刘小芳　董超

摘要：开展高校政府采购风险管理是保障高校经济活动合法、高效、廉洁运行的必要条件。文章基于企业风险管理整合框架（COSO-ERM），结合高校实际，通过风险识别、风险评估、风险控制3步法构建高校政府采购风险防控优化管理体系。风险识别采用风险图分析法进行风险分类，制作风险清单。风险评估采用风险管理四象限法从风险发生概率、后果严重程度、当前管理体系建立健全及责任主体4个维度确定风险防控优先级，厘清风险责任主体。风险控制基于风险管理要素和原则，从微观和宏观层面并线探索高校政府风险防控优化组合策略，提出高校应对具体风险和长效风险防控体系的实施路径。

关键词：COSO-ERM框架；高校；政府采购；风险管理

中图分类号：G647文献标志码：A

0 引言

政府采购是指各级国家机关、事业单位和团体组织，使用财政性资金采购依法制定的集中采购目录以内的或者采购限额标准以上的货物、工程和服务的行为。随着高校政府采购积极推行“放管服”政策，政府采购品目不断变更与增加，高校采购自主权扩大，加之高校科研教学活动的特殊性，作为廉政风险防控重要领域的高校政府采购时常面临围标、串标、价高质低、暗箱操作现象，采购监管困难，采购风险大大增加［1］。高校需要迫切借鉴国内外企业管理成熟制度，结合学校实际建立健全有效的采购风险防控和内部控制机制，防范舞弊和预防腐败，提高资源配置效益。

《企业风险管理-整合框架》（COSO-ERM）是由美国企业风险管理（COSO）委员会提出，目前公认的全面风险管理框架，在综合评估和分析企业内部控制方面具有一定的权威性，可有效提升企业风险管理水平，其核心是在风险事件发生之前或发生之后进行分析与测评，该理念可以有效利用于高校政府采购［2］。开展高校政府采购风险评估是有效识别和控制采购风险的重要方式，文章基于COSO-ERM框架，通过风险识别、风险分析、风险控制找出影响高校采购质效的内外部薄弱环节，明确采购管理工作重点，为全面的风险管理提供依据，提高工作效率。

1 高校政府采购风险识别

通过风险识别制作一个全面、系统的风险清单将潜在的风险进行列举是进行风险管理的前置条件。风险识别优先借助风险图分析法（鱼骨图），配合采用头脑风暴、问卷调查、事故树分析等方法。鱼骨图是由日本管理大师石川馨先生提出，是一种发现问题“根本原因”的方法，通过分析造成高校政府采购风险的主因或主要构成要素，结合对各要素可能发生的事故进行逻辑分析，筛查出存在于采购各环节的风险，进一步推演出事故结果和损失原因［3］。经过分析归纳，高校政府采购风险主要来自控制环境风险、岗位职责风险、业务流程风险、信息与沟通风险、监督管理风险5方面。

1.1 控制环境风险

内部控制环境是实施高校采购内部控制的基础，是防范采购风险的顶层设计，主要风险存在于组织架构、制度建设、发展战略、组织文化、社会责任等，其中发展战略、组织文化和社会责任受制于学校总体发展规划。组织架构建设上，大部分高校均设置了独立的招标采购部门，实现了归口管理，但依然存在采购仅仅是招标采购部门职责范围的误区，管理机构设置不合理、职能不明确或建立的管理机构职能之间的职责分工不科学，不能有效对高校采购业务进行规范和管理，未将采购作为影响学校长远发展的战略资源进行规划［4］。制度建设上，不同高校差别较大，普遍存在未针对自身的发展现状和特点制定行之有效的内部管理、监督、风险防控机制的现象。部分高校重管轻服，片面强调“宁紧勿松”，规避风险，采购效率低；部分高校片面强调简政放权，权力下放，采购计划和预算变动随意性强，采购方式选择简单粗放，采购缺乏有效监管和风险防控机制。

