专家视点
医疗保险的风险和内部控制探讨[1]
——以杭州为例
◎徐玮
提要:风险与人类活动息息相关,在现代生活中,风险无处不在,无时不有。当前,我国的医疗保险制度运行也存在诸多风险。建立健全内部控制机制,是防范和控制医疗保险管理服务过程中的风险、确保基金运行安全有效、实现“人人享有基本医疗保险”目标的重要保证。本文分析我国医疗保险运行的特点和主要风险因素、内部控制的基本要求以及存在的主要问题,并根据杭州内部控制的实践,提出建立健全医疗保险内部控制机制的对策建议。
关键词:医疗保险 风险 内部控制 杭州
作者徐玮,杭州市医疗保险管理服务局党委副书记、副局长(邮政编码 310003)。
随着全民医疗保险制度的建立健全,“人人享有基本医疗保障”的目标已初步实现。但同时,医疗保险管理服务过程中的风险也开始显现。建立健全内部控制机制,防范和控制医疗保险管理服务过程中的风险,提高医疗保险基金保障的绩效,是一个非常具有现实意义的课题。
一 医疗保险的运行特点与运行风险
(一)医疗保险的运行特点
医疗保险是一种覆盖全社会所有人群的社会保险。它通过社会统筹筹集医疗保险资金,采用第三方付费购买医疗服务的方式,以防止或降低参保人员的灾难性卫生支出风险。其运行有如下几个特点。
一是覆盖面广。自国家启动基本医疗保险制度改革以来,各地多层次医疗保障体系逐步建立健全,医疗保障制度已覆盖包括就业和不就业的所有城乡居民从生到死的全过程。根据《2014年中国人权事业的进展》白皮书,截至2014年底,全国城镇基本医疗保险参保人数为59774万人,新型农村合作医疗参保人数为73627万人,城乡居民医疗保险参保率已超过95%。
二是基金收支额度大。《2014年人力资源和社会保障事业发展统计公报》显示,2014年,全国城镇基本医疗保险基金总收入为9687亿元,总支出为8134亿元;年末城镇基本医疗保险统筹基金累计结存6732亿元(含城镇居民基本医疗保险基金累计结存1195亿元),个人账户积累3913亿元。
三是管理服务对象复杂。关于医疗保险的管理服务对象,直接的有参保人员、提供医疗服务的定点医疗机构、定点零售药店、执业医师和药师,间接的还包括药品及材料供应部门、社会保障卡制造商、信息系统开发商、经办服务外包商(如商业保险公司)等。
四是医疗保险经办管理业务的模块多。医疗保险经办服务涵盖参保登记、保费核收、账户管理、证卡制发、登记备案、费用审核、结算支付以及稽核检查等多个模块。
(二)医疗保险的运行风险
风险集聚后会酿成大祸。1912年4月15日夜晚,号称“永不沉没的”泰坦尼克号因板材和铆钉等基础材料未考虑低温航行的风险、视野障碍又未带望远镜、应急命令错误、船体结构设计不科学、救生设施不齐备等风险因素同时集聚而酿成震惊世界的悲剧。这对于我们充分认识医疗保险的运行风险具有一定的警示意义。
因较易受政治、经济、社会等的影响,社会保险各险种的运行风险都比较大。而医疗保险由于财务激励制度的影响复杂、经办服务需要适应较强的流动性,以及基金管理具有即时性要求,因此其运行风险更具有独特性和易于集聚性。结合国内发生的相关案例,可以归纳为以下几种风险。
一是准入管理伴随的风险。现行的医疗保险实行的是准入制管理模式,无论是医药服务机构(包括定点医疗机构、定点零售药店)、医疗服务人员(含医师、药师),还是药品、器械、材料和服务项目,甚至是与医疗保险不直接相关的信息系统(包括医疗保险管理系统和定点机构的HIS系统)建设、社保卡采购,几乎都需要事先进行准入审批或报备。正如人们所指出的,“只要有审批,就有可能产生腐败”。相对来说,与药品、材料进目录,服务机构进定点,开发商、卡商招投标等有关的审批类,职务犯罪较为多见,犯罪的大多是有“审批权”的高职级干部。
