信息系統范圍管理范文

時間:2023-04-05 02:54:18

導語:如何才能寫好一篇信息系統范圍管理,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

信息系統范圍管理

篇1

關鍵字:信息系統范圍管理;工具及技術;范圍管理重要性

中圖分類號:TL372文獻標識碼: A

[正文]項目范圍管理在項目管理中起到非常重要的作用,在管理項目的范圍之前,首先應收集客戶等干系人的需求,并根據需求來定義并記錄產品的特征與功能。范圍管理確定在項目內包括什么工作和不包括什么工作,由此界定的項目范圍在項目的全生命周期內可能因種種原因而變化,項目范圍管理也要管理項目范圍的這種變化。項目范圍的變化也叫變更。采用科學的范圍管理方法、工具和技術為項目的范圍管理帶來了事半功倍的效果。同時也為項目的成本、時間和資源的準確估算的準確打下良好的基礎。下面我從以下幾方面來論述信息系統項目的范圍管理。

1.編制范圍管理計劃

從事項目管理者都知道,做任何事情之前都應該先做好計劃,好的計劃,是成功實施項目的基礎。在項目中,項目經理非常重視范圍計劃的制定,在正式做計劃之前,項目經理組織項目團隊,進行大量細致的工作,采取用戶訪談、調查方式收集用戶對項目性能和功能的需求,了解用戶使用的現有信息系統的優缺點,掌握實際情況,并且查找公司組織過程資產,找出制定范圍管理計劃的模板,再結合以往項目的經驗,制定出了一份初步的計劃,然后召集項目團隊成員討論,對計劃進行修改和完善,在全體成員參與下,最終完成了一份詳細的、科學的范圍管理計劃,用于指導項目如何定義、分解以及核實和控制項目范圍。

2.范圍定義

在范圍計劃基礎上,定義好項目的范圍。一個成功的項目,應該做且只做成功完成項目所需的全部工作,為了保證這一點,就需要在項目前期定義一個明確的項目范圍。在項目的早期階段,項目經理帶領團隊,到了客戶現場收集需求。在收集需求的時候,采用原型法將收集到的需求,做成模型供客戶參考確認,以此消除彼此的歧義,充分挖掘用戶的需求,并基于團隊自身的經驗以及專業水平,對客戶的需求進行引導、細化,將其模糊的概念形象化,粗糙的需求具體化?;谛枨笪募?,項目經理召集項目的主要干系人進行開會討論,同時邀請了系統的最終用戶代表對系統功能做評價,通過用戶的角度,去發現和改進系統的功能,以此最終形成了完整的項目范圍說明書,主要包含有項目目標范圍描述、主要交付成果、產品驗收標準以及主要里程碑等內容。

3. 創建工作分解結構

基于項目范圍說明書,項目經理帶領團隊開始對項目范圍進行分解,將此項目涉及的需求調研、系統設計、開發、測試等完整模塊都一一列出,避免遺漏必要的組成部分,在各層次上保持項目的完整性;對于該項目中的數據庫設計,將其歸入系統設計單位中,在其他單元不再重復出現,避免了交叉重屬;對于項目中的每個工作包,都對其進行編號,并與組織結構圖和成本控制點深度結合,便于項目的日后管理。WBS的最低層的工作單元是工作包,對于項目中的工作單元,遵循8/80原則將其細化,并制定具體的負責人,同時制作WBS詞典,對工作包做具體描述。根據項目的特點,采用分解結構和滾動波式計劃方法,并把當前要做的工作計劃的細致些,將遠期的工作計劃的相對粗一些。

4.范圍確認

范圍確認是對已完成項目范圍正式確認的過程。范圍確認應該貫穿項目的始終。如需求確認、設計確認、布線施工確認、安裝調試確認,各階段確認匯總后,對系統總體檢驗作為最終交付的確認,即驗收。同時規定了項目各階段交付文檔。

及時規范的范圍確認可以使項目組成員提高士氣,并且管理層和客戶能夠最直觀的了解當前項目進度。在范圍管理計劃中我們明確規定,對被確認的可交付物,必須有客戶正式的簽字確認文件,即使是客戶沒有通過的,也要書面記錄該結果以及被拒絕的原因,以待分析檢查原因。

5范圍控制

范圍控制就是監督項目的范圍狀態,管理范圍基準變更的過程。因此,在本項目中,項目經理定期組織召開項目狀態審查會,審查項目的范圍,通過對照范圍基準,找出范圍偏差,并做分析,嚴格杜絕一切的范圍漫延。如,在一次狀態審查會上,項目經理發現項目的功能模塊中多了文件管理的功能,查了一下系統變更日志,未有找到有類似的變更記錄,于是項目經理參照責任分配矩陣,找到了這個模塊開發的負責人詢問原因,得知是客戶在一次電話中向他提過希望在功能模塊中能增加一個文件管理的功能。針對這種情況,項目經理首先向這名成員強調了范圍基準、以及變更流程的重要性;其次,針對這項多出來的功能,項目經理要求相關人員提交正式的變更申請,走正常的變更控制流程。

范圍控制的核心是管理變更,即影響發生變更的因素、保證所有被請求的變更按照項目整體變更控制處理,并對范圍變更實際發生時進行管理。在制定范圍管理計劃時,已經介紹了主要的范圍控制的原則。為了對范圍變更進行追蹤,確保已通過的范圍變更請求的處理,引入了配置管理系統,將所有的通過的變更請求作為配置項管理,并委派專門的配置管理人員不定期檢查配置項的狀態。此外,我們在定期的項目評審會議室,還要檢查當前項目中是否引入了未批準的變更。另外,針對項目績效報告,我們也要進行分析,確定是否需要采取措施引入變更。

總之,項目的范圍管理是整個項目管理過程的重要環節,它與項目的質量、成本、人力資源等管理密切相關。每管理一個項目,項目經理認識到每個項目都具有自身的特點,范圍定義、估算方法、控制技術都可能不同。但是無論怎樣,作為項目經理,為了防止需求蔓延,必須保證項目在范圍定義內進行,因此,如何更好地把握項目范圍管理,靈活運用項目管理的工具、方法、技術,還有待于我們去研究、探索、實踐和總結。

參考文獻:

[1] 柳純錄.信息系統項目管理師教程(第2版),清華大學出版社,2008

[2] project management institute.項目管理知識體系指南(PMBOK指南)(第5版)電子工業出版社,2013

篇2

關鍵詞:計算機信息系統;項目管理;應用

中圖分類號:G623.58 文獻標識碼:A

引言

信息系統集成即指以計算計信息技術為支撐,以算機網絡技術為基礎,以大型數據庫技術為依托,將網絡內各個分離的設備或計算機組織在一起,使其協同工作的全過程。信息系統集成不僅包括計算機系統的軟硬件,而且還包括其他各種集成所需的設備以及賴以支撐的網絡系統。比如工廠的集散控制系統就是典型的計算機信息系統集成項目。

1、計算機信息系統集成的特征

在當今各種計算機系統集成的項目中,每個系統集成項目都是千差萬別的,但系統集成項目的本身,還是具有一定相同點的。

1.1、多學科合作

計算機系統集成過程必須要與其應用領域的各種學科成果充分的集成到一起,也只有這樣才能更好的發揮計算機系統集成項目的集成作用,它屬于一個典型的多學科合作的集成項目。以商業進銷存管理軟件信息系統集成項目為例,不僅要需要用到計算機方面的知識,而且還需要用到各種商業邏輯和規則,此外,會計工作的一般方法和步驟以及相關的數學方程式和計算方法等都需要有所涉及。

1.2、具有創造性

計算機系統集成項目是一項具有明顯創造性的工作,不同的集成項目都由著自己的特點,即使是同一個行業的計算機系統集成項目在實施過程中都會產生很多的不同點,因此,每一個計算機系統集成項目都有自己特有的創造性工作,需要對實施過程中存在的一些特殊問題進行特殊的解決。

1.3、質量不可控因素多

和傳統的生產活動相比信息系統集成工作有很大的區別,傳統的生產活動經過長時間的發展探索,已經形成了自己相對固定的操作流程,但是計算機系統集成工作當前還沒有形成自身固定的行業標準或操作規范,而且不同計算機系統集成項目所處的環境都有著一定的區別,所以在計算機系統集成項目的實施過程中會有很多的不可控因素。

2、項目管理與計算機的信息系統集成

2.1、項目管理

項目是為了實現特有目的開展的臨時任務,每個項目均會不同程度接受時間目標、成本目標與目標范圍等約束,要獲取項目成功,需要考慮范圍、時間與成本因素,如中國長城與埃及的金字塔等,可說是最早項目。項目管理作為系統管理與科學管理,是領導方式下實施項目經理的責任制,在管理機構方面,堅持效益的最優原則,在管理方法方面,就得需要完善技術方案,并且給予一定程度上的支持。

2.2、計算機的信息系統集成內涵

所謂計算機的信息系統集成所指的是從事計算機應用與網絡的系統工程總策劃、開發、設計、服務與保障等。其內容包含軟件平臺的轉換、硬件平臺的整合、軟件系統的整合與功能開發等,系統集成可從軟硬件兩層次劃分,當前計算機的硬件與網絡設備已經形成了完善成熟的規范,硬件層次集成要簡單一些,軟件層面集成要比較的復雜。信息系統集成含有特殊性、一次性與臨時性等特點,容易受人員流動、環境變化與客戶需求等方面因素影響,并且系統集成還具有下列方面的特點:一是創造性強,計算機的信息系統集成要為用戶提供相關的軟件與硬件產品,依據客戶需求,提供可靠方案,并依據客戶特殊需求實施一次性創造,滿足客戶個性化的需求;二是綜合多學科性,系統集成項目含有許多學科的綜合知識,也就是需要網絡、計算機硬件、數據庫與軟件工程等技術,并要有 ERP 系統支持,展現其專業性與技術的高綜合性等特點;三是強技術性與不穩定性,系統集成項目具有很強的技術性,會受人員工作效率的影響,成員責任心、結構與能力等,均會影響項目完成質量與進度,對于集成項目,應加強團隊管理與人才激勵的方法。

