（计算机应用技术专业论文）基于cobit的医院电子病历系统内部控制研究.pdf

。_ 1 1 1 j_ji一1 独创性声明 l l i l l l 1 11 1 1i l l li ll l111 y 18 9 4 3 6 8 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究 工作所取得的成果。除文中己注明引用的内容以外，本论文不包含任何其他个人 或集体己经发表或撰写过的作品成果，也不包含为获得江苏大学或其他教育机构 的学位或证书而使用过的材料。对本文的研究做出重要贡献的个人和集体，均已 在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：箨毒啤 勿峰钼7 日 学位论文版权使用授权书 江苏大学、中国科学技术信息研究所、国家图书馆、中国学术期刊( 光盘版) 电子杂志社有权保留本人所送交学位论文的复印件和电子文档，可以采用影印、 缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致， 允许论文被查阅和借阅，同时授权中国科学技术信息研究所将本论文编入中国 学位论文全文数据库并向社会提供查询，授权中国学术期刊( 光盘版) 电子杂 志社将本论文编入中国优秀博硕士学位论文全文数据库并向社会提供查询。 论文的公布( 包括刊登) 授权江苏大学研究生处办理。 ? 本学位论文属于不保密叫。 学位论文作者签名：喘毒群 l ，| 【年月7 e l 指导教师签考：t 虱篷爰 l t1 年厂月7j 日 、 江苏大学工程硕士学位论文 摘要 企业内部控制是企业提高管理水平和防范风险的一种有效机制。企业信息化 与工业化的日渐融合使信息技术( i t ) 成为企业管理不可或缺的平台，也成为企 业内部控制的重要手段。而随着我国医疗卫生事业的发展与改革的不断深入，传 统的“以收费为中心”的医院管理信息系统( h m i s ) 已不能适应新形势的要求， “为病人服务”的临床信息系统( c i s ) 则成为主要发展方向。作为医院业务管 理与决策支持基础的电子病历系统( e m r s ) 则是c i s 的核心与标志。 论文以e m r s 建设与实施中的内部控制为研究内容，以国际上公认权威l t 内部控制框架c o b i t 为研究模型，并结合信息技术业目前通用的i t 服务管理框 架i t i l ，以规划控制流程的方式实施e m r s 内部控制。论文以e m r s 内部控制 整体解决方案的设计为研究基础，系统研究分析了e m r s 内部控制实施过程中 的3 4 个具体实现流程，对每个流程通过风险识别、风险控制点设置等操作，最 终规划出具体的控制措施与步骤。 论文的主要研究特色是将目前公认的i t 内部控制最佳实践c o b i t 与i t 服 务管理最佳实践i t i l 相结合。c o b i t 和i t i l 同为i t 管理实践，但管理层面的 侧重点有所不同。c o b i t 为l t 管理的控制框架模型，关注的是l t 内部控制的 实施目标，即“应当做到什么”；而i t i l 为i t 管理的流程框架模型，侧重于i t 内部控制的实施流程，即“应当怎么做”。由于医院e m r s 建设与实施是一个 从无到有的过程，在其项目的建设阶段并不适合直接使用i t i l 进行管理服务， 因此论文首先参照c o b i t 的控制框架，制定出全面的i t 控制目标，然后针对各 个控制目标设计控制流程和制定控制措施；对于i t i l 能够满足需求的流程，通 过直接实施或参照i t i l 进行管理控制流程的建设，而在i t i l 没有涉及的领域则 引入其他管理标准与方法。 先进性、全面系统性、可实施性等可使论文所提出的e m r s 内部控制方案 对同行业有借鉴作用。 关键词：内部控制；l t 内部控制；电子病历系统；c o b i t ；i t i l ；e m r s 江苏大学5 - 程硕士学位论文 a b s t r a c t e n t e r p r i s e i n t e r n a lc o n t r o li sa ne f f e c t i v em e c h a n i s mo fm a n a g e m e n t i m p r o v e m e n ta n d r i s k p r e v e n t i o n f o rt h e e n t e r p r i s e s t h ea m a l g a m a t i o no f i n f o m a t i z a t i o na n di n d u s t r i a l i z a t i o nt h e s ed a y sm a k e si n f o r m a t i o nt e c h n o l o g y ( i t ) a n i n d i s p e n s i b l ep l a t f o r mf o re n t e r p r i s em a n a g e m e n t ，w h i c ha l s ot u m s i n t oak e y a p p r o a c ho fe n t e r p r i s ei n t e r i o rc o n t r 0 1 w h e r e a s ，w i t ht h ef a s td e