第一篇：COBIT在工商银行信息系统审计工作中应用的探讨

COBIT在工商银行信息系统审计工作中应用的探讨

作者：时间：2006-06-06

Hits: 1193

COBIT在工商银行信息系统审计工作中应用的探讨

在商业银行数据大集中的形势下，银行信息系统面临着两种威胁：一是利用计算机舞弊，二是灾难性破坏。计算机舞弊现象不仅存在于系统开发阶段，更容易发生在维护阶段。总行数据中心一旦发生灾难性破坏，受到影响的将是全行范围的所有分支机构和所有业务，经济%信誉和法律的损失将无法估量。为此，工商银行的行领导非常重视，除了进一步加强信息科技部门自身的内部控制和采取必要的措施之外，还于2002年在内审部门成立了专职的IT 审计处，重点对IT风险进行检查和控制，在IT审计方面做了一些有益的探索，取得了一些经验。

商业银行在应用COBIT的具体过程中，要注意以下几点：

1．从审计目的看，IT审计不仅包含对信息系统安全运行的状况提出评价，规

避操作风险，更应该使组织中的IT战略符合企业的战略目标，规避由于信息技术发展给企业带来的战略风险。在这一方面，COBIT的审计范围几乎涵盖了所有与IT相关的活动。而其他几个国际标准则各有不同，BS7799 侧重于与信息系统安全相关的活动，COSO 则侧重于企业自身内部控制，ITIL则是着重IT系统的交付和支持。更为重要的是，COBIT就如何进行IT审计，给出了详尽的指导性建议。就其适用的对象而言，只有COBIT的适用用户包含审计师，是从审计人员的角度来全面阐述了如何对企业面临的IT战略风险和操作运行风险进行审计和规避。因此，应该按照COBIT要求的控制目标，尽早对银行相关的IT过程进行审计。2．在应用COBIT标准时，应以COBIT为主，还要参照其他国际标准。COBIT

作为一个IT治理的通用标准和信息系统审计的框架体系，与其他的国际IT标准并不冲突。审计师在以COBIT作为主要参照标准的同时，针对信息系统审计的不同方面，可以借鉴不同的国际标准。如在对商业银行数据中心安全方面进行审计时，可以参照BS7799中的相应内容，也可以参照SSE—CMM的标准来进行;在涉及信息系统的交付和支持时，则可以采用

ITIL 中的内容来对数据中心的相关活动进行评价和审计;在对数据中心内控机制的建设情况进行评价时，就可参照COSO中的相应条款来比照评估。

3．对COBIT标准的采用，应结合商业银行自身的实际情况有选择地实施。

COBIT作为一个国际标准，比较强调其通用性，而对企业的具体情况有所忽视。在具体运用过程中，可依据自身特点，结合信息系统生命周期各个阶段的不同特点，有选择分阶段地来实施COBIT中所要求的内容。

4．在运用COBIT实施IT审计时，可从COBIT有关过程中的控制目标入手，进行风险分析，得出与该过程相关的风险控制目标，再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点，结合商业银行自身的技术特色，找出其所包含的风险检查点，风险检查点又可以组成对相关部分的检查表。针对检查的结果，与COBIT相关部分中的要求相比照，找出相关的薄弱点，并就此提出相应的改进意见。风险控制目标和风险检查点之间的推导方式主要有两种，一种是自下而上，即从具体的管理过程或技术实施措施入手，从中得出相应的风险控制点，对相应的风险控制点进行提炼，最后得到风险控制目标;一种是自上而下，从风险控制目标出发，将其进行分解，得到相应的风险控制点并对其进行细分，直到能够直接得出检查点为止。最后将得到的风险控制目标与COBIT相关过程的控制目标相比较，以确保整个信息系统审计目标的完整性。

