近日，为全面推进公立医院内部控制建设，规范公立医院内部经济及相关业务活动，国家中医药局与国家卫生健康委联合印发了《公立医院内部控制管理办法》。

为全面推进公立医院内部控制建设，规范公立医院内部经济及相关业务活动，建立健全科学高效的内部权力运行制约和监督体系，近日，国家中医药管理局会同国家卫生健康委联合印发了《公立医院内部控制管理办法》（以下简称《管理办法》）。在近期发布的《公立医院内部控制管理办法》解读文件中对《管理办法》主要内容进行了详细解读。

《管理办法》指出，公立医院医院内部控制主要包括：风险评估、内部控制建设、内部控制报告、内部控制评价。

《管理办法》还提出公立医院内部控制风险评估应当重点关注的内容。要求医院每年至少进行一次风险评估工作，单位层面风险评估应当重点关注“五个机制”建设情况，即内部控制组织建设、内部控制机制建设、内部控制制度建设、内部控制队伍建设以及内部控制流程建设；业务层面的风险评估应当重点关注12大业务：即预算管理、收支管理、政府采购管理、资产管理、建设项目管理、合同管理、医疗业务管理、科研项目和临床试验项目管理、教学管理、互联网诊疗管理、医联体管理、信息系统管理等。

华清信安风险评估业务：通过梳理客户的IT资产，识别和评估信息资产的重要性、安全威胁的可能性、安全脆弱性的严重程度、以及安全控制措施的有效性等要素，对重要信息系统所面临的信息安全风险进行识别和定性评估，并对所有评估发现的不可接风险给出对应的安全处置和加固建议，协助客户提升对重要信息系统的安全风险管理和安全保障能力。

华清信安拥有CCRC风险评估资质，在医疗行业拥有多年的风险评估经验。风险评估工作在开展时具有详细的实施计划，科学的实施流程，严格的项目管理，最终形成具有安全建设指导性的风险评估报告。华清信安的风险评估工作有效协助医疗行业客户清晰的了解内部的技术体系和管理系统存在的问题，为医疗行业客户后续的安全建设提供切实有效的指导性方案，助力医院信息化发展。

公立医院内部控制管理办法

第三章  风险评估管理

第十五条 本办法所称风险评估，是指医院全面、系统和客观地识别、分析本单位经济活动及相关业务活动存在的风险，确定相应的风险承受度及风险应对策略的过程。

第十六条 风险评估至少每年进行一次；外部环境、业务活动、经济活动或管理要求等发生重大变化的，应当及时对经济活动及相关业务活动的风险进行重新评估。

第十七条 医院内部审计部门或确定的牵头部门应当自行或聘请具有相应资质的第三方机构开展风险评估工作，风险评估结果应当形成书面报告，作为完善内部控制的依据。

第十八条 医院应当根据本单位设定的内部控制目标和建设规划，有针对性地选择风险评估对象。风险评估对象可以是整个单位或某个部门（科室），也可以是某项业务、某个项目或具体事项。

第十九条 单位层面的风险评估应当重点关注以下方面： 

（一）内部控制组织建设情况。包括是否建立领导小组，是否确定内部控制职能部门或牵头部门；是否建立部门间的内部控制沟通协调和联动机制等。 

（二）内部控制机制建设情况。包括经济活动的决策、执行、监督是否实现有效分离；权责是否对等；是否建立健全议事决策机制、岗位责任制、内部监督等机制。 

（三）内部控制制度建设情况。包括内部管理制度是否健全，内部管理制度是否体现内部控制要求，相关制度是否有效执行等。 

（四）内部控制队伍建设情况。包括关键岗位人员是否具备相应的资格和能力；是否建立相关工作人员评价、轮岗等机制；是否组织内部控制相关培训等。 

（五）内部控制流程建设情况。包括是否建立经济活动及相关业务活动的内部控制流程；是否将科学规范有效的内部控制流程嵌入相关信息化系统；内部控制方法的应用是否完整有效等。

（六）其他需要关注的内容。

第二十条 业务层面的风险评估应当重点关注以下方面： 

（一）预算管理情况。包括在预算编制过程中医院内部各部门之间沟通协调是否充分；预算编制是否符合本单位战略目标和年度工作计划；预算编制与资产配置是否相结合、与具体工作是否相对应；是否按照批复的额度和开支范围执行预算，进度是否合理，是否存在无预算、超预算支出等问题；决算编报是否真实、完整、准确、及时等。 

（二）收支管理情况。包括收入来源是否合法合规，是否符合价格和收费管理相关规定，是否实现归口管理，是否按照规定及时提供有关凭据，是否按照规定保管和使用印章和票据等；发生支出事项时是否按照规定程序审核审批，是否审核各类凭据的真实性、合法性，是否存在使用虚假票据套取资金的情形等。 

（三）政府采购管理情况。包括是否实现政府采购业务归口管理；是否按照预算和计划组织政府采购业务；是否按照规定组织政府采购活动和执行验收程序；是否按照规定保管政府采购业务相关档案等。 

（四）资产管理情况。包括是否实现资产归口管理并明确使用责任；是否定期对资产进行清查盘点，对账实不符的情况是否及时处理；是否按照规定处置资产等。 

（五）建设项目管理情况。包括是否实行建设项目归口管理；是否按照概算投资实施基本建设项目；是否严格履行审核审批程序；是否建立有效的招投标控制机制；是否存在截留、挤占、挪用、套取建设项目资金的情形；是否按照规定保存建设项目相关档案并及时办理移交手续等。

（六）合同管理情况。包括是否实现合同归口管理；是否建立并执行合同签订的审核机制；是否明确应当签订合同的经济活动范围和条件；是否有效监控合同履行情况，是否建立合同纠纷协调机制等。 

（七）医疗业务管理情况。包括医院是否执行临床诊疗规范；是否建立合理检查、合理用药管控机制；是否建立按规定引进和使用药品、耗材、医疗设备的规则；是否落实医疗服务项目规范；是否定期检查与强制性医疗安全卫生健康标准的相符性；是否对存在问题及时整改等。

（八）科研项目和临床试验项目管理情况。包括是否实现科研或临床试验项目归口管理；是否建立项目立项管理程序，项目立项论证是否充分；是否按照批复的预算和合同约定使用科研或临床试验资金；是否采取有效措施保护技术成果；是否建立科研档案管理规定等。

（九）教学管理情况。是否实现教学业务归口管理；是否制定教学相关管理制度；是否按批复预算使用教学资金，是否专款专用等。

（十）互联网诊疗管理情况。包括实现互联网诊疗业务归口管理；是否取得互联网诊疗业务准入资格；开展的互联网诊疗项目是否经有关部门核准；是否建立信息安全管理制度；电子病历及处方等是否符合相关规定等。

（十一）医联体管理情况。包括是否实现医联体业务归口管理；是否明确内部责任分工；是否建立内部协调协作机制等。

（十二）信息系统管理情况。包括是否实现信息化建设归口管理；是否制定信息系统建设总体规划；是否符合信息化建设相关标准规范；是否将内部控制流程和要求嵌入信息系统，是否实现各主要信息系统之间的互联互通、信息共享和业务协同；是否采取有效措施强化信息系统安全等。