v e l o p m e n ta n dd e e p r e n o v a t i o no fm e d i c a la n dh e a l t hb u s i n e s si no u rc o u n t r y , t h et r a d i t i o n a lh o s p i t a l i n f o r m a t i o ns y s t e m ( h i s ) w i t ht h ek e yp r o c e s so ff e ec o l l e c t i o ng r a d u a l l yc o u l dn o t m e e tt h er e q u i r e m e n t so fn e ws i t u a t i o n s ；w h i l et h ec l i n i c a li n f o r m a t i o ns y s t e m ( c i s ) o r i e n t e da tp a t i e n ts e r v i c ei sn o w t a k i n gt h el e a d e l e c t r o n i cm e d i c a lr e c o r ds y s t e m ( e m r s ) ，a st h ef o u n d a t i o no fb u s i n e s sm a n a g e m e n ta n dd e c i s i o ns u p p o r ti nh o s p i t a l s ， i si t sc o r ea n ds y m b o lo fc i s t h ei n t e n t i o no ft h ep a p e ri st h a tt h r o u g hc o m b i n a t i o no ft h eg e n e r a li t m a n a g e m e n tf l a m eo fi t i l ，t oi m p l e m e n te m r s i n t e r i o rc o n t r o lu s i n gt h em e t h o do f r e g u l a t i n gc o n t r o lp r o c e s s ，b a s e do n t h er e s e a r c ho fi n t e r i o rc o n t r o li ne m r s e s t a b l i s h m e n ta n di m p l e m e n t a t i o na n dm o d e lr e s e a r c ho ft h ei n t e m a t i o n a l l y a c c r e d i t e di ti n t e r i o rc o n t r o lf l a m en a m e dc o b i t b a s e do nt h es e t t l e m e n td e s i g no f e m r si n t e r i o rc o n t r o lp l a n s ，t h i sp a p e rs y s t e m a t i c a l l yp u t sf o r w a r das p e c i f i c i m p l e m e n t a t i o no ft h e3 4p r o c e s s e si ne m r si n t e r i o rc o n t r o la n dp r o p o s e ss p e c i f i c c o n t r o lm e a s u r e sa n da p p r o a c h e st or i s ki d e n t i f i c a t i o n ，p l a c e m e n to fr i s kc o n t r o l p o i n t s ，e t c i ne a c hp r o c e s s t h ec o m b i n a t i o no fc o b i t ，w h i c hi sr e g a r d e da st h eb e s tp r a c t i c a li ti n t e r i o r c o n t r o l ，a n di t i l ，w h i c hi sc o n s i d e r e da st h eb e s tp r a c t i c a ls e r v i c em a n a g e m e n t ，i si t s u n i q u ef e a t u r e o ft h ep a p e r c o b i ta n di t i l ，b o t ha r ed e e m e da sm a n a g e m e n t p r a c t i c e s ；h o w e v e r ，e a c ho ft h e ms t r e s s e se m p h a s i so nd i f f e r e n tl e v e l so fm a n a g e m e n t c o b i ti st h ec o n t r o lf l a m em o d e lo fi tm a