俞燕 戈彦丁
【摘 要】 文章通过梳理我国公立医院内部控制评价现状及存在的评价主体不客观、评价机制不健全、评价范围不全面、评价成果应用少等问题,结合医院内部审计部门在评价主体选定、评价对象明确、评价步骤实施、评价成果应用等主要环节的实践,对进一步完善公立医院内部控制建设,提升公立医院内部审计部门评价能力和方法运用提出了对策建议,为公立医院更好地进行内部控制评价提供了有益的借鉴。
【关键词】 公立医院; 内控评价; 内审独立性; 风险管控; 监督评价
【中图分类号】 F234.3 【文献标识码】 A 【文章编号】 1004-5937(2023)07-0081-06
随着国家加快治理体系和治理能力现代化的建设及深化医疗卫生健康领域改革,公立医院精细化管理日益重要。医院管理不仅是临床医疗业务的管理、护理质量的管理,而且是行政工作的管理。内部控制是推进公立医院精细化管理的重要手段和基石,而内部控制评价则是内部控制体系建设是否完善、是否有效运营的试金石,通过全面系统评价公立医院内部控制的有效性,进而促进内部治理体系健全,对有效防控风险、保障公立医院运行目标顺利实现具有重要价值。
一、公立医院内控评价的现状及问题
近年来,我国公立医院逐渐认识到内部控制对医院运行管理提升的重要性,公立医院内部控制建设工作的开展如火如荼,各医院针对单位内部控制发布了评价通知并做出了相关规定。但部分医院对内部控制评价工作的关注度和重视程度远远不够,管理层缺少内控管理意识,仅将内控评价当成是对各项工作的打分,对内控评价的作用和意义缺少深入了解,忽视内控评价工作,导致医院未定期开展内控评价,医院管理中存在的问题没有及时解决;部分医院虽然进行了内控评价,但出具的内控评价报告内容不全面,对重要问题避而不谈,背离了内控评价“以评促改”的初衷,医院内控评价工作流于形式。
(一)评价主体不客观,评价机制不健全
公立医院内部控制评价结果受诸多因素影响,其中,评价主体作用发挥程度直接影响最终评价效果。从设计层面来看,公立医院内部控制评价主体包括外部评价主体和内部评价主体。外部评价主体主要是财政、审计、纪委、会计师事务所等部门对医院开展的独立评价,具有强制性和客观性;内部评价主体一般由公立医院内部纪检部门、审计部门对医院内部控制运行有效性开展独立评价,强制性和客观性较弱。从执行层面来看,一方面,大部分公立医院内部控制评价未得到有效开展,未明确评价责任部门、评价程序以及建立完善的内控评价机制,致使评价结果不具备全面性和可比性,无法达到评价目的;另一方面,公立医院纪监审部门缺少足够的具备专业胜任能力的人员,掌握的评价方法和技能较少,导致医院内部控制评价作用发挥有限。
(二)评价范围不全面,业务财务相分离
公立医院在开展内部控制评价时,评价工作普遍关注财务指标,对非财务指标关注较少,尤其是未对公立医院的运行环境、决策机制、机构设置、制度建设、人员配备等影响内控有效性的关键内容进行全面评价。医院内控评价部门的人员大部分属于财务或者审计专业教育背景,对医疗业务知识和运行规律认识不足,难以识别重要的非财务风险,对内部控制设计合理性和运行有效性无法做出专业评价,导致评价工作集中于财务风险。另外,进行财务相关业务内控评价时,过于关注财务结果表现,较少关注导致财务结果的业务流程的合理性和有效性,即业务财务融合的状况和运行效果。公立医院是一个以医疗业务管理为基础、以财务管理为支撑的有机运营主体,防控其经济活动风险的前提是将业务管理与财务管理充分整合,即业财融合。只有将财务管理贯穿于医院的全业务流程,内部控制的作用方能凸显,内部控制评价的目的才能达到[ 1 ]。
(三)评价成果应用少,指导改进不充分
