303093 池国华 《内部控制与风险管理（第3版）》思考题和案例分析答案

1、第1章 发展历程思考题1.内部牵制的核心思想是什么？这一思想过时了吗？答：内部牵制是指提供有效的组织和经营并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。这一思想并不过时。无论内部控制制度如何变迁，内部牵制都是内部控制制度的核心机制，不能一味地追求内部控制概念边界扩大和功能拓展而淡化内部牵制在内部控制中的地位和作用。当然，在内部控制的演变过程中，内部牵制应突破固有的概念藩篱，不仅强调分离式牵制，也强调合作式牵制的作用，如会审、会签、协作等。2.

2、美国内部控制与风险管理的发展经历了哪几个阶段？各阶段有何特点？答：美国内部控制与风险管理理论和实践的发展大体上经历了四个阶段：内部控制制度阶段、内部控制结构阶段、内部控制整合框架阶段和风险管理整合框架阶段。第一阶段内部控制制度阶段。该阶段的特点是“制度二分法”或“二要素”。在这一阶段，AICPA（美国注册会计师协会）不断修正内部控制的定义、类型、目标，并将内部控制分为内部会计控制与内部管理控制。内部控制被正式纳入制度体系，同时管理控制成为内部控制的一个重要组成部分。第二阶段内部控制结构阶段。该阶段的特点是“内部控制结构”概念，内部控制结构不同于第一阶段的“制度二分法”，它不再区分会计控制和管理

3、控制，而是确立了一种控制结构。该结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序，具体由控制环境、会计系统、控制程序三个要素构成。第三阶段内部控制整合框架阶段。该阶段的特点是集大成性，1992年9月，COSO发布了著名的内部控制整合框架，该报告明确了内部控制的定义、内涵、特征、内容等方方面面，集以往内部控制理论和实践发展之大成，成为内部控制领域最权威的文献之一，是内部控制发展历程中的一座里程碑。第四阶段风险管理整合框架阶段。该阶段的特点是将内部控制的整体框架与企业风险管理相结合。COSO于2004年发布的企业风险管理整合框架（简称ERM框架），将内部控制上升到全面风险管理的高度，

4、该框架包括四类目标、八个要素，要素为目标服务，企业的各个层面都坚持四类目标，从八个要素进行风险管理，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系。同时，ERM框架对内部控制要素进行了进一步细 分和充实，使内部控制与风险管理日益融合，拓展了内部控制。3.萨班斯法案404条款对企业有何影响？答：萨班斯奥克斯利法案（简称塞班斯法案）404条款明确指出公司管理层对建立和保持一套完整的、与财务报告相关的内部控制系统所负有的责任，并要求管理层在财务年度末，对与公司财务报告相关的内部控制体系做出有效性评估，会计师事务所的审计师需要对管理层所做的有效性评估发表意见。404条款对

5、于在美国上市的企业而言是一个重大冲击，对于已在美国上市的中国企业以及即将在美国上市的中国企业而言更是一次巨大的考验。由于中国企业内部控制薄弱，整体准备状况较差，进展缓慢，要满足404条款并非易事。尤其对组织分散、业务范围复杂的大型公司而言，组织越分散，业务越复杂，意味着要做的工作越繁杂，这促使它们不得不投入更多的资金和人力来实施404条款要求的内部控制措施。而对于业务简单、管理集中的小型公司，虽然实施工作会相对简单，但却恰恰可能受到最猛烈的冲击。受规模所限，它们在执行404条款时更显捉襟见肘，所要花费的遵循成本可能占其收入的比重更大。4.从ERM框架的演变来看，企业风险管理工作的定位是如何变化

6、的？答：2004年版ERM框架发布至今已有十几年的时间。在这十几年间，风险发生了重大变化，由于新环境、新技术的不断演变，新的风险也层出不穷，基于风险导向的管理理念逐渐兴起并成为主流，渗透到企业管理的方方面面。2017年9月，COSO正式发布了一份名为企业风险管理与战略和业绩的整合的报告文件。与原ERM框架相比，新框架着重强调了企业风险管理对战略规划和提升绩效的重要意义，认为风险管理应嵌入整个组织中，并指出风险不但来自执行层面，也来自战略制定和战略驱动的执行方面。在框架结构的设计上，摒弃了ERM框架中脱胎于1992年版内部控制整合框架的八要素设计，而是借鉴2013年版内部控制整合框架应用要素和原

7、则的编写结构，在5个要素下分别列示20项原则，且这些要素和原则贯穿企业战略、绩效和价值提升。5.如何理解内部环境是企业实施内部控制的基础？答：内部控制渗透于企业经营管理活动的各个方面。企业只要存在经济活动和经营管理，就需要有相应的内部控制活动。内部控制活动出现在企业内的各个阶层与各种职能部门中，它不仅包括企业管理当局授权管理者采购货物、销售货物、生产产品等经营活动的各种方式方法，也包括核算、审查、分析各种信息资料及报告的程序与步骤，还包括对企业经济活动进行综合计划、控制、评价而制定的各种规章制度。这些环节和经营活动要想顺利实现，需要一个很好的内部环境，否则内部控制制度就是一纸空文，各种基本规范

