“三道防線”模型在高校后勤風險管理中的應用

金俊榮

一、“三道防線”模型和ISO 31000風險管理指引

（一）“三道防線”模型

1.“三道防線”模型概述。2013年1月，國際內部審計師協會（IIA）發布立場公告《有效風險管理和控制中的三道防線》，闡述了組織為進行有效風險管理與控制應建構的三道防線。三道防線模型包含業務運營管理部門、風險管理和控制部門、內部審計部門三個對風險管理承擔不同職責的團隊，分別承擔了風險承擔及管理職能、風險督導職能、獨立確認職能。公告中同時說明了三道防線與高階管理層、治理單位、外部稽核以及主管機關的關系。三道防線模型提供了一套簡易、有效的方式用于厘清組織重要的角色及其職責，以增進風險管理與控制的溝通。從國際上該模型的應用效果來看，該模型適用于任何規模或復雜度的機構，有助于提升風險管理與控制的準確度，并協助改善風險管理制度的效能[1]。“三道防線”模型見圖1。

圖1 “三道防線”模型

2.“三道防線”模型的角色分工。三道防線模型中，第一道防線對應的是運營管理部門，負責執行部門內部的各項控制制度并按照業務流程作業，確保部門各項活動有效且符合組織的總體目標，并承擔由此帶來的管理風險。第二道防線對應的是組織內部的風險管理與遵循控制部門。為協助和監督第一道防線的有效運行，組織內部各業務單元和層級設有不同的管理和遵循職能，它們負責協助運營管理部門建立各種風險控制策略，界定部門角色和責任，辨識風險及傳播提示，促進并監督運營管理部門實施有效的風險管理活動等，具體活動涉及財務控制、安全控制、信息安全、資產保全、質量控制、法務支持、合規性檢查、環境控制等。第三道防線對應的是內部稽核部門。承擔內部稽核工作的主要是內部審計部門，內部審計基于其獨立性和客觀性，針對前兩道防線進行檢查，向治理單位（審計委員會）提供組織機構治理、風險管理和內部控制過程的有效性的全面確認服務[2]。

在三道防線的外圍，組織最高治理單位負責設定組織目標，構建達成目標所需的組織架構和流程，并對目標完成提供有效的指引和支持。外部審計機構和主管機關位于三道防線之外，發揮更加獨立和客觀的監督作用，是對內部審計的有效補充[1]。

（二）ISO 31000風險管理指引

《風險管理標準》（ISO 31000）是全球首個真正的風險管理標準，標準指出組織的風險管理過程必須根據每個組織的大小、行業、文化和法律/監管環境因地制宜[3]。ISO 31000為組織提供了一套標準的風險管理流程，風險評估是流程的核心。它以識別可能影響達成目標的風險事件、每個事件的起源和誘因以及事件發生的潛在后果作為開始，接著分析每個風險事件發生的可能性和嚴重性。根據分析進行風險的評價和排序，并選擇適當的風險處置方式，從而降低或避免風險。ISO 31000的風險評估流程見圖2。

圖2 ISO 31000風險評估流程

二、高校后勤的管理現狀及存在的風險

（一）高校后勤管理現狀

高校后勤主要向在校師生提供校園管理以及餐飲、物業、水電、小型修繕、校園綠化、醫療衛生、校區交通等眾多運營保障服務。以某省屬A高校為例，近幾年校區建設發展迅速，校區面積不斷擴大，師生人數逐年增加，截至2017年底，學校共有分校區4個，校園土地面積達3000多畝，師生人數達40000余人，學校后勤服務面臨多校區運行、涉及面廣、任務繁重、業務復雜、經費總量大、牽涉部門眾多、人員性質復雜等特點。因此，后勤管理一直是高校內控治理的重點和難點，學校高度重視后勤保障工作，圍繞后勤保障工作的目標在學校層面和部門之間制定了一系列的管理內控措施和規章制度。

