某市人民医院信息系统审计案例

某市人民医院信息系统审计案例一、案例摘要（一）审计项目基本情况1．案例名称：某市人民医院信息系统审计案例2．所属审计项目名称：某市人民医院信息系统审计3．审计实施单位：某市审计局4．主要审计人员：张庆红（组长）、徐晓东（主审）、葛玉玲。5．审计实施的时间：2010年4月26日至2010年5月31日。（二）具体审计事项类别及名称1．一般控制审计（GC）：（1）总体IT控制环境审计—IT规划和计划审计(GC-1)、IT组织结构审计（GC-2）、IT管理政策审计（GC-3）（2）基础设施控制审计—机房物理环境控制审计（GC-4）、硬件设备采购管理控制审计（GC-5）、系统软件采购管理控制审计（GC-6）（3）信息系统生命周期控制审计—系统开发控制审计（GC-7）、系统采购控制审计（GC-8）、系统变更控制审计（GC-9）（4）信息安全控制审计—逻辑访问控制审计（GC-10）、网络安全控制审计（GC-11）、操作系统安全控制审计（GC-12）、数据库系统安全控制审计（GC-13）、最终用户控制审计（GC-14）（5）信息系统运营维护控制审计—系统维护控制审计（GC-15）、系统变更管理控制审计（GC-16）、系统灾难恢复控制审计（GC-17）2．应用控制审计（AC）：（1）业务流程控制审计—业务授权与审批控制审计(AC-1)、数据输入控制审计(AC-2)、数据输出控制审计(AC-4)（2）数据控制审计—对主数据的审计(AC-5)、对业务参数的审计(AC-6)、对重要信息的审计(AC-7)（3）接口控制审计—数据接口审计（AC-9）（4）系统外控制审计—补偿性控制审计（AC-11）（三）采用的审计技术和方法本次审计，我们在审前调查时所采用的技术方法主要有：问卷调查表法、会议座谈法、实地查看法。掌握某市人民医院信息系统基本概况。对HIS系统分析时采用的技术方法主要有：资料审阅法、流程图检查法、数据核对法、模拟操作法。对信息系统的安全性、可靠性和健壮性进行评估。对数据库业务数据分析时采用的技术方法主要有：SQL语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。重点审查业务数据的真实性、完整性和效益性。（四）审计发现和建议情况此次信息系统审计是与人民医院绩效审计相结合的一次尝试，通过审计，我们出具审计移送处理书1份，将人民医院信息科科长潘某移送市纪委，目前案件已侦察结束，法院最后判决：潘某犯受贿、贪污和挪用公款罪，处以12年有期徒刑并没收非法所得5万元。完成信息系统审计报告1份，反映该院信息系统在安全性、可靠性方面存在的4个问题；在相关性方面存在的2个问题；在合法性、合规性方面存在的2个问题；在数据的真实性、准确性等方面存在的3个问题。提出了3条具有针对性的审计建议。完成了绩效审计报告1份，报告得到充分肯定，分管韩市长批示：“该审计报告内容全面，反映问题准确，希望市人民医院认真落实审计建议，不断提高医院管理水平。”该项目在省厅2010年度全省优秀审计项目评选中荣获表彰奖。出具审计决定书1份，对医院超标准加价、药品调价滞后等违规收费XX万元进行处罚。市人民医院按照审计报告的要求，建立健全了《信息系统管理制度》、《医疗设备采购管理制度》、《成本核算管理制度》等9条内部控制制度。二、被审计单位信息系统基本情况（一）被审计单位信息系统建设和管理情况市人民医院使用的医院信息管理系统（HIS）是由市某软件开发公司1999年开发的，系统于2002年进行测试，2003年4月正式运行使用。系统采用PowerBuilder进行开发，后台数据库为SQL2005。医院信息管理系统采用了c/s结构模式，服务器端操作系统为windows2003，客户端操作系统为windows2000/XP。该院每年都投入资金对其硬件环境进行升级改造，目前共有服务器7台、计算机220台、交换机26台、硬件防火墙2台，打印机115台。