Internal Control in Hospitals (Challenging & Impact)

Co-writing With AI

In the dynamic and complex healthcare landscape, hospitals face numerous challenges in ensuring efficient operations, safeguarding assets, and maintaining compliance with regulatory requirements. Internal control systems play a pivotal role in addressing these challenges, fostering accountability, and promoting effective risk management practices within healthcare organizations. This article delves into the significance of internal control in hospitals, its components, and its impact on various aspects of hospital operations.

Internal control is a multifaceted process designed to provide reasonable assurance regarding the achievement of an organization's objectives in operational effectiveness and efficiency, reliable financial reporting, and compliance with applicable laws and regulations [1]. In the context of hospitals, internal control systems are essential for maintaining high-quality patient care, ensuring financial integrity, and mitigating risks associated with healthcare delivery.

the CIA Triad

The CIA triad, a foundational concept in IT security, stands for Confidentiality, Integrity, and Availability. It is sometimes referred to as the AIC triad in other contexts.

Risk appetite vs Risk tolerance

ระดับความเสี่ยงที่ยอมรับได้ (risk appetite) เป็นความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นค่าเป้าหมาย (ค่าเดียว) หรือช่วงโดยระดับความเสี่ยงที่ยอมรับได้ ต้องสอดคล้องกับเป้าหมายขององค์กร(ประจำปีที่ระบุในแผนปฏิบัติงานประจำปี)

ระดับเบี่ยงเบนที่ยอมรับได้ (risk tolerance) เป็นช่วงเบี่ยงของระดับความเสี่ยงที่องค์กรยอมรับได้ โดยระดับเบี่ยงเบนที่ยอมรับได้ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ได้ระบุไว้ (ในแผนปฏิบัติงานประจำปี) ถ้าไม่มีการระบุ ควรเป็นค่าที่ได้ผ่านการอนุมัติแล้ว (เช่น ผ่านการอนุมัติจากคณะกรรมการบริหารองค์กร)

Intrusion Detection System (IDS) --- ระบบตรวจจับการบุกรุก

 ระบบตรวจจับการบุกรุก (IDS) หรือ Intrusion Detection System เป็นเครื่องมือที่ใช้สำหรับการรักษาความปลอดภัยของระบบคอมพิวเตอร์ โดยตรวจจับและแจ้งเตือนเมื่อมีการบุกรุกหรือสิ่งที่ผิดปกติเกิดขึ้นในระบบ ซึ่ง IDS มีบทบาทสำคัญในการเฝ้าระวังและป้องกันการโจมตีเครือข่าย แม้ว่า IDS จะไม่สามารถป้องกันการโจมตีได้ แต่มีประโยชน์ในการตรวจจับความพยายามของผู้ใช้ที่ได้รับอนุญาตในการเข้าถึงไฟล์หรือใช้โปรแกรมที่ไม่ได้รับอนุญาต.

ระบบ IDS สามารถแบ่งเป็นสองประเภทหลัก:

1. ระบบตรวจจับการบุกรุกรูปแบบระบบเฝ้าระวัง (Network-based IDS, NIDS): ตรวจจับการบุกรุกในระบบเครือข่าย โดยตรวจสอบการกระทำที่เกิดขึ้นในระบบเครือข่าย และแจ้งเตือนผู้ดูแลระบบเมื่อมีการโจมตีหรือพยายามที่จะบุกรุกเครือข่าย.
2. ระบบตรวจจับการบุกรุกรูปแบบระบบโฮสต์ (Host-based IDS, HIDS): ตรวจจับการบุกรุกในระบบโฮสต์ โดยตรวจสอบการกระทำที่เกิดขึ้นในเซิร์ฟเวอร์หรือคอมพิวเตอร์เดี่ยว และแจ้งเตือนผู้ดูแลระบบเมื่อมีการโจมตีหรือพยายามที่จะบุกรุกระบบโฮสต์.

ข้อควรระวัง:

• IDS ไม่สามารถป้องกันไม่ให้ข้อมูลถูกโจมตีได้ แต่เป็นระบบที่คอยแจ้งเตือนภัยเมื่อมีการบุกรุกหรือพยายามที่จะบุกรุกเครือข่าย.
• การตรวจจับของ IDS อาจไม่สามารถตรวจจับความพยายามของผู้ใช้ที่ได้รับอนุญาตในการเข้าถึงไฟล์หรือใช้โปรแกรมที่ไม่ได้รับอนุญาตได้.

