近日，在新农合审计项目中，江油市审计局按照审计署下发的信息系统审计重点对被审计单位信息系统相关事项进行了检查。按照《四川省审计厅办公室关于转发审计署关于印发检查信息系统相关审计事项指导意见的通知》（川审办〔2010〕44号）精神，江油市审计局因地制宜，采用适合实际情况的审计组织方式，积极探索信息系统审计工作。

　　一是信息系统安全性检查。审计发现一些乡镇医院信息系统安全问题非常突出：涉及医院收费系统的计算机同时接入互联网，医院收费系统不但包括医院财务信息，同时记录相关药品进销存情况，如发生病毒感染或恶意入侵，将对收费系统产生灾难性后果；多家医院没有制定相关安全管理制度，系统安全员履行职责不到位；由于规模限制，相关系统没有防雷、防火等措施；操作系统没有及时更新相关安全补丁，没有安装有效的杀毒、防火墙等软件。针对发现问题，审计人员已建议相关医院制定完整有效的安全管理制度，指定专人对网络及系统运行负责，收费系统相关网络严格与互联网物理隔离。由于规模限制，一般的乡镇医院没有专用机房，建议这些医院要做好数据备份工作，备份设备与数据服务器分开存放，而对有机房的医院，应做好防雷和防火措施。

　　二是信息系统有效性检查。审计发现很多医院的收费系统没有形成统一标准，数据库设计不合理，表间关系不清晰，存在大量重复操作和冗余数据。此外，软件开发没有考虑未来业务的扩展，目前负责开发软件的公司或个人已经失去联系，一旦软件发生意外情况将得不到有效地维护。

　　三是信息系统运行检查。很多单位仅在本地备份，没有通过其他移动介质进行备份，一旦服务器发生硬件损坏或者丢失，后果非常严重；移动介质管理非常混乱，经常在数据库服务器上使用不符合安全规定的移动介质复制文件；部分医院在购买软件的过程中没有对信息系统进行初步论证，投入使用后没有详细的验收标准，所以在使用中存在核心业务流程覆盖率不高问题，例如一些医院药品的进销存情况和财务软件脱钩，在审计过程中，收费系统数据与财务数据严重不符，这样也极大增加了审计的难度和工作量。

　　此次审计为全局树立了审计数据与信息系统的整体关联关系，拓展了审计人员视野，实现了常用审计方法的扩展和创新。