3、信息系統集成中的項目管理問題

3.1、項目風險的管理意識欠缺,管理團隊不完善

在項目管理中,常有人把不確定性和風險混為一談,本質上看,風險與不確定性并不等同,風險和目標是相關概念,也就是說,風險是發揮作用不確定,此處的發揮作用,所指的是對一個或者多個的目標產生影響。在項目管理中,其主體為項目團隊,項目團隊在項目中具有重要的作用,在計算機的信息系統集成企業中,企業要實現項目管理的目標,其重要的前提條件就是具有高素質高水平的項目團隊。在大部分系統集成企業中,精通軟硬件的技術人才眾多,不過有關項目管理人員方面的人才較為缺乏,很多項目管理人員把規劃當作關注重點,卻忽視了技術、市場、成本與人力等方面,信息系統集成在技術工作方面的關注更多,在協調與溝通上的精力卻較少,從而致使財務及銷售等信息與項目整體相脫離。

3.2、范圍管理相對不完善

在計算機的系統集成中,范圍貫穿在集成項目管理整個過程中,對于某具體系統集成的項目來說,項目范圍明確,方能應對項目在執行中的潛在意外狀況,以確保項目順利的實施。集成項目管理基礎為需求分析,對于項目管理來說是很重要的內容,集成企業應在需求調查基礎上,向客戶普及有關需求分析的積極意義,以便于準確把握客戶要求。范圍管理在信息系統的集成管理當中具有決定性作用,只有將范圍管理處理恰當,下一環節工作方能有效開展,假如范圍管理處理不恰當,再多努力也不能有效發揮計算機集成系統的有效作用。

4、完善信息系統集成的項目管理措施

4.1、加強項目范圍的管理

在計算機的信息繼承中,客戶主要的業務要求可定義為信息系統集成項目的主要依據,即項目范圍應該將客戶項目作為業務目標,并遵守內部的價值鏈,并不是需要全部業務均涉及,而是應該以客戶的競爭優勢與管理效率作為提升目的。對項目集成企業來說,需要關注效率與效益兩方面。系統集成的項目范圍是指從客戶內部的管理需求作為起點,提出有關框架性的結構,將其所覆蓋的內容,像庫存、財務與采購等方面的管理,在項目管理下不要給以細化描述,而是用粗條方式,借助調查研究以完成項目細化工作,并時刻關注和控制項目的管理范圍,以確保項目時間、成本與質量等目的的實現。

4.2、完善風險管理機制

在信息系統集成企業中,經常會面臨各類項目管理與實施問題,面對利益評估、投資價值與不確定因素分析等問題,對于一個系統的集成項目來說,不論規模大小,一定會給用戶方帶來業務經營及管理等方面改變,讓系統的集成項目存在高風險的特點,加強項目實施的風險控制與管理,已成為信息系統集成項目實施的必要條件。在信息系統的集成項目中,風險管理能劃分成風險識別、分析、計劃、跟蹤與應對等步驟,而且項目風險管理貫穿在整個項目的過程中,在項目事件開始時,風險分析也要開始,可依據風險控制和事件出現的時間來劃分風險管理??蓜澐殖墒虑翱刂婆c風險管理的規劃、事中控制與風險管理的方法、事后控制與風險管理的報告等,為有效控制集成項目的風險,管理者也可組織專門項目風險小組,對潛在項目風險進行列表分析,尤其是會直接帶來經濟損失的風險。

4.3、加強項目團隊管理的完善

在信息系統集成的項目中,需要有強烈的創造與創新性,集成項目的最終成果在一定程度上是項目人員智力的投入,因此人力資源優劣性會對信息系統的集成項目管理水平具有很大影響,加強高效有序項目團隊構建是很必要的,在項目團隊構建中,需要配備基礎知識扎實、專業性強且精通管理方面經驗的領導,并篩選出高責任感、素質水平高與工作熱情的項目成員,以確保系統的集成質量。和其他項目相比,信息系統的集成項目更易出現意外狀況,像是人員變動、需求變化與同行競爭等,系統集成項目一旦確定,就需要高素質的項目團隊來進行保證。

結束語

在計算機技術的發展過程中,計算機信息系統的集成是信息技術和計算機技術發展的必然,二者的結合也符合計算機技術和信息技術的現實要求。從目前計算機信息系統集成的過程來看,為了保證計算機信息系統構建取得積極效果,應在系統集成過程中采用全面的項目管理,通過具體的項目管理方法和手段,提高系統集成的效果,滿足計算機信息系統集成的現實需要。所以,要想取得項目管理在計算機信息系統集成中的應用效果,就要對項目管理在計算機信息系統集成中的應用內容和特點進行全面分析,并根據計算機信息系統集成中項目管理的各個工作階段,認真分析工作內容和注意事項,保證項目管理的應用效果。

參考文獻

[1]張寶石. 計算機信息系統集成項目管理探析[J]. 計算機光盤軟件與應用,2013,01:46-47.

[2]孟祥儐. 淺析計算機信息系統集成項目管理[J]. 黑龍江科技信息,2013,07:123.

篇3

【 關鍵詞 】 風險評估;風險分析;項目管理

Implementation of Government Information Systems Risk Assessment

Yu Ying-tao 1 Li Xin 1 Xue Jun 2

(1.North China Institute of Computing Technology Beijing 100083;

2. Solid Waste Management Center,Department of Environmental Protection Beijing 100029)

【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.

【 Keywords 】 risk assessment; risk analysis; project management

0 引言

政務信息系統關系到國計民生,因此保障電子政務系統的信息安全是我國經濟與社會信息化的先決條件之一,是國家信息化建設的重要內容。如何保證政務信息系統的安全性,風險評估是一項很基礎的工作。通過對政務信息系統進行風險評估,可以了解信息與網絡系統目前與未來的風險所在,充分評估這些風險可能帶來的威脅與影響的程度,依據系統的風險和威脅,進行針對性的防范,做到“對癥下藥”,可以有效解決政務信息系統的安全問題。

1 政務系統風險評估概述

1.1 風險評估的概念

政務系統的信息安全關心的是保護政務信息資產免受威脅。風險評估是有效保證信息安全的前提條件,也是建立在網絡入侵防護系統、實施風險管理程序所開展的一項基礎性工作。其工作原理是對系統所采用的安全策略和管理制度進行評審,發現不合理的地方,采用模擬化攻擊的方式對系統可能存在的安全漏洞進行逐項檢查,確定存在的安全問題與風險級別。并根據檢查結果向系統管理員提供周密可靠的安全性分析報告,為提高網絡安全整體水平提供重要依據。

風險評估的目的是全面、準確地了解政務信息系統的安全現狀,發現系統的安全問題及其可能的危害,為后期進一步安全防護技術的實施提供了嚴謹的安全理論依據,為決策者制定網絡安全策略、構架安全體系以及確定有效的安全措施、選擇可靠的安全產品、建立全面的安全防護層次提供了一套完整、規范的指導模型。

1.2 風險評估的范圍

政務信息系統風險評估的內容與范圍需要涵蓋整個系統,包括系統安全管理的狀況、網絡及安全防護技術架構、通信鏈路、系統數據及業務系統加密情況、系統訪問控制狀況等。在政務信息系統的安全防護工作中,“人”是關鍵要素,無論系統所采用的安全技術、安全策略和安全手段多么現代化與智能化,都需要“人”去操作、運行和管理。如果信息系統的安全管理水平落后,人員素質不高,那么政務信息系統的安全性就會減弱,安全漏洞就會增加。

1.3 風險評估的原則和依據

1.3.1指導原則

由于政務信息系統風險評估涉及的內容較多,因此在進行評估時就需要本著多角度、多層面的原則,從軟件到硬件,從理論到實際,從技術到管理,從設備到人員,來具體制定詳細的評估計劃和分析步驟,避免遺漏。在評估時一般需遵循的如下幾個原則:標準性、可靠性、可控性、保密性、技術先進和成熟性、全面性、高效性、持續性。

1.3.2相關法規和政策

《中華人民共和國計算機信息系統安全保護條例》(國務院令147號);

《商用密碼管理條例》(國務院令 273號);

《計算機信息系統安全保護等級劃分準則》;

《計算機機房場地安全要求》(GB9361-88);

《信息安全技術-信息安全風險評估規范》( GB/T 20984—2007)。

2 政務信息風險評估工作流程

2.1 系統調查

開展政務信息系統風險評估的第一步就是進行系統調查。通過調查政務信息系統上運行的所有應用,了解系統主要業務的流程,清楚的掌握支持業務運行的硬件基礎設施的結構及安全系統現狀,收集風險評估所需的系統全部信息。在進行系統調查的同時,還需對系統風險評估的評估范圍進行分析、界定。對系統邊界進行明確定義,有助于防止不必要的工作,并對改進風險評估的質量都是很重要的。

篇4

【關鍵詞】 醫院信息系統 網絡安全 入侵檢測 深度包過濾

一、 引言

隨著大數據、云計算和互聯網技術的快速發展,醫院已經購買了先進的數據庫服務器、Web服務器、防火墻服務器、路由器、交換機等設備,組建了現代化的光纖網絡,部署了病房管理系統、藥房管理系統、遠程診斷系統等多個系統,提高了醫院的自動化水平[1]。但是,由于醫院的醫師、護士、管理人員以及患者等多為普通用戶,沒有經歷過專業的計算機操作訓練,操作互聯網不規范,非常容易造成系統數據泄露,攜帶的病毒或木R感染醫院信息系統,因此亟需構建一個網絡安全管理系統,采用先進的網絡安全維護技術,比如入侵檢測技術、狀態檢測技術和深度包過濾技術等,保障醫院信息系統網絡正常運行。

二、醫院信息系統網絡安全管理現狀

醫院信息系統承載網絡經過多年的運行,面臨著許多的安全威脅,比如黑客、病毒和木馬等,這些安全威脅在感染、侵襲、破壞網絡的過程中呈現出了很多新的特點,比如攻擊渠道多樣化、感染范圍擴大化、潛藏周期長期化[2]。

