医院拟IPO之IT审计解决方案

人工智能、大数据、5G网络等相关技术的快速发展,为医疗行业信息化建设装上了提速器。恰逢国家十四五规划的提出,各医疗机构在完善现有信息系统的同时,也在快速推进智慧医疗、全民健康信息平台的建设与发展。依据易观分析发布的《2020年中国互联网医疗年度分析》报告,2020年互联网医疗行业的市场规模已近2000亿。此外,医疗行业IPO数量逐渐增多,其市值也不断突破,在资本市场取得了较好的成绩。

容诚IT审计团队通过解读目前医院信息管理系统架构,在充分研究医院相关法律法规的前提下,结合丰富的行业审计经验,总结医疗行业普遍存在5个风险点,并从审计视角提出应对方式。

医院信息管理系统架构解读

鉴于医院信息系统的高速发展,又因日常业务繁杂、业务链条长、信息准确性要求高的特殊性,目前,医院日常预约挂号、门诊看诊、病人入院出院、病历管理、手术管理、检查检验管理、药品管理等皆高度依赖信息系统,形成了以HIS系统(医院信息系统)为中心,多系统支撑,较为完整的信息系统管理链条。

 

wei_xin_jie_tu_20210923144332.png

基于HIS系统(医院信息系统),医院的医疗收入及相应成本、耗材及药品库存管理等主要业务及财务数据,也实现了高度自动化,部分医院实现了业财系统对接,即依据HIS系统业务数据报表直接生成财务数据、运营管理报表等。

发展反面是风险,医院新风险梳理

技术的进步也伴随着巨大的挑战,隐藏在医疗信息化、智能化背后的,是网络安全、数据安全、系统中断等一系列问题,并且已成为现代医院机构信息系统建设,甚至是行业发展的“制约”及“新挑战”。

我们先来看个实例:2018年12月郑州某三级甲医院HIS系统数据库受到攻击,造成该医院3个院区门诊业务停滞近两个小时,大量患者积压在门诊无法就诊,从当日收入来测算,当日收入损失约为800万。

为了推动医院信息系统的建设,国家卫生部最早于1997年即发布了《医院信息系统软件功能规范》,并于2002年对规范进行了修订,形成了《医院信息系统基本功能规范》,各地区、市也制定了区域性的信息系统功能规范,例如:《上海医院信息系统功能规范(试行)》。

此外,随着信息技术及数据大环境的快速发展,国家相关机构先后发布了《网络安全法》、《数据安全法》(2021年9月施行)等相关的法律法规。2021年4月,国家医疗保障局发布了《关于加强网络安全和数据保护工作的指导意见》,明确了医保机构数据及网络安全的管理工作。

因此,如何在信息系统快速发展的前提下,保证系统运行的安全性及稳定性;同时,规范数据治理及管理,确保数据采集、存储、传输及使用的合法合规及数据的完整性及准确性、可靠性,成为现代医院管理的“必修课”。


容诚观察之医院风险点

容诚IT审计团队在充分研究医院相关法律法规的前提下,结合丰富的行业审计经验,通过对信息技术一般性控制(ITGC)、应用控制(ITAC)等层面执行测试,对问题发现进行统计分析,从风险及重要性水平出发,总结医疗行业普遍存在以下风险:

wei_xin_jie_tu_20210923144451.png

No.1

信息安全投入不足,网络安全风险高

与所有处于扩张期阶段的企业相同,医院的发展以日常业务优先,这就造成了其在信息安全层面,特别是网络安全层面的投入占比低,通常被认为是“没有必要”的投入,信息安全建设存在严重缺陷,风险较高。同时,从业人员特别是医护人员的安全意识不到位等问题突出,在以上众多因素的共同作用下,医院网络极易被攻入,安全问题频发,已成为信息安全的重灾区。

例如:2018年全国多地共计120多家美容医院客户信息被黑客盗取贩卖;同年,广东、重庆多家三甲医院服务器遭黑客入侵并植入挖矿木马,服务器资源被完全占用,无法为正常业务提供服务;2020年,疫情期间印度APT组织对我国医疗机构发起定向攻击,同年4月,国内医疗公司AI检测新冠病毒技术被黑客窃取。

No.2

数据治理留白,数据合规治理成难题

国家提出加快医疗机构实现信息化建设后,医疗机构信息化建设日趋完善,业务数据(包括药品定价、药品销售及存量、病人诊断、人员基本信息等)都已通过系统进行记录、流转、存储、沉淀。随着数据的不断积累,得益于“互联网+大数据+AI”的推动,医疗行业正在变得更加数字化,数据管理对医疗机构的发展及改造的重要性日益增加。

在此大环境下,国家于2021年6月正式通过的数据安全法,将于2021年9月正式施行。鉴于医院的特殊性,存在大量敏感隐私数据,例如:患者个人信息、医疗隐私数据等。如何恰当地进行数据治理与管理,在满足日常医院业务的前提下,合法合规地采集、存储、使用、提供、公开数据,确保数据安全,发挥数据价值,成为各医院的“沉疴”。

No.3

访问安全意识薄弱,管控机制形同虚设

Verizon每年都会发布年度数据泄露报告(DBIR),通过对大量人员数据泄露风险数据进行统计分析,结果显示:在数据泄露人员风险维度中,所有行业整体的内外部攻击风险的总体比例为3:7,而其中医疗行业,是所有行业中唯一一个内部威胁大于外部威胁的行业,其内部威胁占比60%,外部威胁占比40%[2]

 

