2013-10-12 15:11:39
医疗单位内部审计机构开展内部控制评价,可以及时发现和纠正各种错弊及不法行为,有利于防范风险,促进医疗单位的健康发展。
在建设现代化医院进程中,应把内部控制纳入到制度建设的总体布局之中,并应确立内部审计机构在医院管理结构中的重要地位,为内部审计推动内部控制机制,提高风险管理能力创造一个工作平台。
医院开展内部控制评价,是对医院现有的内部审计理念、内容、方法、技术等方面的改进和提高,有自已的特征和内在规律,目前尚没有现成的模式可参照,需要不断探索、实践。本文结合工作实践,从以下几方面对医院如何开展内部控制审计评价进行初步探讨。
一、评价的目的
1.促进医院严格遵守国家法律法规和本单位的规章制度。
2.促进医院提高风险管理水平,保证其发展战略和管理目标的实现。
3.促进医院增强其医疗、财务和管理信息的真实性、完整性和及时性。
4.促进医院各级管理者和员工强化内部控制意识,严格贯彻落实各项控制措施,确保内部控制体系得以有效运行。
5.促进医院在出现内部管理、外部环境等重大变化时,及时有效地评估控制可能出现的风险。
二、评价的主要内容
1.医院组织结构中职责分工的健全状况。
2.医院现行的各项内部控制制度及相关措施是否健全、规范,是否与医院内部的组织管理相吻合。
3.医院各项工作中的业务处理与记录程序是否规范、经济,其执行是否有效。
4. 医院各项业务工作中的授权、批准、执行、记录、核对、报告等手续是否完备。
5. 医院各岗位的职权划分是否符合不相容岗位相互分离的原则,其职权履行是否得到有效控制。
6. 医院是否有严格的岗位责任制度和奖惩制度。
7.关键控制点是否�有必要的控制措施,其措施执行是否有效。
8. 医院内部控制制度在执行中受管理层的影响程度。
三、评价的要求
1.有利于内部控制的综合评价。对医院内部控制的评价涉及到很多内部控制点,必须对这些内部控制点的评价统一,进而得出综合评价的结论。
2.有利于医院内部控制的自我改进与自我完善。通过内部控制评价不但能够指出内部控制存在的缺陷,分析缺陷产生的根源以及对医院效益的影响,而且能够指导医院各单位进行内部控制的改进与完善。
3.能够准确地确定医院内部控制的风险,使审计结论更加准确。
四、评价的标准
内部控制评价标准主要是医院内部控制设计的健全性、合理性和内部控制执行的有效性。
(1)内部控制设计的健全性是指根据医院经营管理的需要,对应该设置的内部控制全部设置,对医院的经济管理活动进行自始自终的全过程控制。
(2)内部控制设计的合理性是指在满足成本效益原则的前提下,医院内部控制设计和执行的适用性和经济性。
(3)内部控制执行的有效性是指医院制订的政策和措施要与国家法律法规相一致;在医院的经营管理过程中,内部控制制度应得到贯彻执行,实现其为提高经济效率和效果、提供可靠财务报告和遵循法律法规提供合理保证的目标。
依据评价标准,主要从医院内部控制的设计层面与执行层面两个方面进行评价,通过对评价标准与医院实际状况的比较,确定医院内部控制在以上三个方面的符合性。
五、评价指标
根据COSO内部控制基本框架模型,可以将医院内部控制评价指标体系划分三个等级:第一,指标大类��COSO内部控制框架中的控制环境、风险评估、控制活动、信息与沟通以及监督五个基本要素。第二,二级指标��各要素的分解指标。根据内部控制的基本要素,将各控制要素分为不同的二级指标。第三,控制要点��各二级指标所关注的内部控制关注要点。根据以上内部控制层级划分,以COSO报告的内部控制要素为基础,将评价指标体系构建成一个包括三个层级的递层评价指标体系。下面以药品管理为例,说明如何构建评价指标体系:
药品控制评价指标体系
目标层 | 二级指标 | 控制要点 |
药品控制 | 管理规章制度 | 采购管理制度、岗位责任制、采购流程、管理流程、�管流程、盘点制度、药品缺损、报废、失效控制制度和责任追究制度。 |
