《基于医院内部审计视角的风险管理审计研究(DOC)》由会员分享,可在线阅读,更多相关《基于医院内部审计视角的风险管理审计研究(DOC)(10页珍藏版)》请在金锄头文库上搜索。
1、基于医院内部审计视角的风险管理审计研究新疆哈密地区中心医院内审科 吕蓉疆 张建峰摘要:随着医院经济的发展和公立医院改革的深化,医院经济运行中出现的各种风险引起了医院管理层和社会的关注,如何防范和规避风险,使医院经济实现长足健康发展,这对医院管理层和内部审计部门提出了更高的要求。本文从医院风险管理和内部审计理论与实践发展的现实需要出发,结合先进的内部审计理论,架构医院内部审计框架,研究医院风险管理审计的内容、实现途径等,以审计客体为中心,以审计流程为导引,设计医院风险管理审计模型,探讨风险导向审计与风险管理审计、风险管理审计与内部控制审计的关系。关键字:医院 内部审计 风险管理审计 内部控制审计
2、一、引言随着医院经济的发展和公立医院改革的深化,医院经济运行中出现的各种风险引起了医院管理层和社会的关注,如何防范和规避风险,使医院经济实现长足健康发展,这对医院管理层和内部审计部门提出了更高的要求。IIA2001年发布的内部审计实务标准提出,内部审计“通过运用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。该要求在IIA2009年修订发布的国际内部审计专业实务框架(IPPF)中再次被确认并被强烈推荐,并要求审计人员使用风险评估的方法编制审计计划,同时积极开展风险管理审计。普华永道发布的2012全球内部审计调查发展报告中指出,只有引入以风险为导向的审计理念,
3、才能继续在风险评估、确认和管理工作中扮演重要角色,发挥重要作用。研究结果表明,今后五大趋势影响内部审计的发展全球化、风险管理的变化、科技进步、专业人才和组织架构方面存在的问题、以及内部审计角色的转变。了解和掌握这些发展趋势及其可能带来的影响,将有助于内部审计部门协助管理层识别和管理风险,并提供增值服务。调查发现,科技、风险管理、反舞弊和全球化将极大扩展内部审计的职责,见表1-1:表1-1 增加内部审计职责的因素因素增加更多的职责(%)增加一般多的职责(%)合计:一般多到很多(%)持续审计和监控375390全面风险审计156277外包业务及境外经营审计156075舞弊发现135366舞弊风险评估
4、85866管理层信息披露审计115465经营效果和效率审计65864IT安全审计114455法律法规遵从性审计64452舞弊调查73744注:数据来源于普华永道发布的2012全球内部审计调查发展报告,2012 可以看出,全面风险审计成为第二大因素,与之相关的活动会大大增加。我国内部审计的发展相对较晚,医院内部审计的发展更晚,其内部审计活动主要包括财务收支审计、经济责任审计、投资项目审计、专项审计等,风险管理审计、内部控制审计和IT审计相对较少。本文从审计内容的界定和审计流程两个维度设计风险管理审计框架,以期丰富风险管理审计理论,推进医院内部审计风险管理实践的发展。二、审计客体和审计流程双轮驱动
5、的风险管理审计(一)风险的定义国际内部审计专业实务框架将风险定义为:“指对实现目标有影响的事件实际发生的可能性,风险通过影响程度和发生的可能性来衡量。”风险是风险因素、风险事故和损失三个要素的结合体。企业风险是指由于企业内外环境的不确定性、生产经营活动的复杂性和企业能力的有限性而导致企业的实际收益达不到预期收益,甚至导致企业生产经营活动失败的可能性。中央企业全面风险管理指引将企业风险分为:战略风险、财务风险、市场风险、运营风险和法律风险五个主要部分。(二)医院风险管理融入医院战略设计和所有业务活动之中医院全面风险管理指医院围绕总体经营目标,通过在医院管理的各个环节和经营过程中执行风险管理的基本