n a g e m e n t ，a i m i n ga tt h ei m p l e m e n t a t i o n t a r g e to fi ti n t e r i o rc o n t r o l ，t h a ti s “w h a tt or e a c h ”；w h i l ei t i li st h ep r o c e s sf l a m e m o d e lo fi tm a n a g e m e n t ，e m p h a s i z i n go nt h ei m p l e m e n t a t i o np r o c e s s e so fi ti n t e r i o r c o n t r o l ，t h a ti s “h o wt od o ”s i n c eh o s p i t a le m r se s t a b l i s h m e n ta n di m p l e m e n t a t i o n i san e wc o n c e p t ，s t r a i g h t f o r w a r d l yu s i n gi t i la ss e r v i c em a n a g e m e n ti sn o tr e a l i s t i c s ot h ep a p e rp u t sf o r w a r dap r o p o s a lt od e s i g ns p e c i f i cc o n t r o lm e a s u r e si na l lt h e s p e c i f i cp r o c e s s e sw i t hac o m p r e h e n s i v ei tc o n t r o lo b j e c t i o ni nm i n da c c o r d i n g t ot h e c o n t r o lf r a m eo fc o b i t f o rt h o s ep r o c e s s e st h a ti t i lc a nb em e t u s ei t i la s 江苏大学工程硕士学位论文 r e f e r e n c ed i r e c t l yf o rt h ep r o c e s sm a n a g e m e n tc o n t r o l ；w h i l ef o rt h eo t h e rn e wf i e l d s u n s u i t e dt oi t i l ，p u l li no t h e rm a n a g e m e n ts t a n d a r d sa n dm e t h o d s t h e p r o g r e s s i v e ，c o m p r e h e n s i v e a n de x e r c i s a b l ee m r si n t e r i o rc o n t r o lp l a n c o n c l u d e di nt h i sp a p e rc a nb ear e f e r e n c et oi t sc o m m o nf i e l d a tp r e s e n t ，c h i n ai s p u s h i n gf o r w a r dad e e pa m a l g a m a t i o no fi n f o r m a t i z a t i o na n d i n d u s t r i a l i z a t i o ni nab i g s c a l e t h ei n t e n s i v eu s eo fi t ( i n f o r m a t i o nt e c h n o l o g y ) a r i s e sat h o r o u g hr e n o v a t i o n i nt h ef i e l d so fm a n u f a c t u r e ，o p e r a t i o na n dm a n a g e m e n ti ne n t e r p r i s e s o no n eh a n d ， i tm a k e st h ee n t e r p r i s e sm o r ec o m p e t i t i v e i nt r a d i t i o n a le n t e r p r i s e s ，i tp u t sf o r w a r d t h e i ri n e l a s t i c i t yo fi n t e r n a lc o n t r o lt ob ee x p o s e d a n di fa ne n t e r p r i s ec o u l dn o t a d j u s ti t s e l ft ot h ei td e v e l o p m e n te n v i r o n m e n t ，i t sa c c u r a t ea n d i n t i m eo p e r a t i n ga n d m a n a g i n gd e c i s i o n sw i l lb ei n f l u e n c e da n d i t sd