1、第1章 發展歷程思考題1.內部牽制的核心思想是什么？這一思想過時了嗎？答：內部牽制是指提供有效的組織和經營并防止錯誤和其他非法業務發生的業務流程設計。其主要特點是以任何個人或部門不能單獨控制任何一項或一部分業務權力的方式進行組織上的責任分工，每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制。這一思想并不過時。無論內部控制制度如何變遷，內部牽制都是內部控制制度的核心機制，不能一味地追求內部控制概念邊界擴大和功能拓展而淡化內部牽制在內部控制中的地位和作用。當然，在內部控制的演變過程中，內部牽制應突破固有的概念藩籬，不僅強調分離式牽制，也強調合作式牽制的作用，如會審、會簽、協作等。2.

2、美國內部控制與風險管理的發展經歷了哪幾個階段？各階段有何特點？答：美國內部控制與風險管理理論和實踐的發展大體上經歷了四個階段：內部控制制度階段、內部控制結構階段、內部控制整合框架階段和風險管理整合框架階段。第一階段內部控制制度階段。該階段的特點是“制度二分法”或“二要素”。在這一階段，AICPA（美國注冊會計師協會）不斷修正內部控制的定義、類型、目標，并將內部控制分為內部會計控制與內部管理控制。內部控制被正式納入制度體系，同時管理控制成為內部控制的一個重要組成部分。第二階段內部控制結構階段。該階段的特點是“內部控制結構”概念，內部控制結構不同于第一階段的“制度二分法”，它不再區分會計控制和管理

3、控制，而是確立了一種控制結構。該結構包括為提供取得企業特定目標的合理保證而建立的各種政策和程序，具體由控制環境、會計系統、控制程序三個要素構成。第三階段內部控制整合框架階段。該階段的特點是集大成性，1992年9月，COSO發布了著名的內部控制整合框架，該報告明確了內部控制的定義、內涵、特征、內容等方方面面，集以往內部控制理論和實踐發展之大成，成為內部控制領域最權威的文獻之一，是內部控制發展歷程中的一座里程碑。第四階段風險管理整合框架階段。該階段的特點是將內部控制的整體框架與企業風險管理相結合。COSO于2004年發布的企業風險管理整合框架（簡稱ERM框架），將內部控制上升到全面風險管理的高度，

4、該框架包括四類目標、八個要素，要素為目標服務，企業的各個層面都堅持四類目標，從八個要素進行風險管理，內部控制的目標、要素與組織層級之間形成了一個相互作用、緊密相連的有機統一體系。同時，ERM框架對內部控制要素進行了進一步細 分和充實，使內部控制與風險管理日益融合，拓展了內部控制。3.薩班斯法案404條款對企業有何影響？答：薩班斯奧克斯利法案（簡稱塞班斯法案）404條款明確指出公司管理層對建立和保持一套完整的、與財務報告相關的內部控制系統所負有的責任，并要求管理層在財務年度末，對與公司財務報告相關的內部控制體系做出有效性評估，會計師事務所的審計師需要對管理層所做的有效性評估發表意見。404條款對

5、于在美國上市的企業而言是一個重大沖擊，對于已在美國上市的中國企業以及即將在美國上市的中國企業而言更是一次巨大的考驗。由于中國企業內部控制薄弱，整體準備狀況較差，進展緩慢，要滿足404條款并非易事。尤其對組織分散、業務范圍復雜的大型公司而言，組織越分散，業務越復雜，意味著要做的工作越繁雜，這促使它們不得不投入更多的資金和人力來實施404條款要求的內部控制措施。而對于業務簡單、管理集中的小型公司，雖然實施工作會相對簡單，但卻恰恰可能受到最猛烈的沖擊。受規模所限，它們在執行404條款時更顯捉襟見肘，所要花費的遵循成本可能占其收入的比重更大。4.從ERM框架的演變來看，企業風險管理工作的定位是如何變化

6、的？答：2004年版ERM框架發布至今已有十幾年的時間。在這十幾年間，風險發生了重大變化，由于新環境、新技術的不斷演變，新的風險也層出不窮，基于風險導向的管理理念逐漸興起并成為主流，滲透到企業管理的方方面面。2017年9月，COSO正式發布了一份名為企業風險管理與戰略和業績的整合的報告文件。與原ERM框架相比，新框架著重強調了企業風險管理對戰略規劃和提升績效的重要意義，認為風險管理應嵌入整個組織中，并指出風險不但來自執行層面，也來自戰略制定和戰略驅動的執行方面。在框架結構的設計上，摒棄了ERM框架中脫胎于1992年版內部控制整合框架的八要素設計，而是借鑒2013年版內部控制整合框架應用要素和原

7、則的編寫結構，在5個要素下分別列示20項原則，且這些要素和原則貫穿企業戰略、績效和價值提升。5.如何理解內部環境是企業實施內部控制的基礎？答：內部控制滲透于企業經營管理活動的各個方面。企業只要存在經濟活動和經營管理，就需要有相應的內部控制活動。內部控制活動出現在企業內的各個階層與各種職能部門中，它不僅包括企業管理當局授權管理者采購貨物、銷售貨物、生產產品等經營活動的各種方式方法，也包括核算、審查、分析各種信息資料及報告的程序與步驟，還包括對企業經濟活動進行綜合計劃、控制、評價而制定的各種規章制度。這些環節和經營活動要想順利實現，需要一個很好的內部環境，否則內部控制制度就是一紙空文，各種基本規范

