当前，医院对信息系统的依赖程度越来越高，资金投入也越来越大，医院信息系统的审计成为医院审计的重点内容，也为实现审计监督全覆盖创造了良好条件。笔者认为，医院信息系统审计可以从总体控制审计、一般控制审计、应用控制审计三个方面展开。

一、总体控制审计

通过召开座谈会、发放信息系统调查表、实地查看、查阅相关文档等方式全面了解医院信息系统建设运行维护等情况。医院信息系统总体控制审计主要审查的内容包括：医院信息系统投资情况、相关规章是否体现卫生部、国家中医药管理局、物价部门等制定的医疗服务项目规范、收费规范，以及HIS系统建设规范等，检查机房、主机和终端、安全、运维、IT投资和灾备回复等方面的规章制度和操作规程是否健全。对信息科技部门基本情况和岗位设置情况展开调查，评价职责分离的充分性。医院的信息系统包括信息管理系统HIS、实验室信息系统LIS、影像信息管理系统PACS、放射信息管理系统RIS、临床应用管理系统CIS、远程医疗系统、协同办公系统OA等。通过调查表了解医院主要的业务流程和风险性分析，选择关键业务流程，确定了信息管理系统HIS系统为医院重点审计的的信息系统。了解HIS系统中的电子数据基本情况，如数据库类型、版本、配套数据字典以及导入导出可行性等。在此基础上明确一般控制审计和应用控制审计重点。

二、一般控制审计

一般控制审计主要针对安全管理、访问控制、配置管理、责任分离和应急计划等关键领域，以判断保护数据和应用程序的安全。根据《中华人民共和国计算机信息系统安全保护条例》对医院的机房进行实地考察，审查相关水、火灾探测设备，灭火装置、UPS续电设备、空调、门禁等安全设施是否齐全，是否制定岗位职责管理办法对机房安全进行管理。通过上机查看、模拟操作，利用组建的局域网和基于备份数据还原模拟的信息系统等方式核对用户的权限，审查是否存在系统模块控制问题或系统访问安全控制方面的问题。如发现部分信息系统登陆用户密码为空存在安全隐患。

三、应用控制审计

应用控制是指通过应用系统来实现的业务控制，审计主要包括业务流程控制审计和数据输入、处理、输出控制审计。主要审查医院信息系统业务流程设计是否完备，是否能够满足当前业务需要。审查是否存在业务系统相互独立导致的重复操作等情况。如耗材的出入库管理使用系统独立于医院信息系统导致两个系统各自为战，针对2个系统的重复操作导致同一种耗材在两个系统中显示的名称、规格、单位等信息不一致的问题。如体检管理系统未与信息系统整合，导致财务统计重复操作。是否对药品、材料等加成率设置信息系统参数以防止加成率超标的问题。审查数据录入、导入接口是否符合行业规范，是否建立了用户身份与权限体系并制定了控制数据录入和导入的制度规范。如可能存在系统中录入不规范的无效记录，存在耗材的名称在录入耗材出入库管理系统（此为单独系统）时未使用标准的名称，而采用名称简写、约定的常用名，同一种耗材在每次入库时录入的名称不一样，同一个耗材编号对应多个名称，不同的耗材编号对应同一个名称，耗材的规格、单位、厂家名称在录入时也不规范、不统一，有些甚至不录入规格、单位或厂家名称等信息。可能存在由于系统没有在途药品功能，导致没有发票号的药品无法录入药库系统，造成系统库存与账面不符。（王芳）