8、也成了摆设。我国企业内部控制基本规范归纳了五大要素，将内部环境放在第一位，说明了内部环境是内部控制中最基本的因素，内部环境主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。这几方面涵盖了一个企业建立、持续经营所应该具备的方方面面，如果这几方面没有设置并实施，那么加强企业内部控制的原动力就会失去，就不会取得较好的内部控制效果。案例分析香港证监会起诉荣智健，为4 500位股民讨赔偿问题：1.分析中信泰富炒汇巨亏的原因。2.讨论为什么内部控制与风险管理的相关立法越来越完善，但仍然不能杜绝企业违规造成的巨大风险及损失。参考答案：1.直接原因：澳元大幅贬值导致外汇杠杆交易失败。中

9、信泰富在澳大利亚收购了一个铁矿项目，许多设备和投入必须以澳元支付。为了减低项目面临的货币风险，公司签订若干杠杆式外汇买卖合约。而在签订外汇杠杆交易合约之后，澳元开始持续贬值，澳元兑美元跌幅高达10.8%，几乎抹平了2008年以前的涨幅，中信泰富签订的外汇杠杆交易合约跌破锁定汇价，仍在生效的杠杠式外汇买卖合约按公平价定值的亏损约为147亿港元。深层次原因：内部控制与风险管理的失败。导致其巨亏发生的深层次原因在于该公司缺乏一套完善的内部控制与风险管理的体系，具体包括：（1）缺乏良好的内部环境。中信富泰签订外汇合约的目的充满了投机性，按合约接受的94.4亿澳元远远超过公司铁矿石项目预计所需的26亿澳

10、元。在澳元大幅贬值之初，中信泰富经营管理层本有机会在此期间采取措施减小损失，但却未采取任何措施，应对风险的反应滞后，这都反映出中信泰富经营管理层风险意识淡薄。（2）缺乏有效的风险评估。中信泰富买入澳元期权总额高达94.4亿澳元，但中信泰富密集买入澳元的时段为2007年8月至2008年8月，同期，全球经济危机已经显露征兆。中信泰富的管理层此时仍选择了杠杆式外汇合约，将澳元作为买卖品，风险与收益明显不对称，澳元汇率上升时公司获得的利润上限被锁定，但未考虑相关货币贬值而设定止损金额，利益有限而风险无限。这反映了公司在签订合约的初期没有对合约潜在的风险进行评估，欠缺风险识别能力和应对能力，荣智健承认：

11、“有关外汇合同的签订未经过恰当的审批，而且其潜在的风险也未得到正确的评估。”这为日后巨亏埋下伏笔。（3）控制活动混乱。控制活动是企业保证战略目标实施的关键所在，企业在实施重大战略规划前，应当获得董事会的批准，在实施的过程中也应当随时向公司高层汇报进展，以便在发生问题时采取有效措施。中信泰富在对外公告中表示：此次事件源于财务层面未遵守公司对冲风险政策，且在交易中未按规定取得批准，超越财务部门应有权限。在亏损事件曝光后，董事会主席荣智健表示其并不知情。这反映了中信泰富在公司治理方面存在重大缺陷，其控制活动混乱不堪，违背了内部控制中职责分明、授权审批等多项基本原理。（4）监控制度形同虚设导致个人渎职

12、的发生。对于这项合约的签订，董事会主席荣智健毫不知情，财务董事行使了超越其权限范围的权利，这反映了公司的监控制度形容虚设，监督部门未能对管理人员进行有力监督，致使个人渎职的发生。2.（1）政策与法规建立在现实世界的基础之上，针对实际情况而设立，目的是解决实际的经济问题。但随着世界范围内市场经济的不断发展，全球经济一体化不断深入，交流与合作加深的同时企业经济活动也日益复杂化，各种各样的实际情况不断发生，并且由于经济环境的动态性、交互性，经济环境时刻处于不断更新、发展、变化的状态中，这种时刻变化的特征决定了政策与法规不能固定不变，而政策与法规与现实状况相比，总是存在着一定的滞后性，这说明，世界上没

13、有任何一种完美的法律规范来对企业的经济活动进行监督控制，所以无法杜绝企业违规造成的巨大风险。（2）从人性角度看，人的天性中存在一定程度的追逐巨额利益的驱动，结合偏好曲线的理论，人们对于高风险、高利益事件的偏好程度是不同的。同时，如果对管理人员的思想道德与法律等方面的教育程度不足，当管理人员意识到企业进行违规操作可以获得巨大的利益时，有些管理人员会在利益的诱惑下铤而走险，这使得企业永远无法杜绝违规事件。益强公司因深陷债务违约危机而破产重组问题：1.益强公司发生哪些风险？2.从内部控制与风险管理的角度分析益强公司破产的原因。参考答案：1.企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法

14、律风险等。益强公司发生了市场风险和战略风险。市场风险： （1）产品或服务的价格及供需变化带来的风险。“受2008年美国次贷危机和 2011年欧债危机影响，欧美国家和地区纷纷大幅削减甚至取消光伏补贴，光伏产品国际市场需求急剧萎缩。随后欧盟对中国光伏产品发起反倾销、反补贴调查，光伏企业出口遭受重创。全行业的非理性发展导致产能严重过剩，市场供大于求” （2）主要客户、主要供应商的信用风险。“欧盟经济低迷，海外客户还款能力下降” （3）税收政策和利率、汇率、股票价格指数的变化带来的风险。“欧元汇率下跌汇兑损失使严重依赖海外市场的益强公司出现大额亏损。” （4）潜在进入者、竞争者、替代品带来的风险。“全

