智慧医疗信息系统审计的探索
——基于南京溧水区审计局的实践
2022-11-13陈洋张陈丹华
■陈洋 张陈丹华
智慧医疗作为医疗信息化发展的新阶段,致力于提升医疗服务、卫生管理及居民健康服务水平。审计机关从深化医疗制度改革的高度,充分认识到进行智慧医疗信息系统审计的必要性和重要性。本文结合南京溧水区审计局开展的智慧医疗信息系统审计实践,对智慧医疗信息系统审计的审计现状、审计内容和重点、审计方法以及保障措施四个方面进行初步探讨,助力信息系统审计在智慧医疗领域的开展。
一、智慧医疗信息系统审计现状
近年来,随着信息技术的发展,信息系统逐渐渗透到社会生活的各个方面。为了确保信息系统能够正确发挥其价值,我国审计机关广泛开展信息系统审计,助推信息系统的建设和使用。当前,在深化国家医疗卫生体制改革的背景下,智慧医疗呈现出高速增长的态势。基于智慧医院系统、区域卫生系统以及家庭健康系统的协同作用,智慧医疗充分运用当下先进的物联网技术,构建了一套智慧的医疗信息网络平台体系,实现了患者与医务人员、医疗机构、医疗设备之间的互动,与此同时,智慧医疗对信息系统审计的需求也日益增长。为了进一步推动强化医疗信息化建设、有效管理医疗卫生信息、提高人民群众的获得感和满意度,深圳、溧水等多地审计机关坚持在发展中保障和改善民生的基本方略,率先对当地智慧医疗信息系统开展审计,旨在通过信息系统审计促进有关智慧医疗信息化建设等相关重大政策措施落实,保障资金安全,提高资金使用绩效,推动建立健全全民健康档案管理、公共卫生体系建设,更好地保障人民群众宜居宜业。
二、智慧医疗信息系统审计内容和重点
智慧医疗信息系统一般由当地卫生健康委员会(以下简称卫健委)作为主管部门进行建设管理,广泛运用于公立医院、社区卫生服务中心、妇幼保健所、疾控中心、计划生育指导站等公共卫生机构。该系统一般由两大业务模块组成,即区域健康档案和区域医疗服务。其中,区域健康档案下有档案管理、疾病管理、疾病控制和系统设置4 个子模块;而区域医疗服务下则有区域HIS 系统(基层医疗卫生信息系统)、基层区域电子病历系统和医学影像存档与通讯系统等9 个子模块。一般而言,智慧医疗信息系统审计的业务范围主要是某一年度内智慧医疗信息系统的管理使用及相关医疗政策落实情况。
根据新修订的《中华人民共和国审计法》第三十六条,“审计机关进行审计时,有权检查被审计单位信息系统的安全性、可靠性、经济性,被审计单位不得拒绝”。反观当下,各地审计机关在智慧医疗信息系统领域的审计内容和重点略有差异,主要分为三大类:第一类是从一般控制审计、应用控制审计两个方面开展审计工作。第二类主要围绕信息系统安全性审计、信息系统内部控制审计以及信息系统数据审计三个方面。第三类则是根据信息系统基本情况、内部控制制度落实情况、信息系统投入情况以及业务模块功能实现情况进行审计。因此,基于对各地审计机关审计实务的综合分析以及南京市溧水区审计局的实践经验,本文将从信息系统的总体控制审计、一般控制审计和应用控制审计三个角度对智慧医疗信息系统审计的审计内容进行阐述。
1.总体控制审计。
信息系统总体控制审计从宏观层面切入,重点关注外部合规要求、人力资源政策、信息系统治理体系、信息系统战略规划、信息系统运维管理等事项。在这一阶段,审计人员通常选择从智慧医疗信息系统的控制环境入手。首先,制度体系层面主要审查以下内容:信息系统的基本建设、资金投入是否符合卫生局、发改委等相关部门工作规范的要求,信息系统机房、主机和终端、安全、运维等方面的规章制度和操作规程是否健全,医院医疗服务项目是否违背医疗服务价格规范表的要求存在违规收费行为,医疗卫生机构在编人员是否存在违法经商现象。其次,职权与责任分配层面要求审计人员审查智慧医疗信息系统技术支持管理部门的岗位设置、权限分配以及工作责任落实情况,评价授权审批的合理性、系统保护的有效性和职责分离的充分性。再次,从业务流程层面出发,基于对智慧医疗信息系统各业务模块的了解和风险分析,确定关键业务流程,继而明确健康档案系统、HIS 系统、电子病历系统为重点审计的信息系统。一般而言,通过信息系统总体控制审计,审计人员借助查阅文件、召开座谈会、实地调查等方式得以全面了解智慧医疗信息系统,进一步明确智慧医疗信息系统一般控制审计和应用控制审计的审计重点。
2.一般控制审计。
