医院内部控制手册模板.doc

西飞医院内部控制手册 一、总则 （一）编制目标 从完善组织治理和推进标准化管理两个层面来考虑，编制《内部控制手册》，为中航工业西飞工业（集团）有限责任企业分支机构西安一四一医院（以下简称“医院”）优化步骤管控、推进标准化管理提供依据，也为医院开展内部控制工作提供可遵照标准，同时有效满足医院要求。概括而言，手册编制意在实现以下目标： 1.建立健全内部控制管理体系。结合内部控制工作要求，完善医院制度步骤管理体系，建立含有医院本身特色内部控制体系，提升医院经营效率和效果，为合规经营、资产安全和信息真实提供合理确保。 2.固化形成内部控制工作机制。经过明确医院内部控制目标标准、职责分工，制订一套规范化工作步骤，提出标准化业务步骤控制要求，配合开展内部控制信息系统建设，并连续培育良好风险管理文化，以加强内部控制工作，为医院管理规范化和决议科学化提供参考和支持。 3.规范加强内部控制评价工作。经过规范内部控制评价工作程序和标准，确保评价结果客观性和可比性；主动利用评价结果确定医院管理改善、审计、监察等监督工作关键，以提升制度实施力，促进风险预控、过程控制和事后惩戒相结合，全方面提升医院管理水平和风险管控能力。 （二）编制标准 1.方法性和实用性相结合 本手册编制既参考了国际和中国内部控制理论和中国外大型企业内部控制实践，又立足于医院本身战略目标和管理特点，努力争取和现有管控模式及管理实际相衔接，充足考虑内控工作可行性和可操作性。手册内容涵盖内部控制体系建设基础要素和工作步骤，对医院开展内控工作提出一套完整方法论和指导标准；同时制订了具体操作指导和标准化工作模板，为医院内控日常工作提供依据。 2.风险预控和业务管理相结合 本手册编制落实以风险为导向内部控制理念，将内部控制工作要求落实到业务活动及步骤标准化管理中，明确管理界面、权限规范及关键控制点，提出细化到岗位控制要求，引导各级责任主体在业务实施上符合医院管控要求。 3.满足外部监管和提升内部管理相结合 本手册编制以满足国资委和财政部对内部控制规范监管要求为出发点，从内部控制角度提出开展经营管理活动应遵照控制要求，以期建立含有“强支撑、短步骤、高授权、大监督”特点管理机制，有效提升经营效率和效果协调性。 （三）编制依据 为确保医院内部控制体系建设合规化及标准化，本手册编制在遵照医院内部控制相关要求基础上，同时参考了现在国际中国通行内部控制标准，其编制依据以下： 1.医院及医院相关制度； 2.中航飞机股份相关制度、《中国航空工业集团企业内部控制应用指导》 3.现在国际中国通行内部控制法规及相关标准，关键包含：《企业内部控制基础规范》（财政部等五部委颁布，财会[]7号）、《企业内部控制应用指导》（财政部等五部委颁布，财会[]4号）、COSO-ERM《企业风险管理—整合框架》（）。 （四）内部控制体系框架 1.内部环境。内部环境是实施内部控制基础，通常包含组织架构、发展战略、人力资源、内部审计、医院文化、社会责任等。 2.风险评定。风险评定是立即识别、系统分析经营活动中和实现内部控制目标相关风险，合理确定风险应对策略。 3.控制活动。控制活动是依据风险评定结果，采取对应控制方法，将风险控制在可承受度之内。 4.信息和沟通。信息和沟通是立即、正确地搜集、传输和内部控制相关信息，确保信息在组织内部、医院和外部之间进行有效沟通。 5.内部监督。内部监督是对内部控制建立和实施情况进行监督检验，评价内部控制有效性，发觉内部控制缺点，应该立即加以改善。 （五）内部控制组织结构和权责 医院建立健全了包含由决议层、管理层、实施层、监督部门组成内部控制管理架构，明确了各层级管理职责。 1.管理委员会 （1）负责内部控制管理工作，关键负责： （2）审议医院内控管理制度； （3）审议医院内控管理体系建设计划、整体框架； （4）审议医院业务步骤架构； （5）审议管理层内部控制评定汇报； （6）审议内控管理组织机构设置及其职责方案； （7）办理医院授权相关内控管理其它事项。 2.经管科 经管科是内部控制管理工作办事机构，关键负责内控体系建设、运行、维护组织及日常监督工作，负责对内部控制体系运行情况实施过程监督和专题审计，经管科每十二个月最少组织实施一次内部控制专题审计。 