在互聯(lián)互通評級過程中,某醫(yī)院將評級視為政治要求,將任務安排給信息科負責。由于該醫(yī)院信息化建設推進過程中,引入了服務外包,以滿足本院的業(yè)務發(fā)展需求,便把評級工作交于廠商負責。本次評審最終失敗。
筆者受邀參與復盤,談談個人的體會。
信息系統(tǒng)外包管理,一直是醫(yī)院信息化工作的重點。由于信息科底子相對薄弱,中小醫(yī)療機構僅靠自身技術實力難以快速實現(xiàn)信息系統(tǒng)建設。為快速提升競爭力,避免信息化成為發(fā)展短板,中小醫(yī)療機構采用信息項目外包的方式,實現(xiàn)大量信息系統(tǒng)建設,為業(yè)務發(fā)展爭取到了時機。
但是,信息項目外包也造成了中小醫(yī)療機構對服務提供商的相對依賴,以及相關安全隱患的增加。為了將這些負面因素限制在可控范圍內,有健康的信息系統(tǒng)運營支撐業(yè)務發(fā)展,中小醫(yī)療機構應在信息項目外包管理領域狠下功夫,尤其是信息項目外包風險管理。
因此,對中小醫(yī)療機構來說,信息項目外包管理是提升自主可控水平的有力抓手,進一步完善信息項目外包管理體系,可以促使醫(yī)院信息化得到穩(wěn)健發(fā)展。
信息項目外包管理模式,就是以風險管控為管理目標所形成的一套管理體系。信息項目外包項目的開展,可能會引發(fā)管控能力喪失、信息泄露、服務中斷、服務質量下降等風險發(fā)生。醫(yī)療機構應建立相關管理標準,形成對信息項目外包風險的防控措施。
以下就信息項目外包管理模式在風險管理方面的舉措進行說明。
防范管控能力喪失風險
管控能力喪失是指,醫(yī)院由于資金不到位、信息人員不充足等因素,大范圍開展信息項目外包項目,導致醫(yī)院過度依賴外部資源,從而喪失對項目、技術、成本的掌控,影響業(yè)務創(chuàng)新與發(fā)展。
例如,醫(yī)療機構采用整體外包的形式,將信息項目外包給外包服務供應商、托管至其他同業(yè)機構,或將行內的信息項目管理等核心職能外包至外包服務提供商。這種過度依賴乙方的外包模式,會讓信息項目工作開展脫離自身控制。長此以往,將喪失對自身信息項目的管控能力,受制于人。
通過建立信息項目外包管理體系,從外包決策環(huán)節(jié)深入評估信息項目外包項目與本單位信息項目發(fā)展戰(zhàn)略、信息項目外包戰(zhàn)略的一致性,風險可控性,外包市場環(huán)境成熟度等,可以有效防范管控能力喪失風險的發(fā)生。
服務供應商為醫(yī)院提供信息項目外包服務的過程中,醫(yī)療機構應提高外包項目的參與程度,督促服務供應商按照合同要求完成對醫(yī)院內部人員的培訓與知識轉移工作,做到對關鍵技術的掌控。避免由于突發(fā)狀況,導致醫(yī)院失去對其技術的掌控能力,對本醫(yī)院業(yè)務穩(wěn)定開展產生重要影響。
防范信息泄露風險
信息泄露是指,服務提供商非法獲取患者信息等非公開數(shù)據(jù),從而有可能導致相關法律風險和聲譽風險,給醫(yī)院帶來巨大損失。
信息泄露存在以下幾種情況:第一,外包服務提供商信息安全管理體系不健全,缺乏相應的安全運維能力,會導致醫(yī)院患者重要信息的泄露;第二,外包人員技術能力不足,在代碼編寫過程中留有很多技術漏洞,增加信息泄露風險;第三,外包服務的管理流程不夠規(guī)范,上線時未關閉服務端或者客戶端的調試接口,被黑客利用會造成不可估量的損失;第四,外包人員故意留存邏輯后門等。
信息泄露風險一般在信息項目外包項目實施過程中發(fā)生,對應項目執(zhí)行與監(jiān)控這一環(huán)節(jié)。為防范信息泄露風險,中小醫(yī)院應在合同等文本中約定服務供應商的安全保密責任,并加強服務過程中的安全培訓、安全檢查、信息資產訪問權限控制、交付物安全檢查等管理,發(fā)現(xiàn)問題及時督促整改,對嚴重違紀或整改不過關的服務供應商及時清退,保證本醫(yī)院利益。
