二、公立医院风险评估的基本程序

医院风险评估工作一般按照目标设定、风险识别、风险分析和风险应对等程序进行。医院可以首先建立风险评估工作组，制定风险评估方案，确定风险评估的范围和内容；其次设定经济活动目标，收集风险评估初始信息，识别医院经济活动中存在的风险事项，编制风险评估问卷；再次发放填写风险评估问卷，对风险事项发生的可能性和影响程度进行分析评价，确定医院经济活动风险排序；最后根据风险评估结果制定重大风险应对策略，编制风险评估报告。其中，目标设定、风险识别、风险分析和风险应对是风险评估工作的重点。

（一）目标设定

目标设定是医院经济活动风险评估的前提，只有先确立了目标，医院才能针对目标来识别风险并采取必要的行动控制风险。医院经济活动控制目标主要包括经济活动的合法合规、资产安全和使用有效、财务信息真实完整、有效防范舞弊和预防腐败、提高医疗服务的效率和效果。

1．经济活动的合法合规

医院经济活动要达到有效控制，首先要保证单位经济活动在法律法规允许的范围内进行，严禁违法违规行为发生，这是医院经济活动最基本的目标，也是医院经济活动开展的前提。医院经济活动一旦违反法律法规，轻则遭警告罚款，重则项目终止，甚至取消项目，从而对其他业务活动产生影响，不利于医院的长远发展。所以，医院开展任何一项经济活动时，都应首先设定保证经济活动合法合规的控制目标，根据这一目标来识别可能导致经济活动违法违规的风险因素，并对这些风险因素进行有效控制。

医院经济活动合法合规体现在以下三个层面：应符合国家法律、应符合行政法规、应符合相关政策文件。

2．资产安全和使用有效

资产安全完整、使用有效，防止资产包括货币资金、实物资产、投资资产等被变现挪用、盗窃、浪费甚至贪污，是医院经济活动的重要控制目标。近年来，医院屡屡发生挪用资金、贪污、盗窃等案件，部分医院实物资产管理混乱，长期账实不符，未落实资产管理使用责任，丢失、滥用现象时有发生，存在资产配置不合理、财政资金浪费严重的情况，给国家财政造成损害，也给医院自身形象造成不良影响。医院在经济活动中应设定资产安全和使用有效的控制目标，识别单位经济活动中影响资产安全和使用有效的风险因素，对这些风险因素进行控制。

医院资产安全和使用有效表现在以下三个方面：一是保障医院货币资金，包括现金、银行存款、零余额账户用款额度和其他货币资金等的保管和使用安全，提高财政资金的使用效率。二是保障医院实物资产管理规范，资产保管安全完整，包括房屋及建筑物、专用设备、一般设备、药品、卫生耗材、低值易耗品、图书以及其他资产等。三是保障医院对外投资决策科学、程序规范、合法合规，包括债券投资和其他投资，既要保证投资收益合理入账，也要保证投资资产安全完整。

3．财务信息真实完整

对于医院而言，客观真实地反映单位经济活动效率和效果，保证单位财务信息的真实、可靠和完整性，既是医院财务会计核算的基本要求，也是医院内部控制的重要目标。医院通过编制会计报告、预算执行报告等相关报告，准确反映单位财务状况、预算执行情况及日常运行管理情况，同时也反映单位完成公共服务和履行社会责任的情况。近些年，随着医院经济活动的日趋复杂，部分医院财务会计制度跟不上形势发展要求，加上部分医院会计人员素质低下，医院保证财务信息的真实完整面临着越来越大的挑战。

医院财务信息的真实完整体现在两个方面：一是设定财务信息真实完整的控制目标，并通过持续识别影响财务信息真实完整的风险因素，对这些风险因素进行有效的控制，以建立医院经济活动财务风险控制机制。二是完善医院内部会计管理制度，提高医院会计人员的技能和素质，规范医院财务管理程序和方法，为医院提供真实可靠的财务信息建立基础。

4．有效防范舞弊和预防腐败

由于掌握了大量社会资源，医院经济活动一定程度上也可以说是一种社会资源分配活动。公平、公正、公开地分配资源，保证廉洁奉公，防止贪污舞弊，是医院经济活动必须坚守的控制目标。由于监督不力、控制机制不健全等各种原因，医院贪污腐败行为时有发生。因此，医院应设定防范舞弊和预防腐败的控制目标，识别经济活动中可能导致舞弊和腐败发生的各类风险因素，建立有效的控制机制，防范舞弊和腐败风险发生。

