医院内部控制手册.docx
《医院内部控制手册.docx》由会员分享,可在线阅读,更多相关《医院内部控制手册.docx(55页珍藏版)》请在冰点文库上搜索。
医院内部控制手册
西飞医院内部控制手册
从完善组织治理和推进标准化管理两个层面来考虑,编制《内部控制手册》,为中航工业西飞工业(集团)有限责任公司的分支机构西安一四一医院(以下简称“医院”)优化流程管控、推进标准化管理提供依据,也为医院开展内部控制工作提供可遵循的标准,同时有效满足医院要求。
概括而言,手册编制旨在实现以下目标:
1.建立健全内部控制管理体系。
结合内部控制工作要求,完善医院制度流程管理体系,建立具有医院自身特色的内部控制体系,提高医院经营效率和效果,为合规经营、资产安全和信息真实提供合理保证。
2.固化形成内部控制工作机制。
通过明确医院内部控制的目标原则、职责分工,制定一套规范化的工作流程,提出标准化的业务流程控制要求,配合开展内部控制信息系统建设,并持续培育良好的风险管理文化,以加强内部控制工作,为医院管理规范化和决策科学化提供参照和支持。
3.规范加强内部控制评价工作。
通过规范内部控制评价工作程序和标准,确保评价结果的客观性和可比性;积极利用评价结果确定医院管理改进、审计、监察等监督工作的重点,以提高制度执行力,促进风险预控、过程控制和事后惩戒相结合,全面提升医院管理水平和风险管控能力。
1.方法性与实用性相结合
本手册编制既参考了国际与国内内部控制理论和国内外大型企业的内部控制实践,又立足于医院自身的战略目标和管理特点,力求与现有的管控模式及管理实际相衔接,充分考虑内控工作的可行性与可操作性。
手册内容涵盖内部控制体系建设基本要素和工作环节,对医院开展内控工作提出一套完整的方法论和指导原则;同时制定了具体的操作指引和标准化的工作模板,为医院内控日常工作提供依据。
2.风险预控与业务管理相结合
本手册编制贯彻以风险为导向的内部控制理念,将内部控制的工作要求落实到业务活动及流程标准化管理中,明确管理界面、权限规范及关键控制点,提出细化到岗位的控制要求,引导各级责任主体在业务执行上符合医院管控要求。
3.满足外部监管与提升内部管理相结合
本手册编制以满足国资委以及财政部对内部控制规范的监管要求为出发点,从内部控制角度提出开展经营管理活动应遵循的控制要求,以期建立具有“强支撑、短流程、高授权、大监督”特点的管理机制,有效提升经营效率和效果的协调性。
(三)编制依据
为确保医院内部控制体系建设的合规化及标准化,本手册编制在遵循医院内部控制相关规定的基础上,同时参考了目前国际国内通行的内部控制标准,其编制依据如下:
1.医院及医院相关制度;
2.中航飞机股份有限公司相关制度、《中国航空工业集团公司内部控制应用指引》
3.目前国际国内通行的内部控制法规及相关标准,主要包括:
《企业内部控制基本规范》(财政部等五部委颁布,财会[2008]7号)、《企业内部控制应用指引》(财政部等五部委颁布,财会[2010]4号)、COSO-ERM《企业风险管理—整合框架》(2004版)。
(四)内部控制体系框架
1.内部环境。
内部环境是实施内部控制的基础,一般包括组织架构、发展战略、人力资源、内部审计、医院文化、社会责任等。
2.风险评估。
风险评估是及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
3.控制活动。
控制活动是根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
4.信息与沟通。
信息与沟通是及时、准确地收集、传递与内部控制相关的信息,确保信息在组织内部、医院与外部之间进行有效沟通。
5.内部监督。
内部监督是对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
(五)内部控制组织结构与权责
医院建立健全了包括由决策层、管理层、执行层、监督部门组成的内部控制管理架构,明确了各层级的管理职责。
