公立医院开展网络支付业务内部控制研究:基于COSO整合框架的审视
2021-11-09骆陈城李精钟
骆陈城 李精钟
摘 要:深化医药卫生体制改革,积极推进公立医院网络支付业务的发展,是保障和改善民生的重大举措。近年来,公立医院逐步加强对互联网信息手段的应用,为患者提供更加便捷的支付结算服务,但这也对医院的内部控制管理提出了更高的要求。以 COSO内部控制整合框架为理论基础,从控制环境、风险评估、控制活动、信息与沟通、监督五要素的角度出发,分析公立医院开展网络支付业务三个维度的内控目标,并针对内控要素和关键环节提出风险管理策略,以期为医院内部控制建设提供参考。
关键词:公立医院;网络支付;COSO框架;内部控制
中图分类号:R197.3 文献标志码:A 文章编号:1673-291X(2021)30-0046-03
随着医药卫生体制改革的深入,以及“互联网+医疗健康”模式的不断发展和健康中国战略的持续推进,公立医院积极运用网络信息技术,创新结算方式,优化付款流程,提升服务质量,推动人民群众就医体验不断升级。自2014年以来,以支付宝为代表的第三方支付广泛应用于医疗服务行业,医院网络支付和智慧结算模式逐渐普及,但因医院业务的特殊性和应用场景的复杂性,网络支付仍面临诸多风险和挑战,对医院的内部控制和财务管理提出了更高的要求。
一、COSO内部控制整合框架概述
在风险管理和内控理论研究领域,COSO(The Committee of Sponsoring Organizations of the Treadway Commission,美国反欺诈财务报告委员会)有着举足轻重的位置,1992年COSO出版了《内部控制整合框架》(“Internal Control-Integrated Framework”),在全球范围内被众多国家相关组织采用和推广,长期作为内部控制建设的蓝本,值得公立医院在进行网络支付平台账户资金安全、在途资金、网络安全、操作技术风险控制时借鉴[1]。2013年,COSO对1992年发布的《内部控制整合框架》做出修订,体现了二十年来运营环境的变化。
COSO内部控制整合框架提供了三个类型的目标,分别是运营目标、报告目标与合规目标,使得组织得以关注内部控制的不同方面;运用五个要素来评估内部控制系统有效性的要求,分别是控制环境、风险评估、控制活动、信息与控制、监督,五要素及相关的原则相互关联协同发挥作用如图1所示。COSO认为,内部控制涵盖和应用于组织的各个层面,一个有效的内部控制体系可以将影响组织目标实现的风险降低到可接受的水平。每类目标的实现,都有赖于全部要素作用的发挥;而单个要素的作用是否充分发挥,也会影响到所有目标的实现。
二、COSO框架下网络支付业务的内控目标
(一)运营目标
运营目标即保证运营的效果和效率。公立医院把服务群众作为根本的出发点和落脚点,旨在通过“互联网+”模式,体现以人为本的理念,优化挂号付费流程,缩短等候时间,提供便捷的支付体验,促进医院资源的优化配置和改进,达到营运目标和绩效目标,同时保障资金安全性。
(二)报告目标
报告目标主要包括内、外部的财务报告和非财务报告的可靠性、及时性和透明度。网络支付业务下,合理的内部控制体系应当保证医院的收费入账及时、收入数据准确,提升会计核算质量,保证财务报表数据公允可靠,如实反映医院的经营成果、现金流量和财务状况。
(三)合规目标
公立医院开展网络支付应当遵守法律法规的要求。2015年中国人民银行制定了《非银行支付機构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号),规范非银行支付机构网络支付业务,防范支付风险,保护当事人合法权益;2018年4月25日,国务院办公厅印发《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号),就促进互联网与医疗健康深度融合发展做出部署;2018年10月26日,国家卫生健康委网站发布了《关于印发公立医院开展网络支付业务指导意见的通知》(国卫办财务发〔2018〕23号),要求构建科学规范的网络支付管理运行机制,在开展网络支付信息化系统建设时,应当完善信息系统管理制度和健全内部控制制度。
三、五要素下公立医院开展网络支付业务内控管理分析及对策
(一)控制环境
控制环境要素是建立有效内部控制流程的第一步,COSO认为,控制环境为内部控制的实施提供基础,并对整体内控体系产生全面的影响。控制环境是相对宏观的因素,一般包括治理结构、机构设置与权责分配、内部审计、人力资源管理、组织文化等。公立医院应当落实主体责任,建立规范的管理结构,形成科学有效的职责分工和制衡机制;贯彻落实“三重一大”决策制度,保证决策的科学性、正确性。网络支付业务流程环节繁多、技术要求较高,应当建立领导牵头、统筹协调、责权明确、流程清晰、监控有效的工作机制。
网络支付方式的应用和推广,相较于传统的现金和银联POS机刷卡结算,其支付模式和管理方法有了革命性转变,应当对原有岗位和职责进行适当调整,加强业务培训,确保相关岗位工作人员具备专业胜任能力,对关键岗位(退费、对账)还应制定更高的任职条件和相应的考核评价标准[2],以适应新形势和新要求。
(二)风险评估
风险评估是动态和反复识别评估风险的过程,公立医院应当及时识别、系统分析网络支付业务开展过程中存在的风险和相应的风险承受度,以确定风险管理策略。
1.资金安全风险。根据现行法律法规,网络支付平台账户(支付宝、财付通账户等)所记录的资金余额不同于医院的银行存款,不受《存款保险条例》保护,其实质为医院委托第三方支付机构保管的、所有权归属于医院的预付价值。该预付价值对应的货币资金虽然属于医院,但不是以医院的名义存放在银行,而是以第三方支付机构名义存放在银行,并且由支付机构向银行发起资金调拨指令。目前医院与网络支付平台签订协议规定结算资金是 T+n日到账,诸多结算支付方式下,资金到账时间不一致[3],增加了网络支付业务的对账难度,且缴费业务中的退号和退费业务存在时间差,单笔金额小、数量大,对账实时性难以保证,加大了资金管理风险[4]。