COSO-ERM框架下高校采購業務內部流程風險管理

黃怡然，劉麗琴

(蘇州大學 采購與招投標管理中心，江蘇 蘇州 215021)

0 引 言

美國COSO委員會(Committee of Sponsoring Organizations of the Tradeway Commission)《企業風險管理框架》(ERM)是關于企業風險管理的權威性報告。COSO-ERM框架將風險定義為事項發生并影響戰略和業務目標之實現的可能性，包括造成正面影響的機遇以及造成負面影響的損害，風險責任主體需要對其中的負面部分進行防范[1]。

隨著辦學規模的持續擴大，近年來高校采購業務工作量不斷增加。面對社會環境的變化、信息技術的發展以及自身治理結構中的突出問題，高校迫切需要借鑒國內外企業管理成熟制度，建立健全有效的采購業務風險防控和內部控制機制，以保證經濟活動合法合規、財務信息真實完整，防范舞弊和預防腐敗，提高資源配置效益。

綜合來看，高校采購業務所面對的負面風險來自內、外部兩方面，內部風險包括人力資源、組織結構、業務程序等因素，外部風險包括政策法規、市場環境、技術進步等因素。由于外部風險具有不可控性，高校應當在COSO-ERM框架下，按照風險識別、風險分析、風險響應3個步驟，主要就內部流程進行系統、全面的風險評估和管理。

1 風險識別

1.1 風險識別的方法

通過制作一個全面、系統的風險清單將潛在風險進行列舉是進行風險管理的前置條件。高校采購業務，在制作風險清單的過程中應當優先采用流程圖，輔助采用頭腦風暴、事故樹分析、現場檢查、問卷調查等方法。通過觀察高校采購業務內部流程(見圖1)，結合對各環節可能發生事故的邏輯分析，以及對實際操作情況的抽查，既以篩查出存在于采購業務各環節中的風險，又能進一步推演出事故結果和損失原因。

圖1 高校采購業務內部流程示意圖

1.2 采購流程中的常見風險

(1)前期準備階段。在采購計劃編制環節，主要風險在于沒有統籌安排采購計劃和合理確定采購批次，隨意追加或調整采購項目，或對采購計劃的必要性、可行性、合理性缺乏科學論證。在采購預算編制環節，主要風險在于采購、財務、資產管理以及各職能部門之間缺乏有效溝通協調，導致預算與資產配置計劃相脫節；或在編制過程主觀臆斷，導致預算金額偏離實際[2]。在采購需求確定環節，主要風險在于缺乏公開、公平、透明的制衡機制和專業管理，導致技術參數帶有傾向性、排他性，或與實際需求脫節，導致公平競爭程度不足，進而降低采購結果的質量[3]。在職能部門審批環節，主要風險在于審批沒有按照規定權限和流程進行，或因審批不嚴而重復購置、應購未購，導致設備閑置浪費或影響資金發揮作用[4]。

(2)采購執行階段。在預算管理中，主要風險在于預算調整未按規定程序審批，無預算、超預算執行采購，預算執行進度嚴重滯后等。在選擇采購方式環節，主要風險在于以化整為零或其他方式規避政府集中采購、招標采購，或沒有按照規定權限和流程變更采購方式。在采購程序執行環節，主要風險在于競爭不充分，對投標人采取不公正待遇，違規透露投標人信息或評審信息，評審工作不規范等[5]。在信息公開環節，主要風險在于應當公開而未公開，公開內容不符合規定，不受理依法依規的質疑、投訴或受理后不認真調查。在內部監督環節，主要風險在于對上述各環節缺乏全面、獨立、有效的監督。

(3)后續工作階段。在合同簽訂環節，主要風險在于對各類采購項目沒有統一的合同范本，沒有對合同內容和條款進行審核，背離原合同實質性內容簽訂補充協議，合同秘密泄露等。在履約驗收環節，主要風險在于沒有對采購項目的品種、規格、數量、質量和其他相關內容進行驗收，或驗收流于形式，或沒有對未履行、延遲履行、履行有瑕疵的項目采取相應措施以維護采購人權益。在款項支付環節，主要風險在于付款所需材料缺失，或沒有對相關材料的真實性、完整性、有效性、合法合規性進行審核，或在合同所約定付款條件不具備的情況下付款。在檔案、信息管理環節，主要風險在于檔案管理不善，導致售后服務信息缺失，并因此無法享受應有權益，或沒有根據項目情況和綜合評價結果對供應商信用信息進行動態管理。

2 風險分析

2.1 對風險的分析

風險評估主要包括定性、定量兩種方法。定性方法直接使用文字描述風險的發生概率和影響程度，如“極低”“低”“中等”“高”“極高”等；定量方法則結合在實際業務中形成的數據，用百分比、損失金額來進行描述[6]。雖然定量分析更為精準，但需要大量數據作為支撐并使用到復雜的數學模型，對于高校來說實用價值較低。高校可以采用與風險識別相類似的方式對風險進行定性評估。以高校采購業務內部流程中的采購執行階段為例，基于風險清單(見表1)制作的風險坐標圖(見圖2)能夠對多項風險進行可視化比較。