财政部内控规范文件要求行政事业单位进行内部监督与评价,也要求公立医院每年度编制并提交内部控制报告,但目前许多医院虽然进行了内控评价工作却收效甚微,部分原因是自身缺乏查找分析问题的方法与手段,使得内部控制长期存在的问题难以被发现,评价结果无法起到改善医院内部管理的作用。内部控制评价体系最重要的构成就是反馈和整改机制,即对内部控制缺陷的跟踪整改,而评价结果的有效利用既要依赖院内组织实施,又需要外部指导监督。医院内控评价部门需要对内控缺陷提出专业改进建议,当能力不足时要积极寻求上级部门或专业第三方的帮助,只有公立医院的内部评价结果与制度建立健全、部门绩效考核、干部选拔任用等挂钩,才能促进内部控制制度的有效实施和不断优化,使内控体系设计合理、内控评价行之有效。
(四)持续改进未体现,监督反馈未建立
内部监督与内控评价相辅相成,在一定程度上可以促进内控评价成果的转化应用。但公立医院存在内部监督形式单一、内部监督范围局限等问题。实际工作中,由于部分内控缺陷根深蒂固,涉及部门广、整改费时费力,導致内部监督效果不明显,问题反复发生。因此,医院需要建立有效的监督评价管理机制。在内控缺陷整改阶段,需要各归口部门确定整改责任人、整改方案、整改完成时限等关键信息,根据整改方案对内控评价中发现的问题整改落实。整改完成后要向内控评价小组反馈整改成效,未完成整改的要分析原因并由内控评价小组进行研究,专题讨论整改方案。内控小组要将结果反馈到内控体系设计和执行的有效循环中,以此建立有机的PDCA循环系统,推进公立医院内控建设不断取得新成效,助力公立医院健康良性运行。
二、健全公立医院内部控制评价体系的对策
(一)建立评价组织机构,明确评价目标和任务
1.明确评价组织机构及建立内部控制评价模式
医院要设置科学的内部控制管理组织架构,采用层层递进的方式进行风险评估以及评价考核工作。在实际工作中,部分公立医院指定内部审计或纪检监察部门专职负责内部控制评价工作,部分医院成立了内部控制监督评价小组,部分医院聘请外部专业评价机构[ 1 ]。鉴于三种不同评价模式各有优劣,医院应综合考虑评价主体的特点,结合医院内控评价特殊性建立适合自身评价要求的评价模式,可采用内部纪监审部门牵头,第三方机构独立参与的内控评价小组方式开展内控评价工作。
2.明确医院内控目标,推进内部控制评价工作
医院在推进内部控制评价工作时,要以解决问题为导向,确定医院未来一段时间内的发展计划和工作重心,落实重要风险对应的管控措施,结合日常运行反映出来的制度、流程等方面的疏漏,制定切实可行的内部控制评价工作目标,以保证内控评价工作方向聚焦医院管理。同时要根据外部环境变化和自身经营情况调整工作目标和方向,以保证契合医院实际管理情况。
3.平衡内部控制评价原则,强化评价结果运用
医院内部控制评价应遵循全面性原则、重要性原则、风险导向原则、成本管控原则。一般而言,内部控制是针对常规业务,目标是制度、流程的设计与医院经济运行的高度契合,既要考虑设计的整体性和全面性,又要突出关键业务的风险防范性和运行效率性。因此,不能简单机械照搬评价原则,使评价结果过于宽泛,整改无从下手,或评价结果过于详细,整改过程繁琐,从而影响医院精细化管理水平和运行效率。
4.设计内部控制评价指标,强化指标细则分类
医院在构建内部控制运行有效性评价指标时,应重点关注指标的科学性、可行性、合理性。结合医院自身的经营情况以及管理水平,将指标按照单位层面和业务层面进行分类,以医院运行过程中主要经济风险为评价重点,以指标细则为评价支撑,构建符合医院实际的内部控制运行有效性评价指标体系。
(二)分步骤组织实施内控评价工作
内部控制评价由医院内控评价工作小组按照事先制定的评价方案和工作计划组织实施。主要完成资料收集、底稿编制、风险评估和现场测试工作。现场测试要综合运用控制测试、穿行测试、现场观察、询问等方法获取内控执行资料,开展评价工作,判断制度设计合理性以及执行有效性方面是否存在缺陷。
1.确定评价范围和重点,编制测试底稿