15、行业的非理性发展导致产能严重过剩，市场供大于求，企业间开始以价格战展开恶性竞争，利润急速下降甚至亏损。”战略风险：发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。“在资本市场获得大额融资的同时，益强公司开始了激进的扩张之路。从横向看，为了扩大市场份额，益强公司在欧美多个国家投资或设立子公司；从纵向看，益强公司布局光伏全产业链，实施纵向一体化发展战略，由产业中游的组件生产延伸至上游的硅料和下游的电站领域。益强公司还大举投资房地产、炼油、水处理和 LED 显示屏等项目。”2. 首先，战略失误和市场风险变化是益强公司破产的直接原因。其次，一般情况下，对战略风险、财务

16、风险、运营风险和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法；对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。但益强公司在发生了战略风险和市场风险后，并未采取任何风险管理方法，仍执着于多方融资扩大产能，致使产品滞销、库存积压。同时，存货跌价损失、汇兑损失、坏账准备的计提使严重依赖海外市场的益强公司出现大额亏损。上述原因导致益强公司资金链断裂，成为国内债券市场上第一家违约公司，最终破产。第2章 COSO框架思考题1.如何理解COSO对内部控制的定义？答：COSO的内部控制整合框架认为，内部控制是由主体的董事会、管理层和其他员工实施的

17、，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。可以从以下几个方面理解这个定义。第一，内部控制是一个过程。内部控制是实现目的的手段，而非目的本身。它并非单一的事件或环境，而是针对企业行为的一系列活动。这些活动是潜移默化的，蕴含于管理层的日常经营行为中。同时，内部控制意味着向终点的努力，而非终点本身。它是一个动态的过程，即从整体控制看，包括制度设计、制度执行和制度评价（对制度设计和执行情况的检查）等阶段；从业务控制看，一般应采取事前控制、事中控制和事后控制等措施。第二，人的因素。内部控制不仅是政策手册和图标，而且受到企业董事会、经理层和其他人员的影

18、响，是通过企业员工的言行实现的。人们确立企业的目标并通过内部控制系统付诸实施；同样，内部控制也影响人们的行为，人们理解、交流和行动的方式并非一成不变，每个人都有独特的背景和才干，有不同的需求和侧重点。这些现实既对内部控制产生影响，也受其影响。人们必须知道各自的职责和权限，相应地，在不同职责和权限之间应有明确的分工和联系。第三，合理保证。内部控制，无论设计和执行多么理想，只能就企业目标的实现向经理层和董事会提供合理保证。合理保证并不意味着内部控制制度的设计和执行可以“包治百病”，也不意味着企业可以“万事无忧”，只是相对而言，有内部控制制度的企业比没有内部控制制度的企业更不容易发生错误和舞弊，执行

19、得好的企业比执行得不好的企业更有效率。企业目标实现的可能性受到内部控制内在局限的影响，比如人员决策可能失误，建立内部控制时需考虑成本效益原则，人为错误和失误也会导致内部控制失效。另外，内部控制会因两个或更多人的合谋串通而失效，而且经理层可能会越权操作。第四，目标。每个企业都有自己的使命，要确立目标及相应战略。目标的设立应针对整个企业或企业内特定行为。虽然很多目标只针对特定企业，有一些还是普遍适用的，例如，在企业界和客户层面保持良好的声誉，向股东提供可靠的财务报表，以及合法合规经营。2.1992年版内部控制整合框架中内部控制的目标有哪些？答：1992年版内部控制整合框架确定了三类目标：（1）经营

20、目标关于企业资源利用的效率、效果；（2）报告目标关于编制公开财务报表的可靠性；（3）合规目标关于法律和法规的遵循性。3.ERM框架与1992年版内部控制整合框架相比，在哪些方面具有创新？答：简单来看，ERM框架在1992年版内部控制整合框架的基础上增加了一个新观念、一个战略目标、两个概念和三个要素，即风险组合观、战略目标、风险偏好和风险容忍度两个概念及目标设定、事项识别、风险应对三个要素。针对企业风险管理的需要，ERM框架要求设立一个新的部门风险管理部，并相应设立首席风险官（CRO），全面、集中地推进企业风险管理。相对于1992年版内部控制整合框架而言，ERM框架无论在内容上还是范围上都有所扩

21、大和提高。4.如何评价2013年版内部控制整合框架？答：与1992年版内部控制整合框架相比，2013年版内部控制整合框架主要有三大亮点，即更实、更活、更稳。（1）更实：提供了内部控制体系建设的原则、要素和工具。2013年版内部控制整合框架提供了17条具体的原则，这是比较“实”的地方，因为1992年版内部控制整合框架只有5个要素，更像是一个学术模型，具体要怎么做，并没有明确的答案。而这次COSO提到的17条原则都是相对来说更明确的内容，这为企业的内部控制提供了一套路线图，为企业评价内部控制提供了一张打分表。此外，2013年版内部控制整合框架细化了董事会及其下设专业委员会的描述，还提到了很多案例，

