醫院紀檢監察工作中防統方管理的運用研究

覃凌峰

（柳州市工人醫院 紀檢監察室，廣西 柳州）

0 引言

隨著我國社會發展迅速，公立醫院的改革也逐漸深入化，在改革推進的過程中，我國破除了以藥補醫的機制，對藥品的加成實施了全面取消，特別是近些年來，從衛生部到各省衛生廳，各級主管單位陸陸續續出臺許多與之相關的法律法規，嚴格禁止商業非法統方。然而，上有政策，下有對策，統方事件依舊層出不窮，難以遏制，有關醫藥代表與醫生、信息科人員勾結，非法獲取醫療統方數據的報道時常出現，在這種情況下，紀檢監察部更應該強化監督、執紀、問責等相關職能，加強統方行為的監督控制，使得醫院能夠合理用藥、合理治療。

1 目前我國醫院紀檢監察部門存在的缺陷和不足

1.1 制度環節上的不完善

防統方制度其主要的目的是對藥品或者高值耗材的回扣鏈進行阻隔，從而使得開發者無法將回扣順利拿到手，所以相關制度的操作性以及可行性便顯得尤為重要。目前，我國醫院普遍的防控方法是對數據庫信息進行嚴格的授權和加密，或者采取控制終端信息采集等，而相關制度上的規范和約束卻顯得有些薄弱，其主要原因可以推測為三種，其一可能是制度的制定者處在利益鏈的某個環節上，使得對制度的制定和執行存在抗拒；其二可能是內部人員有意泄露或者竊取出賣敏感信息等風險監管以及防范措施均存在薄弱的環節，醫院的醫務人員，例如醫生、護士以及藥劑科的工作人員等，他們都能夠對統方數據有所接觸，醫生如果想通過非法統方獲利，就必須收集自己的用藥信息量，將其提供給醫藥代表才能得到回扣，而一些醫院的藥劑科工作人員本身就具有正常統方的智能，在一定的時間里，藥劑科科長需要對醫生、藥品和劑量信息進行統計，避免醫生用藥比例過高而導致醫生停診，在這一過程中，統方信息就有在藥劑科泄露的風險，同時負責領藥的護士也能掌握每日用藥的數據，如果別有用心，也是非法統方的來源之一；其三是信息部門制定的監控規則存在一定的專業性，而紀檢監察部門如果是非專業人員，那么監控的力度在一定程度上也會被削弱[1]。

1.2 醫院信息化系統的復雜性

就目前而言，醫院信息系統是業界公認的世界上最為復雜的管理信息系統，我院的信息系統雖然已經趨于成熟，但醫院內部各類信息子系統林立，網絡安全邊界錯綜復雜，許多敏感的信息就散落在眾多系統之中，再加上信息系統依舊處于不斷的發展演變的狀況之下，不管哪個子系統承建商都難以憑一己之力來為醫院制定一個全面、可操作的數據安全解決方案[2]。

1.3 防統方系統本身存在局限性

在一般情況下，如果醫院的信息系統不是一體化集成系統，將會導致不同的軟件有著不同的軟件供應商或者外包方，使得數據的維護人員也會不同，這些公司在為醫院軟件進行升級、改造的過程中，醫院信息數據庫的核心數據很有可能落入到這些人手中，并且由于這類人操作的手段專業，并且有著極強的隱蔽性，使得紀檢監察部門很難發現數據是否被竊取。我國醫療行業大部分是利用數據庫自身審計產生的日志來分析，但是核心數據庫自身的審計功能對數據庫性能影響較大，審計權限和操作權限也沒有分離，對這種數據庫自身審計產生的日志，分析工作繁瑣、人力投入大、審計信息易被篡改或泄漏等，信息安全維護工作分散到不同醫院和部門的不同人員，部分開發、維護工作外包給合作的第三方公司及人員，日常運維過程中普遍存在維護人員較多、缺乏嚴格的資源授權管理審核、操作不透明、缺乏有效的技術手段來監管，代維人員操作、操作無審計等諸多問題[3]。

2 紀檢監察部門中對防統方管理模式的應用

2.1 對醫院醫務人員進行紀律法制教育培訓

醫院紀檢監察部門可以定期組織醫院各科室人員進行紀律法制教育的相關培訓，學習相關的法律法規，比如《執業醫師法》《執業護士法》《醫療機構人業人員行為規范》《加強醫療衛生行風建設“九不準”》《關于加強醫療衛生機構統方管理的規定》等，以講座或者培訓等方式來進行典型案例曝光和廉潔談話，使得醫院醫療人員有著明確的法律意識[4]。

2.2 對防統方制度和實施規則進行完善和改進

醫院可以建立相關的規章制度，將監控方向、范圍進行明確，同時對重點部門或者敏感崗位的統方權限、審批權限進行確定，以此為基礎來保證監控工作能夠全面且有效。相關制度實施后，任何科室需要調取、查閱藥品、耗材使用量時，都需要經過審批流程，且在紀檢監察部門備案。除此之外，監督者同樣也有接受監督，即便是紀檢監察部門對信訪舉報件進行查辦，需要對某一藥品的具體使用情況進行了解而調用統計信息，也同樣按照既定的程序來審批備案，如果存在有未經過審批程序而調取數據的行為，紀檢監察部門需要及時的按照規定對其進行相關談話，對存在可疑的人員，紀檢監察部門需要掌握具體的實際情況，將性質和程度厘清，繼而對確定為商業統方行為做出相關處理。

