某市人民医院信息系统审计案例 【点击数: 1271 】【时间:2011-12-07 17:13:00.0】
一、案例摘要
(一)审计项目基本情况
1.案例名称:某市人民医院信息系统审计案例
2.所属审计项目名称:某市人民医院信息系统审计 3.审计实施单位:某市审计局
4.主要审计人员:张庆红(组长)、徐晓东(主审)、葛玉玲。 5.审计实施的时间:2010年4月26日至2010年5月31日。
(二)具体审计事项类别及名称 1.一般控制审计(GC):
(1)总体IT控制环境审计—IT规划和计划审计(GC-1)、IT组织结构审计(GC-2)、IT管理政策审计(GC-3) (2)基础设施控制审计—机房物理环境控制审计(GC-4)、硬件设备采购管理控制审计(GC-5)、系统软件采购管理控制审计(GC-6)
(3)信息系统生命周期控制审计—系统开发控制审计(GC-7)、系统采购控制审计(GC-8)、系统变更控制审计(GC-9) (4)信息安全控制审计—逻辑访问控制审计(GC-10)、网络安全控制审计(GC-11)、操作系统安全控制审计(GC-12)、数据库系统安全控制审计(GC-13)、最终用户控制审计(GC-14) (5)信息系统运营维护控制审计—系统维护控制审计(GC-15)、系统变更管理控制审计(GC-16)、系统灾难恢复控制审计(GC-17) 2.应用控制审计(AC):
(1)业务流程控制审计—业务授权与审批控制审计 (AC-1)、数据输入控制审计(AC-2)、数据输出控制审计(AC-4) (2)数据控制审计—对主数据的审计(AC-5)、对业务参数的审计(AC-6)、对重要信息的审计(AC-7) (3)接口控制审计—数据接口审计(AC-9)
(4)系统外控制审计—补偿性控制审计(AC-11)
(三)采用的审计技术和方法
本次审计,我们在审前调查时所采用的技术方法主要有:问卷调查表法、会议座谈法、实地查看法。掌握某市人民医院信息系统基本概况。
对HIS系统分析时采用的技术方法主要有:资料审阅法、流程图检查法、数据核对法、模拟操作法。对信息系统的安全性、可靠性和健壮性进行评估。
对数据库业务数据分析时采用的技术方法主要有:SQL语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。重点审查业务数据的真实性、完整性和效益性。
(四)审计发现和建议情况
此次信息系统审计是与人民医院绩效审计相结合的一次尝试,通过审计,我们出具审计移送处理书1份,将人民医院信息科科长潘某移送市纪委,目前案件已侦察结束,法院最后判决:潘某犯受贿、贪污和挪用公款罪,处以12年有期徒刑并没收非法所得5万元。
完成信息系统审计报告1份,反映该院信息系统在安全性、可靠性方面存在的4个问题;在相关性方面存在的2个问题;在合法性、合规性方面存在的2个问题;在数据的真实性、准确性等方面存在的3个问题。提出了3条具有针对性的审计建议。
完成了绩效审计报告1份,报告得到充分肯定,分管韩市长批示:“该审计报告内容全面,反映问题准确,希望市人民医院认真落实审计建议,不断提高医院管理水平。”该项目在省厅2010年度全省优秀审计项目评选中荣获表彰奖。
出具审计决定书1份,对医院超标准加价、药品调价滞后等违规收费XX万元进行处罚。
市人民医院按照审计报告的要求,建立健全了《信息系统管理制度》、《医疗设备采购管理制度》、《成本核算管理制度》等9条内部控制制度。
二、被审计单位信息系统基本情况
(一)被审计单位信息系统建设和管理情况
