基于COSO框架下的公立醫(yī)院內部控制體系建立

范明光

我國公立醫(yī)院改革不斷推進，醫(yī)院在運營管理中不可避免的出現(xiàn)新的經濟問題，對醫(yī)院的運營管理提出了更高的要求。內部控制體系的建立能夠合理保證醫(yī)院經營的合法合規(guī)，提高公立醫(yī)院經營的效率峁效果。在實際工作中，內部控制建設方式多種多樣，對醫(yī)院的經營管理目標也造成不同程度的影響。筆者按照coso框架內部控制建設的要求，結合國內公立醫(yī)院的實際情況，針對內部控制建設的有關問題進行探討分析，進而提出內部控制體系建立措施。

COSO框架

公立醫(yī)院 內部控制體系

隨著公立醫(yī)院改革的推進，對醫(yī)院經營管理提出了更高的要求，醫(yī)院要建立與其發(fā)展相適應的內部控制體系。2012年國家財政部出臺了《行政事業(yè)單位內部控制規(guī)范（試行）》（財會【2012】 21號），要求所有行政事業(yè)單位開展內部控制建設工作。本文擬從內部控制建設過程中的問題出發(fā)，按照COSO框架分析體系，結合公立醫(yī)院的相關規(guī)定，探索公立醫(yī)院內部控制體系建設。合理保證醫(yī)院經營合法合規(guī)，提高經營管理的效率和效果，使其發(fā)揮更大的社會效益。

醫(yī)院內部控制體系建設中存在的問題分析

（1）控制環(huán)境薄弱

按照《行政事業(yè)單位內部控制規(guī)范（試行）》的要求，單位應當單獨設立內部控制職能部門或者內部控制牽頭部門，負責組織協(xié)調內部控制工作，單位負責人應對本單位內部控制的建立健全和有效實施負責。在實際工作中，一般財務處為內部控制牽頭部門，負責組織協(xié)調內部控制工作。會計是對經濟活動進行確認、計量、記錄和報告，財務部門并不具有綜合協(xié)調各部門的權利，導致權責分配不合理。內部控制缺少專門的部門來統(tǒng)一協(xié)調，導致內部控制建設效果大打折扣。公立醫(yī)院內部控制制度是按照上級相關規(guī)定執(zhí)行，各醫(yī)院具體情況不同，導致制度執(zhí)行有偏差，內部控制業(yè)務流程圖欠缺，員工不能很好的按照內部控制流程執(zhí)行業(yè)務。

（2）風險評估缺失

大型公立醫(yī)院通過合并或者新建實現(xiàn)集團化。醫(yī)院集團化，意味著醫(yī)院規(guī)模和管理層級越來越龐大，這直接導致醫(yī)院運營中面臨的戰(zhàn)略風險、代理風險及財務風險越來越大。公立醫(yī)院改革和分級診療逐步推進，醫(yī)院的風險評估缺乏有效應對?，F(xiàn)在很多醫(yī)院缺少風險評估體系，或者風險評估體系不夠健全，不能對醫(yī)院的風險進行全面有效的評估，在選取風險應對措施時缺乏針對性。

（3）信息與溝通系統(tǒng)不健全

醫(yī)院應該能夠獲得內部和外部信息，以一定的形式、在一定的時間范圍內進行確認和傳遞，為風險管理的運行提供重要的信息。目前部分醫(yī)院不能及時收集并處理外部相關信息，不利于醫(yī)院的正常發(fā)展，對內部信息重視程度不夠，缺少內部意見反饋渠道，容易滋生腐敗。

計算機信息系統(tǒng)能夠準確高效的處理日常業(yè)務，減少人工操作失誤，對醫(yī)院的發(fā)展至關重要。在公立醫(yī)院的管理中，信息系統(tǒng)并沒有企業(yè)信息系統(tǒng)化程度高。信息系統(tǒng)缺乏或者重復建設，可能造成醫(yī)院管理難度加大和資源浪費。信息系統(tǒng)在開發(fā)過程中沒能充分結合內部控制建設的要求，在授權管理和不相容職務上設置不當，信息系統(tǒng)無法達到應有的控制效果。信息系統(tǒng)需要日常安全和備份的維護，維護不當會造成信息泄漏或者毀損，信息系統(tǒng)不能正常運行。