22、以增进从业者对内部控制体系建设的理解。（2）更活：强调企业可以有自己的判断。在内部控制建设和评价中，2013年版内部控制整合框架强调依赖管理层自身的判断，而不是像原来一样要求严格基于证据，2013年版内部控制整合框架强调董事会、管理层和内审人员拥有判断力，这是新框架比较 “活”的地方。2013年版内部控制整合框架认为，内部控制如何实施，如何评价，如何认定有效性，企业可以有自己的判断。这本质上是在为内部控制解套，是新框架的灵魂。2013年版内部控制整合框架强调在内部控制建设过程中应注重与效率的结合，建议管理层通过判断，去除那些失效、冗余乃至完全无效的控制，提升控制的效率和效果，而非单纯地为了控制

23、而控制。（3）更稳：强调内部控制有效性的认定。2013年版内部控制整合框架对于如何确保内部控制体系的有效性做了进一步澄清，指出有效的内部控制应满足以下几个条件：第一，每个要素及相关的原则存在且有效运行；第二，各要素整合地运行，即内部控制五要素中的每一项都会受到其他要素的影响，应视为一个整体。2013年版内部控制整合框架在指出内部控制的局限性方面比1992年版更加明确，指出了内部控制在决策和应对外部事件中的局限性。旧整合框架发布于1992年，在当时体现了一种前沿的、先进的思路。尤其在我国，随着内部控制规范体系的实施，内部控制变成了对上市公司的最低要求。这种从“前沿”到“最低要求”的变化，集中体现

24、在上市公司必须披露自己内部控制的有效性，并接受审计。那么，是不是审计通过了，上市公司就没风险、没有问题了呢？实际情况并不是这样，一些风险事件还是发生了。所以，新框架强调了内部控制对天灾（外部事件）和人祸（人为失误）的无能为力。5.如何理解ERM框架对于风险管理的定义？答：ERM框架认为，风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。该定义强调：（1）企业风险管理是一个过程，它并不是静止的，而是渗透于一个主体的各种活动的持续的或反复的相

25、互影响，其本身并不是一个结果，而是实现结果的一种方式。（2）企业风险管理是一个由人参与的过程，它是通过一个组织中的各个层级的人和他们的言行来完成的。同时，企业风险管理也会影响人的行动。（3）风险管理过程可应用于战略制定。（4）风险管理过程贯穿整个企业。（5）风险管理过程旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内。（6）设计合理、运行有效的风险管理能够为企业的管理层和董事会就企业各目标的实现提供合理保证。（7）企业风险管理整合框架针对一类或几类相互独立但又存在重叠的目标，目的在于实现企业目标。6.新ERM框架相对于ERM框架有何进步？答：新ERM框架的进步性体现在：（1）

26、目标定位更明确。新ERM框架将风险管理置于组织绩效的背景下，真正融入战略和绩效管理的工作中，而不是作为一个独立运转的系统。（2）概念边界更清晰。关于风险管理和内部控制关系的解释，COSO在新框架的第一册“框架应用环境”中提出：“内部控制主要聚焦在主体的运营和对于相关法律法规的遵从性上。”为了更好地厘清两者的关系，新框架在概念的处理上颇为用心，一方面，企业风险管理的相关概念并没有包含在内部控制中。另一方面，一些在内部控制中比较常见的概念，例如与报告目标相关的舞弊风险、与合规目标相关的控制活动、与运营目标相关的持续及独立评估，在新ERM框架中并未述及。（3）适用范围更广泛。新ERM框架的主体适用性

27、已经从企业拓展到各种类型的主体或组织。案例分析奥林巴斯的内部控制问题：根据上述资料，结合本章相关知识，你认为奥林巴斯的内部控制可能存在哪些缺陷？参考答案：在本案例中，奥林巴斯的舞弊行为源于其内部控制的缺陷，主要表现在以下方面：（1）控制环境恶劣，公司治理结构存在严重缺陷。日本的FACTA杂志质疑奥林巴斯多起并购交易引起的巨额损失，时任奥林巴斯CEO的伍德福德向董事长和财务副总裁询问时屡被搪塞。当伍德福德将暗中调查的结果告诉其他董事会成员时却在董事会上遭到了解雇。说明奥林巴斯的公司治理结构存在严重缺陷。公司治理的关键在于明确、合理地配置公司股东、董事会、经理人员和其他利益相关者之间的权利、责任和

28、利益，从而形成有效的制衡关系。对于奥林巴斯来说，董事会形成虚设，难以发挥应有的职责；缺乏监事会，无法对董事、高管等执行公司职务时违反法律、法规或者公司章程的行为进行监督。总之，奥林巴斯的公司治理严重失衡。（2）风险评估薄弱，控制活动缺失。当奥林巴斯持有的有价证券减值数百亿日元时，公司不但没有在财务报表中如实披露该事项，反而开始寻找新的办法防止巨额亏损被披露出来。这一事实，一方面反映了奥林巴斯内部控制制度中风险评估环节的薄弱造成了如此巨额的亏损，另一方面也反映出其控制活动的缺失，即通过非正常的手段来隐瞒亏损，而不是采用合理恰当的控制活动将风险控制在可接受的范围内。（3）缺乏有效监督机制，舞弊行为