二是日常的医疗服务协议管理风险。签订服务协议是医疗保险管理的一大特点。因为具有准入、退出的管理特点,所以定点服务协议不是一纸简单的民事合同。让你签或者不让你签,或许会直接影响某个医药服务机构的生存。即使签了协议,管理规则、审核标准、结算方式等诸多信息有时也是不对称的——医药服务机构处于相对弱势,而且很多医药服务机构事先也很难认真仔细地对协议内容加以研究。在协议执行的过程中,作为相对弱势的一方,为谋求不当利益,或避免不符合规定的医疗费被拒付,有的定点服务机构就通过“送干股”或其他方式向工作人员行贿,形成利益共同体。在此类职务犯罪中,低职位干部或关键岗位的业务骨干,即所谓的“实权派”较为多见。
三是日常服务的风险。窗口的经办服务看起来风险较小,因为办事人员的权力不大。但正如有人所说的,倒开水的服务员都有权力可以行使,因为她(他)可以选择给谁先倒给谁后倒,倒多还是倒少,倒热的还是倒冷的,更何况医疗保险经办服务与参保人员的切身利益密切相关。事实上,无论是服务类的证卡制发、登记备案,还是核定类的保费收缴,是待遇类的医疗费审核报销、结算支付,都有空子可钻,因此这个环节也有较大的风险。在经办服务中,负责一般审核结算的财务人员、信息技术人员和业务领导比较容易犯此类“监守自盗”型错误。
四是其他风险。如管理凌驾于内部控制之上的风险、内部流程外部化的风险、信息泄露的风险等。
相关资料曾收载社会保障方面的30余个案子,涉及人员近70人(其中系统内部人员占80%以上)。在涉案人员中,年纪最小的于1983年出生,最年长的出生于1951年,男性比例超过女性,职务最高的为厅级干部。其中,涉及医疗保险方面的职务犯罪约占1/3。犯罪手法五花八门,有直接挪用基金的,有通过伪造票据、医疗文书资料骗取医疗保险基金(或公费医疗经费)的“监守自盗”,也有与社会闲杂人员联手合作的内外勾结,还有向定点服务机构、医药企业、社保卡制造商索贿或变相受贿,等等。虽然上述犯罪分子最后都被绳之以法,有的刑期长达20年,并被开除公职、党籍,赃款、赃物也被追回,相关领导还被追责,但这些犯罪行为造成的损失,特别是对社会医疗保险制度运行和社保干部队伍形象造成的负面影响不可估量。
有媒体报道,经广东省某市人民法院开庭审理,认定该市某区社保局工作人员罗某某通过伪造虚假疾病信息、就医配药信息和医疗费报销材料,让50名参保人员“被患病”后申请医疗费报销,金额高达近千万元。根据公布的案情信息,我们发现该经办机构在医疗费结算业务上存在6个环节上的问题:“非实时结算”造成医疗费需要手工报销,“专管员”制度造成个别业务员可以垄断业务,“医疗费票据缺乏核查机制”造成票据造假不易被发现,“医疗费审核缺乏复核机制”造成复核形同虚设,“印鉴管理不严”造成印鉴易被冒用,“现金直接支付”造成现金支付管理易失控。这几个环节同时失控,风险必然发生。
二 医疗保险的内部控制
英国著名史学家汤因比说过,“一个国家乃至一个民族,其衰亡都是从内部开始的,外部力量不过是其衰亡前的最后一击”。最早的内部控制,就是希望通过相互牵制(如会计与出纳岗位分设)以防范内部风险。在经历内部牵制、内部控制、内部控制结构和内部控制框架四个发展阶段后,内部控制不仅有助于防范内部风险,而且成为现代管理的重要手段,特别是内部控制框架更具有划时代意义。该框架由美国审计权威机构COSO委员会于1992年提出。COSO把内部控制定义为:一个受某单位不同层次的人影响的过程。而设计这一过程,是为实现“经营的效果和效率、财会报告的可靠性、对法律法规的遵循性”三大目标提供合理的保证。COSO对内部控制特别强调四点,即内部控制是一个“过程”,而且是一个动态的过程,是实现组织目标的方法,其本身不是结果;内部控制受到“人”的因素的影响,它并不仅仅是政策手册和表格,这里的“人”包括组织内各个层级的人;内部控制只能提供合理的过程保障,而非绝对地确保目标的实现;内部控制的目的是实现前述的三大目标,并且这三大目标可能会存在重叠。下面主要分析我国医疗保险内部控制的基本要求与当前医疗保险内部控制存在的主要问题。
