《某市人民医院信息系统审计案例》由会员分享,可在线阅读,更多相关《某市人民医院信息系统审计案例(9页珍藏版)》请在金锄头文库上搜索。
1、某市人民医院信息系统审计案例【点击数: 271 】【时间:2-01:13:0.】一、案例摘要(一)审计项目基本状况案例名称:某市人民医院信息系统审计案例2.所属审计项目名称:某市人民医院信息系统审计审计实行单位:某市审计局重要审计人员:张庆红(组长)、徐晓东(主审)、葛玉玲。5审计实行的时间:4月2日至5月1日。(二)具体审计事项类别及名称1一般控制审计(C):(1)总体IT控制环境审计IT规划和筹划审计(GC1)、IT组织构造审计(G-2)、I管理政策审计(GC-3)(2)基本设施控制审计机房物理环境控制审计(GC-4)、硬件设备采购管理控制审计(C-5)、系统软件采购管理控制审计(C-)(
2、3)信息系统生命周期控制审计系统开发控制审计(GC-)、系统采购控制审计(G-8)、系统变更控制审计(GC-9)()信息安全控制审计逻辑访问控制审计(GC-10)、网络安全控制审计(C11)、操作系统安全控制审计(GC-1)、数据库系统安全控制审计(GC-13)、最后顾客控制审计(GC-14)(5)信息系统运营维护控制审计系统维护控制审计(GC15)、系统变更管理控制审计(GC1)、系统劫难恢复控制审计(G-7)2应用控制审计(A):(1)业务流程控制审计业务授权与审批控制审计 (AC-1)、数据输入控制审计(AC-2)、数据输出控制审计(AC-4)(2)数据控制审计对主数据的审计(A-5)
3、、对业务参数的审计(AC-6)、对重要信息的审计(AC-7)(3)接口控制审计数据接口审计(C-)(4)系统外控制审计补偿性控制审计(C-11)(三)采用的审计技术和措施本次审计,我们在审前调查时所采用的技术措施重要有:问卷调查表法、会议座谈法、实地查见解。掌握某市人民医院信息系统基本概况。对HIS系统分析时采用的技术措施重要有:资料审视法、流程图检查法、数据核对法、模拟操作法。对信息系统的安全性、可靠性和强健性进行评估。对数据库业务数据分析时采用的技术措施重要有:SQL语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。重点审查业务数据的真实性、完整性和效益性。(四)审计发现和建议状况
4、本次信息系统审计是与人民医院绩效审计相结合的一次尝试,通过审计,我们出具审计移送解决书1份,将人民医院信息科科长潘某移送市纪委,目前案件已侦察结束,法院最后判决:潘某犯受贿、贪污和挪用公款罪,处以有期徒刑并没收非法所得5万元。完毕信息系统审计报告1份,反映该院信息系统在安全性、可靠性方面存在的4个问题;在有关性方面存在的2个问题;在合法性、合规性方面存在的个问题;在数据的真实性、精确性等方面存在的个问题。提出了3条具有针对性的审计建议。完毕了绩效审计报告份,报告得到充足肯定,分管韩市长批示:“该审计报告内容全面,反映问题精确,但愿市人民医院认真贯彻审计建议,不断提高医院管理水平。”该项目在省厅
5、全省优秀审计项目评比中荣获表扬奖。出具审计决定书1份,对医院超原则加价、药物调价滞后等违规收费XX万元进行惩罚。市人民医院按照审计报告的规定,建立健全了信息系统管理制度、医疗设备采购管理制度、成本核算管理制度等条内部控制制度。二、被审计单位信息系统基本状况(一)被审计单位信息系统建设和管理状况市人民医院使用的医院信息管理系统(HS)是由市某软件开发公司199年开发的,系统于进行测试,4月正式运营使用。系统采用owerBulr进行开发,后台数据库为SQL。医院信息管理系统采用了c构造模式,服务器端操作系统为windows,客户端操作系统为iowsXP。该院每年都投入资金对其硬件环境进行升级改造,
