刘小丽 王敏
【摘 要】本文从公立医院内部控制建设与审计之间的区别和联系着手,对公立医院内部控制建设存在的核心问题及其成因进行了深入剖析,进而结合重要审计理念对公立医院内部控制建设提出了针对性的改进措施,以期对我国公立医院内部控制体系建设的优化发挥一定的促进作用。
【关键词】内部控制;内部审计;协同机制;审计内控化
2012年,财政部印发《行政事业单位内部控制规范》(财会〔2012〕21号,简称“《内控规范》”),标志行政事业单位内控建设有了纲领性规范;随后,2015年印发《关于全面推进行政事业单位内部控制建设的指导意见》(财会〔2015〕24号),要求国内各行政事业单位均应在2016年底前落实内部控制建立和实施。2021年初,国家卫健委联合国家中医药管理局印发《公立医院内部控制管理办法》(国卫财务发〔2020〕31号,简称“《内控管理办法》”),对公立医院内部控制建设提出了具体实施细则,为公立医院内部控制指出了具体要求。2018年,审计署印发《审计署关于内部审计工作的规定》(审计署令〔2018〕第11号,简称“内审规定”),明确审计部门是内部控制建设的监督主体,对内控体系的建设和完善发挥至关重要的作用。然而,近年来公立医院频繁曝出欺诈骗保、药品和耗材回扣案件、收费员侵占退费款、大型医疗设备投资论证不充分、招标采购违规暗箱操作、财政专项资金违规使用、重大经济合同履约监督不到位等违法违规事件,导致公立医院蒙受经济和声誉损失,既反映出公立医院内部控制仍存在缺陷和不足,也昭示着内部审计监督评价职能的缺位。
一、公立医院内部控制体系问题剖析
1.内部控制整体框架不全。
根据《内控规范》,行政事业单位内部控制整体框架主要包含四个方面,即风险评估和控制方法、单位层面内部控制、业务层面内部控制、评价与监督,根据《内控管理办法》,公立医院业务层面内部控制共包含12类具体业务。然而,公立医院内部控制建设中往往更关注业务层面,并未形成全面规范的内控框架。
2.内部控制建设组织架构不清。
根据《内控管理办法》,内部控制建设需要全院所有部门共同参与,是真正意义上的全员工程,其中,医院主要负责人是内控建设的首要责任人,院领导班子其他成员要分别抓好各自分管领域的内控建设工作,内部控制建设职能部门或牵头部门负责组织落实本单位内控建设,医务管理部门负责医疗业务相关的内控建设。内部各部门(含科室)是本部门内控建设和实施的责任主体,内审部门或其他牵头部门负责风险评估和内部控制评价,纪检监察部门则负责廉政风险防控。医院应构建自上而下、全面系统的内部控制建设组织架构。然而,事实上,大多数公立医院的内控建设是由财务部门牵头负责,各部门之间未能形成各负其责、通力合作的联动机制。
3.内部控制环境相对薄弱。
一方面,制衡机制的缺失带来较高的代理风险。党政分离在国内公立医院未完全落实到位,医院管理者的综合管理目标考核未落到实处,所有者、经营者和利益相关者之间的关系并未平衡,监督、决策和执行权并未完全明确,导致代理风险居高。另一方面,员工对内控重要性认识不足导致内控文化无法形成。无论是单位负责人层面还是医院基层工作人员层面,均对风险防范和控制监督知之甚少。
4.风险意识不强,评估机制缺失。
首先,公立医院通常风险防控意识不足,风险识别能力不强,风险控制制度不全。风险贯穿于公立医院经营的方方面面,不仅有来自法律、就医环境以及医疗技术等业务方面的风险,还有因为经济活动管理不佳引致的财务风险。但公立医院总体缺乏风险防控意识,对风险的识别能力不强,风险控制制度不全。其次,医院普遍未能建立完善的风险评估、执行和防范的措施,导致风险化解能力弱。
5.控制效果不佳,流程形同虚设。
一方面,授权审批沦为“签字盖章”,复核控制未落到实处。为体现分级授权,逐级审批的控制理念而设置的授权审批,在医院沦为“签字盖章”的代名词,各级审批人缺乏足够的责任心和必要的纠错能力,使得签字流于形式,无法真正发挥复核控制的作用。另一方面,预算控制不力,超预算“裸奔”难以完全避免,削弱预算刚性。以预算为例,业务科室包括职能科室对于事前审批的理解主要停留在“事儿能不能干”的层面,而对于“钱从哪里来”往往并不关注,进而导致无预算、超预算“裸奔”,严重削弱预算刚性。
6.信息沟通不畅,系统未互联互通。