根据公立医院的控制要求,单位层面从内部控制工作的组织架构建设、规章制度完善、关键岗位管理设置、风险评价机制、信息系统部署等方面入手,业务层面从预算、收支、采购、资产、建设项目、合同、医疗业务、科研项目和临床试验项目、教学、互联网诊疗、医联体、信息化建设共12项业务入手,测试控制点涉及的政策程序,编制内部控制执行测试工作底稿,并明确测试程序、测试方法、抽样规则、样本量选取等评价内容。
(1)单位层面内部控制评价重点:一是内部控制组织架构方面,包括内控组织架构是否清晰、职责分工是否明确、沟通协调和联动机制是否建立,以保证医院内控评价工作的顺利運行;二是内部控制制约机制方面,包括不相容职能是否有效分离、集体决策机制和内部监督机制是否健全等;三是内部控制制度执行方面,包括是否确保实际业务执行与内部管理制度的管理要求一致、监督评价机制和管理规定是否一致、评价机构是否独立等;四是关键岗位设置方面,包括是否建立管理人员培训体系、是否增强内部管理人员特别是关键岗位人员胜任能力、关键岗位工作人员轮岗和替代监督机制是否到位;五是风险评估协调机制方面,包括是否成立了风险评估管理部门或设置专职岗位人员、是否定期开展风险检测与评估、是否有风险评估体系有效执行的措施;六是信息系统应用落地方面,重点关注医院业务、财务信息及流程整合情况,设计是否符合国家统一标准和规范,是否实现运行流程事前审核、事中控制和事后监督的闭环管理。
(2)业务层面内控评价重点:根据制度和流程完善情况进行评价,从重要经济活动、重点项目执行、重大政策落实、重点岗位设置、高风险领域等过程控制和监督入手。
1)预算模块重点关注:项目立项审核流程是否严谨,预算编制程序是否规范、编制方式是否科学,预算审批责任是否清晰、标准是否明确、内容是否完整,年终预算考评机制是否健全、是否得到有效实施、预算考评是否严格、考评过程是否透明、考评标准是否合理、考核结果是否公正。
2)收支模块重点关注:医疗服务项目及收费价格是否符合国家规定及标准,信息系统中收费项目主文档信息维护是否准确无误,医疗收入记录是否经过有效复核、收入记录是否准确,基本支出项目原因是否合理、支出范围及开支标准是否符合医院财务管理规定,是否建立了事前申请制度、支出报销审批是否按照制度规定执行,事前申请、事后报销程序是否规范完整,是否对支出情况规模定期分析、及时清理往来账款。
3)采购模块重点关注:采购预算编制是否科学合理,采购方式是否符合标准,政府采购信息发布方式是否合理,采购合同签订是否合规,是否对采购的货物按照规定及时组织执行验收程序,是否按照规定对供应商付款等。
4)资产模块重点关注:一是在货币资金管理方面,现金管理是否符合现金管理规定,银行账户的开立、变更及撤销是否规范,票据和印章是否得到有效保管,印章保管是否做到不相容岗位相互分离。二是在固定资产管理方面是否合理配备各部门的资产,是否对固定资产、库存药品及医疗器械进行妥善保管并指定专门部门和专业人员进行管理;资产出入库管理是否规范,是否定期开展资产的清查盘点,是否建立了资产的报废处理流程。三是在无形资产管理方面,是否明确无形资产管理归口部门,无形资产是否全过程管理。
5)建设项目模块重点关注:建设项目是否符合医院发展规划、相关重要事项决策是否通过集体讨论、形成的项目管理建议是否合规,项目建设是否进行可行性研究、可行性研究是否实质重于形式;在招标环节中,招标人是否做到了公平、公正,招标工程中相关人员是否存在违法违纪泄露标底;在项目建设阶段,是否存在任意压缩工期、盲目赶进度的情况,质量方面能否做到保质保量,工程洽商变更是否经各方审核;在竣工结束后,能否根据国家规定的标准进行验收,验收资料是否合格。
6)合同模块重点关注:合同管理制度是否建立健全,合同签订程序是否完整,是否存在职能部门与外单位签订合同的情形;已签订的合同,后续工作中是否能做到归档整理及追踪实施。
7)医疗业务管理模块重点关注:医疗18项核心管理制度建立及落实情况,是否明确医疗业务相关的归口管理部门及部门职能,是否针对临床合理用药建立管控机制,是否对新项目和新技术进行动态跟踪和评估管理等。
