李 瑶

出版行业因其属于意识形态单位、宣传文化单位而独具特点，国有背景的出版企业，尤其是历史悠久的出版社占据了该行业的主流。基于这种背景，出版企业虽然已经由事业单位转企业多年，但实际上市场化程度并不高，在内部控制体系的建设方面更是如此。有些出版企业简单地理解内部控制就是严格管控，制定了厚重的管理制度汇编，但制度与制度之间并无衔接和交互，也未将各项制度嵌入控制流程，即未形成管理制度化、制度流程化、流程信息化的内部控制体系的基本链条和模式。而在未考虑内部控制体系整体架构情况下的内部控制建设活动，更是属于“头痛医头、脚痛医脚”的管理方法。那么在这种情况下，承接出版企业的审计业务是否会因其控制风险而增加审计风险？而审计又该如何应对？本文拟从某国有出版企业集团（以下简称S集团）内部控制存在的一些问题入手，分析其内部控制体系的现状及影响，并针对可能形成的审计风险提出审计应对建议。

一、内部控制体系存在的问题及影响

S集团拥有多家所属单位，其中很多企业是原有事业单位改制形成，因此在企业治理和经营管理中也延续了原有事业单位管理的思维方式和行为习惯，管理模式行政化、经营目标摊派化、资源配置指令化、职责履行被动化等。而这些与《企业内部控制基本规范》、《企业内部控制应用指引》中所规定的现代企业治理相差甚远。

（一）内部控制活动的目的和意义尚待明确

S集团及各所属单位把内部控制简单理解为人的管理和行为的控制，更强调单线条、垂直化，而不是系统的多维度和相辅相成。如人的管理方面，更强调人员的编制和归属感、自觉性和情怀。

诚然，内部控制强调诚信和道德，但这是基于管理层释放的企业价值观，是要求所有利益相关者承诺并遵循的企业行为准则，而不是维持人们共同生活所需要的社会意识形态。以这样的“道德”作为内部控制的基础，更容易造成“止乎礼、不犯上、从于情”的内部控制“失控”。

在行为的控制方面，S集团对某些事项和行为采取了逐级管理控制的方式，更强调上级领导的指令和下级员工的服从，而不是根据岗位职责和相关管理制度确定各岗位、各职级的决策和执行的适用范围及权限。这在内部控制的执行中很容易造成不作为、不敢为或者超越权限、滥用权限。

（二）公司治理结构不符合内部控制目标

S集团将公司董事会（决策层）和经理层（执行层）合二为一，未从组织架构、职责权限、议事规则和工作程序等方面的设定中形成决策、执行和监督三权分离、相互形成制衡的状态，执行中亦然。在董事会和经理层高度重合的模式下，虽然在一定程度上降低了管理成本，也将决策与执行的矛盾暂时掩盖在“高效、和谐”的表象之下，但同时二者之间的协作和制衡作用也没有得到充分的发挥。

如果董事会是决策者和资源的控制者，同时也是决策的执行者，董事会很可能会在具体执行中有权随时更改决策以适应执行中的困难，甚至为权力寻租和利益输送打开方便之门，而不是通过约束和激励经理层来激发其经营管理的潜能。

（三）未建立风险评估机制

S集团及各所属单位均未根据设定的控制目标，全面系统持续地收集相关信息，并结合实际情况及时进行风险评估。包括：未建立风险评估机制、未设定覆盖各个运营部门的风险识别机制、未明确列示风险清单、未明确不同风险的应对措施、未进行财务报告的舞弊风险分析、未进行某一市场或权力机构诱发舞弊行为的因素分析、未设立防止管理层越权及信息系统控制措施。

在众多的经营风险和财务风险中，没有一系列清晰的风险控制目标，无法帮助企业明确内部控制重点，很难确保充足的资源分配至关键风险点。这种情况下可能出现资源的错配，从而降低工作效率或提高控制成本；也可能当风险控制目标与事先设定的风险容忍度关联性不高时，导致忽略了本该重视的风险。

另外，在风险评估机制中，不同岗位或不同层次的员工会从不同的角度看待同样的风险，那么在风险评估机制的执行中如果按照现有的工作汇报制的方式，采取从下而上的风险识别程序，则可能存在识别出的风险对于企业整体影响程度的评估结果出现偏差。

（四）部分经济活动未能有效控制

S集团及各所属单位的控制活动缺陷归根到底是顶层设计不够系统造成的，控制活动设计的系统性缺陷导致部分内部控制活动的执行无从依据，执行起来自然是五花八门、各有方式。

1.长期规划未能分解至短期计划。S集团及各所属单位均编制了内容全面的长期规划，明确写明了总体目标、发展战略、经营规划等长期规划，内容也涵盖了品牌拓展、主业发展、经营目标设定、人力资源整体规划、信息系统建设、财务指标预期等长期目标。但各单位的战略规划均未明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径，使长期规划未能落实于具体计划中得以有效实施、总结和考核。

