0571-22931819
张家口市社会保险事业管理局
关于转发《河北省人力资源和社会保障厅印发河北省医疗生育保险经办业务风险内部控制暂行办法》的通知
各县区社会保险经办机构:
现将《河北省医疗生育保险经办业务风险内部控制暂行办法》转发给你们,请认真遵照执行。
张家口市社会保险事业管理局
2014年3月19日
河北省医疗生育保险经办业务风险
内部控制暂行办法
第一章 总 则
第一条 为强化全省各级医疗、生育保险经办机构(以下简称“经办机构”)业务运行内部管理与监督,防范和化解经办管理风险,增强自我约束能力,调整和规范医疗、生育保险管理服务工作,确保医疗、生育保险基金运行安全,根据《社会保险法》、《社会保险经办机构内部控制暂行办法》、《社会保险经办机构内部控制检查评估办法》和《河北省人民政府办公厅关于进一步加强社会保险基金监督管理工作的意见》(办字[2012]119号),结合我省医疗、生育保险经办管理工作实际,特制定本办法。
第二条 本办法所称经办业务风险内部控制是指为了保证医疗、生育保险经办业务全过程实现有效内部监控,而对经办机构各项业务、各环节、各岗位实施的全过程监督、检查、制约和控制。经办业务风险内控工作要坚持立足实际、重点推进、逐步健全和持续改进的原则,逐步涵盖经办机构业务经办各个环节。目的是保证经办业务活动的规范有序,提高医疗、生育保险政策法规的执行力,确保医疗、生育保险基金的安全完整,维护参保者的合法权益。
第三条 各级经办机构应严格按照编制设置部门(科室),严格按照业务需要设置岗位,配备负责人和工作人员。要保证各业务部门、岗位的合理设置及其职责权限的合理划分,坚持不相容职务和不相容岗位相互分离,确保不同部门和不同岗位之间权责分明、相互制约、相互监督、运转高效。
第四条 本办法适用于河北省各级医疗、生育保险经办机构各项经办业务活动。
第二章 经办业务风险控制
第一节 参保信息管理
第五条 参保登记业务风险控制
风险点一:新参保单位审核
1、控制标准:(1)严格执行单位参保登记管理规定;(2)准确核定申请参保单位的单位资格;(3)严格审核申请参保单位申报材料及申报数据信息的真实性、准确性、完整性。
2、控制措施:(1)对申请参保单位的单位性质、参保范围、单位职工的信息作为审核重点,建立逐级审核制度,对其材料的真实有效性进行审核;(2)初审人员对申请单位提供的材料经审核符合规定的,按照审核标准对其信息进行核对确认,提出初审意见;(3)复审人员按照审核标准复审无误后,按照授权权限将审核确认的信息录入到计算机信息系统;(4)对相关材料进行整理、归档。
3、风险等级:中。
风险点二:新参保人员审核
1、控制标准:(1)严格执行新参保人员登记管理规定;(2)准确核定申请参保人员的相关材料及参保资格;(3)严格审核申请参保人员相关材料及申报数据信息的真实性、准确性、完整性。
2、控制措施:(1)将申请参保人员的相关材料作为审核重点,对于涉及补缴基本医疗保险费的,严格执行相关政策,建立复审制度;(2)初审人员对申请参保人员的相关材料进行审核,按照审核标准对其相关信息及应补缴医疗保险费的时间进行核对确认,提出初审意见;(3)复审人员按照审核标准复审无误后,按照授权权限将审核确认的信息录入到计算机信息系统;(4)对相关材料进行整理、归档。
3、风险等级:中。
风险点三:异地就医人员登记
1、控制标准:(1)严格掌握异地就医管理规定;(2)准确核定参保人员异地就医资格;(3)严格审核异地就医申报材料的真实性。
2、控制措施:(1)依照异地就医登记审核程序,建立复审制度,对异地就医人员选定的居住地定点医疗机构的相关信息、医疗保险经办机构盖章情况及相关材料进行审核;(2)初审人员按照审核标准提出初审意见;(3)复审人员按照审核标准复审无误后,按照授权权限将审核确认的信息录入到计算机信息系统,同时冻结其在参保地与定点医疗机构和药店直接结算医药费的资格;(4)对相关材料进行整理、归档。
3、风险等级:中。
第六条 参保人员个人权益记录变更风险控制
风险点四:在职转退休人员个人权益记录变更审核
1、控制标准:(1)严格执行在职转退休人员个人权益记录变更管理的相关规定;(2)审核退休人员的退休身份,准确核定退休人员退休审批表显示的年龄、参加工作时间和在职转退休人员信息时缴费必需达到规定的年限;(3)严格审核申报材料的真实性。