2.1攻擊渠道多樣化

目前,醫院信息系統覆蓋的范圍越來越廣泛,并且多家醫院聯合開展診療活動也成為一個新趨勢,這些醫院把智能手機、平板電腦、PC電腦等終端設備接入到網絡。這些系統集成時采用的網絡拓撲結構包括星型網絡、無線網絡、總線型網絡等,每一個接入的環節都可能成為攻擊的渠道,不同設備的開發技術、系統架構集成在一起,也容易造成系統漏洞,無形中增加了互聯網攻擊渠道。

2.2感染范圍擴大化

隨著黑客采用的技術增多,開發的病毒、木馬擁有了更加強大的感染能力,如果某一個醫院信息系統感染病毒或木馬之后,其可以利用高速的網絡帶寬迅速在局域網范圍內傳播,感染醫院局域網中的所有服務器、終端設備,感染范圍呈現了擴大化和快速化特點,網絡安全事故一旦爆發,將給醫院信息系統帶來嚴重的災難,造成不可估量的損失。

2.3潛藏周期長期化

醫院信息系統采用的殺毒軟件和防御技術的水平越來越高,普通的病毒、木馬一旦爆發將會被識別出來,被防御工具所狙殺。因此,許多黑客改變了傳統的破壞模式,隱藏的周期越來越長,長期地、持續地對醫院信息系統進行攻擊,造成許多的機密數據被盜用。

三、醫院信息系統網絡安全維護

醫院信息系統網絡面臨的安全威脅形勢越來越嚴峻,因此需要采用先進的網絡安全管理和維護技術提高防御能力,常用的網絡安全管理和維護技術包括狀態檢測技術、入侵檢測技術和深度包過濾技術,其可以積極主動地分析網絡集成的設備運行情況,識別承載的應用軟件存在的漏洞,也可以采集網絡數據流,發現這些數據中是否存在木馬或病毒,一旦發現則啟動防御系統。

3.1狀態檢測技術

醫院網絡集成的軟件系統越來越多,這些系統采用了不同的架構、程序設計語言和數據庫,系統集成存在一些不兼容的現象,產生了安全漏洞。狀態檢測技術可以感知醫院網絡中接入的所有設備、應用軟件的運行狀況,根據系統運行的日志信息、網絡傳輸數據流感知上下文信息,構建一個完善的醫院網絡狀態掃描路徑圖,針對這些路徑包含的內容進行實時的掃描,感知醫院網絡中數據狀態內容,確定各個動態的監測項是否正常。

3.2入侵檢測技術

醫院網絡入侵檢測可以實時地采集、分析網絡中的流量信息,發現網絡中是否存在不正常的數據,從數據中發現病毒、木馬和黑客攻擊的特征,進而可以及時地啟動防御系統。入侵檢測作為一個主動防御技術,可以積極地對系統進行安全防御,避免攻擊威脅利用漏洞攻擊網絡。

3.3深度包過濾技術

深度包過濾技術可以利用硬件技術,將黑客隱藏在數據包內的威脅識別出來,并且可以將其部署于一個專用的防火墻上,使用硬件快速地采集網絡中數據流量包,然后針對包頭、包內數據進行分析、識別和處理,及時地發現不正常的數據包。

四、結束語

醫院信息系統網絡安全管理和維護是一個長期的、系統的和動態的過程,未來需要引入更加先進的數據分析、可視化交互技術,以便提升網絡安全管理性能,保證網絡安全升級維護的有效性。

參 考 文 獻

篇5

[關鍵詞]信息系統;審計;

doi:10.3969/j.issn.1673 - 0194.2017.12.017

[中圖分類號]F239.1 [文獻標識碼]A [文章編號]1673-0194(2017)12-00-02

1 信息系統審計的演進

“信息系統審計”(IS審計)是近些年我國出現的新概念。在國外,尤其是美國、日本等發達國家,信息系統審計已經發展到相當程度,但在我國信息系統審計才剛剛起步。它是與企業信息化過程緊密聯系的,是審計技術與信息技術共同發展的必然產物。

20世紀中葉,計算機及其技術開始應用于企業的經營、管理。20世紀50年代,計算機第一次應用于工商企業――使用打孔卡作為數據存儲和批處理。20世紀60年代,工業500強中超過50%的公司廣泛使用電子數據處理操作。1975年,至少有20萬臺主機應用于企業,而物料需求計劃(MRP)進入第二代物料資源計劃(MRPⅡ)。但由于當時審計人員可用的審計軟件(GAS)過多,導致組織在投資這些審計軟件時不得不考慮成本效益,因此,從20世紀60年代到80年代,電子數據處理(EDP)相關(內部)審計技術應用緩慢。20世紀90年代,世界經濟處在即將步入21世紀信息(技術)時代的頂點。

2 信息系統審計的業務范圍及一般流程

2.1 信息系統審計的業務范圍

信息系統審計的業務范圍應包括與信息系統相關的所有領域,主要為:①對組織的信息系統審計,集中在對信息技g的管理控制;②技術方面的信息系統審計,包括構架、數據中心、數據通信等;③應用的信息系統審計,包括經營、財務;④開發實施信息系統審計,包括需求識別、設計、開發以及實施后階段;⑤信息系統的合規性審計,主要指信息系統是否符合國家或國際標準的審計;⑥電子商務審計,包括網譽審計、電子簽名審計業務等。

具體而言,信息系統審計的業務范圍有:①信息系統開發計劃、管理及組織架構的戰略、政策、標準及相應實踐過程的評估;②信息資源在運行環境、邏輯訪問、IT基礎設施等方面安全性的評估;③業務流程風險管理水平的評估;④災難恢復及業務持續能力的評估;⑤技術基礎設施及運行實踐的效能以及效率的評估;⑥對于系統開發、實施與維護方法和過程的評估;⑦財務系統的評估。

2.2 信息系統審計的一般流程

信息系統審計的一般流程,與普通審計基本相同。審計過程一般可劃分為準備階段、實施階段和終結階段。

2.2.1 準備階段

信息系統審計的準備階段是整個審計程序的重要環節,這個階段是整個審計過程的基礎階段,這個階段的工作難點在于面對海量的數據。相關人員如果不使用風險分析方法,不關注內部控制,直接對信息系統的數據開展詳查,容易導致對審計認識不足、準備工作不全面的不利局面。因此,有必要系統分析解決問題可以采取的方法、步驟,以及應注意的問題,并加以綜合探討。

2.2.2 實施階段

審計實施階段是根據審計準備階段對企業的調查、審計風險的分析,確定審計內部控制測試和實質性測試的程序和范圍,以此判定需要哪些數據信息,并對被審計單位及其信息系統展開審計活動的具體工作階段。其主要任務是:按照信息系統審計方案所確定的審計內容、范圍、重點和方式等要求,采用相應方法查明情況,對取得的各種證據進行鑒別、分析,判明是非和找到問題的本質,做出客觀公正的評價,并醞釀處理意見和改進建議。

2.2.3 終結階段

具體的實施工作完成后,將進入終結階段。終結階段的主要工作包括:①整理歸納審計資料,反映內控制度的結果,并揭示問題、明確責任、發現違法線索;②撰寫審計報告,在審計報告中,應著重說明發現了哪些問題,并建議被審計單位進行改進;③與被審計信息系統管理者進行溝通;④發出審計結論和決定;⑤審計資料的歸檔和管理。

3 積極開展信息系統審計的重要意義

當今,信息化的發展已經達到了新的高度。許多企業開展了電子商務業務,并著手整合、升級自身的管理信息系統。信息系統作為企業現代化發展的重要標志,日益被眾多企業重視,越來越多的信息系統陸續被應用于企業日常的經營、管理活動中,但也要看到信息系統規模的擴大、功能的增加也會給企業帶來更大的風險。且社會對審計的要求也越來越高,需求越來越多,許多傳統審計不能解決的問題,需要由信息系統審計來處理。因此,積極開展信息系統審計具有重要意義。

3.1 信息系統審計可以為利益各方提供有效的鑒證業務

被審計單位信息系統產生資料的真實性、可靠性、完整性,關乎企業本身的決策,影響著企業的生存與發展,同時這些信息對利益相關者也十分重要。但由于現實原因,信息使用者無法親自對這些信息一一鑒別,且信息系統具有容易刪除數據或篡改數據而不會留下痕跡的存儲特征,導致信息系統在缺乏管理控制條件下產生的數據信息同樣缺乏可信度。

由此可見,信息系統審計對信息系統內部環境安全控制,以及所產生數據的鑒證、評價作用是十分重要的,針對這些信息的真實性、完整性進行獨立、客觀的審計,且由此產生的公允、客觀的審計報告,對合理保證資產的安全、數據的完整、系統有效實現組織目標并有效利用組織資源,乃至支撐整個信息化事業的發展,以及社會對信息化事業的信心具有舉足輕重的作用。

3.2 信息系統審計可以為企業管理者以及業務人員提供及時的咨詢活動

在信息系統審計過程中,信息系統審計師能夠憑借自身,在構建、完善企業內部控制、信息系統管理等方面的專業知識、工作經驗,根據企業的實際需要,為企業的管理者以及業務人員對現有的組織結構、業務流程、軟件功能進行調整,以使之更好地適應企業的發展,并幫助降低信息化帶來的風險。

為了進一步與國際接軌,建立起高效、迅速的現代物流系統,海爾集團請專業的IS審計人員對現有的物流系統進行評估。在審計評估的基礎上,海爾集團結合企業自身的實際情況,改進了現有的物流系統,采用了SAP公司的ERP系統和BBP系統(原材料網上采購系統)。ERP系統和BBP系統采用以后,打破了原有的“信息孤島”,使信息同步集成,提高了信息的實時性與準確性。

3.3 信息系統審計可以幫助企業更快、更好的發展

實施信息系統審計后,企業可出具具有一定法律效力的審計報告。同時,信息系統審計師也可以通過在線的方式,實時鑒證企業的信息。審計報告、實時鑒證對于企業的利益相關者來說具有重大的價值。如果通過審計報告、實時鑒證證明該企業信息系統產生的信息是可信賴的、完整的,將有利于利益相關者對企業經營活動的監督,同時也有利于企業的融資活動,促進企業快速發展。

4 結 語

信息系統審計對于審計信息化和審計現代化建設,以至整個信息化事業的發展具有重大意義。但目前我國的信息系統審計工作尚處于起步和探索階段,與國際上信息系統審計已經體系化、標準化、程序化相比,存在明顯的差距,尤其是缺少專業準則作為指引;缺少大量能夠全面開展信息系統審計業務的隊伍作為支撐;缺少“通用”“專業”的審計軟件作為保障。面對目前日益發展的信息技術、擴大的信息系統審計領域,以及風險導向型審計的新要求,相關人員必須借鑒外國的先進經驗,結合我國信息化的實際特點加強自身學習,了解并掌握信息系統審計所需的知R,不斷提高信息系統審計的質量,不斷推進審計向現代化發展,從而做好真正意義上的風險基礎模式的審計業務。

主要參考文獻

[1][美]貝利,格拉姆林,拉姆蒂.內部審計思想[M].王光遠,譯.北京:中國時代經濟出版社,2006.

