论文部分内容阅读
摘 要:深化医药卫生体制改革,积极推进公立医院网络支付业务的发展,是保障和改善民生的重大举措。近年来,公立医院逐步加强对互联网信息手段的应用,为患者提供更加便捷的支付结算服务,但这也对医院的内部控制管理提出了更高的要求。以 COSO内部控制整合框架为理论基础,从控制环境、风险评估、控制活动、信息与沟通、监督五要素的角度出发,分析公立医院开展网络支付业务三个维度的内控目标,并针对内控要素和关键环节提出风险管理策略,以期为医院内部控制建设提供参考。
关键词:公立医院;网络支付;COSO框架;内部控制
中图分类号:R197.3 文献标志码:A 文章编号:1673-291X(2021)30-0046-03
随着医药卫生体制改革的深入,以及“互联网+医疗健康”模式的不断发展和健康中国战略的持续推进,公立医院积极运用网络信息技术,创新结算方式,优化付款流程,提升服务质量,推动人民群众就医体验不断升级。自2014年以来,以支付宝为代表的第三方支付广泛应用于医疗服务行业,医院网络支付和智慧结算模式逐渐普及,但因医院业务的特殊性和应用场景的复杂性,网络支付仍面临诸多风险和挑战,对医院的内部控制和财务管理提出了更高的要求。
一、COSO内部控制整合框架概述
在风险管理和内控理论研究领域,COSO(The Committee of Sponsoring Organizations of the Treadway Commission,美国反欺诈财务报告委员会)有着举足轻重的位置,1992年COSO出版了《内部控制整合框架》(“Internal Control-Integrated Framework”),在全球范围内被众多国家相关组织采用和推广,长期作为内部控制建设的蓝本,值得公立医院在进行网络支付平台账户资金安全、在途资金、网络安全、操作技术风险控制时借鉴[1]。2013年,COSO对1992年发布的《内部控制整合框架》做出修订,体现了二十年来运营环境的变化。
COSO内部控制整合框架提供了三个类型的目标,分别是运营目标、报告目标与合规目标,使得组织得以关注内部控制的不同方面;运用五个要素来评估内部控制系统有效性的要求,分别是控制环境、风险评估、控制活动、信息与控制、监督,五要素及相关的原则相互关联协同发挥作用如图1所示。COSO认为,内部控制涵盖和应用于组织的各个层面,一个有效的内部控制体系可以将影响组织目标实现的风险降低到可接受的水平。每类目标的实现,都有赖于全部要素作用的发挥;而单个要素的作用是否充分发挥,也会影响到所有目标的实现。
二、COSO框架下网络支付业务的内控目标
(一)运营目标
运营目标即保证运营的效果和效率。公立医院把服务群众作为根本的出发点和落脚点,旨在通过“互联网+”模式,体现以人为本的理念,优化挂号付费流程,缩短等候时间,提供便捷的支付体验,促进医院资源的优化配置和改进,达到营运目标和绩效目标,同时保障资金安全性。
(二)报告目标
报告目标主要包括内、外部的财务报告和非财务报告的可靠性、及时性和透明度。网络支付业务下,合理的内部控制体系应当保证医院的收费入账及时、收入数据准确,提升会计核算质量,保证财务报表数据公允可靠,如实反映医院的经营成果、现金流量和财务状况。
(三)合规目标
公立医院开展网络支付应当遵守法律法规的要求。2015年中国人民银行制定了《非银行支付機构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号),规范非银行支付机构网络支付业务,防范支付风险,保护当事人合法权益;2018年4月25日,国务院办公厅印发《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号),就促进互联网与医疗健康深度融合发展做出部署;2018年10月26日,国家卫生健康委网站发布了《关于印发公立医院开展网络支付业务指导意见的通知》(国卫办财务发〔2018〕23号),要求构建科学规范的网络支付管理运行机制,在开展网络支付信息化系统建设时,应当完善信息系统管理制度和健全内部控制制度。