(一)医疗保险内部控制的基本要求
我国目前尚未提出权威的内部控制定义,对于内部控制的完整性、合理性及有效性更是缺乏公认的标准体系。在现行的规范制度中,只有中国注册会计师协会制定的《独立审计具体准则第9号——内部控制与审计风险》中对内部控制给出了定义:“本准则所称内部控制,是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、会计系统和控制程序。”
2007年,原国家劳动和社会保障部制定了《社会保险经办机构内部控制暂行办法》(以下简称《暂行办法》),以加强社会保险经办机构的内部管理与监督,确保社会保险基金的安全。《暂行办法》指出,包括医疗保险在内的社会保险基金的安全,始终是党中央、国务院高度重视的一个问题,也是社会各界关注的焦点。社会保险基金的安全与否,关系到社会保险事业的发展和社会保险经办机构基金管理的主体地位,关系到广大参保人员的切身利益和生活,关系到社会的和谐与稳定。切实加强社会保险内部控制工作,是确保社会保险基金安全的本质要求,也是规范经办业务、保证社会保险各项工作顺利开展的重要举措。《暂行办法》强调,各级劳动保障部门要把提高内部控制执行力作为加强社会保险机构能力建设的重要内容,通过建章立制,确保社会保险基金的安全。
《暂行办法》还提出,要不断完善内部控制制度,着力规范经办业务工作,完善财务管理制度,优化操作流程。要寓内部控制办法于业务操作流程之中,建立岗位之间、业务环节之间相互监督、相互制衡的机制。要明确岗位职责,建立责任追究制度,确保内部控制机制的有效运行。要充分运用信息化手段加强对经办业务工作的监督控制,有效堵塞社会保险基金“跑冒滴漏”,切实提高管理水平。从具体要求看,一是内部控制建设应遵循合法性、完整性、制衡性、有效性和适应性要求;二是内部控制的内容包括组织机构控制、业务运行控制、基金财务控制、信息系统控制等;三是要加强内部控制的管理和监督。
(二)当前医疗保险内部控制存在的主要问题
一是法制不健全。与一些内部控制较为规范的国家相比,我国对内部控制的研究较少,主要应用在金融行业或上市公司层面,这与我国有关内部控制的法律法规不健全有关。迄今,我国没有一部专门的内部控制的法律法规,内部控制的一些工作要求往往散见于其他法律或部门规章中,如中国人民银行的《加强金融机构内部控制的指导原则》(1997年)、全国人民代表大会常务委员会的《中华人民共和国会计法》(2000年)、中国注册会计师协会的《企业内部控制审核指导意见》(2002年)、中国证券监督委员会的《证券投资基金管理公司内部控制指导意见》(2002年)、中国银行业监督委员会的《商业银行内部控制指引》(2007年)等。在社会医疗保险方面,仅在2007年出台实施《社会保险经办机构内部控制暂行办法》,对内部控制建设提出了“合法性、完整性、制衡性、有效性和适应性”的原则,以及“组织机构控制、业务运行控制、基金财务控制、信息系统控制”的要求,但更多的是基于风险防范的考虑,与内部控制要实现经营的效果和效率、财务报告的可靠性以及法律法规的遵循性三大目标相差甚远。即便是2010年10月28日第十一届全国人民代表大会常务委员会第十七次会议通过的《中华人民共和国社会保险法》,也只是在第八十条强调:“统筹地区人民政府成立由用人单位代表、参保人员代表,以及工会代表、专家等组成的社会保险监督委员会,掌握、分析社会保险基金的收支、管理和投资运营情况,对社会保险工作提出咨询意见和建议,实施社会监督。社会保险经办机构应当定期向社会保险监督委员会汇报社会保险基金的收支、管理和投资运营情况。社会保险监督委员会可以聘请会计师事务所对社会保险基金的收支、管理和投资运营情况进行年度审计和专项审计。审计结果应当向社会公开。社会保险监督委员会发现社会保险基金收支、管理和投资运营中存在问题的,有权提出改正建议;对社会保险经办机构及其工作人员的违法行为,有权向有关部门提出依法处理建议。”其中有关社会保险内部控制的内容几乎没有。