篇6

關鍵詞:信息系統審計

隨著我國經濟社會發展進入信息化時代,信息技術在財務會計、管理領域的應用程度不斷提高,信息系統審計逐漸受到社會各界的重視,信息系統審計逐漸成為審計工作中一個嶄新而重要的領域。但是,我國在審計信息化建設中還存在一些問題,審計部門和單位對信息系統審計的有關情況了解不多,信息系統審計的積極作用尚未有效發揮。但是,只要樹立起正確的審計觀念,加快法律法規體系的制定,不斷發展和壯大信息系統審計隊伍,就能不斷提高我國信息系統審計和審計信息化建設水平,促進市場經濟更好更快發展。

一、信息系統審計的概念

目前,國際上對信息系統審計(Information system auditing)還沒有公認通用的定義。1985年,日本通產省認為:信息系統審計是由獨立于審計對象的信息系統審計師,站在客觀的立場上,對以計算機為核心的信息系統進行綜合的檢查、評價,向有關人員提出問題與勸告,追求系統的有效利用和故障排除,從而使系統更加健全。國際信息系統審計領域的一些權威專家將信息系統審計定義為:“信息系統審計是收集并評估證據以判斷一個計算機系統(信息系統)是否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟的使用資源”。

二、信息系統審計的發展過程

信息系統審計是現代信息技術和審計技術發展和相互結合的客觀產物。

(一)信息系統審計是信息技術發展的產物

在信息系統審計的萌芽階段(80年代初),信息系統審計主要稱為計算機審計。在這一階段,計算機的應用比較單一,計算機審計的重點是運用計算機對被審計單位數據進行收集、分析、計算等,嚴格意義上還稱不上信息系統審計。在這一階段,計算機審計的主要業務內容僅僅是針對被審計對象的金額、賬戶和報表等進行檢查,其作用僅限于對客戶的電子化會計數據進行處理和分析,屬于審計程序中的實質性測試環節。因此,在當時的情況下,計算機審計只是傳統財務審計業務的一種輔助工具。

隨著信息化的不斷深入發展,特別是踏入21世紀,計算機技術應用范圍也在不斷擴展,計算機審計所關注的內容也從單純對電子數據的處理延伸到對計算機系統可靠性和安全性的評價上來,因此,計算機審計的業務內容已經擴展到了符合性測試領域。這時,計算機審計的業務范圍已經覆蓋了審計業務的全過程,嚴格意義上的信息系統審計已初步產生。

(二)信息系統審計是審計技術發展的結果

隨著現代審計理論與技術的發展,審計經歷了詳細審計、系統審計和風險審計三個階段。從現代審計理論來看,現代審計十分強調對系統控制的依賴。在會計信息手工處理的環境下,對系統的控制是由人工完成的,對系統控制的了解和測試也只能由審計人員憑借財務審計知識來判斷。在信息化的飛速發展過程中,審計工作需要處理的數據量不斷增加,面對龐大的數據,進行人工審計是不可想象的。隨著計算機信息系統的介入,對系統的控制更多地由計算機來完成,使得審計人員對信息系統的控制更加依賴,信息系統審計因此可以作為一項獨立的審計任務。

三、信息系統審計的目標

信息系統審計的目標,是通過對信息系統進行合規性、可靠性、安全性和有效性的審計,評價被審單位信息系統中輸入、處理、存儲、輸出的電子數據的真實、完整性,查找和發現被審計單位在信息系統管理上存在的問題,并提出改進信息系統管理的相關建議。

四、信息系統審計的主要內容

信息系統審計的內容是由信息系統審計的對象決定的,信息系統的審計對象是被審計單位的計算機信息系統及其相關內部控制措施,因此,信息系統審計的主要內容包括以下方面:

(一)信息系統組成部分審計

信息系統由計算機硬件、系統軟件、應用軟件等部分所組成。由于計算機硬件和系統軟件的可靠程度較高,在審計過程中發生變動的可能性較小。因此,信息系統審計在實踐上主要以應用軟件(或應用程序)審計為主要內容。應用軟件(或應用程序)是信息系統的核心,其對經濟業務的處理是否正確,直接關系到信息系統的可靠性。

(二)信息系統一般控制審計

信息系統的一般控制也稱信息系統管理控制,是從管理的角度來對信息系統進行的內部控制。信息系統一般控制的對象包括:組織管理、數據資源管理、信息系統環境安全管理、信息系統運行管理。信息系統的一般控制適用于整個信息系統,為信息系統提供良好的工作條件和必要的安全保證。對信息系統一般控制的審計,是信息系統審計的重要內容。

(三)信息系統內部控制審計

根據內部控制在信息系統中的作用和范圍不同把信息系統內部控制分為一般控制和應用控制。一般控制是適用于所有應用系統為應用系統提供環境上的保證,其目的在于保證所有的信息處理的準確性、完整性和可靠性。應用控制與具體的應用系統有關,其目的在于確保數據處理完整正確。

(四)信息系統應用控制審計

信息系統應用控制是從具體技術層面對信息系統的數據傳輸、數據處理和存儲管理進行控制,以保證信息系統安全、可靠、高效運行。信息系統應用控制審計包括:對輸入控制的審計、對處理控制的審計、對通信控制的審計、對數據庫控制的審計、對輸出控制的審計。

篇7

【關鍵詞】施工企業;全面預算;信息系統;思考

全面預算管理信息系統作為一種現代企業管理手段,可以幫助企業實現資源的優化配置,有效的控制成本。并且克服預算控制的不足、預算編制的繁瑣、預算分析的片面性。隨著社會的不斷推陳出新,企業必須建立一個將戰略目標轉化為執行能力的管理體系,而全面預算管理信息系統正是這樣一個連接戰略和執行能力的管理工具。

一、施工企業全面預算管理信息系統應用存在問題

施工企業預算管理信息系統通過編制、分析、控制、調整、決策支持來實現企業資源的最佳配置和降低成,預算管理信息系統越來越普遍。但就目前應用的情況看來,施工企業預算管理信息系統仍然存在一些問題。

1.信息化應用范圍存在局限性

在我國,施工企業的全面預算管理信息技術還局限于部分企業,而在這些企業中信息技術往往又局限于局部的過程。在此同時,信息系統應用的推廣也僅僅停留在企業的管理層和實際操控人員,有的甚至僅在企業的財務管理中有所應用,并沒有在一定的范圍形成網絡和信息的共享平臺,各部門缺乏必要的信息交流與互動,沒有真正實現資源共享。現階段信息技術充其量只不過為施工企業預算管理提供了工具,而并沒有帶來工作模式的根本性變革和實際應用上的便捷。

2.系統動態性滯后

當前的全面預算管理信息系統是在早期施工企業全面預算管理信息系統的基礎上更新發展的,因此還不夠完善,預算管理信息系統在面對突發狀況時的處理方式還不夠靈活,預算在面對突發狀況時也沒能快速的進行新的預算。而當前施工企業在工程施工過程中常常會出現各種不可控因素,如天氣變化引起的工期推遲;預算實際執行過程中,工程發生改變或初期對預算情況的估計偏差要進行新的預算計劃;施工材料的自然損耗等,在面對這些不可控因素時,預算管理信息系統缺乏健全的完善的信息反饋機制,對不可控因素無法做到及時反饋實時信息,并進行全面且深入的分析,從而不能客觀及時的做出調整,動態性相對滯后。

3.系統不夠滿足企業的需求

全面預算管理信息系統在施工企業的應用實質上是為了滿足企業對全面預算管理提出的需求。對于全面預算管理信息系統而言,充分了解客戶提出的需求是信息系統不偏離方向、不擴大實施范圍的根本保證。對于企業提出的需要,要能夠分清楚哪些是核心需求,哪些是重要的業務需求,哪些又是一些華而不實的特性,且需求信息是否正確的傳達。要將核心需求作為系統應用時最重要的部分,其他需求可以根據預算和預測的周期長短在未來予以實施。但目前而言,全面預算管理信息系統在這一方面并不夠完善。

4.當前信息系統的安全存在威脅

目前阻礙全面預算管理信息系統發展的主要原因就是操作風險以及網絡系統的不安全性。操作風險主要包括操作程序不規范和操作人員防范意識不強造成的風險。如操作人員缺乏安全意識和網絡安全防范措施,對于網上下載的電子郵件或會計信息資源不做安全性技術檢查、測試;操作人員對全面預算管理信息的非法訪問、篡改、泄密和破壞等方面的風險。系統權限的濫用也是全面預算管理信息系統存在的問題之一,若權限未經允許給未授權的人使用或權限的濫用,將會給施工企業帶來巨大的損失。上述安全性問題一方面降低了全面預算管理系統的保密性,同時降低了全面預算管理信息系統的穩定性。

5.缺乏預算管理信息系統人才

選合適的人,做合適的事,是組建全面預算管理信息系統項目實施小組應該遵循的基本原則。組建一個好的預算項目小組是一件不容易的事情,在從組織內部挑選人員的時候一定要注意所挑選的人員能夠在預算管理的崗位上長期干下去,而且本人也對預算管理工作投入比較大的興趣,能夠全程參與到項目的整個實施過程中去,能夠并且也愿意作決策并盡力實現目標。目前,公司的全面預算管理現狀是有的單位由財務部門負責,有的單位由經營部門負責,有的單位有專職人員管理,有的單位是兼職人員負責,而有的單位特別是項目部根本就無預算管理人員,造成預算編制不準確、分析有困難。

