医院信息系统项目风险管理研究

王宏宇　刘春秀

[摘要] 对于医院信息系统项目，本文研究了风险管理一般性方法。通过参照国内外研究资料，分析医院信息系统项目业务流程，给出重要环节进行风险管理的方法，提出了医院信息系统项目风险管理参考模型及管理流程，并论述了参考模型及流程的组成要素及相互关系。该研究为“十三五”期间研发和部署我国医院信息系统项目提供风险管理的理论基础与参考模型。

[关键词] 管理活动；风险管理；业务流程

[中图分类号] R319 [文献标识码] A [文章编号] 1673-7210（2017）10（a）-0155-04

[Abstract] This article studied the general approaches of the risk management of hospital information system projects， aiming to provide methods of risk management focusing on important links of the process by analysing the domestic and foreign research data. Reference models and management processes of hospital information system project risk management are also put forward to discuss the components and relationship between models and processes. This research provides theoretical basis and reference models of risk management for developing and deploying hospital information system projects of China during the 13th Five-Year Plan period.

[Key words] Management activities； Risk management； Business processes

医疗卫生信息化已纳入“十三五”国家网络安全和信息化建设重点，将实现重点突破[1]。各医疗机构从医院管理、临床管理、区域医疗卫生等方面[2]，都进行不同程度的信息系统项目建设，改善患者的就医体验，提高医疗服务质量[3]，如果不能按期交付的信息系统项目，会给医院带来非常不利的影响。

1 失败医院信息系统项目特点分析

风险是损失发生的一种不确定性[4]。在全球信息系统项目中，成功运行的比率低于40%[5]。失败的信息系统项目有共同的特点：一是项目范围没有清晰界定，导致项目的交付物得不到最终确认；二是项目的管理只关注技术因素，而对人员因素不够重视。

目前从整个项目建设的生命周期来看，失败的医院信息系统项目大多缺乏前期的顶层设计，通常招标文件对需求的界定不准确、不清晰，不能完整地追溯到规划设计文件，招标文件与规划设计文件脱节。在实施过程中，由于医院与承建单位信息的不对称，医院无法做到对项目有效监管，承建单位无法及时获取医院业务流程所涉及的相关资料。

2 医院信息系统项目风险管理参考模型

医院信息系统项目风险管理参考模型能反映风险管理各要素之间的逻辑关系和风险管理的机制。见图1。

2.1 项目风险管理的支撑要素

支撑要素是风险管理的物质基础，只有在支撑要素具备的前提下，才能够有效开展项目的风险管理活动。医院信息系统项目支撑要素包括项目机构、设施、人员、设计、合同、实施方案以及质量管理。

2.2 项目阶段

项目阶段主要包括项目规划、项目招标、项目设计、项目实施和项目验收5个阶段[6]。

2.3 风险管理对象

指医院信息系统项目类型，包括医院运营管理、患者服务以及临床支撑的信息系统项目类型。

2.4 风险管理过程

项目机构在不同的阶段，依照质量管理要求，根据管理对象的特点，制订风险控制计划，进行风险识别、风险分析与评估、风险应对、风险监控与解决[7]。

2.5 风险库

风险管理活动的各个阶段中，要不断更新风险库中相应的风险列表文档，每一次风险列表文档更新前，管理机构要进行相应的评审，把评审通过的风险列表文档作为基线纳入风险库[8]。

3 医院信息系统项目风险管理的流程

3.1 风险管理流程要素的相互关系

医院通过收集项目信息[9]，依照质量管理要求，进行风险管理活动[10]。在整个活动过程中，对风险列表和风险控制计划进行不断更新，在不断完善风险控制计划指导下，通过采用有效方法应对项目运行过程中产生的各种不可预期的影响，保证项目能够可靠的交付[11]。

3.2 医院信息系统项目中风险管理过程

医院信息系统项目风险管理是在项目管理活动中实现的，项目管理活动中蕴含着风险管理，通过二者的互相促进能够促使项目成功上线，项目按期验收是二者相互作用的结果[12]。对医院信息系统项目中的风险管理过程见图2。

