在互聯(lián)互通評級過程中,某醫(yī)院將評級視為政治要求,將任務(wù)安排給信息科負(fù)責(zé)。由于該醫(yī)院信息化建設(shè)推進(jìn)過程中,引入了服務(wù)外包,以滿足本院的業(yè)務(wù)發(fā)展需求,便把評級工作交于廠商負(fù)責(zé)。本次評審最終失敗。
筆者受邀參與復(fù)盤,談?wù)剛€(gè)人的體會。
信息系統(tǒng)外包管理,一直是醫(yī)院信息化工作的重點(diǎn)。由于信息科底子相對薄弱,中小醫(yī)療機(jī)構(gòu)僅靠自身技術(shù)實(shí)力難以快速實(shí)現(xiàn)信息系統(tǒng)建設(shè)。為快速提升競爭力,避免信息化成為發(fā)展短板,中小醫(yī)療機(jī)構(gòu)采用信息項(xiàng)目外包的方式,實(shí)現(xiàn)大量信息系統(tǒng)建設(shè),為業(yè)務(wù)發(fā)展?fàn)幦〉搅藭r(shí)機(jī)。
但是,信息項(xiàng)目外包也造成了中小醫(yī)療機(jī)構(gòu)對服務(wù)提供商的相對依賴,以及相關(guān)安全隱患的增加。為了將這些負(fù)面因素限制在可控范圍內(nèi),有健康的信息系統(tǒng)運(yùn)營支撐業(yè)務(wù)發(fā)展,中小醫(yī)療機(jī)構(gòu)應(yīng)在信息項(xiàng)目外包管理領(lǐng)域狠下功夫,尤其是信息項(xiàng)目外包風(fēng)險(xiǎn)管理。
因此,對中小醫(yī)療機(jī)構(gòu)來說,信息項(xiàng)目外包管理是提升自主可控水平的有力抓手,進(jìn)一步完善信息項(xiàng)目外包管理體系,可以促使醫(yī)院信息化得到穩(wěn)健發(fā)展。
信息項(xiàng)目外包管理模式,就是以風(fēng)險(xiǎn)管控為管理目標(biāo)所形成的一套管理體系。信息項(xiàng)目外包項(xiàng)目的開展,可能會引發(fā)管控能力喪失、信息泄露、服務(wù)中斷、服務(wù)質(zhì)量下降等風(fēng)險(xiǎn)發(fā)生。醫(yī)療機(jī)構(gòu)應(yīng)建立相關(guān)管理標(biāo)準(zhǔn),形成對信息項(xiàng)目外包風(fēng)險(xiǎn)的防控措施。
以下就信息項(xiàng)目外包管理模式在風(fēng)險(xiǎn)管理方面的舉措進(jìn)行說明。
防范管控能力喪失風(fēng)險(xiǎn)
管控能力喪失是指,醫(yī)院由于資金不到位、信息人員不充足等因素,大范圍開展信息項(xiàng)目外包項(xiàng)目,導(dǎo)致醫(yī)院過度依賴外部資源,從而喪失對項(xiàng)目、技術(shù)、成本的掌控,影響業(yè)務(wù)創(chuàng)新與發(fā)展。
例如,醫(yī)療機(jī)構(gòu)采用整體外包的形式,將信息項(xiàng)目外包給外包服務(wù)供應(yīng)商、托管至其他同業(yè)機(jī)構(gòu),或?qū)⑿袃?nèi)的信息項(xiàng)目管理等核心職能外包至外包服務(wù)提供商。這種過度依賴乙方的外包模式,會讓信息項(xiàng)目工作開展脫離自身控制。長此以往,將喪失對自身信息項(xiàng)目的管控能力,受制于人。
通過建立信息項(xiàng)目外包管理體系,從外包決策環(huán)節(jié)深入評估信息項(xiàng)目外包項(xiàng)目與本單位信息項(xiàng)目發(fā)展戰(zhàn)略、信息項(xiàng)目外包戰(zhàn)略的一致性,風(fēng)險(xiǎn)可控性,外包市場環(huán)境成熟度等,可以有效防范管控能力喪失風(fēng)險(xiǎn)的發(fā)生。
服務(wù)供應(yīng)商為醫(yī)院提供信息項(xiàng)目外包服務(wù)的過程中,醫(yī)療機(jī)構(gòu)應(yīng)提高外包項(xiàng)目的參與程度,督促服務(wù)供應(yīng)商按照合同要求完成對醫(yī)院內(nèi)部人員的培訓(xùn)與知識轉(zhuǎn)移工作,做到對關(guān)鍵技術(shù)的掌控。避免由于突發(fā)狀況,導(dǎo)致醫(yī)院失去對其技術(shù)的掌控能力,對本醫(yī)院業(yè)務(wù)穩(wěn)定開展產(chǎn)生重要影響。