8、也成了擺設。我國企業內部控制基本規范歸納了五大要素，將內部環境放在第一位，說明了內部環境是內部控制中最基本的因素，內部環境主要包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。這幾方面涵蓋了一個企業建立、持續經營所應該具備的方方面面，如果這幾方面沒有設置并實施，那么加強企業內部控制的原動力就會失去，就不會取得較好的內部控制效果。案例分析香港證監會起訴榮智健，為4 500位股民討賠償問題：1.分析中信泰富炒匯巨虧的原因。2.討論為什么內部控制與風險管理的相關立法越來越完善，但仍然不能杜絕企業違規造成的巨大風險及損失。參考答案：1.直接原因：澳元大幅貶值導致外匯杠桿交易失敗。中

9、信泰富在澳大利亞收購了一個鐵礦項目，許多設備和投入必須以澳元支付。為了減低項目面臨的貨幣風險，公司簽訂若干杠桿式外匯買賣合約。而在簽訂外匯杠桿交易合約之后，澳元開始持續貶值，澳元兌美元跌幅高達10.8%，幾乎抹平了2008年以前的漲幅，中信泰富簽訂的外匯杠桿交易合約跌破鎖定匯價，仍在生效的杠杠式外匯買賣合約按公平價定值的虧損約為147億港元。深層次原因：內部控制與風險管理的失敗。導致其巨虧發生的深層次原因在于該公司缺乏一套完善的內部控制與風險管理的體系，具體包括：（1）缺乏良好的內部環境。中信富泰簽訂外匯合約的目的充滿了投機性，按合約接受的94.4億澳元遠遠超過公司鐵礦石項目預計所需的26億澳

10、元。在澳元大幅貶值之初，中信泰富經營管理層本有機會在此期間采取措施減小損失，但卻未采取任何措施，應對風險的反應滯后，這都反映出中信泰富經營管理層風險意識淡薄。（2）缺乏有效的風險評估。中信泰富買入澳元期權總額高達94.4億澳元，但中信泰富密集買入澳元的時段為2007年8月至2008年8月，同期，全球經濟危機已經顯露征兆。中信泰富的管理層此時仍選擇了杠桿式外匯合約，將澳元作為買賣品，風險與收益明顯不對稱，澳元匯率上升時公司獲得的利潤上限被鎖定，但未考慮相關貨幣貶值而設定止損金額，利益有限而風險無限。這反映了公司在簽訂合約的初期沒有對合約潛在的風險進行評估，欠缺風險識別能力和應對能力，榮智健承認：

11、“有關外匯合同的簽訂未經過恰當的審批，而且其潛在的風險也未得到正確的評估。”這為日后巨虧埋下伏筆。（3）控制活動混亂。控制活動是企業保證戰略目標實施的關鍵所在，企業在實施重大戰略規劃前，應當獲得董事會的批準，在實施的過程中也應當隨時向公司高層匯報進展，以便在發生問題時采取有效措施。中信泰富在對外公告中表示：此次事件源于財務層面未遵守公司對沖風險政策，且在交易中未按規定取得批準，超越財務部門應有權限。在虧損事件曝光后，董事會主席榮智健表示其并不知情。這反映了中信泰富在公司治理方面存在重大缺陷，其控制活動混亂不堪，違背了內部控制中職責分明、授權審批等多項基本原理。（4）監控制度形同虛設導致個人瀆職

12、的發生。對于這項合約的簽訂，董事會主席榮智健毫不知情，財務董事行使了超越其權限范圍的權利，這反映了公司的監控制度形容虛設，監督部門未能對管理人員進行有力監督，致使個人瀆職的發生。2.（1）政策與法規建立在現實世界的基礎之上，針對實際情況而設立，目的是解決實際的經濟問題。但隨著世界范圍內市場經濟的不斷發展，全球經濟一體化不斷深入，交流與合作加深的同時企業經濟活動也日益復雜化，各種各樣的實際情況不斷發生，并且由于經濟環境的動態性、交互性，經濟環境時刻處于不斷更新、發展、變化的狀態中，這種時刻變化的特征決定了政策與法規不能固定不變，而政策與法規與現實狀況相比，總是存在著一定的滯后性，這說明，世界上沒

13、有任何一種完美的法律規范來對企業的經濟活動進行監督控制，所以無法杜絕企業違規造成的巨大風險。（2）從人性角度看，人的天性中存在一定程度的追逐巨額利益的驅動，結合偏好曲線的理論，人們對于高風險、高利益事件的偏好程度是不同的。同時，如果對管理人員的思想道德與法律等方面的教育程度不足，當管理人員意識到企業進行違規操作可以獲得巨大的利益時，有些管理人員會在利益的誘惑下鋌而走險，這使得企業永遠無法杜絕違規事件。益強公司因深陷債務違約危機而破產重組問題：1.益強公司發生哪些風險？2.從內部控制與風險管理的角度分析益強公司破產的原因。參考答案：1.企業風險一般可分為戰略風險、財務風險、市場風險、運營風險、法

14、律風險等。益強公司發生了市場風險和戰略風險。市場風險： （1）產品或服務的價格及供需變化帶來的風險。“受2008年美國次貸危機和 2011年歐債危機影響，歐美國家和地區紛紛大幅削減甚至取消光伏補貼，光伏產品國際市場需求急劇萎縮。隨后歐盟對中國光伏產品發起反傾銷、反補貼調查，光伏企業出口遭受重創。全行業的非理性發展導致產能嚴重過剩，市場供大于求” （2）主要客戶、主要供應商的信用風險。“歐盟經濟低迷，海外客戶還款能力下降” （3）稅收政策和利率、匯率、股票價格指數的變化帶來的風險。“歐元匯率下跌匯兌損失使嚴重依賴海外市場的益強公司出現大額虧損。” （4）潛在進入者、競爭者、替代品帶來的風險。“全

