当前位置: > 论文中心 > 经济论文 >

对医院信息系统进行审计的初步探索

时间:2013-10-09 11:00 点击:
审计目标是确保信息系统安全完整,确保数据处理高效准确。方法是依据有关政策、标准及行业规范开展工作,采用调查问卷法、面谈询问法、实地观察法等。内容包括对总体控制环境审计、对运行与维护控制审计、对具体业务控制的审计等。最后,形成审计结论,提出
      doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 18. 010
  [中图分类号] F239.4 [文献标识码] A [文章编号] 1673 - 0194(2013)18- 0015- 02
  近年来,医院信息化取得了快速发展,HIS、PACS、LIS、EMR等软件的应用,提高了医院的管理水平和诊疗水平。医院信息系统涉及到全院各个环节,一旦发生安全事故,会给医院日常工作带来很大影响。因此,信息系统的安全、可靠和功能完善比以往任何时候都更加重要,对医院信息系统进行审计也成为审计部门的一项重要职责。
  1 审计的目标
  信息系统审计的总体目标是审计人员结合专业判断,对医院信息系统进行检查和监督,评价系统对医院财政财务收支的真实性、合法性和效益性的影响程度,提出有针对性的审计建议,保障信息系统正确、高效地实现业务处理,达到医院管理的目标。
  1.1 确保信息系统安全完整
  医院对信息的真实和完整性有较高的要求。医院信息系统包括硬件、软件、数据文件、系统文档等,如果运行中出现故障,会造成各科室业务混乱,影响医院各项业务的正常运转。对医院信息系统进行审计,要确保信息系统的安全完整。
  1.2 确保数据处理高效准确
  医院信息系统的效率是指系统达到预定目标所消耗的资源,主要取决于硬件的配置和软件开发的水平。硬件选择要搭配合理,各组成部分之间协调,软件设计要结合医院实际,在充分满足业务需求的基础上构造出高效的算法。数据准确性是指数据能够满足规定的条件,防止错误信息的输入和输出,以及非授权状态下修改信息所造成的无效操作和错误后果。审计人员从独立、客观、公正的第三方角度,对信息的质量进行审查,对信息的产生过程及相应的内部控制进行评价。
  2 审计的方法
  审计人员主要依据国家有关政策、国际通行的控制审计标准及医院的行业规范开展工作,采用调查问卷法、面谈询问法、实地观察法、数据测试法、平行模拟法、流程图检查法、业务追踪法等审计方法。
  3 审计的主要内容
  3.1 对总体控制环境审计
  3.1.1 对规划的审计
  审计过程中通过召开座谈会、设计并发放调查问卷、查阅医院文件等方法,对医院信息系统的规划和计划、组织结构及管理政策进行审计。
  3.1.2 对硬件的审计
  审计中通过实地观察、调阅硬件的购置文件和维修记录等方法,对医院机房物理环境控制、硬件设备采购管理控制等进行审计,确认服务器、工作站等硬件是否有良好的兼容性。
  3.1.3 对软件的审计
  审计过程中查阅医院的会议纪要和购买合同,询问信息部门负责人关于系统开发和变更的各项细节,索取相关的技术资料,对系统开发控制、系统采购控制、系统变更控制等环节进行审计。
  3.2 对运行与维护控制审计
  3.2.1 对访问控制的审计
  审计过程中通过检查用户口令设置表,筛选出那些符合口令特征的记录,统计出弱口令所占的比例,并随机对部分医护工作站进行登录测试。
  3.2.2 对网络安全的审计
  通过审阅医院业务系统及数据库系统的日志文件,查看操作日志记录是否完整,是否包含敏感内容,以及关键性日志是否都有对应的操作人员和触发时间。
  3.2.3 对灾难备份恢复的审计
  审计中检查业务系统操作手册、实地观察重要部门的具体操作,与信息部门负责人进行交谈等,了解医院业务连续性计划的制订和演练情况,查看以往系统中断后的事故处理记录,实地观察备份机房的位置和环境。
  3.3 对具体业务控制的审计
  3.3.1 对业务流程的审计
  在医院信息系统中,每个用户都应有相应的操作权限,用户应该只能在自己的权限范围内办理业务。审计人员获取用户访问权和文件权限的资料,检查系统流程图,询问操作系统和数据库系统的参数设置情况。在财务系统中,审计人员将“记账凭证表”中制单人与记账人或审核人同名的记录调取出来;在业务系统中,审计人员将“用户权限表”与“系统模块表”等关联,结合现场查看的方法,从中观察重要岗位人员的权限,关注其是否存在不相容设置、冒用他人权限的情形。
  3.3.2 对数据控制的审计
  审计过程中对医院业务系统的手术费、麻醉费、检验费、治疗费、药品费等数据控制进行检查。系统应将收费项目与主管部门下发的标准目录关联,如有无收费依据,医护人员就无法在规定项目之外另行收费。
  3.3.3 对接口控制的审计
  审计项目对信息系统界面接口、数据接口以及应用接口进行审计,验证数据在与其他信息系统或应用中的转换与传输中的安全性。
  4 审计结论与建议
  审计结论是信息系统审计的重要成果,是审计的主要目的。审计完成后,审计人员按照审计实施方案要求,在对医院信息系统进行测试和审查的基础上,根据审计证据和审计记录,对医院信息系统进行客观、独立的评价,针对审计过程中发现的漏洞和问题提出相应的整改意见和建议,并与相关人员进行沟通,分析影响的程度和范围,提出适当可行的审计建议。 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 18. 010