（4）控制活動建立與實施

控制活動可以規(guī)范經濟業(yè)務，在控制活動建設中，醫(yī)院應盡可能覆蓋醫(yī)院的各種經濟事項。預算編制不健全，可能導致醫(yī)院經營管理缺少約束。預算目標不能準確反映醫(yī)院預期，編制方法不夠科學，可能導致醫(yī)院資源浪費，與預期的控制目標相差較遠。預算在執(zhí)行與考核掛鉤較少，可能導致預算管理停留在表面上，不能有效的激勵與考核職工。部分醫(yī)院雖然建立了內部控制活動，但是不能適應醫(yī)院管理需要，在實施過程中達不到效果。

（5）缺少內部監(jiān)督

內部監(jiān)督對內部控制體系的建立和執(zhí)行起到很好的補充作用?，F(xiàn)在公立醫(yī)院內部監(jiān)督機制還沒有形成固定的工作流程，更多依賴臨時性突擊檢查，缺乏長期監(jiān)督機制。監(jiān)督方法與體系不完整，導致內部控制不能按照既定目標有效執(zhí)行。在企業(yè)經營管理中，內部控制監(jiān)督體系比較完善，通過大數(shù)據(jù)分析，能夠有效的糾正內部控制運行偏差；但在醫(yī)院管理中，對信息技術手段的運用較少，內部監(jiān)督不能及時防止和發(fā)現(xiàn)內部控制運行偏差，監(jiān)督效果較差。

基于COSO框架醫(yī)院內部控制建設對策研究

筆者所在醫(yī)院是集醫(yī)教研為一體的國家三級甲等綜合性兒童醫(yī)院，現(xiàn)有員工3000余人，開放床位1650張，年門診接診量260萬人次，年住院病人6.5萬，在全國最佳醫(yī)院排行榜中位居兒童醫(yī)院前列。醫(yī)院積極、穩(wěn)步推進公立醫(yī)院改革，嚴格按照財政部要求，抓好內部控制建設?；贑OSO框架下的內部控制在企業(yè)中得到很好的應用，醫(yī)院在經濟活動中也要遵循內部控制的要求，可以參照COSO框架下內部控制建設要求，從控制環(huán)境、風險評估、信息系統(tǒng)與溝通、控制活動和控制監(jiān)督5個方面進行內部控制建設。在建立健全醫(yī)院內部控制中，有以下建議和對策：

（1）營造良好的內部控制環(huán)境

內部控制環(huán)境是內部控制建設的基礎，良好的內部控制環(huán)境是單位層面內部控制得以有效實施的前提條件，醫(yī)院從上至下重視內部控制文化建設，可以形成良好的工作氛圍，激發(fā)員工的工作熱情，合理保證內部控制得到有效執(zhí)行。內部控制建設是一項長期工作，醫(yī)院應該專門成立內部控制小組，醫(yī)院院長和書記要在內部控制小組中擔任主要責任人，各部門負責人都要在內部控制小組中任職，內部控制小組中設立監(jiān)督崗位，設置內部控制牽頭部門，并設置內部控制專職崗位，在人員配置和組織架構設置上確保內部控制的獨立性，并且對院長和書記直接報告。

醫(yī)院在崗位設置上保證不相容職務相互分離。內部控制專職人員需要定期接受培訓，及時了解和掌握最新的內部控制要求。內部控制小組定期召開會議，向全院職工培訓內部控制建設要求。真正讓內部控制融人職工心中，轉化成日常的工作行為，形成良好的控制環(huán)境。

（2）完善風險評估體系

風險評估是內部控制的重要組成要素，準確評估醫(yī)院經營管理中的可能遇到的風險，制定行之有效的風險應對措施，建立與醫(yī)院經濟發(fā)展相適應的風險評估機制，防范和化解風險能夠保證醫(yī)院的高效運行。醫(yī)院的風險來源于外部和內部，主要有經營風險、業(yè)務風險和財務風險?；贑OSO內部控制框架的風險評估體系包括：

1.風險識別：醫(yī)院成立風險評估小組，可以設在審計處，確保評估與建設職能相分離。風險評估小組根據(jù)醫(yī)院歷史數(shù)據(jù)，結合醫(yī)院發(fā)展情況，梳理風險，對財務風險、醫(yī)療業(yè)務風險和其他相關風險進行識別，制定風險事件清單。

2.風險值設定：根據(jù)醫(yī)院內部控制目標，運用大數(shù)據(jù)分析方法，結合識別出的風險事項，確定風險事件臨界值。在確定風險事件臨界值時要考慮風險性質性質，同時考慮風險發(fā)生后造成的經濟損失金額。

