某市人民醫(yī)院信息系統(tǒng)審計(jì)案例0

1、某市人民醫(yī)院信息系統(tǒng)審計(jì)案例一、案例摘要（一）審計(jì)項(xiàng)目基本情況1案例名稱：某市人民醫(yī)院信息系統(tǒng)審計(jì)案例2所屬審計(jì)項(xiàng)目名稱：某市人民醫(yī)院信息系統(tǒng)審計(jì)3審計(jì)實(shí)施單位：某市審計(jì)局4主要審計(jì)人員：張慶紅（組長(zhǎng)）、徐曉東（主審）、葛玉玲。5審計(jì)實(shí)施的時(shí)間：2010年4月26日至2010年5月31日。（二）具體審計(jì)事項(xiàng)類別及名稱1一般控制審計(jì)（GC）：（1）總體IT控制環(huán)境審計(jì)IT規(guī)劃和計(jì)劃審計(jì)(GC-1)、IT組織結(jié)構(gòu)審計(jì)（GC-2）、IT管理政策審計(jì)（GC-3）（2）基礎(chǔ)設(shè)施控制審計(jì)機(jī)房物理環(huán)境控制審計(jì)（GC-4）、硬件設(shè)備采購(gòu)管理控制審計(jì)（GC-5）、系統(tǒng)軟件采購(gòu)管理控制審計(jì)（GC-6）（3）信息系

2、統(tǒng)生命周期控制審計(jì)系統(tǒng)開發(fā)控制審計(jì)（GC-7）、系統(tǒng)采購(gòu)控制審計(jì)（GC-8）、系統(tǒng)變更控制審計(jì)（GC-9）（4）信息安全控制審計(jì)邏輯訪問控制審計(jì)（GC-10）、網(wǎng)絡(luò)安全控制審計(jì)（GC-11）、操作系統(tǒng)安全控制審計(jì)（GC-12）、數(shù)據(jù)庫(kù)系統(tǒng)安全控制審計(jì)（GC-13）、最終用戶控制審計(jì)（GC-14）（5）信息系統(tǒng)運(yùn)營(yíng)維護(hù)控制審計(jì)系統(tǒng)維護(hù)控制審計(jì)（GC-15）、系統(tǒng)變更管理控制審計(jì)（GC-16）、系統(tǒng)災(zāi)難恢復(fù)控制審計(jì)（GC-17）2應(yīng)用控制審計(jì)（AC）：（1）業(yè)務(wù)流程控制審計(jì)業(yè)務(wù)授權(quán)與審批控制審計(jì) (AC-1)、數(shù)據(jù)輸入控制審計(jì)(AC-2)、數(shù)據(jù)輸出控制審計(jì)(AC-4) （2）數(shù)據(jù)控制審計(jì)對(duì)主數(shù)據(jù)的

3、審計(jì)(AC-5) 、對(duì)業(yè)務(wù)參數(shù)的審計(jì)(AC-6)、對(duì)重要信息的審計(jì)(AC-7)（3）接口控制審計(jì)數(shù)據(jù)接口審計(jì)（AC-9）（4）系統(tǒng)外控制審計(jì)補(bǔ)償性控制審計(jì)（AC-11）（三）采用的審計(jì)技術(shù)和方法本次審計(jì)，我們?cè)趯徢罢{(diào)查時(shí)所采用的技術(shù)方法主要有：?jiǎn)柧碚{(diào)查表法、會(huì)議座談法、實(shí)地查看法。掌握某市人民醫(yī)院信息系統(tǒng)基本概況。對(duì)HIS系統(tǒng)分析時(shí)采用的技術(shù)方法主要有：資料審閱法、流程圖檢查法、數(shù)據(jù)核對(duì)法、模擬操作法。對(duì)信息系統(tǒng)的安全性、可靠性和健壯性進(jìn)行評(píng)估。對(duì)數(shù)據(jù)庫(kù)業(yè)務(wù)數(shù)據(jù)分析時(shí)采用的技術(shù)方法主要有：SQL語(yǔ)句查詢法、鉤稽關(guān)系效驗(yàn)法、橫縱向比較法、量本利分析法等。重點(diǎn)審查業(yè)務(wù)數(shù)據(jù)的真實(shí)性、完整性和效益性。

