(本栏目文章禁止转载，最终版权属卫生内部审计网所有)

　　【摘要】本文对内部控制以及内部审计在内部控制中的职责和作用进行了阐述;同时对内部审计实施内部控制评价以及促进内部控制体系完善进行了初步的探讨，提出了实施内部控制评价的主体、应遵循的原则、评价的内容和标准、评价的程序和方法。

　　一、内部控制

　　内部控制是指单位为实现控制目标，通过制定一系列制度、实施相关措施和程序，对经济活动的风险进行防范和管控的动态过程。

　　内部控制的目标主要包括：合理保证单位经济活动合法合规、资产安全完整、财务信息真实准确，提高公共服务的效率和效果。内部控制应遵循制衡性原则、重要性原则、适应性原则以及成本效益原则。

　　内部控制的要素包括内部环境、风险评估、控制活动、信息与沟通以及内部监督。

　　二、内部审计在内部控制中的职责和作用

　　(一)内部审计

　　《内部审计实物标准——专业实务框架》中对内部审计的定义为“内部审计师一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”。

　　目前，我国内部审计处于内部审计职能的全面转型时期，内部审计理念不断创新，内部审计工作职能不断延伸，更加突出了审计的控制功能。从以上定义中可以看出：以风险管理为导向，内部控制审计为主线，以提高经营效率和效果为目标的审计理念已广为认知。

　　(二)内部审计面临的形势

　　近年来，随着我国医疗事业的快速发展和内部管理的不断完善，多种外部因素力推医院内部审计工作的快速发展，医院内部审计监督的作用日益显现，人们对审计工作的认识明显增强，审计监督与服务的作用和地位不断提升。具体表现在：

　　1、良好的外部环境推动了内部审计发展。近年来，随着国家审计力度的加大和社会媒体的广泛关注，“审计风暴”席卷全国，审计工作深入人心。

　　2、现代医院在风险管理上要求加强内部控制审计。现代医院管理制度的核心是建立规范科学的法人治理结构。国际内部审计师协会(IIA)在美国国会的建议中指出，一个健全的公司治理是建立在董事会、执行管理层、外部审计和内部审计协同运作基础上的。而有效的内部审计正是法人治理结构中形成权力制衡机制并促进其有效运行的重要手段。

　　3、《萨班斯法案》促进了内审职能的进一步拓展。美国“安然、世通”，要求企业管理层对内部控制负责，企业应当对内部控制进行自我评价，并通过外部审计师的审计。《COSO内部控制框架》认为，内部审计是内部控制的重要组成部分，同时，明确提出内部控制的自我评价要由内部审计部门组织实施。

　　4、医疗事业健康发展需要良好的内部工作机制做保障。实践表明，医院发展得越大越快，势必要求医院强化内部控制，内部审计也就越重要。因此应将医院的经济管理活动的全过程纳入审计监督的范围。内部审计作为医院内部控制体系的重要组成部分，承担着内部控制建设和强化风险管理的职责。

　　(三)内部审计在内部控制中的职责和作用

　　职责：

　　内部控制的性质和特点决定了内部审计在内部控制中的职责：对医院的经营情况、经济效果、经济效益进行评价、鉴证，为医院领导层决策提供依据，以利于改进经营管理中的薄弱环节，促使医院规范管理，完善规章制度，提高经济效益，提升医院的竞争能力。

　　相对于外部审计，内部审计更了解医院各方面情况，评价更深入、更全面：同时内部审计的独立性、客观性及专业性也确定了其比其它部门更适合进行内部控制评价工作。可以说内部控制评价是内部审计的一项专属职责，也是能体现内部审计价值的一项重要职责。

　　作用：

　　1. 参与内部控制的风险评估，有效识别风险因素

　　内部控制活动的开始是要进行风险评估。风险评估过程包括确立目标，识别目标相关的风险，评估识别出风险的后果和可能性，针对风险评估的结果，考虑适当的控制活动。内部审计人员可以通过评估并运用风险管理的方法，协助医院风险管理过程的建立或使风险管理过程的建立成为可能，帮助医院解决风险问题。只有评估了风险点，才能设计有针对性的控制程序。

