湖北省審計廳審計醫(yī)保信息系統(tǒng)發(fā)現(xiàn)漏洞
最近,湖北省審計廳在對社保五項基金審計中嘗試對醫(yī)療保險基金管理信息系統(tǒng)進行審計,發(fā)現(xiàn)該系統(tǒng)在慢性病門診待遇支付模塊中存在設(shè)計漏洞,以此查出某單位利用系統(tǒng)漏洞違規(guī)使用醫(yī)?;鸬闹卮蟀讣€索。
對信息系統(tǒng)進行審計在湖北尚屬首次,審計人員在審計中從分析數(shù)據(jù)與數(shù)據(jù)庫安全控制點著手,核查各個控制點內(nèi)部處理機制的正確性、外部管理機制的安全性以及鉤稽核對功能的完整性,找出可能存在的安全隱患和功能缺陷,進而從系統(tǒng)設(shè)計層次查找出問題根源。審計人員通過對系統(tǒng)分析發(fā)現(xiàn),醫(yī)療保險基金管理系統(tǒng)的慢性病門診待遇支付模塊共設(shè)置慢性病人員名單審核和慢性病待遇支付標準審核兩個控制點,盡管兩個控制點的內(nèi)部處理機制未見異常,但系統(tǒng)使用者卻同時具有兩個控制點的管理權(quán)限,數(shù)據(jù)管理存在安全隱患。
審計人員隨即通過構(gòu)建測試數(shù)據(jù)實體和測試流程,對兩個控制點之間的鉤稽核對功能展開集成測試,結(jié)果顯示:兩個控制點之間缺失應(yīng)有的鉤稽核對功能。進一步仔細查看系統(tǒng)設(shè)計文檔和會議記錄等資料,與技術(shù)人員溝通后證實,慢性病待遇支付模塊的鉤稽核對功能缺失是系統(tǒng)設(shè)計的缺陷。該缺陷不僅造成慢性病人員名單審核這一控制點形同虛設(shè),而且給系統(tǒng)使用者留下作弊空間。
根據(jù)系統(tǒng)設(shè)計缺陷這一線索,審計人員順藤摸瓜,查出某單位未經(jīng)有關(guān)專家鑒定違規(guī)為其職工辦理慢性病門診待遇近16萬元。審計后,當?shù)卣氨粚徲媶挝桓叨戎匾?,審計期間不僅返還違規(guī)使用的16萬元基金,還對系統(tǒng)漏洞進行及時修改。
【關(guān)閉】 【打印】 |