4、（四）審計(jì)發(fā)現(xiàn)和建議情況此次信息系統(tǒng)審計(jì)是與人民醫(yī)院績(jī)效審計(jì)相結(jié)合的一次嘗試，通過審計(jì)，我們出具審計(jì)移送處理書1份，將人民醫(yī)院信息科科長(zhǎng)潘某移送市紀(jì)委，目前案件已偵察結(jié)束，法院最后判決：潘某犯受賄、貪污和挪用公款罪，處以12年有期徒刑并沒收非法所得5萬(wàn)元。完成信息系統(tǒng)審計(jì)報(bào)告1份，反映該院信息系統(tǒng)在安全性、可靠性方面存在的4個(gè)問題；在相關(guān)性方面存在的2個(gè)問題；在合法性、合規(guī)性方面存在的2個(gè)問題；在數(shù)據(jù)的真實(shí)性、準(zhǔn)確性等方面存在的3個(gè)問題。提出了3條具有針對(duì)性的審計(jì)建議。完成了績(jī)效審計(jì)報(bào)告1份，報(bào)告得到充分肯定，分管韓市長(zhǎng)批示：“該審計(jì)報(bào)告內(nèi)容全面，反映問題準(zhǔn)確，希望市人民醫(yī)院認(rèn)真落實(shí)審計(jì)建議，

5、不斷提高醫(yī)院管理水平。”該項(xiàng)目在省廳2010年度全省優(yōu)秀審計(jì)項(xiàng)目評(píng)選中榮獲表彰獎(jiǎng)。出具審計(jì)決定書1份，對(duì)醫(yī)院超標(biāo)準(zhǔn)加價(jià)、藥品調(diào)價(jià)滯后等違規(guī)收費(fèi)XX萬(wàn)元進(jìn)行處罰。市人民醫(yī)院按照審計(jì)報(bào)告的要求，建立健全了信息系統(tǒng)管理制度、醫(yī)療設(shè)備采購(gòu)管理制度、成本核算管理制度等9條內(nèi)部控制制度。二、被審計(jì)單位信息系統(tǒng)基本情況（一）被審計(jì)單位信息系統(tǒng)建設(shè)和管理情況市人民醫(yī)院使用的醫(yī)院信息管理系統(tǒng)（HIS）是由市某軟件開發(fā)公司1999年開發(fā)的，系統(tǒng)于2002年進(jìn)行測(cè)試，2003年4月正式運(yùn)行使用。系統(tǒng)采用PowerBuilder進(jìn)行開發(fā)，后臺(tái)數(shù)據(jù)庫(kù)為SQL2005。醫(yī)院信息管理系統(tǒng)采用了c/s結(jié)構(gòu)模式，服務(wù)器端操作系

6、統(tǒng)為windows2003，客戶端操作系統(tǒng)為windows2000/XP。該院每年都投入資金對(duì)其硬件環(huán)境進(jìn)行升級(jí)改造，目前共有服務(wù)器7臺(tái)、計(jì)算機(jī)220臺(tái)、交換機(jī)26臺(tái)、硬件防火墻2臺(tái)，打印機(jī)115臺(tái)。醫(yī)院中心機(jī)房放置了溫度、濕度探測(cè)器，同時(shí)配備了UPS不間斷電源和自動(dòng)滅火系統(tǒng)，為系統(tǒng)正常運(yùn)行提供了保障。（二）被審計(jì)單位對(duì)信息系統(tǒng)業(yè)務(wù)依賴程度人民醫(yī)院信息管理系統(tǒng)（HIS）根據(jù)功能的要求，分為十三大子模塊：門診掛號(hào)、門診劃價(jià)收費(fèi)、藥庫(kù)管理、門診藥房管理、病區(qū)藥房管理、住院管理、病區(qū)醫(yī)囑管理、人事工資管理、病案管理、物資管理、院長(zhǎng)查詢、經(jīng)濟(jì)核算、公費(fèi)醫(yī)療等，基本包括了醫(yī)院的主要業(yè)務(wù)和管理需求。（三）

7、被審計(jì)單位信息系統(tǒng)組織管理情況人民醫(yī)院設(shè)置了信息科，專職進(jìn)行軟件開發(fā)、系統(tǒng)維護(hù)和設(shè)備維修等。（四）被審計(jì)單位信息系統(tǒng)運(yùn)行情況從維護(hù)日志來看，該院醫(yī)院信息管理系統(tǒng)在不斷地進(jìn)行系統(tǒng)升級(jí)和功能完善，數(shù)據(jù)庫(kù)出現(xiàn)異常的情況越來越少。在審計(jì)組現(xiàn)場(chǎng)審計(jì)期間，該信息系統(tǒng)運(yùn)行正常，未發(fā)現(xiàn)服務(wù)器宕機(jī)等異?，F(xiàn)象。（五）被審計(jì)單位信息系統(tǒng)總體業(yè)務(wù)數(shù)據(jù)流程情況該系統(tǒng)業(yè)務(wù)流程主要分為，患者就醫(yī)、就診，藥庫(kù)采購(gòu)藥品入庫(kù)、發(fā)出藥品出庫(kù)，掛號(hào)費(fèi)用、門診（住院）費(fèi)用和采購(gòu)費(fèi)用的結(jié)算等方面。（六）被審計(jì)單位信息系統(tǒng)電子數(shù)據(jù)情況本次審計(jì)我們?nèi)〉昧私刂沟?010年3月10日的數(shù)據(jù)庫(kù)備份數(shù)據(jù)。HIS系統(tǒng)全庫(kù)業(yè)務(wù)數(shù)據(jù)總量約32.6G，其中