七、我国商业银行IT审计发展的几点思考

商业银行IT 审计应审时度势, 紧密联系经营的新形势、新特点, 遵循先进的国际审计标准, 突出技术特色和风险导向, 大力开展非现场IT 审计。

1.紧密围绕银行的经营需求, 推动银行的公司治理及IT 治理。目前金融市场的竞争进一步加剧, 需要进行全面的风险管理, 对内部控制和内部治理也应进行彻底性的变革。IT 审计在这场变革中, 要把握方向, 加快体系建设, 提高审计层次, 促进IT 治理, 推动公司治理。因此，一方面，商业银行要切实落实《金融机构计算机安全保护工作暂行规定》要求，合理安排基础设施和安全防范措施。要充分重视IT内部审计的作用，发挥审计对安全管理的内控作用，在引入IT 审计后，加快完善公司治理机制，并保证内审的独立性。成立信息系统

风险控制委员会，定期对信息系统风险管理情况进行研究，推进IT审计中的故障发现、评估和风险控制措施的落实，督促指导IT 审计组的工作。另一方面，监管部门应加强对金融企业的IT 审计的监管，将IT 安全作为监管的重要内容，将IT 审计作为评价其安全性的重要因素，通过现场及非现场检查对商业银行等金融企业进行督促。同时，国家审计在金融计算机审计方面发展迅速，电子数据的采集分析等方面已有相当高的水平，但在对针对金融企业信息技术本身的审计方面，还应予以加强。

2.建立商业银行IT 审计规划。恰当的IT 审计方案与规划是IT 审计工作的核心基础，是保证审计目标实现，以及达到相关审计效果的关键。商业银行在引入IT 审计后，应对全系统信息系统建设设计整体的专业审计规划，制定年度工作目标及三年、五年风险控制目标，并与信息化建设发展相适应，形成IT 审计标准方案和计划。商业银行IT 审计方案与计划应包括：商业银行的信息系统现状分析、商业银行的内部控制现状初步评价、IT 审计的性质与范围、审计工作的组织安排、审计风险评估、审计费用与成本、实施时间计划、IT 审计方法、审计协调与沟通机制等。IT 审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容，进行取证、测试与评价，最终形成IT 审计报告。

3.遵循国际通行准则, 建立国际标准框架下具有各行特色的标准和规范体系。从国际同业的实践看, 国际大型商业银行大多都在自己的IT 审计体系下, 遵循国际标准或规范, 按照国际通行的做法, 结合实际情况, 确立自己的IT 审计标准和规范。因而, 我国商业银行也可应把目前国际上公认的最先进、最权威的IT 审计标准———COBIT 作为核心标准, 同时借鉴《巴塞尔协议》、BS7799、COSO(Committee of Sponsoring Organizations of the Treadway Commision)、《萨班斯—奥克斯利法案》等其他国际标准和原则, 进而确立适合各行的IT 审计目标、对象、范围、方法、流程等, 具体指导IT 审计工作。同时，应进一步明确IT 审计的技术角色，突出IT 审计的技术特色，根据商业银行信息系统的技术架构和特点，结合审计资源条件，确立IT 审计对应的技术角色架构。可以考虑将IT 审计的技术角色划分为应用、系统、网络及硬件三个大类。不同的技术角色分别负责信息系统生命周期中不同阶段的不同技术领域的控

制、分析和评价，确立控制风险分布和控制重点，建立相应的风险评估指标，制定有效的控制检查表和检查点，提高商业银行IT 审计的专业化水平。

4.建立合理的IT 审计管理模式。现阶段，商业银行开展IT 审计应将现场审计与非现场审计有效结合，并利用好不同审计模式下取得的成果，形成互补。通过考察国际银行业界的IT 审计技术和手段，可以断定，借助先进技术实施非现场审计已是大势所趋。IT 审计可以通过采用灵活的、可配置的审计模型及数据分析探测工具，构筑起科学、有效的风险分析、监测、评价体系，进一步加强商业银行IT 审计的非现场审计，推动商业银行的审计信息化建设。但在审计开展过程中，要注意加强风险管理，规避IT 审计风险。在关注重要性的同时，要力求效益性，防止因审计不当导致银行新的风险发生。

