出版企業內部控制體系的一些缺陷及審計應對

李 瑤

出版行業因其屬于意識形態單位、宣傳文化單位而獨具特點，國有背景的出版企業，尤其是歷史悠久的出版社占據了該行業的主流。基于這種背景，出版企業雖然已經由事業單位轉企業多年，但實際上市場化程度并不高，在內部控制體系的建設方面更是如此。有些出版企業簡單地理解內部控制就是嚴格管控，制定了厚重的管理制度匯編，但制度與制度之間并無銜接和交互，也未將各項制度嵌入控制流程，即未形成管理制度化、制度流程化、流程信息化的內部控制體系的基本鏈條和模式。而在未考慮內部控制體系整體架構情況下的內部控制建設活動，更是屬于“頭痛醫頭、腳痛醫腳”的管理方法。那么在這種情況下，承接出版企業的審計業務是否會因其控制風險而增加審計風險？而審計又該如何應對？本文擬從某國有出版企業集團（以下簡稱S集團）內部控制存在的一些問題入手，分析其內部控制體系的現狀及影響，并針對可能形成的審計風險提出審計應對建議。

一、內部控制體系存在的問題及影響

S集團擁有多家所屬單位，其中很多企業是原有事業單位改制形成，因此在企業治理和經營管理中也延續了原有事業單位管理的思維方式和行為習慣，管理模式行政化、經營目標攤派化、資源配置指令化、職責履行被動化等。而這些與《企業內部控制基本規范》、《企業內部控制應用指引》中所規定的現代企業治理相差甚遠。

（一）內部控制活動的目的和意義尚待明確

S集團及各所屬單位把內部控制簡單理解為人的管理和行為的控制，更強調單線條、垂直化，而不是系統的多維度和相輔相成。如人的管理方面，更強調人員的編制和歸屬感、自覺性和情懷。

誠然，內部控制強調誠信和道德，但這是基于管理層釋放的企業價值觀，是要求所有利益相關者承諾并遵循的企業行為準則，而不是維持人們共同生活所需要的社會意識形態。以這樣的“道德”作為內部控制的基礎，更容易造成“止乎禮、不犯上、從于情”的內部控制“失控”。

在行為的控制方面，S集團對某些事項和行為采取了逐級管理控制的方式，更強調上級領導的指令和下級員工的服從，而不是根據崗位職責和相關管理制度確定各崗位、各職級的決策和執行的適用范圍及權限。這在內部控制的執行中很容易造成不作為、不敢為或者超越權限、濫用權限。

（二）公司治理結構不符合內部控制目標

S集團將公司董事會（決策層）和經理層（執行層）合二為一，未從組織架構、職責權限、議事規則和工作程序等方面的設定中形成決策、執行和監督三權分離、相互形成制衡的狀態，執行中亦然。在董事會和經理層高度重合的模式下，雖然在一定程度上降低了管理成本，也將決策與執行的矛盾暫時掩蓋在“高效、和諧”的表象之下，但同時二者之間的協作和制衡作用也沒有得到充分的發揮。

如果董事會是決策者和資源的控制者，同時也是決策的執行者，董事會很可能會在具體執行中有權隨時更改決策以適應執行中的困難，甚至為權力尋租和利益輸送打開方便之門，而不是通過約束和激勵經理層來激發其經營管理的潛能。

（三）未建立風險評估機制

S集團及各所屬單位均未根據設定的控制目標，全面系統持續地收集相關信息，并結合實際情況及時進行風險評估。包括：未建立風險評估機制、未設定覆蓋各個運營部門的風險識別機制、未明確列示風險清單、未明確不同風險的應對措施、未進行財務報告的舞弊風險分析、未進行某一市場或權力機構誘發舞弊行為的因素分析、未設立防止管理層越權及信息系統控制措施。

在眾多的經營風險和財務風險中，沒有一系列清晰的風險控制目標，無法幫助企業明確內部控制重點，很難確保充足的資源分配至關鍵風險點。這種情況下可能出現資源的錯配，從而降低工作效率或提高控制成本；也可能當風險控制目標與事先設定的風險容忍度關聯性不高時，導致忽略了本該重視的風險。

另外，在風險評估機制中，不同崗位或不同層次的員工會從不同的角度看待同樣的風險，那么在風險評估機制的執行中如果按照現有的工作匯報制的方式，采取從下而上的風險識別程序，則可能存在識別出的風險對于企業整體影響程度的評估結果出現偏差。

（四）部分經濟活動未能有效控制

S集團及各所屬單位的控制活動缺陷歸根到底是頂層設計不夠系統造成的，控制活動設計的系統性缺陷導致部分內部控制活動的執行無從依據，執行起來自然是五花八門、各有方式。

1.長期規劃未能分解至短期計劃。S集團及各所屬單位均編制了內容全面的長期規劃，明確寫明了總體目標、發展戰略、經營規劃等長期規劃，內容也涵蓋了品牌拓展、主業發展、經營目標設定、人力資源整體規劃、信息系統建設、財務指標預期等長期目標。但各單位的戰略規劃均未明確發展的階段性和發展程度，確定每個發展階段的具體目標、工作任務和實施路徑，使長期規劃未能落實于具體計劃中得以有效實施、總結和考核。