1.2 岗位职责风险

岗位职责风险主要是指在高校政府采购全流程相关岗位上的工作人员，由于责任主体不明，责任意识不强，采购专业性欠缺，风险防控意识不到位导致的徇私舞弊、以权谋私、相互推诿、工作流于形式等廉政风险［5］。采购需求部门缺乏主体责任意识和风险防控意识，采购预算和采购计划编制存在“短视”，预算编制未充分契合单位业务发展需求，存在急于将经费花出去而缺乏足够市场调研和科学论证的现象，甚至出现为某一特定供应商定制化编制采购预算和采购需求现象，破坏竞争环境，引发采购风险。财务、资产、采购、审计、纪委等采购管理职能部门以及招标代理机构专业度不够，招组人员不合理，责任意识不强，则易导致采购项目论证和采购合理性审查流于形式，招标过程不规范（如存在陪标、串标等），合同签订和履约验收管理不到位，滋生采购腐败。

1.3 业务流程风险

业务流程风险是指存在于采购全流程各环节的业务风险点，主要包括经费立项、论证审批、采购执行、合同签订、履约验收5个环节。

1.3.1 事前

经费立项潜在风险点主要表现在经费申报理由不充分，预算编制不科学，采购资金未实行专项管理和专款专用，经费使用主观意识强。预算编制不合理，项目预算偏离市场实际，预算执行进度安排缺乏计划性，年底突击采购，引发资金浪费，滋生采购腐败。论证审批主要风险存在于采购、财务、资产管理以及各职能部门之间缺乏有效论证审批，预算编制与资产配置计划相脱节，导致重复购置、资源浪费。

1.3.2 事中

采购执行主要风险存在于缺乏公正、公平、透明的制衡机制和专业管理，采购计划和预算调整未按规定审批，无预算、超预算执行采购，采购方式存在化整为零规避招标采购，简化采购流程，弱化潜在供应商竞争，滋生采购风险。项目需求拟定缺乏合理性，技术参数具有倾向性、排他性或与实际需求不匹配，导致公平竞争不够，萝卜标、价高质低、低价恶意竞争现象时有发生。采购执行流程不严谨，信息公开不规范，采购各执行主体信息不对称，对投标人采取不公正待遇，违规透漏投标人信息或者评审信息，评审工作不规范，引导采购结果。

1.3.3 事后

合同签订主要风险在于采购项目缺乏标准的合同范本，合同条款未严格遵照招投标文件，合同审批不规范，合同内容缺项、漏项，擅自变更，损害学校利益。履约验收作为政府采购的最后一个重要环节，是客观评价采购质量优劣的最直接证据，其主要风险点存在于验收成员组成不合理性，验收流程不严谨，大型仪器设备缺乏详细的验收报告，低于履行、延迟履行或履行瑕疵的项目存在包庇供应商的现象，损害采购人权益。

1.4 信息与沟通风险

政府采购要充分体现市场机制公平竞争、公正选择、公开信息、规范程序、优胜劣汰的本质要求。信息与沟通是政府采购公平性特征的基础保证，其主要风险存在于采购信息化程度、信息沟通时效性、信息公开、供应商虚假响应等方面。采购全流程一体化管理不完善，各环节脱节，信息孤岛和重复建设导致信息沟通不对称，采购效率低且易造成监管漏洞，滋生道德腐败。信息公开风险主要发生在流程中的发布招标公告和资格预审公告环节，采购信息发布时间不足、发布范围较小、公告形式不合规、不公开或部分公开招标信息，易导致潜在供应商竞争不足，破坏公平竞争机制。投标文件是招标单位、评审专家现场评审的唯一依据，供应商虚报业绩，虚假响应，隐瞒资信、财务状况，供应商之间串谋、围标，易导致评审结果被虚报信息所影响，采购质量难以保证，引发逆向选择风险［6］。

1.5 监督管理风险

监督管理是保证政府采购顺利实施，防范廉政风险的重要保障，采购风险主要存在于监督管理机制和风险防控体系的完善性，监督方式的合理性和有效性，风险防控意识等方面。监督、审计部门应对政府采购内部控制和风险管理的适当性、合法性和有效性进行监督、审查，对采购程序及结果的真实性、合法性和公正性等内容进行全流程监督。然而，高校对政府采购活动尚缺乏与采购内控制度协调一致的健全监督体系和风险防控体系，制度上缺乏保障。监督介入多以事后审计为主，缺乏事前、事中、事后的全流程监督，部分采购活动的监督尚存在“真空”，不能有效识别和预防采购风险，行动上缺乏力度。监督审查识别的采购不端行为缺乏合理的风险应对方案和处罚机制，意识上缺乏重视。