5.加强注册信息系统审计师（Certified Information System Auditor，简称CISA）和IT 审计专业人才的培养。从当前商业银行审计人员素质来看，还不大适应IT 审计的要求。这主要归结于在IT 环境下商业银行内部审计人员工作发生的一系列重大变化，对内部审计人员素质要求进一步提高。首先，内部审计人员需要以内部控制专家的身份参与开发小组并监督计算机信息系统开发过程中的各项活动。其次，内部审计人员应及早参与到计算机系统的实施过程，提出宝贵意见和建议。因此，内部审计人员必须不断地注视信息技术的发展，掌握新方法与新技能，了解现代信息技术的用途及其对企业管理与信息处理的影响，使信息技术成为实施审计监督和加强控制的有力工具，并在现有的基础上掌握经营方面的重要知识和技能，以增强在经营领域的运作。目前虽然外包IT 内审的条件不成熟，但IT 业务外包是社会化分工的趋势，从长远来看，商业银行应增加IT技术尤其是通用技术的外包，将各系统行大批内部IT 开发人员适当转化为固定的IT 内部审计人员，从而进一步提高内审质量。

6.进行IT 审计人员的技术角色划分, 突出IT 审计的技术特色。根据各商业银行自己的信息系统技术体系及IT 审计资源, 划分不同的IT 审计技术角色, 突出IT审计的技术特色, 提升IT 审计层次。首先应分析掌握信息系统的技术和管理架构的特点, 然后结合现有的审计资源, 根据一般控制、应用控制和信息安全审计的要求,确立IT 审计对应的技术角色架构。可以初步将技术角色划分

为三个大类, 即应用类技术角色、系统类技术角色、信息和网络安全类技术角色。不同角色审计人员负责对信息系统中不同技术领域进行审计, 建立各自的控 制风险分布和重点的模型, 并制定相应的风险评估指标, 确定有效的风险控制检查表和检查点。形成以三大技术分类为主线, 全面覆盖全行信息系统各个部门和信息系统发展生命周期全过程的IT 审计的技术体系。

7.推行风险管理, 突出IT 审计的风险导向。现阶段, 在复杂的信息系统技术和管理环境下的IT 审计无疑是有一定审计风险的。因此, IT 审计更要重视风险管理, 规避审计风险, 在注重重要性的同时, 要讲究效益性, 这也是在今后相当长的时间里要充分重视的。

在目前商业银行的环境下, 信息系统的审计应该是以风险管理为基础, 按照重要性原则, 对信息系统进行的一般控制审计和应用控制审计,并且贯穿了信息系统生命周期的全过程。商业银行IT审计工作应该按照先进的国际标准的要求, 本着科学、独立、审慎的精神, 依据各商业银行的实际情况来进行,只有这样, 才能达到IT 审计真正目的。通过信息系统审计（IT 审计），及时识别风险，完善控制措施，是商业银行构建全面风险管理体系的现实需求.实施IT 审计有力于商业银行信息系统项目的风险控制。加强对商业银行业务运营风险的防范。促进商业银行业务流程再造BPR（Business Process Reengineering,）。总之，在银行系统开展信息系统审计工作，是银行控制风险的的重要手段，在新形势下，银行要健康发展，就要积极迎接挑战、应对不断出现的新风险，防患于未然，才能抓住网络经济时代给银行带来的新机遇, 迎来银行业的新发展。

第二篇：移动护理信息系统在临床护理工作中的应用及意义

移动护理信息系统在临床护理工作中的应用及意义

随着移动护理信息系统在临床护理工作中的应用，越来越被管理者所接受，它方便、快捷、小巧、便于携带、操作性和实用性强，保证了护理安全，规范了护理行为，增强了护理人员法制意识。虽然具有上述优点，但在我国医疗行业起步较晚，在发展、普及过程中还存在一些有待解决的问题，当前国内各种文摘总结最多的只是对它的应用，而没有明确提出通过移动护理信息系统对医疗体系做出的巨大变革是改变护理过程中简单的一对一的服务，通过移动护理信息系统的多端口输入，达到所有信息在整个护理过程中的共享，从而整合整个医疗护理资源，达到整体护理的目的。本文就移动护理信息系统国内外发展情况、主要功能、对护理工作的作用、目前存在的不足及发展远景进行了分析。

