医院内部控制与风险管理手册

医院内部控制与风险管理手册前言本手册旨在为医院构建一套系统、规范、有效的内部控制与风险管理体系提供指引。通过明确各层级、各部门在内部控制与风险管理中的职责与权限，识别、评估和应对运营过程中的各类风险，以保障医院资产安全、财务信息真实可靠、运营活动合规高效，最终实现医院战略目标，提升医疗服务质量与患者安全水平。本手册适用于医院内部所有部门及全体员工，并将根据国家法律法规、行业监管要求及医院自身发展情况进行动态修订与完善。第一章总则1.1定义与目标内部控制是指医院为实现经营管理目标、组织内部经营活动而建立的各职能部门之间对业务活动进行组织、制约、考核和调节的方法、程序和措施。风险管理则是指医院通过对潜在风险的识别、分析、评估，并采取相应措施进行规避、降低、转移或承受，以最小成本获得最大安全保障的过程。内部控制与风险管理的总体目标包括：*确保国家法律法规、政策及医院内部规章制度的贯彻执行。*保障医院资产的安全、完整与有效使用。*提高医院运营效率和效果，促进战略目标的实现。*保证财务报告及相关信息的真实、准确、完整。*保护患者隐私与信息安全，提升医疗服务质量与安全。1.2基本原则*合规性原则：严格遵守国家法律法规及行业规范，将合规要求融入各项业务流程。*风险导向原则：以风险评估为基础，重点关注高风险领域和关键控制点。*全面性原则：覆盖医院所有业务活动、部门、岗位及全体员工，贯穿决策、执行、监督全过程。*制衡性原则：在机构设置、权责分配、业务流程等方面形成相互制约、相互监督的机制。*适应性原则：与医院的规模、业务范围、竞争状况和风险水平等相适应，并随内外部环境变化及时调整。*成本效益原则：在控制风险的前提下，力求以合理的成本实现有效的控制。1.3适用范围本手册适用于医院所有运营管理活动，包括但不限于医疗服务、药品管理、耗材管理、设备管理、财务管理、人力资源管理、信息系统管理、科研教学管理等。医院所属的各分支机构及控股、参股单位可参照本手册，结合自身实际情况制定相应制度。第二章组织架构与职责分工2.1决策层*医院党委（或院务会）：是医院内部控制与风险管理的最高决策机构，负责审批内部控制与风险管理的重大政策、制度，审定风险应对策略，保障必要的资源投入。*院长：作为医院运营管理的第一责任人，对医院内部控制的建立健全和有效实施负总责，组织领导内部控制与风险管理工作。2.2内部控制与风险管理委员会*委员会由医院领导、相关职能部门负责人及关键业务科室代表组成。*主要职责包括：统筹协调医院内部控制与风险管理工作；审议风险评估报告及重大风险应对方案；监督检查内部控制制度的执行情况；推动内部控制文化建设。2.3牵头部门*通常由医院审计部门或指定的财务管理部门作为内部控制与风险管理的牵头部门。*负责组织制定和修订内部控制与风险管理相关制度和流程；组织开展风险评估工作；协调、指导和监督各部门内部控制的具体实施；汇总分析风险信息，向决策层和委员会报告。2.4业务部门*各业务部门是其职责范围内内部控制与风险管理的直接责任主体。*负责识别和评估本部门业务活动中的风险；落实医院统一的内部控制要求，制定和执行本部门的具体控制措施；及时报告本部门发生的风险事件和控制缺陷。2.5内部审计部门*负责对医院内部控制的健全性、有效性进行独立审计监督和评价；*对重点领域、关键环节的风险控制情况进行专项审计；*检查和督促内部控制缺陷的整改落实。第三章风险评估与控制3.1风险识别*识别范围：涵盖医院战略、运营、财务、合规、信息安全、声誉等各个方面。重点关注医疗质量安全、药品耗材管理、大额资金使用、基建项目、合同管理、信息系统等领域。*识别方法：通过问卷调查、访谈、流程梳理、历史数据分析、行业案例研究、专家咨询等多种方式进行。*建立风险清单：定期更新风险清单，明确风险类别、风险点描述、潜在影响等。3.2风险分析与评估*可能性分析：评估风险事件发生的概率。*影响程度分析：评估风险事件一旦发生对医院目标实现的潜在影响，可从财务、运营、声誉、法律等维度考量。*风险等级评定：结合可能性和影响程度，将风险划分为不同等级（如高、中、低），为风险应对提供依据。*定期与不定期评估：每年至少进行一次全面的风险评估，当内外部环境发生重大变化或发生重大风险事件后，应及时进行专项风险评估。3.3风险应对策略*风险规避：对于某些高风险且无法控制的业务或活动，采取放弃或停止的策略。*风险降低：通过采取控制措施，降低风险发生的可能性或减轻风险造成的影响，这是医院风险管理中最常用的策略。*风险转移：通过购买保险、外包、签订合同条款等方式，将部分风险转移给第三方。*风险承受：对于一些影响较小或发生概率极低的风险，在权衡成本效益后，选择主动承受，并密切监控。3.4关键控制活动针对医院主要业务流程，应建立和实施相应的控制活动，例如：*预算控制：全面预算管理，明确预算编制、执行、调整、分析和考核的流程。*授权审批控制：明确各层级的授权范围、审批权限和审批程序，严禁越权审批。