黄怡然，刘丽琴

(苏州大学 采购与招投标管理中心，江苏 苏州 215021)

0 引 言

美国COSO委员会(Committee of Sponsoring Organizations of the Tradeway Commission)《企业风险管理框架》(ERM)是关于企业风险管理的权威性报告。COSO-ERM框架将风险定义为事项发生并影响战略和业务目标之实现的可能性，包括造成正面影响的机遇以及造成负面影响的损害，风险责任主体需要对其中的负面部分进行防范[1]。

随着办学规模的持续扩大，近年来高校采购业务工作量不断增加。面对社会环境的变化、信息技术的发展以及自身治理结构中的突出问题，高校迫切需要借鉴国内外企业管理成熟制度，建立健全有效的采购业务风险防控和内部控制机制，以保证经济活动合法合规、财务信息真实完整，防范舞弊和预防腐败，提高资源配置效益。

综合来看，高校采购业务所面对的负面风险来自内、外部两方面，内部风险包括人力资源、组织结构、业务程序等因素，外部风险包括政策法规、市场环境、技术进步等因素。由于外部风险具有不可控性，高校应当在COSO-ERM框架下，按照风险识别、风险分析、风险响应3个步骤，主要就内部流程进行系统、全面的风险评估和管理。

1 风险识别

1.1 风险识别的方法

通过制作一个全面、系统的风险清单将潜在风险进行列举是进行风险管理的前置条件。高校采购业务，在制作风险清单的过程中应当优先采用流程图，辅助采用头脑风暴、事故树分析、现场检查、问卷调查等方法。通过观察高校采购业务内部流程(见图1)，结合对各环节可能发生事故的逻辑分析，以及对实际操作情况的抽查，既以筛查出存在于采购业务各环节中的风险，又能进一步推演出事故结果和损失原因。

图1 高校采购业务内部流程示意图

1.2 采购流程中的常见风险

(1)前期准备阶段。在采购计划编制环节，主要风险在于没有统筹安排采购计划和合理确定采购批次，随意追加或调整采购项目，或对采购计划的必要性、可行性、合理性缺乏科学论证。在采购预算编制环节，主要风险在于采购、财务、资产管理以及各职能部门之间缺乏有效沟通协调，导致预算与资产配置计划相脱节；或在编制过程主观臆断，导致预算金额偏离实际[2]。在采购需求确定环节，主要风险在于缺乏公开、公平、透明的制衡机制和专业管理，导致技术参数带有倾向性、排他性，或与实际需求脱节，导致公平竞争程度不足，进而降低采购结果的质量[3]。在职能部门审批环节，主要风险在于审批没有按照规定权限和流程进行，或因审批不严而重复购置、应购未购，导致设备闲置浪费或影响资金发挥作用[4]。

(2)采购执行阶段。在预算管理中，主要风险在于预算调整未按规定程序审批，无预算、超预算执行采购，预算执行进度严重滞后等。在选择采购方式环节，主要风险在于以化整为零或其他方式规避政府集中采购、招标采购，或没有按照规定权限和流程变更采购方式。在采购程序执行环节，主要风险在于竞争不充分，对投标人采取不公正待遇，违规透露投标人信息或评审信息，评审工作不规范等[5]。在信息公开环节，主要风险在于应当公开而未公开，公开内容不符合规定，不受理依法依规的质疑、投诉或受理后不认真调查。在内部监督环节，主要风险在于对上述各环节缺乏全面、独立、有效的监督。

(3)后续工作阶段。在合同签订环节，主要风险在于对各类采购项目没有统一的合同范本，没有对合同内容和条款进行审核，背离原合同实质性内容签订补充协议，合同秘密泄露等。在履约验收环节，主要风险在于没有对采购项目的品种、规格、数量、质量和其他相关内容进行验收，或验收流于形式，或没有对未履行、延迟履行、履行有瑕疵的项目采取相应措施以维护采购人权益。在款项支付环节，主要风险在于付款所需材料缺失，或没有对相关材料的真实性、完整性、有效性、合法合规性进行审核，或在合同所约定付款条件不具备的情况下付款。在档案、信息管理环节，主要风险在于档案管理不善，导致售后服务信息缺失，并因此无法享受应有权益，或没有根据项目情况和综合评价结果对供应商信用信息进行动态管理。

2 风险分析

2.1 对风险的分析

风险评估主要包括定性、定量两种方法。定性方法直接使用文字描述风险的发生概率和影响程度，如“极低”“低”“中等”“高”“极高”等；定量方法则结合在实际业务中形成的数据，用百分比、损失金额来进行描述[6]。虽然定量分析更为精准，但需要大量数据作为支撑并使用到复杂的数学模型，对于高校来说实用价值较低。高校可以采用与风险识别相类似的方式对风险进行定性评估。以高校采购业务内部流程中的采购执行阶段为例，基于风险清单(见表1)制作的风险坐标图(见图2)能够对多项风险进行可视化比较。

