下载文档原格式
医院审计工作流程规范内部审计具体业务的操作流程是完善医院内部审计工作、确保审计人员顺利完成审计任务的重要保证,根据医院《内部审计制度》的相关规定,内部审计业务的具体操作流程规范如下,审计人员应在审计工作中按规定遵照执行。
根据内部审计工作的实质要求,审计工作可分为以下步骤:步骤一:审计立项与授权一、审计立项审计立项是指确定具体的内部审计项目,即被审计的对象。
审计对象包括医内部的各职能部门、各项经营活动或项目、系统等。
审计对象的选择一般由以下三种方式决定:1、医院审计部通过对医院的经营活动进行系统地分析风险来制定年度内部审计工作计划表,经批准后逐项实施。
2、由医院院长下达的计划外专项审计任务。
3、由被审计者提出审计要求,经批准实施审计业务。
二、审计批准与授权对于已立项的审计项目,审计科应在审计实施前以正式报告的形式报院长审核、批准与授权。
步骤二:审计准备在确定审计事项后,审计人员开始审计准备工作,制订审计计划。
审计准备工作包括以下内容:一、初步确定具体审计目标和审计范围。
1、内部审计的总目标是审查和评价医院各项经营管理活动,协助医院组织的成员有效地履行他们的职责。
针对已确定的具体审计任务,审计人员应制定具体的审计目标以有助于拟定审计方案和审计工作结束后的审计评价。
2、内部审计的范围一般包括以下几个方面:1)组织内部控制系统的恰当性、有效性。
2)财务会计信息、资料的准确性、完整性、可靠性。
3)经营活动的效率和效果。
4)资产的护卫情况。
5)对法律、法规及政策、计划的遵守、执行情况。
审计人员应根据具体的审计任务确定具体的审计范围以确保审计目标的实现。
二、研究背景资料在制定审计计划时应收集、研究审计对象的背景资料。
当审计对象为医院附属、职能部门时,背景资料主要包括其组织结构、经营管理情况、管理人员相关资料、定期的财务报告、有关的政策法规和预算资料等。
当审计对象为某一项目、系统时,背景资料主要指其立项、预算资料、合同及相关责任人资料等。
对医院信息系统进行审计的初步探索作者:臧芝红来源:《中国管理信息化》2013年第18期[摘要] 审计目标是确保信息系统安全完整,确保数据处理高效准确。
方法是依据有关政策、标准及行业规范开展工作,采用调查问卷法、面谈询问法、实地观察法等。
内容包括对总体控制环境审计、对运行与维护控制审计、对具体业务控制的审计等。
最后,形成审计结论,提出审计整改建议。
[关键词] 医院信息系统;审计;探索doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 18. 010[中图分类号] F239.4 [文献标识码] A [文章编号] 1673 - 0194(2013)18- 0015- 02近年来,医院信息化取得了快速发展,HIS、PACS、LIS、EMR等软件的应用,提高了医院的管理水平和诊疗水平。
医院信息系统涉及到全院各个环节,一旦发生安全事故,会给医院日常工作带来很大影响。
因此,信息系统的安全、可靠和功能完善比以往任何时候都更加重要,对医院信息系统进行审计也成为审计部门的一项重要职责。
1 审计的目标信息系统审计的总体目标是审计人员结合专业判断,对医院信息系统进行检查和监督,评价系统对医院财政财务收支的真实性、合法性和效益性的影响程度,提出有针对性的审计建议,保障信息系统正确、高效地实现业务处理,达到医院管理的目标。
1.1 确保信息系统安全完整医院对信息的真实和完整性有较高的要求。
医院信息系统包括硬件、软件、数据文件、系统文档等,如果运行中出现故障,会造成各科室业务混乱,影响医院各项业务的正常运转。
对医院信息系统进行审计,要确保信息系统的安全完整。
