范慧明

摘 要：緩解看病難、看病流程煩瑣，是老百姓最普遍的民生問(wèn)題之一?！盎ヂ?lián)網(wǎng)+醫(yī)療健康”可以提高人們的醫(yī)療體驗(yàn)，給群眾帶來(lái)好處。同時(shí)對(duì)醫(yī)院網(wǎng)絡(luò)安全提出新的挑戰(zhàn)，加強(qiáng)信息安全內(nèi)部審計(jì)，保障醫(yī)院運(yùn)行暢通，顯得尤為重要。本文對(duì)此進(jìn)行了探討。

關(guān)鍵詞：公立醫(yī)院;信息安全;內(nèi)部審計(jì);研究

一、“互聯(lián)網(wǎng)+醫(yī)療健康”惠及百姓

（1）“看病難”可以通過(guò)互聯(lián)網(wǎng)+的手段得到緩解。比如：預(yù)約、繳費(fèi)、查詢可以走到線上。網(wǎng)上主要有兩種形式，一種是通過(guò)智能移動(dòng)終端的形式直接上網(wǎng)，另一種是利用醫(yī)院自助設(shè)備的形式。

（2）在線上醫(yī)學(xué)咨詢。除首診外，首診后的復(fù)診、出院復(fù)診、慢病復(fù)診、用藥咨詢、體檢咨詢等，都可以在線上進(jìn)行一定程度的咨詢。通過(guò)移動(dòng)醫(yī)療的在線服務(wù)可以直接地讓患者與醫(yī)生進(jìn)行溝通，真正解決“看病難”。

二、醫(yī)院信息安全的重要性

由于醫(yī)院資產(chǎn)規(guī)模逐年擴(kuò)大，近兩年增長(zhǎng)速度非常快速，醫(yī)院的行政管理、醫(yī)療業(yè)務(wù)處理、財(cái)務(wù)核算及分析、臨床醫(yī)療信息系統(tǒng)運(yùn)用、醫(yī)療設(shè)備安全穩(wěn)定運(yùn)行等方面的不斷發(fā)展與進(jìn)步，給醫(yī)院在信息化管理方面，在各系統(tǒng)的信息收集、存儲(chǔ)、處理、數(shù)據(jù)交換、用戶授權(quán)等方面提出了更大的挑戰(zhàn)。

1.關(guān)鍵信息基礎(chǔ)設(shè)施確定情況

醫(yī)院HIS系統(tǒng)的正常運(yùn)行，關(guān)系著醫(yī)院的業(yè)務(wù)是否能夠正常高效的運(yùn)作，同時(shí)系統(tǒng)中保存著大量患者的個(gè)人信息，存在著患者個(gè)人信息泄露的風(fēng)險(xiǎn)，因此定義為關(guān)鍵信息基礎(chǔ)設(shè)施。

2.網(wǎng)絡(luò)安全主要工作情況

（1）定期組織信息安全領(lǐng)導(dǎo)小組成員以及信息科全體人員學(xué)習(xí)《網(wǎng)絡(luò)安全法》和安全管理制度，提高信息相關(guān)人員的網(wǎng)絡(luò)安全意識(shí)。

（2）檢查所有服務(wù)器以確保所有服務(wù)器都被安全地加固并配置了安全參數(shù)，檢查工作內(nèi)容：更新操作系統(tǒng)漏洞補(bǔ)丁、關(guān)閉不必要和高風(fēng)險(xiǎn)端口、安裝殺毒軟件并保證病毒庫(kù)的更新、配置密碼復(fù)雜度策略、檢查密碼強(qiáng)度等。

（3）更換全院計(jì)算機(jī)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)和桌管系統(tǒng)，更加完善了現(xiàn)有準(zhǔn)入和桌管系統(tǒng)的功能和策略，達(dá)到全院統(tǒng)一管理、統(tǒng)一防護(hù)的效果，提升內(nèi)網(wǎng)計(jì)算機(jī)接入的安全性。