2、控制措施:(1)建立复审制度,初审人员应把退休人员审批表上显示的身份、年龄和参加工作时间作为审核重点,确定人员身份,核准医保缴费年限;对缴费年限不足的,核定需补缴差额年限;(2)复审人员按照审核标准复审无误后,按照授权权限将审核确认信息录入到计算机信息系统;(3)将补缴年限告知申请单位;(4)单位补缴到账后办结转退休人员信息业务,对相关材料进行整理、归档。
3、风险等级:中。
风险点五:参保人员办理终止医疗、生育保险关系和医疗待遇手续审核
1、控制标准:(1)严格执行参保人员办理终止医疗、生育保险关系和医疗待遇的相关规定;(2)参保人员流动到本统筹地外或死亡终止其医疗、生育保险关系和医疗待遇手续真实有效。
2、控制措施:(1)初审人员将终止医疗、生育保险关系和医疗待遇人员的终止原因、转移基本医疗保险关系作为审核重点;(2)参保人员死亡的,要审核死亡时间,对其死亡后,未及时申请终止医疗、生育保险关系和医疗待遇的,建立复审制度;(3)对退休人员死亡后划入个人账户的金额,按政策规定处理后,再为其办理终止手续;对流动到本统筹地外终止医疗、生育保险关系和医疗待遇的,审核调出时间及了解其医保关系转移情况,涉及医保关系转移的,按转移程序办理;(4)通过读取社保(医保)卡确定费用结算情况,对医疗费数据未上传的,由信息部门上传数据后,方可办理终止医疗、生育保险关系和医疗待遇手续;(5)复审人员按照审核标准进行复审,确保信息准确;(6)按照授权权限将审核确认信息录入到计算机信息系统后,通知相关部门对个人账户转出或返还金额进行审核、转款、返款;(7)对相关材料进行整理、归档。
3、风险等级:中
第七条 基本医疗保险关系接续风险控制
风险点六:基本医疗保险关系接续
1、控制标准:(1)严格执行参保人员基本医疗保险关系接续登记管理规定;(2)严格审核申报材料及申报数据的真实性。
2、控制措施:(1)将申请接续基本医疗保险关系人员在原参保地缴费年限及个人账户结转情况作为审核重点,建立复审制度;(2)初审人员对《参保凭证》显示的姓名、身份证号、原参保缴费起止时间等信息认真核对,对其信息不能确认的,积极主动与其原参保地医疗保险经办机构做好业务沟通工作,并对提供的其他材料和数据信息进行核对确认,提出初审意见;(3)复审人员按照审核标准,对转入材料进行复审,发现异常情况及时查清原因,确保信息准确;(4)涉及接收个人账户金额的按规定办理转入手续;(5)按照授权权限将审核确认的信息录入到计算机信息系统;(6)对相关材料进行整理、归档。
3、风险等级:中。
第二节 基金财务管理
第八条 参保缴费风险控制
风险点七:参保缴费基数审核、稽核。
1、控制标准:(1)严格执行缴费基数审核、稽核规定;(2)准确核定缴费基数;(3)认真审核参保单位资料和数据。
2、控制措施:(1)查阅和复制单位或部门的有关文件、财务报表、资产、账簿、会计票据、凭证等资料;对单位性质、工资总额、工资薪酬(退休费)、养老保险基数和养老金发放水平等进行重点审核;(2)初审人员按照审核标准提出初审意见,确认缴费基数(或养老金),并与单位提供的数据信息进行核对,确保数据信息准确性;(3)复审人员按照审核标准进行复审。
3、风险等级:中
风险点八:基金征缴及到账分配
1、控制标准:(1)根据医疗保险费征缴规定,核对参保单位征缴信息,制作征缴通知单;(2)核对参保单位缴费凭证与征缴金额,向参保单位开具基金缴费专用收据;(3)核对银行缴费进账凭证和征缴金额,准确无误后进行划拨分配;(4)严格执行复审制度;(5)对基金征缴到账汇总表、缴费进账单和基金征缴专用收据进行核对,无误后送至会计进行记账;(6)不发生现金缴费;(7)无库存现金。
2、控制措施:(1)根据征缴通知单、缴费专用收据和银行进账凭证进行核对; (2)根据缴款金额开具缴费专用收据;(3)按业务授权,分别由专人进行基金征缴、基金到账录入分配;(4)对基金缴费进账单与系统缴费登记的金额进行复审,保证数据准确无误后进行个人账户划拨;(5)准确核对基金征缴到账汇总表、缴费进账单和基金征缴专用收据,无误后送至会计记账;(6)经办机构在受理缴纳医疗生育保险费业务时,应采用委托银行代收等方式。
3、风险等级:中
第九条 定点机构结算风险控制
风险点九:定点机构结算
1、控制标准:(1)根据定点机构协议和结算办法规定进行结算;(2)准确核定定点机构上传信息系统费用数据;(3)根据监督检查结果,对不合理、违规等费用进行扣除。
