覃凌峰

（柳州市工人医院 纪检监察室，广西 柳州）

0 引言

随着我国社会发展迅速，公立医院的改革也逐渐深入化，在改革推进的过程中，我国破除了以药补医的机制，对药品的加成实施了全面取消，特别是近些年来，从卫生部到各省卫生厅，各级主管单位陆陆续续出台许多与之相关的法律法规，严格禁止商业非法统方。然而，上有政策，下有对策，统方事件依旧层出不穷，难以遏制，有关医药代表与医生、信息科人员勾结，非法获取医疗统方数据的报道时常出现，在这种情况下，纪检监察部更应该强化监督、执纪、问责等相关职能，加强统方行为的监督控制，使得医院能够合理用药、合理治疗。

1 目前我国医院纪检监察部门存在的缺陷和不足

1.1 制度环节上的不完善

防统方制度其主要的目的是对药品或者高值耗材的回扣链进行阻隔，从而使得开发者无法将回扣顺利拿到手，所以相关制度的操作性以及可行性便显得尤为重要。目前，我国医院普遍的防控方法是对数据库信息进行严格的授权和加密，或者采取控制终端信息采集等，而相关制度上的规范和约束却显得有些薄弱，其主要原因可以推测为三种，其一可能是制度的制定者处在利益链的某个环节上，使得对制度的制定和执行存在抗拒；其二可能是内部人员有意泄露或者窃取出卖敏感信息等风险监管以及防范措施均存在薄弱的环节，医院的医务人员，例如医生、护士以及药剂科的工作人员等，他们都能够对统方数据有所接触，医生如果想通过非法统方获利，就必须收集自己的用药信息量，将其提供给医药代表才能得到回扣，而一些医院的药剂科工作人员本身就具有正常统方的智能，在一定的时间里，药剂科科长需要对医生、药品和剂量信息进行统计，避免医生用药比例过高而导致医生停诊，在这一过程中，统方信息就有在药剂科泄露的风险，同时负责领药的护士也能掌握每日用药的数据，如果别有用心，也是非法统方的来源之一；其三是信息部门制定的监控规则存在一定的专业性，而纪检监察部门如果是非专业人员，那么监控的力度在一定程度上也会被削弱[1]。

1.2 医院信息化系统的复杂性

就目前而言，医院信息系统是业界公认的世界上最为复杂的管理信息系统，我院的信息系统虽然已经趋于成熟，但医院内部各类信息子系统林立，网络安全边界错综复杂，许多敏感的信息就散落在众多系统之中，再加上信息系统依旧处于不断的发展演变的状况之下，不管哪个子系统承建商都难以凭一己之力来为医院制定一个全面、可操作的数据安全解决方案[2]。

1.3 防统方系统本身存在局限性

在一般情况下，如果医院的信息系统不是一体化集成系统，将会导致不同的软件有着不同的软件供应商或者外包方，使得数据的维护人员也会不同，这些公司在为医院软件进行升级、改造的过程中，医院信息数据库的核心数据很有可能落入到这些人手中，并且由于这类人操作的手段专业，并且有着极强的隐蔽性，使得纪检监察部门很难发现数据是否被窃取。我国医疗行业大部分是利用数据库自身审计产生的日志来分析，但是核心数据库自身的审计功能对数据库性能影响较大，审计权限和操作权限也没有分离，对这种数据库自身审计产生的日志，分析工作繁琐、人力投入大、审计信息易被篡改或泄漏等，信息安全维护工作分散到不同医院和部门的不同人员，部分开发、维护工作外包给合作的第三方公司及人员，日常运维过程中普遍存在维护人员较多、缺乏严格的资源授权管理审核、操作不透明、缺乏有效的技术手段来监管，代维人员操作、操作无审计等诸多问题[3]。

2 纪检监察部门中对防统方管理模式的应用

2.1 对医院医务人员进行纪律法制教育培训

医院纪检监察部门可以定期组织医院各科室人员进行纪律法制教育的相关培训，学习相关的法律法规，比如《执业医师法》《执业护士法》《医疗机构人业人员行为规范》《加强医疗卫生行风建设“九不准”》《关于加强医疗卫生机构统方管理的规定》等，以讲座或者培训等方式来进行典型案例曝光和廉洁谈话，使得医院医疗人员有着明确的法律意识[4]。

2.2 对防统方制度和实施规则进行完善和改进

医院可以建立相关的规章制度，将监控方向、范围进行明确，同时对重点部门或者敏感岗位的统方权限、审批权限进行确定，以此为基础来保证监控工作能够全面且有效。相关制度实施后，任何科室需要调取、查阅药品、耗材使用量时，都需要经过审批流程，且在纪检监察部门备案。除此之外，监督者同样也有接受监督，即便是纪检监察部门对信访举报件进行查办，需要对某一药品的具体使用情况进行了解而调用统计信息，也同样按照既定的程序来审批备案，如果存在有未经过审批程序而调取数据的行为，纪检监察部门需要及时的按照规定对其进行相关谈话，对存在可疑的人员，纪检监察部门需要掌握具体的实际情况，将性质和程度厘清，继而对确定为商业统方行为做出相关处理。