e v e l o p m e n tw o u l ds t a n ds t i l l o nt h e o t h e rh a n d ，i ts t r e n g t h e n si n f o r m a t i o nc o m m u n i c a t i o n ，d e v e l o p si t sm o n i t o r i n g a b i l i t ya n db r i n g sn e wa p p r o a c h e so fr i s kc o n t r o lf o re n t e r p r i s e s i ti n t e r n a lc o n t r o l h a sb e e np l a y i n gam o r ea n dm o r ee s s e n t i a lr o l ei ni n t e r n a lc o n t r o lo fe n t e r p r i s e s f r o ma ni n t e r n a t i o n a lp e r s p e c t i v e ，i tg o v e r n a n c ec o b i t ( c o n t r o lo b j e c t i v e s f o ri n f o r m a t i o na n dr e l a t e dt e c h n o l o g y ) i s s u e db yi s a c a ( i n f o r m a t i o ns y s t e m s a u d i ta n dc o n t r o la s s o c i a t i o n ) i nt h eu n i t e ds t a t e si sn o wu s e da sa ni m p o r t a n t r e f e r e n c es y s t e mo fe n t e r p r i s e st oi m p r o v et h e i ri ta d m i n i s t r a t i o ns t r u c t u r ea n dt o e n h a n c et h e i ri tm a n a g e m e n tc o n t r 0 1 b a s e do nt h ec o m p a r i s o no fi ts e r v i c es y s t e mo fc o b i ti n t e r n a lc o n t r o ls y s t e m a n dt h a to fi t i l ( i n f o r m a t i o nt e c h n o l o g yi n f r a s t r u c t u r el i b r a r y ) u n d e rc o s o ( c o m m i t t e eo ft h es p o n s o r i n go r g a n i z a t i o n s ) e n v i r o n m e n t ，t h i sp a p e rp r o p o s e da s e r v i c es y s t e mw i t ham a j o rp a r to fc o b i ta n da ni n t e g r a t i o no fl t i l ，w h i c hc a nb ea b e s ts t a n d a r df o ri tp r o j e c tc o n s t r u c t i o ni ni n t e r n a lc o n t r 0 1 u s i n gh i s ( h o s p i t a l i n f o r m a t i o ns y s t e m ) a sat a r g e t ，t h ea u t h o rt r i e st of i n dt h ed e f e c t so fi ti n t e r n a l c o n t r o l ，t oa n a l y z e s o m ep r a c t i c a l i m p r o v e m e n t s c h e m e sa n dt of o r m u l a t e c o r r e s p o n d i n gm e a s u r e so fi n t e r n a lc o n t r 0 1 w i t ht h ee x a m p l eo fe m r s ( e l e c t r o n i c m e d i c a lr e c o r ds y s t e m ) e s t a b l i s h m e n ta n di m p l e m e n t a t i o ni nt h el e a d i n ge d g ea n d t h r o u g hd e s i g na n dr e s e a r c ho ft h e3 4u n i v e r s a lp r o c e s s e su s i n gc o b i tm o d e l ，t h i s p a p e rg e n e r a l i z e sa n de s t a b l i s h e sat y p i c a lc a s eo fi n t e r n a l c o n t r o la p p r o p r i a t e df o r p r o j e c tc o n s t r u c t i o na n di m p l e m e n t a t i o ni ne n t e r p r i s e s k e y w o r d s ：i n t e r n a lc o n t r o l ，i ti n t e r n a lc o n t r o l ，c o b i t , i t i le m r s l v 江苏大学工程硕士学位论文 录 j 衙! 