公立醫院開展網絡支付業務內部控制研究：基于COSO整合框架的審視

駱陳城 李精鐘

摘 要：深化醫藥衛生體制改革，積極推進公立醫院網絡支付業務的發展，是保障和改善民生的重大舉措。近年來，公立醫院逐步加強對互聯網信息手段的應用，為患者提供更加便捷的支付結算服務，但這也對醫院的內部控制管理提出了更高的要求。以 COSO內部控制整合框架為理論基礎，從控制環境、風險評估、控制活動、信息與溝通、監督五要素的角度出發，分析公立醫院開展網絡支付業務三個維度的內控目標，并針對內控要素和關鍵環節提出風險管理策略，以期為醫院內部控制建設提供參考。

關鍵詞：公立醫院;網絡支付;COSO框架;內部控制

中圖分類號：R197.3? ? ? ? 文獻標志碼：A? ? ? 文章編號：1673-291X（2021）30-0046-03

隨著醫藥衛生體制改革的深入，以及“互聯網+醫療健康”模式的不斷發展和健康中國戰略的持續推進，公立醫院積極運用網絡信息技術，創新結算方式，優化付款流程，提升服務質量，推動人民群眾就醫體驗不斷升級。自2014年以來，以支付寶為代表的第三方支付廣泛應用于醫療服務行業，醫院網絡支付和智慧結算模式逐漸普及，但因醫院業務的特殊性和應用場景的復雜性，網絡支付仍面臨諸多風險和挑戰，對醫院的內部控制和財務管理提出了更高的要求。

一、COSO內部控制整合框架概述

在風險管理和內控理論研究領域，COSO（The Committee of Sponsoring Organizations of the Treadway Commission，美國反欺詐財務報告委員會）有著舉足輕重的位置，1992年COSO出版了《內部控制整合框架》（“Internal Control-Integrated Framework”），在全球范圍內被眾多國家相關組織采用和推廣，長期作為內部控制建設的藍本，值得公立醫院在進行網絡支付平臺賬戶資金安全、在途資金、網絡安全、操作技術風險控制時借鑒[1]。2013年，COSO對1992年發布的《內部控制整合框架》做出修訂，體現了二十年來運營環境的變化。

COSO內部控制整合框架提供了三個類型的目標，分別是運營目標、報告目標與合規目標，使得組織得以關注內部控制的不同方面;運用五個要素來評估內部控制系統有效性的要求，分別是控制環境、風險評估、控制活動、信息與控制、監督，五要素及相關的原則相互關聯協同發揮作用如圖1所示。COSO認為，內部控制涵蓋和應用于組織的各個層面，一個有效的內部控制體系可以將影響組織目標實現的風險降低到可接受的水平。每類目標的實現，都有賴于全部要素作用的發揮;而單個要素的作用是否充分發揮，也會影響到所有目標的實現。

二、COSO框架下網絡支付業務的內控目標

（一）運營目標

運營目標即保證運營的效果和效率。公立醫院把服務群眾作為根本的出發點和落腳點，旨在通過“互聯網+”模式，體現以人為本的理念，優化掛號付費流程，縮短等候時間，提供便捷的支付體驗，促進醫院資源的優化配置和改進，達到營運目標和績效目標，同時保障資金安全性。

（二）報告目標

報告目標主要包括內、外部的財務報告和非財務報告的可靠性、及時性和透明度。網絡支付業務下，合理的內部控制體系應當保證醫院的收費入賬及時、收入數據準確，提升會計核算質量，保證財務報表數據公允可靠，如實反映醫院的經營成果、現金流量和財務狀況。

（三）合規目標

公立醫院開展網絡支付應當遵守法律法規的要求。2015年中國人民銀行制定了《非銀行支付機構網絡支付業務管理辦法》（中國人民銀行公告〔2015〕第43號），規范非銀行支付機構網絡支付業務，防范支付風險，保護當事人合法權益;2018年4月25日，國務院辦公廳印發《關于促進“互聯網+醫療健康”發展的意見》（國辦發〔2018〕26號），就促進互聯網與醫療健康深度融合發展做出部署;2018年10月26日，國家衛生健康委網站發布了《關于印發公立醫院開展網絡支付業務指導意見的通知》（國衛辦財務發〔2018〕23號），要求構建科學規范的網絡支付管理運行機制，在開展網絡支付信息化系統建設時，應當完善信息系統管理制度和健全內部控制制度。

三、五要素下公立醫院開展網絡支付業務內控管理分析及對策

（一）控制環境

控制環境要素是建立有效內部控制流程的第一步，COSO認為，控制環境為內部控制的實施提供基礎，并對整體內控體系產生全面的影響。控制環境是相對宏觀的因素，一般包括治理結構、機構設置與權責分配、內部審計、人力資源管理、組織文化等。公立醫院應當落實主體責任，建立規范的管理結構，形成科學有效的職責分工和制衡機制;貫徹落實“三重一大”決策制度，保證決策的科學性、正確性。網絡支付業務流程環節繁多、技術要求較高，應當建立領導牽頭、統籌協調、責權明確、流程清晰、監控有效的工作機制。

網絡支付方式的應用和推廣，相較于傳統的現金和銀聯POS機刷卡結算，其支付模式和管理方法有了革命性轉變，應當對原有崗位和職責進行適當調整，加強業務培訓，確保相關崗位工作人員具備專業勝任能力，對關鍵崗位（退費、對賬）還應制定更高的任職條件和相應的考核評價標準[2]，以適應新形勢和新要求。

（二）風險評估

風險評估是動態和反復識別評估風險的過程，公立醫院應當及時識別、系統分析網絡支付業務開展過程中存在的風險和相應的風險承受度，以確定風險管理策略。

1.資金安全風險。根據現行法律法規，網絡支付平臺賬戶（支付寶、財付通賬戶等）所記錄的資金余額不同于醫院的銀行存款，不受《存款保險條例》保護，其實質為醫院委托第三方支付機構保管的、所有權歸屬于醫院的預付價值。該預付價值對應的貨幣資金雖然屬于醫院，但不是以醫院的名義存放在銀行，而是以第三方支付機構名義存放在銀行，并且由支付機構向銀行發起資金調撥指令。目前醫院與網絡支付平臺簽訂協議規定結算資金是 T+n日到賬，諸多結算支付方式下，資金到賬時間不一致[3]，增加了網絡支付業務的對賬難度，且繳費業務中的退號和退費業務存在時間差，單筆金額小、數量大，對賬實時性難以保證，加大了資金管理風險[4]。