“三道防线”模型在高校后勤风险管理中的应用

金俊荣

一、“三道防线”模型和ISO 31000风险管理指引

（一）“三道防线”模型

1.“三道防线”模型概述。2013年1月，国际内部审计师协会（IIA）发布立场公告《有效风险管理和控制中的三道防线》，阐述了组织为进行有效风险管理与控制应建构的三道防线。三道防线模型包含业务运营管理部门、风险管理和控制部门、内部审计部门三个对风险管理承担不同职责的团队，分别承担了风险承担及管理职能、风险督导职能、独立确认职能。公告中同时说明了三道防线与高阶管理层、治理单位、外部稽核以及主管机关的关系。三道防线模型提供了一套简易、有效的方式用于厘清组织重要的角色及其职责，以增进风险管理与控制的沟通。从国际上该模型的应用效果来看，该模型适用于任何规模或复杂度的机构，有助于提升风险管理与控制的准确度，并协助改善风险管理制度的效能[1]。“三道防线”模型见图1。

图1 “三道防线”模型

2.“三道防线”模型的角色分工。三道防线模型中，第一道防线对应的是运营管理部门，负责执行部门内部的各项控制制度并按照业务流程作业，确保部门各项活动有效且符合组织的总体目标，并承担由此带来的管理风险。第二道防线对应的是组织内部的风险管理与遵循控制部门。为协助和监督第一道防线的有效运行，组织内部各业务单元和层级设有不同的管理和遵循职能，它们负责协助运营管理部门建立各种风险控制策略，界定部门角色和责任，辨识风险及传播提示，促进并监督运营管理部门实施有效的风险管理活动等，具体活动涉及财务控制、安全控制、信息安全、资产保全、质量控制、法务支持、合规性检查、环境控制等。第三道防线对应的是内部稽核部门。承担内部稽核工作的主要是内部审计部门，内部审计基于其独立性和客观性，针对前两道防线进行检查，向治理单位（审计委员会）提供组织机构治理、风险管理和内部控制过程的有效性的全面确认服务[2]。

在三道防线的外围，组织最高治理单位负责设定组织目标，构建达成目标所需的组织架构和流程，并对目标完成提供有效的指引和支持。外部审计机构和主管机关位于三道防线之外，发挥更加独立和客观的监督作用，是对内部审计的有效补充[1]。

（二）ISO 31000风险管理指引

《风险管理标准》（ISO 31000）是全球首个真正的风险管理标准，标准指出组织的风险管理过程必须根据每个组织的大小、行业、文化和法律/监管环境因地制宜[3]。ISO 31000为组织提供了一套标准的风险管理流程，风险评估是流程的核心。它以识别可能影响达成目标的风险事件、每个事件的起源和诱因以及事件发生的潜在后果作为开始，接着分析每个风险事件发生的可能性和严重性。根据分析进行风险的评价和排序，并选择适当的风险处置方式，从而降低或避免风险。ISO 31000的风险评估流程见图2。

图2 ISO 31000风险评估流程

二、高校后勤的管理现状及存在的风险

（一）高校后勤管理现状

高校后勤主要向在校师生提供校园管理以及餐饮、物业、水电、小型修缮、校园绿化、医疗卫生、校区交通等众多运营保障服务。以某省属A高校为例，近几年校区建设发展迅速，校区面积不断扩大，师生人数逐年增加，截至2017年底，学校共有分校区4个，校园土地面积达3000多亩，师生人数达40000余人，学校后勤服务面临多校区运行、涉及面广、任务繁重、业务复杂、经费总量大、牵涉部门众多、人员性质复杂等特点。因此，后勤管理一直是高校内控治理的重点和难点，学校高度重视后勤保障工作，围绕后勤保障工作的目标在学校层面和部门之间制定了一系列的管理内控措施和规章制度。

