Administratie Organisatie en Interne Beheersing ... - Scripties UMCG

More documents

Recommendations

Info

Bijlage 17 Auditverslag Aan: drs. H.A. Snapper RA RC, directeur Financiën & Control Cc.: mevrouw A. Weewer, hoofd Functioneel & Gegevensbeheer drs. R.G. van Panhuis RA, hoofd Administraties drs. H.B. Noordhoff, hoofd ICT-beheer drs. G. Knol, manager bedrijfsvoering Thoraxcentrum mevrouw J. Huisman, 1 e medewerker A&I sector A R. Faber, sectiehoofd Medische Microbiologie Van: F.E. Juk RA, hoofd team Audit Behandelaar: W. Draatjer, medewerker team Audit Datum: 9 april 2009 Onderwerp: IT-auditing TOREN Inleiding Binnen het UMCG is gestart met de inrichting van de IT-auditfunctie. Om hieraan invulling te geven is het IT-auditplan 2007-2009 opgesteld. Een onderdeel hiervan is een IT-auditing op het ZIS-systeemdeel TOREN. In dit verslag zijn onze bevindingen opgenomen. Het verslag kent de volgende indeling: 1. Reikwijdte 2. Doelstellingen 3. Uitvoering onderzoek 4. Normenkader 5. Bevindingen 6. Samenvatting bevindingen, risico‟s en aanbevelingen 7. Overall-aanbeveling 1. Reikwijdte Deze audit heeft zich specifiek gericht op de beoordeling van de opzet van de AO/IC 1 rondom het systeemdeel TOREN. Beoordeeld zijn de maatregelen die in opzet de betrouwbaarheid 2 van de invoer/aanlevering, verwerking en uitvoer van gegevens en de IT-general controls 3 “autorisaties” en “changemanagement” moeten waarborgen. Schematisch ziet het proces er als volgt uit. Invoer primaire bron 1 Onder de opzet van de AO/IC wordt verstaan de organisatie-opzet, zoals vastgelegd in procedurebeschrijvingen en handboeken. 2 Met betrouwbaarheid wordt bedoeld de juistheid, volledigheid en tijdigheid van de vastleggingen en verwerkingen. 3 IT-general controls zijn maatregelen die worden getroffen tbv de beheersing van de geautomatiseerde informatieverzorging in dit geval rondom TOREN. Autorisatiestructuur TOREN- Verwerking Changemanagement TOREN –Uitvoer 116
Dit onderzoek heeft zich beperkt tot de opzet van de AO/IC. Het bestaan 1 en de werking 2 hiervan is vooralsnog buiten beschouwing gelaten. Dit is besloten omdat het proces rondom TOREN omvangrijk en complex is. Via dit onderzoek zijn in eerste instantie de getroffen maatregelen in kaart gebracht. Op het moment dat dit duidelijk is kan het bestaan en de werking hieraan worden getoetst. Desalniettemin treft u soms een opmerking aan die wel ingaat op het bestaan van de AO/IC. Dit komt omdat de scheidslijn tussen het beoordelen van de opzet en de controle op het bestaan (bijv. waarneming ter plaatse) niet altijd helder is. Wij hebben ervoor gekozen om deze bevindingen wel te vermelden omdat het relevante informatie betreft voor een zo helder mogelijk beeld over de werkelijke situatie. 2. Doelstellingen De doelstellingen van dit onderzoek zijn: o Vaststellen in hoeverre de opzet van de AO/IC rondom TOREN ten aanzien van de invoer/aanlevering, verwerking en uitvoer van gegevens zodanig is geregeld dat de betrouwbaarheid hiervan is gewaarborgd. o Vaststellen of de opzet van het toekennen van TOREN autorisaties voldoet aan de daaraan te stellen minimale informatiebeveiliging eisen conform UMCG-beleid. o Beoordelen opzet changemanagement. 3. Uitvoering onderzoek Voor de toetsing van de bovenvermelde doelstellingen is door ons een normenkader opgesteld. Dit zijn de minimale eisen waaraan voldaan moet worden om: o de betrouwbaarheid van de gegevensverwerking te kunnen waarborgen en; o een oordeel te kunnen geven over de getroffen IT-general controls tbv de beheersing van de geautomatiseerde informatieverzorging rondom TOREN. Voor het verkrijgen van relevante informatie zijn er gesprekken gevoerd met de volgende medewerkers: o Technisch beheerder TOREN o stafmedewerker afdeling Functioneel- en gegevensbeheer o medewerker afdeling Functioneel- en gegevensbeheer (autorisatiestructuur) o medewerker afdeling Functioneel- en gegevensbeheer (Bestandsbeheer) o medewerker afdeling Functioneel- en gegevensbeheer (DBC-validatiemodule) o 1 e medewerker Facturatie o changemanager ICT-beheer o Technisch systeembeheerder Thoraxcentrum o coördinator zorgadministratie polikliniek Thoraxcentrum o sectiehoofd Medische Microbiologie, klinische virologie o 1 e medewerker expertisegroep A&I sector a Voor het beoordelen van de opzet van de AO/IC ten aanzien van de invoer, verwerking en uitvoer van gegevens zijn een drietal aanleverende systeemdelen geselecteerd. Hiervoor is lijstnummer 1061”Telling door TOREN verwerkte gegevens” van 10-9-2008 gebruikt. Het betreft de volgende systeemdelen. Systeemdeel* Naam Selectie reden 074 Thoraxcentrum relatief veel tobbers 199 ISMED/Virol relatief veel zachte fouten en tobbers 238 DBC willekeurig * Toelichting 1 Het bestaan van de AO/IC wordt vastgesteld door proceduretests, waaronder lijncontroles en waarnemingen ter plaatse. 2 De werking, ofwel adequaat functioneren, van de reeds op opzet en bestaan beoordeelde AO/IC wordt vastgesteld door systeemgerichte detailcontroles, waarnemingen ter plaatse ,cijferanalyses en/of gegevensgerichte detailcontroles. 117