8、：2008年約有1240萬(wàn)條記錄，數(shù)據(jù)大小為4.8G；2009年約有1650萬(wàn)條記錄，數(shù)據(jù)大小6.4G。目前數(shù)據(jù)量年增長(zhǎng)率為15%左右。三、被審計(jì)單位信息系統(tǒng)控制情況人民醫(yī)院重視該院對(duì)信息系統(tǒng)維護(hù)的投入，也制定了相應(yīng)的管理制度，實(shí)現(xiàn)了對(duì)信息化管理過程的控制。HIS系統(tǒng)的運(yùn)行正常，基本滿足了人民醫(yī)院的主要業(yè)務(wù)需求。（一）一般控制方面在一般控制方面總體情況較好，但是也存在著設(shè)備采購(gòu)管理不合規(guī)，系統(tǒng)安全性和可靠性有待加強(qiáng)。（二）應(yīng)用控制方面在應(yīng)用控制方面人民醫(yī)院做了大量工作，對(duì)業(yè)務(wù)流程進(jìn)行了控制。其數(shù)據(jù)處理邏輯和輸入、輸出控制較好。通過對(duì)系統(tǒng)操作人員權(quán)限管理，實(shí)現(xiàn)了對(duì)數(shù)據(jù)庫(kù)的訪問、修改等操作進(jìn)行控制

9、。數(shù)據(jù)接口方面也能保證該系統(tǒng)與市醫(yī)保系統(tǒng)、農(nóng)保系統(tǒng)進(jìn)行日常的業(yè)務(wù)數(shù)據(jù)交換。但存在業(yè)務(wù)數(shù)據(jù)的真實(shí)性和準(zhǔn)確性欠缺的問題，系統(tǒng)使用效率性和效益性有待提高。四、信息系統(tǒng)審計(jì)總體目標(biāo)通過審計(jì)，對(duì)人民醫(yī)院信息系統(tǒng)架構(gòu)與流程的合法性和合規(guī)性，系統(tǒng)的安全性和可靠性，運(yùn)行的效率性和效益性，重點(diǎn)數(shù)據(jù)的真實(shí)性和完整性進(jìn)行檢查，了解我市人民醫(yī)院信息系統(tǒng)的運(yùn)行狀況，發(fā)現(xiàn)該系統(tǒng)在使用和管理過程中存在的問題，促進(jìn)被審計(jì)單位信息系統(tǒng)的完善，使之在業(yè)務(wù)活動(dòng)中發(fā)揮更加有效的作用。五、審計(jì)重點(diǎn)內(nèi)容及審計(jì)事項(xiàng)（一）一般控制審計(jì)重點(diǎn)審計(jì)總體IT環(huán)境、基礎(chǔ)設(shè)施控制、信息系統(tǒng)生命周期控制、信息安全控制、信息系統(tǒng)運(yùn)營(yíng)維護(hù)控制等方面的情況。1

10、 審計(jì)目標(biāo)通過一般控制審計(jì)，對(duì)信息系統(tǒng)的基本情況、合法合規(guī)性、真實(shí)完整性、安全可靠性、效率效益性等情況有全面的了解和掌握。2 審計(jì)測(cè)試過程在審前準(zhǔn)備階段，審計(jì)組搜集了醫(yī)院收費(fèi)的相關(guān)文件和資料，采集了數(shù)據(jù)庫(kù)業(yè)務(wù)數(shù)據(jù)，獲取了數(shù)據(jù)字典。發(fā)放問卷調(diào)查表來了解情況：一是發(fā)放信息系統(tǒng)控制矩陣的調(diào)查表，這個(gè)表有9張，針對(duì)的是醫(yī)院信息系統(tǒng)，我們要求人民醫(yī)院信息科填寫。二是給醫(yī)院的使用信息系統(tǒng)的醫(yī)生、門診病人和住院病人發(fā)放滿意度調(diào)查表。表里有信息信息系統(tǒng)使用情況，有醫(yī)院收費(fèi)情況，有醫(yī)生服務(wù)態(tài)度等內(nèi)容。還通過在院長(zhǎng)辦公室舉行座談交流，了解財(cái)務(wù)情況以及信息系統(tǒng)使用情況，并且還對(duì)機(jī)房、設(shè)備和業(yè)務(wù)窗口進(jìn)行了實(shí)地查看，了