2.2 对风险责任主体的分析

通过风险清单可以看出，尽管处于相同的采购流程或环节，不同风险点所归属的风险责任主体可能不同，甚至涉及交叉的责任主体。由于高校采购业务全流程涉及采购、财务、审计、法务、资产、纪检监察、归口管理职能部门以及需求单位等众多部门，容易出现风险责任主体不明确、相互推诿、工作流于形式的现象[7]。因此高校还应当树立风险组合观念，按照责任主体将风险进行组合，站在全局高度制定风险管理方案，将采购流程中的风险融入各部门业务目标，采取有效措施将属于不同层面的风险与该层面业务目标及风险容忍区间进行比对，实现风险的统筹管理。

表1 采购执行阶段风险清单

图2 采购执行阶段风险坐标图

3 风险响应

3.1 应对具体风险

从微观层面看，风险响应是针对具体风险点选择应对策略，包括规避、降低、分担、接受等。例如，高校将采购执行阶段风险坐标图划分为A、B、C3个区域，借此为风险应对的优先级别排序。对于A区域中的风险，高校采取规避或分担措施，包括将采购项目委托给采购代理机构进行操作等；对于B区域中的风险，高校通过优化内控环境、完善规章制度、加强信息沟通、明晰岗位职责、完善考核机制等方式加强控制，从而降低风险的发生概率和影响程度；对于C区域，高校认定其为可接受的风险敞口，决定承受其中的风险。

3.2 建立长效防控体系

从宏观层面看，风险响应是一个贯穿业务流程全环节、全岗位，应用于业务发展规划制定并为主体目标的实现提供合理保证的过程[8]。参照COSO-ERM框架所提出的“战略和绩效整合”理念，风险管理可被细分为5要素、20原则。尽管这些要素和原则具有普适性，但基于行业差异，高校应以全生命周期、全方位为理念，系统梳理采购业务各个环节和各个方面的风险管理响应措施[9]，结合主管部门所印发的内部控制指南，建立具有自身特色的采购业务风险管理体系(见表2)。具体而言，高校需要重点采取下列措施：

表2 基于COSO-ERM框架的高校采购业务风险管理体系

(1)完善治理结构。在建立健全现代大学治理结构的前提下，高校应当进一步优化组织构架，实现不相容岗位相互分离、互相制衡、互相监督，以预防舞弊行为或错误的产生。同时必须建立归口管理和授权审批体系，绘制权力地图，明确界定各部门的工作权限、程序、依据和责任，杜绝超越权限从事采购业务。此外，财务口作为最重要的“防风墙”，必须实施全面预算控制和会计系统控制，以保证预算的约束力，保障财务信息真实完整，规避财务风险的发生。

(2)加强人力资源建设。人力资源政策旨在通过具体的制度和措施来影响工作人员的行为方式。① 高校必须合理引进具有相关专业知识的人才，以“专业化”替代“行政化”，推进采购人员队伍建设[10]；② 需要通过业务培训提高相关人员履职能力，提升团队专业水平；③ 通过建立风险意识和廉政文化的长效教育机制，提升采购业务内部流程各环节、各岗位工作人员的风险意识和法制意识，最大限度减少工作中的随意性，切实降低并有效地防范风险[11]。

(3)促进信息流通。随着信息技术的发展，高校需要探索“互联网+”模式下采购业务管理机制改革。① 推进权力网上运行，将采购业务的主要流程、关键环节和风险管理策略嵌入管理信息系统，实现涉权业务信息化管理[12]，减少人为操纵因素。② 合理规划信息沟通机制，对校内实行采购业务信息共享，避免信息孤岛或重复建设，形成风险信息化防控合力；对校外按有关规定实行信息公开，提高采购活动透明度，从而强化竞争环境、提高社会监督力度。

(4)开展督查问责。内部监督是保证风险管理体系有效运行和逐步完善的重要措施。① 基于风险本身具有动态性、可变性的特点，与采购业务相关的工作人员需要时刻关注风险变化，全方位、全角度进行风险监控，及时修正风险管理薄弱环节[13]。② 纪检监察和审计部门应当独立对风险管理机制执行情况开展督查、问责，建立对违法违规行为的查办通报、缺陷整改等机制，着力解决执行标准不高、执行力度不大、执行措施不力、执行能力不强等问题[14]。

4 结 语

风险管理作为一项复杂的系统工程，需要不断总结、不断改进，“永远在路上”。《左传》云：“居安思危，思则有备，有备无患”[15]，高校应当树立风险意识，深入研究COSO-ERM框架理念和主管部门关于内部控制指南，在采购业务内部流程贯彻落实风险管理机制和策略，提高风险识别、风险评估和风险响应能力，坚持全面推进、科学规范、问题导向、有效制衡的基本原则，促进学校内部治理水平不断提高，以及相关事业的健康、顺利、可持续发展。