　　2. 内部审计促成建立良好的控制环境

　　通过对内部控制制度的评审，提供纠正错弊、完善内部控制的建议，来促成良好控制环境的建立，进而有效的促进医院的控制目标的实现。

　　3. 内部审计有效防止内部控制失效

　　建立和完善医院的监控机制，加强内部审计的监督力度。对重点部门的各个环节实现不同程度与方式的监控措施，将内部审计监督行为扩展到具体业务中。建立以“防”为主的监控防线，结合内部稽核、离任审计、落实举报、专项审计等“查”的方式。在不同层次实施内部监控措施，可以及时发现问题，防范和消解风险。例如：

　　(1)对财产物资管理制度的内部控制审计。固定资产、低值易耗品、卫生材料、药品等财产物资要有相应的购入、领用、报废、处置等制度，做到有章可循，便于操作。固定资产的购入、调拨、出售要建立台帐，还应建立财产物资定期盘点制度，帐帐、帐实核对制度，财产物资盘盈、盘亏、报废批准权限、责任制度，确保帐实相符。卫生材料、药品的采购要符合集中采购目录。

　　(2)对重大投资决策机制和程序的内部控制审计。医院应实行重大投资决策集体审议联签等责任制度，加强基建、医疗设备投资立项、评估、决策、实施、投资处理等环节的控制，严格控制投资风险。

　　(3)对采购与付款程序的内部控制审计。制定药品、器械、材料采购与付款内部控制程序，加强请购、审批、合同订立、采购、验收、付款等环节的内部控制，减少采购风险，防止采购过程中个人收受“回扣”现象的发生。

　　(4)对成本核算与控制制度的内部控制审计。医院应转变观念，树立医疗成本意识，做好成本费用的各项管理工作，建立健全医院科室成本核算制度与单项定额成本管理制度，落实奖罚措施，降低医疗成本，提高医院经济效益。

　　为了保证内部控制制度能有效地发挥作用，并使之不断地得到完善，内部审计必须对内部控制制度的执行情况进行检查和考核，进而有效增强内部控制执行的有效性。

　　三、内部审计实施内部控制评价的探讨

　　医院内部审计部门应将对内部控制的审计评价作为主要职责。近两年来，我们先后对设备耗材采购流程、经济合同审签、IT信息系统、基建工程项目管理流程等关键内部控制流程进行了审计评价;并对医院部分科室内部控制情况进行了审计评价。按照《规范》的要求，结合我们对内部控制审计评价的实践，对内部审计如何进行内部控制评价进行初步的探讨。

　　(一)明确内部审计部门负责组织和实施内部控制评价

　　首先应该在制度中明确内部审计师进行内部控制评价的主体。即在医院《规章制度管理制度》及《内部审计制度》中应明确规定“内部审计部门负责每年对内部控制制度的建立、健全及执行的有效性进行审计评价”。

　　(二)实施内部控制评价应遵循的原则

　　1、全面性原则。评价的范围应覆盖与整体控制目标相关的内部控制活动的全过程、部门、岗位和相关业务流程。

　　2、重要性原则。评价过程中的重要性原则，是成本效益原则的主要体现，并依据风险和控制的重要性确定重点。

　　3、风险导向原则。内部控制评价应以风险评估为基础，根据风险发生的可能性和对医院单个或整体控制目标造成的影响程度来确定需要评价的重点部门、重要岗位或流程环节。

　　4、公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。

　　5、一致性原则。内部控制评价采用统一可比的评价方法和标准，保证评价结果的可比性。

　　我们应对医院整体内部控制的建立及执行情况进行审计评价，体现了全面性原则;同时对设备、药品采购流程、基建工程项目流程等开展专项审计评价体现了重要性原则以及风险导向原则。

　　(三)内部控制评价的内容和标准

　　1、内部控制评价的内容应包括与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素，并对它们的设计有效性和运行有效性进行评价。在内部控制内审评价过程中，要关注相关内控制度的执行情况，关注该内控制度的健全性、合理性、有效性。

　　同时随着医院信息化的管理逐步深入，也要加强对信息系统有效性的评价。对信息系统的审计和评价也将成为新时期内部审计的重点，但由于其专业性要求较高，所以对提高内审人员综合素质、充实内审力量、创新内审手段等方面提出了客观要求。

