医院信息系统建设的现状及存在的问题分析

何 莉，王联熙

(云南省审计厅，云南 昆明 650021)

党的十九大报告将“实施健康中国战略”作为国家发展基本方略中的重要内容，习近平总书记明确提出要“将健康融入所有政策，人民共建共享”，强调“没有全民健康，就没有全面小康，要把人民健康放在优先发展的战略地位”。随着国家各级政府对医疗健康行业的重视，对医院信息化建设的资金投入越来越大，医院信息系统信息化建设飞速发展，医院对信息系统的依赖程度也越来越高，HIS、PACS、LIS、EMR等管理和临床信息系统的应用在医院的各个环节，涉及医疗活动的全过程。但部分医院信息系统的建设和管理缺乏有效的监督和检查，存在各信息系统业务不能协同，产生了海量数据缺乏有效利用，收费等经济行为不能有力监督等问题。因此，定期和不定期开展医院信息系统审计，并对医疗服务过程产生的大数据进行适时分析和评价，梳理数据流和资金流数据之间的勾稽关系[1]，清理医院信息系统的风险防控点具有非常重要的意义。它不仅可及时规范信息系统建设行为，进一步提高医院信息系统的安全性、可靠性和完整性。同时还能规范医疗服务行为，加强对医疗服务质量过程的管理，达到全面改善医疗服务能力和水平的目的。

1 医院信息系统现状

医院信息系统对人流、物流和资金流等进行综合管理，为医疗服务活动过程产生的海量数据进行采集、处理和分析，提供全面和系统的管理服务。目前，医院信息系统主要有以下几种：

一是医院管理信息系统(HIS)。系统主要由收费、住院、药品管理等子系统构成，数据流主要是财务数据。有些还含有电子医嘱管理或电子病历管理系统等。

二是医院临床医疗信息系统(CIS)。该系统主要由门诊、急诊、住院、病人护理、ICU、医技和辅助医疗等子系统组成。数据流主要是针对病人在诊疗过程中产生的有关数据与信息，为医护人员提供更多、更快和更好的服务，提高工作效率和诊疗质量。

三是其他系统。按照社会的发展及各项改革的要求，医院信息系统不仅仅要与医疗行业内部的保险、社区医疗、远程医疗咨询系统等相关系统进行连接，同时，需要与人社、卫生、民政、扶贫和公安等外部单位数据进行连接，提供医疗信息和数据共享接口[2]。

近年来，我国医院的信息化建设已取得一定的成就，医院信息系统对医院的科学管理和提高医疗服务水平的作用日益突出。但是，绝大多数医院的信息系统，特别是经济欠发达地区的医院，信息化发展还处于比较低的水平。

2 医院信息系统存在的问题

人们对健康的需求逐年提高，要求医疗服务的全过程更加公开透明，医务人员的医疗行为更为规范，医院的一切医疗业务活动通过信息系统进行准确记录。目前，医院通常使用的信息系统在建设、应用和运维等方面存在一些问题。

2.1 缺乏统筹规划和顶层设计

我国正在制定相关的医疗信息系统统一标准，国家层面的统一规划和总体设计稍显滞后，标准、规范和制度不完善，各地区、各医院的数据格式尚未统一。信息系统的建设与应用探索集中在地方层面，各区域内医疗机构的信息系统重复建设，系统功能和模块仅仅考虑满足基本业务需求，信息系统建设规划仅仅考虑本医院或本区域的业务条块，缺乏医疗行业信息系统的整体规划；医院信息系统建设缺乏有效的顶层设计，医疗信息管理软件和开发公司竞争激烈，缺乏标准规范要求，各信息系统设计数据库类型、数据格式等均存在着较大差异；职能部门业务信息系统建设各自为政、数据接口标准不一，“信息孤岛”现象普遍存在，严重制约了社会管理信息的数据融合和资源利用[1]。比如：云南省16家省级医疗机构信息系统建设中，HIS有关的信息系统达到30多个，LIS有关的信息系统达到19个。

2.2 信息系统数据关联度低

信息共享是网络的最大优势，但目前我国医院信息标准化建设处于起步阶段。医院之间的HIS系统互不兼容，自成体系，存在“信息孤岛”现象，严重阻碍了医疗信息共享与医疗服务水平的提高。人社、卫生、民政、扶贫、公安等职能部门建设的信息系统未能达到《中华人民共和国社会保险法》中关于“工商行政管理部门、民政部门和机构编制管理机关应当及时向社会保险经办机构通报用人单位的成立、终止情况，公安机关应当及时向社会保险经办机构通报个人的出生、死亡以及户口登记、迁移、注销等情况”的要求，也未建立切实可行的信息共享联动机制，导致系统之间数据信息关联度低。部分业务系统之间信息和数据不通畅，无法实现区域卫生资源、信息资源和服务资源共享，更无法为群众提供便捷、优质的医疗卫生和医疗保障服务。2016年，国家审计署对曲靖、楚雄、玉溪和大理4个州(市)本级及所辖40个县(市、区)2015年至2016年上半年医疗保险基金筹集管理使用情况进行了审计，审计发现精准扶贫管理系统、医保管理系统、新农合管理信息系统、社会救助管理信息系统和人口管理系统之间数据不共享，导致重复参保、应保未保险等问题[1]。

