公立医院内部控制应用与优化研究

郑胜寒（高级会计师）

（福建医科大学附属肿瘤医院福建省肿瘤医院 福建福州 350002）

一、研究背景

2012—2017年期间，财政部陆续发布《行政事业单位内部控制规范（试行）》（以下简称《内控规范》）、《关于全面推进行政事业单位内部控制建设的指导意见》《关于开展行政事业单位内部控制基础性评价工作的通知》《行政事业单位内部控制报告管理制度（试行）》等政策文件，初步搭建了囊括“规范-指导意见-基础性评价-内部控制报告”的行政事业单位内部控制制度体系。公立医院作为事业单位，内部控制建设应遵循行政事业单位内部控制相关规定及2006年出台的《医疗机构财务会计内部控制规定（试行）》（以下简称《会计内控规定》）。

2020年12月31日，国家卫生健康委和国家中医药管理局联合发布《公立医院内部控制管理办法》（以下简称《管理办法》），与《内控规范》相比，《管理办法》中公立医院业务层面的内部控制覆盖范围更广，主要是新增了医疗业务等6项非经济业务，凸显了医疗行业的业务特征，将医疗、科研、教学、互联网医疗、医联体、信息化建设纳入业务层面内部控制。与《会计内控规定》相比，《管理办法》中内部控制突破了财务会计范畴，提升到医院整体运营层面，主要是更加突出采购、合同业务控制，新增非经济业务，并将财务电子信息化拓展内涵为信息化建设。

在政策推动下，公立医院内部控制水平在逐步提升，但目前公立医院内部控制应用还处于发展阶段，对公立医院单位层面和业务层面内部控制情况进行分析，探索科学的内部控制模式，对于提高医院运营水平、促进医院高质量发展具有重要意义。

二、研究方法与对象

（一）研究方法

1.问卷调查法。本文对全国102名医院工作人员进行问卷调查，调查内容包括：公立医院内部控制整体情况，内部控制制度、组织体系等单位层面内控情况，12项具体业务的风险发生概率、风险影响程度、风险值等业务层面内控情况，以及内部控制监督措施等。

2.风险矩阵法。从风险发生概率、风险影响程度角度对业务层面的12项业务进行风险评价。按风险发生可能性进行分级，划分为极低（1）、偏低（2）、可能（3）、较大可能（4）、极可能（5）。按风险影响程度进行分级，从小到大分别为可忽略（1）、微小（2）、一般（3）、严重（4）、关键（5）。在问卷调查数据的基础上，计算出业务的风险值=风险发生概率×风险影响程度，用来综合评价业务的风险。

（二）调查对象

1.调查对象所在医院基本情况。调查对象所在医院以三级综合性医院为主，占比52.94%；医院所属关系覆盖部属、省属、市属及县属，其中以省属医院居多，占比达47.06%；实际开放床位数1 000—3 000张的医院占比56.86%（见表1）。

表1 调查医疗机构的基本情况

2.调查对象基本情况。调查对象以医院的管理人员为主。其中25.49%的调查对象具有10—15年的工作经验，有15年以上工作经验者占比52.94%；主要为中级、高级职称群体，占比88.23%（见表2）。

表2 调查对象的基本情况

三、结果与分析

（一）公立医院内部控制整体情况

1.调查对象对所在医院内部控制的总体评价。调查对象对于所在医院的内部控制评价主要集中在“一般”和“较好”，其中“一般”等次的占比41.18%，“较好”等次的占比37.25%（见表3）。

表3 医院内部控制总体评价表

2.调查对象所在医院单位层面内部控制情况。如表4所示，大多数调查对象所在医院都成立了内部控制领导小组或委员会等组织机构；94.12%的医院建立了内部控制制度，但62.75%的医院还未根据最新出台的内控管理办法进行修订；大部分医院设置了内部控制岗位，但设置内部控制专职岗位的偏少，占比13.73%；内部控制以财务部门为主，占比81.37%。

表4 公立医院单位层面内部控制情况表

3.公立医院内部控制的主要参与者。如表5所示，有92.16%的调查对象认为职能部门人员应是医院内控的最主要参与者；认为医院管理层和业务部门人员应是内控最主要参与者的，占比分别是88.24%、64.71%。

表5 公立医院内部控制的最主要参与者情况表

（二）公立医院业务层面内部控制情况

1.公立医院业务层面的内部控制覆盖范围。如表6所示，大多数调查对象所在医院业务层面内部控制范围仍以传统的收支、采购、预算等6项经济业务为主，占比均在88%以上。医疗等非经济业务覆盖较少，占比均在50%以下；覆盖范围最低的是互联网医疗、医联体业务，比例均为33.33%。