移动护理信息系统是护士工作站在患者床边的扩展和延伸，其解决方案以医院信息系统为支撑基础，以掌上电脑(PDA)为平台，以无线局域网为传输交换信息平台，充分利用HIS的数据资源，实现了HIS向病房的扩展和数据的及时交换，极大地推动了医院的信息化建设和数字化发展趋势[1]。近年来，随着无线通信技术在国内医疗机构逐步得到推广应用，移动护理信息系统在临床护理工作中也发挥出显著的作用。现介绍如下。国内外移动护理信息系统的应用

2002年，北京协和医院开始在呼吸科试用临床移动护理信息系统，2004年底开始全院推行;2005年，解放军总医院开始在几个病区试用临床移动护理信息系统;此外，北京同仁医院、天坛医院、无锡市中医医院、解放军第302医院等单位也相继在临床使用了移动护理信息系统。临床移动护理信息系统的成功实施，提高了医护人员的工作效率。

在国外，PDA应用开始得比较早，但造价高昂[3]。PDA体积小巧、携带方便、价格低廉、功能性强，满足了护士随时随地获取患者信息的需求，越来越受到人们的重视[4]。欧美国家将掌上电脑大量应用于HIS的医学大全和药典参考，也应用于临床患者的跟踪系统。美国的Bicomerica公司为医生配备的ReadyScript解决方案，是一个保健现场无线手持设备开具处方和解决药物治疗管理方案。医生利用无线手持PDA，可以经因特网或其他电子连接将处方以电子方式传送到患者选择的药房，此外ReadyScript还为医生提供了一系列可提高他们工作效率与能力的工具和资料，从而使他们能够为患者提供更好的治疗及更大的便利[5]。有关资料报道，PDA在台湾数家医院的应用效果显著，且有些医院在移动式医疗信息管理建设方面已超过欧美等国家，台湾的新光医院和长庚医院都实施了移动医疗整合系统[6]。2 移动护士工作站功能

2.1 确认患者身份、查询与统计患者信息 患者入院后，打印以住院号编码的条形码腕带，佩带于患者腕部作为身份标识。护士在床旁为患者进行治疗护理时，用PDA对患者手上的腕带扫描进行患者身份识别与确认。同时可确认患者给药单的条形码与患者腕带上的身标识条形码的信息均相关联。通过无线护士工作站可查看患者的基本信息，包括患者的住院号、床号、姓名、性别、年龄、入科时间、临床科室、诊断情况、主治医生、疾病状态、饮食情况、护理级别、体重、身高、手术时间、过敏史、费用等基本信息;利用在院患者的入院评估单与护理记录单，可随时获得患者的病情信息。

2.2 生命体征的实时采集 PDA 自动提示生命体征信息采集时间，护士随身携带PDA，将采集的护理数据即时在床头录入，保存后信息直接呈现于医生及护士工作站，HIS系统即时生成体温单、生命体征观察单、护理记录单等记录，同时将采集的时间和采集人等相关信息记录到数据库。当多次录入生命体征时，计算机可以自动筛选最靠近体温单记录点的各项生命体征数据绘制到体温单上，并自动识别与生命体征正常值差异最大的数据绘制至体温单上。与PC机上的HIS系统相比，PDA还能显示正在发热患者，以便医护人员及时发现患者病情变化，采取相应的措施。