8)科研项目和临床试验项目管理模块重点关注:是否建立健全了项目立项管理制度,是否对项目立项开展充分论证工作,是否严格依据科研项目申报指南要求进行申报材料自查,是否按要求进行伦理等审查,是否经归口管理部门有效审批备案,院内对结题材料审批是否仔细等。
9)教学管理模块重点关注:是否建立规范的教学管理制度和流程,是否明确教学管理机构、岗位设置及职责分工,教学质量评估机制是否健全,评估方案是否制定、是否得到有效实施等。
10)互联网诊疗管理模块重点关注:是否设置了互联网诊疗业务的归口管理部门并规范相关的工作流程,医院开展互联网诊疗项目是否符合《互联网诊疗监管细则(试行)》要求。
11)医联体管理模块重点关注:医疗联合体章程及管理制度是否建立,医联体建设是否涵盖医疗协作机制、资源共享机制、诊疗服务与收费等。
12)信息系统管理模块重点关注:是否明确医院信息化建设归口部门和职责权限,是否针对医院实际情况制定信息系统建设总体规划,立项评审是否流于形式,是否制定项目评审标准,项目评审人员是否具备专业资格和素养,是否组织相关部门对信息系统进行测试和验收等。
2.梳理影响因素,开展风险评估
根据影响医院医疗业务和经济业务运行的重要环境、政策、管理以及业务活动变化情况,如疫情防控、分级诊疗制度、支付制度、互联网诊疗、基金监管等,医院需要梳理这些变化可能带来的影响,研判原有针对常规业务设计的内控制度、流程等的适用性以及对单位层面控制和业务层面各环节控制的有效性。重点关注可能导致单位层面、业务层面控制失效和缺失的制度、流程及由此带来的风险,并根据风险事项发生后给医院造成的影响大小确定重大风险、重要风险、一般风险,针对不同的风险等级选取合适的风险应对措施,确保风险管理制度和管理方法能够在实践中发挥有效作用。管理人员可以按照医院承受风险的情况采取针对性的策略。各责任部门通过对风险控制效果和效率的自我评价及检查,持续改进管控活动。
3.实施现场测试,确认控制缺陷
按照评价目标和实施范围并结合医院实际情况,与各部门沟通确定详细测试计划,按计划开展测试工作。通过询问、观察、审阅和检查及必要的重新執行等控制测试方法,依据抽样规则对业务样本的符合性进行判断(业务频次抽样量参考标准见表1),对关键控制实施控制执行有效性的测试,填写工作底稿,详细记录测试内容和结果,保留异常情况的相关证据。在测试过程中发现的异常情况,内控评价工作组要及时与控制责任人和控制部门责任人进行沟通,确认缺陷是否属实。
4.编制内控评价报告,督促问题整改
内控评价小组在完成医院内部控制评价工作后,要对缺陷成因、缺陷表现形式、缺陷对医院的影响程度进行分析,秉持客观、公正的原则编制《内部控制评价报告》。根据确定的风险控制点、风险等级,研究风险应对策略,针对设计不合理、执行无效的管控措施提出优化建议,借鉴同类型单位的先进管理经验提出优化管控解决方案,确定内部控制改进方式和路径;对相关管理制度、流程、表单、权责、风险、控制措施进行梳理及规范,制定整改计划,整改措施明确到部门、岗位。对认定的内部控制缺陷,责任部门和责任人须及时整改,找出风险问题并制定有效方案。医院内审部门后续通过不定期检查以及内控评价、“回头看”等方式,对报告期内的缺陷改善情况进行跟进,确保内部控制的持续改进和有效完善。
5.整改落实“回头看”,形成管理闭环
在医院整改计划执行完成的基础上,参照内部控制评价体系中的内部控制评价步骤,采用统一可比的评价指标、评价标准,保证评价结果的客观性,对整改后的医院内部控制建设和实施情况进行再评价,夯实内部控制体系建设成果,重点关注是否根据内控评价结果进行整改并有效运用。
6.以评价结果为依据,推进公立医院内部控制建设