29、严重。在奥林巴斯收购三家关联度不高的非上市公司之后，这三家公司的商誉发生了重大减值。在收购另一家公司的同时向财务咨询公司支付了超正常标准的佣金和费用，以此完成了对1 100亿日元亏损的填补。这些行为性质严重，是舞弊行为。奥林巴斯有机会进行这样的舞弊行为，是由其核算链条上的一系列机会造成的，说明奥林巴斯企业内部和外部都缺乏有效的监督机制。（4）存在制度安排缺陷，缺乏有力的内外部监督。从日本当时的整体环境来看，企业治理标准宽松，伴随着经济的持续低谷和全球市场竞争的加剧，制度安排的缺陷使日本公司难以形成有效的内部监督机制。同时，日本政府对于大公司舞弊案件的纵容，又使得日本企业缺乏有力的外部监督。内部

30、控制与风险管理案例分析问题：1.指出资料（1）中总经理的发言所体现的内部控制原则。2.根据资料（2），识别并指出至少3种对甲公司产生不利影响的风险类型。3.判断资料（3）中1）4）项控制措施是否存在不当之处；对存在不当之处的，分别说明理由。参考答案：1.（1）适应性原则。（2）成本效益原则。2.（1）政治风险。（2）市场风险。（3）现金流风险。3.1）存在不当之处。理由：企业应当建立科学的供应商评估和准入制度，确定合格供应商清单，与选定的供应商签订质量保证协议，建立供应商管理信息系统，对供应商提供物资或劳务的质量、价格、交货及时性、供货条件及其资信、经营状况等进行实时管理和综合评价，根据评价结

31、果对供应商进行合理选择和调整。2）存在不当之处。理由：企业应当建立环境保护与资源节约制度，提高环境保护与资源节约意识，认真落实节能减排责任，积极开发和使用节能产品，发展循环经济，降低污染物排放，提高资源综合利用效率。3）不存在不当之处。4）存在不当之处。理由：企业财务报告应当如实列示当期收入，收入的确认应当遵循规定的标准，不得提前或推迟确认收入。第3章 中国标准思考题1.简述中央企业全面风险管理指引中规定的全面风险管理的总体目标及风险管理基本流程。答：根据中央企业全面风险管理指引规定，企业开展全面风险管理要努力实现以下五大风险管理总体目标：（1）确保将风险控制在与总体目标相适应并可承受的范围内

32、；（2）确保内外部尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；（3）确保遵守有关法律法规；（4）确保企业有关规章制度和为实现经营目标而采取的重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；（5）确保企业建立各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。风险管理基本流程包括以下主要工作：（1）收集风险管理初始信息；（2）进行风险评估；（3）制定风险管理策略；（4）提出和实施风险管理解决方案；（5）风险管理的监督与改进。2.中央企业全面风险管理指引的发布有哪些作用和意义？答：企

33、业全面风险管理是一项十分重要的工作，关系到国有资产保值增值和企业持续、健康、稳定发展。中央企业全面风险管理指引是国资委全面落实科学发展观，坚持可持续发展，履行出资人职责，指导和促进中央企业推进管理创新，增强企业竞争力，促进企业持续、健康、稳步发展的一个重要文件。中央企业全面风险管理指引借鉴了发达国家有关企业风险管理的法律法规、国外大公司在风险管理方面的通行做法，以及国内有关内控机制建设方面的规定，对于中央企业建立健全风险管理长效机制，促进企业稳步发展，防止国有资产流失，保护投资者利益，都具有一定的意义。3.我国企业内部控制规范体系的框架主要包括哪几个层次？请简要描述。答：我国企业内部控制规范体

34、系的框架主要包括基本规范、配套指引、解释公告与操作指南三个层次。企业内部控制基本规范是内部控制体系的最高层次，属于总纲，起统驭作用。配套指引是内部控制体系的主要内容，是为促进企业建立、实施和评价内部控制，规范会计师事务所内部控制审计行为所提供的指引。配套指引由企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引组成。三者之间既相互独立，又相互联系，形成一个有机整体。解释公告是对企业内部控制规范体系实施中普遍反映和亟须解决的问题进行的解释说明，是对内部控制规范体系的重要补充，是政府监管机构对企业内部控制规范体系实施过程的监控和反馈。操作指南是为了满足部分行业企业的个性化需求，对内部控

35、制规范体系的建设方法、控制程序、实施步骤、考核办法做出行业内的具体规定，以期为各类企业建设实施内部控制规范体系提供经验借鉴和具体实务操作指导。4.企业内部控制基本规范规定的五个原则分别是什么？答：全面性原则是指内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项；重要性原则是指内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域；制衡性原则是指内部控制应当在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督，同时兼顾运营效率；适应性原则是指内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整；成本效益原则是指

36、内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。5.企业内部控制应用指引可以划分为哪三大类型？答：企业内部控制应用指引可以划分为三类：内部环境类指引、控制活动类指引、控制手段类指引。（1）内部环境类指引。内部环境类指引是业务层级内部控制的保障体系。内部环境类指引有5项，包括组织架构、发展战略、人力资源、企业文化和社会责任等指引。（2）控制活动类指引。控制活动类指引是对各项具体业务活动实施的控制，此类指引有9项，包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包和财务报告等指引。（3）控制手段类指引。控制手段类指引偏重于“工具”性质，涉及企业整体业