6、目前共有服务器7台、计算机2台、互换机26台、硬件防火墙2台,打印机11台。医院中心机房放置了温度、湿度探测器,同步配备了UP不间断电源和自动灭火系统,为系统正常运营提供了保障。(二)被审计单位对信息系统业务依赖限度人民医院信息管理系统(HIS)根据功能的规定,分为十三大子模块:门诊挂号、门诊划价收费、药库管理、门诊药房管理、病区药房管理、住院管理、病区医嘱管理、人事工资管理、病案管理、物资管理、院长查询、经济核算、公费医疗等,基本涉及了医院的重要业务和管理需求。(三)被审计单位信息系统组织管理状况人民医院设立了信息科,专职进行软件开发、系统维护和设备维修等。(四)被审计单位信息系统运营状况从
7、维护日记来看,该院医院信息管理系统在不断地进行系统升级和功能完善,数据库浮现异常的状况越来越少。在审计组现场审计期间,该信息系统运营正常,未发现服务器宕机等异常现象。(五)被审计单位信息系统总体业务数据流程状况该系统业务流程重要分为,患者就医、就诊,药库采购药物入库、发出药物出库,挂号费用、门诊(住院)费用和采购费用的结算等方面。(六)被审计单位信息系统电子数据状况本次审计我们获得了截止到月0日的数据库备份数据。HIS系统全库业务数据总量约36G,其中:约有120万条记录,数据大小为4.G;约有650万条记录,数据大小6.4G。目前数据量年增长率为%左右。三、被审计单位信息系统控制状况人民医院
8、注重该院对信息系统维护的投入,也制定了相应的管理制度,实现了对信息化管理过程的控制。HIS系统的运营正常,基本满足了人民医院的重要业务需求。(一)一般控制方面在一般控制方面总体状况较好,但是也存在着设备采购管理不合规,系统安全性和可靠性有待加强。(二)应用控制方面在应用控制方面人民医院做了大量工作,对业务流程进行了控制。其数据解决逻辑和输入、输出控制较好。通过对系统操作人员权限管理,实现了对数据库的访问、修改等操作进行控制。数据接口方面也能保证该系统与市医保系统、农保系统进行平常的业务数据互换。但存在业务数据的真实性和精确性欠缺的问题,系统使用效率性和效益性有待提高。四、信息系统审计总体目的通
9、过审计,对人民医院信息系统架构与流程的合法性和合规性,系统的安全性和可靠性,运营的效率性和效益性,重点数据的真实性和完整性进行检查,理解我市人民医院信息系统的运营状况,发现该系统在使用和管理过程中存在的问题,增进被审计单位信息系统的完善,使之在业务活动中发挥更加有效的作用。五、审计重点内容及审计事项(一)一般控制审计重点审计总体T环境、基本设施控制、信息系统生命周期控制、信息安全控制、信息系统运营维护控制等方面的状况。1审计目的通过一般控制审计,对信息系统的基本状况、合法合规性、真实完整性、安全可靠性、效率效益性等状况有全面的理解和掌握。审计测试过程在审前准备阶段,审计组收集了医院收费的有关文
10、献和资料,采集了数据库业务数据,获取了数据字典。发放问卷调查表来理解状况:一是发放信息系统控制矩阵的调查表,这个表有9张,针对的是医院信息系统,我们规定人民医院信息科填写。二是给医院的使用信息系统的医生、门诊病人和住院病人发放满意度调查表。表里有信息信息系统使用状况,有医院收费状况,有医生服务态度等内容。还通过在院长办公室举办座谈交流,理解财务状况以及信息系统使用状况,并且还对机房、设备和业务窗口进行了实地查看,理解和掌握市中医院信息管理系统运营的基本状况。再汇总调查状况拟订具体的、可操作的审计实行方案。在审计实行阶段,审计组参照医院信息系统软件基本功能规范对其内部控制机制进行了初步评估,拟定
11、了审计重点。具体审计如下五个事项:(1)总体I控制环境审计A具体审计目的:重要查看信息系统的组织构造和管理政策与否健全。.审计测试过程:通过会议座谈、问卷调查和资料查阅等措施,审计组获得了有关医院信息系统建设的会议纪要、科室职能等资料,理解到人民医院对信息系统建设十分注重,成立了济仁软件公司对医院信息系统进行开发、维护。每年医院都投入大量资金对设备和系统进行更新,信息系统由信息科设专人负责,系统的建设有筹划、有规划。C发现问题和建议:在审计中我们也发现,只有名技术人员掌握HIS系统核心技术,且未签定保密合同。建议市人民医院加强信息系统方面的学习,培养信息管理业务骨干。(2)基本设施控制审计A.