二是机制未建立。除金融企业、上市公司因自身的金融或资产风险控制的要求而较为关注内部控制外,由于缺乏刚性的要求和评估机制,在对内部控制的认识上,绝大多数部门和单位还停留在内部风险防范的层面,认为只要“不出事”“不出大事”就算做好了内部控制。在组织结构建设上,把内部控制部门当成“可有可无、想用就用”的“花瓶”,或当作单位的“养老所”,专门安置老弱病残人员,有的则索性废弃不用。在具体落实时,有的人把内部控制视为对本业务部门及工作人员的不信任,是来添麻烦、设障碍的,故不太愿意配合。内部控制机制未建立,导致不少统筹地区对医疗保险风险的防范意识薄弱,制度不健全,管理不到位,甚至有章不循,有令不行,有禁不止,重要岗位用人失察,违规操作,致使侵害医疗保险基金的事件时有发生。
三是缺乏协调机制。由于内部控制与整个事业单位和机构的运行、发展密切相关,因此它应该是一把手工程,理应得到单位或部门主要领导的高度重视。但对内部控制的理解不充分、认识不到位,导致内部控制仅仅是内部控制部门的工作,其他部门支持配合的程度普遍不高。因为缺乏全局观、整体观,协调机制不健全,所以内部控制的绩效不明显。
四是内部控制部门缺乏创新精神。很多统筹地区的内部控制部门对内部控制理论和方法的学习研究不够、不透,自身的能力和水平欠缺,缺乏创新精神。内部控制部门的工作基本以内部审计为主,往往停留在事后案卷评查的“翻档案”阶段,缺乏对信息化等手段的利用;工作按部就班,在制度、机制和方法上缺乏改革创新,不能适应新时期医疗保险事业的发展变化。
三 杭州市医疗保险的内部控制实践
(一)强化内部控制意识,构建内部控制机制
一是建立政务公开和权力阳光运行机制。实行政务公开制度,相关的医疗保险政策、法规,以及经办的业务流程、办理时限和内容等,全部通过人力资源和社会保障网站、办事指南及宣传手册等形式向社会公开,接受社会监督。同时,根据省、市权力阳光运行的要求,对各类业务经办全部实行权力阳光运行,对业务操作的所有环节进行全程监督,对经办事项进行网上实时监控监察,对异常情况进行实时预警。
二是建立有效的风险评估、风险控制机制。对经办管理岗位和业务经办管理环节进行风险评估,通过评估确定主要风险点和高风险岗位,有针对性地采取防范和控制措施;对医疗保险政策、业务流程和基金管理等执行及运行情况进行监控、分析和预警,避免和预防医疗保险在运作过程中内外因素导致的医疗保险运行失控或出险,以达到未雨绸缪、防患于未然的效果,确保医疗保险处于健康、平稳、安全、良性的运行状态。
三是建立不相容岗位分离机制。其关键点是,一个处室、一个岗位不能包揽风险业务的全过程,每个业务经办环节要做到分人分岗。在进行岗位设置时,要事先分析岗位的不相容性,再根据设定的岗位进行人员分工,确定职责权限,并形成有效的制衡机制。如城乡居民参(续)保登记和城乡居民医疗保险费收取、医疗费零星报销审核和报销款支付、出纳和会计等不相容岗位均严格分离,不得混岗设置。同时,建立健全业务办理初审、复核和分级审批制度。
四是建立岗位轮换机制。建立岗位定期轮换制度,对业务、财务、信息系统管理等重要岗位实行定期轮岗交流,避免经办人员长期在一个岗位导致思想麻痹松懈并容易滋生腐败的问题。同时,通过轮岗交流,促进经办人员全面掌握经办业务,堵塞业务经办中的漏洞,强化各岗位、各职能间的互相牵制作用。
五是建立重大事项集体讨论机制。建立科学、民主、公开、透明的决策程序,重大事项或疑难问题决策,均按照民主集中制的原则进行。涉及基金支出或资格审批的重点业务决策,应由多部门参与的联席会议讨论决定。如建立了由社会保险行政部门、民政部、卫生部、财政部、工会等部门参与的市困难救助联席会议制度,建立了由社会保险行政部门、财政部、发改委、卫生部参与的杭州市基本医疗保险费用结算管理联席会议制度,建立了杭州市基本医疗保险定点管理工作领导小组会议制度,等等。