2 高校政府采购风险评估

2.1 风险评估方法

通过风险识别，高校政府采购风险因子多，涉及面广，隐匿性强，基于当前高校政府采购风险管理特性，风险评估主要从风险发生概率、后果严重程度、当前管理体系建立健全及责任主体4个维度21要素对各项风险指标进行评估分析。

风险发生概率和后果严重程度评估侧重风险指标分类和防控优先级排序，采用风险管理四象限法，根据其发生概率和潜在影响将风险划分为高概率高影响（重大风险）、高概率低影响（常见风险）、低概率高影响（罕见风险）、低概率低影响（次要风险）4个象限，进而为决策者提供资源分配和应对措施制定的依据［7］。其中，风险发生的概率设定“大、较大、小、罕见、无”5个等级，分别赋予分值5、4、3、2、1；后果严重程度是对采购风险事件发生所造成损失的评估，设定“重大、严重、较轻、轻微、极小”5个等级，分别赋予分值5、4、3、2、1。

当前，管理体系和责任主体侧重风险防控机制现状和责任归属分析，针对该风险指标学校或各责任主体当前制度或控制措施制定和落实情况进行评估，厘清责任主体，进而为风险响应路径提供实施抓手。其中，当前管理体系设定“无、较差、一般、较好、完备”5个等级，分别赋予分值1、2、3、4、5。

具体指标评估分析采取调查问卷+实证方式进行，调查对象设定为高校采购领域专家+相关职能部门负责人，被调查者根据各指标基本情况采用李克特（Likert）5点评分法进行评分，取其平均值计算各指标风险等级［8］。问卷发放30份，回收30份，反馈率100%，经过统计分析，图2为对应的风险四象限坐标图。

2.2 对风险的评估

由图2可以看出，重大风险指标6项，主要集中于业务流程风险维度，具体表现为采购专业知识储备、采购计划审批、项目需求拟定、合同签订、履约验收、供应商虚假响应等风险要素。A高校针对项目需求和合同签订拟定了较为完善的管理体系以降低风险发生，针对其余风险要素当前管理体系尚未建立健全，需要进一步优化以降低风险发生的概率和影响程度。罕见风险5项，主要集中在制度建设层面。这再次证明内部环境建设是预防采购风险的根本性保障，一旦制度建设存在漏洞，极易引发重大采购风险。A高校目前制定了较完善的制度体系，但针对当前采购内控制度建设的评分仅为3.47分，证明其采购内控制度与自身发展尚不能完全适配，需要针对性优化。常见风险8项，其中针对各责任主体的协同制衡性、信息沟通和采购信息一体化3个风险要素当前管理体系较不完善，需要进一步加强信息沟通建设，借助互联网技术降低采购风险发生概率。

2.3 对责任主体的评估

根据统计分析不同风险要素涉及的风险责任主体可能不同，且多为交叉的责任主体。由于高校采购业务涉及需求、采购、财务、审计、资产、法务、纪委监察、归口管理职能、代理公司等众多部门，容易出现风险责任主体不明确、相互推诿、缺乏制衡、信息不对称等现象。为有效防范高校采购风险，高校应当树立风险组合理念，按照责任主体将风险进行组合，站在全局高度制定风险管理方案，将采购风险融入各部门业务目标，采取有效措施将属于不同层面的风险与该层面业务指标及风险容忍区间进行比对，实现风险的统筹管理。

3 高校政府采购风险控制

3.1 风险控制总体目标和原则

风险控制的总体目标是基于识别的风险，肃清根源并进行风险排序后，采取切实有效的方法和措施，避免、减少或转嫁风险所造成的损失，以保障风险管理的主体获得最大的利益、取得最令人满意的效果和结果。具体而言是保障高校经济活动的最大利益，促进资源合理优化配置。风险控制的原则是基于风险管理的基础，使组织能够管理不确定性对其目标的影响，ISO31000∶2018风险管理指南中规定了整合性、结构化、定制化、包容性、动态性、最佳可用信息、人员及文化、持续改进8项风险管理原则［9］。高校政府采购应当基于风险控制的总体目标和风险管理原则因地制宜建立具有自身特色的风险管理体系。