2.3 出入量的录入、累加和查询 PDA 明确设置可录入的项目有体重、腹围、大便次数、尿量、呕吐物，各种出入量可随时录入。如果需要记录的项目在PDA里没有设置，可在“补充项目”中自行添加所需项目，并输入相应数据，添加的补充项目会在系统中自动保存，记录用户所输入的项目名称和单位，再次输入此项目时，只需要在“项目名称”中选择该项目即可。各种出入量录入后将自动累加，24

h累加结果自动记录在体温单上。

2.4 医嘱查询、执行与统计 无线护士工作站的设置使医嘱的分时处理成为可能，系统将医嘱按临床路径进行拆分，PDA 上只显示当前班次需要执行的医嘱，并提醒护士需要执行医嘱的时间，在当前班次尚未执行的医嘱可选择性地交到下一班，交班后的医嘱在当前班次将不再显示，从而使护理工作程序更为清晰、明了。医生下达医嘱后，信息自动转移到PDA上，PDA会提示有新医嘱，提醒提取，护士可以随时随地在PDA上提取和转抄医嘱。经校对后护士可即时进行读取、查询、查对与执行。执行医嘱时，执行者只需在指定位置点击，即可自动生成该条医嘱的实际执行人和真正的执行时间。另外，护士可利用PDA上的远红外线，扫描患者的腕带和输液袋上的条形码，然后简单点击PDA上的触屏，就可将医嘱执行时间和执行人等信息直接保存到数据库中。护士长可随时查看全天的医嘱执行情况、各种护理记录的完成情况、病区护理量统计及护士工作量的权重。

2.5 患者护理过程的记录及护理工作量的统计 责任护士随身携带PDA，特殊的时间治疗与护理可设置提示音，可在病房内随时以点击的方式将对患者测量到的结果、所执行的操作、观察到的病情、治疗和护理等情况以精确的时间记录于PDA 上，信息直接回传到HIS系统，呈现于医生及护士工作站。工作中的细节问题可以短信方式及时发送于医生PDA上，保持有效畅通的工作联系。床旁即时书写护理病历，包括记录单首页、一般护理记录单与危重护理记录单，PDA内设常用医学术语及护理记录单模板，录入过程简化，护士可点击选择或利用手写板功能稍加修改即可形成记录，工作效率增加。该系统还设有科主任查房移动记录功能，利用手写功能，查房时护士长可在床旁即时完成查房记录。移动护士工作站充分体现出护理记录的即时性与真实性。系统还可对护理工作项目进行统计，根据护士上班的时间、所执行各项操作签名的护理工作，统计出护士个人、病区或者全院某时间段内护理的危重人数、一级护理人数以及具体护理操作数量，通过科学加权使护理工作达到了量化，为科室建立二级考评制度提供了数据基础。

2.6 护理质量查房移动记录 移动护士工作站有护理质量检查记录模块，分为本病区质量检查与院质量检查记录，其中院质量查房包括护理部联查和夜值班护士长查房。护理管理者行质量检查时，持PDA在病区发现问题时，选择检查内容，点击不合格项，当场由责任人口令确认，信息记录于数据库，即时上传到护理部，并自动汇总个人、病区、全院合格率。护理部助理只有查看权，无修改权。用PDA 进行移动护理质量检查，保证了记录的即时、真实;由管理者与当事人共同签名确认，保证了检查结果的公正、透明。同时，责任到人，为年底病区、个人考评提供了依据。另外，自动汇总功能也使护理部助理减少了以往文件输入及人工汇总时间。

2.7 条码扫描检验标本 无论是传统的手工检验单模式还是标本容器条码化，都不能解决床旁标本采集容易出错的问题。引入PDA以后，抽血前护士在床旁先用PDA扫描患者腕带识别身份，提取检验医嘱，然后根据提示在试管架中选择所需试管，扫描试管条码后即可进行采血，省去了人工对照的麻烦，同时保证了试管与患者信息的一致性。