6、流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。医院风险管理应当围绕风险管理策略目标,包括医院战略规划、财务、内部审计、人力资源、采购、对外投资、绩效管理等业务执行基本的风险管理流程,制定并执行相关制度、程序和措施,识别、评估和发现潜在的事件或情况的过程,目的是为实现组织的既定目标提供合理保证。(三)“双轮驱动”的含义我国内部审计协会认为风险来源于企业内外部,风险管理审计是针对企业内部风险管理部门的风险管理活动来进行的,这一审计活动由内部审计人员
7、来执行,可以监督风险管理部门对风险的管理效率,考核部门业绩,落实责任,使风险管控有助于实现企业战略目标(内部审计具体准则 16 号企业风险管理审计,2 0 0 5 )。时现等(2010)则认为风险管理审计就是内部审计人员以风险管理为对象进行的审计。风险管理是指审计的客体和对象。风险导向审计是作为继账项基础审计、制度基础审计之后一种新的审计模式。这里的“风险”指的是“审计风险”,其含义更加倾向于审计主体。“双轮驱动”风险管理审计是基于以上审计主体和审计客体的划分,其内在含义主要体现在两个方面:一方面,审计客体主导,审计重心转移。国际内部审计专业实务框架的工作标准2120明确了风险管理审计的内容和
8、相关要求,即:“内部审计活动必须评估风险管理过程的有效性,并对其改善作出贡献。另一方面,审计主体实施,审计流程牵引。内部审计人员在履行审计职责时,必须要将风险导向审计模式融入审计流程之中。即以风险评估为基础,确定审计计划,并以审计计划为起点,在审计流程中全面推行风险管理审计。三、医院风险管理审计实现途径研究(一)以风险为导向制订内部审计计划 内部审计计划是组织开展内部审计活动的依据,是考核与评估内部审计质量的重要标准。 按照中国内部审计协会内部审计具体准则第1号审计计划要求,审计计划“一般包括年度审计计划、项目审计计划和审计方案三个层次”见表3-1:表3-1 内部审计计划主要内容内部审计计划构
9、成主要内容年度审计计划1、内部审计年度工作目标;2、需要执行的具体审计项目及其先后顺序;3、各审计项目所分配的审计资源;4、后续审计的必要安排。项目审计计划1、审计目的和审计范围;2、重要性和审计风险的评估;3、审计小组构成和审计时间分配;4、对专家和外部审计工作结果的利用;5、其他有关内容。审计方案1、具体审计目的;2、具体审计方法和程序;3、预定的执行人及执行日期;4、其他有关内容。在编制内部审计计划前,对被审计事项进行风险评估,估计风险严重程度和发生的可能性,这就要求内审审计人员具备风险识别、风险分析和风险评价的基本能力,掌握风险评估技术。风险分析是将辨识出的风险放入统一的模型中进行分析
10、处理,进一步做出定性和定量的分析,影响最大的风险将成为风险管理的重点。(二)基于风险矩阵图的审计实施 内部控制审计一般通过问卷调查、访谈和座谈会的形式开展。在风险管理审计中同样适用,但不同的是问卷调查的内容有所不同。为了更好的开展风险管理审计,审计人员必须了解和掌握医院经济运行的规律和状况,掌握风险的评估方法,逐步形成风险矩阵图,见图3-1,;评价其风险对医院发展目标的影响,风险较大的成为其风险管理的重点,也是内部审计计划的重点。可能性极高很高中等很低极低极微轻微中等重大灾难 影 响 程 度图3-1 风险矩阵图(三)数字化的风险测试与风险评价 审计实质性测试是审计实施阶段的只要内容,在进行内部
