医 院内部风控制度工作手册

医院

内部风控制度工作手册

日期:

一、总那么

〔一〕编制目的

从完善组织治理和推进标准化管理两个层面来考虑，编制？内部控制手册？，为

中航工业西飞工业〔集团〕有限责任公司的分支机构西安一四一医院〔以下简称“医

院”〕优化流程管控、推进标准化管理提供依据，也为医院开展内部控制工作提供

可遵循的标准，同时有效满足医院要求。概括而言，手册编制旨在实现以下目标：

1.建立健全内部控制管理体系。结合内部控制工作要求，完善医院制度流程管

理体系，建立具有医院自身特色的内部控制体系，提高医院经营效率和效果，为合

规经营、资产平安和信息真实提供合理保证。

2.固化形成内部控制工作机制。通过明确医院内部控制的目标原那么、职责分

工，制定一套标准化的工作流程，提出标准化的业务流程控制要求，配合开展内部

控制信息系统建设，并持续培育良好的风险管理文化，以加强内部控制工作，为医

院管理标准化和决策科学化提供参照和支持。

3.标准加强内部控制评价工作。通过标准内部控制评价工作程序和标准，确保

评价结果的客观性和可比性；积极利用评价结果确定医院管理改良、审计、监察等

监督工作的重点，以提高制度执行力，促进风险预控、过程控制和事后惩戒相结合,

全面提升医院管理水平和风险管控能力。

〔二〕编制原那么

1.方法性与实用性相结合

本手册编制既参考了国际与国内内部控制理论和国内外大型企业的内部控制

实践，又立足于医院自身的战略目标和管理特点，力求与现有的管控模式及管理实

际相衔接，充分考虑内控工作的可行性与可操作性。手册内容涵盖内部控制体系建

设根本要素和工作环节，对医院开展内控工作提出一套完整的方法论和指导原那

么；同时制定了具体的操作指引和标准化的工作模板，为医院内控日常工作提供依

据。

2.风险预控与业务管理相结合

本手册编制贯彻以风险为导向的内部控制理念，将内部控制的工作要求落实

到业务活动及流程标准化管理中，明确管理界面、权限标准及关键控制点，提出细

化到岗位的控制要求，引导各级责任主体在业务执行上符合医院管控要求。

3.满足外部监管与提升内部管理相结合

本手册编制以满足国资委以及财政部对内部控制标准的监管要求为出发点，

从内部控制角度提出开展经营管理活动应遵循的控制要求，以期建立具有“强支撑、

短流程、高授权、大监督”特点的管理机制，有效提升经营效率和效果的协调性。

〔三〕编制依据

为确保医院内部控制体系建设的合规化及标准化，本手册编制在遵循医院内

部控制相关规定的根底上，同时参考了目前国际国内通行的内部控制标准，其编制

依据如下：

1.医院及医院相关制度；

2.中航飞机股份相关制度、？中国航空工业集团公司内部控制应用指引？

3.目前国际国内通行的内部控制法规及相关标准，主要包括：？企业内部控制根

本标准？〔财政部等五部委公布，财会［2021］7号〕、？企业内部控制应用指引？〔财

政部等五部委公布，财会［2021］4号〕、COSO-ERM?企业风险管理一整合框架？［2004

版〕。

〔四〕内部控制体系框架

1.内部环境。内部环境是实施内部控制的根底，一般包括组织架构、开展战略、

人力资源、内部审计、医院文化、社会责任等。

2.风险评估。风险评估是及时识别、系统分析经营活动中与实现内部控制目标

相关的风险，合理确定风险应对策略。

3.控制活动。控制活动是根据风险评估结果，采用相应的控制措施，将风险控

制在可承受度之内。

4.信息与沟通。信息与沟通是及时、准确地收集、传递与内部控制相关的信息，

确保信息在组织内部、医院与外部之间进行有效沟通。

5.内部监督。内部监督是对内部控制建立与实施情况进行监督检查，评价内部

控制的有效性，发现内部控制缺陷，应当及时加以改良。

〔五〕内部控制组织结构与权责

医院建立健全了包括由决策层、管理层、执行层、监督部门组成的内部控制管

理架构，明确了各层级的管理职责。

1.管理委员会

〔1〕负责内部控制管理工作，主要负责：

〔2〕审议医院内控管理制度；

〔3〕审议医院内控管理体系建设规划、整体框架；

〔4〕审议医院业务流程架构；

〔5〕审议管理层内部控制评估报告；

〔6〕审议内控管理组织机构设置及其职责方案；

〔7〕办理医院授权的有关内控管理的其他事项。

2.经管科

经管科是内部控制管理工作的办事机构，主要负责内控体系建设、运行、维护

的组织及日常监督工作，负责对内部控制体系运行状况实施过程监督和专项审计,

经管科每年至少组织实施一次内部控制专项审计。

主要职责如下：

〔1〕根据国家有关法律、法规及相关规定，负责组织制定内控管理制度；

〔2〕负责编制内控管理体系建设规划、体系框架，并组织实施；

〔3〕负责组织风险评估工作，确定重大风险，建立风险数据库；

〔4〕负责组织和协调业务流程管理相关工作；

〔5〕负责组织风险控制设计及实施；

〔6〕负责内控管理体系日常维护；

〔7〕负责协调外部内控检查和审计；

〔8〕负责拟定医院年度内部控制评估报告，并上报至管理委员会；

〔9〕负责内控管理业务培训。

3.其他管理部门及各科室

〔1〕负责组织本部门员工学习并实施医院内控管理标准；

〔2〕负责本部门业务流程描述与优化；

〔3〕组织本部门风险控制措施的设计及实施；

〔4〕组织本部门内控管理标准的日常监督检查；

〔5〕人力资源室负责将内控管理纳入绩效考核指标体系。

〔六〕手册执行与更新

本手册作为医院开展具体工作的准那么和指南，具有约束性。一经发布，医院

及各级员工应遵照手册要求执行相关工作要求，标准开展内控工作，定期组织内控

评价，积极利用评价成果，有效组织整改落实，持续提升医院管理水平。

随着医院不断开展，外部经营环境和内部风险现状也会不断发生变化，医院内

部的管控模式、组织架构、业务管控活动和工作流程应随之动态调整；同时，随着

内部控制经验的不断积累和信息化水平的提升，医院应适时改良和完善本手册的

具体内容。

经管科作为本手册管理与维护的归口部门，原那么上根据年度内部控制实际

情况，每年开展一次评估，并根据需要进行更新。更新资料主要来源于：管理委员

会、管理层及各部门对内控的要求及建议、医院各部门的管理实践、年度内控评价

