论文部分内容阅读
[摘要]嵌入风险分析环节的公立医院风险导向内部审计流程是通过加入风险分析环节,优化流程结构,提升审计效率,实现PDCA质量循环。本文介绍了某市公立医院的实际应用效果,并就该模式下存在的问题提出应用建议。
[关键词]公立医院 风险导向 风险分析 审计工具 PDCA循环
近年来,我国大型公立医院进入快速发展时代,
经营规模、运营体系不断扩张。新时代医疗体制改革带来了机遇也带来了挑战,经营风险、政策风险、市场风险日益显现,逐渐暴露出医院风险管理体系滞后、业务管理存在漏洞以及流程衔接不畅等弊端。如何利用现代内部审计理念帮助医院提升风险管理水平,改善运营管理,实现组织增值是新时代医院内部审计部门亟待解决的问题。
一、嵌入风险分析环节的公立医院风险导向内部审计特点
嵌入风险分析环节的公立医院风险导向内部审计流程是通过加入风险分析环节,优化流程结构,提升审计效率,实现PDCA质量循环。主要有以下特点:
1.增加风险分析环节。不只对风险造成的影响及发生的可能性进行分析,还对产生风险的原因及该风险影响何种目标的实现进行分析和汇总,举一反三,甄别同类质的风险,以此形成PDCA循环,提高审计质量。
2.将内控测试环节提至风险分析和风险评估环节前。一般控制设计有效且控制测试结果也有效的风险点并非内部审计关注的重点,将控制测试环节提前可在后续环节中减少对控制测试结果有效风险点的相关工作,节省审计时间,提高审计效率。
3.在风险评估环节将医院目标引入评估标准维度。在无法估计经济损失大小时,可通过多维度的影响情况进行综合评判。主要实施路径为“明确目标—风险识别—内控识别—内控测试—风险分析—风险评估—实质性测试”,在该实施路径中实现PDCA管理循环,以增强审计质量,降低审计风险,如图1所示。
二、嵌入风险分析环节的公立医院风险导向内部审计具体应用
环节一:划分风险板块
内审人员首先应明确医院总体战略目标,并收集医院审计年度的所有重点工作情况及未来的重点工作计划,以此作为医院总体审计战略目标和审计计划制定的基点,并对单位总体层面的风险板块进行初步划分。
环节二:开展风险识别
1.总体层面。在进行总体层面分析时,可采用多种分析方法,如SWOT分析、调查问卷、波特五力模型、矩阵分析法等等,样本医院内审人员采用SWOT分析法(如表1所示)对医院内外部环境进行分析,将分析范围与医院战略目标及重点工作相挂钩,并利用“环节一”中初步划分的总体风险板块进行多维度分析。该分析结果可纳入最终的审计报告中,为医院管理层提供参考并辅助医院重点工作计划的修订。
2.业务层面。在进行业务层面风险识别时,可将医院所有业务流程进行汇总归类。医院业务包含医疗、护理、科研、教学、经济管理等工作流程,要实现全面风险导向内部审计,原则上应涵盖医院所有业务,但迫于人员知识结构及人手问题,样本医院目前仅对经济管理相关业务流程中的相关风险点进行识别,建立风险库。
环节三:内控识别
在流程梳理过程中识别内部控制点,主要识别以下三类情况:
1.识别出设计有效的内控点。即查看是否针对每个风险点设计相应的控制点及其控制措施如何运作。
2.识别出设计无效的控制点。如无风险点但有控制措施;或同一风险点有多个控制点,而其中某些控制点作用不大。该类控制点可作为提升效率的改进建议写进审计报告。
3.识别出无控制设计或设计无效的风险点。样本医院采用穿行测试方法进行风险点和控制点识别,针对每一流程选择一笔业务,从起始环节至最终环节(通常为财务入账环节),查看每一环节产生的单据,访谈每一环节的操作人员,全面了解该业务如何在各部门间流转运作。
环节四:内控测试
内控測试是为了验证控制措施是否按照要求得到了有效执行。样本医院采用随机抽样的方法对各个业务流程识别出的设计有效内控点进行抽样测试(测试底稿样表如表2所示),测试方法包括询问、观察、检查、重新执行。
通过控制测试,样本医院内审人员查找出控制执行失效的风险点。
环节五:风险分析
将前期识别出的所有风险点分为两类:一类是控制设计有效及执行有效的风险点;另一类是剩余风险点。包括无控制设计或设计无效的风险点(“环节三”识别出)、控制执行失效的风险点(“环节四”查找出)。通过对剩余风险点的产生原因及该风险影响何种目标的实现进行分析和汇总,举一反三,核查同类质的风险。
