医院内部控制及风险管理制度

医院内部控制及风险管理制度一、引言（一）政策背景随着医疗体制改革的深化，国家对医院管理的规范性要求日益严格。《行政事业单位内部控制规范（试行）》（财会〔2012〕21号）、《医疗机构财务会计内部控制规定（试行）》（卫规财发〔2006〕227号）、《医疗保障基金使用监督管理条例》（国务院令第735号）等政策文件，明确要求医院建立健全内部控制及风险管理制度，防范财务舞弊、医疗质量风险、医保基金流失等问题。这些政策为医院完善内控体系提供了明确的法律依据和指导框架。（二）现实需求当前，医院面临的风险呈现多元化、复杂化特征：财务层面，资金流量大、报销环节多，易出现挪用资金、虚假报销等问题；医疗层面，医疗技术更新快、患者需求多样化，医疗差错、医患纠纷风险凸显；医保层面，医保基金监管趋严，虚假住院、过度医疗等违规行为面临严厉处罚；运营层面，药品器械采购、人力资源管理等环节易产生廉政风险。完善内部控制及风险管理制度，已成为医院保障可持续发展、维护公益性的必然选择。二、医院内部控制及风险管理制度设计的基本原则（一）合法性原则严格遵循国家法律法规（如《会计法》《医疗机构管理条例》）、行业规范（如《医院财务制度》《医疗质量安全核心制度》）及政策要求，确保制度设计符合监管规定，避免违规风险。（二）全面性原则覆盖医院所有业务环节（包括财务、医疗、医保、药品器械、人力资源等）、所有部门（临床科室、职能部门、后勤部门）及所有员工，实现“全员、全流程、全要素”控制。（三）重要性原则突出重点领域和高风险环节（如医保基金管理、医疗质量控制、大额资金支付），在兼顾全面的基础上，对关键流程进行严格管控，提高控制效率。（四）制衡性原则明确岗位权限与职责，实现不相容岗位分离（如收费与对账、采购与验收、审批与执行），形成“决策、执行、监督”三方制衡机制，防止权力滥用。（五）适应性原则根据医院规模、业务特点（如综合医院与专科医院的差异）、外部环境变化（如医保政策调整）及时调整制度，确保制度与医院发展需求匹配。（六）成本效益原则在控制风险的前提下，合理配置资源，避免过度控制导致效率低下（如简化常规报销流程，保留大额支出审批环节）。三、医院内部控制及风险管理制度的核心要素依据COSO内部控制框架及《行政事业单位内部控制规范》，医院内部控制及风险管理制度的核心要素包括内部环境、风险评估、控制活动、信息与沟通、内部监督五大模块，形成“闭环管理”体系。（一）内部环境：制度运行的基础保障内部环境是内部控制的“土壤”，决定了制度执行的有效性。1.治理结构：建立健全董事会（或理事会）、监事会、管理层分工负责的治理体系。公立医院需加强党委会领导，确保公益性导向；民营医院需明确股东、管理层、员工的权责边界，避免家族式管理漏洞。2.企业文化：培育“诚信、合规、责任”的价值观，通过培训（如内控知识讲座）、宣传（如专栏海报）、考核（如将合规性纳入绩效），强化员工的风险意识。3.人力资源政策：制定科学的招聘、培训、考核制度。例如，招聘医疗人员需核对职业资格证书；定期开展医保政策、医疗技术操作培训；将“遵守内控流程”作为员工晋升的重要指标。（二）风险评估：识别与分析风险的关键环节风险评估是内部控制的“起点”，需定期开展（如每年一次全面评估，每季度一次专项评估）。1.风险识别方法：采用流程梳理法（绘制业务流程图，查找环节漏洞）、问卷调查法（向员工征集风险点）、专家咨询法（邀请医疗、财务、法律专家参与）、历史数据法（分析以往风险事件，如医疗纠纷、医保处罚）。2.风险分析维度：从发生概率（高、中、低）和影响程度（重大、较大、一般）两个维度，对风险进行量化评估。例如，“虚假住院”的发生概率为“中”，影响程度为“重大”（涉及医保基金流失、医院声誉受损），属于高风险。3.风险等级划分：通过风险矩阵法，将风险分为高、中、低三级（见表1），为后续风险应对提供依据。风险等级发生概率影响程度应对策略高风险中/高重大规避/降低中风险中较大降低/转移低风险低一般接受/监控（三）控制活动：防范风险的具体措施控制活动是内部控制的“核心”，需针对不同风险点设计具体措施。