2、控制措施:(1)对定点机构的等级、住院人次、次均费用、结算方式等进行重点审核;(2)业务经办人员根据信息系统上传数据和监督检查扣除金额进行结算,并与定点机构提供的数据信息进行核定,确保数据信息准确性;(3)业务复审人员按照结算办法和监督检查结果进行复审。
3、风险等级:中
风险点十:定点机构费用拨付
1、控制标准:(1)严格执行医疗保险付费方式,结算办法规定;(2)根据上传费用与定点机构对账后进行结算;(3)根据与定点机构结算后数据金额上报财政,申请专户基金;(4)执行复核制度;(5)按审批权限经逐级审批后,及时向定点机构拨付费用;(6)不发生现金支付方式。
2、控制措施:(1)及时向财政申请基金;(2)按审批权限审批后,根据业务授权,由专人进行定点机构费用的预拨付;(3)审核人员审核无误后,加盖财务章,进行费用拨付;(4)费用拨付后及时将拨款凭证与费用汇总表送至会计,进行记账;(5)采取银行转账等非现金支付方式。
3、风险等级:高
第十条医疗费用报销财务复核风险控制
风险点十一:医疗费用报销财务复核。
1、控制标准:(1)经医审后,政策目录内医疗费用票据报财务结算部门;(2)财务部门对政策目录内费用进行审核;(3)不发生现金支付方式。
2、控制措施:(1)财务初审人员对原始正规票据(财政税务监制)、政策目录内费用进行重点审核;(2)复审人员按照现金报销规定进行复审;(3)经办机构在支付各项社会保险待遇时,要采取银行存折、银行卡或社会保障卡等形式,不得直接支付现金。
3、风险等级:中
第十一条 财务岗位设置及票据、印章管理制度
风险点十二:会计、出纳分岗负责制度
1、控制标准:(1)严格执行岗位分设规定;(2)明确各岗位职责范围;(3)财务人员调离,严格履行交接手续。
2、控制措施:(1)分设会计、出纳岗位;(2)财务岗位不得与业务岗位相互兼任;(3)出纳不得兼任稽核、会计档案保管工作。
3、风险等级:中
风险点十三:财务票据与印章分别管理制度。
1、控制标准:(1)严格财务票据和印章管理分别管理规定;(2)严格执行银行存款和现金管理规定;(3)严格履行登记和审批手续。
2、控制措施:(1)财务专用章与法人代表印鉴必须分开保管;(2)不发生现金业务,所有业务必须通过银行进行,银行票据交付和回单建立登记制度;(3)征缴票据的领取以及核销建立台账,严格履行登记和审批手续。
3、风险等级:中
第十二条 基金核算及预决算风险控制
风险点十四:基金核算
1、控制标准:(1)经办机构必须设立基金财务管理部门,财务管理部门严格执行《社会保险基金财务制度》和《社会保险基金会计制度》,规范使用会计科目,采取正确会计方法,依据合法有效的原始凭证进行账务处理,严格划分不兼容岗位。(2)社会保险经办机构应按规定在国有银行开设基金收入户、支出户和财政专户。
2、控制措施:(1)不兼容岗位人员相互分离;(2)货币、有价证券的保管与账务处理相互分离;(3)重要空白凭证的保管与使用相互分离;(4)基金收入、支付审批与具体经办业务相互分离;基金发放或待遇支付与审核批准相互分离;(5)业务信息处理与会计数据处理相互分离;(6)基金收支按规定实行“收支两条线”和财政专户管理,(7)按险种分别建账,单独核算。各险种之间、统筹基金与个人账户之间不得相互挤占;(8)与基金开户银行签订服务协议,明确基金收入户、支出户的用途和资金流向;(9)大额支付的授权管理,对支出户设定支出大额标准,超出大额标准的支出,银行要与经办机构进行核对后方可转出;(10)收入户存款每月全部划入财政专户,月末应当无余额,收入户除向财政专户划转基金外,无特殊情况(参保单位由于工作失误造成收入户收入额与实际缴费额不一致)不得发生其他支付业务,如有特殊情况须经单位主管财务领导签字批准后方可支出。(11)按照相关规定制定财务部门与银行定期对账制度,设置专人按月根据银行对账单与银行存款的账面余额进行核对,按时编制银行存款余额调节表。月份终了,将存款账目余额与银行对账单余额核对准确后,有经办人员、会计、部门负责人签字确认后存档。指定专人定期从国库、财政等部门取回基金收支原始凭证或复印件、银行对账单,按月与本单位相关明细账核对一致。
3、风险等级:中
风险点十五:基金预决算
1、控制标准:(1)根据《社会保险法》和《社会保险基金财务制度》的规定,建立健全基金预决算管理制度。(2)社会保险基金按照统筹层次设立预算、决算。(3)社会保险基金预算、决算按照社会保险项目分别编制。(4)社会保险基金预算、决算草案的编制、审核和批准,依照法律和国务院规定执行。
