医院信息系统审计步骤教程文件.docx
《医院信息系统审计步骤教程文件.docx》由会员分享,可在线阅读,更多相关《医院信息系统审计步骤教程文件.docx(9页珍藏版)》请在冰豆网上搜索。
医院信息系统审计步骤教程文件
医院信息系统审计步骤
信息系统审计重点及步骤
1、在准备阶段,主要是与医院信息技术人员进行沟通,熟悉医院信息系统的基础设施,查阅与医院相关的法规政策,获取系统说明书、数据字典、操作流程图等关键技术文档,采集电子数据。
2、在实施阶段,主要是查看医院信息的组织方式和处理流程,绘制数据结构图和业务流程图,整理和分析电子数据,观察和评估系统内部控制是否完善、版本控制是否有效、功能设置是否完备,开发文档是否完整、灾备计划是否健全等,并取证核实。
3、在终结阶段,主要是根据前期工作结果,对医院信息系统进行总体评价,汇总工作底稿,与被审计单位交换意见,编制正式的信息系统审计报告,通过AO和OA进行项目归档等。
注意:
查看医院信息系统建设方面的投入及升级改造情况。
审计发现典型问题:
缺乏信息系统长期规划和规章制度:
医院没有制定专门的信息化建设长期规划,也没有印发具体的信息系统管理办法。
同时,医院各科室人员对信息化政策缺乏了解,对信息系统的理解尚处于较低层次,大多局限在一般性应用上。
1、系统口令设置不安全性:
审计发现,有98.5%的医护工作站口令全部由数字“0”组成,且均未加密。
方法:
在调查问卷的基础上,在服务器上对各个工作站使用者的口令情况进行审查。
弱口令会带来人员操作、结果生成、费用结算等方面的隐患,如果被内外部人员利用,可能会产生舞弊。
2、数据控制存在漏洞:
医疗服务项目的默认收费单价和计量单位,医护人员可以直接修改,缺少必要的输入输出约束控制,导致了大量的误收费甚至是人情收费的问题。
方法:
从门诊开药到收费窗口进行现场流程测试,是否存在以上收费方面的漏洞,药品价格、数量等是否可以随意修改。
3、如该院“床位费”核定有9种收费标准,实际收费中却出现了43种收费价格;B超、CT扫描、彩超等医疗检查的收费价格区间明显异常,如“CT扫描”收费在10元至2920元不等,且系统中均无对应的详细医嘱。
方法:
审查业务数据。
4、关联数值间不配比:
医院业务系统反映年度挂号数为10.6万人次,而根据收费数据的统计,当年实际就诊取药有22.8万人次,相差12.2万人,差距悬殊,医院因此损失挂号和诊金费50多万元。
造成这一问题的主要原因,为系统流程设计不完善,导致了“逃方”现象的频繁发生。
5、容灾备份不可靠:
医院的主机房与备份机房紧邻,同处顶楼,相隔仅一墙,在遇到雷击、浸水、火灾等特殊灾害时,极易出现主机和备份机同时毁坏、数据丢失的情况。
方法:
现场查看,绘制机房平面结构图。
6、操作日志内容不完整:
该院信息系统的操作日志,其内容主要为一般性的登录和退出信息,缺少详细的操作内容记录,不便于非授权访问、恶意操作等问题的责任追查。
方法:
对服务器主机上的操作日志进行查看取证。
7、药品加价不符合规定:
系统未对药品加价设定正确的算法,导致该院实际销售的1802种西药及中成药中,有821种药品的进销加价率超过规定标准,合计多加价507万元。
特殊医用材料加价不符合规定:
该院销售的一次性注射器、接骨板、人工晶体、钛夹等医用材料中,有101种材料的进销加价率和加价额超过规定标准,合计多加价23万元。
方法:
对业务数据进行筛选审查。
8、重复收取相关费用:
在向病人收取手术费后,又重复收取了手术巾、麻醉包、灭菌手套、输血皮条等费用,而这些费用本身是包含在手术费的内涵中的。
类似的还有,在收取层流洁净病房、特需病房床位费的同时,又收取“病房降温取暖费”;收取“重症监护费”后,又收取“吸痰护理”、“动静脉置管护理”等费用。
方法:
审查业务数据,手术费,并抽取检查手术病人的住院病例、费用明细清单。
9、无依据收取相关费用:
向住院病人收取了只有社区卫生服务机构才能收取的“健康咨询费”、“出诊费”;收取了“防护费”、“换单费”、“观察瞳孔费”等目录外医疗费用;