三、五要素下公立医院开展网络支付业务内控管理分析及对策
(一)控制环境
控制环境要素是建立有效内部控制流程的第一步,COSO认为,控制环境为内部控制的实施提供基础,并对整体内控体系产生全面的影响。控制环境是相对宏观的因素,一般包括治理结构、机构设置与权责分配、内部审计、人力资源管理、组织文化等。公立医院应当落实主体责任,建立规范的管理结构,形成科学有效的职责分工和制衡机制;贯彻落实“三重一大”决策制度,保证决策的科学性、正确性。网络支付业务流程环节繁多、技术要求较高,应当建立领导牵头、统筹协调、责权明确、流程清晰、监控有效的工作机制。
网络支付方式的应用和推广,相较于传统的现金和银联POS机刷卡结算,其支付模式和管理方法有了革命性转变,应当对原有岗位和职责进行适当调整,加强业务培训,确保相关岗位工作人员具备专业胜任能力,对关键岗位(退费、对账)还应制定更高的任职条件和相应的考核评价标准[2],以适应新形势和新要求。
(二)风险评估
风险评估是动态和反复识别评估风险的过程,公立医院应当及时识别、系统分析网络支付业务开展过程中存在的风险和相应的风险承受度,以确定风险管理策略。
1.资金安全风险。根据现行法律法规,网络支付平台账户(支付宝、财付通账户等)所记录的资金余额不同于医院的银行存款,不受《存款保险条例》保护,其实质为医院委托第三方支付机构保管的、所有权归属于医院的预付价值。该预付价值对应的货币资金虽然属于医院,但不是以医院的名义存放在银行,而是以第三方支付机构名义存放在银行,并且由支付机构向银行发起资金调拨指令。目前医院与网络支付平台签订协议规定结算资金是 T+n日到账,诸多结算支付方式下,资金到账时间不一致[3],增加了网络支付业务的对账难度,且缴费业务中的退号和退费业务存在时间差,单笔金额小、数量大,对账实时性难以保证,加大了资金管理风险[4]。 2.网络系统风险。网络支付平台和医院信息系统(Hospital Information System,以下简称“HIS”)在交互数据时可能出现系统性错误。由于网络传输故障等通信原因,或系统本身存在的问题导致结算异常等情况,例如第三方平台已经显示支付成功但HIS上无相关结算记录;HIS 接口调用超时导致重复扣款;退费结算异常结算等情况。
3.信息安全风险。网络支付的个人的隐私信息存在被泄露和窃取的风险。不法分子利用网络移动支付的漏洞,窃取患者的信息资料,包括用户姓名、手机号码、身份证号码、医保信息、家庭住址、支付记录等相关数据。另外,系统遭受病毒入侵、黑客攻击,很可能造成用户数据泄露或丢失,因此网络支付存在着交易数据、患者身份信息泄露的风险。
(三)控制活动
COSO认为,在组织的各个层级,业务的各个环节,信息技术的整个环境中都应实施控制活动。控制可以是预防性的,也可以是检查性的。针对网络支付存在的风险,公立医院应当加强制度层面的控制,完善系统层面的控制,重视财务对账等控制活动。
1.加强制度层面内部控制。建立具体可行的内部控制制度,应制定“一揽子”制度以规范医院网络支付见下页表1,注重内控制度的针对性和可操作性。
2.完善信息系统一般控制和应用控制。医院应当遵循国家卫生健康委有关信息化建设的标准和规范,遵循国家网络安全法、保密法的要求,保证网络支付平台与现有财务管理系统、医保结算系统和其他信息化系统的有效衔接,处理好数据安全、内外网系统互联互通,确保医院信息系统与网络支付平台数据传输的安全稳定,内部信息系统与外网的连接通畅。在保证支付系统的安全性方面,建议应用数字签名、证书等,实现交易双方的合法及有效性认证[5]。医院还应当结合实际情况建立网络支付故障应急机制,具备必要的灾难恢复处理能力,切实保障数据的完整性。
