公立醫(yī)院信息系統(tǒng)審計(jì)思路及關(guān)鍵點(diǎn)探討

摘要：隨著我國(guó)醫(yī)院信息化項(xiàng)目建設(shè)投入的逐年增加、信息系統(tǒng)的普及率不斷上升，諸多問(wèn)題和風(fēng)險(xiǎn)也逐漸暴露。面對(duì)外部政策要求、內(nèi)部管理驅(qū)動(dòng)和業(yè)務(wù)發(fā)展需要，中國(guó)科學(xué)技術(shù)大學(xué)附屬第一醫(yī)院（安徽省立醫(yī)院）按照“上下結(jié)合、橫向聯(lián)動(dòng)”的審計(jì)思路，探索開展信息系統(tǒng)審計(jì)，將審計(jì)關(guān)鍵點(diǎn)聚焦立項(xiàng)規(guī)劃、預(yù)算管理、招標(biāo)采購(gòu)、建設(shè)管理、驗(yàn)收與運(yùn)維、網(wǎng)絡(luò)和信息安全、合同管理、內(nèi)部控制等方面，在揭示風(fēng)險(xiǎn)隱患、推進(jìn)內(nèi)部控制管理、提升實(shí)戰(zhàn)能力等方面取得了良好的工作成效，期望為公立醫(yī)院開展信息系統(tǒng)審計(jì)提供參考和借鑒。

關(guān)鍵詞：公立醫(yī)院；信息系統(tǒng)；內(nèi)部審計(jì)；審計(jì)關(guān)鍵點(diǎn)

0 引言

信息化項(xiàng)目是指以計(jì)算機(jī)、通信技術(shù)及其他現(xiàn)代信息技術(shù)為主要手段的信息網(wǎng)絡(luò)建設(shè)、信息應(yīng)用系統(tǒng)建設(shè)、信息資源利用開發(fā)、數(shù)據(jù)更新和利用、信息安全保障等項(xiàng)目[1]。中國(guó)醫(yī)院信息化建設(shè)經(jīng)歷了從單機(jī)版軟件到部門業(yè)務(wù)信息管理系統(tǒng)，從內(nèi)部信息化向外延伸至區(qū)域衛(wèi)生信息化和醫(yī)療協(xié)同，從移動(dòng)醫(yī)療、遠(yuǎn)程醫(yī)療、“互聯(lián)網(wǎng)+醫(yī)療”到滿足互操作性的異構(gòu)信息系統(tǒng)數(shù)據(jù)交換平臺(tái)的過(guò)程[2]。調(diào)查結(jié)果顯示，2021—2022年，我國(guó)醫(yī)院信息化投入平均金額為936.24萬(wàn)元，約有87.7%的醫(yī)院每年均編制固定的信息化建設(shè)預(yù)算，投入主要來(lái)源于醫(yī)院自籌資金[3]。

隨著我國(guó)醫(yī)院信息化項(xiàng)目建設(shè)投入的逐年增加、信息系統(tǒng)普及率的不斷上升[4]，需求變更、項(xiàng)目延期、技術(shù)缺陷、安全漏洞等諸多問(wèn)題和風(fēng)險(xiǎn)也逐漸暴露。這些問(wèn)題可能導(dǎo)致項(xiàng)目無(wú)法達(dá)到預(yù)期成效，甚至造成重大損失。信息系統(tǒng)審計(jì)作為對(duì)醫(yī)院投資信息化項(xiàng)目的一種審計(jì)形式，能夠有效提升系統(tǒng)建設(shè)質(zhì)量、控制潛在風(fēng)險(xiǎn)、提高資金使用效益，對(duì)于提升醫(yī)院精細(xì)管理和服務(wù)質(zhì)量具有重要的現(xiàn)實(shí)意義。本文以中國(guó)科學(xué)技術(shù)大學(xué)附屬第一醫(yī)院（安徽省立醫(yī)院）（以下簡(jiǎn)稱“A醫(yī)院”）為例，探索公立醫(yī)院信息系統(tǒng)的審計(jì)思路及關(guān)鍵點(diǎn)，以期為公立醫(yī)院開展信息系統(tǒng)審計(jì)提供參考和借鑒。

