1、 西飞医院内部控制手册一、总则(一)编制目的从完善组织治理和推进标准化管理两个层面来考虑,编制内部控制手册,为中航工业西飞工业(集团)有限责任公司的分支机构西安一四一医院(以下简称“医院”)优化流程管控、推进标准化管理提供依据,也为医院开展内部控制工作提供可遵循的标准,同时有效满足医院要求。概括而言,手册编制旨在实现以下目标:1.建立健全内部控制管理体系。结合内部控制工作要求,完善医院制度流程管理体系,建立具有医院自身特色的内部控制体系,提高医院经营效率和效果,为合规经营、资产安全和信息真实提供合理保证。2.固化形成内部控制工作机制。通过明确医院内部控制的目标原则、职责分工,制定一套规范化的工
2、作流程,提出标准化的业务流程控制要求,配合开展内部控制信息系统建设,并持续培育良好的风险管理文化,以加强内部控制工作,为医院管理规范化和决策科学化提供参照和支持。3.规范加强内部控制评价工作。通过规范内部控制评价工作程序和标准,确保评价结果的客观性和可比性;积极利用评价结果确定医院管理改进、审计、监察等监督工作的重点,以提高制度执行力,促进风险预控、过程控制和事后惩戒相结合,全面提升医院管理水平和风险管控能力。(二)编制原则1.方法性与实用性相结合本手册编制既参考了国际与国内内部控制理论和国内外大型企业的内部控制实践,又立足于医院自身的战略目标和管理特点,力求与现有的管控模式及管理实际相衔接,
3、充分考虑内控工作的可行性与可操作性。手册内容涵盖内部控制体系建设基本要素和工作环节,对医院开展内控工作提出一套完整的方法论和指导原则;同时制定了具体的操作指引和标准化的工作模板,为医院内控日常工作提供依据。2.风险预控与业务管理相结合本手册编制贯彻以风险为导向的内部控制理念,将内部控制的工作要求落实到业务活动及流程标准化管理中,明确管理界面、权限规范及关键控制点,提出细化到岗位的控制要求,引导各级责任主体在业务执行上符合医院管控要求。3.满足外部监管与提升内部管理相结合本手册编制以满足国资委以及财政部对内部控制规范的监管要求为出发点,从内部控制角度提出开展经营管理活动应遵循的控制要求,以期建立
4、具有“强支撑、短流程、高授权、大监督”特点的管理机制,有效提升经营效率和效果的协调性。(三)编制依据为确保医院内部控制体系建设的合规化及标准化,本手册编制在遵循医院内部控制相关规定的基础上,同时参考了目前国际国内通行的内部控制标准,其编制依据如下:1.医院及医院相关制度;2.中航飞机股份有限公司相关制度、中国航空工业集团公司内部控制应用指引3.目前国际国内通行的内部控制法规及相关标准,主要包括:企业内部控制基本规范(财政部等五部委颁布,财会20087号)、企业内部控制应用指引(财政部等五部委颁布,财会20104号)、COSO-ERM企业风险管理整合框架(2004版)。(四)内部控制体系框架1.
5、内部环境。内部环境是实施内部控制的基础,一般包括组织架构、发展战略、人力资源、内部审计、医院文化、社会责任等。2.风险评估。风险评估是及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。3.控制活动。控制活动是根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。4.信息与沟通。信息与沟通是及时、准确地收集、传递与内部控制相关的信息,确保信息在组织内部、医院与外部之间进行有效沟通。5.内部监督。内部监督是对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。(五)内部控制组织结构与权责医院建立健全了包括由决策层、管
6、理层、执行层、监督部门组成的内部控制管理架构,明确了各层级的管理职责。1.管理委员会 (1)负责内部控制管理工作,主要负责:(2)审议医院内控管理制度;(3)审议医院内控管理体系建设规划、整体框架;(4)审议医院业务流程架构;(5)审议管理层内部控制评估报告;(6)审议内控管理组织机构设置及其职责方案;(7)办理医院授权的有关内控管理的其他事项。2.经管科经管科是内部控制管理工作的办事机构,主要负责内控体系建设、运行、维护的组织及日常监督工作,负责对内部控制体系运行状况实施过程监督和专项审计,经管科每年至少组织实施一次内部控制专项审计。主要职责如下:(1)根据国家有关法律、法规及相关规定,负责