11、控制风险评估的基础上,在风险管理审计中,进行实质性测试,同样要把审计项目变成审计证据,审计人员要充分收集证据以此来确认医院风险管理目标是否实现;其主要运用观察、抽样、重新计算、分析性复核和评估等手段,获取审计证据,为审计意见的形成提供依据。在内部控制审计中的两种测试方法即凭证穿行测试、程序穿行测试,同样适用于风险管理审计;通过对风险的实质性测试,得出风险情况的真实结论并形成审计发现,为审计报告的编写提供数据和支撑。(四) 前瞻性的风险管理审计报告由于风险的不确定性,风险管理审计报告也存在“风险”,在风险管理审计报告中,更加注重风险的管理和控制,注重报告的前瞻性和可用性。1、 披露被审计单位(部
12、门)的防范风险的制度、措施及执行情况。常规审计一般是对真实性、合规性和效益性的审计,而风险管理审计重在披露审计事项的风险点,将医院治理、内部控制和全面风险管理结合起来,突出风险关键点。例如,在医院大型医疗设备采购中,要重点关注舞弊风险,结合采购业务内部控制建设情况,其关键风险点是供应商的选择。2、 注重风险管理审计报告的前瞻性和可用性。一般的常规审计报告重点针对具体的业务为对象,更加就事论事,从微观层面提出建议,例如医院药品采购、付款及库存管理中,主要针对采购方式、付款方式和库存管理的水平上提建议;而风险管理审计报告重点关注战略层面、方案选择和内部控制建设等方面,例如医院药品采购、付款及库存管
13、理中,主要针对岗位设置、供应商的选择及管理运作的效率提出建议。 3、披露风险管理审计的方法、风险评价的条件和标准。为提高审计信息的对称性,风险管理审计报告应该对这样的内容有所披露,这样可有助于降低审计报告的风险。四、风险管理审计与内部控制审计的比较研究(一)概念比较 COSO委员会对内部控制的定义是:是由一个实体内的人员实施的、旨在实现特定目标提供合理保证的过程。在此基础上形成了以“控制环境、风险评估、控制活动、信息沟通与监督五大要素为主体的内部控制体系”,随后又出现了“内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控”八大要素的内部控制体系。由此衍生出来的内部控制
14、审计作为一个独立的审计种类,更是震动着国内微观经济体的管理内核。其基本定义为:通过对被审计单位的内控制度的审查、分析测试、评价,确定其可信程度,从而对内部控制是否有效做出鉴定的一种现代审计方法。内部控制审计不仅是内部控制的再控制,更是单位改善经营管理、提高经济效益的自我需要,具有现实和长远的意义。风险管理审计则要求内部审计人员在履行审计职责时,必须要将风险导向审计模式融入审计流程之中。即以风险评估为基础,确定审计计划,并以审计计划为起点,在审计流程中全面推行风险管理审计,重点关注经营过程中的各种不确定性。(二)审计计划、实施、报告和方法比较内部控制审计在审计计划阶段时大多采用抽样的方法,在审计
15、实施中进行描述内部控制,进行符合性测试、实质性测试,方法一般以定量和定性相结合,定量评价为主,在报告阶段,以问题为导向,关注牵制。风险管理审计在审计计划阶段大多采用风险评估的方法,在审计实施中更多地描述风险、测试风险和评估风险,方法一般以定量和定性相结合,定量评价为主,在报告阶段,以风险为导向,注重前瞻。(三) 医院案例分析在医院财务收费管理中,涉及的岗位主要有收费员、出纳员、稽核员、票据保管员和会计员,此业务相对其他业务更重要、风险也更大,对内部控制建设的要求更加严格,对风险管理的能力要求也更高。若确定以内部控制审计为主的项目,就要求进行内部控制调查,可以“从控制环境、风险评估、控制活动、信息沟通与监督”五大要素展开,了解各岗位的岗位职责,不相容职务的分离、工作流程等, 必要时进行穿行测试,对相关凭证进行检查,运用观察、抽样、重新计算、分析性复核和评估等手段,获取审计证据,从而发现问题,提出相关解决方案。若确定以风险管理审计为主的