2、控制措施:(1)预算编制工作应在经办机构主要负责人的直接领导下进行;(2)社会保险经办机构财务部门会同相关部门,按照基金预决算编制原则、内容和要求,根据本年度预算执行情况,科学测算下年度基金收支情况,编制基金收支预算草案;(3)预算草案编制完成后,须按规定程序进行上报、审核、批准后方可执行;(4)认真分析基金的收支情况,定期向同级财政和人力资源社会保障部门汇报预算执行情况,并加强基金监控,发现问题应立即采取措施解决;(5)根据年度业务发生数据,准确填报决算数据。
3、风险等级:中
第三节定点医疗机构、定点零售药店监督管理
第十三条定点医疗机构、定点零售药店监督管理风险控制
风险点十六:定点医疗机构、定点零售药店监督管理
1、控制标准:(1)严格执行定点医疗机构、零售药店管理办法;(2))认真履行定点医疗机构、零售药店服务协议;(3)认真执行定点医疗机构、零售药店考核办法及医疗保险相关政策、法律法规。
2、控制措施:
(1)现场监督。现场监督检查时,必须由两人以上经办人员进行工作;根据监查情况现场填写“现场监督检查记录单”,并经所查定点医疗机构、定点零售药店在场人员签字确认。医疗机构现场检查重点是门诊和病房,核对病人身份和诊疗情况,杜绝挂床住院、冒名顶替、假用药、假检查、假治疗及串换诊疗项目等;零售药房重点检查是否存在超剂量、超规格大处方、过期药、三无药及串换生活用品,严格掌握处方药相关规定。监督人员根据现场检查情况及有关规定提出处理意见,报主管领导审批后通知所查定点机构,限期反馈意见后,报主要领导审批后组织实施。
(2)抽调病历、处方检查。监督人员要对抽调病历与费用明细、处方与微机小票核查,重点检查是否因病施治、合理用药,分解住院、降低住院标准等;药店处方是否存在超剂量、超规格大处方及是否存在串换生活用品等进行初步审核。将发现的问题进行归类登记,复审人员对病历进行二次审核,并对初审人员的审核记录进行核对后提出初步处理意见,报主管领导审批后通知所查定点机构,限期反馈意见后,经主要领导审批后组织实施。
(3)网上监控。监督人员在网络监控时,初审人员通过调取参保人员就医数据和就医情况,对定点医疗机构重点监控门诊和住院病人骤增、多次住院、跨科室诊疗、频繁开药、超量开药、过度检查、过度医疗等可疑问题;对定点零售药店重点监控频繁刷卡、超量取药等问题进行分析,对违规数据形成书面监控结果初步意见;复审人员对初步意见进行二次审核,提出下一步监督检查处理意见,报送主管领导审批后组织实施。
(4)年度考核。监督人员按照考核办法采取实地考核、网上考核、数据考核,对各定点医疗机构、定点零售药店的服务质量进行分值评价,形成考核结果,报主管领导同意后实施。
(5)对相关材料进行整理、归档
3、风险等级:高
第十四条 定点医疗机构、零售药店联网开通验收风险控制
风险点十七 联网开通验收
1、控制标准:严格执行《河北省城镇基本医疗保险住院定点医疗机构管理办法》、《河北省城镇基本医疗保险门诊定点医疗机构管理办法》、《河北省城镇基本医疗保险定点零售药店管理办法》、定点医疗机构、零售药店服务协议等有关政策规定。
2、控制措施:建立和完善受理审核、现场检查和逐级领导批准的控制措施,严格执行准入和退出制度。
⑴受理审核
申请医保联网的定点医疗机构或零售药店携带医保行政主管部门的批件,到医保经办机构申请开通。
(2)组织培训
对申请医保联网的定点医疗机构或零售药店进行先培训后验收,就申报材料准备、必备的设施设备配置要求等相关规定进行规范。
(3)现场检查
由两名以上工作人员组成验收小组,对申请联网的定点医疗机构或零售药店,对照申报材料,对人员资质、营业场地、设施设备进行现场核查;对定点药店申请人的相关人员资质、营业场所、仓储设施,营业面积、经营的药品和其他商品目录等进行现场核查,并提出检查结果意见。
(4)作出医保开通决定
经办机构主管领导根据检查结果意见,作出是否准予开通决定的复审意见后,报送主要领导审签。准予开通为定点医疗机构或零售药店的,出具确认开通意见书;不宜开通的,出具不予开通意见书,经整改三次验收不合格的,当年不再受理开通资格。
(5)对相关材料进行整理、归档。
3、风险等级:高
第十五条 举报投诉受理风险控制
风险点十八 举报投诉
1、控制标准:《河北省城镇基本医疗保险住院定点医疗机构管理办法》、《河北省城镇基本医疗保险门诊定点医疗机构管理办法》、《河北省城镇基本医疗保险定点零售药店管理办法》、定点服务协议或合同和行政执法等相关政策及法律法规。
