公立医院内部控制体系建设实践探索
2016-10-24吴涛董圆李晓宇
吴涛+董圆+李晓宇
【摘要】内部控制体系建设是医院规范运营机制和防范风险的重要手段。建立高效的内部控制体系,不仅是政府对公立医院的监管要求,也是公立医院保证安全、稳定、高效地为公众提供医疗服务的基础。本文以实地调研为基础,总结分析了目前公立医院在内部控制体系建设中存在的问题,从实务角度提出公立医院内部控制体系构建整体思路,从管理职责与工作框架论述了公立医院内部控制建设中应重点关注的问题。
【关键词】公立医院 内部控制体系 风控 建设 问题 思考
一、引言
公立医院是我国医疗服务最主要的提供者,也是重要的行政事业单位。建立高效的内部控制体系,不仅是政府对公立医院的监管要求,也是公立医院保证安全、稳定、高效地为公众提供医疗服务的基础。自《行政事业单位内部控制规范(试行)》颁布以来,虽然众多公立医院已经着手开展内部控制体系建设工作,但取得的成效并不明显。为了解医院内部控制建设工作的开展及推进情况,2015年我们在Y医院的185名医护工作者或医院管理人员间开展了问卷调查,询问受访者所在医院内部控制体系的运转情况以及其对风险及内部控制的看法。基于调研结果,对该医院内部控制建设工作中重点问题及成因进行了分析,并总结了公立医院内部控制体系建设的思路。
二、公立医院内部控制实践探索——Y医院
在实证调查过程中,共发放问卷185份,回收问卷138份,回收率达到74.6%,其中有效问卷125份。本次调查全面覆盖了行政管理人员及医护人员。其中,行政条线受访对象中,一般员工90人,占有效样本的72%,中层以上干部为35人,占有效样本的28%;医护人员受访对象中,拥有临床职称共71人,占有效样本的56.8%。因此,无论是从被调查者职务属性还是从调研规模来看,本次调查结果对本研究主题具有较强典型性和代表性。
(一)内部控制建设及评价概况
在125份有效问卷中,仅40%的受访者认为所在医院已经开展并将持续实施内部控制建设和评价工作。对于内部控制体系的运行情况及运行效果,仅有26.4%的受访者认为内部控制体系已完全落地, 22.4%的受访者认为内部控制体系有效且能够满足单位管理层需要。从统计结果可以发现,公立医院内部控制建设工作的开展不尽如人意。一方面,内部控制建设工作尚未全面推进,也并未被全体员工所了解;另一方面,现有内部控制体系尚未落地并有效运行。见表(1)(2)。
(二)内部控制建设存在的主要问题
1.内部控制体系建设职责定位不清。
内部控制体系建设,是横向覆盖全业务,纵向覆盖全体员工的、长期的、持续性的工作。完整的内部控制管理组织架构应当包含三道防线。第一道防线包括日常业务运行过程中的一线业务处室及行政管理处室,主要负责内部控制体系的建设及执行;第二道防线由专门的风险与内部控制管理委员会及其下属的常设办事机构组成,负责全面领导和监督单位内部控制体系建设、持续运行、自我评价和持续完善工作;第三道防线由纪检监察、内部审计等部门担任,负责独立的监督和检查内部控制体系的运行情况。
从调查结果中发现,该医院的内部控制建设工作目前仍未形成体系化,未形成“三道防线”组织架构,员工对业务部门、风险管理部门及内部审计部门在内部控制体系建设中的定位不清晰。在“内部控制建设的责任部门(可多选)”项中,仅有32%的受访者认为,业务部门负有内部控制体系搭建的责任,而在“审计机构开展的主要工作”项中,仅有28.8%的受访者回答审计部门还负责内部控制评价工作。大多数受访者认为,内部控制建设工作应该是“某个部门”的工作,并且对内部审计部门在内部控制体系中的独立监督评价职能认识不清。相关业务部门对自己在内部控制建设工作中的职责和权利认识不清,必然导致参与程度不足、内部控制改进工作推进阻力大、部门间推诿情况的发生,降低了内部控制建设工作的效率及效果。见表(3)(4)。
2.内部控制工作基础流程与标准不清晰。
内部控制建设主要包括风险评估、制度管理、流程管理、监督评价。调查发现,在这四部分工作中存在如下问题。
(1)风险评估工作未能定期、有效开展。风险评估是内部控制建设工作的基础,只有在全面、清晰掌握单位所面临的风险,才有可能有的放矢地设计有效的内部控制,以保证目标的实现。《行政事业单位内部控制规范(试行)》中明确要求,行政事业单位每年需至少开展一次风险评估工作。
