□ 王静 WANG Jing 饶雪 RAO Xue

公立医院内部审计随着国家相关规定的变化逐步完善，由之前单一的财务收支审计发展为以财务收支审计为基础，联合专项内部审查、分析测试、评价，以强化医院风险管理的现代审计方法，以期为医院提升管理水平提供合理化建议。审计署于2018年发布的《审计署关于内部审计工作的规定》(审计署令第11 号)将内审定义为：“对本单位及所属单位财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和建议，以促进单位完善治理、实现目标的活动”。国家卫生计生委关于《卫生计生系统内部审计工作规定》第九条也规定：“各部门、各单位内部审计机构主要职责包括：内部控制评价及风险管理审计”。所谓内部控制审计就是以内部控制制度为基础的审计，通过对被审计单位的内部控制制度的审查、分析测试及评价，确定其可信程度，从而对内部控制是否有效做出鉴定的一种现代审计方法[1]。内控控制审计工作是内审部门围绕确认和评审被审计单位内部控制设计、内部控制运营缺陷及缺陷等级、缺陷成因、改进内部控制的意见等方面全面审计的过程。实施内部控制审计，可以对医院的内部控制状态、内部控制水平和内部控制机制是否发挥作用等方面进行检查， 从而为改善控制、提升管理水平起到促进作用。

由于我国行政事业单位内部控制建设起步较晚，医院内部控制审计评价的研究未能形成统一、标准的体系和流程。因此，医院内控审计评价在时间中存在许多问题。徐鹤田[2]曾指出，审计人员在开展医院内部控制审计时普遍存在审不明、审不深的情况。田祥宇等[3]也指出，目前医院内部控制审计评价缺乏统一的内部控制评价标准，内控审计评价指标涵盖面窄、较为单一。张晓玮[4]通过研究发现，公立医院已经普遍认识到内部控制审计工作实施的重要性，将其积极引用到医院内部，意在有效审计内部控制，及时发现和弥补内部控制漏洞。但是仍然存在管理部门人员对内部控制审计认识不足，导致其未能制定健全的、完善的管理制度的情况。张彬彬、陈灵巧[5]也指出由于医院内部控制基础薄弱，各项措施的落实仍然存在漏洞，致使各个管理部门之间未能协同作业，有效的管控财务、药品、后勤等方面，最终造成多项内部控制工作落实不到位。

构建医院内部控制审计流程，对构建和优化医院内部控制体系是非常有必要的。我院对内部审计的要求随着中国内部审计协会、国家审计署、国家卫健委对机构内部审计的要求逐步完善。自2014年起，审计室由既往单一的财务收支审计过度为以财务收支审计为基础，联合专项审计的方式强化对医院内部控制和风险管理审计，以提升内部控制审计效能，促进医院高质量发展，尚未单独就内部控制开展全面专项审计，与当前上级部门对内部审计的定位存在一定差距。因此，本研究试图对公立医院内部控制审计存在的问题进行探讨，提出解决的对策，通过完善审计工作提升医院内部控制质量，促进公立医院高质量发展。

研究方法

1.半结构式访谈。通过座谈会、一对一半结构访谈等形式，与国家卫生健康委员会预算管理单位审计室主任进行深度访谈，以期通过访谈了解大型公立医院内部控制审计开展的情况以及存在的问题和解决的措施，主要访谈的主要内容包括：医院基本情况、医院审计组织架构、医院内部控制评价牵头部门、内部审计机构开展内部控制审计情况等。

2.案例分析。在内部控制的发展史上，COSO(The Committee of Sponsoring Organizations of the Treadway Commission， 美国反虚假财务报告委员会下属的发起人委员会)内部控制指引具有里程碑式的意义。COSO 内部控制框架的内容包括了企业运营的方方面面，它要求检查内部系统的有效性、提供充分的证据并对有效性公开[6]。其核心内容是从整体框架上阐述企业内部控制结构， 并就如何进行内部控制审计提出建设性意见。该框架将企业内部控制系统分为控制环境、风险评估、内控活动、信息与沟通、监督五个要素。基于COSO 内控架构，对医院审计室目前已经开展的内部专线审计中涉及内部控制部分进行分析，找出其中的不足与问题，提出解决问题的策略，进一步规范医院内部控制审计流程。

研究结果

1.访谈结果。本研究共访谈了12 位国家卫健委预算管理医院内部审计负责人。访谈发现，访谈对象所在医院中，仅一家医院(8.3%)审计室成立了内控监督检查小组，办公地点在审计部门，仅一家医院(8.3%)制定了内部控制审计规定，有六家医院(50%)开展过内部控制评价，其中有两家医院开展过全院范围的内部控制审计(1 家自行开展，1 家委托外审)，但多是一次一个专项或者一个模块开展内部控制审计，开展内部控制审计的基础是基于审计资源，包括审计人员的能力、时间安排、专业范围等。内部控制审计的困难包括内部控制手册的制定是否完善，业务部门的重视程度不够，协调比较困难，内部审计人员力量薄弱等。多数医院内部审计负责人表示医院目前正在由财务牵头做内部控制手册，因此尚未开展内部控制审计工作。在内部控制审计的困难方面，访谈对象认为主要包括内部控制手册的制定是否完善，业务部门的重视程度不够，协调比较困难，内部审计人员力量薄弱等。许多医院内部审计负责人表示，医院目前由财务主导编制内部控制手册，因此没有进行内部控制审计。在对COSO 的理解与认识方面，多数医院审计室主任表示了解，在利用COSO 框架方面，主要是从内部控制工作的规范性着手，认为应当“遵循COSO 五要素，从单位层面、业务层面具体分析”，还有的认为“COSO 内部控制是控制与经营的相结合，是医院管理的一部分，是管理的一种工具”。在内部控制审计中应当关注控制与经营的关系，单位层面与业务层面的关系。