1.建立后勤工作協調機制。為滿足后勤工作需要，學校由一名副校長分管后勤保障工作，并且針對后勤工作成立了學校內部控制建設領導小組、招投標工作領導小組、學校綠化工作領導小組、學校安全生產領導小組、學生食堂工作領導小組、深化后勤改革領導小組等一系列非常設機構，負責在學校層面及部門之間相應的工作協調。

2.積極完善部門內控建設。根據后勤部門職責設立了綜合管理、校園管理、物業管理等相應的職能科室和下屬單位，并分配了各個業務部門的具體職責和權限，其中根據后勤管理和財務核算需要，設立運輸服務中心、飲食服務中心、修繕服務中心三個獨立核算的實體。各部門依據各自的規章制度合理分工、各司其職、互相協作，共同維護學校的后勤保障秩序。

3.防范招投標風險。為規范招投標工作，防范采購風險，學校成立了招投標管理辦公室，統籌管理學校的招投標工作。對達到學校招投標限額的采購招標項目，嚴格按照國家及學校的各項招投標管理辦法進行公開招標，杜絕暗箱操作等違規行為，確保招標工作的公開、公平、公正。

4.規范經費使用，防范財務風險。后勤部門除下屬獨立核算單位之外的各項經費每年由學校預算下撥，并納入學校財務處統一管理、核算。各項經費使用設置了部門內部的審批流程和控制權限。下設的獨立核算單位由學校財務處委派會計負責，經費的使用和管理均嚴格執行學校財務規章制度。

5.充分發揮內部審計監督作用。后勤管理涉及的業務比較復雜，風險薄弱點較多，一直是學校內部審計關注的重點。內部審計通過修繕結算工程審計、招投標監督、各類經濟合同的審核、領導干部經濟責任審計、專項資金審計等各種審計方式，對后勤工作進行監督和檢查，并提出合理化建議。

（二）高校后勤風險管理風險識別與分析

近年來，高校后勤發展的內外部環境面臨著巨大變化。一方面，隨著高等教育改革的深入，加強高校內部控制建設，完善大學治理結構，防范高校治理風險成為高校發展過程中十分重要和迫切的任務。2015年《財政部關于全面推進行政事業單位內部控制建設的指導意見》、2016年《教育部直屬高校經濟活動內部控制指南（試行）》，為推動各高等學校進一步完善內部控制、提高內部管理水平提出了具體明確的要求。另一方面，隨著高校發展規模的壯大，后勤社會化改革的逐步深入，后勤部門財務關系日趨復雜，學校亟須內部審計部門對后勤部門的內控管理情況、預算經費使用情況、下屬單位的財務收支和經營管理情況進行全面的監督，充分識別后勤管理中的各項管理風險，為學校管理層的決策提供依據。

1.風險來源分析。通過梳理近三年來學校后勤部門的內外部審計報告，以及紀委監察等部門收到的各類投訴舉報材料等，A高校內部審計部門借鑒了ISO 31000的風險分析管理框架，即“風險識別—風險分析—風險評價—風險處置”的方法，對審計中發現的問題進行了分析。結合所涉具體問題的性質以及后勤工作的實際情況，將內部審計部門發現的風險來源總結如下：目標考核要求、內控制度缺失、部門協同及業務流程設計不合理、內部控制缺失、履行職責不力、個人業務水平低下以及個人造假行為等。

在分析風險來源的基礎上，審計人員根據學校風險管理現狀確定了相應的內部控制風險薄弱點，包括目標設定、預算控制、制度建設、招標管理、資產保管等環節。內部控制風險薄弱點的分析結果顯示，后勤管理中的風險來源于學校、部門以及個人等多個方面，涉及學校財務、基建、招標管理、資產等多個重要業務管理部門，呈現出復雜化、多樣性、部門職責交叉性強的特點。具體見表1。

表1 風險來源及風險薄弱點分析

通過對風險來源和內部控制風險點的掌握，學校的高級管理層和相關職能部門可以準確地把握后勤管理中的各種風險，從而針對內部控制中的薄弱環節進行改進，制定各種措施消除和降低風險，指導內部政策和程序的建立與施行，確保各項作業符合內控目標。

