COSO 框架下出版社内部控制研究

2022-02-18张晓丽

科技创新与生产力 2022年5期

张晓丽

（中国财政经济出版社，北京 100142）

内部控制是一种政府和企业进行自我检查、约束的机制，其作为一个“防护系统”，已经成为出版社现代化管理中不可缺少的一部分。当前出版社内部控制制度建设良莠不齐，有控则强、无控则弱、失控则乱，如何优化出版社内部控制体系建设已经成为一项重要课题。2013 年美国科索委员会（COSO）修订的《内部控制——整合框架》提出完善的内部控制包含五大要素：控制环境、风险评估、控制活动、信息与沟通、监督活动，其初衷是为企业内部控制体系建设提供指导意见，它在为企业揭示单位可能面临的管理风险的同时为规范企业运营、规避风险进行理论支撑和实践优化。

1 COSO 框架下出版社内部控制现状及问题

1）内部控制制度存在漏洞，内部控制意识薄弱。出版社转企后其内部控制制度应遵循《企业内部控制基本规范》及配套指引、主管单位内部控制基本制度等[1]。但在实际工作中，相关内部控制制度主要针对频繁发生且相对重要的业务，虽然能够基本支撑出版社完成内部控制主体工作，但是就《企业内部控制基本规范》以及COSO 框架的目标和要求而言是不够的。出版社内部控制侧重于图书出版的全流程活动，各业务之间和业务人员之间都是有关联且相互影响的。以出版类项目复核制度为例，虽然在该类业务的内部控制措施方面已出台相关制度规定，但是执行复核制度时往往流于形式，执行不到位。一般工作人员简单地认为建立内部控制体系是加大其工作量，主观上存在排斥心理。例如，在内部控制制度逐步完善、人员配备基本到位的情况下，部分职工仍然以老经验开展工作，认为没有必要按流程一步步地完成工作，使制度规定形同虚设。个别工作人员存在不涉及经济业务、没有资金往来就不需要采取内部控制措施的错误观念，甚至有的工作人员认为其负责的业务不存在风险，对内部控制工作的落实存在消极怠工的现象。

2）风险评估方法不规范，风险评估项目不全面。风险评估是企业建立内部控制体系的第一项工作。出版社进行风险评估的常规做法是通过定量调查问卷和分层级人员访谈的方式对本出版社可能存在的风险进行识别和评估，结合调查问卷对全部风险的评分和领导层对重大风险的识别，对出版社可能存在的风险按重大、重要和一般3 个等级进行排序[2]。可见，出版社风险点的识别主要通过内控办工作人员根据工作经验主观判断，经出版社领导审核审定后汇总成册。这种方式容易造成各部门自有一套风险评估的方法，不利于单位运用风险评估的结果在业务流程中设置关键控制点，尤其是对需要多个部门协作完成的工作，易发生推诿扯皮的现象。同时，风险评估要求出版社根据业务风险变化及评估情况及时完善相关内部控制制度，细化领导层、业务部门和一般人员的职责权限，对重要业务进行流程梳理，部分业务或控制措施通过制度、文件或工作手册等方式固定下来，便于工作人员参照执行，实现制度约束。近年来，出版社对内部控制工作的重要性宣传不到位，个别人员排斥对其岗位职责权限的梳理，实施风险评估的人员理论知识储备不足、实践经验欠缺，造成风险评估的过程比较粗糙，一次风险评估不一定能达到预期效果。

