公立医院信息系统审计思路及关键点探讨.docVIP

公立医院信息系统审计思路及关键点探讨

摘要：随着我国医院信息化项目建设投入的逐年增加、信息系统的普及率不断上升，诸多问题和风险也逐渐暴露。面对外部政策要求、内部管理驱动和业务发展需要，中国科学技术大学附属第一医院（安徽省立医院）按照“上下结合、横向联动”的审计思路，探索开展信息系统审计，将审计关键点聚焦立项规划、预算管理、招标采购、建设管理、验收与运维、网络和信息安全、合同管理、内部控制等方面，在揭示风险隐患、推进内部控制管理、提升实战能力等方面取得了良好的工作成效，期望为公立医院开展信息系统审计提供参考和借鉴。

关键词：公立医院；信息系统；内部审计；审计关键点

0引言

信息化项目是指以计算机、通信技术及其他现代信息技术为主要手段的信息网络建设、信息应用系统建设、信息资源利用开发、数据更新和利用、信息安全保障等项目[1]。中国医院信息化建设经历了从单机版软件到部门业务信息管理系统，从内部信息化向外延伸至区域卫生信息化和医疗协同，从移动医疗、远程医疗、“互联网+医疗”到满足互操作性的异构信息系统数据交换平台的过程[2]。调查结果显示，2021—2022年，我国医院信息化投入平均金额为936.24万元，约有87.7%的医院每年均编制固定的信息化建设预算，投入主要来源于医院自筹资金[3]。

随着我国医院信息化项目建设投入的逐年增加、信息系统普及率的不断上升[4]，需求变更、项目延期、技术缺陷、安全漏洞等诸多问题和风险也逐渐暴露。这些问题可能导致项目无法达到预期成效，甚至造成重大损失。信息系统审计作为对医院投资信息化项目的一种审计形式，能够有效提升系统建设质量、控制潜在风险、提高资金使用效益，对于提升医院精细管理和服务质量具有重要的现实意义。本文以中国科学技术大学附属第一医院（安徽省立医院）（以下简称“A医院”）为例，探索公立医院信息系统的审计思路及关键点，以期为公立医院开展信息系统审计提供参考和借鉴。

1信息系统审计的必要性

1.1外部政策要求

党的十八大以来，党中央高度重视网络安全和信息化工作，相应的政策法规和标准层出不穷[5]。2016年，《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》（国办发〔2016〕47号）发布，提出要推进医院信息化应用发展。之后，国家卫生计生委办公厅印发《医院信息化建设应用技术指引（2017年版试行）》（国卫办规划函〔2017〕1232号）、国家卫生健康委印发《全国医院信息化建设标准与规范（试行）》（国卫办规划发〔2018〕4号）、国家卫生健康委办公厅和国家中医药局办公厅联合印发《公立医院运营管理信息化功能指引》（国卫办财务函〔2022〕126号）等，引导和规范各级各类公立医院信息化应用建设。面对新形势、新要求，公立医院内部审计工作也要审时度势、顺势而为，准确把握内部审计角色的调整和定位，全面落实上级监管要求。

1.2内部管理驱动

信息系统建设是推动医院管理创新、技术创新和制度创新的有效手段，也是医院改善就医体验、实现高质量发展的必由之路。一方面，医院信息系统涵盖医疗、护理、科研、管理等不同专业领域，其在建设过程中涉及上、中、下游不同业务板块，普遍存在业务需求复杂、整体技术体系更新快、系统价值标准不统一等特点，迫切需要加强以防范风险为导向的信息系统审计；另一方面，内部审计作为公立医院自身的约束机制，是医院管理的重要组成要素[6]，随着公立医院经济运行压力逐渐加大和节约型医院建设要求的提出，亟须以推进和提质增效为目标，强化内部审计监督管理，实现经济事项全过程管控。

1.3业务发展需要

近年来，政府审计查处的信息化项目领域的腐败案件层出不穷，给国家造成了严重的经济损失，使信息化项目受到广泛重视和关注。医院信息系统由于投入成本高、建设周期长、利益相关方多，也是审计中不可忽视的领域。然而，受限于医院信息系统复杂性，以及跨专业复合型审计人才的缺乏，内部审计鲜少开展此类项目。各医疗机构内部审计部门之间横向的技术交流不多，经验积累不够，与2017年《卫生计生系统内部审计工作规定》中“审计全覆盖”的工作要求存在一定差距[7]，需要内部审计部门结合工作实际积极研究和摸索。

2A医院信息系统审计的总体思路及流程

2.1总体思路

信息系统审计是根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的安全性、有效性、可靠性等进行检查、评估和控制，以确定预定的业务目标是否得以实现，并提出一系列改进建议的管理活动[8]。

近年来，A医院已基本覆盖多院区管理、医疗、护理、财务运营、后勤保障等平台，信息化管理及应用程度较高。基于A医院信息系统复杂、涉及使用部门繁多且为内部审计部门首次尝试的审计项目，按照“上下结合、横向联动”的审计思路，开展对信息系统立项规划