2.3 對防統方軟件進行完善

防統方軟件的安裝是防統方工作的巨大進步，但市場上的防統方軟件工作原理存在著許多相似之處，通常就是對網絡上與數據庫通訊的內容進行偵聽，然后設定識別規章，繼而將疑似統方的Sql 命令剝離出來，從而給予阻斷或者發出警告，而網絡黑客也很容易明白這個原理，因此防統方系統需要不斷升級和完善來維護系統。除此之外，在以往的防統方管理模式中，紀檢監察部門常常采取的是教育為先、制度為主的模式，完全依靠醫務人員的自我覺悟以及相關制度對其進行約束，沒有與之相關的技術手段作為支撐，很容易使得紀檢監察部門在監控和管理過程中出現力不從心的現象，例如，在監管或者審查超級管理員的統方操作時，難以分辨其是正常行為還是故意竊取；無法時刻監控HIS 系統使用人員，使得無法明確使用人員是否越權操作或者違規操作；如果醫護人員存在著公用一個賬號的現象，在問題發生之后難以對其責任進行區分和追溯等，這些問題都會使得監控管理有著較高的風險。所以，為了能夠將漏洞堵塞，強化紀檢監察部門的監督、執紀、問責等職能，應當引進先進的防統方軟件來對醫院的藥品和耗材統計進行實時監控。

3 紀檢監察部門對防統方軟件的運用

3.1 防統方軟件的使用

醫院防統方系統，在不影響醫院HIS 系統、PACS 系統、LIS 系統、EMR 系統等應用系統正常使用的前提下，在核心業務服務區增設防統方審計設備，通過對網絡中的海量、無序的數據進行處理、分析，一旦出現違規統方事件，系統能夠準確描述何人、何時、何地、以何種方式進行違規統方，并提供操作過程回放，供相關人員分析。系統既滿足了醫院信息建設中的合規性審計要求，又可以對越權操作、違規操作實時監控并追根溯源，實現防統方手段從制度約束到技術限制的跨越，使工作人員從技術上遠離統方禁區，有助于醫院行風建設，樹立良好公眾形象。防統方軟件的使用，可以記錄所有的數據庫活動；對數據庫使用行為分析，提取相關要素；進行細粒度、雙向、多層溯源分析，防止越權操作行為，將違法、違規行為扼殺在萌芽狀態；針對可疑統方行為進行實時告警、可視化展現；分析現有防統方策略設置的合理性，精確定位可疑對象；多種查詢方式，多種報告輸出；通過提取歷史數據對過去可疑事件進行回放，真實展現當時的完整操作過程，使得違紀行為暴露無遺，為政府機關查處違法案件提供有力的證據[5]。

在防統方軟件應用之前，紀檢監察部門應該將監控的對象、范圍、重點部門、敏感崗位的統方權限以及審批權限進行明確，同時將監控的范圍延伸到醫院中的各個科室以及每個醫務人員，甚至第三方維護公司以及各信息子系統開發商也要在監控范圍之內，對各個環節進行監控才能保證監控工作的全面性以及有效性。

在進行監控之前，紀檢監察部門應當將軟件的基本操作進行十足的掌握，同時加強與軟件工程師之間的溝通與交流，對軟件設置的關鍵字、語句中的基本含義要了解清楚，從而避免因錯誤的操作、判斷而造成的不良影響，如果紀檢監察部門對于軟件運行過程中的警報提示含義不能進行肯定和判斷的，應該迅速與工程師進行溝通，請求對方協助判斷，在一定情況下，可以要求工程師來醫院對數據進行分析和整理，這樣才能夠對數據進行更準確和有效的深入，從而更好地對統方行為進行鎖定[6]。

在防統方軟件落實之后，紀檢監察部門便可以利用軟件進行實時監控以及事后審查，從而可以對統方行為進行日常性的監督。在大多數情況下，白天正常工作時間內非法進入到數據庫的情況非常少，一般在下班之后的操作才會被軟件監控記錄下來，所以，紀檢監察部門對統方行為的監控主要是利用軟件的事后審查功能，來判斷統方行為是否存在違規嫌疑，同時紀檢監察部門應該根據語句的類型、涉及的關鍵情況對該操作的安全性進行人工甄別，按照緊急的程度不同來排除安全性。

3.2 使用防統方軟件需要注意的問題

首先紀檢監察部門要能夠明確軟件設定語句的含義，以免出現誤會，同時提高軟件報告的準確率，對于語句和關鍵字段設置不符合實際情況的需要與軟件工程師及時溝通，提高監控準確度的同時加強工作效率。除此之外，紀檢監察部門需要與信息部門進行密切的配合，得到信息部門的支持能夠在防統方軟件報警時得到第一時間的處理，有助于責任人的明確，最后紀檢監察部門需要加強自我學習，對醫院信息系統的基本情況以及各系統的授權情況進行掌握，使得監控工作能夠更為順利。

4 結束語

醫院防統方管理如果只是從頂層進行設計，而不從底層進行創新，將會淪落到治標不治本的發展方向，所以，在統方行為的管理上，需要從源頭解決統方行為，實施三位一體的防統方模式，也就是教育、制度和技術，只有這三個方面落實到位，才能夠有效阻止非法統方等不良情況的發生，使得紀檢監察部門的防統方監控手段有著更進一步的提升，從而保證防統方管理工作能夠取得實效。