市人民医院使用的医院信息管理系统(HIS)是由市某软件开发公司1999年开发的,系统于2002年进行测试,2003年4月正式运行使用。系统采用PowerBuilder进行开发,后台数据库为SQL2005。
医院信息管理系统采用了c/s结构模式,服务器端操作系统为windows2003,客户端操作系统为windows2000/XP。该院每年都投入资金对其硬件环境进行升级改造,目前共有服务器7台、计算机220台、交换机26台、硬件防火墙2台,打印机115台。医院中心机房放置了温度、湿度探测器,同时配备了UPS不间断电源和自动灭火系统,为系统正常运行提供了保障。
(二)被审计单位对信息系统业务依赖程度
人民医院信息管理系统(HIS)根据功能的要求,分为十三大子模块:门诊挂号、门诊划价收费、药库管理、门诊药房管理、病区药房管理、住院管理、病区医嘱管理、人事工资管理、病案管理、物资管理、院长查询、经济核算、公费医疗等,基本包括了医院的主要业务和管理需求。
(三)被审计单位信息系统组织管理情况
人民医院设置了信息科,专职进行软件开发、系统维护和设备维修等。
(四)被审计单位信息系统运行情况
从维护日志来看,该院医院信息管理系统在不断地进行系统升级和功能完善,数据库出现异常的情况越来越少。在审计组现场审计期间,该信息系统运行正常,未发现服务器宕机等异常现象。
(五)被审计单位信息系统总体业务数据流程情况
该系统业务流程主要分为,患者就医、就诊,药库采购药品入库、发出药品出库,挂号费用、门诊(住院)费用和采购费用的结算等方面。
(六)被审计单位信息系统电子数据情况
本次审计我们取得了截止到2010年3月10日的数据库备份数据。HIS系统全库业务数据总量约32.6G,其中:2008年约有1240万条记录,数据大小为4.8G;2009年约有1650万条记录,数据大小6.4G。目前数据量年增长率为15%左右。
三、被审计单位信息系统控制情况
人民医院重视该院对信息系统维护的投入,也制定了相应的管理制度,实现了对信息化管理过程的控制。HIS系统的运行正常,基本满足了人民医院的主要业务需求。
(一)一般控制方面
在一般控制方面总体情况较好,但是也存在着设备采购管理不合规,系统安全性和可靠性有待加强。
(二)应用控制方面
在应用控制方面人民医院做了大量工作,对业务流程进行了控制。其数据处理逻辑和输入、输出控制较好。通过对系统操作人员权限管理,实现了对数据库的访问、修改等操作进行控制。数据接口方面也能保证该系统与市医保系统、农保系统进行日常的业务数据交换。但存在业务数据的真实性和准确性欠缺的问题,系统使用效率性和效益性有待提高。
四、信息系统审计总体目标
通过审计,对人民医院信息系统架构与流程的合法性和合规性,系统的安全性和可靠性,运行的效率性和效益性,重点数据的真实性和完整性进行检查,了解我市人民医院信息系统的运行状况,发现该系统在使用和管理过程中存在的问题,促进被审计单位信息系统的完善,使之在业务活动中发挥更加有效的作用。
五、审计重点内容及审计事项
(一)一般控制审计
重点审计总体IT环境、基础设施控制、信息系统生命周期控制、信息安全控制、信息系统运营维护控制等方面的情况。
1.审计目标
通过一般控制审计,对信息系统的基本情况、合法合规性、真实完整性、安全可靠性、效率效益性等情况有全面的了解和掌握。
2.审计测试过程
在审前准备阶段,审计组搜集了医院收费的相关文件和资料,采集了数据库业务数据,获取了数据字典。发放问卷调查表来了解情况:一是发放信息系统控制矩阵的调查表,这个表有9张,针对的是医院信息系统,我们要求人民医院信息科填写。二是给医院的使用信息系统的医生、门诊病人和住院病人发放满意度调查表。表里有信息信息系统使用情况,有医院收费情况,有医生服务态度等内容。还通过在院长办公室举行座谈交流,了解财务情况以及信息系统使用情况,并且还对机房、设备和业务窗口进行了实地查看,了解和掌握市中医院信息管理系统运行的基本情况。再汇总调查情况拟订具体的、可操作的审计实施方案。