二、完善施工企業全面預算管理信息系統對策

1.全方位推廣預算管理信息系統

就目前的情況而言,應該將全面預算管理信息系統全方位的推廣。預算管理全面預算管理“全”的特殊性決定了其管理信息系統的實施不只是財務部門的事情,應該是企業綜合的、全面的管理,而“全”也應該在所有施工企業。因此,預算管理信息系統需全體員工的積極配合與參與,同時進行全程的控制。在建立新的信息系統后它與企業原有的管理信息系統完全融合,成為各類數據匯集中心,通過分析處理與不同數據之間的聯系。起到對全方位、全過程都具有約束力的作用。是一個全員都有可能使用到的系統。由此可見,施工企業必須全員、全方位、全過程的推行全面預算管理信息系統,真正將預算管理信息系統推行到施工企業各個細節。

2.建立有效的動態運行機制

建立完善的全面預算管理信息系統,既是預算管理本身的需要,也是實行動態管理的基本要求,鑒于當前施工企業預算管理系統動態性的滯后,與實際工作結合的不夠緊密。因此,應及時對當前系統進行改善,加強信息系統的動態性,以期發揮其在施工管理中的全面作用。

首先,對于系統的業務功能方面,預算編制應該更貼切實際情況,以施工企業未來活動的預測為基礎,充分的將預算計劃與實際情況相結合,這樣才能真正符合實際工程。預算執行方面,應對每月、每季的預算執行情況進行分析,確保預算執行的應變能力得以加強。

其次,對于預算管理信息反饋不夠及時方面,應通過預算管理信息系統,提高上下級的溝通效率,各部門進行及時的對接,實現數據的實時共享,保證預算能及時進行調整。

最后,預算管理信息系統在已有的預算數和實際發生數之間應能自動生成簡潔、數據勾稽清楚符合需要的各種報表并簡單、多維度的分析,而不需要用戶自己再通過定義復雜的公式導入相關信息來對數據進行展現,從而提高時效性。施工企業也能更加動態的應用全面預算管理信息系統。

3.有針對性的滿足企業需求

全面預算管理信息系統應用的實質是滿足企業對全面預算管理的要求,即企業對系統提出的需求。對于項目實施小組而言,根據需求不擴大實施范圍是保證不偏離方向的重要原則。但面臨重新梳理構建的大量財務需求必須要能夠清楚的分辨出核心需求和重要的業務需求之間的差異,哪些是現階段必須達成的,哪些是現階段不能達成以后可能達成的,哪些只是不必要的、繁瑣的、華而不實的要求。要將核心需求作為項目實施時最重要的部分。其他需求可以根據預算和預測的周期長短在未來予以實施或不予實施。只有充分了解客戶的需求,將核心需求與其他需求進行合理評估,才可以制定出相應的實施方案,使整個過程不偏離方向、不做無用功。

4.加強預算管理信息系統安全性設置

必須加強全面預算管理信息系統的網絡安全性。網絡安全控制主要解決網絡互聯時通訊層的安全問題。保證網絡系統提供數據傳輸和交換的完整性、保密性和可能性,提供透明的加密信道以保證數據傳輸的安全。計算機病毒檢測技術是指通過一定的技術手段判定計算機病毒的一門技術,加強全面預算管理信息系統的安全性設置,需要在系統的設計、分析等方面進行研究。首先,在進行全面預算管理信息系統設計時,對訪問的用戶功能的設計,也即用戶權限的設置要合理恰當。其次,分析全面預算管理信息系統可能存在的安全風險,充分考慮可能發生的安全事件,設計針對這些預見性問題的全面預算管理信息系統,建立信息備份和數據恢復功能。

5.選擇并培養專業人才

從長遠看來,提高施工企業預算管理信息系統方面的專業人員素質,才有可能使施工企業預算管理走上國際化道路。要優化預算管理人員,使預算管理信息系統得到強化,從而配備高素質的預算隊伍。對于施工企業來說,高水平的預算人員更是施工企業的重中之重。施工企業預算管理信息系統要求預算人員要了解施工技術、工程校審、企業管理、財務會計等多方面知識,同時要具有良好的職業操守和高度的責任感,在提升自身工作能力外,還應深入現場了解施工程序。注重預算人員的培養,為他們提供條件,創造機會進行鍛煉,鼓勵支持預算人員多參與現場的管理活動,這樣才能保證預算人員能夠更清楚更熟練的操作預算管理信息系統。

為了施工企業更好的發展,推行全面預算管理信息系統勢在必行。施工企業通過全面預算管理信息系統,加強信息和資源的集中與共享,對提升施工企業整體管理水平具有重要的意義。

參考文獻:

[1]馮麗梅.淺談預算管理及其信息化[J].中國鄉鎮企業會計,2011,7:71-72.

[2]權治國.淺議全面預算管理信息系統的實施[J].會計之友,2009,22:33-34.

篇8

【關鍵詞】 護理管理;信息化建設

doi:10.3969/j.issn.1004-7484(x).2014.04.403

文章編號:1004-7484(2014)-04-2131-02

信息技術的滲透力極強,具有強大的增效功能,其迅速的介入,使醫院管理領域發生了較大變化。1992年,計算機信息技術在醫院診療工作上的應用,標志著醫學診斷技術的重大飛躍。近年來,醫院信息化建設正在飛速發展,并逐漸成為實現醫院可持續發展和科學管理的重要手段。護理工作作為醫院管理工作的重要內容,由于其管理特點,成為了廣泛應用信息系統的組成部分。因此,深入研究護理工作,促進護理管理的現代化建設與可持續發展,應加強護理管理的信息化建設。

1 護理工作與醫院信息系統應用的聯系

醫院信息系統,即醫院管理信息系統,也就是利用網絡通信技術、計算機技術等現代化技術手段,綜合管理醫院的物力、人力、財力,采集醫療活動的數據并進行處理、儲存、匯總、加工生成各種信息,為醫院的運行提供各種服務信息的全面管理。醫院管理信息系統是將信息技術與管理思想相結合的精品,是一種有效的管理手段。護理管理工作在醫院工作中占有重要地位。護理人員數量多,護理工作范圍廣,貫穿于病人就診、治療、出院的全部過程中,因此,護理工作的管理更需要標準化、規范化,而信息技術正符合護理管理的需要,所以進一步加強和規范護理管理工作的信息化十分重要。

1.1 醫院信息系統的數字性與護理工作的復雜性 由于護理工作十分繁雜,其管理需要依靠信息技術去量化,以實現管理工作的規范化、標準化。醫院信息系統可以讓護理工作人員通錄入工作信息,進而實現工作行為思維數量化,其不僅可以客觀反映護理人員的工作規律,也方便管理者實施管理流程,提高管理效率,除此之外,護理管理量化也可實現嚴格管理,強化落實規章制度,從而提高護理服務的質量。

1.2 醫院信息系統的共享性與護理工作的管理形式 護理工作的范圍廣、程度繁雜,因此其管理工作難度大。例如業務查房、調整班次、護理質量監控等,其管理過程費時費力,且管理信息反饋所需時間長。運用醫院管理信息系統,不但可以實現信息資源共享,還利于信息快速流通,進而及時反饋護理信息,完善工作中的不足。

1.3 醫院信息系統的時效性與護理質量監控 護理工作貫穿于病人就診、治療、出院的全部過程中,實現對護理工作過程的質量監控,就應注重管理每一個環節的護理質量,實行護理環節質量監控,增強護理質量管理工作的實際意義。醫院管理信息系統應用可對信息發生點進行記錄,其信息錄入具有實時性,使信息管理具有時效性,使環節質量管理得到了可靠保證。除此之外,醫院管理信息系統可以自動標記任何時間內每個崗位的工作信息,簡化了環節質量分析和評價工作,使之有的放矢。

1.4 醫院信息系統應用的廣泛性與崗位的多樣性 醫院信息系統涉及醫療工作管理的全部過程,任何部門的問題均會為醫院整體效益帶來影響。護士崗位涉及醫技科室、衛生經濟、臨床科室以及醫療統計部門,醫院信息系統應囊括多種護理崗位的工作范圍。護理崗位應成為醫院信息系統的最早參與者、最活躍的群體,必將受益極大,最終提高工作效率和質量以及管理水平。

1.5 醫院信息系統的集成性與護理工作效率 醫院信息系統集成了醫院各方面的管理,對醫院管理工作流程實現了重構和優化,網絡作業有效的規避了人力資源的浪費,緩解了護理人員工作壓力,同時增加了護理服務時間,使護理服務得到改善,進而提高了護理工作的質量和效率。除此之外,醫院信息系統的集成性使醫院分割式管理模式向一體化管理模式轉化,使單項管理變為多方面的控制,護理工作和管理活動也將變得透明,進而提高了醫院整體管理水平。

2 提高護理管理水平與醫院信息化建設的聯系

醫院信息化建設是其實現科學管理的必備基礎,醫院信息系統的應用可以體現醫院管理水平。護理管理是醫院信息化建設的重要方面,因此,護理管理者應積極參與醫院信息化建設,提高自身管理能力和知識水平,促進護理管理發展。

2.1 更新護理管理觀念 提高服務質量和科學管理的水平,實現管理效益的最大化,應強化信息意識,運用信息去發現并解決問題。醫院運行醫院信息系統后,標準制度、傳統工作模式以及醫務人員的觀念等均會發生不同程度的改變。管理者觀念對實施管理影響重大,管理者的信息意識是提高管理水平的關鍵性因素。在此,護理管理者應加強學習,不斷強化信息意識,探索護理管理規律,積極參與醫院信息化建設活動,以滿足護理管理發展的要求。

2.2 探索護理管理方法,努力實現醫院信息化建設的創新 信息化管理改變了護理工作模式和各崗位工作流程,護理管理方法也將隨之發生變化。應用醫院信息系統后,護理人員的工作通過計算機終端錄入的信息來反映,信息發生過程反映了工作質量。因此,護理管理者應熟悉系統功能,還應該掌握數據分析、管理方法。例如病人入院、處置、核算、交費、出院等流程中的信息處理,可以通過監控工作截面來實現。在此,我們應利用信息技術,加快護理管理軟件的開發,把先進的護理管理思想轉化為工具,在醫院管理信息系統的基礎上,不斷擴充護理管理領域,依靠科技提高護理管理水平。

3 結束語

綜合上述,全面加強醫院現代護理管理,我們應以醫院信息化發展工作為中心,不斷探究醫院信息系統管理與護理工作相結合,轉變護理觀念,在新形勢下不斷進行護理管理創新,順應護理管理的科學發展。在此鼓勵護理管理者積極參與醫院信息化建設活動,提高自身管理水平,為護理管理信息化建設做出貢獻。

參考文獻

[1] 樊曉玲.護理管理與醫院信息化建設[J].護理管理雜志,2012,2(1):33-35.