1.不相容岗位分离控制：明确禁止同一人担任的岗位，如：收费岗位与对账岗位分离（防止收费员篡改数据）；药品采购岗位与验收岗位分离（防止采购人员与供应商串通）；医疗技术审批岗位与执行岗位分离（防止未经准入的技术应用）。2.授权审批控制：建立分级授权体系，如：日常报销（≤1万元）：部门负责人→财务负责人审批；大额支出（＞10万元）：院长办公会→董事会审批；医疗新技术应用：伦理委员会→医疗技术管理委员会审批。3.会计系统控制：采用电算化会计系统，实现“业务-财务”一体化（如HIS系统与财务系统集成，自动生成收费凭证），减少人工干预；定期核对账证、账账、账实（如银行存款日记账与对账单核对）。4.财产保护控制：对药品、器械、资金等资产进行严格管理，如：药品库实行“双人双锁”（特殊药品）、“先进先出”（普通药品）；银行账户实行“印鉴分管”（财务章与法人章由不同人员保管）；医疗设备定期维护（如MRI、CT机每年校准一次）。5.预算控制：编制全面预算（包括收入预算、支出预算、项目预算），严格执行预算调整流程（如因政策变化需调整预算，需经院长办公会审批）；定期分析预算执行情况（如季度预算执行率低于80%，需查找原因）。（四）信息与沟通：传递与共享信息的重要渠道信息与沟通是内部控制的“纽带”，需确保信息及时、准确传递。1.内部信息传递：建立OA系统、微信群等内部沟通平台，及时传达政策（如医保目录调整）、制度（如内控流程更新）、风险预警（如某科室医保报销异常）；定期召开部门联席会议（如财务科与医保办每月召开医保费用分析会）。2.外部信息沟通：加强与患者、医保部门、卫生健康委员会的沟通，如：设立患者投诉热线，及时处理患者反馈（如医疗服务不满意）；配合医保部门的智能监控，及时整改违规行为（如过度检查）；向卫生健康委员会上报医疗质量数据（如医疗差错率）。（五）内部监督：保障制度执行的有效手段内部监督是内部控制的“防线”，需形成“日常监督+专项监督”的双重机制。1.日常监督：由各部门负责人组织，每月对本部门内控执行情况进行检查（如财务科检查报销凭证的完整性，药剂科检查药品验收记录）；将检查结果上报审计部门。2.专项监督：由审计部门牵头，对高风险领域进行定期审计（如每半年一次医保基金审计，每年一次药品采购审计）；审计内容包括“制度健全性”（是否有完善的内控流程）、“执行有效性”（是否严格遵守流程）、“结果合理性”（是否达到控制目标）。四、医院关键业务流程的内部控制设计（一）财务收支管理流程：资金安全的核心防线1.控制目标：保证资金安全完整，会计信息真实准确，防范财务舞弊。2.关键风险点：收入环节：收费标准不规范、数据篡改、漏收；支出环节：虚假报销、审批缺失、资金支付错误；资金管理：账户混乱、挪用资金。3.控制措施：收入控制：HIS系统固化收费标准，禁止手工修改；收费员轮岗制，每日核对收费日报表与HIS数据；资金当日存入银行，不得坐支。支出控制：报销需附原始凭证（如发票、验收单），经经办人→部门负责人→财务负责人→分管领导审批；大额支出采用银行转账，禁止现金支付；定期编制银行存款余额调节表。资金管理：严格银行账户审批（仅开设基本户、医保专户）；制定资金预算，减少沉淀资金；审计部门每月检查资金使用情况。（二）药品器械管理流程：质量与成本的双重管控1.控制目标：保证药品器械质量安全，降低库存积压，防范廉政风险。2.关键风险点：采购环节：供应商资质不符、价格虚高；验收环节：假药劣药流入、数量不符；库存环节：过期变质、积压浪费。3.控制措施：供应商管理：审核供应商的营业执照、药品经营许可证、GSP证书；每年对供应商进行评估（产品质量、服务水平），淘汰不合格供应商。采购管理：根据库存（如药品库存周转率≤30天）、临床需求编制采购计划，经药剂科→分管领导审批；大额采购（如＞50万元的器械）实行公开招标。验收管理：双人验收（药剂科人员），核对药品名称、规格、批号、有效期；进口药品需核对进口注册证、检验报告书；验收不合格的药品拒绝入库，通知供应商退换货。