表6 医院内部控制的业务层面覆盖范围情况表

2.对具体业务的风险发生概率和风险影响程度的评价。调查对象所在的医院中，有42家医院尚未开展互联网医疗、有4家医院尚未开展医联体业务。业务的风险发生概率、风险影响程度统计如下页表7所示。

表7 具体业务的风险发生概率、风险影响程度情况表

各项业务按风险值由大到小，排序如下页表8所示。整体而言，经济业务风险高于非经济业务。在传统的6项经济业务中，收支业务的风险值最低，其他5项业务的风险值均较高，风险值由大到小排序是基建业务＞采购业务＞资产业务＞合同业务＞预算业务＞收支业务；在新增的6项非经济业务中，信息化建设、医疗业务的风险值较高，其他4项业务的风险值较低，风险值由大到小排序是信息化建设＞医疗业务＞科研业务＞教学业务＞医联体业务＞互联网医疗业务。

表8 具体业务的风险情况表

3.公立医院内部控制的监督措施。如下页表9所示，定期自查、外部监督、加强信息化控制三个措施是调查对象所在医院采取最多的医院内部控制监督措施，与绩效奖惩挂钩、强化交流与沟通次之，而选择投诉管理的比例最小。

表9 医院对内部控制的主要监督措施统计表

四、相关建议

（一）明确公立医院内部控制定位

与其他行政事业单位不同，公立医院内部控制的内涵更为丰富，非经济业务与经济业务的内部控制均不容忽视。第一，内部控制应与医院发展战略相结合，与医院发展、新医疗技术开展等规划同步。根据医院发展的不同阶段、财力水平、人力资源情况等，明确重点内部控制业务。第二，内部控制是推动医院高质量发展的必然要求，贯穿于医院的业务管理和经济管理中，需要通过加强领导管理责任保障执行力。为此，可以将内控工作是否实质化运作作为主要领导的考核标准。第三，内部控制需要医院全员参与。临床医技一线医务人员由于医疗业务繁忙，可以以咨询专家身份参与到内部控制中；也可以通过主题培训等方式，加强职能部门、医务人员对内部控制的政策理解，深刻认知执行内控的必要性。

（二）强化单位层面内部控制建设

1.完善组织体系。组织架构是单位层面内部控制设计的重中之重，是内控制度得到有效运行的主要保证。内部控制工作组织应包括领导小组、内控办公室及牵头部门、内部审计及纪检监察部门、业务部门四个层面。首先，内控建设应建立在党委领导下、以“一把手”为主要负责人的内部控制项目领导小组，领导、监督内部控制相关工作。其次，成立内控办公室，全面负责内部控制工作。鉴于医院的每一项业务、经济活动均与会计工作相关联，可以由财务部门牵头，负责单位层面内部控制建设设计；分设业务内部控制小组，由相应的归口职能部门牵头，负责业务层面流程梳理与内部控制设计。再次，审计部门、纪检监察部门分别侧重从业务方面、廉洁建设方面进行监督评价。最后，充分调动业务部门的积极性。业务部门主动对本部门业务流程重新梳理，自觉开展风险评估，规避损失，将内部控制前置。

2.加强制度建设。为保障内控工作的健康有序开展，医院应尽快根据《管理办法》，对内部控制制度进行修订，并形成长期有效机制。可以根据不同业务的控制目标、关键环节、主要风险等不同特点，调配相关科室人员成为组员，让各关键岗位人员参与到内部控制制度制定和修改工作中，使制度更加科学、合理，实操性更强。对医院现有制度进行梳理或重新修订，在诸如资金收支管理制度、人事管理制度、招标采购管理制度和内部审计制度等基础上，制定具有可操作性的相关内部控制制度、应用指南、手册。此外，相关制度的设计需要遵循实质重于形式的原则，注重制度的可执行性，使其真正服务于内部控制工作。尤其是二级制度、操作办法，要从实际出发，根据业务运行情况及时调整，使制度落地，发挥应有的作用、实效。

3.落实岗位责任制。为保证医院各项业务能够有序、规范展开，应基于内部控制管理不相容岗位相分离的要求，针对内部控制制定、实施、监督和评价的各个环节，运用独立性理念，重新梳理医院决策、执行、监督各个层次的权责分配，避免职能交叉重叠的现象，确保互相分离、制约与监督的同时互相协调配合。在此基础上，落实各个岗位责任制，明确岗位职责和权限，做好职责分工，责任到人，层层压实责任，并与责任人绩效考核、职务晋升、职称评聘挂钩。在具体操作时，将有关的职责权限流程嵌入医院的内部控制管理信息化平台中，确保职责权限实施的合规、有序、可知、可控。

