公立医院内部审计框架构建*
——基于COSO-ERM 分析

庞珍梅

湛江中心人民医院 广东 湛江

一、引言

公立医院内部审计应充分发挥全过程监督评价的优势作用，保障公立医院实现风险管理的战略目标，构建系统、全面、创新的战略管理格局。全美反虚假财务报告委员会下属的发起人委员会（COSO）于2004 年首次发布《企业风险管理——整合框架》（Enterprise Risk Management-Integrated Framework,ERM），该框架提供了一个综合的方法来识别、评估、处理和监控组织面临的各种风险。它强调风险管理的整体性和全面性，以帮助组织构建其自身的风险管理框架。2017年，COSO发布新版《企业风险管理框架―战略与绩效的整合》（以下简称COSO-ERM），为了使框架适应于所有类型的组织（尤其新增了非营利组织），新框架在原版本的基础上完善了结构、要素原则、方法指南等内容。新框架包含了企业治理和文化、战略与目标制定、绩效、审阅和修订以及信息沟通与报告五大要素，更加适应组织及社会治理和监管的需求，并强调了绩效与战略在风险管理体系的重要性，促进组织充分考虑使命、愿景、核心价值的影响。

二、COSO-ERM 要素的主要内容

1.治理和文化

作为COSO-ERM框架的基础，它涵盖了组织在实施内部控制时所需的价值观、道德规范和行为准则。通过建立良好的治理结构和塑造积极的企业文化，组织能够有效管理风险，提升内部控制的质量和效果，实现长期的可持续发展。

2.战略和目标

战略和目标是指组织在制定业务战略和目标时所考虑的因素，要求组织将风险管理整合到其战略过程中，确保风险管理与组织的战略目标相一致，有助于组织建立以风险管理为导向的战略目标体系。

3.绩效

绩效是衡量组织实现其战略目标的能力和达成情况，强调了内部控制对于提高绩效、降低风险以及促进持续改进的重要性。绩效与内部控制之间存在着密切的关联，将内部控制视为提高绩效和风险管理的重要手段，并倡导组织在实施内部控制的过程中实现持续改进。

4.审阅与修订

审阅与修订是指对内部控制系统进行定期评估和改进的过程，鼓励组织对其内部控制进行审阅和修订，以确保其适应变化的环境和风险，为内部控制的发展和优化提供动力和方向。

5.信息沟通与报告

信息沟通与报告是指将相关信息传达给利益相关方的过程，确保准确、及时地传递关键信息，以便利益相关方做出明智的决策。有效的信息沟通和报告机制可以帮助组织及时识别和应对风险，增强组织的信任度和声誉。

三、基于COSO-ERM 构建公立医院内部审计框架

1.治理和文化

（1）组织架构。公立医院需建立独立的内部审计部门，并赋予该部门直接向公立医院管理层或内部审计委员会汇报的权限。内部审计部门应该具备相应的人员配置和职责划分，包括：内部审计负责人、医技业务内部审计员、财务业务内部审计员、内部审计数据分析员等。

（2）运作模式。一是全部由内部审计机构开展业务，模式优势在于对医院内部情况更为了解，但可能存在利益冲突和独立性问题。二是聘请外部专业机构进行审计，相对独立、客观，但成本较高。三是混合模式，结合自主开展内部审计及外委审计，既利用内部资源又借鉴外部专业经验。公立医院内部审计可结合实际情况，灵活采取相应的运作模式。

（3）文化价值。公立医院内部审计，提倡独立、客观、保密的审计文化。鼓励全院职工积极参与、配合内部审计工作。建立公立医院内部积极的沟通与合作机制，促进内部审计与其他部门的有效协作。强调内部审计的价值在于提供独立的评估与监督，通过发现潜在风险和问题，并提出改进建议，帮助公立医院优化业务流程和管理效率。

（4）审计资源。为保证内部审计人员具备专业素质，不断提供培训和发展机会，为内部审计提供必要的支持，包括：人力、技术、信息系统等。

2.战略和目标

（1）目标环境。公立医院战略目标是可持续发展，如为提升医疗技术水平，确保患者得到安全、有效和及时的进行医疗护理，引进先进的医疗设备、技术；为提供优质的医疗服务，提高就诊体验，购买保障服务等。应制定明确的内部审计战略和目标，与公立医院整体战略保持一致，如制定设备采购、服务采购、经济责任审计等内部审计规划。这包括确定重点领域、优先级，以确保内部审计工作能支持公立医院的运营和治理目标。

（2）风险偏好。公立医院常见的信息系统包括：HIS、PASS、ERM等，具有综合性、专业性等特点，需建立有效的信息系统和数据管理机制，以确保内部审计过程中所使用的数据可靠性和可访问性，提高内部审计的风险偏好的分析效率，同时也为后续的数据分析提供基础。如公立医院内部审计应高度关注法律风险，医院的经营是否符合相关法律法规的要求；关注是否存在可能影响患者安全和医疗质量的潜在风险，如手术操作规范、药品使用和质量管理；关注是否存在信息安全风险，包括：信息泄露或滥用等，通常内部审计在这些方面倾向采用零容忍的风险偏好。

（3）替代战略。在公立医院开展业务过程中，对于内部审计战略的综合考虑和选择。建立日常审计为辅、专项审计为主的机制。采取日常审计方式来监督关键业务流程、内部控制的合规性和有效性。针对特定的项目或业务，进行专项审计。将日常审计与专项审计相结合，可以全面覆盖公立医院的审计需求，确保对各个方面的审计要求进行综合考虑和选择。建立内部审计业务质量自查、定期邀请外部机构或专家进行审核和验收，提高内部审计的质量和效果。