(1)优化内部流程和制度体系。收集并梳理单位内外部制度,搭建制度框架,将内部制度文件与外部政策法规进行逐条对标,从而梳理出制度设计缺漏、不合规等情况,结合单位各项业务运行的具体现状,进一步梳理制度待优化的内容,提出制度修订意见,各部门根据意见修订完善管理制度。要将经济活动决策、执行、监督制衡机制嵌入到现有流程中,对现有流程进行改造升级,在经济活动管理过程中,让内外部之间、各个管理环节之间的衔接性、一致性发挥作用。
(2)提高风险防控能力。结合外部监管要求、内部治理需求定期执行风险评估,更新风险数据库,针对高风险领域重点管控,健全风险管控措施,构建医院风险防控体系,确保风险可防可控。
(3)构建信息化监管系统。在医院现有系统的基础上部署大数据监管平台,结合内控评价和内部审计结果对重要业务、重要岗位、重要程序进行监管。定量指标可设置预警值,当数据偏离时系统自动推送提醒;定性指标可点亮重点数据,标记可疑数据,并推送给内审部门或纪检部门。借助信息化手段,实现数据动态监管。
三、完善公立医院内部控制评价的思考
对于公立医院而言,通过定期的内部控制评价可以发现问题、总结问题、纠正问题,实现自我完善和自我发展,切实提升公立医院内部管理水平和风险防控能力。公立医院要充分认识到内部控制评价在医院运营管理中的重要作用,建立完善的内控评价机制,对评价发现的缺陷深入分析总结,持续监督改进,从根本上解决问题,构建公立医院持续监督评价体系。面对复杂的改革任务和管理要求,需要不断探索完善内部控制评价建设,确保公立医院各项目标顺利实现。
(一)以内控评价为基,提升医院内部审计实效
现代公立医院内部审计部门已不再局限于传统的内部财务审计要求,内部审计已经从财务审计延伸到业务前端。在新的要求下,公立医院要充分认识到内部审计的督导作用,提升内部审计部门在医院的独立性和权威性,将内部审计与内控评价融合,最大限度发挥内部审计的监督评价作用。一是内部审计在内控评价全面覆盖的基础上突出重点,对内控评价发现的重要问题进行专项审计,延伸周期。二是内控评价和内部审计资源共享,内控评价可以将历年内部审计报告发现的问题及整改进度作为重点,提高效率与针对性,更好地实现风险导向内部审计。
1.保证内部审计独立性和客观性
公立医院内部审计部门开展内控评价时,必须确保内部审计独立性、客观性。一是保证内审部门的独立性、权威性,内审部门要在单位主要负责人的直接领导下开展工作,可直接向医院最高决策层报告工作,以审查本单位其他职能部门的内部控制执行情况[ 2 ]。二是保证内审人员独立于所审计的经营活动及决策过程之外。部分公立医院内审部门人力资源紧张,内审人员承担医院内审职责的同时还承担着医院合同管理、采购或招投标评审(不包括审计服务采购评审)、内部控制实施等活动,可能损害内审人员独立性[ 3 ];如无法保障内部审计独立性,那么内审人员在履行职责时,对经营管理存在的问题,内部审计发表意见的客观性将受到限制。
2.提高内部审计人员专业素养
公立医院内部审计人员普遍是财会或审计专业出身,对医疗业务了解不深。为了切实增强内部控制评价工作的专业性、评价成果的可运用性,内部控制评价人员作为责任主体,需要加强学习,通过学习相关理论知识、与同类型单位交流经验等方式熟悉和掌握内部控制评价理论知识及操作技能,这样才能对各项业务工作进行有效分析和评价,辅助医院实现高效管理[ 4 ]。
(二)全面评估风险,提高医院风险防控水平
医院应当重视内部控制风险评估工作,完善风险管理机制,包括根据单位宗旨和文化设定清晰明确的目标,进行目标导向的风险识别、单位层面与业务层面的风险识别,判断来自内外部以及具体业务管理环节的风险,并全面客观地评估造成内部控制重大影响的改变。通过制定风险应对措施,不断完善内部控制体系。
首先,公立医院要对风险预警系统进行优化,指定审计部门或成立专项小组牵头医院风险评估工作,配备专业人员定期进行风险识别、评估和防范工作;将资金风险、医疗风险、经营风险等作为重点管理环节,在各个部门设立风险预警岗位,保证风险管理落实到位[ 5 ]。
