基于IIA新“三线模型”的公立医院内部审计增值路径探讨

摘" "要：基于国际内部审计师协会（IIA）新“三线模型”的理念，结合公立医院的治理结构和实际情况，构建公立医院风险管理体系，系统梳理治理层、执行管理层和内部审计的角色与职能，从内部审计职责范围扩展、职能延伸、监督合力增强等三个方面探讨医院内部审计的增值路径，以期更好地发挥内部审计在规范内部管理、防范风险和完善治理中的作用，为公立医院高质量发展提供坚实保障。

关键词：内部审计；三线模型；公立医院；增值路径

中图分类号：F239.0" " " "文献标志码：A" " " 文章编号：1673-291X（2024）21-0105-04

2023年5月23日，习近平总书记主持召开二十届中央审计委员会第一次会议并发表重要讲话，强调要加强审计领域战略谋划与顶层设计，完整、准确、全面贯彻新发展理念，进一步推进新时代审计工作高质量发展。内部审计是审计监督体系的重要组成部分，是服务治理体系和治理能力现代化的重要环节。围绕价值增值的目标，通过借鉴相关先进理念，构建医院风险管理“三线模型”，更好地发挥内部审计在规范医院管理、防范风险和完善治理中的作用，为医院高质量发展保驾护航。

一、“三线模型”的概念与发展

国际内部审计师协会（The Institute of Internal Auditors，以下简称IIA）于2013年发布了“三道防线模型”（Three Lines of Defense），被公认为是组织治理和风险管理的基础性指引。该模型以风险管控为核心，第一道防线是核心业务部门，在日常业务活动开展的过程中控制和防范风险。第二道防线是协助业务部门进行风险管控的职能部门，包括财务、法务、安全、质量管理等，负责制定风险管理相关的政策与流程。第三道防线是内部审计部门，对组织风险管控与控制结果进行独立、客观的评估和报告。“三道防线模型”界定了组织中各部门在风险管理中的职责，作为全面风险管理理论的主要支撑，多年来受到广泛认可和推崇。

为更好地适应现代风险管理的需要和组织内外部环境变化，IIA修订了“三道防线模型”，并于2020年7月正式发布了新版“三线模型”（Three Lines Model）。与旧版相比，新模型将第一道防线和第二道防线相融合，提倡更为积极与平衡的风险管理模式，重申了内部审计独立性的重要性和实现方式，同时强调信息沟通、协同合作的重要性，并将关注的范围从专项风险管理扩大到组织的整体治理。

二、公立医院“三线模型”的构建

医院风险管理的第一线部门是保障医、教、研工作顺利开展并直接管理风险的部门，例如医务部、护理部、科研办、门诊部等；第二线部门主要是协助第一线业务部门开展风险管理的职能部门，能够提供如内部控制建设、信息技术安全、风险管理等方面的指导，保障业务可持续性以及质量确认，例如财务部门、信息部门、质量管理部门等；第三线部门是能够为风险管理提供监督、监察、调查、评估等独立且客观的确认和咨询的部门，如内部审计部门、纪检监察部门（见图1）。IIA新“三线模型”的一大特点是，治理层、相关职能部门并没有被严格限定在某条防线中，一、二线职能趋于融合，使得风险管理成为各部门、各层级共同承担的责任。

新“三线模型”相比于旧版，更加清晰地定义了治理层、执行管理层和内部审计各自扮演的角色及发挥的职能，并强调各角色应当相互配合，确保风险决策所需信息的真实性、可靠性、一致性。

（一）内部审计与治理层的关系

新“三线模型”指出，治理层为风险管理提供清晰的目标以及充分的资源，内部审计职能由治理机构建立并给予独立的授权，内部审计对组织治理机构负责，是治理机构的“眼睛”和“耳朵”。我国公立医院实行党委领导下的院长负责制，从组织架构来看，医院的内部审计部门应当在党委的直接领导下开展工作，对医院主要负责人或党委（党组）负责并向其报告工作，这也是对《中华人民共和国审计法（2021）》等上位法的遵循；从政治属性来看，我国审计体制的独特之处在于坚持中国共产党对审计工作的领导，始终服从服务于党的政治主张和中心任务，内部审计是党和国家监督体系的组成部分，应当坚持和加强党的领导，从更高的政治层面来要求和谋划内部审计工作。