防范信息泄露風(fēng)險(xiǎn)
信息泄露是指,服務(wù)提供商非法獲取患者信息等非公開數(shù)據(jù),從而有可能導(dǎo)致相關(guān)法律風(fēng)險(xiǎn)和聲譽(yù)風(fēng)險(xiǎn),給醫(yī)院帶來巨大損失。
信息泄露存在以下幾種情況:第一,外包服務(wù)提供商信息安全管理體系不健全,缺乏相應(yīng)的安全運(yùn)維能力,會導(dǎo)致醫(yī)院患者重要信息的泄露;第二,外包人員技術(shù)能力不足,在代碼編寫過程中留有很多技術(shù)漏洞,增加信息泄露風(fēng)險(xiǎn);第三,外包服務(wù)的管理流程不夠規(guī)范,上線時(shí)未關(guān)閉服務(wù)端或者客戶端的調(diào)試接口,被黑客利用會造成不可估量的損失;第四,外包人員故意留存邏輯后門等。
信息泄露風(fēng)險(xiǎn)一般在信息項(xiàng)目外包項(xiàng)目實(shí)施過程中發(fā)生,對應(yīng)項(xiàng)目執(zhí)行與監(jiān)控這一環(huán)節(jié)。為防范信息泄露風(fēng)險(xiǎn),中小醫(yī)院應(yīng)在合同等文本中約定服務(wù)供應(yīng)商的安全保密責(zé)任,并加強(qiáng)服務(wù)過程中的安全培訓(xùn)、安全檢查、信息資產(chǎn)訪問權(quán)限控制、交付物安全檢查等管理,發(fā)現(xiàn)問題及時(shí)督促整改,對嚴(yán)重違紀(jì)或整改不過關(guān)的服務(wù)供應(yīng)商及時(shí)清退,保證本醫(yī)院利益。
防范服務(wù)中斷風(fēng)險(xiǎn)
服務(wù)中斷風(fēng)險(xiǎn)是指,服務(wù)供應(yīng)商無法持續(xù)為醫(yī)院提供服務(wù),從而導(dǎo)致外包服務(wù)中斷的風(fēng)險(xiǎn)。
咨詢類、研發(fā)類服務(wù)的外包服務(wù)中斷會導(dǎo)致項(xiàng)目延期等情況。此類外包服務(wù)中斷事件雖然并未對醫(yī)療機(jī)構(gòu)的業(yè)務(wù)運(yùn)行產(chǎn)生直接影響,但會對醫(yī)療機(jī)構(gòu)原有的工作計(jì)劃、合同規(guī)定的服務(wù)進(jìn)度產(chǎn)生影響,造成一定的損失。
運(yùn)維類外包服務(wù)的服務(wù)中斷會直接影響醫(yī)院的業(yè)務(wù)連續(xù)性,導(dǎo)致具體業(yè)務(wù)中斷。特別是像HIS系統(tǒng)等重要信息系統(tǒng)的服務(wù)中斷,會直接導(dǎo)致醫(yī)院無法正常開展業(yè)務(wù),后果無法估量。
服務(wù)中斷風(fēng)險(xiǎn)發(fā)生在信息項(xiàng)目外包項(xiàng)目實(shí)施過程中,對應(yīng)項(xiàng)目執(zhí)行與監(jiān)控這一環(huán)節(jié)。為防范服務(wù)中斷風(fēng)險(xiǎn),中小醫(yī)院應(yīng)加強(qiáng)業(yè)務(wù)連續(xù)性管理,將涉及重要業(yè)務(wù)的信息系統(tǒng)、服務(wù)供應(yīng)商等資源納入管理范圍:通過持續(xù)對服務(wù)供應(yīng)商進(jìn)行監(jiān)控,及時(shí)掌握其經(jīng)營、管理情況,確保信息渠道順暢;與服務(wù)供應(yīng)商制定符合信息項(xiàng)目外包項(xiàng)日要求的應(yīng)急預(yù)案,并及時(shí)開展演練,進(jìn)行質(zhì)量評估,提升管理力度。
防范服務(wù)質(zhì)量下降風(fēng)險(xiǎn)
服務(wù)質(zhì)量下降是指,由于外包服務(wù)供應(yīng)商在資源配置、工作推進(jìn)方面效率低下,導(dǎo)致中小醫(yī)院對內(nèi)或?qū)ν夥?wù)水平下降。
