试论医院内部控制制度审计的职能作用--基于风险管理视角下的分析
2013-12-30 15:08:19
摘要:风险管理是现代医院经营管理不可缺少的重要组成部分,而协助医院管理层实现组织管理目标也成为内部审计的首要目标。与此同时,内部控制制度审计作为医院内审的重要组成部分,其功能与作用也将发生重大变化。内部控制制度审计要在医院风险管理过程中不断完善、不断创新,才能发挥其在医院风险管理中的重要作用。
随着我国医疗卫生事业改革的不断深入,医疗卫生服务市场竞争日趋激烈,市场运行风险在不断加大。目前,风险管理已成为医院管理制度的重要模式,而有效的风险管理系统不仅包括组织机构风险管理程序和模型、管理对象,更重要的还应有相应的内部控制制度及机制作为基础保障和运作机制,这样才能充分发挥风险管理的监控作用。2004年9月,COSO委员正式发布了《企业风险管理—整体框架》(ERM),在ERM的中,明确指出了内部控制是企业风险管理不可分割的部分,指明了企业风险管理和内部控制的内在关系。本文基于风险管理视角,对内部控制制度审计(以下简称内控制度审计)在医院风险管理中的职能作用进行粗浅的探讨。
一、医院风险的特殊性与内控制度及审计存在的问题
(一)医院风险的特殊性
国际内部审计师协会对风险管理的定义指出,风险管理是一个识别、评估、管理和控制潜在事件或情况的过程,旨在为实现组织目标提供合理的保证。医院风险管理是医院通过对现有和潜在的医院风险进行分析识别、评价、管理和控制,采取措施减少医疗风险及损害,不断提高医院工作社会效益与经济效益的管理活动。
医院风险与一般企业风险不同,具有较大的特殊性。探讨医院风险管理模式和内部控制体系架构,首先必须对医院营运过程中风险的特殊性有一个全面的了解。
1.风险的多样性和多层次性。医院除了具有一般企业面临的经营风险、决策风险、财务风险、市场风险、诚信风险等以外,还会面临其特有的医疗风险、技术风险、声誉风险等,如医疗过程的复杂性、医疗技术创新过程中带来新的风险、医务人员对医学知识和技术掌握程度的差异、医务人员工作过度疲劳或紧张因素的客观存在、病人的行为因素等都是产生以上风险的因素。同时大量风险因素之间内在关系的错综复杂,与外界的交叉影响又使各种风险显示出了多层次性。
2.风险水平高、风险不确定及风险后果严重。由于医疗工作的复杂性、医院服务对象的特殊性等原因,使得医院面临的各类风险兼有风险水平高、风险复杂、风险不确定及风险后果严重的特性。如医疗风险贯穿于诊断,治疗,康复全过程,疾病本身严重性或变化速度、医疗检查诊疗引起并发症、仪器设备故障、医务人员缺乏责任心、违反诊疗常规等均可可引发医疗纠纷,导致医疗风险的发生。这也意味着医疗行业比其它行业面临更多、更大的运营风险。
3.风险控制环节多,建立风险控制系统难度大。一方面医院经营管理活动包括投资、融资、资金管理、设备采购、大型基建和利益分配等内容,涉及投资风险、筹资风险、合同风险等多种风险因素,另一方面日常业务还涉及到与百姓利益相关的收费退费、药品采购、职业道德等业务内容。由此导致医院风险控制环节增多,加大了建立医院风险控制系统的难度。
(二)目前内控制度及审计存在的主要问题
医院风险的特殊性对内控制度审计强化了内控制度审计的作用,也对医院内控制度及审计提出了特殊的要求。但目前我国医疗机构内部控制制度的建设和内控制度审计方面仍然存在诸多问题,主要表现在:
1、管理者不重视医院内部控制环境的改善,控制意识淡薄。目前,医院管理层只过度追逐经济效益的提高,忽视医院内部环境建设,少数高层管理者甚至参与违规违法的活动,组织文化缺失;员工素质不高、组织结构不合理等,导致医院内部环境各要素无法理顺、协调发展,造成了内部控制基础薄弱。
2. 医院内部控制制度建设不健全,重点环节内控制度不完善。大部分医院都制定了一系列内控制度,但普遍存在不系统、不全面、不配套,且各相关部门不衔接的状况。制度执行后也未及时进行跟踪检查,给审计工作带来诸多困难,难以实现预定的审计目标,并保证审计质量,规避审计风险。为了避免这些缺陷,审计人员则依赖增加审计内容来弥补,耗费了过多的人力和财力,加大了审计成本,降低了审计工作效率。
