我国财政部会同证监所、审计署、国资委、银监会与保监会等部门分别在2008年与2010年联合制定颁布《企业内部控制基本规范》与《企业内部控制配套指引》,两者成为构建我国内部控制规范体系的两块基石。该体系的建立,对防范经营风险、规范经营管理、促进企业持续健康发展产生积极影响。本文根据内部控制规范与指引,结合医院事业单位特点,对构建基于风险管理的医院内部控制体系进行了探索,总结出一套 “医疗机构树型结构图” 构建方法,并将其运用于内部控制体系建设,取得了一定效果。
一、医院风险管理与内部控制现状及原因
(一)对内部控制重视不足 公立医院从经济来源上属于财政差额拨款事业单位,行政管理上隶属于大学医学院,同时属于公益性质的医疗行业单位,因此医院的管理处于卫生部、财政部、申康医院发展中心、大学医学院、国资委、医保局、物价局、医疗协会等多重领导下。多重领导的结果是上级部门容易忽视医疗机构的风险管理与内部控制管理。如《医疗机构财务会计内部控制规定(试行)》条例,是卫生部于2006年制定发布。财政部与卫生部于2010年底修订颁布新《医院财务制度》,对加强财务管理提出更高更细要求,却没有对内部控制作出指导,没有推荐合适的内控体系构建方法以及处理内控问题的标准规范。
(二)风险意识不足 近年来,随着市场经济和医疗卫生事业发展,医疗行业竞争激烈,医院为抢夺发展机遇,盲目购置医疗设备和兴建大楼,医院贷款发展,这种快速扩张势必增加医院财务风险、医疗风险与管理风险。与之形成对比的是,医院对内部控制的理解局限于财务控制或职务分离,没有建立以风险管理为基础的内部控制体系。形成反差的原因是医院的管理者多来源于临床医疗,缺乏专业管理培训,同时员工安于现状,缺乏忧患意识与风险意识。
(三)内部控制制度贯彻不力 一些医院的内部控制制度形同一纸空文,遇事不按制度执行,依赖上级的指令,其中有几方面原因:一是内部控制系统缺陷,如制定时没有充分考虑可执行性,或是实施计算机信息化后风险改变,但制度没有更新从而无法操作;二是培训考核不到位,如没有对员工进行新制度的宣传培训,员工不理解不重视,同时缺少考核指标,无法对员工的执行情况进行考核,并进行激励或约束;三是审计部门机构设置定位不当,且人员配置通常不足,审计不作为,没有发挥监督作用;四是缺少业务支持系统(措施方法),没有充分利用现有的办公网络进行及时有效的信息传递。归根结底,是许多医院管理者没有从思想上重视、没有切实推行。
对于上述医院内部控制现状及原因,在构建内部控制体系时,要重点加强医院管理者与员工的风险观念;选择恰当的方法构建医院内部控制规范体系;同时加强内部审计、或者设置风险控制部门;并强化对执行者的考核与激励,以确保证内控制度得到有效贯彻执行。
二、医院内部控制体系构建的理论基础
(一)内部控制体系构建原则 针对以上医院内部控制中存在的问题,在构建基于风险管理的内部控制体系时应该遵循以下原则:
(1)内容完整原则。内部控制体系应覆盖医院的各个部门和全体员工、覆盖医院所有的风险活动。
(2)系统规范原则。内部控制体系可从内部控制大纲、分项目的基本控制制度和具体化的操作手册三个层次展开,并采取条文、流程图和表格等规范的表达形式。
(3)操作实用原则。内控制度的执行者是具体员工,因此制定时要善于运用流程图和控制表等方式,帮助员工理解接受,使制度具有可操作性与应用性。随着风险的变化,及时检查更新制度。通过合理的考核指标和激励约束机制,调动员工的积极性,保证制度的有效执行。
(4)牵制协调原则。对医院现有的制度和流程进行全面梳理和优化,使每项活动都必须经过相互制约的两个或两个以上的控制环节。对业务授权、业务执行、业务记录、财产保管、业务核对等不兼容职务坚决分离控制。协调并衔接各项制度与流程,提高工作效率,降低内控成本。
(5)公开透明原则。医院的内控制度在编制时,要在适当的范围内公开,如职代会、院周会等,征求听取相关部门和员工的意见。在制度生效后,要及时借助办公网络或书面方式传达到相关部门与员工,同时做好制度的讲解辅导工作,使员工理解制度的重要性与执行的必要性。
(二)内部控制体系构建方法 借鉴COSO风险框架,内部控制规范将内部控制的要素归纳为:内部环境、风险评估、控制活动、信息与沟通、内部监督五大方面。结合医院内控体系构建原则,创新设计“医疗机构树型结构图”构建方法,如图1所示。
在这张树型图中,大树的树根是医院风险活动的每个风险点,盘根错杂,正如医院内外风险重重;大树的树干反映内部控制体系是针对风险活动构建,目的在于控制风险;大树的树枝是内部控制体系构成,即恰当的表达形式、内部控制五大要素、以及系统层次结构;大树的树叶是根据内部控制要素扩展开的具体内控标准与控制措施。在具体运用“医疗机构树型结构图”方法构建内部控制体系时,有两种方式:
(1)自下而上的成长法。大树成长总是从生根发芽开始。医院首先评估当前的和潜在的风险,参照树型图的自下而上图示,会同相关部门从风险管理角度制定医院内部控制体系。具体编制时,内控大纲和基本制度的制定可以用条文表述,操作手册可以用流程图或表格形式清晰描述。内部控制的具体措施灵活多样,需要根据医院实际情况等因素综合考虑。
