在互聯(lián)互通評級過程中，某醫(yī)院將評級視為政治要求，將任務(wù)安排給信息科負責(zé)。由于該醫(yī)院信息化建設(shè)推進過程中，引入了服務(wù)外包，以滿足本院的業(yè)務(wù)發(fā)展需求，便把評級工作交于廠商負責(zé)。本次評審最終失敗。

筆者受邀參與復(fù)盤，談?wù)剛€人的體會。

信息系統(tǒng)外包管理，一直是醫(yī)院信息化工作的重點。由于信息科底子相對薄弱，中小醫(yī)療機構(gòu)僅靠自身技術(shù)實力難以快速實現(xiàn)信息系統(tǒng)建設(shè)。為快速提升競爭力，避免信息化成為發(fā)展短板，中小醫(yī)療機構(gòu)采用信息項目外包的方式，實現(xiàn)大量信息系統(tǒng)建設(shè)，為業(yè)務(wù)發(fā)展?fàn)幦〉搅藭r機。

但是，信息項目外包也造成了中小醫(yī)療機構(gòu)對服務(wù)提供商的相對依賴，以及相關(guān)安全隱患的增加。為了將這些負面因素限制在可控范圍內(nèi)，有健康的信息系統(tǒng)運營支撐業(yè)務(wù)發(fā)展，中小醫(yī)療機構(gòu)應(yīng)在信息項目外包管理領(lǐng)域狠下功夫，尤其是信息項目外包風(fēng)險管理。

因此，對中小醫(yī)療機構(gòu)來說，信息項目外包管理是提升自主可控水平的有力抓手，進一步完善信息項目外包管理體系，可以促使醫(yī)院信息化得到穩(wěn)健發(fā)展。

信息項目外包管理模式，就是以風(fēng)險管控為管理目標(biāo)所形成的一套管理體系。信息項目外包項目的開展，可能會引發(fā)管控能力喪失、信息泄露、服務(wù)中斷、服務(wù)質(zhì)量下降等風(fēng)險發(fā)生。醫(yī)療機構(gòu)應(yīng)建立相關(guān)管理標(biāo)準(zhǔn)，形成對信息項目外包風(fēng)險的防控措施。

以下就信息項目外包管理模式在風(fēng)險管理方面的舉措進行說明。

防范管控能力喪失風(fēng)險

管控能力喪失是指，醫(yī)院由于資金不到位、信息人員不充足等因素，大范圍開展信息項目外包項目，導(dǎo)致醫(yī)院過度依賴外部資源，從而喪失對項目、技術(shù)、成本的掌控，影響業(yè)務(wù)創(chuàng)新與發(fā)展。

例如，醫(yī)療機構(gòu)采用整體外包的形式，將信息項目外包給外包服務(wù)供應(yīng)商、托管至其他同業(yè)機構(gòu)，或?qū)⑿袃?nèi)的信息項目管理等核心職能外包至外包服務(wù)提供商。這種過度依賴乙方的外包模式，會讓信息項目工作開展脫離自身控制。長此以往，將喪失對自身信息項目的管控能力，受制于人。

通過建立信息項目外包管理體系，從外包決策環(huán)節(jié)深入評估信息項目外包項目與本單位信息項目發(fā)展戰(zhàn)略、信息項目外包戰(zhàn)略的一致性，風(fēng)險可控性，外包市場環(huán)境成熟度等，可以有效防范管控能力喪失風(fēng)險的發(fā)生。

服務(wù)供應(yīng)商為醫(yī)院提供信息項目外包服務(wù)的過程中，醫(yī)療機構(gòu)應(yīng)提高外包項目的參與程度，督促服務(wù)供應(yīng)商按照合同要求完成對醫(yī)院內(nèi)部人員的培訓(xùn)與知識轉(zhuǎn)移工作，做到對關(guān)鍵技術(shù)的掌控。避免由于突發(fā)狀況，導(dǎo)致醫(yī)院失去對其技術(shù)的掌控能力，對本醫(yī)院業(yè)務(wù)穩(wěn)定開展產(chǎn)生重要影響。