我国大多数公立医院的信息系统功能仍有待开发,未能充分开发运用其管理职能。各类业务层面控制的信息系统未能实现系统间全面对接,互联互通效果不佳,导致信息与沟通不畅。
二、公立医院内部控制与审计的区别与联系
1.二者区别。
从概念上看,公立医院内控和审计主要区别如下:
首先,二者范围不同。内部控制管控的是单位主要经济活动,而内部审计范围包括经济活动、内部控制、风险管理及经济责任履行情况等方面,内部审计范畴更广。其次,二者方法论不同。内部控制是通过建立内控制度、实施内控措施和执行内控程序,从而实现控制风险的目标;而内部审计是通过实施独立、客观的监督,进一步作出评价和建议,从而实现促进单位完善治理的目标。最后,二者实施机构不同。内部控制工作是通常由财务科或专门的内部控制牵头部门牵头,但具体实施涉及单位上下各部门和人员,以体现制衡;内部审计工作则通常由内部审计机构独立实施,以确保独立和客观性。
2.二者联系。
首先,二者都是“一把手”工程。《内控规范》中明确,行政事业单位主要负责人对本单位内控建设和有效实施负责;而《内审规定》则提出内部审计机构应在单位主要负责人的直接领导下开展工作。其次,二者相辅相成,相互促进。内控设计和执行的有效性将影响内部审计工作开展的效率和效果,而内部审计的导向和结果往往也可以反过来引导内部控制的改善方向。最后,二者最终的目标一致。无论是内部控制还是内部审计,最终的目标都是为了提升医院的综合治理水平,促进医院稳定发展,提高社会公共服务的效率和效果。
三、内部控制与内部审计协同工作机制
1.内部审计职能的转变。
从《内审规定》看,内部审计职能发生了重大转变。一是内部审计职能范围的拓展:即新增了内部控制评价职能与风险管理职能,因此与内部控制联系更为紧密。
2.公立医院内控建设的破局之道——“审计内控化”。
新时代,为充分发挥审计的监督评价职能,助力公立医院内控体系建设,应实施“审计内控化”。所谓审计内控化,其核心理念就是在内部控制建设和执行中贯彻发挥内部审计部门的内部监督作用,通过检查内部管理制度和机制,提出服务建议。“审计内控化”要求医院以审计视角重新审视公立医院内部控制,将内部审计的监督评价与内部控制的风险防范职能相互融合,将传统的内部审计监督评价职能,转变为以完善医院治理,实现医院目标为导向的内部控制日常监督和评价管理机制,有效防范和控制风险,为医院经营创造良好的内部环境,从而维护公立医院的公益性,为医院经营创造良好的社会环境。
四、审计内控化的实施路径
1.将审计理念运用于内部控制建设。
(1)将审计重要性理念运用于确定内控建设的重点领域。
对医院而言,往往在重大项目立项环节、招标采购环节、药品及耗材使用环节、财政专项资金(含科研经费)使用环节、费用报销环节等重要业务环节容易存在内部控制流程不规范,从而存在较高风险。根据审计重要性理念,医院内部控制建设部门应当重点关注重要业务流程的重要环节,设置必要的控制点对风险予以管控。
(2)将风险导向及认定理念运用于确定内控风险评估机制。
公立医院需要重点关注的风险通常包含质量与安全风险、廉政风险、违纪违规风险、财务不规范的风险等。根据风险导向理念,医院应对单位层面内部控制和业务层面内部控制的各类风险进行识别、分析、评估,形成医院风险清单及内控风险评估机制,并运用于指导内控建设。例如,对于单位层面内控机制的建设情况,应重点评估医院议事决策机制、岗位责任制和内部监督机制等重点环节风险;对于预算业务内部控制建设情况,应重点评估预算编制是否合理、执行是否刚性、决算是否及时完整等风险。
(3)将审计风险模型运用于内部控制设计。
审计风险模型中,审计风险由固有风险、控制风险、检查风险构成。首先,固有风险无法消除。其次,通过合理的内控设计可以降低控制风险,医院通过制度、流程、表单的信息化建设,可以借助有效的内部控制措施降低控制风险。虽然内部控制制度不能完全防止或发现所有错弊,但通过完善单位内部控制体系,可以有效降低控制风险。最后,运用恰当的监督和评价方法可以降低检查风险。运用于内部控制设计环节,主要是对内控体系、措施、程序的设计。
(4)将审计独立性理念运用于不相容岗位分离。