5．提高医疗服务的效率和效果

向社会提供医疗服务，既是医院的基本职能，又是医院经济活动的最终目的。医院应通过规范内部管理、提高经济活动风险控制水平，提升单位医疗服务的效率和效果。医院在向社会提供医疗服务时，需要对医疗服务业务所需资金及单位内部正常工作所需经费进行预算管理。只有将预算公平公正地批复给内部各单位，才能将有限的公共资源投向正确合理的方向，从而确保医疗服务职能的有效发挥。医院应设定提高医疗服务效率和效果的控制目标，识别影响医疗服务效率和效果的风险因素，并对这些风险因素进行有效管控。

医院在设定经济活动目标的同时，需要持续不断地收集单位内外部各种初始信息。例如，单位层面影响经济活动开展的组织机构、决策机制、关键岗位、关键人员、会计系统、单位信息技术、绩效管理状况等信息；与单位经济活动相关的各种业务信息，包括预算管理情况、收支管理情况、采购管理情况、固定资产管理情况、基建项目管理情况、合同管理情况、科研项目管理情况、成本核算情况等业务信息。

同时，医院应当合理界定单位经济活动的风险偏好与风险承受度。其中，风险偏好是指医院在实现经济活动目标的过程中愿意接受的风险数量。风险承受度是指医院在经济活动中能够接受的风险限度，即在医院能力范围内能够承受的最大可能损失。风险偏好的概念是建立在风险承受度之上的。风险偏好与医院目标直接相关。医院在制定经济活动目标时，应考虑将经济业务可能的收益与风险偏好结合起来，帮助医院制定符合自身风险偏好的经济活动目标。风险承受度也与医院目标相关，是相对于实现一项具体目标而言医院所能接受的偏离程度。医院应当明确单位风险偏好的边界和采取行动的指标，同时设置若干风险承受度的指标，以显示不同的警示级别。

（二）风险识别

风险识别是在风险事件发生前，综合运用多种科学方法，查找医院各项经济活动及重要业务流程中存在的风险的过程。风险识别主要基于广泛的内外部信息收集，通过与相关人员访谈了解医院经济活动状况，经过筛选、对比、分类组合，形成医院重要风险清单。风险识别作为风险评估的重要环节，旨在回答：医院现在的和潜在的风险有哪些？哪些风险应予以研究？引起风险事件的主要原因是什么？这些风险所引起的后果如何？风险的各种管理措施是否到位？

风险识别是一个输入转化为输出的过程。风险识别的关键在于识别影响经济活动目标实现的潜在事项，即源于外部或内部的、影响单位目标实现的因素。根据医院风险分类和经济活动控制目标，将单位层面风险和业务层面风险按照五大控制目标的维度识别具体风险事项，形成医院经济活动风险识别矩阵。

医院在进行经济活动风险事件识别时，可以综合运用以下风险识别方法。

1．风险清单法

风险清单法是指由专业人员设计标准表格和问卷，表格和问卷力争涵盖所有风险，受访者对清单上的每个问题作答，以此构建本单位风险框架，识别出本单位的主要风险。风险清单的局限性在于对清单设计要求较高，否则很容易出现缺漏，特别是医院管理职能千差万别，可能会使某些特殊风险未被包括进去。

2．财务报表分析法

财务报表分析法按照价值手段反映医院经济活动，通过对财务报表进行结构和趋势分析，并与同类型单位进行比较，可以发现存在的风险。例如，分析公派出国考察费用、公务用车、公务接待费用的历年数据，可以判断三公经费增长控制目标是否能够实现。

3．流程图法

流程图法是将医院经济活动各节点按照流程图的方式绘制出来，并对每个节点的具体责任部门和工作内容进行描述。通过对流程图的分析，可以发现内部控制的薄弱点。

4．小组讨论和访谈

医院在风险识别的过程中，还可以通过小组讨论或访谈院领导和一般科员识别单位存在的风险。小组讨论和访谈一般由风险评估小组召集并讨论可能对实现单位目标产生的影响。需要注意的是，对于一些敏感问题，参加小组讨论的人员可能会保持沉默，而个别访谈可能会取得很好的效果，因此实践中两者可以有效结合运用。

5．实地检查法

实地检查法是指通过实地调查了解医院经济活动的基本状况。在调查过程中需注意调查医院在调查期间和平时工作是否执行不同的管理标准，是否存在应付检查的情况。医院可以通过事先不通知的现场突击检查获得第一手资料，并与基层人员建立和维持良好的关系。

6．文件审查

文件审查是指通过审查经济活动相关文件的结构和内容来识别风险，如医院三定方案的文件、医院内部管理制度、医院领导班子会议记录、工作计划、财务报告等。医院领导班子会议记录记载的重要事项，其决策程序是否科学合理，是否充分发扬民主，会议记录是否明晰等，均有助于揭示医院议事决策机制的风险。

