近日,国家卫生健康委、国家中医药管理局联合发布《关于印发公立医院内部控制管理办法的通知》(国卫财务发〔2020〕31号)。
《公立医院内部控制管理办法》(以下简称《办法》)共8章、54条,适用于全国各级卫生健康行政部门、中医药主管部门举办的各级各类公立医院,自2021年1月1日起施行。
《办法》明确医院内部控制主要包括风险评估、内部控制建设、内部控制报告、内部控制评价四部分内容。
在“风险评估”中,《办法》指出,业务层面的风险评估应当重点关注十二种情况。其中,信息系统管理情况,包括是否实现信息化建设归口管理;是否制定信息系统建设总体规划;是否符合信息化建设相关标准规范;是否将内部控制流程和要求嵌入信息系统,是否实现各主要信息系统之间的互联互通、信息共享和业务协同;是否采取有效措施强化信息系统安全等。
在“内部控制建设”中,《办法》对“信息化建设业务内部控制”提出要求:
(一)医院应当建立健全信息化建设管理制度,涵盖信息化建设需求分析、系统开发、升级改造、运行维护、信息安全和数据管理等方面内容。
(二)信息化建设应当实行归口管理。明确归口管理部门和信息系统建设项目牵头部门,建立相互合作与制约的工作机制。
(三)合理设置信息系统建设管理岗位,明确其职责权限。信息系统建设管理不相容岗位包括但不限于:信息系统规划论证与审批、系统设计开发与系统验收、运行维护与系统监控等。
(四)医院应当根据事业发展战略和业务活动需要,编制中长期信息化建设规划以及年度工作计划,从全局角度对经济活动及相关业务活动的信息系统建设进行整体规划,提高资金使用效率,防范风险。
(五)医院应当建立信息数据质量管理制度。信息归口管理部门应当落实信息化建设相关标准规范,制定数据共享与交互的规则和标准;各信息系统应当按照统一标准建设,能够完整反映业务制度规定的活动控制流程。
(六)医院应当将内部控制关键管控点嵌入信息系统,设立不相容岗位账户并体现其职责权限,明确操作权限;相关部门及人员应当严格执行岗位操作规范,遵守相关业务流程及数据标准;应当建立药品、可收费医用耗材的信息流、物流、单据流对应关系;设计校对程序,定期或不定期进行校对。
(七)加强内部控制信息系统的安全管理,建立用户管理制度、系统数据定期备份制度、信息系统安全保密和泄密责任追究制度等措施,确保重要信息系统安全、可靠,增强信息安全保障能力。
此外,《办法》对互联网医疗业务、医联体业务等,也提出了具体的风险评估与内部控制要求。
《公立医院内部控制管理办法》文件下载,请点击“阅读原文”。