结果。持续修订、完善和更新后的？内部控制手册？作为医院沉淀优秀管理经验，创

新标准化管理和实现管理样板性目标的重要工具之一，经审批后正式生效。

〔七〕手册公布与生效

本手册于二0一五年五月公布，自公布之日起生

二、内部环境

内部环境是医院建立与实施内部控制的根底，主要包括组织架构、开展战略、

人力资源政策、内部审计、医院文化、反舞弊、信息系统管理和社会责任等内容。

〔一〕组织架构

1.控制目标

医院应当按照国家有关法律法规、医院章程相关要求，结合本医院实际，明确

医院内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

具体包括：

〔1〕应建立合理的内部管理组织机构；

〔2〕应根据运营目标、运营职能和监管要求，明确界定各管理部门和岗位的

权力和责任分配体系。

2.管控措施

〔1〕明晰职责权限

1〕医院设院长1名，依据医院章程，院长授权行使以下职权：①主持医院的

开展、经营管理工作，组织实施管委会决议；②组织拟定医院年度工作方案、固定

资产投资（修理）方案和新业务新技术的研发方案；③组织拟定医院年度财务预算、

年度财务决算；④组织拟定医院内部管理机构的设置方案；⑤组织拟定医院根本管

理制度；⑥组织制定医院的具体规章；⑦向管委会提请聘任或解聘医院副院长及管

理人员；⑧决定聘任或者解聘除应由管委会聘任或解聘以外的管理人员；⑨对医院

经营活动中发生的重大事项及时向管委会报告；⑩管委会授予的其他职权。

2〕领导班子成员，对院长负责，并在职责范围内或根据院长授权处理相关工

作和签发有关业务文件。

〔2〕合理设置组织机构

医院组织结构图如以下图2-1所示。

西飞医院

医院办公室经管科总务科

洗

网

保

总

会

医

收

涤

络

卫

务

计

保

费

中

中

室

室

室

办

室

心

心I

图2-1医院组织结构图

医院将结合内外部环境变化，定期对现行组织机构及其运行状况进行综合分

析，予以优化调整，确保组织机构设置的合理性。

〔3〕有效分配职责权限

医院已制定并发布各部门职责条例管理文件及各部门各类人员岗位说明书等

内部管理制度，但目前医院内部环境有所变化，故应将发布的职责条例、制度、岗

位说明书等内容进行更新与修改，对各部门职责权限进行合理分解和有效配置，防

止部门职责模糊、重叠或空白地带，确保权责对等、不相容职责相别离。

〔二〕开展战略

1.控制目标

开展战略是医院在对现实状况和未来趋势进行综合分析和科学预测的根底上,

制定并实施的中长期开展目标与战略规划。建立科学、完善的战略制定、战略实施

以及战略调整的内部控制体系，为医院找准市场定位、明确开展方向、实现开展战

略提供坚实保障。

2.管控措施

〔1〕职责权限

口管理委员会

A.审议决定医院战略规划；

B.审议决定医院年度财务预算、年度财务决算；

C.审议决定医院年度工作方案和年度固定资产投资〔修理〕方案；

D.审议决定医院内部管理机构的设置，报公司人力资源处备案；

E.提议聘任或解聘医院副院长及高级管理人员；

F.审议决定聘任或解聘医院管委会秘书；

G.审议决定医院？薪酬分配方案？；

H.审议批准医院内部根本管理制度；

I.医院及？管理方法？规定的其他职权。

2）院长

医院院长行使以下职权：

A.主持医院的开展、经营管理工作，组织实施管委会决议；

B.组织拟定医院年度工作方案、固定资产投资（修理）方案和新业务新技术的

研发方案；

C.组织拟定医院年度财务预算、年度财务决算；

D.组织拟定医院内部管理机构的设置方案；

E.组织拟定医院根本管理制度；

F.组织制定医院的具体规章；

G.向管委会提请聘任或解聘医院副院长及管理人员；

H.决定聘任或者解聘除应由管委会聘任或解聘以外的管理人员；

I.管委会授予的其他职权。

3）其他职能部门

A.为战略环境分析提供相关信息；

B.为战略风险分析框架提供相关建议；

C.按照分工分解战略目标，协调或具体执行方案；

（2）控制措施

1）战略制定

医院依照相关制度的要求和程序，对医院的战略目标、战略规划与业务方案进

行制定和调整，并组织战略的具体实施和后续评估工作。

医院主要依据市场开展趋势预测，综合分析内外部因素对开展战略的影响，组

织各方面的专家对战略规划草案进行评审与修改，经医院管理委员会研究决定后，

提交至医院。

3）战略实施

医院通过组织有关部门制定年度经营方案、编制全面预算等方式，将医院战略

分解到医院各部门，并纳入年度绩效考核。通过培养与战略匹配的医院文化，保证

战略得以有效的贯彻实施。

（三）人力资源

1.控制目标

医院应重视人力资源管理，建立科学的人力资源政策，标准人力资源管理机制,

加强人力资源鼓励与约束机制，以充分调动整体团队的积极性、主动性和创造性，

全面提升医院的核心竞争力。

2.管控措施

医院聘用的职工与西飞集团签订劳动合同，与医院签订岗位合同。

医院使用的劳务派遣工，与派遣机构签订劳动合同，与医院签订岗位合同，并

执行?西飞集团医院使用劳务派遣工暂行管理方法？。

医院院长、副院长、院长助理的岗位合同与管委会主任签订，其他员工的岗位

合同与医院院长签订。

新招大学生和专业人才由医院提出招聘方案，管委会批准后，报公司人力资源

部审核，由公司人力资源部统一组织招聘。

其他职能部门配合医院人力资源室做好人员的培训和管理工作；协助人力资

源室拟定年度人力资源方案。

〔四〕内部审计

1.控制目标

通过对医院日常经营管理工作的再监督，强化内部管理控制，对业务管理活动

做出客观、公正的审计结论和意见，及时发现问题纠正错误，堵塞管理漏洞，减少

损失，保护资产的平安与完整，提高会计资料的真实、可靠性。

2.管控措施

〔1〕职责权限

口管理委员会

2〕审批内部审计制度、年度内部审计方案，审核年度内部审计工作报告；

3〕决定聘用或解聘承办审计业务的会计师事务所，并决定其报酬；

4〕审批医院经营者经济责任审计结果、重大投资工程和财务开支的专项审计

结果。

(2)经管科

1)负责制定医院内部审计规章制度，编制医院内部审计工作方案并组织实施

及考核;

