对方如果说“没有二次修改”,必须用日志证明;如果说“有但合理”,必须解释理由;如果说“查不到”,就是审计能力不足。
流程管理专员试图把页面切到一个“变更内容对照”模块,但模块显示“无数据”。他解释:“该模块需要高级许可,没有启用。”
监管记录:“关键一致性校验模块未启用。”
这句话写进笔录,就像在合规报告里写“缺少制动系统”。你可以跑,但你不能说安全。
---
会到这里,供应商的叙事已经被拆得只剩骨架:
*关键期策略(5分钟窗口、高敏感、Override)真实存在,并由OpsMgr审批;
*变更申请单确为补录,编号带“-R”,创建者为itil_admin;
*补录发生在变更结束之后,审批几乎一分钟完成;
*变更系统与策略系统关联不强制,一致性校验模块未启用;
*通知邮件未明确告知紧急策略与跨区回退优先级提升,也未要求确认。
这些点任何一个放在医疗场景都不轻,叠加起来就是系统性风险:**先执行**险策略,再补流程,且补录轨迹可疑。**
监管最终给出结论性动作:启动更高等级的专项检查建议,并要求对供应商相关系统进行第三方取证式审计(包括日志取证、权限审计、变更管理审计)。同时,监管要求原医院与供应商在三日内提交整改方案:
*医疗场景启用地理围栏或提供等效措施;
*重大变更提前通知并要求确认闭环;
*禁变窗口制度固化并可审计;
*变更系统与执行系统强制关联与一致性校验;
*紧急变更必须事前最小必要告知,事后补录必须可追溯且不得晚于规定时限。
整改方案不是处罚,但在很多时候比处罚更难,因为整改会触碰他们的“惯例”。惯例被迫改变,就会有人失去便利,失去灰区,失去可以推责的空间。
这种改变,会引发更激烈的反扑。
---
果然,下午四点,供应商发出律师函,指称接收医院“传播不实信息、损害商誉”,要求停止对外陈述并保留追诉权。函件写得很硬,像要把所有人吓回沉默。
接收医院法务看完只做了两件事:
第一,把律师函扫描发给监管,备注“已收,纳入施压记录”;
本章未完,请点击下一页继续阅读!