重大决策 | 大额采购决策、药品报废、盘亏决策。 | |
权限设置 | 采购计划的审批、采购申请的审批、采购支出审批权限、药品储存与保管限制接触权限,盘盈盘亏审批权限。 | |
不相容职务分离 | 请购与审批、询价与确定供应商、合同订立与审核、采购与验收、采购验收与会计记录、付款审批与付款执行。 | |
重要事项报告 | 重大事项快速上报率。 | |
应急预案 | 紧急情况下的采购、管理处理程序 |
六、评价流程
评价测试程序采用穿行测试与实质性测试相结合的测试方式。穿行测试主要对医院内部控制设计的总体符合性进行评价;实质性测试则关注关键控制点,从关键控制是否得到有效执行的角度对医院内部控制有效性进行评价。通过两种测试方式,点面结合,全面反映医院内部控制状况。通常采用的评价方法主要有五种,分别 是询问、观察、检查、抽样和再执行。
1.初步认识。了解和描述医院内部控制体系基本情况,通过查阅规章制度、政策文件及具体实施细则,察看医院组织机构系统图解,访谈相关人员,查阅前期审计结论等途径,对医院内部控制整体状况形成初步认识。
2.初步评价。利用调查问卷、内部控制测试表等工具以及查阅、访谈、查证、判断、归纳等方法对医院内部控制体系进行符合性分析,并结合评价标准,对医院内部控制体系健全程度进行测试评价,形成初步评价建议和意见。
3.实质性测试。以医院业务控制和操作规范为重点,检查业务操作、执行过程中存在的错弊并记录,分析性质和原因,以此验证各项业务内部控制的实际运行与规定之间的差异,对医院内部控制制度及业务执行的可信赖度做出判断,并汇总内部控制测试报表,形成评价结果。
开展医院内部控制审计评价既可以与业务审计同步实施,也可以专门立项实施。审计结果包含审计报告和内部控制评价报告;既可以利用已有审计成果分析,也可以通过现场测试进行评价,方式灵活。
七、评价分析
1.总体评价与部分评价相结合。评价时要统筹考虑,不仅评价被评价单位本身的内部控制状况,而且要对医院整体情况及相关机构进行延伸评价,全面、客观地反应被评价单位内部控制管理状况。
2.控制过程评价与控制结果评价相结合。评价既重视各项业务管理的控制过程,也注重控制效果,设计了多项内部控制业务管理的控制过程,对控制效果不好甚至造成现实风险的,直接按标准扣分.
3.定性评价与定量评价相结合。评价体系的各评价子系统、评价环节和评价点应设定相应的分值和权重,内控评价以量化打分为主,同时根据定性等级进行考核奖惩。
4.全面评价与突出重点相结合。在全面评价的基础上,对医院新开办的业务、规模扩张较快或波动较大、已经暴露部分风险、以前未被检查的业务重点评价。
内部控制评价分级 | 特点描述 | 可信赖程度 | |
1级 | 完整有效 |
内部控制能够满足控制的需要,并能实时监控,具有比较好的适应性。 |
完全可信赖 |
2级 | 基本完整有效 |
内部控制能够满足控制的需要,但是其缺乏必要的弹性。 |
比较可信赖 |
3级 | 存在明显缺陷 | 内部控制在重大方面基本上能够满足防范风险的目标,但是对于某些非重大方面的控制还有待完善。 | 基本可信赖 |
4级 | 存在重大缺陷 | 内部控制存在但是不全面,可能导致重大缺陷。 | 部分信赖 |
5级 |
无效或无控制 |
应急预案 | 不可信赖 |
八、评价的运用
根据内部控制评价结果,进行考核奖惩,并按定性等级采取不同的内部控制改进措施。对于被评价为1级的单位,适当降低内部审计和检查频率;对于被评价为2级的单位,督促其进一步加强内部控制建设,提高内部控制水平;对于被评价为3级的单位,将其作为内部控制关注单位,督促其采取措施改进内部控制状况,并适当加大内部检查监督力度和频率;对于被评价为4级的单位,督促其改进内部控制状况,加大内部检查督力度和频率,取消被评价单位当年的评先资格;对于被评价为5级的单位,不仅要督促其改进内部控制状况,加大内部检查督力度和频率,还要取消被评价单位当年的评先资格,同时追究其领导责任。