3.3 医院信息系统项目风险管理过程的具体内容

①制订风险控制计划：编制风险控制计划应确定风险控制的目标、标准、措施、人员、职责[13]，分配实施过程所需的资源，并定义进行风险控制活動的具体组织活动形式，降低项目风险，促使各利益相关方充分协调沟通，以在最大程度上保障计划推行的可行性[14]。②风险列表：对项目各阶段出现风险进行排序，将每一个风险（包括描述、影响、可能性、影响程度、暴露度及风险解决方案）形成列表，进行项目的风险监控。③变更控制：提交项目变更申请，对项目变更申请进行审核，批准项目变更，更新项目风险列表，监控项目风险。④风险识别：在项目各个阶段，通过项目管理活动，按照风险控制计划辨识项目中存在风险项，对风险项的特性进行描述。⑤风险分析：分析每一个已经经过风险识别的风险项，评估风险项发生的概率及其对医院信息系统项目造成的损失。⑥风险应对：对于项目中的风险项，根据风险的优先级，采取回避、转移、减轻、接受等措施应对[15]。⑦风险监控：根据项目各阶段的风险应对，持续地对各阶段的所有风险项进行监控，直到不再需要监控为止[16]。在监控过程中按照风险控制计划，识别出新的风险项，对风险库中的列表进行更新[17]。endprint

4 针对医院信息系统项目的风险管理

医院的信息系统是根据医院的业务需求，在一定软、硬件基础上，实现医院业务目标的应用系统。由于医疗应用系统开发工作是知识创新度和密集度非常高的工作，因此对医院信息化项目的管理有一定难度，为了保证项目的成功，要求医院信息化部门能够有效地驾驭项目中存在的风险。

医院应针对不同的信息系统项目，根据项目不同阶段风险特点，有效利用资源，有针对性地将项目管理的重点放在风险最大的环节上，缩短项目周期，最大限度实现项目的预期[18]。

对医院信息化项目的风险控制能力是医院信息部门管理的核心能力，信息部门对项目管理能力有多强，来源于控制项目风险的能力就有多强。不同项目对风险控制策略是完全不相同的，信息部门应针对不同具体的项目，通过项目风险控制计划，考虑各个项目的风险控制策略以及人力投放重点。不同的项目，在规划、招标、设计、实施、验收阶段的质量、进度、投资等方面，风险控制的力度应表现出不同的特点。

4.1 风险识别

4.1.1 规划阶段风险识别 由于对需求调研不充分，项目规划说明书业务需求不规范、不完整，没有从业务边界、业务模式、业务频度、业务规模、最终用户及管理用户等方面充分反映医院的需求；功能需求不完善，没有从业务应用软件系统、信息资源建设、设备、网络、机房环境等多个方面进行说明；数据库顶层设计不合理，没有充分考虑共享哪些数据及数据更新频率，并充分说明数据采集、数据加工处理、数据存储以及医院未来数据的扩展性；性能需求不完善，没有从系统支持的在线用户数、并发用户数、响应时间、访问速度、可靠性等方面明确的说明；缺失系统安全需求及在系统安全等保方面的需求。

4.1.2 招标阶段的风险识别 首先，医院在招标时，由于不熟悉招标的流程，对招标书中需要明确说明的内容没有明确；制订的评分标准不具有针对性，没有反映出招标需求。其次，医院需求识别不正确，在招标书中对业务范围的划分不符合客观的情况，要求投标单位完成工程的时间太理想化。再次，中标单位为了降低自身的责任，尽快地完成项目，在承建合同中对于需求范围、功能、阶段、变更、测试、验收、付款、质量、进度等关键性问题没有明确。

4.1.3 设计阶段的风险识别 承建单位与医院未能及时沟通，在需求没有明确的前提下，盲目进入设计阶段。医院不断地变更需求，导致设计方案不断修改，设计方案无法按时完成。设计说明书不能充分体现系统需求中的功能和性能。

4.1.4 实施阶段的风险识别 在实施阶段，为了赶进度，降低工程的质量标准；为了缩短时间和降低费用，系统集成测试计划采用不合适的测试标准。

4.1.5 验收阶段风险识别 在验收时，只有很简单的验收方案，对验收的环境、流程、标准、责任双方以及预期所取得的结果没有明确的规定。在新系统替代老系统时，没有好的计划措施来保证新老系统顺利交替；在试运行期间出现的问题，承建单位不能及时修改。

4.2 风险分析

4.2.1 规划阶段风险分析 规划阶段，由于调研工作做得不够充分、细致，系统业务需求、功能需求、数据需求、性能需求、安全需求不能很好地符合工程建设的目标。如果系统需求方面出现风险，将对项目造成严重危害。