1.管理委员会
(1)负责内部控制管理工作,主要负责:
(2)审议医院内控管理制度;
(3)审议医院内控管理体系建设规划、整体框架;
(4)审议医院业务流程架构;
(5)审议管理层内部控制评估报告;
(6)审议内控管理组织机构设置及其职责方案;
(7)办理医院授权的有关内控管理的其他事项。
2.经管科
经管科是内部控制管理工作的办事机构,主要负责内控体系建设、运行、维护的组织及日常监督工作,负责对内部控制体系运行状况实施过程监督和专项审计,经管科每年至少组织实施一次内部控制专项审计。
主要职责如下:
(1)根据国家有关法律、法规及相关规定,负责组织制定内控管理制度;
(2)负责编制内控管理体系建设规划、体系框架,并组织实施;
(3)负责组织风险评估工作,确定重大风险,建立风险数据库;
(4)负责组织和协调业务流程管理相关工作;
(5)负责组织风险控制设计及实施;
(6)负责内控管理体系日常维护;
(7)负责协调外部内控检查和审计;
(8)负责拟定医院年度内部控制评估报告,并上报至管理委员会;
(9)负责内控管理业务培训。
3.其他管理部门及各科室
(1)负责组织本部门员工学习并实施医院内控管理规范;
(2)负责本部门业务流程描述与优化;
(3)组织本部门风险控制措施的设计及实施;
(4)组织本部门内控管理规范的日常监督检查;
(5)人力资源室负责将内控管理纳入绩效考核指标体系。
(六)手册执行与更新
本手册作为医院开展具体工作的准则和指南,具有约束性。
一经发布,医院及各级员工应遵照手册要求执行相关工作要求,规范开展内控工作,定期组织内控评价,积极利用评价成果,有效组织整改落实,持续提升医院管理水平。
随着医院不断发展,外部经营环境和内部风险现状也会不断发生变化,医院内部的管控模式、组织架构、业务管控活动和工作流程应随之动态调整;同时,随着内部控制经验的不断积累和信息化水平的提升,医院应适时改进和完善本手册的具体内容。
经管科作为本手册管理与维护的归口部门,原则上根据年度内部控制实际情况,每年开展一次评估,并根据需要进行更新。
更新资料主要来源于:
管理委员会、管理层及各部门对内控的要求及建议、医院各部门的管理实践、年度内控评价结果。
持续修订、完善和更新后的《内部控制手册》作为医院沉淀优秀管理经验,创新标准化管理和实现管理样板性目标的重要工具之一,经审批后正式生效。
(七)手册颁布与生效
本手册于二〇一五年五月颁布,自颁布之日起生
二、内部环境
内部环境是医院建立与实施内部控制的基础,主要包括组织架构、发展战略、人力资源政策、内部审计、医院文化、反舞弊、信息系统管理和社会责任等内容。
(一)组织架构
1.控制目标
医院应当按照国家有关法律法规、医院章程相关要求,结合本医院实际,明确医院内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
具体包括:
(1)应建立合理的内部管理组织机构;
(2)应根据运营目标、运营职能和监管要求,明确界定各管理部门和岗位的权力和责任分配体系。
2.管控措施
(1)明晰职责权限
1)医院设院长1名,依据医院章程,院长授权行使以下职权:
①主持医院的发展、经营管理工作,组织实施管委会决议;②组织拟定医院年度工作计划、固定资产投资(修理)计划和新业务新技术的研发计划;③组织拟定医院年度财务预算、年度财务决算;④组织拟定医院内部管理机构的设置方案;⑤组织拟定医院基本管理制度;⑥组织制定医院的具体规章;⑦向管委会提请聘任或解聘医院副院长及管理人员;⑧决定聘任或者解聘除应由管委会聘任或解聘以外的管理人员;⑨对医院经营活动中发生的重大事项及时向管委会报告;⑩管委会授予的其他职权。
2)领导班子成员,对院长负责,并在职责范围内或根据院长授权处理相关工作和签发有关业务文件。
(2)合理设置组织机构
医院组织结构图如下图2-1所示。
西飞医院
图2-1医院组织结构图