2）负责组织和管理医院内部审计工作；

3）负责管理医院财务收支审计、经济效益审计和内部控制制度评价工作，根据

需要开展专项审计工作；

4）负责医院主要负责人的经济责任审计工作；

5）负责检查审计意见执行落实情况，催促被审计部门整改；

6）负责指导医院的内部审计工作；

7）配合上级机关对医院的审计和检查；

8）负责内部审计工作信息统计工作。

3）其他职能部门

医院各职能机构应当积极配合内部审计工作。

（1）管控措施

1）建立标准的内部审计工作管理制度。

医院按照上级有关规定，制定和完善内部审计工作制度，编制内部审计工作方

案，定期向医院主要领导和上级内部审计机构提交内部审计工作报告。

院办负责医院系统内部审计报告的收集、归类、整理、保管、报送和反应，并

提出年度内部审计报告的重点和要求。

医院内部审计包括经济责任审计、经济效益审计、管理审计、工程立项审计、

工程预算审计、在建工程跟踪审计、工程竣工决算审计、财务决算审计、财务收支

审计、内部控制与风险管理审计、专项审计调查等。

2）建立健全业务管理过程的内部审计机制。

通过开展重点建设工程过程跟踪审计工作，制定相关工作制度和实施方法，将

审计关口前移，对重点工程进行跟踪审计，随时发现问题随时纠正，防止因事后审

计，对造成的损失和存在的问题无法弥补或纠正。通过开展跟踪审计，加强对建设

工程从立项、施工、监理、合同、招投标、投资、质量、工期、平安等各方面的动

态管理。

3）加强审计整改意见的落实监督，切实保障审计整改的工作实效。

医院对所有审计工程建立跟踪台账，对审计发现的问题要求各部门明确责任

人员，限期整改。院办定期将下发的审计意见汇总、整理、归类和分析，会同相关

职能部门，采取审计联席会议的方式，共同研究审计报告中发现的问题，分析产生

的原因，针对性地制定措施。

（五）医院文化

1.控制目标

加强风险防范意识和法制观念，医院管理层应该以身作那么追求较高的诚信

与道德标准，并标准员工的行为，全力营造良好的组织文化。具体内容包括：

〔1〕文化建设。医院要培育积极向上的价值观和社会责任感，倡导老实守信、

爱岗敬业、开拓创新和团队协作情神，树立现代管理理念。

〔2〕风险意识。包括医院在介入新业务前，应经过仔细的风险和收益分析后

再采取行动；是应积极介入风险特别高的业务。

〔3〕法制建设。医院应加强法制教育，增强高级管理人员和员工的法制观念，

严格依法决策、依法办事、依法监督。

〔4〕管理层应该在言谈和行动的方式中表现出对道德标准一丝不苟的遵循,

并向员工传达诚信与道德标准，以保证道德标准必须不折不扣地执行，具体包括：

1〕道德标准是全面的，针对利益冲突、非法或其他不当付款、反不正当竞争准

那么、内幕交易。

2〕医院对道德标准进行有效地宣传推广。

3〕员工知晓什么行为是可接受的，什么是不可以接受的，以及当遇到不当行

为时应该米取的行动。

2.管控措施

以西飞理念和？西飞纲领？为指引，秉承医院开展战略，在医院全面实施文化管

理，以文化启迪思想、把握方向，逐步完善、纵深管理的有效机制，使广阔干部对

医院的开展目标、管理思路、管理方法在认同、领悟的根底上，不断渗透到各部门、

各班组，使医院全体员工统一思想、统一认识，并付诸于行动，落实到具体工作中，

用文化创造价值。整合价值观念，创立学习型组织。提高管理绩效，履行社会责任。

〔六〕社会责任

1.控制目标

医院在经营开展过程中注重履行社会责任，在日常管控中严格落实平安生产

责任制，着力提升平安生产意识，保障员工平安生产；建立质量管理体系，强化质

量过程管理，提升质量信誉；加强环境保护与资源节约，营造良好的生态文明和社

会文明；促进就业，保障员工权益，提高员工责任心和工作积极性；遵循法律法规，

诚信开展经营业务活动，履行应尽义务。通过将社会责任融入医院经营管理之中，

不断提高医院治理水平和可持续开展能力，提升医院社会责任竞争力，创立良好的

医院形象。

2.管控措施

医院根据国家有关平安生产的规定，并结合医院实际情况，建立了严格的平安

事故应急预案，落实日常平安监督，采用多种形式增强员工平安意识，重视生产岗

位平安培训I,对于特殊岗位实行资格认证制度，同时强化平安生产责任追究制度，

切实做到平安生产。

三、风险评估

风险评估指医院为了实现开展目标，按照特定标准和标准要求，评估影响医院