7、组织制定内控管理制度;(2)负责编制内控管理体系建设规划、体系框架,并组织实施;(3)负责组织风险评估工作,确定重大风险,建立风险数据库;(4)负责组织和协调业务流程管理相关工作;(5)负责组织风险控制设计及实施;(6)负责内控管理体系日常维护;(7)负责协调外部内控检查和审计;(8)负责拟定医院年度内部控制评估报告,并上报至管理委员会;(9)负责内控管理业务培训。3.其他管理部门及各科室(1)负责组织本部门员工学习并实施医院内控管理规范;(2)负责本部门业务流程描述与优化;(3)组织本部门风险控制措施的设计及实施;(4)组织本部门内控管理规范的日常监督检查;(5)人力资源室负责将内控管理纳入
8、绩效考核指标体系。(六)手册执行与更新本手册作为医院开展具体工作的准则和指南,具有约束性。一经发布,医院及各级员工应遵照手册要求执行相关工作要求,规范开展内控工作,定期组织内控评价,积极利用评价成果,有效组织整改落实,持续提升医院管理水平。随着医院不断发展,外部经营环境和内部风险现状也会不断发生变化,医院内部的管控模式、组织架构、业务管控活动和工作流程应随之动态调整;同时,随着内部控制经验的不断积累和信息化水平的提升,医院应适时改进和完善本手册的具体内容。经管科作为本手册管理与维护的归口部门,原则上根据年度内部控制实际情况,每年开展一次评估,并根据需要进行更新。更新资料主要来源于:管理委员会、
9、管理层及各部门对内控的要求及建议、医院各部门的管理实践、年度内控评价结果。持续修订、完善和更新后的内部控制手册作为医院沉淀优秀管理经验,创新标准化管理和实现管理样板性目标的重要工具之一,经审批后正式生效。(七)手册颁布与生效本手册于二一五年五月颁布,自颁布之日起生二、内部环境内部环境是医院建立与实施内部控制的基础,主要包括组织架构、发展战略、人力资源政策、内部审计、医院文化、反舞弊、信息系统管理和社会责任等内容。(一)组织架构1.控制目标医院应当按照国家有关法律法规、医院章程相关要求,结合本医院实际,明确医院内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。具体包括:(1)
10、应建立合理的内部管理组织机构;(2)应根据运营目标、运营职能和监管要求,明确界定各管理部门和岗位的权力和责任分配体系。2.管控措施(1)明晰职责权限1)医院设院长1名,依据医院章程,院长授权行使以下职权:主持医院的发展、经营管理工作,组织实施管委会决议;组织拟定医院年度工作计划、固定资产投资(修理)计划和新业务新技术的研发计划;组织拟定医院年度财务预算、年度财务决算;组织拟定医院内部管理机构的设置方案;组织拟定医院基本管理制度;组织制定医院的具体规章;向管委会提请聘任或解聘医院副院长及管理人员;决定聘任或者解聘除应由管委会聘任或解聘以外的管理人员;对医院经营活动中发生的重大事项及时向管委会报告
11、;管委会授予的其他职权。 2)领导班子成员,对院长负责,并在职责范围内或根据院长授权处理相关工作和签发有关业务文件。(2)合理设置组织机构医院组织结构图如下图2-1所示。医院办公室经 管 科总 务 科网络中心保卫室总务室洗涤中心人力资源室会计室收费室医保办西飞医院图 2-1 医院组织结构图医院将结合内外部环境变化,定期对现行组织机构及其运行状况进行综合分析,予以优化调整,确保组织机构设置的合理性。(3)有效分配职责权限医院已制定并发布各部门职责条例管理文件及各部门各类人员岗位说明书等内部管理制度,但目前医院内部环境有所变化,故应将发布的职责条例、制度、岗位说明书等内容进行更新与修改,对各部门职
12、责权限进行合理分解和有效配置,避免部门职责模糊、重叠或空白地带,确保权责对等、不相容职责相分离。 (二)发展战略1.控制目标 发展战略是医院在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的中长期发展目标与战略规划。建立科学、完善的战略制定、战略实施以及战略调整的内部控制体系,为医院找准市场定位、明确发展方向、实现发展战略提供坚实保障。2.管控措施(1)职责权限1)管理委员会A审议决定医院战略规划;B.审议决定医院年度财务预算、年度财务决算;C.审议决定医院年度工作计划和年度固定资产投资(修理)计划;D.审议决定医院内部管理机构的设置,报公司人力资源处备案;E.提议聘任或解聘医