1.2 确保数据处理高效准确医院信息系统的效率是指系统达到预定目标所消耗的资源,主要取决于硬件的配置和软件开发的水平。
硬件选择要搭配合理,各组成部分之间协调,软件设计要结合医院实际,在充分满足业务需求的基础上构造出高效的算法。
医院HIS系统下内部审计工作分析随着科技的不断发展,医院信息化建设已成为现代医疗机构不可或缺的一部分。
医院信息系统(HIS)作为医疗服务中的重要支持和管理工具,不仅提高了工作效率,还加强了内部数据的管理与控制。
然而,随之而来的信息安全问题也引起了广泛的关注。
为了保障医院信息系统的正常运行和数据的安全性,内部审计工作显得尤为重要。
一、医院HIS系统下内部审计的背景与意义随着医疗信息化的推进,医院内部流动的海量数据储存于HIS系统中,包括患者的基本信息、病历数据、药物使用记录等。
这些数据不仅与患者的个人隐私相关,还涉及到医疗质量和法律合规等方面。
因此,医院HIS系统下的内部审计工作成为了确保患者权益、保障医疗质量和数据安全的关键环节。
二、医院HIS系统下内部审计工作的目标和内容1. 目标:医院HIS系统下的内部审计工作旨在发现和解决信息管理和数据安全方面存在的问题,提升医院的信息化管理水平,规范和完善运行流程。
2. 内容:主要包括以下几个方面:(1)合规性审计:审计医院信息系统是否符合相关法律、法规和政策的要求,保证内部运营合规。
(2)访问控制审计:审计用户对HIS系统的访问权限,确保只有授权人员才能获得特定数据和操作权限。
(3)数据完整性审计:审计医院HIS系统中数据的准确性、完整性和及时性,防止数据被篡改或丢失。
(4)灾备与容灾审计:审计医院信息系统灾备和容灾机制的实施情况,确保在灾害发生时能够及时恢复系统运行。
(5)网络安全审计:审计医院信息系统网络设备和安全策略的有效性,保护HIS系统免受网络攻击和恶意软件的侵害。
三、医院HIS系统下内部审计工作的方法和步骤1. 确定内部审计的周期和频率:根据医院实际情况和信息系统的特点,确定内部审计的时间周期和频率,例如每月、每季度或每年进行一次审计。
2. 制定审计计划:根据审计目标和内容,制定详细的审计计划,明确审计的重点和范围。
3. 数据采集与分析:通过收集医院HIS系统相关的日志和数据,进行分析和比对,发现异常和问题。
医疗信息系统的操作日志与审计记录管理一、引言随着科技的不断进步和医疗行业的数字化转型,医疗信息系统(MIS)在医院和医疗机构中的应用越来越广泛。
医疗信息系统不仅提高了医疗服务的效率和质量,还为医生和患者提供了更便捷的信息交流平台。
然而,随之而来的是大量的系统操作和数据记录,为了保证医疗信息系统的安全性和可追溯性,操作日志与审计记录管理成为至关重要的环节。
二、操作日志的作用操作日志是记录医疗信息系统中所有操作事件的纪录,包括用户登录、查询病历、修改患者信息等。
操作日志具有以下几个重要的作用:1.安全性保障:操作日志可以追踪到每一个系统操作事件,当发生安全问题或者数据泄露时,可以通过操作日志来确定责任和追查犯罪线索。
2.维护和优化系统:通过分析操作日志,可以发现系统的瓶颈和问题,进行针对性的优化和改进,提高系统的性能和使用体验。
3.快速恢复与备份:操作日志记录了系统的历史操作,当系统发生故障或者遭受攻击时,可以根据操作日志进行快速恢复和数据备份。
三、操作日志的内容操作日志应包括以下内容:1.用户信息:记录用户的登录名、IP地址、登录时间等。
2.操作类型:记录具体的操作类型,如查询、新增、修改、删除等。
3.操作对象:记录所操作的对象,可以是病历、患者信息、医嘱等。
4.操作结果:记录操作的结果,如成功还是失败。
5.操作时间:记录操作的具体时间,包括日期和具体时刻。