2.2 對風險責任主體的分析

通過風險清單可以看出，盡管處于相同的采購流程或環節，不同風險點所歸屬的風險責任主體可能不同，甚至涉及交叉的責任主體。由于高校采購業務全流程涉及采購、財務、審計、法務、資產、紀檢監察、歸口管理職能部門以及需求單位等眾多部門，容易出現風險責任主體不明確、相互推諉、工作流于形式的現象[7]。因此高校還應當樹立風險組合觀念，按照責任主體將風險進行組合，站在全局高度制定風險管理方案，將采購流程中的風險融入各部門業務目標，采取有效措施將屬于不同層面的風險與該層面業務目標及風險容忍區間進行比對，實現風險的統籌管理。

表1 采購執行階段風險清單

圖2 采購執行階段風險坐標圖

3 風險響應

3.1 應對具體風險

從微觀層面看，風險響應是針對具體風險點選擇應對策略，包括規避、降低、分擔、接受等。例如，高校將采購執行階段風險坐標圖劃分為A、B、C3個區域，借此為風險應對的優先級別排序。對于A區域中的風險，高校采取規避或分擔措施，包括將采購項目委托給采購代理機構進行操作等；對于B區域中的風險，高校通過優化內控環境、完善規章制度、加強信息溝通、明晰崗位職責、完善考核機制等方式加強控制，從而降低風險的發生概率和影響程度；對于C區域，高校認定其為可接受的風險敞口，決定承受其中的風險。

3.2 建立長效防控體系

從宏觀層面看，風險響應是一個貫穿業務流程全環節、全崗位，應用于業務發展規劃制定并為主體目標的實現提供合理保證的過程[8]。參照COSO-ERM框架所提出的“戰略和績效整合”理念，風險管理可被細分為5要素、20原則。盡管這些要素和原則具有普適性，但基于行業差異，高校應以全生命周期、全方位為理念，系統梳理采購業務各個環節和各個方面的風險管理響應措施[9]，結合主管部門所印發的內部控制指南，建立具有自身特色的采購業務風險管理體系(見表2)。具體而言，高校需要重點采取下列措施：

表2 基于COSO-ERM框架的高校采購業務風險管理體系

(1)完善治理結構。在建立健全現代大學治理結構的前提下，高校應當進一步優化組織構架，實現不相容崗位相互分離、互相制衡、互相監督，以預防舞弊行為或錯誤的產生。同時必須建立歸口管理和授權審批體系，繪制權力地圖，明確界定各部門的工作權限、程序、依據和責任，杜絕超越權限從事采購業務。此外，財務口作為最重要的“防風墻”，必須實施全面預算控制和會計系統控制，以保證預算的約束力，保障財務信息真實完整，規避財務風險的發生。

(2)加強人力資源建設。人力資源政策旨在通過具體的制度和措施來影響工作人員的行為方式。① 高校必須合理引進具有相關專業知識的人才，以“專業化”替代“行政化”，推進采購人員隊伍建設[10]；② 需要通過業務培訓提高相關人員履職能力，提升團隊專業水平；③ 通過建立風險意識和廉政文化的長效教育機制，提升采購業務內部流程各環節、各崗位工作人員的風險意識和法制意識，最大限度減少工作中的隨意性，切實降低并有效地防范風險[11]。

(3)促進信息流通。隨著信息技術的發展，高校需要探索“互聯網+”模式下采購業務管理機制改革。① 推進權力網上運行，將采購業務的主要流程、關鍵環節和風險管理策略嵌入管理信息系統，實現涉權業務信息化管理[12]，減少人為操縱因素。② 合理規劃信息溝通機制，對校內實行采購業務信息共享，避免信息孤島或重復建設，形成風險信息化防控合力；對校外按有關規定實行信息公開，提高采購活動透明度，從而強化競爭環境、提高社會監督力度。

(4)開展督查問責。內部監督是保證風險管理體系有效運行和逐步完善的重要措施。① 基于風險本身具有動態性、可變性的特點，與采購業務相關的工作人員需要時刻關注風險變化，全方位、全角度進行風險監控，及時修正風險管理薄弱環節[13]。② 紀檢監察和審計部門應當獨立對風險管理機制執行情況開展督查、問責，建立對違法違規行為的查辦通報、缺陷整改等機制，著力解決執行標準不高、執行力度不大、執行措施不力、執行能力不強等問題[14]。

4 結 語

風險管理作為一項復雜的系統工程，需要不斷總結、不斷改進，“永遠在路上”。《左傳》云：“居安思危，思則有備，有備無患”[15]，高校應當樹立風險意識，深入研究COSO-ERM框架理念和主管部門關于內部控制指南，在采購業務內部流程貫徹落實風險管理機制和策略，提高風險識別、風險評估和風險響應能力，堅持全面推進、科學規范、問題導向、有效制衡的基本原則，促進學校內部治理水平不斷提高，以及相關事業的健康、順利、可持續發展。