目标实现的各种不确定因素，并采取应对策略的过程。风险评估是内部控制的重要

环节，主要包括目标设定、风险辨识评估、重大风险应对、风险管理监督与改良。

〔一〕风险框架结构

1.风险框架介绍

遵循？中国航空工业集团公司内部控制应用指引？的风险分类方法，公司风险

框架分三级，分别是一级风险、二级风险与三级风险。

〔1〕一级风险分为战略类、运营类、财务类、人力资源类、质量类、市场类、

外部环境类、对外投资类、保密平安类、法律类和廉洁类共11个类别。

口战略类风险：主要指医院所处的战略环境变化或战略管理过程中的不确定

因素，对医院造成影响的风险，包括宏观环境变化、相关政策调整、行业周期性影

响等系统性风险，以及在战略研究、制定、执行、调整过程中策略、程序和执行问

题等。

2〕经营类风险：主要指医院在经营过程中，由于外部环境的复杂性和变动性

以及主体对环境的认知能力和适应能力的有限性，而导致的运营失败或使经营活

动达不到预期的目标的可能性及其损失。包括研发设计、基建技改、采购、生产销

售等。

3〕财务类风险：主要指医院财务结构不合理、融资不当使医院可能丧失偿债

能力而导致预期收益下降和陷入财务困境甚至破产的风险。包括预算管理、融资、

资金管理、税收管理、资产管理、会计核算、财务报告、保险等环节的管理程序、

管理策略或执行中的问题等。

4〕人力资源类风险：主要指由于人力资源引进、退出或者鼓励机制不合理，

造成人力资源缺乏或过剩、结构不合理、开发机制不健全、关键岗位人才流失、经

营效率低下或关键技术泄密。

5〕质量风险：主要指效劳质量低劣，侵害消费者利益，可能导致医院巨额赔

偿、产生严重社会影响、形象受损甚至关闭。

6〕市场类风险：主要指市场环境因素变化，对医院造成影响的风险，包括效

劳需求变化，市场竞争状况、效劳/效劳价格波动等。

7〕外部环境类风险：主要指医院宏观外部环境变化造成的对医院战略目标实

现的不确定性，主要包括：国家政策风险、国际政治风险、宏观经济风险、自然环

境风险等。

8〕对外投资类风险：主要指对外投资工程未经科学、严密的评估和论证或未

经适当审批或超越授权审批或对外投资工程缺乏有效的管理，导致决策失误或投

资收益受损。主要包括投资立项风险、投资管控风险及投资退出风险。

9〕保密平安类风险：主要指医院保密平安措施不到位，造成医院知识产权秘

密泄露或平安事故，给医院财产或声誉造成损失。

10〕法律类风险：法律风险是指医院在运营过程中因自身经营行为的不标准或

者外部法律环境发生重大变化而造成的不利法律后果的可能性，以及因违反法律

或监管要求而受到制裁、遭受经济损失以及因未能遵守所有适用法律、法规、行为

准那么或相关标准而给医院信誉带来的损失的可能性。

11〕廉洁类风险：主要指由于医院人员个人行为标准或职业操守问题，成心违

反法律法规、医院规章制度或职业标准的风险。

〔2〕二级风险是一级风险的细化，主要根据风险在不同业务类别或流程上的

分布划分，具体划分如下表所示：

口在战略类风险下设置了战略制定风险和战略实施风险两项二级风险；

2〕在经营类风险下设置了研发设计风险、基建技改风险、采购风险、经营风

险、技术风险、效劳风险、平安风险、审计风险、信息化风险、综合事务风险、医

院文化风险、新闻舆论风险等十二项二级风险；

3〕在财务类风险下设置了资金管理风险、信用风险、预算风险、本钱控制风

险、汇利率风险、资产管理风险、担保风险、财务信息风险、债务风险、税务风险

等十项二级风险；

4〕在人力资源类风险下设置了人力资源规划风险、人才引进风险、岗位设置

风险、人才鼓励与考核风险、教育培训风险、人力资源退出风险、人力资源日常管

理风险等七项二级风险；

5〕在质量类风险下设置了质量体系风险、效劳质量风险、质量检测风险等三

项二级风险；

6〕在市场类风险下设置了需求波动风险、供给波动风险、竞争风险等三项二

级风险；

7〕在外部环境类风险下设置国家政策风险、国际政治风险、宏观经济风险、

自然环境风险等四项二级风险；

8〕在对外投资类风险下设置投资立项风险、投资管控风险、投资退出风险等

三项二级风险；

9〕在保密平安类风险下设置了保密风险、平安风险、节能环保风险等三项二

级风险；

10］在法律类风险下设置合规风险、合同管理风险、诉讼风险、知识产权风险

等四类二级风险;

