■ 周 青 陈晓云 单苗苗 袁炳鑫 郭 琼 牛瑞超 王培承 李 伟

风险导向型的内部控制就是对组织内外部环境中存在的风险进行识别并分析其影响，根据分析结果有针对性地采取内部控制策略来应对风险[1]。公立医院是我国医疗卫生体系的主要组成部分[2]，是新时期医疗卫生领域改革的主体。只有保证公立医院健康高效平稳运行，才能为全方位全周期保障人民群众身体健康奠定坚实的基础[3]。随着医疗服务市场开放程度逐渐增大，公立医院面临的各类风险制约着医院的良性发展[4]。逐步改革公立医院管理体制、运行机制和监管机制，建立起维护公益性、调动积极性、保障可持续运行的运行新机制是当前阶段公立医院的主要发展任务和目标。因此，全面、系统、科学、规范的公立医院内部控制环境风险评价体系的构建研究，成为目前公立医院应重点关注的内容[5]。

《公立医院内部控制管理办法》[6]为内部控制的开展提供了框架性政策和理论依据，但缺乏具体实施细则和评价标准。本研究基于风险管理理论，确定控制环境、风险评估、控制活动、信息与沟通和监督5个评价维度，通过德尔菲法和层次分析法相结合的方式，构建全面综合的内部控制环境风险评价指标体系。公立医院内部控制风险环境影响因素的分析，对规范医疗风险管理环境、提升公立医院管理水平具有重要意义。

1 资料与方法

1.1 资料来源

本研究中公立医院内部控制环境风险评价指标体系构建的资料来源：(1)国内外文献研究中的公立医院风险评价指标；(2)现有医院管理政策文件，如国家卫生健康委、国家中医药管理局2020年颁布的《关于加强公立医院运营管理的指导意见》和《公立医院内部控制管理办法》，财政部颁布的《2020年度行政事业单位内部控制报告》；(3)中国医院协会2019年颁布的《公立医院章程范本》；(4)对各级政府管理部门和医院管理者进行问卷调查获取相关指标。

1.2 研究方法

1.2.1 德尔菲法确定指标体系。卫生行政部门专家及三甲医院审计专家22名，其中三甲医院专家16名，工作超过10年的20名，副高及以上职称18名。专家针对公立医院内部控制环境风险评价指标的重要性、敏感性、可操作性和可测量性，按照从优到劣的程度，采用 Likert 5点计分法依次赋分5～1分。通过2轮专家咨询，根据专家意见修改指标体系，并增加指标权重赋值表。利用 Excel 2009 软件对咨询结果进行录入，利用 SPSS 16.0 软件统计专家权威程度和专家协调系数[7]。

1.2.2 层次分析法[8]确定指标权重。(1)建立递阶层次结构。本研究层次结构共3层，目标层为公立医院内部控制环境风险评价指标体系，准则层为一级指标、二级指标，方案层为三级指标。(2)构建判断矩阵。专家咨询后利用专家对各评价指标评分构造判断矩阵；确立各级指标权重系数。(3)一致性检验。CI为一致性指标，CI＝(λmax-n)/(n-1)，λmax为最大特征根，n为矩阵阶数。一致性比率CR＝CI/RI，当CR小于0.10，判断矩阵的逻辑具有合理性，其一致性可以接受，权重系数结果可靠。

2 结果与分析

2.1 专家信息

2.1.1 专家积极系数。专家积极系数反映调查者对该研究的参与程度。一般用专家咨询表的回收率来考量，专家咨询表回收率越高，则表明专家调查结果越好[9]。本次问卷第1轮专家咨询发放问卷22份，回收有效问卷22份，有效率100%；第2轮咨询向第1轮的22位专家发放问卷，回收有效问卷21份，有效率95.5%。

2.1.2 专家权威程度。用权威系数(Cr)表示，主要由专家对研究内容的熟悉程度和专家对指标打分时的判断依据所决定。一般认为权威系数值越大说明专家的权威程度越高。该问卷2轮专家权威系数均约为0.9，说明专家权威程度较高。

2.1.3 专家协调系数。专家协调系数(Kendall W)是确定咨询专家对每项指标的评价意见是否存在较大分歧的重要参考。本研究协调系数经检验后差异有统计学意义（P＜0.05），结果可取，说明专家意见一致性较好。

2.2 德尔菲调查结果

2.2.1 指标筛选原则。查阅相关文献和政策文件，初步构建公立医院内部控制环境风险评价指标库。初选指标有一级指标5项、二级指标23项、三级指标87项。

2.2.2 指标体系构建。第1轮专家咨询结果中，满足算术均数＜4.459、满分比＜0.599、变异系数＞0.163中两项的为删除指标；第2轮咨询结果中，满足算术均数＜4.563、满分比＜0.661、变异系数＞0.138中两项的为删除指标。根据2轮专家咨询意见，剔除了无效指标，并将执行机制中的“分岗定权”“分级授权”和“分事行权”合并为1项指标，最终形成5项一级指标、18项二级指标和58项三级指标的指标体系。利用层次分析法确定指标权重，见表1；权重最高的前7位指标见表2。

