曹霞
摘要:医院作为一个高技术、高风险的特殊行业,在经营管理过程中会遇到各种各样的风险,因此风险管理已成为现代医院管理必不可少的重要组成部分。建立以风险为导向的内部控制整合框架,有效规避和防范风险,保障医院的可持续发展,已成为我们亟待探讨和解决的问题。
关键词:内部控制;风险管理
中图分类号:R197;F275 文献识别码:A 文章编号:1001-828X(2016)013-0000-02
Abstract: The hospital as a special industry, high technology, high risk in the process of operation and management will encounter all sorts of risks, therefore risk management has become an important part of modern hospital management is necessary. Establish risk oriented internal control integrated framework, effectively avoid and guard against risk, guarantee the sustainable development of the hospital, has become a problem we need to discuss and resolve.
Key words: internal control; risk management
医院的内部控制是医院为保证各项医疗业务活动的有效进行,保证各项资产的安全完整,防止舞弊和欺诈行为,为实现经营管理目标而制定和实施的一系列具有控制职能的措施、方法和程序。风险管理是根据风险评估和对法律、政治、社会、经济等综合考虑所采取的一种风险控制措施,是面临风险者进行风险识别、风险估测、风险评价、风险控制,对风险实施有效的控制并妥善处理风险所致损失,期望达到以最小的成本获得最大安全保障的一项管理活动。[1]风险管理和内部控制是医院经营管理的两大重要工具,内部控制的有效实施依靠风险管理的技术办法,风险管理如果脱离了内部控制的手段支撑也将流于形式。医院作为一个高技术、高风险的特殊行业,在经营管理过程中会遇到各种各样的风险,因此风险管理已成为现代医院管理必不可少的重要组成部分。建立以风险为导向的内部控制整合框架,有效规避和防范风险,保障医院的可持续发展,已成为我们亟待探讨和解决的问题。
一、现阶段医院内部控制的现状
1.医院管理层内部控制观念淡薄,缺乏有效的内部控制制度
我国的内部控制起步较晚,不少医院管理层内部控制意识淡薄,在日常管理工作中,往往只重视经济效益,盲目追求经济规模,缺乏风险意识,不重视内部控制,认为内部控制是可有可无的东西,缺乏有效的内部控制制度和严格的管理办法。即使有内部控制制度和管理办法,也忽视了控制的执行环节, 使控制未能得到充分实施。有时内部控制是以医院决策层的意志为转移,最终的决定权掌握在决策层的手中,影响了内部控制的效果。
2.内部控制制度非常片面,缺乏相应的约束与激励机制
目前我国大多数医院的内部控制制度非常片面,仅建立了以财务会计控制为核心的内部控制体系,没有覆盖所有的部门和人员,也没有渗透到各个医疗业务领域。某些医院虽然建立了内部控制制度,但不够科学、不够严谨,片面的认为业务规章制度就是内部控制制度,而且职责划分不清、奖惩标准不确定,范围相当狭窄,大大影响了执行的结果。没有针对性的对医院的各个部门、各个环节制定相应的规章制度,缺乏相应的激励与约束机制。部分医院的绩效考核往往只是流于形式,没有实质性内容,缺少具体的量化考核指标和详尽的评价标准。
3.不重视预算控制,预算控制不够科学
实际工作中,很多医院管理层不重视预算的编制工作,预算编制过程短,准备不充分, 导致预算编制质量过低。部分医院预算编制以财务部门为主,与其他业务部门之间缺乏有效沟通,造成预算编制和预算执行、预算管理和资产管理、政府采购和基建管理等经济活动严重脱节,各项预算之间缺少整合,导致全面预算难以形成。预算执行随意,不按规定的额度和标准执行预算。缺乏行之有效的预算反馈和报告机制,对预算差异不进行及时分析,没有发挥预算的监控作用。不按相关规定编制决算报表,忽视决算分析,预算与决算相互脱节,造成预算管理的效率低下。
4.内部监督不力,内部审计缺乏独立性
部分医院领导往往忽视了内部审计工作,对内部审计不重视,导致内部审计机构及制度不健全,内部审计力量薄弱,内部审计工作阻力比较大,内部审计的作用不能有效发挥。 部分医院的内部审计人员基本上是由财务人员兼任的,内部审计部门的独立性得不到有效保证,使审计真正难以发挥作用,妨碍了医院的健康发展。
5.缺乏风险评估意识
多数医院没有建立健全风险评估机制,对行业风险缺少充分考虑,没有进行风险分析,更谈不上风险应对。很多医疗项目的上与不上,往往以医院领导的意愿而定,缺乏可行性评估。医院对信用风险如病患欠费、欠款控制、应收账款、合同风险也未予足够重视,没有形成规范化和系统化的风险评估机制。
二、建立以风险为导向的内部控制整合框架
1.加强内部控制环境的建设
内部环境既是建立和实施内部控制的基础,同时也是实施风险管理的基础。内部环境包括治理结构、机构设置及权责分配、内部审计机制、人力资源政策、医院文化等。内部控制环境的建设应该从以下方面展开:
(1)医院应当根据国家有关法律法规,完善医院治理结构,建立决策、执行和监督等方面相互分离与制约又相互协调的制衡机制。规范医院的各项规章制度,明确医院决策层、管理层和执行层在决策、执行、监督等方面的职责权限,形成科学的职责分工与制衡机制。