37、务或管理。此类指引有4项，包括全面预算、合同管理、内部信息传递和信息系统等指引。案例分析A公司的内部控制体系实施方案问题：从内部控制理论和方法角度，指出A公司经理层提交的企业内部控制基本规范实施方案各要点中的不当之处，并简要说明理由。参考答案：实施方案要点（1）中，A公司实施内部控制的目标定位不当（或将确保获得标准无保留审计意见作为内控目标不当）。理由：建立健全内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略（或企业内部控制目标包括战略目标、经营目标、报告目标、资产目标、合规目标）。实施方案要点（2）中，（1）由总会计

38、师担任审计委员会主任不当。理由：审计委员会负责人应具备相应的独立性（或审计委员会负责人应当由独立董事担任）。（2）由总会计师兼任内部控制领导小组组长，全权负责本公司内部控制的建立健全和有效实施不当。理由：董事会负责内部控制的建立健全和有效实施（或单位负责人对内部控制的建立健全和有效实施负责）。（3）将业务能力作为选人、用人的决定性标准不当。理由：企业选拔、任用员工，既应当看重业务能力，也应当重视职业道德修养（或企业选拔、任用员工，应当德才兼备）。实施方案要点（3）中，（1）对外部风险忽略不计，重点识别和分析内部风险不当。理由：企业在开展风险评估时，应准确识别与实现控制目标相关的内部风险和外部风

39、险。（2）单纯采用定性分析方法不当。理由：开展风险分析，应采用定性与定量相结合的分析方法。（3）主要采取风险规避策略应对风险不当。理由：企业采用何种风险应对策略，应当根据风险评估结果、风险承受度，结合成本效益原则合理确定（或企业应当综合运用风险规避、风险降低、风险分担、风险承受等应对策略）。实施方案要点（4）中，将员工实施内部控制的情况仅作为绩效考评的参考指标不当。理由：企业应将员工实施内部控制的情况纳入绩效考评体系，作为绩效考评的考核指标（或企业应将员工实施内部控制的情况作为晋升、奖励、惩处等的依据）。实施方案要点（5）中，认为运用信息技术、实现自动控制就能杜绝错误和舞弊不当。理由：内部控制

40、只能为实现控制目标提供合理保证，信息系统本身也存在风险，需要加强控制。实施方案要点（6）中，（1）主要将与财务会计工作密切相关的业务环节和控制流程纳入监督范围不当。理由：内部监督应当将企业所有重要业务事项和高风险领域纳入监督范围（或内部监督范围应当涉及全员、全业务、全过程）。（2）把开展专项监督摆在首要位置不当。理由：内部监督包括日常监督和专项监督，二者应统筹兼顾、综合应用。（3）同时聘请会计师事务所开展内部控制审计不当。理由：为企业提供内部控制咨询服务的会计师事务所，不得同时为同一企业提供内部控制审计服务（或内部控制咨询服务与内部控制审计不相容）。甲公司的内部控制体系实施方案问题：1.根据资

41、料（1）（2）（4）（5），针对内部环境、风险评估、信息与沟通、内部监督要素评价过程中的各种意见分歧，假如你是公司审计委员会主席，逐项说明是否赞同内部控制评价工作组的意见，并说明理由。 2.根据企业内部控制基本规范及其配套指引的要求，逐项判断资料（3）中各项内部控制设计是否有效，并说明理由。参考答案：1.资料（1），关于内部环境：赞同内部控制评价工作组对没有足够的证据说明企业文化得以有效贯彻落实的判断。 理由：企业文化贯彻落实的有效性应当获取充分的证据支持。资料（2），关于风险评估：赞同内部控制评价工作组对公司风险评估机制存在缺陷的认定。 理由：公司应当对赞助和捐赠事项履行风险评估程序。 资料

42、（4），关于信息与沟通： 赞同内部控制评价工作组将所有风险信息均经由总经理向董事会报告认定为控制缺陷。 理由：重大信息应及时传递给董事会、监事会和管理层。 资料（5），关于内部监督： 赞同内部控制评价工作组对内控评价机构选择的判断。 理由：内部控制评价机构的选择不仅要考虑独立性，还要综合考虑其胜任能力和权威性，以及是否得到公司领导层的支持等。 2.资料（3），关于控制活动： 1）资金投放环节的内部控制设计无效。 理由：大额期权期货交易应当实行集体决策或联签制度。 2）资金筹集环节的内部控制设计无效。 理由：特别授权应当按照规定的权限和程序进行。 3）物资采购环节的内部控制设计无效。 理由：公司

43、应当建立采购申请制度，明确相关部门和人员的职责权限及相应的请购审批程序。 4）资产管理环节的内部控制设计无效。 理由：公司应当对财产保险业务外包实施相应的控制。 5）商品销售环节的内部控制设计有效。理由：虽然特定商品的销售和收款未完全分离，但公司采取了必要的补偿性控制措施，符合适应性原则和成本效益原则的要求。第4章 内部环境思考题1. 什么是企业的组织架构？组织架构的设计与运行中应关注哪些风险？ 组织架构是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际情况，明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。企业的组织架

