［摘要］随着“健康中国2030”战略的深入推进和医药卫生体制改革的深化，公立医院的信息化建设已从传统的“工具辅助”阶段迈入“数据驱动”的智慧医院新阶段。信息系统深度融入医院管理、临床诊疗、科研教学的各个环节，成为医院高效运营和高质量发展的核心引擎。然而，信息技术的双刃剑效应也日益凸显，系统复杂性、数据爆炸性增长以及内外部监管要求的提升，使公立医院面临前所未有的运营风险、数据安全风险与合规风险。在此背景下，传统审计模式已难以应对新挑战，开展系统化、常态化的信息化审计变得至关重要。本文旨在深入剖析新时期公立医院开展信息化审计的重要性，全面分析当前实践中的主要困境，并在此基础上，构建一套科学、系统、可操作的公立医院信息化实践路径，旨在为提升公立医院治理现代化水平、保障国有资产安全、维护患者权益提供理论参考与实践指南。

　　［关键词］公立医院；信息化审计；内部审计；风险管理；实践路径

　　0引言

　　公立医院是我国医疗服务体系的主体，承担着为人民群众提供基本医疗服务、应对重大公共卫生事件、引领医学科技发展的重要责任。近年来，以电子病历（EMR）、医院信息平台（HIP）、临床决策支持系统（CDSS）、物联网（IoT）、云计算、大数据、人工智能（AI）为代表的新一代信息技术在公立医院得到广泛应用，极大地提升了医疗服务效率与质量。信息化已从可选项变为生存与发展的必选项。

　　然而，信息技术的深度嵌入也重构了医院的风险图谱。信息系统的可靠性、安全性、合规性直接关系到医疗质量安全、医院经济运营效率和患者隐私权益。HIS系统漏洞可能导致收费错误或医保基金流失；电子病历系统权限管理不当可能引发大规模数据泄露；药品供应链系统缺陷可能造成资产流失；新兴的互联网医院、远程医疗等业态带来了全新的监管挑战。传统的财务收支审计、合规性审计主要关注业务结果，而对产生这些结果的“信息系统”本身缺乏有效的监督与评价能力，形成了“黑箱”式的审计盲区[1]。

　　1公立医院信息化审计的重要性

　　信息化审计并非简单地将审计工作计算机化，而是指“对医院信息系统的规划、开发、实施、运行、维护等全过程，以及其安全性、可靠性、有效性、效率性和合规性进行独立的检查、评估与监督活动”。其重要性体现在以下四个层面。

　　1.1保障医院资产安全，提升运营效率的“守护者”

　　公立医院的资产规模庞大，现金流活跃，药品、耗材等物资种类繁多、价值高昂。信息系统几乎管控了所有经济活动的流程[2]。

　　（1）防止资产流失：通过审计HIS系统中的收费项目、价格标准、折扣规则、医保对照关系等，可及时发现因系统缺陷或人为操作导致的多收、漏收、错收问题，确保医院收入完整。通过对物资管理、库存管理、高值耗材追溯等系统的审计，可以监控采购、入库、领用、消耗等环节，防止“跑冒滴漏”，降低运营成本。

　　（2）提升资源配置效率：信息化审计可以分析信息系统中的数据，评估设备使用率、床位周转率、平均住院日、人员工作效率等关键绩效指标（KPI），为医院优化资源配置、提升运营管理精细化水平提供数据支撑和决策建议。

　　1.2确保数据真实可靠，赋能科学决策的“质检员”

　　数据是新时代的生产要素，也是医院管理决策的基础。数据的质量直接决定决策的质量。

　　（1）保证数据完整性、准确性：信息化审计通过检查数据录入、处理、传输、存储的全流程，验证数据是否被未经授权地修改或破坏，确保医疗数据、财务数据、管理数据的真实、准确与完整。这是DRG/DIP医保支付改革、医院等级评审、临床科研等工作的生命线。

　　（2）强化决策支持能力：高质量的数据是医院大数据分析、临床科研、医院发展战略制定的前提。信息化审计为数据应用提供了可信度保障，基于数据的决策更加科学、精准，推动医院从经验管理向数据驱动管理转型。

　　1.3防控信息系统风险，保护患者隐私的“安全阀”

　　信息系统自身的安全性是医院面临的重大挑战。

　　（1）评估与强化网络安全：信息化审计通过漏洞扫描、渗透测试、安全策略审查等手段，全面评估网络架构、访问控制、数据加密、灾备恢复等机制的有效性，及时发现安全隐患，提出加固建议，抵御外部攻击和内部威胁，保障业务连续性。

