公立医院与群众切身利益联系紧密、社会关注度高，其信息系统资金投入大、业务与信息系统关联紧密已成为现代化医院管理的重要基础内容。强化公立医院信息系统审计，客观评价信息系统使用效益，有利于提升公立医院系统建设水平，促进医疗服务普惠化和便捷化，同时为实现审计监督全覆盖创造了良好条件。在大数据背景下，电子数据、信息系统、系统内控是三位一体的，这三项是医院信息系统审计过程中重要的审计内容。

一是抓住审前调查环节，做好基础信息收集

医院的信息系统一般包括信息管理系统HIS、实验室信息系统LIS、影像信息管理系统PACS、放射信息管理系统RIS、临床应用管理系统CIS、远程医疗系统、协同办公系统OA等。在审前调查阶段审计组可以通过召开座谈会、发放信息系统调查表、实地查看、查阅相关文档等方式全面了解医院信息系统建设运行维护等情况。审查的主要内容包括：医院信息系统招标采购、运行等级保护情况，机房环境、资产配置情况，服务器配置、数量、安全、运维、容灾备份情况，院内信息主管部门机构岗位基本情况，相关规章制度岗位职责制定情况，以及相关审计年度的业务和财务数据采集。

通过调查了解医院主要的业务流程和风险性分析，查找出疑点和突破口，确定审计重点，形成本次审计任务的主导意见和方向，以便更好地为制定详细、操作性强的审计实施方案作准备，为下一阶段现场审计打好基础。

二是抓住内部控制环节，做好疑点排查

信息系统控制的对象是计算机信息系统，由计算机硬件和软件资源、应用系统、数据和相关人员等要素构成。内部控制审计又分为一般控制和应用控制。

1.一般控制审计主要针对安全管理、访问控制、配置管理、责任分离和应急计划等关键领域，以判断保护数据和应用程序的安全。检查医院信息系统基本情况，包括信息系统数量、名称、功能、建设时间、建设过程、投入使用时间、使用范围、基础架构、运行维护等情况，重点关注信息系统立项审批、招投标、建设采购、使用管理等情况。检查医院信息系统数据安全情况，关注系统是否进行容灾备份，检查系统数据的真实性、完整性。检查信息系统安全等级保护制度执行情况，检查网络安全事件应急预案制定、演练和执行情况。

2.应用控制审计是指通过应用系统来实现的业务控制，主要检查各信息系统运行情况，判断信息系统是否需要整合清理，各系统间是否共享数据，关注就诊人员是否能享受“一站式”服务。检查相关信息系统功能是否建立，判断信息系统是否存在功能不完善以及系统是否与院内整体信息系统联网运行的情况。

三是抓住问题取证环节,依法依规定性

公立医院因其按医疗技术水平、收治范服务对象不同划分，相应的信息系统审计可根据不同项目分为共性问题排查和个性问题排查。共性问题一般包括上述内部控制的内容，如系统弱密码、保密协议、容灾备份、信息共享、岗位职责、应急预案及演练等。对应法规可参考《中华人民共和国网络安全法》、《医院信息系统基本功能规范》、《中华人民共和国计算机信息系统安全保护条例》等。个性问题可根据不同医疗机构特性进行具体分析，如综合医院、中医医院、专科医院、康复医院、妇幼保健院等，审计范围可延伸到相应医院的信息系统的内控制度，医院医疗技术水平等级评审实施细则中有关信息系统项目的具体要求，国家有关特定类型医院的具体法规细则，如《全国医院信息化建设标准与规范（试行）》、《中医医院信息化建设基本规范》、《中医医院信息系统基本功能规范》、《远程医疗信息系统技术规范》等。