六是建立计算机信息系统控制机制。根据医疗保险业务系统的环节和流程,分为基金管理、医疗管理、费用审核、结算、稽查和财务管理等功能模块,建立数据录入、修改、访问、使用、保密、维护等权限管理制度,确定业务操作人员及系统维护人员的职责和权限,规定业务操作的程序和审批手续,以减少和消除人为因素。制定数据库管理规范和数据查询规范,对数据修改及查询实行严格的审批和备案制度,保留各项业务办理情况的操作“痕迹”,使业务操作具有可复核性和可追溯性。借助信息化手段提升基金监管水平,将事后审核监督改变为“事前提醒、事中监控、事后审核”的过程监管新模式。
七是强化内部审计监督。成立独立的内部控制审计部门,确定人员及其职责和任务。针对医疗保险经办工作的重点环节,设立关键控制点,制订审计计划,定期或不定期地对内部经办业务的合法性、准确性和规范性进行监督检查,及时发现问题,不断改进工作方法,规范业务流程,加强内部控制档案的管理,促进内部控制机制进一步完善。
(二)强化制度建设,夯实内部控制基础
制定《医疗保险管理服务内部控制暂行办法》,从组织机构控制、业务运行控制、基金财务控制、信息系统控制、内部控制的管理与监督五个方面着手,确定医疗保险经办内部控制的目标要求、对象范围及实施办法,对组织决策、人事管理、权限分配、内部审计等工作的开展做进一步的明确规定,做到各项工作有章可循、有据可依,全面规范各项业务行为。根据“一事一流程”的要求,按独立性、衔接性、制约性原则,科学合理地制定业务流程,涵盖参保人员参保、待遇享受、待遇支付以及“两定”机构(定点医疗机构、定点零售药店)准入、协议管理、退出的全过程,保证业务经办有序开展,不断提高风险防御能力。
(三)统一经办标准,规范业务操作
随着社保覆盖人群的扩大和社保基金规模的增长,医疗保险经办管理服务不断下沉。杭州市医疗保险业务经办服务也从原有的医疗保险局大厅一枝独秀,发展到主城区医疗保险经办服务窗口全覆盖,并向街道、社区延伸。经办服务窗口的不断开拓、经办人员的不断增加,对经办服务规范、统一和管理严密、精细的要求也越来越高,原有的那种师傅带徒弟“一对一”的“传帮带”模式已无法适应现有的经办要求,建立统一的经办模式和服务标准已刻不容缓。
根据工作流程化、流程标准化的目标,杭州市医疗保险经办机构在对业务经办流程进行梳理的同时,也对各项经办业务的政策依据、受理范围、办理材料、办理程序进行规范,制定明确的业务操作规程,大到业务档案的归置、财务票据的管理,小到各类表单的填写格式、业务专用章的加盖位置,都一一做出明确规定。目前,已制定《杭州市医疗保险管理服务局稽查工作规范》《杭州市本级基本医疗保险总额预算管理经办规程》《杭州市医疗保险管理服务局定点医疗机构(药店)医疗费审核、结算流程》《杭州市基本医疗保障关系转移接续经办规程》等十多项业务经办规程,并编制了《杭州市医疗保险经办业务流程汇编》及《杭州市主城区医疗保险经办机构经办业务流程汇编》。各项业务操作规程的制定以及经办标准的统一,促进了杭州市医疗保险各经办窗口工作的规范化,也为医疗保险业务的内部审计工作提供了依据。
(四)形成“互联网+”的内部控制新机制
2012年以来,为解决医疗保险海量数据审核工作的压力,杭州市开始建设计算机辅助审核系统。这个系统实现了对所有医药服务机构上传的所有医疗费的全面审核,并可实现对参保人员在不同医药服务机构就医配药行为的联动审核,从而使医疗费审核工作达到“全面、高效、智能、实时”的目标。同时,这个系统也较好地实现了医疗费审核业务的内部控制,即通过控制环境、风险评估、控制活动、信息与沟通、评估与监督等手段,让权力在阳光下运行,达到“合法性、完整性、制衡性、有效性、适应性”的内部控制目的。