44、构分为两个层面，一是治理结构，即企业治理层面的组织架构，是与外部主体发生各项经济关系的法人所必备的组织基础；二是内部机构，是企业内部分别设置的不同层次的管理人员及由各专业人员组成的管理团队，是业务顺利开展的保证。组织架构的设计与运行中应关注治理结构层面的风险和内部结构层面的风险。治理结构层面的风险主要是指，治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。内部结构层面的风险主要是指，内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失，运行效率低下。2. 现代企业的内部机构有哪些基本形式？现代企业的内部机构一般包括四种基本形式，即U形

45、结构、M形结构、H形结构和矩阵形结构。（1）U形结构（直线职能制）。U形结构是一种中央集权式的组织结构。它同时设置纵向的领导指挥机构和横向的参谋咨询机构。其优点是领导集中、职责清楚、秩序井然、工作效率较高，整个组织有较高的稳定性。缺点则是上下级部门的主动性和积极性的发挥受到限制；部门间条块分割，情报互通较少，不能集思广益地做出决策，当职能参谋部门和直线部门之间目标不一致时容易产生矛盾，致使上层主管的协调工作量增大；整个组织系统的适应性较差，因循守旧，对新情况不能及时地做出反应。对于只生产一种或少数几种产品的中小型企业而言，U形结构是一种最佳结构。但对规模较大、决策时需要考虑较多因素的组织则不太

46、适用。（2）M形结构（事业部制）。M形结构是一种分权与集权相结合的组织结构。企业按产品、客户、地区等来设立事业部，每个事业部都是一个有相当自主权的利润中心，独立地进行日常经营决策，各事业部都相当于一个U形企业。在纵向关系上，按照“集中决策、分散经营”的原则处理企业高层领导与事业部之间的关系。实行事业部制，企业最高领导层可以摆脱日常的行政事务，集中力量研究和制定企业发展的各种经营战略和经营方针，而把最大限度的管理权限下放到各事业部，使它们能够依据企业的政策和制度自主经营，充分发挥各自的积极性和主动性。在横向关系上，各事业部作为利润中心，实行独立核算。各事业部间的经济往来遵循等价交换原则，形成商品

47、货币关系。（3）H形结构（控股公司制）。控股型组织结构，简称H形组织结构，是指在公司总部下设立若干个子公司，公司总部作为母公司对子公司进行控股，承担有限责任。母公司对子公司既可以通过控股型股权进行直接管理，又可以通过子公司董事会来进行控制。H形结构的管理运作主要是依据资产纽带，被控股公司具有法人资格。如果结构过分松散，控股公司总部往往难以有效控制各子公司，控股公司的战略计划难以实现与贯彻。过度分权会导致管理效率的下降，加大控股公司的管理成本，子公司难以充分利用控股公司总部的参谋人员。此外，控股公司的投资协调比较困难。（4）矩阵形结构。矩阵形结构是按职能划分部门和按任务特点（产品和项目）划分小组

48、相结合所形成的组织结构形式。当环境既要求专业技术知识，又要求每个产品线能快速做出变化时，就可以采用矩阵形结构。职能制结构强调纵向的信息沟通，而事业部制结构强调横向的信息流动，矩阵形结构则可以使这两种信息流动在企业内部同时实现。矩阵形结构不是一种常设的组织结构形式，这种组织结构适合在需要对环境变化做出迅速反应的企业中使用。3. 企业在制定与实施发展战略中应关注哪些风险？企业在制定与实施发展战略的过程中至少应当关注下列风险：（1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。（2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩

49、张，甚至经营失败。（3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至会危及企业的生存和持续发展。4.如何理解人力资源管理风险？人力资源管理风险是指企业在人力资源管理过程中，由于各种不确定性因素以及工作失误的影响而遭受损失的可能性和程度。主要包括人力资源获取风险、人力资源投资风险、人力资源使用风险和人力资源保护风险等。人力资源获取风险主要是指企业招聘新员工时，受企业内外部不确定性因素或内部工作人为失误的影响，不能获得所需要的人力资源，或者在选人工作上产生错误，给企业造成损失的可能性和程度。人力资源投资风险主要有投资对象的选择风险和人员的离职风险。人力资源使用风险主要是指企业进行人员的使用调

50、配和管理授权时，由于人事决策失误、组织协调失衡、员工的思想道德问题或者能力不足等给企业造成损失的可能性和程度。人力资源保护包括劳动者的劳动权利、劳动利益的保护，劳动者工伤事故、身体健康的保护，劳动争议中对劳动者合法权益的保护，对劳动者因公或非因公而丧失劳动能力后基本生活的保障，对劳动者生、老、病、死等各种权益的保护。5.如何理解企业的社会责任？随着社会的进步，企业社会责任越来越成为社会关注的焦点。根据企业内部控制应用指引第4号社会责任，企业社会责任是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等。企业履行社会责

