医院信息系统审计步骤教程文件.docx

1、医院信息系统审计步骤教程文件医院信息系统审计步骤信息系统审计重点及步骤1、在准备阶段，主要是与医院信息技术人员进行沟通，熟悉医院信息系统的基础设施，查阅与医院相关的法规政策，获取系统说明书、数据字典、操作流程图等关键技术文档，采集电子数据。2、在实施阶段，主要是查看医院信息的组织方式和处理流程，绘制数据结构图和业务流程图，整理和分析电子数据，观察和评估系统内部控制是否完善、版本控制是否有效、功能设置是否完备，开发文档是否完整、灾备计划是否健全等，并取证核实。3、在终结阶段，主要是根据前期工作结果，对医院信息系统进行总体评价，汇总工作底稿，与被审计单位交换意见，编制正式的信息系统审计报告，通过A

2、O和OA进行项目归档等。注意：查看医院信息系统建设方面的投入及升级改造情况。审计发现典型问题：缺乏信息系统长期规划和规章制度：医院没有制定专门的信息化建设长期规划，也没有印发具体的信息系统管理办法。同时，医院各科室人员对信息化政策缺乏了解，对信息系统的理解尚处于较低层次，大多局限在一般性应用上。1、系统口令设置不安全性：审计发现，有98.5%的医护工作站口令全部由数字“0”组成，且均未加密。方法：在调查问卷的基础上，在服务器上对各个工作站使用者的口令情况进行审查。弱口令会带来人员操作、结果生成、费用结算等方面的隐患，如果被内外部人员利用，可能会产生舞弊。2、数据控制存在漏洞：医疗服务项目的默认

3、收费单价和计量单位，医护人员可以直接修改，缺少必要的输入输出约束控制，导致了大量的误收费甚至是人情收费的问题。 方法：从门诊开药到收费窗口进行现场流程测试，是否存在以上收费方面的漏洞，药品价格、数量等是否可以随意修改。3、如该院“床位费”核定有9种收费标准，实际收费中却出现了43种收费价格；B超、CT扫描、彩超等医疗检查的收费价格区间明显异常，如 “CT扫描”收费在10元至2920元不等，且系统中均无对应的详细医嘱。 方法：审查业务数据。4、关联数值间不配比：医院业务系统反映年度挂号数为10.6万人次，而根据收费数据的统计，当年实际就诊取药有22.8万人次，相差12.2万人，差距悬殊，医院因此

4、损失挂号和诊金费50多万元。造成这一问题的主要原因，为系统流程设计不完善，导致了“逃方”现象的频繁发生。5、容灾备份不可靠：医院的主机房与备份机房紧邻，同处顶楼，相隔仅一墙，在遇到雷击、浸水、火灾等特殊灾害时，极易出现主机和备份机同时毁坏、数据丢失的情况。 方法：现场查看，绘制机房平面结构图。6、操作日志内容不完整：该院信息系统的操作日志，其内容主要为一般性的登录和退出信息，缺少详细的操作内容记录，不便于非授权访问、恶意操作等问题的责任追查。方法：对服务器主机上的操作日志进行查看取证。7、药品加价不符合规定：系统未对药品加价设定正确的算法，导致该院实际销售的1802种西药及中成药中，有821种

5、药品的进销加价率超过规定标准，合计多加价507万元。特殊医用材料加价不符合规定：该院销售的一次性注射器、接骨板、人工晶体、钛夹等医用材料中，有101种材料的进销加价率和加价额超过规定标准，合计多加价23万元。 方法：对业务数据进行筛选审查。8、重复收取相关费用：在向病人收取手术费后，又重复收取了手术巾、麻醉包、灭菌手套、输血皮条等费用，而这些费用本身是包含在手术费的内涵中的。 类似的还有，在收取层流洁净病房、特需病房床位费的同时，又收取“病房降温取暖费” ；收取“重症监护费”后，又收取“吸痰护理”、 “动静脉置管护理”等费用 。方法：审查业务数据，手术费，并抽取检查手术病人的住院病例、费用明细

