国家卫健委:《公立医院内部控制管理办法》对信息化建设业务有详细要求
为全面推进公立医院内部控制建设,规范公立医院内部经济及相关业务活动,建立健全科学高效的内部权力运行制约和监督体系,近日,国家卫生健康委会同国家中医药局联合印发了《公立医院内部控制管理办法》(以下简称《管理办法》)。
《管理办法》明确了公立医院内部控制适用范围及概念内涵;明确了公立医院内部控制目标及实施要求;明确公立医院内部控制管理职责;提出公立医院内部控制风险评估应当重点关注的内容;明确了公立医院内部控制建设的主要内容;明确了内部控制报告编制原则和报送方式;明确了内部控制评价工作实施主体及内容;以及明确了《管理办法》自2021年1月1日起施行。
其中,“公立医院内部控制建设的主要内容中”指出:医院内部控制建设包含两个层面,即单位层面和业务层面。单位层面内部控制建设主要包括单位决策机制,内部管理机构设置及职责分工,决策和执行的制衡机制;内部管理制度的健全;关键岗位管理和信息化建设等。业务层面的内部控制建设主要包括预算业务、收支业务、采购业务、资产业务、基本建设业务、合同业务、医疗业务、科研业务、教学业务、互联网医疗业务、医联体业务、信息化建设业务等12项具体内容。
《管理办法》中有多项内容都涉及了信息化的相关内容,且在“第三十七条 互联网医疗业务内部控制”、“第三十八条 医联体业务内部控制”、“第三十九条 信息化建设业务内部控制”等条款中集中进行了明确要求:
第三十七条 互联网医疗业务内部控制
(一)开展互联网医疗业务的医院应当建立健全互联网诊疗服务与收费的相关管理制度,严格诊疗行为和费用监管。
(二)医院应当明确互联网医疗业务的归口管理部门及其职责权限。明确临床科室、医务部门、信息部门、医保部门、财务部门、审计部门等内部相关部门在互联网医疗业务管理工作中的职责权限。
(三)建立互联网医疗业务的工作流程、业务规范、沟通配合机制,对互联网医疗业务管理的关键环节实行重点管控。
第三十八条 医联体业务内部控制
(一)医联体牵头医院负责建立医联体议事决策机制、工作机制、审核机制、监督机制;建立健全医联体相关工作管理制度,涵盖医联体诊疗服务与收费,资源与信息共享,绩效与利益分配等内容。
(二)各成员单位要明确医联体相关业务的归口管理部门及其职责权限。建立风险评估机制,确保法律法规、规章制度及医联体经营管理政策的贯彻执行,促进医联体平稳运行和健康发展。
第三十九条 信息化建设业务内部控制
(一)医院应当建立健全信息化建设管理制度,涵盖信息化建设需求分析、系统开发、升级改造、运行维护、信息安全和数据管理等方面内容。
(二)信息化建设应当实行归口管理。明确归口管理部门和信息系统建设项目牵头部门,建立相互合作与制约的工作机制。
(三)合理设置信息系统建设管理岗位,明确其职责权限。信息系统建设管理不相容岗位包括但不限于:信息系统规划论证与审批、系统设计开发与系统验收、运行维护与系统监控等。
(四)医院应当根据事业发展战略和业务活动需要,编制中长期信息化建设规划以及年度工作计划,从全局角度对经济活动及相关业务活动的信息系统建设进行整体规划,提高资金使用效率,防范风险。
(五)医院应当建立信息数据质量管理制度。信息归口管理部门应当落实信息化建设相关标准规范,制定数据共享与交互的规则和标准;各信息系统应当按照统一标准建设,能够完整反映业务制度规定的活动控制流程。
(六)医院应当将内部控制关键管控点嵌入信息系统,设立不相容岗位账户并体现其职责权限,明确操作权限;相关部门及人员应当严格执行岗位操作规范,遵守相关业务流程及数据标准;应当建立药品、可收费医用耗材的信息流、物流、单据流对应关系;设计校对程序,定期或不定期进行校对。
(七)加强内部控制信息系统的安全管理,建立用户管理制度、系统数据定期备份制度、信息系统安全保密和泄密责任追究制度等措施,确保重要信息系统安全、可靠,增强信息安全保障能力。