3.内部控制约束机制尚不健全,缺乏有效的执行力。目前医院基本上都建立了以"制度化"为核心的医疗、采购、基建、收费等业务流程,绩效考核机制也逐步得到落实和深化,各职能部门管理人员的业务素质提出了更高要求,但对中层管理人员和重要控制环节的员工工作行为的约束机制尚未达到健全,导致对各项业务的控制作用未能很好地体现,执行结果难以达到控制的预期目标。实际工作中,内控机制缺乏执行力,存在经济业务决策人员及经办人员不分离制约,重大事项决策和执行不分离制约,财产清查没有形成制度等问题。
4.内控制度审计重监督轻服务。内控制度审计在医院管理中担负着监督和服务职能,其服务职能包括咨询和评价职能。目前在医院日常工作中,往往过多地强调内控审计的检查、鉴证职能,对其服务职能的关注不够,使得医院内部控制评估体系不健全,导致对内控制度的执行效果和效率分析的缺失,以及医院内部控制制度不能依据自身情况和发展得到及时修改和完善。
5.内控制度审计评价缺乏具有权威性和可信度高的评价标准。内部控制审计就是通过评价标准对医院内部控制制度、管理制度,以及各种章程的合理性、完备性和有效性,找出其中的管理缺陷和控制弱点,防范因缺乏控制而产生的风险。医院经营环境复杂,内控审计涉及内部会计控制、建设工程项目内部控制、医用物资采购内部控制、药品使用流程内部控制、实物资产内部控制审计等多种环节,而目前相关评价指标和标准尚不完善。
6.内部控制评价机构欠缺独立性,制约了其作用的充分发挥。目前,有的医院在设立医院内审部门时,未充分考虑内审部门的相对独立性,把内审部门作为财务部门的下属机构,或与监察机构联合办公,这样直接影响了内部审计机构的独立性和权威性,使内部审计机构很难有效对内控进行评价,并且评价建议很难得到落实。医院内部审计独立性的缺乏是制约其发挥作用的重要因素。
二、风险管理下医院内部控制制度审计架构
传统的医院内控制度审计包括三方面的内容:①审查医院内部控制制度的建立情况;②监督医院内部控制制度的执行情况;③分析医院现有内部控制制度的充分性。但是随着医院风险管理模式的实施,医院内部控制制度目标也呈多元化趋势,要改变上述内部控制制度及审计中存在的问题,保证医院经营目标的实现,无疑需要建立一个不断完善的、适应风险管理模式的内部控制监督、评价体系。
按照COSO委员会的报告,风险管理下内部控制框架由控制环境、风险评估、控制活动、信息沟通、监督等方面构成,因此,笔者认为也由此形成内控制度审计的基本架构。
1. 控制环境审计
控制环境是指对建立、加强或削弱政策和程序效率发生影响的各种因素,是所有其他内部控制组成部分的基础,包括管理层的理念和经营风格,管理控制方法,诚信和道德价值观,人事政策与实际运作,组织结构(包括授权及建立适当的报告流程),权限及职责分配、改进内部控制政策及程序等要素。风险导向下的审计就是从控制环境入手,关注管理人员对内部控制的态度,认识和行为等控制环境,从而确定医院经营风险水平。此外,通过对医院经营活动产生重要影响的关键外部因素的变化的分析,协调医院与社会、员工、医患等之间的关系,为医院创造良好的长期发展环境,最终实现医院自身的可持续发展。
2.风险评估分析
风险评估的前提条件是确立组织目标,辅以具体的经营目标和计划,以针对目标建立风险防范机制、对风险进行评估决策。其次,识别与组织目标相关的经营风险、环境风险和财务风险等。再次,评估上述被识别风险的后果和可能性、重要程度,将这些风险因素与业务活动联系起来。运用风险评估审计确定审计重点,关注高风险领域,保障审计资源的合理分配,提高审计效率。
3.控制活动及程序评价
控制活动就是保证采取必要措施来管理风险,进行风险控制,以实现组织目标。这些措施包括所有层次和部门有关削弱风险的政策和程序,也包括如批准、授权、查证、核对、复核经营业绩、资产保护以及职责分工等一系列不同的活动。管理层制定突发事件和风险发生的各种预案,将风险的危害降到最低。
控制活动及程序评价目的在于:①检查控制程序设计是否符合相互牵制、协调配合、岗位匹配、成本效益、整体结构的设计原则;②检查内部控制制度是否遵循了适时性原则,是否随外部环境变化、业务职能调整和管理要求的提高不断修订和完善;③检查管理层是否依据内部控制法规,切合医院管理实际,制定突发事件和风险发生的各种预案,将风险的危害降到最低。