要i a b s t r a c t l l i 第1 章绪论1 1 1 研究背景1 1 2 研究现状与研究意义3 1 3 研究内容与组织结构5 1 4 ，j 、结6 第2 章企业内部控制理论与知识7 2 1 企业内部控制概述7 2 1 1 内部控制的定义7 2 1 2 内部控制的目标8 2 1 3 内部控制的原则8 2 2 企业l t 内部控制概述9 2 2 1i t 内部控制9 2 2 21 t 内部控制的最佳实践研究c o b i t 一9 2 3 i t 服务管理的最佳实践研究i t i l 1 4 2 3 1 i t 服务管理1 4 2 3 2i t 服务管理的最佳实践i t i l 15 2 3 3c o b i t 和i t i l 的关系1 6 2 3 4c o b i t 和i t i l 的应用结合1 7 2 4 ，j 、结一1 7 第3 章医院l t 内部控制与环境1 8 3 1 医院内部控制与组织结构1 8 3 1 1 医院的内部控制1 8 3 1 2 内部控制环境下医院的组织结构1 9 3 2 医院l t 内部控制与组织结构一2 0 3 2 1 医院i t 内部控制2 0 3 2 2 医院i t 内部控制的组织结构2 0 3 3 ，j 、结2 l 第4 章基于c o b i t 的电子病历系统内部控制研究2 2 4 1 基于c o b i t 的e m r s 内部控制方案设计2 2 4 1 1 电子病历和电子病历系统2 2 4 1 2 医院业务发展战略的总体目标2 4 4 1 3 基于c o b i t 的医院e m r s 内部控制整体解决方案2 5 4 2e m r s 规划与组织阶段的内部控制研究一2 6 4 2 1e m r s 项目战略规划制定2 7 4 2 2e m r s 体系架构设计2 7 4 2 3e m r s 技术方案设计2 8 4 2 4e m r s 项目执行流程设计与组织构建3l v 江苏大学工程硕士学位论文 4 2 5e m r s 项目投资管理3 4 4 2 6e m r s 项目信息沟通管理3 7 4 2 7e m r s 项目人力资源管理3 9 4 2 8e m r s 项目的质量管理4 l 4 2 9e m r s 项目的风险评估4 4 4 2 10e m r s 项目管理流程4 8 4 3e m r s 获取与实施阶段的内部控制研究5 0 4 3 1 系统的自动化解决方案设计5 0 4 3 2 应用软件测试流程设计5 l 4 3 3 技术平台选择5 3 4 3 4 运行保障5 3 4 3 5 获得e m r s 中的l t 资源5 3 4 3 6 系统变更管理流程5 4 4 3 7 安装、授权解决方案和变更5 4 4 4e m r s 交付与支持阶段的内部控制研究5 5 4 4 1 服务质量管理5 5 4 4 2e m r s 中的第三方服务管理5 6 4 4 3e m r s 的性能优化与容量管理5 8 4 4 4e m r s 服务的连续性保证5 9 4 4 5e m r s 的系统安全保证6 0 4 4 6 实施费用控制6 l 4 4 7 用户培训6 1 4 4 8e m r s 的服务台和事件管理6 2 4 4 9e m r s 中的配置管理6 4 4 4 1 0e m r s 的问题管理6 6 4 4 11e m r s 的数据管理6 7 4 4 1 2e m r s 的物理环境管理6 8 4 4 1 3e m r s 的运营管理6 8 4 5 实施内部控制的e m r s 的监控与评价6 9 4 5 1e m r s 建设与实施中的绩效评估7 0 4 5 2e m r s 建设与实施中的内部控制的分析与评价7 1 4 5 3e m r s 建设与实施过程及其内部控制的规范性保证7 4 4 5 4 提供e m r s 的治理7 5 第5 章结论及展望7 6 5 1 论文工作总结7 6 5 2 论文工作展望7 7 参考文献7 8 v i 江苏大学工程硕士学位论文 第1 章绪论 企业内部控制是企业提高管理水平和防范风险的一种有效机制。随着信息 化和工业化的深度融合，信息技术( i t ) 正推动着企业在生产、经营和管理上发 生着深刻的变革。i t ( 信息技术，i n f o r m a t i o nt e c h n o l o g y ) 在为企业增强竞争 力的同时也为企业带来了新的风险，传统的企业内部控制在i t 环境下暴露出种 种不适应性，影响了企业正确与及时的经营管理决策，从而阻碍了企业的可持续 性发展；同时l t 能够促进企业的信息沟通，具有提高控制和加强监督的能力， 为企业防范风险带来了新的手段。i t 内部控制己逐渐成为企业内部控制中不可 或缺的重要环节之一。 