4.夯实队伍建设。人力资源是制定与执行内部控制的主体。关键岗位人员的专业能力直接影响着医院整体经济业务能否有效运行，再加之医院业务活动专业性强的特性，这都要求关键岗位人员充分熟练业务流程并且掌握核心技能。因此要对关键岗位人员进行分批次、分层次的专业性培训，不断提升员工素质和业务水平，从而保障内部控制建设得以有效开展。此外，应开展岗位轮换制，尤其是在内控中起关键作用的财会岗位。可以在同部门或不同部门之间，用人所长、多岗位历练，既有利于发现医院内部的问题，又能够提高员工的大局观和全方位能力。

5.提高信息化建设水平。通过内控信息化建设将内控制度落到实处，以此实现“制度化-流程化-表单化-信息化”的四位一体，重点是做好信息化建设的全过程控制。信息平台开发之前，充分调研临床科室、医技科室、职能部门等各个部门的核心业务诉求，提高业务部门的参与度。开发过程中，嵌入现有业务流程，并注意不同系统之间数据的共享整合与流程的优化，清晰划分程序化控制和人工操作的界限。对于规模较小、信息化建设尚处于起步阶段的公立医院，较为理想的路径是构建统一的管理信息系统，并将预算管理、收支管理、采购管理、资产管理、基建工程和合同管理等相关经济业务模块融入统一的平台。对于规模较大、信息系统较多的公立医院，可以以现有信息系统为基础，通过制作标准化的接口，将医院内部各个信息系统的功能模块相连接，厘清关键技术环节，整合成统一的管理信息平台。系统应用时，要注意输入、输出、分级授权权限的设定，并保障系统自动触发预警机制等。

（三）落实业务层面内部控制建设

1.优化业务内控资源的配置。通过问卷结果分析可知，现阶段公立医院各类型业务由于业务属性及实践基础不同，其风险值以及对医院目标实现的影响程度也不同，应重点关注风险较高的业务领域，内控资源向高风险领域倾斜。

在经济业务中，采购、基建、资产、合同业务由于涉及资金量大、环节多，属于易腐败、风险较大领域，内部控制应进行重点管控，找准薄弱环节和关键环节，优化业务流程，明确管理层、归口管理部门、参与部门、专家小组等相关权责利，可以通过定期专项内部控制评价或专项审计的方式，进一步降低业务风险；预算业务、收支业务由于在公立医院实践比较成熟、运行机制比较稳健，应注意夯实基础，保持稳定的运转环境。在非经济业务中，医疗业务是医院的生命线，医疗质量安全一向是医院最重视的工作，由于医疗信息不对称等因素，医疗业务风险较高；公立医院的信息化与各项业务息息相关，信息化建设风险很大可能会引发系统性风险，其风险不容忽视；科研业务、教学业务业务量相对较少，医联体业务、互联网业务作为新型业务，风险也比较小。因此，要重点防范关系到患者切身利益的医疗业务风险和信息化控制不到位引发的风险。

2.以“预算控制”与“信息化建设”为抓手。在12项业务中，预算业务与信息化建设具有可以贯穿到其他业务的特性。预算业务的内部控制是业务层面内部控制中最基础的控制，在公立医院的实践基础最为扎实。同时预算控制方法也在收支、采购、基本建设、医疗、科研管理等各项经济业务、非经济业务的内部控制中得到应用，能够有效起到预算约束作用，防范风险。信息化建设是内部控制得以有效执行的最有力保证，能够有效保障内控的持续性和动态调整性。通过将必要的内部控制要点尽可能全面地落实到信息化控制中，实现具体业务的流程和关键点与信息系统相结合，可以有效减少或消除人为因素，提高各项业务内部控制的效率，保障内控效果。将内控各项制度要求，如资金审批制度、“三重一大”管理制度、政府采购目录、科研支出预算等嵌入系统，并可动态调整，能够更好地保障医院各项业务运行合法合规。因此，可以通过预算业务、信息化建设等综合性业务来对其他业务内控进行渗透，实现业务内控的全面覆盖。

3.强化内部控制监督。为提高内控执行力，医院审计部门、纪检监察或独立的内部监督部门，应对内控机制运行的有效性进行监督，及时发现存在的问题并提出改进的建议与措施，从而不断完善内控体系，使内控管理在医院发挥持续有效的作用。此外，医院要积极主动寻求外部监督，如获取患者、供应商、施工方对医院的评价等，督促医院把内控工作做实做细，也可以引入第三方，对内控工作开展客观评价。