2、控制措施:建立受理、调查、处理相分离的制约办法和控制措施。
(1)受理:接待人员按照有关规定对群众举报的问题进行登记,提出是否受理的初审意见,报主管领导审批。署名投诉人或举报人的个人信息属秘密事项,不得向任何人泄露。
(2)调查:经办人员对受理事项进行调查核实,并提出处理意见,调查取证、收集材料要真实、全面、翔实、准确,形成书面意见报送主管领导复审;
(3)处理及反馈:对于事实清楚、情节简单的举报事项进行简易处理;对于被投诉举报对象存有过错的,进行纠错,并报送主管领导批准实施,责成被投诉举报对象限期解决问题;被投诉举报对象违规违法行为事实清楚、证据确凿的,报请主管领导和主要领导,移交相关部门处理;对于查实的举报问题,责令有关机构制定整改措施,抓好整改落实,防止违规问题的再次发生;对典型案例,要深入剖析原因,抓住突出问题和薄弱环节,提出对策措施,健全完善长效管理机制。署名投诉举报的,查处结果须答复投诉举报人并听取其意见,做好相关工作。
(4)对相关材料进行整理、归档。
3、风险等级:中。
第四节 待遇审核管理
第十六条 待遇审核管理风险控制。
风险点十九:转诊转院审批
1、控制标准:(1)严格执行转诊转院管理规定;(2)准确核定申请转诊转院医疗机构资格;(3)准确核定转诊转院人员资格及所转医院的资格;(4)严格审核转诊转院申报材料的真实性、完整性。
2、控制措施:(1)依照转诊转院审批程序,建立复审机制,对申请人所患疾病是否符合转诊转院要求、提供病历资料的真实性做重点审核;(2)初审人员按照审批标准提出初审意见,不得超范围、超时间、超限额审批;(3)复审人员按照审批标准进行复审,主管领导定期抽查;(4)对相关材料进行整理、归档。
3、风险等级:中。
风险点二十:特殊疾病、慢性病审批
1、控制标准:(1)严格执行特殊疾病、慢性病管理规定;(2)准确核定申请特殊疾病、慢性病人员资格;(3)严格审核特殊疾病、慢性病申报材料的真实性、完整性。
2、控制措施:(1)依照特殊疾病、慢性病登记审批程序,建立以初审、复审、审批为主体的内控制度,对参保职工所申报的病种、提供病历资料做重点审核;(2)初审人员按照审批标准提出初审意见,不得超范围、超时间、超病种审批;(3)组织医学专家按照审批标准进行复审后,送主管领导、主要领导审批;(4)对相关材料进行整理、归档。
3、风险等级:高。
风险点二十一:急诊备案审核
1、控制标准:(1)严格掌握急诊备案审批管理规定;(2)准确核定申请急诊备案人员资格;(3)严格审核急诊备案申报材料的真实性、完整性。
2、控制措施:(1)依照急诊备案审批程序,建立复审机制,对参保职工所患疾病是否符合急诊、申请时限做重点审核;(2)初审人员按照审批标准提出初审意见,不得超范围、超时间、超限额审批;(3)复审人员按照审批标准进行复审,主管领导定期抽查;(4)对相关材料进行整理、归档。
3、风险等级:中。
风险点二十二:特殊检查、特殊治疗审批
1、控制标准:(1)严格执行特殊检查、特殊治疗管理规定;(2)准确核定申请特殊检查、特殊治疗医疗机构资格;(3)准确核定特殊检查、特殊治疗人员资格(4)严格审核特殊检查、特殊治疗申报材料的真实性、完整性。
2、控制措施:(1)依照特殊检查、特殊治疗审批程序,建立复审机制,对申请人提供病历资料的疾病与治疗是否一致做重点审核;(2)初审人员按照审批标准提出初审意见,不得超范围、超时间、超限额审批;(3)复审人员按照审批标准进行复审,主管领导定期抽查;(4)对相关材料进行整理、归档。
3、风险等级:高。
风险点二十三:医疗费用审核
1、控制标准:(1)认真执行医疗费用审核报销管理规定;(2)准确核定申请医疗费用报销人员资格;(2)准确核定异地就医医疗机构资格;(3)严格审核医疗费用申报材料的真实性和完整性。
2、控制措施:依据医疗费用审核报销审批程序,建立以初审、复审、审批为主体的多层次内控制度,对医疗费用报销的审批手续、病历资料、票据、费用明细的真实性和完整性做重点审核。(1)就医资格审核,初审人员首先对急诊备案的参保职工所患疾病是否符合急诊和急诊备案资料进行核定;转诊转院、特检特治申请人提供病历资料的疾病和审批单是否一致做重点审核;异地安置人员病历资料与其定点医疗机构信息是否一致做重点审核。(2)现金医疗费审核,初审人员按照药品目录、诊疗目录及服务设施目录对医疗费用进行核定;初审人员根据核定和审核结果提出初审意见,并签字盖章。(3)复审人员按照报销标准进行复审,提出复审意见,并签字盖章。(4)报销单按程序经主管领导审定后报主要领导审签;(5)对相关材料进行整理、归档。