“医院是否定期开展风险评估”,见表(5)。27.2%的受访者表示医院定期开展风险评估,尚未开展和不知道的受访者超过45%,数据的离散程度极高。“是否对风险评估结果进行了积极应对”,见表(6)。仅24.8%的受访者认为,医院对主要风险已制定了应对措施并通过相关文件加以规范。
以上结果说明,该医院的风险评估工作并未定期、有效开展。对风险认知不足,必然导致内部控制建设工作缺少明确的方向,变成以建章立制为核心的“泛泛而谈”的工作,内部控制体系的作用和效果也无法显现。
(2)制度管理系统性不足。制度与流程是对管理要求的固化,是有形的内部控制建设成果。要建立系统、高效,并且能够有效运行的内部控制体系,完善的制度体系必不可少。Y医院运营至今,虽然建立了非常多的制度,但制度缺乏系统化管理。
从调查结果看,受访者对于目前医院制度建设的职责归属看法并不统一,仅20%的人员认为制度是由归口部门统一管理的,而超过60%的人员认为,制度是按需由各部门或工作组分别制定,另有19.2%的受访者表示尚不清楚制度建设职责的归属。数据表明,目前医院的制度建设还是各部门分头编制为主,制度建设的责任部门尚不明确。从医院内部管理制度体系完善程度来看,大部分受访者认为,医院的制度体系覆盖面较好。但约40%的受访者认为,医院目前的制度体系制度间协同性不高,存在不健全、效率低下的问题。见表(7)(8)。
各职能部门分头制定规章制度是公立医院乃至企业都普遍存在的情况。虽然这种管理方法貌似具有“灵活性”,但由于缺少制度管理部门对制度内容进行审阅,势必导致各制度规定对业务执行的规定及要求不一致,使得员工在执行相应业务时无所适从。另外,多数公立医院通常尚未建立制度的定期审阅、更新机制,致使制度文件不更新。业务执行人经常会遇到制度执行不下去的情况。缺少明确的执行标准,执行人只能报请领导批示。长此以往,制度严肃性逐渐丧失,变成“一纸文件”。业务处理过于依赖领导决策,使得内部控制无法发挥作用。
(3)流程设计有待完善。流程管理是内部控制体系的关键环节,只有根据风险合理设置相关控制活动,才能构建有效防范风险的业务流程。
为了解公立医院控制活动的建立情况,本文分别从不相容职责分离、授权审批制度、会计控制系统、财产日常管理制度和定期清查制度、预算管理制度、绩效考评制度、重大风险预警机制和突发事件应急处理机制的建立等核心领域进行了调查。统计结果显示,不相容职责分离的检查控制的执行情况明显弱于其他领域。见表(9)。
目前公立医院职能分配中,更多关注业务执行的便利,未重视业务流程中不同部门、不同岗位间的互相牵制,导致一项业务由一个部门甚至一人即可处理完成。职责未能做到有效分离,部门管理、职责分工、业务流程等相互制约和相互监督不够。由于缺少交叉复核和相互牵制,业务人员可能会利用职能便利,采取各种手段掩盖错误,从而导致发生错误、舞弊甚至腐败的可能性会增大。部门或人员又可能利用岗位职能与分工重合的便利,采取各种手段掩盖错误、舞弊和腐败。
在“最亟待规范的业务领域”中,41.6%的受访者选择了信息系统管理。通过进一步访谈,了解到虽然信息系统越来越多地在业务流程中使用,但医院对信息系统的管理仍不完善。实际业务中存在同一用户同时拥有供方主数据维护、库存收发、盘亏审核等多项不相容权限、收货数量可无限制超出订货数量、信息数据未定期备份等问题。
信息系统使用是双刃剑,一方面可以将业务流程固化在系统中,通过信息化手段,提高业务执行效果,还可以通过系统功能设置,减少或消除人为操纵因素,从而提升内部控制管理效果。但另一方面,医院系统中的信息极为敏感,如果在程序开发及变更管理、访问控制与信息安全管理、信息系统运维管理等方面管理不当,所造成内部控制方面的问题会通过系统放大,加重负面影响。
(4)监督评价机制有待提高。监督评价机制是促进内部控制体系持续有效运行的有力保障。通过对内部控制体系进行评价,可以发现组织内部现有业务中存在的问题并加以改进。对内部控制评价工作目的开展情况进行了调查,相关数据表明,医院的内部控制评价机制在以下方面还存在不足。
约13.6%的受访者认为,从未开展过内部控制评价,说明内控评价工作覆盖面不足,未对医院所有流程内部控制情况进行评价。见表(10)。
仅32.8%的受访者认为,评价工作定期开展,说明内部控制评价工作尚未建立定期评价机制,或者内部控制评价工作开展情况未被全体员工所认识。
仅25.6%的受访者认为是依靠自身内部团队完成,而内部控制评价工作也大都需要依赖外部机构完成,医院内部尚未建立起内部控制评价工作团队。见表(11)。