正值我国医药卫生改革的关键时期，国有公立医院面临着新一轮的企业内部 管理机制与管理方式的重新定位与探索，对医院i t 内部控制建设的深层次研究 与实践正是一个绝好的时机。c o b i t l 2 1 ( 信息与相关技术控制目标，c o n t r o l o b j e c t i v e s f o r i n f o r m a t i o n a n dr e l a t e d t e c h n o l o g y ) 作为国际上公认的i t 内部控制最佳 实践，必将成为医院完善i t 内部控制的首选模型。 建立和完善以电子病历( e m r ) 为核心的医院信息系统( h i s ) 是现阶段新 医改的核心议程。2 0 11 年是我国医院电子病历建设与实施的试点年，相应的内 部控制规范也正在研究中。本文以c o b i t 作为e m r s ( 电子病历系统，e l e c t r o n i c m e d i c a lr e c o r ds y s t e m ) 内部控制的控制模型，通过对组成e m r s 建设与实施的 4 个流程域及其3 4 个通用流程进行详细研究，以期在实现e m r s 内部控制目标 的同时可以总结一个适合企业信息化过程中完善i t 内部控制的典型案例。 1 1 研究背景 企业内部控制是提高企业运营效率、保障企业依法经营和会计信息真实可 靠，促进企业实现战略目标的活动，是现代企业制度的根本要求，是企业各项管 理工作的基础，也是企业提高管理水平和防范风险的一种有效机制。 企业内部控制在国外经历了几十年的发展与演进，逐渐形成了以保障效率、 防范风险、报告准确、经营合规为主要目标的一套相对完整的体系。我国自1 9 9 6 江苏大学工程硕士学位论文 年财政部独立审计准则第九号一一内部控制和审计风险首次提出内部控制概 念起，短短十几年问，企业已普遍实施了内部控制并取得了一定的成效。 由于我国现正处于社会主义市场经济建设时期，市场经济迅猛的发展实践远 远超前于企业管理与控制的理论研究和政策规范。现代企业制度尚不完善，企业 内部控制也正处于起步阶段，与国际水平有着较大的差距。1 3 l 为了促进我国企业建立、实施和评价内部控制，提升企业现代化管理水平， 2 0 0 8 年6 月，财政部、证监会、审计署、银监会、保监会联合发布了我国首部 内部控制规范一一企业内部控制基本规范( 下称基本规范) 。2 0 1 0 年4 月， 五部委又联合发布了企业内部控制配套指引，要求自2 0 11 年1 月1 日起在境内 外同时上市的公司施行；自2 0 1 2 年1 月1 日起在上交所、深交所主板上市公司 施行；在此基础上，择机在中小板和创业板上市公司施行。国家鼓励非上市大中 型企业提前执行。 基本规范出台以来，国内各个行业、上市公司、准上市公司、国有企业以及 具有超前意识的其他企业，都加大了对企业内部控制的研究力度，如何贯彻执行 规范及其配套指引已成为企业现阶段所面临的一项重要任务。 中共中央关于制定国民经济和社会发展第十二个五年规划的建议把全面 提高信息化水平作为加快转变经济发展方式的重点之一，明确提出要“推动信息 化和工业化深度融合，加快经济社会各领域信息化”。企业信息化与工业化两 化融合己成为我国工业发展的必然趋势。i t 正在推动着整个经济社会的变革， 实现科学、技术、管理等多方面的自主创新。 i t 的应用使企业在生产、经营和管理上都发生了巨大的变化。i t 一方面在 为企业增强竞争力的同时也使传统的企业内部控制暴露出种种不适应性，企业不 能适应i t 环境下的发展，从而影响到企业正确与及时的经营管理决策，阻碍了 企业的进一步发展；另一方面i t 具有促进企业信息沟通、加强监督能力，为企 业控制风险带来了新的手段。企业内部控制应用指引第1 8 号一一信息系统 1 4 】( 以下称1 8 号指引) 的颁布表明i t 内部控制已经成为企业内部控制中不 可或缺的一环。 医药卫生行业是关系到国计民生的特殊行业，相对于其他行业而言，由于涉 及到人民群众的身体健康和生命安全，因此对自身的内部控制建设极为重视。 2 江苏大学工程硕士学位论文 2 0 0 9 年4 月中共中央国务院关于深化医药卫生体制改革的意见公布以来， 国家加大了对公立医院的各项投入，建立与完善以电子病历为核心的医院信息系 统成为现阶段新医改的核心议程。2 0 11 年是我国电子病历建设与实施的试点年， 与之相配套的内部控制规范也正在研究当中。 医改实施以来，各级政府对医院的巨额投入正推动着我国医院飞步迈入数字 化和信息化的时代，智能大厦的建设、大型数字化医疗设备的应用以及以e m r s 为核心的医院信息系统的普及正引导着医院把现有的独立、分散的功能性资源逐 步转变成先进的以数据中心为承载平台的服务型创新资源。i t 环境下医院的管 理模式正发生着深刻的变革。外部环境的要求和自身发展的需要都要求医院深化 l t 内部控制的改革。探索出一套规范、适用、完整的i t 内控体系将成为医院“以 病人为中心 的战略目标最终实现的有力保障。 1 2 研究现状与研究意义 内部控制是现代企业不可或缺的管理元素。从2 0 世纪3 0 年代“内部控制” 一词第一次出现到现在已经经过了7 0 多年演进，演进的过程中内部控制概念的 内涵与外延不断被丰富扩大，已经和初级阶段的概念有了很大的差异。