基于COSO风险管理框架下的公立医院内部控制体系研究

【摘要】医院内部控制是管理系统的重要组成部分，是加强医院管理的主要工具和手段。目前，随着审计和财务专项检查，发现有的医院财务管理制度不完善，医院内部控制制度不健全，监督管理失控，导致医疗事故、医患纠纷和贪污舞弊等现象时有发生，因此加强医院内部控制，提高内部控制风险管理水平，将风险防患于未然，对于增强医院核心竞争力，实现医院可持续性发展具有重要意义。

【关键词】COSO框架；内部控制；风险管理

医院内部控制是医院为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现和纠正错误与舞弊，并有效地进行监控而建立的对内部管理活动的检查和相互制约的机制。然而近几年频发的涉及医院会计违法违纪案件和医疗事故，严重制约着医院健康发展的同时，对我国卫生医疗行业也产生着巨大的负面性的影响。2004年，COSO委员会正式了COSO《企业风险管理——总体框架》，这是内部控制理论的一次重大变革，全面风险管理的理念被引入了内部控制框架之中。为了适应时展的要求，我国医疗行业也应该积极学习和借鉴这一全新的内部控制理论，重新构建以全面风险管理为核心的内部控制体系。

一、COSO《企业风险管理——总体框架》的内涵

COSO《企业风险管理——总体框架》，是在原有的COSO《内部控制——整体框架》内部控制五要素的框架体系上，通过引入风险管理的相关理论，最终发展延伸而来的。新的COSO框架主要体现了一个动态的过程，这个过程的主体是企业的公司治理机构和全体职工，范围是企业内的所有层次和机构，包括战略目标的设定，目的是帮助企业更好的识别、分析、控制各种风险事项，从而保证企业战略目标的完成。

二、COSO框架下医院内部控制的构成要素

基于医院的企业化管理，参照新的COSO框架，医院内部控制的要素也可以归纳为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、内部监督方面。（1）内部环境。内部环境规定了医院的纪律与组织架构，影响着经营管理目标的制定，塑造医院文化氛围并影响员工的控制意识，是医院建立与实施内部控制的基础。内部环境主要包括治理结构、机构设置及权责分配、人力资源政策、医院文化等。（2）目标制定。医院根据发展目标制定战略规划，明确医院发展的阶段性和发展程度，不仅要制定年度工作计划，编制全面预算，将年度目标分解、落实，还要做好发展战略的宣传工作，通过会议及教育培训等方式，将发展战略及其分解落实情况传递到医院各管理层和全体员工。只有完成了目标制定，医院才能根据设定的目标分析可能存在的各种风险，从而进行风险管理过程，以保证医院战略目标的顺利实现。（3）事项识别。事项识别要求医院及时的识别医疗活动中对医院战略目标存在影响的各种不确定的事项，这些不确定性事项有的对医院的发展具有积极的作用，这可能对于医院意味着机会；有的可能会对医院目标的实现产生消极的影响，这也可能就是医院面临的风险。因此，只有医院根据战略目标正确地进行事项识别，才能使医院趋利避害，更好地把握机会，规避风险。（4）风险评估。医院风险是指在医院管理活动或提供的医疗服务过程中，可能发生的结果与预期目标的差异。医院风险广泛存在，形式多样，风险预兆具有隐含性。医院内部存在的风险包括诊疗风险、服务风险、技术风险、财务风险、人员风险、信息系统风险；从医院外部看，有政策风险、环境风险、医保风险、舆论风险等等。风险评估要求医院科学的分析医疗活动中与实现战略目标相关的风险，并对这些风险的影响程度和范围进行合理的评估，确定风险应对策略。风险评估不仅是在事项识别之后进行的又一重要的风险管理步骤，也是实现内部控制的重要环节。（5）风险反应。医院在对所面临的各种风险的发生概率及严重程度做出准确地分析后，需要根据风险评估的结果做出不同的风险反应，具体的反应类型如图1所示。这几种风险反应方案表明了医院在进行风险管理时采取的不同方式，所谓规避，就是医院为了避免某一事件或业务产生的巨大不利影响，而选择回避或放弃的方式，不进行这一事件或业务。所谓减少，意味着医院采取了某些措施，以减少不利影响发生的概率或减轻所造成的后果。所谓共担，表明医院通过将风险转移到别处，或与第三者共同承担的方式，以减轻不利影响的发生概率及程度。所谓接受，就意味着风险事项所造成的不利影响的范围和程度，恰恰低于医院对风险的容忍程度，而不进行任何的风险管理。（6）控制活动。医院在为某项风险选定了风险反应方案后，就要根据风险反应方案进行具体的控制措施，将风险控制在可承受度之内，可以说这是医院风险管理过程得以实现的方式和手段，它将它贯穿于医院经营管理的各个方面。控制活动涉及所有层次的医院业务活动，通常表现为一系列完整和系统的控制制度和程序。常见的内控措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。（7）信息和沟通。信息和沟通可以帮助医院管理者、全体员工及时了解医院内部控制的执行效果，让医院管理者发现内部控制实施过程中的漏洞和缺陷，以便立即采取补救和完善措施。同时也可以使医院每个层次和部门的员工获得各自职责履行情况的信息，以促使他们更好地贯彻执行内部控制制度和程序。更确保有效地信息在医院内部、医院与外部之间进行有效沟通，是实施内部控制的重要条件。（8）内部监督。内部监督是医院对内部控制建立与实施情况监督检查，评价内部控制的有效性，对于发现的内部控制缺陷及时加以改进，是实施内部控制的重要保证。有效的内部监督可以改善医院内部控制体系，促进医院内部控制的健全性、合理性，提高医院内部控制施行的有效性。