3、风险等级:高。
第五节 生育保险管理
第十七条 生育保险待遇审核风险控制
风险点二十四:生育备案
1、控制标准:(1)严格掌握生育待遇备案审核管理规定;(2)准确核定申请生育待遇人员资格;(3)严格审核生育待遇审批申报材料的真实性、完整性。
2、控制措施:(1)依照生育备案审核程序,建立审查机制,对妊娠女职工是否符合国家生育政策、异地生育、急诊、补录等各类情况做重点审核;(2)审核人员按照备案标准提出审核意见;(3)按照审核标准,主管领导复审;(4)对相关材料进行整理、归档。
3、风险等级:中
风险点二十五:生育津贴申领
1、控制标准:(1)严格生育津贴申领管理规定;(2)准确核定生育生育津贴申领人员资格;(3)准确核算申领标准;(4)严格审核生育津贴申报材料的真实性、完整性。
2、控制措施:(1)依照生育津贴申领程序,建立复审机制,对申请人提供的申报材料的真实性、完整性做重点审核;(2)初审人员按照审批标准提出初审意见,打印生育津贴审核单,并确认签字;(3)复审人员按照审批标准进行复审,提出复审意见,打印生育津贴报销票据;(4)报销材料按程序经部门主管领导审签;(5)对相关材料进行整理、归档。
3、风险等级:高。
第六节 信息系统控制
第十八条 医保信息系统建设与管理
风险点二十六:信息系统建设与安全
1、控制标准:
(1)信息系统建设符合国家和省有关标准和规范,特别是要符合相关安全规范的要求;
(2)建立信息系统安全管理制度;
(3)信息系统物理环境安全;
(4)网络安全和防毒措施规范。
2、控制措施:
(1)配置信息技术管理部门,负责包括信息系统建设、安全、开发、维护在内的所有相关信息技术管理的工作。
(2)医疗保险信息系统建设应符合《中华人民共和国计算机信息系统安全保护条例》、《劳动和社会保险管理信息系统信息结构通则》和《社会保险管理信息系统指标体系》等国家和省有关的要求。
(3)建立并完善相关安全管理制度,形成合力,规范和指导信息系统安全管理工作。
(4)对信息系统中使用的信息安全产品实行安全等级管理,选用正规商家的合格产品,并要确保得到原厂商或技术服务商的运行维护和软件升级服务;严禁使用盗版数据库软件建立业务数据库;严禁在没有维保服务支持的设备上线运行。
(5)业务数据库原则上建设在人社部门内统一的数据中心机房,严禁建设在代理机构、企业等场所或实行第三方托管;数据中心机房建设应符合国家标准,做好温湿度调节、防火、防水、防尘、防磁、防雷击等工作;出入机房应有严格的审批程序,外来人员进入机房服务时,一定要有专人在场陪同,严禁外来人员在无人监管状态下单独操作机房计算机设备。
(6)严禁业务生产库直接于互联网等外网相连接;业务专网应统一分配指定ip地址,严禁通过dhcp分配ip地址;医保业务系统专网必须与外网或因特网物理隔离,严禁医保业务用机不经物理隔离直接联通外网,或分时在内外网间切换使用。医保业务用机必须安装防毒和杀毒软件。
3、风险等级:高
风险点二十七:信息系统开发和维护
1、控制标准:
(1)信息系统的开发和维护,应符合相关法律政策法规和标准规范;
(2)信息系统应有明确防范风险控制的要求和功能;
(3)系统维护规范。
2、控制措施:
(1)系统的业务需求由业务部门提出,应符合医疗保险法律、法规、政策的规定;信息技术管理部门负责组织对需求进行可行性分析,并将内部控制环节纳入到开发设计内容之中。
(2)开发完毕的信息系统或程序应具备操作留痕和日志审计的控制机制,保证业务经办操作的可稽核性和可追溯性;设置日志审计策略,记录包括业务操作人员、系统管理员等所有人员在内的,对业务及数据库的增、减、删、改等所有的操作。
(3)信息系统在投入使用前要通过测试和验收。测试要求有提出需求负责人员及业务使用人员参与;测试结果得到业务使用部门的验收认可后方可投入使用;信息技术管理部门要妥善保存好业务需求、测试记录、源程序和相关完整的技术资料。
(4)新旧信息系统切换应制定详细的实施计划,并做好日志记录。新系统切换前要做好进行整体压力测试,避免新系统出现性能瓶颈。对涉及数据迁移的情形,迁移前要做好数据备份,并在上线计划中明确应急预案,保证新系统一旦失效,能够顺利切换回原状。