医院将结合内外部环境变化,定期对现行组织机构及其运行状况进行综合分析,予以优化调整,确保组织机构设置的合理性。
(3)有效分配职责权限
医院已制定并发布各部门职责条例管理文件及各部门各类人员岗位说明书等内部管理制度,但目前医院内部环境有所变化,故应将发布的职责条例、制度、岗位说明书等内容进行更新与修改,对各部门职责权限进行合理分解和有效配置,避免部门职责模糊、重叠或空白地带,确保权责对等、不相容职责相分离。
(二)发展战略
1.控制目标
发展战略是医院在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的中长期发展目标与战略规划。
建立科学、完善的战略制定、战略实施以及战略调整的内部控制体系,为医院找准市场定位、明确发展方向、实现发展战略提供坚实保障。
2.管控措施
(1)职责权限
1)管理委员会
A.审议决定医院战略规划;
B.审议决定医院年度财务预算、年度财务决算;
C.审议决定医院年度工作计划和年度固定资产投资(修理)计划;
D.审议决定医院内部管理机构的设置,报公司人力资源处备案;
E.提议聘任或解聘医院副院长及高级管理人员;
F.审议决定聘任或解聘医院管委会秘书;
G.审议决定医院《薪酬分配方案》;
H.审议批准医院内部基本管理制度;
I.医院及《管理办法》规定的其他职权。
2)院长
医院院长行使下列职权:
A.主持医院的发展、经营管理工作,组织实施管委会决议;
B.组织拟定医院年度工作计划、固定资产投资(修理)计划和新业务新技术的研发计划;
C.组织拟定医院年度财务预算、年度财务决算;
D.组织拟定医院内部管理机构的设置方案;
E.组织拟定医院基本管理制度;
F.组织制定医院的具体规章;
G.向管委会提请聘任或解聘医院副院长及管理人员;
H.决定聘任或者解聘除应由管委会聘任或解聘以外的管理人员;
I.管委会授予的其他职权。
3)其他职能部门
A.为战略环境分析提供相关信息;
B.为战略风险分析框架提供相关建议;
C.按照分工分解战略目标,协调或具体执行计划;
(2)控制措施
1)战略制定
医院依照相关制度的要求和程序,对医院的战略目标、战略规划与业务计划进行制定和调整,并组织战略的具体实施和后续评估工作。
医院主要依据市场发展趋势预测,综合分析内外部因素对发展战略的影响,组织各方面的专家对战略规划草案进行评审与修改,经医院管理委员会研究决定后,提交至医院。
3)战略实施
医院通过组织有关部门制定年度经营计划、编制全面预算等方式,将医院战略分解到医院各部门,并纳入年度绩效考核。
通过培养与战略匹配的医院文化,保证战略得以有效的贯彻实施。
(三)人力资源
1.控制目标
医院应重视人力资源管理,建立科学的人力资源政策,规范人力资源管理机制,加强人力资源激励与约束机制,以充分调动整体团队的积极性、主动性和创造性,全面提升医院的核心竞争力。
2.管控措施
医院聘用的职工与西飞集团签订劳动合同,与医院签订岗位合同。
医院使用的劳务派遣工,与派遣机构签订劳动合同,与医院签订岗位合同,并执行《西飞集团医院使用劳务派遣工暂行管理办法》。
医院院长、副院长、院长助理的岗位合同与管委会主任签订,其他员工的岗位合同与医院院长签订。
新招大学生和专业人才由医院提出招聘计划,管委会批准后,报公司人力资源部审核,由公司人力资源部统一组织招聘。
其他职能部门配合医院人力资源室做好人员的培训和管理工作;协助人力资源室拟定年度人力资源计划。
(四)内部审计
1.控制目标
通过对医院日常经营管理工作的再监督,强化内部管理控制,对业务管理活动做出客观、公正的审计结论和意见,及时发现问题纠正错误,堵塞管理漏洞,减少损失,保护资产的安全与完整,提高会计资料的真实、可靠性。
2.管控措施
(1)职责权限
1)管理委员会
2)审批内部审计制度、年度内部审计计划,审核年度内部审计工作报告;
3)决定聘用或解聘承办审计业务的会计师事务所,并决定其报酬;
4)审批医院经营者经济责任审计结果、重大投资项目和财务开支的专项审计结果。