在审计实施阶段,审计组参照《医院信息系统软件基本功能规范》对其内部控制机制进行了初步评估,确定了审计重点。具体审计以下五个事项: (1)总体IT控制环境审计
A.具体审计目标:主要查看信息系统的组织结构和管理政策是否健全。
B.审计测试过程:通过会议座谈、问卷调查和资料查阅等方法,审计组取得了关于医院信息系统建设的会议纪要、科室职能等资料,了解到人民医院对信息系统建设十分重视,成立了济仁软件公司对医院信息系统进行开发、维护。每年医院都投入大量资金对设备和系统进行更新,信息系统由信息科设专人负责,系统的建设有计划、有规划。 C.发现问题和建议:在审计中我们也发现,只有2名技术人员掌握HIS系统关键技术,且未签定保密协议。建议市人民医院加强信息系统方面的学习,培养信息管理业务骨干。
(2)基础设施控制审计
A.具体审计目标:查看机房物理环境是否有效控制;对硬件设备、系统软件采购管理是否控制;硬件、软件管理制度有无建立健全和执行到位。
B.审计测试过程:通过实地查看的方法,审计发现,人民医院的新机房正在兴建,原有机房还在使用中。新机房按照《电子信息系统机房设计规范》(GB50174-2008)、《电子信息系统机房施工及验收规范》(GB50462-2008)、《电子信息系统机房工程设计与安装》(GJBT1093)等国家标准和规定进行操作,机房建设比较规范,相关水、火灾探测设备,灭火装置、续电设备、空调等设施齐全。市人民医院也制定了《机房管理制度》,对机房安全和维护进行管理。
在设备采购管理控制方面,人民医院计算机等设备采购数量多、金额较大,我们将此作为重点进行审计。 具体步骤:
一是采集转换人民医院的财务数据。市人民医院财务软件使用的是会稽山AC.NET标准会计软件,我们将2007-2009年数据转换到AO中。 二是运用SQL语句进行查询。
三是对得出的近3年的电脑采购情况进行分析。审计发现,市人民医院电脑设备采购金额越来越大,但设备采购未纳入政府集中采购,也未执行招投标管理。
四是审计中发现,有部分电脑供货单位为某济仁软件开发公司。该公司是医院的下属公司,总经理由医院信息科科长担任。
C.发现问题和建议:审计人员决定对采购电脑的票据进行延伸审查,最终发现有2笔票据存在疑点,经过分析核实,决定作移送处理。同时建议市人民医院建立健全《医疗设备采购管理制度》,按照要求将电脑等设备纳入政府集中采购。
(3)信息系统生命周期控制审计
A.具体审计目标:查看信息系统开发是否规范,系统变更是否在可控范围内。
B.审计测试过程:通过资料查阅法,对照《医院信息系统软件评审管理办法》、《医院信息系统软件基本功能规范》的要求,重点查看了《系统设计方案书》、《分析说明书》、《数据要求说明书》、《维护手册》等资料。审计发现,医院信息管理系统为自主设计、开发,开发资料基本齐全,数据要求规范,系统也进行过初步测试。
C.发现问题和建议:该信息系统使用后多次进行开发和完善,缺乏相应变更方案的审核控制,虽然系统运行正常,但是无相关的客户验收报告或第三方验收报告,信息系统至今未经过验收,稳定性无法保证。 (4)信息安全控制审计
A.具体审计目标:网络、操作系统数据库是否安全,有无防灾措施。
B.审计测试过程:(1)通过实地查看、资料查阅等方法,审计发现,人民医院进行了IP地址管理和用户权限分配,用户端安装了瑞星杀毒软件和硬件还原卡,部分用户操作系统漏洞安装了补丁。
