COSO 框架下出版社內部控制研究

張曉麗

（中國財政經濟出版社，北京 100142）

內部控制是一種政府和企業進行自我檢查、約束的機制，其作為一個“防護系統”，已經成為出版社現代化管理中不可缺少的一部分。當前出版社內部控制制度建設良莠不齊，有控則強、無控則弱、失控則亂，如何優化出版社內部控制體系建設已經成為一項重要課題。2013 年美國科索委員會（COSO） 修訂的《內部控制——整合框架》提出完善的內部控制包含五大要素：控制環境、風險評估、控制活動、信息與溝通、監督活動，其初衷是為企業內部控制體系建設提供指導意見，它在為企業揭示單位可能面臨的管理風險的同時為規范企業運營、規避風險進行理論支撐和實踐優化。

1 COSO 框架下出版社內部控制現狀及問題

1） 內部控制制度存在漏洞，內部控制意識薄弱。出版社轉企后其內部控制制度應遵循《企業內部控制基本規范》及配套指引、主管單位內部控制基本制度等[1]。但在實際工作中，相關內部控制制度主要針對頻繁發生且相對重要的業務，雖然能夠基本支撐出版社完成內部控制主體工作，但是就《企業內部控制基本規范》以及COSO 框架的目標和要求而言是不夠的。出版社內部控制側重于圖書出版的全流程活動，各業務之間和業務人員之間都是有關聯且相互影響的。以出版類項目復核制度為例，雖然在該類業務的內部控制措施方面已出臺相關制度規定，但是執行復核制度時往往流于形式，執行不到位。一般工作人員簡單地認為建立內部控制體系是加大其工作量，主觀上存在排斥心理。例如，在內部控制制度逐步完善、人員配備基本到位的情況下，部分職工仍然以老經驗開展工作，認為沒有必要按流程一步步地完成工作，使制度規定形同虛設。個別工作人員存在不涉及經濟業務、沒有資金往來就不需要采取內部控制措施的錯誤觀念，甚至有的工作人員認為其負責的業務不存在風險，對內部控制工作的落實存在消極怠工的現象。

2） 風險評估方法不規范，風險評估項目不全面。風險評估是企業建立內部控制體系的第一項工作。出版社進行風險評估的常規做法是通過定量調查問卷和分層級人員訪談的方式對本出版社可能存在的風險進行識別和評估，結合調查問卷對全部風險的評分和領導層對重大風險的識別，對出版社可能存在的風險按重大、重要和一般3 個等級進行排序[2]。可見，出版社風險點的識別主要通過內控辦工作人員根據工作經驗主觀判斷，經出版社領導審核審定后匯總成冊。這種方式容易造成各部門自有一套風險評估的方法，不利于單位運用風險評估的結果在業務流程中設置關鍵控制點，尤其是對需要多個部門協作完成的工作，易發生推諉扯皮的現象。同時，風險評估要求出版社根據業務風險變化及評估情況及時完善相關內部控制制度，細化領導層、業務部門和一般人員的職責權限，對重要業務進行流程梳理，部分業務或控制措施通過制度、文件或工作手冊等方式固定下來，便于工作人員參照執行，實現制度約束。近年來，出版社對內部控制工作的重要性宣傳不到位，個別人員排斥對其崗位職責權限的梳理，實施風險評估的人員理論知識儲備不足、實踐經驗欠缺，造成風險評估的過程比較粗糙，一次風險評估不一定能達到預期效果。

3） 部分控制活動尚未強化固化，不相容崗位未相互分離。出版社的控制活動包含較多內容，例如領導層集體決策機制的控制活動、合同管理的控制活動、選題評審的控制活動、盜版行為的控制活動等。當前，出版社的內部控制活動僅通過制度進行規范，由于制度的解讀受知識儲備和工作經驗的影響因人而異，加之部分工作安排以項目負責人直接指派為主，不利于工作人員迅速掌握控制點、崗位職責等。在工作人員調動崗位時，新人只能通過工作交接和部門其他人員傳授出版專業經驗學習新技能，達到可以順利完成編輯出版工作的程度還需要一定的時間，不利于調崗人員盡快投入工作。此外，進行風險預警和完成控制措施不是一蹴而就的，要求工作人員具備一定的專業技能和工作經驗。新人對于風險點的敏感度較低，不利于在風險顯現初期進行預警。同時，出版社人員的流動性較行政事業單位來說相對較強，人員編制數不能確定，而且出版社從招錄人員到人員真正到崗至少需要花費半年時間，這就造成了某些崗位因人員離職暫時無人可以替代的情況，出現臨時性的由一人兼任兩個崗位甚至多個崗位的情況，即不相容崗位（職責） 可能存在過渡性的兼容問題。