(2)经管科
1)负责制定医院内部审计规章制度,编制医院内部审计工作计划并组织实施及考核;
2)负责组织和管理医院内部审计工作;
3)负责管理医院财务收支审计、经济效益审计和内部控制制度评价工作,根据需要开展专项审计工作;
4)负责医院主要负责人的经济责任审计工作;
5)负责检查审计意见执行落实情况,督促被审计部门整改;
6)负责指导医院的内部审计工作;
7)配合上级机关对医院的审计和检查;
8)负责内部审计工作信息统计工作。
3)其他职能部门
医院各职能机构应当积极配合内部审计工作。
(1)管控措施
1)建立规范的内部审计工作管理制度。
医院按照上级有关规定,制定和完善内部审计工作制度,编制内部审计工作计划,定期向医院主要领导和上级内部审计机构提交内部审计工作报告。
院办负责医院系统内部审计报告的收集、归类、整理、保管、报送和反馈,并提出年度内部审计报告的重点和要求。
医院内部审计包括经济责任审计、经济效益审计、管理审计、工程立项审计、工程预算审计、在建工程跟踪审计、工程竣工决算审计、财务决算审计、财务收支审计、内部控制与风险管理审计、专项审计调查等。
2)建立健全业务管理过程的内部审计机制。
通过开展重点建设项目过程跟踪审计工作,制定相关工作制度和实施办法,将审计关口前移,对重点项目进行跟踪审计,随时发现问题随时纠正,避免因事后审计,对造成的损失和存在的问题无法弥补或纠正。
通过开展跟踪审计,加强对建设项目从立项、施工、监理、合同、招投标、投资、质量、工期、安全等各方面的动态管理。
3)加强审计整改意见的落实监督,切实保障审计整改的工作实效。
医院对所有审计项目建立跟踪台账,对审计发现的问题要求各部门明确责任人员,限期整改。
院办定期将下发的审计意见汇总、整理、归类和分析,会同相关职能部门,采取审计联席会议的方式,共同研究审计报告中发现的问题,分析产生的原因,针对性地制定措施。
(五)医院文化
1.控制目标
加强风险防范意识和法制观念,医院管理层应该以身作则追求较高的诚信与道德标准,并规范员工的行为,全力营造良好的组织文化。
具体内容包括:
(1)文化建设。
医院要培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作情神,树立现代管理理念。
(2)风险意识。
包括医院在介入新业务前,应经过仔细的风险和收益分析后再采取行动;是应积极介入风险特别高的业务。
(3)法制建设。
医院应加强法制教育,增强高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督。
(4)管理层应该在言谈和行动的方式中表现出对道德标准一丝不苟的遵循,并向员工传达诚信与道德标准,以保证道德标准必须不折不扣地执行,具体包括:
1)道德标准是全面的,针对利益冲突、非法或其他不当付款、反不正当竞争准则、内幕交易。
2)医院对道德标准进行有效地宣传推广。
3)员工知晓什么行为是可接受的,什么是不可以接受的,以及当遇到不当行为时应该采取的行动。
2.管控措施
以西飞理念和《西飞纲领》为指引,秉承医院发展战略,在医院全面实施文化管理,以文化启迪思想、把握方向,逐步完善、纵深管理的有效机制,使广大干部对医院的发展目标、管理思路、管理办法在认同、领悟的基础上,不断渗透到各部门、各班组,使医院全体员工统一思想、统一认识,并付诸于行动,落实到具体工作中,用文化创造价值。
整合价值观念,创建学习型组织。
提高管理绩效,履行社会责任。
(六)社会责任
1.控制目标
医院在经营发展过程中注重履行社会责任,在日常管控中严格落实安全生产责任制,着力提升安全生产意识,保障员工安全生产;建立质量管理体系,强化质量过程管理,提升质量信誉;加强环境保护与资源节约,营造良好的生态文明和社会文明;促进就业,保障员工权益,提高员工责任心和工作积极性;遵循法律法规,诚信开展经营业务活动,履行应尽义务。