信息系统一般控制审计适用于除信息系统应用程序以外的其他部分,主要测评系统基础设施控制、系统访问控制、管理控制、系统网络架构控制、服务持续性控制等,旨在保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行。结合智慧医疗信息系统的实际使用情况,审计人员主要针对访问控制和安全管理两个关键领域进行审计。
(1)访问控制。
围绕智慧医疗信息系统访问控制,审计人员重点开展物理访问和逻辑访问控制审计。基于用户通过物理接触等方式访问系统的特性,智慧医疗信息系统在物理访问层面常常存在未经授权进入信息场所、复制或变更敏感信息等风险。因此,审计人员除了对门锁、摄影监控进行审查,还应查看机房访问日志以确保访问人员经管理层授权且在授权范围内使用操作权限。对于逻辑访问控制,审计人员通常选择借助终端设备或者计算机,通过通信网络与主计算机相连而获得对信息系统的访问能力。譬如,在对电子病历系统的审计过程中,审计人员可以通过逻辑访问控制测试,审查系统是否可以对操作人员进行身份识别,验证历次操作印痕、操作时间和操作人员信息是否得到正确、及时的保存。
(2)安全管理。
《中华人民共和国计算机信息系统安全保护条例》第十三条要求,“计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作”。对此,审计人员需要重点关注智慧医疗信息系统的安全管理情况。针对智慧医疗系统的软硬件基础设施,一方面,审计人员需要实地考察项目服务器的托管机房内是否配置视频安防监控系统、UPS 独立电源、消火栓系统、安全疏散标志等消防安全设施,检查门禁配置、防火防水等“四防”措施是否健全;另一方面,审计人员还需审查卫健委是否与系统运维单位签订安全保密协议,并在学习了解数据安全和网络安全相关发文的前提下,检查使用智慧医疗信息系统的单位是否按要求制定网络责任制度和检查考核制度、设立专门的网络安全工作机构、及时更新责任部门和人员、制定应急预案与开展应急演练。此外,审计人员还需通过查看合同及授权,审查操作系统、办公软件是否为正版软件,保障信息系统功能的正常发挥,以维护计算机信息系统的安全运行。
3.应用控制审计。
应用控制与具体的应用系统有关,是为了保证信息系统输入、处理、输出数据和记录的完整性和准确性而实施的控制。考虑到应用控制对每个应用系统都是特定的,智慧医疗信息系统应用控制审计主要关注业务流程控制和数据输入处理输出控制两个方面。
(1)业务流程控制审计。
通过检查智慧医疗信息系统承载的经济业务活动的发生、处理、记录和报告的业务流程过程,业务流程控制审计对系统业务流程控制的合理性和有效性进行综合评价,以揭示流程设计缺陷、控制缺失等问题。审计人员不仅需要检查业务流程设计的完备性,更要关注业务流程处理是否正确有效。譬如,健康档案系统中经常存在重复建档、信息录入不规范的情况;医疗机构分解病人住院情况,造成床位费收取次数与住院天数不一致;医疗机构服务流程不规范,违法医疗项目限制性收费规定,重复收取患者医疗费用。与此同时,审计人员也要对业务流程功能进行测评,检查医疗机构是否将设计的问题管理、系统控制等各项功能落实到实处,以此更有效地服务于业务活动的需要。以健康档案数据库中的登录日志为例,审计人员会检查数据库中是否存在登录日志以及日志采集是否覆盖到用户登陆状态,从而验证日志功能模块的系统控制是否完善。
(2)数据输入、处理和输出控制审计。
根据《信息系统审计指南——计算机审计实务公告第34 号》,数据输入、处理和输出控制审计有助于审计人员发现因系统控制缺失产生的数据风险。因此,智慧医疗信息系统审计主要关注数据录入、导入接口是否符合国家、行业的规定,数据的转化、整理、计算和汇总是否符合相关规范,用户的身份与权限控制是否合理有效。例如,审计人员审查智慧医疗信息系统各方面的数据架构、关键数据表,分析数据间的逻辑,确保数据的完整正确性;对健康档案中记录的个人基本信息数据进行验证时,选取输入卡号/刷卡、输入身份证或输入姓名+性别+出生日期三种方式,分析其验证方式是否存在唯一约束性;审查电子病历系统是否创建了不同的用户角色和工作组,并为各使用者分配独立用户名的功能和权限。
三、智慧医疗信息系统审计方法与工具
