医院内部控制手册范本

西飞医院内部控制手册一、总则（一）编制目的从完善组织治理和推动原则化管理两个层面来考虑，编制《内部控制手册》，为中航工业西飞工业（集团）有限责任公司的分支机构西安一四一医院（下列简称“医院”）优化流程管控、推动原则化管理提供根据，也为医院开展内部控制工作提供可遵照的原则，同时有效满足医院规定。概括而言，手册编制旨在实现下列目的：1.建立健全内部控制管理体系。结合内部控制工作规定，完善医院制度流程管理体系，建立含有医院本身特色的内部控制体系，提高医院经营效率和效果，为合规经营、资产安全和信息真实提供合理确保。2.固化形成内部控制工作机制。通过明确医院内部控制的目的原则、职责分工，制订一套规范化的工作流程，提出原则化的业务流程控制规定，配合开展内部控制信息系统建设，并持续哺育良好的风险管理文化，以加强内部控制工作，为医院管理规范化和决策科学化提供参考和支持。3.规范加强内部控制评价工作。通过规范内部控制评价工作程序和原则，确保评价成果的客观性和可比性；主动运用评价成果拟定医院管理改善、审计、监察等监督工作的重点，以提高制度执行力，增进风险预控、过程控制和事后惩戒相结合，全方面提高医院管理水平和风险管控能力。（二）编制原则1.办法性与实用性相结合本手册编制既参考了国际与国内内部控制理论和国内外大型公司的内部控制实践，又立足于医院本身的战略目的和管理特点，力求与现有的管控模式及管理实际相衔接，充足考虑内控工作的可行性与可操作性。手册内容涵盖内部控制体系建设基本要素和工作环节，对医院开展内控工作提出一套完整的办法论和指导原则；同时制订了具体的操作指导和原则化的工作模板，为医院内控日常工作提供根据。2.风险预控与业务管理相结合本手册编制贯彻以风险为导向的内部控制理念，将内部控制的工作规定贯彻到业务活动及流程原则化管理中，明确管理界面、权限规范及核心控制点，提出细化到岗位的控制规定，引导各级责任主体在业务执行上符合医院管控规定。3.满足外部监管与提高内部管理相结合本手册编制以满足国资委以及财政部对内部控制规范的监管规定为出发点，从内部控制角度提出开展经营管理活动应遵照的控制规定，以期建立含有“强支撑、短流程、高授权、大监督”特点的管理机制，有效提高经营效率和效果的协调性。（三）编制根据为确保医院内部控制体系建设的合规化及原则化，本手册编制在遵照医院内部控制有关规定的基础上，同时参考了现在国际国内通行的内部控制原则，其编制根据以下：1.医院及医院有关制度；2.中航飞机股份有限公司有关制度、《中国航空工业集团公司内部控制应用指导》3.现在国际国内通行的内部控制法规及有关原则，重要涉及：《公司内部控制基本规范》（财政部等五部委颁布，财会[]7号）、《公司内部控制应用指导》（财政部等五部委颁布，财会[]4号）、COSO-ERM《公司风险管理—整合框架》（）。（四）内部控制体系框架1.内部环境。内部环境是实施内部控制的基础，普通涉及组织架构、发展战略、人力资源、内部审计、医院文化、社会责任等。2.风险评定。风险评定是及时识别、系统分析经营活动中与实现内部控制目的有关的风险，合理拟定风险应对方略。3.控制活动。控制活动是根据风险评定成果，采用对应的控制方法，将风险控制在可承受度之内。4.信息与沟通。信息与沟通是及时、精确地收集、传递与内部控制有关的信息，确保信息在组织内部、医院与外部之间进行有效沟通。5.内部监督。内部监督是对内部控制建立与实施状况进行监督检查，评价内部控制的有效性，发现内部控制缺点，应当及时加以改善。（五）内部控制组织构造与权责医院建立健全了涉及由决策层、管理层、执行层、监督部门构成的内部控制管理架构，明确了各层级的管理职责。1.管理委员会（1）负责内部控制管理工作，重要负责：（2）审议医院内控管理制度；（3）审议医院内控管理体系建设规划、整体框架；（4）审议医院业务流程架构；（5）审议管理层内部控制评定报告；（6）审议内控管理组织机构设立及其职责方案；（7）办理医院授权的有关内控管理的其它事项。2.经管科经管科是内部控制管理工作的办事机构，重要负责内控体系建设、运行、维护的组织及日常监督工作，负责对内部控制体系运行状况实施过程监督和专项审计，经管科每年最少组织实施一次内部控制专项审计。重要职责以下：（1）根据国家有关法律、法规及有关规定，负责组织制订内控管理制度；（2）负责编制内控管理体系建设规划、体系框架，并组织实施；（3）负责组织风险评定工作，拟定重大风险，建立风险数据库；（4）负责组织和协调业务流程管理有关工作；（5）负责组织风险控制设计及实施；（6）负责内控管理体系日常维护；（7）负责协调外部内控检查和审计；（8）负责拟定医院年度内部控制评定报告，并上报至管理委员会；（9）负责内控管理业务培训。3.其它管理部门及各科室（1）负责组织本部门员工学习并实施医院内控管理规范；（2）负责本部门业务流程描述与优化；（3）组织本部门风险控制方法的设计及实施；（4）组织本部门内控管理规范的日常监督检查；（5）人力资源室负责将内控管理纳入绩效考核指标体系。（六）手册执行与更新本手册作为医院开展具体工作的准则和指南，含有约束性。一经公布，医院及各级员工应遵照手册规定执行有关工作规定，规范开展内控工作，定时组织内控评价，主动运用评价成果，有效组织整治贯彻，持续提高医院管理水平。随着医院不停发展，外部经营环境和内部风险现状也会不停发生变化，医院内部的管控模式、组织架构、业务管控活动和工作流程应随之动态调节；同时，随着内部控制经验的不停积累和信息化水平的提高，医院应适时改善和完善本手册的具体内容。经管科作为本手册管理与维护的归口部门，原则上根据年度内部控制实际状况，每年开展一次评定，并根据需要进行更新。更新资料重要来源于：管理委员会、管理层及各部门对内控的规定及建议、医院各部门的管理实践、年度内控评价成果。