13、院副院长及高级管理人员;F.审议决定聘任或解聘医院管委会秘书;G.审议决定医院薪酬分配方案;H.审议批准医院内部基本管理制度;I.医院及管理办法规定的其他职权。2)院长医院院长行使下列职权:A.主持医院的发展、经营管理工作,组织实施管委会决议;B.组织拟定医院年度工作计划、固定资产投资(修理)计划和新业务新技术的研发计划;C.组织拟定医院年度财务预算、年度财务决算;D.组织拟定医院内部管理机构的设置方案;E.组织拟定医院基本管理制度;F.组织制定医院的具体规章;G.向管委会提请聘任或解聘医院副院长及管理人员;H.决定聘任或者解聘除应由管委会聘任或解聘以外的管理人员;I.管委会授予的其他职权。3
14、)其他职能部门A.为战略环境分析提供相关信息;B.为战略风险分析框架提供相关建议;C.按照分工分解战略目标,协调或具体执行计划;(2)控制措施1)战略制定医院依照相关制度的要求和程序,对医院的战略目标、战略规划与业务计划进行制定和调整,并组织战略的具体实施和后续评估工作。医院主要依据市场发展趋势预测,综合分析内外部因素对发展战略的影响,组织各方面的专家对战略规划草案进行评审与修改,经医院管理委员会研究决定后,提交至医院。3)战略实施医院通过组织有关部门制定年度经营计划、编制全面预算等方式,将医院战略分解到医院各部门,并纳入年度绩效考核。通过培养与战略匹配的医院文化,保证战略得以有效的贯彻实施。
15、 (三)人力资源1.控制目标医院应重视人力资源管理,建立科学的人力资源政策,规范人力资源管理机制,加强人力资源激励与约束机制,以充分调动整体团队的积极性、主动性和创造性,全面提升医院的核心竞争力。 2.管控措施医院聘用的职工与西飞集团签订劳动合同,与医院签订岗位合同。医院使用的劳务派遣工,与派遣机构签订劳动合同,与医院签订岗位合同,并执行西飞集团医院使用劳务派遣工暂行管理办法。医院院长、副院长、院长助理的岗位合同与管委会主任签订,其他员工的岗位合同与医院院长签订。新招大学生和专业人才由医院提出招聘计划,管委会批准后,报公司人力资源部审核,由公司人力资源部统一组织招聘。其他职能部门配合医院人力资
16、源室做好人员的培训和管理工作;协助人力资源室拟定年度人力资源计划。(四)内部审计1.控制目标通过对医院日常经营管理工作的再监督,强化内部管理控制,对业务管理活动做出客观、公正的审计结论和意见,及时发现问题纠正错误,堵塞管理漏洞,减少损失,保护资产的安全与完整,提高会计资料的真实、可靠性。 2.管控措施(1)职责权限1)管理委员会2)审批内部审计制度、年度内部审计计划,审核年度内部审计工作报告;3)决定聘用或解聘承办审计业务的会计师事务所,并决定其报酬;4)审批医院经营者经济责任审计结果、重大投资项目和财务开支的专项审计结果。(2)经管科1)负责制定医院内部审计规章制度,编制医院内部审计工作计划
17、并组织实施及考核;2)负责组织和管理医院内部审计工作;3)负责管理医院财务收支审计、经济效益审计和内部控制制度评价工作,根据需要开展专项审计工作; 4)负责医院主要负责人的经济责任审计工作;5)负责检查审计意见执行落实情况,督促被审计部门整改;6)负责指导医院的内部审计工作;7)配合上级机关对医院的审计和检查;8)负责内部审计工作信息统计工作。3)其他职能部门医院各职能机构应当积极配合内部审计工作。(1)管控措施1)建立规范的内部审计工作管理制度。医院按照上级有关规定,制定和完善内部审计工作制度,编制内部审计工作计划,定期向医院主要领导和上级内部审计机构提交内部审计工作报告。 院办负责医院系统
18、内部审计报告的收集、归类、整理、保管、报送和反馈,并提出年度内部审计报告的重点和要求。 医院内部审计包括经济责任审计、经济效益审计、管理审计、工程立项审计、工程预算审计、在建工程跟踪审计、工程竣工决算审计、财务决算审计、财务收支审计、内部控制与风险管理审计、专项审计调查等。2)建立健全业务管理过程的内部审计机制。通过开展重点建设项目过程跟踪审计工作,制定相关工作制度和实施办法,将审计关口前移,对重点项目进行跟踪审计,随时发现问题随时纠正,避免因事后审计,对造成的损失和存在的问题无法弥补或纠正。通过开展跟踪审计,加强对建设项目从立项、施工、监理、合同、招投标、投资、质量、工期、安全等各方面的动态
