李新 吉林省肿瘤医院
随着我国医疗体制改革不断深入,对医院运营管理提出了更高的要求。近年来,我国医院逐渐认识到内部控制在规范医院运营管理、提升医院运营效率和增强医院风险抵御能力等方面的重要作用,由此在借鉴国内外成功经验的基础上,开始构建适合自身的内部控制体系。但是,由于医院本身具有的特殊性,其内部控制与企业有着显著的差别,因此如何构建适合医院实际的内部控制体系以促进医院管理水平和运营效率效果提升,成了医院发展过程中重点思考的一个问题。为此,本文结合实例,探索构建符合我国医院现实的内部控制优化的实践途径,希望能对促进我国医院高质量发展有积极作用。
结合财政部颁布的《行政事业单位内部控制规范》得知,内部控制指的是为实现控制目标,采取相应措施和执行程序对经济活动控制的过程,以保证经济活动的合法性和合规性。由此可见,经济活动是内部控制的主要对象,对医院而言,内部控制对象除了预算、收支、资产、基建等经济活动外,还包括医疗、科研、教学、互联网医疗等经济活动。
医院具有公益性的特性,在应用内部控制时,需要基于这一特征确保内部开展的经济业务活动的规范性,并积极引入现代信息技术,构建可保障医院稳定发展的内部控制体系,有效发挥出内部控制监督作用,保障医院各项经济活动合法、合规进行,以达到规避风险、保证资金资产安全的管理目的,进而促进医院高质量、可持续发展。
Z 医院是一家专科特色突出、综合学科错位发展的大型三甲公立医院,其自2005 年成立以来,不断推进综合专业转型发展,现设有8 个临床医学中心,医护人员1600 余人。全院开放床位有1200 余张,临床医技科室有70 余个。近年来,Z 医院呈现出良好的发展态势,在2021 年,成功跻入三级甲等综合医院的行列。
在《公立医院内部控制管理办法》(以下简称《办法》)颁布后,Z 医院高度重视内部控制建设,有效发挥内部控制在保障医院财产安全、信息准确等方面的作用。
Z 医院在内部控制建设过程中,为强化内部管理,在内部环境建设方面,成立了内部控制领导小组和工作小组。其中,内部控制领导作为决策机构,主要负责院内工作建设的统一部署和组织实施;内部控制工作小组则设置在医院财务部门中,小组组长由医院财务部主任担任,主要职责是负责医院内部控制工作的具体实施。此外,在制度层面,Z 医院还制定了财务内控制度、重大经济事项决策机制和责任追究制等规范,引导财务部门参与医院重大财务、经济事项的决策,并对执行情况进行监督,以有效把控医院总体成本,提高医院经营管理水平。
1.内部控制机构问题
虽然Z 医院在内部环境建设方面成立内部控制相关组织机构,但是并未对相关组织机构的责任予以明确,尤其体现在内部控制牵头实施和内部监督评价监督两项职能不能加以区分,两者均为同一部门的职责。内部控制建设实施和内部控制评价监督分别是内部控制的两条主线,也属于不相同的业务,应做到两者岗位职能的分离,才能保证内部控制的有效执行。Z 医院应在内部设置独立的审计机构,以负责对内部控制进行评价监督。
2.内部控制机构运行问题
从Z 医院内部控制应用现状来看,其未能做到风险评估与评价监督的全面覆盖,在内部控制信息化建设方面也未能实现全部业务覆盖。风险评估、内控评价与监督均是内部控制的重要因素,前者主要负责收集和评估影响内部控制目标实现的风险信息,同时风险评估也是设计和实施控制的基础依据,而后者的作用在于对内部控制有效性进行评价与监督,在收集内部控制相关信息的基础上,发现内部控制活动存在的缺陷,并对存在的缺陷进行优化、改进,以提升内部控制整体的有效性。另外,在进入信息时代后,医院内部各项系统的数据分析、处理、使用等均需要借助现代信息技术来完成,这突显了医院进行信息化建设的重要性和必要性。同理,在内部控制建设过程中,也需要医院将内部控制活动与信息系统有效结合,这样才能更好地完善信息环境下医院的内部控制体系。
