提示：市面上医院内部控制信息系统主要有5种类型，各有优缺，大部分依然停留在符合性测试初级阶段，对于医院内部控制合规性起到了提示作用，真正的医院内部控制信息系统如何建设？才能满足医院风险防范的需要，关键在于深谙医院经济财务运营管理流程的内涵，才能设计出较好的内部控制信息系统。

　　长期在医院从事医院财务管理工作，对医院业务比较熟悉，面对医院许多跑冒滴漏，如何加强内部控制，也是我主要管理工作之一。2005年参与原国家卫生部《医疗机构财务会计内部控制规定（试行）》政策研究及《讲座》编写期间，一直在思考一个问题，面对日益负复杂的医院经济运营日益复杂的现实，单靠过多人为制定的内部控制环节，如何确保有效落实是个大问题。随着对医院精益运营领域研究的深入，特别是在指导医院经济运营成本绩效智慧管理系统研发和实施落地过程中，与同行交流探讨医院内部控制信息化建设之道，如何才能赋能医院提质增效助推高质量发展。

　　一、医院内部控制信息系统的5种类型的特点

　　归纳市面上医院内部控制信息系统主要有5种类型，对于医院内部控制合规性起到了提示作用，由于内控目的和起点不同就会各有优缺，大部分依然停留在财务会计内部牵制和符合性测试初级阶段，不能满足医院精益运营管理下的高质量发展需求。

　　第一种，财务会计HRP控制为主的内控信息系统。医院内部控制最早就是以财务会计为目标对象，重点在会计的内部牵制方面，精细化的财务核算基础上的内部控制，工作量大要求高，许多由于财务会计核算基础的薄弱，就是上了HRP系统也导致“中看不中用”，很难发挥财务会计内部控制的作用。

　　第二种，ERP/中台下的内部流程控制的内控信息系统。通过一家独大，ERP/中台较好的解决了“互联互通”问题， 但是，由于医院的业务复杂、专业程度高等特点，面对业务、财务、成本、DRG/DIP、绩效、运营等专业需求，就显得专业能力不足，数据有了如何应用成为问题，主要侧重数据产生的质控，不清楚内涵的逻辑关系，导致大量的“数据堆积”或“数据垃圾”，内控作用也很难发挥。

　　第三种，合规性测试评价为主的内部控制信息系统。内控信息系统，主要侧重符合性测试，侧重合规性内控检查和发现风险点，一般是第三方为了出具内控报告使用，也可以满足医院应付上级检查使用，对内发挥内控控制的实质作用有限。

　　第四种，单业务板块拓展的专项内控信息系统。比如预算、采购、合同、财务审批、成本、绩效、运营、DRG/DIP等许多单业务信息系统，本身就有内控控制或稽核功能，在单业务功能系统上拓展其他业务内控功能，由于但业务“先天不足”，横跨其他信息系统“困难重重”，也就不能很好的满足医院实质性内部控制的需求。

　　第五种，内部审计信息系统改造的内控信息系统。由于内部控制与内部审计具有内在的联系，在医院内部审计系统的基础上拓展内部控制功能，由于内部审计系统，主要还是侧重合规性测试为主风险提示为主，专项审计居多，实质性内涵质控功能不足，也就导致很难满足医院加强内部控制作用。

　　二、医院内部控制信息化建设有何要求？

　　国家卫健委《公立医院内部控制管理办法》指出，医院内部控制主要包括：风险评估、内部控制建设、内部控制报告、内部控制评价。

　　明确提出，医院应当根据事业发展战略和业务活动需要，编制中长期信息化建设规划以及年度工作计划，从全局角度对经济活动及相关业务活动的信息系统建设进行整体规划，提高资金使用效率，防范风险。

　　明确强调，医院应当将内部控制关键管控点嵌入信息系统，设立不相容岗位账户并体现其职责权限，明确操作权限；相关部门及人员应当严格执行岗位操作规范，遵守相关业务流程及数据标准；应当建立药品、可收费医用耗材的信息流、物流、单据流对应关系；设计校对程序，定期或不定期进行校对。

　　财政部《关于进一步加强公立医院内部控制建设的指导意见》明确提出，充分利用信息化技术手段，加强公立医院内部控制 建设，落实管理制度化、制度流程化、流程表单化、表单信息化、信息智能化的建设要求。

　　特别强调，推进内部控制建设融入公立医院信息化建设，将岗 位职责、业务标准、制度流程、控制措施以及数据需求嵌入医院信息系统，通过信息化的方式进行固化，确保各项业务活动可控制、可追溯，有效减少人为违规操纵。

　　明确要求，医院应当建立信息数据质量管理制度。信息归口管理部门应当落实信息化建设相关标准规范，制定数据共享与交互的规则和标准；各信息系统应当按照统一标准建设，能够完整反映业务制度规定的活动控制流程。

　　明确指出，加强公立医院信息平台化、集成化建设，积极探索 打通各类信息系统之间的壁垒，保障公立医院信息系统互联 互通、信息共享,实现各类经济活动及相关业务活动的资金流、实物流、信息流、数据流有效匹配和顺畅衔接。

　　三、医院内部控制信息化如何建设？

　　医院内部控制信息化建设主要是侧重“内控环境、风险评估管理与单位层面的内部控制建设”三个方面，围绕“内部控制合规性、和有效性进行测试评价。”犹如医院经济运营过程中，安装“摄像头”，增强风险识别功能，倒推关口、过程内控制度建设。

　　（一）内部控制信息系统合规性测试功能

　　内部控制信息系统，要满足医院对单位层面和业务层面合规性风险评价测试的需求。

　　合规性风险识别，主要是通过内控系统，支持内控流程符合性测试，让医院各部门参与，对内控制度建设情况进行评价，查找不足的方面及时改进，确保符合政策要求规定，提高医院运营管理合规性。

　　（二）内部控制运行有效性测试功能

　　内部控控制信息系统，要满足医院对从单位组织层面和业务层面实际运行状况有效性进行评价，组织层面主要通过对医院管理文化、领导风格、管理状况等方面进行评价，业务层面主要采取风险稽核建模，数据质控为主。这些方面关键是需要有深谙医院行业的管理专家团队，才有可能做好，非专业人员很难做到。

　　总之，内控信息化建设，一定要厘清“发展与控制”的关系，内部控制是为了更好的促进医院高质量发展，医院高质量发展需要内控赋能。不能“本末倒置”，为了内部控制而不计成本的控制，把内部控制信息系统，搞成了四处“添堵”，从而影响医院管理效率提升。应把内控系统建设成为“摄像监控系统”，充分发挥信息发现机制，及时做出警示提醒，提前做好风险发生，同时也可以为内部审计提供风险点识别，誉方这几年通过预算、成本、DRG/DIP、绩效、运营、合同、采购、项目等专项内控信息化建设的内控模型，构建起了医院内部控制信息化系统。

　　来源：秦永方医疗卫生财务会计经济研究