4.信息与沟通评价
医院风险管理必须建立有效沟通渠道和机制,使管理层能够及时获取员工的职责履行情况,并与客户、供应商、监管部门和其他外部单位保持及时有效沟通。信息与沟通审计就是检查管理信息系统控制流程是否合理有效,信息处理是否及时和适当、安全可靠,使财务信息、设备、档案的安全得到较好地控制。
5.监督评价
监督方式包括日常管理和监管行为,在具体操作中,由医院内部定期对各项内部控制制度进行评价,监督预决算执行和财务收支,评价重大经济活动的效益等,以获取其有效运行或存在缺陷的证据,并对发现的内部控制缺陷及时采取措施予以纠正。
三、内部控制制度审计在医院风险管理中的职能定位
内控制度审计是确保医院各项工作有效运行、防范和控制经营风险的重要屏障。COSO委员会在ERM中明确指出,内部审计人员通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告,并提出建议来帮助管理者、董事会或审计委员会,以咨询顾问的身份介入风险管理的过程。 可见,内部审计的主要职能在于咨询和评价(评估)两方面,由此,笔者认为,完全可以将这两大职能延伸至内部控制制度的审计中去。
(一)咨询职能
ERM中指出,内部审计以咨询顾问的身份介入风险管理的过程。内控制度审计的咨询功能表现在协助管理层设计风险管理流程,帮助医院管理层识别风险,并对识别的可能遇到的经营风险、环境风险、财务风险等对医院经营价值造成的影响以及风险发展的速度等作出分析,最终提出完善公司风险管理和内部控制的建议。咨询服务使审计部门得以与管理层就面临的风险及如何降低风险提供合理的咨询活动,包括人员、流程、技术、外部环境等方面,同时查找单位内部舞弊的动机和机会等,通过这些活动帮助医院管理层和决策层监督医院各项内部控制机制和监督程序的有效履行。在美国,决策咨询审计占审计机构工作量的90%以上,而查错纠弊审计则不足10%。
(二)评价职能
1.对医院风险管理下的内部控制制度的健全性、合理性评价
内控审计的评价作用从三方面入手:一是医院(包括部门、局部)内部控制系统是否健全,需控制的所有点是否有遗漏,控制系统中各环节是否保证了即相互联系,又相互制约;可以从人员的素质控制、组织控制、业务程序控制 、信息质量控制、资产保护控制、预算控制等主要方面进行评价。二是医院内控系统中各控制点的设置是否合理,其职能、责任划分是否恰当、清晰,包括:内控制度的协调性;内控制度的经济性;内控制度的灵活性。三是医院现有的内控制度除医院经营管理、医疗质量和风险防控等制度外,是否能够满足医院管理的需要,其经营活动的全过程是否都有内部控制程序和控制办法。
2.对医院风险管理下的内部控制制度的有效性评价
对内控制度有效性的评估也是对风险管理流程中制度控制的效果作出评估,它是内控制度评价的本质所在。首先,主要对医院日常运营活动是否按内控制度的规定和程序运行,运行效果如何,控制环境对整个内控制度有效性的影响等。。
其次,对风险管理部门和人员日常管理风险中的控制过程、控制责任和控制效果进行监督和评价,将考评结果作为风险管理部门和人员年度考核的奖罚依据,与绩效工资总量调控相结合,对调动员工参与医院内部控制的起到积极的作用。
3.评估风险对公司产生的影响效益
内部控制制度审计的目的在于保证组织的运营管理,最终实现组织目标。审计部门通过实施风险评估程序来了解被审计单位内部控制方面的具体运用,这一方面能够对影响医院经济和社会效益的风险因素做出合理评价,为决策者提供决策的量化依据;另一方面可以对医院已有风险管理措施的效能、可行性、耗资、以及文化和社会造成的不利影响做出全面的分析,向管理层揭示风险概率较大的关键控制点、提出改进建议,实现医院管理和效益的的自我改善、自我发展、自我积累。
4.对审计评价依据进行审计,从源头上保持审计依据的准确性。
审计评价是依据一定的标准开展的。在实践中,审计评价的依据除法律法规外,主要是医院决策层所制定的有关目标、原则和制度、方法等,如果评价确认依据本身存在瑕疵和漏洞,不仅不利于风险管控,而且可能起到风险的放大效应。因此,内控制度审计也应该加强对审计依据的评价,保证制度本身的正确性和完整性。
