公立醫院信息系統審計思路及關鍵點探討

摘要：隨著我國醫院信息化項目建設投入的逐年增加、信息系統的普及率不斷上升，諸多問題和風險也逐漸暴露。面對外部政策要求、內部管理驅動和業務發展需要，中國科學技術大學附屬第一醫院（安徽省立醫院）按照“上下結合、橫向聯動”的審計思路，探索開展信息系統審計，將審計關鍵點聚焦立項規劃、預算管理、招標采購、建設管理、驗收與運維、網絡和信息安全、合同管理、內部控制等方面，在揭示風險隱患、推進內部控制管理、提升實戰能力等方面取得了良好的工作成效，期望為公立醫院開展信息系統審計提供參考和借鑒。

關鍵詞：公立醫院；信息系統；內部審計；審計關鍵點

0 引言

信息化項目是指以計算機、通信技術及其他現代信息技術為主要手段的信息網絡建設、信息應用系統建設、信息資源利用開發、數據更新和利用、信息安全保障等項目[1]。中國醫院信息化建設經歷了從單機版軟件到部門業務信息管理系統，從內部信息化向外延伸至區域衛生信息化和醫療協同，從移動醫療、遠程醫療、“互聯網+醫療”到滿足互操作性的異構信息系統數據交換平臺的過程[2]。調查結果顯示，2021—2022年，我國醫院信息化投入平均金額為936.24萬元，約有87.7%的醫院每年均編制固定的信息化建設預算，投入主要來源于醫院自籌資金[3]。

隨著我國醫院信息化項目建設投入的逐年增加、信息系統普及率的不斷上升[4]，需求變更、項目延期、技術缺陷、安全漏洞等諸多問題和風險也逐漸暴露。這些問題可能導致項目無法達到預期成效，甚至造成重大損失。信息系統審計作為對醫院投資信息化項目的一種審計形式，能夠有效提升系統建設質量、控制潛在風險、提高資金使用效益，對于提升醫院精細管理和服務質量具有重要的現實意義。本文以中國科學技術大學附屬第一醫院（安徽省立醫院）（以下簡稱“A醫院”）為例，探索公立醫院信息系統的審計思路及關鍵點，以期為公立醫院開展信息系統審計提供參考和借鑒。

1 信息系統審計的必要性

1.1 外部政策要求

黨的十八大以來，黨中央高度重視網絡安全和信息化工作，相應的政策法規和標準層出不窮[5]。2016年，《國務院辦公廳關于促進和規范健康醫療大數據應用發展的指導意見》（國辦發〔2016〕47號）發布，提出要推進醫院信息化應用發展。之后，國家衛生計生委辦公廳印發《醫院信息化建設應用技術指引（2017年版 試行）》（國衛辦規劃函〔2017〕1232號）、國家衛生健康委印發《全國醫院信息化建設標準與規范（試行）》（國衛辦規劃發〔2018〕4號）、國家衛生健康委辦公廳和國家中醫藥局辦公廳聯合印發《公立醫院運營管理信息化功能指引》（國衛辦財務函〔2022〕126號）等，引導和規范各級各類公立醫院信息化應用建設。面對新形勢、新要求，公立醫院內部審計工作也要審時度勢、順勢而為，準確把握內部審計角色的調整和定位，全面落實上級監管要求。

1.2 內部管理驅動

信息系統建設是推動醫院管理創新、技術創新和制度創新的有效手段，也是醫院改善就醫體驗、實現高質量發展的必由之路。一方面，醫院信息系統涵蓋醫療、護理、科研、管理等不同專業領域，其在建設過程中涉及上、中、下游不同業務板塊，普遍存在業務需求復雜、整體技術體系更新快、系統價值標準不統一等特點，迫切需要加強以防范風險為導向的信息系統審計；另一方面，內部審計作為公立醫院自身的約束機制，是醫院管理的重要組成要素[6]，隨著公立醫院經濟運行壓力逐漸加大和節約型醫院建設要求的提出，亟須以推進和提質增效為目標，強化內部審計監督管理，實現經濟事項全過程管控。