表1 公立医院内部控制风险评价指标与权重

表2 公立医院内部控制风险评价三级指标中组合权重前7位

3 讨论与建议

在上述7项最重要指标中，风险评估二级指标中涉及“医院风险管理目标的明确性”“风险评估标准的细化性、科学性”以及“风险清单及应对措施”3项三级指标；信息沟通二级指标中涉及“数据安全管理”“内部控制关键点和风险嵌入”2项三级指标；监督二级指标中涉及“审计对内部控制的监督与评价”指标。在此，就以上方面对加强医院的内部控制环境风险管理进行分析。

3.1 明确风险管理目标，细化分解落实职责

“医院风险管理目标的明确性”权重在内部控制环境风险评价体系综合权重中排在首位。目标设定是风险管理的首要环节，建立在医院风险环境评估以及经营能力评价基础上，体现了医院管理者的经营能力和风险偏好。目标分解落实到位，相关业务部门运营目标清晰，职责范围和工作标准界定清晰，才会有效降低医院运营风险，保证医院各项经营目标的最终实现。目标设定首先是顶层设计，明确医院的长期、中期和短期目标，逐步分解细化到部门，落实到部门职责和岗位职责。公立医院应根据资产管理、财务管理、绩效管理等各级各类财经政策文件规定，对内部控制环境进行充分调研，并在业务部门专家充分酝酿基础上，制订出明确、细化的内部控制目标。目标应能够量化和衡量、紧密贴合管理实际并符合医院的战略发展目标。医院管理者应改变观念，提高对风险管理重要性的认识，加强对内部风险环境的调研和应对，规范医院内部控制工作。

3.2 根据不同业务要求设计安全管理措施，保障数据安全

“数据安全管理”指标权重在内部控制环境风险评价体系的综合权重中排第2位，由此看出信息安全防范对于医院的内部控制风险防范发挥着非常重要的作用。信息系统的安全管理包括数据安全与网络安全。2022年4月，《公立医院运营管理信息化功能指引》正式出台，为公立医院信息管理系统的规范化、科学化提供了操作依据。超级用户的普遍存在、操作权限的不规范设置与使用管理缺乏监督、不相容岗位在系统中不能有效分离等问题容易导致数据被篡改、信息泄露、决策失误，甚至出现贪污腐败、营私舞弊等不良现象。因此，医院管理系统的数据安全性、机密性成为医院风险管理中非常重要的一环。数据安全涉及数据的输入、处理及输出等诸多环节。公立医院须根据不同业务类别的安全级别，设计、实施和改进互联网环境下的医院系统安全管理和技术控制措施，加强对输入环节中不同岗位操作权限的控制、输出信息的安全管理措施、规范操作流程及数据处理的标准及程序，以防范出现任何泄漏及篡改数据的风险[10]。同时，分类明确备份频率和备份系统数据，做好数据保存。

3.3 明确风险评估标准，建立符合医院管理实际的风险管理标准和程序

风险评估标准的制定主要取决于风险评估人员对业务流程关键风险点的认识。通过对公立医院不同层级组织结构、岗位职责和业务流程等环节的调查分析，根据《公立医院内部控制管理办法》中的关注事项分成单位层面、业务层面[11]，在内部控制环境风险评价指标框架基础上，对相关事项风险影响程度、风险发生频率等影响因素的风险重要性进行排序，将风险等级予以量化，从而明确在管理过程中需着重关注的风险点。在此基础上，制定内部评价测试范围及标准，探索建立一套适合医院管理实际的公立医院内部控制环境风险评价体系。

3.4 融风险管理功能于医院信息管理系统，实现内部控制功能

要实现医院信息管理系统的风险评价与内部控制功能，首先要提高对内部控制信息化工作的重视程度，做好部门间的协调与沟通工作。其次，要按照“职权法定，权责一致”的要求，进一步明确岗位职责与监督机制[12]，梳理内部控制制度及流程，明确风险管理节点要求，编制目标明确、思路清晰的功能需求说明书。最后，与信息部门有效对接，实现申请、审批、执行、结算等经济活动全过程的“人控”到“机控”，将经济活动内部控制方法及措施嵌入信息系统，实现内部控制功能[13]。

3.5 全面深入挖根源、找原因，制订应对方案，做好风险应对工作

风险应对是在对医院管理风险进行科学梳理与重要性排序基础上，列出风险清单并制定出应对方案予以实施的过程。风险应对是风险管理过程是否能实现闭环管理最重要的一个环节，是风险是否能有效避免的决定因素。公立医院应高度重视风险应对环节，深入挖掘风险应对原因，制订具体、全面和可操作的风险应对方案。

3.6 重视发挥审计、纪委监督与评价职能，督促立行立改

公立医院不论是管理岗位的决策权、人事权、财务权、基建权、采购权，还是医疗岗位的处方权和耗材使用权，都具有较大的专业性与自由裁量权，因此也提供了廉政风险产生的空间[14-16]。《审计署关于内部审计工作的规定》将贯彻落实国家重大方针政策情况作为内部审计的重要职责。公立医院应引进或培养具备法律、计算机和医疗管理等方面知识的人才，打造一支素质高、作风硬的内部审计和纪检监督队伍。审计部门应把加强内部控制审计和国家重大政策方针落实情况作为工作重点，研究发现管理风险，和纪委形成合力，明确工作侧重点及分工，对党的方针政策执行情况和内部控制执行中的风险及其防控落实情况，及时提出意见和建议，督促立行立改，共同构筑内部控制风险防控的牢固防线。