●肖 婷
一、公立医院信息系统开展管理审计的意义
公立医院的信息系统能够提高医院的管理效率,通过信息系统能够统计医院各医生工作量、各药品、耗材的使用信息——人们统称为“统方”,“违规统方”是指通过不正当的途径非法获得医院处方或耗材用量的统计信息,它是医疗信息的涉漏,通常与商业回扣相关。在医疗行业,“违规统方”是医疗信息系统的一个顽疾,不仅扰乱了正常的药品、耗材管理秩序,也极易滋生医药购销领域的腐败行为。一直以来,国家卫生部门、纪检部门和医院对如何科学合理地使用医院的信息管理系统,防范“违规统方”的发生,采取了一系列防范措施,但不时仍有不法分子利用医院的信息管理系统,为商业目的统计各种药品、耗材的使用情况,造成“违规统方”和商业贿赂的发生,影响医院的健康稳定发展。因此,如何防范“违规统方”的发生,成为医院信息管理系统必须解决的课题之一。本文通过对公立医院的信息系统开展管理审计评价,以期发现医院信息系统管理上存在的薄弱环节与不足,同时,从管理审计的角度提出改善建议,促使公立医院提早采取措施堵塞漏洞,实现医院既能够科学合理地利用信息管理系统,为医院合理用药、处方点评等管理工作“统方”,又能防范“违规统方”的发生,杜绝医务人员在利益的驱使下开大处方、收受回扣,促使医务人员树立以人民健康为中心,严格按照医疗规范开展医疗工作,对构建和谐医患关系,解决人民群众身边的“烦心事”,营造风清气正的医疗环境具有重要意义。
二、公立医院信息系统使用上存在的不足
公立医院信息系统能够为医院所属各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换等功能,实现整个医院的人、财、物等各种信息的顺畅流通和高度共享,为医院的管理水平现代化和领导决策的科学化打下坚实的基础。该系统包含门诊诊疗登记、住院登记、病房医生工作站、护士工作站、药房管理、药房发药,价格管理、成本核算等子系统,每位患者的治疗信息,包括主管医生是谁?使用的药品、耗材的信息都能在该信息系统随机可查。建设该系统的目的本是将医院各科室的信息整合起来,使其互联互通,实现信息共享,提高医院整体管理水平和工作效率,更好更便捷地服务患者。但却有不法分子盯上该系统,企图使用该系统为医药购销领域的商业贿赂提供方便。为防止医院员工为外来人员收集、泄漏医院信息数据,进行商业统方,目前,各公立医院都购买审计稽查软件,对信息系统的使用进行监督,凡使用该系统必须密码登录,未正确使用密码登录该系统的,审计稽查软件系统立即发出报警信息。审计稽查软件为医院信息系统的使用发挥了很好的监管作用,但自医院建立信息系统以来,个别医院仍发生极个别“违规统方”,那么,如何科学地使用医院信息系统,使该系统既能服务处分点评、统计查询数据,又能防范使用该系统违规为商业贿赂统计数据,一直困扰着各公立医院的网络信息管理人员。
三、公立医院信息系统实施管理审计
为解决医院信息系统在管理上存在的不足,寻找其存在的潜在风险,以便有的放矢地采取措施加强管理,经某医院的领导层同意,对某医院的信息系统的管理情况实施管理审计的实践探究。受限于审计人员对医院信息系统了解不专业、不够深入,为全面了解和掌握医院信息系统业务内容与流程,笔者组织审计人员、网络信息管理专家、医院内审人员组成审计评价小组,通过不同专业人员的组合,实现审计专家专业优势互补,既可以发挥网络信息管理人员的专业优势,获取更多的业务信息,又可以发挥审计人员的审计优势,运用管理审计的手段开展评价,一起为医院的信息系统在管理业务流程与环节上把脉,开展风险评估,诊断风险隐患。
首先,审计组结合医院的业务实际情况及当前医院信息化发展过程中常用的“统方”途径进行剖析,具体如下图所示。
