淄博市审计局 仇玉文

 

医院信息系统包含挂号收费管理子系统、门诊管理子系统、住院管理子系统、药库管理子系统等，基本涵盖医院的全部业务活动。系统审计是对医院收费系统历史数据库及生产数据库进行备份，通过模拟测试、数据挖掘技术、数据验证法等方式分析系统数据，编制审计模块，结合现场调研、问卷式访谈等方法，发现系统数据控制以及环境安全等问题。

一是数据控制存在漏洞，未按医疗项目收费标准和处方限量做出限制，部分收费模块可以手工录入，收费随意性大，容易造成乱收费和超剂量开药问题；有些医院系统设置合并收费项目、自立项目和自主细化收费项目，有的医院自立收费项目多达900多项，乱收费问题严重，未能从源头防治乱收费问题发生。

二是系统业务处理流程未实现全业务、全科室覆盖。导致出现诊疗项目和费用由护士长手工写单现象，而汇入收费系统一律用“治疗费”一级科目汇总录入。由此带来护士（护士长）自由处置权太大，难于管控，极易产生多收或少收、不收费等违规现象发生。收费科目不明细，造成收费的随意性且绕开系统管理，极易产生偏差。

三是收费系统与财务系统相对独立，相关系统间数据勾稽关系不一致，存在病人住院收费汇总金额与住院结算金额不一致问题，导致医院财务数据与业务数据存在差异。

四是信息系统安全性存在问题。第一，系统升级未按系统运行管理制度执行，未留下技术文档及升级操作过程和记录。数据字典有较大调整，数据库分库，数据表及勾稽关系比较混乱，存在同字段名不同语义等情况，一旦系统出现故障，将会无以补救；第二，安全管理职责不明确，三名系统管理人员共用一个管理账号，而且此管理账户为超级用户，可以修改系统任意数据。若其中一名工作人员随意修改业务数据将造成不可修复的影响，且无法追究责任；第三，网络安全保护措施不到位，无专人负责网络安全维护和无网络攻击防范、追踪措施等网络安全保障；第四，应用系统访问安全性存在隐患，存在超级用户管理员可以查询、修改所有数据，而且此账户有多人知道，一旦发生事故，无法追究责任。

针对上述问题，审计建议：

一是对收费项目的设定要统一按照国家规定的收费标准做出限制和调整，从源头杜绝乱收费问题发生；二是对已明显不符合当前业务需要的系统进行淘汰更换，从源头防范系统风险；三是建立信息系统操作管理制度，建立明确的职责监督机制，防止安全隐患；四是组织业务人员培训，增强安全责任意识，进一步提高处理信息系统突发事件的能力；五是在网络安全性上要求专人负责网络安全维护，并增加网络攻击防范、追踪措施，增强防火意识、机房出入制度、统一保管机房机柜钥匙、机房除尘设施等专业知识；六是按系统建设要求及国家相关规定完善及改进相应控制点，优化程序设置，控制差错率；七是加强IT服务商问责及服务外包管理制度建设，及时对系统数据进行系统规范、梳理及存档，防止系统升级变更中因技术文档缺失造成无以补救的严重故障。（来源山东审计网）