19、管理。3)加强审计整改意见的落实监督,切实保障审计整改的工作实效。医院对所有审计项目建立跟踪台账,对审计发现的问题要求各部门明确责任人员,限期整改。院办定期将下发的审计意见汇总、整理、归类和分析,会同相关职能部门,采取审计联席会议的方式,共同研究审计报告中发现的问题,分析产生的原因,针对性地制定措施。 (五)医院文化1.控制目标加强风险防范意识和法制观念,医院管理层应该以身作则追求较高的诚信与道德标准,并规范员工的行为,全力营造良好的组织文化。具体内容包括:(1)文化建设。医院要培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作情神,树立现代管理理念。(2)风险意识。
20、包括医院在介入新业务前,应经过仔细的风险和收益分析后再采取行动;是应积极介入风险特别高的业务。 (3)法制建设。医院应加强法制教育,增强高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督。 (4)管理层应该在言谈和行动的方式中表现出对道德标准一丝不苟的遵循,并向员工传达诚信与道德标准,以保证道德标准必须不折不扣地执行,具体包括:1)道德标准是全面的,针对利益冲突、非法或其他不当付款、反不正当竞争准则、内幕交易。2)医院对道德标准进行有效地宣传推广。3)员工知晓什么行为是可接受的,什么是不可以接受的,以及当遇到不当行为时应该采取的行动。2.管控措施 以西飞理念和西飞纲领为指引,秉承医
21、院发展战略,在医院全面实施文化管理,以文化启迪思想、把握方向,逐步完善、纵深管理的有效机制,使广大干部对医院的发展目标、管理思路、管理办法在认同、领悟的基础上,不断渗透到各部门、各班组,使医院全体员工统一思想、统一认识,并付诸于行动,落实到具体工作中,用文化创造价值。整合价值观念,创建学习型组织。提高管理绩效,履行社会责任。 (六)社会责任1.控制目标医院在经营发展过程中注重履行社会责任,在日常管控中严格落实安全生产责任制,着力提升安全生产意识,保障员工安全生产;建立质量管理体系,强化质量过程管理,提升质量信誉;加强环境保护与资源节约,营造良好的生态文明和社会文明;促进就业,保障员工权益,提高
22、员工责任心和工作积极性;遵循法律法规,诚信开展经营业务活动,履行应尽义务。通过将社会责任融入医院经营管理之中,不断提高医院治理水平和可持续发展能力,提升医院社会责任竞争力,创建良好的医院形象。2.管控措施医院根据国家有关安全生产的规定,并结合医院实际情况,建立了严格的安全事故应急预案,落实日常安全监督,采用多种形式增强员工安全意识,重视生产岗位安全培训,对于特殊岗位实行资格认证制度,同时强化安全生产责任追究制度,切实做到安全生产。三、风险评估风险评估指医院为了实现发展目标,按照特定规范和标准要求,评估影响医院目标实现的各种不确定因素,并采取应对策略的过程。风险评估是内部控制的重要环节,主要包括
23、目标设定、风险辨识评估、重大风险应对、风险管理监督与改进。(一)风险框架结构1风险框架介绍遵循中国航空工业集团公司内部控制应用指引的风险分类方法,公司风险框架分三级,分别是一级风险、二级风险与三级风险。(1)一级风险分为战略类、运营类、财务类、人力资源类、质量类、市场类、外部环境类、对外投资类、保密安全类、法律类和廉洁类共11个类别。1)战略类风险:主要指医院所处的战略环境变化或战略管理过程中的不确定因素,对医院造成影响的风险,包括宏观环境变化、相关政策调整、行业周期性影响等系统性风险,以及在战略研究、制定、执行、调整过程中策略、程序和执行问题等。2)经营类风险:主要指医院在经营过程中,由于外
24、部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性,而导致的运营失败或使经营活动达不到预期的目标的可能性及其损失。包括研发设计、基建技改、采购、生产销售等。3)财务类风险:主要指医院财务结构不合理、融资不当使医院可能丧失偿债能力而导致预期收益下降和陷入财务困境甚至破产的风险。包括预算管理、融资、资金管理、税收管理、资产管理、会计核算、财务报告、保险等环节的管理程序、管理策略或执行中的问题等。4)人力资源类风险:主要指由于人力资源引进、退出或者激励机制不合理,造成人力资源缺乏或过剩、结构不合理、开发机制不健全、关键岗位人才流失、经营效率低下或关键技术泄密。5)质量风险:主要指服务质