3.绩效

（1）识别排序。识别常见的公立医院内部审计风险，并将根据影响程度和可能性排序。需要注意的是，风险识别和排序是一个动态的过程，具体情况可能因医院的规模、业务特点和内部控制现状而有所差异。财务管理方面的内部审计风险，如资金挪用、财务舞弊等，这类风险对公立医院的经济利益和声誉有较大的影响，可纳入高影响、高可能性的风险；合规与法律方面的内部审计风险，涉及公立医院未合规或违法行为，如违反医疗法规、患者隐私泄露等，这类风险可能引发法律纠纷、罚款或声誉损害，可纳入中影响、高可能性的风险；采购与供应链方面的内部审计风险，如包括合同违约、质量问题、供应商不端行为等。这类风险可能导致公立医院采购成本增加、服务中断或医疗质量下降，属于高影响、中可能性的风险。在进行内部审计风险识别时，需要结合具体情况进行综合评估，并及时调整识别和排序结果，以保持风险识别的准确性和有效性。

（2）风险度量。可采用定量或定性评估的风险矩阵或其他评估工具，对包括公立医院风险发生概率、影响程度和可控性在内的优先级进行评估。要优先考虑对公立医院目标和利益影响最大的高风险项，以确保最大限度地利用内部审计资源。建立健全公立医院内部审计委员会机制，负责监控和评估内部审计风险，制定明确的内部审计风险指标和警示线，及时识别、预警和应对。

（3）风险控制。公立医院内部审计在工作开展中根据不同风险的特点，确定内部审计改进业务流程、加强培训与教育、建立风险监控等，并采取适当的风险治理方法来降低内部审计风险。为了提高公立医院内部审计工作的效果，需要进行持续改进。一是加强审前准备工作，明确内部审计的目标和范围；确保审计工作有针对性和有效性。二是增加内部审计样本抽查的随机性和广泛性，以覆盖可能存在的风险领域，确保审计结果的全面性和准确性。同时，加强内部审计工作底稿的记录和保存，以便于后续的追溯和复核，提高审计工作的可追溯性和可验证性。三是通过这些改进措施，可以优化审计程序和方法，提高公立医院内部审计工作的质量和效率。

4.审阅与修订

（1）变化评估。为了确保内部审计的有效性和适应性，公立医院应定期评估内部审计的变化情况。这包括对内部审计重点进行调整、对内部审计方法进行改进、对内部审计资源进行合理调配，有助于确保内部审计工作能够适应公立医院运营环境和需求的变化，并及时做出相应调整。

（2）绩效审查。通过制定公立医院内部审计评估指标和进行成果测量，如内部审计发现的准确性、报告的及时性、影响的实际改进等。基于内部审计结果和绩效审查的结论，针对性地进行管理改进。这包括但不限于优化内部审计流程、提升内部审计团队的能力和技能、加强与其他部门的协作等。同时，还可以将内部审计结果和改进建议，纳入公立医院的内部控制和风险管理体系，推动公立医院整体的管理提升。

（3）管理改进。为了实现管理改进，公立医院的内部审计部门应与相关部门、领导层和利益相关方进行密切沟通，积极向领导层报告审计结果，讨论发现的风险和问题，并提出改进建议。获取公立医院领导层的支持和关注，持续监测和评估，有助于建立一个持续改进的内部审计机制。

5.信息、沟通与报告

（1）信息技术。选择合适的内部审计管理软件或平台，用于数据收集、分析和报告生成。确保该软件或平台符合公立医院的内部审计需求，并提供安全可靠的数据存储和访问功能。利用数据分析工具，如数据挖掘、可视化工具等，对内部审计数据进行深入分析，发现潜在风险和问题，并支持决策制定。

（2）信息沟通。有效的内部审计信息沟通包括但不限于，制定明确的内部审计信息沟通流程，包括：内部审计的计划、进展、发现、解决方案等；设立定期的会议或工作讨论，与相关部门和管理层交流内部审计工作的进展和结果；制定信息沟通政策，确保所有涉及内部审计的信息都按照规定的渠道和程序进行传递，并妥善保管；建立内部审计信息库或文档管理系统，用于存储和检索与内部审计相关的文件和信息；开展内部培训和沟通活动，向公立医院员工普及内部审计的目的、重要性以及相关的流程和职责；鼓励和支持内部审计团队参与行业内的培训和交流活动，提升专业知识和技能。

（3）报告机制。制定规范的内部审计报告的格式和内容要求，使报告易于阅读和理解。此外，还应设立明确的报告编写和审阅程序，以确保报告的准确性和完整性。通过规范的报告机制，可以提高内部审计报告的一致性和可比性，便于各利益相关方理解和利用报告中的信息。通过严格的编写和审阅程序，确保报告的准确性和完整性。这样做可以减少错误和遗漏，形成有效的质量控制的形式，以确保内部审计报告的可靠性。

四、小结

针对不同风险类别，制定相应的内部审计程序和技术手段，以确保潜在风险得到及时发现和控制。在内部审计框架的应用方面，可以采用定量分析方法，通过对设定的要素进行评价，对内部审计的执行情况和效果进行定量评估，增加应用的客观性，并为公立医院提供具体数据支持，以便更好地评估和改进内部审计工作。在实践工作中，内部审计框架的设计和应用只是内部审计工作的开始，将审计成果与公立医院的日常业务活动相结合，从实际上提高治理效能和业务运营效率。