持续修订、完善和更新后的《内部控制手册》作为医院沉淀优秀管理经验，创新原则化管理和实现管理样板性目的的重要工具之一，经审批后正式生效。（七）手册颁布与生效本手册于五月颁布，自颁布之日起生二、内部环境内部环境是医院建立与实施内部控制的基础，重要涉及组织架构、发展战略、人力资源政策、内部审计、医院文化、反舞弊、信息系统管理和社会责任等内容。（一）组织架构1.控制目的医院应当按照国家有关法律法规、医院章程有关规定，结合本医院实际，明确医院内部各层级机构设立、职责权限、人员编制、工作程序和有关规定的制度安排。具体涉及：（1）应建立合理的内部管理组织机构；（2）应根据运行目的、运行职能和监管规定，明确界定各管理部门和岗位的权力和责任分派体系。2.管控方法（1）明晰职责权限1）医院设院长1名，根据医院章程，院长授权行使下列职权：①主持医院的发展、经营管理工作，组织实施管委会决策；②组织拟定医院年度工作计划、固定资产投资(修理)计划和新业务新技术的研发计划；③组织拟定医院年度财务预算、年度财务决算；④组织拟定医院内部管理机构的设立方案；⑤组织拟定医院基本管理制度；⑥组织制订医院的具体规章；⑦向管委会提请聘任或辞退医院副院长及管理人员；⑧决定聘任或者辞退除应由管委会聘任或辞退以外的管理人员；⑨对医院经营活动中发生的重大事项及时向管委会报告；⑩管委会授予的其它职权。2）领导班子组员,对院长负责，并在职责范畴内或根据院长授权解决有关工作和签发有关业务文献。（2）合理设立组织机构医院组织构造图以下图2-1所示。医院办公室医院办公室经管科总务科网络中心保卫室总务室洗涤中心人力资源室会计室收费室医保办西飞医院图2-1医院组织构造图医院将结合内外部环境变化，定时对现行组织机构及其运行状况进行综合分析，予以优化调节，确保组织机构设立的合理性。（3）有效分派职责权限医院已制订并公布各部门职责条例管理文献及各部门各类人员岗位阐明书等内部管理制度，但现在医院内部环境有所变化，故应将公布的职责条例、制度、岗位阐明书等内容进行更新与修改，对各部门职责权限进行合理分解和有效配备，避免部门职责含糊、重叠或空白地带，确保权责对等、不相容职责相分离。（二）发展战略1.控制目的发展战略是医院在对现状和将来趋势进行综合分析和科学预测的基础上，制订并实施的中长久发展目的与战略规划。建立科学、完善的战略制订、战略实施以及战略调节的内部控制体系，为医院找准市场定位、明确发展方向、实现发展战略提供坚实保障。2.管控方法（1）职责权限1）管理委员会A．审议决定医院战略规划；B.审议决定医院年度财务预算、年度财务决算；C.审议决定医院年度工作计划和年度固定资产投资（修理）计划；D.审议决定医院内部管理机构的设立，报公司人力资源处备案；E.建议聘任或辞退医院副院长及高级管理人员；F.审议决定聘任或辞退医院管委会秘书；G.审议决定医院《薪酬分派方案》；H.审议同意医院内部基本管理制度；I.医院及《管理方法》规定的其它职权。2)院长医院院长行使下列职权：A.主持医院的发展、经营管理工作，组织实施管委会决策；B.组织拟定医院年度工作计划、固定资产投资(修理)计划和新业务新技术的研发计划；C.组织拟定医院年度财务预算、年度财务决算；D.组织拟定医院内部管理机构的设立方案；E.组织拟定医院基本管理制度；F.组织制订医院的具体规章；G.向管委会提请聘任或辞退医院副院长及管理人员；H.决定聘任或者辞退除应由管委会聘任或辞退以外的管理人员；I.管委会授予的其它职权。3)其它职能部门A.为战略环境分析提供有关信息；B.为战略风险分析框架提供有关建议；C.按照分工分解战略目的，协调或具体执行计划；(2)控制方法1)战略制订医院根据有关制度的规定和程序，对医院的战略目的、战略规划与业务计划进行制订和调节，并组织战略的具体实施和后续评定工作。医院重要根据市场发展趋势预测，综合分析内外部因素对发展战略的影响，组织各方面的专家对战略规划草案进行评审与修改，经医院管理委员会研究决定后，提交至医院。3)战略实施医院通过组织有关部门制订年度经营计划、编制全方面预算等方式，将医院战略分解到医院各部门，并纳入年度绩效考核。通过培养与战略匹配的医院文化，确保战略得以有效的贯彻实施。(三)人力资源1.控制目的医院应重视人力资源管理，建立科学的人力资源政策，规范人力资源管理机制，加强人力资源激励与约束机制，以充足调动整体团体的主动性、主动性和发明性，全方面提高医院的核心竞争力。2.管控方法医院聘任的职工与西飞集团订立劳动合同，与医院订立岗位合同。医院使用的劳务差遣工，与差遣机构订立劳动合同，与医院订立岗位合同，并执行《西飞集团医院使用劳务差遣工暂行管理方法》。医院院长、副院长、院长助理的岗位合同与管委会主任订立，其它员工的岗位合同与医院院长订立。新招大学生和专业人才由医院提出招聘计划，管委会同意后，报公司人力资源部审核，由公司人力资源部统一组织招聘。其它职能部门配合医院人力资源室做好人员的培训和管理工作；协助人力资源室拟定年度人力资源计划。（四）内部审计1.控制目的通过对医院日常经营管理工作的再监督，强化内部管理控制，对业务管理活动做出客观、公正的审计结论和意见，及时发现问题纠正错误，堵塞管理漏洞，减少损失，保护资产的安全与完整，提高\o"会计资料"会计资料的真实、可靠性。2.管控方法（1）职责权限1）管理委员会2）审批内部审计制度、年度内部审计计划，审核年度内部审计工作报告；3）决定聘任或辞退承接审计业务的会计师事务所，并决定其酬劳；4）审批医院经营者经济责任审计成果、重大投资项目和财务开支的专项审计成果。(2)经管科1)负责制订医院内部审计规章制度，编制医院内部审计工作计划并组织实施及考核；2)负责组织和管理医院内部审计工作；3)负责管理医院财务收支审计、经济效益审计和内部控制制度评价工作，根据需要开展专项审计工作；4)负责医院重要负责人的经济责任审计工作；5)负责检查审计意见执行贯彻状况，督促被审计部门整治；6)负责指导医院的内部审计工作；7)配合上级机关对医院的审计和检查；8)负责内部审计工作信息统计工作。