在互聯(lián)互通評級過(guò)程中，某醫院將評級視為政治要求，將任務(wù)安排給信息科負責。由于該醫院信息化建設推進(jìn)過(guò)程中，引入了服務(wù)外包，以滿(mǎn)足本院的業(yè)務(wù)發(fā)展需求，便把評級工作交于廠(chǎng)商負責。本次評審最終失敗。

筆者受邀參與復盤(pán)，談?wù)剛€(gè)人的體會(huì )。

信息系統外包管理，一直是醫院信息化工作的重點(diǎn)。由于信息科底子相對薄弱，中小醫療機構僅靠自身技術(shù)實(shí)力難以快速實(shí)現信息系統建設。為快速提升競爭力，避免信息化成為發(fā)展短板，中小醫療機構采用信息項目外包的方式，實(shí)現大量信息系統建設，為業(yè)務(wù)發(fā)展爭取到了時(shí)機。

但是，信息項目外包也造成了中小醫療機構對服務(wù)提供商的相對依賴(lài)，以及相關(guān)安全隱患的增加。為了將這些負面因素限制在可控范圍內，有健康的信息系統運營(yíng)支撐業(yè)務(wù)發(fā)展，中小醫療機構應在信息項目外包管理領(lǐng)域狠下功夫，尤其是信息項目外包風(fēng)險管理。

因此，對中小醫療機構來(lái)說(shuō)，信息項目外包管理是提升自主可控水平的有力抓手，進(jìn)一步完善信息項目外包管理體系，可以促使醫院信息化得到穩健發(fā)展。

信息項目外包管理模式，就是以風(fēng)險管控為管理目標所形成的一套管理體系。信息項目外包項目的開(kāi)展，可能會(huì )引發(fā)管控能力喪失、信息泄露、服務(wù)中斷、服務(wù)質(zhì)量下降等風(fēng)險發(fā)生。醫療機構應建立相關(guān)管理標準，形成對信息項目外包風(fēng)險的防控措施。

以下就信息項目外包管理模式在風(fēng)險管理方面的舉措進(jìn)行說(shuō)明。

防范管控能力喪失風(fēng)險

管控能力喪失是指，醫院由于資金不到位、信息人員不充足等因素，大范圍開(kāi)展信息項目外包項目，導致醫院過(guò)度依賴(lài)外部資源，從而喪失對項目、技術(shù)、成本的掌控，影響業(yè)務(wù)創(chuàng )新與發(fā)展。

例如，醫療機構采用整體外包的形式，將信息項目外包給外包服務(wù)供應商、托管至其他同業(yè)機構，或將行內的信息項目管理等核心職能外包至外包服務(wù)提供商。這種過(guò)度依賴(lài)乙方的外包模式，會(huì )讓信息項目工作開(kāi)展脫離自身控制。長(cháng)此以往，將喪失對自身信息項目的管控能力，受制于人。

通過(guò)建立信息項目外包管理體系，從外包決策環(huán)節深入評估信息項目外包項目與本單位信息項目發(fā)展戰略、信息項目外包戰略的一致性，風(fēng)險可控性，外包市場(chǎng)環(huán)境成熟度等，可以有效防范管控能力喪失風(fēng)險的發(fā)生。

服務(wù)供應商為醫院提供信息項目外包服務(wù)的過(guò)程中，醫療機構應提高外包項目的參與程度，督促服務(wù)供應商按照合同要求完成對醫院內部人員的培訓與知識轉移工作，做到對關(guān)鍵技術(shù)的掌控。避免由于突發(fā)狀況，導致醫院失去對其技術(shù)的掌控能力，對本醫院業(yè)務(wù)穩定開(kāi)展產(chǎn)生重要影響。

防范信息泄露風(fēng)險

信息泄露是指，服務(wù)提供商非法獲取患者信息等非公開(kāi)數據，從而有可能導致相關(guān)法律風(fēng)險和聲譽(yù)風(fēng)險，給醫院帶來(lái)巨大損失。

信息泄露存在以下幾種情況：第一，外包服務(wù)提供商信息安全管理體系不健全，缺乏相應的安全運維能力，會(huì )導致醫院患者重要信息的泄露；第二，外包人員技術(shù)能力不足，在代碼編寫(xiě)過(guò)程中留有很多技術(shù)漏洞，增加信息泄露風(fēng)險；第三，外包服務(wù)的管理流程不夠規范，上線(xiàn)時(shí)未關(guān)閉服務(wù)端或者客戶(hù)端的調試接口，被黑客利用會(huì )造成不可估量的損失；第四，外包人員故意留存邏輯后門(mén)等。

信息泄露風(fēng)險一般在信息項目外包項目實(shí)施過(guò)程中發(fā)生，對應項目執行與監控這一環(huán)節。為防范信息泄露風(fēng)險，中小醫院應在合同等文本中約定服務(wù)供應商的安全保密責任，并加強服務(wù)過(guò)程中的安全培訓、安全檢查、信息資產(chǎn)訪(fǎng)問(wèn)權限控制、交付物安全檢查等管理，發(fā)現問(wèn)題及時(shí)督促整改，對嚴重違紀或整改不過(guò)關(guān)的服務(wù)供應商及時(shí)清退，保證本醫院利益。

