《医院信息系统审计步骤》由会员分享,可在线阅读,更多相关《医院信息系统审计步骤(19页珍藏版)》请在金锄头文库上搜索。
1、信息系统审计重点及步骤1、 在准备阶段, 主要是与医院信息技术人员进展沟通,熟悉医院信息系统的根底设施,查阅与医院相关的法规政策,获取系统说明书、数据字典、操作流程图等关键技术文档,采集电子数据。2、在实施阶段,主要是查看医院信息的组织方式和处理流程,绘制数据构造图和业务流程图,整理和分析电子数据,观察和评估系统部控制是否完善、版本控制是否有效、功能设置是否完备,开发文档是否完整、灾备方案是否健全等,并取证核实。3、在终结阶段,主要是根据前期工作结果,对医院信息系统进展总体评价,汇总工作底稿,与被审计单位交换意见,编制正式的信息系统审计报告,通过AO 和 OA 进展工程归档等。注意:查看医院信
2、息系统建立方面的投入及升级改造情况。审计发现典型问题: 缺乏信息系统长期规划和规章制度:医院没有制定专门的信息化建立长期规划,也没有印发具体的信息系统管理方法。同时,医院各科室人员对信息化政策缺乏了解,对信息系统的理解尚处于较低层次,大多局限在一般性应用上。1、系统口令设置不平安性:审计发现,有98.5%的医护工作站口令全部由数字“ 0”组成,且均未加密。方法:在调查问卷的根底上,在效劳器上对各个工作站使用者的口令情况进展审查。弱口令会带来人员操作、 结果生成、 费用结算等方面的隐患,如果被外部人员利用,可能会产生舞弊。2、 数据控制存在漏洞: 医疗效劳工程的默认收费单价和计量单位,医护人员可
3、以直接修改,缺少必要的输入输出约束控制,导致了大量的误收费甚至是人情收费的问题。方法:从门诊开药到收费窗口进展现场流程测试,是否存在以上收费方面的漏洞, 药品价格、 数量等是否可以随意修改。3、 如该院 “床位费核定有9 种收费标准, 实际收费中却出现了 43 种收费价格; B 超、 CT 扫描、彩超等医疗检查的收费价格区间明显异常,如 “ CT 扫描收费在10 元至 2920元不等,且系统中均无对应的详细医嘱。方法:审查业务数据。4、 关联数值间不配比: 医院业务系统反映年度挂号数为 10.6万人次,而根据收费数据的统计,当年实际就诊取药有22.8万人次,相差 12.2万人,差距悬殊,医院因
4、此损失挂号和诊金费 50 多万元。 造成这一问题的主要原因, 为系统流程设计不完善,导致了“逃方现象的频繁发生。5、容灾备份不可靠:医院的主机房与备份机房紧邻,同处顶楼,相隔仅一墙,在遇到雷击、浸水、火灾等特殊灾害时,极易出现主机和备份机同时毁坏、数据丧失的情况。方法:现场查看,绘制机房平面构造图。6、 操作日志容不完整: 该院信息系统的操作日志, 其容主要为一般性的登录和退出信息,缺少详细的操作容记录,不便于非授权访问、恶意操作等问题的责任追查。方法:对效劳器主机上的操作日志进展查看取证。7、 药品加价不符合规定: 系统未对药品加价设定正确的算法,导致该院实际销售的 1802种西药及中成药中
5、, 有 821 种药品的进销加价率超过规定标准,合计多加价507 万元。特殊医用材料加价不符合规定:该院销售的一次性注射器、接骨板、人工晶体、钛夹等医用材料中,有101 种材料的进销加价率和加价额超过规定标准,合计多加价23 万元。方法:对业务数据进展筛选审查。8、 重复收取相关费用: 在向病人收取手术费后, 又重复收取了手术巾、麻醉包、灭菌手套、输血皮条等费用,而这些费用本身是包含在手术费的涵中的。类似的还有, 在收取层流干净病房、 特需病房床位费的同时,又收取“病房降温取暖费 ;收取“重症监护费后,又收取“吸痰护理、 “动静脉置管护理等费用 。方法:审查业务数据,手术费,并抽取检查手术病人