1.3 業務發展需要

近年來，政府審計查處的信息化項目領域的腐敗案件層出不窮，給國家造成了嚴重的經濟損失，使信息化項目受到廣泛重視和關注。醫院信息系統由于投入成本高、建設周期長、利益相關方多，也是審計中不可忽視的領域。然而，受限于醫院信息系統復雜性，以及跨專業復合型審計人才的缺乏，內部審計鮮少開展此類項目。各醫療機構內部審計部門之間橫向的技術交流不多，經驗積累不夠，與2017年《衛生計生系統內部審計工作規定》中“審計全覆蓋”的工作要求存在一定差距[7]，需要內部審計部門結合工作實際積極研究和摸索。

2 A醫院信息系統審計的總體思路及流程

2.1 總體思路

信息系統審計是根據公認的標準和指導規范，對信息系統從規劃、實施到運行維護各個環節進行審查評價，對信息系統及其業務應用的安全性、有效性、可靠性等進行檢查、評估和控制，以確定預定的業務目標是否得以實現，并提出一系列改進建議的管理活動[8]。

近年來，A醫院已基本覆蓋多院區管理、醫療、護理、財務運營、后勤保障等平臺，信息化管理及應用程度較高。基于A醫院信息系統復雜、涉及使用部門繁多且為內部審計部門首次嘗試的審計項目，按照“上下結合、橫向聯動”的審計思路，開展對信息系統立項規劃、招標采購、建設管理、驗收與運維、網絡和信息安全等方面的全流程、事后審計。

2.2 審計流程

信息系統審計流程與一般審計無根本性區別，主要分為準備階段、實施階段、審計報告階段和后續整改階段。其中，準備階段包括制訂年度審計計劃、組建審計組、開展審前調查和編制審計實施方案；實施階段包括下達審計通知書、召開審計進點會、現場審計、進行審計取證、整理審計工作底稿；審計報告階段包括形成審計報告（征求意見稿）、溝通反饋、修改審計報告（征求意見稿）并重新征求意見、出具審計報告；后續整改階段包括送達審計報告和審計整改通知書、檢查審計整改落實情況、審計文書歸檔等。

3 A醫院信息系統審計的關鍵點

審計部門梳理A醫院信息系統建設的全部業務流程，識別各項業務的風險點和薄弱環節，合理區分業務流程，發現A醫院將審計關鍵點聚焦在立項規劃、預算管理、招標采購、系統建設管理、驗收與運維、網絡和信息安全、合同管理、內部控制8個方面，主要采取資料審查、現場檢查、數據測試、跟班作業和人員訪談等方式。

3.1 立項規劃審計

3.1.1 立項管理

通過查看A醫院信息系統立項建議書、可行性研究報告等，評估系統立項的合理性，系統需求是否充分、全面，是否符合實際工作需要，是否存在因可行性研究報告論證不充分導致的資源浪費，如不必要的系統重建或功能冗余等。

3.1.2 設計規劃

通過查看A醫院信息系統項目批準文件、初步與詳細設計方案等，審查設計方案是否翔實、合理、基于本單位工作實際且具有可持續性，是否存在因設計規劃不周或評審流程缺失導致的軟硬件采購不當，或者未經評審提前實施軟硬件采購造成損失浪費等。

3.1.3 審批程序

通過查看A醫院信息系統審批流程單、“三重一大”會議記錄等，審查立項審批程序是否符合醫院相關規定，50萬元及以上的信息類項目是否經“三重一大”集體決策；是否存在未履行審批程序、先建設后立項等。

3.2 預算管理審計

通過查看A醫院信息系統立項文件、預算文件、預算委員會會議記錄、采購文件等，審查采購預算編制、批復、調整是否合理、合規，是否納入年度采購計劃并經醫院集體決策審批；臨時計劃預算審批是否合規；項目的實際執行情況與預算批復中規定的內容、數量和標準是否一致；采購額度是否超預算，如超預算是否有追加預算審批手續等。