3.财务对账控制。网络支付的账务核对工作是一项至关重要的检查性控制,对于确保收入的完整性和准确性有重要意义。医院应将所有收费纳入医院信息系统管理,采用系统匹配加人工分析的方式,对第三方平台数据、HIS报表、银行对账单的三者的数据进行核对,对于发现的差异应及时查明原因,核实交易的真实性,确认交易最终完成后,进行相应业务操作和账务处理,确保资金安全。
(四)信息与沟通
COSO认为,沟通是一个提供、分享和获得必要信息的过程,这个过程是持续的、不断循环往复的。信息对于组织而言,对推进内部控制、促进其目标的实现是非常必要的。开展网络支付业务涉及部门较多,应建立跨部门的信息沟通机制,例如定期组织关键岗位人员召开沟通协调会,明确相关信息的收集、处理和传递程序,及时沟通和分析内部信息、积极获取和反馈外部信息,充分发挥财务、内部审计、信息技术、医保等部门或岗位在内部控制中的作用,保证网络支付业务的顺畅高效、风险可控。
(五)监督
良好的内部控制体系需要进行持续监控和独立评价。公立医院应加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内审部门和纪检监察部门形成合力,开展日常监督和专项监督。日常监督是对建立与实施网络支付相关的内部控制的情况进行常规、持续的监督检查;专项监督是对网络支付业务管理的“薄弱点”、问题易发的“风险点”,进行有针对性的監督检查,专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。对内部监督过程中发现的内部控制缺陷,应认真分析缺陷的性质和产生的原因,明确责任,立行立改,堵塞管理漏洞,健全网络支付业务管理。
参考文献:
[1] 付华,郑大喜.第三方支付对公立医院财务会计的影响与规范管理[J].现代医院管理,2019,(1).
[2] 雷光平.医院共享网络支付平台资金结算风险控制研究——以京医通为例[J].卫生经济研究,2019,(5).
[3] 何婷,骆水娣,钱登科.医院智慧医疗结算管理的探索与实践.[J].卫生经济研究,2020,(12).
[4] 张蘅,罗兵,张玉芬.第三方支付+医保”在公立医院应用模式探讨[J].中国医疗保险,2017,(1).
[5] 欧铁,王冬,宋雄,程明.公立医院应用第三方支付的风险控制研究[J].卫生经济研究,2018,(1).
[责任编辑 文 峰]
关键词:公立医院;网络支付;COSO框架;内部控制
中图分类号:R197.3 文献标志码:A 文章编号:1673-291X(2021)30-0046-03
随着医药卫生体制改革的深入,以及“互联网+医疗健康”模式的不断发展和健康中国战略的持续推进,公立医院积极运用网络信息技术,创新结算方式,优化付款流程,提升服务质量,推动人民群众就医体验不断升级。自2014年以来,以支付宝为代表的第三方支付广泛应用于医疗服务行业,医院网络支付和智慧结算模式逐渐普及,但因医院业务的特殊性和应用场景的复杂性,网络支付仍面临诸多风险和挑战,对医院的内部控制和财务管理提出了更高的要求。
一、COSO内部控制整合框架概述
在风险管理和内控理论研究领域,COSO(The Committee of Sponsoring Organizations of the Treadway Commission,美国反欺诈财务报告委员会)有着举足轻重的位置,1992年COSO出版了《内部控制整合框架》(“Internal Control-Integrated Framework”),在全球范围内被众多国家相关组织采用和推广,长期作为内部控制建设的蓝本,值得公立医院在进行网络支付平台账户资金安全、在途资金、网络安全、操作技术风险控制时借鉴[1]。2013年,COSO对1992年发布的《内部控制整合框架》做出修订,体现了二十年来运营环境的变化。
