基于風險管理的醫院內部控制體系構建研究

■/ 王海燕

一、基于風險管理框架構建內控體系的理論基礎

2004 年9 月，COSO 發布了全新的企業內控框架——《企業風險管理框架》（ERM）。該框架的主要思想是：企業應實施全面風險管理，將企業的所有人員、所有業務流程都納入風險管理體系之中，并將風險管理工作貫穿于企業運營的始終。不難看出，該框架已經將內控管理提升至了全面風險管理。同時，COSO 基于該框架將企業目標分成了四大類，將風險管理要素分成了八大類，也參見ERM體系框架。ERM框架是基于企業戰略目標建立的，同時將其它經營性目標作為輔助基礎。ERM 框架認為，企業進行的風險管理工作應該以戰略目標為導向的，通過細化、分解、落實戰略目標，監控目標執行過程中存在的風險，并采取有效的應對措施。至于風險的管理過程，則可以概括為：確定風險管理目標；識別風險；評估風險；應對風險四個步驟。

隨著世界經濟融合程度的提高，當前醫院所處的環境可以說是風云變幻，因此，其面對的風險也較之過去更加復雜、更加多樣。醫院只有做好運營過程中各類風險的管理工作，才能保證運營目標的實現，進而實現戰略目標。從本質上考慮的話，內控也正是醫院管理與控制風險的一種機制。因此，醫院基于風險管理思想構建內控體系，可以說是大勢所趨。醫院應認識到：第一，基于ERM 框架構建的內控體系與傳統意義上的風險管理本質上是一樣的，它們都是幫助醫院管理與控制風險的手段；第二，基于ERM框架構建的內控體系與傳統意義上的風險管理都提倡可以將醫院作為控制對象，由醫院高層統籌規劃風險管理工作，同時承擔主要的風險管理責任，各職能部門負責完成醫院高層下達的風險管理任務；第三，基于ERM 框架構建的內控體系與傳統意義上的風險管理都作用于醫院運營的全過程，控制對象是醫院的所有業務流程與經營環節。基于此，作者認為基于ERM框架構建醫院的內控體系不但符合現代醫院的管理要求，還能顯著提升內控效率，是很好的選擇。

二、基于風險管理框架構建醫院內控體系的具體措施

（一）強化管理者的風險管理意識

既然我們構建的基于風險管理框架的內控體系，那么很顯然構建的重心是內控體系，研究的重點自然也就是內控了，只不過在構建的過程中將風險管理的思想巧妙融合進去而已。由于我國對醫院內控的研究與應用較之發達國家晚了很多，因此，當前很多醫院的管理者還沒有建立起濃厚的風險管理意識，所以，必須強化他們的風險管理意識。醫院運營過程中，管理者通常只關心市場份額、資金流向、應收賬款等方面的風險，雖然這些風險的影響的確很大，但是其它風險的影響也不容小覷，醫院管理者應認識到：運營過程中的各類風險都有可能對醫院造成致命的打擊，就算暫時看來是很小、很微不足道的風險，如果不進行有效控制的話，也有可能發展成為令醫院面臨重大風險。強化了管理者的風險管理意識之后，他們就會在管理的時候將風險管理思想融入其中，并體現在內控活動里。

（二）完善內控環境建設

1.優化組織結構設置。①醫院應組建單獨的審計委員會，由其全權負責內控管理，在設置組織結構的時候，應設置獨立部門，以提升對其管理與決策的監督力度；②結合自身的運營情況組建風險管理部門，由該部門負責風險管理工作，并按照審計委員會提出的要求執行內控措施。

2.制定科學的發展戰略。隨著醫院不斷發展，醫院規模越來越大，通常醫院在規模壯大之后，就會希望進行多元化醫療服務，雖然這種想法的出發點是好的，但實際操作的過程中作者建議醫院根據自身實際情況堅持做好特色醫療服務。

3.明確權責分配。醫院應結合自身的運營實際明確限定所有部門、所有崗位的權責，讓每名職工都清楚自己擁有的工作權限與承擔的工作責任，從而為他們提供明確的工作指引。

4.完善內部審計。首先，醫院的管理者必須認識到內審的重要性，內審是對內控體系運行的最有效監督手段；其次，醫院必須保證內審工作的獨立性與客觀性，只有這樣才能真正了解當前內控管理的真實情況與存在的問題；最后，醫院應注意提升內審人員的綜合素質，不但要提升他們的專業知識水平，還要注意提升他們的職業道德水平，以保證內審結果的有效性。

（三）完善對業務流程的內控

醫院運營過程中涉及的業務流程非常多，而且每個業務流程又包括很多業務環節，牽涉的部門與崗位很多，所以設計科學合理、簡潔高效的業務流程對醫院來說至關重要。具體控制的時候，醫院應做到：第一，按照業務目標設計業務流程，同時處理好流程之間各環節的銜接機制；第二，按照業務目標評估流程中可能存在風險的環節；第三，以可能產生的風險為切入點，制定針對性的風險應對措施。

我們以采購目標來評估采購流程中可能存在的風險。實際上，醫院的服務質量是醫院的生命線，所以采購的時候不但要選擇性價比高的物品，還要保證物品的質量達到醫療服務的要求。采購流程中的主要風險就是采購的物品是否滿足臨床醫療服務質量與數量要求，所以，在制定采購計劃的時候必須在數量上量入為出，在質量上遴選好的供應商，履行授權管審批之后，方可進行采購。

