医院信息系统审计步骤.docx
《医院信息系统审计步骤.docx》由会员分享,可在线阅读,更多相关《医院信息系统审计步骤.docx(16页珍藏版)》请在三一文库上搜索。
1、信息系统审计重点及步骤1、在准备阶段,主要是与医院信息技术人员进行沟通,熟悉医院信息系统的基础设施,查阅与医院相关的法规政策,获取系统说明书、数据字典、操作流程图等关键技术文档,采集电子数据。2、在实施阶段,主要是查看医院信息的组织方式和处 理流程,绘制数据结构图和业务流程图,整理和分析电子数 据,观察和评 估系统内部控制是否完善、版本控制是否有效、功能设置是否完 备,开发文档是否完整、灾备计划是否健全等,并取证核实。3、在终结阶段,主要是根据前期工作结果,对医院信息系统 进行总体评价,汇总工作底稿,与被审计单位交换意见,编制正式的 信息系统审计报告,通过A0和0A进行项目归档等。注意:查看医
2、院信息系统建设方面的投入及升级改造 情况。审计发现典型问题:缺乏信息系统长期规划和规章制度:医院没有制定专门的信息化建设长期规划,也没有印发具体的信息系统管理 办法。同时,医院各科室人员对信息化政策缺乏了解,对信息系统的理解尚处于较低层次,大多局限在一般性应 用上。1、系统口令设置不安全性:审计发现,有98. 5%的医护工作站口令全部由数字“0”组成,且均未加密。方法:在调查问卷的基础上,在服务器上对各个工作站使用 者的口令 情况进行审查。弱口令会带来人员操作、结果生成、费用结算等方面的隐患,如果 被内外部人员利用,可能会产生舞弊。2、数据控制存在漏洞:医疗服务项目的默认收费单价和计 量单位,
3、 医护人员可以直接修改,缺少必要的输入输出约束控制,导致了大量 的误收费甚至是人情收费的问题。方法:从门诊开药到收费窗口进行现场流程测试,是否存在以上收费方面的漏洞,药品价格、数量等是否可以随意修改。3、如该院“床位费”核定有9种收费标准,实际收费中却出现了43种收费价格;B超、CT扫描、彩超等医疗检查的收费价格区间明 显异常,女口 “ CT扫描”收费在10元至2920元不等,且系统中均 无对应的详细医嘱。方法:审查业务数据。4、关联数值间不配比:医院业务系统反映年度挂号数为10.6万人次,而根据收费数据的统计,当年实际就诊取药有22.8 万人次,相差12. 2万人,差距悬殊,医院因此损失挂号
4、和 诊金费50多万元。造成这一问题的主要原因,为系统流程 设计不完善,导致了“逃方”现象的频繁发生。5、容灾备份不可靠: 医院的主机房与备份机房紧邻,同处顶楼,相隔仅一墙,在遇到雷击、浸水、火灾等特殊灾害时,极易出现主机和备份 机同时毁 坏、数据丢失的情况。方法:现场查看,绘制机房平面结构图。6、操作日志内容不完整:该院信息系统的操作日志,其内容主要为 一般性的登录和退出信息,缺少详细的操作内容记 录,不便于非授权 访问、恶意操作等问题的责任追查。方法:对服务器主机上的操作日志进行查看取证。7、药品加价不符合规定:系统未对药品加价设定正确的算 法,导致该院实际销售的 1802种西药及中成药中,
5、有821 种药品的进销加价率超过规定标准,合计多加价 507万元。特殊医用材料加价不符合规定:该院销售的一次性注射器、接骨板、人工晶体、钛夹等医用材料中,有101种材料的进销加价率和加价额超过规定标准,合计多加价23万元。方法:对业务数据进行筛选审查。8、重复收取相关费用:在向病人收取手术费后,又重复收取了手术巾、麻醉包、灭菌手套、输血皮条等费用,而这些 费用本身是包含在 手术费的内涵中的。类似的还有,在收取层流洁净病房、特需病房床位费的同时,又收取“病房降温取暖费”;收取“重症监护费”后,又收取“吸痰护理”、“动静脉置管护理”等费用。方法:审查业务数据,手术费,并抽取检查手术病人的住院病例、
6、费 用明细清单。9、无依据收取相关费用:向住院病人收取了只有社区卫生服务机构才能收取的“健康咨询费”、“出诊费”;收取了 “防护 费”、“换单费”、“观察瞳孔费”等目录外医疗费用;方法:查阅现在收费标准,是否存在无依据收费、超标准收费问题。10、模糊收费:医院以“治疗费”、“检查费”、“化验费”、“介 入放射治疗费”等模糊项目名称,代替标准项目名称、套用 编码收取费用等问题。方法:根据标准收费项目编码进行筛选,看是否存在以上收费情况。信息系统审计不仅可以帮我们发现问题,还可以帮我们解释问题发生的原因,并从源头上预防类似问题的再次发 生。只有开展了信 息系统审计,我们才能更为全面地履行审计职责。
7、在项目实施过程 中,审计人员比较系统地运用了面谈询问、实地观察、数据测试等信息系统审计方法。如通过调查问卷 法,了解医院信息系统用户的职务分离情况;通过实地观察法,确认医院信息系统的物理运行环境是否达到规范要 求;通过平行模拟法,判断医院业务系统的收入金额是否计算准确;通过综合测试法,揭示医护收费系统的数据控制漏洞等。本次审计,在审前调查时所采用的技术方法主要有:问卷调查表法、会议座谈法、实地查看法。掌握某市人民医院信息系统建设及 管理的基本概况。对HIS系统分析时采用的技术方法主要有:资料审阅法、流程图检查法、数据核对法、模拟操作法。对信息系统的安全性、可 靠性和健壮性进行评估。对数据库业务