其次,建立科学有效的风险评估程序,风险评估人员要对风险因素进行判断,对风险发生的原因进行分析。具体业务管理环节需要重点关注资源是否得到足额配置,关键控制点是否存在漏洞。如果在工作环节流程中发现不明情况应及时上报或组织讨论,做到及时发现问题,评估风险,解决问题。
最后,建立风险应对机制,对内部控制工作的组织情况、内部控制关键岗位的管理情况以及具体业务层面,如预算收支等环节可能产生的变化进行识别和监控,在各职能部门的配合下,共同制定风险防范措施,对风险管理过程进行优化,应对不断出现的问题,将业务环节和工作管理中的风险降到最低,减少单位损失。
(三)持续监督评价,提高医院内部控制建设效果
医院应重视建立持续的内外部监督机制和评价结果运用机制。内部控制评价系统是内控建设不断完善并有效实施的重要手段,内审部门应当充分发挥对内控设计和执行有效性的评价与监督作用,定期或不定期开展全面监督检查、专项检查、抽查等工作。通过对内控基本制度、业务工作机制、具体业务环节等的测试和分析[ 6 ],将发现的设计类缺陷、执行类缺陷反馈给部门负责人。各部门要根据评价结果,制定相应的整改措施,并明确整改期限。如果部门无法对相关问题进行整改,或缺乏相应的整改条件,也要加强沟通,医院管理层应给予支持。同时,医院可利用外部审计、巡视检查、医療质量检查和医院等级评审等反馈的问题,通过问题整改进一步完善医院内部控制工作。
另外,医院要加强对评价结果的应用。建议将评价结果作为考核评价相关工作人员的依据。只有真正重视评价结果,并积极运用评价结果,才能充分发挥内控评价对医院内部控制体系的自我完善作用,不断提高医院运营管理水平。
(四)引入专业评价机构,提高评价结果可信度
医院在定期进行监督评价的基础上,为了确保自身经营目标实现以及发展水平不断提高,应当引入会计师事务所、管理咨询公司等第三方专业机构对内部控制运行情况进行评价。聘请第三方机构实施内控评价工作,具备一定的客观性和独立性,相关人员需要对医疗行业的特点进行全面了解,并熟悉医院的业务流程。引进第三方机构的目的是确保内部控制运行评价机制的客观性和丰富性,通过风险评估、指标对比、现场测试等多种方式,运用机构丰富的经验全面客观地对被评价单位做出结论,出具内部控制评价报告,并就重大缺陷、重要缺陷的业务或环节提出有针对性、具象且操作性强的改进措施。
(五)完善内部控制手段,利用信息技术辅助评价
在信息时代,借助信息技术手段可以实现公立医院内部控制评价方法的优化升级,改变传统审计过分依赖审计人员知识和经验确定审计方向和审计重点的情况。建立内部控制信息化系统,运用大数据技术方法和工具,通过数据抓取、在线分析等技术手段提升内部审计发现问题、分析问题的能力。此外,在信息技术的支持下,公立医院内部控制和风险管理工作能够实现规范操作。可利用信息系统将各个部门联结到一起,实现业务整合、信息共享及资源协同,以提升内部沟通效率,避免信息分享不及时等,同时为内部控制评价工作高效开展提供支持。
【参考文献】
[1] 滕骥儒,孙家林.我国公立医院内部控制评价体系建立与实施机制研究:基于X公立医院的实践经验[J].中国卫生产业,2022(4):67-70.
[2] 霍晓霞.基于SWOT分析的医院内部审计建设策略研究[J].现代医院,2020,20(5):708-710.
[3] 卫志刚,孙彤彤.医院经济合同管理中人员权限制衡的实践探索[J].卫生经济研究,2022,39(11):87-88.
[4] 沈灿.公立医院内部控制评价的实践与思考[J].行政事业资产与财务,2022(7):68-70.
[5] 李华.公立医院内部控制评价路径探析[J].行政事业资产与财务,2022(7):65-67.
[6] 王京宇.公立医院内部控制存在的问题及对策研究[J].中国乡镇企业会计,2022(4):140-142.