4） 信息傳遞平臺單一，信息共享機制尚未形成。出版社既是信息的接收者，也是信息的發布者，信息流通的速度、質量和反饋情況直接決定了出版社信息傳遞與溝通的效果。當前，由于出版社的部分文件是涉密文件，不允許在微信群中傳閱，因此有很大一部分文件是通過召開會議、紙質版傳閱、郵寄信件的方式進行傳遞的。工作信息傳遞形式單一，其時效性受到了極大的影響，而且通過以上方式傳遞文件基本都是單向的，授予者和接收者之間缺少溝通交流的途徑。在信息共享方面，一方面，由于出版社業務歸屬不同的部門，但其工作內容相似性極強，此時業務部門之間的信息共享有利于及時落實政策、發現問題、預防風險，但就目前的工作狀態來看，部門之間的工作探討多以口頭交流的方式進行，各部門有一套自己的辦事流程；另一方面，出版社各部門之間互相不熟悉對方的業務，工作人員要想獲取其他部門的工作信息，只能通過直接詢問的方式，不利于業務分工與協作。

5） 內部監督機制欠缺，外部監督效果有限。出版社的內控辦是由出版社審計經驗豐富的員工組成，機構不獨立、權限小，其在完成本職工作的同時需要兼職對其他業務內部控制措施的落實情況進行監督，這顯然不利于保證內部監督的有效性。出版社歡迎和鼓勵公眾監督，目前，外部監督部門包括中宣部、國家新聞出版署等。出版社的部分工作涉及出版社秘密，部分事項不能隨意透露給個人和其他社會組織，所以出版社不能將所有監督審計工作委托給第三方機構[3]。

2 COSO 框架下出版社內部控制優化方案

1） 營造良好的內部控制環境，合理化關鍵崗位設置。首先，要樹立出版社“一把手”是內部控制“第一責任人”的意識[4]。出版社內部控制體系建設的核心是“控權”，難點是“制衡”，但關鍵是“一把手”。只有“一把手”強勢推進內部控制建設，才能調動各方力量，因此強化董事會對內部控制工作的重視能最大程度地提高出版社開展內部控制工作的效率。其次，對出版社基礎制度和內部控制制度進行梳理，兩種制度應形成相輔相成、互相補充的關系，避免出現制度沖突或遺漏重點業務的情況。再次，通過制度明確崗位職責及權限，約束工作人員的行為。可結合工作實際靈活設置關鍵崗位，尤其是不相容崗位（職責） 相分離，關鍵崗位應建立A/B 角制度，一旦A 角出現不能履責的情況，B 角可及時替補。最后，通過制度約束行為、流程監督行為及內控部門追究責任等方式，形成出版社上下自我約束、互相監督、協調合作機制。

2） 建立風險評估體系，開展常態化風險管理。結合出版社基礎性業務的共同特點和專業業務活動的特殊性，構建出版社固有風險、潛在風險和剩余風險的基本框架，設計風險調查問卷，分三級對領導層、中層和一般工作人員進行訪談，重點識別特殊風險點、高風險點。領導層主要評估出版社的重大風險，根據風險調查問卷和個別訪談的結果，將出版社風險按重大、重要、一般三級進行分類。確定風險等級后，應當建立風險預警機制，尤其是針對高風險點設置風險預警，一旦出現符合預警的事項，緊急啟動風險防控應急預案，查找原因，落實整改措施，將風險扼殺在萌芽狀態。風險識別和評估工作不是一次性的，風險也不是固定不變的。在初期構建起出版社風險框架后，內部控制部門可以采取出版社內部排查、業務人員反饋和外部監督的方式，及時發現和全面識別新的風險點，進而甄別其屬于制度風險、管理風險、業務風險或人員風險等。根據風險所屬業務流程、發生概率大小、危害程度高低等指標，采取定性和定量相結合的方式初步確定風險等級，提交高層領導審定，根據審定結果更新風險庫，進而補充控制措施，并及時向工作人員通報，以方便工作人員迅速應對。

