摘要：本文对医院内部控制及风险管理的内外部环境进行了分析，旨在探讨医院如何更充分地结合自身的特点，从战略管理的高度制定内部控制及风险管理的目标和管理策略，从而提高经济管理水平和自身综合实力，保证经营和发展战略的实现。

　　随着医疗体制改革地不断深入，医院所依存的内外部环境正在发生着重大的变化，各级医院的内部管理与控制体系也面临着前所未有的挑战。目前，医疗服务的社会需求由过去的供方导向转向了需方导向，卖方市场变为买方市场。在政府投入有限的情况下，医院已不能完全按照等价交换原则进行日常的经营管理，医疗价格与价值存在着严重背离。

　　如《中国医疗卫生行业风险管理报告》中所述,“医疗机构正面临着医疗、政策与体制、疾病传播、职业暴露、突发公共卫生事件、财产损失、人身、人才及人员道德、环境污染等种种风险”。笔者认为，其中尤以管理中隐藏的风险渗透于医院的发展、经营的各个环节之中，医院面临的风险是潜在的，也是现实的。当医院的内部控制系统如果出现了问题，酿成的风险就会迅速影响到整个组织、行业的有序发展。

　　一、医院内部控制及风险管理的内外部环境

　　近几年来的医疗市场逐渐开放，市场占有份额、固定资产规模、市场环境等的变化程度与日俱增，市场竞争异常激烈。医疗行业逐渐参与全球开放的竞争，必然会给医院造成复杂的经营环境。决策者无法拥有关于环境因素的足够信息，难以准确预测外部环境的变化，这种外部环境的不确定性、复杂性和多变性也增加了医院进行决策的难度和风险。

　　国家审计署原审计长李金华同志曾在一次讲话中指出，“一些部门、单位和企业之所以出现违法违纪问题，其中一个重要原因就是不重视管理，内部控制苍白无力”。从内部环境来看，我国的一些医院长期受计划经济体制下的管理模式影响，往往片面强调发展，追求规模和效益，重经营，轻管理。对如何加强内部控制认识不足，也较少考虑医院效益快速增长时潜在的风险。较为常见的问题有：

　　(一)对外部环境和经济业务的变化缺乏预见性，不能及时制定出相应的内部控制制度和风险防范方案，导致无章可循，管理滞后。

　　(二)应对风险时依赖思想严重。缺乏基本的风险管理意识和能力，没有在每一个管理环节上形成相应的反风险计划和措施，在风险发生时反应缓慢，不能迅速有效地处理危机。同样，医院员工也普遍较缺乏风险意识。

　　(三)内部控制的基础较为薄弱，人员配备不足或素质不高，不能真正参与到医院所有的经济活动中。有的人把内部控制当成医院层面的事情，与个人无关。事实上，医院内部控制涉及到医院的所有的部门、科室以及每一位职工，只有全院上下统一了认识，才能保证内部控制行之有效。

　　二、医院内部控制及风险管理的目标设定

　　由于医疗机构自身的特点以及外部环境的不断变迁，人们对医院内部控制和风险防范目标的认识必然会存在着一定的不足和局限性。主要表现在：

　　(一)比较强调投入与产出的经营效率，但忽视了反映医院业绩

　　实际结果的经济性和有效性。

　　(二)片面强调会计信息的准确性和可靠性。但因为医院内部控

　　与风险防范也需要许多非财务信息，所以必须保证所有与决策相关的数据和信息都是准确和可靠的。

　　(三)忽视了一些重要资源的风险应对，如人力资源及其信息。要达到风险防范的目标，必然要对重要的资源加以保护，并进行合理的开发利用，否则，人的能力和知识也会被破坏或流失到其他组织中去。同时，信息也有可能被偷窃、滥用和收买，因此，只注重信息的完整性而忽视其安全性同样是片面的。

　　(四)强调了内部控制阻止和防范不必要行为的特定政策和程序，而忽视了内部控制的“激励”功能。“控制”并非简单而机械的“限制”，要确保内部控制的效果，内部控制一定是一个组织激励员工实现组织目标的有效机制。

　　上述这些认识的偏差和局限性，是导致内部控制在医院中实施效果不佳的重要原因。因此，将风险管理意识及时完整地纳入，进一步拓展医院内部控制的内涵，重新认识和界定内部控制目标就显得尤为重要。

　　院内部控制与风险管理的目标实质就是要直接促进其整体发展目标的实现。医院必须对那些构成组织的资源(财产、人力、知识、信息等)进行合理的组织、整合与利用。除了要有优秀的医生、工作人员和先进的设备外，更要将这些条件充分运用于临床医疗，从而真正体现其管理与控制的效率。

　　此可见，所有的内部控制活动和风险防范行为必须以促进实现组织的最高目标为依据。医院应在一个规范的组织体系的领导下，有计划、分步骤地进行，各部门之间应当相互配合、相互协调。不断探索预防风险的管理制度和应对策略，不断强化员工的风险和危机意识，有效地协调医院发展的战略、运营、管理系统和治理结构中出现的风险，从而使医院能够承受骤然降临的混乱，消除不利状况，确保持续提供优质的医疗服务，促进和实现医院发展战略。