12、具体审计目的:查看机房物理环境与否有效控制;对硬件设备、系统软件采购管理与否控制;硬件、软件管理制度有无建立健全和执行到位。.审计测试过程:通过实地查看的措施,审计发现,人民医院的新机房正在兴建,原有机房还在使用中。新机房按照电子信息系统机房设计规范(GB5017)、电子信息系统机房施工及验收规范(GB062-)、电子信息系统机房工程设计与安装(GJ103)等国标和规定进行操作,机房建设比较规范,有关水、火灾探测设备,灭火装置、续电设备、空调等设施齐全。市人民医院也制定了机房管理制度,对机房安全和维护进行管理。在设备采购管理控制方面,人民医院计算机等设备采购数量多、金额较大,我们将此作为重点进
13、行审计。具体环节:一是采集转换人民医院的财务数据。市人民医院财务软件使用的是会稽山ACNT原则会计软件,我们将数据转换到AO中。二是运用QL语句进行查询。三是对得出的近年的电脑采购状况进行分析。审计发现,市人民医院电脑设备采购金额越来越大,但设备采购未纳入政府集中采购,也未执行招投标管理。四是审计中发现,有部分电脑供货单位为某济仁软件开发公司。该公司是医院的下属公司,总经理由医院信息科科长担任。C发现问题和建议:审计人员决定对采购电脑的票据进行延伸审查,最后发既有笔票据存在疑点,通过度析核算,决定作移送解决。同步建议市人民医院建立健全医疗设备采购管理制度,按照规定将电脑等设备纳入政府集中采购。
14、(3)信息系统生命周期控制审计.具体审计目的:查看信息系统开发与否规范,系统变更与否在可控范畴内。B.审计测试过程:通过资料查阅法,对照医院信息系统软件评审管理措施、医院信息系统软件基本功能规范的规定,重点查看了系统设计方案书、分析阐明书、数据规定阐明书、维护手册等资料。审计发现,医院信息管理系统为自主设计、开发,开发资料基本齐全,数据规定规范,系统也进行过初步测试。C发现问题和建议:该信息系统使用后多次进行开发和完善,缺少相应变更方案的审核控制,虽然系统运营正常,但是无有关的客户验收报告或第三方验收报告,信息系统至今未通过验收,稳定性无法保证。(4)信息安全控制审计A.具体审计目的:网络、操
15、作系统数据库与否安全,有无防灾措施。B审计测试过程:(1)通过实地查看、资料查阅等措施,审计发现,人民医院进行了P地址管理和顾客权限分派,顾客端安装了瑞星杀毒软件和硬件还原卡,部分顾客操作系统漏洞安装了补丁。(2)通过上机查看、模拟操作,运用组建的局域网和基于备份数据还原模拟的HIS系统核对顾客权限,未发现系统模块控制问题。运用SQL语句,对备份数据进行查找,找到数据库寄存顾客权限管理的表格(ryqx人员权限表),分析权限分派状况,具体环节:一是查看系统管理员身份顾客。二是对顾客密码进行查询分析。C.发现问题和建议:人民医院内、外网未完全物理隔离,局域网内部分电脑可以访问因特网,可如下载资料到电脑中,内、外网连接也未通过任何设备或程序加以控制。可登陆顾客52位,其中72位顾客的密码为空。“系统管理员”权限的顾客有8位,存在数据安全隐患。(5)信息系统运营维护控制审计具体审计目的:查看系统操作管理控制和劫难恢复控制功能与否完善。B审计测试过程:通过组建局域网,进行模拟操作的措施,测试了IS系统的系统管理、住院管理、挂号系统、门诊收费、病区药
