西陣病院の佐藤（トピ主）です。
ご回答くださった皆さま、ありがとうございます。

山口様（西田病院）、馬越様（尾道市立市民病院）のご意見のように、
やはりSQLにて「未承認一覧」的なものをDBから抜くことが現実的なのでしょうね。
ベンダーに訴えていきたいと思います。

また、齋藤様（水戸中央病院）の書き込みにある「監督官庁からの指導」も参考になりました。
未承認を残さない体制があるということを示せないと、立ち入り調査等でのツッコミどころになるのでしょうね。
頂いたご意見を参考に、体制を考えていきます。