一、形式改变
实施会计信息化使得内部控制形式由原来的制度控制转变为程序控制为主、制度控制为辅的双重控制。如今的财务软件都具有自动计算、求和与试算平衡,汇总等功能,只要会计人员录入正确的原始数据及相关的会计要素,软件对会对凭证进行再加工;同时部分内部控制措施会嵌入到财务软件中由系统程序完成,如编制凭证时若缺少时间、附件张数、摘要、金额或金额不平,甚至不输入现金流量等必要的相关辅助信息,系统就会提示无法保存或出错。实施信息化会计系统后,传统的内部控制措施逐步被计算机程序替代。因此其系统快速、安全、稳定的运行特征、极强的逻辑判断能力使得一些内部控制的措施失去意义,这都给医院的内部控制提出了更高的要求。信息系统数据的处理与传递是依托服务器与各终端之间的联系,各终端的数据最终的存储都会传递到服务器上,而数据的存储介质容易受损坏,也易被篡改或彻底删除而无痕迹可循,这给会计信息的存储安全埋下了较大的隐患。
二、需解决的问题
(一)内部控制体系还需进一步完善
医院内部控制体系的建立大多借鉴企业的内部控制规范,由于发展目标、涉及的业务范围、会计核算体系等方面的差异,使得在企业内部控制规范基础上建立医院内部控制制度及其实行过程中存在种种问题。
(二)非专业化的医院财务软件存在一定的安全隐患
一是财务软件在设计过程中未切实结合医院实际情况,导致很多操作性问题,这使得许多内控程序与医院财务管理格格不入。如用友财务软件推出了卫生财务专业版,也仅仅是在一般的企业账务软件的构架模式基础上,按新制度的要求一边修改一边使用,客观上造成数据不稳定,出错机率增大。二是财务数据多以数据库格式保存,缺少必要的加密保护与权限限制措施,且软件提供的“销审”、“反记账”、“作废”、“插入”等修改功能,使得会计业务处理随意性增加,导致会计操作人员谨慎性降低。三是软件大多都提供外部数据导入导出功能,自动生成记录数据众多的凭证,这给会计人员审核凭证带来了难度。
(三)不相容职务相分离的界线渐渐模糊
传统模式下的不相容职务相分离是通过操作人员之间的业务传递过程来实现内部控制的。信息化下由于软件操作界面相对开放,权限设置无法完全细分,数据集成功能有可能跨越多个模块,网络化下的数据共用性强,导致部分会计岗位职责相重叠,会计人员有可能同时负责数据的采集、审核与输出,这有可能导致在未授权的情况下,直接对数据甚至对数据库进行修改和违规操作,增加风险。如工资管理从数据维护———录入———发放———分析及汇总———生成凭证———备份,这一过程往往是由一个会计人员完成,既是系统维护人员,又是数据录入人员,更是凭证制单人员,职责上与其他的会计人员相重复。
(四)网络环境的开放性使得财务管理的安全风险增大
许多的医院是有多个管理系统,如医嘱管理系统、库存物资管理系统、内部网络及财务管理系统等,由于业务繁多,有可能一个人需使用多个管理系统或多人使用一个管理系统,而这些系统有些与互联网相连接,网络的开放性、数据共享性都给医院内部的管理系统带来新的挑战,如防止“黑客”攻击和“病毒”入侵足以让我们对系统安全性提出高度的重视。
三、完善内部控制的措施
信息技术是一个双刃剑,网络化下信息系统是脆弱的。每个管理子系统或功能模块有其两面性,即正面效应和负面效应。正面效应即有效性是信息化系统为适应管理的需要,达到内部控制有效性的目的,使其在管理过程中发挥作用并产生经济效益;负面效应即脆弱性是内部控制过程中信息化系统存在控制不力,使内部管理产生漏洞,内部控制链条断裂而产生风险,给医院带来经济或外在形象的损害。因而结合内部控制五要素即内部环境、风险评估、控制活动、信息与沟通、内部监督,笔者认为应从以下方面对网络化会计信息系统下医院的内部控制进行完善。
(一)营造良好内部控制氛围,加强控制环境建设
良好的内部控制环境是医院建立与实施有效内部控制的重要基础。医院的内部控制环境包括医院的管理理念、组织结构、岗位职责与权责分配等。医院应将其管理理念深入渗透到上至院领导、管理层,下至医技护人员及财务管理人员等所有人,每一位职工都有责任参与到医院的财务管理活动中,理解与支持财务内部控制活动,逐步形成良好的内部控制环境。良好的财务内部控制环境是围绕权限设置、岗位分工及权限划分等形式进行的,在财务人员之间形成一种相互配合、相互牵制的机制。根据医院的发展需要,目前医院会计信息系统分两种,一种是会计核算系统(用友GRP—U8卫生财务管理软件V10.0为例),包括基础数据管理系统、账务处理系统、电子报表系统、工资管理系统、会计平台等;另一种是会计管理系统,包括收费管理系统、票据管理系统等。各系统之间既互相独立又相互牵制,每一个系统中的录入与审核等岗位也是既互相独立又相互牵制的。1.基础数据管理系统的内部控制。基础数据管理是日常会计核算工作的保证,包括会计科目与经济科目的建立与维护、往来单位及职员信息维护、凭证相关信息维护及其他信息的管理与维护。其内部控制主要着眼于权限管理,应设置专人操作此系统,财务人员根据工作需要提出申请,对基础数据做出增删改,在信息系统中保留相关处理的痕迹并做好变更记录。2.账务处理系统的内部控制。