关键职责以下： （1）依据国家相关法律、法规及相关要求，负责组织制订内控管理制度； （2）负责编制内控管理体系建设计划、体系框架，并组织实施； （3）负责组织风险评定工作，确定重大风险，建立风险数据库； （4）负责组织和协调业务步骤管理相关工作； （5）负责组织风险控制设计及实施； （6）负责内控管理体系日常维护； （7）负责协调外部内控检验和审计； （8）负责确定医院年度内部控制评定汇报，并上报至管理委员会； （9）负责内控管理业务培训。 3.其它管理部门及各科室 （1）负责组织本部门职员学习并实施医院内控管理规范； （2）负责本部门业务步骤描述和优化； （3）组织本部门风险控制方法设计及实施； （4）组织本部门内控管理规范日常监督检验； （5）人力资源室负责将内控管理纳入绩效考评指标体系。 （六）手册实施和更新 本手册作为医院开展具体工作准则和指南，含有约束性。一经公布，医院及各级职员应遵照手册要求实施相关工作要求，规范开展内控工作，定时组织内控评价，主动利用评价结果，有效组织整改落实，连续提升医院管理水平。 伴随医院不停发展，外部经营环境和内部风险现实状况也会不停发生改变，医院内部管控模式、组织架构、业务管控活动和工作步骤应随之动态调整；同时，伴随内部控制经验不停积累和信息化水平提升，医院应适时改善和完善本手册具体内容。 经管科作为本手册管理和维护归口部门，标准上依据年度内部控制实际情况，每十二个月开展一次评定，并依据需要进行更新。更新资料关键起源于：管理委员会、管理层及各部门对内控要求及提议、医院各部门管理实践、年度内控评价结果。连续修订、完善和更新后《内部控制手册》作为医院沉淀优异管理经验，创新标准化管理和实现管理样板性目标关键工具之一，经审批后正式生效。 （七）手册颁布和生效 本手册于二〇一五年五月颁布，自颁布之日起生 二、内部环境 内部环境是医院建立和实施内部控制基础，关键包含组织架构、发展战略、人力资源政策、内部审计、医院文化、反舞弊、信息系统管理和社会责任等内容。 （一）组织架构 1.控制目标 医院应该根据国家相关法律法规、医院章程相关要求，结合本医院实际，明确医院内部各层级机构设置、职责权限、人员编制、工作程序和相关要求制度安排。具体包含： （1）应建立合理内部管理组织机构； （2）应依据运行目标、运行职能和监管要求，明确界定各管理部门和岗位权力和责任分配体系。 2.管控方法 （1）明晰职责权限 1）医院设院长1名，依据医院章程，院长授权行使以下职权：①主持医院发展、经营管理工作，组织实施管委会决议；②组织确定医院年度工作计划、固定资产投资(修理)计划和新业务新技术研发计划；③组织确定医院年度财务预算、年度财务决算；④组织确定医院内部管理机构设置方案；⑤组织确定医院基础管理制度；⑥组织制订医院具体规章；⑦向管委会提请聘用或解聘医院副院长及管理人员；⑧决定聘用或解聘除应由管委会聘用或解聘以外管理人员；⑨对医院经营活动中发生重大事项立即向管委会汇报；⑩管委会授予其它职权。 2）领导班子组员,对院长负责，并在职责范围内或依据院长授权处理相关工作和签发相关业务文件。 （2）合理设置组织机构 医院组织结构图以下图2-1所表示。 医院办公室 经 管 科 总 务 科 网络中心 保卫室 总务室 洗涤中心 人力资源室 会计室 收费室 医保办 西飞医院 图 2-1 医院组织结构图 医院将结合内外部环境改变，定时对现行组织机构及其运行情况进行综合分析，给予优化调整，确保组织机构设置合理性。 （3）有效分配职责权限 医院已制订并公布各部门职责条例管理文件及各部门各类人员岗位说明书等内部管理制度，但现在医院内部环境有所改变，故应将公布职责条例、制度、岗位说明书等内容进行更新和修改，对各部门职责权限进行合理分解和有效配置，避免部门职责模糊、重合或空白地带，确保权责对等、不相容职责相分离。 （二）发展战略 1.控制目标 发展战略是医院在对现实情况和未来趋势进行综合分析和科学估计基础上，制订并实施中长久发展目标和战略计划。建立科学、完善战略制订、战略实施和战略调整内部控制体系，为医院找准市场定位、明确发展方向、实现发展战略提供坚实保障。 2.管控方法 （1）职责权限 1）管理委员会 A．审议决定医院战略计划； B.审议决定医院年度财务预算、年度财务决算； C.审议决定医院年度工作计划和年度固定资产投资（修理）计划； D.审议决定医院内部管理机构设置，报企业人力资源处立案； E.