1.建立后勤工作协调机制。为满足后勤工作需要，学校由一名副校长分管后勤保障工作，并且针对后勤工作成立了学校内部控制建设领导小组、招投标工作领导小组、学校绿化工作领导小组、学校安全生产领导小组、学生食堂工作领导小组、深化后勤改革领导小组等一系列非常设机构，负责在学校层面及部门之间相应的工作协调。

2.积极完善部门内控建设。根据后勤部门职责设立了综合管理、校园管理、物业管理等相应的职能科室和下属单位，并分配了各个业务部门的具体职责和权限，其中根据后勤管理和财务核算需要，设立运输服务中心、饮食服务中心、修缮服务中心三个独立核算的实体。各部门依据各自的规章制度合理分工、各司其职、互相协作，共同维护学校的后勤保障秩序。

3.防范招投标风险。为规范招投标工作，防范采购风险，学校成立了招投标管理办公室，统筹管理学校的招投标工作。对达到学校招投标限额的采购招标项目，严格按照国家及学校的各项招投标管理办法进行公开招标，杜绝暗箱操作等违规行为，确保招标工作的公开、公平、公正。

4.规范经费使用，防范财务风险。后勤部门除下属独立核算单位之外的各项经费每年由学校预算下拨，并纳入学校财务处统一管理、核算。各项经费使用设置了部门内部的审批流程和控制权限。下设的独立核算单位由学校财务处委派会计负责，经费的使用和管理均严格执行学校财务规章制度。

5.充分发挥内部审计监督作用。后勤管理涉及的业务比较复杂，风险薄弱点较多，一直是学校内部审计关注的重点。内部审计通过修缮结算工程审计、招投标监督、各类经济合同的审核、领导干部经济责任审计、专项资金审计等各种审计方式，对后勤工作进行监督和检查，并提出合理化建议。

（二）高校后勤风险管理风险识别与分析

近年来，高校后勤发展的内外部环境面临着巨大变化。一方面，随着高等教育改革的深入，加强高校内部控制建设，完善大学治理结构，防范高校治理风险成为高校发展过程中十分重要和迫切的任务。2015年《财政部关于全面推进行政事业单位内部控制建设的指导意见》、2016年《教育部直属高校经济活动内部控制指南（试行）》，为推动各高等学校进一步完善内部控制、提高内部管理水平提出了具体明确的要求。另一方面，随着高校发展规模的壮大，后勤社会化改革的逐步深入，后勤部门财务关系日趋复杂，学校亟须内部审计部门对后勤部门的内控管理情况、预算经费使用情况、下属单位的财务收支和经营管理情况进行全面的监督，充分识别后勤管理中的各项管理风险，为学校管理层的决策提供依据。

1.风险来源分析。通过梳理近三年来学校后勤部门的内外部审计报告，以及纪委监察等部门收到的各类投诉举报材料等，A高校内部审计部门借鉴了ISO 31000的风险分析管理框架，即“风险识别—风险分析—风险评价—风险处置”的方法，对审计中发现的问题进行了分析。结合所涉具体问题的性质以及后勤工作的实际情况，将内部审计部门发现的风险来源总结如下：目标考核要求、内控制度缺失、部门协同及业务流程设计不合理、内部控制缺失、履行职责不力、个人业务水平低下以及个人造假行为等。

在分析风险来源的基础上，审计人员根据学校风险管理现状确定了相应的内部控制风险薄弱点，包括目标设定、预算控制、制度建设、招标管理、资产保管等环节。内部控制风险薄弱点的分析结果显示，后勤管理中的风险来源于学校、部门以及个人等多个方面，涉及学校财务、基建、招标管理、资产等多个重要业务管理部门，呈现出复杂化、多样性、部门职责交叉性强的特点。具体见表1。

表1 风险来源及风险薄弱点分析

通过对风险来源和内部控制风险点的掌握，学校的高级管理层和相关职能部门可以准确地把握后勤管理中的各种风险，从而针对内部控制中的薄弱环节进行改进，制定各种措施消除和降低风险，指导内部政策和程序的建立与施行，确保各项作业符合内控目标。