[2] 白利峰.醫院信息化建設在醫院管理中的應用研究[J].中國醫藥指南,2012,10(36):652-653.

[3] 胡小波.計算機網絡在醫院信息化建設中的應用[J].醫療裝備,2011,22(7):26-29.

篇9

關鍵字:會計信息化 信息工程監理 必要性 實施監理

21世紀,信息技術的突飛猛進,會計這一傳統職業正隨著信息化的發展進行著深刻的變化。在信息,信息化能極大的提高企業的核心競爭力,而會計信息化是企業信息化核心的之一;社會的快速發展和社會分工的細化,使得企業的邊界越來越模糊,會計信息更加分散;會計信息化就是要充分利用社會的優勢及時、準確的進行會計信息采集、存儲和處理,為企業管理、、決策提供強有力的信息支持。由于會計信息化系統是一個復雜且專業性極強的信息系統工程,為了提高和保證會計信息化建設的質量,有必要在會計信息化建設中引入中立、客觀、專業的信息工程監理制度。

會計信息化和會計電算化的區別

我國從70年代末期開始引入會計電算化,信息技術在財務領域得到快速發展,由過去獨立的、核算型的會計電算化,發展為現在網絡化的、與其他信息系統互連的、面向管理和決策的會計信息化。會計信息化在會計電算化的基礎上產生了質的飛躍。討論會計信息化首先需要分清會計信息化和會計電算化的區別。

會計電算化產生于社會,一般作用于財務部門范圍內,設計時只考慮了財務部門的需要,與業務處理和管理控制相分割的獨立的信息系統;它是基于手工會計系統的基礎發展而來,模擬人工業務流程,主要是為了減輕手工操作系統的重復性勞動,提高工作效率;現行的會計電算化系統由于所產生的環境束縛和基礎,決定了它是以事務處理為主的事后核算型信息系統。

會計信息化是建立在信息技術環境下的會計信息系統,它充分利用機技術和網絡技術,通過計算機網絡自動、及時、準確、完整的采集、存儲、處理整個企業財務信息,對外獲取和披露相關信息;會計信息系統不再是信息孤島,它是企業信息化中的非常重要的組成模塊,和企業信息化中其他模塊唇齒相依;會計信息化系統是從企業管理者角度來設計的,強調管理型會計模型,充分發揮會計在企業管理和決策中核心作用,使得會計工作真正從核算型會計向管理型會計轉變,會計核算只是其主要職能中的次要職能;會計信息化對會計信息處理流程進行根本性的改變,它基于事件驅動模型,用集成化的方式,面向對象的進行設計,使其能為會計信息使用者提供準確、完整、及時、合理的會計信息。會計信息化將從兩個方向發展:面向日常事務處理的基于事件驅動的企業內集成的會計信息系統;面向分析處理的智能型會計決策支持系統。

信息化工程監理的職能

信息系統工程監理是指在大型信息系統工程建設中引入第三方參與的管理機制,在業主或項目建設管理機構的授權委托下,根據項目的建設目標、業務需求和質量標準,對承建方提出的技術方案、項目管理活動以及系統設計、開發、集成和實施部署等活動進行全方位、全過程的審核、監督和控制,以保證項目在預算范圍內按時按質完成,保護業主的利益,規避或降低項目的風險。信息工程監理主要有六個方面的職能:

(一)評估職能。監理方根據業主提出的系統建設的構架和需求,提出可行性評估意見;同時對承建方的資信以及提交的項目建議書和實施方案進行評估。從而保證系統建設總體方案的性、先進性、實用性與合理性,為項目的順利實施打下良好的基礎。

(二)審核職能。監理的審核職能主要包括兩個方面。一方面在科學評估的基礎上,對信息系統建設工程的合同進行審核。由于信息系統建設工程合同屬于專業性很強的技術合同,不僅涉及各種技術細節,還包括業務流程、知識產權和雙方的權責等方面。另一方面,對雙方的各種開支、技術報告與資料、工程計劃與組織實施方案、系統工程的結算、以及各種軟硬件的型號、規格和質量等進行審核,以保證經費的合理使用、系統設備質量和工程的順利進行。

(三)檢查職能。監理的檢查職能主要是在系統建設過程中檢查、督促承建方嚴格執行合同所規定的各項要求與技術標準;檢查承建方提供的軟硬件設備是否符合要求,包括是否是合同規定品牌與型號、系統參數與配置是否符合要求、附件與資料是否完整等;檢查與控制系統開發、安裝、調試、施工的質量與進度,實行階段性驗收;按合同規定和各種技術標準對軟件進行功能性、可靠性、穩定性、可維護性、兼容性等諸方面的測試;督促各種技術文檔的整理;組織系統總成的測試與驗收等。

(四)咨詢職能。監理的咨詢職能主要是為業主和承建方雙方提供咨詢服務。業主往往精通業務而不擅長信息技術,而承建方擅長信息技術而不熟悉業主的具體業務,所以業主和承建方在制定需求和計劃以及項目實施、驗收時,可能會存在許多溝通障礙,從而降低了系統實施效率。監理作為中介,可為業主提供專業的信息技術咨詢服務,為承建方提供企業的業務咨詢服務。

(五)協調職能。監理的協調職能可分為系統內部的協調和系統外部的協調。系統內部的協調是指在信息系統工程建設內部各種關系的協調,如內部的人際關系、內部的組織關系、內部的需求關系等。系統外部的協調是指在信息系統工程建設項目整個活動過程以外的關系協調,包括協調業主單位與承建方單位的合同關系,以及協調他們與主管部門和機構、新聞媒體、社會團體等的關系。監理在執行協調職能時應采取公平、公正、獨立、守法、誠信、科學的原則。

(六)報告職能。建立項目監理的匯報制度是保證工程順利進行的有效方法,可使工程實施處于透明可監控狀態。監理單位依據所采集到的信息和資料,將定期和不定期地向業主和承建方提供監理周報、月報、書面通知和回復等監理文件,這些文件包含了監理過程中有關對項目實施的控制和管理信息。除此之外,還需提供項目可行性分析報告、評估報告、驗收報告等。

會計信息化建設中建立信息系統工程監理的必要性

會計信息化系統的信息工程監理屬于信息系統工程監理的一部分,但它更注重會計的專業性,需要高素質的同時精通會計和計算機信息技術兩方面知識的監理人員。雖然,會計信息化系統只是企業信息化系統的組成部分之一,但有必要在信息系統工程監理中建立專門的會計信息化系統工程監理。

(一)信息系統工程監理是信息化系統建設成功的關鍵之一。企業信息化建設是高風險投資,PMI的一項統計數據表明:在信息化項目中,43%的項目完成后超出預算,62%的項目超期完成,58%的項目驗收時達不到合同要求。信息系統工程建設具有含量高、涉及的領域寬廣、投資大、周期長、高風險的特點;而且在信息系統工程建設中,很多業主單位在技術、能力、人員等方面的不足,對實施的難度估計不足,對實施效果期望過大,缺乏自身對信息系統工程控制能力,這必然造成系統建設過程中對于質量、進度、投資和變更等方面管理問題的出現;另一方面,對供應商而言,雖然在技術性信息管理方面一般不會出現問題,但由于系統建設必然還要大量涉及業務方面的,而這部分信息的管理又因為行業的不同而各有特點,因此供應商有可能在對業務信息的管理方面存在缺陷,這也會對工程建設造成很大的。鑒于這種在信息工程系統中用戶和供應商雙方信息的互不對稱性的客觀存在,根據國內外成功的經驗表明:由用戶委托專業的第三方監理機構,建立工程監理制度,對工程建設的全過程進行有效監督管理,使其處于嚴格的監控之下,可以大大的降低工程建設風險,保證工程質量、進度、投資控制目標的完成。實施信息工程監理有助于降低風險,它也是國際上風險控制的一種通行慣例。

(二)會計信息化系統是一個復雜性的系統工程。會計信息化系統是企業信息化系統的一個子系統,它是基于事件驅動模式的信息系統,即會計信息的采集、存儲、處理、傳輸嵌入在企業業務處理系統中,或者說管理信息系統和企業的業務執行系統融為一體,在業務發生時能夠實時采集詳細的業務、財務信息,并且進行處理和控制,從而使會計信息化系統不僅能執行事后的統計分析評價,而且能夠進行事中控制。這種系統的核心是集成,即集成業務處理和信息處理,集成財務信息和非財務信息,集成核算與管理,使會計信息系統著眼于企業全局?,F代企業發展的多元化,以及企業的邊界模糊化,使會計信息化系統需要把技術、計算機技術、網絡技術、軟件開發技術和通訊技術緊密地結合在一起,在業務發生時實時的、自動的跨地區、跨行業、跨部門采集詳細的業務、財務信息進行存儲、處理、分析和傳輸。正是由于會計信息系統的復雜性,為了保證工程質量,需要有第三方監理對項目進行全程咨詢、監督和評估。