　　2、医院的评价标准应依据单位内部的控制要求。进行持续完善内部控制系统。同时，逐步建立内部的关键控制点，以更好地指导内审评价工作。通过不断的评价和改善来促进内部控制的完善。

　　(四)内部控制评价的程序和方法

　　1、内部控制审计评价(包括整体的和专项的)的实施程序：制定实施方案——实施评价——出具报告初稿(含改进建议)——交换意见——形成正式报告(函改进建议)——上报分管领导审批——制定整改实施计划——实施整改——定期跟踪整改情况。

　　2、内部控制评估和测试的方法一般会采用隔壁访谈法、调查问卷法、比较分析法、标杆法、抽样法、实地检查法、重新执行法以及专题讨论会法等。

　　(五)内部控制评价的注意事项

　　1、根据通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。

　　2、根据所收集的证据，判断相关控制的设计与运行是否有效。

　　3、关注导致内部控制失效的风险：如活动的类型、复杂性、管理层逾越内部控制的风险、职业判断的程度、风险事项的性质及其重要性、活动有效性的依赖程度等。

　　4、及时记录开展内部控制评价工作的方法和程序，并以适当形式妥善保存相关证据。

　　5、根据评估结果和经核实的证据，确认内部控制缺陷，出具评价结论。

　　(六)内部控制缺陷认定和评价报告

　　1、内部控制缺陷一般包括设计缺陷及运行缺陷。根据对目标实现的影响严重程度，将内部控制缺陷分为一般缺陷和重大缺陷。

　　内部控制评价中的内控缺陷分为一般缺陷和重大缺陷，并在改善实施计划中明确标识出来。对于一般缺陷，我们应向分管院长汇报;而对于重大缺陷，我们将在院务会议上作汇报，并根据院务会议要求实施整改。(重大缺陷是指发生的概率、严重程度、损失金额等)。

　　2、结合年末控制缺陷的整改结果，编制年度内部控制评价报告。

　　内部控制评价报告至少应当包括下列内容：

　　(1)内部控制评价的目的和责任主体。

　　(2)内部控制评价的内容和所依据的标准。

　　(3)内部控制评价的程序和所采用的方法。

　　(4)衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法。

　　(5)被评估的内部控制整体目标是否有效的结论。

　　(6)被评估的内部控制整体目标如果无效，存在的重打缺陷及可能的影响。

　　(7)造成重大缺陷的原因及相关责任人。

　　(8)所有在评估过程中发现的控制缺陷，以及针对这些缺陷的改善建议、改善措施及实施计划等。

　　四、内部审计建议是促进内部控制完善的重要手段

　　目前，一般单位的内部审计部门在内部控制评价报告中主要体现评价内容，指出了内部控制中的问题，但审计建议提出的不多或很笼统，对具体如何完善内控流程的指导意义不大，促进内部控制完善的作用不明显。我们应在开展内部控制审计评价工作中，将促进内部控制的完善作为最终目标。为了完成目标，即要发挥“提出内控问题”的审计“确认”职能，又要发挥“提出内审建议”的审计“咨询”职能。在内审部门出具的内部控制审计评价报告中，对每一项审计发现均提出有针对性的审计建议，同时该审计建议还要结合部门的实际情况，具有可操作性。为了跟踪督促内审整改项目的整改落实，我们协助相关职能部门制定《整改实施计划》，明确具体措施，负责人、完成时间等，并定期对《整改实施计划》的完成情况进行跟踪，出具《审计整改报告》。通过以上方法，有力促进内部控制体系的完善。

　　总之，加强医院内部控制，建立健全内部控制体系，是现代医院自身加强管理的需求，也是医院面对市场风险与挑战的需要。这对内部审计人员提出了更高要求，带来了更大的挑战。内部审计部门应该发挥好作用，认真总结和探索新方法、新思路，促使医院优化管理流程，提升管理水平，保证医院经济活动的良性循环。从根本上确保医院持续、稳定、健康发展。

　　参考文献:

　　(1)《论内部控制审计在现代医院风险管理中的作用》臧芝红，2009.3

　　(2)《论内部控制的重要性》，吴英，2007.3.14

　　(3)《浅议内部控制和内部审计的关系》2010.8