本文认为,公立医院内部监督机制建设问题,是由以下原因导致。一是监督评价相关工作标准不明确,业务部门、风险控制部门与内部审计部门不明确各自在监督评价机制中的工作职责,对于相应评价业务的评价方法及标准(如覆盖范围、评价频率、测试方法、抽样原则、缺陷认定等)也不明确。工作标准不清晰导致内部控制评价工作无法有效安排和开展。二是医院内部未建立内部控制评价团队。受人员及专业知识等因素的限制,公立医院的内部控制评价工作大都靠聘请外部机构专业人员完成。这种方法虽然短期看成本较低、收效较快;但从长期看,过于依赖外部机构可能导致内部控制评价无法持续开展,而外部人员由于对业务了解程度不足,可能导致无法发现内部控制体系运行中的关键问题。三是内部监督评价工作缺少激励。通过调查对象绩效考核指标,发现目前内部控制相关工作尚未纳入考核指标内。由于缺少约束与激励,势必导致内部控制工作形成“做与不做一个样,干多干少没区别”的风气,阻碍了公立医院内部控制水平的提升。
三、公立医院内部控制建设体系构建思路
内部控制体系的建设,是一个长期过程,不可一蹴而就。公立医院要构建内部控制体系的建设框架,完善管理机构及工作流程,保证内部控制建设工作的有效开展。
(一)完善管理机构,建立风控三道防线
内部控制建设是应由全员参与的持续性工作,各级管理层和职能部门应当明确其在医院内部控制体系建设和运行中的角色定位,并切实履行相应职责。从风险防范和应对的目标出发,完整的内部控制管理组织架构应当包含三道防线。
第一道防线应当包括日常业务运行过程中的一线业务部门及行政管理部门。就公立医院来说,业务部门一般包括所有临床医疗科室,行政支持和管理部门一般包括采购管理、后勤保障管理、基建管理、科研管理、人事管理、财务管理等相关职能部门,其主要职责包括基础风险信息的收集和评估、制度规则的起草与修订、执行内部控制、监督控制的执行情况、配合开展内部控制自评工作等。
第二道防线应当由专门的风险与内部控制管理委员会及其下属的常设办事机构组成。风险与内部控制管理委员会(以下简称风控委员会)作为单位风险与内部控制管理相关工作的最高权力机构,全面领导和监督单位内部控制体系建设、持续运行、自我评价和持续完善工作,同时应指定某职能部门作为其常设办公室,组织、管理和汇报内部控制相关工作。风险与内部控制管理委员会的常设办公室(以下简称风控办公室),应当选择能够全面掌握单位业务运行情况并履行一定监督职能的部门,如利用财务管理在单位业务中的特殊作用,使其同时承担风险与内部控制办公室的职能。
第三道防线应由纪检监察、内部审计等部门组成,通过开展独立的内部控制评价、专项审计及检查等,发挥监督和评价职能,发现内部控制体系中的薄弱环节并督促其改进,实现内部控制的闭环管理。纪委监察审计部门职责包括制定独立监督、评价管理办法、流程、工具,制定年度独立监督、评价工作计划,并在内部控制自我评价的基础上开展独立监督评价工作,并对整改情况进行跟踪监督。
(二)搭建内部控制工作框架,打造内部控制生态循环
内部控制体系建设工作,应遵循以风险为导向、制度为保障、流程为载体、评价为手段。根据这一思路,内部控制体系建设工作总体上可分为风险评估、制度管理、流程管理及评价管理等部分。公立医院应充分利用医院已经积累的管理基础与经验,在完善管理组织机构及职责的基础上,建立健全各项工作的基础流程与标准。其中制度与流程相关的标准属于内部控制执行标准,指导单位内部控制的日常运行,风险评估与监督评价相关的工作标准属于内部控制检查标准,指导单位如何对内部控制有效性开展持续动态的监控、检查和完善。四类工作紧密联合、相辅相成,构建自我行动、自我检查、自我完善、自我更新的内部控制生态循环。
1.风险评估。
根据《行政事业单位内部控制基本规范》要求,医院每年至少应组织开展一次风险评估工作。评估期间应与本院经营目标的设定期间相一致,通常为一个自然年度。医院内部的风控部门需建立统一的风险分类标准,制定规范的重大风险评估方法、程序与应对措施,明确风险考核标准和责任追究机制,促使风险管理工作落地和控制措施有效执行。在风险评估过程中,相关业务部门应充分参与到风险信息收集、风险评估以及风险应对策略制定中来,确保风险评估范围的完整性和风险应对策略的可行性。
2.制度管理。