11］在廉洁类风险下设置了廉洁风险等二级风险。

〔3〕三级风险是对二级风险的进一步细化。结合公司实际业务特点，分别在

二级风险分类框架下定义了研发规划风险、技术研发风险、技术执行风险等共18

项三级风险。

2.医院风险结构图

根据医院的目标体系和业务特点，目前的风险结构包括风险类别和风险事件。

风险分类结构如以下图3-1所示。风险分类结构根据所处开展阶段、业务结构、管

控模式以及风险特点变化，进行动态调整。

西飞医院风险分类框架

运营风险弗略风险］

研发设“风商-具体他略成瓯।

T战略制定风险］

研发规划风险

产晶研发风险战略实施风隐

T艺设计风险

［技改基建风呼卜咨律风险］

工程立项风险

工程招投标风险y合同钎理风险|

T程实施风险T诉讼风障］

工程验收风降U知识产权风险］

［采购风喀卜

供应商选择风险廉洁风险J

供应商评估风隆

康需风险

采购计划风降

采购定价风险

采购侦量风险伴密安全风险］

采购进度风险

上保密风险］

［生产风险卜

-安全风险|

生产计划风险节能J不保见&

生产执行风险

［销半风崖卜财务风险］

客户管理风险-资金管理风通,

产品定价风险-信用风险|

销售执行风险《预算风旗］

:服务风险-

T成本控制风险］

I伊同率风险］

I审计风险-

T资产管理反质I

（信息化风脸

R-担保风险|

球C事务风险-丽方信息风喳|

［企业文化风隆卜

q债务风险］

新闻臾论风险-

I税务风险

对外投资风险△力资源风甫］

-人力资源规划以诲

「投资管控风险一

-人才弓I进风险|

投送退Ml风脸卜岗位设置反府|

人才激励与考核风险|

质量风险

-教T?培训凤瓯|

（质量体系风险R人力资源退出风险

［产品演量风险卜H人力资源口常管理风险〕

质量检测风险

市场风险|

外部环境风险

I国家政策风险-T供给波动风险|

国际政治风险「竞争风险

宏观经济风险

;自蒸环境夙唆

图3-1风险分类结构

〔二〕目标设定

风险是不确定因素对医院目标的影响。目标设定是风险辨识、风险评估和风险

应对的前提。开展风险管理与内部控制工作，需综合考虑医院的战略、经营、报告、

合规等多种目标。

战略目标反映了医院的使命与愿景。

经营目标与医院经营的效果和效率相关，包括业绩和利润性目标，这类目标与

医院结构和经营业务的选择相关，需要反映医院运营所处的特定的经营、行业和经

济环境。

报告目标与报告可靠性相关，包括内部与外部报告。

合规目标涉及医院必须遵守的法律法规，主要取决于外部因素，某些情况下所

有医院的此类目标都根本相似，但在另一些情况下，医院也面临一些特殊的行业性

的合规目标。

医院通过有效的风险管理与内部控制工作，制定相关制度与流程，确保战略、

经营等目标与医院使命相协调，并根据设定的控制目标，全面系统持续地收集相关

信息，结合实际情况及时进行风险评估。

〔三〕风险辨识

1.信息收集

根据医院风险分类结构，医院应持续关注并收集与医院风险和风险管理相关

的各类信息，通过对初始信息进行必要的筛选、比照、统计分析，总结提炼现有及

潜在的内外部风险，为风险识别和评估提供依据和根底。

〔1〕收集方法

风险信息收集是风险管理的常规性工作，也应表达在战略研究、投资分析、工

程评价、市场决策等重要经营管理活动中。

医院可通过实地调研、问卷调查、专题研讨、专家访谈、日常经营管理数据分

析等方式，或利用外部信息渠道、借助外部力量定期开展信息收集。

〔2〕收集要点

结合风险框架分类结构，进行战略、财务、运营、市场、法律等各类信息收集

的要点如下所述:

1〕战略类信息

医院收集战略方面信息，应关注并收集以下各项根本数据及内外部相关案例：

经济政策以及经济运行情况、本行业状况、国家产业政策；

行业竞争形势、主要竞争对手及战略合作伙伴的情况；

医院、医院战略规划、经营方案及重大投资的执行情况、经验总结及问题分析;

2〕财务类信息

医院收集财务方面信息，应关注并收集以下各项根本数据及内外部相关案例：

国内会计准那么、医院会计准那么；

合规要求；

医院的财务结构、资本本钱、偿债能力、现金流及投资收益情况；

本钱核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环

节；

环保费用、政策优惠费用；

同行或其他因财务风险导致医院危机的案例。

3〕运营类信息

医院收集运营方面信息，应关注并收集以下各项根本数据及内外部相关案例:

医院组织效能、管理现状、组织文化，高、中层管理人员和重要业务流程中专

业人员的知识结构、专业经验；

质量、平安、环保、信息平安等管理中曾发生或易发生失误的业务流程或环节；

因医院内、外部人员的道德风险致使医院遭受损失或业务控制系统失灵；

对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改良能力；

医院风险管理的现状和能力。

4〕市场类信息

医院收集市场方面信息，应关注并收集以下各项根本数据及内外部相关案例：

产业链上下游供需关系变化及对医院的影响；

5〕法律类信息

医院收集合规方面信息，应关注并收集以下各项根本数据及内外部相关案例：

与医院相关的政治、政策和法律环境，包括对其现状的分析和变化及影响的分

析；

影响医院的新法律法规和政策；

医院签订的重要合同和协议的订立、执行情况；

医院发生的重大法律纠纷、重大诉讼案件；同行业内其他医院发生的重大纠纷

和诉讼案件；

医院内部人员道德操守的遵从性。

2.风险识别

依据风险信息收集情况，医院应及时识别各业务板块、各项重要经营活动及重

要业务流程中对业务和管理目标有影响的风险事件，形成风险事件库，为风险评估

提供根底资料。

〔1〕识别思路

结合医院既定战略目标、经营目标、报告目标和合规目标，医院各部门运用不

同的识别方法，查找自身业务活动或工作流程中涉及的风险事件，并对产生原因、

可能给医院带来的影响进行分析，最终形成医院整体层面的风险事件库。

在进行风险识别时，医院应关注以下事项：

1〕准确识别内部和外部风险：对商业、政治、社会、法律等外部因素和管理、

财务、平安环保等内部因素予以综合考虑，准确识别医院内部风险和外部风险。

2〕关注历史数据和未来预测：一方面，医院应关注历史数据，对本医院和行

业常见的风险和过去发生的历史事件进行整理、分析和总结，为防范和减少风险事

件反复提供依据；另一方面，医院也应关注对未来风险的预测，提前预防，跟踪其

开展趋势。

3〕区分纯粹风险和时机风险：医院应明确区分纯粹风险和时机风险，对纯粹

风险加以应对和控制，对时机风险应当充分把握和利用。

⑵识别方法

风险识别常用的方法和工具包括：问卷调查法、研讨会法、流程图法、情景分

析法、风险结构分解法、PEST分析法等。

1〕问卷调查法：问卷调查法是用来记录和整理数据的常用工具。医院通过确

定辨识范围、下发风险辨识问卷，广泛收集、识别医院各层面及业务开展中所存在

的风险；也可将医院可能发生的风险列于一个表上，供识别人员进行核对确认。

2〕研讨会：研讨会是风险管理中比拟常见的有效工具。把跨部门、不同级别

的管理人员召集到一起，对风险事件识别进行讨论；头脑风暴是研讨会的一种形式。

3〕访谈：访谈是对领导、专家、相关管理人员等进行面对面或者交流，了

解其对风险相关问题的看法、建议等。

4〕流程图法：流程图法通过对流程的分析，帮助发现和识别风险所处的具体

环节以及各环节之间存在的风险、风险动因和影响。

5〕情景分析法：情景分析法通过有关描述、数字、图表和曲线等，对未来的

某个状态或某种情况进行详细地描绘和分析，从而识别引起风险的关键因素及其

影响程度。

6〕风险结构分解法：风险结构分解法将风险按照其内在结构进行逐层分解，

形成结构示意图，把各级风险的地位与构成直观地表示出来易于检查和管理风险

事件。

7〕PEST分析法：PEST分析法是调查组织外部影响因素的方法，其每一个字

母代表一个因素，可以分为政治因素(Political)、经济因素(Economic)、社会因

素(Social)、技术因素(Technological)四大因素，从这四个因素出发分析医院所

面临的外部风险状况。

⑶识别结果

医院对识别出的风险事件进行系统性整理、筛选、归纳和整合，建立风险事件

库，总结历史经验、教训，反映目前面临的主要风险，有效提升风险预控和应对能

力。

各部门应当在医院的统一政策和方法论指导下建立风险事件库，保持医院系

统内风险事件库的统一协调，防止重复工作，实现医院系统内风险事件库的共享。

〔四〕风险分析

医院应结合风险识别情况，依据风险复杂程度和重要性选择适当的分析技术

和方法，按照风险发生的可能性及影响程度进行分析、评价和排序，从而确定医院

当前的重大风险，为医院高层的风险管理决策提供依据信息。

1.定性分析

定性分析是对风险事件的各项定性描述的属性信息进行整理和分析，包括动

因分析、影响分析、责任岗位分析、风险与内部控制对照分析、KPI分析等。

〔1〕动因分析：分析风险发生的深层次动因，确定风险产生的关键性驱动因

素，从而从根源上控制风险，提高风险管理效率和水平。

〔2〕责任岗位分析：明确风险的控制和监督等的责任归属，提高风险管理的

整体效率，为完善岗位考核体系提供信息依据。

〔3〕风险与内部控制对照分析：将风险与管控风险的内部控制活动进行对应，

明确医院面临的风险、主导责任部门、相关制度流程，从而将风险管理融入日常工

作，实现风险管理和内部控制的结合。

〔4〕KPI分析：分析某一风险事件影响到的各项绩效考核指标，为未来确定

各个风险的监控指标、到达风险预警和监控的目的提供信息依据。

2.定量分析

定量分析是对风险的各项定量描述的属性信息进行整理和分析，包括风险影

响程度分析、发生可能性分析、风险水平分析等。

〔1〕风险事件影响程度：指该风险会对医院经营目标所产生影响的大小。医