四、操作日志的保存与保护为了满足医疗信息系统的合规要求,操作日志应该按照一定的规定进行保存和保护:1.保存期限:操作日志的保存期限应根据法律法规和机构的规定来确定,通常为一年以上。
2.权限控制:只有特定的管理员才能进行操作日志的查看和修改,普通用户只能查看自己的操作日志。
3.加密保护:操作日志应该经过加密处理,确保数据的机密性和完整性。
4.备份策略:操作日志需要进行定期的备份,以防止系统故障或者数据丢失。
五、审计记录的意义审计记录是对操作日志的进一步分析和整理,通过对操作日志的统计和比对,可以发现系统的潜在问题和风险。
信息系统审计的基本步骤好的,下面我要来和你讲一讲信息系统审计的基本步骤啦。
一、基本动作要领1. 审计计划制定- 首先呢,你得了解被审计的信息系统是干啥的。
就像你要了解一个人之前,得知道他是做什么工作的一样。
我得先搞清楚这个系统的业务范围,比如是财务管理系统,还是销售管理系统。
这时候会查看一些文档,像业务流程手册之类的,这一步很重要哟,记住了,要是这个没搞清楚,后面就容易瞎忙活。
- 确定审计目标,比如是要查这个系统的数据准确性呢,还是系统安全。
我之前就做错过,没有和客户确认好审计目标,结果做了一堆无用功。
然后就是要确定审计范围,这里可以简单地列一个清单,把要审计的模块、功能什么的都写上。
- 安排审计人员和时间也是这个阶段很重要的。
要根据任务量和人员的能力来分配,要是分给新手一些太复杂的部分,可能就会出问题。
好比让一个刚学做饭的人去做满汉全席,那肯定搞砸呀。
2. 初步调查- 这一步就要对被审计系统深入了解了。
要获取系统的架构图,如果没有的话,自己画一个简单的也行。
我就是这么做的,虽然画得不咋好看,但是很实用。
这个架构图能让你清楚地看到系统各个部分之间的关系,是服务器、数据库、应用程序怎么连接的。
- 和系统管理员聊天,这是个小技巧哦。
他们知道好多系统内部的小秘密。
问他们系统平时的运行情况,有没有经常出故障,哪些地方比较脆弱之类的。
不过要小心,有时候管理员可能会隐瞒一些问题,我就遇到过,所以要多方面印证他们说的话。
3. 风险评估- 识别系统面临的风险。
这就像是检查一个房子哪里可能漏雨一样。
可能是数据泄露风险,也可能是系统瘫痪风险。
我试过好多次,用一些风险矩阵的方法,把风险的可能性和影响程度列出来。
比如说对于银行系统,数据被篡改的风险可能性虽然可能低,但是影响程度极高,所以这是个很重要的风险。
- 评估现有的内部控制措施。
比如有没有密码保护啊,数据备份策略是怎样的。
很多小公司可能会忽视这一点,我见过一个公司,密码都是默认的,这就很危险。
医院内部审计工作计划方案
一、审计目标和范围
1、审计目标:对医院内部管理制度、财务运作、人力资源管理、信息系统等方面进行全面审计,发现问题,提出改进意见,确保医院运作合规和高效。
2、审计范围:包括但不限于医院内部各部门的行政管理、财
务管理、医疗服务、药品采购及使用、设备管理、人力资源管理等方面。
二、审计内容和重点
1、内部控制制度的完善性审计:包括医院内部管理制度、流
程规范、内部控制流程等方面的审计工作,重点关注制度规范和实际执行情况是否一致。
2、财务运作审计:审计医院财务收支情况、资金使用情况,
查找财务管理方面存在的问题,并提出改进措施。
3、人力资源管理审计:审计医院内部人员招聘、培训、绩效
考核等方面,确保人力资源的合理配置和有效管理。
4、信息系统审计:审计医院信息系统的安全性、可靠性和合
规性,及时发现和解决存在的问题。
三、审计方法和时间安排
1、审计方法:采用文件审查、实地调查、访谈等方法,综合
运用定量分析和定性分析。
2、时间安排:审计工作计划为XX年XX月至XX年XX月,时间跨度为X个月。