（4）按照三級(jí)等保測(cè)評(píng)的要求，逐步完善了HIS+電子病歷系統(tǒng)的系統(tǒng)安全功能，明確和細(xì)化用戶的權(quán)限分配。

（5）完成院內(nèi)面向患者開(kāi)放的WIFI的搭建和備案管理工作，完善該WIFI的網(wǎng)絡(luò)隔離和信息安全防護(hù)措施。

（6）通過(guò)信息安全整改和定期檢查安全審計(jì)日志等多方面加強(qiáng)管理，年內(nèi)沒(méi)有發(fā)生網(wǎng)絡(luò)信息安全事（案）件。

三、利用審計(jì)軟件開(kāi)展信息安全審計(jì)

為了更好地促進(jìn)規(guī)范管理，規(guī)范經(jīng)營(yíng)，增加效益，醫(yī)院計(jì)劃內(nèi)審覆蓋信息化系統(tǒng)審計(jì)，審計(jì)內(nèi)容涵蓋信息化系統(tǒng)審計(jì)全過(guò)程。從信息化系統(tǒng)審計(jì)復(fù)雜度分析復(fù)雜性因素。根據(jù)系統(tǒng)業(yè)務(wù)流程、系統(tǒng)特性、處理交易、系統(tǒng)數(shù)據(jù)、計(jì)算方式、信息技術(shù)環(huán)境等相關(guān)因素建立信息系統(tǒng)資料庫(kù)。評(píng)價(jià)確認(rèn)信息系統(tǒng)關(guān)鍵業(yè)務(wù)流程，關(guān)注風(fēng)險(xiǎn)管理中的人力資源、采購(gòu)管理、財(cái)務(wù)管理、質(zhì)量管理、信息安全管理、績(jī)效優(yōu)化風(fēng)險(xiǎn)點(diǎn)，審計(jì)流程及流程風(fēng)險(xiǎn)契合審計(jì)準(zhǔn)則要求。這對(duì)內(nèi)部審計(jì)的效率和質(zhì)量提出了更高標(biāo)準(zhǔn)的要求。所以醫(yī)院審計(jì)科借助風(fēng)險(xiǎn)管控與內(nèi)部審計(jì)系統(tǒng)作為審計(jì)的工具，提高準(zhǔn)確的數(shù)據(jù)處理和運(yùn)算能力，加強(qiáng)審前調(diào)查，把握審計(jì)方向，提高數(shù)據(jù)分析準(zhǔn)確性，通過(guò)審計(jì)工作流的管理讓審計(jì)業(yè)務(wù)流程標(biāo)準(zhǔn)化，提高審計(jì)成果質(zhì)量，幫助醫(yī)院提升經(jīng)濟(jì)效益和管理效益。

1.簡(jiǎn)介

信息系統(tǒng)應(yīng)用控制審計(jì)主要由三部分組成：輸入控制審計(jì)、處理控制審計(jì)和輸出控制審計(jì)。運(yùn)用風(fēng)險(xiǎn)管控與內(nèi)部審計(jì)系統(tǒng)開(kāi)展信息系統(tǒng)審計(jì)，確定審計(jì)實(shí)施對(duì)象，編制審計(jì)通知書(shū)，了解被審計(jì)對(duì)象確認(rèn)審計(jì)事項(xiàng)指定審計(jì)方案，運(yùn)行審計(jì)方法開(kāi)始審計(jì)調(diào)查工作，照實(shí)采集審計(jì)證據(jù)，編制審計(jì)工作底稿，對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行充分論證，出具審計(jì)報(bào)告。

