您现在的位置:首页 >> 政务之窗>> 公示公告

沾益区审计局对沾益区人民医院信息系统审计结果公告

文章来源:       作者:         发布时间: 2018/6/13 11:02:04       点击数: 

沾益区审计局对沾益区人民医院信息系统审计结果公告

2018年第21号(总第144号)

二零一八年六月十三日公告

 

根据《中华人民共和国审计法》第二十六条和第三十二条的规定,曲靖市沾益区审计局于20171092018228日,对沾益区人民医院(以下简称“区医院”)进行了就地审计。现将审计结果公告如下:

一、基本情况

20059月至今,区医院使用的信息系统为上海金仕达卫宁科技有限公司开发的卫宁医院信息管理系统。自2005年至201710月信息化建设累计投入为1435.84万元。软件的维护管理由上海金仕达卫宁科技有限公司在云南的代理商负责。目前,区医院中心机房的主要设备有:His服务器2台,His服务存储服务器2台,合理用药数据库服务器1台、合理用药数据库存储器1台、方便门诊存储器1台、Pacs服务存储器1台、数字图书服务器、DTGS服务器、光纤交换机2台、内网服务器交换机(H3C S5024P -EI)2台、内网防火墙(MAIPU MpseeFw4000)1台、层级交换机若干;有网络四套:医保中心专网(电信),远程会诊专网(广电)、局域网(内网)和互联网(电信)。

审计结果表明,区医院使用了HIS系统及其他相关应用软件系统后,减轻了医护人员和管理者的工作强度,对提高医疗服务质量、工作效率、管理水平,为医院带来一定的经济效益和社会效益产生了积极的作用,使医院管理模式更加科学化、信息化、规范化和标准化。但是存在医院的信息化管理策略不健全,信息系统管理还存在一些薄弱环节;系统的网络、操作系统、数据备份上还存在一定的安全漏洞和隐患;系统对数据的输入、处理、输出控制不到位,系统的可靠性未得到有效保障,导致系统产生的业务数据的真实性、完整性和正确性未得到有效控制等问题。

二、审计查出的主要问题

   (一)IT组织结构方面

    未组建信息系统监督机构,且领导机构中无监督人员,未定期对医院信息系统进行安全审计。

(二)逻辑访问控制方面

HIS系统逻辑访问控制未得到有效执行:①职工编号为1273和3059未设置密码;②系统管理员未对秘码设置作强制要求。

(三)网络安全控制方面

1.新农合管理系统(已经停用)与医院HIS系统还存在物理连接;

2.未使用软件防火墙、入侵检测系统和入侵防御系统。

3.未实现IP地址和MAC地址绑定。

(四)操作系统安全控制方面

1.部分电脑没有设置开机密码。

2.部分电脑没装杀毒软件,有的虽装了杀毒软件,但是长期不使用杀毒软件。

(五)系统灾难恢复控制方面

1.区人民医院未安排专人管理备份数据;

2.区医院没有异地存放备份数据。

(六)数据库系统安全控制方面

没有设置数据库管理员,每个系统管理员都可以以帐号sa进入数据库对数据库进行管理和操作,无法核实辨别谁修改了数据库。

(七)授权与审批控制审计

1.系统授权模块设计不完备。

2.系统授权不充分不合理。

3.系统业务审批控制未得到有效控制,导致乱收费0.02万元、多收费0.18万元、少收费0.78万元。

(八)交易数据输入控制审计

1.录入的门诊病人信息表、门诊挂号信息表中:就诊病人出生日期在建档日期之后有31条记录;病人年龄小于0岁有17条记录;病人年龄大于130岁有3条纪录。录入的体检人员登记信息表中,年龄错误信息有3条记录。

2.录入药品开票日期大于等于药品失效日期的有110条。

3.住院费用明细表中有1018条记录,其所属医疗机构与存储在费用结账表中记录的医疗机构不对应;②处方表中有159条记录,其所属医疗机构与存储在门诊费用表中记录的医疗机构不对应。

4.门诊号录入不规范记录12条,姓名录入不规范记录33条。

5.挂号费收取了0.6次的记录一条。

6.住院病人对应的住院医生编号、主治医生编号均为“0” (核实“0”用户为超级用户)的记录1条,。

7.住院病人信息表中的医保号码位数,共发现有20种医保号码位数。

8.入库数量不为0的药品入库记录,其药品有效期到期日在药品入库前有606条;入库数量为0的药品入库纪录,其药品有效期到期日在药品入库前有7188条。

9.医务人员信息录入错误,系统未设置在录入一些疑似异常数据时给予相应控制或提示,且系统缺少自动校验控制,导致数据准确性、真实性被破坏,共造成多收费10.28万元,少收费8.04万元。

