五、医院内部控制流程

（一）建立内部控制组织机构

1．成立内部控制建设领导小组

内部控制建设领导小组应当由单位负责人担任组长，党政班子成员担任副组长，相关管理职能部门领导参加。①单位领导小组是内部控制建设的最高权力机构，全面负责单位内部控制规范建设工作的实施。其职责主要是：批准医院内部控制规范实施方案、带头学习内部控制知识、布置内部控制培训、审批流程梳理结果、确定风险及管控措施、审批内部控制手册和自我评价制度、审批自我评价报告和整改报告等。②单位领导小组要建立健全议事决策制度和规则。

2．建立内部控制规范实施机构

医院内部控制规范实施机构包括财会、内部审计、纪检监察、政府采购、基建、资产管理、人事、办公室等部门，具体负责制定内部控制规范实施方案、组织内部控制学习和培训、组织对各项管理和业务流程进行梳理或流程再造并对流程准确描述、查找风险点并编制风险清单、评估分析风险发生概率和风险等级、制定风险应对策略及管控措施、编制内部控制手册和自我评价制度。

3．建立内部控制规范自我评价机构

医院应当建立自我评价机制，明确自我评价组织实施方案、人员组成和素质要求，确定自我评价程序、评价标准及各项指标、评价时间，规定自我评价报告报送程序，领导班子审批议程、反馈整改，考核处理等要求。

领导小组应当指定除内部控制规范实施牵头部门以外的部门组成自我评价工作小组，独立实施自我评价工作。适合开展自我评价的牵头部门主要包括：内部审计、纪检监察、人事、办公室等。内部控制自我评价必须保证每年至少一次。自我评价包括内部控制要素评价和流程层次评价两个方面。内部控制要素评价重点对内部控制环境的单位治理结构、组织架构和权限管理进行细分。流程层次评价主要是评价控制目标是否适当、控制措施是否针对控制目标、控制措施是否得到有效执行。

领导小组将评价结果纳入相关部门的绩效考核，对于内部控制评价报告中列示的问题，应当督促有关部门进行改进，对重大缺陷应追究相关人员的责任。

（二）制定详细的内部控制建设工作方案

内部控制牵头部门应该根据医院实际情况制定详细的、具有可操作性的工作方案。内部控制方案要不留死角和盲区。内部控制建设方案主要包括控制目标、实施范围、实施原则、工作任务、基本要求、组织方式和职责、工作准备、流程梳理或流程再造、风险评估、制度完善要求、制定内部控制手册内容和要求等。

此外，根据领导小组决议下发内部文件，公布内部控制规范建设方案，启动内部控制体系建设工作。

（三）组织开展宣传培训工作

第一，充分利用单位内部资源开展内部控制建设宣传活动，营造内部控制建设氛围，产生积极影响，力争做到单位人人知道内部控制体系建设工作。

第二，认真组织内部不同层次的内部控制培训，落实到每一个人。单位领导班子、内部控制建设机构成员主要学习内部控制规范的理论、原则、控制基本方法、风险评估程序、风险管控措施、自我评价要求等。单位非内部控制管理部门或其他人员主要学习内部控制规范体系建设的重要意义、自己在内部控制规范中的作用、控制的基本方法、流程梳理风险查找方法。

第三，通过专业机构培养单位需要的内部控制规范建设人才。内部控制管理具有极强的专业性，单位领导小组应当选拔能够胜任内部控制规范建设工作的管理人员，通过专业机构进行定向培养，提前做好内部控制管理人才的储备工作。

（四）开展摸底调查、访谈和专业分析

第一，开展单位全员摸底调查。在全员培训的基础上，组织专业人员设计单位内部控制调查问卷，调查问卷主要包括控制环境、风险评估、控制活动、信息与沟通、评价与监督等几部分。调查问卷应当要求单位全体员工填写，组织人员对调查问卷进行汇总，逐项进行内容分析。

第二，开展内部控制规范访谈调研。内部控制规范应当安排或聘请专业人员对单位党政班子成员、各主要部门负责人和重要工作岗位人员开展专题访谈调研工作，全面了解单位一把手和班子成员对内部控制管理的设想、对单位管理现状的分析、对管控措施的希望和建议。同时安排专业人员对获得的访谈记录进行分析，协助查找单位内部的管理风险和薄弱环节。

第三，内部控制规范实施机构应当根据调查问卷分析访谈记录，认真研究并确定内部控制规范实施的工作重点，并提出建议。

（五）管理业务流程梳理或再造

第一，对现有流程进行描述。内部控制实施机构应当与单位内部各个部门密切配合，对现有管理流程和业务流程进行细致的描述，描述应当直白、明确、清晰，要充分反映现有流程的实际情况。

第二，在对流程进行描述的基础上，根据本单位内部控制管理的实际需要，对必须调整的工作流程进行再造，以达到合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整、有效防范舞弊和预防腐败、提高医疗服务的效率和效果的控制目标。

第三，对单位层面的各项管理流程和预算业务、收支业务、政府采购业务、资产管理、基建项目、合同管理等经济活动的各项业务流程进行梳理。在梳理过程中，首先描绘出各种管理和业务流程的流程图，对流程图进行详细的文字描述和说明；其次梳理管理和业务流程中存在的风险，根据单位业务特点逐项查找风险点，列示出风险清单，对风险清单进行风险识别，最终确认各流程中的风险点；最后按照业务实现的时间和逻辑顺序，将各个业务中的决策机制、执行机制和监督机制融入业务流程中的每个环节，细化业务流程中各个环节的部门和岗位设置，明确其职责范围和分工，确定管理流程和业务流程优化方案，报内部控制领导小组批准，形成决议。

（六）开展风险评估

第一，从各个管理和业务所面临的内外部环境入手，研究环境对单位内部控制的负面作用，运用多种手段进行风险的定性和定量评估。对已经识别确认的风险要进行风险分析和风险排查，确定风险等级。

第二，风险分析是指在风险识别的基础上，进一步分析风险发生的可能性和对单位目标实现的影响程度，以便制定风险应对策略，为选择应对措施提供依据。风险分析具体包括风险可能性和影响程度分析，目的是对识别的风险进行排序，确定内部控制需要重点关注和优先控制的风险点。

第三，风险应对策略是对已经识别的风险进行定性、定量分析和进行风险排查，确定风险等级，制定出相应的应对措施和整体策略。风险应对策略主要包括风险规避、风险降低、风险分担、风险承担等。

第四，制定风险管控流程图。一般情况下，每个流程应当由流程基本信息、流程图、流程说明、权限指引、风险控制等几部分组成。

（七）制定单位内部控制手册

根据确定的风险点、风险等级和风险应对策略，组织相关人员修改完善工作流程和经济业务流程，提出风险管控措施，固化信息系统和流程，制定内部控制手册。

内部控制手册应当明确各个部门、岗位和相关工作人员的分工和责任，设立相应部门和岗位对内部控制管理制度的执行效果进行监督和奖惩，重点强调一把手的执行力，形成完善的内部控制执行机制。