(2)通过上机查看、模拟操作,利用组建的局域网和基于备份数据还原模拟的HIS系统核对用户权限,未发现系统模块控制问题。利用SQL语句,对备份数据进行查找,找到数据库存放用户权限管理的表格(ryqx人员权限表),分析权限分配情况,具体步骤:一是查看系统管理员身份用户。 二是对用户密码进行查询分析。
C.发现问题和建议:①人民医院内、外网未完全物理隔离,局域网内部分电脑可以访问因特网,可以下载资料到电脑中,内、外网连接也未通过任何设备或程序加以控制。 ②可登陆用户522位,其中72位用户的密码为空。
③“系统管理员”权限的用户有8位,存在数据安全隐患。
(5)信息系统运营维护控制审计
A.具体审计目标:查看系统操作管理控制和灾难恢复控制功能是否完善。
B.审计测试过程:通过组建局域网,进行模拟操作的方法,测试了HIS系统的系统管理、住院管理、挂号系统、门诊收费、病区药房等模块功能,查看系统的硬件和软件是否支持HIS系统的正常运行。 通过现场观察的方法,查阅系统日志、运行维护记录等资料,对系统操作管理控制和系统灾难恢复控制制度进行审计。市人民医院建立了《网络管理员及其主要工作关键设备的管理》的制度,完善了《操作手册》的内容,能够将数据库数据备份完整。
C.发现问题和建议:系统存在维护日志不完整;业务数据都通过服务器磁盘进行存储、备份,磁盘数据容易被删除、修改,存在数据丢失的风险。
(二)应用控制审计
重点审计信息系统业务授权与审批失控等方面的情况;数据的真实性、完整性情况;业务数据的合法性、合规性、效益性情况。 1.审计目标
通过对业务流程控制、数据控制、接口控制、补偿性控制审计,主要检查信息系统业务流程是否合法合规,数据是否真实完整。
2.审计测试过程
(1)业务流程控制审计
A.具体审计目标:通过对信息系统业务流程的分析,查出系统在安全性和可靠性等方面存在的薄弱环节。 B.审计测试过程:通过流程图分析法,绘制业务流程图,对业务流程图中关键控制点进行分析,查看是否存在漏洞。通过业务流程分析,审计发现在药品价格调整控制点上,存在漏洞。
C.发现问题和建议:调价记录共有5894条,其中4904条记录编制、审核为同一人。医院未建立《岗位职责分离制度》,使得药品调价管理环节上存在漏洞。 (2)数据控制审计
A.具体审计目标:对主数据的审计主要是:对业务收入的真实性审计;药品价格、特殊医疗器材价格的审查;对重复、超范围、超标准收取医疗服务费情况的审计等。对业务参数的审计主要是检查药品价格、收费项目等重要参数的合规性和准确性。对重要信息的审计主要是对业务数据的重要字段合理性进行检查,分析系统在设计、录入、存储上存在的问题。 B.审计测试过程:
①对业务参数的审计。我们将收费项目编码和药品编码作为重要的业务数据参数,具体审计步骤:
一是采用数据核对法,核对数据库中收费项目和药品名称。对照苏价费[2005]213号文件内容,未发现可疑的项目编码以及药品名称的问题。
二是采用钩稽关系效验法。①将费用表中的收费情况和收费项目进行关联,查找出住院病人和门诊病人费用表中药品和医疗服务价格异常的数据。分析疑点发现,造成数据异常的原因是药品价格调整。②根据调价文件,查找调价时间大于调价文件规定时间。 审计发现,药品价格未及时调整。2009年度,系统未严格执行苏价工[2009]320号、扬价工[2009]147号等相关规定,有XX种药品延期1-5天调价,涉及相关记录1145条,金额X.XX万元。初步认为该系统对重要业务参数缺乏严格控制。