(5)系统功能有任何修改要求和业务需求时,都必须有正式的修改请求和程序;要符合系统开发和维护控制标准,维护人员的活动记录和程序的变动情况应记录在维护日志中,并长期保存;系统操作人员和使用者只能提出维护要求,不能对系统进行维护修改。
(6)硬件设备出现故障需要维修时,服务器等关键设备必须现场维修,不得外送;确实需要外修时,硬盘一定要摘下或作信息消除处理;硬盘数据需要外部数据恢复服务时,一定要有专人全程现场监控。
3、风险等级:中
风险点二十八:系统应用和管理
1、控制标准:
(1)系统操作符合相应规范和权限;
(2)管理规范和标准。
2、控制措施:
(1)规范操作程序和工作标准,实行操作业务人员持证上岗制度;参加业务技术培训考核合格者,方能按规定权限进行系统操作。
(2)通过划分子系统、业务管理模块来明确划分各部门、不同工作岗位相应的工作职能和管理操作权限,每个管理人员、业务人员有明确的业务管理和操作界面,并对其职责范围内的工作负责。
(3)信息系统要对每项业务基础数据或原始数据的入库提供合格性控制和逻辑性校验;对关键业务提供独立的复核、审批操作模块。
(4)信息技术管理部门负责对信息系统日志、数据库日志、用户权限情况、入网计算机情况、业务政策参数、软件版本控制、有误异常数据产生、数据备份情况等进行检查,填写纸质日志并归档保存。
3、风险等级:中
风险点二十九:系统用户权限和口令管理
1、控制标准:
(1)科学、合理地划分用户的操作和使用权限,严格用户授权管理。
(2)系统用户的划分要遵循分级原则,权限只能由高到低进行管控。如:超级系统管理员、系统管理员、业务用户。
(3)用户口令要遵循私密性、动态性的管理原则。
2、控制措施:
(1)业务部门按照具体分工和工作需要设定信息系统操作人员的业务操作岗位权限,经审批并书面提交信息管理部门进行权限设置。
(2)因工作需要增减、变动岗位和权限,经审批后业务部门应书面提交信息管理部门进行相应工作人员岗位和权限的变更。严禁发生串岗、滥用权限,导致工作秩序混乱和责任无法分清,造成重大责任事故。
(3)非业务操作人员不得直接操作业务系统。确实需要的,应通过系统管理员为其建立临时用户权限进入,不得使用他人用户身份登录和操作;严禁系统设计、软件开发等技术人员介入实际的业务操作。
(4)业务系统的用户口令设置不少于四位,并由工作人员自行设置,不得将口令暴露给任何人,不得将口令保留书面记载及电子文档。
(5)系统管理员用户的密码应由2名或以上系统管理员分段管理,用户密码必须通过复杂性检验,总位数不少于6位。如果条件允许,除了用户与密码外,系统管理员应持有加载ca证书的密钥方能进入数据库。
(6)工作人员使用的密码口令要定期更换,不得向他人泄漏。特殊情况下需使用他人权限,业务部门负责人应申请调整权限;严禁使用他人的用户名和密码进入信息系统办理任何业务。
3、风险等级:中
风险点三十:数据安全管理
1、控制标准:
(1)建立数据安全管理制度;
(2)数据要保持其准确性、完整性和原始性,不得随意修改;
(3)建立多形式、多渠道的数据备份策略和恢复机制。建立备份策略要同时建立配套恢复方案,数据要确保恢复到最后或最近备份时间点。
2、控制措施:
(1)建立数据安全管理制度,所有业务经办数据的操作都必须依照制度执行。
(2)因业务经办工作造成的数据错误,应由业务经办工作人员通过系统前台业务程序进行更正。
(3)原则上不得对系统后台数据库进行操作,确实需要对数据库基础数据或结果数据修改时,应严格按照数据修改流程和要求审批,由信息技术管理部门操作修改,并填写相关记录表单,永久留档保存。
(4)严禁接入外网的电脑存有任何业务经办涉密数据和文件;严禁没有经过信息技术管理部门许可,使用外来电脑和存储设备接入医保业务专网。
(5)数据的提取和交换,应经过本部门主管领导与信息技术管理部门的审批,防止数据泄密;对能够接触到业务数据的所有人员包括内部工作人员、软件开发和维护技术员等,要求其做出数据保密承诺,明确泄密造成损失时应承担的责任。
(6)定期对中心数据库数据和日志进行冷、热备份、磁带备份,异地备份,确保数据安全;严禁与生产库存储系统共用同一物理存储设备进行数据备份。严禁非系统管理人员进入备份服务设备,合理制定备份周期,备份数据要妥善保管。
3、风险等级:高
风险点三十一:灾难恢复与应急处理
1、控制标准:
(1)建立和落实相关应急制度和预案。
(2)具备可靠的信息数据恢复能力,避免或减少因突发灾难、故障造成的损失。
