引言

随着医疗机构业务的迅速发展和市场竞争的日益激烈，对信息支撑能力的要求迅猛增长，但医疗机构信息中心普遍存在人力资源匮乏、技术能力欠缺等问题，人员数量和质量均不能满足业务发展对业务的要求。因此，大部分医疗机构都采用信息系统外包的方式，将其作为自身技术力量的补充。但凡事均有两面性，信息系统外包这把“双刃剑”，在给医疗机构带来专业化能力、推动技术创新、提高科技效率、实现信息技术对业务快速支持的同时，也引发了一系列的外包风险。近年来医疗机构陆续出现的外包风险事件，给医疗机构和监管机构都敲响了警钟。外包信息安全管理，成为信息安全管理的重要组成部分。

外包的必要性

在医疗机构所有的外包活动中，信息系统外包所占比重最大。医疗机构信息外包的目的主要有两方面：

（1）弥补自身人力资源的不足，将自身有限的资源投入至最重要的业务系统和最核心的技术掌控，其余资源通过外包方式补充。

（2）充分利用外包公司在规模经济、专业化以及前沿创新技术方面的优势，实现对业务需求的快速响应。

医疗机构不能“一包了之““包之百病”而应该承担外包风险管理的责任，必须认识到外包风险，对外包风险进行分析评估，加强外包安全管理，采取风险缓释、转移、规避等措施，将外包风险控制到合理的、可接受的程度，避免信息技术及服务受制于人。可以说，不做好外包安全管理，就做不好信息系统管理，进而无法实现对信息系统和业务的保驾护航。

外包管理中的常见问题

医疗机构将大量的信息系统工作外包，虽然解决了自身资源不足的问题，但也暴露了一些风险隐患。对信息系统外包的依赖度大。中小型医疗机构对信息系统外包依赖度普遍较高，大型医疗机构中的信息系统外包也已占相当比例，信息系统外包已成为医疗机构信息系统体系中的一个重要组成部分。由于医疗机构自身人员数量、知识和能力储备不足，大量外包导致内部员工的自主掌控能力变弱，对信息系统的熟悉了解程度降低，自主解决问题的效能下降，核心技术受制于人。信息系统开发的交付质量和运维保障水平，很大程度上取决于外包人员的技能水平和责任心，外包商的经营状况、外包商的人员流动、外包商与医疗机构的合作关系，都可能对医疗机构的信息系统的业务支持能力、交付效率和信息系统运行稳定性产生重大影响。

（1）外包商集中度较高。从单个企业看，部分医疗机构将信息系统外包服务集中交给少量服务提供商承接；从整个行业看，部分外包商承接了多个信息系统的信息工作，在医疗行业中服务机构多、市场份额大。外包商集中度较高导致医疗机构对千单一外包商的依赖过大，对系统的控制能力和议价能力下降，一旦外包商自身经营出现风险，或者跟医疗机构的合作发生问题，就可能造成影响面较大的服务中断或者服务质量下降，严重情况下还将导致系统性、区域性的信息系统风险。

（2）外包商经营风险事件日益增多。无论是宏观层面的国际贸易关系、国内外经济形势、行业环境和发展趋势，还是微观层面的股东关系、公司治理架构、管理层水平等，都可能影响外包商的经营情况和服务水平。外包商自身经营状况不佳导致产品质量出现问题、团队不稳定，或者在开发、实施、运维等方面的服务不及时，都可能造成医疗机构的服务中断或者服务质量下降，进而直接影响对业务发展的支持和信息系统运行的稳定性。

（3）外包商员工管理相比自身员工管理难度更大。将信息系统活动委托给外部人员处理，相比医疗机构内部员工自行处理而言，面临风险更大，管理难度更高，管理要求更难落实到位。因为外包人员的归属感、责任感相对不强，往往会认为自己不需要对最终结果负责，只需要对过程负责，不对长期结果负责，仅对当前阶段性的成果负责，相对而言会更注重短期收益，所以外包人员的责任心、主动性、纪律性得不到保证，再加上人员流动性较大，知识技能往往难以有效传承，从而难以保证长期持续的高效率和高质批。

（4）外包商或其员工可能发生主动或被动的不当行为。外包商提供的信息服务，有机会接触、存储大量的敏感信息，例如患者资料、医保数据等，但外包商的风险管理能力、风险控制体系和风险意识水平相比医疗机构的要求来说还有差距。如果外包商或其员工发生主动或被动的不当行为，例如有意识地收集和倒卖敏感数据，操作失误删除数据或执行错误指令等，可能导致数据损坏、丢失、泄露或系统服务中断，造成直接或间接经济损失。

（5）外包商不受监管直接约束，信息安全管控水平整体偏低。信息系统外包商不受监管部门的直接约束，游离于医疗机构的监管体系之外，其服务对象和服务结果却又必须遵从医疗机构的监管要求。外包商的信息安全管理体系建设相对滞后，外包人员的风险意识不足，都可能造成金融企业的信息安全风险。