6、的住院病例、费用明细清单。9、 无依据收取相关费用: 向住院病人收取了只有社区卫生效劳机构才能收取的 “安康咨询费、 “出诊费; 收取了 “防护费、 “换单费、 “观察瞳孔费 等目录外医疗费用 ;方法:查阅现在收费标准,是否存在无依据收费、超标准收费问题。10、模糊收费:医院以“治疗费、 “检查费、 “化验费、“介入放射治疗费等模糊工程名称,代替标准工程名称、套用编码收取费用等问题。方法:根据标准收费工程编码进展筛选,看是否存在以上收费情况。信息系统审计不仅可以帮我们发现问题,还可以帮我们解释问题发生的原因,并从源头上预防类似问题的再次发生。只有开展了信息系统审计,我们才能更为全面地履行审计职
7、责。在工程实施过程中,审计人员比拟系统地运用了面谈询问、实地观察、数据测试等信息系统审计方法。如通过调查问卷法,了解医院信息系统用户的职务别离情况;通过实地观察法,确认医院信息系统的物理运行环境是否到达规要求;通过平行模拟法,判断医院业务系统的收入金额是否计算准确;通过综合测试法,提醒医护收费系统的数据控制漏洞等。本次审计,在审前调查时所采用的技术方法主要有:问卷调查表法、会议座谈法、实地查看法。掌握某市人民医院信息系统建立及管理的根本概况。对 HIS 系统分析时采用的技术方法主要有: 资料审阅法、流程图检查法、数据核对法、模拟操作法。对信息系统的平安性、可靠性和强健性进展评估。对数据库业务数
8、据分析时采用的技术方法主要有: SQL 语句查询法、 钩稽关系效验法、 横纵向比拟法、 量本利分析法等。重点审查业务数据的真实性、完整性和效益性。一、 信息系统根本情况主要包括以下几个方面: 1、 被审计单位信息系统建立和管理情况:市人民医院使用的医院信息管理系统HIS是由市奥软件开发公司1999年开发的,系统于 2002 年进展测试, 2003 年 4 月正式运行使用。系统采用PowerBuilder 进展开发,后台数据库为SQL2005。医院信息管理系统采用了 c/s 构造模式,效劳器端操作系统为windows2003,客户端操彳系统为 windows2000/XP。该院每年都投入资金对其
9、硬件环境进展升级改造,目前共有效劳器 7 台、计算机220 台、交换机26 台、硬件防火墙2 台,打印机 115 台。医院中心机房放置了温度、湿度探测器,同时配备了 UPS不连续电源和自动灭火系统,为系统正常运行提供了保障; 2、 被审计单位对信息系统业务依赖程度: 人民医院信息管理系统 HIS 根据功能的要求,分为十三大子模块:门诊挂号、门诊划价收费、药库管理、门诊药房管理、病区药房管理、住院管理、病区医嘱管理、人事工资管理、病案管理、物资管理、院长查询、经济核算、公费医疗等,根本包括了医院的主要业务和管理需求;3、 被审计单位信息系统组织管理情况:人民医院设置了信息科,专职进展软件开发、
10、系统维护和设备维修等; 4、 被审计单位信息系统运行情况:从维护日志来看,该院医院信息管理系统在不断地进展系统升级和功能完善,数据库出现异常的情况越来越少。在审计组现场审计期间,该信息系统运行正常,未发现效劳器宕机等异常现象; 5、 被审计单位信息系统总体业务数据流程情况:该系统业务流程主要分为,患者就医、就诊,药库采购药品入库、发出药品出库,挂号费用、门诊住院费用和采购费用的结算等方面; 6、 被审计单位信息系统电子数据情况:本次审计我们取得了截止到 2010 年 3 月 10 日的数据库备份数据。 HIS 系统全库业务数据总量约 32.6G ,其中:2008 年约有 1240 万条记录,数
