■/ 王海燕

一、基于风险管理框架构建内控体系的理论基础

2004 年9 月，COSO 发布了全新的企业内控框架——《企业风险管理框架》（ERM）。该框架的主要思想是：企业应实施全面风险管理，将企业的所有人员、所有业务流程都纳入风险管理体系之中，并将风险管理工作贯穿于企业运营的始终。不难看出，该框架已经将内控管理提升至了全面风险管理。同时，COSO 基于该框架将企业目标分成了四大类，将风险管理要素分成了八大类，也参见ERM体系框架。ERM框架是基于企业战略目标建立的，同时将其它经营性目标作为辅助基础。ERM 框架认为，企业进行的风险管理工作应该以战略目标为导向的，通过细化、分解、落实战略目标，监控目标执行过程中存在的风险，并采取有效的应对措施。至于风险的管理过程，则可以概括为：确定风险管理目标；识别风险；评估风险；应对风险四个步骤。

随着世界经济融合程度的提高，当前医院所处的环境可以说是风云变幻，因此，其面对的风险也较之过去更加复杂、更加多样。医院只有做好运营过程中各类风险的管理工作，才能保证运营目标的实现，进而实现战略目标。从本质上考虑的话，内控也正是医院管理与控制风险的一种机制。因此，医院基于风险管理思想构建内控体系，可以说是大势所趋。医院应认识到：第一，基于ERM 框架构建的内控体系与传统意义上的风险管理本质上是一样的，它们都是帮助医院管理与控制风险的手段；第二，基于ERM框架构建的内控体系与传统意义上的风险管理都提倡可以将医院作为控制对象，由医院高层统筹规划风险管理工作，同时承担主要的风险管理责任，各职能部门负责完成医院高层下达的风险管理任务；第三，基于ERM 框架构建的内控体系与传统意义上的风险管理都作用于医院运营的全过程，控制对象是医院的所有业务流程与经营环节。基于此，作者认为基于ERM框架构建医院的内控体系不但符合现代医院的管理要求，还能显著提升内控效率，是很好的选择。

二、基于风险管理框架构建医院内控体系的具体措施

（一）强化管理者的风险管理意识

既然我们构建的基于风险管理框架的内控体系，那么很显然构建的重心是内控体系，研究的重点自然也就是内控了，只不过在构建的过程中将风险管理的思想巧妙融合进去而已。由于我国对医院内控的研究与应用较之发达国家晚了很多，因此，当前很多医院的管理者还没有建立起浓厚的风险管理意识，所以，必须强化他们的风险管理意识。医院运营过程中，管理者通常只关心市场份额、资金流向、应收账款等方面的风险，虽然这些风险的影响的确很大，但是其它风险的影响也不容小觑，医院管理者应认识到：运营过程中的各类风险都有可能对医院造成致命的打击，就算暂时看来是很小、很微不足道的风险，如果不进行有效控制的话，也有可能发展成为令医院面临重大风险。强化了管理者的风险管理意识之后，他们就会在管理的时候将风险管理思想融入其中，并体现在内控活动里。

（二）完善内控环境建设

1.优化组织结构设置。①医院应组建单独的审计委员会，由其全权负责内控管理，在设置组织结构的时候，应设置独立部门，以提升对其管理与决策的监督力度；②结合自身的运营情况组建风险管理部门，由该部门负责风险管理工作，并按照审计委员会提出的要求执行内控措施。

2.制定科学的发展战略。随着医院不断发展，医院规模越来越大，通常医院在规模壮大之后，就会希望进行多元化医疗服务，虽然这种想法的出发点是好的，但实际操作的过程中作者建议医院根据自身实际情况坚持做好特色医疗服务。

3.明确权责分配。医院应结合自身的运营实际明确限定所有部门、所有岗位的权责，让每名职工都清楚自己拥有的工作权限与承担的工作责任，从而为他们提供明确的工作指引。

4.完善内部审计。首先，医院的管理者必须认识到内审的重要性，内审是对内控体系运行的最有效监督手段；其次，医院必须保证内审工作的独立性与客观性，只有这样才能真正了解当前内控管理的真实情况与存在的问题；最后，医院应注意提升内审人员的综合素质，不但要提升他们的专业知识水平，还要注意提升他们的职业道德水平，以保证内审结果的有效性。

（三）完善对业务流程的内控

医院运营过程中涉及的业务流程非常多，而且每个业务流程又包括很多业务环节，牵涉的部门与岗位很多，所以设计科学合理、简洁高效的业务流程对医院来说至关重要。具体控制的时候，医院应做到：第一，按照业务目标设计业务流程，同时处理好流程之间各环节的衔接机制；第二，按照业务目标评估流程中可能存在风险的环节；第三，以可能产生的风险为切入点，制定针对性的风险应对措施。

我们以采购目标来评估采购流程中可能存在的风险。实际上，医院的服务质量是医院的生命线，所以采购的时候不但要选择性价比高的物品，还要保证物品的质量达到医疗服务的要求。采购流程中的主要风险就是采购的物品是否满足临床医疗服务质量与数量要求，所以，在制定采购计划的时候必须在数量上量入为出，在质量上遴选好的供应商，履行授权管审批之后，方可进行采购。