 

wei_xin_jie_tu_20210923144539.png

从统计的全行业来看,内部人员威胁中,25.9%的威胁都和系统管理有关;此外,终端用户占比22.3%、医生和护士占比11.5%[3]。在全行业整体层面上,医生和护士的占比被独立列出且占比高达11.5%。因此,医院如何对医务人员访问数据的行为进行合理控制,从而防止医疗数据被窃取、恶意删除、篡改或无意识泄露,是医疗行业中迫切需要解决的问题。

No.4

系统改造BUG频发,业财数据的完整一致如何保证

与其他各行业一样,每家医院的实际业务逻辑大体相同,但略有差异,因此无法适用一套完全标准的信息管理系统,通常各医院在上系统时,都需要对系统进行二次开发。

但因HIS系统模块众多,各模块之间逻辑互相关联且数据勾稽紧密,因此,在进行二次开发过程中,由于各种客观因素或主观原因,例如:需求不明确或开发人员缺少医院经验等,极易导致系统存在BUG,影响业务数据甚至是财务数据的准确性、完整性。

No.5

医保监管力度大, “套保”风险需重视

我国近些年实行新农合等政策,加大公众参保力度,减轻就医负担的同时,被一些机构视为业务增长和创收的捷径,不少医院业务收入因此都出现了“增长”。就此部分问题,监管机构加大了监管力度,仅2020年一年,全国范围内多家医疗机构就因套保被处罚,部分人员被刑拘。

因此,怎样在海量的业务数据辨别异常数据,分析医院是否存在套保风险,是确保其收入真实性、业务合规性的必要手段。


容诚IT审计服务及价值

容诚IT审计为企业信息系统“把脉”

容诚IT审计团队基于先进的审计方法,结合行业先进经验及丰富的知识库储备,依据行业规范及标准(例如:《医院信息系统功能规范》、《网络安全法》、《数据安全法》等),为多家医院提供了审计服务,就其突出的风险点进行了梳理: 

→ 执行网络架构、安全设备部署、安全策略配置、日志审计检查等方面的审计程序,帮助多家医院识别严重的网络安全缺陷,降低因此导致的网络安全事件,系统中断、业务大面积瘫痪、历史业务数据丢失(或泄露)等安全风险。

→ 执行数据治理及管理执行审计服务,帮助医院识别包括:数据资产管理意识薄弱;未建立数据治理或管理体系;未采用适当的系统架构、技术手段对数据传输和存储进行安全加固;未对数据的产生、传输、存储、使用、共享、销毁等行为实施合法合规的管理等风险,并提供切实可行的整改方案。

→ 执行对系统访问安全测试,帮助企业发现HIS系统中用户权限过高、账号混用、密码策略缺失等问题,降低由于用户非法访问“未经授权”的系统或数据而造成的舞弊风险

→ 对HIS系统以及与财务数据直接相关的业务报表执行平行模拟测试,帮助多家医院识别出系统中如HIS系统基础数据维护错误造成医院收入归属出错、HIS系统结账号跳号造成收入无法入账、HIS系统未进行数据校验造成重复入账、二次报账数据无法传递至财务系统等会对财务收入数据的准确性及完整性产生的影响的系统BUG,并提供合理处理方案。

大数据分析,让数据“说话”

容诚IT审计团队承接了多家医院的IPO服务,在充分了解被审计机构的业务流程后,结合相关行业的审计经验及知识库积累,汇总典型行为特征转化为数据特征,利用数据分析工具,从收入趋势、药品销售、患者消费行为、医院资源使用、检查检验项目合理性等多维度进行建模统计分析,发现存在检查检验数据异常、手术时间勾稽关系不合理、床位同时段重复使用、药品库存不支撑销售、药品退药比例较高等问题。并可通过数据“透视”医院经营过程中存在的管理流程设计缺陷及不合规风险,充分发挥信息系统及数据资产的价值。

容诚IT审计的优势

容诚IT审计团队拥有雄厚的专业背景、先进的审计方法论及丰富的审计经验,对医疗行业相关的法律法规、规范指引进行了深入研究,熟悉医疗行业信息系统基础设施及业务流程。可提供信息系统治理及管理、日常开发及运维、信息安全、数据管理、业务连续性等方面的审计服务;并可通过专业的方法针对业财数据的准确性及完整性进行测试,同时,结合行业特性定制的分析框架,针对业务数据执行多维度的建模分析,验证收入的真实性、管理的完善性。

认识容诚IT审计团队

专业的审计团队:容诚拥有一支成熟、专业的IT审计团队,团队成员持有PDPF(隐私和数据保护认证)、CISA(国际注册信息系统审计师)、CISP(注册信息安全认证)、CISP-A(中国信息系统审计专家)、COBIT5(企业信息化审计与治理管控认证)、ITIL(信息技术基础架构库认证)、CIA(内部控制审计师)、CPA(注册会计师)、税务师等多项国际国内认可的专业认证,参与了百余项各类型数据建模分析与设计、拟IPO企业信息系统审计、信息科技风险审计等项目,拥有丰富的信息系统审计经验。

先进的审计方法持续关注各行业关于信息系统审计监管要求及政策趋势发展,基于自身丰富的行业审计咨询经验,成功建立信息系统核查方法论,开发系统支撑工具。其中在教育行业IPO信息系统审计过程中建立的数据分析方法和核查维度获得了证监会的认可,并作为行业内普适的审计内容。为发行人保荐机构和申报会计师提供了有力的支撑,持续提供行业洞察,推动行业健康发展。

参考文献:

[1] 新一代医院信息系统(NGHIS)设计——体系结构篇

[2] Verizon年度DBIR报告

[3] Verizon年度DBIR报告

 

wei_xin_jie_tu_20210923144728.png