【导读】医院内部控制是医院现代管理体系中不可或缺的重要组成部分，虽然社会效益永远是医疗卫生事业的首要目标，但是大量的经营活动具有企业的基本特征，如何兼顾经济效益与社会效益的关系，提高医院内部控制的效率，有效保证医院运营及管理的合理性、合法性与科学性，俨然成为对各级医院的基本要求。随着社会经济的发展和在以政府为主导的医疗体制改革的不断深入，对医疗行业的经济管理能力也提出了新的挑战，内部控制的建立与实施成为医院迈向新医改的重要步伐之一;伴随着成本核算管理与绩效改革，内部控制的建立健全与完善实施势在必行。

　　内部控制是指组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法规，提高组织运营的效率及效果，而采取的各种政策和程序。

　　内部控制的建立健全是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。

　　采用COSO组织对内部控制的研究成果，内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。“五要素”使单纯的控制活动与组织环境、管理目标及控制风险相结合，形成一套不断改进、自我完善的内部控制机制。对于医疗机构而言，有利于医院管理层面与其他员工共同实施，为营运的效率效果、财务报告的可靠性以及法律法规的遵循等目标达成提供一个合理保障。因而内部控制目标的实现有赖于医院内各个部门的协调与配合，客观上要求医院内部建立规范、合理、严密的组织体系。

　　2008年财政部等五部委联合发布的《企业内部控制基本规范》以及2010年发布的《企业内部控制配套指引》，也给医疗机构内部控制建设带来新的课题。医疗机构可以根据《企业内部控制配套指引》的相关要求，建立内部控制自我评价项目，创新内部控制自我评价理论框架、评价标准、方法和评价工具，从机构、会计和业务三个维度对医院有关管理办法和内部控制制度进行全面梳理，查找影响和阻碍控制目标实现的风险点并作出相应的控制。

　　医院内部审计人员应当遵循全面性、重要性、客观性原则，对医院的内部控制设计的有效性和内部控制运行的有效性实施评价。

　　内部控制评价体系如下：

　　内部控制评价的目标在于评价医院内部控制的有效性。因此内部审计人员在实际工作中应梳理内部控制评价内容及核心指标、构建与实际相结合的内部控制评价标准、选择具体实施评价的方法和内部控制的描述方法，最终出具内部控制审计结果的报告。

　　一、 内部控制评价内容及核心指标

　　内部控制评价的内容应定义在内部控制五要素、空间范围和时间范围三个维度的结合体之中。空间范围上，强调内部控制的整体效果，包括整个医院、医院各层面、各部门的内部环境、风险评估、控制活动、信息与沟通和内部监督;时间范围上，强调关注某一特定时间段内的内部环境、风险评估、控制活动、信息与沟通和内部监督的有效性。

　　对医院进行内部控制评价旨在合理保证资产的安全目标、财务报告及相关信息真实完整目标、提高经营效率效果以及遵循国家法律法规和有关监督等基本目标得以实现。

　　下面以本院为例阐述内部审计人员对内部控制评价所需关注主要内容及核心指标：

　　(一)控制环境：医院对于内部环境的控制，重点关注组织文化、行为规范、激励机制及纪律约束等方面，例如：法人治理结构是否健全、有效;管理权限的集中程度以及决策的科学程度;是否建立有效地激励与考核机制和树立风险防范意识;医院管理层及业务环节是否开展内部控制;组织文化是否被所有员工所理解和认同，所有员工是否充分了解并履行自己的职责;管理人员和采购人员是否签订诚信承诺书，对所有材料及设备供应商，在购销活动中是否按照政府采购要求进行招投标、签订阳光协议(合同)，其操作过程应透明公开，禁止商业贿赂等行为。

　　(二)风险评估：医院实现经营目标过程中会面临来自内部和外部的各种不确定因素，为防止潜在的损失和可能的风险，需要建立风险管理机制。内部审计人员在实际风险评估中可以引入风险地图，对于医院门急诊，住出院流程，采购、仓储流程等各个环节进行评估。

　　下面以门急诊流程为例识别风险的可能性和影响性：

　　风险评级标准

　　可能性评级标准重要性评级标准

　　评级描述概率评级描述损失金额上下限(门急诊收支结余的百分比

　　1不可能0%5%1不严重 1%以下

　　2不太可能5%25%2较为严重1%5%

　　3有可能25%50%3严重6%10%

　　4很可能50%75%4非常严重11%20%

　　5极有可能75%100%5灾难性的20%以上

　　审计人员在确定控制风险的内容综合起来可以有：1、就诊时间长，2、丢失电脑，3、工作人员丢失发票，4、预约挂号不成功，5、挂错号、收错费、发错药、医生开处方、检查项目出错，6、咨询问题得不到答案，7、搔扰医务人员，8、重复询问同样或同类型问题，9、员工士气低落，10、服务态度恶劣，11、流程出现问题，应急措施不到位，12、挂不到号，13、电脑信息备份丢失，14、电脑系统、设备损坏(不能正常运转)，15、医患关系的不信任。

