2014-05-12 14:29:41
【摘 要】风险导向审计是当前医疗卫生系统审计领域的最新审计模式。本文从审计技术和方法的历史演进出发,引出了风险导向卫生审计的涵义,然后介绍了风险导向卫生审计在医学院校风险管理中的运用。分析了在当前医学院校所面临的风险类型和风险管理模式中,如何开展风险导向卫生审计程序,包括确认审计范围、寻找控制弱点、评估固有风险和控制风险、制定审计计划、实施审计测试、提交审计报告、审计结果利用等内容。
风险导向审计是当前医疗卫生领域的最新审计模式,关于风险导向卫生内部审计的研究在国内外还处在初级阶段。
风险导向审计是在账表导向审计(古代至20世纪40年代末期)、系统导向审计(20世纪50年代初期至80年代末期)基础上发展起来的最新审计方法。它起源于国内外频繁曝光的外部审计失败案件,比如,在美国1960年-1972年发生了181起针对审计人员的诉讼,1973年-1985年发生了291起。1985年以后,针对审计人员的诉讼越来越多,标的越来越大。根据2002年10月美国《会计杂志》报道,审计人员正处于“诉讼爆炸”时代,每年诉讼赔偿金加上私下了结赔偿金达80亿美元,相当于美国审计职业界国内收入的10%。社会公众对审计期望的不断提高、系统导向审计的内在缺陷是风险导向审计产生的社会因素和技术因素。基于社会公众对审计的诚信度和公信力的质疑,以防范审计风险为重点的风险导向审计应运而生,并引起国际国内社会审计组织的重视。
随着国际国内内部审计迅速发展,中国内部审计协会也将风险导向审计定为内部审计的发展方向,卫生审计是中国内部审计的组成部分之一。在今后的很长一段时间,风险导向审计在医学院校风险管理中的应用和完善也将是工作重点之一。
一、风险导向卫生审计的涵义及特征
1999年,国际内部审计师协会(IIA)发表了基于风险导向内部审计的新定义和实务标准框架,并于2001年正式实施。2004年IIA重新修订的《国际内部审计专业实务标准》中再次规定内部审计是:“一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营,它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。”
2005年,我国内审协会发布了《内部审计具体准则第16号-风险管理审计》,要求内部审计人员对组织内部控制中的风险管理状况进行审查与评价,将风险管理审计纳入内部审计准则体系,标志着我国已经确定以风险导向内部审计作为内部审计基础的新阶段。2006年6月6日,国务院国资委发布的《中央企业全面风险管理指引》对包括总则、风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理审计在我国企业的应用研究、风险管理的监督与改进、风险管理组织体系、风险管理信息系统和风险管理文化等内容进行了详细的阐述,对中央企业如何开展全面风险管理工作提出了明确要求。《指引》的出台不仅标志着我国拥有自己的全面风险管理指导性文件,更说明了我国企业正向全面风险管理这一管理的高级阶段迈进。2007年4月19日,中国内部审计协会会长王道成在《融合之道-2007年度内部审计控制与风险管理春季高峰论坛》上指出:“内部审计的模式也应该逐步向以治理为目标、风险为导向、控制为中心、增值为目的的现代管理审计转型。”
风险导向卫生审计,是指卫生系统审计人员在审计过程中始终都以卫生单位风险管理为导向,综合分析和评估影响被审计单位(部门)经济活动的各项因素,对卫生单位风险管理、内部控制和管理程序进行测试和评价,并根据量化的风险水平来确定审计范围及重点,进而实施审计测试程序,针对存在的问题和管理疏漏提出建设性意见及审计建议,协助卫生单位管理和控制风险,实现卫生单位战略目标的一项具有独立、客观的确认、评价和咨询活动。风险导向卫生审计既是基于降低审计风险,又是为了降低卫生单位管理风险,是进行风险管理的一种有效手段,是对卫生单位风险管理实施的最后监控和保障。