（二）内部审计与管理层的关系

IIA认为，第三线（内部审计）的显著特征是保持相对于管理层的独立性，即要求内部审计不能参与管理层的决策和具体行动。与此同时，新“三线模型”强调“独立不意味着孤立”，要求内部审计与管理层之间必须保持定期互动，确保内部审计工作的相关性，且能够与组织战略和运营需求保持一致。第一、二线职能部门和内部审计部门之间需要相互协作，从而避免不必要的职能交叉、重复和空白。医院内部审计在保持独立性的同时，应当加强与各职能科室的沟通，积极开展调查研究，加深对业务的理解和认识，制定具有灵活性、互动性、可操作性的内部审计工作流程，将内部审计的各项职能融入医院运营管理中。

（三）内部审计与外部审计的关系

IIA新“三线模型”以企业治理结构和管理体系为主进行阐述，所指的外部审计主要是社会审计，其主要作用是提供额外的确认服务，一方面满足外部法律和法规要求，另一方面作为内部确认服务的补充，满足管理层和组织治理机构的需求。对于公立医院而言，外部审计除了社会审计组织之外，还包含国家审计机关。医院内部审计接受国家审计的业务指导和监督，同时国家审计充分利用内部审计成果，内部审计与国家审计形成良性互动，共同提升监督整体效能。

三、基于IIA新“三线模型”的医院内部审计增值路径探析

从“三道防线模型”到“三线模型”，删除一个“防（Defense）”字，体现两方面的转变：一是风险管理的理念由被动防御转为主动作为；二是风险管理的内涵由风险防范转为整体治理。IIA在《内部审计定义》中指出，内部审计的核心目标就是增加价值。内部审计的价值增值功能定位要求内部审计的工作应与医院发展战略相适应，与医院的中心工作高度匹配，且具有及时性、高效性的特征，为医院决策提供专业支持。

内部审计为医院增加价值的方式分为直接增值和间接增值。直接增值包括发现问题风险，挽回经济损失，直接核减造价、节约成本等；间接增值包括提供有价值的审计建议和信息，推动医院治理体系和治理能力现代化，支持和推动医院高质量发展。围绕医院内部控制和风险管理，不断拓展内部审计的广度和深度，强化与第一、二线协同，与组织其他监督力量合作，共同为创造价值和保护价值作出贡献。

（一）内部审计职责扩展：以内部控制为抓手，促进治理体系现代化

1.理论基础。2018年新修订的《审计署关于内部审计工作的规定》，拓展了内部审计定义和工作职责，在2003版《规定》的基础之上，增加了“内部控制与风险管理”的相关内容，增加了促进单位“完善治理”的目标。随着内部审计职责范围拓展与深化，内部审计与内部控制的关系日益紧密，以此为抓手，内部审计从一个点延伸到整个面，将单位短期目标与长期目标相结合，这也符合IIA新“三线模型”立足于整体治理的风险管理理念。

党的十八大以来，国家在政策层面不断强化了事业单位的内部控制要求，公立医院作为非营利性事业单位，业务活动复杂，资金规模庞大，随着医疗卫生改革的深入推进，国家和政府对公立医院内部控制的要求越发细致。深入推进内控建设既是落实外部政策的要求，也是提升内部运营管理水平的需要。2020年颁布的《公立医院内部控制管理办法》，进一步明确了医院内控建设在单位层面、业务层面的主要内容，凸显了医疗行业的业务特点，顺应信息化时代的发展趋势，有力推动了公立医院的内部控制建设和评价工作。根据文件要求，医院党委（治理层）要发挥在医院内部控制建设中的领导作用，医院内部各部门（第一、二线）是本部门内部控制建设和实施的责任主体，部门负责人对本部门的内部控制建设和实施的有效性负责，应对相关业务和事项进行梳理，确定主要风险、关键环节和关键控制点，制定相应的控制措施。

2.具体措施。内部审计以内部控制监督评价为抓手，充分发挥“离得近、看得清”的独特优势，检查医院内部管理制度和机制的建立与执行情况、内部控制关键岗位及人员的设置情况等，以合法合规、风险可控、高质高效和廉政建设为目标，及时发现内部控制存在的问题并提出改进建议，促进医院的运营管理，实现价值增值（见下页图2）。

组织保障层面，建立自上而下、从领导班子到中层骨干立体化的内部控制管理体系，成立内部控制评价领导小组，在领导小组下设置工作小组，组员包括院内各相关科室负责人，并明确职责分工，营造前期沟通充分、过程配合度高、后期整改反馈积极的内部控制评价的工作氛围，提高员工对医院内部控制管理的参与度与关注度，以获得更好的评价效果。