8、数据分析时采用的技术方法主要有:SQL语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。重 点审查业务数据的真实性、完整性和效益性。一、信息系统基本情况主要包括以下几个方面:1、被审计单位信息系统建设和管理情况:市人民医院使用的医院信息 管理系统(HIS )是由市某软件开发公司1999年开发的,系统于2002年进行测试,2003年4月正式运行使用。系 统采用PowerBuilder进行开发,后台数据库为SQL2005。医院信息管理系统采用了c/s结构模式,服务器端操作系统为windows2003 ,客户端操作系统为windows2000/XP。该院每年都投入资金对其硬件环境进行升级改造
9、目前共有服务器7 台、计算机220台、交换机26台、硬件防火墙2台,打印机H5台。医院中心机房放置了温度、湿度探测器,同时配备了 UPS不间 断电源和自动灭火系统,为系统正常运行提供了保障;2、被审计单 位对信息系统业务依赖程度:人民医院信息管理系统(HIS )根据功能的要求,分为十三大子模块:门诊挂号、门诊划价收费、药库管 理、门诊药房 管理、病区药房管理、住院管理、病区医嘱管理、人事 工资管理、病案管理、物资管理、院长查询、经济核算、公费医 疗 等,基本包括了医院的主要业务和管理需求;3、被审计单位信息系统组织管理情况:人民医院设置了信息科,专职 进行软件 开发、系统维护和设备维修等;4
10、被审计单位信息系统运行情况:从维护日志来看,该院医院信息管理系统在不断地 进行系统升级和功能完善,数据库出现异常的情况越来越少。在审计 组现场审计期间,该信息系统运行正常,未发现服务器宕机等异常现 象;5、被审计单位信息系统总体业务数据流程情况:该系统业务流程主要分为,患者就医、就 诊,药库采购药品入库、发出药品出库,挂号费用、门诊(住院)费用和采购费用的结算等方面;6、被审计单位信息系统电子数据情况:本次审计我们取得了截止到2010年3月10日的数据库备份数据。HIS系统全库业务数据总量约32. 6G,其中:2008年约有1240万条记录,数据大小为4. 8G ; 2009年约有1650万
11、条记录,数据大小6. 4G。目前数据量年增长率为15%左右。二、被审计单位信息系统控制情况人民医院重视该院对信息系统维护的投入,也制定了相应的管理制度,实现了对信息化管理过程的控制。HIS系统的运行正常,基本满足了人民医院的主要业务需求。(一)一般控制方面在一般控制方面总体情况较好,但是也存在着设备采购管理不合规, 系统安全性和可靠性有待加强。(二)应用控制方面在应用控制方面人民医院做了大量工作,对业务流程进行了控制。其 数据处理逻辑和输入、输出控制较好。通过对系统 操作人员权限管 理,实现了对数据库的访问、修改等操作进行控制。数据接口方面也 能保证该系统与市医保系统、农保系统进行日常的业务数
12、据交换。但 存在业务数据的真实性和准确性欠缺的问题,系统使用效率性和效益 性有待提三、审计重点内容及审计事项(一)一般控制审计重点审计总体IT环境、基础设施控制、信息系统生命周期控制、信 息安全控制、信息系统运营维护控制等方面的情况。1 .审计目标 通过一般控制审计,对信息系统的基本情况、合法合规性、真实完整 性、安全可靠性、效率效益性等情况有全面的了解和掌握。2 .审计测试过程在审前准备阶段,审计组搜集了医院收费的相关文件和资料,采集了数据库业务数据,获取了数据字典。发放问卷调查表来了解情况:是发放信息系统控制矩阵的调查表,这 个表有9张,针对的是医院信息系统,我们要求人民医院信 息科填写。
13、二是给医院的使用信息系统 的医生、门诊病人和 住院病人发放满意度调查表。表里有信息信息系 统使用情 况,有医院收费情况,有医生服务态度等内容。还通过在院 长办公室举行座谈交流,了解财务情况以及信息系统使用情 况,并且 还对机房、设备和业务窗口进行了实地查看,了解 和掌握市中医院信 息管理系统运行的基本情况。再汇总调查 情况拟订具体的、可操作的 审计实施方案。在审计实施阶段,审计组参照医院信息系统软件基本功能 规范对其内部控制机制进行了初步评估,确定了审计重点 具体审计以下五个事项:(1)总体IT控制环境审计A .具体审计目标:主要查看信息系统的组织结构和管理政策 是否健 全。B.审计测试过程:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 医院 信息系统 审计 步骤