1 信息系統(tǒng)審計(jì)的必要性

1.1 外部政策要求

黨的十八大以來(lái)，黨中央高度重視網(wǎng)絡(luò)安全和信息化工作，相應(yīng)的政策法規(guī)和標(biāo)準(zhǔn)層出不窮[5]。2016年，《國(guó)務(wù)院辦公廳關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》（國(guó)辦發(fā)〔2016〕47號(hào)）發(fā)布，提出要推進(jìn)醫(yī)院信息化應(yīng)用發(fā)展。之后，國(guó)家衛(wèi)生計(jì)生委辦公廳印發(fā)《醫(yī)院信息化建設(shè)應(yīng)用技術(shù)指引（2017年版 試行）》（國(guó)衛(wèi)辦規(guī)劃函〔2017〕1232號(hào)）、國(guó)家衛(wèi)生健康委印發(fā)《全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）》（國(guó)衛(wèi)辦規(guī)劃發(fā)〔2018〕4號(hào)）、國(guó)家衛(wèi)生健康委辦公廳和國(guó)家中醫(yī)藥局辦公廳聯(lián)合印發(fā)《公立醫(yī)院運(yùn)營(yíng)管理信息化功能指引》（國(guó)衛(wèi)辦財(cái)務(wù)函〔2022〕126號(hào)）等，引導(dǎo)和規(guī)范各級(jí)各類公立醫(yī)院信息化應(yīng)用建設(shè)。面對(duì)新形勢(shì)、新要求，公立醫(yī)院內(nèi)部審計(jì)工作也要審時(shí)度勢(shì)、順勢(shì)而為，準(zhǔn)確把握內(nèi)部審計(jì)角色的調(diào)整和定位，全面落實(shí)上級(jí)監(jiān)管要求。

1.2 內(nèi)部管理驅(qū)動(dòng)

信息系統(tǒng)建設(shè)是推動(dòng)醫(yī)院管理創(chuàng)新、技術(shù)創(chuàng)新和制度創(chuàng)新的有效手段，也是醫(yī)院改善就醫(yī)體驗(yàn)、實(shí)現(xiàn)高質(zhì)量發(fā)展的必由之路。一方面，醫(yī)院信息系統(tǒng)涵蓋醫(yī)療、護(hù)理、科研、管理等不同專業(yè)領(lǐng)域，其在建設(shè)過(guò)程中涉及上、中、下游不同業(yè)務(wù)板塊，普遍存在業(yè)務(wù)需求復(fù)雜、整體技術(shù)體系更新快、系統(tǒng)價(jià)值標(biāo)準(zhǔn)不統(tǒng)一等特點(diǎn)，迫切需要加強(qiáng)以防范風(fēng)險(xiǎn)為導(dǎo)向的信息系統(tǒng)審計(jì)；另一方面，內(nèi)部審計(jì)作為公立醫(yī)院自身的約束機(jī)制，是醫(yī)院管理的重要組成要素[6]，隨著公立醫(yī)院經(jīng)濟(jì)運(yùn)行壓力逐漸加大和節(jié)約型醫(yī)院建設(shè)要求的提出，亟須以推進(jìn)和提質(zhì)增效為目標(biāo)，強(qiáng)化內(nèi)部審計(jì)監(jiān)督管理，實(shí)現(xiàn)經(jīng)濟(jì)事項(xiàng)全過(guò)程管控。

1.3 業(yè)務(wù)發(fā)展需要

近年來(lái)，政府審計(jì)查處的信息化項(xiàng)目領(lǐng)域的腐敗案件層出不窮，給國(guó)家造成了嚴(yán)重的經(jīng)濟(jì)損失，使信息化項(xiàng)目受到廣泛重視和關(guān)注。醫(yī)院信息系統(tǒng)由于投入成本高、建設(shè)周期長(zhǎng)、利益相關(guān)方多，也是審計(jì)中不可忽視的領(lǐng)域。然而，受限于醫(yī)院信息系統(tǒng)復(fù)雜性，以及跨專業(yè)復(fù)合型審計(jì)人才的缺乏，內(nèi)部審計(jì)鮮少開展此類項(xiàng)目。各醫(yī)療機(jī)構(gòu)內(nèi)部審計(jì)部門之間橫向的技術(shù)交流不多，經(jīng)驗(yàn)積累不夠，與2017年《衛(wèi)生計(jì)生系統(tǒng)內(nèi)部審計(jì)工作規(guī)定》中“審計(jì)全覆蓋”的工作要求存在一定差距[7]，需要內(nèi)部審計(jì)部門結(jié)合工作實(shí)際積極研究和摸索。

2 A醫(yī)院信息系統(tǒng)審計(jì)的總體思路及流程

2.1 總體思路

信息系統(tǒng)審計(jì)是根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從規(guī)劃、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的安全性、有效性、可靠性等進(jìn)行檢查、評(píng)估和控制，以確定預(yù)定的業(yè)務(wù)目標(biāo)是否得以實(shí)現(xiàn)，并提出一系列改進(jìn)建議的管理活動(dòng)[8]。