(2)医院应该按照精简、高效及制衡的原则设置各内部机构,明确各内部机构的职责权利,既要避免职能重叠,人浮于事,更要避免职能缺失,责任不到位,形成责权一致、相互协调、高效运转又互相制衡和监督的组织架构。[2]设置专职的内控职能机构,负责全面的内部控制工作。
(3)加强内部审计的管理,合理保证内部审计的机构设置、人员配备及审计工作的独立性与权威性。保护医院内审人员的行使职能,保证会计信息真实可靠,医院领导人对审计工作中的法律责任全权负责,保证审计资料真实、完整和合法。根据内部控制的要求,采取相适应的审计程序和方法,确定审计范围与审计对象,查找和发现问题,分析产生问题的原因及判断可能带来的影响,来衡量内部控制设计的可行性与运行的有效性,推进内部控制的设计,提高内部控制的运行效能。
(4)完善绩效考评制度和薪酬制度,明确各个岗位的职责,任职条件及工作要求,对员工胜任能力高度重视,建立合理的人力资源管理制度和激励约束机制。
(5)内部控制的成败取决于职工素质的高低,高素质的人才队伍也是内部环境的重要因素。[2]因此应重视医院文化建设,引导和规范职工的行为,培养积极向上的价值观、诚实守信的道德观、具有合作精神的团队意识、开拓创新和勤勤恳恳的工作作风,营造并保持诚实守信和合乎道德的医院文化。加强医院员工的风险教育,树立风险管理的理念,不断强化风险意识。
2.加强风险评估,完善风险评估模型及内部控制评价模型
风险评估是及时辨别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,是实施内部控制的关键环节。通过加强风险评估来主动地识别风险、分析风险和预防风险。风险评估主要是目标设定、风险识别、风险分析及风险应对。医院应制定与经营业务相关的目标,建立判断、分析与经营管理相关的风险机制,充分识别医院所面对的各种内部风险和外部风险。采用定性和定量结合的办法,按照风险发生的可能性和风险的影响程度,对已识别的风险进行排序和分析,确定优先控制和重点关注的风险,并结合风险的承受度,权衡风险与收益,进一步确定风险应对策略。
风险评估模型和内部控制评价模型是不断改进内部控制的重要手段,应结合医院实际运行情况和行业特点,在医疗业务、教学业务、科研业务、财务、后勤及人力资源管理等领域查出管理漏洞,识别并防范风险,做出相关评价,构建风险评估模型,对医院可能存在的风险进行全面分析和梳理,确定需要控制的风险点并进一步探讨医院风险形成的原因及内部控制体系可能存在的问题。完善医院内部控制评价模型,分析内部控制是否具有缺陷及缺陷的类型,以及需要完善的措施。内部控制评价应通过评价标准和评价过程的客观性和透明度以增加科学性,并针对医院内部控制建立有效性评价模型。[3]
3.强化风险控制活动
控制活动是医院根据风险应对策略,采用适当的控制措施,将风险控制在可承受范围之内。目前常见的控制措施有:不相容职务分离控制、授权审批控制、财务会计系统控制、资产保护控制、预算控制、绩效考核控制和运营分析控制。医院应当根据内部控制的目标和风险应对策略,对各项经营业务和事项实施合理的控制。在设计内部控制系统时,首先确定不相容的岗位和职务; 其次是明确各个机构和岗位的职责权限, 形成不相容职务和岗位相互制约、相互监督的制衡机制。建立授权审批控制,对特别授权进行严格的控制,对重大业务和特别事项实行集体决策审批或联签制度。进一步完善财务会计系统控制和资产保护控制制度。加强预算的编制和检查预算的执行过程,分析各单位未完成预算的原因及其不良后果,并对其结果采取改进措施。定期进行运营情况分析,及时发现存在的问题,并查明原因加以改进。定期对全体员工的业绩进行考核和评价,将考核和评价的结果作为员工增资及职务晋升、评优、调岗、降级和辞退等的依据。除上述控制措施外,还应该设立重大风险预警机制以及突发事件应急机制,设定风险预警标准,对可能发生的重大风险及突发事件,制订应急预案,规范处理程序,明确责任人员的责任,对可能发生的重大风险事项进行规避,确保突发事件发生时能得到及时妥善的处理。
4.完善信息与沟通及信息安全与风险管理制度
信息与沟通是医院实施内部控制的重要条件之一。为了强化内部控制的效率,医院应加强信息技术的内部控制,建立与经营管理相适宜的信息系统,推进内部控制的流程和信息系统的结合,实现对经营活动和事项的自动控制,降低或消除人为操作因素的影响,并保证内部控制信息系统的独立性。信息安全的目地是保证信息的完整性、机密性、可用性、可控性和可抵抗性,以及医院对信息资源的控制。完善信息安全与风险管理制度,包括网络安全管理、机房安全管理、信息与数据安全管理等制度,建立安全责任管理制度,制订信息系统安全应急处置预案,定期组织开展处置演练和开展信息安全知识和技能培训。
5.强化控制风险监督
内部监督是对内部控制的设立及实施情况进行监督审查,评价内部控制的效果,对发现的内部控制缺陷,及时加以改正,是实施内部控制的重要保证。其内容包括:建立风险管理和内部控制监督制度, 由内部审计机构或指定专职人员负责内部控制执行情况的监督检查,切实保证内部控制制度的有效实行;聘请外部中介机构或相关专业人员对内部控制的建立健全及实施进行评价;完善内部控制缺陷问责制度和责任追查制度;对发现的重要问题及时报告,及时整改,充分发挥内部监督的效力。
参考文献:
[1]林建华,陈秋立,林才经.北京:医院安全与风险管理[M].高等教育出版社,2012.
[2]蒋大华.广西:事业单位内部控制环境分析[J].财经界·学术版,2014(05).
[3]邓盼,洪学智,戴力辉,刘剑平.北京:公立医院内部控制制度建设浅析[J].中华医院管理杂志,2014 年第30 卷第2期.
作者简介:曹 霞(1970-),女,汉族,四川双流县人,职称:会计师,学位:大专,作者单位:双流县第一人民医院,研究方向:医院成本核算及绩效核算。