2.風險結果梳理。在對問題來源和風險薄弱點進行梳理后，內部審計部門對問題可能導致的結果進行分析、歸類，匯總出控制失效、舞弊和腐敗、資產流失、財務信息失真、質量缺陷、安全風險等幾個方面的問題，并對引發風險結果的問題進行了數據整理，具體內容見表2。

表2 風險結果梳理

3.風險評估。風險評估就是在風險識別的基礎上，對問題導致的潛在不利后果及其嚴重性進行量化分析，這樣管理層可以更加全面、清晰地了解部門風險。評估依據主要是審計中發現并識別的各種問題。風險評估結果的比重分配見表2。評估結果顯示，后勤管理中容易導致舞弊、腐敗的風險最多，屬于高危風險點；資產流失及控制失效的問題也是后勤管理中的高風險點；引起財務報表失真、質量及安全風險的問題也應當引起管理層的較多關注。

三、“三道防線”模型在后勤風險管理中的作用

通過對A校后勤管理風險來源、風險結果等方面進行評估，可以看出A校后勤管理的風險薄弱點存在于三個層面：部門營運管理的內部控制、制度建設、崗位設置、目標設定層面；學校的財務控制、質量控制、預算管理、資產控制監督檢查層面；內部審計的審計監督、評價層面。

針對后勤管理的具體問題，結合學校內部控制設計的具體情況，在部門內部、部門與部門之間以及學校層面分別采取相應的管理控制措施，構建風險辨識、評估、控制及降低或消除的策略，提高后勤營運管理的整體水平。

（一）應用“三道防線”模型解決目標及預算控制失效問題

以后勤部門預算經費結余較大、指標調節現象較多為例，審計發現后勤部門近三年來開展的綠化、維修、保養、防水、出新等專項工程多達十項，有些項目甚至立項2～3年經費仍未使用，經費結余較多；還有部分綠化、維修、保養項目之間相互挪用現象較為嚴重，這些問題嚴重損害了預算管理的剛性，使得學校的預算控制失效，經費閑置。

通過對該問題的風險識別發現，問題產生的原因主要在于預算編制不合理、部門目標設定出現偏差。部門預算編制是采用先自下而上再自上而下的模型。審查發現，后勤的一線營運管理部門由于服務經營的局部無序性，造成年度部門目標任務與學校實際情況存在一定的偏差，部門預算的編報存在隨意性，只為先把經費申請下來，在預算執行中未嚴格按照預算管理方案執行。在預算風險管理和控制中，作為學校預算委員會的直接隸屬部門的財務部門在預算審核中未綜合考慮學校實際情況和后勤組織的往年經費結余情況；在預算執行中缺少必要的剛性，預算調整機制不健全；在預算考核中缺乏對于預算執行的考核評價機制。在內部審計監督方面，盡管上級部門每年安排預決算審計，但在學校層面對預算管理的重視程度不夠，開展的相關審計監督較少，對上級要求的審計整改也缺乏主動性和積極性，造成預算管理問題屢查屢犯、整改不力。

應用“三道防線”理論，針對內部控制薄弱點提高營運管理部門的風險辨識能力，強化基礎預算編報工作；在學校風險管理和控制部門，加強對預算工作的審核、監督和評價；在審計監督方面，加大對學校預算執行的審計力度，將預決算審計納入年度審計工作計劃中，可以有效地防范預算控制風險，形成風險防范整改的閉環效果[4]，具體見圖3。

圖3 應用“三道防線”模型解決目標及預算控制失效

（二）應用“三道防線”理論解決材料采購和修繕工程存在指定現象的問題

審計發現，后勤部門近三年的材料采購和維修項目中存在個別預算在20萬元以上的項目未能上報學校統一招標，20萬元以下的項目存在指定供應商和施工單位的現象。這些問題使得部分后勤采購和修繕管理項目存在采購無序、工程管理缺失、材料品質和工程質量無法保證的現象，存在極大的管理和安全風險。