3.3 招標采購審計

3.3.1 參數制定

通過查看A醫院信息系統參數編制文件、參數論證報告、需求調研報告等，審查參數是否存在指定品牌或限定供應商，是否有排他性或指向性；技術參數是否經過充分論證；制定和審核參數是否經過充分市場調研；關鍵技術指標是否過多，導致競爭不充分且易廢標；“非單一來源采購”項目參數是否至少滿足3個投標人等。

3.3.2 招標文件編制與確定

通過查看A醫院信息系統預算文件、采購文件、采購計劃等，審查采購文件評分分值設定是否合理；是否設置了行政區域、特定行業業績或獎項等其他不符合的資格條件；是否設置歧視性準入條件，排斥潛在供應商；設置的投標保證金、履約保證金是否規范合理；招標文件中對投標文件的編寫、遞交、開標時間、保證金等內容是否描述完整，各種期限設置是否合規等。

3.3.3 采購程序

通過查看A醫院信息系統采購計劃、采購文件、投標文件、開標記錄、評標報告、專家簽到表等，審查采購程序是否符合規定方式和流程，是否存在拆分項目進行招投標、規避審批的情況；抽取評標專家是否符合規定時限；是否存在投標人不足3個，或者通過資格審查或符合性審查的投標人不足3個，仍然開標或評標；是否存在圍標、串標行為（不同投標人的投標文件內容高度相似、文件混裝，或投標保證金來源相同）等。

3.3.4 質疑和投訴處理

通過查看A醫院信息系統采購文件、采購答疑文件、質疑函、投訴函等，審查是否在規定時間內對質疑函進行答復；對質疑成立的采購項目是否按規定調整或重新開展采購活動；本單位或招標代理機構接到直接投訴，以及上級部門轉來的投訴，是否按規定暫停采購，是否進行調查處理并在規定時間內進行答復等。

3.4 系統建設管理審計

3.4.1 系統建設管理

通過查看A醫院系統檢查、數據測試、跟班作業等，審查信息系統實際功能模塊、功能點是否與合同約定項目需求一致；是否有重復建設、數據庫重復情況，如多個系統功能均是處理同一類業務，造成數據重復錄入等。

3.4.2 系統變更管理

通過查看A醫院信息系統采購合同、系統變更簽證單、專家論證報告等，審查是否存在系統變更；合同約定的變更前置條件是否滿足；重大變更是否經專家論證備案；變更價款計算是否準確、合理；變更引起的規模變大、標準提高是否已履行變更審批程序等。

3.4.3 系統使用績效

通過查看A醫院信息系統績效評估報告，現場調取系統用戶注冊情況、用戶登錄使用日志，訪談信息部門項目負責人及相關使用部門人員等，審查信息系統建成后錄入數據占數據總量的百分比，是否存在長時間未登錄造成系統閑置；是否系統已經閑置但仍未下線，每年尚需支付運維費用；是否系統運行不足5年下架等。

3.5 驗收與運維審計

3.5.1 系統驗收

通過查看A醫院信息系統驗收報告，審查驗收組的組建是否符合相關規定；重大項目是否組織專家聯合驗收；驗收程序是否符合驗收規范及相關規定；驗收簽署意見是否明確、齊全；源代碼是否交付；是否存在未完工提前驗收，或者未按合同約定時限驗收；是否完成相關培訓及落實售后服務措施等。

3.5.2 運行維護

通過查看A醫院信息系統設備布設、維護保養記錄、維保人員駐點簽到表等，審查是否存在運維記錄不完整；異常設備未及時維護；設備未正常使用、布設不合理、設備丟失等。

3.6 網絡和信息安全審計

3.6.1 數據備份管理

通過查看A醫院信息系統數據備份記錄、系統操作日志、備份文件數據、備份服務器硬盤空間等，審查是否及時進行數據備份；是否異地存儲；備份數據恢復演練是否每季度定期開展；部分系統核心數據每天是否進行一次全備份和增量備份；重要業務信息、系統數據及軟件系統等是否規定備份方式、備份頻度、存儲介質、保存期、備份與恢復策略、備份恢復程序等。