3.風險分析：根據(jù)識別出來的風險，分析風險發(fā)生的原因、可能性與頻率，以及風險對醫(yī)院發(fā)展的影響程度。

4.風險應對：風險應對方法包括：風險承擔、風險規(guī)避、風險轉移、風險轉化、風險對沖等。列出識別出的風險，將風險損失與風險臨界值進行比較，風險損失超出風險臨界值的事件需要采取應對方法。針對不同的風險列出風險應對措施，風險小組討論具體的應對方法。

（3）信息與溝通系統(tǒng)建設

信息與溝通系統(tǒng)建設包括內部、外部信息以及計算機信息系統(tǒng)建設。建立完善的內外部信息溝通渠道，可以增加醫(yī)院各部rJ信息的公開度，加強各部門和科室的協(xié)作。醫(yī)院應設置專門的部門，負責日常內外部信息的收集與整理，及時處理。在醫(yī)院內部，設置信息溝通系統(tǒng)，員工之間可以高效合作，同時確保員工能夠直接和院領導溝通，反應違法與不良事件，形成良好的內部溝通文化。

信息技術發(fā)展迅速，大數(shù)據(jù)與人工智能廣泛應用，公立醫(yī)院應該積極探索信息技術在內部管理中的應用。建立符合現(xiàn)代醫(yī)院發(fā)展的信息系統(tǒng)，形成控制平臺、決策支持平臺、業(yè)務協(xié)同平臺和應用集成平臺四大支撐平臺，充分利用信息技術即時處理醫(yī)院內部控制的相關信息，實現(xiàn)信息在系統(tǒng)內的快速轉換、處理和共享。信息技術在實施過程中要確保網絡安全，做好信息系統(tǒng)的維護，保證信息系統(tǒng)安全、穩(wěn)定的運行。

（4）建立健全內部控制活動

控制活動是內部控制的核心，隨著公立醫(yī)院改革的深化，大型公立醫(yī)院在醫(yī)、教、研上協(xié)同發(fā)展，醫(yī)院經濟活動事項越來越多，建立健全適合醫(yī)院發(fā)展的控制活動顯得尤為重要。在制定一項控制活動時，需要從風險評估人手，根據(jù)風險評估的結果，列出一項控制活動中的若干具體控制環(huán)節(jié)，根據(jù)每一控制環(huán)節(jié)，設置控制措施，確保不相容職務相分離，分級授權審批，確?？刂苹顒幽軌蚣皶r防范風險發(fā)生?？刂苹顒右Y合醫(yī)院的具體業(yè)務和事項，盡量覆蓋預算、收支、采購、資產管理、建設項目、合同管理、資金管理、擔保業(yè)務以及外包業(yè)務。對于有條件的醫(yī)院可以將控制活動嵌入到信息技術系統(tǒng)中，減少人為干預經濟活動的實施。

（5）完善內部監(jiān)督

按照內部控制框架的要求，醫(yī)院需要建立內部監(jiān)督，合理保證內部控制得到有效執(zhí)行、持續(xù)改進，確保內部控制建設的完整性。設置內部監(jiān)督部門，明確內部監(jiān)督職責。在制度和流程上，結合公立醫(yī)院廉政紀律要求，建立內部監(jiān)督制度和工作流程。定期對醫(yī)院的經濟活動進行檢查，根據(jù)監(jiān)督檢查結果，討論解決方案，要求相關部門和臨床科室做好整改工作。

總結

綜上所述，隨著公立醫(yī)院的改革，市場環(huán)境的變化，醫(yī)院經濟事項的增多，醫(yī)院面臨的內外部風險逐漸增多，做好內部控制建設不但是上級部門的要求，更是醫(yī)院自身經營管理的需要。依據(jù)COSO內部控制框架體系，結合醫(yī)院控制目標，建設良好的控制環(huán)境，評估醫(yī)院的風險事項，梳理內部控制活動，完善內部監(jiān)督，建立適合醫(yī)院情況的內部控制體系，既能提高員工工作效率，提升醫(yī)院管理水平、節(jié)約管理成本，又能為病人提供更好的醫(yī)療服務。

[1]李艷姣.關于大型公立醫(yī)院內部控制的若干思考[J].財會學習，2017（ 24）：249.

[2]徐超.基于內部控制框架的公立醫(yī)院財務風險分析[J].醫(yī)學與社會，2014（ 02）：3.

[3]余勇暉.公立醫(yī)院內部控制框架體系構建[J].財會月刊，2015（ 06）： 23-24.