Page 2 and 3:
Marjolein Benes Marjolijn van Wette
Page 4 and 5:
Voorwoord Wij zijn Marjolein Benes
Page 6 and 7:
Deel D TOREN 49 9 Beschrijving TORE
Page 8 and 9:
1 Universitair Medisch Centrum Gron
Page 10 and 11:
Artsen vragen labbepalingen aan voo
Page 12 and 13:
3) Welke eventuele verbeteringen en
Page 14 and 15:
Om de betrouwbaarheid van onze info
Page 16 and 17:
3 Beschrijving Medische Microbiolog
Page 18 and 19:
Een medewerker van Bacteriologie vo
Page 20 and 21:
Functioneel beheer BACZIS Manager b
Page 22 and 23:
. Foute interpretatie van geschreve
Page 24 and 25:
Laboratoriumgeneeskunde 24
Page 26 and 27:
Na deze controle pakt de analist ee
Page 28 and 29:
niet en willen graag een oplossing
Page 30 and 31:
Naast bovengenoemde verantwoordelij
Page 32 and 33:
Om het risico te reduceren is ons a
Page 34 and 35:
7 Beschrijving Pathologie Pathologi
Page 36 and 37:
aangeleverde materiaal en het aanvr
Page 38 and 39:
Het eindproduct is uiteindelijk een
Page 40 and 41:
gestart door een onafhankelijk pers
Page 42 and 43:
Tevens houd de kwaliteitsfunctionar
Page 44 and 45:
Ook worden onderzoeken gesplitst om
Page 46 and 47:
. Foutcodesysteem Op de afdeling Pa
Page 48 and 49:
g. Verlenen van bevoegdheden en rec
Page 50 and 51:
9 Beschrijving TOREN TOREN is een o
Page 52 and 53:
aanvragende specialisme “ophalen
Page 54 and 55:
Nu we op de hoogte zijn van de vers
Page 56 and 57:
kunnen aangeleverde gegevens vanuit
Page 58 and 59:
Afgekeurde verrichting Tobberlijst
Page 60 and 61:
vermeld hoe het algoritme van de be
Page 62 and 63:
Prijswijzigingen Prijswijzigingen w
Page 64 and 65:
De afdeling Facturatie controleert
Page 66 and 67: esearchafdeling; verpleegeenheid.
Page 68 and 69: Tevens zijn er werkbeschrijvingen v
Page 70 and 71: zetten van de PDW nog niet geheel r
Page 72 and 73: vastgelegd in een bestand of op pap
Page 74 and 75: Functioneel gegevensbeheer Function
Page 76 and 77: De juistheid van de opbrengsten kom
Page 78 and 79: 11 Slot Binnen het UMCG staat de pa
Page 80 and 81: waarborgen. Deze toegangsbeveiligin
Page 82 and 83: Voordat de UMCG-tarieven in product
Page 84 and 85: verrichtingen in TOREN terecht kome
Page 86 and 87: Publicaties E.O.J. Jans (2007). Gro
Page 88 and 89: IJLAGEN 88
Page 90 and 91: Interpretatietabel Juistheid Lijnco
Page 92 and 93: Bijlage 3 Symbolenlijst stroomschem
Page 95: Bijlage 5 Processchema Laboratorium
Page 100 and 101: Bijlage 7 Werkformulier Medische Mi
Page 102 and 103: Bijlage 8 Werkformulier Laboratoriu
Page 104 and 105: Bijlage 10 TOREN-indicatielijst In
Page 106 and 107: In TOLASP moet men ook een externe
Page 108 and 109: Bijlage 11 TOREN-10 Tobberlijst Tob
Page 110 and 111: Bijlage 13 TOREN-12 zachte foutenli
Page 112 and 113: Bijlage 15 Algoritme voor de bepali
Page 114 and 115: 8 Mag bij de tariefgroep van de dec
Page 118 and 119: Via de Zis-systeemdelen 1 t/m 100 w
Page 120 and 121: 5.1.2. Bestandsbeheer (tarieven en
Page 122 and 123: 5.1.4. Verwerkingsproces De handmat
Page 124 and 125: 5.2. Autorisaties De opzet van de A
Page 126 and 127: 6. Samenvatting bevindingen, risico
Page 128 and 129: vervolg c Functielab. Thoraxcentrum
Page 130 and 131: Norm Omschrijving Bevindingen Risic
Page 132 and 133: etrokkenen. Daarnaast ontvangt de c
Page 134 and 135: Bijlage 18 TOREN voor dummies Unive
Page 136 and 137: Voorwoord Wij zijn Marjolein Benes
Page 138 and 139: Inleiding U werkt of u gaat werken
Page 140 and 141: Producerende afdeling Een producere
Page 142 and 143: Beheer Thesaurus 5 Voor het beheer
Page 144 and 145: De te factureren posten worden gese
Page 146 and 147: Een harde of een zachte fout bestaa
Page 148 and 149: 4 Verwerking Als de gegevens door d
Page 150 and 151: 6 Output, facturatie en omzet Als a
Page 152 and 153: 7 Verantwoordelijkheden Verantwoord
Page 154 and 155: 9 Volgen van de informatiestromen e
Page 156 and 157: Bronvermelding 1 Syllabus DBC valid
Page 158 and 159: Bijlage 2 TOREN-11 harde foutenlijs
Page 160: Bijlage 4 TOREN-10 tobberlijst Tobb
show all

Administratie Organisatie en Interne Beheersing ... - Scripties UMCG

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?