范明光

我国公立医院改革不断推进，医院在运营管理中不可避免的出现新的经济问题，对医院的运营管理提出了更高的要求。内部控制体系的建立能够合理保证医院经营的合法合规，提高公立医院经营的效率峁效果。在实际工作中，内部控制建设方式多种多样，对医院的经营管理目标也造成不同程度的影响。笔者按照coso框架内部控制建设的要求，结合国内公立医院的实际情况，針对内部控制建设的有关问题进行探讨分析，进而提出内部控制体系建立措施。

COSO框架

公立医院 内部控制体系

随着公立医院改革的推进，对医院经营管理提出了更高的要求，医院要建立与其发展相适应的内部控制体系。2012年国家财政部出台了《行政事业单位内部控制规范（试行）》（财会【2012】 21号），要求所有行政事业单位开展内部控制建设工作。本文拟从内部控制建设过程中的问题出发，按照COSO框架分析体系，结合公立医院的相关规定，探索公立医院内部控制体系建设。合理保证医院经营合法合规，提高经营管理的效率和效果，使其发挥更大的社会效益。

医院内部控制体系建设中存在的问题分析

（1）控制环境薄弱

按照《行政事业单位内部控制规范（试行）》的要求，单位应当单独设立内部控制职能部门或者内部控制牵头部门，负责组织协调内部控制工作，单位负责人应对本单位内部控制的建立健全和有效实施负责。在实际工作中，一般财务处为内部控制牵头部门，负责组织协调内部控制工作。会计是对经济活动进行确认、计量、记录和报告，财务部门并不具有综合协调各部门的权利，导致权责分配不合理。内部控制缺少专门的部门来统一协调，导致内部控制建设效果大打折扣。公立医院内部控制制度是按照上级相关规定执行，各医院具体情况不同，导致制度执行有偏差，内部控制业务流程图欠缺，员工不能很好的按照内部控制流程执行业务。

（2）风险评估缺失

大型公立医院通过合并或者新建实现集团化。医院集团化，意味着医院规模和管理层级越来越庞大，这直接导致医院运营中面临的战略风险、代理风险及财务风险越来越大。公立医院改革和分级诊疗逐步推进，医院的风险评估缺乏有效应对。现在很多医院缺少风险评估体系，或者风险评估体系不够健全，不能对医院的风险进行全面有效的评估，在选取风险应对措施时缺乏针对性。

（3）信息与沟通系统不健全

医院应该能够获得内部和外部信息，以一定的形式、在一定的时间范围内进行确认和传递，为风险管理的运行提供重要的信息。目前部分医院不能及时收集并处理外部相关信息，不利于医院的正常发展，对内部信息重视程度不够，缺少内部意见反馈渠道，容易滋生腐败。

计算机信息系统能够准确高效的处理日常业务，减少人工操作失误，对医院的发展至关重要。在公立医院的管理中，信息系统并没有企业信息系统化程度高。信息系统缺乏或者重复建设，可能造成医院管理难度加大和资源浪费。信息系统在开发过程中没能充分结合内部控制建设的要求，在授权管理和不相容职务上设置不当，信息系统无法达到应有的控制效果。信息系统需要日常安全和备份的维护，维护不当会造成信息泄漏或者毁损，信息系统不能正常运行。

（4）控制活动建立与实施

控制活动可以规范经济业务，在控制活动建设中，医院应尽可能覆盖医院的各种经济事项。预算编制不健全，可能导致医院经营管理缺少约束。预算目标不能准确反映医院预期，编制方法不够科学，可能导致医院资源浪费，与预期的控制目标相差较远。预算在执行与考核挂钩较少，可能导致预算管理停留在表面上，不能有效的激励与考核职工。部分医院虽然建立了内部控制活动，但是不能适应医院管理需要，在实施过程中达不到效果。

（5）缺少内部监督

内部监督对内部控制体系的建立和执行起到很好的补充作用。现在公立医院内部监督机制还没有形成固定的工作流程，更多依赖临时性突击检查，缺乏长期监督机制。监督方法与体系不完整，导致内部控制不能按照既定目标有效执行。在企业经营管理中，内部控制监督体系比较完善，通过大数据分析，能够有效的纠正内部控制运行偏差；但在医院管理中，对信息技术手段的运用较少，内部监督不能及时防止和发现内部控制运行偏差，监督效果较差。

基于COSO框架医院内部控制建设对策研究

笔者所在医院是集医教研为一体的国家三级甲等综合性儿童医院，现有员工3000余人，开放床位1650张，年门诊接诊量260万人次，年住院病人6.5万，在全国最佳医院排行榜中位居儿童医院前列。医院积极、稳步推进公立医院改革，严格按照财政部要求，抓好内部控制建设。基于COSO框架下的内部控制在企业中得到很好的应用，医院在经济活动中也要遵循内部控制的要求，可以参照COSO框架下内部控制建设要求，从控制环境、风险评估、信息系统与沟通、控制活动和控制监督5个方面进行内部控制建设。在建立健全医院内部控制中，有以下建议和对策：