方法:
查阅现在收费标准,是否存在无依据收费、超标准收费问题。
10、模糊收费:
医院以“治疗费”、“检查费”、“化验费”、“介入放射治疗费”等模糊项目名称,代替标准项目名称、套用编码收取费用等问题。
方法:
根据标准收费项目编码进行筛选,看是否存在以上收费情况。
信息系统审计不仅可以帮我们发现问题,还可以帮我们解释问题发生的原因,并从源头上预防类似问题的再次发生。
只有开展了信息系统审计,我们才能更为全面地履行审计职责。
在项目实施过程中,审计人员比较系统地运用了面谈询问、实地观察、数据测试等信息系统审计方法。
如通过调查问卷法,了解医院信息系统用户的职务分离情况;
通过实地观察法,确认医院信息系统的物理运行环境是否达到规范要求;通过平行模拟法,判断医院业务系统的收入金额是否计算准确;通过综合测试法,揭示医护收费系统的数据控制漏洞等。
本次审计,在审前调查时所采用的技术方法主要有:
问卷调查表法、会议座谈法、实地查看法。
掌握某市人民医院信息系统建设及管理的基本概况。
对HIS系统分析时采用的技术方法主要有:
资料审阅法、流程图检查法、数据核对法、模拟操作法。
对信息系统的安全性、可靠性和健壮性进行评估。
对数据库业务数据分析时采用的技术方法主要有:
SQL语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。
重点审查业务数据的真实性、完整性和效益性。
一、信息系统基本情况主要包括以下几个方面:
1、被审计单位信息系统建设和管理情况:
市人民医院使用的医院信息管理系统(HIS)是由市某软件开发公司1999年开发的,系统于2002年进行测试,2003年4月正式运行使用。
系统采用PowerBuilder进行开发,后台数据库为SQL2005。
医院信息管理系统采用了c/s结构模式,服务器端操作系统为windows2003,客户端操作系统为windows2000/XP。
该院每年都投入资金对其硬件环境进行升级改造,目前共有服务器7台、计算机220台、交换机26台、硬件防火墙2台,打印机115台。
医院中心机房放置了温度、湿度探测器,同时配备了UPS不间断电源和自动灭火系统,为系统正常运行提供了保障;2、被审计单位对信息系统业务依赖程度:
人民医院信息管理系统(HIS)根据功能的要求,分为十三大子模块:
门诊挂号、门诊划价收费、药库管理、门诊药房管理、病区药房管理、住院管理、病区医嘱管理、人事工资管理、病案管理、物资管理、院长查询、经济核算、公费医疗等,基本包括了医院的主要业务和管理需求;3、被审计单位信息系统组织管理情况:
人民医院设置了信息科,专职进行软件开发、系统维护和设备维修等;4、被审计单位信息系统运行情况:
从维护日志来看,该院医院信息管理系统在不断地进行系统升级和功能完善,数据库出现异常的情况越来越少。
在审计组现场审计期间,该信息系统运行正常,未发现服务器宕机等异常现象;5、被审计单位信息系统总体业务数据流程情况:
该系统业务流程主要分为,患者就医、就诊,药库采购药品入库、发出药品出库,挂号费用、门诊(住院)费用和采购费用的结算等方面;6、被审计单位信息系统电子数据情况:
本次审计我们取得了截止到2010年3月10日的数据库备份数据。
HIS系统全库业务数据总量约32.6G,其中:
2008年约有1240万条记录,数据大小为4.8G;2009年约有1650万条记录,数据大小6.4G。
目前数据量年增长率为15%左右。
二、被审计单位信息系统控制情况
人民医院重视该院对信息系统维护的投入,也制定了相应的管理制度,实现了对信息化管理过程的控制。
HIS系统的运行正常,基本满足了人民医院的主要业务需求。
(一)一般控制方面
在一般控制方面总体情况较好,但是也存在着设备采购管理不合规,系统安全性和可靠性有待加强。
(二)应用控制方面
在应用控制方面人民医院做了大量工作,对业务流程进行了控制。
其数据处理逻辑和输入、输出控制较好。
通过对系统操作人员权限管理,实现了对数据库的访问、修改等操作进行控制。