(2)上下对比的修剪法。小树长成大树,要注意修剪。内部控制制度在制定后并不是一成不变的,制度总会有滞后。当医院发现新问题新风险时,要根据风险变化与医院成长,对比医院目前的风险活动和原有的内控措施,及时更新内控措施、调整内部控制体系。
运用“医疗机构树型结构图”方法时,必须先作好风险识别与分析,在此基础上采取适合的措施,建立起的内控体系才会成长为枝繁叶茂的参天大树。
三、医院内部控制体系构建具体措施
(一)控制管理活动中的人事政策风险 医院一切与员工有关的录用、调动、培训、奖惩等活动中都存在风险,特别是当医院高薪引进人才,但忽视培养和关怀、或疏于考核管理,就会面临人才能否留得住和能否为医院创利的人才引进风险。识别人事政策风险后,医院实施内部控制制度:以条文方式对内部控制措施进行叙述,形成包括大纲、基本制度和员工手册三个层次结构。其中人事政策的内控措施包括:一是完善内部环境,具体通过加强医院文化建设,产生对医院认同感与协作团结,以及编制、补充整合现有人事制度;二是加强风险评估,对人事活动中存在的人事变动风险予以重视,加强识别和分析,通过多种控制活动规避降低风险;三是采取多种控制活动,如培训讲座、职务轮岗、绩效考评、岗位评价标准等;四是加强信息与沟通,通过职代会商定重大人事制度、编制发放员工手册、在办公内网上刊登培训信息等方式帮助员工参与制定和熟悉医院人事政策;五是内部监督,包括工作检查、与员工交流、重要岗位人员离职审查等。
(二)控制财务活动中的现金风险 医院现金流转从收费处到核算室,每一个现金链环节都要加强风险识别与分析,为控制隐患的现金管理风险,编制现金内部控制制度。具体可以采用条文形式编制总纲与基本制度,采用流程图形式表述各部门和各项工作的业务流程,目前已经编制完成财务部工作制度与财务部控制制度。例如为避免收费人员下班前过多现金压库,产生挪用和遗失风险,规定每位收费人员必须在当日银行解款前上缴所有现金收入;对退费过程中可能存在的欺骗风险,规定要求每张退款发票必须有医生、患者和两位收费人员签字,并附退方等原始单据;对核算室的现金风险,除职务分离控制外,还有加强教育培训、授权控制等措施。
(三)控制医疗活动中的计算机网络故障风险 当计算机收费结算系统突发故障时,会造成挂号、收费、发药以及检查化验等整个就诊流程的瘫痪,给患者带来极大不便,给医院造成负面影响。为避免计算机网络故障与医保网络故障风险,医院一方面加强对院内网络与医保网络检查,确保信息传输;另一方面加强对突发事件的应急处置,规范应对信息故障。首先,医院针对计算机网络故障风险编制《信息系统故障应急预案制度》,具体包括报警清障流程、应急措施流程、应急措施解除流程、相关负责人、宣传告示和应急预案实施流程图等内容;其次,医院将应急预案制度传达到与就诊流程相关的各个部门与工作人员,人人都要学习掌握预案制度;最后,医院设置模拟网络故障,情景考核各部门与人员的应急操作与预案规定是否一致。通过以上措施,当发生信息系统网络时,各窗口工作人员均能作到沉着积极应对,引导患者进行应急就诊,建立良好的医院形象。
四、医院内部控制体系的保障与完善
(一)内部控制体系运行保障 具体包括:
(1)内控制度统一管理。目前医院对各项内部控制制度实行分散保管:财务会计制度由财务部保管,医疗质量控制制度由质控办保管,人事政策制度由人力资源部保管等,分散管理的方式容易导致制度在部门间沟通不畅和制度遗漏等现象,也不利于医院内控系统的构建。建议医院调整管理部门职责,设置制度归口管理小组或部门,借鉴档案管理规范,对医院所有内控制度集中保管和整理,编制制度清单和制度汇编,并根据内外环境变化及时更新。
(2)加强医院内部控制执行力。医院的内部控制体系制定实施后,要重视制度的贯彻执行,具体可以通过加强与员工沟通以及实施考核激励等措施。《内部控制基本规范》第八条规定“企业应当建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。”医院的激励约束方式如图2所示。
(二)内部控制体系发展完善 在医院构建基于风险管理的内部控制体系实施过程中,通过运用“医疗机构树型结构图”方法,以控制风险活动为目的,制定工作流程、管理办法和控制措施,将风险控制融入到医疗管理的各个方面。实施中发现,内部控制体系的构建不仅仅是医院表面上制度体系的建立,实际上是一场全面、深刻的医院管理变革。由于事业单位的工作惯性较大,人员风险意识与习惯改变要循序渐进,内控体系的构建具有艰巨性与渐进性。但内控建设的定位始终是要追求高质、高效,所以接下来的工作仍要坚持原则、稳步推行,把风险意识贯穿到筑建医院内控体系的全过程,突出抓好重要岗位和薄弱环节控制。
参考文献:
[1]李心合:《企业内部控制基本规范导读》,大连出版社2008年版。
(编辑 向玉章)