2.8 耗材的录入及费用显示 在护理过程中所使用的耗材，可随时点击耗材对话框，选择相应的耗材名称、规格，即完成录入，可有效避免遗漏。同时，自动显示患者住院费用，便于通知患者缴纳治疗费用和解释费用支出。现有的系统是在医嘱转抄阶段就对其分解的医嘱项目进行了收费，如果患者因某种原因终止医嘱流程后，护士需通过退药、退单等手段将已收的费用再退给患者，易出现差错，移动护士工作站实现了确认医嘱执行后再收费。

2.9 字典库与护理工具库 无线护士工作站中设立了护理计划中常用的护理诊断等字典库，包括目前北美护理诊断协会(north America nursing associa-tion，NANDA)正式通过的148个护理诊断和相关的护理措施等用词，将各种疾病与其主要的护理诊断与措施呈对应关系排列，避免了护理记录中繁冗重复。护理工具库内设置护士工作中常用的计算公式、各种评估表等，方便护士随时使用。

2.10 实时与信息传递 医护人员工作的流动性比较大，PDA提供VOAP方式的小区电话、短信功能，更适合移动工作的特点，当有紧急情况时，可与医生护士及时联系。移动护士工作站对护理工作的作用

3.1 优化工作流程，提高工作效率 因移动护士工作站与HIS资源共享，信息一经录入，多终端读取，简化护理记录程序，减少护士重复劳动，优化工作流程，使护士有更多时间护理患者，提高了患者的满意度。同时记录的准确性和及时性增强，提高了护理质量和工作效率。

3.2 建立标识系统，减少护理差错 目前护理工作中患者的查对有许多不确定性，如同姓名、换床、患者意识障碍等，加上护士查对工作量大，人为出错的几率较大。基于患者标识系统的条码或射频识别技术，护士在床旁为患者进行操作时，用PDA对患者进行确认，极大地提高了患者身份识别的准确性，为临床管理路径提供了辅助手段，确保了治疗过程中患者、时间、诊疗行为的准确性。快捷、方便、有效的医嘱查询，也能最大限度地防止医嘱漏执行。用PDA床旁扫描检验标本，保证了采样信息的实时性与正确性，彻底解决了标本采集在源头出错而造成医疗纠纷的问题。

3.3 解决签字问题，规范文书书写 长期以来医嘱执行的签字问题没有得到较好的解决，特别是长期医嘱，HIS系统中不能实现，而移动护士工作站中医嘱的拆分实现了所有医嘱执行后即可签名的功能。签名方法可直接点击，签名时间为服务器提取数据时的时间。移动护士工作站的使用实现了医嘱全程跟踪，满足了卫生部和中医药管理局《病历书写基本规范(试行)》长期医嘱执行后应签署执行时间和执行人姓名的要求。另外，使用PDA后，无需再打印各种分类执行单，随着电子病历归档，护理工作真正实现了“无纸化”办公。

3.4 加强质量控制，杜绝护理差错 移动护士工作站使护理质控深入到医疗护理过程的每个环节，实现了实时环节控制，使终末式管理变为环节控制。即时的信息存取，降低了错误率。护士长能够很方便地随时掌握全科的护理工作动态，加大了对工作过程的监控及管理，及时发现医疗护理过程中各环节的问题，可及时采取相应的措施，将事后管理变成事前管理，增加了护理管理的深度。

3.5 规范护理行为，增强法制观念 由于每条医嘱与实际执行人形成一对一的关系，记录医嘱的执行时间、用药途径，对病情观察的时间、观察数据即时进行录入，不但规范了护士的行为，同时为护理工作提供了可靠的数据资料，避免了在医嘱执行过程中责任区分不清。

3.6 提供法律证据，避免护患纠纷 基于HIS系统的安全机制，移动护士工作站准确、实时、完整地记录医嘱执行时间和执行人，并且永久保存医嘱记录，为医疗举证倒置提供了法律依据。