3） 完善業務流程設計，優化選人用人機制。完整的業務流程圖應包含執行部門、崗位、操作步驟、適用制度等，還需要通過判斷框進行流程分流。流程圖中應當標注出控制措施的關鍵步驟，以便于工作人員在實際操作時重點關注。權利人的審批步驟往往就是流程中的風險防控措施，該控制點既可以管控業務風險，也是對權利人的責任約束。出版社應當建立全套的內部控制流程圖，特別是預防較高等級風險的業務流程圖，通過流程圖的形式固化業務程序是很有必要的。我國大部分的出版社存在執業短期化行為。在臨時人員的選拔方面，即使采用借調人員、大學生畢業見習、公益崗位等途徑暫時性補充人員，出版社也應當提前計劃，通過合理、便捷的選人用人方案選拔人才。同時，要求有離職意向的工作人員至少提前一個月向人事部門備案，以便于出版社人事部門盡快制定人員補充方案，并預留出進行工作交接的時間，避免出現關鍵崗位（職責） 臨時性兼任的問題。

4） 簡化溝通程序，提高內部控制信息化水平。出版社應當建立信息與溝通制度，明確內部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通。只有制度明確、責任到位，才有利于出版社獎罰分明、追責到人。明確信息報告流程，全面梳理出版社現有的溝通環境和渠道，識別出信息溝通過程中的障礙點，對其進行疏通。同時進行職責權限的劃分，對信息內容進行等級劃分，避免信息外漏。這樣可以確保溝通的有力開展，避免溝通不暢帶來的消息阻塞或消息混亂。建立舉報機制、保密機制，加大反舞弊工作的力度。借助先進的信息技術，實現信息即時流通，將“制度管人”、自覺履職和領導約束變為“機器管人”，通過系統設定權限，提高內部控制效率。在內部控制系統中構建業務流程圖，設置風險點和控制點，工作人員通過系統直接發起項目審計、出版社采購、財務管理等流程，系統實時關注流程走向和所處節點的動態變化，一旦出現異常立即觸發風險預警機制，分析流程風險，實施控制措施，將風險可能帶來的影響降低到出版社可承受的范圍。

5） 強化內部監督，加強外部監督。出版社出于成本的考慮通常不會設立專門的內審機構，有些出版社甚至未建立內部監督機制。隨著經濟形勢日漸復雜，出版社的監督要求也日漸嚴厲。出版社可以通過內審專員直接“一把手”負責的機制，或者通過成立內部監督小組，各部門負責人為成員，作為本部門監督工作的第一人，負責本部門的全部業務的監督審計工作，也可以采取各部門之間相互監督的模式，形成循環監督的效果。目前，出版社的外部監督主要以中宣部、國家新聞出版署和各主管部門的執業質量檢查為主，同時，監督部門督查組定期或不定期地會對出版社賬目及重點業務進行監督審計。上述兩種方式均是出版社被動接受監督，出版社可以轉換思路，主動向監督部門派駐人員匯報工作、接受監督，避免出現對紀檢人員表面和氣，實則處處忌憚，甚至將其視為敵人的情況。

3 結束語

圖書出版社是發展、繁榮社會主義文化事業的重要推動者，建立健全內部控制體系為解決目前出版社所面臨的內部控制問題提供了思路。本文以出版社內部控制為研究對象，依托于相對成熟的COSO 框架，圍繞出版社內部控制現狀及問題展開論述，提出在新發展格局下，內部控制制度建設應是出版社高質量發展的主線之一。希望通過對本問題進行研究為出版社內部控制體系建設提供參考，進一步提升其管理水平。