(三)會計信息化系統是企業經營管理的重要工具和手段。企業經營的主要目的是為了獲取利潤,企業財務管理的目標應該是“企業價值最大化”或者“股東財富最大化”。財務管理作為企業管理的組成部分,與經濟價值或財富的保值增值有關,是關于創造財富的決策,企業生存、發展、獲利的總目標離不開財務的籌資、投資以及對資金的運用管理。另一方面,財務管理目標是制定生產目標、銷售目標等一系列目標的基礎和前提,這使得財務管理在企業管理中處于一個核心地位,財務管理目標將從根本上反映企業的總目標。所以確立一個合理的財務管理目標對企業的長遠發展有重要的意義。正因為財務管理在企業管理中是如此的重要,作為進行財務管理的工具和手段的會計信息化系統在企業信息化系統中同樣具有重要作用。會計信息化系統從企業信息化系統獲取、分析、回饋、會計信息時必須做到合法、真實、準確、及時 、完整。會計信息化系統作為企業經營管理的重要工具和手段,為了保證企業的管理和決策獲得準確、及時 、完整的信息,在會計信息化建設中應引入第三方監理對項目的設計、實施和驗收進行咨詢、監督和測評。

(四)信息化系統的建設具有很強的專業性。會計信息化系統是集會計和實踐與信息技術為一體的專業化的信息化系統。現代信息技術只是實現會計信息化的工具和手段。會計信息化的理論基礎是現代會計理論和實踐。只有具有深厚會計理論知識才能從繁雜的系統數據中獲取必要的信息,剔除冗余的信息,正確處理獲得的信息。另一方面會計信息化系統的現代信息技術需要整合技術、機技術、技術、軟件開發技術和通訊技術,也具有極強的專業性。所以要求從事會計信息化建設、監理、管理的人員,不但需要精通信息技術,還要熟練掌握相關的財務理論和財務。由于,業主和承建者一般都只擅長于自身業務,而會計信息化工程監理方的監理工程師不但精通信息技術,還熟悉財務業務,他們可以為雙方提供詳細而專業的咨詢、協調、評估。

會計信息化工程監理的實施

在會計信息化項目工程監理中我們一般將監理過程分為三部分:項期監理、項目過程監理、項目后期監理。監理的主要包括項目實施目標和計劃的監理、項目投入資源和項目成果的監理、項目實施效益的監理。

(一)項目前期監理。在項目啟動之前,就需要對會計信息化項目進行監理。在這個階段,業主一般會對整個項目抱有較高的期望,但對項目的實施進程、項目所需的投入和實施過程中可能出現的和阻力沒有或不是非常了解。監理方在此階段主要為業主提供項目立項、總體計劃制定、招標等方面的咨詢和協助。

1.對會計信息化項目進行可行性,確保項目的性、完整性、實用性和可實施性??尚行苑治鍪琼椖苛㈨椀幕颈WC。監理方通過對業主的會計業務的了解,項目的可行性、技術可行性、可行性,以及項目的實用性;提交可行性分析報告,說明項目的實現在技術、經濟和條件方面的可行性,評述各種可能方案,并加以論證。

2.協助業主制定會計信息化總體計劃、范圍和目標,確保項目的總體范圍和目標以及對項目的期望值合理。監理方根據“夠用、實用、易于擴展、易于二次開發”的理念,對業主進行的會計信息化系統需求分析的相關內容、過程、活動進行審查,確認是否滿足要求,是否符合要求,協助業主根據會計信息化系統需求分析制定會計信息化總體計劃、范圍和目標。

3.對會計信息化系統的招投標進行監理,維護業主利益,提高經濟效益,保證項目質量。首先,監理方應協助業主對投標單位的資質和質量管理體系審查,投標單位應具備一定的軟件資質、系統集成企業資質以及在會計信息化領域的成功經驗;監理方要全程監督招標過程,維護招標過程的公開、公平、公正;監理方應協助業主與承建方之間對各種合同進行分析、談判、協商、擬定、簽署等活動,切實維護合同雙方的利益,規避項目風險。

(二)項目過程監理。它主要是指在會計信息化項目的進行過程中,對項目進行監督和控制,其主要作用和任務是控制項目實施過程中投入的各種資源和達到的目標,使之達到項目實施計劃的要求。

1.項目工程質量監督是監理工作的重中之重。會計信息系統建設過程是人的智力勞動過程,容易受人的主觀性;另外,信息工程的可視性差,質量缺陷較隱蔽,故障定位比較困難,改正錯誤的代價大。而會計業務的特殊性對信息系統的穩定性和數據處理的準確度要求極高,所以工程質量的好壞決定了項目的成敗。監理方對項目質量進行監督管理和協調,既要按照自己的質量控制體系從事監理活動,還要對承建方的質量控制體系以及業主的工程管理體系進行監督和指導,使之能在工程建設過程中得到有效的實施。在監理過程中以質量預控為重點,準確把握質量控制的關鍵點,對關鍵工序進行全程跟蹤參與,做到對項目質量的事前、事中、事后控制,確定消除產生不良結果的方案。

2.信息系統安全性是會計信息系統建設中的關注焦點之一,也是信息系統監理的重點。財務信息是企業的核心機密,篡改、遺失、泄露、偽造、毀損財務信息將對企業造成不可估量的損失。但信息系統工程的安全沒有絕對的只是相對的,要根據會計信息系統的特點,充分考慮系統的安全性、可用性以及投資成本的協調,制訂出系統所需的安全度。監理方要確保承建方在合理的投資控制前提下,信息系統安全設計上盡可能沒有漏洞;確保信息系統安全在可用性、安全性、完整性與信息系統的可維護性技術上的協調;監督承建方按技術標準施工,檢查設計過程中的安全隱患和現象,加強承建方的安全意識;協助業主制定或完善信息安全管理制度和規范,督促業主加強信息安全管理的,使相關人員樹立強烈的安全意識,嚴格執行安全操作和管理。

3.為了在規定時間范圍內保質保量的完成會計信息系統建設,必須對項目進度進行控制。嚴格的進度控制有利于降低信息系統的投資風險,維護良好的項目管理秩序,使其能盡快發揮投資效益。項目監理方運用運籌學、網絡計劃、進度可視化等技術,完善項目控制計劃,審查承建方的施工進度計劃,做好各項動態控制工作,協調好各方關系,預防并處理好工期索賠,以求設計的施工進度達到計劃施工進度要求。監理方用動態管理和主動預控相結合的方法對承建方實際進度情況全程跟蹤監督,及時進行分析和評估,對那些出現偏差的工作采取必要措施,適時調整進度計劃,以保證項目按原定進度執行。

4.對會計信息化項目投資控制的目的在于降低項目成本,提高經濟效益。投資控制應堅持投資最優化、全面成本控制、動態控制以及責權利相結合的原則。監理方不能簡單的把投資控制理解為使項目實際成本控制在計劃投資范圍內,應認識到它是與質量和進度控制同時進行的,實現投資控制的同時需要兼顧質量和進度目標。監理方應從項目的全壽命期的投資費效比來進行投資控制,立足于項目的整體經濟效益。監理方應督促承建方編制項目費用計劃并審核其可行性;定期審核承建方提交的工程階段性報告和付款申請;確定工程變更引起的投資計劃變更。

5.變更在信息系統建設過程中經常發生,監理方的變更控制就是評估變更風險,確保變更的合理性和正確性。由于信息技術更新速度快,以及承建方在工程實施過程中根據業主的實際情況需對技術方案做適當調整,以更好的滿足業主的需求,所以一定范圍內的變更能更好的實現項目目標。監理方對可能發生的變更應保持預控能力,防患于未然;對變更請求做出快速響應,以應付各種突發事件;明確變更范圍,防止變更范圍擴大化;所有變更應得到三方的確認;謹慎評估變更風險和效果,選擇對項目總體計劃沖擊最小的方案。

(三)項目后期監理。項目后期監理主要是指會計信息化項目完成后,再對項目的整個實施過程進行回顧、分析和評判,考察會計信息化項目實施結果,分析項目實施的得失,對會計信息化項目實施結束后繼續進行監督和控制。

1.在會計信息化工程完工后,監理方應協同業主對項目進行評估與驗收,以確保實現設計目標。監理方應按照合同審查承建方提供的各種審核報告和測試報告內容;評審承建方的測試手段和流程;與業主一起組成驗收委員會;根據合同和相關技術標準審核軟件配置和驗收測試;對所取得的測試結果與項目設計書中的各項指標進行分析、比較和評估,并出具科學的驗收報告。

2.完善的售后服務是保證會計信息化系統正常、高效運行的必要條件。監理方應監督和審查業主和承建方以及其他售后服務商簽訂的各種售后服務合同與條款;監督承建方對系統的后續升級和改進;督促承建方按照合同規定,為業主提供相關的人員和業務培訓服務,確保系統的正常運行。

會計信息化項目監理是要規范會計信息化工程,更好的促進會計信息化建設,為會計信息化和企業信息化保駕護航。要想把會計信息化項目建設好、管理好,不能采取“重實施不重規劃、重測試不重評審、重結果不重過程、各管一段”的監理模式,既要有一個可行立足本企業實際兼顧長遠的規劃,也要有一套切實可行的項目管理方法,對項目從立項到驗收的每個階段都要一步一個腳印、踏踏實實按確定的計劃和方案推進,對項目至始至終實施全程監理,這關系到會計信息化項目的成敗。

[1]葛乃康:《信息工程建設監理》,電子出版社,2002年

[2]何曙光、李鋼等《信息系統工程監理研究》,《天津大學學報(社會科學版)》2004年第2期

[3]宋振暉《信息系統工程監理實施模型》,《信息技術與標準化》2004年第6期

[4]佟芳芳:《信息系統工程監理發展探討》,《信息技術與標準化》2004年第11期

[5]信息產業部:《信息系統工程監理暫行規定》,2002年

[6]楊周南:《論會計管理信息化的ISCA模型》,會計學術研究網

篇10

為了合理的識別醫療信息系統的風險,內部審計人員首先應當了解醫院的信息系統環境。

1.1了解信息技術在醫院中的運行環境

該院搭建的醫療信息系統平臺包括:醫院信息系統(HIS)為收費、檢查、門診及住院等活動提供服務;臨床信息系統(CIS)收集處理臨床數據;此外還有LIS、PACS、電子病歷系統、叫號系統、財務系統、人事系統、物流管理系統、電子點餐系統和科研教學系統等等分別發揮著其各自的作用。因此,計算機信息技術已經融入到了醫院的各個主要業務流程,不僅為病人和醫生服務,更為醫院管理提供支撐。醫院信息系統平臺的搭建,一般都得到院方的廣泛支持。

