《医院内审防范风险-修改2013.12教学案例》由会员分享,可在线阅读,更多相关《医院内审防范风险-修改2013.12教学案例(34页珍藏版)》请在金锄头文库上搜索。
1、医疗卫生单位内部审计在风险防范中的作用,王文义 ,简 介,2007年:高级会计师 2009年:高级审计师 中国内部审计协会卫生分会 理事 中国社会发展研究院 研究员 中国总会计师研究会 会员,其他兼职,中国内部审计协会卫生分会管理咨询库入选专家 房山区人民政府特聘审计员,曾经审计过的主要客户,某区H1N1流感专项资金应用审计 某区疾病控制机构内部控制审计 京石高速路5至7标段征地拆迁专项审计 房山区17家医院领导干部经济责任审计,曾经顾问过的主要项目,北京某机械设备有限公司内部控制 某专科医院经济效益评估 某专科医院病房改造投资风险评估 某区社区卫生服务转制方案整体审计,保持联系,联系电话:(
2、010) 89361507 手机:13641368033 E-mail: 通讯地址:北京良乡月华大街27号 邮政编码:102488,第一代 (1980之前),第二代 (80年代),第三代 (90年代),第四代 (21世纪),控制,医院风险,医院风险管理流程,控制结构,出发点是已有的流程、程序和控制,以符合性测试为主,出发点是财务 风险和符合性 风险,确定应该存 在的控制,审计目的是评 估控制的设计、 运行效果和合 规性,出发点是对企 业和各种风险 的充分理解,确定应该存 在的控制,审计目的是评 估控制的设计、 运行效果和合 规性,确定应该存在的能有效控制风险的医院风险管理流程,评估在各个医院
3、风险管理流程的 设计、运行效果 和合规性,内部审计的演变历史,出发点是对医院和各种风险的充分理解,医院风险,国家法规及卫生、医保、医政政策等;公司规定、办法等;行业及同行业竞争者等,战略、策略、业务、技术、服务、经营、人事、财务、成本、资产等,已知和未知风险,结构和偶发风险,而是-医疗卫生单位内部的咨询人员。,内部审计员是简单的审计人员吗?,不!,内部审计在医疗卫生单位中的角色和职能,存货盘点,发询证函,指标考核,符合性测试,价值评估,效率考察,协助外审,咨询建议,.,.,内部审计在医疗卫生单位中的角色和职能,内部活动的监督者 防错纠弊的检察员 监控医疗卫生单位运作和资源使用的效率和效果 协助
4、外部审计人员 风险管理咨询,保护资产 遵守政策、机会、程序和法律法规 对经营或项目的设定目标的完成情况,欺诈是如何发生的 怎样改正内部控制中导致欺诈的缺陷 怎样杜绝未来欺诈的发生 比发现欺诈更好的是通过有效的控制防止欺诈,内部审计在医疗卫生单位中的角色,医疗卫生单位内部活动的监督者,防错纠弊的检察员,通过检查和评价控制的有效性、完备性以及执行分配责任的质量来确保: 机构内部控制系统的有效性和完备性 信息的可靠性和一致性,有效地运用资源 制定经营标准 根据经营标准评价效率 识别并报告低效使用,内部审计在医疗卫生单位中的角色,监控医疗卫生单位运作和资源使用的效率和效果,内部审计与被审计单位管理层的
5、关系,独立 合作、帮助,而非对立 发现事项、改进建议须得到管理层的同意,而非命令 内审的价值不仅是发现问题还要提出可行的建议,协助管理层解决问题,医院内部控制规范基本规范,第三条本规范所称内部控制,是由医院院委会、医院中层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证医院经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果、促进医院实现发展战略。,医院内部控制规范基本规范,第五条医院建立与实施有效的内部控制,应当包括下列要素: (一)内部环境。内部环境是医院实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、医院文化等。
6、 (二)风险评估。风险评估是医院及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。 (三)控制活动。控制活动是医院根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。 (四)信息与沟通。信息与沟通是医院及时、准确地收集、传递与内部控制相关的信息,确保信息在医院内部、医院与外部之间进行有效沟通。 (五)内部监督。内部监督是医院对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。,内部控制组成要素与目标及作 业活动相互间关系图,内 部 监 督,信息与沟通,控 制 活 动,风 险 评 估,内 部 环 境,作 业 活
7、 动 1,作 业 活 动 2,合,规,战,略,报,告,运,营,资,产,内部控制各组成要素关系图,内部,监督,沟,通,控,风,内,部,境,环,信,息,与,沟,通,活,估,评,信,息,险,制,动,内部环境,管理架构 机构设置及权责分配 内部审计 人力资源政策 医院文化,风险评估,第二十条医院应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。 第二十一条医院开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。,风险评估,第二十四条医院应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确
8、定关注重点和优先控制的风险。 第二十五条医院应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。 第二十六条医院应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。,风险评估,风险的来源,外部: 政治 经济 社会 技术,内部: 患者 供应商(药品、技术、材料) 同行业竞争者,控制活动,第二十八条医院应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。 控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评
9、控制等。,信息与沟通,第三十八条医院应当建立信息与沟通制度。 第三十九条医院应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。 第四十条医院应当将内部控制相关信息在医院内部各管理级次、责任单位、业务环节之间,以及医院与外部合作者、债权人、患者、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。,信息与沟通,第四十一条医院应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。 医院应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。 第四十二条医院应当建立反舞弊机制。,内
10、部监督,第四十四条医院应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。 第四十五条医院应当制定内部控制缺陷认定标准。内部控制缺陷包括设计缺陷和运行缺陷。,标题,从“内部控制”到“医院风险管理”,萨班斯-奥克斯莱法,要求高层管理人员对提交的财务报告提供保证 内部审计师则负责向审计委员会或其它委员会保证,组织为编制财务报告所设置的内部控制是有效的。,审计风险:一个动态的模型,战略 风险,环节 风险,剩余 风险,问题:如何将显著的剩余风险转化成测试的计划?,实质性 测试,?,取证
11、的决定,需要什么实质性审计程序? 基于样本 基于总体 应实施什么样的程序? 如果基于样本: 应抽查多少交易或事项? 应抽查哪种交易或事项? 应该怎样汇总结果? 证据支持审计目标吗?,审计证据的胜任性,与审计目标的相关性 证据提供者的独立性 审计人员直接认识的程度 证据提供者的资格 信息的客观性 内部控制的质量,实质性证据的层次,最佳的 实物证据 函证 外部文件 机械精确性的测试,弱的 内部文件(差的内控) 分析性测试(差的内控) 询问客户,好的 内部文件(强的内控) 分析性测试(强的内控) 观察,认识的获得:对审计测试的影响,大量的证据是从战略和环节分析中得到的: 控制测试:观察和查询。 业绩指标的分析性复核 剩余的实质性证据应由剩余风险来确定: 实质性分析程序。 计算机辅助的测试。,