四、审计工作的保密和独立性
1、审计工作严格遵守保密制度,对审计中涉及的敏感信息保密。
2、审计工作独立进行,避免受到行政、专业等方面的干扰。
五、审计工作成果的输出方式和使用范围
1、审计成果输出方式:编制审计报告和改进意见书。
2、使用范围:向医院领导及相关部门汇报审计成果,提出改
进意见和建议。
医院审计工作内容1. 概述医院审计是指医疗机构对医疗服务、质量、安全、成本等方面进行检查和评估的审核工作。
审计工作有助于发现问题、改进管理、提升服务水平,是医院管理中重要的环节之一。
2. 审核对象医院审计工作主要对象包括但不限于: - 医疗服务质量 - 医疗费用使用情况 - 药品和耗材的合理使用 - 医疗技术操作规范性 - 医疗安全管理3. 审计程序3.1 审计计划制定医院应制定年度审计计划,明确审计内容、目标和时间节点,合理安排审计资源和人员。
3.2 数据收集与分析收集医院的各项数据资料,包括医疗记录、费用清单、健康档案等信息,通过系统性分析,发现潜在问题或异常情况。
3.3 现场检查审计人员可对医院各部门和科室进行现场检查,查看医疗设备、文件记录等,了解实际操作情况。
3.4 审计报告编制根据数据分析和现场检查结果,编制审计报告,详细列出问题及改进建议,提供给医院管理部门参考。
4. 审计内容4.1 医疗服务质量•术前、术中、术后护理情况•门诊及住院医疗操作规范性•诊疗方案的合理性4.2 医疗费用使用情况•费用开支的合理性•费用报销流程的规范性•费用核算的准确性4.3 药品和耗材的合理使用•药品库存管理•药品配送及使用情况•耗材消耗情况4.4 医疗技术操作规范性•医护人员的技术水平•医疗操作流程的规范性•设备的运行维护情况4.5 医疗安全管理•医疗事故及风险防范•患者信息安全保护•医院应急预案的完善性5. 审计结果应对医院应根据审计报告提出的问题,开展整改措施,确保问题得到解决并持续改进。
同时加强内部控制,提升医疗质量和安全水平。
6. 总结医院审计工作内容涉及医疗服务、质量、安全、成本等多个方面,是医院管理运行的重要保障。
仅有不断完善审计工作,才能为患者提供更安全、高质量的医疗服务。
医院信息系统审计步骤1.确定审计目标和范围:审计目标是明确审计的目的和预期结果,而审计范围则是确定审计的边界和重点。
在确定审计目标和范围时,需要考虑业务需求、法规要求和风险因素等。
同时,还要与医院管理层和业务部门进行沟通和协商,确保审计的目标与期望一致。
2.制定审计计划:审计计划是对整个审计过程进行设计和安排的文件。
在制定审计计划时,需要明确审计的时间、地点、方法和人员等要素。
同时,还要制定相应的工作计划和时间表,让审计能够顺利进行。
3.收集和分析相关资料:在进行实地审计之前,需要先收集和分析相关的资料,以了解医院的信息系统架构、业务流程和安全控制等情况。
这可以通过查阅文件、检查档案和询问相关人员来完成。
通过分析这些资料,可以为后续的实地审计提供基础。
4.实地审计:实地审计是对医院信息系统进行现场检查和评估的过程。
这包括了对硬件设备、网络设施、软件程序和数据处理等方面的审查。
在实地审计中,审计人员要仔细观察,有目的地提问,并记录相关的发现和意见。
5.评估系统的安全性和完整性:安全性和完整性是信息系统审计的核心内容。
在评估系统的安全性时,需要检查系统的访问控制、身份验证、加密保护和事件监测等方面的措施是否健全。
而在评估系统的完整性时,主要是检查系统的数据完整性、程序完整性和备份恢复能力等方面的情况。
6.评估系统的可用性和合规性:可用性和合规性是信息系统审计的其他关键考核点。
在评估系统的可用性时,需要检查系统是否能够满足业务需求,是否存在单点故障和容量瓶颈等问题。