风险事件通常不是孤立发生的，一个风险事项可能引发另一个风险事项，多个风险事项也可能同时发生。在识别风险的过程中，风险评估人员应当了解风险事项彼此之间的关系，并通过评估这些关系，确定风险应对的最佳方向。同时，风险事项可能具有负面影响，也可能具有正面影响，或者两者兼而有之。具有负面影响的事项代表风险，需要医院进行评估和应对；具有正面影响或抵消负面影响的事项代表机会，医院应当把代表机会的事项引入其目标制定的过程中，并制定明确的行动计划以抓住这些机会。

（三）风险分析

风险分析是指在风险识别的基础上，运用定量和定性的方法对风险发生的可能性和对医院目标实现的影响程度进行分析，并对风险进行排序，确定需优先控制的风险，避免风险发生给医院带来损失。风险分析是分析应对的基础，没有客观、充分、合理的风险分析，风险应对将无的放矢或效率低下。一般来说，医院风险分析包括两大核心内容：一是风险事项发生的可能性；二是风险事项产生的影响。医院在具体开展风险分析时，应从单位经济活动具体情况出发，运用适当的风险分析技术，定量或定性地评估相关事项，为风险应对提供依据。

医院开展风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。风险分析的具体步骤如下：

首先，根据风险发生的概率大小将风险发生的可能性进行分级。可分为高、中、低三个级别或极高、较高、中等、较低、极低五个级别。对每个可能性级别进行定性或定量的描述，并由高到低赋予一定的分值。

其次，根据风险发生后给医院带来的损失大小程度对风险的影响程度进行分级。也可以分为高、中、低三个级别或极高、较高、中等、较低、极低五个级别。对每个影响程度级别进行定量和定性的描述，并由高到低赋予一定的分值。

最后，根据风险发生的可能性和影响程度分析结果，将其绘制在同一个平面图上，形成风险地图，对风险按等级进行排序。风险地图是用于风险识别和排序的有效工具，旨在对多项风险进行直观的比较，从而确定医院各经济活动风险管理的优先顺序和策略。

医院还可以综合使用蒙特卡罗法、压力测试法、关键风险指标法、概率分析、敏感性分析、情境分析法等对单位经济活动风险进行分析。

1．蒙特卡罗法

蒙特卡罗法是一种随机模拟数学方法。该方法用来分析评估风险发生的可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布。具体操作步骤为：量化风险，对历史数据进行分析并建立概率模型，计算概率分布初步结果，修正完善概率模型，利用模型分析评估风险情况。

2．压力测试法

压力测试法是指在极端情境下，分析评估风险管理模型或内部控制流程的有效性，发现问题并制定改进措施的方法，防止出现重大损失事件。具体步骤为：针对某一风险管理模型或内部控制流程假设极端情景，评估极端情景发生时内部控制流程是否有效，从而制定相应的措施进一步修改和完善内部控制流程。

3．关键风险指标法

一个风险事件的发生可能有多种原因，但关键成因往往只有几种。关键风险指标法是对引起风险事件发生的关键成因指标进行管理的方法。具体操作步骤为：分析风险成因、将关键成因量化、以具体数值为基础形成关键风险指标、建立风险预警系统、制定出现风险预警时的控制措施、跟踪监测关键成因数值的变化并实施控制措施。在指标选择上，既可以选择一些常规的具有代表性的指标，也可以进一步拓展其他有代表性的指标。比如：评价财务风险的净资产收益率指标，可以采用杜邦财务分析体系进一步分解，杜邦财务分析体系将企业净资产利润率分为利润率、资产周转率以及权益乘数三部分：①企业利润率的高低，反映了企业的盈利能力。提高企业利润率就要求企业拓宽销售渠道、降低生产经营成本。利润率的分析直接关系到企业的决策与运营。②资产周转率是营业收入和资产总额的比值，是指企业的每单位资产产生营业收入的大小。得到的数值越大，代表企业资产的效能越高，即企业每单位资产的盈利能力越强。企业可以通过对现有资产的优化配比，分析影响资产的各种相关因素，合理分配流动资产与固定资产的比例，提高资产利用效率，从而提升盈利能力。③权益乘数则是指企业的负债程度。权益乘数越大，代表企业资产负债率高，企业的负债程度高，即企业负债资产所产生的收益高，但同时承担的风险也较高；反之，则较小。企业要在保证资产回报率高于自身负债比率的基础上，充分利用权益乘数增强盈利能力。

4．概率分析

风险的某些方面可以用概率等数学方法加以测量。对周期性发生的事情，可以从其历史信息和走势中导出其概率。从传统意义上看，不利事件的风险都可以通过概率进行分析，常用的方法主要有概率、期望、方差等。

5．敏感性分析

敏感性分析不仅适用于风险识别，还适用于风险分析。敏感性分析在合理范围内，通过改变输入参数的数值来观察并分析相应的输出结果。由于计算相对容易，敏感性度量方法有时用来补充概率方法。通过敏感性定量分析，可以帮助单位明确自身对相关风险的接受程度。