接着,审计评价组结合上述的“统方”途径,查阅医院的信息系统使用登记资料,了解信息系统使用各个环节情况,并且对信息系统的权力流程图每项程序的设计与实施情况进行实地检查、比对。审计发现,医院的信息管理系统主要是通过不同口令设置不同的使用权限,比如:医生只能利用该系统撰写病历、开医嘱,药学人员使用该系统审查药方、发药,口令的设置为医院信息系统的使用实现分级管理,每位工作人员只能按权限、职责需求使用信息系统,对信息系统的管理发挥了很好的作用。但在审计调查的过程中,我们同样发现了一些管理上的漏洞。第一,从医院信息管理系统统计功能权力流程图上看,信息系统未设置重要和敏感信息的查询留痕功能,询问相关网络管理人员,实际操作也存在同样的漏洞。第二,对通过信息系统查询药品、医用耗材用量等信息的权限未实行严格的分级管理和审批程序。第三,对信息系统中有关药品、医用耗材用量等统计功能未实行专人负责,导致医院药房、各科室都可以以工作需要为由,利用该系统统计药品与医用耗材的使用情况。且因未设置重要和敏感信息查询留痕功能,对谁使用了信息系统统计数据?统计了什么数据?很难查询,很难辨别系为工作需要统计还是为商业贿赂统计,所以这给信息安全带来很高风险,让不法分子有机可乘。因此,为了尽量降低信息系统信息安全与准入的人为风险,保证信息使用的安全,提高信息系统运行的效果与效率,审计评价组向医院提出以下三方面的整改建议:
(一)建立信息统计与准入审批权限
医院各部门及个人通过计算机网络查询医院信息的权限应实行分级管理,对医院信息系统中有关医生药品、耗材使用情况和其他不能对外提供的数据等信息实行专人负责、加密管理,严格统计权限和审批程序,任何部门及个人若需要统计医生药品、耗材使用情况和其他不能对外提供的数据等信息须逐级向上级主管领导申请报批。
(二)设置重要和敏感信息查询留痕功能
信息管理部门要做好数据库管理工作,制定相关数据库管理制度,加强数据库密码管理,对数据库密码实行分段、多人管理,建立查询日记,信息系统中要设置重要和敏感信息查询留痕功能,定期分析,做好数据追踪,与时俱进进行数据预判以及设置反统方系统警告语句和规则,及时发现异常情况。利用数据加密、查询留痕、数据库审计技术加强数据库安全性和可追溯性。
(三)建立约束制度,强化责任追究
医院纪检监察部门要把查处非法统方作为治理商业购销领域贿赂犯罪行为的切入点,加强预警和正面引导,及时对信息系统的审计稽查软件进行升级更新,监控统方行为。建立约束制度,强化责任追究,要求各科室、各医疗卫生人员要严格做好因工作需要统计的药品、医用耗材的信息保密管理工作,严格控制其使用和知晓的范围,若发现因工作需要统计的信息被挪为他用、私自扩大知晓范围或被用于实施违法违规行为的,必须追究相关人员的责任。
四、公立医院信息系统实施管理审计取得的成效
本研究通过实施管理审计,邀请网络信息管理专家的加入对某医院信息系统实施审计评价,运用询问、实地取证、审查、比对等审计方法开展评价,找出风险隐患并提出整改对策,得到了该医院管理层与网络信息部门的充分肯定和认同,认为管理审计对强化医院风险管理,提升管理水平具有很大的帮助,取得以下几方面的成效:
(一)防范非法统方的风险力度得到提升
医院针对审计评价过程中发现的问题与整改建议高度重视,先后出台了《防范违规统计和泄漏信息数据的管理规定》和《关于加强医院统方管理的规定》,并且要求信息管理部门加强监督,做好数据跟踪与分析,提高防范非法统方的风险力度。通过建章立制,堵塞信息安全漏洞,用制度规范行为。
(二)防范非法统方的技术水平得到加强
加强信息业务管理,使用先进数据库审计系统和防统方系统,同时确保技术人员熟练掌握医院医疗数据库审计软件的使用与防范技术,诸如:网络防火墙技术、数据交换机的操作,实现全方位监控非法统方风险,确保审计结果得到有效运行,实现强化风险管理的目标,着力从源头上有效遏制和预防腐败。
(三)医院相关人员防范违规意识得到增强
通过建立科学、合理的约束制度,不断完善制度机制,加强“违规统方”风险预警,在医院各部门和相关人员之间加强教育,防范意识得到提高。另外,审计人员参与到医院的风险管理,对强化医院风险管理发挥了有效的作用。
五、结论
实践证明,对公立医院的信息管理系统开展管理审计,通过审计人员联合网络管理专家组成审计小组,不仅能发现信息系统的潜在风险,提出前瞻性的审计建议,提升医院防范“违规统方”的技术水平与能力,强化“违规统方”风险预警,解决了医院一直困惑的“违规统方”问题,而且能够促使医院管理层认识到内部审计除了能够对医院的资产、负债、损益的真实、合法、效益进行审计监督外,同样能够通过管理审计对医院管理过程中管理机制的设计和运行的有效性提出独立、客观的评价,指出其管理控制上存在的不足与制度建设上存在的漏洞,为改进医院的治理和发展提出建议,消除监督盲区,促进医院完善内部控制、规范内部管理、防范风险发生,对强化医院风险管理具有重要意义。