数据接口方面也能保证该系统与市医保系统、农保系统进行日常的业务数据交换。
但存在业务数据的真实性和准确性欠缺的问题,系统使用效率性和效益性有待提
三、审计重点内容及审计事项
(一)一般控制审计
重点审计总体IT环境、基础设施控制、信息系统生命周期控制、信息安全控制、信息系统运营维护控制等方面的情况。
1.审计目标
通过一般控制审计,对信息系统的基本情况、合法合规性、真实完整性、安全可靠性、效率效益性等情况有全面的了解和掌握。
2.审计测试过程
在审前准备阶段,审计组搜集了医院收费的相关文件和资料,采集了数据库业务数据,获取了数据字典。
发放问卷调查表来了解情况:
一是发放信息系统控制矩阵的调查表,这个表有9张,针对的是医院信息系统,我们要求人民医院信息科填写。
二是给医院的使用信息系统的医生、门诊病人和住院病人发放满意度调查表。
表里有信息信息系统使用情况,有医院收费情况,有医生服务态度等内容。
还通过在院长办公室举行座谈交流,了解财务情况以及信息系统使用情况,并且还对机房、设备和业务窗口进行了实地查看,了解和掌握市中医院信息管理系统运行的基本情况。
再汇总调查情况拟订具体的、可操作的审计实施方案。
在审计实施阶段,审计组参照《医院信息系统软件基本功能规范》对其内部控制机制进行了初步评估,确定了审计重点。
具体审计以下五个事项:
(1)总体IT控制环境审计
A.具体审计目标:
主要查看信息系统的组织结构和管理政策是否健全。
B.审计测试过程:
通过会议座谈、问卷调查和资料查阅等方法,审计组取得了关于医院信息系统建设的会议纪要、科室职能等资料,了解到人民医院对信息系统建设十分重视,成立了济仁软件公司对医院信息系统进行开发、维护。
每年医院都投入大量资金对设备和系统进行更新,信息系统由信息科设专人负责,系统的建设有计划、有规划。
C.发现问题和建议:
在审计中我们也发现,只有2名技术人员掌握HIS系统关键技术,且未签定保密协议。
建议市人民医院加强信息系统方面的学习,培养信息管理业务骨干。
(2)基础设施控制审计
A.具体审计目标:
查看机房物理环境是否有效控制;对硬件设备、系统软件采购管理是否控制;硬件、软件管理制度有无建立健全和执行到位。
B.审计测试过程:
通过实地查看的方法,审计发现,人民医院的新机房正在兴建,原有机房还在使用中。
新机房按照《电子信息系统机房设计规范》(GB50174-2008)、《电子信息系统机房施工及验收规范》(GB50462-2008)、《电子信息系统机房工程设计与安装》(GJBT1093)等国家标准和规定进行操作,机房建设比较规范,相关水、火灾探测设备,灭火装置、续电设备、空调等设施齐全。
市人民医院也制定了《机房管理制度》,对机房安全和维护进行管理。
在设备采购管理控制方面,人民医院计算机等设备采购数量多、金额较大,我们将此作为重点进行审计。
具体步骤:
一是采集转换人民医院的财务数据。
市人民医院财务软件使用的是会稽山AC.NET标准会计软件,我们将2007-2009年数据转换到AO中。
二是运用SQL语句进行查询。
三是对得出的近3年的电脑采购情况进行分析。
审计发现,市人民医院电脑设备采购金额越来越大,但设备采购未纳入政府集中采购,也未执行招投标管理。
四是审计中发现,有部分电脑供货单位为某济仁软件开发公司。
该公司是医院的下属公司,总经理由医院信息科科长担任。
C.发现问题和建议:
审计人员决定对采购电脑的票据进行延伸审查,最终发现有2笔票据存在疑点,经过分析核实,决定作移送处理。
同时建议市人民医院建立健全《医疗设备采购管理制度》,按照要求将电脑等设备纳入政府集中采购。
(3)信息系统生命周期控制审计
A.具体审计目标:
查看信息系统开发是否规范,系统变更是否在可控范围内。
B.审计测试过程:
通过资料查阅法,对照《医院信息系统软件评审管理办法》、《医院信息系统软件基本功能规范》的要求,重点查看了《系统设计方案书》、《分析说明书》、《数据要求说明书》、《维护手册》等
升级会员 