评价实施层面，内部控制评价以风险为导向，遵循客观性和规范性的原则，结合询问、专题讨论、实地检查等方式，精准高效地识别和评估风险。开展评价的过程中，内部审计部门加强与相关职能部门的沟通协作。从制度和业务流程的梳理、风险点的分析，到发现问题、落实整改等环节都应及时交流、充分讨论，促进评价结果及建议能真正推动内控管理的改善。

结果运用层面，内部审计部门及时督促相关部门组织整改，对于复杂的内控问题，联合多部门共同商讨、协同推进。内部审计部门采取动态跟踪、定期催办、对账销号等措施，确保整改情况的真实性、有效性，推动建立健全长效机制。运用PDCA 循环管理的原理，在不断发现和解决问题的过程中，实现内部控制评价工作的迭代提升、持续改进，促进内部控制不断健全，提升医院整体管理水平。

（二）内部审计职能转变：由监督导向型转向服务导向型

1.理论基础。2003版《审计署关于内部审计工作的规定》将内部审计的职能限定在了独立的“监督与评价”上。2018版的《规定》则明确内部审计职能为独立、客观的“监督、评价和建议”，增加了建议功能。随着医疗改革深入推进，医疗管理模式不断创新，公立医院运营管理面临新的机遇和挑战。为适应新发展阶段、贯彻新发展理念，内部审计业务需求不断拓展，医院内部审计职能由单纯的监督向监督与服务并重转变。IIA新“三线模型”倡导更为积极主动的风险管理方式，要求内部审计工作更加具有前瞻性，要求内部审计更多地从服务的角度提供建议、创造价值。内部审计职能体系逐步转向“1+N”的模式：“1”是基本职能——监督和评价职能；“N”是拓展职能——建议、咨询等服务职能。监督与评价是内部审计最基本的职能，以国家法律法规、内外部的政策制度为依据开展审计工作，监督和评价的内容可包括：医院贯彻落实国家重大政策措施情况、财政财务收支、固定资产投资、经济管理与效益、内控及风险管理、领导干部经济责任等。建议、咨询等服务职能是内部审计的拓展职能，以不承担一、二线管理层职责为前提，针对相关问题提出整改和完善措施、提供有价值的信息和专业性的建议，为医院内部的管理、决策及效益服务。

2.具体措施。医院内部审计工作应当关注经济业务的全过程，充分发挥内部审计在医院改革发展中的服务、促进和保障作用。将审计关口前移，注重事前防控和预警，精准提示风险，发表专业意见，在服务医院高质量发展的过程中贡献审计力量，这是内部审计从传统的发现型和符合型向服务型、预防型和增值型转变的一个标志，对内部审计部门和人员都提出了更高的要求。

第一，转变思想观念，做好服务型内部审计。应当在夯实传统业务的基础上，内部审计部门要强化服务导向的理念与职能，内审人员要主动深入医院各业务部门，加强与其他职能部门的互动，消除内部审计部门与被审计对象的对立性，开展专项管理审计，改善管理的薄弱环节，以高层次、精细化的审计成果服务医院的发展。

第二，加强队伍建设，推进审计人员结构优化和知识更新。形成以财会专业背景为主，工程、法律、信息、医院管理等相关专业合理搭配的人才队伍结构。内审人员应当加强培训交流，不断提升综合素质、拓展审计视野，不仅关注财务方面的问题，还要注重建设项目、政府采购等关键领域的风险防范，提出改进建议，促进提质增效。

第三，强化研究工作，提升监督效能。坚持围绕中心工作、服务医院发展大局，充分认识开展研究型审计的重要性，注重研究医院管理的难点、堵点和痛点，对发现的问题进行深度总结和凝练，形成有价值的审计专报和管理建议书，为医院决策服务。加强对审计项目的总结梳理和分析，形成系统的工作方法、流程以及处理原则，注重研究新技术在内部审计中的应用，积极开展大数据审计的探索，提升审计工作质量。

（三）监督合力增强：医院内部审计与纪检监察协同贯通

1.理论基础。习近平总书记在二十届中央审计委员会第一次会议上强调，内部审计要立足经济监督定位，做好与其他监督的贯通协同，形成监督合力。《审计署关于内部审计工作的规定》（2018版）明确了内部审计机构应当加强与内部纪检监察的协作配合。医院纪检监察部门主要工作内容是履行党的纪律检查、监察等职能，开展全面从严治党、党风廉政建设、清廉医院建设和普法与依法治理工作，和医院内部审计同为“第三道防线”，两者监督的主体和目标具有趋同性、监督的对象和内容具有关联性、监督的方式和手段具有互补性（见表1）。内部审计和纪检监察协同贯通是把制度优势转化为治理效能的必然要求，是深入推进医疗领域反腐败斗争的现实需要，是医院治理体系和治理能力现代化的坚实保障。