2.医院内部审计存在的问题。对北京大学人民医院审计室的职责、制度、内部专项审计工作从控制环境、风险管理、控制活动、信息沟通、监督管理五个维度进行分类，发现现有的专项审计有的是对部分内部控制的要素的审计，对应COSO 内部控制五要素，主要存在的问题包括：(1)尚未开展全要素的内部控制审计。目前，内部控制审计侧重于审计人员在流程熟悉过程中发现的风险问题，针对性的开展问题审计，审计室开展的内部专项审计计划多是以问题为导向，根据上级审计、外部审计对医院运营管理过程中提出的审计问题、审计室日常经济活动监督中发现的问题和主管领导布置的专项审计内容列为年度审计计划，开展内部专项审计，因为人员有限，尚未从内部控制的几大业务流程层面入手开展全要素的内部控制审计。(2)控制环境的审计多从医院管理制度和岗位职责、流程入手，缺少对管理层管理理念、组织文化、职工胜任力等内容的评价。(3)缺乏对风险评估的审计评价。专项审计仅部分关注到了职能部门自身的风险管理活动，多数是审计人员在观察被审计部门的业务活动、审查相关业务资料、分析相关业务数据、访谈业务相关人员的基础上总结出的风险点并按照风险点开展问题为导向的专项审计。(4)在内部控制活动的审计评价方面缺乏系统性。在审计评价的过程中，关注了预算控制、分级授权、分岗设权、不相容岗位相分离等控制措施，但没有系统性的识别和评价控制活动建立的适当性、对风险的识别和规避作用、对组织目标的实现作用以及活动执行的有效性。(5)较少关注监督管理。监督包括内部审计机构的独立监督和管理层对内部控制的自我评估，因为内部审计本身是对内部控制活动监督管理的一种方式，内部审计部门也熟悉外部审计部门对相关问题的审计情况，所以较少关注监督管理要素。(6)未对内部控制的整体有效性进行评价，包括内部控制的健全性和是否有效运行，仅对内部控制的薄弱环节和风险因素提出了改进措施。

讨论与对策

研究发现，公立医院内部审计部门存在忽视内部控制审计、缺少完整的内部控制审计审计流程和规范、内部控制审计广度和深度不足、没有立足COSO 五要素框架开展具体审计工作等方面的问题，笔者认为，解决这些问题可以从以下几个方面入手：

1.基于医院管理现状开展内部控制审计。对内部控制手册概念的执着，导致很多审计人员认为没有完善的内部控制制度体系，就无法开展内部控制审计。事实上，医院的运行本身就是基于风险管理，问题导向的基础上，不断完善治理理念、治理文化和制度机制，医院现有的章程、手册、制度汇编都是内部控制工作的实施依据，尤其是业务层面的内部控制，往往在国家层面制度的指引下，医院会在医院层面和科室层面建立相应的控制制度和措施，而在内部控制审计则是对这些内部控制措施的监督和评价，更好地促进内部控制的建设，使医院的内部控制更加完善，经济活动更加合规合法，经济效益和社会效益进一步提升。

2.正确看待内部控制评价与内部控制审计的关系。内部控制审计与内部控制评价在概念上的理解不同是影响内部审计部门内部控制审计开展的重要因素，不能认为开展内部控制评价就不需要进行内部控制审计。事实上，内部控制审计和内部控制评价既有联系又有区别。联系主要体现在两者的工作目标均是审查和评价组织内部控制的设计和运行的有效性[7]，区别在于内部控制评价报告评价依据是财政部《行政事业单位内部控制报告管理制度(试行)》[8]，而内部控制审计则是根据医院管理层或者上级监管部门要求，制定审计计划开展审计活动。公立医院内部控制审计应遵循《中国内部审计准则》[9]，而内部控制评价则是以《行政事业单位内部控制规范(试行)》(财会〔2012〕21 号)为依据开展内部控制评价工作[10]。

3.完善公立医院内部控制审计流程与规范。规范内部审计章程，完善内部控制审计制度与流程，对内部控制的审计的原则、主要内容、组织和实施流程等进行规定，让内部控制审计监督有章可循。制定内部控制审计实施办法，审计方法上要综合运用问卷调查、访谈、实地查验、穿行测试、比较分析等评价手段，对内部控制开展情况进行现场测试，详细记录工作底稿及测试结果。参考行政事业单位内部控制报告，提出权力集中重点领域和重要岗位分权制衡机制、重点关注是否实现了分事行权、分岗设权、分级授权、关键岗位定期岗位、不相容岗位相互分离等情况，对内部控制制度建设和执行情况等开展审计评价。

4.扩大公立医院内部控制审计业务范围。目前多数公立医院的内部控制审计停留在以经济活动为主的业务活动层面，普遍未涵盖单位层面。要逐步拓展审计视野，在审计资源足够保障的情况下，按照适当的频率开展覆盖单位层面和业务层面的全面的内部控制审计工作，助推医院完善治理，防范风险。

5.借鉴COSO 内部控制框架开展内部控制审计。在开展专项内部审计时，注重增加对内部控制环境、风险管理评价、内部监督的审计，整体评价内部控制是否存在缺陷，并针对更详细的问题，提出一对一值得关注的问题以及相应的改进建议。

总之，在内控浪潮下，公立医院内部控制是医院高质量发展的基石，内部审计部门作为医院管理和经济监督的重要组成部分，应该充分认识目前工作存在的不足，提高风险意识，完善内部控制审计规章流程，不断拓宽审计的广度与深度，为公立医院高质量发展保驾护航。