提议聘用或解聘医院副院长及高级管理人员； F.审议决定聘用或解聘医院管委会秘书； G.审议决定医院《薪酬分配方案》； H.审议同意医院内部基础管理制度； I.医院及《管理措施》要求其它职权。 2)院长 医院院长行使下列职权： A.主持医院发展、经营管理工作，组织实施管委会决议； B.组织确定医院年度工作计划、固定资产投资(修理)计划和新业务新技术研发计划； C.组织确定医院年度财务预算、年度财务决算； D.组织确定医院内部管理机构设置方案； E.组织确定医院基础管理制度； F.组织制订医院具体规章； G.向管委会提请聘用或解聘医院副院长及管理人员； H.决定聘用或解聘除应由管委会聘用或解聘以外管理人员； I.管委会授予其它职权。 3)其它职能部门 A.为战略环境分析提供相关信息； B.为战略风险分析框架提供相关提议； C.根据分工分解战略目标，协调或具体实施计划； (2)控制方法 1)战略制订 医院依摄影关制度要求和程序，对医院战略目标、战略计划和业务计划进行制订和调整，并组织战略具体实施和后续评定工作。 医院关键依据市场发展趋势估计，综合分析内外部原因对发展战略影响，组织各方面教授对战略计划草案进行评审和修改，经医院管理委员会研究决定后，提交至医院。 3)战略实施 医院经过组织相关部门制订年度经营计划、编制全方面预算等方法，将医院战略分解到医院各部门，并纳入年度绩效考评。经过培养和战略匹配医院文化，确保战略得以有效落实实施。 (三)人力资源 1.控制目标 医院应重视人力资源管理，建立科学人力资源政策，规范人力资源管理机制，加强人力资源激励和约束机制，以充足调动整体团体主动性、主动性和发明性，全方面提升医院关键竞争力。 2.管控方法 医院聘用职员和西飞集团签署劳动协议，和医院签署岗位协议。 医院使用劳务派遣工，和派遣机构签署劳动协议，和医院签署岗位协议，并实施《西飞集团医院使用劳务派遣工暂行管理措施》。 医院院长、副院长、院长助理岗位协议和管委会主任签署，其它职员岗位协议和医院院长签署。 新招大学生和专业人才由医院提出招聘计划，管委会同意后，报企业人力资源部审核，由企业人力资源部统一组织招聘。 其它职能部门配合医院人力资源室做好人员培训和管理工作；帮助人力资源室确定年度人力资源计划。 （四）内部审计 1.控制目标 经过对医院日常经营管理工作再监督，强化内部管理控制，对业务管理活动做出客观、公正审计结论和意见，立即发觉问题纠正错误，堵塞管理漏洞，降低损失，保护资产安全和完整，提升会计资料真实、可靠性。 2.管控方法 （1）职责权限 1）管理委员会 2）审批内部审计制度、年度内部审计计划，审核年度内部审计工作汇报； 3）决定聘用或解聘承接审计业务会计师事务所，并决定其酬劳； 4）审批医院经营者经济责任审计结果、重大投资项目和财务开支专题审计结果。 (2)经管科 1)负责制订医院内部审计规章制度，编制医院内部审计工作计划并组织实施及考评； 2)负责组织和管理医院内部审计工作； 3)负责管理医院财务收支审计、经济效益审计和内部控制制度评价工作，依据需要开展专题审计工作； 4)负责医院关键责任人经济责任审计工作； 5)负责检验审计意见实施落实情况，督促被审计部门整改； 6)负责指导医院内部审计工作； 7)配合上级机关对医院审计和检验； 8)负责内部审计工作信息统计工作。 3)其它职能部门 医院各职能机构应该主动配合内部审计工作。 (1)管控方法 1)建立规范内部审计工作管理制度。 医院根据上级相关要求，制订和完善内部审计工作制度，编制内部审计工作计划，定时向医院关键领导和上级内部审计机构提交内部审计工作汇报。 院办负责医院系统内部审计汇报搜集、归类、整理、保管、报送和反馈，并提出年度内部审计汇报关键和要求。 医院内部审计包含经济责任审计、经济效益审计、管理审计、工程立项审计、工程预算审计、在建工程跟踪审计、工程完工决算审计、财务决算审计、财务收支审计、内部控制和风险管理审计、专题审计调查等。 2)建立健全业务管理过程内部审计机制。 经过开展关键建设项目过程跟踪审计工作，制订相关工作制度和实施措施，将审计关口前移，对关键项目进行跟踪审计，随时发觉问题随时纠正，避免因事后审计，对造成损失和存在问题无法填补或纠正。经过开展跟踪审计，加强对建设项目从立项、施工、监理、协议、招投标、投资、质量、工期、安全等各方面动态管理。 