防范服務中斷風險
服務中斷風險是指,服務供應商無法持續(xù)為醫(yī)院提供服務,從而導致外包服務中斷的風險。
咨詢類、研發(fā)類服務的外包服務中斷會導致項目延期等情況。此類外包服務中斷事件雖然并未對醫(yī)療機構的業(yè)務運行產生直接影響,但會對醫(yī)療機構原有的工作計劃、合同規(guī)定的服務進度產生影響,造成一定的損失。
運維類外包服務的服務中斷會直接影響醫(yī)院的業(yè)務連續(xù)性,導致具體業(yè)務中斷。特別是像HIS系統(tǒng)等重要信息系統(tǒng)的服務中斷,會直接導致醫(yī)院無法正常開展業(yè)務,后果無法估量。
服務中斷風險發(fā)生在信息項目外包項目實施過程中,對應項目執(zhí)行與監(jiān)控這一環(huán)節(jié)。為防范服務中斷風險,中小醫(yī)院應加強業(yè)務連續(xù)性管理,將涉及重要業(yè)務的信息系統(tǒng)、服務供應商等資源納入管理范圍:通過持續(xù)對服務供應商進行監(jiān)控,及時掌握其經營、管理情況,確保信息渠道順暢;與服務供應商制定符合信息項目外包項日要求的應急預案,并及時開展演練,進行質量評估,提升管理力度。
防范服務質量下降風險
服務質量下降是指,由于外包服務供應商在資源配置、工作推進方面效率低下,導致中小醫(yī)院對內或對外服務水平下降。
服務質量下降風險的產生主要有三個因素:第一,醫(yī)院在服務供應商的選擇上存在偏差,未準確選擇可以滿足服務要求的公司,導致服務質量下降;第二,醫(yī)院未明確服務水平協(xié)議、信息項目外包服務的目標及要求,導致服務供應商無客觀標準參照執(zhí)行,對服務結果的考評過于主觀。第三,在信息項目外包服務實施過程中,醫(yī)療機構缺乏對服務開展的持續(xù)監(jiān)控,放任服務供應商不按規(guī)定開展相關服務。
構建信息項目外包管理模式
除防范上述風險外,醫(yī)院還應關注監(jiān)管部門重點提示的高風險信息項目外包服務及服務供應商管理。在當前信息項目外包市場中,高風險的信息項目外包服務及服務供應商增加了醫(yī)院外包風險控制難度與風險影響程度。醫(yī)療機構構建信息項目外包管理模式,目的在于:
一、防范關聯(lián)外包風險。
由于關聯(lián)關系的存在,可能會導致醫(yī)院對外包風險控制水平的弱化,或者難以實施外包風險管理。醫(yī)療機構應制定統(tǒng)一的風險管理標準,嚴格按照要求管理關聯(lián)外包情況。
二、 防范集中度風險。
一些服務供應商面向的醫(yī)院客戶眾多,這會大大加大集中度風險的產生。醫(yī)療機構應制定識別標準,及時發(fā)現(xiàn)具備機構集中度特點的服務供應商,通過分散外包,提高自主建設能力并規(guī)避風險。若無法避免使用上述服務供應商,應嚴格對其進行準入調查,并要求其為本醫(yī)院提供獨立的服務資源,加強管理力度。
三、防范非駐場外包風險。
非駐場外包是指未在醫(yī)院提供的場所進行的信息項目外包服務,由于外包實施地點距離遠,醫(yī)院對其管理與控制能力相對較差,無法及時發(fā)現(xiàn)服務過程中的風險。對于提供非駐場外包的服務供應商,如果其面向的醫(yī)院客戶較多,會產生非駐場集中式外包,進一步加大了醫(yī)療機構的風險。中小醫(yī)院應審慎使用非駐場集中式外包,若因場地等因素無法避免時,應嚴格選擇服務供應商,加大服務實施過程中的實地檢查,督促服務供應商及時整改問題,達到醫(yī)院標準。
本文梳立了醫(yī)院信息系統(tǒng)外包管理的一些風險和舉措,由于篇幅的原因,下篇將討論如何自主建設的能力。
作者李順海:信息系統(tǒng)架構師、信息系統(tǒng)項目管理師,參與電子病歷應用水平評級、醫(yī)院互聯(lián)互通成熟度評級等工作。
注:文章來源于網絡,如有侵權,請聯(lián)系刪除