2.制度建設不完善，亦未嵌入控制流程。S集團各所屬單位在制度建設方面普遍存在以下問題：（1）所屬單位以S集團的相關制度為藍本編寫自身制度和內控手冊，但未充分考慮自身作為經營單位與作為持股平臺的股份公司具有本質的區別，而其相應的制度并無對其經營業態和資產管理需求的側重；（2）制度更新不及時、不完善，出現了同一個制度前后口徑不一致或與現行法規相悖的情況；（3）制度建設與內部控制流程分離，無法起到流程控制與控制標準的有效結合。

3.合同管理多部門負責且未形成閉環。S集團各所屬單位均采用手工管理合同及登記臺賬的方式，由于涉及的部門眾多，需要管理的合同要素也各不相同，因此造成合同形式多樣、信息不集中、實時性較低、重復審核、分散存儲、歸檔不及時、檔案資料不完整、對合同執行缺乏有效監督等情況，合同業務流程不順暢，合同管理亦未形成閉環。

4.信息化建設系統性不足、數據信息安全堪憂。

S集團各所屬單位信息化建設情況各異。（1）應用軟件不同，包含了ERP、OA、云因等十余種軟件系統，有訂制化產品、也有標準化產品；（2）功能模塊不同，有些覆蓋了編印發財流程、有些僅包括各種審批流程、有些信息系統僅供倉儲部門統計存貨進銷存；（3）數據存儲情況不同，有的單位采取了云端存儲、有的單位存儲于服務器、還有的單位存儲于軟件公司、有的單位采取了系統自動備份數據的模式，每7天自動備份一次，但服務器上只有最近7天的數據備份資料，循環更新，自動覆蓋舊文件；（4）系統維護狀況不同，有些單位僅在出現問題時要求軟件公司派人維修、有些單位因軟件系統每天出現異常而要求軟件公司的工程師駐場；（5）信息化應用水平不同，絕大部分單位使用了信息平臺系統，但仍有一些單位仍依據人工傳票形式進行各種業務流程和審批流程；（6）數據安全性問題，大部分單位未實現數據信息的雙備份和異地存儲，數據的安全性存在重大隱患。

（五）未建立信息與溝通機制

S集團及各所屬單位的人員普遍并不清楚什么是實現企業內部控制目標所需要的信息，信息的供給、分享和獲取是如何通過溝通來實現的，信息與溝通機制是如何在實現內部控制目標中發揮作用的。甚至認為信息與溝通機制就是申請的審批簽報過程、文件制度或指令的傳達過程。S集團亦未設立相關責任部門承擔此項職責，各級之間的溝通更是沿襲了長久以來的“指令-執行-匯報”的單線條方式，員工對自己的工作內容清晰掌握，而對于相關信息的獲取和分享渠道并無了解，甚至刻意回避。

在新興經濟模式和新技術不斷涌現的今日，信息和數據資源屬于有價資產已經得到了廣泛認可，雖然估值方式各說紛紜，但相關制度對信息和數據資源的獲取和掌握情況顯然并未達到內部控制目標所要求的程度。

有效的信息對于建立有效的內部控制系統起著至關重要的作用，任何不準確或不完整的數據和信息都會對判斷、估計和其他管理決策形成誤導，進而導致失誤。內部溝通起著信息在企業內部上傳下達的作用，而外部溝通也在促進著企業對數據和信息的獲取。信息與溝通是相輔相成、循環互動的動態過程，如果這個動態過程得不到動力甚至受到阻礙，則企業內部控制很難在數據和信息的支撐下達到控制和促進完善的目的，進而造成錯失市場信息、偏離監管環境、商業信譽受損、信息不對稱導致的內耗等。

（六）相關內部監督力量薄弱

S集團及各所屬單位內部監督有多種形式，如：紀檢部門、審計部門、監事、上級單位的業務主管部門、工會組織和職工代表等。這些監督形式各有法規依據、各有責任機構、各有監督對象、各有工作目標、各有手段方式、各有結論標準，但大部分并不相互交融、信息也不互通，形成了內部監督的信息孤島，而不是形成多維度的監督體系。

承擔內部控制建設和監督相關職責的內審人員隸屬關系呈現多樣性，如：審計專員有的隸屬于內審部、有的隸屬于法務部、有的隸屬于財務部、有些審計崗位人員同時兼任本級或下屬公司會計、還有些內審專員由行政文書擔任。由于內審人員的隸屬關系及監督等級的末位，決定了內部審計的有限效能。由此，內審工作內容大多定位在為財務核算“查缺補漏”、更關注形式上的細節，而非相關內部控制的設計合理和執行有效。