近年來(lái)，A醫(yī)院已基本覆蓋多院區(qū)管理、醫(yī)療、護(hù)理、財(cái)務(wù)運(yùn)營(yíng)、后勤保障等平臺(tái)，信息化管理及應(yīng)用程度較高。基于A醫(yī)院信息系統(tǒng)復(fù)雜、涉及使用部門繁多且為內(nèi)部審計(jì)部門首次嘗試的審計(jì)項(xiàng)目，按照“上下結(jié)合、橫向聯(lián)動(dòng)”的審計(jì)思路，開展對(duì)信息系統(tǒng)立項(xiàng)規(guī)劃、招標(biāo)采購(gòu)、建設(shè)管理、驗(yàn)收與運(yùn)維、網(wǎng)絡(luò)和信息安全等方面的全流程、事后審計(jì)。

2.2 審計(jì)流程

信息系統(tǒng)審計(jì)流程與一般審計(jì)無(wú)根本性區(qū)別，主要分為準(zhǔn)備階段、實(shí)施階段、審計(jì)報(bào)告階段和后續(xù)整改階段。其中，準(zhǔn)備階段包括制訂年度審計(jì)計(jì)劃、組建審計(jì)組、開展審前調(diào)查和編制審計(jì)實(shí)施方案；實(shí)施階段包括下達(dá)審計(jì)通知書、召開審計(jì)進(jìn)點(diǎn)會(huì)、現(xiàn)場(chǎng)審計(jì)、進(jìn)行審計(jì)取證、整理審計(jì)工作底稿；審計(jì)報(bào)告階段包括形成審計(jì)報(bào)告（征求意見稿）、溝通反饋、修改審計(jì)報(bào)告（征求意見稿）并重新征求意見、出具審計(jì)報(bào)告；后續(xù)整改階段包括送達(dá)審計(jì)報(bào)告和審計(jì)整改通知書、檢查審計(jì)整改落實(shí)情況、審計(jì)文書歸檔等。

3 A醫(yī)院信息系統(tǒng)審計(jì)的關(guān)鍵點(diǎn)

審計(jì)部門梳理A醫(yī)院信息系統(tǒng)建設(shè)的全部業(yè)務(wù)流程，識(shí)別各項(xiàng)業(yè)務(wù)的風(fēng)險(xiǎn)點(diǎn)和薄弱環(huán)節(jié)，合理區(qū)分業(yè)務(wù)流程，發(fā)現(xiàn)A醫(yī)院將審計(jì)關(guān)鍵點(diǎn)聚焦在立項(xiàng)規(guī)劃、預(yù)算管理、招標(biāo)采購(gòu)、系統(tǒng)建設(shè)管理、驗(yàn)收與運(yùn)維、網(wǎng)絡(luò)和信息安全、合同管理、內(nèi)部控制8個(gè)方面，主要采取資料審查、現(xiàn)場(chǎng)檢查、數(shù)據(jù)測(cè)試、跟班作業(yè)和人員訪談等方式。

3.1 立項(xiàng)規(guī)劃審計(jì)

3.1.1 立項(xiàng)管理

通過(guò)查看A醫(yī)院信息系統(tǒng)立項(xiàng)建議書、可行性研究報(bào)告等，評(píng)估系統(tǒng)立項(xiàng)的合理性，系統(tǒng)需求是否充分、全面，是否符合實(shí)際工作需要，是否存在因可行性研究報(bào)告論證不充分導(dǎo)致的資源浪費(fèi)，如不必要的系統(tǒng)重建或功能冗余等。

3.1.2 設(shè)計(jì)規(guī)劃

通過(guò)查看A醫(yī)院信息系統(tǒng)項(xiàng)目批準(zhǔn)文件、初步與詳細(xì)設(shè)計(jì)方案等，審查設(shè)計(jì)方案是否翔實(shí)、合理、基于本單位工作實(shí)際且具有可持續(xù)性，是否存在因設(shè)計(jì)規(guī)劃不周或評(píng)審流程缺失導(dǎo)致的軟硬件采購(gòu)不當(dāng)，或者未經(jīng)評(píng)審提前實(shí)施軟硬件采購(gòu)造成損失浪費(fèi)等。

3.1.3 審批程序

通過(guò)查看A醫(yī)院信息系統(tǒng)審批流程單、“三重一大”會(huì)議記錄等，審查立項(xiàng)審批程序是否符合醫(yī)院相關(guān)規(guī)定，50萬(wàn)元及以上的信息類項(xiàng)目是否經(jīng)“三重一大”集體決策；是否存在未履行審批程序、先建設(shè)后立項(xiàng)等。

3.2 預(yù)算管理審計(jì)

