情况。内部审计人员可以通过帮助建立完善的物流采购程序,对大型软件严格采取政府公开招标的形式,利用外部专家进行分析。同时,加强对成本的考察,软件成本大多来自于软件工程师的脑力劳动和知识产权,一般很难评估,内审可以通过相同产品的询价,比较软件给医院带来的效益等方式来评价软件是否应该引入。

3.4.3检查风险的应对措施。