COSO内部控制整合框架提供了三个类型的目标,分别是运营目标、报告目标与合规目标,使得组织得以关注内部控制的不同方面;运用五个要素来评估内部控制系统有效性的要求,分别是控制环境、风险评估、控制活动、信息与控制、监督,五要素及相关的原则相互关联协同发挥作用如图1所示。COSO认为,内部控制涵盖和应用于组织的各个层面,一个有效的内部控制体系可以将影响组织目标实现的风险降低到可接受的水平。每类目标的实现,都有赖于全部要素作用的发挥;而单个要素的作用是否充分发挥,也会影响到所有目标的实现。
二、COSO框架下网络支付业务的内控目标
(一)运营目标
运营目标即保证运营的效果和效率。公立医院把服务群众作为根本的出发点和落脚点,旨在通过“互联网+”模式,体现以人为本的理念,优化挂号付费流程,缩短等候时间,提供便捷的支付体验,促进医院资源的优化配置和改进,达到营运目标和绩效目标,同时保障资金安全性。
(二)报告目标
报告目标主要包括内、外部的财务报告和非财务报告的可靠性、及时性和透明度。网络支付业务下,合理的内部控制体系应当保证医院的收费入账及时、收入数据准确,提升会计核算质量,保证财务报表数据公允可靠,如实反映医院的经营成果、现金流量和财务状况。
(三)合规目标
公立医院开展网络支付应当遵守法律法规的要求。2015年中国人民银行制定了《非银行支付機构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号),规范非银行支付机构网络支付业务,防范支付风险,保护当事人合法权益;2018年4月25日,国务院办公厅印发《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号),就促进互联网与医疗健康深度融合发展做出部署;2018年10月26日,国家卫生健康委网站发布了《关于印发公立医院开展网络支付业务指导意见的通知》(国卫办财务发〔2018〕23号),要求构建科学规范的网络支付管理运行机制,在开展网络支付信息化系统建设时,应当完善信息系统管理制度和健全内部控制制度。
三、五要素下公立医院开展网络支付业务内控管理分析及对策
(一)控制环境
控制环境要素是建立有效内部控制流程的第一步,COSO认为,控制环境为内部控制的实施提供基础,并对整体内控体系产生全面的影响。控制环境是相对宏观的因素,一般包括治理结构、机构设置与权责分配、内部审计、人力资源管理、组织文化等。公立医院应当落实主体责任,建立规范的管理结构,形成科学有效的职责分工和制衡机制;贯彻落实“三重一大”决策制度,保证决策的科学性、正确性。网络支付业务流程环节繁多、技术要求较高,应当建立领导牵头、统筹协调、责权明确、流程清晰、监控有效的工作机制。
网络支付方式的应用和推广,相较于传统的现金和银联POS机刷卡结算,其支付模式和管理方法有了革命性转变,应当对原有岗位和职责进行适当调整,加强业务培训,确保相关岗位工作人员具备专业胜任能力,对关键岗位(退费、对账)还应制定更高的任职条件和相应的考核评价标准[2],以适应新形势和新要求。
(二)风险评估
风险评估是动态和反复识别评估风险的过程,公立医院应当及时识别、系统分析网络支付业务开展过程中存在的风险和相应的风险承受度,以确定风险管理策略。
1.资金安全风险。根据现行法律法规,网络支付平台账户(支付宝、财付通账户等)所记录的资金余额不同于医院的银行存款,不受《存款保险条例》保护,其实质为医院委托第三方支付机构保管的、所有权归属于医院的预付价值。该预付价值对应的货币资金虽然属于医院,但不是以医院的名义存放在银行,而是以第三方支付机构名义存放在银行,并且由支付机构向银行发起资金调拨指令。目前医院与网络支付平台签订协议规定结算资金是 T+n日到账,诸多结算支付方式下,资金到账时间不一致[3],增加了网络支付业务的对账难度,且缴费业务中的退号和退费业务存在时间差,单笔金额小、数量大,对账实时性难以保证,加大了资金管理风险[4]。 2.网络系统风险。网络支付平台和医院信息系统(Hospital Information System,以下简称“HIS”)在交互数据时可能出现系统性错误。由于网络传输故障等通信原因,或系统本身存在的问题导致结算异常等情况,例如第三方平台已经显示支付成功但HIS上无相关结算记录;HIS 接口调用超时导致重复扣款;退费结算异常结算等情况。