外包团队管理

这种基于合同的跨组织合作方式，确实给医院项目的管理工作带来了更大的挑战。

信息科在管理好自己团队的同时，应该怎样做好针对外包团队的监督与控制工作呢？

01工作外包不等于甩包袱

首先需要明确的一点，工作外包了不等于甩包袱。从管理风险的角度看，将包含风险的工作活动交由第三方执行，属于“转移风险”的策略：将风险本身，连带风险的后果、影响都转移出去了，自己无须再面对那些潜在的风险。

但是“转移”出去，不等于对这部分工作就可以不闻不问了。虽然技术层面的活动确实是由外包团队完成，但如果信息科连管理层面的责任也放弃了，那么未来风险发生的可能性依然不会改变。

也许有人会说，既然外包了，那就肯定是有合同的。可以用合同里的处罚条款来约束外包团队啊！的确，任何规范的合同文本中都少不了针对违反合同约定的行为、后果给予处罚的规定。

但是，如果真的到了要动用罚则的时候，危害往往已经发生！这种事后弥补性的处罚，对项目工作本身，甚至项目目标的达成通常都会造成不良影响。因此，对由外包团队承担的那部分工作的管理，同样不能忽略，甚至放弃。

对于外包团队，项目经理应该如何开展必要的管理工作呢？

02确保工作要求及时准确传递

通常情况下，外包工作的范围是明确的。哪些是外包团队该做的，哪些是不该做的，理论上都应该以合同条款的形式被严格记录，泾渭分明。

对于那种需求明确的外包项目，可以签成固定总价合同；如果是那种范围难以事先严格界定的工作，比如软件外包项目，也可以采用成本补偿类合同，即先有一个框架合同，最后按具体发生的工作量作为最终结算依据。

但是，不论哪种形式的合同，工作完成的标准，也就是衡量外包团队工作完成情况的客观依据，必须要充分、明确。站在相关方分析的角度看，外包团队的特点是权力偏小，但是利益影响偏大。

换句话说，作为权力有限的信息科，外包团队承担外包工作的目的是为了获得必要的收益。因此，他们主观上有积极主动完成工作的意愿，以便及时得到相应的利益。

信息科要确保与外包团队之间相关信息传递的及时、准确。信息科应该安排确定的团队成员作为与外包团队的接口人，负责第一时间了解外包工作状态、传达工作要求、回复外包团队的问题。特别是有了新的要求、出现了新的工作标准，尤其是发生了与合同条款不一致的变更的时候。

只有确保工作要求、规范及时、准确地传递，才能让外包团队清楚地知道应该如何开展工作，以满足需要。否则，标准不明、需求不定，已经完成的工作还需要返工，不但会阻碍项目工作的正常推进，更将严重影响外包团队的士气，破坏双方的合作关系。

03提供支持

对于已经外包的那部分工作，信息科团队还应做到密切沟通，及时了解外包团队遇到的问题，并积极主动地提供必要的支持和协助。

尽管信息科团队和外包团队之间是甲方和乙方的关系，但是在面对医院业务的时候，要当作一个整体来看待。在具体工作中，不涉及合同条款、不涉及法定责任的情况下，双方都应该互相支持、互相配合，所谓“责任要分清，界面要模糊”。

04严格考核

前面已经提到了，即便是外包的工作，信息科也不能有甩包袱的想法，更不能仅仅依靠合同中的处罚条款来约束外包团队的行为。与管理自己的团队一样，工作绩效的提高，离不开严格、合理的考核。

一般来说，评价和衡量外包团队工作的完成情况包括技术和表现两个方面。技术方面的评价标准通常比较容易量化，结合合同中约定的相应技术指标、管理要求，比如进度、范围、质量等，能够得到比较清晰、明确的量化标准。

而表现方面的评价内容多数都是主观体验性质的，如满意情况、工作中特定行为规范的遵守情况、信息反馈及问题处理的及时性、有效性等。对于这些常见的评价指标，要想获得及时、准确的信息，信息科可以采取定期或不定期现场巡视检查与科室反馈相结合的办法。

俗话说，耳听为虚，眼见为实。信息科在管理外包团队的时候，不能只听汇报、看邮件，必须要安排团队成员对现场工作情况进行最直观的检查。特别是不定期的现场巡视，除了能够让信息科在第一时间掌握真实的外包项目状态，也是一个与外包团队面对面沟通交流的机会，这也有助于及时发现问题和解决问题。

另外，通过现场拜访，信息科也能了解外包团队更多、更真实的现场工作状态与表现。这种多角度、全方位的监督，能够给外包团队带来一定的压力，进而起到规范和约束工作行为的作用。

至于外包团队考核中需要引入的必要的激励、处罚机制，在不违背合同相关条款的基础上，应该由双方经共同协商后确认，并在项目实施期间予以严格的执行。合理的奖罚机制也是管理外包团队最直接、最有效的手段。

工作虽然外包了，但是对外包工作、外包团队的管理责任依然要由信息科团队承担。只有做到了全过程的严格监管，才能确保项目工作得到规范的执行，这也有助于优化和提升双方的合作水平，建立更牢靠的伙伴关系。