3)加强审计整改意见落实监督，切实保障审计整改工作实效。 医院对全部审计项目建立跟踪台账，对审计发觉问题要求各部门明确责任人员，限期整改。院办定时将下发审计意见汇总、整理、归类和分析，会同相关职能部门，采取审计联席会议方法，共同研究审计汇报中发觉问题，分析产生原因，针对性地制订方法。 (五)医院文化 1.控制目标 加强风险防范意识和法制观念，医院管理层应该以身作则追求较高诚信和道德标准，并规范职员行为，全力营造良好组织文化。具体内容包含： （1）文化建设。医院要培育主动向上价值观和社会责任感，提倡老实守信、爱岗敬业、开拓创新和团体协作情神，树立现代管理理念。 （2）风险意识。包含医院在介入新业务前，应经过仔细风险和收益分析后再采取行动；是应主动介入风险尤其高业务。 （3）法制建设。医院应加强法制教育，增强高级管理人员和职员法制观念，严格依法决议、依法办事、依法监督。 （4）管理层应该在言谈和行动方法中表现出对道德标准一丝不苟遵照，并向职员传达诚信和道德标准，以确保道德标准必需不折不扣地实施，具体包含： 1）道德标准是全方面,针对利益冲突、非法或其它不妥付款、反不正当竞争准则、内幕交易。 2）医院对道德标准进行有效地宣传推广。 3）职员知晓什么行为是可接收，什么是不能够接收，和当碰到不妥行为时应该采取行动。 2.管控方法 以西飞理念和《西飞纲领》为指导，秉承医院发展战略，在医院全方面实施文化管理，以文化启迪思想、把握方向，逐步完善、纵深管理有效机制，使广大干部对医院发展目标、管理思绪、管理措施在认同、领悟基础上，不停渗透到各部门、各班组，使医院全体职员统一思想、统一认识，并付诸于行动，落实到具体工作中，用文化发明价值。整合价值观念，创建学习型组织。提升管理绩效，推行社会责任。 （六）社会责任 1.控制目标 医院在经营发展过程中重视推行社会责任,在日常管控中严格落实安全生产责任制，着力提升安全生产意识，保障职员安全生产；建立质量管理体系，强化质量过程管理，提升质量信誉；加强环境保护和资源节省，营造良好生态文明和社会文明；促进就业，保障职员权益，提升职员责任心和工作主动性；遵照法律法规，诚信开展经营业务活动，推行应尽义务。经过将社会责任融入医院经营管理之中，不停提升医院治理水平和可连续发展能力，提升医院社会责任竞争力，创建良好医院形象。 2.管控方法 医院依据国家相关安全生产要求，并结合医院实际情况，建立了严格安全事故应急预案，落实日常安全监督，采取多个形式增强职员安全意识，重视生产岗位安全培训，对于特殊岗位实施资格认证制度，同时强化安全生产责任追究制度，切实做到安全生产。 三、风险评定 风险评定指医院为了实现发展目标，根据特定规范和标准要求，评定影响医院目标实现多种不确定原因，并采取应对策略过程。风险评定是内部控制关键步骤，关键包含目标设定、风险辨识评定、重大风险应对、风险管理监督和改善。 （一）风险框架结构 1．风险框架介绍 遵照《中国航空工业集团企业内部控制应用指导》风险分类方法，企业风险框架分三级，分别是一级风险、二级风险和三级风险。 （1）一级风险分为战略类、运行类、财务类、人力资源类、质量类、市场类、外部环境类、对外投资类、保密安全类、法律类和廉洁类共11个类别。 1）战略类风险：关键指医院所处战略环境改变或战略管理过程中不确定原因，对医院造成影响风险，包含宏观环境改变、相关政策调整、行业周期性影响等系统性风险，和在战略研究、制订、实施、调整过程中策略、程序和实施问题等。 2）经营类风险：关键指医院在经营过程中，因为外部环境复杂性和变动性和主体对环境认知能力和适应能力有限性，而造成运行失败或使经营活动达不到预期目标可能性及其损失。包含研发设计、基建技改、采购、生产销售等。 3）财务类风险：关键指医院财务结构不合理、融资不妥使医院可能丧失偿债能力而造成预期收益下降和陷入财务困境甚至破产风险。包含预算管理、融资、资金管理、税收管理、资产管理、会计核实、财务汇报、保险等步骤管理程序、管理策略或实施中问题等。 4）人力资源类风险：关键指因为人力资源引进、退出或激励机制不合理，造成人力资源缺乏或过剩、结构不合理、开发机制不健全、关键岗位人才流失、经营效率低下或关键技术泄密。 5）质量风险：关键指服务质量低劣，侵害消费者利益，可能造成医院巨额赔偿、产生严重社会影响、形象受损甚至关闭。 