2.3 对防统方软件进行完善

防统方软件的安装是防统方工作的巨大进步，但市场上的防统方软件工作原理存在着许多相似之处，通常就是对网络上与数据库通讯的内容进行侦听，然后设定识别规章，继而将疑似统方的Sql 命令剥离出来，从而给予阻断或者发出警告，而网络黑客也很容易明白这个原理，因此防统方系统需要不断升级和完善来维护系统。除此之外，在以往的防统方管理模式中，纪检监察部门常常采取的是教育为先、制度为主的模式，完全依靠医务人员的自我觉悟以及相关制度对其进行约束，没有与之相关的技术手段作为支撑，很容易使得纪检监察部门在监控和管理过程中出现力不从心的现象，例如，在监管或者审查超级管理员的统方操作时，难以分辨其是正常行为还是故意窃取；无法时刻监控HIS 系统使用人员，使得无法明确使用人员是否越权操作或者违规操作；如果医护人员存在着公用一个账号的现象，在问题发生之后难以对其责任进行区分和追溯等，这些问题都会使得监控管理有着较高的风险。所以，为了能够将漏洞堵塞，强化纪检监察部门的监督、执纪、问责等职能，应当引进先进的防统方软件来对医院的药品和耗材统计进行实时监控。

3 纪检监察部门对防统方软件的运用

3.1 防统方软件的使用

医院防统方系统，在不影响医院HIS 系统、PACS 系统、LIS 系统、EMR 系统等应用系统正常使用的前提下，在核心业务服务区增设防统方审计设备，通过对网络中的海量、无序的数据进行处理、分析，一旦出现违规统方事件，系统能够准确描述何人、何时、何地、以何种方式进行违规统方，并提供操作过程回放，供相关人员分析。系统既满足了医院信息建设中的合规性审计要求，又可以对越权操作、违规操作实时监控并追根溯源，实现防统方手段从制度约束到技术限制的跨越，使工作人员从技术上远离统方禁区，有助于医院行风建设，树立良好公众形象。防统方软件的使用，可以记录所有的数据库活动；对数据库使用行为分析，提取相关要素；进行细粒度、双向、多层溯源分析，防止越权操作行为，将违法、违规行为扼杀在萌芽状态；针对可疑统方行为进行实时告警、可视化展现；分析现有防统方策略设置的合理性，精确定位可疑对象；多种查询方式，多种报告输出；通过提取历史数据对过去可疑事件进行回放，真实展现当时的完整操作过程，使得违纪行为暴露无遗，为政府机关查处违法案件提供有力的证据[5]。

在防统方软件应用之前，纪检监察部门应该将监控的对象、范围、重点部门、敏感岗位的统方权限以及审批权限进行明确，同时将监控的范围延伸到医院中的各个科室以及每个医务人员，甚至第三方维护公司以及各信息子系统开发商也要在监控范围之内，对各个环节进行监控才能保证监控工作的全面性以及有效性。

在进行监控之前，纪检监察部门应当将软件的基本操作进行十足的掌握，同时加强与软件工程师之间的沟通与交流，对软件设置的关键字、语句中的基本含义要了解清楚，从而避免因错误的操作、判断而造成的不良影响，如果纪检监察部门对于软件运行过程中的警报提示含义不能进行肯定和判断的，应该迅速与工程师进行沟通，请求对方协助判断，在一定情况下，可以要求工程师来医院对数据进行分析和整理，这样才能够对数据进行更准确和有效的深入，从而更好地对统方行为进行锁定[6]。

在防统方软件落实之后，纪检监察部门便可以利用软件进行实时监控以及事后审查，从而可以对统方行为进行日常性的监督。在大多数情况下，白天正常工作时间内非法进入到数据库的情况非常少，一般在下班之后的操作才会被软件监控记录下来，所以，纪检监察部门对统方行为的监控主要是利用软件的事后审查功能，来判断统方行为是否存在违规嫌疑，同时纪检监察部门应该根据语句的类型、涉及的关键情况对该操作的安全性进行人工甄别，按照紧急的程度不同来排除安全性。

3.2 使用防统方软件需要注意的问题

首先纪检监察部门要能够明确软件设定语句的含义，以免出现误会，同时提高软件报告的准确率，对于语句和关键字段设置不符合实际情况的需要与软件工程师及时沟通，提高监控准确度的同时加强工作效率。除此之外，纪检监察部门需要与信息部门进行密切的配合，得到信息部门的支持能够在防统方软件报警时得到第一时间的处理，有助于责任人的明确，最后纪检监察部门需要加强自我学习，对医院信息系统的基本情况以及各系统的授权情况进行掌握，使得监控工作能够更为顺利。

4 结束语

医院防统方管理如果只是从顶层进行设计，而不从底层进行创新，将会沦落到治标不治本的发展方向，所以，在统方行为的管理上，需要从源头解决统方行为，实施三位一体的防统方模式，也就是教育、制度和技术，只有这三个方面落实到位，才能够有效阻止非法统方等不良情况的发生，使得纪检监察部门的防统方监控手段有着更进一步的提升，从而保证防统方管理工作能够取得实效。