四、风险管理视角下发挥医院内部控制制度审计职能作用的对策
1.管理层要树立风险意识,改善内部控制环境因素
目前,医院管理者在任期内片面强调规模的扩大,就诊人次的增加和基本假设的投入,盲目追求规模和效益,缺乏风险意识,忽略医院效益快速增长时潜在风险的存在。要通过内部控制制度的审计,帮助管理层树立风险意识并用科学的技术和方法管理风险的意识。医院管理层要制定相关的发展目标,合理预测实现目标计划将会面临的风险,注重医院内部控制环境的改善,建立相应的风险控制机制,在提高医院绩效的同时,提升自身价值。
2.建立以内部控制评估为抓手的风险评估体系
医院内控的核心控制是对招投标、医疗设备、材料采购、质量控制及会计核算等环节的控制。这些环节的控制制度是否完善,直接影响医院服务质量、经营效果、同时也关系到医院廉政建设。风险管理下的内控制度审计要充分发挥其咨询和确认评价作用,从医院治理的角度推动医院风险管理机制的完善,帮助医院建立以内部控制评价为抓手的风险评估体系。由此增强医院内部控制对风险的防范功能,确保医院安全稳健经营。
3.探索围绕建立以风险为导向,基于持续发展理念的内部审计新体系
现阶段大中型医院仍然存在组织结构不全的状况,包括未设立风险管理部门,各环节也未形成相应的风险规避计划和措施,更无建立风险预案的决策与计划。内部控制制度审计在风险管理的模式下,更要探索兼顾风险管理、成本控制和发展持续性之间关系的内部审计新体系。
4.实现内部控制审计的转变
(1)实现内控制度审计主要职能的转变
由于人们对风险管理模式认识不足,造成风险管理责任模糊不清的情况。医院内审部门被赋予风险管理者的身份,使得内控制度的审计注重那些本应该由医院业务部门管理的工作,如各种财务标准执行情况、核算差错等具体操作性业务。而在风险管理下,内控制度审计关注的重点应该是各项制度及业务流程是否能够满足医院防范风险的需要,控制是否有效,是否能够保证各项业务在风险管理体系中正常运行。而只有实现内控制度审计职能转变才能有效发挥内控制度的作用。
(2)实现执行制度监督向完善制度监督转变。
制度建设是保障医院经营管理有效运行、实现其最终目标的根本。内控制度的审计一方面要结合医院管理要求对原有的各项业务流程和规章制度进行了修订,完善医院内部控制体系;另一方面要注重对内部审计确认依据的政策、制度、方法等进行审计,从源头保持审计依据的准确性。因此,内控制度审计不仅要监督制度的执行,还应该加强制度完善的监督,促使医院管理层不断完善内控制度体系,提高医院内部控制的有效性,降低了医院经营风险。
(3)实现由事后监督向事前和全程监督、被动监督向积极监督的转变。
对医院各项业务实行全方位、全过程管理,如对医院建设工程项目、医药物资的采购等从立项、预算执行、成本控制、款项支付、交付使用等,实施全过程跟踪,并由事后监督向事前和全过程监控,形成一套对风险的预警系统,以有效地控制、规避风险。
5.主持或协调医院内部控制自我评估工作,使内审人员成为推动医院改革发展的推手。
内控制度审计还要协助医院开展包括决策层内控制度、执行层内控制度、操作层内控制度的内部控制自我评价工作,从内部控制的健全性、适应性、成本效益性和一致性方面,找出内部控制的薄弱环节,提出改进措施,从而帮助企业完善内控制度,提高企业管理水平。
以风险为导向的医院内部控制制度审计,目前在我国尚处在探索的时间阶段,尚未形成规范、可操作的流程、标准、准则及其体系。随着医院风险管理的规范化发展,内部控制制度审计只有不断创新和完善,树立医院“风险可控性、治理有效性、发展持续性”的经营理念,才能为医院的发展和改革服务,在提升医院社会价值和经济价值过程中发挥重要的作用。
参考文献:
1、吴水澎.萨班斯法案COSO风险管理综合框架及其启示.《财会学习》.
2、黄为娥.内部控制理论的新发展及其对我国启示.厦门大学硕士学位论文.2006.
3、原小丽.建立健全医院内部控制制度的措施.中国论文联盟.http://www.lwlm.com
4、李传双,企业风险管理框架及其评价与启示.湖北经济学院学报(人文社会科学版)第2卷第7期.2005.7