15、行業的非理性發展導致產能嚴重過剩，市場供大于求，企業間開始以價格戰展開惡性競爭，利潤急速下降甚至虧損。”戰略風險：發展戰略過于激進，脫離企業實際能力或偏離主業，可能導致企業過度擴張，甚至經營失敗。“在資本市場獲得大額融資的同時，益強公司開始了激進的擴張之路。從橫向看，為了擴大市場份額，益強公司在歐美多個國家投資或設立子公司；從縱向看，益強公司布局光伏全產業鏈，實施縱向一體化發展戰略，由產業中游的組件生產延伸至上游的硅料和下游的電站領域。益強公司還大舉投資房地產、煉油、水處理和 LED 顯示屏等項目。”2. 首先，戰略失誤和市場風險變化是益強公司破產的直接原因。其次，一般情況下，對戰略風險、財務

16、風險、運營風險和法律風險，可采取風險承擔、風險規避、風險轉換、風險控制等方法；對能夠通過保險、期貨、對沖等金融手段進行理財的風險，可以采用風險轉移、風險對沖、風險補償等方法。但益強公司在發生了戰略風險和市場風險后，并未采取任何風險管理方法，仍執著于多方融資擴大產能，致使產品滯銷、庫存積壓。同時，存貨跌價損失、匯兌損失、壞賬準備的計提使嚴重依賴海外市場的益強公司出現大額虧損。上述原因導致益強公司資金鏈斷裂，成為國內債券市場上第一家違約公司，最終破產。第2章 COSO框架思考題1.如何理解COSO對內部控制的定義？答：COSO的內部控制整合框架認為，內部控制是由主體的董事會、管理層和其他員工實施的

17、，旨在為經營的效率和有效性、財務報告的可靠性、遵循適用的法律法規等目標的實現提供合理保證的過程。可以從以下幾個方面理解這個定義。第一，內部控制是一個過程。內部控制是實現目的的手段，而非目的本身。它并非單一的事件或環境，而是針對企業行為的一系列活動。這些活動是潛移默化的，蘊含于管理層的日常經營行為中。同時，內部控制意味著向終點的努力，而非終點本身。它是一個動態的過程，即從整體控制看，包括制度設計、制度執行和制度評價（對制度設計和執行情況的檢查）等階段；從業務控制看，一般應采取事前控制、事中控制和事后控制等措施。第二，人的因素。內部控制不僅是政策手冊和圖標，而且受到企業董事會、經理層和其他人員的影

18、響，是通過企業員工的言行實現的。人們確立企業的目標并通過內部控制系統付諸實施；同樣，內部控制也影響人們的行為，人們理解、交流和行動的方式并非一成不變，每個人都有獨特的背景和才干，有不同的需求和側重點。這些現實既對內部控制產生影響，也受其影響。人們必須知道各自的職責和權限，相應地，在不同職責和權限之間應有明確的分工和聯系。第三，合理保證。內部控制，無論設計和執行多么理想，只能就企業目標的實現向經理層和董事會提供合理保證。合理保證并不意味著內部控制制度的設計和執行可以“包治百病”，也不意味著企業可以“萬事無憂”，只是相對而言，有內部控制制度的企業比沒有內部控制制度的企業更不容易發生錯誤和舞弊，執行

19、得好的企業比執行得不好的企業更有效率。企業目標實現的可能性受到內部控制內在局限的影響，比如人員決策可能失誤，建立內部控制時需考慮成本效益原則，人為錯誤和失誤也會導致內部控制失效。另外，內部控制會因兩個或更多人的合謀串通而失效，而且經理層可能會越權操作。第四，目標。每個企業都有自己的使命，要確立目標及相應戰略。目標的設立應針對整個企業或企業內特定行為。雖然很多目標只針對特定企業，有一些還是普遍適用的，例如，在企業界和客戶層面保持良好的聲譽，向股東提供可靠的財務報表，以及合法合規經營。2.1992年版內部控制整合框架中內部控制的目標有哪些？答：1992年版內部控制整合框架確定了三類目標：（1）經營

20、目標關于企業資源利用的效率、效果；（2）報告目標關于編制公開財務報表的可靠性；（3）合規目標關于法律和法規的遵循性。3.ERM框架與1992年版內部控制整合框架相比，在哪些方面具有創新？答：簡單來看，ERM框架在1992年版內部控制整合框架的基礎上增加了一個新觀念、一個戰略目標、兩個概念和三個要素，即風險組合觀、戰略目標、風險偏好和風險容忍度兩個概念及目標設定、事項識別、風險應對三個要素。針對企業風險管理的需要，ERM框架要求設立一個新的部門風險管理部，并相應設立首席風險官（CRO），全面、集中地推進企業風險管理。相對于1992年版內部控制整合框架而言，ERM框架無論在內容上還是范圍上都有所擴

21、大和提高。4.如何評價2013年版內部控制整合框架？答：與1992年版內部控制整合框架相比，2013年版內部控制整合框架主要有三大亮點，即更實、更活、更穩。（1）更實：提供了內部控制體系建設的原則、要素和工具。2013年版內部控制整合框架提供了17條具體的原則，這是比較“實”的地方，因為1992年版內部控制整合框架只有5個要素，更像是一個學術模型，具體要怎么做，并沒有明確的答案。而這次COSO提到的17條原則都是相對來說更明確的內容，這為企業的內部控制提供了一套路線圖，為企業評價內部控制提供了一張打分表。此外，2013年版內部控制整合框架細化了董事會及其下設專業委員會的描述，還提到了很多案例，