25、量低劣,侵害消费者利益,可能导致医院巨额赔偿、产生严重社会影响、形象受损甚至关闭。6)市场类风险:主要指市场环境因素变化,对医院造成影响的风险,包括服务需求变化,市场竞争状况、服务/服务价格波动等。7)外部环境类风险:主要指医院宏观外部环境变化造成的对医院战略目标实现的不确定性,主要包括:国家政策风险、国际政治风险、宏观经济风险、自然环境风险等。8)对外投资类风险:主要指对外投资项目未经科学、严密的评估和论证或未经适当审批或超越授权审批或对外投资项目缺乏有效的管理,导致决策失误或投资收益受损。主要包括投资立项风险、投资管控风险及投资退出风险。9)保密安全类风险:主要指医院保密安全措施不到位,造
26、成医院知识产权秘密泄露或安全事故,给医院财产或声誉造成损失。10)法律类风险:法律风险是指医院在运营过程中因自身经营行为的不规范或者外部法律环境发生重大变化而造成的不利法律后果的可能性,以及因违反法律或监管要求而受到制裁、遭受经济损失以及因未能遵守所有适用法律、法规、行为准则或相关标准而给医院信誉带来的损失的可能性。11)廉洁类风险:主要指由于医院人员个人行为规范或职业操守问题,故意违反法律法规、医院规章制度或职业规范的风险。(2)二级风险是一级风险的细化,主要根据风险在不同业务类别或流程上的分布划分,具体划分如下表所示:1)在战略类风险下设置了战略制定风险和战略实施风险两项二级风险;2)在经
27、营类风险下设置了研发设计风险、基建技改风险、采购风险、经营风险、技术风险、服务风险、安全风险、审计风险、信息化风险、综合事务风险、医院文化风险、新闻舆论风险等十二项二级风险;3)在财务类风险下设置了资金管理风险、信用风险、预算风险、成本控制风险、汇利率风险、资产管理风险、担保风险、财务信息风险、债务风险、税务风险等十项二级风险;4)在人力资源类风险下设置了人力资源规划风险、人才引进风险、岗位设置风险、人才激励与考核风险、教育培训风险、人力资源退出风险、人力资源日常管理风险等七项二级风险;5)在质量类风险下设置了质量体系风险、服务质量风险、质量检测风险等三项二级风险;6)在市场类风险下设置了需求
28、波动风险、供给波动风险、竞争风险等三项二级风险;7)在外部环境类风险下设置国家政策风险、国际政治风险、宏观经济风险、自然环境风险等四项二级风险;8)在对外投资类风险下设置投资立项风险、投资管控风险、投资退出风险等三项二级风险;9)在保密安全类风险下设置了保密风险、安全风险、节能环保风险等三项二级风险;10)在法律类风险下设置合规风险、合同管理风险、诉讼风险、知识产权风险等四类二级风险;11)在廉洁类风险下设置了廉洁风险等二级风险。(3)三级风险是对二级风险的进一步细化。结合公司实际业务特点,分别在二级风险分类框架下定义了研发规划风险、技术研发风险、技术执行风险等共18项三级风险。2.医院风险结
29、构图根据医院的目标体系和业务特点,目前的风险结构包括风险类别和风险事件。风险分类结构如下图3-1所示。风险分类结构根据所处发展阶段、业务结构、管控模式以及风险特点变化,进行动态调整。西飞医院风险分类框架图3-1 风险分类结构(二)目标设定风险是不确定因素对医院目标的影响。目标设定是风险辨识、风险评估和风险应对的前提。开展风险管理与内部控制工作,需综合考虑医院的战略、经营、报告、合规等多种目标。战略目标反映了医院的使命与愿景。经营目标与医院经营的效果和效率相关,包括业绩和利润性目标,这类目标与医院结构和经营业务的选择相关,需要反映医院运营所处的特定的经营、行业和经济环境。报告目标与报告可靠性相关
