基于信息安全视角的公立医院内部审计研究

范慧明

摘 要：缓解看病难、看病流程烦琐，是老百姓最普遍的民生问题之一。“互联网+医疗健康”可以提高人们的医疗体验，给群众带来好处。同时对医院网络安全提出新的挑战，加强信息安全内部审计，保障医院运行畅通，显得尤为重要。本文对此进行了探讨。

关键词：公立医院;信息安全;内部审计;研究

一、“互联网+医疗健康”惠及百姓

（1）“看病难”可以通过互联网+的手段得到缓解。比如：预约、缴费、查询可以走到线上。网上主要有两种形式，一种是通过智能移动终端的形式直接上网，另一种是利用医院自助设备的形式。

（2）在线上医学咨询。除首诊外，首诊后的复诊、出院复诊、慢病复诊、用药咨询、体检咨询等，都可以在线上进行一定程度的咨询。通过移动医疗的在线服务可以直接地让患者与医生进行沟通，真正解决“看病难”。

二、医院信息安全的重要性

由于医院资产规模逐年扩大，近两年增长速度非常快速，医院的行政管理、医疗业务处理、财务核算及分析、临床医疗信息系统运用、医疗设备安全稳定运行等方面的不断发展与进步，给医院在信息化管理方面，在各系统的信息收集、存储、处理、数据交换、用户授权等方面提出了更大的挑战。

1.关键信息基础设施确定情况

医院HIS系统的正常运行，关系着医院的业务是否能够正常高效的运作，同时系统中保存着大量患者的个人信息，存在着患者个人信息泄露的风险，因此定义为关键信息基础设施。

2.网络安全主要工作情况

（1）定期组织信息安全领导小组成员以及信息科全体人员学习《网络安全法》和安全管理制度，提高信息相关人员的网络安全意识。

（2）检查所有服务器以确保所有服务器都被安全地加固并配置了安全参数，检查工作内容：更新操作系统漏洞补丁、关闭不必要和高风险端口、安装杀毒软件并保证病毒库的更新、配置密码复杂度策略、检查密码强度等。

（3）更换全院计算机的网络准入控制系统和桌管系统，更加完善了现有准入和桌管系统的功能和策略，达到全院统一管理、统一防护的效果，提升内网计算机接入的安全性。

（4）按照三级等保测评的要求，逐步完善了HIS+电子病历系统的系统安全功能，明确和细化用户的权限分配。

（5）完成院内面向患者开放的WIFI的搭建和备案管理工作，完善该WIFI的网络隔离和信息安全防护措施。

（6）通过信息安全整改和定期检查安全审计日志等多方面加强管理，年内没有发生网络信息安全事（案）件。

三、利用审计软件开展信息安全审计

为了更好地促进规范管理，规范经营，增加效益，医院计划内审覆盖信息化系统审计，审计内容涵盖信息化系统审计全过程。从信息化系统审计复杂度分析复杂性因素。根据系统业务流程、系统特性、处理交易、系统数据、计算方式、信息技术环境等相关因素建立信息系统资料库。评价确认信息系统关键业务流程，关注风险管理中的人力资源、采购管理、财务管理、质量管理、信息安全管理、绩效优化风险点，审计流程及流程风险契合审计准则要求。这对内部审计的效率和质量提出了更高标准的要求。所以医院审计科借助风险管控与内部审计系统作为审计的工具，提高准确的数据处理和运算能力，加强审前调查，把握审计方向，提高数据分析准确性，通过审计工作流的管理让审计业务流程标准化，提高审计成果质量，帮助医院提升经济效益和管理效益。

1.简介

信息系统应用控制审计主要由三部分组成：输入控制审计、处理控制审计和输出控制审计。运用风险管控与内部审计系统开展信息系统审计，确定审计实施对象，编制审计通知书，了解被审计对象确认审计事项指定审计方案，运行审计方法开始审计调查工作，照实采集审计证据，编制审计工作底稿，对发现的问题进行充分论证，出具审计报告。