22、以增進從業者對內部控制體系建設的理解。（2）更活：強調企業可以有自己的判斷。在內部控制建設和評價中，2013年版內部控制整合框架強調依賴管理層自身的判斷，而不是像原來一樣要求嚴格基于證據，2013年版內部控制整合框架強調董事會、管理層和內審人員擁有判斷力，這是新框架比較 “活”的地方。2013年版內部控制整合框架認為，內部控制如何實施，如何評價，如何認定有效性，企業可以有自己的判斷。這本質上是在為內部控制解套，是新框架的靈魂。2013年版內部控制整合框架強調在內部控制建設過程中應注重與效率的結合，建議管理層通過判斷，去除那些失效、冗余乃至完全無效的控制，提升控制的效率和效果，而非單純地為了控制

23、而控制。（3）更穩：強調內部控制有效性的認定。2013年版內部控制整合框架對于如何確保內部控制體系的有效性做了進一步澄清，指出有效的內部控制應滿足以下幾個條件：第一，每個要素及相關的原則存在且有效運行；第二，各要素整合地運行，即內部控制五要素中的每一項都會受到其他要素的影響，應視為一個整體。2013年版內部控制整合框架在指出內部控制的局限性方面比1992年版更加明確，指出了內部控制在決策和應對外部事件中的局限性。舊整合框架發布于1992年，在當時體現了一種前沿的、先進的思路。尤其在我國，隨著內部控制規范體系的實施，內部控制變成了對上市公司的最低要求。這種從“前沿”到“最低要求”的變化，集中體現

24、在上市公司必須披露自己內部控制的有效性，并接受審計。那么，是不是審計通過了，上市公司就沒風險、沒有問題了呢？實際情況并不是這樣，一些風險事件還是發生了。所以，新框架強調了內部控制對天災（外部事件）和人禍（人為失誤）的無能為力。5.如何理解ERM框架對于風險管理的定義？答：ERM框架認為，風險管理是一個由企業的董事會、管理層和其他員工共同參與的，應用于企業戰略制定和企業內部各個層次和部門的，用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業目標的實現提供合理保證的過程。該定義強調：（1）企業風險管理是一個過程，它并不是靜止的，而是滲透于一個主體的各種活動的持續的或反復的相

25、互影響，其本身并不是一個結果，而是實現結果的一種方式。（2）企業風險管理是一個由人參與的過程，它是通過一個組織中的各個層級的人和他們的言行來完成的。同時，企業風險管理也會影響人的行動。（3）風險管理過程可應用于戰略制定。（4）風險管理過程貫穿整個企業。（5）風險管理過程旨在識別一旦發生將會影響主體的潛在事項，并把風險控制在風險容量以內。（6）設計合理、運行有效的風險管理能夠為企業的管理層和董事會就企業各目標的實現提供合理保證。（7）企業風險管理整合框架針對一類或幾類相互獨立但又存在重疊的目標，目的在于實現企業目標。6.新ERM框架相對于ERM框架有何進步？答：新ERM框架的進步性體現在：（1）

26、目標定位更明確。新ERM框架將風險管理置于組織績效的背景下，真正融入戰略和績效管理的工作中，而不是作為一個獨立運轉的系統。（2）概念邊界更清晰。關于風險管理和內部控制關系的解釋，COSO在新框架的第一冊“框架應用環境”中提出：“內部控制主要聚焦在主體的運營和對于相關法律法規的遵從性上。”為了更好地厘清兩者的關系，新框架在概念的處理上頗為用心，一方面，企業風險管理的相關概念并沒有包含在內部控制中。另一方面，一些在內部控制中比較常見的概念，例如與報告目標相關的舞弊風險、與合規目標相關的控制活動、與運營目標相關的持續及獨立評估，在新ERM框架中并未述及。（3）適用范圍更廣泛。新ERM框架的主體適用性

27、已經從企業拓展到各種類型的主體或組織。案例分析奧林巴斯的內部控制問題：根據上述資料，結合本章相關知識，你認為奧林巴斯的內部控制可能存在哪些缺陷？參考答案：在本案例中，奧林巴斯的舞弊行為源于其內部控制的缺陷，主要表現在以下方面：（1）控制環境惡劣，公司治理結構存在嚴重缺陷。日本的FACTA雜志質疑奧林巴斯多起并購交易引起的巨額損失，時任奧林巴斯CEO的伍德福德向董事長和財務副總裁詢問時屢被搪塞。當伍德福德將暗中調查的結果告訴其他董事會成員時卻在董事會上遭到了解雇。說明奧林巴斯的公司治理結構存在嚴重缺陷。公司治理的關鍵在于明確、合理地配置公司股東、董事會、經理人員和其他利益相關者之間的權利、責任和

28、利益，從而形成有效的制衡關系。對于奧林巴斯來說，董事會形成虛設，難以發揮應有的職責；缺乏監事會，無法對董事、高管等執行公司職務時違反法律、法規或者公司章程的行為進行監督。總之，奧林巴斯的公司治理嚴重失衡。（2）風險評估薄弱，控制活動缺失。當奧林巴斯持有的有價證券減值數百億日元時，公司不但沒有在財務報表中如實披露該事項，反而開始尋找新的辦法防止巨額虧損被披露出來。這一事實，一方面反映了奧林巴斯內部控制制度中風險評估環節的薄弱造成了如此巨額的虧損，另一方面也反映出其控制活動的缺失，即通過非正常的手段來隱瞞虧損，而不是采用合理恰當的控制活動將風險控制在可接受的范圍內。（3）缺乏有效監督機制，舞弊行為