而在评估系统的合规性时,需要检查系统是否符合相关法规和标准的要求,以及有没有违规操作和错误配置的情况。
7.制定审计报告和建议:根据审计的结果,审计人员需要撰写审计报告,并提出改进建议。
审计报告是对整个审计过程和结果的总结和归纳,需要陈述发现的问题、原因和影响,以及给出相应的解决方案和建议。
同时,还要将报告提交给医院的管理层和相关部门,以促进问题的解决和改进。
医院信息系统审计步骤-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN信息系统审计重点及步骤1、在准备阶段,主要是与医院信息技术人员进行沟通,熟悉医院信息系统的基础设施,查阅与医院相关的法规政策,获取系统说明书、数据字典、操作流程图等关键技术文档,采集电子数据。
2、在实施阶段,主要是查看医院信息的组织方式和处理流程,绘制数据结构图和业务流程图,整理和分析电子数据,观察和评估系统内部控制是否完善、版本控制是否有效、功能设置是否完备,开发文档是否完整、灾备计划是否健全等,并取证核实。
3、在终结阶段,主要是根据前期工作结果,对医院信息系统进行总体评价,汇总工作底稿,与被审计单位交换意见,编制正式的信息系统审计报告,通过AO和OA进行项目归档等。
注意:查看医院信息系统建设方面的投入及升级改造情况。
审计发现典型问题:缺乏信息系统长期规划和规章制度:医院没有制定专门的信息化建设长期规划,也没有印发具体的信息系统管理办法。
同时,医院各科室人员对信息化政策缺乏了解,对信息系统的理解尚处于较低层次,大多局限在一般性应用上。
1、系统口令设置不安全性:审计发现,有98.5%的医护工作站口令全部由数字“0”组成,且均未加密。
方法:在调查问卷的基础上,在服务器上对各个工作站使用者的口令情况进行审查。
弱口令会带来人员操作、结果生成、费用结算等方面的隐患,如果被内外部人员利用,可能会产生舞弊。
2、数据控制存在漏洞:医疗服务项目的默认收费单价和计量单位,医护人员可以直接修改,缺少必要的输入输出约束控制,导致了大量的误收费甚至是人情收费的问题。
方法:从门诊开药到收费窗口进行现场流程测试,是否存在以上收费方面的漏洞,药品价格、数量等是否可以随意修改。
3、如该院“床位费”核定有9种收费标准,实际收费中却出现了43种收费价格;B超、CT扫描、彩超等医疗检查的收费价格区间明显异常,如“CT扫描”收费在10元至2920元不等,且系统中均无对应的详细医嘱。
方法:审查业务数据。
4、关联数值间不配比:医院业务系统反映年度挂号数为10.6万人次,而根据收费数据的统计,当年实际就诊取药有22.8万人次,相差12.2万人,差距悬殊,医院因此损失挂号和诊金费50多万元。
造成这一问题的主要原因,为系统流程设计不完善,导致了“逃方”现象的频繁发生。
5、容灾备份不可靠:医院的主机房与备份机房紧邻,同处顶楼,相隔仅一墙,在遇到雷击、浸水、火灾等特殊灾害时,极易出现主机和备份机同时毁坏、数据丢失的情况。
方法:现场查看,绘制机房平面结构图。
6、操作日志内容不完整:该院信息系统的操作日志,其内容主要为一般性的登录和退出信息,缺少详细的操作内容记录,不便于非授权访问、恶意操作等问题的责任追查。
方法:对服务器主机上的操作日志进行查看取证。
7、药品加价不符合规定:系统未对药品加价设定正确的算法,导致该院实际销售的1802种西药及中成药中,有821种药品的进销加价率超过规定标准,合计多加价507万元。
特殊医用材料加价不符合规定:该院销售的一次性注射器、接骨板、人工晶体、钛夹等医用材料中,有101种材料的进销加价率和加价额超过规定标准,合计多加价23万元。
方法:对业务数据进行筛选审查。