（1）营造良好的内部控制环境

内部控制环境是内部控制建设的基础，良好的内部控制环境是单位层面内部控制得以有效实施的前提条件，医院从上至下重视内部控制文化建设，可以形成良好的工作氛围，激发员工的工作热情，合理保证内部控制得到有效执行。内部控制建设是一项长期工作，医院应该专门成立内部控制小组，医院院长和书记要在内部控制小组中担任主要责任人，各部门负责人都要在内部控制小组中任职，内部控制小组中设立监督岗位，设置内部控制牵头部门，并设置内部控制专职岗位，在人员配置和组织架构设置上确保内部控制的独立性，并且对院长和书记直接报告。

医院在岗位设置上保证不相容职务相互分离。内部控制专职人员需要定期接受培训，及时了解和掌握最新的内部控制要求。内部控制小组定期召开会议，向全院职工培训内部控制建设要求。真正让内部控制融人职工心中，转化成日常的工作行为，形成良好的控制环境。

（2）完善风险评估体系

风险评估是内部控制的重要组成要素，准确评估医院经营管理中的可能遇到的风险，制定行之有效的风险应对措施，建立与医院经济发展相适应的风险评估机制，防范和化解风险能够保证医院的高效运行。医院的风险来源于外部和内部，主要有经营风险、业务风险和财务风险。基于COSO内部控制框架的风险评估体系包括：

1.风险识别：医院成立风险评估小组，可以设在审计处，确保评估与建设职能相分离。风险评估小组根据医院历史数据，结合医院发展情况，梳理风险，对财务风险、医疗业务风险和其他相关风险进行识别，制定风险事件清单。

2.风险值设定：根据医院内部控制目标，运用大数据分析方法，结合识别出的风险事项，确定风险事件临界值。在确定风险事件临界值时要考虑风险性质性质，同时考虑风险发生后造成的经济损失金额。

3.风险分析：根据识别出来的风险，分析风险发生的原因、可能性与频率，以及风险对医院发展的影响程度。

4.风险应对：风险应对方法包括：风险承担、风险规避、风险转移、风险转化、风险对冲等。列出识别出的风险，将风险损失与风险临界值进行比较，风险损失超出风险临界值的事件需要采取应对方法。针对不同的风险列出风险应对措施，风险小组讨论具体的应对方法。

（3）信息与沟通系统建设

信息与沟通系统建设包括内部、外部信息以及计算机信息系统建设。建立完善的内外部信息沟通渠道，可以增加医院各部rJ信息的公开度，加强各部门和科室的协作。医院应设置专门的部门，负责日常内外部信息的收集与整理，及时处理。在医院内部，设置信息沟通系统，员工之间可以高效合作，同时确保员工能够直接和院领导沟通，反应违法与不良事件，形成良好的内部沟通文化。

信息技术发展迅速，大数据与人工智能廣泛应用，公立医院应该积极探索信息技术在内部管理中的应用。建立符合现代医院发展的信息系统，形成控制平台、决策支持平台、业务协同平台和应用集成平台四大支撑平台，充分利用信息技术即时处理医院内部控制的相关信息，实现信息在系统内的快速转换、处理和共享。信息技术在实施过程中要确保网络安全，做好信息系统的维护，保证信息系统安全、稳定的运行。

（4）建立健全内部控制活动

控制活动是内部控制的核心，随着公立医院改革的深化，大型公立医院在医、教、研上协同发展，医院经济活动事项越来越多，建立健全适合医院发展的控制活动显得尤为重要。在制定一项控制活动时，需要从风险评估人手，根据风险评估的结果，列出一项控制活动中的若干具体控制环节，根据每一控制环节，设置控制措施，确保不相容职务相分离，分级授权审批，确保控制活动能够及时防范风险发生。控制活动要结合医院的具体业务和事项，尽量覆盖预算、收支、采购、资产管理、建设项目、合同管理、资金管理、担保业务以及外包业务。对于有条件的医院可以将控制活动嵌入到信息技术系统中，减少人为干预经济活动的实施。

（5）完善内部监督

按照内部控制框架的要求，医院需要建立内部监督，合理保证内部控制得到有效执行、持续改进，确保内部控制建设的完整性。设置内部监督部门，明确内部监督职责。在制度和流程上，结合公立医院廉政纪律要求，建立内部监督制度和工作流程。定期对医院的经济活动进行检查，根据监督检查结果，讨论解决方案，要求相关部门和临床科室做好整改工作。

总结

综上所述，随着公立医院的改革，市场环境的变化，医院经济事项的增多，医院面临的内外部风险逐渐增多，做好内部控制建设不但是上级部门的要求，更是医院自身经营管理的需要。依据COSO内部控制框架体系，结合医院控制目标，建设良好的控制环境，评估医院的风险事项，梳理内部控制活动，完善内部监督，建立适合医院情况的内部控制体系，既能提高员工工作效率，提升医院管理水平、节约管理成本，又能为病人提供更好的医疗服务。

[1]李艳姣.关于大型公立医院内部控制的若干思考[J].财会学习，2017（ 24）：249.

[2]徐超.基于内部控制框架的公立医院财务风险分析[J].医学与社会，2014（ 02）：3.

[3]余勇晖.公立医院内部控制框架体系构建[J].财会月刊，2015（ 06）： 23-24.