通過(guò)查看A醫(yī)院信息系統(tǒng)立項(xiàng)文件、預(yù)算文件、預(yù)算委員會(huì)會(huì)議記錄、采購(gòu)文件等，審查采購(gòu)預(yù)算編制、批復(fù)、調(diào)整是否合理、合規(guī)，是否納入年度采購(gòu)計(jì)劃并經(jīng)醫(yī)院集體決策審批；臨時(shí)計(jì)劃預(yù)算審批是否合規(guī)；項(xiàng)目的實(shí)際執(zhí)行情況與預(yù)算批復(fù)中規(guī)定的內(nèi)容、數(shù)量和標(biāo)準(zhǔn)是否一致；采購(gòu)額度是否超預(yù)算，如超預(yù)算是否有追加預(yù)算審批手續(xù)等。

3.3 招標(biāo)采購(gòu)審計(jì)

3.3.1 參數(shù)制定

通過(guò)查看A醫(yī)院信息系統(tǒng)參數(shù)編制文件、參數(shù)論證報(bào)告、需求調(diào)研報(bào)告等，審查參數(shù)是否存在指定品牌或限定供應(yīng)商，是否有排他性或指向性；技術(shù)參數(shù)是否經(jīng)過(guò)充分論證；制定和審核參數(shù)是否經(jīng)過(guò)充分市場(chǎng)調(diào)研；關(guān)鍵技術(shù)指標(biāo)是否過(guò)多，導(dǎo)致競(jìng)爭(zhēng)不充分且易廢標(biāo)；“非單一來(lái)源采購(gòu)”項(xiàng)目參數(shù)是否至少滿足3個(gè)投標(biāo)人等。

3.3.2 招標(biāo)文件編制與確定

通過(guò)查看A醫(yī)院信息系統(tǒng)預(yù)算文件、采購(gòu)文件、采購(gòu)計(jì)劃等，審查采購(gòu)文件評(píng)分分值設(shè)定是否合理；是否設(shè)置了行政區(qū)域、特定行業(yè)業(yè)績(jī)或獎(jiǎng)項(xiàng)等其他不符合的資格條件；是否設(shè)置歧視性準(zhǔn)入條件，排斥潛在供應(yīng)商；設(shè)置的投標(biāo)保證金、履約保證金是否規(guī)范合理；招標(biāo)文件中對(duì)投標(biāo)文件的編寫、遞交、開標(biāo)時(shí)間、保證金等內(nèi)容是否描述完整，各種期限設(shè)置是否合規(guī)等。

3.3.3 采購(gòu)程序

通過(guò)查看A醫(yī)院信息系統(tǒng)采購(gòu)計(jì)劃、采購(gòu)文件、投標(biāo)文件、開標(biāo)記錄、評(píng)標(biāo)報(bào)告、專家簽到表等，審查采購(gòu)程序是否符合規(guī)定方式和流程，是否存在拆分項(xiàng)目進(jìn)行招投標(biāo)、規(guī)避審批的情況；抽取評(píng)標(biāo)專家是否符合規(guī)定時(shí)限；是否存在投標(biāo)人不足3個(gè)，或者通過(guò)資格審查或符合性審查的投標(biāo)人不足3個(gè)，仍然開標(biāo)或評(píng)標(biāo)；是否存在圍標(biāo)、串標(biāo)行為（不同投標(biāo)人的投標(biāo)文件內(nèi)容高度相似、文件混裝，或投標(biāo)保證金來(lái)源相同）等。

3.3.4 質(zhì)疑和投訴處理

通過(guò)查看A醫(yī)院信息系統(tǒng)采購(gòu)文件、采購(gòu)答疑文件、質(zhì)疑函、投訴函等，審查是否在規(guī)定時(shí)間內(nèi)對(duì)質(zhì)疑函進(jìn)行答復(fù)；對(duì)質(zhì)疑成立的采購(gòu)項(xiàng)目是否按規(guī)定調(diào)整或重新開展采購(gòu)活動(dòng)；本單位或招標(biāo)代理機(jī)構(gòu)接到直接投訴，以及上級(jí)部門轉(zhuǎn)來(lái)的投訴，是否按規(guī)定暫停采購(gòu)，是否進(jìn)行調(diào)查處理并在規(guī)定時(shí)間內(nèi)進(jìn)行答復(fù)等。

3.4 系統(tǒng)建設(shè)管理審計(jì)