账务处理系统是会计核算工作的核心,其内部控制主要从优化岗位设置和权限管理着手,根据信息化与网络的环境变化,以书面形式加以明确,保证岗位设置的合理与权限管理的透明。(1)岗位设置。建立一套设计合理且有效的管理体制就是防范舞弊最好的方法,并严格加以执行。会计信息系统的岗位主要包括:凭证录入、业务稽核、查询、记账和结账等。特别是针对不相容岗位与职务分离应分别不同财务人员进行操作与权限设定,才有利于内部控制制度的完善和有力实行。(2)权限管理。权限管理是根据岗位职责,对人员进行分工,做到相互牵制、相互制约。将所有人员按其岗位分工进行权限授予,任何人无法享有超级权限,以减少安全隐患。如系统维护、数据录入、数据审核、数据输出等岗位都应严格按照职责分工进行业务操作,不得越权。3.会计平台的内部控制。会计平台是用以凭证采集、数据同步、凭证接口等,是用友GRP—U8卫生财务管理软件V10.0针对新制度要求账务系统进行全成本核算而开发的新功能模块。该模块由凭证录入人员负责凭证采集、数据同步、外部数据导入生成凭证等;业务稽核人员负责稽核采集与生成后凭证的正确性。例如我院在旧制度粗放式的账务核算系统中只核算到医疗与管理两大类,在新制度精细化的全成本核算模式下,成本核算单元达到106个,若以旧的手工输入方式填制工资凭证,有10个工资支出项目(如基本工资、绩效工资、岗位津贴、水电费、住房公积金等等)就会有上千条记录,这显然是不可能用手工完成的;而使用会计平台则只需设置工资模板,将工资支出项目、成本核算单元与会计科目、经济科目进行关联设置,只需几分钟就能完成一张上千条记录的凭证;稽核人员则只需稽核工资模板设置正确与否。这给会计工作节约大量时间,也减轻了会计人员输入凭证的压力。4.收费管理系统及票据管理的内部控制。收费管理系统的收入分两部分:一是在院病人发生的尚未结算的医疗收入;二是欠费病人到收费处交纳的医疗费。这两部分收入存在结账时间上的差异,这一差异也是内部控制的重点。在收费员上缴收入同时应建立个人辅助明细账;并根据医院信息管理系统提供的在院病人医疗收入,连同相关部门提供的资料交复核人员复核,会计人员凭复核后的数据在财务系统中作账务处理:(以住院收入为例)借:应收医疗款/收费员往来(XXX)———系统中收费员确认收到的医疗费(按月)贷:应收在院病人医疗费/自费病人欠费收到病人交纳的医疗费,每个工作日末根据收费员个人汇总表及相应票据作账务处理:借:现金贷:应收医疗款/收费员往来(XXX)———系统中收费员确认收到的医疗费(按日)借:应收在院病人医疗费/自费病人欠费贷:医疗收入/住院收入这样,收费员的个人辅助明细账就会存在挂账与冲账的对应,将核算收费员个人辅助明细账的应收医疗款科目下的金额与收费系统中应收医疗款核对,同时应专人核对“自费病人欠费”发生额与收费员结账的数据,如果数据不一致,应及时查找原因,确保数据一致。5.会计人员素养控制。内部控制的人员素养是内部控制实行效果的关键,除了会计信息系统本身对内部控制的物理控制外,如何避免人为操作使内部控制失效,也是会计信息系统及其网络化下内部控制行之有效的主观因素,因此对控制体系中承担较重职责的会计人员提出更高的素质要求。6.实施定期轮岗制度。定期轮岗制度是实行内部控制的重要措施之一。依照“重要岗位有轮转机制,转岗前进行新岗位上岗培训”的要求,在信息化条件下,医院需结合自身实际情况确定科学、合理的轮岗制度,使其成为一项刚性制度。
(二)树立风险意识,建立风险管理
系统及风险预警机制树立风险意识是医院实施内部控制的重要环节。随着医院市场化、公益性等多元化发展,医院受到社会各界瞩目,也受到市场经济冲击,所面临的财务风险也是不可避免的。因此医院必须针对风险的产生、级别大小、预警活动、分析评价、处理对策等多方面建立风险管理系统,制订应急预案,明确责任人员、规范处理程序,全面预防与控制可能发生的内部控制及财务风险,为医院的持续、健康发展提供保障。
(三)完善内部控制活动
1.持续提升会计系统的可靠与安全性。会计数据正确与安全的关键依靠于一个功能完善、设计合理的会计系统,该系统能根据工作中出现的问题不断开发与升级。特别是在2012年实施新的会计制度与财务制度时,对会计系统提出更高要求,不仅具有会计核算功能更要求实现财务管理的功能,需要升级或重新购置具有全面成本核算、预算管理、多元化内部控制等功能的财务管理系统,以确保系统能持续原有会计系统的优点,又能跟进新形势的变化,同时更稳定更安全。2.加强系统操作管理。需明确规定财务人员只能按照规定岗位权限进行系统操作,不得越权操作,定期更换系统密码、养成良好的操作习惯,严格按照系统操作权限,未经授权不得修改会计数据及数据库结构,对系统的运行及操作实行日志管理,对敏感数据的调用具备相应授权与监督,实行服务器及异地双备份等。
(四)加大内部审计监察力度
医院内部审计组织具有内向服务性质,针对经济活动真实性、合法性及效益性进行的审计监督,也是医院探索深入管理及风险审计,促进经济管理和实现医院事业发展目标的重要手段。因此设置内部审计机构,给予其相应权责,实现风险导向审计,使医院的经济活动走上制度化、规范化的道路。
作者:王璠