6、清单。9、无依据收取相关费用：向住院病人收取了只有社区卫生服务机构才能收取的“健康咨询费”、“出诊费”；收取了“防护费”、“换单费”、“观察瞳孔费” 等目录外医疗费用; 方法：查阅现在收费标准，是否存在无依据收费、超标准收费问题。10、模糊收费：医院以“治疗费”、“检查费”、“化验费”、“介入放射治疗费”等模糊项目名称，代替标准项目名称、套用编码收取费用等问题。 方法：根据标准收费项目编码进行筛选，看是否存在以上收费情况。信息系统审计不仅可以帮我们发现问题，还可以帮我们解释问题发生的原因，并从源头上预防类似问题的再次发生。只有开展了信息系统审计，我们才能更为全面地履行审计职责。在项目实施过程中

7、，审计人员比较系统地运用了面谈询问、实地观察、数据测试等信息系统审计方法。如通过调查问卷法，了解医院信息系统用户的职务分离情况；通过实地观察法，确认医院信息系统的物理运行环境是否达到规范要求；通过平行模拟法，判断医院业务系统的收入金额是否计算准确；通过综合测试法，揭示医护收费系统的数据控制漏洞等。本次审计，在审前调查时所采用的技术方法主要有：问卷调查表法、会议座谈法、实地查看法。掌握某市人民医院信息系统建设及管理的基本概况。对HIS系统分析时采用的技术方法主要有：资料审阅法、流程图检查法、数据核对法、模拟操作法。对信息系统的安全性、可靠性和健壮性进行评估。 对数据库业务数据分析时采用的技术方法

8、主要有：SQL语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。重点审查业务数据的真实性、完整性和效益性。一、信息系统基本情况主要包括以下几个方面：1、被审计单位信息系统建设和管理情况：市人民医院使用的医院信息管理系统（HIS）是由市某软件开发公司1999年开发的，系统于2002年进行测试，2003年4月正式运行使用。系统采用PowerBuilder进行开发，后台数据库为SQL2005。医院信息管理系统采用了c/s结构模式，服务器端操作系统为windows2003，客户端操作系统为windows2000/XP。该院每年都投入资金对其硬件环境进行升级改造，目前共有服务器7台、计算机220

9、台、交换机26台、硬件防火墙2台，打印机115台。医院中心机房放置了温度、湿度探测器，同时配备了UPS不间断电源和自动灭火系统，为系统正常运行提供了保障；2、被审计单位对信息系统业务依赖程度：人民医院信息管理系统（HIS）根据功能的要求，分为十三大子模块：门诊挂号、门诊划价收费、药库管理、门诊药房管理、病区药房管理、住院管理、病区医嘱管理、人事工资管理、病案管理、物资管理、院长查询、经济核算、公费医疗等，基本包括了医院的主要业务和管理需求；3、被审计单位信息系统组织管理情况：人民医院设置了信息科，专职进行软件开发、系统维护和设备维修等；4、被审计单位信息系统运行情况：从维护日志来看，该院医院信

10、息管理系统在不断地进行系统升级和功能完善，数据库出现异常的情况越来越少。在审计组现场审计期间，该信息系统运行正常，未发现服务器宕机等异常现象；5、被审计单位信息系统总体业务数据流程情况：该系统业务流程主要分为，患者就医、就诊，药库采购药品入库、发出药品出库，挂号费用、门诊（住院）费用和采购费用的结算等方面；6、被审计单位信息系统电子数据情况：本次审计我们取得了截止到2010年3月10日的数据库备份数据。HIS系统全库业务数据总量约32.6G，其中：2008年约有1240万条记录，数据大小为4.8G；2009年约有1650万条记录，数据大小6.4G。目前数据量年增长率为15%左右。二、被审计单位

11、信息系统控制情况人民医院重视该院对信息系统维护的投入，也制定了相应的管理制度，实现了对信息化管理过程的控制。HIS系统的运行正常，基本满足了人民医院的主要业务需求。（一）一般控制方面在一般控制方面总体情况较好，但是也存在着设备采购管理不合规，系统安全性和可靠性有待加强。（二）应用控制方面在应用控制方面人民医院做了大量工作，对业务流程进行了控制。其数据处理逻辑和输入、输出控制较好。通过对系统操作人员权限管理，实现了对数据库的访问、修改等操作进行控制。数据接口方面也能保证该系统与市医保系统、农保系统进行日常的业务数据交换。但存在业务数据的真实性和准确性欠缺的问题，系统使用效率性和效益性有待提三、审