51、任具有非常重要的意义，主要表现在以下方面：（1）履行社会责任有利于实现企业价值创造的目标。（2）履行社会责任可以提高企业经济效益。（3）履行社会责任可以实现企业的可持续发展。6.如何理解企业文化？企业文化建设应关注哪些风险？企业文化是企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。企业文化建设的意义包括以下几个方面：（1）企业文化建设可以为企业提供精神支柱。（2）企业文化建设可以提升企业的核心竞争力。（3）企业文化建设可以为内部控制有效性提供有力保证。企业文化建设应关注的主要风险有：（1）缺乏积极向上的企业文化；（2）缺乏

52、开拓创新、团队协作和风险意识；（3）缺乏诚实守信的经营理念；（4）忽视企业间的文化差异和理念冲突。案例分析最大校企方正集团破产重组问题：结合以上资料，从内部环境角度分析方正集团破产重组的原因，针对完善其内部环境提出建议。参考答案：从内部环境角度来看，方正集团破产重组主要有以下原因：（1）股权结构不合理。方正集团成立之初由北大资产100%绝对控股，股权改制之后，北大资产名义上持股70%，但实际持股仅为35%，而管理层控制65%的股权，导致公司存在内部人控制问题。（2）“董高监”结构失衡。方正集团在成立之初由北京大学持股100%，占据绝对控制权，并且通过委派高管实现对方正集团的掌控。其绝大多数高管

53、在校方兼职或曾经就职，涵盖高校的校长、书记、院长、教务处长等诸多职位，整个方正集团沦为控股股东掌权的工具，导致在公司的关键性经营决策问题上校方具备高度话语权，甚至架空了董事会。（3）关联交易中的利益输送。方正集团第一大股东名义上是北大资产，但其实际控制人为持股65%的管理层，这为大股东掏空提供了可能。一是控制权的掠夺，即管理层通过对“董高监”席位的占据已经掌握方正集团的实际控制权。二是资产与所有者权益的掠夺。大股东对所有者权益的掠夺具体是指通过关联贷款、关联交易、关联担保等一系列手段转移公司资源、对公司进行利益侵占。可以从以下方面完善公司的内部环境：（1）约束大股东权力。当大股东持股超过一定比

54、例时，对其表决权进行打折计算，限制其滥用表决权。（2）完善独立董事制度。独立董事的作用是对股东进行监督与制约，而在现行选举制度下，独立董事由股东大会选举产生，不排除大股东提名利害关系人的可能，因此建议由中小股东提名并选举独立董事，大股东回避，以保护中小股东权利，提高中小股东参与公司治理的积极性。（3）完善监事会结构。目前通过股东或职工代表大会选举监事，难以保证监事的独立性，因此建议引入独立监事，但应将其与独立董事的职权划清边界，以此强化董事会、监事会的监督职能，避免内部人控制。（4）加强对高校控股企业的资产的监管。高校控股企业的资产游离于国资监管之外，缺乏有效监督，建议将其纳入国资监管体系或组

55、建资产经营公司，将高校控股企业资产从学校剥离，统一划转到资产经营公司。第5章 风险识别思考题1.什么是内部风险？常见的内部风险有哪些？企业的内部风险来源于企业的决策和经营活动。企业决策的风险一方面表现为与外界环境不相适应；另一方面表现在企业本身的经营活动中，经营活动中的风险来自企业的各个流程和各个部门。企业常见的内部风险有战略风险、财务风险、运营风险等。战略风险是指战略在制定、实施过程中影响企业目标实现的风险。财务风险是指在企业各项财务活动过程中，由于是各种难以预料或控制的因素影响，企业的财务收益与预期收益发生偏离，企业蒙受损失的可能性。运营风险是指企业内部流程、人为错误或外部因素令企业遭受经

56、济损失的风险。2.什么是外部风险？常见的外部风险有哪些？企业的外部风险来自企业经营的外部环境，包括外部环境本身和外部环境的变化对企业目标的影响。企业常见的外部风险主要有：自然风险、政治风险、市场风险、法律风险、政策风险等。自然风险是指自然灾害、环境状况等自然环境因素导致的建筑物的损失、限制获取原材料或者人力资本等方面的损失。政治风险是因投资者所在国与东道国政治环境发生变化、东道国政局不稳定、政策法规发生变化给投资企业带来经济损失的可能性。市场风险包括产品市场风险、金融市场风险等。产品市场风险是指市场变化、产品滞销等原因导致跌价或企业不能及时卖出自己的产品。金融市场风险包括利率风险，外汇风险，股

57、票与债券市场风险等。法律风险是指因企业内外部的具体行为不规范，导致与企业所期望达到的目标相违背的法律上的不利后果发生的可能性。3.风险识别的流程是什么？风险识别的流程实际上就是收集有关风险因素、风险事故、损失暴露、危害和损失等方面信息的过程，主要包括以下几个方面：（1）发现风险因素。风险管理人员在识别风险主体面临的风险时，最重要且难度最大的工作是了解风险主体可能遭受损失的来源。如果风险管理人员不能识别风险主体所面临的潜在风险，风险因素聚集或者增加，就会导致风险事故的发生。在风险事故发生以前，发现引发风险事故的风险因素是风险识别的核心，因为只有发现风险因素，才能有针对性地选择风险处理技术，改变风险因素存在的条件，有效防止风险因素的增加或聚集。（2）认知风险因素。风险管理人员认知、理解和测定风险因素的能力是风险识别的关键。加强风险管理人员