4.2.2 招标阶段的风险分析 招标书的编写对项目地影响程度也比较大，如果在招标书中没有明确技术、质量、验收方法、进度要求，投标单位不能在投标书中对这些问题进行很好地响应，最终为评标带来风险。在选定承建单位后，合同的签订又是一个重要的环节，在合同中应该明确的没有很好的明确，就会为设计、实施、验收带来很大的阻力，尤其是在合同中没有明确项目管理者在工程付款中的签字权，对于项目管理者开展工作会形成很大的障碍，因此合同签订的风险对工程项目的影响程度非常大。

4.2.3 设计阶段的风险分析 在设计阶段，系统设计不能很好地反映规划说明书中的系统需求，不能把所有系统需求分配到系统设计各项中，系统设计不满足系统需求的风险如果产生，对工程项目的影响程度会很大。

4.2.4 实施阶段的风险分析 在实施阶段，风险发生概率最大地是系统合格性测试。医院主要是通过对系统产品的合格性测试，来判断系统产品是否满足需求，在进行系统产品地合格性测试时，就会发现很多问题，因此这一阶段风险发生的概率很高。项目需求说明书不符合系统建设目标，在实施阶段发生的概率很高，对于工程的实施影响很大，需求不符合系统建设目标，会导致项目实施中出现很多问题，而解决这些问题所花费的代价，远远大于在项目规划阶段解决这些问题所花费的代价。项目变更在这个阶段风险发生概率也比较大，源于招标、设计阶段存在风险，导致工程不能按照工程计划去实施，项目变更本身说明项目中存在很大的风险，项目变更是工程项目风险的晴雨表，很频繁的变更本身就说明工程项目中蕴藏着极大的风险。为了加快项目进度，忽视项目质量，在系统合格性测试时或系统验收时，往往会出现问题，给项目交付带来极大的风险。

4.2.5 驗收阶段的风险分析 试运行阶段存在风险，是验收阶段风险发生概率最大的风险，试运行阶段是新老系统并发运行的阶段，这个阶段很容易出现问题，很多遗留问题会在试运行阶段爆发。初验方案中存在的风险会直接影响到初验工作的开展，最终影响对初验结果的评价。

在对系统的终验中，虽然此阶段风险发生的概率不是太大，但一旦发生，对工程项目的影响很大，直接影响到项目正常的移交。

4.3 风险应对

4.3.1 规划阶段风险应对 对项目规划阶段的需求内容进行控制，对系统业务需求、功能需求、数据需求、性能需求、安全需求要设计完整规范，选择具备资质合适的信息化项目规划设计单位，对规划设计方案使用部门和管理者要进行确认，专家要对规划设计方案进行评审，保证医院信息化项目规划设计的合理性和有效性，规避规划阶段的风险。endprint

4.3.2 招标阶段阶段的风险应对 对项目招标阶段的内容进行控制，选定合適的承建单位，促使医院信息化项目承建合同的合理性和有效性，规避招标阶段的风险。

4.3.3 设计阶段的风险应对 对设计阶段的风险进行控制，使用部门和管理者要对设计方案进行确认，专家要对设计方案进行评审，规避设计阶段风险。

4.3.4 实施阶段的风险应对 对实施阶段的风险进行控制，通过系统合格性测试及系统集成测试，降低实施阶段的风险。

4.3.5 验收阶段的风险应对 对验收阶段的风险进行控制，通过初步验收、试运行、最终验收，来规避验收阶段的风险。

4.4 风险监控

通过问题跟踪机制，来对各阶段的风险进行跟踪，当风险消失时，就在管理周报的问题跟踪机制中取消该风险，当风险还没有消失，就在管理周报的问题跟踪机制中一直跟踪该风险，跟踪它的发展变化状况，直到问题解决为止。医院的信息部门在管理周报中采用十大风险跟踪法，通过周报的问题跟踪形式，对历史和当前出现的问题进行审查。对于每一个风险，每次周报都将从上次审查以来，解决这一风险事项所取得的进展进行总结。在下一周，管理周报将根据这些风险对项目的影响程度，重新进行排序。在管理例会中，采用定期项目评估的方法，对已出现和新出现的风险进行评估，对项目中每一风险的讨论，作为每次管理会议的议题，管理会议纪要记录管理会议对每一风险评估的结果。

5 小结

北京小汤山医院（以下简称“我院”）2011年对实施的健康管理系统实施风险管理，重点在项目规划阶段与招标阶段，对风险进行有效把控。在整个项目的生命周期，针对不同风险，采取不同的有效措施进行解决，使风险降到最低，保障系统安全上线和有效运行[19]。