8、重复收取相关费用:在向病人收取手术费后,又重复收取了手术巾、麻醉包、灭菌手套、输血皮条等费用,而这些费用本身是包含在手术费的内涵中的。
类似的还有,在收取层流洁净病房、特需病房床位费的同时,又收取“病房降温取暖费”;收取“重症监护费”后,又收取“吸痰护理”、“动静脉置管护理”等费用。
方法:审查业务数据,手术费,并抽取检查手术病人的住院病例、费用明细清单。
9、无依据收取相关费用:向住院病人收取了只有社区卫生服务机构才能收取的“健康咨询费”、“出诊费”;收取了“防护费”、“换单费”、“观察瞳孔费”等目录外医疗费用;方法:查阅现在收费标准,是否存在无依据收费、超标准收费问题。
10、模糊收费:医院以“治疗费”、“检查费”、“化验费”、“介入放射治疗费”等模糊项目名称,代替标准项目名称、套用编码收取费用等问题。
方法:根据标准收费项目编码进行筛选,看是否存在以上收费情况。
信息系统审计不仅可以帮我们发现问题,还可以帮我们解释问题发生的原因,并从源头上预防类似问题的再次发生。
只有开展了信息系统审计,我们才能更为全面地履行审计职责。
在项目实施过程中,审计人员比较系统地运用了面谈询问、实地观察、数据测试等信息系统审计方法。
如通过调查问卷法,了解医院信息系统用户的职务分离情况;通过实地观察法,确认医院信息系统的物理运行环境是否达到规范要求;通过平行模拟法,判断医院业务系统的收入金额是否计算准确;通过综合测试法,揭示医护收费系统的数据控制漏洞等。
本次审计,在审前调查时所采用的技术方法主要有:问卷调查表法、会议座谈法、实地查看法。
掌握某市人民医院信息系统建设及管理的基本概况。
对HIS系统分析时采用的技术方法主要有:资料审阅法、流程图检查法、数据核对法、模拟操作法。
对信息系统的安全性、可靠性和健壮性进行评估。
对数据库业务数据分析时采用的技术方法主要有:SQL 语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。
重点审查业务数据的真实性、完整性和效益性。
一、信息系统基本情况主要包括以下几个方面:1、被审计单位信息系统建设和管理情况:市人民医院使用的医院信息管理系统(HIS)是由市某软件开发公司1999年开发的,系统于2002年进行测试,2003年4月正式运行使用。
系统采用PowerBuilder进行开发,后台数据库为SQL2005。
医院信息管理系统采用了c/s结构模式,服务器端操作系统为windows2003,客户端操作系统为windows2000/XP。
该院每年都投入资金对其硬件环境进行升级改造,目前共有服务器7台、计算机220台、交换机26台、硬件防火墙2台,打印机115台。
医院中心机房放置了温度、湿度探测器,同时配备了UPS不间断电源和自动灭火系统,为系统正常运行提供了保障;2、被审计单位对信息系统业务依赖程度:人民医院信息管理系统(HIS)根据功能的要求,分为十三大子模块:门诊挂号、门诊划价收费、药库管理、门诊药房管理、病区药房管理、住院管理、病区医嘱管理、人事工资管理、病案管理、物资管理、院长查询、经济核算、公费医疗等,基本包括了医院的主要业务和管理需求;3、被审计单位信息系统组织管理情况:人民医院设置了信息科,专职进行软件开发、系统维护和设备维修等;4、被审计单位信息系统运行情况:从维护日志来看,该院医院信息管理系统在不断地进行系统升级和功能完善,数据库出现异常的情况越来越少。
在审计组现场审计期间,该信息系统运行正常,未发现服务器宕机等异常现象;5、被审计单位信息系统总体业务数据流程情况:该系统业务流程主要分为,患者就医、就诊,药库采购药品入库、发出药品出库,挂号费用、门诊(住院)费用和采购费用的结算等方面;6、被审计单位信息系统电子数据情况:本次审计我们取得了截止到2010年3月10日的数据库备份数据。
