某市人民医院信息系统审计案例0讲解.doc

某市人民医院信息系统审计案例 一、案例摘要 （一）审计项目基本情况 1．案例名称：某市人民医院信息系统审计案例 2．所属审计项目名称：某市人民医院信息系统审计 3．审计实施单位：某市审计局 4．主要审计人员：张庆红（组长）、徐晓东（主审）、葛玉玲。 5．审计实施的时间：2010年4月26日至2010年5月31日。 （二）具体审计事项类别及名称 1．一般控制审计（GC）： （1）总体IT控制环境审计—IT规划和计划审计(GC-1)、IT组织结构审计（GC-2）、IT管理政策审计（GC-3） （2）基础设施控制审计—机房物理环境控制审计（GC-4）、硬件设备采购管理控制审计（GC-5）、系统软件采购管理控制审计（GC-6） （3）信息系统生命周期控制审计—系统开发控制审计（GC-7）、系统采购控制审计（GC-8）、系统变更控制审计（GC-9） （4）信息安全控制审计—逻辑访问控制审计（GC-10）、网络安全控制审计（GC-11）、操作系统安全控制审计（GC-12）、数据库系统安全控制审计（GC-13）、最终用户控制审计（GC-14） （5）信息系统运营维护控制审计—系统维护控制审计（GC-15）、系统变更管理控制审计（GC-16）、系统灾难恢复控制审计（GC-17） 2．应用控制审计（AC）： （1）业务流程控制审计—业务授权与审批控制审计 (AC-1)、数据输入控制审计(AC-2)、数据输出控制审计(AC-4) （2）数据控制审计—对主数据的审计(AC-5) 、对业务参数的审计(AC-6)、对重要信息的审计(AC-7) （3）接口控制审计—数据接口审计（AC-9） （4）系统外控制审计—补偿性控制审计（AC-11） （三）采用的审计技术和方法 本次审计，我们在审前调查时所采用的技术方法主要有：问卷调查表法、会议座谈法、实地查看法。掌握某市人民医院信息系统基本概况。 对HIS系统分析时采用的技术方法主要有：资料审阅法、流程图检查法、数据核对法、模拟操作法。对信息系统的安全性、可靠性和健壮性进行评估。 对数据库业务数据分析时采用的技术方法主要有：SQL语句查询法、钩稽关系效验法、横纵向比较法、量本利分析法等。重点审查业务数据的真实性、完整性和效益性。 （四）审计发现和建议情况 此次信息系统审计是与人民医院绩效审计相结合的一次尝试，通过审计，我们出具审计移送处理书1份，将人民医院信息科科长潘某移送市纪委，目前案件已侦察结束，法院最后判决：潘某犯受贿、贪污和挪用公款罪，处以12年有期徒刑并没收非法所得5万元。 完成信息系统审计报告1份，反映该院信息系统在安全性、可靠性方面存在的4个问题；在相关性方面存在的2个问题；在合法性、合规性方面存在的2个问题；在数据的真实性、准确性等方面存在的3个问题。提出了3条具有针对性的审计建议。 完成了绩效审计报告1份，报告得到充分肯定，分管韩市长批示：“该审计报告内容全面，反映问题准确，希望市人民医院认真落实审计建议，不断提高医院管理水平。”该项目在省厅2010年度全省优秀审计项目评选中荣获表彰奖。 出具审计决定书1份，对医院超标准加价、药品调价滞后等违规收费XX万元进行处罚。 市人民医院按照审计报告的要求，建立健全了《信息系统管理制度》、《医疗设备采购管理制度》、《成本核算管理制度》等9条内部控制制度。 二、被审计单位信息系统基本情况 （一）被审计单位信息系统建设和管理情况 市人民医院使用的医院信息管理系统（HIS）是由市某软件开发公司1999年开发的，系统于2002年进行测试，2003年4月正式运行使用。系统采用PowerBuilder进行开发，后台数据库为SQL2005。 医院信息管理系统采用了c/s结构模式，服务器端操作系统为windows2003，客户端操作系统为windows2000/XP。该院每年都投入资金对其硬件环境进行升级改造，目前共有服务器7台、计算机220台、交换机26台、硬件防火墙2台，打印机115台。医院中心机房放置了温度、湿度探测器，同时配备了UPS不间断电源和自动灭火系统，为系统正常运行提供了保障。 （二）被审计单位对信息系统业务依赖程度 人民医院信息管理系统（HIS）根据功能的要求，分为十三大子模块：门诊挂号、门诊划价收费、药库管理、门诊药房管理、病区药房管理、住院管理、病区医嘱管理、人事工资管理、病案管理、物资管理、院长查询、经济核算、公费医疗等，基本包括了医院的主要业务和管理需求。 （三）被审计单位信息系统组织管理情况 人民医院设置了信息科，专职进行软件开发、系统维护和设备维修等。 （四）被审计单位信息系统运行情况 从维护日志来看，该院医院信息管理系统在不断地进行系统升级和功能完善，数据库出现异常的情况越来越少。在审计组现场审计期间，该信息系统运行正常