医院中心机房放置了温度、湿度探测器，同时配备了UPS不间断电源和自动灭火系统，为系统正常运行提供了保障。（二）被审计单位对信息系统业务依赖程度人民医院信息管理系统（HIS）根据功能的要求，分为十三大子模块：门诊挂号、门诊划价收费、药库管理、门诊药房管理、病区药房管理、住院管理、病区医嘱管理、人事工资管理、病案管理、物资管理、院长查询、经济核算、公费医疗等，基本包括了医院的主要业务和管理需求。（三）被审计单位信息系统组织管理情况人民医院设置了信息科，专职进行软件开发、系统维护和设备维修等。（四）被审计单位信息系统运行情况从维护日志来看，该院医院信息管理系统在不断地进行系统升级和功能完善，数据库出现异常的情况越来越少。在审计组现场审计期间，该信息系统运行正常，未发现服务器宕机等异常现象。（五）被审计单位信息系统总体业务数据流程情况该系统业务流程主要分为，患者就医、就诊，药库采购药品入库、发出药品出库，挂号费用、门诊（住院）费用和采购费用的结算等方面。（六）被审计单位信息系统电子数据情况本次审计我们取得了截止到2010年3月10日的数据库备份数据。HIS系统全库业务数据总量约32.6G，其中：2008年约有1240万条记录，数据大小为4.8G；2009年约有1650万条记录，数据大小6.4G。目前数据量年增长率为15%左右。三、被审计单位信息系统控制情况人民医院重视该院对信息系统维护的投入，也制定了相应的管理制度，实现了对信息化管理过程的控制。HIS系统的运行正常，基本满足了人民医院的主要业务需求。（一）一般控制方面在一般控制方面总体情况较好，但是也存在着设备采购管理不合规，系统安全性和可靠性有待加强。（二）应用控制方面在应用控制方面人民医院做了大量工作，对业务流程进行了控制。其数据处理逻辑和输入、输出控制较好。通过对系统操作人员权限管理，实现了对数据库的访问、修改等操作进行控制。数据接口方面也能保证该系统与市医保系统、农保系统进行日常的业务数据交换。但存在业务数据的真实性和准确性欠缺的问题，系统使用效率性和效益性有待提高。四、信息系统审计总体目标通过审计，对人民医院信息系统架构与流程的合法性和合规性，系统的安全性和可靠性，运行的效率性和效益性，重点数据的真实性和完整性进行检查，了解我市人民医院信息系统的运行状况，发现该系统在使用和管理过程中存在的问题，促进被审计单位信息系统的完善，使之在业务活动中发挥更加有效的作用。五、审计重点内容及审计事项（一）一般控制审计重点审计总体IT环境、基础设施控制、信息系统生命周期控制、信息安全控制、信息系统运营维护控制等方面的情况。1．审计目标通过一般控制审计，对信息系统的基本情况、合法合规性、真实完整性、安全可靠性、效率效益性等情况有全面的了解和掌握。2．审计测试过程在审前准备阶段，审计组搜集了医院收费的相关文件和资料，采集了数据库业务数据，获取了数据字典。发放问卷调查表来了解情况：一是发放信息系统控制矩阵的调查表，这个表有9张，针对的是医院信息系统，我们要求人民医院信息科填写。二是给医院的使用信息系统的医生、门诊病人和住院病人发放满意度调查表。表里有信息信息系统使用情况，有医院收费情况，有医生服务态度等内容。还通过在院长办公室举行座谈交流，了解财务情况以及信息系统使用情况，并且还对机房、设备和业务窗口进行了实地查看，了解和掌握市中医院信息管理系统运行的基本情况。再汇总调查情况拟订具体的、可操作的审计实施方案。在审计实施阶段，审计组参照《医院信息系统软件基本功能规范》对其内部控制机制进行了初步评估，确定了审计重点。具体审计以下五个事项：（1）总体IT控制环境审计A．具体审计目标:主要查看信息系统的组织结构和管理政策是否健全。B．审计测试过程：通过会议座谈、问卷调查和资料查阅等方法，审计组取得了关于医院信息系统建设的会议纪要、科室职能等资料，了解到人民医院对信息系统建设十分重视，成立了济仁软件公司对医院信息系统进行开发、维护。每年医院都投入大量资金对设备和系统进行更新，信息系统由信息科设专人负责，系统的建设有计划、有规划。