3.2 长效风险防控体系构建

基于宏观层面，风险控制是一个贯穿单位层面和业务层面全环节、全岗位，应用于业务发展规划制定并为主体目标的实现提供合理保证的过程。基于COSO-REM框架所提出的“战略和绩效整合”理念，结合主管部门引发的内部控制指南和学校实际， 可从目标、层面和要素3个维度建立具有自身特色的COSO-REM 风险防控体系，形成高校政府采购风险管理体系的备选条目池［10］。第一维度是高校政府采购风险管理战略与目标（战略、经营、报告、合规）；第二维度是高校政府采购各级风险管理的主体层面（主体层面、部门层面、业务单位）；第三维度是构成高校政府采购活动要素以及产生诸多风险的危险因素（8大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督）。

3.3 长效风险防控实施路径

高校政府采购长效风险防控体系实施是一个系统工程，需要评估中长期业务发展战略，建立全生命周期意识和多元主体协同、制衡理念，以确保权力运行透明、规范、高效，逐步形成符合法规、高效运转并且风险可控、问责严格的政府采购内部执行和监管模式。具体而言，高校可采取以下实施路径。

3.3.1 优化控制环境

高校政府采购反腐倡廉，首要任务是做好顶层设计，优化控制环境，从根本上预防采购风险。高校应加强内部控制管理，依据“采购依法规、运行有机制、过程有监管、措施有保障”原则考虑整体制度框架，构建相辅相成、协同一致的采购内控制度、监督管理和风险防控机制。采购制度建设既要有纲领性采购管理办法，又要基于全生命周期理念，立足政府采购涉及的重要环节及事项，制定预算管理办法、采购需求编制管理办法、评审专家管理办法及履约验收管理办法等下位配套文件。监督和风险防控机制应和业务制度有机结合，针对采购各环节特点和风险防控点，细化条款，实行动态管理。

3.3.2 健全组织架构

在优化控制环境的基础上，高校应配套优化组织架构建设，以进一步确保制度落地有抓手。组织架构建设应制定权责分明的管理职责，成立独立的采购部门进行采购归口管理，在遵循不相容岗位相分离的基础上，树立多元主体协同、相互制衡的理念。既要实现分级负责，归口管理，形成各司其职，决策、执行、监督相分离的工作模式，突出各环节责任主体的主体责任，又要建立相互协同、相互制约的工作机制，形成采购合力。采购队伍建设应建立以采购部门为统领，以二级院系采购管理员为抓手的“1+X”采购工作运行机制，关键岗位以“专业化”替代“行政化”，逐层逐级加强采购培训和风险防控意识培训，全方位提升采购意识和专业性。

3.3.3 推进采购全流程闭环管理

政府采购的实施过程是风险防控的重要部分，亦是采购重大风险的高发环节，防范业务流程风险必须建立全生命周期管理理念，加强采购事前、事中、事后全流程控制。（1）事前，合理编制采购预算，建立完善的预算管理制度和采购计划审批机制，充分讨论采购项目的必要性、经费预算的合理性以及设备技术参数的科学性，避免个人主观主义引发采购源头腐败。（2）事中，依规确定采购方式，严格执行采购程序，加强采购文件合理性审核，强化利益冲突管理，确保采购流程严格规范，采购公开、公平、公正。（3）事后，针对高校政府采购存在的前期评审与后期实施割裂的现象，高校应将后期实施和使用情况纳入监督重点，严格落实合同签订、履约验收以及供应商履约评价工作，防止供应商偷工减料、降低配置等虚假情况。

3.3.4 提升采购信息化水平

（1）对内。将风险防范作为信息化管理平台建设的基本要求，基于全生命周期管理理念构建采购一体化管理体系，实现采购周期管理与采购执行管理的衔接和统一，打破各部门信息壁垒，避免信息孤岛或重复建设导致的信息不对称或程序冗余，重点针对采购执行环节设计采购专项管理应用系统，实现对采购风险防控全面防范，突出重点，形成风险信息化防合力。（2）对外。积极推进电子化采购平台，建立招标采购信息公开制度，严格信息公开，多举措推进权力网上运行，减少人为干预；建立高校政府采购信息共享和供应商管理数据库，实现采购信息的有效共享，提升协同效应，有助于充分了解市场情况，避免因信息不对称带来的供应商逆向选择风险。