3)其它职能部门医院各职能机构应当主动配合内部审计工作。(1)管控方法1)建立规范的内部审计工作管理制度。医院按照上级有关规定，制订和完善内部审计工作制度，编制内部审计工作计划，定时向医院重要领导和上级内部审计机构提交内部审计工作报告。院办负责医院系统内部审计报告的收集、归类、整顿、保管、报送和反馈，并提出年度内部审计报告的重点和规定。医院内部审计涉及经济责任审计、经济效益审计、管理审计、工程立项审计、工程预算审计、在建工程跟踪审计、工程竣工决算审计、财务决算审计、财务收支审计、内部控制与风险管理审计、专项审计调查等。2)建立健全业务管理过程的内部审计机制。通过开展重点建设项目过程跟踪审计工作，制订有关工作制度和实施方法，将审计关口前移，对重点项目进行跟踪审计，随时发现问题随时纠正，避免因事后审计，对造成的损失和存在的问题无法弥补或纠正。通过开展跟踪审计，加强对建设项目从立项、施工、监理、合同、招投标、投资、质量、工期、安全等各方面的动态管理。3)加强审计整治意见的贯彻监督，切实保障审计整治的工作实效。医院对全部审计项目建立跟踪台账，对审计发现的问题规定各部门明确负责人员，限期整治。院办定时将下发的审计意见汇总、整顿、归类和分析，会同有关职能部门，采用审计联席会议的方式，共同研究审计报告中发现的问题，分析产生的因素，针对性地制订方法。(五)医院文化1.控制目的加强风险防备意识和法制观念，医院管理层应当以身作则追求较高的诚信与道德原则，并规范员工的行为，全力营造良好的组织文化。具体内容涉及：（1）文化建设。医院要哺育主动向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团体协作情神，树立当代管理理念。（2）风险意识。涉及医院在介入新业务前，应通过认真的风险和收益分析后再采用行动；是应主动介入风险特别高的业务。（3）法制建设。医院应加强法制教育，增强高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督。（4）管理层应当在言谈和行动的方式中体现出对道德原则一丝不苟的遵照，并向员工传达诚信与道德原则，以确保道德原则必须不折不扣地执行，具体涉及：1）道德原则是全方面的,针对利益冲突、非法或其它不当付款、反不正当竞争准则、内幕交易。2）医院对道德原则进行有效地宣传推广。3）员工知晓什么行为是可接受的，什么是不能够接受的，以及当碰到不当行为时应当采用的行动。2.管控方法以西飞理念和《西飞大纲》为指导，秉承医院发展战略，在医院全方面实施文化管理，以文化启迪思想、把握方向，逐步完善、纵深管理的有效机制，使广大干部对医院的发展目的、管理思路、管理方法在认同、领悟的基础上，不停渗入到各部门、各班组，使医院全体员工统一思想、统一认识，并付诸于行动，贯彻到具体工作中，用文化发明价值。整合价值观念，创立学习型组织。提高管理绩效，推行社会责任。（六）社会责任1.控制目的医院在经营发展过程中重视推行社会责任,在日常管控中严格贯彻安全生产责任制，着力提高安全生产意识，保障员工安全生产；建立质量管理体系，强化质量过程管理，提高质量信誉；加强环保与资源节省，营造良好的生态文明和社会文明；增进就业，保障员工权益，提高员工责任心和工作主动性；遵照法律法规，诚信开展经营业务活动，推行应尽义务。通过将社会责任融入医院经营管理之中，不停提高医院治理水平和可持续发展能力，提高医院社会责任竞争力，创立良好的医院形象。2.管控方法医院根据国家有关安全生产的规定，并结合医院实际状况，建立了严格的安全事故应急预案，贯彻日常安全监督，采用多个形式增强员工安全意识，重视生产岗位安全培训，对于特殊岗位实施资格认证制度，同时强化安全生产责任追究制度，切实做到安全生产。三、风险评定风险评定指医院为了实现发展目的，按照特定规范和原则规定，评定影响医院目的实现的多个不拟定因素，并采用应对方略的过程。风险评定是内部控制的重要环节，重要涉及目的设定、风险辨识评定、重大风险应对、风险管理监督与改善。（一）风险框架构造1．风险框架介绍遵照《中国航空工业集团公司内部控制应用指导》的风险分类办法，公司风险框架分三级，分别是一级风险、二级风险与三级风险。（1）一级风险分为战略类、运行类、财务类、人力资源类、质量类、市场类、外部环境类、对外投资类、保密安全类、法律类和廉洁类共11个类别。1）战略类风险：重要指医院所处的战略环境变化或战略管理过程中的不拟定因素，对医院造成影响的风险，涉及宏观环境变化、有关政策调节、行业周期性影响等系统性风险，以及在战略研究、制订、执行、调节过程中方略、程序和执行问题等。2）经营类风险：重要指医院在经营过程中，由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而造成的运行失败或使经营活动达不到预期的目的的可能性及其损失。涉及研发设计、基建技改、采购、生产销售等。3）财务类风险：重要指医院财务构造不合理、融资不当使医院可能丧失偿债能力而造成预期收益下降和陷入财务困境甚至破产的风险。涉及预算管理、融资、资金管理、税收管理、资产管理、会计核算、财务报告、保险等环节的管理程序、管理方略或执行中的问题等。4）人力资源类风险：重要指由于人力资源引进、退出或者激励机制不合理，造成人力资源缺少或过剩、构造不合理、开发机制不健全、核心岗位人才流失、经营效率低下或核心技术泄密。5）质量风险：重要指服务质量低劣，侵害消费者利益，可能造成医院巨额赔偿、产生严重社会影响、形象受损甚至关闭。6）市场类风险：重要指市场环境因素变化，对医院造成影响的风险，涉及服务需求变化，市场竞争状况、服务/服务价格波动等。