11、解和掌握市中醫(yī)院信息管理系統(tǒng)運(yùn)行的基本情況。再匯總調(diào)查情況擬訂具體的、可操作的審計(jì)實(shí)施方案。在審計(jì)實(shí)施階段，審計(jì)組參照醫(yī)院信息系統(tǒng)軟件基本功能規(guī)范對(duì)其內(nèi)部控制機(jī)制進(jìn)行了初步評(píng)估，確定了審計(jì)重點(diǎn)。具體審計(jì)以下五個(gè)事項(xiàng)：（1）總體IT控制環(huán)境審計(jì)A具體審計(jì)目標(biāo):主要查看信息系統(tǒng)的組織結(jié)構(gòu)和管理政策是否健全。B審計(jì)測(cè)試過程：通過會(huì)議座談、問卷調(diào)查和資料查閱等方法，審計(jì)組取得了關(guān)于醫(yī)院信息系統(tǒng)建設(shè)的會(huì)議紀(jì)要、科室職能等資料，了解到人民醫(yī)院對(duì)信息系統(tǒng)建設(shè)十分重視，成立了濟(jì)仁軟件公司對(duì)醫(yī)院信息系統(tǒng)進(jìn)行開發(fā)、維護(hù)。每年醫(yī)院都投入大量資金對(duì)設(shè)備和系統(tǒng)進(jìn)行更新，信息系統(tǒng)由信息科設(shè)專人負(fù)責(zé)，系統(tǒng)的建設(shè)有計(jì)劃、有規(guī)

12、劃。C發(fā)現(xiàn)問題和建議：在審計(jì)中我們也發(fā)現(xiàn)，只有2名技術(shù)人員掌握HIS系統(tǒng)關(guān)鍵技術(shù)，且未簽定保密協(xié)議。建議市人民醫(yī)院加強(qiáng)信息系統(tǒng)方面的學(xué)習(xí)，培養(yǎng)信息管理業(yè)務(wù)骨干。（2）基礎(chǔ)設(shè)施控制審計(jì)A具體審計(jì)目標(biāo):查看機(jī)房物理環(huán)境是否有效控制；對(duì)硬件設(shè)備、系統(tǒng)軟件采購(gòu)管理是否控制；硬件、軟件管理制度有無建立健全和執(zhí)行到位。B審計(jì)測(cè)試過程：通過實(shí)地查看的方法，審計(jì)發(fā)現(xiàn)，人民醫(yī)院的新機(jī)房正在興建，原有機(jī)房還在使用中。新機(jī)房按照電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范（GB50174-2008）、電子信息系統(tǒng)機(jī)房施工及驗(yàn)收規(guī)范（GB50462-2008）、電子信息系統(tǒng)機(jī)房工程設(shè)計(jì)與安裝(GJBT1093)等國(guó)家標(biāo)準(zhǔn)和規(guī)定進(jìn)行操作，

13、機(jī)房建設(shè)比較規(guī)范，相關(guān)水、火災(zāi)探測(cè)設(shè)備，滅火裝置、續(xù)電設(shè)備、空調(diào)等設(shè)施齊全。市人民醫(yī)院也制定了機(jī)房管理制度，對(duì)機(jī)房安全和維護(hù)進(jìn)行管理。在設(shè)備采購(gòu)管理控制方面，人民醫(yī)院計(jì)算機(jī)等設(shè)備采購(gòu)數(shù)量多、金額較大，我們將此作為重點(diǎn)進(jìn)行審計(jì)。具體步驟：一是采集轉(zhuǎn)換人民醫(yī)院的財(cái)務(wù)數(shù)據(jù)。市人民醫(yī)院財(cái)務(wù)軟件使用的是會(huì)稽山AC.NET標(biāo)準(zhǔn)會(huì)計(jì)軟件，我們將2007-2009年數(shù)據(jù)轉(zhuǎn)換到AO中。二是運(yùn)用SQL語(yǔ)句進(jìn)行查詢。三是對(duì)得出的近3年的電腦采購(gòu)情況進(jìn)行分析。審計(jì)發(fā)現(xiàn)，市人民醫(yī)院電腦設(shè)備采購(gòu)金額越來越大，但設(shè)備采購(gòu)未納入政府集中采購(gòu)，也未執(zhí)行招投標(biāo)管理。四是審計(jì)中發(fā)現(xiàn)，有部分電腦供貨單位為某濟(jì)仁軟件開發(fā)公司。該公司是

14、醫(yī)院的下屬公司，總經(jīng)理由醫(yī)院信息科科長(zhǎng)擔(dān)任。C發(fā)現(xiàn)問題和建議：審計(jì)人員決定對(duì)采購(gòu)電腦的票據(jù)進(jìn)行延伸審查，最終發(fā)現(xiàn)有2筆票據(jù)存在疑點(diǎn)，經(jīng)過分析核實(shí)，決定作移送處理。同時(shí)建議市人民醫(yī)院建立健全醫(yī)療設(shè)備采購(gòu)管理制度，按照要求將電腦等設(shè)備納入政府集中采購(gòu)。（3）信息系統(tǒng)生命周期控制審計(jì)A具體審計(jì)目標(biāo):查看信息系統(tǒng)開發(fā)是否規(guī)范，系統(tǒng)變更是否在可控范圍內(nèi)。B審計(jì)測(cè)試過程：通過資料查閱法，對(duì)照醫(yī)院信息系統(tǒng)軟件評(píng)審管理辦法、醫(yī)院信息系統(tǒng)軟件基本功能規(guī)范的要求，重點(diǎn)查看了系統(tǒng)設(shè)計(jì)方案書、分析說明書、數(shù)據(jù)要求說明書、維護(hù)手冊(cè)等資料。審計(jì)發(fā)現(xiàn)，醫(yī)院信息管理系統(tǒng)為自主設(shè)計(jì)、開發(fā)，開發(fā)資料基本齊全，數(shù)據(jù)要求規(guī)范，系統(tǒng)也