2.具体措施。医院内部审计与纪检监察协同贯通主要通过机制共建、业务融合、成果运用和教育培训四方面实现协同贯通。

机制共建方面，建立协同监督机制，下好协同联动“一盘棋”，增强合作意识和互动意识。建立联席会议制度，加强常态化信息交流，及时通报重要情况，定期研究监管中所发现的风险点和薄弱环节，共同确定监督重点，统筹推进相关工作。在制定医院内部审计工作计划时，充分考虑当年党风廉政和清廉医院建设的重点工作。完善问题线索双向移送机制，将内部审计常规“经济体检”结果与监督执纪“四种形态”相结合，增强内部审计的权威性和威慑力，同时扩大纪检监察的监督视野，从根本上提高监督效能。

业务融合方面，一是立足“靶向更准”，充分发挥内部审计专业性强、触及面广等优势，从经济业务问题中查找总结政治问题，精确提示风险，提高发现问题的能力；二是立足“力度更大”，紧盯腐败易发多发的重要领域和关键环节，在政府采购、重点工程建设、三公经费管理、国有资产管理等业务层面开展专项联合监督，排查廉政风险瑕疵，聚焦发现的问题和内控薄弱环节，建立责任书、路线图和时间表，做好改、建、治一体推进；三是立足“效果更好”，强化协同配合，落实前哨防范和精准监督，纠治苗头性、倾向性、隐蔽性问题，营造风清气正的医院生态。

成果运用方面，综合利用审计成果，提升整改质量和治理效能，探索审计整改分析研判机制，对审计结果反映的典型性、普遍性问题，共同梳理负面清单、问题手册等，聚焦内控管理的薄弱环节和内外部审计检查、巡察中发现的问题，对禁止性内容、法规红线进行精细化、目录化呈现，切实防范重大风险。制定并公开医院小微权力，不断推进相关制度流程的健全、落实与监督，不断提升医院职工廉洁履职水平，扩大知情权、参与权、监督权，促进权力在阳光下运行。有针对性地开展专项治理整顿，共同组织“再督查”“回头看”，加强审计成果转化及审计整改的刚性。

培训教育方面，优化资源配置、加强信息共享，通过开展联合培训、交流座谈等，增强审计人员对党规党纪、“三不腐”机制的理解，增强对纪检监察业务知识和工作程序的认识，增强发现问题的能力和协作意识，推动高素质专业化复合型内部监督干部队伍建设；加强考核管理，加强对审查调查组成员的思想教育和管理监督，互相监督，坚决防止出现“灯下黑”现象，确保监督权力不被滥用。

参考文献：

[1]" "李琦.基于新“三线模型”的高校经济合同管理研究[J].中国内部审计，2023（7）：91-95.

[2]" "殷允凤，王雪.基于COSO风险管理框架和IIA新“三线模型”构建外汇检查执法风险管理与控制框架探析[J].中国内部审计，2021（12）：10-15.

[3]" "杨素芹，韩开军.基于IIA三线模型的地方高校财会监督与审计监督协同机制研究[J].会计师，2022（4）：84-86.

[4]" "孟麒.新形势下对公立医院内部审计工作的思考[J].中国内部审计，2022（4）：58-60.

[5]" "中国内部审计协会.审计署内部审计科研课题研究报告2019-2020[M].北京：人民邮电出版社，2022：156-157.

[6]" "朱真伟，王丽.内部审计转型助推公立医院高质量发展的路径探讨[J].卫生经济研究，2022，39（12）：84-86.

[7]" "卢毅磊.推进审计监督与纪检监察监督融合贯通的方法探析[J].审计月刊，2020（1）：15-17.

[8]" "李梅，陈旭.高职院校审计与纪检监察协同现状研究：基于E职业学院的调查[J].中国内部审计，2022（9）：28-31.

[9]" "陈昊.让日常监督长牙带电[N].中国纪检监察报，2022-08-04（1）.

[10]" "陈燕玲.高校内部审计与纪检监察协同监督机制研究[J].教育财会研究，2020，31（2）：86-90.

[11]" "李亚群.推动纪检监察监督与审计监督贯通协同[N].中国纪检监察报，2022-04-28（7）.

[12]" "熊志玲.公立医院内部审计监督与纪检监察监督贯通衔接路径探析[J].江苏卫生事业管理，2021，32（6）：794-796，836.

[责任编辑" "白" "雪]