为提升制度建设的效率效果,企业内部控制建设的成功经验是由某个部门牵头,负责制度的管理,包括指定制度管理规则,明确制度的格式内容要求,设计制度的编制、审核、发布、更新流程,并定期对制度体系运行情况进行检查等。公立医院可以借鉴企业制度建设经验,根据自身管理特色,设计制度管理架构。
在制度的内容方面,应遵循全面性、标准化、专业化和适应性原则。首先,制度应涵盖所有重要业务流程;其次,制度规定应清晰明确,包括责任部门及岗位职责、执行标准、执行频率,涉及文档及系统,做到“四定”,提高制度的可操作性。再次,制度流程设计过程中,应特别注意建立流程之间的接口,明确流程对接过程中的职责划分,避免出现职能重叠或规定冲突,提高业务流转的效率。最后,制度内容应当符合国家有关规定和医院的实际情况,并随着外部环境的变化、内部业务活动的调整和管理要求的提高,不断修订和完善。
3.流程管理。
公立医院在开展流程管理工作时,应根据风险评估结果,建立覆盖全业务的流程框架,并以此为基础对各个业务流程的控制点进行梳理,发现内部控制体系中的控制弱点并加以改进。在控制活动设计过程中,除了确保物流、信息流、资金流的匹配外,需特别关注以下问题。
(1)厘清职责界限,确保不相容职责分离。责是应当担负的责任,是职务上对应承担的义务。权是个人职责范围内的支配力量,是国家行政体制与行业业务运行中所赋予特定人(单位)的支配力量。利是利益,利益有物质的和精神的。不论是事业单位还是企业,整体管理水平的提升,必须依赖于组织内各人员、部门间权、责、利的清晰界定。三者相辅相成、相互作用,才能充分调动员工的积极性。在权责利的设置过程中,应该建立以责为中心的管理系统,以责定权,以责定利,做到责权相称和责利相称,并通过制度固化下来,便于执行。在流程设计中,应特别关注不相容职责分离,设计不相容职责检查表,定期对不相容职责分离进行检查。
(2)强化信息化手段在内部控制流程中的应用。公立医院在信息系统的引入过程中,应关注系统在“反映、控制、监督”方面的问题。
一是反映。信息系统应将业务详实、准确地记录下来,并将数据转化为支持管理经营、内部监督、对外报送需要的报告。要实现这一目标,一方面需要建立数据标准化,实现各业务系统与财务系统间的数据共享,这样才能提升数据的利用效率,从而为满足各项管理需求提供充分的数据支持;另一方面,应注重系统功能的进一步提升,尽可能实现业务办理数字化,提升管理效率。
二是控制。借助信息系统固化控制节点和控制规则,从而对业务活动的全过程进行实时控制,确保达到预定目标。系统的控制管理首先要在业务逻辑中,根据制度要求及授权审批体系,设计相应的审批环节,借助系统功能,最大化提升内部控制效率。此外,要特别关注系统账号权限的分配,权限的分配必须遵循不相容职责分离原则,从而强化内部牵制作用,防止错误和舞弊事项的发生。
三是监督。通过系统固化在线监督策略,对业务执行情况进行实时监督,并进行预警,从而更好地防范业务存在的风险。如可以通过在系统中对特殊药品的使用设置预警值,当累积使用量超过预警值时,系统自动向医务监管人员发送预警提示,从而在事前规避药品不当使用的风险。
4.监督评价。
强有力的监督机制是高效组织的保障。相对而言,授权文件等通常只是管理的规则要求,各部门是否去落实,还需要监督机制发挥效能促进实现。为促进内部控制体系的建立和完善,公立医院应通过设置科学、完整、规范的绩效考核指标体系,对医院内部各责任主体的内部控制执行情况进行定期考核和客观评价。考评体系的设计,应从各岗位的工作职责出发,通过设计定性和定量相结合的指标体系,对工作执行的效率及效果均进行评价。此外,评价结果应与个人利益直接挂钩,对员工产生约束力,监督机制才能发挥实效。纪委监察部门一方面应利用其独立性,充分发挥“第三道防线”的作用,对关键风险进行更有效的监控;另一方面也可以充分利用内部监控体系成果,更好地发现业务中存在的问题,并及时加以改进。
参考文献
[1] 张文贤,孙琳.内部控制会计制度设计:理论·实务·案例[M].上海:立信会计出版社,2004.
[2] 张文贤,高建兵.高级财务会计[M].北京:首都经济贸易大学出版社,2003.
[3] 张文贤.会计制度设计案例[M].上海:立信会计出版社,2001.
[4] 冯雁,杨兴宇.基于COSO风险管理框架下的公立医院内部控制体系研究[J].企业导报,2012(9).
[5] 梁志强.公立医院文化软约束与内部控制[J].前沿,2012(18).
[6] 郑大喜.基于财务风险导向的公立医院内部控制框架研究[J].中国卫生经济,2012(2).