7）外部环境类风险：重要指医院宏观外部环境变化造成的对医院战略目的实现的不拟定性，重要涉及：国家政策风险、国际政治风险、宏观经济风险、自然环境风险等。8）对外投资类风险：重要指对外投资项目未经科学、严密的评定和论证或未经合适审批或超越授权审批或对外投资项目缺少有效的管理，造成决策失误或投资收益受损。重要涉及投资立项风险、投资管控风险及投资退出风险。9）保密安全类风险：重要指医院保密安全方法不到位，造成医院知识产权秘密泄露或安全事故，给医院财产或名誉造成损失。10）法律类风险：法律风险是指医院在运行过程中因本身经营行为的不规范或者外部法律环境发生重大变化而造成的不利法律后果的可能性，以及因违反法律或监管规定而受到制裁、遭受经济损失以及因未能恪守全部合使用方法律、法规、行为准则或有关原则而给医院信誉带来的损失的可能性。11）廉洁类风险：重要指由于医院人员个人行为规范或职业操守问题，故意违反法律法规、医院规章制度或职业规范的风险。（2）二级风险是一级风险的细化，重要根据风险在不同业务类别或流程上的分布划分，具体划分以下表所示：1）在战略类风险下设立了战略制订风险和战略实施风险两项二级风险；2）在经营类风险下设立了研发设计风险、基建技改风险、采购风险、经营风险、技术风险、服务风险、安全风险、审计风险、信息化风险、综合事务风险、医院文化风险、新闻舆论风险等十二项二级风险；3）在财务类风险下设立了资金管理风险、信用风险、预算风险、成本控制风险、汇利率风险、资产管理风险、担保风险、财务信息风险、债务风险、税务风险等十项二级风险；4）在人力资源类风险下设立了人力资源规划风险、人才引进风险、岗位设立风险、人才激励与考核风险、教育培训风险、人力资源退出风险、人力资源日常管理风险等七项二级风险；5）在质量类风险下设立了质量体系风险、服务质量风险、质量检测风险等三项二级风险；6）在市场类风险下设立了需求波动风险、供应波动风险、竞争风险等三项二级风险；7）在外部环境类风险下设立国家政策风险、国际政治风险、宏观经济风险、自然环境风险等四项二级风险；8）在对外投资类风险下设立投资立项风险、投资管控风险、投资退出风险等三项二级风险；9）在保密安全类风险下设立了保密风险、安全风险、节能环保风险等三项二级风险；10）在法律类风险下设立合规风险、合同管理风险、诉讼风险、知识产权风险等四类二级风险；11）在廉洁类风险下设立了廉洁风险等二级风险。（3）三级风险是对二级风险的进一步细化。结合公司实际业务特点，分别在二级风险分类框架下定义了研发规划风险、技术研发风险、技术执行风险等共18项三级风险。2.医院风险构造图根据医院的目的体系和业务特点，现在的风险构造涉及风险类别和风险事件。风险分类构造以下图3-1所示。风险分类构造根据所处发展阶段、业务构造、管控模式以及风险特点变化，进行动态调节。西飞医院风险分类框架西飞医院风险分类框架图3-1风险分类构造（二）目的设定风险是不拟定因素对医院目的的影响。目的设定是风险辨识、风险评定和风险应对的前提。开展风险管理与内部控制工作，需综合考虑医院的战略、经营、报告、合规等多个目的。战略目的反映了医院的使命与愿景。经营目的与医院经营的效果和效率有关，涉及业绩和利润性目的，这类目的与医院构造和经营业务的选择有关，需要反映医院运行所处的特定的经营、行业和经济环境。报告目的与报告可靠性有关，涉及内部与外部报告。合规目的涉及医院必须恪守的法律法规，重要取决于外部因素，某些状况下全部医院的这类目的都基本相似，但在另某些状况下，医院也面临某些特殊的行业性的合规目的。医院通过有效的风险管理与内部控制工作，制订有关制度与流程，确保战略、经营等目的与医院使命相协调，并根据设定的控制目的，全方面系统持续地收集有关信息，结合实际状况及时进行风险评定。（三）风险辨识1.信息收集根据医院风险分类构造，医院应持续关注并收集与医院风险和风险管理有关的各类信息，通过对初始信息进行必要的筛选、对比、统计分析，总结提炼现有及潜在的内外部风险，为风险识别和评定提供根据和基础。（1）收集办法风险信息收集是风险管理的常规性工作，也应体现在战略研究、投资分析、项目评价、市场决策等重要经营管理活动中。医院可通过实地调研、问卷调查、专项研讨、专家访谈、日常经营管理数据分析等方式，或运用外部信息渠道、借助外部力量定时开展信息收集。（2）收集要点结合风险框架分类构造，进行战略、财务、运行、市场、法律等各类信息收集的要点以下所述：1）战略类信息医院收集战略方面信息，应关注并收集下列各项基本数据及内外部有关案例：经济政策以及经济运行状况、本行业状况、国家产业政策；行业竞争形势、重要竞争对手及战略合作伙伴的状况；医院、医院战略规划、经营计划及重大投资的执行状况、经验总结及问题分析；2）财务类信息医院收集财务方面信息，应关注并收集下列各项基本数据及内外部有关案例：国内会计准则、医院会计准则；合规规定；医院的财务构造、资本成本、偿债能力、现金流及投资收益状况；成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；环保费用、政策优惠费用；同行或其它因财务风险造成医院危机的案例。3）运行类信息医院收集运行方面信息，应关注并收集下列各项基本数据及内外部有关案例：医院组织效能、管理现状、组织文化，高、中层管理人员和重要业务流程中专业人员的知识构造、专业经验；质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；因医院内、外部人员的道德风险致使医院遭受损失或业务控制系统失灵；对现有业务流程和信息系统操作运行状况的监管、运行评价及持续改善能力；医院风险管理的现状和能力。