2.制度建设不完善，亦未嵌入控制流程。S集团各所属单位在制度建设方面普遍存在以下问题：（1）所属单位以S集团的相关制度为蓝本编写自身制度和内控手册，但未充分考虑自身作为经营单位与作为持股平台的股份公司具有本质的区别，而其相应的制度并无对其经营业态和资产管理需求的侧重；（2）制度更新不及时、不完善，出现了同一个制度前后口径不一致或与现行法规相悖的情况；（3）制度建设与内部控制流程分离，无法起到流程控制与控制标准的有效结合。

3.合同管理多部门负责且未形成闭环。S集团各所属单位均采用手工管理合同及登记台账的方式，由于涉及的部门众多，需要管理的合同要素也各不相同，因此造成合同形式多样、信息不集中、实时性较低、重复审核、分散存储、归档不及时、档案资料不完整、对合同执行缺乏有效监督等情况，合同业务流程不顺畅，合同管理亦未形成闭环。

4.信息化建设系统性不足、数据信息安全堪忧。

S集团各所属单位信息化建设情况各异。（1）应用软件不同，包含了ERP、OA、云因等十余种软件系统，有订制化产品、也有标准化产品；（2）功能模块不同，有些覆盖了编印发财流程、有些仅包括各种审批流程、有些信息系统仅供仓储部门统计存货进销存；（3）数据存储情况不同，有的单位采取了云端存储、有的单位存储于服务器、还有的单位存储于软件公司、有的单位采取了系统自动备份数据的模式，每7天自动备份一次，但服务器上只有最近7天的数据备份资料，循环更新，自动覆盖旧文件；（4）系统维护状况不同，有些单位仅在出现问题时要求软件公司派人维修、有些单位因软件系统每天出现异常而要求软件公司的工程师驻场；（5）信息化应用水平不同，绝大部分单位使用了信息平台系统，但仍有一些单位仍依据人工传票形式进行各种业务流程和审批流程；（6）数据安全性问题，大部分单位未实现数据信息的双备份和异地存储，数据的安全性存在重大隐患。

（五）未建立信息与沟通机制

S集团及各所属单位的人员普遍并不清楚什么是实现企业内部控制目标所需要的信息，信息的供给、分享和获取是如何通过沟通来实现的，信息与沟通机制是如何在实现内部控制目标中发挥作用的。甚至认为信息与沟通机制就是申请的审批签报过程、文件制度或指令的传达过程。S集团亦未设立相关责任部门承担此项职责，各级之间的沟通更是沿袭了长久以来的“指令-执行-汇报”的单线条方式，员工对自己的工作内容清晰掌握，而对于相关信息的获取和分享渠道并无了解，甚至刻意回避。

在新兴经济模式和新技术不断涌现的今日，信息和数据资源属于有价资产已经得到了广泛认可，虽然估值方式各说纷纭，但相关制度对信息和数据资源的获取和掌握情况显然并未达到内部控制目标所要求的程度。

有效的信息对于建立有效的内部控制系统起着至关重要的作用，任何不准确或不完整的数据和信息都会对判断、估计和其他管理决策形成误导，进而导致失误。内部沟通起着信息在企业内部上传下达的作用，而外部沟通也在促进着企业对数据和信息的获取。信息与沟通是相辅相成、循环互动的动态过程，如果这个动态过程得不到动力甚至受到阻碍，则企业内部控制很难在数据和信息的支撑下达到控制和促进完善的目的，进而造成错失市场信息、偏离监管环境、商业信誉受损、信息不对称导致的内耗等。

（六）相关内部监督力量薄弱

S集团及各所属单位内部监督有多种形式，如：纪检部门、审计部门、监事、上级单位的业务主管部门、工会组织和职工代表等。这些监督形式各有法规依据、各有责任机构、各有监督对象、各有工作目标、各有手段方式、各有结论标准，但大部分并不相互交融、信息也不互通，形成了内部监督的信息孤岛，而不是形成多维度的监督体系。

承担内部控制建设和监督相关职责的内审人员隶属关系呈现多样性，如：审计专员有的隶属于内审部、有的隶属于法务部、有的隶属于财务部、有些审计岗位人员同时兼任本级或下属公司会计、还有些内审专员由行政文书担任。由于内审人员的隶属关系及监督等级的末位，决定了内部审计的有限效能。由此，内审工作内容大多定位在为财务核算“查缺补漏”、更关注形式上的细节，而非相关内部控制的设计合理和执行有效。