30、,包括内部与外部报告。合规目标涉及医院必须遵守的法律法规,主要取决于外部因素,某些情况下所有医院的此类目标都基本相似,但在另一些情况下,医院也面临一些特殊的行业性的合规目标。医院通过有效的风险管理与内部控制工作,制定相关制度与流程,确保战略、经营等目标与医院使命相协调,并根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况及时进行风险评估。(三)风险辨识1.信息收集根据医院风险分类结构,医院应持续关注并收集与医院风险和风险管理相关的各类信息,通过对初始信息进行必要的筛选、对比、统计分析,总结提炼现有及潜在的内外部风险,为风险识别和评估提供依据和基础。(1)收集方法风险信息收集是风险管理
31、的常规性工作,也应体现在战略研究、投资分析、项目评价、市场决策等重要经营管理活动中。医院可通过实地调研、问卷调查、专题研讨、专家访谈、日常经营管理数据分析等方式,或利用外部信息渠道、借助外部力量定期开展信息收集。(2)收集要点结合风险框架分类结构,进行战略、财务、运营、市场、法律等各类信息收集的要点如下所述:1)战略类信息医院收集战略方面信息,应关注并收集下列各项基本数据及内外部相关案例:经济政策以及经济运行情况、本行业状况、国家产业政策;行业竞争形势、主要竞争对手及战略合作伙伴的情况;医院、医院战略规划、经营计划及重大投资的执行情况、经验总结及问题分析;2)财务类信息医院收集财务方面信息,应
32、关注并收集下列各项基本数据及内外部相关案例:国内会计准则、医院会计准则;合规要求;医院的财务结构、资本成本、偿债能力、现金流及投资收益情况;成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节;环保费用、政策优惠费用;同行或其他因财务风险导致医院危机的案例。3)运营类信息医院收集运营方面信息,应关注并收集下列各项基本数据及内外部相关案例:医院组织效能、管理现状、组织文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验; 质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节;因医院内、外部人员的道德风险致使医院遭受损失或业务控制系统失灵;对现有业务流
33、程和信息系统操作运行情况的监管、运行评价及持续改进能力;医院风险管理的现状和能力。4)市场类信息医院收集市场方面信息,应关注并收集下列各项基本数据及内外部相关案例:产业链上下游供需关系变化及对医院的影响;5)法律类信息医院收集合规方面信息,应关注并收集下列各项基本数据及内外部相关案例:与医院相关的政治、政策和法律环境,包括对其现状的分析和变化及影响的分析; 影响医院的新法律法规和政策;医院签订的重要合同和协议的订立、执行情况;医院发生的重大法律纠纷、重大诉讼案件;同行业内其他医院发生的重大纠纷和诉讼案件;医院内部人员道德操守的遵从性。2.风险识别依据风险信息收集情况,医院应及时识别各业务板块、
34、各项重要经营活动及重要业务流程中对业务和管理目标有影响的风险事件,形成风险事件库,为风险评估提供基础资料。(1)识别思路结合医院既定战略目标、经营目标、报告目标和合规目标,医院各部门运用不同的识别方法,查找自身业务活动或工作流程中涉及的风险事件,并对产生原因、可能给医院带来的影响进行分析,最终形成医院整体层面的风险事件库。在进行风险识别时,医院应关注以下事项:1)准确识别内部和外部风险:对商业、政治、社会、法律等外部因素和管理、财务、安全环保等内部因素予以综合考虑,准确识别医院内部风险和外部风险。2)关注历史数据和未来预测:一方面,医院应关注历史数据,对本医院和行业常见的风险和过去发生的历史事
35、件进行整理、分析和总结,为防范和减少风险事件反复提供依据;另一方面,医院也应关注对未来风险的预测,提前预防,跟踪其发展趋势。 3)区分纯粹风险和机会风险:医院应明确区分纯粹风险和机会风险,对纯粹风险加以应对和控制,对机会风险应当充分把握和利用。 (2)识别方法风险识别常用的方法和工具包括:问卷调查法、研讨会法、流程图法、情景分析法、风险结构分解法、PEST分析法等。1)问卷调查法:问卷调查法是用来记录和整理数据的常用工具。医院通过确定辨识范围、下发风险辨识问卷,广泛收集、识别医院各层面及业务开展中所存在的风险;也可将医院可能发生的风险列于一个表上,供识别人员进行核对确认。2)研讨会:研讨会是风