3.7 加强医护配合，提高患者满意度 PDA的医嘱提示音、短信功能等为繁忙的临床护理工作提供了科学有效的保障，减少了医护语言沟通中的信息传递失误，同时责任护士能及时有效地为患者提供各种治疗与护理信息，有利建立良好的护患关系，使患者满意度上升。

3.8 促进管理创新，树立护理品牌 移动护士工作站的应用，使护理管理更加严谨规范，由定量管理向定性管理转变、由经验管理向科学管理转变，以数据资料为依据，实行对个人、科室、全院护理工作绩效考评、合理调配人力资源，促进了医院护理管理科学化、正规化的进程。实施移动化的医院，降低了人力资源投入和耗材成本的同时，提高了工作效率，提高了医院的管理水平，树立了“精美护理品牌”意识，增加了医院的竞争力。移动护理信息系统存在不足

(1)由于存储容量大，每次切换模块时速度较慢，有待进一步研发。(2)由于我国医疗信息化程度低，无线网络仍然存在一定的安全隐忧，如何保护移动用户的合法信息(账户、密码等)，使患者的隐私不受侵犯，是一项迫切需要解决的问题。(3)移动医疗的需求还未完全成熟、医疗行业的复杂性、供方技术不成熟、产业链没完全做好准备等都在一定程度上影响其规模和全面发展[7]。(4)医疗信息化的成本不菲，而中国的医疗信息化投入较低，医院的信息化主要靠自力更生，边积累边发展。由于患者涌向大型医院，很多小医院门可罗雀，收入都是问题，信息化投入自然更要打个问号了。其次是来自医院的障碍，包括管理、观念因素等。(5)特殊的领域，存在着二次开发的现实需求。不同医院、不同用户势必需要适应各自工作环境和工作任务的移动办公、治疗或护理的要求。(6)但繁忙的护理操作中，会发生PDA跌落和碰撞的事情，对无线终端设备造成损坏。(7)国内大多数中小医院还没有建立HIS系统，导致HIS市场分化。

综上所述，如何实现移动护理信息系统，在现阶段并不是购买硬件就能达到，只能在现有基础上进行有效整合，在硬件和软件功能逐步提升中进行改进。

病人床边移动护理系统

医学教育网

将一个腕带套在病人手腕上，护士手持一个手掌大小的掌上电脑，在病人床旁，对病人腕带上的条形码扫描后，掌上电脑里即出现了病人的所有医嘱等信息。护士将医嘱执行情况和病人的体征等情况，逐项记录在电脑中。这个由北京协和医院信息中心和北京远卓科技有限公司共同合作研发的，能跟踪医嘱全过程的国内首个“病人床边移动护理系统”，经过两年多的研制，近日在协和医院正式投入使用。这一系统的运行，填补了我国医疗信息技术在临床护理工作领域应用的空白，为临床护理和管理工作，提供了新式“武器” 医学 教育网搜集整理。

近年来，信息技术已广泛应用到了医院临床，主要是医生工作站和护士工作站。这些系统的应用，虽然使医院病房医护工作实现了计算机操作，提高了工作效率，但仍有因无法跟踪医嘱全过程等而产生的许多问题。如原有的HIS系统只跟踪到医嘱转抄，即把医嘱分解成为可操作的执行项目，按照这些项目，系统执行收费，不再全程跟踪医嘱的实际执行。这就使得一些重要的医疗信息在实际执行中无法电子化，因而在医疗质量监控和病人费用跟踪等方面会产生一些无法解决的问题。而“病人床边移动护理系统”实现了对医嘱实际执行的全过程跟踪，具有原有的HIS系统无法替代的优势：