1.2了解搭建醫療信息系統平臺的應用程序、計算機操作系統及硬件設備

首先,為該院服務的軟件品種較多,各個軟件間存在相互接叉讀取數據的情況,有可能對數據庫的安全穩定造成影響;其次,由于各個醫院的??祈椖坎煌t療就診流程也存在著個性化的差異,導致所使用的軟件以及軟件所配備的應用程序、操作系統也存在個性化差異較高的現狀,這可能會導致醫療成本的大幅度提高;第三,由于信息技術已經融入醫院管理,醫院對信息化系統的依賴程度較高,對系統本身的安全性要求更加嚴格。另外,為了滿足軟件的運行,醫院必須同時保證充足的硬件設備,例如電腦終端、大型服務器、保障設施(例如UPS)及交換機等,并負責維護設備的安全運行。此外醫院還需提供可靠的操作系統,例如主流的Windows和Linux系統等。

1.3了解醫院對應用程序及軟件的管理方式

為了有效地管理醫療信息軟件和保障醫療數據的安全,該院要求各個軟件提供單位派駐工作小組,長期為醫院的軟件提供外包管理服務。院方還成立專門的信息中心進行管理,信息中心制定了相應的信息系統管理規章制度,并對規章制度的監督、執行和有效更新負責。此外,為了監控軟件和硬件的日常運行情況,一些專門的預警機制也被引入醫療信息系統的管理中。例如,網絡運維管理平臺的使用有效的監控各個軟件應用程序、操作系統,以及服務器、交換機等硬件的運行狀態及運行環境,在軟硬件發生異常時提早預警,幫助軟件工程師及時排查錯誤。

1.4了解醫院信息系統實施是否有效地幫助醫院提高運營效率

2評估識別出的風險

基于風險導向審計為基礎的審計風險由3個部分組成。

2.1固有風險

信息系統的固有風險一般來自于系統本身的安全性。隨著計算機技術的普及和在醫院內部的廣泛使用,有效降低了人為舞弊情況的發生。但是,計算機軟件和硬件安全問題,信息系統設計造成的固有缺陷給醫院管理帶來了風險。首先,由于計算機網絡本身容易感染病毒,受到攻擊時會造成網絡癱瘓;硬件存放環境不當,對大型硬件設備造成損傷引發宕機。在對醫院信息系統高度依賴的環境下,軟硬件存在的固有風險,會給醫院造成重大的損失,影響正常的醫療秩序。其次,由于軟件工程師對醫療知識和管理知識的缺乏,計算機軟件設計開發的初始階段往往存在缺陷,運行期間則需要根據用戶的需求做反復的修改,此過程不僅增加了醫院的成本開支,也會影響到系統運行的安全性。

2.2控制風險

對醫院信息系統的良好控制首先依賴于醫院的制度規范執行。醫院一般都設置專門的計算機信息部門,對醫院的信息系統,包括軟件程序、硬件設備和網絡進行統一管理。該院在設立信息中心的同時,聘請軟件開發企業進行外包服務,即由軟件公司派駐專門的人員為醫院的信息系統服務。如何平衡醫院自主管理和對外包服務的依賴,給醫院的管理提出了新的問題。因此審計人員在評價控制風險時,需要對醫院自主管理能力和規章制度的執行情況進行分析,同時對外包服務的有效性進行評價。其次,對用戶授權的控制。信息系統在醫療業務流程和管理流程內部控制的實現主要是通過對用戶權限的設置來完成。相應層級的管理人員都具有不同的授權權限,在不同的業務流程中發揮作用。但是任何一個系統都存在一個超級用戶,超級用戶對所有的醫療信息、目錄和文件有完全的訪問權,它是安裝后第一個登錄到服務器上的用戶,可以添加用戶并設置系統內所有用戶的權限。因此,內部審計人員必須對超級用戶的實際狀況進行分析,從而評價是否存在隨意篡改數據的風險。此外,軟硬件的成本是醫療信息系統建立并進行控制活動過程中不可忽略的問題。軟件成本主要來自于人工費用和知識產權費用。但是,軟件公司在銷售產品的時候,常常隱蔽其真實的人工成本,并將知識產權費用夸大。醫院采購部門往往很難判斷軟件產品的采購價格是否合理;醫院信息平臺的搭建同樣還依賴于大量硬件設備,醫院往往需要采購大型服務器、交換機和UPS;為了保證硬件設備的良好運行,醫院還需要考慮良好的存放環境,利用輔助設施,保證存放地點濕度和溫度的適當;基于軟件程序,硬件設備的安全運行和有效管理考慮,很多醫院為此引入了網絡運維系統等非醫療信息系統軟件,在另一個程度上增加了醫院的系統購置成本。因此,內部審計人員必須對成本效益進行分析,在避免一味節約成本造成的信息系統搭建不完善的同時,避免為單純追求效益導致的資源浪費。

2.3檢查風險

檢查風險受固有風險和控制風險的影響。信息化的普及,改變了傳統審計的方法、審計對象和審計線索。傳統的內部審計通過執行控制測試和進一步審計程序,對財務報表的舞弊做出判斷;通過對醫院內部控制的了解,評價內部控制的有效性,幫助醫院提高內部管理水平等。醫療信息系統建立后,要求審計人員在掌握醫療管理流程的同時,還需要了解醫療信息系統中軟件程序、網絡和硬件設備等專業計算機知識,并利用信息技術進行內部審計。在缺乏系統的計算機專業知識,以及計算機審計規范不健全的情況下,內部審計人員未能恰當地施行審計程序,也會為醫院管理帶來風險。

3應對措施

內部審計人員在實施進一步審計程序時,應當關注以下幾點內容。

3.1將信息系統的哪些方面納入審計的范圍

在考慮成本效益的原則下,進一步審計程序應當將資源有效地集中于風險最大的部分。首先,內部審計人員應當評價風險的重要性。將后果嚴重的部分,進行重點關注,因此,在對醫療信息系統進行風險評估和分析之后,內部審計人員應該對系統中關鍵信息點進行重點審計,例如對HIS中病人的主索引、收費明細記錄、病歷記錄、處方記錄等執行詳細的審計程序;其次,內部審計人員應當關注特別風險事項,例如對于超級用戶權限管理的審計;最后,內部審計人員還要關注細微風險累計的影響,如果幾個細微風險累計產生的影響會對系統整體運行造成重大損失,內部審計人員則需要詳細地設計進一步審計程序以應對此類風險。

3.2采用怎樣的審計方式對醫院信息系統進行評估

與傳統內部審計工作不同,內部審計人員需要對系統運行的有效性進行評價,因此除了傳統的檢查、觀察、詢問、函證、重新執行和分析程序等進一步審計程序以外,內部審計人員還需要對系統中關鍵信息的數據庫語言進行分析。同時,還需要利用審計軟件進行信息化下醫院的內部審計工作。

3.3以何種頻率進行審計

通常風險被劃分為高、中、低3個等級。在被識別的高風險等級中,信息技術風險被認定為發生概率高且對醫院的運行影響范圍廣,因此內部審計人員通常應當每1~2年進行1次審計;對風險級別和影響程度及范圍均適中的風險點,每2~3年進行1次審計;對風險級別低,不經常發生以及影響范圍和程度均不明顯的部分則在每3~5年進行1次審計。

3.4針對醫院信息化背景下產生的固有風險進行評價

對控制風險和檢查風險分別采取應對措施降低風險的影響程度

3.4.1固有風險的評估。

由于固有風險是醫院在搭建醫療信息系統平臺時無法避免的缺陷所造成的損失,內部審計人員無法控制此類固有風險,只能評估風險的大小。內部審計人員應當評估固有風險的大小,協助相關科室建立應急方案,一旦發現由于信息系統故障造成的問題,立即采用人工應急預案,有效地減少損失,保證醫療服務的質量。

3.4.2控制風險的應對。

(1)醫院對外包服務建立有效管理體制。根據調查和實踐證明,合理適當的外包,可以減少醫院管理成本,節約人力資源。但是過多的將醫院的信息系統管理建立在外包服務的基礎上,同樣也會給醫院帶來風險。如果關鍵的管理點均依賴于外包服務,那么就會造成權責不清的情況發生。因此,醫院內部加強對信息系統的管理,建立完善的管理制度,培養醫院內部計算機管理人才,平衡外包服務和自身管理的程度,對外包工作進行有效的監督和管理是減少控制風險的關鍵。內部審計人員應當幫助醫院評價計算機中心管理制度是否存在缺陷,并提出相關建議。(2)對濫用超級用戶功能的控制。由于超級用戶的存在,人為從后臺篡改數據給醫院的內部控制造成隱患,例如,醫生可以從后臺修改已開出的處方和病歷,不利于醫院對已開具病歷和處方的管理,極易造成醫療糾紛;財務人員也可能惡意的對系統中已錄入的財務數據進行修改,或隱藏一部分財務數據,造成醫院財務管理的風險。因此,內部審計工作中,審計人員要關注超級用戶的管理方法,嚴格控制其使用范圍,以防人為惡意篡改數據。(3)加強采購環節的控制。內部審計人員應當分析本院的所有信息系統軟件是否符合醫院管理的成本效益原則,評價現有軟件有無浪費,以及由于信息技術快速更新造成的應淘汰軟件仍然在續訂的情況。內部審計人員可以通過幫助建立完善的物流采購程序,對大型軟件嚴格采取政府公開招標的形式,利用外部專家進行分析。同時,加強對成本的考察,軟件成本大多來自于軟件工程師的腦力勞動和知識產權,一般很難評估,內審可以通過相同產品的詢價,比較軟件給醫院帶來的效益等方式來評價軟件是否應該引入。

3.4.3檢查風險的應對措施。