企業的內部控制流程也會出現過時、失效、運行不力的種種情況，甚至無法支撐內部控制目標，企業的內部控制系統需要不斷調整以適應外部環境和內部控制環境的變化。沒有持續監督與個別評價相結合的全方位內部監控活動，就無法暴露出內部控制中存在的缺陷，不利于發現企業運行與控制中的潛在問題。

二、可能形成的審計風險及應對建議

出版企業由于上述內部控制設計缺陷的存在，當管理層面臨巨大的業績、政績、經營指標、財務指標壓力時，產生系統性舞弊的動機能夠很容易得到實施。具體體現為財務報表錯報、數據信息不完整或不對稱、資產潛虧等。存在重大缺陷的內部控制系統對于防范職務侵占、商業賄賂、資產非正常流失等行為亦起不到應有的控制作用。

根據注冊會計師審計準則，注冊會計師了解被審計單位及其環境（包括內部控制）的目標是識別和評估財務報表層次和認定層次的重大錯報風險，從而采取應對措施，以期降低審計風險。

（一）按照審計準則的規定執行相關審計程序

現行審計準則對“了解與審計相關的內部控制”有明確的規定，采取的程序包括詢問、訪談、分析、觀察和檢查等。針對出版企業內部控制體系中涉及的控制環境、風險評估、與財務報告相關的信息系統及業務流程等，評估其內部控制體系中存在的缺陷對審計的影響，并按照審計準則的明確規定執行并記錄于工作底稿，這樣審計工作和實施的程序有章可循、有跡可查。

（二）測試信息系統，匹配不同來源的數據

當審計對象的內部控制體系存在缺陷、信息化建設系統性不足時，舞弊風險和財務錯報的風險便會增加。為了將審計風險降低至可接受水平，測試審計對象的信息系統、并按照業務流程的邏輯關系匹配不同信息系統、不同業務流程環節、不同來源的數據，將有助于發現系統性舞弊和財務錯報情況。

如：圖書出版歷經申報選題、論證會、出版局審核、簽訂出版合同、編輯、校對、設計、申請書號、印刷、倉儲、獲取訂單、發貨、核算、收款等業務環節。上述環節分別由編輯部、總編室、校對中心、發行部、排版商、印廠、倉儲部、業務部、財務部等不同部門和崗位負責，除了財務核算從預估成本定價開始貫穿始終外，其他的環節都是具有業務流程的前后銜接關系，從不同來源獲取的數據相互印證時，可以有效降低檢查風險。但需要關注的是，根據出版行業價低量大、品類豐富、時間跨度較大的業務性質，以及出版企業內部控制和信息數據系統的現狀，數據直接匹配的難度很大，需要提高計算機技術的使用效能并分配適當的審計人員加以應用實施。

（三）結合業務流程的邏輯關系實施分析程序

出版企業的業務流程相對其他行業來說并不復雜，根據其出版業務的成本構成、定價模式、工藝流程、實物與價值的流轉順序等，不難計算和分析出財務報告關于主營業務收入和成本、存貨和應收應付款的披露是否存在重大差異。

實務中，出版業務存在銷售模式多樣、銷售渠道多樣、倉儲及保管遍布多地、物流及配送方式多樣、總分銷及定價多樣等特點，建議在分析程序中，跨越價值在報表合并范圍內部的中間流轉環節，以形成的最終對外銷售進行逆業務流程的計算和分析，這樣可以避免復雜的內部定價、內部抵消、內部結轉等情況增加的審計工作量。

（四）確定審計重點領域

當業務與財務數據的匹配、核對、計算、分析完成后，根據其比率波動的異常或偏離正常值(或預期值)的差異大小，可以確定進一步審計的方向、重點審計領域和審計程序安排。出版企業的定價模式具有行業特點，普遍使用以預估成本確定碼洋的模式，在分析的時候要結合行業規則。

（五）出版企業的應收賬款和存貨是永恒的審計重點

出版行業普遍存在應收款的客戶多、余額小、對賬存在差異的情況；存貨絕大部分為圖書，特點是單價低、數量大、品種多、存儲地分布較廣、倉庫管理水平參差不齊、退書混合堆放難以區分。

大量的發函、替代測試、回函差異分析和實物盤點程序，需要合理做出審計計劃，包括審計時間、現場安排、審計力量的分配等。

（六）關注影響財務報告披露的其他重大經濟事項

隨著經營環境的變化和新技術、新業態的沖擊，傳統的出版企業也在探索轉型升級，在講究社會效益的前提下，不斷提高經濟效益是出版企業的目標之一。很多大型出版企業集團做出了擴大市場覆蓋率、涵蓋產業鏈的全流程等相關多元化投資的行為。其投資架構、回收率、資金成本、資金流動性、是否存在重大資產減值或潛虧等，也是影響財務報告信息披露的重要領域。

審計中可以根據出版企業內部控制體系中存在的薄弱環節作為審計關注點，評估其經濟業務的決策、執行和監督是否達到預期效果、是否存在控制風險、是否影響經濟效益、是否影響財務報告披露，進而判斷其對審計風險和審計結論形成的影響。