医院信息系统审计步骤

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息系统审计重点及步骤

1、在准备阶段,主要是与医院信息技术人员进行沟通,熟悉医院信息系统的基础设施,查阅与医院相关的法规政策,获取系统说明书、数据字典、操作流程图等关键技术文档,采集电子数据。

2、在实施阶段,主要是查看医院信息的组织方式和处理流程,绘制数据结构图和业务流程图,整理和分析电子数据,观察和评估系统内部控制是否完善、版本控制是否有效、功能设置是否完备,开发文档是否完整、灾备计划是否健全等,并取证核实。

3、在终结阶段,主要是根据前期工作结果,对医院信息系统进行总体评价,汇总工作底稿,与被审计单位交换意见,编制正式的信息系统审计报告,通过AO和OA进行项目归档等。

注意:查看医院信息系统建设方面的投入及升级改造情况。

审计发现典型问题:缺乏信息系统长期规划和规章制度:医院没有制定专门的信息化建设长期规划,也没有印发具体的信息系统管理办法。同时,医院各科室

人员对信息化政策缺乏了解,对信息系统的理解尚处于较低层次,大多局限在一般性应用上。

1、系统口令设置不安全性:审计发现,有98.5%的医护工作站口令全部由数字“0”组成,且均未加密。方法:在调查问卷的基础上,在服务器上对各个工作站使用者的口令情况进行审查。

弱口令会带来人员操作、结果生成、费用结算等方面的隐患,如果被内外部人员利用,可能会产生舞弊。

2、数据控制存在漏洞:医疗服务项目的默认收费单价和计量单位,医护人员可以直接修改,缺少必要的输入输出约束控制,导致了大量的误收费甚至是人情收费的问题。

方法:从门诊开药到收费窗口进行现场流程测试,是否存在以上收费方面的漏洞,药品价格、数量等是否可以随意修改。

3、如该院“床位费”核定有9种收费标准,实际收费中却出现了43种收费价格;B超、CT扫描、彩超等医疗检查的收费价格区间明显异常,如“CT扫描”

收费在10元至2920元不等,且系统中均无对应的详细医嘱。

方法:审查业务数据。

4、关联数值间不配比:医院业务系统反映年度挂号数为10.6万人次,而根据收费数据的统计,当年实际就诊取药有22.8万人次,相差12.2万人,差距悬殊,医院因此损失挂号和诊金费50多万元。造成这一问题的主要原因,为系统流程设计不完善,导致了“逃方”现象的频繁发生。

5、容灾备份不可靠:

医院的主机房与备份机房紧邻,同处顶楼,相隔仅一墙,在遇到雷击、浸水、火灾等特殊灾害时,极易出现主机和备份机同时毁坏、数据丢失的情况。

方法:现场查看,绘制机房平面结构图。

6、操作日志内容不完整:该院信息系统的操作日志,其内容主要为一般性的登录和退出信息,缺少详细的操作内容记录,不便于非授权访问、恶意操作等问题的责任追查。

方法:对服务器主机上的操作日志进行查看取证。7、药品加价不符合规定:系统未对药品加价设定正确的算法,导致该院实际销售的1802种西药及中成

药中,有821种药品的进销加价率超过规定标准,合计多加价507万元。

特殊医用材料加价不符合规定:该院销售的一次性注射器、接骨板、人工晶体、钛夹等医用材料中,有101种材料的进销加价率和加价额超过规定标准,合计多加价23万元。

方法:对业务数据进行筛选审查。

8、重复收取相关费用:在向病人收取手术费后,又重复收取了手术巾、麻醉包、灭菌手套、输血皮条等费用,而这些费用本身是包含在手术费的内涵中的。类似的还有,在收取层流洁净病房、特需病房床位费的同时,又收取“病房降温取暖费”;收取“重症监护费”后,又收取“吸痰护理”、“动静脉置管护理”等费用。

方法:审查业务数据,手术费,并抽取检查手术病人的住院病例、费用明细清单。

9、无依据收取相关费用:向住院病人收取了只有社区卫生服务机构才能收取的“健康咨询费”、“出诊费”;收取了“防护费”、“换单费”、“观察瞳孔费”等目录外医疗费用;

方法:查阅现在收费标准,是否存在无依据收费、超标准收费问题。

10、模糊收费:医院以“治疗费”、“检查费”、“化验费”、“介入放射治疗费”等模糊项目名称,代替标准项目名称、套用编码收取费用等问题。

方法:根据标准收费项目编码进行筛选,看是否存在以上收费情况。

信息系统审计不仅可以帮我们发现问题,还可以帮我们解释问题发生的原因,并从源头上预防类似问题的再次发生。只有开展了信息系统审计,我们才能更为全面地履行审计职责。在项目实施过程中,审计人员比较系统地运用了面谈询问、实地观察、数据测试等信息系统审计方法。如通过调查问卷法,了解医院信息系统用户的职务分离情况;

通过实地观察法,确认医院信息系统的物理运行环境是否达到规范要求;通过平行模拟法,判断医院业务系统的收入金额是否计算准确;通过综合测试法,揭示医护收费系统的数据控制漏洞等。

本次审计,在审前调查时所采用的技术方法主要有:问卷调查表法、会议座谈法、实地查看法。掌握某市人民医院信息系统建设及管理的基本概况。

对HIS系统分析时采用的技术方法主要有:资料审阅法、流程图检查法、数据核对法、模拟操作法。对信息系统的安全性、可靠性和健壮性进行评估。

对数据库业务数据分析时采用的技术方法主要有:SQL语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。重点审查业务数据的真实性、完整性和效益性。

一、信息系统基本情况主要包括以下几个方面:1、被审计单位信息系统建设和管理情况:市人民医院使用的医院信息管理系统(HIS)是由市某软件开发公司1999年开发的,系统于2002年进行测试,2003年4月正式运行使用。系统采用PowerBuilder进行开发,后台数据库为SQL2005。

医院信息管理系统采用了c/s结构模式,服务器端操作系统为windows2003,客户端操作系统为windows2000/XP。该院每年都投入资金对其硬件环境进行升级改造,目前共有服务器7台、计算机220台、交换机26台、硬件防火墙2台,打印机115台。医院中心机房放置了温度、湿度探测器,同时配备了UPS 不间断电源和自动灭火系统,为系统正常运行提供了保障;2、被审计单位对信息系统业务依赖程度:人民医院信息管理系统(HIS)根据功能的要求,分为十三大子模块:门诊挂号、门诊划价收费、药库管理、门诊药房管理、病区药房管理、住院管理、病区医嘱管理、人事工资管理、病案管理、物资管理、院长查

相关文档
最新文档