随着信息技术的不断发展，公立医院信息化程度日益提高，涵盖医院业务全流程的各种信息系统，为患者就医和医院经营管理等提供便利的同时，也对审计工作提出更高的要求，做好信息系统审计已成为公立医院审计的关键。结合审计实践，笔者认为，开展公立医院信息系统审计应主要关注以下几个重点内容。

医改信息化政策落实情况。一是全民健康信息化建设情况。结合各级政策文件要求，实地查看全民健康信息平台应用情况，是否及时接入区域全民健康信息平台，居民电子健康档案、电子病历等是否及时更新，是否与区域内医疗机构实现数据共享，为辖区居民提供连续性基本医疗和健康管理。二是医共体信息化建设情况。了解上级和本级医共体建设实施方案和要求文件，审查公立医院作为区域医共体建设核心，是否按照规划方案要求，积极推进医共体信息一体化平台建设，各医共体成员单位间超声诊断中心、临床检验中心、医学影像中心等线上远程医疗和转诊协作是否畅通，是否有效实现让“数据多跑路，群众少跑腿”。

系统总体规划情况。一是关注系统现状。通过座谈交流及调阅资料，并设计信息系统调查表，摸清医院信息系统基本情况，包括在用、在建信息系统底数，各系统主要功能模块，建设资金管理使用等情况。二是关注规划建设合理性。通过查阅医院信息化建设规划、系统建设论证、决策会议记录等资料，查看医院信息建设是否合理，是否存在前期论证不充分、超出规划内容盲目新建系统，未经集体决策擅自开展建设等情况；结合卫健、医保等部门规划要求，查看医院信息系统建设是否存在主管部门已有系统仍重复建设、系统数据与医保等部门系统不联通等问题。

系统建设采购情况。一是关注建设程序情况。通过查看医院信息系统招投标、合同、验收记录等资料，关注项目立项、招投标、竣工验收等环节是否符合规定要求，是否存在应招标未招标私自签订合同、应验收未验收等问题。二是关注信息系统软件造价情况。根据系统建设方案、建设日志等，结合系统实际建成情况，核实完成功能点和工作量，关注是否存在虚报工作量、未实现设计功能、配套设备不合格、监理验收不到位等问题。三是关注系统建设款项支付情况。了解各系统合同款项支付期、实际已支付款项，结合财务付款凭证审查，查看是否超期支付、拖欠付款、未验收已付全款等问题。

系统数据真实完整性情况。根据医院信息系统调查表，将各信息系统的组织结构、功能、业务处理流程、生命周期等整理成一张关系图，选取图中关键互通节点、时间节点，模拟实际业务场景进行数据唯一性、完整性测试。一是关注内部系统间数据联通情况，是否存在医院管理信息系统HIS与检验管理系统LIS、影像信息管理系统PACS、库存管理、查体管理等业务系统间数据未联通共享、或已联通但关键字段关联性不强，形成“条块分割、信息孤岛”，导致医院收入和成本核算等数据不准确的问题。二是关注系统功能缺陷情况，是否存在系统表格编码逻辑不完善、系统手工录入等人为因素限制不足、系统更新数据丢失等导致医院信息系统数据管理失控、影响医院业务真实完整性的问题。

系统执行医疗政策情况。走访信息科、采购科、物流科和相关临床科室，了解各系统功能模块具体内容、实际操作流程，调取医院HIS、PACS、LIS、RIS、药品耗材采购、查体管理等系统数据，通过研究分析系统关键数据表格结构，结合医疗政策，构建方法模型，开展数据分析，揭示群众“看病贵”问题。一是关注医疗收费情况。核实收费合规性，是否存在自立项目收费、擅自提高收费标准、分解收费、应收费未收费等问题。二是关注药品耗材采购情况。核实医院集中带量采购约定量完成情况，是否存在医院通过大量使用非中选产品和可替代产品，为获得高额“回扣”不积极参与集中带量采购等问题；核实线下应急采购情况，是否存在线下采购比例过高、同一产品频繁申请临时采购等问题。

系统应用效果情况。一是服务群众效果。通过查看信息系统诊疗模块操作流程，实地调查了解部分患者，关注系统便门服务效果，是否存在便民就医类信息系统设计不合理导致群众“看病难”等问题。二是内部管理效果。通过对门诊、住院等主要业务操作流程的实地调查，并现场盘点药品耗材、医疗设备等实物资产，研究医院系统内部控制功能设置，重点关注信息系统对主营业务流程、实物资产内部管理控制有效性，是否存在关键管控点未设置不相容岗位账号进行审核监督、未形成定期校对机制，导致系统业务收费控制不严、实物资产管理流于形式等问题。

系统网络和数据安全情况。一是安全防护情况。设计信息系统运行情况调查表，结合系统安全方面制度等资料，查看医院系统安全管理和防护情况，是否按要求对信息系统进行定级、备案和测评，信息系统是否进行容灾备份、是否留存网络日志，网络安全应急机制是否完善等。二是系统权限保密管理。利用医院各业务系统日志、安全扫描工具等现场查看医院信息系统，关注医院系统访问、数据库和服务器安全性，检查用户权限配置是否符合系统流程设计；信息系统的数据库、操作系统、机房等最高管理员权限是否委托企业人员管理使用；是否与信息化建设和运维企业、人员签订安全保密协议，是否对关键数据岗位人员开展必要的安全背景审查和培训等。毕鹏云