Z 医院在内部控制应用过程中,在编制内部控制手册的基础上,进行了以流程为基础的风险评估,主要是从医院层面和业务层面进行风险评估,并根据风险评估情况汇总形成风险清单。在所列的风险清单中,医院层面涉及的风险有1 个,而业务层面涉及的风险有116 个。结合风险评估结果得知,Z 医院在风险管控方面还有待进一步加强。
3.业务层面内部控制问题
受各方面因素的限制,Z 医院主要是通过财务内控的方式对医院的预算和收支这两项业务进行控制,而对于政府采购管理、资产管理、合同管理、建设工程管理等工作的管控明显不足,内部控制的风险评估未实现全覆盖,导致制定的风险防控措施不具有针对性。除此之外,岗位定期轮岗是内部控制中常用的措施方法,其是保证医院相关业务顺利运行的关键所在。但目前Z 医院由于特殊情况并未实现定期轮岗。
4.信息系统内部控制问题
目前,Z 医院的内部控制信息化建设还处于初级阶段,主要存在这些不足:内部控制信息系统未全部覆盖医院的各项经济业务,包括政府采购、资产管理、合同管理、建设工程等;内部控制的各项系统未实现互联互通,各系统之间无法实行共享和同步;未构建完善的内部控制大数据平台,影响了数据分析、数据处理、数据利用等工作的有效开展。
深入分析原因,虽然Z 医院较早开展了信息化建设,但现行的各业务系统分别是在不同的时期引入和开发,这些系统包括医院的信息管理系统、电子病历系统、药品管理信息系统、人力资源管理系统等。由于这些信息系统并不是在医院统一规划下建设而成的,而是由业务归口部门根据自身的业务需求单独建成的,因此在系统建设过程中并未考虑到跨部门开展业务、系统连接等情况,形成了“信息孤岛”。同时,也因为有着不同的业务活动需求考量,导致在业务流程再造过程中不重视风险评估,设计的控制活动难以有效应对各类风险,加之在系统建成后也不重视系统运行监控,即便是对系统进行升级,也仅仅只是针对业务需要,缺少风险控制方面的需要。
结合Z 医院内部控制现状,其内部控制问题主要集中体现在内控环境、风险评估、内控评价等要素。医院内部控制的有效应用,需保证内部控制各个构成要素整体有效,因此,要想有效优化医院内部控制体系,就必须从其构成要素着手。
1.完善内部控制机构
完善的内部控制机构,是内部控制相关工作顺利开展的重要前提。因此,医院在优化内部控制体系过程中,应注重内部控制机构的完善,应根据《办法》要求,确定内部控制的牵头部门,同时在完善内部控制机构的基础上,进一步明确职责分工,将内部控制的建立与实施保持独立,并针对内部控制的评价与监督检查,构建独立的内部审计机构负责实施,做到不相容岗位分离,保证内部控制体系能够顺畅运行。此外,Z 医院在内部环境建设过程中,虽然设立了相应的内部控制领导小组与工作小组,但在风险评估方面缺少相应组织机构,因此还需构建相应的风险评估小组,保证内部控制的风险评估工作顺利进行。风险评估小组主要职责为:定期从医院层面和业务层面开展风险评估;在管理要求、经济活动或外部环境等有重大变化时,对经济活动风险进行重新评估,并依据评估结果完善内部控制体系。
2.完善内部控制制度
