公立医院内控体系中的风险评估标准化建设探讨

罗纪富 李俊忠 王丽 四川省中医药科学院中医研究所（四川省第二中医医院）

引言

财政部近年来陆续出台的文件推动了各级公立医院开展单位内部控制建设工作，在经济活动的风险防范和管控方面取得了一定成效。但作为非营利性事业单位的公立医院，因业务活动复杂，且资金规模大，亟须深入推进内控体系建设工作。为达到进一步强化公立医院内部控制，有效防范单位风险，保证资产资金安全，并提高资源配置效益和使用效益的目的，2021年开始施行的《公立医院内部控制管理办法》对公立医院的内控体系建设作出了更加明确和细化的要求。但公立医院因自身特殊情况，可能在内控体系建设过程中面对重大困难，如果没有一套行之有效的建设、评价方法，将直接影响内控体系建设的效果。本文尝试针对公立医院内控体系建设中风险评估这一重要环节存在的问题和解决措施展开探索，以期在内控体系建设中结合风险管理标准的要求把风险评估工作流程标准化。

一、全面、系统和客观评估风险的难点

公立医院因存在以下因素，建设的内部控制体系在进行风险评估管理时，难以做到全面、系统和客观的进行风险评估，风险评估机制的不合理将会导致内部控制质量不高。

（1）公立医院业务活动复杂，涉及医疗业务、临床试验、科研项目、教学管理、互联网诊疗、医联体管理、收支管理等，有中医类诊疗服务的医院可能还有传统制剂生产活动，这些活动都涉及经济利益，需要进行风险评估。因此公立医院涉及的风险点多面广，进行风险评估时容易出现遗漏。

（2）公立医院从业人员特别是医务人员学历高、专业性强、专业素养高，很多人可能是所从事专业领域的权威。但同一专业缺乏可供选择的高端人才，本专业人才对其他专业领域又可能涉及不深。这种现状容易导致进行风险评估时专家数量不足或因专家对自己能力的过度自信，而忽视风险的存在或误判风险发生的概率及后果。或者因过度重视医疗技术水平的提高和患者满意度等医疗行为而忽视资源的配置和使用效益，容易造成单位在进行风险评估时失去客观性。

（3）公立医院管理层多来源于临床医护骨干，相似从业经历导致整个管理层对临床医疗工作的关注度相对更高，而对行政、后勤等管理工作的关注度较低，内控风险评估重点可能偏向医疗业务和资产安全而忽视资源配置和使用效益。很多中层管理人员和行政、后勤工作人员也是由临床转岗而来，新岗位所需专业知识基础不扎实，缺乏对现从事工作所面临的风险识别能力，对风险理解不深，无法全面分析风险的致因和来源及产生的后果，更无法应对风险。

（4）公立医院内部控制机构设置不完善，人员配置不足，资源配置简单，人员专业素质低等情况较普遍。内控人员基本上是兼职，未系统性掌握内控基础知识，对内控的程序或措施理解不到位，内控经验不足，无法把控单位风险评估的结果，将使得单位内控制度的制定和执行产生偏差，达不到内部控制的预期效果。

二、全面、系统和客观评估风险的方法探索

为了应对公立医院风险评估的难点，尽量做到全面、系统、客观地识别、分析医院经济活动及相关活动存在的风险，确定风险承受度及应对策略，制定一套契合公立医院行业特色的内控风险评估标准化操作程序和实践应用示范，是一条切实可行的方法。从而减少医院业务活动复杂、人员构成专业性强、管理层从业经历局限、内控人员不足等不利条件的影响。

我们通过研究与实践，结合风险管理标准的引导，经过以下步骤初步建立起一套标准化的内部控制风险评估程序。

（1）组建由行业主管部门专家、知名医院管理专家、不同级别医院代表、行政事业单位内控建设专家、标准体系制定专家、第三方机构人员等各方面专业人才构成的公立医院内控风险评估标准化建设顾问团队。将公立医院风险评估管理整合到医院管理中，形成决策机构、管理机构、执行机构三级组织架构体系。