院根据自身实际情况，设置不同的影响维度；根据对不同维度的影响程度，又可分

为5个等级，分别赋予1分至5分，表示影响程度依次加强。

〔2〕风险发生的可能性：指在医院目前的管理水平下，风险事件发生概率的

大小或者发生的频繁程度。风险事件发生的可能性分为5个等级，分别赋予1分

至5分，表示可能性逐渐增加。

〔3〕风险水平：指风险事件的影响程度与发生可能性的乘积，通过风险水平

的大小可以对所有风险进行总体分析，判断各个风险的重要性特征。

〔五〕风险评价

医院应根据风险分析结果，结合医院自身的风险偏好和风险承受度，对各风险

进行排序，确定重大风险、重要风险以及一般风险。对于评价出的重大风险，应将

其作为当年风险管理工作的重点。

1.风险偏好与风险承受度

风险偏好是指医院在承当风险的种类、影响程度限额等方面的根本态度，是管

理层、员工等利益相关者期望和要求的集中表达，反映了风险与收益的平衡。风险

偏好要解决的是“医院愿意承当什么风险"的问题，是医院在实现其战略目标的过

程中愿意接受风险的描述。

风险承受度是指医院愿意承当的风险限度，也是风险偏好的边界，它清楚表达

风险偏好的内涵。风险承受度一般通过具体指标来表达或衡量。

医院应综合考虑自身业务目标、管理能力和资源条件，正确认识和把握风险与

收益的平衡，确定风险偏好和风险承受度，并据此确定风险的预警线及相应采取的

对策。

〔六〕重大风险应对

医院应在风险评估的根底上，结合风险偏好和风险承受度，针对评价出的重大

风险选择风险管理策略，制定应对措施和解决方案，并通过风险监控与报告，确保

风险管理策略和应对的有效实施。

1.风险管理策略

医院应针对不同风险特点，结合自身风险偏好和风险承受度，研究确定风险管

理策略。风险管理策略主要包括以下几种：

〔1〕风险承受：医院对自身开展所必须承当的相关风险，在权衡收益和本钱

之后，准备依靠内部自身资源不采取降低风险的控制措施来实现抵御风险的各项

措施。

〔2〕风险躲避：医院对超过自身风险承受能力的风险，采用放弃或者停止与

该风险相关业务活动以减轻和防止损失的方法。

〔3〕风险分担：医院对于可以外部力量来转移或分担的相关风险，采用业务

外包、购置保险等方式，使风险能够控制在医院可以承受范围之内。

〔4〕风险降低：医院通过综合采取战略、运营、财务等各项旨在减少和控制

风险发生可能性和影响程度的各种方法。

医院应结合不同开展阶段和业务拓展情况，持续收集与风险变化相关的信息，

进行风险识别和风险分析，及时调整风险管理策略。

2.风险应对措施和解决方案

医院应根据风险管理策略，针对每一项重大风险，从战略和运营、制度和流程、

人员和组织架构、技术与数据、绩效监督以及风险理财等方面入手，梳理现有解决

方案，制定风险管理应对方案。

医院院办根据评估出的重大风险，确定对应的重大风险主导部门以及相关责

任部门，并组织开展制定重大风险应对方案。院办应定期对重大风险应对方案和方

案的执行情况进行跟踪检查，并协调跨部门的重大风险管理事宜。

同时，医院还应建立重大风险预警机制和突发事件应急处理机制，明确风险预

警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、标准

处置程序，确保突发事件得到及时妥善处理。

〔七〕风险管理监督与改良

医院各部门应以重大风险、重大事件和重大决策、重要管理和业务流程为重点,

对风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，根据变

化情况和存在的缺陷及时予以改良，并将风险管理工作开展情况和风险监控分析

结果定期报送院办。

1.风险监控

医院各部门实施风险监控时应重点关注以下风险信息：

本部门新出现的风险或原有风险的重大变化；

既定风险应对措施和解决方案的执行情况及执行效果。

医院将逐步建立和完善指标化的风险监控体系，通过对关键风险指标的持续

跟踪、记录和分析，提高管理效率和效果。

2.风险报告

风险管理报告是风险信息沟通的有效机制。医院应标准风险报告机制，通过风

险管理报告促进上下级单位之间的双向沟通、平级部门之间的信息共享和专业研

讨。

院办将定期组织各部门开展风险评估工作，并根据风险评估结果编制？风险评

估报告？，报送院长，确保风险应对策略及应对方案的及时制定和落实。

各部门应定期或不定期编制？风险应对措施表？，就风险管理及内部控制工作

开展情况向院办报告。

院办应汇总各部门风险应对措施和解决方案的落实情况，并结合医院年度内

部控制评价结果，定期编制？年度风险管理监督与改良报告？，向管理委员会报送本

医院年度风险及内部控制管理情况。

四、控制活动

控制活动指医院根据风险评估结果，结合风险应对策略所采取确实保医院内

部控制目标得以实现的方法和手段，其存在于整个机构内所有级别和职能部门，以

流程及其配套制度为载体，是实施内部控制的具体方式。

〔一〕控制目标

控制目标是管理活动的根本要求，也是评价内部控制的标准。医院应根据管理

要求和业务特点确定控制目标，据以选择适合的内部控制要素，建立和评价内部控

制体系。通过夯实内部控制管理根底，完善制度流程建设、标准业务流程内部控制，

形成“管理制度化、制度流程化、流程表单化、表单信息化”的业务流程管理机制，

实现“层次清晰、职责明确、流程合理、管理科学”的工作目标。

〔二〕控制措施

通过采用手工控制与自动控制、预防性控制与发现性控制相结合的方法，结合