12、计重点内容及审计事项（一）一般控制审计重点审计总体IT环境、基础设施控制、信息系统生命周期控制、信息安全控制、信息系统运营维护控制等方面的情况。1审计目标通过一般控制审计，对信息系统的基本情况、合法合规性、真实完整性、安全可靠性、效率效益性等情况有全面的了解和掌握。2审计测试过程在审前准备阶段，审计组搜集了医院收费的相关文件和资料，采集了数据库业务数据，获取了数据字典。发放问卷调查表来了解情况：一是发放信息系统控制矩阵的调查表，这个表有9张，针对的是医院信息系统，我们要求人民医院信息科填写。二是给医院的使用信息系统的医生、门诊病人和住院病人发放满意度调查表。表里有信息信息系统使用情况，有医院收

13、费情况，有医生服务态度等内容。还通过在院长办公室举行座谈交流，了解财务情况以及信息系统使用情况，并且还对机房、设备和业务窗口进行了实地查看，了解和掌握市中医院信息管理系统运行的基本情况。再汇总调查情况拟订具体的、可操作的审计实施方案。在审计实施阶段，审计组参照医院信息系统软件基本功能规范对其内部控制机制进行了初步评估，确定了审计重点。具体审计以下五个事项：（1）总体IT控制环境审计A具体审计目标:主要查看信息系统的组织结构和管理政策是否健全。B审计测试过程：通过会议座谈、问卷调查和资料查阅等方法，审计组取得了关于医院信息系统建设的会议纪要、科室职能等资料，了解到人民医院对信息系统建设十分重视，

14、成立了济仁软件公司对医院信息系统进行开发、维护。每年医院都投入大量资金对设备和系统进行更新，信息系统由信息科设专人负责，系统的建设有计划、有规划。C发现问题和建议：在审计中我们也发现，只有2名技术人员掌握HIS系统关键技术，且未签定保密协议。建议市人民医院加强信息系统方面的学习，培养信息管理业务骨干。（2）基础设施控制审计A具体审计目标:查看机房物理环境是否有效控制；对硬件设备、系统软件采购管理是否控制；硬件、软件管理制度有无建立健全和执行到位。B审计测试过程：通过实地查看的方法，审计发现，人民医院的新机房正在兴建，原有机房还在使用中。新机房按照电子信息系统机房设计规范（GB50174-200

15、8）、电子信息系统机房施工及验收规范（GB50462-2008）、电子信息系统机房工程设计与安装(GJBT1093)等国家标准和规定进行操作，机房建设比较规范，相关水、火灾探测设备，灭火装置、续电设备、空调等设施齐全。市人民医院也制定了机房管理制度，对机房安全和维护进行管理。在设备采购管理控制方面，人民医院计算机等设备采购数量多、金额较大，我们将此作为重点进行审计。具体步骤：一是采集转换人民医院的财务数据。市人民医院财务软件使用的是会稽山AC.NET标准会计软件，我们将2007-2009年数据转换到AO中。二是运用SQL语句进行查询。三是对得出的近3年的电脑采购情况进行分析。审计发现，市人民医

16、院电脑设备采购金额越来越大，但设备采购未纳入政府集中采购，也未执行招投标管理。四是审计中发现，有部分电脑供货单位为某济仁软件开发公司。该公司是医院的下属公司，总经理由医院信息科科长担任。C发现问题和建议：审计人员决定对采购电脑的票据进行延伸审查，最终发现有2笔票据存在疑点，经过分析核实，决定作移送处理。同时建议市人民医院建立健全医疗设备采购管理制度，按照要求将电脑等设备纳入政府集中采购。（3）信息系统生命周期控制审计A具体审计目标:查看信息系统开发是否规范，系统变更是否在可控范围内。B审计测试过程：通过资料查阅法，对照医院信息系统软件评审管理办法、医院信息系统软件基本功能规范的要求，重点查看了系统设计方案书、分析说明书、数据要求说明书、维护手册等