湖北省審計(jì)廳審計(jì)醫(yī)保信息系統(tǒng)發(fā)現(xiàn)漏洞
最近,湖北省審計(jì)廳在對社保五項(xiàng)基金審計(jì)中嘗試對醫(yī)療保險(xiǎn)基金管理信息系統(tǒng)進(jìn)行審計(jì),發(fā)現(xiàn)該系統(tǒng)在慢性病門診待遇支付模塊中存在設(shè)計(jì)漏洞,以此查出某單位利用系統(tǒng)漏洞違規(guī)使用醫(yī)保基金的重大案件線索。
對信息系統(tǒng)進(jìn)行審計(jì)在湖北尚屬首次,審計(jì)人員在審計(jì)中從分析數(shù)據(jù)與數(shù)據(jù)庫安全控制點(diǎn)著手,核查各個(gè)控制點(diǎn)內(nèi)部處理機(jī)制的正確性、外部管理機(jī)制的安全性以及鉤稽核對功能的完整性,找出可能存在的安全隱患和功能缺陷,進(jìn)而從系統(tǒng)設(shè)計(jì)層次查找出問題根源。審計(jì)人員通過對系統(tǒng)分析發(fā)現(xiàn),醫(yī)療保險(xiǎn)基金管理系統(tǒng)的慢性病門診待遇支付模塊共設(shè)置慢性病人員名單審核和慢性病待遇支付標(biāo)準(zhǔn)審核兩個(gè)控制點(diǎn),盡管兩個(gè)控制點(diǎn)的內(nèi)部處理機(jī)制未見異常,但系統(tǒng)使用者卻同時(shí)具有兩個(gè)控制點(diǎn)的管理權(quán)限,數(shù)據(jù)管理存在安全隱患。
審計(jì)人員隨即通過構(gòu)建測試數(shù)據(jù)實(shí)體和測試流程,對兩個(gè)控制點(diǎn)之間的鉤稽核對功能展開集成測試,結(jié)果顯示:兩個(gè)控制點(diǎn)之間缺失應(yīng)有的鉤稽核對功能。進(jìn)一步仔細(xì)查看系統(tǒng)設(shè)計(jì)文檔和會議記錄等資料,與技術(shù)人員溝通后證實(shí),慢性病待遇支付模塊的鉤稽核對功能缺失是系統(tǒng)設(shè)計(jì)的缺陷。該缺陷不僅造成慢性病人員名單審核這一控制點(diǎn)形同虛設(shè),而且給系統(tǒng)使用者留下作弊空間。
根據(jù)系統(tǒng)設(shè)計(jì)缺陷這一線索,審計(jì)人員順藤摸瓜,查出某單位未經(jīng)有關(guān)專家鑒定違規(guī)為其職工辦理慢性病門診待遇近16萬元。審計(jì)后,當(dāng)?shù)卣氨粚徲?jì)單位高度重視,審計(jì)期間不僅返還違規(guī)使用的16萬元基金,還對系統(tǒng)漏洞進(jìn)行及時(shí)修改。
【關(guān)閉】 【打印】 |