15、進(jìn)行過初步測(cè)試。C發(fā)現(xiàn)問題和建議：該信息系統(tǒng)使用后多次進(jìn)行開發(fā)和完善，缺乏相應(yīng)變更方案的審核控制，雖然系統(tǒng)運(yùn)行正常，但是無相關(guān)的客戶驗(yàn)收?qǐng)?bào)告或第三方驗(yàn)收?qǐng)?bào)告，信息系統(tǒng)至今未經(jīng)過驗(yàn)收，穩(wěn)定性無法保證。（4）信息安全控制審計(jì)A具體審計(jì)目標(biāo):網(wǎng)絡(luò)、操作系統(tǒng)數(shù)據(jù)庫(kù)是否安全，有無防災(zāi)措施。B審計(jì)測(cè)試過程（1）通過實(shí)地查看、資料查閱等方法，審計(jì)發(fā)現(xiàn)，人民醫(yī)院進(jìn)行了IP地址管理和用戶權(quán)限分配，用戶端安裝了瑞星殺毒軟件和硬件還原卡，部分用戶操作系統(tǒng)漏洞安裝了補(bǔ)丁。（2）通過上機(jī)查看、模擬操作，利用組建的局域網(wǎng)和基于備份數(shù)據(jù)還原模擬的HIS系統(tǒng)核對(duì)用戶權(quán)限，未發(fā)現(xiàn)系統(tǒng)模塊控制問題。利用SQL語(yǔ)句，對(duì)備份數(shù)據(jù)進(jìn)行

16、查找，找到數(shù)據(jù)庫(kù)存放用戶權(quán)限管理的表格（ryqx人員權(quán)限表），分析權(quán)限分配情況，具體步驟：一是查看系統(tǒng)管理員身份用戶。 二是對(duì)用戶密碼進(jìn)行查詢分析。C發(fā)現(xiàn)問題和建議：人民醫(yī)院內(nèi)、外網(wǎng)未完全物理隔離，局域網(wǎng)內(nèi)部分電腦可以訪問因特網(wǎng)，可以下載資料到電腦中，內(nèi)、外網(wǎng)連接也未通過任何設(shè)備或程序加以控制?？傻顷懹脩?22位，其中72位用戶的密碼為空?！跋到y(tǒng)管理員”權(quán)限的用戶有8位，存在數(shù)據(jù)安全隱患。（5）信息系統(tǒng)運(yùn)營(yíng)維護(hù)控制審計(jì)A具體審計(jì)目標(biāo):查看系統(tǒng)操作管理控制和災(zāi)難恢復(fù)控制功能是否完善。B審計(jì)測(cè)試過程：通過組建局域網(wǎng)，進(jìn)行模擬操作的方法，測(cè)試了HIS系統(tǒng)的系統(tǒng)管理、住院管理、掛號(hào)系統(tǒng)、門診收費(fèi)、病區(qū)

17、藥房等模塊功能，查看系統(tǒng)的硬件和軟件是否支持HIS系統(tǒng)的正常運(yùn)行。通過現(xiàn)場(chǎng)觀察的方法，查閱系統(tǒng)日志、運(yùn)行維護(hù)記錄等資料，對(duì)系統(tǒng)操作管理控制和系統(tǒng)災(zāi)難恢復(fù)控制制度進(jìn)行審計(jì)。市人民醫(yī)院建立了網(wǎng)絡(luò)管理員及其主要工作關(guān)鍵設(shè)備的管理的制度，完善了操作手冊(cè)的內(nèi)容，能夠?qū)?shù)據(jù)庫(kù)數(shù)據(jù)備份完整。C發(fā)現(xiàn)問題和建議：系統(tǒng)存在維護(hù)日志不完整；業(yè)務(wù)數(shù)據(jù)都通過服務(wù)器磁盤進(jìn)行存儲(chǔ)、備份，磁盤數(shù)據(jù)容易被刪除、修改，存在數(shù)據(jù)丟失的風(fēng)險(xiǎn)。（二）應(yīng)用控制審計(jì)重點(diǎn)審計(jì)信息系統(tǒng)業(yè)務(wù)授權(quán)與審批失控等方面的情況；數(shù)據(jù)的真實(shí)性、完整性情況；業(yè)務(wù)數(shù)據(jù)的合法性、合規(guī)性、效益性情況。1 審計(jì)目標(biāo)通過對(duì)業(yè)務(wù)流程控制、數(shù)據(jù)控制、接口控制、補(bǔ)償性控制審