29、嚴重。在奧林巴斯收購三家關聯度不高的非上市公司之后，這三家公司的商譽發生了重大減值。在收購另一家公司的同時向財務咨詢公司支付了超正常標準的傭金和費用，以此完成了對1 100億日元虧損的填補。這些行為性質嚴重，是舞弊行為。奧林巴斯有機會進行這樣的舞弊行為，是由其核算鏈條上的一系列機會造成的，說明奧林巴斯企業內部和外部都缺乏有效的監督機制。（4）存在制度安排缺陷，缺乏有力的內外部監督。從日本當時的整體環境來看，企業治理標準寬松，伴隨著經濟的持續低谷和全球市場競爭的加劇，制度安排的缺陷使日本公司難以形成有效的內部監督機制。同時，日本政府對于大公司舞弊案件的縱容，又使得日本企業缺乏有力的外部監督。內部

30、控制與風險管理案例分析問題：1.指出資料（1）中總經理的發言所體現的內部控制原則。2.根據資料（2），識別并指出至少3種對甲公司產生不利影響的風險類型。3.判斷資料（3）中1）4）項控制措施是否存在不當之處；對存在不當之處的，分別說明理由。參考答案：1.（1）適應性原則。（2）成本效益原則。2.（1）政治風險。（2）市場風險。（3）現金流風險。3.1）存在不當之處。理由：企業應當建立科學的供應商評估和準入制度，確定合格供應商清單，與選定的供應商簽訂質量保證協議，建立供應商管理信息系統，對供應商提供物資或勞務的質量、價格、交貨及時性、供貨條件及其資信、經營狀況等進行實時管理和綜合評價，根據評價結

31、果對供應商進行合理選擇和調整。2）存在不當之處。理由：企業應當建立環境保護與資源節約制度，提高環境保護與資源節約意識，認真落實節能減排責任，積極開發和使用節能產品，發展循環經濟，降低污染物排放，提高資源綜合利用效率。3）不存在不當之處。4）存在不當之處。理由：企業財務報告應當如實列示當期收入，收入的確認應當遵循規定的標準，不得提前或推遲確認收入。第3章 中國標準思考題1.簡述中央企業全面風險管理指引中規定的全面風險管理的總體目標及風險管理基本流程。答：根據中央企業全面風險管理指引規定，企業開展全面風險管理要努力實現以下五大風險管理總體目標：（1）確保將風險控制在與總體目標相適應并可承受的范圍內

32、；（2）確保內外部尤其是企業與股東之間實現真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告；（3）確保遵守有關法律法規；（4）確保企業有關規章制度和為實現經營目標而采取的重大措施的貫徹執行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的不確定性；（5）確保企業建立各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失。風險管理基本流程包括以下主要工作：（1）收集風險管理初始信息；（2）進行風險評估；（3）制定風險管理策略；（4）提出和實施風險管理解決方案；（5）風險管理的監督與改進。2.中央企業全面風險管理指引的發布有哪些作用和意義？答：企

33、業全面風險管理是一項十分重要的工作，關系到國有資產保值增值和企業持續、健康、穩定發展。中央企業全面風險管理指引是國資委全面落實科學發展觀，堅持可持續發展，履行出資人職責，指導和促進中央企業推進管理創新，增強企業競爭力，促進企業持續、健康、穩步發展的一個重要文件。中央企業全面風險管理指引借鑒了發達國家有關企業風險管理的法律法規、國外大公司在風險管理方面的通行做法，以及國內有關內控機制建設方面的規定，對于中央企業建立健全風險管理長效機制，促進企業穩步發展，防止國有資產流失，保護投資者利益，都具有一定的意義。3.我國企業內部控制規范體系的框架主要包括哪幾個層次？請簡要描述。答：我國企業內部控制規范體

34、系的框架主要包括基本規范、配套指引、解釋公告與操作指南三個層次。企業內部控制基本規范是內部控制體系的最高層次，屬于總綱，起統馭作用。配套指引是內部控制體系的主要內容，是為促進企業建立、實施和評價內部控制，規范會計師事務所內部控制審計行為所提供的指引。配套指引由企業內部控制應用指引、企業內部控制評價指引和企業內部控制審計指引組成。三者之間既相互獨立，又相互聯系，形成一個有機整體。解釋公告是對企業內部控制規范體系實施中普遍反映和亟須解決的問題進行的解釋說明，是對內部控制規范體系的重要補充，是政府監管機構對企業內部控制規范體系實施過程的監控和反饋。操作指南是為了滿足部分行業企業的個性化需求，對內部控

35、制規范體系的建設方法、控制程序、實施步驟、考核辦法做出行業內的具體規定，以期為各類企業建設實施內部控制規范體系提供經驗借鑒和具體實務操作指導。4.企業內部控制基本規范規定的五個原則分別是什么？答：全面性原則是指內部控制應當貫穿決策、執行和監督全過程，覆蓋企業及其所屬單位的各種業務和事項；重要性原則是指內部控制應當在全面控制的基礎上，關注重要業務事項和高風險領域；制衡性原則是指內部控制應當在治理結構、機構設置及權責分配、業務流程等方面相互制約、相互監督，同時兼顧運營效率；適應性原則是指內部控制應當與企業經營規模、業務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整；成本效益原則是指

36、內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。5.企業內部控制應用指引可以劃分為哪三大類型？答：企業內部控制應用指引可以劃分為三類：內部環境類指引、控制活動類指引、控制手段類指引。（1）內部環境類指引。內部環境類指引是業務層級內部控制的保障體系。內部環境類指引有5項，包括組織架構、發展戰略、人力資源、企業文化和社會責任等指引。（2）控制活動類指引。控制活動類指引是對各項具體業務活動實施的控制，此類指引有9項，包括資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包和財務報告等指引。（3）控制手段類指引。控制手段類指引偏重于“工具”性質，涉及企業整體業