審計(jì)前，應(yīng)對(duì)被審計(jì)單位組織機(jī)構(gòu)進(jìn)行調(diào)查，摸清信息系統(tǒng)在組織機(jī)構(gòu)內(nèi)部的分布及應(yīng)用情況，確定信息系統(tǒng)審計(jì)對(duì)象，了解信息系統(tǒng)的開(kāi)發(fā)情況、系統(tǒng)管理員設(shè)置情況等，根據(jù)對(duì)審計(jì)目標(biāo)的把握，提出可行性審計(jì)方案。并收集相關(guān)聯(lián)的文件包括政策、系統(tǒng)安全說(shuō)明書(shū)、管理制度等文檔。確認(rèn)審計(jì)過(guò)程中應(yīng)用上述制度、設(shè)備及安全配置的技術(shù)人員和專家指導(dǎo)人員。本次信息系統(tǒng)審計(jì)以機(jī)房管理為審計(jì)實(shí)施目標(biāo)展開(kāi)的內(nèi)部審計(jì)工作。

2.審計(jì)系統(tǒng)軟件模塊的運(yùn)用

（1）審前調(diào)查。該模塊包含選擇業(yè)務(wù)類(lèi)型、被審計(jì)單位基本情況、審計(jì)通知書(shū)三項(xiàng)期功能。確認(rèn)業(yè)務(wù)類(lèi)型IT審計(jì)，系統(tǒng)自動(dòng)篩選IT審計(jì)風(fēng)險(xiǎn)點(diǎn)及審計(jì)方案和報(bào)告模板，調(diào)取IT審計(jì)底稿模版。

填寫(xiě)被審計(jì)單位基本情況，項(xiàng)目負(fù)責(zé)人及審計(jì)相關(guān)重要信息，避免在底稿中涉及相同的信息重復(fù)錄入，提高審計(jì)基礎(chǔ)工作效率。

輸入基本信息，自動(dòng)生成并導(dǎo)出審計(jì)通知。可以編輯審計(jì)通知，以便審計(jì)通知的內(nèi)容滿足該審計(jì)的要求。

（2）收集信息，確認(rèn)審計(jì)范圍。

（3）確定審計(jì)要點(diǎn)，生成審計(jì)方案。審計(jì)經(jīng)理編輯審計(jì)要點(diǎn)庫(kù)，安排審計(jì)工作進(jìn)度，提出審計(jì)指導(dǎo)意見(jiàn)。

風(fēng)險(xiǎn)管控與內(nèi)部審計(jì)系統(tǒng)，依據(jù)審前調(diào)查的信息錄入、審計(jì)要點(diǎn)的確認(rèn)、工作進(jìn)度的安排自動(dòng)生成審計(jì)方案初稿，方案中涉及審計(jì)的準(zhǔn)則要求和風(fēng)險(xiǎn)點(diǎn)，提示審計(jì)人員在審計(jì)過(guò)程中關(guān)注風(fēng)險(xiǎn)較高的控制環(huán)節(jié)，提高審計(jì)效率，降低審計(jì)風(fēng)險(xiǎn)。審計(jì)方便經(jīng)過(guò)簡(jiǎn)單的修改后就可以使用。

（4）審計(jì)實(shí)施。該模塊主要是測(cè)試醫(yī)院信息系統(tǒng)安全的內(nèi)部控制。記錄測(cè)試流程生成審計(jì)底稿。以測(cè)試機(jī)房管理內(nèi)部控制為例，形成審計(jì)底稿。

（5）審計(jì)終結(jié)。該模塊主要包括內(nèi)審最后各環(huán)節(jié)模版設(shè)計(jì)，包括審計(jì)結(jié)果匯總、審計(jì)報(bào)告、征求意見(jiàn)書(shū)、缺陷糾正、糾正測(cè)試、跟蹤審計(jì)報(bào)告。

審計(jì)發(fā)現(xiàn)的問(wèn)題，可以通過(guò)內(nèi)部審計(jì)工作底稿的匯總，自動(dòng)保存到審計(jì)發(fā)現(xiàn)問(wèn)題匯總表中。根據(jù)問(wèn)題情況生成審計(jì)發(fā)現(xiàn)問(wèn)題表，經(jīng)被審計(jì)單位溝通后確認(rèn)為審計(jì)問(wèn)題。