3.4.1 系統(tǒng)建設(shè)管理

通過(guò)查看A醫(yī)院系統(tǒng)檢查、數(shù)據(jù)測(cè)試、跟班作業(yè)等，審查信息系統(tǒng)實(shí)際功能模塊、功能點(diǎn)是否與合同約定項(xiàng)目需求一致；是否有重復(fù)建設(shè)、數(shù)據(jù)庫(kù)重復(fù)情況，如多個(gè)系統(tǒng)功能均是處理同一類業(yè)務(wù)，造成數(shù)據(jù)重復(fù)錄入等。

3.4.2 系統(tǒng)變更管理

通過(guò)查看A醫(yī)院信息系統(tǒng)采購(gòu)合同、系統(tǒng)變更簽證單、專家論證報(bào)告等，審查是否存在系統(tǒng)變更；合同約定的變更前置條件是否滿足；重大變更是否經(jīng)專家論證備案；變更價(jià)款計(jì)算是否準(zhǔn)確、合理；變更引起的規(guī)模變大、標(biāo)準(zhǔn)提高是否已履行變更審批程序等。

3.4.3 系統(tǒng)使用績(jī)效

通過(guò)查看A醫(yī)院信息系統(tǒng)績(jī)效評(píng)估報(bào)告，現(xiàn)場(chǎng)調(diào)取系統(tǒng)用戶注冊(cè)情況、用戶登錄使用日志，訪談信息部門項(xiàng)目負(fù)責(zé)人及相關(guān)使用部門人員等，審查信息系統(tǒng)建成后錄入數(shù)據(jù)占數(shù)據(jù)總量的百分比，是否存在長(zhǎng)時(shí)間未登錄造成系統(tǒng)閑置；是否系統(tǒng)已經(jīng)閑置但仍未下線，每年尚需支付運(yùn)維費(fèi)用；是否系統(tǒng)運(yùn)行不足5年下架等。

3.5 驗(yàn)收與運(yùn)維審計(jì)

3.5.1 系統(tǒng)驗(yàn)收

通過(guò)查看A醫(yī)院信息系統(tǒng)驗(yàn)收?qǐng)?bào)告，審查驗(yàn)收組的組建是否符合相關(guān)規(guī)定；重大項(xiàng)目是否組織專家聯(lián)合驗(yàn)收；驗(yàn)收程序是否符合驗(yàn)收規(guī)范及相關(guān)規(guī)定；驗(yàn)收簽署意見是否明確、齊全；源代碼是否交付；是否存在未完工提前驗(yàn)收，或者未按合同約定時(shí)限驗(yàn)收；是否完成相關(guān)培訓(xùn)及落實(shí)售后服務(wù)措施等。

3.5.2 運(yùn)行維護(hù)

通過(guò)查看A醫(yī)院信息系統(tǒng)設(shè)備布設(shè)、維護(hù)保養(yǎng)記錄、維保人員駐點(diǎn)簽到表等，審查是否存在運(yùn)維記錄不完整；異常設(shè)備未及時(shí)維護(hù)；設(shè)備未正常使用、布設(shè)不合理、設(shè)備丟失等。

3.6 網(wǎng)絡(luò)和信息安全審計(jì)

3.6.1 數(shù)據(jù)備份管理

通過(guò)查看A醫(yī)院信息系統(tǒng)數(shù)據(jù)備份記錄、系統(tǒng)操作日志、備份文件數(shù)據(jù)、備份服務(wù)器硬盤空間等，審查是否及時(shí)進(jìn)行數(shù)據(jù)備份；是否異地存儲(chǔ)；備份數(shù)據(jù)恢復(fù)演練是否每季度定期開展；部分系統(tǒng)核心數(shù)據(jù)每天是否進(jìn)行一次全備份和增量備份；重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等是否規(guī)定備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期、備份與恢復(fù)策略、備份恢復(fù)程序等。

3.6.2 系統(tǒng)權(quán)限分配

通過(guò)查看A醫(yī)院信息系統(tǒng)操作日志、日常巡檢記錄、系統(tǒng)用戶清單等，審查各個(gè)用戶和系統(tǒng)管理員權(quán)限分配情況；是否存在超級(jí)管理員、權(quán)限分配和相關(guān)制度是否一致；是否存在權(quán)限授權(quán)范圍過(guò)大，如第三方運(yùn)維人員權(quán)限過(guò)高；是否存在測(cè)試或管理員公共賬號(hào)；離職員工是否及時(shí)被取消權(quán)限等。

3.6.3 數(shù)據(jù)安全管理

通過(guò)查看A醫(yī)院信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告、安全保密協(xié)議，系統(tǒng)檢查網(wǎng)絡(luò)傳輸協(xié)議設(shè)置等，審查電子病歷、醫(yī)保、藥品、費(fèi)用管理等系統(tǒng)傳輸方式是否符合安全需要，如通過(guò)HTTPS協(xié)議傳輸；等級(jí)保護(hù)備案是否按規(guī)定開展；是否落實(shí)容災(zāi)備份相關(guān)規(guī)定；第三方運(yùn)維公司及人員是否按要求簽訂保密協(xié)議；停用項(xiàng)目是否及時(shí)完成清退程序等。