②对重要信息的审计。主要是对人民医院的核心表中重要字段进行检查,查看系统在控制上是否存在不够严谨的问题。
具体步骤:一是完整性审查。通过SQL查询分析的方法,对病人信息表等核心表进行分析,发现代表病人唯一的ID字段长度不一致,存在为空、句号、加号的现象。病人的姓名、性别存在数字等现象。 同时还存在同一个住院号,病人入院时间晚于出院时间等异常现象。
二是冗余性审查。审计发现“费用表”等重要的业务数据表中还存在测试数据。医院信息管理系统中208张表有61张是无记录的空表。
我们对医院人员信息进行核对,发现离岗超过1年的人员,仍可以登陆系统,系统人员信息未及时清理。
经过分析,初步认为该系统基本信息不完整,对业务数据录入未严格进行控制,存在冗余数据影响系统安全。 ③对主数据的审计。
①我们结合SQL语句查询并编写了计算机审计方法,对数据的真实性和准确性方面进行审计分析。 a.真实性审计。
具体步骤为:一是通过SQL查询,统计出各个年度业务收入。审计中我们抽查了2009年门诊挂号收入。 二是通过AO系统对财务数据进行分析,得出2009年门诊挂号收入。
三是比较业务数据与财务数据,分析得出2009年门诊挂号收入一致,初步认为系统对业务数据真实性方面进行了控制。 b.准确性审计。
套用编码收费审计步骤:一是查找出药库记账表中,采购、库存药品的编码。
二是查找出病人缴纳的费用编码。
三是将药品编码和费用编码进行关联,查出无采购、无库存,但是在使用的编码作为审计疑点。
四是进一步分析审计疑点,求出套用编码收费的金额。
审计最终发现,一次性巾单(编码N058)2009年度采购数量为0,库存数量为0,但是销售给住院病人XXXXX条,涉及金额XX.XX万元。
对医疗器械加价情况进行审计,发现可吸收缝线(编码o001200)采购价XX.X元/根,销售给病人XX元/根,2009年度共计销售XXXX根,涉及金额XX万元。
住院床位费用审计步骤:一是根据住院病人基本信息表,计算出入院日期和出院日期的时间差。按照入院当天计算,出院当天不计算的规定,更新当天入院又出院的数据。
二是不同的病床有不一样的收费标准,我们在项目收费表中查找出不同病床的不同收费标准。
三是由于每个病人的每条收费记录对应每个收费编码,我们根据住院病人费用表,统计出病人住院的天数。 四是求出病人住院的天数与入院日期和出院日期的时间差不一致的数据,作为审计疑点。
查询得出:2007年1月至2009年8月有XXXX人次住院病人多计病人床位天数XXXX天,多收床位费用X.XX万元。经过抽查核对住院档案,我们发现多收住院费为医保处结帐和系统更新造成数据库时间差异,实际未多收。初步认为信息系统在数据准确性方面有待加强。
②结合人民医院绩效项目审计,对业务数据中设备产生的效益分析。 采用量本利分析法对医用直线加速器进行盈亏平衡分析。
分析得出:该设备保本点为年放疗XXXX人次,而2009年实际放疗人次为XXXX人次,故该设备一直处于亏损状态。 采用横纵向比较法,对数据进行分析。通过横向比较得出:(1)资产负债率控制较好,虽高于全市,但2008年低于扬州其他县(市);(2)药品周转天数逐年减少,并低于全市及扬州其他县(市),资金使用效率进一步显现;(3)床位使用率、床位周转次数逐年提高,并高于全市,与业务收入逐年增长相匹配。与扬州其他县(市)相比,2008年床位使用率高于高邮、宝应,床位周转次数高于江都;(4)管理费用占业务支出比率逐年递减,并低于高邮、宝应,支出结构趋于合理。
通过纵向比较得出:药品收入占医药收入比重在逐年增大,且2008年超过了50%(2009年达53.5%)。说明市人民医院业务收入呈过多依赖药品收入的趋势,医疗机构“以药养医”的现象短期仍难改变。药占比变化情况如下图: (3)接口控制审计