供应商遴选非常重要。医院选择的供应商质素如何，直接决定着采购的物品质素如何，因此，必须做好供应商选择环节的风险控制工作。作者建议医院应做好以下几项工作：第一，实行供应商综合评分制度，根据供应商的资信、声誉等材料为其打分，评价与其合作的经济与效率性；第二，和供应商签订的合同中，明确规定采购物品的数量、规格与质量要求，并注明如果存在未达标项，供应商必须赔偿医院的损失。对那些多次存在未达标项的供应商，应该终止与其合作；第三，建立供应商数据库，详细记录合作供应商的各方面信息，并选择信誉良好、合作关系稳定的供应商作为战略合作伙伴。

确定采购价格。医院应在物品满足质量要求的前提下，尽量争取低价购买，作者建议医院结合物品当前的市场价格设置一个心理采购价，并以其作为与供应商进行价格谈判的目标。

订立合同。医院在与供应商谈妥了采购具体事项之后，就需要与其签订采购合同，在合同中明确规定双方的权利与义务，一旦供应商出现违约行为则按照合同的约定向其索赔。

管理供应过程。医院应做好供应管理环节的风险控制工作，具体做到：第一，对每个采购合同进行及时跟踪，了解供应商的供货方案以及物品购进情况；第二，了解供应商的供货流程以及检验标准；第三，选择合适的运输方式。

验收。在收到供应商发送的物品之后，医院应做好对这些物品的验收工作，除了核对其与采购订单是否一致之外，还要检查供应商出具的检验报告与质量合格证；并对物品进行抽样检验。检验合格之后可以将物品入库，如果检验之后发现物品存在问题，则应拒收，并及时与供应商联系后续处理事宜。

（四）完善信息传输机制

结合医院的业务特点，作者认为医院可以从以下几方面完善信息传输机制：

1.做好信息收集工作。信息既包括医院内部的信息，也包括外部市场中的信息，不管是哪种类型的信息，对医院来说都是至关重要的。收集内部信息的过程中，首先，医院需要以自身的战略目标为立足点，以运营过程中的业务流程为指引，收集各类运营信息；其次，应分解并细化战略目标，并将其逐层落实至内控责任中心，责任中心再将目标具体落实到具体岗位上；最后，建立内部信息反馈机制，保证各项业务信息都能及时反馈至相关部门与岗位，从而为后续业务操作指明方向。收集外部信息的过程中，医院要注意市场竞争信息、行业发展状况信息、行业政策变动信息，并根据这些信息评估当前运营过程中可能存在的风险，以便及时采取有效的风险应对措施。另外，医院还应该加强与行业协会、市场调研机构等之间的信息交流，以便第一时间了解当前行业环境的变动情况，从而调整经营策略。当然，收集外部信息是需要支付一定代价的，医院应衡量好信息取得成本与收益之间的关系，如果信息取得成本已经超过了收益，那么该信息对医院实际上并没有帮助作用，应放弃对这些信息的收集。

2.构建顺畅的信息传输通道。这里需要注意的是内部信息与外部信息的传输过程有所不同。内部信息的传输主要有三种方式：由上至下传递、由下至上传递、水平传递。其中，由上至下的信息传递尤为重要，医院应注意以下两方面：首先，多元化信息传递形式，从而保证信息能够在保持原有面貌的条件下传递至基层职工，让他们明白内控管理过程中的相关注意事项；其次，保证信息传输效率，因为信息往往具有很强的时效性，传输效率过低很有可能在基层职工得到信息时，信息已经失效了。外部信息传输则是医院与供应商、行业内其它医院以及政府相关部门之间的信息传输，传输过程中应注意保持信息的完整性，避免因为信息在传输过程中有所遗漏或者误解，而导致医院做出错误的决策。

（五）完善内控评价机制

内部控制评价是在遵循全面、重要、客观的原则下对控制的有效性进行评价，是内控形成闭环的重要环节。主要评价内容为：第一，内控的具体执行情况；第二，内控人员是否实现了下达的内控目标。第三，内控是否实现了稳定长效的控制效果；

当然，我们对内控体系进行评价的原因除了想要了解其运行效率之外，更重要的是想要找出当前内控体系中存在的问题，然后不断改进，迭代，使体系更加健全。因此，对内控体系建设，也应遵循PDCA 循环，如发现内控问题是因为人为因素导致的，那么就要责令相关责任人改进工作方式与方法；发现内控问题是因为内控体系本身的设计缺陷导致的，那么就需要对内控体系进行相应的改造。对内控体系进行改造之后，跟踪改造后内控体系的运行是否有所改善，如有则表明改造有效；如没有，就需要查找原因继续改造，直至改造有效为止。同时，编制内控缺陷改造报告，详细记录改造内控体系缺陷的过程与收效。

内控是保证医院运营合法合规、资产安全、提升运营效率和效果、促进医院实现发展战略的有力工具。生存、发展、风险管理是医院稳步前进的三角架，三者在制衡中又相互促进，作为风险管理的一部分，内部控制的也是为了进行风险管理。因此，医院应认真开展内控体系建设并不断完善，以达到提升自身的综合竞争实力、实现发展战略。