4）市场类信息医院收集市场方面信息，应关注并收集下列各项基本数据及内外部有关案例：产业链上下游供需关系变化及对医院的影响；5）法律类信息医院收集合规方面信息，应关注并收集下列各项基本数据及内外部有关案例：与医院有关的政治、政策和法律环境，涉及对其现状的分析和变化及影响的分析；影响医院的新法律法规和政策；医院订立的重要合同和合同的订立、执行状况；医院发生的重大法律纠纷、重大诉讼案件；同行业内其它医院发生的重大纠纷和诉讼案件；医院内部人员道德操守的遵从性。2.风险识别根据风险信息收集状况，医院应及时识别各业务板块、各项重要经营活动及重要业务流程中对业务和管理目的有影响的风险事件，形成风险事件库，为风险评定提供基础资料。（1）识别思路结合医院既定战略目的、经营目的、报告目的和合规目的，医院各部门运用不同的识别办法，查找本身业务活动或工作流程中涉及的风险事件，并对产生因素、可能给医院带来的影响进行分析，最后形成医院整体层面的风险事件库。在进行风险识别时，医院应关注下列事项：1）精确识别内部和外部风险：对商业、政治、社会、法律等外部因素和管理、财务、安全环保等内部因素予以综合考虑，精确识别医院内部风险和外部风险。2）关注历史数据和将来预测：首先，医院应关注历史数据，对本医院和行业常见的风险和过去发生的历史事件进行整顿、分析和总结，为防备和减少风险事件重复提供根据；另首先，医院也应关注对将来风险的预测，提前防止，跟踪其发展趋势。3）辨别纯正风险和机会风险：医院应明确辨别纯正风险和机会风险，对纯正风险加以应对和控制，对机会风险应当充足把握和运用。（2）识别办法风险识别惯用的办法和工具涉及：问卷调查法、研讨会法、流程图法、情景分析法、风险构造分解法、PEST分析法等。1）问卷调查法：问卷调查法是用来统计和整顿数据的惯用工具。医院通过拟定辨识范畴、下发风险辨识问卷，广泛收集、识别医院各层面及业务开展中所存在的风险；也可将医院可能发生的风险列于一种表上，供识别人员进行核对确认。2）研讨会：研讨会是风险管理中比较常见的有效工具。把跨部门、不同级别的管理人员召集到一起，对风险事件识别进行讨论；头脑风暴是研讨会的一种形式。3）访谈：访谈是对领导、专家、有关管理人员等进行面对面或者电话交流，理解其对风险有关问题的见解、建议等。4）流程图法：流程图法通过对流程的分析，协助发现和识别风险所处的具体环节以及各环节之间存在的风险、风险动因和影响。5）情景分析法：情景分析法通过有关描述、数字、图表和曲线等，对将来的某个状态或某种状况进行具体地描绘和分析，从而识别引发风险的核心因素及其影响程度。6）风险构造分解法：风险构造分解法将风险按照其内在构造进行逐级分解，形成构造示意图，把各级风险的地位与构成直观地表达出来易于检查和管理风险事件。7）PEST分析法：PEST分析法是调查组织外部影响因素的办法，其每一种字母代表一种因素，能够分为政治因素(Political)、经济因素(Economic)、社会因素(Social)、技术因素(Technological)四大因素，从这四个因素出发分析医院所面临的外部风险状况。（3）识别成果医院对识别出的风险事件进行系统性整顿、筛选、归纳和整合，建立风险事件库，总结历史经验、教训，反映现在面临的重要风险，有效提高风险预控和应对能力。各部门应当在医院的统一政策和办法论指导下建立风险事件库，保持医院系统内风险事件库的统一协调，避免重复工作，实现医院系统内风险事件库的共享。（四）风险分析医院应结合风险识别状况，根据风险复杂程度和重要性选择合适的分析技术和办法，按照风险发生的可能性及影响程度进行分析、评价和排序，从而拟定医院现在的重大风险，为医院高层的风险管理决策提供根据信息。1.定性分析定性分析是对风险事件的各项定性描述的属性信息进行整顿和分析，涉及动因分析、影响分析、责任岗位分析、风险与内部控制对照分析、KPI分析等。（1）动因分析：分析风险发生的深层次动因，拟定风险产生的核心性驱动因素，从而从本源上控制风险，提高风险管理效率和水平。（2）责任岗位分析：明确风险的控制和监督等的责任归属，提高风险管理的整体效率，为完善岗位考核体系提供信息根据。（3）风险与内部控制对照分析：将风险与管控风险的内部控制活动进行对应，明确医院面临的风险、主导责任部门、有关制度流程，从而将风险管理融入日常工作，实现风险管理和内部控制的结合。（4）KPI分析：分析某一风险事件影响到的各项绩效考核指标，为将来拟定各个风险的监控指标、达成风险预警和监控的目的提供信息根据。2.定量分析定量分析是对风险的各项定量描述的属性信息进行整顿和分析，涉及风险影响程度分析、发生可能性分析、风险水平分析等。（1）风险事件影响程度：指该风险会对医院经营目的所产生影响的大小。医院根据本身实际状况，设立不同的影响维度；根据对不同维度的影响程度，又可分为5个等级，分别赋予1分至5分，表达影响程度依次加强。（2）风险发生的可能性：指在医院现在的管理水平下，风险事件发生概率的大小或者发生的频繁程度。风险事件发生的可能性分为5个等级，分别赋予1分至5分，表达可能性逐步增加。（3）风险水平：指风险事件的影响程度与发生可能性的乘积，通过风险水平的大小能够对全部风险进行总体分析，判断各个风险的重要性特性。（五）风险评价医院应根据风险分析成果，结合医院本身的风险偏好和风险承受度，对各风险进行排序，拟定重大风险、重要风险以及普通风险。对于评价出的重大风险，应将其作为当年风险管理工作的重点。1.风险偏好与风险承受度风险偏好是指医院在承当风险的种类、影响程度限额等方面的基本态度，是管理层、员工等利益有关者盼望和规定的集中体现，反映了风险与收益的平衡。风险偏好要解决的是“医院乐意承当什么风险”的问题，是医院在实现其战略目的的过程中乐意接受风险的描述。风险承受度是指医院乐意承当的风险程度，也是风险偏好的边界，它清晰体现风险偏好的内涵。风险承受度普通通过具体指标来体现或衡量。