2.风险结果梳理。在对问题来源和风险薄弱点进行梳理后，内部审计部门对问题可能导致的结果进行分析、归类，汇总出控制失效、舞弊和腐败、资产流失、财务信息失真、质量缺陷、安全风险等几个方面的问题，并对引发风险结果的问题进行了数据整理，具体内容见表2。

表2 风险结果梳理

3.风险评估。风险评估就是在风险识别的基础上，对问题导致的潜在不利后果及其严重性进行量化分析，这样管理层可以更加全面、清晰地了解部门风险。评估依据主要是审计中发现并识别的各种问题。风险评估结果的比重分配见表2。评估结果显示，后勤管理中容易导致舞弊、腐败的风险最多，属于高危风险点；资产流失及控制失效的问题也是后勤管理中的高风险点；引起财务报表失真、质量及安全风险的问题也应当引起管理层的较多关注。

三、“三道防线”模型在后勤风险管理中的作用

通过对A校后勤管理风险来源、风险结果等方面进行评估，可以看出A校后勤管理的风险薄弱点存在于三个层面：部门营运管理的内部控制、制度建设、岗位设置、目标设定层面；学校的财务控制、质量控制、预算管理、资产控制监督检查层面；内部审计的审计监督、评价层面。

针对后勤管理的具体问题，结合学校内部控制设计的具体情况，在部门内部、部门与部门之间以及学校层面分别采取相应的管理控制措施，构建风险辨识、评估、控制及降低或消除的策略，提高后勤营运管理的整体水平。

（一）应用“三道防线”模型解决目标及预算控制失效问题

以后勤部门预算经费结余较大、指标调节现象较多为例，审计发现后勤部门近三年来开展的绿化、维修、保养、防水、出新等专项工程多达十项，有些项目甚至立项2～3年经费仍未使用，经费结余较多；还有部分绿化、维修、保养项目之间相互挪用现象较为严重，这些问题严重损害了预算管理的刚性，使得学校的预算控制失效，经费闲置。

通过对该问题的风险识别发现，问题产生的原因主要在于预算编制不合理、部门目标设定出现偏差。部门预算编制是采用先自下而上再自上而下的模型。审查发现，后勤的一线营运管理部门由于服务经营的局部无序性，造成年度部门目标任务与学校实际情况存在一定的偏差，部门预算的编报存在随意性，只为先把经费申请下来，在预算执行中未严格按照预算管理方案执行。在预算风险管理和控制中，作为学校预算委员会的直接隶属部门的财务部门在预算审核中未综合考虑学校实际情况和后勤组织的往年经费结余情况；在预算执行中缺少必要的刚性，预算调整机制不健全；在预算考核中缺乏对于预算执行的考核评价机制。在内部审计监督方面，尽管上级部门每年安排预决算审计，但在学校层面对预算管理的重视程度不够，开展的相关审计监督较少，对上级要求的审计整改也缺乏主动性和积极性，造成预算管理问题屡查屡犯、整改不力。

应用“三道防线”理论，针对内部控制薄弱点提高营运管理部门的风险辨识能力，强化基础预算编报工作；在学校风险管理和控制部门，加强对预算工作的审核、监督和评价；在审计监督方面，加大对学校预算执行的审计力度，将预决算审计纳入年度审计工作计划中，可以有效地防范预算控制风险，形成风险防范整改的闭环效果[4]，具体见图3。

图3 应用“三道防线”模型解决目标及预算控制失效

（二）应用“三道防线”理论解决材料采购和修缮工程存在指定现象的问题

审计发现，后勤部门近三年的材料采购和维修项目中存在个别预算在20万元以上的项目未能上报学校统一招标，20万元以下的项目存在指定供应商和施工单位的现象。这些问题使得部分后勤采购和修缮管理项目存在采购无序、工程管理缺失、材料品质和工程质量无法保证的现象，存在极大的管理和安全风险。

