公立醫院內控體系中的風險評估標準化建設探討

羅紀富 李俊忠 王麗 四川省中醫藥科學院中醫研究所（四川省第二中醫醫院）

引言

財政部近年來陸續出臺的文件推動了各級公立醫院開展單位內部控制建設工作，在經濟活動的風險防范和管控方面取得了一定成效。但作為非營利性事業單位的公立醫院，因業務活動復雜，且資金規模大，亟須深入推進內控體系建設工作。為達到進一步強化公立醫院內部控制，有效防范單位風險，保證資產資金安全，并提高資源配置效益和使用效益的目的，2021年開始施行的《公立醫院內部控制管理辦法》對公立醫院的內控體系建設作出了更加明確和細化的要求。但公立醫院因自身特殊情況，可能在內控體系建設過程中面對重大困難，如果沒有一套行之有效的建設、評價方法，將直接影響內控體系建設的效果。本文嘗試針對公立醫院內控體系建設中風險評估這一重要環節存在的問題和解決措施展開探索，以期在內控體系建設中結合風險管理標準的要求把風險評估工作流程標準化。

一、全面、系統和客觀評估風險的難點

公立醫院因存在以下因素，建設的內部控制體系在進行風險評估管理時，難以做到全面、系統和客觀的進行風險評估，風險評估機制的不合理將會導致內部控制質量不高。

（1）公立醫院業務活動復雜，涉及醫療業務、臨床試驗、科研項目、教學管理、互聯網診療、醫聯體管理、收支管理等，有中醫類診療服務的醫院可能還有傳統制劑生產活動，這些活動都涉及經濟利益，需要進行風險評估。因此公立醫院涉及的風險點多面廣，進行風險評估時容易出現遺漏。

（2）公立醫院從業人員特別是醫務人員學歷高、專業性強、專業素養高，很多人可能是所從事專業領域的權威。但同一專業缺乏可供選擇的高端人才，本專業人才對其他專業領域又可能涉及不深。這種現狀容易導致進行風險評估時專家數量不足或因專家對自己能力的過度自信，而忽視風險的存在或誤判風險發生的概率及后果。或者因過度重視醫療技術水平的提高和患者滿意度等醫療行為而忽視資源的配置和使用效益，容易造成單位在進行風險評估時失去客觀性。

（3）公立醫院管理層多來源于臨床醫護骨干，相似從業經歷導致整個管理層對臨床醫療工作的關注度相對更高，而對行政、后勤等管理工作的關注度較低，內控風險評估重點可能偏向醫療業務和資產安全而忽視資源配置和使用效益。很多中層管理人員和行政、后勤工作人員也是由臨床轉崗而來，新崗位所需專業知識基礎不扎實，缺乏對現從事工作所面臨的風險識別能力，對風險理解不深，無法全面分析風險的致因和來源及產生的后果，更無法應對風險。

（4）公立醫院內部控制機構設置不完善，人員配置不足，資源配置簡單，人員專業素質低等情況較普遍。內控人員基本上是兼職，未系統性掌握內控基礎知識，對內控的程序或措施理解不到位，內控經驗不足，無法把控單位風險評估的結果，將使得單位內控制度的制定和執行產生偏差，達不到內部控制的預期效果。

二、全面、系統和客觀評估風險的方法探索

為了應對公立醫院風險評估的難點，盡量做到全面、系統、客觀地識別、分析醫院經濟活動及相關活動存在的風險，確定風險承受度及應對策略，制定一套契合公立醫院行業特色的內控風險評估標準化操作程序和實踐應用示范，是一條切實可行的方法。從而減少醫院業務活動復雜、人員構成專業性強、管理層從業經歷局限、內控人員不足等不利條件的影響。

我們通過研究與實踐，結合風險管理標準的引導，經過以下步驟初步建立起一套標準化的內部控制風險評估程序。

（1）組建由行業主管部門專家、知名醫院管理專家、不同級別醫院代表、行政事業單位內控建設專家、標準體系制定專家、第三方機構人員等各方面專業人才構成的公立醫院內控風險評估標準化建設顧問團隊。將公立醫院風險評估管理整合到醫院管理中，形成決策機構、管理機構、執行機構三級組織架構體系。