　　三、医院内部控制及风险管理的策略

　　随着医疗体制改革的不断深入，大型综合性医院的垄断地位被逐渐打破。运行成本市场化和医疗服务价格政府主导使医院的盈利空间不断缩小。因此，现代化医院的管理必须从战略的高度，结合医院自身特点，积极引进先进的企业控制理论和方法，有效地进行内部控制和风险防范，才能更好地应对日趋激烈的医院市场竞争。

　　Steven J.Root在其《超越COSO：加强公司治理的内部控制》一书中这样描述：“内部控制像一个迷，是不断发展，变化的，超越了组织的合法边界，表现为政策、计划、程序、流程、系统、活动、职能、项目、创新、和组织所有层次上所有类型的努力。” 从内部控制理论的发展过程来看，现代医院中的内部控制已涉及到了医院管理的方方面面，呈现出多元化、纵深化的趋势。笔者认为，医院内部控制和风险防范是一项系统工程，这个系统工程应当在一个规范的组织体系(内部控制和风险管理责任中心)的领导下，由各部门对分工范围内的工作分段设计，然后对各部门分段设计的内部控制和风险防范责任制度进行合成。同时应注重各业务系统、部门之间的衔接、配合与制约。只有进行有效的合成，充分利用由内外部控制环境、风险管理和控制措施组成的管理策略，才能在实现经营目标和发展战略，保护资产安全完整，提高组织运营效率及效果的目标下，形成一套完善、系统的内部控制和风险防范体系。

　　(一)适应外部控制环境，改善内部控制环境

　　医院面临着法律和法规、职业道德准则、医疗机构之间的竞争等社会外部环境制约。因为较难对外部环境施加影响，为了使内部控制能有效运行，医院一定要建立一个内部控制系统来确认和满足医院的外部环境要求。而医院的内部控制环境是指那些可由管理者自身主观努力而设计和决定的影响因素。主要包括治理机构、组织机构设置与权责分配、企业文化、人力资源、内部审计机制、反舞弊机制等内容。

　　(二)风险管理

　　医院风险管理是一个做出并执行决策，从而使医院损失最小化的过程;同时也是经由识别、解决或缓解医院活动中现有和潜在的各种风险问题，来提供高品质健康服务的过程。根据美国医疗风险管理研究结果显示，医院如果能够掌握存在于医院各个环节的风险所在，那么风险的发生率会极大地下降。

　　因此，医院须及时识别、科学地分析影响医院战略和经营管理目标实现的各种不确定因素。一方面，尽力降低风险;另一方面，尽量提高内部控制水平。

　　(三)控制措施

　　医院应根据风险评估结果，结合风险应对策略采取确保医院内部控制目标得以实现的措施和手段。

　　1、职责分工控制措施

　　2、授权控制措施

　　3、审核批准措施

　　4、预算控制措施

　　5、财产保护控制措施

　　6、会计系统控制措施

　　7、内部报告控制措施

　　8、经济活动分析措施

　　9、绩效考核措施

　　10、信息技术控制措施

　　四、计划的执行、监督与控制

　　(一)信息沟通与执行控制

　　医院应及时、准确、完整地收集与经营管理相关的各类执行信息，并使这些信息以适当的方式在医院有关层级之间进行及时传递。除了沟通政策、计划和方法外，管理者还需利用相关、可靠和及时的信息来控制组织的行为。事实上，控制和信息是密不可分的，决策导向的信息受制于内部控制，没有完备的内部控制便不能保证信息的质量。也就是说，管理者需要利用信息来监督和控制组织行为。同时，决策信息系统特别是会计信息系统也依赖于内部控制系统来确保提供相关、可靠和及时的信息。否则，管理者的决策就有可能给医院造成不可弥补的损失。因此，医院内部控制系统必须与确保数据收集、处理和报告的正确性的控制相联系。

　　(二)监督与控制

　　医院为了实现经营方针和管理目标，保证其经营活动的效率性和效果性、促进维护资产安全完整和经济信息以及财务报告的可靠，必须充分利用外部和内部监督机制，对内部控制和风险防范体系的健全性、合理性和有效性进行评价、检查和监督。尤其是要注意建立关键控制点和设立补救措施。最后，形成书面报告并作出相应措施处理。

　　复旦大学附属中山医院近年来依据国家财经法律法规不断完善管理制度和监控流程，先后制订了《中山医院财务会计内部控制规定实施细则》、《内部审计工作制度》、《中山医院关于经济活动的规定》、《重大经济事项集体决策制度》和《重大经济事项决策责任追究制度》等管理制度和岗位责任制度，并为重要制度配设执行制度的操作流程。在建立制度和流程的同时，医院把管理重点放在对制度执行力的监督检查上，定期对医院重要经济管理部门和重要岗位进行突击检查。把检查结果与部门业绩评定、重要岗位轮岗和职工年终考核结合起来，形成严密的内部监督控制机制。

　　综上所述，医院的内部控制和风险管理是一项庞大的系统工程。医院应将近期利益与长远利益结合起来，在经营管理中努力做出符合战略要求、有利于提升可持续发展能力和创造长久价值的策略选择。使单位管理层及所有员工共同实施权责分明、制约有力的管理过程，从而形成一个涵盖了战略决策、制度执行、风险管理、责任追究等立体交叉、多角度的内部控制和风险防范体系。