样本医院对风险来源分析应用举例如下:内审人员对每一个流程中的剩余风险进行一一分析,如在分析某项费用跨期记账的原因时,发现是由于经办部门不配合,不能及时送达原始票据造成的,则应该回到“环节二”风险识别环节中,查看该经办部门涉及的其他流程中是否也识别出相关风险,举一反三,查找同类质的风险。
同时,样本医院内审人员将风险来源和问题进行汇总,如图2所示,可直观分析对医院整体而言造成剩余风险的主要原因是什么,辅助医院制定改进措施。
环节六:风险评估
风险评估环节主要是对风险点发生的可能性和影响程度进行评估,根据评估结果,绘制风险矩阵,区分风险等级,根据风险等级拟定实质性测试工作的重点及方向,有效分配资源,并在审计报告中将剩余风险评估情况按照审计发现问题的重要程度进行披露。
1.设定风险影响程度及发生可能性评估标准。通常对影响程度的评判都与经济损失大小相关,此外,样本医院内审人员还将对医院目标实现的影响程度引入评判的维度中,在无法估计经济损失大小的情况下可通过多维度的影响情况进行综合评估(如表3、表4所示)。
2.对风险点进行评估并绘制风险矩阵图。由于剩余风险是内部审计关注的重点,为节省审计资源,提高效率,样本医院内部审计人员目前仅对剩余风险开展评估,具体应用如表5所示。
将所有剩余风险评估完毕后,将各个风险点按风险评级绘制风险评估矩阵,如风险点A1风险评级为3(其中影响程度为2,发生可能性为3),则根据坐标图中显示绘制在相应的区域内(如图3所示)。
环节七:实质性测试
根据“环节六”中风险评估的结果确定实质性测试工作的重点及方向,合理分配资源。通过实质性测试结果验证前期识别的剩余风险是否准确,并且在实质性测试阶段完成后,根据结果重新对风险评估结果进行修正。
环节八:撰写审计报告
风险导向的内部审计报告应将前七个环节中风险和内控的总体识别情况、内控的测试结果、按主要责任部门列出的剩余风险和实质性测试发现的问题以及风险分析、评估情况及审计建议一并报告。
目前公立医院实施风险导向的内部审计仍处于探索阶段,如何健全完善的指导和规范是确保风险导向内部审计正常开展的基本保障。此外,还需创新审计技术手段,扩大风险导向审计报告的利用面,重视培育医院全面风险管理理念和文化,促使医院更加重视内部审计结果,达到内审为组织增加价值和改善组织运营的目标。
(作者单位:南方医科大学南方医院,邮政编码:510515,电子邮箱:250557314@qq.com)
[关键词]公立医院 风险导向 风险分析 审计工具 PDCA循环
近年来,我国大型公立医院进入快速发展时代,
经营规模、运营体系不断扩张。新时代医疗体制改革带来了机遇也带来了挑战,经营风险、政策风险、市场风险日益显现,逐渐暴露出医院风险管理体系滞后、业务管理存在漏洞以及流程衔接不畅等弊端。如何利用现代内部审计理念帮助医院提升风险管理水平,改善运营管理,实现组织增值是新时代医院内部审计部门亟待解决的问题。
一、嵌入风险分析环节的公立医院风险导向内部审计特点
嵌入风险分析环节的公立医院风险导向内部审计流程是通过加入风险分析环节,优化流程结构,提升审计效率,实现PDCA质量循环。主要有以下特点:
1.增加风险分析环节。不只对风险造成的影响及发生的可能性进行分析,还对产生风险的原因及该风险影响何种目标的实现进行分析和汇总,举一反三,甄别同类质的风险,以此形成PDCA循环,提高审计质量。
2.将内控测试环节提至风险分析和风险评估环节前。一般控制设计有效且控制测试结果也有效的风险点并非内部审计关注的重点,将控制测试环节提前可在后续环节中减少对控制测试结果有效风险点的相关工作,节省审计时间,提高审计效率。
3.在风险评估环节将医院目标引入评估标准维度。在无法估计经济损失大小时,可通过多维度的影响情况进行综合评判。主要实施路径为“明确目标—风险识别—内控识别—内控测试—风险分析—风险评估—实质性测试”,在该实施路径中实现PDCA管理循环,以增强审计质量,降低审计风险,如图1所示。
二、嵌入风险分析环节的公立医院风险导向内部审计具体应用
环节一:划分风险板块
内审人员首先应明确医院总体战略目标,并收集医院审计年度的所有重点工作情况及未来的重点工作计划,以此作为医院总体审计战略目标和审计计划制定的基点,并对单位总体层面的风险板块进行初步划分。
环节二:开展风险识别