37、務或管理。此類指引有4項，包括全面預算、合同管理、內部信息傳遞和信息系統等指引。案例分析A公司的內部控制體系實施方案問題：從內部控制理論和方法角度，指出A公司經理層提交的企業內部控制基本規范實施方案各要點中的不當之處，并簡要說明理由。參考答案：實施方案要點（1）中，A公司實施內部控制的目標定位不當（或將確保獲得標準無保留審計意見作為內控目標不當）。理由：建立健全內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整、提高經營效率和效果、促進企業實現發展戰略（或企業內部控制目標包括戰略目標、經營目標、報告目標、資產目標、合規目標）。實施方案要點（2）中，（1）由總會計

38、師擔任審計委員會主任不當。理由：審計委員會負責人應具備相應的獨立性（或審計委員會負責人應當由獨立董事擔任）。（2）由總會計師兼任內部控制領導小組組長，全權負責本公司內部控制的建立健全和有效實施不當。理由：董事會負責內部控制的建立健全和有效實施（或單位負責人對內部控制的建立健全和有效實施負責）。（3）將業務能力作為選人、用人的決定性標準不當。理由：企業選拔、任用員工，既應當看重業務能力，也應當重視職業道德修養（或企業選拔、任用員工，應當德才兼備）。實施方案要點（3）中，（1）對外部風險忽略不計，重點識別和分析內部風險不當。理由：企業在開展風險評估時，應準確識別與實現控制目標相關的內部風險和外部風

39、險。（2）單純采用定性分析方法不當。理由：開展風險分析，應采用定性與定量相結合的分析方法。（3）主要采取風險規避策略應對風險不當。理由：企業采用何種風險應對策略，應當根據風險評估結果、風險承受度，結合成本效益原則合理確定（或企業應當綜合運用風險規避、風險降低、風險分擔、風險承受等應對策略）。實施方案要點（4）中，將員工實施內部控制的情況僅作為績效考評的參考指標不當。理由：企業應將員工實施內部控制的情況納入績效考評體系，作為績效考評的考核指標（或企業應將員工實施內部控制的情況作為晉升、獎勵、懲處等的依據）。實施方案要點（5）中，認為運用信息技術、實現自動控制就能杜絕錯誤和舞弊不當。理由：內部控制

40、只能為實現控制目標提供合理保證，信息系統本身也存在風險，需要加強控制。實施方案要點（6）中，（1）主要將與財務會計工作密切相關的業務環節和控制流程納入監督范圍不當。理由：內部監督應當將企業所有重要業務事項和高風險領域納入監督范圍（或內部監督范圍應當涉及全員、全業務、全過程）。（2）把開展專項監督擺在首要位置不當。理由：內部監督包括日常監督和專項監督，二者應統籌兼顧、綜合應用。（3）同時聘請會計師事務所開展內部控制審計不當。理由：為企業提供內部控制咨詢服務的會計師事務所，不得同時為同一企業提供內部控制審計服務（或內部控制咨詢服務與內部控制審計不相容）。甲公司的內部控制體系實施方案問題：1.根據資

41、料（1）（2）（4）（5），針對內部環境、風險評估、信息與溝通、內部監督要素評價過程中的各種意見分歧，假如你是公司審計委員會主席，逐項說明是否贊同內部控制評價工作組的意見，并說明理由。 2.根據企業內部控制基本規范及其配套指引的要求，逐項判斷資料（3）中各項內部控制設計是否有效，并說明理由。參考答案：1.資料（1），關于內部環境：贊同內部控制評價工作組對沒有足夠的證據說明企業文化得以有效貫徹落實的判斷。 理由：企業文化貫徹落實的有效性應當獲取充分的證據支持。資料（2），關于風險評估：贊同內部控制評價工作組對公司風險評估機制存在缺陷的認定。 理由：公司應當對贊助和捐贈事項履行風險評估程序。 資料

42、（4），關于信息與溝通： 贊同內部控制評價工作組將所有風險信息均經由總經理向董事會報告認定為控制缺陷。 理由：重大信息應及時傳遞給董事會、監事會和管理層。 資料（5），關于內部監督： 贊同內部控制評價工作組對內控評價機構選擇的判斷。 理由：內部控制評價機構的選擇不僅要考慮獨立性，還要綜合考慮其勝任能力和權威性，以及是否得到公司領導層的支持等。 2.資料（3），關于控制活動： 1）資金投放環節的內部控制設計無效。 理由：大額期權期貨交易應當實行集體決策或聯簽制度。 2）資金籌集環節的內部控制設計無效。 理由：特別授權應當按照規定的權限和程序進行。 3）物資采購環節的內部控制設計無效。 理由：公司

43、應當建立采購申請制度，明確相關部門和人員的職責權限及相應的請購審批程序。 4）資產管理環節的內部控制設計無效。 理由：公司應當對財產保險業務外包實施相應的控制。 5）商品銷售環節的內部控制設計有效。理由：雖然特定商品的銷售和收款未完全分離，但公司采取了必要的補償性控制措施，符合適應性原則和成本效益原則的要求。第4章 內部環境思考題1. 什么是企業的組織架構？組織架構的設計與運行中應關注哪些風險？ 組織架構是指企業按照國家有關法律法規、股東（大）會決議和企業章程，結合本企業實際情況，明確董事會、監事會、經理層和企業內部各層級機構設置、職責權限、人員編制、工作程序和相關要求的制度安排。企業的組織架