3.6.4 應(yīng)急管理和安全報(bào)告

通過(guò)查看A醫(yī)院信息系統(tǒng)故障處理記錄、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案、網(wǎng)絡(luò)安全應(yīng)急演練記錄等，審查是否明確應(yīng)急處置流程和權(quán)限；是否定期開展安全應(yīng)急演練；發(fā)生安全事件的，是否按應(yīng)急處置程序進(jìn)行及時(shí)報(bào)告和處理；應(yīng)急處置記錄是否完備等。

3.7 合同管理審計(jì)

3.7.1 合同審簽

通過(guò)查看A醫(yī)院信息系統(tǒng)采購(gòu)文件、投標(biāo)文件、采購(gòu)合同、合同審簽表、中標(biāo)通知書等，審查待審簽合同是否經(jīng)過(guò)醫(yī)院合法性審查，涉及“三重一大”事項(xiàng)的合同是否經(jīng)院辦公會(huì)集體決議；合同條款有無(wú)改變招投標(biāo)實(shí)質(zhì)性內(nèi)容，是否按照中標(biāo)通知書的項(xiàng)目?jī)?nèi)容、金額和中標(biāo)供應(yīng)商、期限簽訂合同內(nèi)容；合同條款中有無(wú)網(wǎng)絡(luò)安全要求、知識(shí)產(chǎn)權(quán)等約定；合同續(xù)簽及時(shí)間是否符合相關(guān)規(guī)定；是否有合同倒簽情況，如合同簽訂時(shí)間不能在中標(biāo)之前等。

3.7.2 合同執(zhí)行

通過(guò)查看A醫(yī)院信息系統(tǒng)采購(gòu)合同、驗(yàn)收?qǐng)?bào)告、處罰單、財(cái)務(wù)原始憑證等，審查系統(tǒng)交付時(shí)間與合同規(guī)定是否相符，并對(duì)任何延期情況按照合同條款進(jìn)行相應(yīng)的違約金扣除；資金支付是否遵循合同中約定的供應(yīng)商、支付方式等條款；是否存在未完成驗(yàn)收程序即全額支付款項(xiàng)的情況，或者是否存在項(xiàng)目款項(xiàng)支付延遲問(wèn)題等。

3.8 內(nèi)部控制審計(jì)

通過(guò)查看A醫(yī)院制度體系、崗位職責(zé)、業(yè)務(wù)流程設(shè)計(jì)、業(yè)務(wù)流程處理等，審查是否設(shè)立信息化管理委員會(huì)，以及其他管理機(jī)構(gòu)并履行職責(zé)；是否貫徹執(zhí)行國(guó)家、本省等上級(jí)部門出臺(tái)的規(guī)章制度，以及信息化建設(shè)的相關(guān)規(guī)定和行業(yè)規(guī)范；是否建立信息化項(xiàng)目建設(shè)管理、規(guī)劃立項(xiàng)、采購(gòu)驗(yàn)收、出入庫(kù)管理、定期盤點(diǎn)等制度并有效實(shí)施；不相容崗位是否分離；關(guān)鍵崗位是否定期輪崗；是否按照授權(quán)權(quán)限審批等。

4 A醫(yī)院實(shí)踐成效

4.1 精準(zhǔn)發(fā)力，全面揭示風(fēng)險(xiǎn)隱患

按照A醫(yī)院部署和年度審計(jì)計(jì)劃安排，內(nèi)部審計(jì)部門對(duì)2019—2023年A醫(yī)院實(shí)施的70項(xiàng)信息化建設(shè)項(xiàng)目進(jìn)行了細(xì)致的專項(xiàng)審計(jì)，精準(zhǔn)識(shí)別并全面揭示了A醫(yī)院信息化建設(shè)和運(yùn)營(yíng)的潛在風(fēng)險(xiǎn)隱患，發(fā)現(xiàn)存在信息化項(xiàng)目建設(shè)制度機(jī)制不健全、政策文件執(zhí)行不嚴(yán)格、管理責(zé)任落實(shí)不到位、系統(tǒng)安全防護(hù)不規(guī)范等12項(xiàng)問(wèn)題，推動(dòng)了A醫(yī)院內(nèi)部控制和風(fēng)險(xiǎn)管理的持續(xù)改進(jìn)。