首先，它能够完整地闭合医嘱的生命周期，使护理质量监控和护理工作量的量化成为可能，对提高医院整体的护理水平起到很大的促进作用。

医学教育网

其次，移动护理系统通过对条码技术的使用，能够用电子化的手段来帮助医护人员尽可能地减少医嘱执行过程中可能产生的医疗差错，确保对病人能够在正确的时间得到正确的治疗。

再者，它能完整准确的确认病人已使用的材料和产生的治疗费用。既能节省时间又可最大限度地保证数据的准确性。

医学 教育网搜集整理

该系统投入使用后还会带来很多其他的便利。例如，通过移动设备PDA对病人体征信息进行记录后，今后的体征记录将能够实现脱纸的电子化记录，体征单也可以被打印出来供医生参考，这样就减少了护士手动记录体征数据和描点画图的烦琐过程，护士可以得到更多的时间和精力去关注病人。在此系统基础上，实现对护士工作量和护理人力资源的科学化计算机管理也将能够变为现实。

“病人床边移动护理系统”的硬件采用的是掌上电脑PDA和病房护士工作站计算机相结合的硬件架构。经过培训，该系统近日将在内科、外科的8个病房中开始使用，每10张床配一台掌上电脑。

移动护理信息系统存在问题：

一、因医疗行业的复杂性，因观念因素护理人员还没有对过去的模式中脱离出来，造成接受难度

第三篇：信息系统审计

1、信息系统审计的概念，内容，流程？

答：（1）概念信息系统审计是指根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程，以确定预定的业务目标得以实现，斌提出一系列改进建议的管理活动。

（2）内容：主要包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等。a.内部控制系统审计。信息系统的内部控制系统由两个子系统构成：一是一般控制系统，它是系统运行环境方面的控制，为应用程序的正常运行提供外围保障。另一子系统是应用控制系统，它是针对具体的应用系统和程序而设置的各种控制措施。

b.系统开发审计。是指对信息系统开发过程所进行的审计，这是一种事前审计。

c.应用程序审计。其决定了数据处理的合规性、正确性。对应用程序的审计，可以对程序直接进行审查，也可以通过数据在程序上的运行进行间接测试。

d.数据文件审计。在信息系统中，各种凭证、账簿及报表中的数据均以数据文件的形式存储在硬盘或软盘等存储介质中，对数据文件进行审计，可以将该文件打印出来进行检查，也可以在计算机内直接进行审查。

（3）流程：主要的分为准备阶段、实施阶段、终结阶段。

a.准备阶段：

1、明确审计任务。

2、组成信息系统审计小组。

3、了解被审计系统的基本情况。

4、制定信息系统审计方案；

b.实施方案：

1、对被审计系统的内部控制制度进行健全性调查和符合性测试。

2、对帐表单证或数据文件的实质性审查；

c.终结阶段：

1、整理归纳审计资料。

2、撰写审计报告。

3、发出审计结论和决定。

4、审计资料的归档和管理。

2、常见的IT治理标准有哪些，各自的作用是什么？

答：常见的IT治理标准有ITIL，COBIT，BS 7799，PRINCE2。

（1）ITIL（Information Technology Infrastructure Library），即信息技术基础构架库，一套被广泛承认的用于有效IT服务管理的时间准则。1980年以来，英国政府商务办公室为解决“IT服务质量不佳”的问题，逐步提出和完善了一整套对IT服务的质量进行评估的方法体系。

（2）COBIT，（Control Objectives for Information and related Technology）：信息和相关技术的控制目标。它是由信息系统审计与控制协会，于1996年推出的用于IT审计的知识体系。作为IT治理的核心模型，其包括34个信息技术过程控制，并归集为IT规划和组织、系统获得和实施、交付与支持以及信息系统运行性能监控4个领域。目前COBIT是国际上公认的IT管理与控制标准。

（3）BS 7799（ISO/IEC17799）：国际信息安全管理标准体系。该标准包括信息系统安全管理和安全认证两大部分，是参照英国国家标准BS 7799而来的。它是一个详细的安全标准，包括安全内容的所有准则，由10个独立的部分组成，每一节都覆盖了不同的主题和区域。该体系主要解决企业的信息安全管理上的问题，为企业提供了一个完整的管理框架，不断改进信息安全管理水平，使机构或企业的信息安全以最小代价达到需要的水准。

（4）PRINCE2（Proj