　　风险评估表

　　因素固有分险控制建议剩余分险

　　影响可能影响可能

　　1、排队等候时间长，秩序差35a开发电脑网上预约付费 b加强自助机宣传 c加强各科室管理服务意识，服务分流，利用叫号系统 d各科室做好准备工作，强化准时服务意识 e科室负责人或指派人员定期下各基层体验工作便于熟悉医院工作的各个环节，年底加入考核标准 f各诊室护士或护工要维护诊室环境，实现“一人一诊室”制，保证叫号系统正常运行33

　　2、丢失电脑41a加强物资登记管理工资 b定期盘点 c加强专人维护保养管理 d工作人员交接班检查后，责任到人41

　　3、工作人员丢失发票41a做好发票认领/使用/回收/存根销毁工作 b发票遗失责任到人，科室通报作废 c不再利用发票及时上缴41

　　4、预约挂号不成功33a开通网上预约转账 b加大自助机挂号、预付宣传工作 c信息科要保障网络的畅通，设备的正常使用维护保养，遇到故障要有提醒32

　　5、挂错号、收错费、发错药、医生开处方检查项目错43a加强工作人员的职业技能培训 b科室对突发、不可预料事件订立应急措施，发生突发，要在限定时间协同处理，出现拖延，推诿情况，责任到科室到人 c科室权限要相互监督和配合 d服务质量上差错要责任到人，硬件原因各科室协调，要有解决的时限规定 e提倡采纳好的建议予以奖励宣传42

　　6、咨询问题得不到答案24a电话或求助问题无法解决，转值班或接待办 b问题回访备案 c内外网上加强医院文化和特色宣传，办医院小报21

　　7、搔扰医务人员22a转接接待办或总值班室 b向医院保安求助21

　　8、重复询问同样或同类型问题22a转接接待办或总值班室 b问题回访备案22

　　9、员工士气低落43a每年提高员工福利待遇或组织活动，分配要体现公平、公正、公开原则 b员工凝聚力工程建设 c定期心理疏导或进行主题宣传，可以充实内外网或医院小报 d科室负人要多关心员工，信息要沟通分享，集思广益 e多采纳员工的合理化建议，提高积极性，优化医院管理 42

　　10、服务态度恶劣53a加强道德素质教育 b严格执行医院奖惩条例，处罚要公开，公平52

　　11、出现流程问题，应急措施不到位44a科室提出基本流程方案，院部审核，统一科室步骤 b出现不可预测情况要有科室应急预案，限定解决时限，超时限，责任到科室到人，并通报或内网通报，科室写整改意见并公布42

　　12、挂不到号32a增加门急诊机动坐班人员 b预检处要分流病人 31

　　13、电脑信息备份丢失52a信息科及时电脑信息备份 b贮存信息介质要馁善保管51

　　14、电脑系统、设备损坏(不能正常运转)43a备足应急电脑 b信息科定期检查电脑线路畅通 c供电供冷暖科保证电路环境 d科室交接班人员做好电脑检查42

　　15、医患关系的不信任54a加强医务人员业务能力，定期考核 b科室质量考评，跨科室之间定期互评 c病人结成服务对子 d定期至公共场所进行义务咨询服务 e遇到急诊病人要有明确的时限告知接待，需要照顾病人要有绿色服务 f医务人员要与病人多沟通多告知，取得病人及家属的理解 g建立互信关系，建立科室对病人的回访制度 h科室要有评分制度，科室之间要互评制度，加入年度绩效53

　　在此基础上制作风险地图，通过各个风险的控制，各个措施的到位，降低风险等级，降低事件发生的概率，提高医疗服务。

　　风险地图模型

　　(三)控制活动：在对医院控制活动评价时，主要审核组织机构方面和内控制度方面。

　　在组织机构方面主要审核：机构、岗位及职责权限是否合理设置和分工，不相容职务是否相互分离，对采购与验收等环节是否设置相互监督制度;是否把业务流程作为内部控制制度建设的重点，设置关键控制点和反馈系统。

　　在内控制度建设方面主要审核：是否制定医院院长事权规则;财务管理制度;采购管理制度;投资管理制度;合同管理制度;内控检查监督制度等。

　　(四)信息与沟通：重点审核是否制定了医院内部信息和外部信息的管理政策，确保信息能够准确传递，确保卫生主管部门、医院管理层及内部审计部门及时了解医院的经营和风险状况，确保各类风险隐患和控制缺陷得到妥善处理;日常业务是否实行流程表单化管理。