6）市场类风险：关键指市场环境原因改变，对医院造成影响风险，包含服务需求改变，市场竞争情况、服务/服务价格波动等。 7）外部环境类风险：关键指医院宏观外部环境改变造成对医院战略目标实现不确定性，关键包含：国家政策风险、国际政治风险、宏观经济风险、自然环境风险等。 8）对外投资类风险：关键指对外投资项目未经科学、严密评定和论证或未经合适审批或超越授权审批或对外投资项目缺乏有效管理，造成决议失误或投资收益受损。关键包含投资立项风险、投资管控风险及投资退出风险。 9）保密安全类风险：关键指医院保密安全方法不到位，造成医院知识产权秘密泄露或安全事故，给医院财产或声誉造成损失。 10）法律类风险：法律风险是指医院在运行过程中因本身经营行为不规范或外部法律环境发生重大改变而造成不利法律后果可能性，和因违反法律或监管要求而受到制裁、遭受经济损失和因未能遵守全部适使用方法律、法规、行为准则或相关标准而给医院信誉带来损失可能性。 11）廉洁类风险：关键指因为医院人员个人行为规范或职业操守问题，有意违反法律法规、医院规章制度或职业规范风险。 （2）二级风险是一级风险细化，关键依据风险在不一样业务类别或步骤上分布划分，具体划分以下表所表示： 1）在战略类风险下设置了战略制订风险和战略实施风险两项二级风险； 2）在经营类风险下设置了研发设计风险、基建技改风险、采购风险、经营风险、技术风险、服务风险、安全风险、审计风险、信息化风险、综合事务风险、医院文化风险、新闻舆论风险等十二项二级风险； 3）在财务类风险下设置了资金管理风险、信用风险、预算风险、成本控制风险、汇利率风险、资产管理风险、担保风险、财务信息风险、债务风险、税务风险等十项二级风险； 4）在人力资源类风险下设置了人力资源计划风险、人才引进风险、岗位设置风险、人才激励和考评风险、教育培训风险、人力资源退出风险、人力资源日常管理风险等七项二级风险； 5）在质量类风险下设置了质量体系风险、服务质量风险、质量检测风险等三项二级风险； 6）在市场类风险下设置了需求波动风险、供给波动风险、竞争风险等三项二级风险； 7）在外部环境类风险下设置国家政策风险、国际政治风险、宏观经济风险、自然环境风险等四项二级风险； 8）在对外投资类风险下设置投资立项风险、投资管控风险、投资退出风险等三项二级风险； 9）在保密安全类风险下设置了保密风险、安全风险、节能环境保护风险等三项二级风险； 10）在法律类风险下设置合规风险、协议管理风险、诉讼风险、知识产权风险等四类二级风险； 11）在廉洁类风险下设置了廉洁风险等二级风险。 （3）三级风险是对二级风险深入细化。结合企业实际业务特点，分别在二级风险分类框架下定义了研发计划风险、技术研发风险、技术实施风险等共18项三级风险。 2.医院风险结构图 依据医院目标体系和业务特点，现在风险结构包含风险类别和风险事件。风险分类结构以下图3-1所表示。风险分类结构依据所处发展阶段、业务结构、管控模式和风险特点改变，进行动态调整。 西飞医院风险分类框架 图3-1 风险分类结构 （二）目标设定 风险是不确定原因对医院目标影响。目标设定是风险辨识、风险评定和风险应正确前提。开展风险管理和内部控制工作，需综合考虑医院战略、经营、汇报、合规等多个目标。 战略目标反应了医院使命和愿景。 经营目标和医院经营效果和效率相关，包含业绩和利润性目标，这类目标和医院结构和经营业务选择相关，需要反应医院运行所处特定经营、行业和经济环境。 汇报目标和汇报可靠性相关，包含内部和外部汇报。 合规目标包含医院必需遵遵法律法规，关键取决于外部原因，一些情况下全部医院这类目标全部基础相同，但在另部分情况下，医院也面临部分特殊行业性合规目标。 医院经过有效风险管理和内部控制工作，制订相关制度和步骤，确保战略、经营等目标和医院使命相协调，并依据设定控制目标，全方面系统连续地搜集相关信息，结合实际情况立即进行风险评定。 （三）风险辨识 1.信息搜集 依据医院风险分类结构，医院应连续关注并搜集和医院风险和风险管理相关各类信息，经过对初始信息进行必需筛选、对比、统计分析，总结提炼现有及潜在内外部风险，为风险识别和评定提供依据和基础。 （1）搜集方法 风险信息搜集是风险管理常规性工作，也应表现在战略研究、投资分析、项目评价、市场决议等关键经营管理活动中。 