审计独立性理念是指审计机构和审计人员不得从事会计出纳、基建、招采等工作,以避免影响其独立、客观履行审计职责。不相容岗位分离是从相互牵制的角度出发,某些不能由一人兼任,否则可能发生弄虚作假,且能掩盖舞弊行为的岗位。将审计独立性理念运用于内部控制建设领域,则体现为不相容岗位相分离,医院内部控制建设部门应当针对内部控制各环节,均应运用独立性理念进行重新审视和梳理,以落实不相容岗位相分离的控制要求。
(5)将舞弊“铁三角”理念运用于内部控制活动的设计。
舞弊“铁三角”包括动机、机会、压力。舞弊动机较难通过设计控制活动进行规避,但舞弊机会与压力因素可以通过设计恰当、有效的控制活动加以管控。医院内部控制应当从规避舞弊机会和提高舞弊压力角度降低舞弊风险因素,营造不能腐、不敢腐的内控环境。
首先,在规避舞弊机会方面,医院可采取如下措施予以控制,做到“不能腐”:一是提高控制频率,加大舞弊行为被发现的概率;二是提升控制执行人的专业胜任能力,加强监督评价力度;三是完善控制方法,多措并举综合防控;四是将控制措施进行标准化和程序化设置,避免业务信息失真,保障资金安全;五是充分运用信息化手段,降低人工控制比例,减少人为干预和腐败因素影响。
其次,医院通过将内部控制缺陷和内部审计发现与责任人绩效考核、职务晋升、职称评聘挂钩,增加舞弊失败的代价,提高舞弊压力,做到“不敢腐”。
2.将审计结果运用于内部控制建设。
(1)以审计结果作为内控建设的指导方向。
《内审规定》中关于审计结果应用的第十九条指出,审计结果应用于制定和完善相关管理制度,建立健全内部控制措施。在医疗体制改革新政下,系列举措陆续出台,使公立医院运营环境发生了显着变化,政策风险与经营风险并存。当前,内部审计则需充分发挥专业能力与技术特长开展绩效审计,加强咨询服务,助力建立完善医院内部控制机制,全面调动各方积极性,保障医院的可持续经营。
(2)构建审计内控协同监督评价机制。
在外部审计中,咨询服务被称为“增值服务”。医院应将内部控制制度的设计和执行审计纳入内部审计工作计划,形成完整的审计架构,指导内部控制优化,构建审计内控协同监督评价机制。
五、构建审计内控协同机制的建议
1.自上而下,营造良好内部控制环境。
医院应由主要负责人牵头,在全院上下强调内部控制和内部审计的重要性,宣传重视内部控制和内部审计的共同理念,营造良好的内部控制环境,从而为构建审计内控协同机制奠定文化基础。
2.完善人员配置,促进职能转化融合。
医院应配齐内部控制和内部审计专职工作人员,通过培训学习等途径,不断提升内部控制和审计专职工作人员的专业技能和综合素质,促进内部控制和内部审计职能转化融合,从而为构建审计内控协同机制奠定人员基础。
3.加强人员沟通,建立长效协作机制。
医院应建立内部审计和内部控制人员之间的沟通协作长效机制,促进审计理念和审计结果向内部控制完善的转化和应用;同时加强内部控制建设要求和理念在审计工作计划中的体现,从而为构建审计内控协同机制奠定体制机制基础。
4.促进信息系统联通,完善信息与沟通机制。
医院应构建内部控制和内部审计一体化的信息系统,实现内部审计和内部控制各流程信息互联互通,共同构筑统防统控、协同工作的机制,从而为构建审计内控协同机制奠定信息化基础。
5.高度重视内部控制审计,促进结果运用。
当前,国内公立医院对内部控制审计的重要性认识不足,而内部控制审计往往需要耗费大量人力和时间,对审计人员的专业胜任能力要求高,现实中,公立医院内部控制审计力度较弱。为实现审计内控协同机制,医院需转变观念,提高重视,合理规划,培养审计专才,开展全面、深入而又切合业务情况的内部控制审计,形成审计成果,指导医院完善内部控制体系。
········参考文献·····················
[1]曾洁.内部审计视角下行政事业单位内控建设的思考[J].当代会计,2018(7):59-60.
[2]陈莉.简述当前行政事业单位内部控制存在的问题及解决对策[J].财经界(学术版),2020,547(8):114-114.
[3]梁兵.加强行政事业单位内部控制体系建设与实施问题研究[J].经济研究导刊,2020(5):123-124.
[4]那玲.加强行政事业单位内部控制体系建设[J].财经界,2020(1):182-183.
(作者单位:深圳市龙岗区人民
医院、深圳市龙岗职业技术学校)