*不相容岗位分离控制：如出纳与会计分离、采购申请与审批分离、药品采购与验收分离等。*财产保护控制：对现金、药品、耗材、固定资产等进行定期盘点、账实核对，确保资产安全。*会计系统控制：严格执行国家统一的会计制度，规范会计核算流程，保证会计信息质量。*单据控制：规范各类业务单据的格式、流转和保管，确保业务轨迹清晰可追溯。*信息技术控制：建立信息系统访问授权、数据备份与恢复、网络安全防护等控制措施，保障信息系统安全稳定运行和数据安全。第四章主要业务流程的内部控制4.1预算管理*预算编制：遵循“上下结合、分级编制、逐级汇总”的原则，确保预算编制的科学性和合理性。*预算执行：各部门严格按照批准的预算执行，加强预算执行过程中的动态监控。*预算调整：确需调整预算的，应履行严格的审批程序。*预算分析与考核：定期对预算执行情况进行分析，将预算完成情况纳入绩效考核。4.2收支管理*收入管理：严格执行国家物价政策，规范收费行为，确保收入及时、足额入账，防止“跑冒滴漏”。加强票据管理，严禁使用虚假票据。*支出管理：严格执行审批程序，各项支出必须符合预算和规定用途。加强对大额资金支付、对外投资、融资等重大财务活动的控制。4.3药品与耗材管理*采购管理：建立规范的药品耗材遴选、采购审批流程，优先选择质量可靠、价格合理的供应商，推行集中采购和阳光采购。*验收与入库：严格执行验收制度，核对药品耗材的品名、规格、数量、批号、有效期、合格证明等，确保符合要求后方可入库。*库存管理：采用科学的库存管理方法，合理控制库存水平，定期进行盘点，防止积压、过期、损坏和流失。*出库与调剂：严格按照处方或医嘱进行药品耗材的出库和调剂，确保准确无误。4.4固定资产管理*购置与构建：大型医疗设备等固定资产的购置应进行充分论证和审批，符合医院发展规划和临床需求。*登记与核算：建立健全固定资产台账，做到账、卡、物相符，定期进行价值评估和折旧计提。*使用与维护：明确使用部门和责任人，加强日常维护保养，提高设备使用效率和寿命。*处置管理：固定资产的调拨、报废、处置等应履行审批程序，确保资产处置合规、有序，防止国有资产流失。4.5医疗服务管理*医疗质量安全：严格遵守医疗核心制度，加强医疗技术临床应用管理，规范诊疗行为，保障医疗安全。建立不良事件上报与分析改进机制。*患者信息保护：严格遵守相关法律法规，加强患者隐私保护，规范患者信息的采集、存储、使用和传输。*医患沟通：建立有效的医患沟通机制，妥善处理医疗纠纷。4.6合同管理*合同起草与审核：重要合同应由法务部门或专业律师参与起草和审核，确保合同条款合法、严谨、公平。*合同审批与签订：履行必要的审批程序后方可签订合同，严禁违规签订合同。*合同履行与监控：跟踪合同履行情况，及时发现和处理合同履行中的问题。*合同档案管理：对合同文本及相关资料进行规范存档。第五章信息与沟通5.1信息系统支持*建立和完善覆盖医院主要业务流程的信息系统，为内部控制与风险管理提供技术支撑。*确保信息系统数据的准确性、完整性和及时性，保障信息系统安全稳定运行。5.2内部沟通机制*建立畅通的内部信息沟通渠道，确保各层级、各部门之间能够及时传递与内部控制和风险管理相关的信息。*鼓励员工就发现的风险隐患和控制缺陷进行报告。5.3外部沟通机制*加强与卫生健康行政部门、医保部门、财政部门等监管机构的沟通，及时了解政策法规变化。*妥善处理与患者、供应商、合作伙伴等外部利益相关者的沟通。第六章监督评价与持续改进6.1日常监督*各业务部门应将内部控制的日常监督融入日常管理工作中，对本部门控制措施的执行情况进行持续检查。*牵头部门定期或不定期对各部门内部控制执行情况进行抽查和指导。6.2专项检查与审计*内部审计部门根据风险评估结果和年度审计计划，对内部控制的有效性进行独立的专项审计和评价。*对审计发现的问题，及时向被审计部门提出整改意见，并跟踪整改落实情况。6.3内部控制评价*定期组织开展全面的内部控制自我评价，评估内部控制体系的设计与运行有效性。*形成内部控制评价报告，报送决策层和内部控制与风险管理委员会。6.4缺陷整改与持续改进*对监督检查和评价过程中发现的内部控制缺陷，明确整改责任部门、责任人和整改期限。*建立整改跟踪机制，确保缺陷得到及时、有效的整改。*根据监督评价结果、内外部环境变化和管理需求，持续优化内部控制与风险管理体系。第七章应急预案与危机管理7.1应急预案体系建设*针对可能发生的各类突发事件（如火灾、停电、信息系统故障、突发公共卫生事件、重大医疗纠纷等），制定相应的应急预案。*明确应急组织体系、职责分工、响应程序、处置措施和保障机制。7.2应急演练与培训*定期组织应急预案演练，检验预案的科学性和可操作性，提高应急处置能力。*加强对员工的应急知识和技能培训，增强应急意识。7.3危机处置与恢复*发生突发事件时，迅速启动应急预案，果断采取措施，最大限度减少损失和影响。*事件处置后，及时进行总结评