4.2 對(duì)標(biāo)整改，持續(xù)推進(jìn)內(nèi)部控制管理

內(nèi)部審計(jì)部門借鑒審計(jì)機(jī)關(guān)信息系統(tǒng)審計(jì)、網(wǎng)絡(luò)安全和信息化建設(shè)審計(jì)等經(jīng)驗(yàn)做法，結(jié)合上級(jí)部門規(guī)章制度和A醫(yī)院管理要求，提出信息化項(xiàng)目和資金管理方面的8條審計(jì)建議；將“審計(jì)委員會(huì)指導(dǎo)整改”“審計(jì)處督促整改”“信息中心落實(shí)整改”有效銜接、同頻共振，推動(dòng)A醫(yī)院信息中心按照“問(wèn)題清單、任務(wù)清單和整改清單”的要求，“立行立改”整改2項(xiàng)、“分階段”整改10項(xiàng)，有效整改審計(jì)中發(fā)現(xiàn)的問(wèn)題，落實(shí)審計(jì)部門提出的建議。

4.3 以審代訓(xùn)，有效提升實(shí)戰(zhàn)能力

內(nèi)部審計(jì)部門把握審計(jì)工作時(shí)、度、效，一方面，深化審計(jì)組織方式，邀請(qǐng)計(jì)算機(jī)領(lǐng)域?qū)＜壹尤雽徲?jì)組，組建“專精尖”審計(jì)團(tuán)隊(duì)；另一方面，深化同紀(jì)檢監(jiān)察、組織人事、財(cái)務(wù)運(yùn)營(yíng)等部門的貫通協(xié)同，在信息共享、監(jiān)督協(xié)調(diào)、線索移交和問(wèn)題整改等機(jī)制上實(shí)現(xiàn)聯(lián)動(dòng)配合。通過(guò)本次審計(jì)，內(nèi)部審計(jì)部門拓寬了審計(jì)業(yè)務(wù)范圍，展現(xiàn)了全新的審計(jì)視野，使得內(nèi)部審計(jì)人員在交流中互鑒、在實(shí)踐中歷練、在監(jiān)督中服務(wù)，有效提升了團(tuán)隊(duì)實(shí)戰(zhàn)能力和業(yè)務(wù)水平。

5 結(jié)語(yǔ)

開展醫(yī)院信息系統(tǒng)審計(jì)有利于從預(yù)算著手控水分、從參數(shù)制定入手把合法、從內(nèi)部控制出發(fā)防風(fēng)險(xiǎn)、從合同履行切入把落地，切實(shí)發(fā)揮內(nèi)部審計(jì)工作監(jiān)督和服務(wù)并重的實(shí)質(zhì)性作用，既是新發(fā)展格局理念下審計(jì)自身業(yè)務(wù)發(fā)展的必然要求，又是促進(jìn)信息系統(tǒng)建設(shè)規(guī)范化、效益化，推進(jìn)醫(yī)院治理體系和治理能力的必經(jīng)之路。然而，信息系統(tǒng)審計(jì)處于起步階段，審計(jì)業(yè)務(wù)范圍、內(nèi)容、方法等還需要結(jié)合內(nèi)外部環(huán)境、醫(yī)院管理模式及信息化建設(shè)等發(fā)展變化，進(jìn)行不斷探索和完善。未來(lái)信息系統(tǒng)審計(jì)的發(fā)展必將是多方向、多專題、多層次的。

5.1 加強(qiáng)同行協(xié)調(diào)聯(lián)動(dòng)，建立信息系統(tǒng)價(jià)格庫(kù)

醫(yī)院信息系統(tǒng)審計(jì)可尋求主管部門的支持和幫助，協(xié)調(diào)聯(lián)動(dòng)省內(nèi)醫(yī)療機(jī)構(gòu)，積極探索建立公立醫(yī)院信息系統(tǒng)價(jià)格庫(kù)，將各單位信息系統(tǒng)相關(guān)軟硬件產(chǎn)品中標(biāo)價(jià)等維護(hù)至價(jià)格庫(kù)內(nèi)，作為歷史數(shù)據(jù)積累和數(shù)據(jù)比對(duì)基礎(chǔ)；通過(guò)對(duì)同一時(shí)間段內(nèi)、不同醫(yī)院的橫向?qū)Ρ?，或者?duì)同一醫(yī)院在不同時(shí)間段內(nèi)的縱向?qū)Ρ?，發(fā)現(xiàn)采購(gòu)合同中對(duì)于同型號(hào)、同配置軟硬件的價(jià)格差異，不斷摸索規(guī)律，總結(jié)積累經(jīng)驗(yàn)，為后續(xù)相關(guān)項(xiàng)目的開展打好基礎(chǔ)。