3）部分控制活动尚未强化固化，不相容岗位未相互分离。出版社的控制活动包含较多内容，例如领导层集体决策机制的控制活动、合同管理的控制活动、选题评审的控制活动、盗版行为的控制活动等。当前，出版社的内部控制活动仅通过制度进行规范，由于制度的解读受知识储备和工作经验的影响因人而异，加之部分工作安排以项目负责人直接指派为主，不利于工作人员迅速掌握控制点、岗位职责等。在工作人员调动岗位时，新人只能通过工作交接和部门其他人员传授出版专业经验学习新技能，达到可以顺利完成编辑出版工作的程度还需要一定的时间，不利于调岗人员尽快投入工作。此外，进行风险预警和完成控制措施不是一蹴而就的，要求工作人员具备一定的专业技能和工作经验。新人对于风险点的敏感度较低，不利于在风险显现初期进行预警。同时，出版社人员的流动性较行政事业单位来说相对较强，人员编制数不能确定，而且出版社从招录人员到人员真正到岗至少需要花费半年时间，这就造成了某些岗位因人员离职暂时无人可以替代的情况，出现临时性的由一人兼任两个岗位甚至多个岗位的情况，即不相容岗位（职责）可能存在过渡性的兼容问题。

4）信息传递平台单一，信息共享机制尚未形成。出版社既是信息的接收者，也是信息的发布者，信息流通的速度、质量和反馈情况直接决定了出版社信息传递与沟通的效果。当前，由于出版社的部分文件是涉密文件，不允许在微信群中传阅，因此有很大一部分文件是通过召开会议、纸质版传阅、邮寄信件的方式进行传递的。工作信息传递形式单一，其时效性受到了极大的影响，而且通过以上方式传递文件基本都是单向的，授予者和接收者之间缺少沟通交流的途径。在信息共享方面，一方面，由于出版社业务归属不同的部门，但其工作内容相似性极强，此时业务部门之间的信息共享有利于及时落实政策、发现问题、预防风险，但就目前的工作状态来看，部门之间的工作探讨多以口头交流的方式进行，各部门有一套自己的办事流程；另一方面，出版社各部门之间互相不熟悉对方的业务，工作人员要想获取其他部门的工作信息，只能通过直接询问的方式，不利于业务分工与协作。

5）内部监督机制欠缺，外部监督效果有限。出版社的内控办是由出版社审计经验丰富的员工组成，机构不独立、权限小，其在完成本职工作的同时需要兼职对其他业务内部控制措施的落实情况进行监督，这显然不利于保证内部监督的有效性。出版社欢迎和鼓励公众监督，目前，外部监督部门包括中宣部、国家新闻出版署等。出版社的部分工作涉及出版社秘密，部分事项不能随意透露给个人和其他社会组织，所以出版社不能将所有监督审计工作委托给第三方机构[3]。

2 COSO 框架下出版社内部控制优化方案

1）营造良好的内部控制环境，合理化关键岗位设置。首先，要树立出版社“一把手”是内部控制“第一责任人”的意识[4]。出版社内部控制体系建设的核心是“控权”，难点是“制衡”，但关键是“一把手”。只有“一把手”强势推进内部控制建设，才能调动各方力量，因此强化董事会对内部控制工作的重视能最大程度地提高出版社开展内部控制工作的效率。其次，对出版社基础制度和内部控制制度进行梳理，两种制度应形成相辅相成、互相补充的关系，避免出现制度冲突或遗漏重点业务的情况。再次，通过制度明确岗位职责及权限，约束工作人员的行为。可结合工作实际灵活设置关键岗位，尤其是不相容岗位（职责）相分离，关键岗位应建立A/B 角制度，一旦A 角出现不能履责的情况，B 角可及时替补。最后，通过制度约束行为、流程监督行为及内控部门追究责任等方式，形成出版社上下自我约束、互相监督、协调合作机制。

2）建立风险评估体系，开展常态化风险管理。结合出版社基础性业务的共同特点和专业业务活动的特殊性，构建出版社固有风险、潜在风险和剩余风险的基本框架，设计风险调查问卷，分三级对领导层、中层和一般工作人员进行访谈，重点识别特殊风险点、高风险点。领导层主要评估出版社的重大风险，根据风险调查问卷和个别访谈的结果，将出版社风险按重大、重要、一般三级进行分类。确定风险等级后，应当建立风险预警机制，尤其是针对高风险点设置风险预警，一旦出现符合预警的事项，紧急启动风险防控应急预案，查找原因，落实整改措施，将风险扼杀在萌芽状态。风险识别和评估工作不是一次性的，风险也不是固定不变的。在初期构建起出版社风险框架后，内部控制部门可以采取出版社内部排查、业务人员反馈和外部监督的方式，及时发现和全面识别新的风险点，进而甄别其属于制度风险、管理风险、业务风险或人员风险等。根据风险所属业务流程、发生概率大小、危害程度高低等指标，采取定性和定量相结合的方式初步确定风险等级，提交高层领导审定，根据审定结果更新风险库，进而补充控制措施，并及时向工作人员通报，以方便工作人员迅速应对。