为了保质保量地完成审计任务,审计人员在智慧医疗信息系统审计中广泛运用各种审计方法。一般而言,审计人员通过访谈法、资料查阅法、观察法等了解智慧医疗信息系统基本情况;通过现场检查、安全测试、风险评估法等对信息系统的安全状况进行审查;通过平行模拟法、集成测试法、测试数据法、程序跟踪法等对信息系统的可靠性和经济性进行分析。
基于智慧医疗信息系统内存储着海量数据,除了运用网络爬虫技术和SQL 语句查询法,审计人员还可以采用Python、JAVA、R 等语言编写程序对智慧医疗信息系统的历史数据进行查询分析、对即时数据进行验证,重点审查数据的真实性、完整性和安全性。在对采集到的数据进行分析时,审计人员多采用描述性统计、聚类分析、分类分析、关联分析、回归分析、趋势分析等方法。而在信息系统应用控制测试环节,审计人员可以根据实际工作要求,选择黑箱法或白箱法,对系统输入和输出进行审查核对,以此来评价系统的应用程序和逻辑的正确性。
审计工作过程中,各地审计机关基于实际情况,借助AO 等通用审计软件、Excel 等应用程序、SQL Server和Access 等数据库管理系统,灵活运用多种审计方法助推信息系统审计。以南通市审计局为例,秉持“克隆系统,创新思路”的精神,审计人员通过交换机与高性能服务器组建成一个局域网,“克隆”出与原有系统完全一致的信息系统环境,极大地提高了审计效率,节约了审计资源。而南京市溧水区审计局在审计区卫健委管理下的智慧医疗信息系统时,除了进行多项系统测试,还采用了三种数据分析方法。首先,通过还原各模块信息系统的数据库,对其进行数据分类汇总从而进行具体分析;其次,通过对几年间的医疗费用数据进行平均化,得到每年医疗费用的平均值,采用一元线性回归方法构建模型分析医疗费增长情况,估测医疗价格涨幅程度;再次,对各模块系统中关键表的关键字段进行主键唯一性、约束性分析。
四、智慧医疗信息系统审计的保障措施
随着智慧医疗信息系统审计的深入开展,各地审计机关在工作过程中也遇到了一些困境和障碍。为了更好地推动智慧医疗信息系统审计工作的开展,助力区域医疗信息化建设,应当从以下三个方面对智慧医疗信息系统审计采取保障措施。
1.完善信息系统审计准则和法律法规。
当下,审计机关主要依据《中华人民共和国国家审计准则》、《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(国办发〔2001〕88 号文件)、《信息系统审计指南》(计算机审计实务公告第34号)等开展信息系统审计工作。由于我国信息系统审计起步晚,相关法律法规的制定往往受限于ISACA(国际信息系统审计协会)的COBIT 标准,缺乏对我国国情的充分考虑,未能形成一套全面、合理的审计准则。随着我国经济社会发展对信息系统审计的需求日益增长,制度缺陷难免会造成审计人员工作效率和审计质量的低下,给审计工作带来不小的障碍。因此,我国应当尽快完善信息系统审计准则和相关法律法规,在对我国国情给予充分考虑的前提下可适当借鉴国外先进经验,颁布一套全面服务于信息系统审计的规范体系,使得审计工作真正作到有法可依。
2.推动审计软件研发和使用。
智慧医疗信息系统审计过程中,审计人员必须要对各模块的信息系统进行测试。由于系统数据内容繁杂、数据容量庞大且关系到区域医疗档案管理、卫生信息系统等重要业务,审计人员基于审计数据查询分析会拖慢被审计单位信息系统、影响其正常运行的担忧,往往会放不开手脚,使审计工作陷入被动性。因此,审计机关应推动信息系统审计软件的研发使用,使审计人员能够放手开展全面审计,在解除思想和技术束缚的同时提升审计质量和效率。
3.提升审计人员业务能力。
审计人员的业务能力对智慧医疗信息系统审计工作而言至关重要。一方面,审计人员需要精通计算机网络技术,熟练掌握智慧医疗信息系统的功能开发、运行及维护管理,了解信息系统容易查出问题的地方,能够灵活运用多种方法助力审计工作的开展;另一方面,审计人员要在具备会计审计专业技能的基础上掌握智慧医疗系统的各方面情况,以检查政策落实、查找信息系统缺陷为着力点,从多维度分析问题产生的原因,以提出对策建议、促进智慧医疗信息系统完善为落脚点,推动智慧医疗信息系统的健康发展。审计机关应当致力于培养高素质审计人才,加强对信息系统审计人员的业务能力培训,推动信息系统审计的蓬勃发展。