　　(五)内部监督：重点审核是否制定了内部控制检查监督办法且由具体部门负责实施，并有相关制度。如：是否对医院设备、材料定期盘点和不定期抽查制度，对医院现金、银行存款账户的抽查制度。

　　二、 内部控制评价标准

　　内部控制评价标准是衡量内部控制缺陷和控制有效性的重要指标，内部控制评价标准所要解决的问题就是：什么样的内部控制才是有效的内部控制?医院管理层应当负责制定一套符合医院实际又具有可操作性的评价标准。内部审计人员依据适当的评价标准针对经营活动、业务循环抑或是具体交易评价其他内部控制要素的适当性、合法性和有效性，评价对象的选择主要依据审计项目的性质和需要。

　　(一)一个适当的内部控制评价标准应当满足以下条件：

　　相关性：与所要评价的内部控制的目标相关;

　　中立性：制定过程遵循了透明的程序;

　　一致性：可以适当一致地、定性和定量地衡量医院的内部控制，在类似的环境下付出同样的努力实施的评价会得出大致相似的风险、测试结果和结论;

　　可验证性：有适当的评价轨迹，没有参与评价的人能够沿着这个轨迹重复评价或评估评价过程;

　　完整性：没有忽略会改变医院内部控制有效性结论的相关要素。

　　(二)在对医院内部控制审计过程中，可用COSO理论结合医院内部控制实际进行评价，研究、制定一套既符合实际又具有可操作性的评价标准体系，从目标定位、内容范围以及设置方式等方面综合考虑，从医院管理与控制的目标入手、或从内部控制要素入手，都能理顺了医院的业务流程，使其责任分明找到控制点，并采取控制措施预防和发现各种错弊。

　　医院内部控制的评价标准体系可由认定标准和业务标准两部分组成。

　　首先，认定标准分为缺陷认定标准和有效性认定标准，是衡量内部控制状况的依据和尺度。内部控制缺陷又分设计缺陷、运行缺陷，按影响控制目标的程度分为重大、重要和一般三个等级。内部控制有效性分为五级：有效、基本有效、关注、特别关注、无效。有效性标准和缺陷标准存在一种相互的对应关系。

　　其次，业务标准是医院内部控制体系各管理层面和各业务环节正常运行所遵循的适当控制目标和要求。业务标准分为医院层面、流程层面、信息科技层面三个方面的标准。

　　对内部控制制度进行评价时，应对具体内控制度的设计与运行有个认识之后，才从整体上对医院内部控制的完整、合理、有效作出判断。围绕内部控制五要素展开，每个控制要素分为若干个控制领域，每个控制领域下细分为多个关键控制点并设置相应的业务标准。

　　三、内部审计人员实施评价的方法

　　在开展内部控制检查评价工作过程中，内部审计人员应当根据评价内容和具体情况综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。从内部控制评价本身以及目前的发展情况来看，主要存在详细评价法和风险基础评价法。

　　四、对医院内部控制的几点感悟

　　(一)医院内部控制体系的完善应借鉴企业内部控制的成果

　　企业内部控制研究与实务的发展对医疗卫生系统内部控制的完善具有重要影响。医院能够借鉴企业内部控制规范，及时了解和吸收先进的内部控制理念，完善自身内部控制的执行。

　　(二)强化医院管理层的责任

　　尽管有法律法规的约束，但医院的内部控制建设与执行情况不尽如人意，有的部门在资源配置等方面对强化内部控制并没有真正到位。毕竟内部控制是由人来执行的，人作为内部控制的执行主体，其自身素质、认识、理解与重视程度的高低直接影响了内部控制的执行效果。尤其是主要管理层、负责人在其中起着重要的作用。强化管理层的责任有利于内部控制实施，有利于塑造良好的内部控制执行环境。

　　(三)树立内部控制与行为主体行为互为因果关系的理念

　　“制度先于行为”，内部控制决定医院各部门和岗位人员的行为，并最终决定医院运行状态与秩序。而医院各部门和岗位人员的行为反过来又对内部控制的优化和创新起推进作用。

　　(四)医院内部审计制度的完善程度预示着内部控制的执行效果

　　内部审计作为保证受托责任履行的一种控制机制，需要保证和评价内部控制的有效性。医院内部审计制度的完善程度彰显内部控制的执行效果。内部审计对一个组织的内部控制建设与完善起着重要作用。

　　[参考文献]

　　1、刘戬. 2007. COSO框架与我国国企内部控制建设〔J〕. 会计师(1)

　　2、白涛等. 2011. 切实做好内部控制评价 努力完善公司治理. 中国内部审计(10)