通過風險識別發現，主要問題在于制度的缺失和執行不力。招投標前，為防范招投標風險、規范招標工作，學校制定了招投標管理制度，規定20萬元以上的招標工作由學校招標管理部門統一負責，限額以下的采購業務由業務部門根據各自實際情況自行制定相應的規章制度，并遵照執行。在實際執行過程中，由于學校對于20萬元以下的項目無明確規定，實際工作中后勤部門只是要求各業務單元在不違反國家規定情況下自行安排，存在制度缺陷。在學校二級風險管理和控制中，作為學校招投標工作的牽頭部門的招標辦雖然將20萬元以下的采購工作下放，但未對各部門自行招標工作提供指導意見和規范，未對各部門制定的實施細則提出硬性約束，缺少必要的風險管理和提示，學校招標工作領導小組對各部門的具體采購工作也缺乏管理和監督。由于缺乏相應的規章制度，學校風險管理部門對于自行招標的合規性、采購的材料、工程質量都無法進行有效監督和檢查。由于審計力量的限制以及風險管理的重要性原則，內部審計部門在工作中也將審計重點偏向于學校層面的招投標工作，未建立對限額以下招投標工作的抽查監督機制，學校的整體招投標管理工作存在漏洞。

應用“三道防線”理論，針對內部控制薄弱點提升營運管理部門的風險辨識能力，強化后勤部門規章制度的建設和執行工作；在學校風險管理和控制方面，風險管理部門應指導各部門制定符合部門實際和國家制度的招標管理細則，加強對日常招投標工作的風險管理，通過實施質量監督、合規性檢查確保招投標工作的有序開展；在審計監督方面，加大對學校審計力量的資源投入，開展招投標管理工作的全覆蓋審計，確保風險防范的無死角。具體見圖4。

圖4 應用“三道防線”模型解決材料采購和工程存在的問題

四、“三道防線”模型應用的保障措施

（一）建立適應高校管理的風險文化

風險文化是指圍繞學校教學、科研和學科發展等目標，通過風險防范和管理活動，培養師生員工的風險意識，形成適應學校發展要求并得到師生員工一致認可的風險理念、風險價值觀和風險防范制度。良好的風險意識對學校風險管理的各道防線職能的發揮起著基礎性保障作用。

（二）強化對第一道防線的績效考核

學校各運營管理部門負責在業務過程中合規、有效地執行各項內外部控制措施，其既是各項業務活動的風險承擔者，也是風險管理的直接責任者。因此通過設定合理的工作任務目標，建立客觀、公正、有效的績效考核激勵機制，有利于各運營管理部門正確了解其負有的管理職責，強化主體責任意識，落實各自領域的風險措施。

（三）加大對第二道防線的組織領導和資源投入

后勤管理的風險類型呈現多樣性、綜合性和復雜性的特點，給風險管理帶來了較大的難度。因此必須加強對第二道防線的組織領導，協調各業務單元的風險控制，建立對風險的全面、集中、獨立和專業管理機制；同時加大資源投入，充分利用現代信息管理工具，不斷提高監督管理水平。有條件的學校還應建立學校層面的風險管理委員會，建立由首席風險官垂直領導的風險管理體系。

（四）加大內部審計力量的投入，拓展審計模型和審計覆蓋面

內部審計作為內部稽核部門，受學校最高管理層的直接領導，專業性強，具備較強的獨立性和執行力。因此一方面必須重視對內部審計力量的投入，建立并維持一個獨立、配備合理數量的專業審計人員的內部審計機構，明確其職責范圍；在建立完善的審計組織基礎上，應建立多樣化的審計模型，實現審計監督全覆蓋，充分發揮內部審計在學校綜合治理和內部控制中的作用。

（五）重視三道防線之間的協調

IIA的立場公告《有效風險管理和控制中的三道防線》指出，“風險管理和控制的相關責任方一定要相互協作，確保風險和控制程序的有效運行”。鑒于學校的機構規模和風險控制的復雜程度，必須清楚界定學校各職能部門的職責和權限，使之與學校風險控制的整體架構相適應，并制定有效、連貫、協調的工作方法，提高內部控制和風險管理過程的效率和效果。