ภัยคุกคาม (Threat)

ภัยคุกคาม (Threat) คือสิ่งที่อาจจะก่อให้เกิดความเสียหายต่อคุณสมบัติของข้อมูลในด้านต่างๆ ภัยคุกคามอาจมีลักษณะเป็นการโจมตี (Attack) หรือการบุกรุกเครือข่าย ซึ่งสามารถทำลายข้อมูล หรือทำให้ระบบไม่สามารถใช้งานได้ นอกจากนี้ การเปิดเผยข้อมูล (Disclosure) การหลอกลวงหรือการให้ข้อมูลที่เป็นเท็จ (Deception) และการควบคุมระบบโดยไม่ได้รับอนุญาต (Usurpation) ก็ถือเป็นส่วนหนึ่งของภัยคุกคาม

เอกสารที่ต้องจัดทำตามมาตรฐาน ISO14001:2015

 

Who is responsible for developing procedures??? --- หน้าที่ในการเขียนคู่มือการปฏิบัติงานคือใคร !!!

หน้าที่ในการเขียนคู่มือหรือขั้นตอนการปฏิบัติงาน ... คือใคร หรือหน่วยงานใหน??? มักจะเป็นคำถามที่ถูกถามเมื่อเริ่มต้นในการนำระบบมาตรฐานมาใช้ในองค์กร 

บางหน่วยงานคาดหวังให้ทีมคุณภาพเป็นผู้เขียน คุณภาพก็อาจจะบอกว่ามันใช่หน้าที่ของฉัน??? ก่อนอื่นต้องเข้าใจก่อนว่าคู่มือหรือขั้นตอนการปฏิบัติงาน เป็นเอกสารที่ถูกจัดทำเพื่อเป็นแนวทางในการทำงาน เป็นขั้นตอนการปฏิบัติงาน หรือวิธีการที่กำหนดไว้เพื่อใช้ในการปฏิบัติงาน ดังนั้นโดยทั่วไปแล้วคู่มือหรือขั้นตอนการปฏิบัติงานจะถูกจัดทำ หรือเขียนโดยเจ้าของกระบวนการ (Process owner)  เช่น คู่มือการผลิต ก็ควรเป็นของทีมผลิต คู่มือการจัดการความเสี่ยง ก็ควรเป็นของทีมความเสี่ยง คู่มือการตรวจสอบภายในก็ควรเป็นของทีมตรวจสอบภายใน เนื่องจากเจ้าของกระบวนการจะทราบรายละเอียดขั้นตอนการทำงานดีที่สุด

นิทานสั้น: "รหัสผ่านที่ปลอดภัย"

ในหมู่บ้านเล็ก ๆ แห่งหนึ่ง มีเด็กชายชื่อ "น้อย" ที่ชอบเล่นเกมออนไลน์เป็นชีวิตจิตใจ น้อยมีเพื่อนสนิทชื่อ "จ้อย" ที่มักจะเล่นเกมด้วยกันเสมอ วันหนึ่ง น้อยได้พบกับเหตุการณ์ที่ทำให้เขาเรียนรู้ถึงความสำคัญของการใช้รหัสผ่านที่ปลอดภัย

ประกาศกระทวงมหาดไทยกำหนดสีถังขยะ

กระทรวงมหาดไทยได้ออกประกาศ เรื่องการจัดการมูลฝอย ปี พ.ศ.2567 เมื่อวันที่ 11 มีนาคม 2567 โดยอาศัยอำนาจตาม พรบ.รักษาความสะอาดแบะความเป็นระเบียบเรียบร้อยของบ้านเมือง พ.ศ.2560 กำหนดสีของถังขยะ ดังนี้

• สีน้ำเงิน สำหรับมูลฝอยทั่วไป
• สีเขียว สำหรับมูลฝอยอินทรีย์
• สีเหลือง สำหรับมูลฝอยนำกลับมาใช้ใหม่
• สีส้ม สำหรับมูลฝอยที่เป็นพิษ หรืออันตราย
• สีแดง สำหรับมูลฝอยติดเชื้อ

---

ข้อมูลเพิ่มเติม

• https://ratchakitcha.soc.go.th/documents/21482.pdf

ประเภทของเอกสารคุณภาพ

ไม่มีข้อกำหนดในระบบมาตรฐานที่แบ่งประเภทของเอกสารอย่าชัดเจน แต่โดยทั่วไปสามารถแบ่งออกเป็นหลายประเภทตามหน้าที่และความสำคัญ ดังนี้:

• นโยบาย (Policy), คู่มือคุณภาพ (Quality Manual: QM): เป็นแนวทาง หลักการ หรือแนวปฏิบัติที่กำหนดไว้เพื่อเป็นแนวทางในการตัดสินใจ หรือดำเนินการเกี่ยวกับเรื่องใดเรื่องหนึ่ง ที่ถูกกำหนดโดยองค์กร เพื่อเป็นแนวทางในการดำเนินงาน บริหารจัดการ และควบคุมดูแลกิจกรรมต่างๆ

• ระเบียบปฏิบัติ (Standard Procedure: SP / Quality Procedure: QP): เอกสารที่อธิบายลำดับขั้นตอน หรือวิธีการที่กำหนดไว้เพื่อเป็นแนวทางในการปฏิบัติงาน ซึ่งองค์กรได้กำหนดไว้