医院应综合考虑本身业务目的、管理能力和资源条件，对的认识和把握风险与收益的平衡，拟定风险偏好和风险承受度，并据此拟定风险的预警线及对应采用的对策。（六）重大风险应对医院应在风险评定的基础上，结合风险偏好和风险承受度，针对评价出的重大风险选择风险管理方略，制订应对方法和解决方案，并通过风险监控与报告，确保风险管理方略和应对的有效实施。1.风险管理方略医院应针对不同风险特点，结合本身风险偏好和风险承受度，研究拟定风险管理方略。风险管理方略重要涉及下列几个：（1）风险承受：医院对本身发展所必须承当的有关风险，在权衡收益和成本之后，准备依靠内部本身资源不采用减少风险的控制方法来实现抵抗风险的各项方法。（2）风险规避：医院对超出本身风险承受能力的风险，采用放弃或者停止与该风险有关业务活动以减轻和避免损失的办法。（3）风险分担：医院对于能够外部力量来转移或分担的有关风险，采用业务外包、购置保险等方式，使风险能够控制在医院能够承受范畴之内。（4）风险减少：医院通过综合采用战略、运行、财务等各项旨在减少和控制风险发生可能性和影响程度的多个办法。医院应结合不同发展阶段和业务拓展状况，持续收集与风险变化有关的信息，进行风险识别和风险分析，及时调节风险管理方略。2.风险应对方法和解决方案医院应根据风险管理方略，针对每一项重大风险，从战略和运行、制度和流程、人员和组织架构、技术与数据、绩效监督以及风险理财等方面入手，梳理现有解决方案，制订风险管理应对方案。医院院办根据评定出的重大风险，拟定对应的重大风险主导部门以及有关责任部门，并组织开展制订重大风险应对方案。院办应定时对重大风险应对计划和方案的执行状况进行跟踪检查，并协调跨部门的重大风险管理事宜。同时，医院还应建立重大风险预警机制和突发事件应急解决机制，明确风险预警原则，对可能发生的重大风险或突发事件，制订应急预案、明确负责人员、规范处置程序，确保突发事件得到及时妥善解决。（七）风险管理监督与改善医院各部门应以重大风险、重大事件和重大决策、重要管理和业务流程为重点，对风险管理方略、核心控制活动及风险管理解决方案的实施状况进行监督，根据变化状况和存在的缺点及时予以改善，并将风险管理工作开展状况和风险监控分析成果定时报送院办。1.风险监控医院各部门实施风险监控时应重点关注下列风险信息：本部门新出现的风险或原有风险的重大变化；既定风险应对方法和解决方案的执行状况及执行效果。医院将逐步建立和完善指标化的风险监控体系，通过对核心风险指标的持续跟踪、统计和分析，提高管理效率和效果。2.风险报告风险管理报告是风险信息沟通的有效机制。医院应规范风险报告机制，通过风险管理报告增进上下级单位之间的双向沟通、平级部门之间的信息共享和专业研讨。院办将定时组织各部门开展风险评定工作，并根据风险评定成果编制《风险评定报告》，报送院长，确保风险应对方略及应对方案的及时制订和贯彻。各部门应定时或不定时编制《风险应对方法表》，就风险管理及内部控制工作开展状况向院办报告。院办应汇总各部门风险应对方法和解决方案的贯彻状况，并结合医院年度内部控制评价成果，定时编制《年度风险管理监督与改善报告》，向管理委员会报送本医院年度风险及内部控制管理状况。四、控制活动控制活动指医院根据风险评定成果，结合风险应对方略所采用确实保医院内部控制目的得以实现的办法和手段，其存在于整个机构内全部级别和职能部门，以流程及其配套制度为载体，是实施内部控制的具体方式。（一）控制目的控制目的是管理活动的基本规定，也是评价内部控制的原则。医院应根据管理规定和业务特点拟定控制目的，据以选择适合的内部控制要素，建立和评价内部控制体系。通过扎实内部控制管理基础，完善制度流程建设、规范业务流程内部控制，形成“管理制度化、制度流程化、流程表单化、表单信息化”的业务流程管理机制，实现“层次清晰、职责明确、流程合理、管理科学”的工作目的。（二）控制方法通过采用手工控制与自动控制、防止性控制与发现性控制相结合的办法，结合具体的控制方法，将风险控制在可承受度之内。具体方法普通涉及：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技术控制、运行分析控制和绩效考核控制等。具体以下：1.控制手段分类控制活动可分为人工控制和自动控制。（1）人工控制是以人工方式执行的控制；（2）自动控制是由计算机等系统自动执行的控制。2.控制作用分类控制活动可分为防止性控制和发现性控制。（1）防止性控制是指为避免错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制，是一种事前控制。（2）发现性控制是指为及时查明已发生的错误和非法行为，或增强发现错误和非法行为机会的能力所进行的各项控制。普通通过检查、赔偿、指导、纠错等形式发生，是事中或者事后控制。普通认为防止性控制的控制力要强于发现性控制，即事前控制的控制力要强于事中及事后控制。3.控制方法分类（1）不相容职务分离控制指全方面系统地分析、梳理业务流程中所涉及的不相容职务，实施对应的分离方法，形成各司其职、各负其责、互相制约的工作机制。（2）授权审批控制是指根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范畴、审批程序和对应责任。（3）会计系统控制是指按照国家统一的会计准则编制内部会计制度，加强会计基础工作，明确会计凭证、会计账簿和财务报告的解决程序，并有效控制与此有关的信息系统，确保会计资料真实、完整。（4）财产保护控制指建立财产日常管理制度和定时清查制度，作好财产统计、实物保管、定时盘点、账实核对等工作，确保财产安全。（5）计划控制是指各级管理部门根据专业管理目的，结合市场和内部资源作出合理预测，通过年度、季度、月度等计划形式加以约束，推行控制职能。（6）预算控制是指明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。