6．情境分析法

情境分析法可以同时用于风险识别和风险分析，是一种自上而下的分析方法，可以计量某事件或事件组合对单位将会产生的影响。它通过想象、联想和猜想来构思和描绘未来可能的情况，从而为指定风险应对策略提供支持。情境分析的主要程序是：确定分析的主题、建立风险数据库、构思风险各种可能的未来图景、设想一些突发事件对未来情境可能的影响、描述未来各种状态的发展演变途径。

（四）风险应对

风险应对建立在深入的风险分析基础上，为风险控制活动提供依据。医院应在识别并分析风险发生可能性和影响程度的基础上，根据单位经济活动控制目标、单位风险偏好和风险承受度，结合实际情况制定适当的风险应对策略。

医院根据风险的可规避性、可转移性、可缓解性和可接受性等四种属性，分别制定风险规避、风险降低、风险转移和风险承受等四种应对策略，它们既可以单独使用，也可以综合使用。

1．风险规避

风险规避是医院对超出风险承受度的风险，通过放弃或停止与该风险相关的经济活动来避免和减轻损失的策略。风险规避一般包括两种形态：一种是不从事产生某种风险的经济活动，如取消原定的公费出国考察计划，可免除因此导致的责任风险；另一种是终止已经开展的某些经济活动，如由于社会舆论的压力终止发放高温补贴。

医院由于担负着社会管理和公共服务职能，各项经济活动是必须开展的，完全规避风险就意味着不作为，也是不现实的。因此，医院应在实施某些经济活动之前应多举行听证会，并保证听证会的公平、公正性，避免采取亡羊补牢的方式，出尔反尔会降低单位的公信力。

2．风险降低

风险降低是医院在权衡成本效益后，准备采取适当的控制措施降低风险发生的概率或减轻风险产生的损失，将风险控制在可承受度之内的策略。根据风险管理的目的，风险降低措施又可分为损失预防和损失抑制两类：损失预防是指降低损失发生的概率，即通过采取措施消除或减少可能导致损失发生的原因；损失抑制是指减轻损失程度，在事故发生时和发生后采取措施减少损失发生范围。医院通过建立内部控制系统、内部审计、作业流程等多种控制活动来降低风险。

3．风险转移

风险转移是医院借助他人力量，通过合同、业务分包、购买服务、参保等方式和适当的控制措施，将风险转移给外部单位或个人的风险应对方式。风险转移分为财务型转移和非财务型转移两类。比如医院向保险公司缴纳车辆涉水险保费，那么一旦车辆遭水浸泡发生损失，保险公司必须在合同规定的责任范围内予以赔偿。

4．风险承受

风险承受是医院对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或减轻损失的策略。风险承受可能是主动的，也可能是被动的。对于未能辨别出的风险，医院只能采用承受；对于辨别出的风险，医院可能缺乏能力进行主动管理，因此可能会采用风险承受。对于医院经济活动中的重大风险，即影响经济活动目标实现的风险，一般不应该采取风险承受。

医院综合评估以上四种风险应对策略时，应考虑这些风险应对策略对风险发生可能性和影响程度的效果，使剩余风险水平与医院的风险承受度相协调。一般情况下，风险回避只有在其他应对措施都不能将风险降低到可承受范围内的情况下采用；风险降低和风险转移的目标是使医院的剩余风险在可控和可承受的范围之内。

（五）出具风险评估报告

风险评估工作完成后，医院应根据风险评估结果编制风险评估报告并及时提交医院领导班子，以提请医院领导关注重要风险，及时采取有针对性的应对策略和控制措施。根据医院实际情况，借鉴企业及其他行政事业单位风险评估报告内容，医院经济活动风险评估报告至少应包括以下内容。

风险评估组织情况。包括风险评估活动的工作机制、范围、程序和方法，以及资料和证据收集等情况。

发现的主要风险事件。包括组织机构、议事决策、关键岗位、关键人员、会计系统及信息技术等单位层面的风险事件及预算管理、收支管理、采购管理、基建项目、固定资产管理、合同管理等业务层面的风险事件。

风险分析。从风险发生可能性和影响程度两方面对风险发生因素进行分析并排序，确定需重点关注的风险因素并进行分析，提醒医院领导重点关注。

风险应对措施建议。提出风险应对措施的建议，确保建议有针对性、具体性和可行性，并落实到责任部门和责任人。

医院应根据上述程序开展风险评估工作，并建立有效的风险评估保障机制，如制定风险评估管理制度，明确医院领导在风险评估中的责任，组建风险评估工作组，制定风险评估方案，明确风险评估方法等，确保医院经济活动风险评估工作有效开展，为单位层面和业务层面内部控制建设奠定基础。