18、計(jì)，主要檢查信息系統(tǒng)業(yè)務(wù)流程是否合法合規(guī)，數(shù)據(jù)是否真實(shí)完整。2審計(jì)測(cè)試過程（1）業(yè)務(wù)流程控制審計(jì)A具體審計(jì)目標(biāo):通過對(duì)信息系統(tǒng)業(yè)務(wù)流程的分析，查出系統(tǒng)在安全性和可靠性等方面存在的薄弱環(huán)節(jié)。B審計(jì)測(cè)試過程：通過流程圖分析法，繪制業(yè)務(wù)流程圖，對(duì)業(yè)務(wù)流程圖中關(guān)鍵控制點(diǎn)進(jìn)行分析，查看是否存在漏洞。通過業(yè)務(wù)流程分析，審計(jì)發(fā)現(xiàn)在藥品價(jià)格調(diào)整控制點(diǎn)上，存在漏洞。C發(fā)現(xiàn)問題和建議：調(diào)價(jià)記錄共有5894條，其中4904條記錄編制、審核為同一人。醫(yī)院未建立崗位職責(zé)分離制度，使得藥品調(diào)價(jià)管理環(huán)節(jié)上存在漏洞。（2）數(shù)據(jù)控制審計(jì)A具體審計(jì)目標(biāo):對(duì)主數(shù)據(jù)的審計(jì)主要是：對(duì)業(yè)務(wù)收入的真實(shí)性審計(jì)；藥品價(jià)格、特殊醫(yī)療器材價(jià)格的審

19、查；對(duì)重復(fù)、超范圍、超標(biāo)準(zhǔn)收取醫(yī)療服務(wù)費(fèi)情況的審計(jì)等。對(duì)業(yè)務(wù)參數(shù)的審計(jì)主要是檢查藥品價(jià)格、收費(fèi)項(xiàng)目等重要參數(shù)的合規(guī)性和準(zhǔn)確性。對(duì)重要信息的審計(jì)主要是對(duì)業(yè)務(wù)數(shù)據(jù)的重要字段合理性進(jìn)行檢查，分析系統(tǒng)在設(shè)計(jì)、錄入、存儲(chǔ)上存在的問題。B審計(jì)測(cè)試過程：對(duì)業(yè)務(wù)參數(shù)的審計(jì)。我們將收費(fèi)項(xiàng)目編碼和藥品編碼作為重要的業(yè)務(wù)數(shù)據(jù)參數(shù)，具體審計(jì)步驟：一是采用數(shù)據(jù)核對(duì)法，核對(duì)數(shù)據(jù)庫(kù)中收費(fèi)項(xiàng)目和藥品名稱。對(duì)照蘇價(jià)費(fèi)2005213號(hào)文件內(nèi)容，未發(fā)現(xiàn)可疑的項(xiàng)目編碼以及藥品名稱的問題二是采用鉤稽關(guān)系效驗(yàn)法。將費(fèi)用表中的收費(fèi)情況和收費(fèi)項(xiàng)目進(jìn)行關(guān)聯(lián)，查找出住院病人和門診病人費(fèi)用表中藥品和醫(yī)療服務(wù)價(jià)格異常的數(shù)據(jù)。分析疑點(diǎn)發(fā)現(xiàn)，造成數(shù)據(jù)異

20、常的原因是藥品價(jià)格調(diào)整。根據(jù)調(diào)價(jià)文件，查找調(diào)價(jià)時(shí)間大于調(diào)價(jià)文件規(guī)定時(shí)間。審計(jì)發(fā)現(xiàn)，藥品價(jià)格未及時(shí)調(diào)整。2009年度，系統(tǒng)未嚴(yán)格執(zhí)行蘇價(jià)工2009320號(hào)、揚(yáng)價(jià)工2009147號(hào)等相關(guān)規(guī)定，有XX種藥品延期1-5天調(diào)價(jià)，涉及相關(guān)記錄1145條，金額X.XX萬(wàn)元。初步認(rèn)為該系統(tǒng)對(duì)重要業(yè)務(wù)參數(shù)缺乏嚴(yán)格控制。對(duì)重要信息的審計(jì)。主要是對(duì)人民醫(yī)院的核心表中重要字段進(jìn)行檢查，查看系統(tǒng)在控制上是否存在不夠嚴(yán)謹(jǐn)?shù)膯栴}。具體步驟：一是完整性審查。通過SQL查詢分析的方法，對(duì)病人信息表等核心表進(jìn)行分析，發(fā)現(xiàn)代表病人唯一的ID字段長(zhǎng)度不一致，存在為空、句號(hào)、加號(hào)的現(xiàn)象。病人的姓名、性別存在數(shù)字等現(xiàn)象。同時(shí)還存在同一個(gè)