44、構分為兩個層面，一是治理結構，即企業治理層面的組織架構，是與外部主體發生各項經濟關系的法人所必備的組織基礎；二是內部機構，是企業內部分別設置的不同層次的管理人員及由各專業人員組成的管理團隊，是業務順利開展的保證。組織架構的設計與運行中應關注治理結構層面的風險和內部結構層面的風險。治理結構層面的風險主要是指，治理結構形同虛設，缺乏科學決策、良性運行機制和執行力，可能導致企業經營失敗，難以實現發展戰略。內部結構層面的風險主要是指，內部機構設計不科學，權責分配不合理，可能導致機構重疊、職能交叉或缺失，運行效率低下。2. 現代企業的內部機構有哪些基本形式？現代企業的內部機構一般包括四種基本形式，即U形

45、結構、M形結構、H形結構和矩陣形結構。（1）U形結構（直線職能制）。U形結構是一種中央集權式的組織結構。它同時設置縱向的領導指揮機構和橫向的參謀咨詢機構。其優點是領導集中、職責清楚、秩序井然、工作效率較高，整個組織有較高的穩定性。缺點則是上下級部門的主動性和積極性的發揮受到限制；部門間條塊分割，情報互通較少，不能集思廣益地做出決策，當職能參謀部門和直線部門之間目標不一致時容易產生矛盾，致使上層主管的協調工作量增大；整個組織系統的適應性較差，因循守舊，對新情況不能及時地做出反應。對于只生產一種或少數幾種產品的中小型企業而言，U形結構是一種最佳結構。但對規模較大、決策時需要考慮較多因素的組織則不太

46、適用。（2）M形結構（事業部制）。M形結構是一種分權與集權相結合的組織結構。企業按產品、客戶、地區等來設立事業部，每個事業部都是一個有相當自主權的利潤中心，獨立地進行日常經營決策，各事業部都相當于一個U形企業。在縱向關系上，按照“集中決策、分散經營”的原則處理企業高層領導與事業部之間的關系。實行事業部制，企業最高領導層可以擺脫日常的行政事務，集中力量研究和制定企業發展的各種經營戰略和經營方針，而把最大限度的管理權限下放到各事業部，使它們能夠依據企業的政策和制度自主經營，充分發揮各自的積極性和主動性。在橫向關系上，各事業部作為利潤中心，實行獨立核算。各事業部間的經濟往來遵循等價交換原則，形成商品

47、貨幣關系。（3）H形結構（控股公司制）。控股型組織結構，簡稱H形組織結構，是指在公司總部下設立若干個子公司，公司總部作為母公司對子公司進行控股，承擔有限責任。母公司對子公司既可以通過控股型股權進行直接管理，又可以通過子公司董事會來進行控制。H形結構的管理運作主要是依據資產紐帶，被控股公司具有法人資格。如果結構過分松散，控股公司總部往往難以有效控制各子公司，控股公司的戰略計劃難以實現與貫徹。過度分權會導致管理效率的下降，加大控股公司的管理成本，子公司難以充分利用控股公司總部的參謀人員。此外，控股公司的投資協調比較困難。（4）矩陣形結構。矩陣形結構是按職能劃分部門和按任務特點（產品和項目）劃分小組

48、相結合所形成的組織結構形式。當環境既要求專業技術知識，又要求每個產品線能快速做出變化時，就可以采用矩陣形結構。職能制結構強調縱向的信息溝通，而事業部制結構強調橫向的信息流動，矩陣形結構則可以使這兩種信息流動在企業內部同時實現。矩陣形結構不是一種常設的組織結構形式，這種組織結構適合在需要對環境變化做出迅速反應的企業中使用。3. 企業在制定與實施發展戰略中應關注哪些風險？企業在制定與實施發展戰略的過程中至少應當關注下列風險：（1）缺乏明確的發展戰略或發展戰略實施不到位，可能導致企業盲目發展，難以形成競爭優勢，喪失發展機遇和動力。（2）發展戰略過于激進，脫離企業實際能力或偏離主業，可能導致企業過度擴

49、張，甚至經營失敗。（3）發展戰略因主觀原因頻繁變動，可能導致資源浪費，甚至會危及企業的生存和持續發展。4.如何理解人力資源管理風險？人力資源管理風險是指企業在人力資源管理過程中，由于各種不確定性因素以及工作失誤的影響而遭受損失的可能性和程度。主要包括人力資源獲取風險、人力資源投資風險、人力資源使用風險和人力資源保護風險等。人力資源獲取風險主要是指企業招聘新員工時，受企業內外部不確定性因素或內部工作人為失誤的影響，不能獲得所需要的人力資源，或者在選人工作上產生錯誤，給企業造成損失的可能性和程度。人力資源投資風險主要有投資對象的選擇風險和人員的離職風險。人力資源使用風險主要是指企業進行人員的使用調

50、配和管理授權時，由于人事決策失誤、組織協調失衡、員工的思想道德問題或者能力不足等給企業造成損失的可能性和程度。人力資源保護包括勞動者的勞動權利、勞動利益的保護，勞動者工傷事故、身體健康的保護，勞動爭議中對勞動者合法權益的保護，對勞動者因公或非因公而喪失勞動能力后基本生活的保障，對勞動者生、老、病、死等各種權益的保護。5.如何理解企業的社會責任？隨著社會的進步，企業社會責任越來越成為社會關注的焦點。根據企業內部控制應用指引第4號社會責任，企業社會責任是指企業在經營發展過程中應當履行的社會職責和義務，主要包括安全生產、產品質量（含服務）、環境保護、資源節約、促進就業、員工權益保護等。企業履行社會責