防范信息泄露風(fēng)險

信息泄露是指，服務(wù)提供商非法獲取患者信息等非公開數(shù)據(jù)，從而有可能導(dǎo)致相關(guān)法律風(fēng)險和聲譽風(fēng)險，給醫(yī)院帶來巨大損失。

信息泄露存在以下幾種情況：第一，外包服務(wù)提供商信息安全管理體系不健全，缺乏相應(yīng)的安全運維能力，會導(dǎo)致醫(yī)院患者重要信息的泄露；第二，外包人員技術(shù)能力不足，在代碼編寫過程中留有很多技術(shù)漏洞，增加信息泄露風(fēng)險；第三，外包服務(wù)的管理流程不夠規(guī)范，上線時未關(guān)閉服務(wù)端或者客戶端的調(diào)試接口，被黑客利用會造成不可估量的損失；第四，外包人員故意留存邏輯后門等。

信息泄露風(fēng)險一般在信息項目外包項目實施過程中發(fā)生，對應(yīng)項目執(zhí)行與監(jiān)控這一環(huán)節(jié)。為防范信息泄露風(fēng)險，中小醫(yī)院應(yīng)在合同等文本中約定服務(wù)供應(yīng)商的安全保密責(zé)任，并加強服務(wù)過程中的安全培訓(xùn)、安全檢查、信息資產(chǎn)訪問權(quán)限控制、交付物安全檢查等管理，發(fā)現(xiàn)問題及時督促整改，對嚴(yán)重違紀(jì)或整改不過關(guān)的服務(wù)供應(yīng)商及時清退，保證本醫(yī)院利益。

防范服務(wù)中斷風(fēng)險

服務(wù)中斷風(fēng)險是指，服務(wù)供應(yīng)商無法持續(xù)為醫(yī)院提供服務(wù)，從而導(dǎo)致外包服務(wù)中斷的風(fēng)險。

咨詢類、研發(fā)類服務(wù)的外包服務(wù)中斷會導(dǎo)致項目延期等情況。此類外包服務(wù)中斷事件雖然并未對醫(yī)療機構(gòu)的業(yè)務(wù)運行產(chǎn)生直接影響，但會對醫(yī)療機構(gòu)原有的工作計劃、合同規(guī)定的服務(wù)進度產(chǎn)生影響，造成一定的損失。

運維類外包服務(wù)的服務(wù)中斷會直接影響醫(yī)院的業(yè)務(wù)連續(xù)性，導(dǎo)致具體業(yè)務(wù)中斷。特別是像ＨＩＳ系統(tǒng)等重要信息系統(tǒng)的服務(wù)中斷，會直接導(dǎo)致醫(yī)院無法正常開展業(yè)務(wù)，后果無法估量。

服務(wù)中斷風(fēng)險發(fā)生在信息項目外包項目實施過程中，對應(yīng)項目執(zhí)行與監(jiān)控這一環(huán)節(jié)。為防范服務(wù)中斷風(fēng)險，中小醫(yī)院應(yīng)加強業(yè)務(wù)連續(xù)性管理，將涉及重要業(yè)務(wù)的信息系統(tǒng)、服務(wù)供應(yīng)商等資源納入管理范圍：通過持續(xù)對服務(wù)供應(yīng)商進行監(jiān)控，及時掌握其經(jīng)營、管理情況，確保信息渠道順暢；與服務(wù)供應(yīng)商制定符合信息項目外包項日要求的應(yīng)急預(yù)案，并及時開展演練，進行質(zhì)量評估，提升管理力度。

防范服務(wù)質(zhì)量下降風(fēng)險

服務(wù)質(zhì)量下降是指，由于外包服務(wù)供應(yīng)商在資源配置、工作推進方面效率低下，導(dǎo)致中小醫(yī)院對內(nèi)或?qū)ν夥?wù)水平下降。

