二、内部控制框架

2012年财政部出台的《行政事业单位内部控制规范（试行）》（以下简称《单位内部控制规范》）主要包括总则、风险评估和控制方法、单位层面内部控制、业务层面内部控制、评价与监督、附则等内容。根据《单位内部控制规范》的内容，结合2015年印发的《财政部关于全面推进行政事业单位内部控制建设的指导意见》及医院经营活动实际情况，构建风险评估、单位层面内部控制、业务层面内部控制、内部控制评价与监督四个部分的医院内部控制框架体系。

（一）风险评估

风险评估是医院对单位层面和业务层面风险进行识别和评估的过程。单位层面风险评估重点关注内部控制的组织机制是否健全、内部管理制度是否完善、关键岗位人员能力是否匹配、财务信息编报是否及时、绩效管理机制是否完善等；业务层面风险评估重点关注预算业务、收支业务、固定资产管理、成本核算、采购管理、基建项目、科研经费、合同管理等业务管理制度是否健全、业务程序是否明晰、业务执行是否有效等。

（二）单位层面内部控制

单位层面控制活动是医院针对各项经济活动进行的内部环境评估和控制设计，并将这些控制机制落实在医院经济活动中的过程。单位层面控制活动主要包括组织机构、议事决策机制、关键岗位权责分配、关键岗位人员能力、会计系统、信息系统与信息技术应用和组织文化等几部分。

（三）业务层面内部控制

业务层面控制活动是医院针对各项经济活动制定控制政策和程序的过程，核心是针对风险建立经济活动管控机制的过程。业务层面控制活动主要包括预算业务控制、收支业务控制、固定资产管理、成本核算控制、采购管理、基建项目控制、科研经费控制、合同管理等几部分。

（四）内部控制评价与监督

评价与监督是医院对其内部控制的建立和执行情况进行持续评价与监督的过程，确保内部控制设计和执行的有效性。评价与监督可以采用定期和不定期结合、日常和专项结合的方式，对内部控制的健全性、合理性和有效性进行评估检查。评价与监督能够帮助医院领导层预防、发现和整改内部控制设计和运行中存在的问题和薄弱环节，以便及时改进，确保医院内部控制有效运行。