医院信息系统审计步骤

信息系统审计重点及步骤

1、在准备阶段，主要是与医院信息技术人员进行沟通，熟悉医院信息系统的基础设施，查阅与医院相关的法规政策，获取系统说明书、数据字典、操作流程图等关键技术文档，采集电子数据。

2、在实施阶段，主要是查看医院信息的组织方式和处理流程，绘制数据结构图和业务流程图，整理和分析电子数据，观察和评估系统部控制是否完善、版本控制是否有效、功能设置是否完备，开发文档是否完整、灾备计划是否健全等，并取证核实。

3、在终结阶段，主要是根据前期工作结果，对医院信息系统进行总体评价，汇总工作底稿，与被审计单位交换意见，编制正式的信息系统审计报告，通过AO和OA进行项目归档等。

注意：查看医院信息系统建设方面的投入及升级改造情况。

审计发现典型问题：缺乏信息系统长期规划和规章制度：医院没有制定专门的信息化建设长期规划，也没有印发具体的信息系统管理办法。同时，医院各科室人员对信息化政策

缺乏了解，对信息系统的理解尚处于较低层次，大多局限在一般性应用上。

1、系统口令设置不安全性：审计发现，有98.5%的医护工作站口令全部由数字“0”组成，且均未加密。

方法：在调查问卷的基础上，在服务器上对各个工作站使用者的口令情况进行审查。

弱口令会带来人员操作、结果生成、费用结算等方面的隐患，如果被外部人员利用，可能会产生舞弊。

2、数据控制存在漏洞：医疗服务项目的默认收费单价和计量单位，医护人员可以直接修改，缺少必要的输入输出约束控制，导致了大量的误收费甚至是人情收费的问题。

方法：从门诊开药到收费窗口进行现场流程测试，是否存在以上收费方面的漏洞，药品价格、数量等是否可以随意修改。

3、如该院“床位费”核定有9种收费标准，实际收费中却出现了43种收费价格；B超、CT扫描、彩超等医疗检查的收费价格区间明显异常，如“CT扫描”收费在10元至2920元不等，且系统中均无对应的详细医嘱。

方法：审查业务数据。

4、关联数值间不配比：医院业务系统反映年度挂号数为10.6万人次，而根据收费数据的统计，当年实际就诊取药有22.8万人次，相差12.2万人，差距悬殊，医院因此损失挂号和诊金费50多万元。造成这一问题的主要原因，为系统流程设计不完善，导致了“逃方”现象的频繁发生。

5、容灾备份不可靠：

医院的主机房与备份机房紧邻，同处顶楼，相隔仅一墙，在遇到雷击、浸水、火灾等特殊灾害时，极易出现主机和备份机同时毁坏、数据丢失的情况。

方法：现场查看，绘制机房平面结构图。

6、操作日志容不完整：该院信息系统的操作日志，其容主要为一般性的登录和退出信息，缺少详细的操作容记录，不便于非授权访问、恶意操作等问题的责任追查。

方法：对服务器主机上的操作日志进行查看取证。

7、药品加价不符合规定：系统未对药品加价设定正确的算法，导致该院实际销售的1802种西药及中成药中，有821种药品的进销加价率超过规定标准，合计多加价507万元。特殊医用材料加价不符合规定：该院销售的一次性注射器、接骨板、人工晶体、钛夹等医用材料中，有101种材料的进销加价率和加价额超过规定标准，合计多加价23万元。

方法：对业务数据进行筛选审查。

8、重复收取相关费用：在向病人收取手术费后，又重复收

取了手术巾、麻醉包、灭菌手套、输血皮条等费用，而这些费用本身是包含在手术费的涵中的。

类似的还有，在收取层流洁净病房、特需病房床位费的同时，又收取“病房降温取暖费”；收取“重症监护费”后，又收取“吸痰护理”、“动静脉置管护理”等费用。

方法：审查业务数据，手术费，并抽取检查手术病人的住院病例、费用明细清单。

9、无依据收取相关费用：向住院病人收取了只有社区卫生服务机构才能收取的“健康咨询费”、“出诊费”；收取了“防护费”、“换单费”、“观察瞳孔费”等目录外医疗费用;

方法：查阅现在收费标准，是否存在无依据收费、超标准收费问题。

10、模糊收费：医院以“治疗费”、“检查费”、“化验费”、“介入放射治疗费”等模糊项目名称，代替标准项目名称、套用编码收取费用等问题。

方法：根据标准收费项目编码进行筛选，看是否存在以上收费情况。

信息系统审计不仅可以帮我们发现问题，还可以帮我们解释问题发生的原因，并从源头上预防类似问题的再次发生。只有开展了信息系统审计，我们才能更为全面地履行审计职责。在项目实施过程中，审计人员比较系统地运用了面谈询问、实地观察、数据测试等信息系统审计方法。如通过

调查问卷法，了解医院信息系统用户的职务分离情况；

通过实地观察法，确认医院信息系统的物理运行环境是否达到规要求；通过平行模拟法，判断医院业务系统的收入金额是否计算准确；通过综合测试法，揭示医护收费系统的数据控制漏洞等。

本次审计，在审前调查时所采用的技术方法主要有：问卷调查表法、会议座谈法、实地查看法。掌握某市人民医院信息系统建设及管理的基本概况。

对HIS系统分析时采用的技术方法主要有：资料审阅法、流程图检查法、数据核对法、模拟操作法。对信息系统的安全性、可靠性和健壮性进行评估。

对数据库业务数据分析时采用的技术方法主要有：SQL 语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。重点审查业务数据的真实性、完整性和效益性。一、信息系统基本情况主要包括以下几个方面：1、被审计单位信息系统建设和管理情况：市人民医院使用的医院信息管理系统（HIS）是由市某软件开发公司1999年开发的，系统于2002年进行测试，2003年4月正式运行使用。系统采用PowerBuilder进行开发，后台数据库为SQL2005。

医院信息管理系统采用了c/s结构模式，服务器端操作系统为windows2003，客户端操作系统为windows2000/XP。该院每年都投入资金对其硬件环境进行升级改造，目前共有