通过风险识别发现，主要问题在于制度的缺失和执行不力。招投标前，为防范招投标风险、规范招标工作，学校制定了招投标管理制度，规定20万元以上的招标工作由学校招标管理部门统一负责，限额以下的采购业务由业务部门根据各自实际情况自行制定相应的规章制度，并遵照执行。在实际执行过程中，由于学校对于20万元以下的项目无明确规定，实际工作中后勤部门只是要求各业务单元在不违反国家规定情况下自行安排，存在制度缺陷。在学校二级风险管理和控制中，作为学校招投标工作的牵头部门的招标办虽然将20万元以下的采购工作下放，但未对各部门自行招标工作提供指导意见和规范，未对各部门制定的实施细则提出硬性约束，缺少必要的风险管理和提示，学校招标工作领导小组对各部门的具体采购工作也缺乏管理和监督。由于缺乏相应的规章制度，学校风险管理部门对于自行招标的合规性、采购的材料、工程质量都无法进行有效监督和检查。由于审计力量的限制以及风险管理的重要性原则，内部审计部门在工作中也将审计重点偏向于学校层面的招投标工作，未建立对限额以下招投标工作的抽查监督机制，学校的整体招投标管理工作存在漏洞。

应用“三道防线”理论，针对内部控制薄弱点提升营运管理部门的风险辨识能力，强化后勤部门规章制度的建设和执行工作；在学校风险管理和控制方面，风险管理部门应指导各部门制定符合部门实际和国家制度的招标管理细则，加强对日常招投标工作的风险管理，通过实施质量监督、合规性检查确保招投标工作的有序开展；在审计监督方面，加大对学校审计力量的资源投入，开展招投标管理工作的全覆盖审计，确保风险防范的无死角。具体见图4。

图4 应用“三道防线”模型解决材料采购和工程存在的问题

四、“三道防线”模型应用的保障措施

（一）建立适应高校管理的风险文化

风险文化是指围绕学校教学、科研和学科发展等目标，通过风险防范和管理活动，培养师生员工的风险意识，形成适应学校发展要求并得到师生员工一致认可的风险理念、风险价值观和风险防范制度。良好的风险意识对学校风险管理的各道防线职能的发挥起着基础性保障作用。

（二）强化对第一道防线的绩效考核

学校各运营管理部门负责在业务过程中合规、有效地执行各项内外部控制措施，其既是各项业务活动的风险承担者，也是风险管理的直接责任者。因此通过设定合理的工作任务目标，建立客观、公正、有效的绩效考核激励机制，有利于各运营管理部门正确了解其负有的管理职责，强化主体责任意识，落实各自领域的风险措施。

（三）加大对第二道防线的组织领导和资源投入

后勤管理的风险类型呈现多样性、综合性和复杂性的特点，给风险管理带来了较大的难度。因此必须加强对第二道防线的组织领导，协调各业务单元的风险控制，建立对风险的全面、集中、独立和专业管理机制；同时加大资源投入，充分利用现代信息管理工具，不断提高监督管理水平。有条件的学校还应建立学校层面的风险管理委员会，建立由首席风险官垂直领导的风险管理体系。

（四）加大内部审计力量的投入，拓展审计模型和审计覆盖面

内部审计作为内部稽核部门，受学校最高管理层的直接领导，专业性强，具备较强的独立性和执行力。因此一方面必须重视对内部审计力量的投入，建立并维持一个独立、配备合理数量的专业审计人员的内部审计机构，明确其职责范围；在建立完善的审计组织基础上，应建立多样化的审计模型，实现审计监督全覆盖，充分发挥内部审计在学校综合治理和内部控制中的作用。

（五）重视三道防线之间的协调

IIA的立场公告《有效风险管理和控制中的三道防线》指出，“风险管理和控制的相关责任方一定要相互协作，确保风险和控制程序的有效运行”。鉴于学校的机构规模和风险控制的复杂程度，必须清楚界定学校各职能部门的职责和权限，使之与学校风险控制的整体架构相适应，并制定有效、连贯、协调的工作方法，提高内部控制和风险管理过程的效率和效果。