（7）合同管理控制是通过推行合同示范文本，规范合同审批、订立、推行、监督等程序，合理约束生产经营活动。（8）资金支付控制指通过资金集中管理、资金支付审核、审批等方式，推行财务监督职能，确保资金支付安全。（9）信息技术控制指通过信息系统多个功效的有效应用，对有关业务实现自动控制。（10）运行分析控制指建立经济活动分析制度，综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析办法，定时开展经济活动分析，发现问题，及时查明因素并加以改善。（11）绩效考核控制指建立和实施绩效考核制度，科学设立考核指标体系，对内部各责任单位和全体员工的业绩进行定时考核和客观评价，将考核成果作为拟定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的根据。（三）控制文献1．公章使用管理流程（1）流程目的根据医院有关制度，对印章管理流程加以规定，明确了各类印章管理的具体规定。（2）流程管理部门院办公室（3）规章制度及管理原则《公章使用管理制度》（4）流程描述（5）流程图一（6）风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1用印事由不充足、用印需求不合规、用印申请资料不完备运行风险综合事务风险C1审核用印申请的规范性、合理性和合规性，对于发现问题的及时驳回人工/防止无规律用印申请公章使用管理制度2.文献管理流程（1）流程目的明确医院内部各类文献的控制体系，以及文献的编写、审批、发放、更改的程序。（2）流程管理部门院办公室（3）规章制度及管理原则《文献管理制度》（4）流程描述 编号责任部门/岗位流程环节描述输出文档1文献使用部门起草文献内容2文献使用部门领导审批3院办公室组织有关人员对文献进行会审4院长审批文献5院办公室审批通过后正式下发6院办公室文献下发后存档（5）流程图二（6）风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1起草的文献没通过充足的论证，造成文献拟定的不合理、执行不力。运行风险综合事务风险C1文献起草后，报部门领导、院长审核同意，审批时关注文献与否符合医院的现状，与否含有操作性。人工/防止无规律文献管理制度3.员工招聘流程（1）流程目的建立人力资源计划需求上报及录用管理工作的办法和环节。（2）流程管理部门人力资源室（3）规章制度及管理原则《西安一四一医院高等（高职）院校毕业生招聘计划》《西安一四一医院临时工需求计划》（4）流程描述 编号责任部门/岗位流程环节描述输出文档1用人部门根据本身实际需要提出人员需求2医院人力资源室根据年度人力资源计划对人员需求进行审核3集团人力资源部根据年度人力资源计划对人员需求进行审核4集团人力资源部实施人员招聘5集团人力资源室与劳动者订立劳动合同6（5）流程图三（6）风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1招聘的员工不能胜任岗位职责规定人力资源风险人才引进风险C1招聘人员及用人需要部门要按照规定严格审查应聘者的素质，确保招聘的员工能够胜任岗位职责规定。人工/防止一年4.现金管理流程（1）流程目的根据医院有关制度，对院所现金管理流程加以规定，明确了现金管理的具体规定。（2）流程管理部门财务室（3）规章制度及管理原则《医院资金收支管理方法》《医院会计核算方法》《医院现金管理制度》《医院财务报销制度》（4）流程描述编号责任部门/岗位流程环节描述输出文档1主管人员提供审批手续齐全的交款/现金使用单据，若为交款转2，若现金使用转32财务室若为交款则存入医院账户；若为现金使用则由财务部审核单据3主管领导主管领导审核单据，并拟定使用金额大小4院长院长审批5财务室进行现金支付（5）流程图四（6）风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1交款/现金使用单据不齐备、不真实、不完整财务风险资金管理风险C1财务部在审核单据时应认真可对单据完整性、真实性及合规性，在确认无误后方可办理有关手续人工/防止无规律单据医院财务报销制度5.财务报销管理流程（1）流程目的明确医院财务报销操作的具体规定。（2）流程目的明确医流程管理部门财务室（3）流程目的明确医规章制度及管理原则《医院会计核算方法》《医院现金管理制度》《医院财务报销制度》（4）流程目的明确医流程描述编号责任部门/岗位流程环节描述输出文档1报销人员原始票据（发票）经办人签字2财务室会计审核票据3财务经理审批4院长审批5财务室报销（5）流程目的明确医流程图五

（6）流程目的明确医风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1报销所使用的原始凭证提交不真实、不完整财务风险资金管理风险C1要按照有关管理规定对原始票据进行严格审核，避免资金支付错误、舞弊等状况的发生人工/防止无规律原始凭证、报销单据医院财务报销制度6.固定资产新增流程（1）流程目的规范医院固定资产新增工作程序。（2）流程管理部门设备科（3）规章制度及管理原则《年度固定资产投资计划》《医院固定资产管理制度》《医院固定资产核算制度》《医院设备管理委员会工作制度》《医院设备购置工作制度》《医院医用设备招标管理制度》（4）流程描述编号责任部门/岗位流程环节描述输出文档1固定资产需求部门提出固定资产需求申请需求申请2设备科根据各部门申请编制固定资产投资计划报医院办公会审议3医院办公会审议固定资产投资计划报管委会4医院管委会审批固定资产投资计划5设备管理委员会按照固定资产投资计划组织招标采购6设备科采购固定资产7设备科安装、验收、登记台账8会计室进行账务解决（5）流程图六（6）风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1资产帐目与实际不符，进而影响对该资产的实物管理水平，造成资产流失。