　　（2）严守患者隐私红线：《网络安全法》《数据安全法》《个人信息保护法》等法律法规对患者隐私保护提出了极其严格的要求。信息化审计通过检查信息系统的权限管理、日志记录、数据脱敏、隐私政策执行情况，确保患者信息在收集、使用、共享过程中的合法合规，严防信息泄露事件，维护医院声誉和患者信任。

　　1.4促进合规经营，满足内外部监管的“合规官”

　　公立医院运营受到医保、财政、卫健、审计等多部门的严格监管。

　　（1）应对医保基金监管：在医保基金强监管时代，智能审核、飞行检查成为常态。信息化审计可以前置性地对医保结算数据、诊疗行为数据进行常态化监测与分析，模拟医保审核规则，主动发现可能存在的不合理收费、不合理诊疗、欺诈骗保等风险点，督促整改，帮助医院从容应对外部医保审计，避免巨额罚款与声誉损失[3]。

　　（2）满足行业政策要求：《公立医院内部控制管理办法》《三级医院评审标准（2022年版）》等文件均明确要求加强对信息系统、大数据的审计监督。开展信息化审计是医院落实国家政策、完善内部治理体系、实现高质量发展的重要体现。

　　2当前公立医院信息化审计实践面临的主要困境

　　尽管重要性凸显，但多数公立医院的信息化审计仍处于起步或探索阶段，面临诸多挑战。

　　2.1认识层面：重视程度不足，审计定位模糊

　　许多医院管理层对信息化审计的理解仍停留在“计算机辅助审计”层面，将其视为IT部门或传统审计部门的一项附加职能，而非一个独立的、战略性的监督体系。未能从医院治理和战略风险的高度进行顶层设计，导致资源投入不足、组织地位不高、审计权威性不够。

　　2.2组织与人才层面：复合型人才极度匮乏，组织模式滞后

　　信息化审计要求审计人员既精通审计理论与方法，又熟悉医院业务（医疗、财务、管理等），还掌握信息技术（数据库、网络、软件开发等）。这种“审计+业务+IT”的复合型人才在医疗行业内凤毛麟角。现有审计人员多为财会背景，IT知识薄弱；而IT人员又缺乏审计思维和业务知识。人才的断层是信息化审计发展的最大瓶颈。同时，独立的信息化审计部门或岗位设置缺失，相关工作多由内部审计部门兼任，难以深入开展。

　　2.3技术与方法层面：工具手段落后，缺乏标准与体系

　　许多医院仍以手工抽查、穿行测试为主，面对海量的异构数据（如HIS、EMR、LIS、PACS等）和复杂的业务逻辑，传统方法效率低下且覆盖面有限。缺乏专业的审计软件、数据分析工具和技术平台（如SQL、Python、BI工具、连续审计模块等）。此外，行业内缺乏统一、权威的信息化审计标准、指南和评价指标体系，审计工作主观性强，质量难以保证。

　　2.4数据与协同层面：数据整合难，部门壁垒森严

　　医院信息系统通常由不同厂商或在不同时期建设，形成多个“信息孤岛”，数据标准不统一，接口复杂，给审计数据的全面采集、清洗与整合带来巨大技术挑战。同时，审计部门与信息部门、业务科室之间的协同机制不畅。信息部门可能视审计为对其工作的“挑刺”，业务科室则可能因担心暴露问题而产生抵触情绪，导致审计工作难以获取必要的支持与配合[4]。

　　3公立医院信息化审计的实践路径构建

　　为推动公立医院信息化审计从理论走向实践，从零星尝试走向体系化运作，本文构建一个“顶层设计—组织人才—技术方法—实施流程—保障机制”五位一体的实践路径。

　　3.1强化顶层设计，明确战略定位

　　（1）提升认知，纳入规划：医院党政领导班子应率先学习，充分认识到信息化审计是“治未病”的风险管理工具，而非事后追责的手段。将其纳入医院整体发展战略和信息化建设总体规划中，同步规划、同步建设、同步发展。

　　（2）制定章程，明确权责：在医院《内部审计章程》中明确信息化审计的目标、范围、职责、权限和独立性，赋予其必要的资源与权威，直接向医院党委或董事会（理事会）负责，并报告工作。

　　3.2创新组织模式，打造复合型团队

　　（1）设立专门岗位或小组：在内部审计部门下设立“信息化审计岗”或“数据审计小组”，条件成熟的大型医院可探索设立独立的“信息系统审计办公室”。

　　（2）构建多元化人才队伍：招聘兼具医学信息学、计算机科学和审计学背景的人才；加强对现有审计人员的IT技能培训（如SQL查询、数据分析软件），对IT人员进行审计和业务知识培训；建立专家库，在特定审计项目中引入外部IT专家或第三方专业机构。