医院可经过实地调研、问卷调查、专题研讨、教授访谈、日常经营管理数据分析等方法，或利用外部信息渠道、借助外部力量定时开展信息搜集。 （2）搜集关键点 结合风险框架分类结构，进行战略、财务、运行、市场、法律等各类信息搜集关键点以下所述： 1）战略类信息 医院搜集战略方面信息，应关注并搜集下列各项基础数据及内外部相关案例： 经济政策和经济运行情况、本行业情况、国家产业政策； 行业竞争形势、关键竞争对手及战略合作伙伴情况； 医院、医院战略计划、经营计划及重大投资实施情况、经验总结及问题分析； 2）财务类信息 医院搜集财务方面信息，应关注并搜集下列各项基础数据及内外部相关案例： 中国会计准则、医院会计准则； 合规要求； 医院财务结构、资本成本、偿债能力、现金流及投资收益情况； 成本核实、资金结算和现金管理业务中曾发生或易发生错误业务步骤或步骤； 环境保护费用、政策优惠费用； 同行或其它因财务风险造成医院危机案例。 3）运行类信息 医院搜集运行方面信息，应关注并搜集下列各项基础数据及内外部相关案例： 医院组织效能、管理现实状况、组织文化，高、中层管理人员和关键业务步骤中专业人员知识结构、专业经验； 质量、安全、环境保护、信息安全等管理中曾发生或易发生失误业务步骤或步骤； 因医院内、外部人员道德风险致使医院遭受损失或业务控制系统失灵； 对现有业务步骤和信息系统操作运行情况监管、运行评价及连续改善能力； 医院风险管理现实状况和能力。 4）市场类信息 医院搜集市场方面信息，应关注并搜集下列各项基础数据及内外部相关案例： 产业链上下游供需关系改变及对医院影响； 5）法律类信息 医院搜集合规方面信息，应关注并搜集下列各项基础数据及内外部相关案例： 和医院相关政治、政策和法律环境，包含对其现实状况分析和改变及影响分析； 影响医院新法律法规和政策； 医院签署关键协议和协议签订、实施情况； 医院发生重大法律纠纷、重大诉讼案件；同行业内其它医院发生重大纠纷和诉讼案件； 医院内部人员道德操守遵从性。 2.风险识别 依据风险信息搜集情况，医院应立即识别各业务板块、各项关键经营活动及关键业务步骤中对业务和管理目标有影响风险事件，形成风险事件库，为风险评定提供基础资料。 （1）识别思绪 结合医院既定战略目标、经营目标、汇报目标和合规目标，医院各部门利用不一样识别方法，查找本身业务活动或工作步骤中包含风险事件，并对产生原因、可能给医院带来影响进行分析，最终形成医院整体层面风险事件库。 在进行风险识别时，医院应关注以下事项： 1）正确识别内部和外部风险：对商业、政治、社会、法律等外部原因和管理、财务、安全环境保护等内部原因给予综合考虑，正确识别医院内部风险和外部风险。 2）关注历史数据和未来估计：首先，医院应关注历史数据，对本医院和行业常见风险和过去发生历史事件进行整理、分析和总结，为防范和降低风险事件反复提供依据；其次，医院也应关注对未来风险估计，提前预防，跟踪其发展趋势。 3）区分纯粹风险和机会风险：医院应明确区分纯粹风险和机会风险，对纯粹风险加以应对和控制，对机会风险应该充足把握和利用。 （2）识别方法 风险识别常见方法和工具包含：问卷调查法、研讨会法、步骤图法、情景分析法、风险结构分解法、PEST分析法等。 1）问卷调查法：问卷调查法是用来统计和整理数据常见工具。医院经过确定辨识范围、下发风险辨识问卷，广泛搜集、识别医院各层面及业务开展中所存在风险；也可将医院可能发生风险列于一个表上，供识她人员进行查对确定。 2）研讨会：研讨会是风险管理中比较常见有效工具。把跨部门、不一样等级管理人员召集到一起，对风险事件识别进行讨论；头脑风暴是研讨会一个形式。 3）访谈：访谈是对领导、教授、相关管理人员等进行面对面或电话交流，了解其对风险相关问题见解、提议等。 4）步骤图法：步骤图法经过对步骤分析，帮助发觉和识别风险所处具体步骤和各步骤之间存在风险、风险动因和影响。 5）情景分析法：情景分析法经过相关描述、数字、图表和曲线等，对未来某个状态或某种情况进行具体地描绘和分析，从而识别引发风险关键原因及其影响程度。 6）风险结构分解法：风险结构分解法将风险根据其内在结构进行逐层分解，形成结构示意图，把各级风险地位和组成直观地表示出来易于检验和管理风险事件。 