具体的控制措施，将风险控制在可承受度之内。具体措施一般包括：不相容职务别

离控制、授权审批控制、会计系统控制、财产保护控制、方案控制、预算控制、合

同管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等。具

体如下：

1.控制手段分类

控制活动可分为人工控制和自动控制。

〔1〕人工控制是以人工方式执行的控制；

〔2〕自动控制是由计算机等系统自动执行的控制。

2.控制作用分类

控制活动可分为预防性控制和发现性控制。

〔1〕预防性控制是指为防止错误和非法行为的发生，或尽量减少其发生时机

所进行的一种控制，是一种事前控制。

〔2〕发现性控制是指为及时查明已发生的错误和非法行为，或增强发现错误

和非法行为时机的能力所进行的各项控制。一般通过检查、补偿、指导、纠错等形

式发生，是事中或者事后控制。

一般认为预防性控制的控制力要强于发现性控制，即事前控制的控制力要强

于事中及事后控制。

3.控制措施分类

〔1〕不相容职务别离控制指全面系统地分析、梳理业务流程中所涉及的不相

容职务，实施相应的别离措施，形成各司其职、各负其责、相互制约的工作机制。

〔2〕授权审批控制是指根据常规授权和特别授权的规定，明确各岗位办理业

务和事项的权限范围、审批程序和相应责任。

〔3〕会计系统控制是指按照国家统一的会计准那么编制内部会计制度，加强

会计根底工作，明确会计凭证、会计账簿和财务报告的处理程序，并有效控制与此

相关的信息系统，保证会计资料真实、完整。

〔4〕财产保护控制指建立财产日常管理制度和定期清查制度，作好财产记录、

实物保管、定期盘点、账实核对等工作，确保财产平安。

〔5〕方案控制是指各级管理部门根据专业管理目标，结合市场和内部资源作

出合理预测，通过年度、季度、月度等方案形式加以约束，履行控制职能。

〔6〕预算控制是指明确各责任单位在预算管理中的职责权限，标准预算的编

制、审定、下达和执行程序，强化预算约束。

〔7〕合同管理控制是通过推行合同示范文本，标准合同审批、签署、履行、

监督等程序，合理约束生产经营活动。

〔8〕资金支付控制指通过资金集中管理、资金支付审核、审批等方式，履行

财务监督职能，保证资金支付平安。

〔9〕信息技术控制指通过信息系统各种功能的有效应用，对相关业务实现自

动控制。

〔10〕运营分析控制指建立经济活动分析制度，综合运用生产、购销、投资、

筹资、财务等方面的信息，通过因素分析、比照分析、趋势分析方法，定期开展经

济活动分析，发现问题，及时查明原因并加以改良。

〔11〕绩效考评控制指建立和实施绩效考评制度，科学设置考核指标体系，对

内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确

定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

〔三〕控制文件

1.公章使用管理流程

〔1〕流程目标

根据医院相关制度，对印章管理流程加以规定，明确了各类印章管理的具体要

求。

〔2〕流程管理部门

院办公室

〔3〕规章制度及管理标准

?公章使用管理制度？

〔4〕流程描述

〔5〕流程图一

〔6〕风险控制矩阵

风险

控

分类控

风险制

控制制实施

点编风险点点控制措施制度索引

级级方法频证据

号编

风风率

号

险险

综审核用印申

用印事由不充

运合请的标准性、

分、用印需求人工无

营事合理性和合用印公章使用

R1不合规、用印C1/预规

风务规性，对于发申请管理制度

申请资料不完防律

险风现问题的及

备

险时驳回

2.文件管理流程

〔1〕流程目标

明确医院内部各类文件的控制体系，以及文件的编写、审批、发放、更

改的程序。

〔2〕流程管理部门

院办公室

〔3〕规章制度及管理标准

?文件管理制度？

〔4〕流程描述

编

责任部门/岗位流程步骤描述输出文档

号

1文件使用部门起草文件内容

2文件使用部门领导审批

3院办公室组织相关人员对文件进行会审

4院长审批文件

5院办公室审批通过后正式下发

6院办公室文件下发后存档

〔5〕流程图二

〔6〕风险控制矩阵

风险

分类控控

风险点编控制点编制制实施制度索

风险点控制措施

号级级号方频证据引

风风法率

险险

文件起草后，报

起草的文件综

部门领导、院长人

没经过充分运合

审核批准，审批工无

的论证，导致营事文件管

R1C1时关注文件是否/规

文件拟定的风务理制度

符合医院的现预律

不合理、执行险风

状，是否具有操防

不力。险

作性。

3.员工招聘流程

〔1〕流程目标

建立人力资源方案需求上报及录用管理工作的方法和步骤。

〔2〕流程管理部门

人力资源室

〔3〕规章制度及管理标准

?西安一四一医院高等〔高职〕院校毕业生招聘方案？

?西安一四一医院临时工需求方案？

〔4〕流程描述

编

责任部门/岗位流程步骤描述输出文档

号

1用人部门根据自身实际需要提出人员需求

医院人力资源室根据年度人力资源方案对人员需求进

2

行审核

集团人力资源部根据年度人力资源方案对人员需求进

3

行审核

4集团人力资源部实施人员招聘

5集团人力资源室与劳动者签订劳动合同

6

〔5〕流程图三

员工招聘流程

〔6〕风险控制矩阵

风险

分类控控

风险控制