通过将社会责任融入医院经营管理之中,不断提高医院治理水平和可持续发展能力,提升医院社会责任竞争力,创建良好的医院形象。
2.管控措施
医院根据国家有关安全生产的规定,并结合医院实际情况,建立了严格的安全事故应急预案,落实日常安全监督,采用多种形式增强员工安全意识,重视生产岗位安全培训,对于特殊岗位实行资格认证制度,同时强化安全生产责任追究制度,切实做到安全生产。
三、风险评估
风险评估指医院为了实现发展目标,按照特定规范和标准要求,评估影响医院目标实现的各种不确定因素,并采取应对策略的过程。
风险评估是内部控制的重要环节,主要包括目标设定、风险辨识评估、重大风险应对、风险管理监督与改进。
(一)风险框架结构
1.风险框架介绍
遵循《中国航空工业集团公司内部控制应用指引》的风险分类方法,公司风险框架分三级,分别是一级风险、二级风险与三级风险。
(1)一级风险分为战略类、运营类、财务类、人力资源类、质量类、市场类、外部环境类、对外投资类、保密安全类、法律类和廉洁类共11个类别。
1)战略类风险:
主要指医院所处的战略环境变化或战略管理过程中的不确定因素,对医院造成影响的风险,包括宏观环境变化、相关政策调整、行业周期性影响等系统性风险,以及在战略研究、制定、执行、调整过程中策略、程序和执行问题等。
2)经营类风险:
主要指医院在经营过程中,由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性,而导致的运营失败或使经营活动达不到预期的目标的可能性及其损失。
包括研发设计、基建技改、采购、生产销售等。
3)财务类风险:
主要指医院财务结构不合理、融资不当使医院可能丧失偿债能力而导致预期收益下降和陷入财务困境甚至破产的风险。
包括预算管理、融资、资金管理、税收管理、资产管理、会计核算、财务报告、保险等环节的管理程序、管理策略或执行中的问题等。
4)人力资源类风险:
主要指由于人力资源引进、退出或者激励机制不合理,造成人力资源缺乏或过剩、结构不合理、开发机制不健全、关键岗位人才流失、经营效率低下或关键技术泄密。
5)质量风险:
主要指服务质量低劣,侵害消费者利益,可能导致医院巨额赔偿、产生严重社会影响、形象受损甚至关闭。
6)市场类风险:
主要指市场环境因素变化,对医院造成影响的风险,包括服务需求变化,市场竞争状况、服务/服务价格波动等。
7)外部环境类风险:
主要指医院宏观外部环境变化造成的对医院战略目标实现的不确定性,主要包括:
国家政策风险、国际政治风险、宏观经济风险、自然环境风险等。
8)对外投资类风险:
主要指对外投资项目未经科学、严密的评估和论证或未经适当审批或超越授权审批或对外投资项目缺乏有效的管理,导致决策失误或投资收益受损。
主要包括投资立项风险、投资管控风险及投资退出风险。
9)保密安全类风险:
主要指医院保密安全措施不到位,造成医院知识产权秘密泄露或安全事故,给医院财产或声誉造成损失。
10)法律类风险:
法律风险是指医院在运营过程中因自身经营行为的不规范或者外部法律环境发生重大变化而造成的不利法律后果的可能性,以及因违反法律或监管要求而受到制裁、遭受经济损失以及因未能遵守所有适用法律、法规、行为准则或相关标准而给医院信誉带来的损失的可能性。
11)廉洁类风险:
主要指由于医院人员个人行为规范或职业操守问题,故意违反法律法规、医院规章制度或职业规范的风险。
(2)二级风险是一级风险的细化,主要根据风险在不同业务类别或流程上的分布划分,具体划分如下表所示:
1)在战略类风险下设置了战略制定风险和战略实施风险两项二级风险;
2)在经营类风险下设置了研发设计风险、基建技改风险、采购风险、经营风险、技术风险、服务风险、安全风险、审计风险、信息化风险、综合事务风险、医院文化风险、新闻舆论风险等十二项二级风险;
3)在财务类风险下设置了资金管理风险、信用风险、预算风险、成本控制风险、汇利率风险、资产管理风险、担保风险、财务信息风险、债务风险、税务风险等十项二级风险;