7） PEST分析法：PEST分析法是调查组织外部影响原因方法，其每一个字母代表一个原因，能够分为政治原因(Political)、经济原因(Economic)、社会原因(Social)、技术原因(Technological)四大原因，从这四个原因出发分析医院所面临外部风险情况。 （3）识别结果 医院对识别出风险事件进行系统性整理、筛选、归纳和整合，建立风险事件库，总结历史经验、教训，反应现在面临关键风险，有效提升风险预控和应对能力。 各部门应该在医院统一政策和方法论指导下建立风险事件库，保持医院系统内风险事件库统一协调，避免反复工作，实现医院系统内风险事件库共享。 （四）风险分析 医院应结合风险识别情况，依据风险复杂程度和关键性选择合适分析技术和方法，根据风险发生可能性及影响程度进行分析、评价和排序，从而确定医院目前重大风险，为医院高层风险管理决议提供依据信息。 1.定性分析 定性分析是对风险事件各项定性描述属性信息进行整理和分析，包含动因分析、影响分析、责任岗位分析、风险和内部控制对照分析、KPI分析等。 （1）动因分析：分析风险发生深层次动因，确定风险产生关键性驱动原因，从而从根源上控制风险，提升风险管理效率和水平。 （2）责任岗位分析：明确风险控制和监督等责任归属，提升风险管理整体效率，为完善岗位考评体系提供信息依据。 （3）风险和内部控制对照分析：将风险和管控风险内部控制活动进行对应，明确医院面临风险、主导责任部门、相关制度步骤，从而将风险管理融入日常工作，实现风险管理和内部控制结合。 （4） KPI分析：分析某一风险事件影响到各项绩效考评指标，为未来确定各个风险监控指标、达成风险预警和监控目标提供信息依据。 2.定量分析 定量分析是对风险各项定量描述属性信息进行整理和分析，包含风险影响程度分析、发生可能性分析、风险水平分析等。 （1）风险事件影响程度：指该风险会对医院经营目标所产生影响大小。医院依据本身实际情况，设置不一样影响维度；依据对不一样维度影响程度，又可分为5个等级，分别给予1分至5分，表示影响程度依次加强。 （2）风险发生可能性：指在医院现在管理水平下，风险事件发生概率大小或发生频繁程度。风险事件发生可能性分为 5个等级，分别给予 1 分至 5分，表示可能性逐步增加。 （3）风险水平：指风险事件影响程度和发生可能性乘积，经过风险水平大小能够对全部风险进行总体分析，判定各个风险关键性特征。 （五）风险评价 医院应依据风险分析结果，结合医院本身风险偏好和风险承受度，对各风险进行排序，确定重大风险、关键风险和通常风险。对于评价出重大风险，应将其作为当年风险管理工作关键。 1.风险偏好和风险承受度 风险偏好是指医院在负担风险种类、影响程度限额等方面基础态度，是管理层、职员等利益相关者期望和要求集中表现，反应了风险和收益平衡。风险偏好要处理是“医院愿意负担什么风险”问题，是医院在实现其战略目标过程中愿意接收风险描述。 风险承受度是指医院愿意负担风险程度，也是风险偏好边界，它清楚表示风险偏好内涵。风险承受度通常经过具体指标来表现或衡量。 医院应综合考虑本身业务目标、管理能力和资源条件，正确定识和把握风险和收益平衡，确定风险偏好和风险承受度，并据此确定风险预警线及对应采取对策。 （六）重大风险应对 医院应在风险评定基础上，结合风险偏好和风险承受度，针对评价出重大风险选择风险管理策略，制订应对方法和处理方案，并经过风险监控和汇报，确保风险管理策略和应正确有效实施。 1.风险管理策略 医院应针对不一样风险特点，结合本身风险偏好和风险承受度，研究确定风险管理策略。风险管理策略关键包含以下多个： （1）风险承受：医院对本身发展所必需负担相关风险，在权衡收益和成本以后，准备依靠内部本身资源不采取降低风险控制方法来实现抵御风险各项方法。 （2）风险规避：医院对超出本身风险承受能力风险，采取放弃或停止和该风险相关业务活动以减轻和避免损失方法。 （3）风险分担：医院对于能够外部力量来转移或分担相关风险，采取业务外包、购置保险等方法，使风险能够控制在医院能够承受范围之内。 （4）风险降低：医院经过综合采取战略、运行、财务等各项意在降低和控制风险发生可能性和影响程度多种方法。 医院应结合不一样发展阶段和业务拓展情况，连续搜集和风险改变相关信息，进行风险识别和风险分析，立即调整风险管理策略。 2.