2.3 软件功能设计不完善

当前，医院信息系统软件还存在一些不足。由于经费或其他原因，医院对系统规划、建设、应用上很难满足预期的功能设计。医院的工作人员局限于本身的专业知识和原有的管理模式，不能很好应用系统软件，无法将系统功能与医院的内部业务流程和管理特点有效结合起来，仅将计算机软件与医院繁琐的业务和各个独立部门简单联系起来，导致软件的作用不能充分发挥，信息系统应用控制较差。数据输入控制缺失、错误数据较多，数据质量不高、可信度低，信息真实性差。医保管理系统内部控制制度不完善，缺乏数据稽核机制，违规报销医保基金现象频发。医保信息系统相关表间数据无强制参照和关联，导致医保业务数据不一致。如，2016年曲靖新型农村合作医疗报销费用中，有3724笔结算信息与病人就诊资料不关联，涉嫌骗保[1]。

2.4 医院信息系统建设缺乏审计监督

医院信息系统硬件、软件、数据文件、系统文档等运行中出现问题，损失不可估量，较轻则会造成各科室业务混乱，影响医院各项业务的正常运转，情况严重则是社会问题。硬件选择是否科学合理；软件设计需求是否结合医院实际，充分满足业务流程和要求，并提供高效的算法；数据安全是否从网络、系统和人员等方面进行保障……要解决这些问题必须引入信息系统审计监督。通过审计，进一步规范医院信息系统建设。

近年来，国家审计机关在医院审计项目中，逐渐将关注点从财务数据向业务数据进行延伸，既关注医院信息系统的真实性、完整性和安全性问题，同时也关注医院财务管理、医疗服务、药品价格执行等问题，按照“揭露问题、规范管理、促进改革”的思路，有针对性地提出意见和建议，改善就医环境，推动医疗体制改革。但是，医院内部审计工作中，涉及信息系统审计内容的工作比较少，内部审计监督职能作用发挥不明显。

3 完善医院信息系统建设的建议

3.1 做好信息资源库的统一规划和管理

首先，应规范信息系统建设标准，要制定数据规划标准，严格按照标准、规范和制度实施。虽然医院信息系统软件开发市场纷繁复杂。良莠不齐好坏难分，但是必须规范医院应用软件需求，统一数据标准和接口，建立起医院信息软件的市场准入机制。其次，要完善医疗信息系统建设、管理等有关法律法规。2015年第十二届全国人民代表大会修正了《中华人民共和国电子签名法》的法律条文，彻底消除了电子病历作为医疗纠纷数据中医疗证据的法律障碍问题，为电子病历在医院的广泛使用提供了法律依据，必将为广大医院普遍使用电子病历，创造出非常有利的条件。另外，行业和单位内部应出台完善的管理制度和规范。

3.2 建立系统数据共享机制

首先，完善和优化信息系统，确保系统数据输入、处理与输出的可控性及接口规范性。相关职能部门对核心业务系统中的不规范数据、冗余数据和垃圾数据进行审查清理，修正并规范身份证号、组织机构代码等关键字段数据，建立数据清理长效机制，确保信息的准确性、完整性、一致性和可靠性。其次，搭建政府部门数据交换平台和政务数据资源池，构建基础信息资源库，满足数据存储、数据交换和共享开放等需求，并依托政务服务平台，向相关职能部门公开数据，促进数据流动和信息共享。

3.3 完善信息系统功能和兼容性

完善医院信息系统临床诊疗、药品管理、综合管理和外部接口等功能。硬件选型时要充分研究系统需求和性能，以性价比最高为原则，使系统建设方案达到最优。根据医疗信息系统涉及的管理部门多，信息交换要求及时等业务特点，系统设计要兼容性强，扩充灵活，维护方便。

3.4 加强信息系统审计监督

可引入信息系统审计监督，定期不定期对医院信息系统进行审计。审计人员从独立、客观、公正的第三方角度，对信息系统建设过程，系统的管理和运行进行审计，对信息系统及相应的内部控制进行评价[5]。近10年，国家审计机关非常重视信息系统审计工作，采取“独立式”和“结合式”审计的方式开展审计项目，通过医院信息系统数据分析真实性和合规性，维护医疗保险基金安全，并推动了各行业信息系统的高效使用。如：某医院范某某三年内共发生门诊费用17.8万元，其中购氯吡格雷75 mg×7片共874盒，金额合计11.13万元，可服用6118天；饶某某三年内发生门诊药品费用44万元，其中仅2014年购入氯吡格雷464盒，金额合计6.4万元，可服用3248天。某医院有170多个住院金额完全相同的病例，金额都在5千元左右，有34例都是4322.97元[4]。信息系统审计方法和技巧，一是总体控制审计。审计主要内容有：投资情况、相关规章、医疗服务项目规范、收费规范、HIS系统建设规范、信息化建设和管理部门人员的岗位设置情况及人员职责分离的充分性。可通过召开座谈会、调查表、实地查看、查阅相关文档等方式了解信息系统基本情况；选择关键业务流程，如数据库类型、版本、配套数据字典以及导入导出可行性等，了解医院主要的业务流程和风险性分析。二是一般控制审计。主要包括安全管理、访问控制、配置管理、责任分离和应急计划等方面。根据《中华人民共和国计算机信息系统安全保护条例》查看相关水、火灾探测设备，灭火装置、UPS续电设备、空调、门禁等安全设施的齐全性，岗位职责管理办法制度遵守情况，核对用户的权限是否安全有效，系统模块控制和访问安全控制是否合理有效。三是应用控制审计，审计主要内容有业务流程控制审计，数据输入、处理和输出控制审计等。