第一,夯实内部控制基础。建立医药服务机构和医务人员、药品、材料、医疗服务项目、医疗服务设施等基础目录库,并按照“事前提醒、事中控制和事后审核”的要求,与医药服务机构共同商定6万多条管理规则。
第二,公布管理规则。把管理规则事先告知医药服务机构,使审核部门的工作能随时接受管理服务对象的监督。
第三,完善信息系统。利用信息化手段,实现“事先提醒”“事中控制”“事后审核”,变原先单独的管理为“寓管理于服务之中,寓服务于管理之中”,促进医药服务更加合理、规范。
第四,规范权力行使。严格遵循相互制衡原则,科学设置内部机构和人员岗位,各部门、各岗位之间权责分明并相互制约,经办重点环节实行双人、双岗、双控,进一步规范受理、初审、复核、审批、支付等经办业务环节,各岗位之间通过权限配置不混岗兼任,并形成“分段把关、分人负责”的管理机制。
第五,监督权力运行。建立社保数据录入、修改、访问、使用、保密、维护等权限管理制度,所有的审核、剔除(拒付)和返还等均留下操作痕迹,使得电子文档可追溯审计。
四 对医疗保险内部控制的对策建议
(一)以“依法治国”的理念引领医疗保险的内部控制工作
依法治国,是党的十八届四中全会的重要精神和战略部署,是实现国家治理体系和治理能力现代化的必然要求。作为具体贯彻落实医疗保险法律、法规和规章的主体,医疗保险经办服务管理部门能否规范地履行法定职责和实现控制目标,直接关系到人民群众的切身利益,关系到党和政府的公信力,必须把加强医疗保险内部控制作为一项管长远、固根本、保安全的基础性工作来抓。特别是《社会保险法》出台实施后,很多法律条款过于原则化、操作性不强的问题已开始暴露,亟须加快医疗保险条例等实施细则类的立法工作。
(二)以医疗保险战略目标调整为契机,完善内部控制的目标、要求和评估监督机制
随着“全民医疗保险”目标的基本实现,我国医疗保险制度的战略目标已从“人人享有基本医疗保障”逐步向“人人享有更有绩效的医疗保障”转变。在确保基金安全的基础上,医疗保险基金运行效率越来越受到重视,内部控制工作必须适应这个战略目标的调整。
医疗保险的内部控制也要适应医疗保险服务管理模式变化的要求。参保人员“就近就便”的服务需求促使医疗保险经办服务不断向下延伸,服务也更加多样化,流程更加复杂化,医疗保险内部控制必须适应服务要求的变化。同时,随着“城乡统筹”“市级统筹”以及各种“政商合作”工作的推进,医疗保险管理的半径越来越大,层级越来越多,医疗保险内部控制必须适应管理要求的变化。
此外,在信息化时代,组织结构日趋扁平化,对决策层、管理层和操作层都有了更高的要求;而对信息技术的高度依赖以及数据的大集中,也使得医疗保险信息成为一个重要的安全问题。因此,要更加重视信息化背景下的医疗保险内部控制。在这方面,美国早在1996年就出台了健康保险携带和责任法案(HIPAA),对医疗信息的准确、安全交互提出了具体要求。
(三)加强内部控制的体制和机制建设
内部控制是全员参与,为实现经营的效果和效率、财务报告的可靠性、法律法规的遵循性等目标提供合理保证的过程。实现内部控制过程,必须具备相互关联的五大要素,即控制环境、风险评估、控制活动、信息与沟通、评估与监督。
控制环境是内部控制整体框架的基础。正如海恩所说,再好的技术,再完美的规章,在实际操作层面上,也无法取代自身的素质和责任心。马航的多起空难事故表明,内部控制环境不仅要对内部控制的组织机构和管理层的管理哲学、经营理念等提出要求,而且要关注组织机构中具体执行人员的操守、道德价值和能力素质。
风险评估是对可能面临的风险进行甄别、分析、管理和控制的机制。哪些环节是有风险的?这些风险对最终结果会产生多大影响?如何控制数量和程度?如何通过再造流程去防范风险?这些都是风险评估需要做的具体工作。