3.6.2 系統權限分配

通過查看A醫院信息系統操作日志、日常巡檢記錄、系統用戶清單等，審查各個用戶和系統管理員權限分配情況；是否存在超級管理員、權限分配和相關制度是否一致；是否存在權限授權范圍過大，如第三方運維人員權限過高；是否存在測試或管理員公共賬號；離職員工是否及時被取消權限等。

3.6.3 數據安全管理

通過查看A醫院信息系統等級保護測評報告、安全保密協議，系統檢查網絡傳輸協議設置等，審查電子病歷、醫保、藥品、費用管理等系統傳輸方式是否符合安全需要，如通過HTTPS協議傳輸；等級保護備案是否按規定開展；是否落實容災備份相關規定；第三方運維公司及人員是否按要求簽訂保密協議；停用項目是否及時完成清退程序等。

3.6.4 應急管理和安全報告

通過查看A醫院信息系統故障處理記錄、網絡安全事件應急預案、網絡安全應急演練記錄等，審查是否明確應急處置流程和權限；是否定期開展安全應急演練；發生安全事件的，是否按應急處置程序進行及時報告和處理；應急處置記錄是否完備等。

3.7 合同管理審計

3.7.1 合同審簽

通過查看A醫院信息系統采購文件、投標文件、采購合同、合同審簽表、中標通知書等，審查待審簽合同是否經過醫院合法性審查，涉及“三重一大”事項的合同是否經院辦公會集體決議；合同條款有無改變招投標實質性內容，是否按照中標通知書的項目內容、金額和中標供應商、期限簽訂合同內容；合同條款中有無網絡安全要求、知識產權等約定；合同續簽及時間是否符合相關規定；是否有合同倒簽情況，如合同簽訂時間不能在中標之前等。

3.7.2 合同執行

通過查看A醫院信息系統采購合同、驗收報告、處罰單、財務原始憑證等，審查系統交付時間與合同規定是否相符，并對任何延期情況按照合同條款進行相應的違約金扣除；資金支付是否遵循合同中約定的供應商、支付方式等條款；是否存在未完成驗收程序即全額支付款項的情況，或者是否存在項目款項支付延遲問題等。

3.8 內部控制審計

通過查看A醫院制度體系、崗位職責、業務流程設計、業務流程處理等，審查是否設立信息化管理委員會，以及其他管理機構并履行職責；是否貫徹執行國家、本省等上級部門出臺的規章制度，以及信息化建設的相關規定和行業規范；是否建立信息化項目建設管理、規劃立項、采購驗收、出入庫管理、定期盤點等制度并有效實施；不相容崗位是否分離；關鍵崗位是否定期輪崗；是否按照授權權限審批等。

4 A醫院實踐成效

4.1 精準發力，全面揭示風險隱患

按照A醫院部署和年度審計計劃安排，內部審計部門對2019—2023年A醫院實施的70項信息化建設項目進行了細致的專項審計，精準識別并全面揭示了A醫院信息化建設和運營的潛在風險隱患，發現存在信息化項目建設制度機制不健全、政策文件執行不嚴格、管理責任落實不到位、系統安全防護不規范等12項問題，推動了A醫院內部控制和風險管理的持續改進。

4.2 對標整改，持續推進內部控制管理

內部審計部門借鑒審計機關信息系統審計、網絡安全和信息化建設審計等經驗做法，結合上級部門規章制度和A醫院管理要求，提出信息化項目和資金管理方面的8條審計建議；將“審計委員會指導整改”“審計處督促整改”“信息中心落實整改”有效銜接、同頻共振，推動A醫院信息中心按照“問題清單、任務清單和整改清單”的要求，“立行立改”整改2項、“分階段”整改10項，有效整改審計中發現的問題，落實審計部門提出的建議。

4.3 以審代訓，有效提升實戰能力

內部審計部門把握審計工作時、度、效，一方面，深化審計組織方式，邀請計算機領域專家加入審計組，組建“專精尖”審計團隊；另一方面，深化同紀檢監察、組織人事、財務運營等部門的貫通協同，在信息共享、監督協調、線索移交和問題整改等機制上實現聯動配合。通過本次審計，內部審計部門拓寬了審計業務范圍，展現了全新的審計視野，使得內部審計人員在交流中互鑒、在實踐中歷練、在監督中服務，有效提升了團隊實戰能力和業務水平。