财务风险资产管理风险C1定时盘点，出现新增固定资产时及时登记台账。人工/防止无规律固定资产台账医院固定资产管理制度7.固定资产处置流程（1）流程目的规范医院固定资产处置工作环节。（2）流程管理部门设备科（3）规章制度及管理原则《医院固定资产管理制度》《医院固定资产核算制度》《医院设备管理有关规定》（4）流程描述编号责任部门/岗位流程环节描述输出文档1使用部门提出固定资产报废申请报废申请2设备科进行鉴定审核3院长审批4设备科登记报废5会计室进行账务解决（5）流程图七（6）风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1在组织固定资产损坏鉴定解决过程中未能严格推行原则程序，未设立鉴定原则，可能造成资产利益损失财务风险资产管理风险C1组织有关人员对需鉴定资产进行现场鉴定，审查固定资产的使用状态，确保固定资产得到妥善解决。人工/防止无规律审查统计医院固定资产核算制度8.财务预算流程（1）流程目的根据医院有关制度，对财务预算流程加以规定，明确了预算管理的具体规定。（2）流程管理部门经营管理科（3）规章制度及管理原则《医院资金收支管理方法》《医院财务预算制度》（4）流程描述编号责任部门/岗位流程环节描述输出文档1各部门、科室上报预算计划2财务室根据各部门、科室上报，分析上年度预算执行状况并安排本年度预算计划3财务室形成资金计划有关资料请补充表单名称4院长审批报医院管委会5医院管委会审批6财务室下达预算安排

（5）流程图八（6）风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1资金计划报表编制不合理，资金预算不科学、不精确财务风险资金管理风险C1预算编制过程中应科学合理的预测资金收支状况；应认真审核资金计划报表的精确性、合理性，对于需要调节的及时明确规定或意见人工/防止无规律资金计划报表医院财务预算制度9．部门绩效考核流程（1）流程目的根据医院有关制度，对考核与绩效管理流程加以规定，明确了绩效管理工作的具体规定。（2）流程管理部门经营管理科（3）规章制度及管理原则《西安一四一医院内部经济核算与绩效分派方法》《西安一四一医院临床科室绩效考核奖惩实施方法》《西安一四一医院医技和门急诊科室绩效考核奖惩实施方法》《西安一四一医院组织绩效实施方法》（4）流程描述编号责任部门/岗位流程环节描述输出文档1经营管理科制订考核方案考核方案2院长办公会审批考核方案3经营管理科组织实施考核4有关部门配合完毕考核工作5经营管理科完毕评定6院长对评定成果、奖惩审批7经营管理科实施奖惩8经营管理科考核方案评价9经营管理科根据评价成果进行改善（5）流程图九（6）风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1制订考核方案时未充足考虑实际状况，考核指标设立不合理，考核导向性局限性财务风险资金管理风险C1与实际有关联，考核指标、方式相对固定人工/防止无规律考核方案西安一四一医院内部经济核算与绩效分派方法10.薪酬发放流程流程编号：（1）流程目的根据医院有关制度，对薪酬发放流程加以规定，明确了医院薪酬发放管理工作的具体规定。（2）流程管理部门人力资源室（3）规章制度及管理原则《西安飞机工业（集团）有限责任公司岗位绩效工资制度实施方法》《假制及劳动纪律管理规定》《有关岗位绩效工资实施中有关问题的告知》（4）流程描述编号责任部门/岗位流程环节描述输出文档1人力资源室根据医院薪酬制度计算员工薪酬薪资表2财务室核算员工薪酬、做工资报表3院长审批工资报表3财务室下发薪酬并出具员工薪酬详单

（5）流程图十（6）风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1核算不精确造成工资社保出现错误，引发员工不满和不必要的损失人力资源风险人才激励与考核风险C1人力资源室与财务室互相配合检查工资社保核算与否精确，个人对薪资状况进行核算；出现问题及时请财务部做出调节人工/防止无规律11.物资采购流程（1）流程目的明确物资采购工作的具体规定。（2）流程管理部门设备科（3）规章制度及管理原则《医用卫生耗材招标管理制度》《医用卫生耗材（含高值耗材）管理制度》《总务备品采购加工管理制度》《物资采购制度》《库房物品领发制度》《总务、器械库房管理制度》（4）流程描述编号责任部门/岗位流程环节描述输出文档1物资需求部门提出采购需求申请采购申请2设备科、总务科对采购需求申请进行审核3设备科、总务科编制采购计划采购计划4院长审批采购计划5设备科、总务科实施采购

（5）流程图十一（6）风险控制矩阵风险点编号风险点风险分类控制点编号控制方法控制办法控制频率实施证据制度索引一级风险二级风险R1采购需求与实际状况不相符。运行风险生产风险C1院办对采购需求进行审核，确保需求与实际相吻合人工/防止无规律五、信息与沟通信息与沟通是指信息在医院内部自上而下、自下而上、横向之间以及医院与外界进行有效的传递，全方面、及时和精确的信息有助于医院管理层做出对的、快捷的经营决策，有助于提高内部控制的效率和效果。信息不仅涉及内部产生的信息，还涉及与医院经营决策和对外报告有关的外部信息。畅通的沟通渠道和机制使医院员工能及时获得他们在执行、管理和控制医院经营过程中所需的信息，并交换这些信息。（一）信息与沟通定义信息是指来源于医院外部及内部，与医院经营有关的财务及非财务信息。涉及从外部获取的行业、经济、监管信息以及内部产生的经营管理、财务等方面的信息。信息必须及时、精确地传递给需要的人，以协助其行使各自的控制和其它职能。沟通是指信息在医院内部各层