36、险管理中比较常见的有效工具。把跨部门、不同级别的管理人员召集到一起,对风险事件识别进行讨论;头脑风暴是研讨会的一种形式。3)访谈:访谈是对领导、专家、相关管理人员等进行面对面或者电话交流,了解其对风险相关问题的看法、建议等。4)流程图法:流程图法通过对流程的分析,帮助发现和识别风险所处的具体环节以及各环节之间存在的风险、风险动因和影响。5)情景分析法:情景分析法通过有关描述、数字、图表和曲线等,对未来的某个状态或某种情况进行详细地描绘和分析,从而识别引起风险的关键因素及其影响程度。6)风险结构分解法:风险结构分解法将风险按照其内在结构进行逐层分解,形成结构示意图,把各级风险的地位与构成直观地表
37、示出来易于检查和管理风险事件。7) PEST分析法:PEST分析法是调查组织外部影响因素的方法,其每一个字母代表一个因素,可以分为政治因素(Political)、经济因素(Economic)、社会因素(Social)、技术因素(Technological)四大因素,从这四个因素出发分析医院所面临的外部风险状况。(3)识别结果医院对识别出的风险事件进行系统性整理、筛选、归纳和整合,建立风险事件库,总结历史经验、教训,反映目前面临的主要风险,有效提升风险预控和应对能力。各部门应当在医院的统一政策和方法论指导下建立风险事件库,保持医院系统内风险事件库的统一协调,避免重复工作,实现医院系统内风险事件库
38、的共享。(四)风险分析医院应结合风险识别情况,依据风险复杂程度和重要性选择适当的分析技术和方法,按照风险发生的可能性及影响程度进行分析、评价和排序,从而确定医院当前的重大风险,为医院高层的风险管理决策提供依据信息。 1.定性分析 定性分析是对风险事件的各项定性描述的属性信息进行整理和分析,包括动因分析、影响分析、责任岗位分析、风险与内部控制对照分析、KPI分析等。(1)动因分析:分析风险发生的深层次动因,确定风险产生的关键性驱动因素,从而从根源上控制风险,提高风险管理效率和水平。(2)责任岗位分析:明确风险的控制和监督等的责任归属,提高风险管理的整体效率,为完善岗位考核体系提供信息依据。(3)
39、风险与内部控制对照分析:将风险与管控风险的内部控制活动进行对应,明确医院面临的风险、主导责任部门、相关制度流程,从而将风险管理融入日常工作,实现风险管理和内部控制的结合。(4) KPI分析:分析某一风险事件影响到的各项绩效考核指标,为未来确定各个风险的监控指标、达到风险预警和监控的目的提供信息依据。2.定量分析定量分析是对风险的各项定量描述的属性信息进行整理和分析,包括风险影响程度分析、发生可能性分析、风险水平分析等。(1)风险事件影响程度:指该风险会对医院经营目标所产生影响的大小。医院根据自身实际情况,设置不同的影响维度;根据对不同维度的影响程度,又可分为5个等级,分别赋予1分至5分,表示影
40、响程度依次加强。(2)风险发生的可能性:指在医院目前的管理水平下,风险事件发生概率的大小或者发生的频繁程度。风险事件发生的可能性分为 5个等级,分别赋予 1 分至 5分,表示可能性逐渐增加。(3)风险水平:指风险事件的影响程度与发生可能性的乘积,通过风险水平的大小可以对所有风险进行总体分析,判断各个风险的重要性特征。(五)风险评价医院应根据风险分析结果,结合医院自身的风险偏好和风险承受度,对各风险进行排序,确定重大风险、重要风险以及一般风险。对于评价出的重大风险,应将其作为当年风险管理工作的重点。1.风险偏好与风险承受度风险偏好是指医院在承担风险的种类、影响程度限额等方面的基本态度,是管理层、
41、员工等利益相关者期望和要求的集中体现,反映了风险与收益的平衡。风险偏好要解决的是“医院愿意承担什么风险”的问题,是医院在实现其战略目标的过程中愿意接受风险的描述。风险承受度是指医院愿意承担的风险限度,也是风险偏好的边界,它清楚表达风险偏好的内涵。风险承受度一般通过具体指标来体现或衡量。医院应综合考虑自身业务目标、管理能力和资源条件,正确认识和把握风险与收益的平衡,确定风险偏好和风险承受度,并据此确定风险的预警线及相应采取的对策。(六)重大风险应对医院应在风险评估的基础上,结合风险偏好和风险承受度,针对评价出的重大风险选择风险管理策略,制定应对措施和解决方案,并通过风险监控与报告,确保风险管理策