風(fēng)險(xiǎn)管控與內(nèi)部審計(jì)系統(tǒng)自動(dòng)生成審計(jì)報(bào)告初稿。報(bào)告格式符合信息化審計(jì)報(bào)告模版。報(bào)告中涉及信息化審計(jì)基本情況，審計(jì)發(fā)現(xiàn)、審計(jì)結(jié)論、審計(jì)建議等內(nèi)容。

（6）后續(xù)審計(jì)。審計(jì)報(bào)告出具后的第三個(gè)月進(jìn)行了該項(xiàng)目的后續(xù)審計(jì)。

四、開(kāi)展信息化審計(jì)的成效

運(yùn)用風(fēng)險(xiǎn)管控與內(nèi)部審計(jì)系統(tǒng)，在審計(jì)工作效率上，在審計(jì)底稿編制上，都有了較大的提升。審計(jì)信息化工具的運(yùn)用提高了審計(jì)人員發(fā)現(xiàn)問(wèn)題的能力，從業(yè)務(wù)、管理、信息等不同層面提高了審計(jì)部對(duì)整體內(nèi)審工作的全局把握。

我院十分重視審計(jì)工作，在市審計(jì)局和市審計(jì)協(xié)會(huì)的大力支持和幫助下，要求審計(jì)部門(mén)根據(jù)醫(yī)院發(fā)展需要，不斷創(chuàng)新審計(jì)工作方式方法，推進(jìn)審計(jì)技術(shù)措施的改變，逐漸由傳統(tǒng)手工審計(jì)轉(zhuǎn)向信息化審計(jì)。引進(jìn)審計(jì)軟件開(kāi)展審計(jì)工作，打破了審計(jì)傳統(tǒng)手工審核模式，推進(jìn)審計(jì)信息化步伐。

風(fēng)險(xiǎn)控制與內(nèi)部審計(jì)軟件，對(duì)單位內(nèi)控制度進(jìn)行標(biāo)準(zhǔn)性檢查和分析，對(duì)重點(diǎn)風(fēng)險(xiǎn)點(diǎn)把控比較準(zhǔn)確。運(yùn)用審計(jì)軟件開(kāi)展審計(jì)工作，可以精準(zhǔn)地對(duì)數(shù)據(jù)進(jìn)行查找篩選，擴(kuò)寬抽審數(shù)據(jù)的覆蓋面，高效能、規(guī)范化地進(jìn)行審計(jì)分析，并對(duì)重點(diǎn)風(fēng)險(xiǎn)點(diǎn)進(jìn)行把控、預(yù)警，提高審計(jì)準(zhǔn)確度和審計(jì)效率，同時(shí)還可以實(shí)現(xiàn)審計(jì)管理規(guī)范化、審計(jì)作業(yè)規(guī)范化、審計(jì)文檔規(guī)范化，便于審計(jì)質(zhì)量規(guī)范化監(jiān)督。隨著我院審計(jì)信息化的推廣及應(yīng)用，審計(jì)工作將步上新臺(tái)階，充分發(fā)揮其在內(nèi)部控制審計(jì)流程和風(fēng)險(xiǎn)防控流程上的作用，將不斷提高審計(jì)質(zhì)量，充分發(fā)揮內(nèi)部審計(jì)的監(jiān)督、評(píng)價(jià)和咨詢職能，也將促進(jìn)醫(yī)院各項(xiàng)事業(yè)的發(fā)展。

參考文獻(xiàn)

1.李兵.打造iHospital，提升百姓看病就醫(yī)體驗(yàn).人民網(wǎng)，2018（8）.

2.徐慧平.醫(yī)院信息系統(tǒng)審計(jì)重點(diǎn).中國(guó)內(nèi)部審計(jì)，2011（07）.

3.胡節(jié)霞.審計(jì)視角下公立醫(yī)院內(nèi)部控制運(yùn)行有效性探析 .行政事業(yè)資產(chǎn)與財(cái)務(wù)，2017（5）.

（責(zé)任編輯：王文龍）