　　（3）建立协同联动机制：建立由院领导牵头，审计、信息、医务、财务、医保、设备、药学等部门共同参与的信息化审计联席会议制度，定期沟通，破除部门壁垒，形成监督合力。

　　3.3应用先进技术，构建审计平台

　　（1）引入与开发审计工具：积极引入成熟的审计软件（如ACL，IDEA）或利用开源工具（如Python、R）进行数据分析。探索建设“医院审计数据分析平台”，通过ETL技术整合各主要业务系统数据，建立审计数据集市。

　　（2）推行持续审计模式：改变传统周期性审计模式，针对关键风险点（如医保规则、药品折扣、高值耗材使用等），编写审计脚本或模型，部署在审计平台上，实现7×24小时不间断的自动监测、异常预警与持续审计，将审计监督关口前移。

　　（3）探索智能审计应用：积极探索应用大数据分析、机器学习、自然语言处理（NLP）等AI技术，对非结构化的电子病历文本、影像数据等进行深度分析，发现潜在的临床路径偏离、医疗质量风险等新模式、新问题。

　　3.4规范审计流程，聚焦重点领域

　　建议遵循“风险评估—审计计划—实施执行—报告沟通—跟踪整改”的闭环流程，并重点关注以下领域。

　　（1）一般控制审计：对信息系统的整体环境进行审计，包括IT治理、信息安全、系统开发与变更管理、运维管理等。

　　（2）应用控制审计：对具体业务系统（如HIS，EMR，HRP）的控制有效性进行审计，包括输入控制、处理控制、输出控制、接口控制等。重点示例如下。

　　医保合规性审计：构建医保规则库，自动比对诊疗记录与收费记录，筛查分解住院、挂床住院、虚构医疗服务、超标准收费等疑点。

　　药品与耗材审计：追踪药品从采购、入库、发药到计费的全程流向，分析进销存数据，审计“统方”行为，监控异常处方。

　　固定资产审计：通过物联网数据与财务系统数据比对，审计设备使用效率、闲置情况及生命周期管理。

　　（3）数据审计：对关键数据的准确性、完整性、一致性进行验证，为其他审计活动提供可靠基础。

　　（4）新兴领域审计：关注互联网诊疗、远程医疗、医疗大数据应用等新业务模式中的信息安全、隐私保护和合规风险。

　　3.5健全保障机制，培育审计文化

　　（1）完善制度标准：制定《信息化审计实施办法》《数据安全审计指南》等内部制度，规范审计作业标准。

　　（2）重视沟通与反馈：审计报告不仅要指出问题，更要提出具有建设性的、可操作的改进建议。加强与业务部门的沟通，帮助其理解问题根源并落实整改，变“对立”为“共赢”。

　　（3）强化整改跟踪：建立审计问题台账，对整改情况进行持续跟踪和“回头看”，确保审计成果落到实处，形成管理闭环。

　　（4）培育风险导向的审计文化：通过宣传和培训，在全院范围内倡导“数据驱动决策、风险导向管理”的文化，实现全员理解、支持，并积极参与信息化审计工作。

　　4结论与展望

　　在数字经济时代，公立医院的高质量发展离不开高水平的信息化建设，更离不开与之相匹配的高效能信息化审计监督体系。信息化审计是公立医院健全现代治理体系、应对内外风险挑战、实现可持续发展的战略性选择和必然要求。当前实践虽面临认知、人才、技术等多重困境，但通过强化顶层设计、创新组织模式、应用智能技术、规范审计流程、健全保障机制的系统性实践路径，公立医院完全可以逐步构建起适合自身特色的信息化审计能力。

　　未来，随着技术的迭代和政策的完善，公立医院信息化审计的内涵与外延将进一步拓展。它将从传统的合规性审计，更多地向绩效审计、战略审计延伸；从关注单个系统，向评估全院级信息平台和生态演进；审计手段将更加智能化、自动化、常态化。最终，信息化审计将成为公立医院价值创造的促进者和数字化转型的护航者，为“健康中国”战略的实现贡献不可或缺的审计力量。

主要参考文献

　　［1］廖菁，李竺芮，苏昱霖.公立医院研究型内部审计的实践框架及路径研究：以大型医用设备绩效审计为例［J］.卫生经济研究，2025，42（2）：67-71.

　　［2］邱英，詹俐.公立医院购买社会审计服务的动因、实施路径及策略研究［J］.中国卫生经济，2023，42（11）：78-81.

　　［3］刘平，张秀娜，沈慧芝，等.公立医院内部审计与纪检联动实施路径研究［J］.医院管理论坛，2024，41（5）：6-8.

　　［4］丁月蓉.公立医院提升内部审计质量管理路径研究［J］.经济师，2024（11）：107-108.