51、任具有非常重要的意義，主要表現在以下方面：（1）履行社會責任有利于實現企業價值創造的目標。（2）履行社會責任可以提高企業經濟效益。（3）履行社會責任可以實現企業的可持續發展。6.如何理解企業文化？企業文化建設應關注哪些風險？企業文化是企業在生產經營實踐中逐步形成的、為整體團隊所認同并遵守的價值觀、經營理念和企業精神，以及在此基礎上形成的行為規范的總稱。企業文化建設的意義包括以下幾個方面：（1）企業文化建設可以為企業提供精神支柱。（2）企業文化建設可以提升企業的核心競爭力。（3）企業文化建設可以為內部控制有效性提供有力保證。企業文化建設應關注的主要風險有：（1）缺乏積極向上的企業文化；（2）缺乏

52、開拓創新、團隊協作和風險意識；（3）缺乏誠實守信的經營理念；（4）忽視企業間的文化差異和理念沖突。案例分析最大校企方正集團破產重組問題：結合以上資料，從內部環境角度分析方正集團破產重組的原因，針對完善其內部環境提出建議。參考答案：從內部環境角度來看，方正集團破產重組主要有以下原因：（1）股權結構不合理。方正集團成立之初由北大資產100%絕對控股，股權改制之后，北大資產名義上持股70%，但實際持股僅為35%，而管理層控制65%的股權，導致公司存在內部人控制問題。（2）“董高監”結構失衡。方正集團在成立之初由北京大學持股100%，占據絕對控制權，并且通過委派高管實現對方正集團的掌控。其絕大多數高管

53、在校方兼職或曾經就職，涵蓋高校的校長、書記、院長、教務處長等諸多職位，整個方正集團淪為控股股東掌權的工具，導致在公司的關鍵性經營決策問題上校方具備高度話語權，甚至架空了董事會。（3）關聯交易中的利益輸送。方正集團第一大股東名義上是北大資產，但其實際控制人為持股65%的管理層，這為大股東掏空提供了可能。一是控制權的掠奪，即管理層通過對“董高監”席位的占據已經掌握方正集團的實際控制權。二是資產與所有者權益的掠奪。大股東對所有者權益的掠奪具體是指通過關聯貸款、關聯交易、關聯擔保等一系列手段轉移公司資源、對公司進行利益侵占。可以從以下方面完善公司的內部環境：（1）約束大股東權力。當大股東持股超過一定比

54、例時，對其表決權進行打折計算，限制其濫用表決權。（2）完善獨立董事制度。獨立董事的作用是對股東進行監督與制約，而在現行選舉制度下，獨立董事由股東大會選舉產生，不排除大股東提名利害關系人的可能，因此建議由中小股東提名并選舉獨立董事，大股東回避，以保護中小股東權利，提高中小股東參與公司治理的積極性。（3）完善監事會結構。目前通過股東或職工代表大會選舉監事，難以保證監事的獨立性，因此建議引入獨立監事，但應將其與獨立董事的職權劃清邊界，以此強化董事會、監事會的監督職能，避免內部人控制。（4）加強對高校控股企業的資產的監管。高校控股企業的資產游離于國資監管之外，缺乏有效監督，建議將其納入國資監管體系或組

55、建資產經營公司，將高校控股企業資產從學校剝離，統一劃轉到資產經營公司。第5章 風險識別思考題1.什么是內部風險？常見的內部風險有哪些？企業的內部風險來源于企業的決策和經營活動。企業決策的風險一方面表現為與外界環境不相適應；另一方面表現在企業本身的經營活動中，經營活動中的風險來自企業的各個流程和各個部門。企業常見的內部風險有戰略風險、財務風險、運營風險等。戰略風險是指戰略在制定、實施過程中影響企業目標實現的風險。財務風險是指在企業各項財務活動過程中，由于是各種難以預料或控制的因素影響，企業的財務收益與預期收益發生偏離，企業蒙受損失的可能性。運營風險是指企業內部流程、人為錯誤或外部因素令企業遭受經

56、濟損失的風險。2.什么是外部風險？常見的外部風險有哪些？企業的外部風險來自企業經營的外部環境，包括外部環境本身和外部環境的變化對企業目標的影響。企業常見的外部風險主要有：自然風險、政治風險、市場風險、法律風險、政策風險等。自然風險是指自然災害、環境狀況等自然環境因素導致的建筑物的損失、限制獲取原材料或者人力資本等方面的損失。政治風險是因投資者所在國與東道國政治環境發生變化、東道國政局不穩定、政策法規發生變化給投資企業帶來經濟損失的可能性。市場風險包括產品市場風險、金融市場風險等。產品市場風險是指市場變化、產品滯銷等原因導致跌價或企業不能及時賣出自己的產品。金融市場風險包括利率風險，外匯風險，股

57、票與債券市場風險等。法律風險是指因企業內外部的具體行為不規范，導致與企業所期望達到的目標相違背的法律上的不利后果發生的可能性。3.風險識別的流程是什么？風險識別的流程實際上就是收集有關風險因素、風險事故、損失暴露、危害和損失等方面信息的過程，主要包括以下幾個方面：（1）發現風險因素。風險管理人員在識別風險主體面臨的風險時，最重要且難度最大的工作是了解風險主體可能遭受損失的來源。如果風險管理人員不能識別風險主體所面臨的潛在風險，風險因素聚集或者增加，就會導致風險事故的發生。在風險事故發生以前，發現引發風險事故的風險因素是風險識別的核心，因為只有發現風險因素，才能有針對性地選擇風險處理技術，改變風險因素存在的條件，有效防止風險因素的增加或聚集。（2）認知風險因素。風險管理人員認知、理解和測定風險因素的能力是風險識別的關鍵。加強風險管理人員