（2）确定公立医院风险评估标准的编制原则，以遵循可操作可执行、广泛适用性两大原则作为风险评估标准编制的原则。编制的标准要客观反映公立医院的公益性，并且服从法律法规等制度的要求。

（3）确定公立医院风险类型的分类标准，根据各级规定的要求按照管理层级把风险分成单位层面风险和业务层面风险，根据风险事件对内控目标的影响，将风险分为合法合规风险、舞弊腐败风险、资产安全风险、财务信息风险、医疗风险等。分类标准应根据最新的管理要求实时调整。

（4）搭建公立医院风险层级分类的框架，根据风险影响面将风险划分为三个层级，一级是总体性风险，三级是执行性风险，二级是介于一级、三级之间的主要流程风险，搭建起统一的“类型+层级”风险分类框架。

（5）建立公立医院风险评估标准，根据风险发生的可能性将风险分为五个等级，采用定量或定性或其组合方法对发生可能性由低到高分别赋值，如可能性极低为1、可能性低为2、可能性中等为3、可能性高为4、可能性极高为5；将风险发生后的影响程度也分为五个等级，影响程度由小到大分别赋值，如影响极小为1、影响小为2、影响中等为3、影响大为4、影响极大为5。风险值=发生可能性×影响程度，根据得分高低确定风险管控级别，风险值越高越应作为重点关注的对象。针对发生可能性较低但是影响程度大的风险事件，应建立特殊程序以便调整其风险级别，如表1所示。

表1 风险等级标准示例

（6）开展风险识别工作，利用已搭建起的内部控制组织架构人员和多方参与的专家团队进行风险识别。综合运用多种科学方法比如流程图分析、风险清单法、个别访谈法、文件审查、问卷调查等，查找公立医院各项经济活动及重要业务流程中存在的风险点。将识别出的风险点按单位层面和业务层面分类，汇总整理成公立医院的《风险清单表》。

（7）开展风险分析工作，根据单位组织架构的实际情况将风险清单中的风险点细分，分别设计成风险评估问卷，发放给对应业务部门和管理层、内控专家等人员。参与分析的人员应结合自身工作管理经验，采用定量的、半定量的或定性的或其组合形式对风险的致因和来源，发生的可能性及后果进行分析描述，现有的风险控制措施及控制效果也应作为分析的对象，风险分析的结果按标准用词填入风险评估问卷。

（8）开展风险评价工作，参与评价的人员按照风险评估标准，分别对每项风险的发生可能性和影响程度进行打分，风险评价也可以由风险分析人员在分析后即刻进行。内控管理机构对回收的有效评估问卷进行统计，采用加权平均法或算术平均法计算每项风险的风险值，根据风险值确定每项风险的等级。风险评价结果可以整理形成公立医院风险数据库，细分为单位层面风险数据库、业务层面风险数据库。

（9）汇总整理风险评估结果，将结果以评估报告或风险数据库等形式呈现，经单位内部控制领导小组审核通过后，上报医院领导班子以便关注重大风险和采取措施及时处理风险。

（10）经验证的标准化风险评估程序及成型的风险数据库可以与其他内控措施一起，共同组成标准的内部控制体系，经不断总结提升，形成公立医院内部控制标准，选取行业内有代表性的兄弟医院共同实践，以便推进整个公立医院行业的内部控制建设。

结语

综上所述，公立医院在开展内部控制体系建设工作时，因自身业务活动复杂，从业人员专业性强，管理层多数由卫生技术专业人员组成，内部控制机构及人员不完善等客观原因，全面、系统和客观评估风险存在难度。如果能够按照风险管理标准要求建立一套标准化的公立医院内部控制风险评估程序，形成普适的公立医院风险数据库供行业单位共同实施，将有利于推进整个公立医院行业的内部控制建设。