风险导向卫生审计应该具有如下特征:一是审计重心转移,从以审计制度测试为中心转移到以风险评估为中心。二是风险评估由直接评估转为间接评估。三是风险评估以分析性复核方法为中心。四是风险评估从零散走向结构化。五是审计测试程序个性化。六是卫生审计人员专业知识重心转移,由原来以会计、审计知识为中心转变为以管理知识和行业知识为中心。七是风险导向卫生审计应该以辅助医学院校管理部门识别、管理和应对风险,并且确保风险管理过程和医学院校的商业行为、学术和科研活动进行战略整合为目标。八是卫生单位风险管理框架是风险导向卫生审计的主要对象。九是对卫生单位管理风险全过程监控是卫生风险导向审计的重要方法。
因此,卫生单位内部审计针对卫生单位的风险管理采用风险导向审计方法,不仅是卫生审计与时俱进的必要,更是卫生审计为实现卫生单位具备领先的风险管理能力和水平目标而提供主动增值服务的必须。
二、风险导向卫生审计在医学院校风险管理中的应用
风险导向卫生审计的最终目标是将卫生单位的各种风险通过相应的风险应对措施,将风险程度降低至卫生单位能够接受的风险偏好范围之内。
(一)确定医学院校风险类型和范围
医学院校是整个国家经济活动的一部分,医学院校在改革和发展中对于资金的需求十分强烈,也会出现资金缺口。医学院校资金运作使市场经济机制由排斥到引入和运行、医学院校办学资源的分配由政府行为变为市场或准市场行为、医学院校筹融资活动由确定性变为不确定性。因此医学院校有必要在管理决策上寻求最有效的资金使用、效益、调度、分配等一系列运作方式。医学院校资金运作包括了制定资金合理长短期计划、确定正常储备和超额储备的增值问题、卫生单位内外债的规划和管理等。医学院校也会出现财务管理失控和经济违规、违纪甚至违法案件。因此,医学院校资金通常需要重点关注五个方面的风险领域:
1.卫生单位对法律、法规的遵循,以及卫生单位自行建立规章制度的健全及其一贯执行情况所引起的风险。
2.金融风险。由于卫生单位盲目扩张,财政投入不足;卫生资源重组整合而产生的贷款;管理体制上领导干部实行任期责任制,任期中大搞政绩工程,忽视贷款风险等原因带来的风险。
3.业务风险。医学院校的财务管理、基建管理、国有资产监管、教学和科研管理中出现的风险会导致活动中断或停止。
4.生命安全风险,涉及人身伤害或死亡。
5.医学院校声誉,医学院校的声誉是一项非常重要的无形资产,各医学院校都非常关注有损医学院校声誉的风险。
合理的风险范围应包括卫生单位战略系统、内部组织范围、各项经济管理活动范围、剩余风险范围。
(二)医学院校审计风险管理模式
通常包括医学院校审计风险的识别、医学院校审计风险的评估、医学院校审计风险应对措施三个阶段。
1.医学院校审计风险的识别
识别风险是医学院校审计风险管理的第一阶段,是对审计活动的潜在风险及可能承担的责任,进行鉴定、衡量和分析,从而了解审计风险的程度,以便为控制风险提供依据。通常主要任务是:卫生审计人员在工作中面临哪些审计风险,哪些须予以重视,进一步分析引起审计风险的原因。理论上通行的审计风险识别方法有核对法、监测故障法、幕景分析法、德尔斐(Delphi)法、筛选-监测针推法等。
我们实际操作上往往这样进行,在开展风险识别进行的准备如下工作:汇总外审报告和内审报告,分析来自外部评价的风险;向中国卫生审计学会、市卫生局、市教委及其他信息渠道获取医学院校的风险信息;收集来自医学院校内部管理层、职能部门和院系财务主管相关的风险因素和信息。
获取信息的方法有一是访谈,也就是审计部门负责人要每年与主管财务校长、财务处长、重要院系负责人等会面,谈论风险问题。二是成立焦点小组。审计部门的骨干人员要经常或定期的内部讨论,对卫生单位及相关层面的各类风险进行评价。三是问卷调查。从访谈和焦点小组获取 “风险清单”后,制定问卷调查。
2.医学院校审计风险的评估
评估风险是医学院校审计风险管理的第二阶段。我们通过风险识别了解风险的类型及其产生的原因,下一步就是风险发生的概率有多大,产生后果的严重程度如何。
《风险管理审计准则》第十二条规定:“内部审计人员应当实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。”也就是说风险发生的可能性越大,产生影响程度越高。
《风险管理审计准则》第十三、十四条规定:“内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法进行审查。”