  [中图分类号] F239.4 [文献标识码] A [文章编号] 1673 - 0194(2013)18- 0015- 02
  近年来,医院信息化取得了快速发展,HIS、PACS、LIS、EMR等软件的应用,提高了医院的管理水平和诊疗水平。医院信息系统涉及到全院各个环节,一旦发生安全事故,会给医院日常工作带来很大影响。因此,信息系统的安全、可靠和功能完善比以往任何时候都更加重要,对医院信息系统进行审计也成为审计部门的一项重要职责。
  1 审计的目标
  信息系统审计的总体目标是审计人员结合专业判断,对医院信息系统进行检查和监督,评价系统对医院财政财务收支的真实性、合法性和效益性的影响程度,提出有针对性的审计建议,保障信息系统正确、高效地实现业务处理,达到医院管理的目标。
  1.1 确保信息系统安全完整
  医院对信息的真实和完整性有较高的要求。医院信息系统包括硬件、软件、数据文件、系统文档等,如果运行中出现故障,会造成各科室业务混乱,影响医院各项业务的正常运转。对医院信息系统进行审计,要确保信息系统的安全完整。
  1.2 确保数据处理高效准确
  医院信息系统的效率是指系统达到预定目标所消耗的资源,主要取决于硬件的配置和软件开发的水平。硬件选择要搭配合理,各组成部分之间协调,软件设计要结合医院实际,在充分满足业务需求的基础上构造出高效的算法。数据准确性是指数据能够满足规定的条件,防止错误信息的输入和输出,以及非授权状态下修改信息所造成的无效操作和错误后果。审计人员从独立、客观、公正的第三方角度,对信息的质量进行审查,对信息的产生过程及相应的内部控制进行评价。
  2 审计的方法
  审计人员主要依据国家有关政策、国际通行的控制审计标准及医院的行业规范开展工作,采用调查问卷法、面谈询问法、实地观察法、数据测试法、平行模拟法、流程图检查法、业务追踪法等审计方法。
  3 审计的主要内容
  3.1 对总体控制环境审计
  3.1.1 对规划的审计
  审计过程中通过召开座谈会、设计并发放调查问卷、查阅医院文件等方法,对医院信息系统的规划和计划、组织结构及管理政策进行审计。
  3.1.2 对硬件的审计
  审计中通过实地观察、调阅硬件的购置文件和维修记录等方法,对医院机房物理环境控制、硬件设备采购管理控制等进行审计,确认服务器、工作站等硬件是否有良好的兼容性。
  3.1.3 对软件的审计
  审计过程中查阅医院的会议纪要和购买合同,询问信息部门负责人关于系统开发和变更的各项细节,索取相关的技术资料,对系统开发控制、系统采购控制、系统变更控制等环节进行审计。
  3.2 对运行与维护控制审计
  3.2.1 对访问控制的审计
  审计过程中通过检查用户口令设置表,筛选出那些符合口令特征的记录,统计出弱口令所占的比例,并随机对部分医护工作站进行登录测试。
  3.2.2 对网络安全的审计
  通过审阅医院业务系统及数据库系统的日志文件,查看操作日志记录是否完整,是否包含敏感内容,以及关键性日志是否都有对应的操作人员和触发时间。
  3.2.3 对灾难备份恢复的审计
  审计中检查业务系统操作手册、实地观察重要部门的具体操作,与信息部门负责人进行交谈等,了解医院业务连续性计划的制订和演练情况,查看以往系统中断后的事故处理记录,实地观察备份机房的位置和环境。
  3.3 对具体业务控制的审计
  3.3.1 对业务流程的审计
  在医院信息系统中,每个用户都应有相应的操作权限,用户应该只能在自己的权限范围内办理业务。审计人员获取用户访问权和文件权限的资料,检查系统流程图,询问操作系统和数据库系统的参数设置情况。在财务系统中,审计人员将“记账凭证表”中制单人与记账人或审核人同名的记录调取出来;在业务系统中,审计人员将“用户权限表”与“系统模块表”等关联,结合现场查看的方法,从中观察重要岗位人员的权限,关注其是否存在不相容设置、冒用他人权限的情形。
  3.3.2 对数据控制的审计
  审计过程中对医院业务系统的手术费、麻醉费、检验费、治疗费、药品费等数据控制进行检查。系统应将收费项目与主管部门下发的标准目录关联,如有无收费依据,医护人员就无法在规定项目之外另行收费。
  3.3.3 对接口控制的审计
  审计项目对信息系统界面接口、数据接口以及应用接口进行审计,验证数据在与其他信息系统或应用中的转换与传输中的安全性。
  4 审计结论与建议
  审计结论是信息系统审计的重要成果,是审计的主要目的。审计完成后,审计人员按照审计实施方案要求,在对医院信息系统进行测试和审查的基础上,根据审计证据和审计记录,对医院信息系统进行客观、独立的评价,针对审计过程中发现的漏洞和问题提出相应的整改意见和建议,并与相关人员进行沟通,分析影响的程度和范围,提出适当可行的审计建议。

   论文榜(www.zglwb.com),是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导,寻求投稿辅导代理,快速投稿辅导,投稿辅导格式指导等解决方案:省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。


栏目列表
联系方式
推荐内容
 
QQ在线咨询
投稿辅导热线:
189-6119-6312
微信号咨询:
18961196312