供應商遴選非常重要。醫院選擇的供應商質素如何，直接決定著采購的物品質素如何，因此，必須做好供應商選擇環節的風險控制工作。作者建議醫院應做好以下幾項工作：第一，實行供應商綜合評分制度，根據供應商的資信、聲譽等材料為其打分，評價與其合作的經濟與效率性；第二，和供應商簽訂的合同中，明確規定采購物品的數量、規格與質量要求，并注明如果存在未達標項，供應商必須賠償醫院的損失。對那些多次存在未達標項的供應商，應該終止與其合作；第三，建立供應商數據庫，詳細記錄合作供應商的各方面信息，并選擇信譽良好、合作關系穩定的供應商作為戰略合作伙伴。

確定采購價格。醫院應在物品滿足質量要求的前提下，盡量爭取低價購買，作者建議醫院結合物品當前的市場價格設置一個心理采購價，并以其作為與供應商進行價格談判的目標。

訂立合同。醫院在與供應商談妥了采購具體事項之后，就需要與其簽訂采購合同，在合同中明確規定雙方的權利與義務，一旦供應商出現違約行為則按照合同的約定向其索賠。

管理供應過程。醫院應做好供應管理環節的風險控制工作，具體做到：第一，對每個采購合同進行及時跟蹤，了解供應商的供貨方案以及物品購進情況；第二，了解供應商的供貨流程以及檢驗標準；第三，選擇合適的運輸方式。

驗收。在收到供應商發送的物品之后，醫院應做好對這些物品的驗收工作，除了核對其與采購訂單是否一致之外，還要檢查供應商出具的檢驗報告與質量合格證；并對物品進行抽樣檢驗。檢驗合格之后可以將物品入庫，如果檢驗之后發現物品存在問題，則應拒收，并及時與供應商聯系后續處理事宜。

（四）完善信息傳輸機制

結合醫院的業務特點，作者認為醫院可以從以下幾方面完善信息傳輸機制：

1.做好信息收集工作。信息既包括醫院內部的信息，也包括外部市場中的信息，不管是哪種類型的信息，對醫院來說都是至關重要的。收集內部信息的過程中，首先，醫院需要以自身的戰略目標為立足點，以運營過程中的業務流程為指引，收集各類運營信息；其次，應分解并細化戰略目標，并將其逐層落實至內控責任中心，責任中心再將目標具體落實到具體崗位上；最后，建立內部信息反饋機制，保證各項業務信息都能及時反饋至相關部門與崗位，從而為后續業務操作指明方向。收集外部信息的過程中，醫院要注意市場競爭信息、行業發展狀況信息、行業政策變動信息，并根據這些信息評估當前運營過程中可能存在的風險，以便及時采取有效的風險應對措施。另外，醫院還應該加強與行業協會、市場調研機構等之間的信息交流，以便第一時間了解當前行業環境的變動情況，從而調整經營策略。當然，收集外部信息是需要支付一定代價的，醫院應衡量好信息取得成本與收益之間的關系，如果信息取得成本已經超過了收益，那么該信息對醫院實際上并沒有幫助作用，應放棄對這些信息的收集。

2.構建順暢的信息傳輸通道。這里需要注意的是內部信息與外部信息的傳輸過程有所不同。內部信息的傳輸主要有三種方式：由上至下傳遞、由下至上傳遞、水平傳遞。其中，由上至下的信息傳遞尤為重要，醫院應注意以下兩方面：首先，多元化信息傳遞形式，從而保證信息能夠在保持原有面貌的條件下傳遞至基層職工，讓他們明白內控管理過程中的相關注意事項；其次，保證信息傳輸效率，因為信息往往具有很強的時效性，傳輸效率過低很有可能在基層職工得到信息時，信息已經失效了。外部信息傳輸則是醫院與供應商、行業內其它醫院以及政府相關部門之間的信息傳輸，傳輸過程中應注意保持信息的完整性，避免因為信息在傳輸過程中有所遺漏或者誤解，而導致醫院做出錯誤的決策。

（五）完善內控評價機制

內部控制評價是在遵循全面、重要、客觀的原則下對控制的有效性進行評價，是內控形成閉環的重要環節。主要評價內容為：第一，內控的具體執行情況；第二，內控人員是否實現了下達的內控目標。第三，內控是否實現了穩定長效的控制效果；

當然，我們對內控體系進行評價的原因除了想要了解其運行效率之外，更重要的是想要找出當前內控體系中存在的問題，然后不斷改進，迭代，使體系更加健全。因此，對內控體系建設，也應遵循PDCA 循環，如發現內控問題是因為人為因素導致的，那么就要責令相關責任人改進工作方式與方法；發現內控問題是因為內控體系本身的設計缺陷導致的，那么就需要對內控體系進行相應的改造。對內控體系進行改造之后，跟蹤改造后內控體系的運行是否有所改善，如有則表明改造有效；如沒有，就需要查找原因繼續改造，直至改造有效為止。同時，編制內控缺陷改造報告，詳細記錄改造內控體系缺陷的過程與收效。

內控是保證醫院運營合法合規、資產安全、提升運營效率和效果、促進醫院實現發展戰略的有力工具。生存、發展、風險管理是醫院穩步前進的三角架，三者在制衡中又相互促進，作為風險管理的一部分，內部控制的也是為了進行風險管理。因此，醫院應認真開展內控體系建設并不斷完善，以達到提升自身的綜合競爭實力、實現發展戰略。