我院于2017年4月8日0时40分实施医药分开综合改革信息系统切换，为了保证按时完成任务，通过工作任务倒排时间表，有效规避项目实施阶段进度方面的风险。重点对实施阶段风险进行把控，从2017年3月29日上午11点到2017年4月6日16点共进行5次全场景测试。在每一轮测试中，对门诊挂号、临床诊疗、门诊缴费、门诊检验、门诊取药、门诊退费等风险点比较大的环节进行详尽的测试，对出现问题，通过风险列表进行有效跟踪和监控。2017年4月8日0时40分，我院成功完成了所有流程的测试，成功进行医药分开综合改革信息系统的切换，目前系统运行正常。

通过风险管理在我院信息化项目中的应用，更加有效证明了医院信息部门对风险管理的有效性和实用性。通过信息部门对项目的风险管理，将有效推动项目的进展，将医院信息部门对信息化项目风险总体把控能力提升，最终更好的实现项目的建设目标。

本文通过对大量国内医院信息系统项目文献资料的研究，系统的归纳出风险控制方法[20]，能够使医院对信息系统项目风险进行有效的控制，弥补了国内医院信息系统项目风险控制系统化方法的空白。本文所给出风险控制的方法，将有助于医院针对不同信息系统项目风险特点，把人力投放到风险因素最大的方面，有效规避项目中存在的风险，推动项目的成功。

[参考文献]

[1] 刘文生.医疗卫生信息化将成为“十三五”最强音[J].医学信息学杂志，2014，35（10）：94.

[2] 王俊新，张学颖，董文洋，等.军队数字化医院建设发展及趋势[J].中华医学图书情报杂志，2014，23（9）：59-61.

[3] 余开焕，余红松，马鹏.医院信息化建设有利于改善医患关系[J].中国数字医学，2014，9（11）：106-108.

[4] 李红艳.基于ISM的产业集群合作创新风险分析[J].河南工程学院学报：社会科学版，2014，29（1）：5-8.

[5] 方丹辉，刘汕，张金隆.政府信息系统项目风险传导及影响机制—基于项目经理和用户代表的二维视角[J].中国行政管理，2015，（2）：88-93.

[6] 陈洁.基于全生命周期的医院信息化项目管理过程的研究与实现[J].中国数字医学，2016，11（3）：114-115.

[7] 范风.基于风险管理的移动通信工程项目系统设计[J].通信设计与应用，2016（4）：75.

[8] 梁露露，贺强，宋璟，等.联邦信息系统和组织风险管理分析与研究[J].通信技术，2014，47（5）：551-556.

[9] 张雷，叶舟，拓宽前.以质量安全为核心的智能化电子病历系统开发与应用[J].中国数字医学，2014，9（5）：32-36.

[10] 李增明.风力发电项目建设成本管理研究[J].建筑工程技术与设计，2015（29）：1057.

[11] 王大勇，韩雄，李杰，等.南京军区“医云工程”建设中的风险含析与管控[J].中国数字医学，2013，8（8）：5-7.

[12] 刘宗福.信息化武器装备专项建设项目风险评估与管理[J].中国科技纵横，2016（1）：205.

[13] 李璐，杨旭，肖莉.商业银行信息化项目风险分析与研究[J].金融科技时代，2015（2）：51-53.

[14] 肖兵，吴开明，余中心，等.重大卫生信息化建设项目实施战略探讨[J].中国数字医学，2014，9（5）：52-54.

[15] 冯彦如.论信息系统项目的风险管理[J].中国管理信息化，2015，18（21）：85.

[16] 姚树霞.项目的风险管理论述[J].中国管理信息化，2016， 19（5）：75-76.

[17] 谭江平，汪少勇，杨源.电力设计项目的风险管理分析[J].经营管理者，2015，（12）：111.

[18] 王冉，苏列英.浅析研发项目风险管理[J].人力资源管理，2013（11）：262-263.

[19] 王宏宇，刘春秀.健康管理信息化服务平台构建与应用[J].中国数字医学，2014，9（6）：110-112.

[20] 陈红军，刘波，任鑫.基于解释结构模型的煤炭企业管理信息系统项目建设风险要素分析[J].中国矿业，2015， （9）：33-40.

（收稿日期：2017-06-29 本文编辑：李岳泽）endprint