风险评估往往采用定性和定量相结合的分析方法,定性分析包括:头脑风暴法、杜邦“沸腾壶”、故障树法等。定量评估方法主要有风险价值技术、风险现金流技术、风险收益技术、损失分布技术、事后检验技术、敏感性分析技术、情景分析技术、设定基准技术、压力测试技术等。
3.医学院校审计风险应对措施
美国COSO委员会的风险管理框架下,风险应对措施分四种:规避风险、减少风险、共担风险、接受风险。也有的学者将风险应对措施分为风险自留、风险转移、风险控制、风险预防、风险回避等。通常我们制定风险应对方案应考虑整体风险组合。比如对卫生单位每个职能部门和院系的风险进行整理和分析,找出风险源,提出应对方案,消除或减少风险发生的可能性,减轻风险产生的不利影响,对已经发生的纠纷妥善处置、降低影响。
我们审计人员评价风险应对措施还应注意剩余风险水平是否可以接受;采取的风险应对措施是否适合本组织的管理特点;审计也要满足成本效益原则。剩余风险水平是确定是否追加实质性测试程序,从而将剩余风险控制在可接受的范围内。对于剩余风险排序可利用风险矩阵图:
| 次要 | 可接受的风险① | 可接受须监控的风险② | 须管理和监控的风险④ |
| 中等 | 在监控下值得接受的风险③ | 加强管理可缓解到低风险⑤ | 必须严格有效管理的风险⑦ |
| 重要 | 按管理需要进行监控的风险⑥ | 必须增加管理办法并持续监控的风险⑧ | 需要最大范围严格监控的风险⑨ |
| 影响可能性 | 低 | 中 | 高 |
根据风险区域的评估结果,将风险列入矩阵适合区域,①②③为可接受风险,④⑤⑥是采取相应措施可接受的风险,⑦⑧⑨是不可接受的重大风险区域。
4.审计部门对审计业务的选择
我们审计部门接受审计业务需要关注的风险因素包括领导决策风险:从决策机构设置、决策程序和监督机制等方面评估;内控制度风险:从内部控制制度设计的健全性、合理性和执行的有效性方面评估;业务风险:从预算管理、投资管理、融资管理、收费管理、科研合同管理、培训业务管理和仪器设备管理几个方面的管理流程和会计核算进行评估;人员方面的风险:职业道德和业务水平。这些风险因素主要体现在年度审计计划、具体审计计划、具体审计项目审计重点的选择上。
比如基建处经济责任审计中,我们就必须关注重点岗位材料科,它的主要事项、关键控制点、风险点和风险高低如下表:
| 重点岗位 | 重要事项 | 工作关键控制点 | 风险点 | 风险等级 |
| 材料管理科 | 甲方分包 | 1.公告发布 | 对投标单位需提交资料要求不完整、不准确或限制资格,形成抬高报价、围标串标、重新招标 | 低 |
| 2.资格预审 | 对投标单位不了解,只凭投标单位提交的书面资料确认优劣,形成投标单位质量不高或围标串标 | 中 | ||
| 3.招标文件编制 | 技术要求不完善,导致中标后索赔或者选用低劣产品;或设置针对性技术指标,人为干预 | 中 | ||
| 4.评标 | 对投标文件技术部分审查或清标不到位,影响评标结果 | 高 | ||
| 甲方认价 | 1.厂家资格审查 | 对投标单位不深入了解,只凭投标单位提交的书面资料确认优劣,形成投标单位质量不高或围标串标 | 高 | |
| 2.价格、质量确认 | 询价不到位或受利益诱惑,导致价格确认高或质量不能保证 | 高 |
对于风险较高的领域,比如上图中对投标单位厂家资格审查、供货价格和质量的确认,都属于高风险区域,审计部门在审计时要采取相应的审计风险应对措施,以保证审计项目的工作质量。
在识别、评价管理风险后,我们必须确定每种风险的级别与权重,评价风险程度并排序,进一步考虑年度审计资源的合理配置。
(三)开展风险导向卫生审计的程序
风险导向卫生审计是将被审计部门(单位)置于一个大的卫生经济活动的环境中,运用立体观察的理论,全方位判断卫生影响因素,从卫生单位所处的外部环境和管理机制等内外部各个方面来分析评估审计的风险水平,并把风险意识贯穿到卫生审计的全过程。风险导向卫生审计的程序如下图所示:
从上图可以看出,风险导向卫生审计程序仍分为审计计划阶段、审计实施阶段和审计终结阶段。具体可以分为七个阶段:
第一阶段是通过预备调查、医学院校领域的研究、分析性检查、了解和评估等审计方法确认重要审计领域,识别重要风险,目的是评估固有风险,确认重要审计范围。一般在审计计划开始时进行。第二阶段是了解评估重要的资料来源,寻找卫生环节中的控制弱点,确认与评估相关的控制,一般在期中审计时进行。第三阶段是执行初步风险评估,目的是通过风险评估,选择可靠的、有效率的、有效果的审计程序。首先考虑固有风险,再对控制风险做出初步评估,通过对卫生单位管理意识、控制程序、职责分工等状况的判断,对控制有效或无效作出判断。如果是有效,判断其可依赖程度如何,发生重大错误的可能性如何。通过风险评估,确定不同的风险程度,针对不同的审计风险,选择可靠、经济、效益、效果好的审计查核程序。第四阶段是制定审计计划。医学院校内部审计在制定全年审计项目计划时,尽可能考虑并结合风险评估结果,除每年开展的经济责任审计和内部控制评审外,还应针对存在较高管理风险的区域安排专项审计,以揭示风险并加以控制和防范,如本科体育高水平招生中,考生测试的排序是否科学和公正,对这一高风险区域进行专项审计和调查。医学院校审计机构在制定审计计划时,还应针对评估的剩余风险采取总体应对措施,比如在审计人员安排上可以考虑专项审计的特殊性,选择一些具备某方面专业知识的专家参加审计小组,加强对审计小组的专业督导。第五阶段是实施审计实质测试阶段。根据风险评估水平确定审计测试的性质、时间、范围和重点实施审计。我们审计人员对剩余风险的评估结果作出判断后,需要计划和执行实质性测试程序,从而将剩余风险控制在可接受的范围内。通常结合我们审计人员的专业判断,实质性测试的方法有三种:一是剩余风险评估结果为低时,根据具体审计目标,直接采用分析性程序。二是剩余风险评估结果为中时,我们必须判断分析性程序是否足以将风险控制在可接受范围内,通常我们选择分析性测试和实质性测向结合的方法。三是剩余风险评估结果为高时,我们必须追加审计程序,获取更多的审计证据,来降低审计风险,保证审计质量了。实际上,随着审计过程中所收集审计证据的逐步增加,我们审计人员会发现对剩余风险的评估也会发生变化,此时我们应再次评估风险并相应修改审计计划,改变审计测试范围或修改审计程序。第六阶段是向管理层提交审计报告或审计管理建议书。审计实质性测试结束后,就进入审计报告阶段。内审人员将依据风险评估程序中所获得的信息,判断其观点和风险评估是否完全被证实,并成为审计意见的判断基础。风险导向审计与传统审计模式最大的不同之处是审计人员需要将审计风险水平控制在可接受的限度内来确定审计证据能否足以支持审计人员发表恰当的审计意见,最后针对识别出的重大风险、重大控制弱点及时报告卫生单位管理层,并协助相关管理部门分析风险发生原因,提出合理化建议。第七阶段是促进卫生单位加强对审计结果的利用。审计报告发出后,我们审计人员还需要对报告中所涉及的审计结果和审计意见进行跟踪,在坚持风险导向审计和成本效益原则的基础上加强后续审计的力度和深度,以监督被审计单位是否已经有效采取了风险防范和控制措施,对未纠正事项分析其原因,协助被审计单位制定整改措施,确保审计结果得到充分利用。
将风险导向审计理念和模式引入医学院校风险管理,是卫生事业风险管理的一大进步。但是作为一种全新的审计模式,必须在今后长期的卫生审计工作中摔打磨练,才能凸现它的实效。
随着经济的发展,卫生事业也进入了“风险时代”,拥有“健全的风险管理体系”的战略目标也越来越受到大家的认可和尊崇。风险导向卫生审计正是顺应时代的要求、向现代医学院校管理审计转型的必要和必须,它作为医学院校风险管理体系中一项独立、客观、公正的约束与评价机制,在强化医学院校风险管理的过程中发挥着独有的作用。
【参考文献】
【1】 王光远等译.内部审计思想[M].北京:中国时代经济出版社,2006.1
【2】 秦荣生,卢春泉编著.审计学(第六版)[M].北京.中国人民医学院校出版社,2009.1
【3】 罗伯特.莫勒尔,布林克.现代内部审计学(第六版)[M]. 中国时代经济出版社,2006.1
【4】 时现.现代企业内部治理审计研究[M].中国石化出版社,2004
【5】 理查德.L.莱特里夫.内部审计原理与技术(第二版).北京.中国审计出版社,1999.8
【6】 Committee of Sponsoring Organizations of the Treadway Commission(COSO),《Enterprise k Management-Integrated Framework》,2004.4
