医院信息系统审计步骤.docVIP

信息系统审计重点及步骤 1、在准备阶段，主要是与医院信息技术人员进行沟通，熟悉医院信息系统的基础设施，查阅与医院相关的法规政策，获取系统说明书、数据字典、操作流程图等关键技术文档，采集电子数据。 2、在实施阶段，主要是查看医院信息的组织方式和处理流程，绘制数据结构图和业务流程图，整理和分析电子数据，观察和评估系统内部控制是否完善、版本控制是否有效、功能设置是否完备，开发文档是否完整、灾备计划是否健全等，并取证核实。 3、在终结阶段，主要是根据前期工作结果，对医院信息系统进行总体评价，汇总工作底稿，与被审计单位交换意见，编制正式的信息系统审计报告，通过AO和OA进行项目归档等。 注意：查看医院信息系统建设方面的投入及升级改造情况。 审计发现典型问题：缺乏信息系统长期规划和规章制度：医院没有制定专门的信息化建设长期规划，也没有印发具体的信息系统管理办法。同时，医院各科室人员对信息化政策缺乏了解，对信息系统的理解尚处于较低层次，大多局限在一般性应用上。 1、系统口令设置不安全性：审计发现，有98.5%的医护工作站口令全部由数字“0”组成，且均未加密。 方法：在调查问卷的基础上，在服务器上对各个工作站使用者的口令情况进行审查。 弱口令会带来人员操作、结果生成、费用结算等方面的隐患，如果被内外部人员利用，可能会产生舞弊。 2、数据控制存在漏洞：医疗服务项目的默认收费单价和计量单位，医护人员可以直接修改，缺少必要的输入输出约束控制，导致了大量的误收费甚至是人情收费的问题。 方法：从门诊开药到收费窗口进行现场流程测试，是否存在以上收费方面的漏洞，药品价格、数量等是否可以随意修改。 3、如该院“床位费”核定有9种收费标准，实际收费中却出现了43种收费价格；B超、CT扫描、彩超等医疗检查的收费价格区间明显异常，如 “CT扫描”收费在10元至2920元不等，且系统中均无对应的详细医嘱。 方法：审查业务数据。 4、关联数值间不配比：医院业务系统反映年度挂号数为10.6万人次，而根据收费数据的统计，当年实际就诊取药有22.8万人次，相差12.2万人，差距悬殊，医院因此损失挂号和诊金费50多万元。造成这一问题的主要原因，为系统流程设计不完善，导致了“逃方”现象的频繁发生。 5、容灾备份不可靠： 医院的主机房与备份机房紧邻，同处顶楼，相隔仅一墙，在遇到雷击、浸水、火灾等特殊灾害时，极易出现主机和备份机同时毁坏、数据丢失的情况。 方法：现场查看，绘制机房平面结构图。 6、操作日志内容不完整：该院信息系统的操作日志，其内容主要为一般性的登录和退出信息，缺少详细的操作内容记录，不便于非授权访问、恶意操作等问题的责任追查。 方法：对服务器主机上的操作日志进行查看取证。 7、药品加价不符合规定：系统未对药品加价设定正确的算法，导致该院实际销售的1802种西药及中成药中，有821种药品的进销加价率超过规定标准，合计多加价507万元。 特殊医用材料加价不符合规定：该院销售的一次性注射器、接骨板、人工晶体、钛夹等医用材料中，有101种材料的进销加价率和加价额超过规定标准，合计多加价23万元。 方法：对业务数据进行筛选审查。 8、重复收取相关费用：在向病人收取手术费后，又重复收取了手术巾、麻醉包、灭菌手套、输血皮条等费用，而这些费用本身是包含在手术费的内涵中的。 类似的还有，在收取层流洁净病房、特需病房床位费的同时，又收取“病房降温取暖费” ；收取“重症监护费”后，又收取“吸痰护理”、 “动静脉置管护理”等费用 。 方法：审查业务数据，手术费，并抽取检查手术病人的住院病例、费用明细清单。 9、无依据收取相关费用：向住院病人收取了只有社区卫生服务机构才能收取的“健康咨询费”、“出诊费”；收取了“防护费”、“换单费”、“观察瞳孔费” 等目录外医疗费用; 方法：查阅现在收费标准，是否存在无依据收费、超标准收费问题。 10、模糊收费：医院以“治疗费”、“检查费”、“化验费”、“介入放射治疗费”等模糊项目名称，代替标准项目名称、套用编码收取费用等问题。 方法：根据标准收费项目编码进行筛选，看是否存在以上收费情况。 信息系统审计不仅可以帮我们发现问题，还可以帮我们解释问题发生的原因，并从源头上预防类似问题的再次发生。只有开展了信息系统审计，我们才能更为全面地履行审计职责。在项目实施过程中，审计人员比较系统地运用了面谈询问、实地观察、数据测试等信息系统审计方法。如通过调查问卷法，了解医院信息系统用户的职务分离情况； 通过实地观察法，确认医院信息系统的物理运行环境是否达到规范要求；通过平行模拟法，判断医院业务系统的收入金额是否计算准确；通过综合测试法，揭示医护收费系统的数据控制漏洞等。 本次审计，在审前调查时所采用的技术方法主要有：问卷调查