最新的美 国c o s o is 1 ( 全美虚假财务报告委员会下属的发起人委员会，c o m m i t t e eo f s p o n s o r i n go r g a n i z a t i o n so f t h et r e a d w a yc o m m i s s i o n ，简称c o s o ) 报告指出“内 部控制是由企业的董事会、管理阶层和员工共同实施的，为财务报告的可靠性、 经营活动的效率和效果、相关法律法规的遵守等目标的达成而提供合理保证的过 程。”1 6 1 已经和最原始的会计角度出发的内部控制定义有了本质的不同。 作为应用最广泛的内部控制框架，c o s o 有效地指导着企业内部控制的建设 与实施。它能够使企业适应经济环境的改变，能够促进和完善企业内部控制的不 断完善。然而，在l t 广泛应用的今天，对于信息化环境下的企业而言，c o s o 却不再是最全面最完善的内部控制框架，因为c o s o 只对i t 内部控制进行了主 题的定义，它缺乏更深入详细的指导。 我国企业i t 内部控制的依据主要是财政部的1 8 号指引。1 8 号指引 是依据c o s o 报告、c o b i t 框架以及财政部基本规范进行的制订。由于我国企 业所有制的差异，以及不同区域、不同行业、不同规模的企业处在企业发展的不 江苏大学工程硕士学位论文 同阶段上，对管理的要求千差万别，因而从普适性的角度出发，考虑国内企业的 实际情况，与国际标准相比， 1 8 号指引适当调低了应用标准。 目前国内对i t 内部控制的应用研究有两大方向。最主要的方向是以基本规 范及其1 8 号指引为依据，以保障企业依法经营和会计信息真实可靠为切入 点，深入研究企业会计信息系统内部控制体系的建设；另一个新兴的研究方向则 是以c o b i t 为框架，以防范企业运营风险、提高企业运营效率为切入点，探索 研究企业i t 环境下的信息系统内部控制体系的建设。前者的研究较为成熟，成 功案例有财政部重点会计科研课题2 0 0 8 k j a l 2 “- i 霎鬟茬笺 是工 1r liii jl 建ti制订 i 风险 测试 l 测试 l 评估 测试 计划 环境 i 进度 ii 计划 i lii 1r 一 jl l 编t j 测试人纲编巧测试用铡 ii 上 测试 测试设计评审 设计 百磊赢、否 ：二 1r j 一 测试_ j 例执行 测试 1r 实施 错误记录 结果确认测试报告 1 jl l 软什测试总结测试t 作总结 i l 上 否，l 鬈霞辐菱蒺箨 、 测试 多l 总结 4 芋蚕鬟尹、 是- 修改测试用例 修改相应软件 否 工 ( 结束 ) 、 r 图4 2 6e m r s 应用软件测试流程 5 2 江苏大学工程硕士学位论文 4 3 3 技术平台选择 依照c o b i t 框架为医院e m r s 提供支持业务应用的适当平台，合适的硬件 和软件的获取、软件的标准化、硬件和软件性能的评估以及一致性的系统管理， 需要考虑的方面包括【3 4j ：硬件性能需求，并说明相应的计算方法及依据； u n i x + j a v a 和w i n d o w s + n e t 两种解决方案；第三方软件对解决方案是否有影 响，并说明应用；硬件平台选型、网络传输要求及物理连接架构；系统管理、安 全管理平台；提供软硬件安装对应表。1 3 5 j 4 3 4 运行保障 保障运营和使用是一个关键控制点。e m r s 上线如果没有计划性及组织性， 则会导致系统实施失败，业务流程中断。为了保障业务运营和使用，e m r s 上线 前应制订上线计划，并经相关部门审批后方可实施。 具体控制措施包括： ( 1 ) e m r s 具备上线条件后，项目组将制定系统上线计划和方案，内容包 括上线步骤、时间、所需资源等。 ( 2 ) e m r s 上线前，项目组提出上线申请，填写c e 线方案审批表，并附 有上线计划和方案，经系统最终用户部门和项目办审批后方可上线。 ( 3 ) e m r s 上线计划应包括如下内容：将程序代码移植到业务环境之前须 得到正式授权；实施后，由终端用户部门主管及信息部门主管确认所有上线项目 均得到授权并正确实施；检查以确保所有相关文档均己完成；对终端用户及信息 部门人员进行适当培训；数据转换时，需对基本数据库进行检查，确保数据转换的完 整性及正确性；严禁系统开发人员有访问系统环境的权限。 4 3 5 获得e m r s 中的lt 资源 e m r s 中i t 资源的获得包括：总体技术方案，包括硬件设备组成、组网、 系统配置、软件配置、业务功能实现分析等；需求调研、需求分析、流程梳理、 系统架构设计等；系统向接口平台的对接，完成本系统所有可能发生的对外服务 向接口平台的封装工作，并完成与h m i s 的集成，服务调用统一采用s o a 协议 5 3 江苏大学工程硕士学位论文 进行；对网络的需求，包括：局域网和广域网连接带宽需求、协议端 - 1 需求等； 对软硬件设备的所有要求及配置方案；通信部分：负责提供并安装至数字配线架 的通信电缆及接头；电源部分：负责提供并布放电力线缆至新增设备机柜下，负 责电力线缆与新增机柜电源模块的对接并完成机柜内设备供电引接；硬件性能需 求；软件的安装、配置、调测、检验；软件补丁的安装、更新、升级；整体系统 的联调和开通，相关厂商的沟通协调。 4 3 6 系统变更管理流程 e m r s 变更管理的主要控制流程如图4 2 7 所示。 图4 2 7e m r s 变更管理主要控制流程 发生未经授权批准的系统变更，会影响数据处理的准确性和e m r s 的应用 控制。为确保所有系统变更文档的标准化，并执行正式的系统变更管理程