21、住院號(hào)，病人入院時(shí)間晚于出院時(shí)間等異?，F(xiàn)象。二是冗余性審查。審計(jì)發(fā)現(xiàn)“費(fèi)用表”等重要的業(yè)務(wù)數(shù)據(jù)表中還存在測(cè)試數(shù)據(jù)。醫(yī)院信息管理系統(tǒng)中208張表有61張是無記錄的空表。我們對(duì)醫(yī)院人員信息進(jìn)行核對(duì)，發(fā)現(xiàn)離崗超過1年的人員，仍可以登陸系統(tǒng)，系統(tǒng)人員信息未及時(shí)清理。經(jīng)過分析，初步認(rèn)為該系統(tǒng)基本信息不完整，對(duì)業(yè)務(wù)數(shù)據(jù)錄入未嚴(yán)格進(jìn)行控制，存在冗余數(shù)據(jù)影響系統(tǒng)安全。對(duì)主數(shù)據(jù)的審計(jì)。我們結(jié)合SQL語(yǔ)句查詢并編寫了計(jì)算機(jī)審計(jì)方法，對(duì)數(shù)據(jù)的真實(shí)性和準(zhǔn)確性方面進(jìn)行審計(jì)分析。a. 真實(shí)性審計(jì)。具體步驟為：一是通過SQL查詢，統(tǒng)計(jì)出各個(gè)年度業(yè)務(wù)收入。審計(jì)中我們抽查了2009年門診掛號(hào)收入。二是通過AO系統(tǒng)對(duì)財(cái)務(wù)數(shù)據(jù)進(jìn)行

22、分析，得出2009年門診掛號(hào)收入。三是比較業(yè)務(wù)數(shù)據(jù)與財(cái)務(wù)數(shù)據(jù)，分析得出2009年門診掛號(hào)收入一致，初步認(rèn)為系統(tǒng)對(duì)業(yè)務(wù)數(shù)據(jù)真實(shí)性方面進(jìn)行了控制。b.準(zhǔn)確性審計(jì)。套用編碼收費(fèi)審計(jì)步驟：一是查找出藥庫(kù)記賬表中，采購(gòu)、庫(kù)存藥品的編碼。二是查找出病人繳納的費(fèi)用編碼。三是將藥品編碼和費(fèi)用編碼進(jìn)行關(guān)聯(lián)，查出無采購(gòu)、無庫(kù)存，但是在使用的編碼作為審計(jì)疑點(diǎn)。四是進(jìn)一步分析審計(jì)疑點(diǎn)，求出套用編碼收費(fèi)的金額。審計(jì)最終發(fā)現(xiàn)，一次性巾單（編碼N058）2009年度采購(gòu)數(shù)量為0，庫(kù)存數(shù)量為0，但是銷售給住院病人XXXXX條，涉及金額XX.XX萬(wàn)元。對(duì)醫(yī)療器械加價(jià)情況進(jìn)行審計(jì)，發(fā)現(xiàn)可吸收縫線（編碼o001200）采購(gòu)價(jià)XX.

23、X元/根，銷售給病人XX元/根，2009年度共計(jì)銷售XXXX根，涉及金額XX萬(wàn)元。住院床位費(fèi)用審計(jì)步驟：一是根據(jù)住院病人基本信息表，計(jì)算出入院日期和出院日期的時(shí)間差。按照入院當(dāng)天計(jì)算，出院當(dāng)天不計(jì)算的規(guī)定，更新當(dāng)天入院又出院的數(shù)據(jù)。二是不同的病床有不一樣的收費(fèi)標(biāo)準(zhǔn)，我們?cè)陧?xiàng)目收費(fèi)表中查找出不同病床的不同收費(fèi)標(biāo)準(zhǔn)。三是由于每個(gè)病人的每條收費(fèi)記錄對(duì)應(yīng)每個(gè)收費(fèi)編碼，我們根據(jù)住院病人費(fèi)用表，統(tǒng)計(jì)出病人住院的天數(shù)。四是求出病人住院的天數(shù)與入院日期和出院日期的時(shí)間差不一致的數(shù)據(jù)，作為審計(jì)疑點(diǎn)。查詢得出：2007年1月至2009年8月有XXXX人次住院病人多計(jì)病人床位天數(shù)XXXX天，多收床位費(fèi)用X.XX萬(wàn)元