（2）確定公立醫院風險評估標準的編制原則，以遵循可操作可執行、廣泛適用性兩大原則作為風險評估標準編制的原則。編制的標準要客觀反映公立醫院的公益性，并且服從法律法規等制度的要求。

（3）確定公立醫院風險類型的分類標準，根據各級規定的要求按照管理層級把風險分成單位層面風險和業務層面風險，根據風險事件對內控目標的影響，將風險分為合法合規風險、舞弊腐敗風險、資產安全風險、財務信息風險、醫療風險等。分類標準應根據最新的管理要求實時調整。

（4）搭建公立醫院風險層級分類的框架，根據風險影響面將風險劃分為三個層級，一級是總體性風險，三級是執行性風險，二級是介于一級、三級之間的主要流程風險，搭建起統一的“類型+層級”風險分類框架。

（5）建立公立醫院風險評估標準，根據風險發生的可能性將風險分為五個等級，采用定量或定性或其組合方法對發生可能性由低到高分別賦值，如可能性極低為1、可能性低為2、可能性中等為3、可能性高為4、可能性極高為5；將風險發生后的影響程度也分為五個等級，影響程度由小到大分別賦值，如影響極小為1、影響小為2、影響中等為3、影響大為4、影響極大為5。風險值=發生可能性×影響程度，根據得分高低確定風險管控級別，風險值越高越應作為重點關注的對象。針對發生可能性較低但是影響程度大的風險事件，應建立特殊程序以便調整其風險級別，如表1所示。

表1 風險等級標準示例

（6）開展風險識別工作，利用已搭建起的內部控制組織架構人員和多方參與的專家團隊進行風險識別。綜合運用多種科學方法比如流程圖分析、風險清單法、個別訪談法、文件審查、問卷調查等，查找公立醫院各項經濟活動及重要業務流程中存在的風險點。將識別出的風險點按單位層面和業務層面分類，匯總整理成公立醫院的《風險清單表》。

（7）開展風險分析工作，根據單位組織架構的實際情況將風險清單中的風險點細分，分別設計成風險評估問卷，發放給對應業務部門和管理層、內控專家等人員。參與分析的人員應結合自身工作管理經驗，采用定量的、半定量的或定性的或其組合形式對風險的致因和來源，發生的可能性及后果進行分析描述，現有的風險控制措施及控制效果也應作為分析的對象，風險分析的結果按標準用詞填入風險評估問卷。

（8）開展風險評價工作，參與評價的人員按照風險評估標準，分別對每項風險的發生可能性和影響程度進行打分，風險評價也可以由風險分析人員在分析后即刻進行。內控管理機構對回收的有效評估問卷進行統計，采用加權平均法或算術平均法計算每項風險的風險值，根據風險值確定每項風險的等級。風險評價結果可以整理形成公立醫院風險數據庫，細分為單位層面風險數據庫、業務層面風險數據庫。

（9）匯總整理風險評估結果，將結果以評估報告或風險數據庫等形式呈現，經單位內部控制領導小組審核通過后，上報醫院領導班子以便關注重大風險和采取措施及時處理風險。

（10）經驗證的標準化風險評估程序及成型的風險數據庫可以與其他內控措施一起，共同組成標準的內部控制體系，經不斷總結提升，形成公立醫院內部控制標準，選取行業內有代表性的兄弟醫院共同實踐，以便推進整個公立醫院行業的內部控制建設。

結語

綜上所述，公立醫院在開展內部控制體系建設工作時，因自身業務活動復雜，從業人員專業性強，管理層多數由衛生技術專業人員組成，內部控制機構及人員不完善等客觀原因，全面、系統和客觀評估風險存在難度。如果能夠按照風險管理標準要求建立一套標準化的公立醫院內部控制風險評估程序，形成普適的公立醫院風險數據庫供行業單位共同實施，將有利于推進整個公立醫院行業的內部控制建設。