防范服務(wù)中斷風(fēng)險

服務(wù)中斷風(fēng)險是指，服務(wù)供應商無(wú)法持續為醫院提供服務(wù)，從而導致外包服務(wù)中斷的風(fēng)險。

咨詢(xún)類(lèi)、研發(fā)類(lèi)服務(wù)的外包服務(wù)中斷會(huì )導致項目延期等情況。此類(lèi)外包服務(wù)中斷事件雖然并未對醫療機構的業(yè)務(wù)運行產(chǎn)生直接影響，但會(huì )對醫療機構原有的工作計劃、合同規定的服務(wù)進(jìn)度產(chǎn)生影響，造成一定的損失。

運維類(lèi)外包服務(wù)的服務(wù)中斷會(huì )直接影響醫院的業(yè)務(wù)連續性，導致具體業(yè)務(wù)中斷。特別是像ＨＩＳ系統等重要信息系統的服務(wù)中斷，會(huì )直接導致醫院無(wú)法正常開(kāi)展業(yè)務(wù)，后果無(wú)法估量。

服務(wù)中斷風(fēng)險發(fā)生在信息項目外包項目實(shí)施過(guò)程中，對應項目執行與監控這一環(huán)節。為防范服務(wù)中斷風(fēng)險，中小醫院應加強業(yè)務(wù)連續性管理，將涉及重要業(yè)務(wù)的信息系統、服務(wù)供應商等資源納入管理范圍：通過(guò)持續對服務(wù)供應商進(jìn)行監控，及時(shí)掌握其經(jīng)營(yíng)、管理情況，確保信息渠道順暢；與服務(wù)供應商制定符合信息項目外包項日要求的應急預案，并及時(shí)開(kāi)展演練，進(jìn)行質(zhì)量評估，提升管理力度。

防范服務(wù)質(zhì)量下降風(fēng)險

服務(wù)質(zhì)量下降是指，由于外包服務(wù)供應商在資源配置、工作推進(jìn)方面效率低下，導致中小醫院對內或對外服務(wù)水平下降。

服務(wù)質(zhì)量下降風(fēng)險的產(chǎn)生主要有三個(gè)因素：第一，醫院在服務(wù)供應商的選擇上存在偏差，未準確選擇可以滿(mǎn)足服務(wù)要求的公司，導致服務(wù)質(zhì)量下降；第二，醫院未明確服務(wù)水平協(xié)議、信息項目外包服務(wù)的目標及要求，導致服務(wù)供應商無(wú)客觀(guān)標準參照執行，對服務(wù)結果的考評過(guò)于主觀(guān)。第三，在信息項目外包服務(wù)實(shí)施過(guò)程中，醫療機構缺乏對服務(wù)開(kāi)展的持續監控，放任服務(wù)供應商不按規定開(kāi)展相關(guān)服務(wù)。

構建信息項目外包管理模式

除防范上述風(fēng)險外，醫院還應關(guān)注監管部門(mén)重點(diǎn)提示的高風(fēng)險信息項目外包服務(wù)及服務(wù)供應商管理。在當前信息項目外包市場(chǎng)中，高風(fēng)險的信息項目外包服務(wù)及服務(wù)供應商增加了醫院外包風(fēng)險控制難度與風(fēng)險影響程度。醫療機構構建信息項目外包管理模式，目的在于：

一、防范關(guān)聯(lián)外包風(fēng)險。

由于關(guān)聯(lián)關(guān)系的存在，可能會(huì )導致醫院對外包風(fēng)險控制水平的弱化，或者難以實(shí)施外包風(fēng)險管理。醫療機構應制定統一的風(fēng)險管理標準，嚴格按照要求管理關(guān)聯(lián)外包情況。

二、　防范集中度風(fēng)險。

一些服務(wù)供應商面向的醫院客戶(hù)眾多，這會(huì )大大加大集中度風(fēng)險的產(chǎn)生。醫療機構應制定識別標準，及時(shí)發(fā)現具備機構集中度特點(diǎn)的服務(wù)供應商，通過(guò)分散外包，提高自主建設能力并規避風(fēng)險。若無(wú)法避免使用上述服務(wù)供應商，應嚴格對其進(jìn)行準入調查，并要求其為本醫院提供獨立的服務(wù)資源，加強管理力度。

三、防范非駐場(chǎng)外包風(fēng)險。

非駐場(chǎng)外包是指未在醫院提供的場(chǎng)所進(jìn)行的信息項目外包服務(wù)，由于外包實(shí)施地點(diǎn)距離遠，醫院對其管理與控制能力相對較差，無(wú)法及時(shí)發(fā)現服務(wù)過(guò)程中的風(fēng)險。對于提供非駐場(chǎng)外包的服務(wù)供應商，如果其面向的醫院客戶(hù)較多，會(huì )產(chǎn)生非駐場(chǎng)集中式外包，進(jìn)一步加大了醫療機構的風(fēng)險。中小醫院應審慎使用非駐場(chǎng)集中式外包，若因場(chǎng)地等因素無(wú)法避免時(shí)，應嚴格選擇服務(wù)供應商，加大服務(wù)實(shí)施過(guò)程中的實(shí)地檢查，督促服務(wù)供應商及時(shí)整改問(wèn)題，達到醫院標準。

本文梳立了醫院信息系統外包管理的一些風(fēng)險和舉措，由于篇幅的原因，下篇將討論如何自主建設的能力。

作者李順海：信息系統架構師、信息系統項目管理師，參與電子病歷應用水平評級、醫院互聯(lián)互通成熟度評級等工作。

注：文章來(lái)源于網(wǎng)絡(luò )，如有侵權，請聯(lián)系刪除