审计前，应对被审计单位组织机构进行调查，摸清信息系统在组织机构内部的分布及应用情况，确定信息系统审计对象，了解信息系统的开发情况、系统管理员设置情况等，根据对审计目标的把握，提出可行性审计方案。并收集相关联的文件包括政策、系统安全说明书、管理制度等文档。确认审计过程中应用上述制度、设备及安全配置的技术人员和专家指导人员。本次信息系统审计以机房管理为审计实施目标展开的内部审计工作。

2.审计系统软件模块的运用

（1）审前调查。该模块包含选择业务类型、被审计单位基本情况、审计通知书三项期功能。确认业务类型IT审计，系统自动筛选IT审计风险点及审计方案和报告模板，调取IT审计底稿模版。

填写被审计单位基本情况，项目负责人及审计相关重要信息，避免在底稿中涉及相同的信息重复录入，提高审计基础工作效率。

输入基本信息，自动生成并导出审计通知。可以编辑审计通知，以便审计通知的内容满足该审计的要求。

（2）收集信息，確认审计范围。

（3）确定审计要点，生成审计方案。审计经理编辑审计要点库，安排审计工作进度，提出审计指导意见。

风险管控与内部审计系统，依据审前调查的信息录入、审计要点的确认、工作进度的安排自动生成审计方案初稿，方案中涉及审计的准则要求和风险点，提示审计人员在审计过程中关注风险较高的控制环节，提高审计效率，降低审计风险。审计方便经过简单的修改后就可以使用。

（4）审计实施。该模块主要是测试医院信息系统安全的内部控制。记录测试流程生成审计底稿。以测试机房管理内部控制为例，形成审计底稿。

（5）审计终结。该模块主要包括内审最后各环节模版设计，包括审计结果汇总、审计报告、征求意见书、缺陷纠正、纠正测试、跟踪审计报告。

审计发现的问题，可以通过内部审计工作底稿的汇总，自动保存到审计发现问题汇总表中。根据问题情况生成审计发现问题表，经被审计单位沟通后确认为审计问题。

风险管控与内部审计系统自动生成审计报告初稿。报告格式符合信息化审计报告模版。报告中涉及信息化审计基本情况，审计发现、审计结论、审计建议等内容。

（6）后续审计。审计报告出具后的第三个月进行了该项目的后续审计。

四、开展信息化审计的成效

运用风险管控与内部审计系统，在审计工作效率上，在审计底稿编制上，都有了较大的提升。审计信息化工具的运用提高了审计人员发现问题的能力，从业务、管理、信息等不同层面提高了审计部对整体内审工作的全局把握。

我院十分重视审计工作，在市审计局和市审计协会的大力支持和帮助下，要求审计部门根据医院发展需要，不断创新审计工作方式方法，推进审计技术措施的改变，逐渐由传统手工审计转向信息化审计。引进审计软件开展审计工作，打破了审计传统手工审核模式，推进审计信息化步伐。

风险控制与内部审计软件，对单位内控制度进行标准性检查和分析，对重点风险点把控比较准确。运用审计软件开展审计工作，可以精准地对数据进行查找筛选，扩宽抽审数据的覆盖面，高效能、规范化地进行审计分析，并对重点风险点进行把控、预警，提高审计准确度和审计效率，同时还可以实现审计管理规范化、审计作业规范化、审计文档规范化，便于审计质量规范化监督。随着我院审计信息化的推广及应用，审计工作将步上新台阶，充分发挥其在内部控制审计流程和风险防控流程上的作用，将不断提高审计质量，充分发挥内部审计的监督、评价和咨询职能，也将促进医院各项事业的发展。

参考文献

1.李兵.打造iHospital，提升百姓看病就医体验.人民网，2018（8）.

2.徐慧平.医院信息系统审计重点.中国内部审计，2011（07）.

3.胡节霞.审计视角下公立医院内部控制运行有效性探析 .行政事业资产与财务，2017（5）.

（责任编辑：王文龙）