4)在人力资源类风险下设置了人力资源规划风险、人才引进风险、岗位设置风险、人才激励与考核风险、教育培训风险、人力资源退出风险、人力资源日常管理风险等七项二级风险;
5)在质量类风险下设置了质量体系风险、服务质量风险、质量检测风险等三项二级风险;
6)在市场类风险下设置了需求波动风险、供给波动风险、竞争风险等三项二级风险;
7)在外部环境类风险下设置国家政策风险、国际政治风险、宏观经济风险、自然环境风险等四项二级风险;
8)在对外投资类风险下设置投资立项风险、投资管控风险、投资退出风险等三项二级风险;
9)在保密安全类风险下设置了保密风险、安全风险、节能环保风险等三项二级风险;
10)在法律类风险下设置合规风险、合同管理风险、诉讼风险、知识产权风险等四类二级风险;
11)在廉洁类风险下设置了廉洁风险等二级风险。
(3)三级风险是对二级风险的进一步细化。
结合公司实际业务特点,分别在二级风险分类框架下定义了研发规划风险、技术研发风险、技术执行风险等共18项三级风险。
2.医院风险结构图
根据医院的目标体系和业务特点,目前的风险结构包括风险类别和风险事件。
风险分类结构如下图3-1所示。
风险分类结构根据所处发展阶段、业务结构、管控模式以及风险特点变化,进行动态调整。
西飞医院风险分类框架
图3-1风险分类结构
(二)目标设定
风险是不确定因素对医院目标的影响。
目标设定是风险辨识、风险评估和风险应对的前提。
开展风险管理与内部控制工作,需综合考虑医院的战略、经营、报告、合规等多种目标。
战略目标反映了医院的使命与愿景。
经营目标与医院经营的效果和效率相关,包括业绩和利润性目标,这类目标与医院结构和经营业务的选择相关,需要反映医院运营所处的特定的经营、行业和经济环境。
报告目标与报告可靠性相关,包括内部与外部报告。
合规目标涉及医院必须遵守的法律法规,主要取决于外部因素,某些情况下所有医院的此类目标都基本相似,但在另一些情况下,医院也面临一些特殊的行业性的合规目标。
医院通过有效的风险管理与内部控制工作,制定相关制度与流程,确保战略、经营等目标与医院使命相协调,并根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况及时进行风险评估。
(三)风险辨识
1.信息收集
根据医院风险分类结构,医院应持续关注并收集与医院风险和风险管理相关的各类信息,通过对初始信息进行必要的筛选、对比、统计分析,总结提炼现有及潜在的内外部风险,为风险识别和评估提供依据和基础。
(1)收集方法
风险信息收集是风险管理的常规性工作,也应体现在战略研究、投资分析、项目评价、市场决策等重要经营管理活动中。
医院可通过实地调研、问卷调查、专题研讨、专家访谈、日常经营管理数据分析等方式,或利用外部信息渠道、借助外部力量定期开展信息收集。
(2)收集要点
结合风险框架分类结构,进行战略、财务、运营、市场、法律等各类信息收集的要点如下所述:
1)战略类信息
医院收集战略方面信息,应关注并收集下列各项基本数据及内外部相关案例:
经济政策以及经济运行情况、本行业状况、国家产业政策;
行业竞争形势、主要竞争对手及战略合作伙伴的情况;
医院、医院战略规划、经营计划及重大投资的执行情况、经验总结及问题分析;
2)财务类信息
医院收集财务方面信息,应关注并收集下列各项基本数据及内外部相关案例:
国内会计准则、医院会计准则;
合规要求;
医院的财务结构、资本成本、偿债能力、现金流及投资收益情况;
成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节;
环保费用、政策优惠费用;
同行或其他因财务风险导致医院危机的案例。
3)运营类信息
医院收集运营方面信息,应关注并收集下列各项基本数据及内外部相关案例:
医院组织效能、管理现状、组织文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;
质量、安全、环保、信息安全等管理
升级会员 