图1 风险反应类别

三、当前医院内部控制体系存在的问题

（1）医院管理层对内部控制的认识不足。医院作为事业单位尚未建立健全有效的内部管理制度，许多医院管理层还没有充分认识到内控制度在医院生存、发展中的作用，没有形成较强的控制意识，内部控制制度设计不健全，相关内容也存在缺陷，甚至仅仅为了用来应付相关部门的检查。有的医院将加强内部控制制度与发展和效益对立起来，认为内部控制制度会制约医院增加效益。（2）内部控制机构组织设计不合理。很多医院在机构设置时依然沿袭以往的组织思路，使得管理层次过多，而机构职能重叠，工作效率低下。同时，过多的重视上下级的权利与义务关系，强调较低层次岗位对较高层次岗位的服从，而对横向的协调重视不够，导致同级岗位和各职能部门间缺乏必要的交流、信息沟通不畅、部门之间协调性差、管理层缺乏约束。（3）医院内部审计部门没有发挥自身作用。有一部分医院没有建立内部审计机构，即使有些已经建立内部审计机构的医院也未能充分发挥应有的作用，内部审计工作得不到应有的重视和支持，主要表现为：内部审计人员不认真履行内部审计职责和权限：不坚持内部审计准则和原则；不遵循内部审计基本程序；不能正确运用审计方法；不能如实、公正地编辑审计报告。（4）对资产、资金的安全性控制薄弱。从近年来审计、检查的情况来看，仍有少数医院对资产、资金安全管理上作重视不够，没有建立健全相应的内控制度，或对已有的制度没有很好地执行，致使医院在资产、资金管理方而出现问题和隐患，给医院造成一定的经济损失或债务危机。

四、COSO风险管理框架下医院内部控制体系的改进意见

（1）医院管理层要提高对内部控制制度的重视程度。在医疗改革步伐不断加快的背景下，医院应摆正经营业务发展与医院内部控制制度之间的关系。医院管理层作为内部控制制度的制订者和执行者，对医院的未来发展方向和经营管理起着举足轻重的作用，只有提高他们对内部控制制度的重视程度、强化内部管理意识，才能使内部控制制度发挥真正的作用。（2）保证医院内部组织机构科学合理设置。内部控制目标的实现很大程度上依赖于单位内部各管理部门的协调与配合，其核心就是实现各部门以及相关岗位之间的牵制和制衡。医院要结合业务特点和内部控制要求科学的设置内部机构，权责分配要合理，应建立院、科两级管理责任制，要有完整的规章制度和岗位职责，以使所采用的组织结构有利于提升管理效能，并保证信息的通畅流动。（3）合理快速的确定风险应对策略。医院应当在充分识别各种潜在风险因素的基础上，对不采取任何防范措施可能造成的损失程度即固有风险进行分析，同时应重点分析剩余风险（即采取了相应应对措施之后仍可能造成的损失程度），并在分析相关风险的可能性和影响程度的基础上，结合风险承受度权衡风险与收益，确定应有的风险应对策略。如建立科室风险基金，增强科室风险管理意识；建立为医务人员投保制度，在医疗保险制度改革不断深入的新形势下，实现风险分担策略；加强院内重点感染部门的监控，降低院内感染的概率等。（4）建立独立的内部审计机构，充分发挥其监督作用。在新形势下，医院内部审计机构应当加强其独立性和权威性，在医院最高管理层的直接领导下，对经济活动进行审核检查，对内部控制制度的功能和效果进行评价测试并提出改进意见和建议。医院各部门应自觉接受审计部门的审计监督，杜绝部门或相关人员对内部审计上作人为设置障碍而最终影响审计上作质量。除此之外，卫生、审计、财政等政府部门应加强对医院的外部监督，必要时，医院可聘请会计中介机构对医院内部控制进行审计。

综上所述，基于COSO风险管理框架下的内部控制是个系统体系，各方面的控制内容不是孤立运做，而是相辅相成的。按照内部控制的内容、方法去执行，就能保障医院的资产安全完整，有助于国家有关法律法规和医院内部规章制度的贯彻执行，促进医疗战略日标的实施，获得经济效益和社会效益，满足人民群众不断增长的医疗需求，达到医院可持续发展的要求。

参考文献

[1]王海锋．对萨班斯——奥克斯利法案及COSO框架下内控的思考[J]．合作经济与科技．2005（7）

[2]牛成喆．COSO框架下的内部控制[J]．经济科学出版社，2005（12）

[3]乐世斌．内部控制与风险管理[M]．厦门大学硕士论文．2004

[4]冉培红，雷燕，乔丽君，苏恒明．大中型医院内部控制制度[J]．企业导报．2009（6）

[5]张瑞康．医院内部控制现状浅析[J]．安徽医学．2009，30（2）：

205～206

[6]徐迅．医院内部控制执行力研究[J]．卫生经济研究．2008（11）：47～48