企业的内部控制流程也会出现过时、失效、运行不力的种种情况，甚至无法支撑内部控制目标，企业的内部控制系统需要不断调整以适应外部环境和内部控制环境的变化。没有持续监督与个别评价相结合的全方位内部监控活动，就无法暴露出内部控制中存在的缺陷，不利于发现企业运行与控制中的潜在问题。

二、可能形成的审计风险及应对建议

出版企业由于上述内部控制设计缺陷的存在，当管理层面临巨大的业绩、政绩、经营指标、财务指标压力时，产生系统性舞弊的动机能够很容易得到实施。具体体现为财务报表错报、数据信息不完整或不对称、资产潜亏等。存在重大缺陷的内部控制系统对于防范职务侵占、商业贿赂、资产非正常流失等行为亦起不到应有的控制作用。

根据注册会计师审计准则，注册会计师了解被审计单位及其环境（包括内部控制）的目标是识别和评估财务报表层次和认定层次的重大错报风险，从而采取应对措施，以期降低审计风险。

（一）按照审计准则的规定执行相关审计程序

现行审计准则对“了解与审计相关的内部控制”有明确的规定，采取的程序包括询问、访谈、分析、观察和检查等。针对出版企业内部控制体系中涉及的控制环境、风险评估、与财务报告相关的信息系统及业务流程等，评估其内部控制体系中存在的缺陷对审计的影响，并按照审计准则的明确规定执行并记录于工作底稿，这样审计工作和实施的程序有章可循、有迹可查。

（二）测试信息系统，匹配不同来源的数据

当审计对象的内部控制体系存在缺陷、信息化建设系统性不足时，舞弊风险和财务错报的风险便会增加。为了将审计风险降低至可接受水平，测试审计对象的信息系统、并按照业务流程的逻辑关系匹配不同信息系统、不同业务流程环节、不同来源的数据，将有助于发现系统性舞弊和财务错报情况。

如：图书出版历经申报选题、论证会、出版局审核、签订出版合同、编辑、校对、设计、申请书号、印刷、仓储、获取订单、发货、核算、收款等业务环节。上述环节分别由编辑部、总编室、校对中心、发行部、排版商、印厂、仓储部、业务部、财务部等不同部门和岗位负责，除了财务核算从预估成本定价开始贯穿始终外，其他的环节都是具有业务流程的前后衔接关系，从不同来源获取的数据相互印证时，可以有效降低检查风险。但需要关注的是，根据出版行业价低量大、品类丰富、时间跨度较大的业务性质，以及出版企业内部控制和信息数据系统的现状，数据直接匹配的难度很大，需要提高计算机技术的使用效能并分配适当的审计人员加以应用实施。

（三）结合业务流程的逻辑关系实施分析程序

出版企业的业务流程相对其他行业来说并不复杂，根据其出版业务的成本构成、定价模式、工艺流程、实物与价值的流转顺序等，不难计算和分析出财务报告关于主营业务收入和成本、存货和应收应付款的披露是否存在重大差异。

实务中，出版业务存在销售模式多样、销售渠道多样、仓储及保管遍布多地、物流及配送方式多样、总分销及定价多样等特点，建议在分析程序中，跨越价值在报表合并范围内部的中间流转环节，以形成的最终对外销售进行逆业务流程的计算和分析，这样可以避免复杂的内部定价、内部抵消、内部结转等情况增加的审计工作量。

（四）确定审计重点领域

当业务与财务数据的匹配、核对、计算、分析完成后，根据其比率波动的异常或偏离正常值(或预期值)的差异大小，可以确定进一步审计的方向、重点审计领域和审计程序安排。出版企业的定价模式具有行业特点，普遍使用以预估成本确定码洋的模式，在分析的时候要结合行业规则。

（五）出版企业的应收账款和存货是永恒的审计重点

出版行业普遍存在应收款的客户多、余额小、对账存在差异的情况；存货绝大部分为图书，特点是单价低、数量大、品种多、存储地分布较广、仓库管理水平参差不齐、退书混合堆放难以区分。

大量的发函、替代测试、回函差异分析和实物盘点程序，需要合理做出审计计划，包括审计时间、现场安排、审计力量的分配等。

（六）关注影响财务报告披露的其他重大经济事项

随着经营环境的变化和新技术、新业态的冲击，传统的出版企业也在探索转型升级，在讲究社会效益的前提下，不断提高经济效益是出版企业的目标之一。很多大型出版企业集团做出了扩大市场覆盖率、涵盖产业链的全流程等相关多元化投资的行为。其投资架构、回收率、资金成本、资金流动性、是否存在重大资产减值或潜亏等，也是影响财务报告信息披露的重要领域。

审计中可以根据出版企业内部控制体系中存在的薄弱环节作为审计关注点，评估其经济业务的决策、执行和监督是否达到预期效果、是否存在控制风险、是否影响经济效益、是否影响财务报告披露，进而判断其对审计风险和审计结论形成的影响。