42、略和应对的有效实施。 1.风险管理策略医院应针对不同风险特点,结合自身风险偏好和风险承受度,研究确定风险管理策略。风险管理策略主要包括以下几种:(1)风险承受:医院对自身发展所必须承担的相关风险,在权衡收益和成本之后,准备依靠内部自身资源不采取降低风险的控制措施来实现抵御风险的各项措施。(2)风险规避:医院对超过自身风险承受能力的风险,采用放弃或者停止与该风险相关业务活动以减轻和避免损失的方法。(3)风险分担:医院对于可以外部力量来转移或分担的相关风险,采用业务外包、购买保险等方式,使风险能够控制在医院可以承受范围之内。(4)风险降低:医院通过综合采取战略、运营、财务等各项旨在减少和控制风险发
43、生可能性和影响程度的各种方法。医院应结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险管理策略。2.风险应对措施和解决方案医院应根据风险管理策略,针对每一项重大风险,从战略和运营、制度和流程、人员和组织架构、技术与数据、绩效监督以及风险理财等方面入手,梳理现有解决方案,制定风险管理应对方案。医院院办根据评估出的重大风险,确定对应的重大风险主导部门以及相关责任部门,并组织开展制定重大风险应对方案。院办应定期对重大风险应对计划和方案的执行情况进行跟踪检查,并协调跨部门的重大风险管理事宜。同时,医院还应建立重大风险预警机制和突发事件应急处理机制,明确风
44、险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。(七)风险管理监督与改进医院各部门应以重大风险、重大事件和重大决策、重要管理和业务流程为重点,对风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,根据变化情况和存在的缺陷及时予以改进,并将风险管理工作开展情况和风险监控分析结果定期报送院办。 1.风险监控医院各部门实施风险监控时应重点关注以下风险信息:本部门新出现的风险或原有风险的重大变化;既定风险应对措施和解决方案的执行情况及执行效果。医院将逐步建立和完善指标化的风险监控体系,通过对关键风险指标的持续跟踪、记录和分
45、析,提高管理效率和效果。2.风险报告风险管理报告是风险信息沟通的有效机制。医院应规范风险报告机制,通过风险管理报告促进上下级单位之间的双向沟通、平级部门之间的信息共享和专业研讨。院办将定期组织各部门开展风险评估工作,并根据风险评估结果编制风险评估报告,报送院长,确保风险应对策略及应对方案的及时制定和落实。各部门应定期或不定期编制风险应对措施表,就风险管理及内部控制工作开展情况向院办报告。院办应汇总各部门风险应对措施和解决方案的落实情况,并结合医院年度内部控制评价结果,定期编制年度风险管理监督与改进报告,向管理委员会报送本医院年度风险及内部控制管理情况。四、控制活动控制活动指医院根据风险评估结果
46、,结合风险应对策略所采取的确保医院内部控制目标得以实现的方法和手段,其存在于整个机构内所有级别和职能部门,以流程及其配套制度为载体,是实施内部控制的具体方式。(一)控制目标控制目标是管理活动的基本要求,也是评价内部控制的标准。医院应根据管理要求和业务特点确定控制目标,据以选择适合的内部控制要素,建立和评价内部控制体系。通过夯实内部控制管理基础,完善制度流程建设、规范业务流程内部控制,形成“管理制度化、制度流程化、流程表单化、表单信息化”的业务流程管理机制,实现“层次清晰、职责明确、流程合理、管理科学”的工作目标。(二)控制措施通过采用手工控制与自动控制、预防性控制与发现性控制相结合的方法,结合
47、具体的控制措施,将风险控制在可承受度之内。具体措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等。具体如下:1.控制手段分类控制活动可分为人工控制和自动控制。(1)人工控制是以人工方式执行的控制;(2)自动控制是由计算机等系统自动执行的控制。2.控制作用分类控制活动可分为预防性控制和发现性控制。(1)预防性控制是指为防止错误和非法行为的发生,或尽量减少其发生机会所进行的一种控制,是一种事前控制。(2)发现性控制是指为及时查明已发生的错误和非法行为,或增强发现错误和非法行为机会的能力所进行的各项控制。一般通过检查、补偿、指导、纠错等形式发生,是事中或者事后控制。一般认为预防性控制的控制力