C．发现问题和建议：在审计中我们也发现，只有2名技术人员掌握HIS系统关键技术，且未签定保密协议。建议市人民医院加强信息系统方面的学习，培养信息管理业务骨干。（2）基础设施控制审计A．具体审计目标:查看机房物理环境是否有效控制；对硬件设备、系统软件采购管理是否控制；硬件、软件管理制度有无建立健全和执行到位。B．审计测试过程：通过实地查看的方法，审计发现，人民医院的新机房正在兴建，原有机房还在使用中。新机房按照《电子信息系统机房设计规范》（GB50174-2008）、《电子信息系统机房施工及验收规范》（GB50462-2008）、《电子信息系统机房工程设计与安装》(GJBT1093)等国家标准和规定进行操作，机房建设比较规范，相关水、火灾探测设备，灭火装置、续电设备、空调等设施齐全。市人民医院也制定了《机房管理制度》，对机房安全和维护进行管理。在设备采购管理控制方面，人民医院计算机等设备采购数量多、金额较大，我们将此作为重点进行审计。具体步骤：一是采集转换人民医院的财务数据。市人民医院财务软件使用的是会稽山AC.NET标准会计软件，我们将2007-2009年数据转换到AO中。二是运用SQL语句进行查询。三是对得出的近3年的电脑采购情况进行分析。审计发现，市人民医院电脑设备采购金额越来越大，但设备采购未纳入政府集中采购，也未执行招投标管理。四是审计中发现，有部分电脑供货单位为某济仁软件开发公司。该公司是医院的下属公司，总经理由医院信息科科长担任。C．发现问题和建议：审计人员决定对采购电脑的票据进行延伸审查，最终发现有2笔票据存在疑点，经过分析核实，决定作移送处理。同时建议市人民医院建立健全《医疗设备采购管理制度》，按照要求将电脑等设备纳入政府集中采购。（3）信息系统生命周期控制审计A．具体审计目标:查看信息系统开发是否规范，系统变更是否在可控范围内。B．审计测试过程：通过资料查阅法，对照《医院信息系统软件评审管理办法》、《医院信息系统软件基本功能规范》的要求，重点查看了《系统设计方案书》、《分析说明书》、《数据要求说明书》、《维护手册》等资料。审计发现，医院信息管理系统为自主设计、开发，开发资料基本齐全，数据要求规范，系统也进行过初步测试。C．发现问题和建议：该信息系统使用后多次进行开发和完善，缺乏相应变更方案的审核控制，虽然系统运行正常，但是无相关的客户验收报告或第三方验收报告，信息系统至今未经过验收，稳定性无法保证。（4）信息安全控制审计A．具体审计目标:网络、操作系统数据库是否安全，有无防灾措施。B．审计测试过程（1）通过实地查看、资料查阅等方法，审计发现，人民医院进行了IP地址管理和用户权限分配，用户端安装了瑞星杀毒软件和硬件还原卡，部分用户操作系统漏洞安装了补丁。（2）通过上机查看、模拟操作，利用组建的局域网和基于备份数据还原模拟的HIS系统核对用户权限，未发现系统模块控制问题。利用SQL语句，对备份数据进行查找，找到数据库存放用户权限管理的表格（ryqx人员权限表），分析权限分配情况，具体步骤：一是查看系统管理员身份用户。二是对用户密码进行查询分析。C．发现问题和建议：①人民医院内、外网未完全物理隔离，局域网内部分电脑可以访问因特网，可以下载资料到电脑中，内、外网连接也未通过任何设备或程序加以控制。②可登陆用户522位，其中72位用户的密码为空。③“系统管理员”权限的用户有8位，存在数据安全隐患。（5）信息系统运营维护控制审计A．具体审计目标:查看系统操作管理控制和灾难恢复控制功能是否完善。B．审计测试过程：通过组建局域网，进行模拟操作的方法，测试了HIS系统的系统管理、住院管理、挂号系统、门诊收费、病区药房等模块功能，查看系统的硬件和软件是否支持HIS系统的正常运行。通过现场观察的方法，查阅系统日志、运行维护记录等资料，对系统操作管理控制和系统灾难恢复控制制度进行审计。市人民医院建立了《网络管理员及其主要工作关键设备的管理》的制度，完善了《操作手册》的内容，能够将数据库数据备份完