制度是内部控制相关工作开展的基础依据,结合Z 医院内部控制现状,应加强内部控制制度的完善,在实际工作中,可从这几个方面着手:其一,完善内部控制的纲领性文件,文件内容应包括内部控制建设目标、建设原则、组织架构、工作方式、监督责任等;其二,立足于医院实际情况,制定具有针对性的内部控制办法,并及时更新制度内容,时刻保证内部控制制度的先进性和有效性;其三,完善内部控制手册,其作为内部控制实施的指导性文件,集中体现医院内部控制建设和优化的成果。在完善内部控制手册时,应确保其符合《办法》的要求,同时也要充分体现出系统性的原则,确保内部控制有效执行;其四,强化内部信息沟通,医院内部控制领导小组应发挥牵头作用,通过定期会议的方式针对内部控制实施执行过程中存在的相关问题进行讨论交流,并结合存在的问题为下一步工作的部署安排提供依据。内部控制的各职能部门也要积极配合工作小组完成各项工作,并及时沟通本部门的风险点、业务流程、关键控制措施等内容。
3.内部控制宣传培训
Z 医院领导层加强学习,主动了解国家相关政策和重要文件,正确认识内部控制在医院发展中起到的重要作用,形成内部控制意识,在此基础上,结合实际情况制定科学完善的内部控制工作计划并有效落实。还需要进一步加大对内部控制的宣传力度,增强内部全体人员的内部控制意识,让内部人员正确认识到内部控制并非某个部门或某个人的工作,而是需要全体人员的共同参与,如此才能有效提升内部控制工作的效果。譬如,通过组织专题会议的形式共同学习内部控制的相关知识和内容;通过标语、宣传栏等方式引起工作人员对内部控制的注意;定期组织有关内部控制的考试或实践活动,了解工作人员对内部控制的认知情况。
Z 医院应从单位的经营活动和业务层面展开全面的风险评估,针对每一项工作内容分析可能造成风险的外部因素和内部干扰因素,并对所识别的重要风险点、类型和风险等级进行整理和归类。通过内部控制中的风险评估,深入分析医院的实际情况和业务开展情况,及时发现存在的风险,如内部管理中存在的数据不合理、信息泄露等风险,在此基础上,根据风险发生的规律和特征建立风险预警机制,当再有类似风险发生时,可做到及时预警和管控。对医院来讲,可有效提升风险管理能力,确保各类风险均在可控的范围内,并及时处置已发生的风险,从而提升医院运营管理的水平和安全性。
Z 医院在实施内部控制过程中,应加强对内部控制的评价监督,切实提高内部控制应用的成效。在具体工作中,有必要成立独立的机构负责开展内部控制的评价监督工作,这就需要Z 医院保证内部审计机构的独立性,以强化内部控制审计。而在具体评价监督中,应从医院所有层面、所有业务活动整合基础上,构建评价模型,结合评价结果,及时发现内部控制存在的缺陷,进一步分析缺陷原因,在此基础上,制定有效措施对内部控制进行优化改进。如医院现有ERP 系统仍然会对已计提折旧的固定资产进行计提折旧,使得固定资产明细中出现了红字。之所以会出现这一问题,主要在于并未按照设计要求被实际运行,属于控制设计问题。
随着信息化技术的发展和广泛应用,将其应用在医院内部控制领域,可有效提高工作效率和水平。因此,Z 医院有必要进一步加大信息化建设的投入力度,积极引进先进的管理技术,推动医院内部控制系统的智能化转型,进而提升医院内部控制水平。同时,考虑Z 医院现有信息系统较为复杂,在设计层面不具有整体性。对此,可结合内外措施对医院的信息系统进行全面优化,在内部层面重视对参与信息系统建设人员的培训,通过培训增强他们的内部控制意识,并具备相应的内部控制知识;外部层面邀请专家对现有信息系统进行评估,并提出具体的改进建议和方案。通过信息系统全面优化,促进内部各个系统数据的整合,实现各个系统数据的对接和共享,充分发挥数据的作用,强化内部监督管理,避免重复性工作的同时,切实提升医院整体控制水平和管理效率。
综上,医院高质量发展,需要高度重视内部控制的应用,应结合医院的实际构建完善的内部控制制度,有效发挥内部控制作用,防范风险,提高医院整体的抗打击能力。在具体的工作中,应从内控环境、风险评估、评价与监督等方面着手,通过提升内部控制各要素的有效性,推动医院内部控制工作有效开展,为医院健康可持续发展保驾护航。