服務(wù)質(zhì)量下降風(fēng)險(xiǎn)的產(chǎn)生主要有三個(gè)因素:第一,醫(yī)院在服務(wù)供應(yīng)商的選擇上存在偏差,未準(zhǔn)確選擇可以滿足服務(wù)要求的公司,導(dǎo)致服務(wù)質(zhì)量下降;第二,醫(yī)院未明確服務(wù)水平協(xié)議、信息項(xiàng)目外包服務(wù)的目標(biāo)及要求,導(dǎo)致服務(wù)供應(yīng)商無客觀標(biāo)準(zhǔn)參照執(zhí)行,對服務(wù)結(jié)果的考評過于主觀。第三,在信息項(xiàng)目外包服務(wù)實(shí)施過程中,醫(yī)療機(jī)構(gòu)缺乏對服務(wù)開展的持續(xù)監(jiān)控,放任服務(wù)供應(yīng)商不按規(guī)定開展相關(guān)服務(wù)。
構(gòu)建信息項(xiàng)目外包管理模式
除防范上述風(fēng)險(xiǎn)外,醫(yī)院還應(yīng)關(guān)注監(jiān)管部門重點(diǎn)提示的高風(fēng)險(xiǎn)信息項(xiàng)目外包服務(wù)及服務(wù)供應(yīng)商管理。在當(dāng)前信息項(xiàng)目外包市場中,高風(fēng)險(xiǎn)的信息項(xiàng)目外包服務(wù)及服務(wù)供應(yīng)商增加了醫(yī)院外包風(fēng)險(xiǎn)控制難度與風(fēng)險(xiǎn)影響程度。醫(yī)療機(jī)構(gòu)構(gòu)建信息項(xiàng)目外包管理模式,目的在于:
一、防范關(guān)聯(lián)外包風(fēng)險(xiǎn)。
由于關(guān)聯(lián)關(guān)系的存在,可能會導(dǎo)致醫(yī)院對外包風(fēng)險(xiǎn)控制水平的弱化,或者難以實(shí)施外包風(fēng)險(xiǎn)管理。醫(yī)療機(jī)構(gòu)應(yīng)制定統(tǒng)一的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn),嚴(yán)格按照要求管理關(guān)聯(lián)外包情況。
二、 防范集中度風(fēng)險(xiǎn)。
一些服務(wù)供應(yīng)商面向的醫(yī)院客戶眾多,這會大大加大集中度風(fēng)險(xiǎn)的產(chǎn)生。醫(yī)療機(jī)構(gòu)應(yīng)制定識別標(biāo)準(zhǔn),及時(shí)發(fā)現(xiàn)具備機(jī)構(gòu)集中度特點(diǎn)的服務(wù)供應(yīng)商,通過分散外包,提高自主建設(shè)能力并規(guī)避風(fēng)險(xiǎn)。若無法避免使用上述服務(wù)供應(yīng)商,應(yīng)嚴(yán)格對其進(jìn)行準(zhǔn)入調(diào)查,并要求其為本醫(yī)院提供獨(dú)立的服務(wù)資源,加強(qiáng)管理力度。
三、防范非駐場外包風(fēng)險(xiǎn)。
非駐場外包是指未在醫(yī)院提供的場所進(jìn)行的信息項(xiàng)目外包服務(wù),由于外包實(shí)施地點(diǎn)距離遠(yuǎn),醫(yī)院對其管理與控制能力相對較差,無法及時(shí)發(fā)現(xiàn)服務(wù)過程中的風(fēng)險(xiǎn)。對于提供非駐場外包的服務(wù)供應(yīng)商,如果其面向的醫(yī)院客戶較多,會產(chǎn)生非駐場集中式外包,進(jìn)一步加大了醫(yī)療機(jī)構(gòu)的風(fēng)險(xiǎn)。中小醫(yī)院應(yīng)審慎使用非駐場集中式外包,若因場地等因素?zé)o法避免時(shí),應(yīng)嚴(yán)格選擇服務(wù)供應(yīng)商,加大服務(wù)實(shí)施過程中的實(shí)地檢查,督促服務(wù)供應(yīng)商及時(shí)整改問題,達(dá)到醫(yī)院標(biāo)準(zhǔn)。
本文梳立了醫(yī)院信息系統(tǒng)外包管理的一些風(fēng)險(xiǎn)和舉措,由于篇幅的原因,下篇將討論如何自主建設(shè)的能力。
作者李順海:信息系統(tǒng)架構(gòu)師、信息系統(tǒng)項(xiàng)目管理師,參與電子病歷應(yīng)用水平評級、醫(yī)院互聯(lián)互通成熟度評級等工作。
注:文章來源于網(wǎng)絡(luò),如有侵權(quán),請聯(lián)系刪除