HIS系统全库业务数据总量约32.6G,其中:2008年约有1240万条记录,数据大小为4.8G;2009年约有1650万条记录,数据大小6.4G。
目前数据量年增长率为15%左右。
二、被审计单位信息系统控制情况人民医院重视该院对信息系统维护的投入,也制定了相应的管理制度,实现了对信息化管理过程的控制。
HIS系统的运行正常,基本满足了人民医院的主要业务需求。
(一)一般控制方面在一般控制方面总体情况较好,但是也存在着设备采购管理不合规,系统安全性和可靠性有待加强。
(二)应用控制方面在应用控制方面人民医院做了大量工作,对业务流程进行了控制。
其数据处理逻辑和输入、输出控制较好。
通过对系统操作人员权限管理,实现了对数据库的访问、修改等操作进行控制。
数据接口方面也能保证该系统与市医保系统、农保系统进行日常的业务数据交换。
但存在业务数据的真实性和准确性欠缺的问题,系统使用效率性和效益性有待提三、审计重点内容及审计事项(一)一般控制审计重点审计总体IT环境、基础设施控制、信息系统生命周期控制、信息安全控制、信息系统运营维护控制等方面的情况。
1.审计目标通过一般控制审计,对信息系统的基本情况、合法合规性、真实完整性、安全可靠性、效率效益性等情况有全面的了解和掌握。
2.审计测试过程在审前准备阶段,审计组搜集了医院收费的相关文件和资料,采集了数据库业务数据,获取了数据字典。
发放问卷调查表来了解情况:一是发放信息系统控制矩阵的调查表,这个表有9张,针对的是医院信息系统,我们要求人民医院信息科填写。
二是给医院的使用信息系统的医生、门诊病人和住院病人发放满意度调查表。
表里有信息信息系统使用情况,有医院收费情况,有医生服务态度等内容。
还通过在院长办公室举行座谈交流,了解财务情况以及信息系统使用情况,并且还对机房、设备和业务窗口进行了实地查看,了解和掌握市中医院信息管理系统运行的基本情况。
再汇总调查情况拟订具体的、可操作的审计实施方案。
在审计实施阶段,审计组参照《医院信息系统软件基本功能规范》对其内部控制机制进行了初步评估,确定了审计重点。
具体审计以下五个事项:(1)总体IT控制环境审计A.具体审计目标:主要查看信息系统的组织结构和管理政策是否健全。
B.审计测试过程:通过会议座谈、问卷调查和资料查阅等方法,审计组取得了关于医院信息系统建设的会议纪要、科室职能等资料,了解到人民医院对信息系统建设十分重视,成立了济仁软件公司对医院信息系统进行开发、维护。
每年医院都投入大量资金对设备和系统进行更新,信息系统由信息科设专人负责,系统的建设有计划、有规划。
C.发现问题和建议:在审计中我们也发现,只有2名技术人员掌握HIS系统关键技术,且未签定保密协议。
建议市人民医院加强信息系统方面的学习,培养信息管理业务骨干。
(2)基础设施控制审计A.具体审计目标:查看机房物理环境是否有效控制;对硬件设备、系统软件采购管理是否控制;硬件、软件管理制度有无建立健全和执行到位。
B.审计测试过程:通过实地查看的方法,审计发现,人民医院的新机房正在兴建,原有机房还在使用中。
新机房按照《电子信息系统机房设计规范》(GB50174-2008)、《电子信息系统机房施工及验收规范》(GB50462-2008)、《电子信息系统机房工程设计与安装》(GJBT1093)等国家标准和规定进行操作,机房建设比较规范,相关水、火灾探测设备,灭火装置、续电设备、空调等设施齐全。
市人民医院也制定了《机房管理制度》,对机房安全和维护进行管理。
在设备采购管理控制方面,人民医院计算机等设备采购数量多、金额较大,我们将此作为重点进行审计。