5 結語

開展醫院信息系統審計有利于從預算著手控水分、從參數制定入手把合法、從內部控制出發防風險、從合同履行切入把落地，切實發揮內部審計工作監督和服務并重的實質性作用，既是新發展格局理念下審計自身業務發展的必然要求，又是促進信息系統建設規范化、效益化，推進醫院治理體系和治理能力的必經之路。然而，信息系統審計處于起步階段，審計業務范圍、內容、方法等還需要結合內外部環境、醫院管理模式及信息化建設等發展變化，進行不斷探索和完善。未來信息系統審計的發展必將是多方向、多專題、多層次的。

5.1 加強同行協調聯動，建立信息系統價格庫

醫院信息系統審計可尋求主管部門的支持和幫助，協調聯動省內醫療機構，積極探索建立公立醫院信息系統價格庫，將各單位信息系統相關軟硬件產品中標價等維護至價格庫內，作為歷史數據積累和數據比對基礎；通過對同一時間段內、不同醫院的橫向對比，或者對同一醫院在不同時間段內的縱向對比，發現采購合同中對于同型號、同配置軟硬件的價格差異，不斷摸索規律，總結積累經驗，為后續相關項目的開展打好基礎。

5.2 搭建大數據審計平臺，前置審計監督關口

相較于政府審計，內部審計部門有天然優勢，能夠直接獲取和對接院內各個信息管理系統。醫院可以基于數據中心，建立大數據審計平臺，將信息系統建設和管理過程中的關鍵控制點嵌入平臺。大數據審計平臺設置多維化預警指標、自動篩選疑點數據，通過數據對比分析，著力發現苗頭性、傾向性問題，強化風險感知預警，前置審計監督關口，推動審計工作從“財務型”向“效益型”拓展，從“項目化”向“常態化”轉型，賦能醫院高質量發展。

參考文獻

[1]王晶．信息化項目管理存在的問題及對策研究：以南京市規劃和自然資源局為例[J].江蘇科技信息，2022，39（23）：43-45．

[2]沈劍峰．現代醫院信息化建設和策略與實踐[M].北京：人民衛生出版社，2019．

[3]中國醫院協會信息專業委員會．《CHIMA發布：2021—2022年度中國醫院信息化狀況調查報告》[EB/OL]．（2023-02-22）[2024-09-17]．https：//www.chima.org.cn/Html/News/Articles/16012.html．

[4]姚涵，孟曉陽，盧濤，等．智能化技術趨勢下醫院信息化建設研究[J].中國醫院管理，2023，43（12）：60-63．

[5]譚健，程銘，賈志剛，等．某大型公立醫院醫療設備數據安全管理實踐與思考[J].中國醫院，2023，27（2）：102-104．

[6]蘇永萍，吳偉，俞濮陽，等．新形勢下公立醫院內部審計的現實困境與實施路徑[J].衛生經濟研究，2021，38（4）：60-62，68．

[7]祝芳芳，操禮慶，程敏，等．高質量發展背景下公立醫院數字化審計平臺建設與應用[J].中國衛生經濟，2023，42（10）：80-84．

[8]羅明．黨政企事業單位信息系統審計與實踐[J].中國管理信息化，2012，15（19）：28-30．

收稿日期：2024-10-17

作者簡介：

祝芳芳，女，1985年生，碩士研究生，副主任衛生管理師，主要研究方向：醫院管理、內部審計。

肖磊，男，1983年生，碩士研究生，中級審計師，主要研究方向：大數據審計、政府審計。

王海峰，男，1985年生，本科，中級工程師，主要研究方向：工程審計、內部審計。

王濤，男，1985年生，碩士研究生，中級經濟師，主要研究方向：醫學工程、信息管理。

基金項目：中國衛生經濟學會衛生健康經濟管理第二十二批重點研究課題“基于大數據背景下的公立醫院內部審計探索和研究”（CHEA2122040202）；安徽省內部審計協會2021—2022年度內部審計科研課題“業審融合背景下公立醫院運營管理流程再造”（AHNSKT21-2207）。