库存管理：每月盘点库存，核对账实；特殊药品（如麻醉药品）实行“双人双锁”；过期药品填写报废记录，经分管领导审批后销毁。（三）医疗质量控制流程：患者安全的根本保障1.控制目标：降低医疗差错，减少医患纠纷，提高患者满意度。2.关键风险点：医疗技术：未经准入的新技术应用、操作不规范；病历管理：书写不规范、篡改、丢失；医患沟通：沟通不畅导致误解、知情同意书签署不规范。3.控制措施：医疗技术控制：新技术需经伦理委员会→医疗技术管理委员会审批；定期开展技术培训（如手术操作规范），考核不合格的医生不得从事相关操作。病历管理：推行电子病历系统，规范书写格式（如病历需在24小时内完成）；系统设置修改痕迹保留（如修改病历需注明原因、时间）；病历归档后不得随意修改，如需修改需经医务科审批。医患沟通控制：制定《医患沟通制度》，要求医生在诊疗前告知病情、治疗方案、风险（如手术风险）；重大手术需签署知情同意书（明确告知内容、患者意见）；设立医患沟通办公室，及时处理投诉（如患者对治疗效果不满意）。（四）医保基金管理流程：合规运营的重要抓手1.控制目标：规范医保报销行为，防止骗保，保障医保基金安全。2.关键风险点：政策执行：医生不熟悉医保目录，导致违规报销；费用审核：虚假住院、挂床住院、过度医疗；智能监控：未及时处理预警信息。3.控制措施：政策培训：每月组织医生、护士、医保办人员学习医保政策（如医保报销范围、禁忌事项）；将医保政策纳入新员工培训内容。费用审核：财务科与医保办共同审核报销单据（核对住院病历、费用清单、检查报告）；对不合理费用（如过度检查）拒绝报销，要求科室整改；定期分析医保数据（如某科室医保报销率明显高于其他科室），及时核查。智能监控：利用医保智能监控系统，实时监控患者住院天数、用药情况、检查项目；系统设置预警规则（如住院天数超过同病种平均天数），预警信息由医保办及时核查；对违规行为（如虚假住院），按照规定扣减医保报销费用、处罚相关人员。（五）人力资源管理流程：队伍建设的基础支撑1.控制目标：保证员工资质符合要求，提高员工素质，防范用人不当风险。2.关键风险点：招聘环节：无证上岗、背景调查缺失；培训环节：业务能力不足、内控意识薄弱；考核环节：绩效考核不公平、激励机制缺失。3.控制措施：招聘管理：制定招聘标准（如医生需具备执业医师证书）；核对学历证书、职业资格证书；进行背景调查（如查询过往工作经历、有无医疗纠纷）。培训管理：定期开展业务培训（如医疗技术、财务知识）、内控培训（如《医院内部控制制度》）、法律法规培训（如《医疗保障基金使用监督管理条例》）；培训后进行考核，考核结果与薪酬挂钩。考核管理：制定科学的绩效考核指标（如医生的门诊量、手术量、患者满意度；护士的护理质量、投诉率）；定期考核（每月一次），考核结果与晋升、评优、奖金挂钩；对考核不合格的员工进行培训或调岗。五、医院风险评估与应对机制（一）风险评估的流程设计1.确定评估范围：根据医院业务特点，选择所有业务流程（如综合医院）或重点流程（如专科医院的医疗技术流程）作为评估范围。2.识别潜在风险：通过流程梳理、问卷调查、专家咨询等方法，识别风险点（如“药品采购环节可能存在供应商资质不符风险”）。3.分析风险影响：评估风险的发生概率（如“供应商资质不符的发生概率为中”）和影响程度（如“可能导致假药流入，影响患者安全，属于重大影响”）。4.记录风险信息：将风险点、发生概率、影响程度、责任部门等信息录入《风险登记簿》（见表2），作为风险应对的依据。风险名称风险描述发生概率影响程度责任部门应对策略虚假住院患者未实际住院，却报销医保费用中重大医保办降低药品积压药品库存过多，导致过期浪费中较大药剂科降低医疗差错医生操作不规范，导致患者受伤中重大医务科降低办公用品浪费员工领用过多，导致成本上升低一般行政科接受（二）风险应对的策略选择1.规避风险：对于高风险且无法控制的业务，停止开展。例如，某医院计划引入一项未经国家批准的医疗技术，经风险评估为“高风险”，则决定放弃该技术。