11、据大小为 4.8G; 2009 年约有1650万条记录, 数据大小 6.4G。 目前数据量年增长率为 15%左右。二、被审计单位信息系统控制情况人民医院重视该院对信息系统维护的投入,也制定了相应的管理制度,实现了对信息化管理过程的控制。 HIS 系统的运行正常,根本满足了人民医院的主要业务需求。一一般控制方面在一般控制方面总体情况较好,但是也存在着设备采购管理不合规,系统平安性和可靠性有待加强。二应用控制方面在应用控制方面人民医院做了大量工作,对业务流程进展了控制。其数据处理逻辑和输入、输出控制较好。通过对系统操作人员权限管理,实现了对数据库的访问、修改等操作进展控制。数据接口方面也能保证该系
12、统与市医保系统、农保系统进展日常的业务数据交换。但存在业务数据的真实性和准确性欠缺的问题,系统使用效率性和效益性有待提三、审计重点容及审计事项一一般控制审计重点审计总体IT 环境、 根底设施控制、 信息系统生命周期控制、信息平安控制、信息系统运营维护控制等方面的情况。1审计目标通过一般控制审计,对信息系统的根本情况、合法合规性、真实完整性、平安可靠性、效率效益性等情况有全面的了解和掌握。2审计测试过程在审前准备阶段,审计组搜集了医院收费的相关文件和资料,采集了数据库业务数据,获取了数据字典。发放问卷调查表来了解情况:一是发放信息系统控制矩阵的调查表,这个表有9,针对的是医院信息系统,我们要求人
13、民医院信息科填写。二是给医院的使用信息系统的医生、门诊病人和住院病人发放满意度调查表。表里有信息信息系统使用情况,有医院收费情况,有医生效劳态度等容。还通过在院长办公室举行座谈交流,了解财务情况以及信息系统使用情况,并且还对机房、设备和业务窗口进展了实地查看,了解和掌握市中医院信息管理系统运行的根本情况。再汇总调查情况拟订具体的、可操作的审计实施方案。在审计实施阶段, 审计组参照?医院信息系统软件根本功能规?对其部控制机制进展了初步评估,确定了审计重点。具体审计以下五个事项: 1总体 IT 控制环境审计A 具体审计目标:主要查看信息系统的组织构造和管理政策是否健全。B 审计测试过程:通过会议座
14、谈、问卷调查和资料查阅等方法,审计组取得了关于医院信息系统建立的会议纪要、科室职能等资料,了解到人民医院对信息系统建立十分重视,成立了济仁软件公司对医院信息系统进展开发、维护。每年医院都投入大量资金对设备和系统进展更新,信息系统由信息科设专人负责,系统的建立有方案、有规划。C 发现问题和建议:在审计中我们也发现,只有2 名技术人员掌握 HIS 系统关键技术,且未签定协议。建议市人民医院加强信息系统方面的学习,培养信息管理业务骨干。 2根底设施控制审计A 具体审计目标:查看机房物理环境是否有效控制;对硬件设备、系统软件采购管理是否控制;硬件、软件管理制度有无建立健全和执行到位。B 审计测试过程:
15、通过实地查看的方法,审计发现,人民医院的新机房正在兴建, 原有机房还在使用中。 新机房按照 ?电子信息系统机房设计规? GB50174-2008、?电子信息系统机房施工及验收规? GB50462-2008、?电子信息系统机房工程设计与安装?(GT1093)等国家标准和规定进展操作,机房建立比拟规,相关水、火灾探测设备,灭火装置、续电设备、 空调等设施齐全。 市人民医院也制定了?机房管理制度?,对机房平安和维护进展管理。在设备采购管理控制方面,人民医院计算机等设备采购数量多、金额较大,我们将此作为重点进展审计。具体步骤:一是采集转换人民医院的财务数据。市人民医院财务软件使用的是会稽山 AC.NET 标准会计软件,我们将2007-2009年数据转换到 AO 中。二是运用 SQL 语句进展查询。三是对得出的近3 年的电脑采购情况进展分