3）完善业务流程设计，优化选人用人机制。完整的业务流程图应包含执行部门、岗位、操作步骤、适用制度等，还需要通过判断框进行流程分流。流程图中应当标注出控制措施的关键步骤，以便于工作人员在实际操作时重点关注。权利人的审批步骤往往就是流程中的风险防控措施，该控制点既可以管控业务风险，也是对权利人的责任约束。出版社应当建立全套的内部控制流程图，特别是预防较高等级风险的业务流程图，通过流程图的形式固化业务程序是很有必要的。我国大部分的出版社存在执业短期化行为。在临时人员的选拔方面，即使采用借调人员、大学生毕业见习、公益岗位等途径暂时性补充人员，出版社也应当提前计划，通过合理、便捷的选人用人方案选拔人才。同时，要求有离职意向的工作人员至少提前一个月向人事部门备案，以便于出版社人事部门尽快制定人员补充方案，并预留出进行工作交接的时间，避免出现关键岗位（职责）临时性兼任的问题。

4）简化沟通程序，提高内部控制信息化水平。出版社应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通。只有制度明确、责任到位，才有利于出版社奖罚分明、追责到人。明确信息报告流程，全面梳理出版社现有的沟通环境和渠道，识别出信息沟通过程中的障碍点，对其进行疏通。同时进行职责权限的划分，对信息内容进行等级划分，避免信息外漏。这样可以确保沟通的有力开展，避免沟通不畅带来的消息阻塞或消息混乱。建立举报机制、保密机制，加大反舞弊工作的力度。借助先进的信息技术，实现信息即时流通，将“制度管人”、自觉履职和领导约束变为“机器管人”，通过系统设定权限，提高内部控制效率。在内部控制系统中构建业务流程图，设置风险点和控制点，工作人员通过系统直接发起项目审计、出版社采购、财务管理等流程，系统实时关注流程走向和所处节点的动态变化，一旦出现异常立即触发风险预警机制，分析流程风险，实施控制措施，将风险可能带来的影响降低到出版社可承受的范围。

5）强化内部监督，加强外部监督。出版社出于成本的考虑通常不会设立专门的内审机构，有些出版社甚至未建立内部监督机制。随着经济形势日渐复杂，出版社的监督要求也日渐严厉。出版社可以通过内审专员直接“一把手”负责的机制，或者通过成立内部监督小组，各部门负责人为成员，作为本部门监督工作的第一人，负责本部门的全部业务的监督审计工作，也可以采取各部门之间相互监督的模式，形成循环监督的效果。目前，出版社的外部监督主要以中宣部、国家新闻出版署和各主管部门的执业质量检查为主，同时，监督部门督查组定期或不定期地会对出版社账目及重点业务进行监督审计。上述两种方式均是出版社被动接受监督，出版社可以转换思路，主动向监督部门派驻人员汇报工作、接受监督，避免出现对纪检人员表面和气，实则处处忌惮，甚至将其视为敌人的情况。

3 结束语

图书出版社是发展、繁荣社会主义文化事业的重要推动者，建立健全内部控制体系为解决目前出版社所面临的内部控制问题提供了思路。本文以出版社内部控制为研究对象，依托于相对成熟的COSO 框架，围绕出版社内部控制现状及问题展开论述，提出在新发展格局下，内部控制制度建设应是出版社高质量发展的主线之一。希望通过对本问题进行研究为出版社内部控制体系建设提供参考，进一步提升其管理水平。