A.具体审计目标:对接口控制的审计主要是:对逻辑层接口标准的审计;对传输层数据传输、转换实现的审计;对控制层差错控制、无效传输的审计。
B.审计测试过程:我们采用模拟测试等方法对HIS系统与医疗保险专线接口进行分析,系统按日进行汇总对账,经过抽查,数据能准确、完整的传输到信息系统中。 C.发现问题和建议:未发现审计疑点。 (4)系统外控制审计
A.具体审计目标:关注系统外的补偿性控制措施。
B.审计测试过程:通过人为操作对系统进行补偿性控制。
审计发现,市人民医院通过病区工作站、医务管理等55个不同的应用程序,对信息系统操作管理进行了有效控制。
六、对案例的自我分析与评价
(一)案例亮点
一是围绕“安全性、有效性和经济性”的总体目标,服务了绩效审计项目的开展。在本次信息系统审计项目的实施过程中,我们强调了信息系统的效益性审计和分析。重点关注成本收益分析,审查其信息系统的硬件投入及可衡量收益;关注风险控制分析,审查其系统的软件投入与保障力;关注可持续性发展能力分析,审查其系统的可扩展性和升级跟进能力,充分体现了绩效审计的鲜明特色。
二是构建了系统模拟环境,降低了审计的风险。在此次审计过程中,我们搭建了一个3人的小型域网,组建了客户端和服务器,安装了医院的HIS系统,对数据库数据进行移植,最后进行了程序的调试。通过组建模拟环境,一方面可以对应用程序进行破坏性测试,查看系统的可靠性,另一方面,也可以减少在对方服务器上的操作,杜绝误操作的出现,降低审计风险。
三是尝试编写审计方法, 提高了审计效率。在对该院业务数据的测试过程中,审计组对床位费用、套用编码收费等审计内容进行科学的归纳总结,梳理出有规律性的东西,在此基础上编写了审计方法,对相关业务数据进行批量处理,达到了高效便捷的目的,同时,有益于日后医院审计项目中类似事项的推广与使用。
(二) 体会与启发
本次信息系统审计结合了绩效审计,圆满完成了审计任务。审计结果及建议得到被审单位的重视和采纳,收到了很好的审计效果,也为今后开展信息系统审计工作提供了一个成功的范例。这次审计不但使得我们积累了信息系统审计经验,还开拓了我们信息系统审计的思路,给了我们很多启发:
一是要收集大量资料。信息系统不同于财务收支审计,它的审计范围大,覆盖面广。我们不能仅仅依靠被审计单位提供的资料,还需要从其他渠道获得资料。在本案例中,我们不但收集了人民医院的财务数据、业务数据、内控制度,还从病人手中获得问卷反馈信息。大量的资料使得我们审计报告充实,审计评价内容更加准确,审计风险大幅降低。
二是要注重审前调查。审前调查是确定审计重点、实施现场审计的基础。在本审计项目中,我们运用资料查阅法、座谈法、现场观察法、问卷调查法等四种方法对医院进行了审前调查,例如,我们调查了群众满意度,调查业务流程,调查信息系统安全情况。全面、细致的调查,使得我们该信息系统审计项目事半功倍。
三是要转变审计方式。在这次信息系统审计的过程中,我们积极转变传统的财务收支审计思路,打破以查找违法违纪问题为主的思维框框,找准信息系统审计的切入点,坚持以排查可能存在的异常现象,分析产生问题原因,提出针对性的审计建议为主线,切实发挥信息系统审计的“系统免疫”功能。
四是要创新审计方法。审计方法不但影响了审计效率,还影响审计报告的质量。在信息系统审计中,我们抛弃以前财务收支的核算法、复对法、统计法等方法,运用绘制流程图法、数据核对法、模拟操作法、横纵向比较法、量本利分析法、SQL语句查询法、钩稽关系效验法、会议座谈法、问卷调查等方法,提高信息系统审计的广度和深度。