3.信息安全风险。网络支付的个人的隐私信息存在被泄露和窃取的风险。不法分子利用网络移动支付的漏洞,窃取患者的信息资料,包括用户姓名、手机号码、身份证号码、医保信息、家庭住址、支付记录等相关数据。另外,系统遭受病毒入侵、黑客攻击,很可能造成用户数据泄露或丢失,因此网络支付存在着交易数据、患者身份信息泄露的风险。
(三)控制活动
COSO认为,在组织的各个层级,业务的各个环节,信息技术的整个环境中都应实施控制活动。控制可以是预防性的,也可以是检查性的。针对网络支付存在的风险,公立医院应当加强制度层面的控制,完善系统层面的控制,重视财务对账等控制活动。
1.加强制度层面内部控制。建立具体可行的内部控制制度,应制定“一揽子”制度以规范医院网络支付见下页表1,注重内控制度的针对性和可操作性。
2.完善信息系统一般控制和应用控制。医院应当遵循国家卫生健康委有关信息化建设的标准和规范,遵循国家网络安全法、保密法的要求,保证网络支付平台与现有财务管理系统、医保结算系统和其他信息化系统的有效衔接,处理好数据安全、内外网系统互联互通,确保医院信息系统与网络支付平台数据传输的安全稳定,内部信息系统与外网的连接通畅。在保证支付系统的安全性方面,建议应用数字签名、证书等,实现交易双方的合法及有效性认证[5]。医院还应当结合实际情况建立网络支付故障应急机制,具备必要的灾难恢复处理能力,切实保障数据的完整性。
3.财务对账控制。网络支付的账务核对工作是一项至关重要的检查性控制,对于确保收入的完整性和准确性有重要意义。医院应将所有收费纳入医院信息系统管理,采用系统匹配加人工分析的方式,对第三方平台数据、HIS报表、银行对账单的三者的数据进行核对,对于发现的差异应及时查明原因,核实交易的真实性,确认交易最终完成后,进行相应业务操作和账务处理,确保资金安全。
(四)信息与沟通
COSO认为,沟通是一个提供、分享和获得必要信息的过程,这个过程是持续的、不断循环往复的。信息对于组织而言,对推进内部控制、促进其目标的实现是非常必要的。开展网络支付业务涉及部门较多,应建立跨部门的信息沟通机制,例如定期组织关键岗位人员召开沟通协调会,明确相关信息的收集、处理和传递程序,及时沟通和分析内部信息、积极获取和反馈外部信息,充分发挥财务、内部审计、信息技术、医保等部门或岗位在内部控制中的作用,保证网络支付业务的顺畅高效、风险可控。
(五)监督
良好的内部控制体系需要进行持续监控和独立评价。公立医院应加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内审部门和纪检监察部门形成合力,开展日常监督和专项监督。日常监督是对建立与实施网络支付相关的内部控制的情况进行常规、持续的监督检查;专项监督是对网络支付业务管理的“薄弱点”、问题易发的“风险点”,进行有针对性的監督检查,专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。对内部监督过程中发现的内部控制缺陷,应认真分析缺陷的性质和产生的原因,明确责任,立行立改,堵塞管理漏洞,健全网络支付业务管理。
参考文献:
[1] 付华,郑大喜.第三方支付对公立医院财务会计的影响与规范管理[J].现代医院管理,2019,(1).
[2] 雷光平.医院共享网络支付平台资金结算风险控制研究——以京医通为例[J].卫生经济研究,2019,(5).
[3] 何婷,骆水娣,钱登科.医院智慧医疗结算管理的探索与实践.[J].卫生经济研究,2020,(12).
[4] 张蘅,罗兵,张玉芬.第三方支付+医保”在公立医院应用模式探讨[J].中国医疗保险,2017,(1).
[5] 欧铁,王冬,宋雄,程明.公立医院应用第三方支付的风险控制研究[J].卫生经济研究,2018,(1).
[责任编辑 文 峰]