风险应对方法和处理方案 医院应依据风险管理策略，针对每一项重大风险，从战略和运行、制度和步骤、人员和组织架构、技术和数据、绩效监督和风险理财等方面入手，梳理现有处理方案，制订风险管理应对方案。 医院院办依据评定出重大风险，确定对应重大风险主导部门和相关责任部门，并组织开展制订重大风险应对方案。院办应定时对重大风险应对计划和方案实施情况进行跟踪检验，并协调跨部门重大风险管理事宜。 同时，医院还应建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生重大风险或突发事件，制订应急预案、明确责任人员、规范处理程序，确保突发事件得到立即妥善处理。 （七）风险管理监督和改善 医院各部门应以重大风险、重大事件和重大决议、关键管理和业务步骤为关键，对风险管理策略、关键控制活动及风险管了处理方案实施情况进行监督，依据改变情况和存在缺点立即给予改善，并将风险管理工作开展情况和风险监控分析结果定时报送院办。 1.风险监控 医院各部门实施风险监控时应关键关注以下风险信息： 本部门新出现风险或原有风险重大改变； 既定风险应对方法和处理方案实施情况及实施效果。 医院将逐步建立和完善指标化风险监控体系，经过对关键风险指标连续跟踪、统计和分析，提升管理效率和效果。 2.风险汇报 风险管理汇报是风险信息沟通有效机制。医院应规范风险汇报机制，经过风险管理汇报促进上下级单位之间双向沟通、平级部门之间信息共享和专业研讨。 院办将定时组织各部门开展风险评定工作，并依据风险评定结果编制《风险评定汇报》，报送院长，确保风险应对策略及应对方案立即制订和落实。 各部门应定时或不定时编制《风险应对方法表》，就风险管理及内部控制工作开展情况向院办汇报。 院办应汇总各部门风险应对方法和处理方案落实情况，并结合医院年度内部控制评价结果，定时编制《年度风险管理监督和改善汇报》，向管理委员会报送本医院年度风险及内部控制管理情况。 四、控制活动 控制活动指医院依据风险评定结果，结合风险应对策略所采取确实保医院内部控制目标得以实现方法和手段，其存在于整个机构内全部等级和职能部门，以步骤及其配套制度为载体，是实施内部控制具体方法。 （一）控制目标 控制目标是管理活动基础要求，也是评价内部控制标准。医院应依据管理要求和业务特点确定控制目标，据以选择适合内部控制要素，建立和评价内部控制体系。经过扎实内部控制管理基础，完善制度步骤建设、规范业务步骤内部控制，形成“管理制度化、制度步骤化、步骤表单化、表单信息化”业务步骤管理机制，实现“层次清楚、职责明确、步骤合理、管理科学”工作目标。 （二）控制方法 经过采取手工控制和自动控制、预防性控制和发觉性控制相结合方法，结合具体控制方法，将风险控制在可承受度之内。具体方法通常包含：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、协议管理控制、资金支付控制、信息技术控制、运行分析控制和绩效考评控制等。具体以下： 1.控制手段分类 控制活动可分为人工控制和自动控制。 （1）人工控制是以人工方法实施控制； （2）自动控制是由计算机等系统自动实施控制。 2.控制作用分类 控制活动可分为预防性控制和发觉性控制。 （1）预防性控制是指为预防错误和非法行为发生，或尽可能降低其发生机会所进行一个控制，是一个事前控制。 （2）发觉性控制是指为立即查明已发生错误和非法行为，或增强发觉错误和非法行为机会能力所进行各项控制。通常经过检验、赔偿、指导、纠错等形式发生，是事中或事后控制。 通常认为预防性控制控制力要强于发觉性控制，即事前控制控制力要强于事中及事后控制。 3.控制方法分类 （1）不相容职务分离控制指全方面系统地分析、梳理业务步骤中所包含不相容职务，实施对应分离方法，形成各司其职、各负其责、相互制约工作机制。 （2）授权审批控制是指依据常规授权和尤其授权要求，明确各岗位办理业务和事项权限范围、审批程序和对应责任。 （3）会计系统控制是指根据国家统一会计准则编制内部会计制度，加强会计基础工作，明确会计凭证、会计账簿和财务汇报处理程序，并有效控制和此相关信息系统，确保会计资料真实、完整。 （4）财产保护控制指建立财产日常管理制度和定时清查制度，作好财产统计、实物保管、定时盘点、账实查对等工作，确保财产安全。 （5）计划控制是指各级管理部门依据专业管理目标，结合市场和内部资源作出合理估计