2、控制措施:
(1)建立灾难恢复和安全应急预案,完善业务数据恢复和应急安全措施,进行排除故障、灾难恢复的演习,确保信息系统具有可靠信息数据恢复能力。
(2)建立安全应急小组,明确各自角色和责任,当出现信息安全紧急事件时,所有经办工作人员要听从应急小组的指挥和调度。
(3)应急处理应遵循下列原则:首先保证人员安全;其次保证业务数据、关键设备安全;三是保护一般信息设备和财产安全。
3、风险等级:中
第七节 业务档案管理
第十九条业务档案管理风险控制
风险点三十二:档案收集整理
1、控制标准:档案资料收集齐全,分类清楚,及时归档。
2、控制措施:(1)建立兼职档案员制度。经办机构各个业务部门需明确兼职档案员负责本部门存档业务资料的归集、整理、移交等管理工作,包括负责检验业务资料的有效性,确保归档资料完整无缺。(2)档案收集应贯彻“谁经办、谁收集”和“以业务终结岗位为归档责任人”的原则,随时将分散在本部门各岗位人员手中已办结的文件或业务、财务报表、凭证等各种形式和载体的医疗、生育保险文件资料收集齐全,并分类存放,及时立卷归档。
3、风险等级:高。
风险点三十三:档案移交
1、控制标准:档案资料移交时存档资料齐全,手续完备。
2、控制措施:(1)建立归档资料移交登记制度。登记内容包括业务部门向档案管理部门移交归档资料的时间、内容类别和资料数量等。(2)各部门在移交档案时,应严格履行手续,按照河北省社会保险业务档案管理办法和移交清册所列内容进行交接,并由移交、接收双方负责人监交。交接完毕后,交接人、监交人应在移交清册上签名、盖章。移交清册长期保管。
3、风险等级:中。
风险点三十四:档案保管
1、控制标准:按照河北省社会保险业务档案管理办法的要求归集、分类、保管、移交、销毁、使用档案,档案管理硬件设施符合规定。
2、控制措施:(1)档案人员应定期检查档案保管情况,对破损档案及时修补或采取相应措施。严格做好档案的收进、移出、利用等日常的登记、统计工作,做到帐物相符,有据可查。不断完善档案管理方法和档案保护技术,充分利用计算机技术实施管理,提高保管、服务质量和效率。(2)档案管理部门要严格按照保管期限,分类、立卷、存档各类档案。档案管理工作人员应定期检查库房温度、湿度、搬运档案时要避免人为的损坏,发现保存档案破损或归档错误时,应按规定及时修正。
3、风险等级:中。
第三章 内部监督与检查
第二十条 医疗保险经办业务风险监督体现在医疗保险经办机构业务各环节,各职能部门都要承担相应监督职责,建立分工协作,各负其责的监督格局。
第二十一条 各级经办机构业务部门应建立内部牵制、监督机制,按照职责对业务流程、风险控制措施的落实进行定期自查。
第二十二条 经办机构应组织力量或指定专门部门,定期或不定期对各业务部门风险内控执行情况进行检查,发现问题或检查结果应依照程序及时处理和通报。
第二十三条 各级经办机构要建立健全经办业务风险防控考评机制和奖惩制度,建立风险防控过错责任追究制度,强化内部监督制约。
第二十四条 经办人员未按经办业务风险内控办法要求执行,对经办业务运行产生重大影响,或造成重大损失的,要依法给予行政处分。对违反业务流程和经办业务风险内控办法,发生工作差错又未能及时纠正的,实行一票否决,取消具体经办人参加年度考核评先的资格。情节严重,触犯法律法规的,依法追究其相应法律责任。对危及基金安全或已造成基金损失的,经办机构要及时向同级社会保险行政部门报告,提出处置建议,涉嫌违法的,还需向有关司法机构报告。
第二十五条上级经办机构应加强对下级经办机构经办风险内控的监督检查,有计划地组织开展对下级医疗保险经办机构经办风险内控的评价活动。
第二十六条建立经办业务风险内控办法运行情况定期报告制度。各级医疗保险经办机构每年年底前将本地区经办风险内控工作总结报送上一级医疗保险经办机构。经办业务风险内控办法建设和执行情况作为单位年终考核的主要内容。
第二十七条建立经办业务风险内控重大问题随时上报制度。对日常发现经办业务运行中出现的重大风险内控漏洞和医保基金挤占挪用等违法违规问题,要随时上报上一级医疗保险经办机构,同时上报同级人社部门基金监督机构和医疗保险行政部门,发生重大突发事件要立即报告。
第四章 附 则
第二十八条 各市医疗保险经办机构可根据本办法,结合当地实际制定具体实施细则。
第二十九条本办法由河北省医疗保险管理中心负责解释。
第三十条 本办法自二0一四年一月一日起实施。