(九)数据处理逻辑方面

1.出院病人信息表中住院天数比实际住院天数少一天的有4条记录。

2.门诊挂号信息表中,有5条记录挂号类型为null,与正常情况不相符。

3.住院结账费用表中,有2条记录结账应付总金额为0,但是存储的自付金额大于0。

(十)数据输出控制方面

1.结账系统中输出的住院病人结账总金额与明细金额汇总之和不一致的纪录有1条,金额相差0.10元。

2.将出院病人结账费用表和住院病人出院信息表输出的数据进行关联比对,发现出院结账表中两条结账记录,在出院病人信息表中找不到该住院号病人的任何记录。

3.对单项手术收费低于1000.00元,未按要求收取简单手术特殊刀使用费,而收取患者复杂手术特殊刀使用费的记录有263条,合计金额5.26万元,抵扣应收未收的简单手术刀使用费3.94万元后,多收取患者手术刀使用费1.32万元。

4.不按规定的加成比例进行药品加成,导致多收费金额4.93万元。

5.出纳现金短款合计0.99万元。

6.执行医院HIS系统视图时:①创建视图时,两张表列数不等导致无法创建视图;②执行视图时,语法错误导致视图无法运行。

(十一)数据接口方面

1.病案首页信息可以随意修改,导致和HIS系统中存储的信息不一致。病案首页整理表以及住院病人信息表中,有1490条记录两个表中的住院病人姓名不一致。

2. HIS系统数据传输至病案时,完整性缺失。 病案首页整理表中:有17条病人记录主治医生为空值;有1条病人记录主治医生为‘0’。

3.数据传输中导致发票信息失真,发现有10条记录发票号为空。

   (十二)业务参数方面

    对系统存储的数据进行分析,发现如下问题:

1.270种药品被录入为两种药品类型。

2.同一张床对应系统中两个床位号情况记录57条。

三、审计查出问题的处理情况及建议

针对上述问题,曲靖市沾益区审计局已按照国家法律、法规的规定,出具了审计报告,下达了审计决定书。(一)对于IT组织结构方面的问题,要求区医院完善信息化组织结构,建立监督机构,提高医院信息系统运行效率能力;(二)对于逻辑访问控制方面的问题,要求区医院加强对业务系统的逻辑访问管理;(三)对于网络安全控制方面的问题,要求区医院加强网络和医护人员日常操作的管理,做到专网专用;(四)对于操作系统安全控制方面的问题,要求加强对系统密码的管理,及时安装杀毒软件,定期对电脑扫描杀毒;(五)对于系统灾难恢复控制方面的问题,要求区医院派专人管理备份数据,备份数据要严格做到异地存放;(六)对数据库系统安全控制方面的问题,要求区医院加强对用户权限控制、操作口令或密码设置和修改、数据安全性操作等的控制,避免同一账户多人使用;(七)对于授权于审批控制方面的问题,要求区医院请软件开发商按岗位职权明确授权事项,并按业务流程设计审批过程,对由此导致的乱收费、多收费0.20万元做收缴省级财政处理,对由此导致的少收费0.78万元要求医院内部对相关责任人进行处理;(八)对交易数据输入控制方面的问题,要求医院请软件开发商针对数据输入存在的问题,修改完善设计,使系统输入数据得到有效控制,对由此导致多收费10.28万元做收缴省级财政处理,对由此导致少收费8.04万元要求医院内部对相关责任人进行处理;(九)对数据处理逻辑方面的问题,要求医院请软件开发商,针对数据处理中存在的问题完善设计,以保证医院数据得到准确可靠的处理;(十)对数据输出控制方面的问题,要求区医院对数据输出中存在的问题进行完善,管理者应加强对数据修改的审核审批,联系软件公司进一步核实和修改视图,对由此导致多收费6.25万元做收缴省级财政处理,对出纳现金短款0.99万元问题责令出纳将短款现金补齐至区医院账户;(十一)对数据接口方面的问题,要求区医院请软件开发商针对存在问题,对接口数据进行严格控制,按照医疗部门的要求进行数据传输,以保证接口数据的真实性和完整性;(十二)对业务参数方面的问题,要求医院针对存在的问题,对错误录入的参数进行修改。

针对审计发现的问题,曲靖市沾益区审计局建议:(一)建议进一步完善管理制度;(二)建议严格执行相关制度;(三)建议完善系统设计;(四)建议进一步加强对现金的管理工作。

四、审计发现问题的整改情况

对审计发现的问题,区医院认真进行了整改,对于审计决定中要求上缴省级财政16.73万元,区医院已于2018年6月 13日缴入省级财政;对于出纳短款0.99万元问题,出纳已将所短款项补齐至区医院账户;对于审计报告中反映的问题,区医院对相关责任人进行了处罚;对于审计报告中反映的其他非金额信息系统方面的问题,区医院高度重视,修订了区医院信息化建设领导小组,制定了专项整改方案,对相关科室的责任人进行了处罚进一步明确了各个部门和岗位的授权审批事项、审批部门和批准人;在数据备份方面,医院正在准备数据异地备份存储的工作;进一步规范了工作流程,强化了密码管理,对部分没安装杀毒软件的电脑安装了杀毒软件,并要求对电脑定期进行扫毒杀毒;进一步完善了财务管理制度;正对数据处理方面的问题,正在与软件开发商对接完善功能设计以满足管理决策需要。