3.3.5 强化采购内部监督

基于风险本身的动态性、可变性、隐匿性等特点，建立全方位、全角度、全流程跟踪监督体系，协同各责任主体监督合力，完善监督问责机制。改进监督方式，开展事前备案、事中监督、事后倒查监督机制，将政府采购风险防控内嵌到具体采购流程，通过互联网技术手段，变“人为预防”为“自动预防”，变“事后控制”为“实时控制”，实现对权力运行的实时监督。加大监督力度，对重点环节、重大风险从严监督，推行岗位责任制和责任追究制，建立违法违规行为的查办通报、缺陷整改机制，提高风险成本。

4 结语

基于COSO-ERM的优化管理体系是一种“全方位、多层次”的风险管理，通过风险识别、风险评估、风险控制3步法可以全面梳理风险因素，进行风险指标分类和防控优先级排序，厘清相关部门责任分工，夯实采购主体责任，以“组合拳”形式对高校政府采购风险进行提前干预和控制，进一步促进高校政府采购风险防控规范化、制度化和科学化，最大限度保障资金的使用效益。

参考文献［1］张铭清，雷霆，王俊伟，等.高校政府采购风险防控机制建设路径［J］.实验室研究与探索，2020（4）：259-262.

［2］黄怡然，刘丽琴.COSO-ERM框架下高校采购业务内部流程风险管理［J］.实验室研究与探索，2019（11）：290-293.

［3］郭玲玲，吴晓英，刘小兰，等.医院感染风险评估及COSO-ERM优化管理体系研究［J］.中国感染控制杂志，2022（9）：829-836.

［4］黄艾非.“放管服”背景下高校政府采购业务内部控制优化研究［J］.福建开放大学学报，2021（4）：65-69.

［5］卢加元.高校物资采购廉政风险防控机制优化［J］.实验室研究与探索，2019（5）：275-278.

［6］郑银华，杨旭静.高校政府采购风险防范研究：基于信息不对称的视角［J］.实验室研究与探索，2021（1）：279-284.

［7］张鑫，石鑫磊，张志强，等.基于时间四象限法的高校设备管理系统的设计［J］.实验室研究与探索，2021（11）：277-280.

［8］陈永清，林鑫，朱海军.高校招标采购廉政风险防控与监督途径：基于FMEA工具分析的探索［J］.西部学刊，2023（17）：41-44.

［9］吕洪雁，杨金凤.企业战略与风险管理［M］.北京：清华大学出版社，2016：25-40.

［10］路宁维，党晓茹，梁沛枫，等.医院感染风险分层评估体系的建立与应用［J］.中华医院感染学杂志，2024（3）：432-437.

（编辑 姚 鑫编辑）

Research on risk management of university government procurement based on COSO-ERM framework

LIU Xiaofang， DONG  Chao

（Nanjing Institute of Technology， Nanjing 210000， China）

Abstract：  Risk management of government procurement in colleges and universities is a necessary condition to ensure the legal， efficient and clean operation of economic activities. Based on COSO-ERM risk management framework and the actual situation of colleges and universities， the risk prevention and control optimization management system of government procurement is constructed through the three-step method of risk identification， risk assessment and risk control. Risk identification uses risk graph analysis method to classify risks and make risk list. Risk assessment adopts the four-quadrant method of risk management to determine the priority of risk prevention and control from the four dimensions of risk occurrence probability， severity of consequences， establishment and improvement of current management system and responsible subjects， and to clarify the risk responsible subjects. Based on the elements and principles of risk management， this paper explores the optimal combination strategy of university government risk prevention and control from micro and macro levels， and puts forward the implementation path of universities response to specific risks and long-term risk prevention and control system.

Key words： COSO-ERM framework; college and university; government procurement; risk management

基金项目：2022年校级青年基金项目；项目名称：放管服背景下高校招标采购内部控制优化研究；项目编号：3544113221124。2022年校级社科联基金项目；项目名称：内部控制视角下高校设备采购廉政风险防控研究；项目编号：SKLB202214。

作者简介：刘小芳（1990— ），女，助理研究员，硕士；研究方向：招投标管理。