5.2 搭建大數(shù)據(jù)審計(jì)平臺(tái)，前置審計(jì)監(jiān)督關(guān)口

相較于政府審計(jì)，內(nèi)部審計(jì)部門有天然優(yōu)勢(shì)，能夠直接獲取和對(duì)接院內(nèi)各個(gè)信息管理系統(tǒng)。醫(yī)院可以基于數(shù)據(jù)中心，建立大數(shù)據(jù)審計(jì)平臺(tái)，將信息系統(tǒng)建設(shè)和管理過(guò)程中的關(guān)鍵控制點(diǎn)嵌入平臺(tái)。大數(shù)據(jù)審計(jì)平臺(tái)設(shè)置多維化預(yù)警指標(biāo)、自動(dòng)篩選疑點(diǎn)數(shù)據(jù)，通過(guò)數(shù)據(jù)對(duì)比分析，著力發(fā)現(xiàn)苗頭性、傾向性問(wèn)題，強(qiáng)化風(fēng)險(xiǎn)感知預(yù)警，前置審計(jì)監(jiān)督關(guān)口，推動(dòng)審計(jì)工作從“財(cái)務(wù)型”向“效益型”拓展，從“項(xiàng)目化”向“常態(tài)化”轉(zhuǎn)型，賦能醫(yī)院高質(zhì)量發(fā)展。

參考文獻(xiàn)

[1]王晶．信息化項(xiàng)目管理存在的問(wèn)題及對(duì)策研究：以南京市規(guī)劃和自然資源局為例[J].江蘇科技信息，2022，39（23）：43-45．

[2]沈劍峰．現(xiàn)代醫(yī)院信息化建設(shè)和策略與實(shí)踐[M].北京：人民衛(wèi)生出版社，2019．

[3]中國(guó)醫(yī)院協(xié)會(huì)信息專業(yè)委員會(huì)．《CHIMA發(fā)布：2021—2022年度中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告》[EB/OL]．（2023-02-22）[2024-09-17]．https：//www.chima.org.cn/Html/News/Articles/16012.html．

[4]姚涵，孟曉陽(yáng)，盧濤，等．智能化技術(shù)趨勢(shì)下醫(yī)院信息化建設(shè)研究[J].中國(guó)醫(yī)院管理，2023，43（12）：60-63．

[5]譚健，程銘，賈志剛，等．某大型公立醫(yī)院醫(yī)療設(shè)備數(shù)據(jù)安全管理實(shí)踐與思考[J].中國(guó)醫(yī)院，2023，27（2）：102-104．

[6]蘇永萍，吳偉，俞濮陽(yáng)，等．新形勢(shì)下公立醫(yī)院內(nèi)部審計(jì)的現(xiàn)實(shí)困境與實(shí)施路徑[J].衛(wèi)生經(jīng)濟(jì)研究，2021，38（4）：60-62，68．

[7]祝芳芳，操禮慶，程敏，等．高質(zhì)量發(fā)展背景下公立醫(yī)院數(shù)字化審計(jì)平臺(tái)建設(shè)與應(yīng)用[J].中國(guó)衛(wèi)生經(jīng)濟(jì)，2023，42（10）：80-84．

[8]羅明．黨政企事業(yè)單位信息系統(tǒng)審計(jì)與實(shí)踐[J].中國(guó)管理信息化，2012，15（19）：28-30．

收稿日期：2024-10-17

作者簡(jiǎn)介：

祝芳芳，女，1985年生，碩士研究生，副主任衛(wèi)生管理師，主要研究方向：醫(yī)院管理、內(nèi)部審計(jì)。

肖磊，男，1983年生，碩士研究生，中級(jí)審計(jì)師，主要研究方向：大數(shù)據(jù)審計(jì)、政府審計(jì)。

王海峰，男，1985年生，本科，中級(jí)工程師，主要研究方向：工程審計(jì)、內(nèi)部審計(jì)。

王濤，男，1985年生，碩士研究生，中級(jí)經(jīng)濟(jì)師，主要研究方向：醫(yī)學(xué)工程、信息管理。

基金項(xiàng)目：中國(guó)衛(wèi)生經(jīng)濟(jì)學(xué)會(huì)衛(wèi)生健康經(jīng)濟(jì)管理第二十二批重點(diǎn)研究課題“基于大數(shù)據(jù)背景下的公立醫(yī)院內(nèi)部審計(jì)探索和研究”（CHEA2122040202）；安徽省內(nèi)部審計(jì)協(xié)會(huì)2021—2022年度內(nèi)部審計(jì)科研課題“業(yè)審融合背景下公立醫(yī)院運(yùn)營(yíng)管理流程再造”（AHNSKT21-2207）。