2.降低风险：通过强化内部控制，降低风险发生概率或影响程度。例如，针对“虚假住院”风险，采取“医保智能监控+定期病历检查”的措施，降低违规行为的发生概率。3.转移风险：通过外部机制，将风险转移给第三方。例如，购买医疗责任保险，将医疗纠纷的赔偿风险转移给保险公司；将后勤服务（如保洁、保安）外包，降低管理风险。4.接受风险：对于低风险且影响程度小的风险，采取监控措施，当风险发生时及时处理。例如，“办公用品浪费”风险，采取“制定领用限额+每月盘点”的措施，接受该风险。六、医院内部控制及风险管理的监督与评价（一）内部监督：多维度的自我约束1.审计部门的独立监督：医院应设立独立的审计部门（直接向董事会或院长负责），配备专业审计人员（如注册会计师、内部审计师）。审计部门的职责包括：每年开展一次全面审计（覆盖所有业务流程）；每季度开展一次专项审计（如医保基金、药品采购）；对审计中发现的问题（如报销凭证缺失），提出改进建议，跟踪整改情况；向董事会或院长提交审计报告。2.部门层面的自我检查：各部门负责人每月组织本部门员工，对内控执行情况进行检查（如财务科检查报销流程，医务科检查病历质量）；检查结果需形成书面报告，上报审计部门。3.纪检监察的廉洁监督：设立纪检监察部门，负责监督员工的廉洁行为（如查处贪污受贿、虚假报销）；与审计部门密切配合，形成“审计-纪检”联动机制（如审计发现某员工涉嫌挪用资金，纪检部门介入调查）。（二）外部监督：全方位的合规约束1.行政监管部门的检查：积极配合卫生健康委员会（医疗质量检查）、医保部门（医保基金使用检查）、财政部门（财务检查）、审计部门（政府审计）的检查；对检查中发现的问题（如医疗差错），及时整改，并将整改情况上报监管部门。2.社会监督的参与：通过医院官网、微信公众号等渠道，公开医疗服务价格、医保报销流程、投诉电话等信息，接受患者和群众的监督；定期开展患者满意度调查（如每季度一次），收集患者对医疗服务、内控执行的意见。（三）绩效评价：激励与改进的动力1.评价指标体系的构建：根据医院战略目标（如“提高医疗质量”“降低医保违规率”），制定内控绩效评价指标（见表3）。指标类型具体指标指标权重财务控制资金安全率（无挪用资金事件）20%医疗质量控制医疗差错率（≤0.1%）30%医保控制医保报销合规率（≥95%）25%内部管理内控流程执行率（≥90%）25%2.评价流程的实施：每年年底，由审计部门组织，对各部门的内控绩效进行评价（采用现场检查、数据统计、问卷调查等方法）；评价结果需反馈给各部门，听取部门意见。3.评价结果的应用：将评价结果与部门和员工的薪酬、晋升、评优挂钩：对绩效优秀的部门（如医保办，医保报销合规率≥98%），给予奖金奖励；对绩效优秀的员工（如医生，医疗差错率为0），给予晋升机会；对绩效差的部门（如药剂科，药品积压率≥10%），进行通报批评，要求整改；对绩效差的员工（如收费员，多次出现收费错误），进行培训或调岗。七、医院内部控制及风险管理的信息化支撑（一）信息系统集成：打破信息孤岛医院应整合现有信息系统（HIS、LIS、PACS、电子病历、财务、医保、药品器械管理等），建立统一的医院信息平台，实现数据共享与实时传递。例如：电子病历系统与LIS、PACS系统集成，医生可直接查看患者的实验室检查结果、医学影像；财务系统与HIS系统集成，自动生成收费凭证，减少人工录入错误；医保系统与HIS、电子病历系统集成，实时监控医疗行为（如患者住院天数、用药情况）。（二）智能监控与预警：实时风险感知利用大数据、人工智能技术，建立智能监控系统，实现风险的实时预警。例如：医保智能监控系统：设置“住院天数异常”“用药量异常”“检查项目与病情无关”等预警规则，当系统检测到异常时，自动向医保办发送预警信息；财务智能监控系统：设置“大额资金支付异常”“报销凭证缺失”等预警规则，当系统检测到异常时，自动向财务负责人发送预警信息；医疗质量智能监控系统：设置“病历书写不规范”“医疗差错”等预