控制活动是在风险评估的基础上,采用书面核准、逐级授权、验证复核、账账核对、账物核对以及对经营活动的审计检查等,实现对资产的保护和不相容职务的分离。COSO内部控制框架认为,内部控制取决于管理方式,并应融入管理过程。在这方面,我国护理前辈黎秀芳在20世纪50年代总结出“三查七对”制度以防止出现输液错误,值得我们学习借鉴。
信息与沟通是通过及时鉴别、挖掘、获取、处理丰富的内部信息和外部信息,把内部控制的要求、方法、过程、结果(问题)等信息及时、顺畅地在各部门、各层次、内外部间进行传递或反馈,以更好地沟通、理解和利用信息,从而提高内部控制的效果和效率。
评估与监督可分别来自内部或外部。通过本级自评、同级互评和上级考评,可以发现内部控制过程中的一些情况和问题。同时,内部控制也更应接受上级部门和其他部门的监督,以防止出现内部控制工作“熟视无睹”或“习以为常”的现象。
(四)探索内部控制工作的新机制
一是要建立“权力阳光运行”机制。阳光是最好的消毒剂。要根据“权责法定”的原则,全面清理权力清单,并通过网站、办事指南和宣传手册等形式向社会公开;要规范权力行使,监督权力运用,所有执法工作都应接受人民群众的监督;对于违规违法用权者,一定要严肃查处。
二是要积极探索医疗保险内部控制的社会治理机制。要按照《中华人民共和国社会保险法》的要求,建立和完善由用人单位代表、参保人员代表,以及工会代表、专家等组成的医疗保险监督组织,掌握、分析社会保险基金的收支、管理和投资运营情况,对医疗保险工作提出咨询意见和建议,实施社会监督。对于法律没有规定或规定不够明确的问题,可以通过联席会议会商制度,充分发扬民主,广泛听取意见。对于医疗保险的内部控制,也可以引入第三方进行评估监督,以确保内部控制更加规范、高效。
三是要积极探索内部控制信息化。信息化大大提升了医疗保险管理服务的效率,也必定能提升医疗保险内部控制的效率。有效的信息系统是医疗保险政策、业务、技术和内部控制体系的重要组成部分,应当予以高度重视。信息化应该覆盖医疗保险内部控制中控制环境、风险评估、控制活动、信息与沟通、评估与监督五个方面,在组织结构、岗位控制、业务控制和财务控制方面发挥其积极的作用。例如,通过事先设定规则,可以避免错误赋权,确保职责分离;通过计算机建立模型,可以排查分析业务流程中的风险环节和风险程度;通过权限设置,可以刚性建立复核机制,控制审批权限,确保资金流转去向准确;通过信息化档案的建立和交互管理,可以建立高效的信息沟通机制;通过信息化审计,可以提升内部控制审计绩效;等等。
参考文献
张善轩:《企业风险管理》,广东经济出版社,1999。
孙国正:《项目管理中的逆向选择与道德风险》,《安徽大学学报》(哲学社会科学版)2000年第3期。
张康之、熊炎:《风险社会中的风险治理原则》,《南京工业大学学报》(社会科学版)2009年第8期。
朱华雄、孙兴全:《论国有企业经营中道德风险的产生和防范》,《三峡大学学报》(人文社会科学版)2001年第23期。
宋哲明:《现代风险管理》,中国纺织出版社,2003。
〔英〕阿诺德·汤因比:《历史研究》,刘北成等译,上海人民出版社,2005。
秦莉:《中国社会保障制度的风险管理》,《社会科学家》2013年第7期。
国家劳动和社会保障部:《社会保险经办机构内部控制暂行办法》,2007。
林俊荣:《基本医疗保险中的道德风险及其控制》,《辽宁工程技术大学学报》(社会科学版)2006年第4期。
傅鸿翔:《国外医疗保险基金监督实践与启示》,《中国社会保障》2013年第2期。
孙星:《风险管理》,经济管理出版社,2007。
〔美〕托马斯·弗里德曼:《世界是平的》,何帆等译,湖南科学技术出版社,2008。
赵大伟:《互联网思维——独孤九剑》,机械工业出版社,2014。
(责任编辑 王立嘉)
[1] 杭州市哲学社会科学规划课题成果(Z15YD014)。