24、。經(jīng)過抽查核對(duì)住院檔案，我們發(fā)現(xiàn)多收住院費(fèi)為醫(yī)保處結(jié)帳和系統(tǒng)更新造成數(shù)據(jù)庫(kù)時(shí)間差異，實(shí)際未多收。初步認(rèn)為信息系統(tǒng)在數(shù)據(jù)準(zhǔn)確性方面有待加強(qiáng)。結(jié)合人民醫(yī)院績(jī)效項(xiàng)目審計(jì)，對(duì)業(yè)務(wù)數(shù)據(jù)中設(shè)備產(chǎn)生的效益分析。采用量本利分析法對(duì)醫(yī)用直線加速器進(jìn)行盈虧平衡分析。分析得出：該設(shè)備保本點(diǎn)為年放療XXXX人次，而2009年實(shí)際放療人次為XXXX人次，故該設(shè)備一直處于虧損狀態(tài)。采用橫縱向比較法，對(duì)數(shù)據(jù)進(jìn)行分析。通過橫向比較得出：（1）資產(chǎn)負(fù)債率控制較好，雖高于全市，但2008年低于揚(yáng)州其他縣（市）；（2）藥品周轉(zhuǎn)天數(shù)逐年減少，并低于全市及揚(yáng)州其他縣（市），資金使用效率進(jìn)一步顯現(xiàn)；（3）床位使用率、床位周轉(zhuǎn)次數(shù)逐年提高

25、，并高于全市，與業(yè)務(wù)收入逐年增長(zhǎng)相匹配。與揚(yáng)州其他縣（市）相比，2008年床位使用率高于高郵、寶應(yīng)，床位周轉(zhuǎn)次數(shù)高于江都；（4）管理費(fèi)用占業(yè)務(wù)支出比率逐年遞減，并低于高郵、寶應(yīng)，支出結(jié)構(gòu)趨于合理。通過縱向比較得出：藥品收入占醫(yī)藥收入比重在逐年增大，且2008年超過了50%（2009年達(dá)53.5%）。說明市人民醫(yī)院業(yè)務(wù)收入呈過多依賴藥品收入的趨勢(shì)，醫(yī)療機(jī)構(gòu)“以藥養(yǎng)醫(yī)”的現(xiàn)象短期仍難改變。藥占比變化情況如下圖：（3）接口控制審計(jì)A具體審計(jì)目標(biāo):對(duì)接口控制的審計(jì)主要是：對(duì)邏輯層接口標(biāo)準(zhǔn)的審計(jì)；對(duì)傳輸層數(shù)據(jù)傳輸、轉(zhuǎn)換實(shí)現(xiàn)的審計(jì)；對(duì)控制層差錯(cuò)控制、無效傳輸?shù)膶徲?jì)。B審計(jì)測(cè)試過程：我們采用模擬測(cè)試等方法對(duì)

26、HIS系統(tǒng)與醫(yī)療保險(xiǎn)專線接口進(jìn)行分析，系統(tǒng)按日進(jìn)行匯總對(duì)賬，經(jīng)過抽查，數(shù)據(jù)能準(zhǔn)確、完整的傳輸?shù)叫畔⑾到y(tǒng)中。C發(fā)現(xiàn)問題和建議：未發(fā)現(xiàn)審計(jì)疑點(diǎn)。（4）系統(tǒng)外控制審計(jì)A具體審計(jì)目標(biāo):關(guān)注系統(tǒng)外的補(bǔ)償性控制措施。B審計(jì)測(cè)試過程：通過人為操作對(duì)系統(tǒng)進(jìn)行補(bǔ)償性控制。審計(jì)發(fā)現(xiàn)，市人民醫(yī)院通過病區(qū)工作站、醫(yī)務(wù)管理等55個(gè)不同的應(yīng)用程序，對(duì)信息系統(tǒng)操作管理進(jìn)行了有效控制。六、對(duì)案例的自我分析與評(píng)價(jià)（一）案例亮點(diǎn)一是圍繞“安全性、有效性和經(jīng)濟(jì)性”的總體目標(biāo)，服務(wù)了績(jī)效審計(jì)項(xiàng)目的開展。在本次信息系統(tǒng)審計(jì)項(xiàng)目的實(shí)施過程中，我們強(qiáng)調(diào)了信息系統(tǒng)的效益性審計(jì)和分析。重點(diǎn)關(guān)注成本收益分析，審查其信息系統(tǒng)的硬件投入及可衡量收益；關(guān)注風(fēng)險(xiǎn)控制分析，審查其系統(tǒng)的軟件投入與保障力；關(guān)注可持續(xù)性發(fā)展能力分析，審查其系統(tǒng)的可擴(kuò)展性和升級(jí)跟進(jìn)能力，充分體現(xiàn)了績(jī)效審計(jì)的鮮明特色。二是構(gòu)建了系統(tǒng)模擬環(huán)境，降低了審計(jì)的風(fēng)險(xiǎn)。在此次審計(jì)過程中，我們搭建了一個(gè)3人的小型域網(wǎng)，組建了客戶端和服務(wù)器，安裝了醫(yī)院的HIS系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行移植，最后進(jìn)行了程序的調(diào)試。通過組建模擬環(huán)境，一方面可以對(duì)應(yīng)用程序進(jìn)行破壞性測(cè)試，查看系統(tǒng)的可靠性，另一方