1.总体层面。在进行总体层面分析时,可采用多种分析方法,如SWOT分析、调查问卷、波特五力模型、矩阵分析法等等,样本医院内审人员采用SWOT分析法(如表1所示)对医院内外部环境进行分析,将分析范围与医院战略目标及重点工作相挂钩,并利用“环节一”中初步划分的总体风险板块进行多维度分析。该分析结果可纳入最终的审计报告中,为医院管理层提供参考并辅助医院重点工作计划的修订。
2.业务层面。在进行业务层面风险识别时,可将医院所有业务流程进行汇总归类。医院业务包含医疗、护理、科研、教学、经济管理等工作流程,要实现全面风险导向内部审计,原则上应涵盖医院所有业务,但迫于人员知识结构及人手问题,样本医院目前仅对经济管理相关业务流程中的相关风险点进行识别,建立风险库。
环节三:内控识别
在流程梳理过程中识别内部控制点,主要识别以下三类情况:
1.识别出设计有效的内控点。即查看是否针对每个风险点设计相应的控制点及其控制措施如何运作。
2.识别出设计无效的控制点。如无风险点但有控制措施;或同一风险点有多个控制点,而其中某些控制点作用不大。该类控制点可作为提升效率的改进建议写进审计报告。
3.识别出无控制设计或设计无效的风险点。样本医院采用穿行测试方法进行风险点和控制点识别,针对每一流程选择一笔业务,从起始环节至最终环节(通常为财务入账环节),查看每一环节产生的单据,访谈每一环节的操作人员,全面了解该业务如何在各部门间流转运作。
环节四:内控测试
内控測试是为了验证控制措施是否按照要求得到了有效执行。样本医院采用随机抽样的方法对各个业务流程识别出的设计有效内控点进行抽样测试(测试底稿样表如表2所示),测试方法包括询问、观察、检查、重新执行。
通过控制测试,样本医院内审人员查找出控制执行失效的风险点。
环节五:风险分析
将前期识别出的所有风险点分为两类:一类是控制设计有效及执行有效的风险点;另一类是剩余风险点。包括无控制设计或设计无效的风险点(“环节三”识别出)、控制执行失效的风险点(“环节四”查找出)。通过对剩余风险点的产生原因及该风险影响何种目标的实现进行分析和汇总,举一反三,核查同类质的风险。
样本医院对风险来源分析应用举例如下:内审人员对每一个流程中的剩余风险进行一一分析,如在分析某项费用跨期记账的原因时,发现是由于经办部门不配合,不能及时送达原始票据造成的,则应该回到“环节二”风险识别环节中,查看该经办部门涉及的其他流程中是否也识别出相关风险,举一反三,查找同类质的风险。
同时,样本医院内审人员将风险来源和问题进行汇总,如图2所示,可直观分析对医院整体而言造成剩余风险的主要原因是什么,辅助医院制定改进措施。
环节六:风险评估
风险评估环节主要是对风险点发生的可能性和影响程度进行评估,根据评估结果,绘制风险矩阵,区分风险等级,根据风险等级拟定实质性测试工作的重点及方向,有效分配资源,并在审计报告中将剩余风险评估情况按照审计发现问题的重要程度进行披露。
1.设定风险影响程度及发生可能性评估标准。通常对影响程度的评判都与经济损失大小相关,此外,样本医院内审人员还将对医院目标实现的影响程度引入评判的维度中,在无法估计经济损失大小的情况下可通过多维度的影响情况进行综合评估(如表3、表4所示)。
2.对风险点进行评估并绘制风险矩阵图。由于剩余风险是内部审计关注的重点,为节省审计资源,提高效率,样本医院内部审计人员目前仅对剩余风险开展评估,具体应用如表5所示。
将所有剩余风险评估完毕后,将各个风险点按风险评级绘制风险评估矩阵,如风险点A1风险评级为3(其中影响程度为2,发生可能性为3),则根据坐标图中显示绘制在相应的区域内(如图3所示)。
环节七:实质性测试
根据“环节六”中风险评估的结果确定实质性测试工作的重点及方向,合理分配资源。通过实质性测试结果验证前期识别的剩余风险是否准确,并且在实质性测试阶段完成后,根据结果重新对风险评估结果进行修正。
环节八:撰写审计报告
风险导向的内部审计报告应将前七个环节中风险和内控的总体识别情况、内控的测试结果、按主要责任部门列出的剩余风险和实质性测试发现的问题以及风险分析、评估情况及审计建议一并报告。
目前公立医院实施风险导向的内部审计仍处于探索阶段,如何健全完善的指导和规范是确保风险导向内部审计正常开展的基本保障。此外,还需创新审计技术手段,扩大风险导向审计报告的利用面,重视培育医院全面风险管理理念和文化,促使医院更加重视内部审计结果,达到内审为组织增加价值和改善组织运营的目标。
(作者单位:南方医科大学南方医院,邮政编码:510515,电子邮箱:250557314@qq.com)