服務(wù)質(zhì)量下降風(fēng)險的產(chǎn)生主要有三個因素：第一，醫(yī)院在服務(wù)供應(yīng)商的選擇上存在偏差，未準(zhǔn)確選擇可以滿足服務(wù)要求的公司，導(dǎo)致服務(wù)質(zhì)量下降；第二，醫(yī)院未明確服務(wù)水平協(xié)議、信息項目外包服務(wù)的目標(biāo)及要求，導(dǎo)致服務(wù)供應(yīng)商無客觀標(biāo)準(zhǔn)參照執(zhí)行，對服務(wù)結(jié)果的考評過于主觀。第三，在信息項目外包服務(wù)實施過程中，醫(yī)療機構(gòu)缺乏對服務(wù)開展的持續(xù)監(jiān)控，放任服務(wù)供應(yīng)商不按規(guī)定開展相關(guān)服務(wù)。

構(gòu)建信息項目外包管理模式

除防范上述風(fēng)險外，醫(yī)院還應(yīng)關(guān)注監(jiān)管部門重點提示的高風(fēng)險信息項目外包服務(wù)及服務(wù)供應(yīng)商管理。在當(dāng)前信息項目外包市場中，高風(fēng)險的信息項目外包服務(wù)及服務(wù)供應(yīng)商增加了醫(yī)院外包風(fēng)險控制難度與風(fēng)險影響程度。醫(yī)療機構(gòu)構(gòu)建信息項目外包管理模式，目的在于：

一、防范關(guān)聯(lián)外包風(fēng)險。

由于關(guān)聯(lián)關(guān)系的存在，可能會導(dǎo)致醫(yī)院對外包風(fēng)險控制水平的弱化，或者難以實施外包風(fēng)險管理。醫(yī)療機構(gòu)應(yīng)制定統(tǒng)一的風(fēng)險管理標(biāo)準(zhǔn)，嚴(yán)格按照要求管理關(guān)聯(lián)外包情況。

二、　防范集中度風(fēng)險。

一些服務(wù)供應(yīng)商面向的醫(yī)院客戶眾多，這會大大加大集中度風(fēng)險的產(chǎn)生。醫(yī)療機構(gòu)應(yīng)制定識別標(biāo)準(zhǔn)，及時發(fā)現(xiàn)具備機構(gòu)集中度特點的服務(wù)供應(yīng)商，通過分散外包，提高自主建設(shè)能力并規(guī)避風(fēng)險。若無法避免使用上述服務(wù)供應(yīng)商，應(yīng)嚴(yán)格對其進行準(zhǔn)入調(diào)查，并要求其為本醫(yī)院提供獨立的服務(wù)資源，加強管理力度。

三、防范非駐場外包風(fēng)險。

非駐場外包是指未在醫(yī)院提供的場所進行的信息項目外包服務(wù)，由于外包實施地點距離遠，醫(yī)院對其管理與控制能力相對較差，無法及時發(fā)現(xiàn)服務(wù)過程中的風(fēng)險。對于提供非駐場外包的服務(wù)供應(yīng)商，如果其面向的醫(yī)院客戶較多，會產(chǎn)生非駐場集中式外包，進一步加大了醫(yī)療機構(gòu)的風(fēng)險。中小醫(yī)院應(yīng)審慎使用非駐場集中式外包，若因場地等因素?zé)o法避免時，應(yīng)嚴(yán)格選擇服務(wù)供應(yīng)商，加大服務(wù)實施過程中的實地檢查，督促服務(wù)供應(yīng)商及時整改問題，達到醫(yī)院標(biāo)準(zhǔn)。

本文梳立了醫(yī)院信息系統(tǒng)外包管理的一些風(fēng)險和舉措，由于篇幅的原因，下篇將討論如何自主建設(shè)的能力。

作者李順海：信息系統(tǒng)架構(gòu)師、信息系統(tǒng)項目管理師，參與電子病歷應(yīng)用水平評級、醫(yī)院互聯(lián)互通成熟度評級等工作。

注：文章來源于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系刪除