医院信息系统审计步骤
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统常计重点及步骤
1、在准备阶段,主要是与医院信息技术人员进行沟通,熟悉医院信息系统的基础设施,查阅与医院相关的法规政
策,获取系统说明书、数据字典、操作流程图等关键技术文档,采集电子数据。
2、在实施阶段,主要是查看医院信息的组织方式和处理流程,绘制数据结构图和业务流程图,整理和分析电子数
据,观察和评估系统内部控制是否完善、版本控制是否有效、
功能设置是否完备,开发文档是否完整、灾备计划是否健全等,并取证核实。
3、在终结阶段,主要是根据前期工作结果,对医院信息系统进行总体评价,汇总工作底稿,与被审计单位交换意
见,编制正式的信息系统审计报告,通过AO和OA进行项
目归档等。
注意:查看医院信息系统建设方面的投入及升级改造情况。
常计发现典型问题:缺乏信息系统长期规划和规章制度:医院没有
制定专门的信息化建设长期规划,也没有印发具体的信息系统管理
办法。同时,医院各科室人员对信息化政策
缺乏了解,对信息系统的理解尚处于较低层次,大多局限在一般性应用上。
1、系统口令设置不安全性:审计发现,有98.5%勺医护工作站口令全部由数字“0”组成,且均未加密。
方法:在调查问卷的基础上,在服务器上对各个工作站使用者的口令情况进行审查。
弱口令会带来人员操作、结果生成、费用结算等方面的隐患,如果被内外部人员利用,可能会产生舞弊。
2、数据控制存在漏洞:医疗服务项目的默认收费单价和计虽单位,医护人员可以直接修改,缺少必要的输入输出约束控制,导致了大虽的误收费甚至是人情收费的问题。
方法:从门诊开药到收费窗口进行现场流程测试,是否存在以上收费方面的漏洞,药品价格、数H等是否可以随意修改。
3、如该院“床位费”核定有9种收费标准,实际收费中却出现
了43种收费价格;B超、CT扫描、彩超等医疗检查的收费价格区间明显异常,如CT扫描”收费在10元至2920元不
等,且系统中均无对应的详细医嘱。
方法:审查业务数据。
4、关联数值间不配比:医院业务系统反映年度挂号数为10.6
万人次,而根据收费数据的统计,当年实际就诊取药有22.8
万人次,相差12.2万人,差距悬殊,医院因此损失挂号和诊金费50多万元。造成这一问题的主要原因,为系统流程设计不完善,导致了“逃方”现象的频繁发生。
5、容灾备份不可靠:
医院的主机房与备份机房紧邻,同处顶楼,相隔仅一墙,在遇到雷击、浸水、火灾等特殊灾害时,极易出现主机和备份机同时毁坏、数据丢失的情况。
方法:现场查看,绘制机房平面结构图。
6、操作日志内容不完整:该院信息系统的操作日志,其内容主要为一般性的登录和退出信息,缺少详细的操作内容记录,不便于非授权访问、恶意操作等问题的责任追查。
方法:对服务器主机上的操作日志进行查看取证。
7、药品加价不符合规定:系统未对药品加价设定正确的算
法,导致该院实际销售的1802种西药及中成药中,有821
种药品的进销加价率超过规定标准,合计多加价507万元。
特殊医用材料加价不符合规定:该院销售的一次性注射器、
接骨板、人工晶体、钛夹等医用材料中,有101种材料的进
销加价率和加价额超过规定标准,合计多加价23万元。
方法:对业务数据进行筛选审查。
8、重复收取相关费用:在向病人收取手术费后,乂重复收取了手术
巾、麻醉包、灭菌手套、输血皮条等费用,而这些费用本身是包含在手术费的内涵中的。
类似的还有,在收取层流洁净病房、特需病房床位费的同时,乂收取“病房降温取暖费”;收取“重症监护费”后,乂收取“吸痰护理”、“动静脉置管护理”等费用。
方法:审查业务数据,手术费,并抽取检查手术病人的住院病例、费用明细清单。
9、无依据收取相关费用:向住院病人收取了只有社区卫生
服务机构才能收取的“健康咨询费”、“出诊费”;收取了“防护费”、“换单费”、“观察瞳孔费等目录外医疗费用;
方法:查阅现在收费标准,是否存在无依据收费、超标准收费问题。
10、模糊收费:医院以“治疗费”、“检查费”、“化验费”、“介入放射治疗费”等模糊项目名称,代替标准项目名称、套用编码收取费用等问题。
方法:根据标准收费项目编码进行筛选,看是否存在以上收费情况。
信息系统审计不仅可以帮我们发现问题,还可以帮我们解释问题发生的原因,并从源头上预防类似问题的再次发生。只有开展了信息系统审计,我们才能更为全面地履行审计职责。在项目实施过程中,审计人员比较系统地运用了面谈询问、实地观察、数据测试等信息系统审计方法。如通过
调查问卷法,了解医院信息系统用户的职务分离情况;
通过实地观察法,确认医院信息系统的物理运行环境是否达到规范要求;通过平行模拟法,判断医院业务系统的收入金额是否计算准确;通过综合测试法,揭示医护收费系统的数据控制漏洞等。
本次审计,在审前调查时所采用的技术方法主要有:问卷调查表法、会议座谈法、实地查看法。掌握某市人民医院信息系统建设及管理的基本概况。
对HIS系统分析时采用的技术方法主要有:资料审阅法、
流程图检查法、数据核对法、模拟操作法。对信息系统的安
全性、可靠性和健壮性进行评估。
对数据库业务数据分析时采用的技术方法主要有:SQL
语句查询法、钩稽关系效验法、横纵向比较法、虽本利分析法等。重点审查业务数据的真实性、完整性和效益性。
一、信息系统基本情况主要包括以下几个方面:1、被审计
单位信息系统建设和管理情况:市人民医院使用的医院信息
管理系统(HIS)是由市某软件开发公司1999年开发的,系
统于2002年进行测试,2003年4月正式运行使用。系统采用PowerBuilder进行开发,后台数据库为SQL2005。
医院信息管理系统采用了c/s结构模式,服务器端操作系统
为windows2003,客户端操作系统为windows2000/XP 。该院每年都投入资金对其硬件环境进行升级改造,目前共有服
务器7台、计算机220台、交换机26台、硬件防火墙2台, 打印机115台。医院中心机房放置了温度、湿度探测器,同时配备了UPS