最近，湖北省审计厅在对社保五项基金审计中尝试对医疗保险基金管理信息系统进行审计，发现该系统在慢性病门诊待遇支付模块中存在设计漏洞，以此查出某单位利用系统漏洞违规使用医保基金的重大案件线索。

    对信息系统进行审计在湖北尚属首次，审计人员在审计中从分析数据与数据库安全控制点着手，核查各个控制点内部处理机制的正确性、外部管理机制的安全性以及钩稽核对功能的完整性，找出可能存在的安全隐患和功能缺陷，进而从系统设计层次查找出问题根源。审计人员通过对系统分析发现，医疗保险基金管理系统的慢性病门诊待遇支付模块共设置慢性病人员名单审核和慢性病待遇支付标准审核两个控制点，尽管两个控制点的内部处理机制未见异常，但系统使用者却同时具有两个控制点的管理权限，数据管理存在安全隐患。

    审计人员随即通过构建测试数据实体和测试流程，对两个控制点之间的钩稽核对功能展开集成测试，结果显示：两个控制点之间缺失应有的钩稽核对功能。进一步仔细查看系统设计文档和会议记录等资料，与技术人员沟通后证实，慢性病待遇支付模块的钩稽核对功能缺失是系统设计的缺陷。该缺陷不仅造成慢性病人员名单审核这一控制点形同虚设，而且给系统使用者留下作弊空间。

    根据系统设计缺陷这一线索，审计人员顺藤摸瓜，查出某单位未经有关专家鉴定违规为其职工办理慢性病门诊待遇近16万元。审计后，当地政府及被审计单位高度重视，审计期间不仅返还违规使用的16万元基金，还对系统漏洞进行及时修改。

【关闭】    【打印】