27050内部审计自考资料：风险管理与公司治理审计

考生网为考生收集整理了“27050内部审计自考资料：风险管理与公司治理审计“以供考生们复习使用。自考教材每隔几年都会更新、变动，但相关知识大体不变，考生们抓住考点进行复习即可。

更多资料可查看：内部审计题库、自考教材（相同课程各省教材不一定相同，请按省搜索）。

风险管理与公司治理审计

COSO委员会决定通过有效的风险管理、内部控制及公司治理来改善企业管理的问题，并于2001年开始建立一个可被广泛接受的企业风险管理架构，于2003年7月完成了《企业风险管理框架(草案)》并公开向业界征求意见，于2004年4月颁布正式稿。COSO希望新框架能够成为企业董事会和管理者的一个有用工具，用来衡量企业管理团队处理风险的能力，而内部审计人员可以通过运用ERM(EnterpriseRightsManagement,企业权限管理)框架来更好地理解、评价和管理组织以及内部审计工作中遇到的风险。本章学习重点把握4456即4个名词（风险、公司治理、风险管理、风险评估）、4个论述（风险管理审计与内部控制审计的关系、内部审计在企业风险管理过程中的角色和责任、风险管理的要素、风险管理审计与风险导向审计的内涵是否相同?为什么?）、5个简答（国资委对企业风险的分类、风险回应的方式、制订基于风险评估的审计计划的步骤、公司治理的基本原则、风险分析审计的要点）、6个案例（围绕风险因素、风险类型、风险管理有效性及存在问题、审计风险进行分析）。

第一节风险管理审计的内容

一、什么是风险

(一)定义

国资委在《中央企业全面风险管理指引》中将企业风险定义为未来的不确定性对企业实现其经营目标的影响。【名】IIA新颁布的IPPF将风险定义为：“指对实现目标有影响的事件实际发生的可能性，风险通过影响程度和发生的可能性来衡量。”【名】

(二)风险分类

风险在企业经营活动中有不同的表现，国资委将企业风险分为：战略风险、财务风险、市场风险、运营风险和法律风险五个主要部分。【答】

二、风险管理

企业风险管理是指围绕企业风险去管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。【名】其含义是“识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证。”风险管理过程可以用下列模型表示。

三、企业风险管理的八大要素【论】

企业风险管理有八个相互关联的要素，这八个要素形成了一个全面性的行动架构。

(一)内部环境

企业的内部环境是风险管理的基础，内部环境不仅会影响到策略及目标的设定、活动的设置，而且影响到对风险的辨认、评估及回应。内部环境由多种因素组成，如道德观、人员、管理者的经营理念及风险管理的态度和文化。

(二)目标设定

即规定设定目标的程序并确认目标、策略及风险承受之间的一致性。企业目标可以从以下几个方面确定：1．策略：有关企业整体的目标及使命。2．营运：有关效率、绩效及获利能力。3．报导：有关内部及对外部的报导。4．遵循：有关法令及规章的遵循。

(三)事件辨认

企业经营环境充满不确定性，没有任何企业可以100％地确定特定事项是否或何时发生及其结果将会如何。通过事项辨认的程序，管理者将思考所有会影响其策略及目标达成的内部及外部因素，并将潜在事项加以分类。管理者还要对这些事项之间的相关性进行分析和了解，并且获得充足的资讯作为风险评估的基础。

(四)风险评估

风险评估是指辨认并分析影响目标达成的各种不确定因素。【名】风险评估着重于对潜在事项发生的可能性及其影响程度进行分析和评估，并要分析和评估潜在事项对目标实现的影响。虽然一个单一事项的影响可能很小，但是一连串的事件可能使影响程度增大。风险评估同时使用定性与定量的方法来评估潜在事项的不确定性程度。

(五)风险回应

当风险被辨认及评估之后，管理者必须思考可能采取的风险回应方式及其影响，评估时应同时考虑风险承受度及成本效益。为了达到有效的风险管理，所选择的风险回应方式不能超出企业所能承受的风险范围。

风险回应方式，主要有回避、降低、分摊及接受，当然还有转移、集中等其他方式。管理者决定了管理风险的方式之后，必须将其转化为有效的行动，制订执行计划并且评估计划执行后的剩余风险。【答】

(六)控制活动

内部控制的政策及程序是为了确保风险回应方式的有效执行。每个企业的目标及达成目标的方法不同，所以控制活动也不相同，而且控制活动还反映了企业经营的环境、产业特征、内部组织、内部控制及文化等。一般控制通常包括了对rr管理架构、软体的购置及维修、资料存取的安全等控制；而应用控制的目的则是确保资讯处理的完整、正确及有效。

(七)资讯及沟通

组织的每个层级在辨认、评估及回应风险口守都需要取得来自内部及外部的暹当资讯。资讯取得后，应及时而详尽地提供给管理者，帮助他们快速而有效地拱行任务。有效的沟通既包括内部从上至下或从卞奎上的沟通，也包括对客户、倒应商、政府单位及股东等外部团体的资讯沟通。

有效的企业风险管理必须依赖于历史资讯及现时资讯。从历史资讯中可追踪实际经营结果与目标的差异并找出趋势，同时也能提前察觉到与风险相关的潜在事项。而现时资讯则能够反映已存在于作业程序或作业单位风险的及时资讯，使企业能够依据风险承受度改变其所进行的营运活动。

(八)监督

监督的作用在于确保企业风险管理的各个构成要素在组织的每个层级一致执行。监督进行的方式包括持续监督及个别监督。持续监督是建立在营运活动之中，并且随时不断进行；个别监督是在事实发生之后才进行。相比之下，持续监督的机制更能够迅速地发现问题。

所有可能影响企业目标实现的风险——不管这些风险所显现出的潜在问题或机会都应该让相关的决策者知道，所以建立一个适当的资讯传递机制，让执行决策的人员有效地执行决策是相当重要的。

企业风险管理是一个相互关联的程序，只有八个要素同时存在并能顺利地运作才能发挥其作用。当然，任何一种风险管理程序，不论其设计及执行多好，都不能对结果加以保证，但一定有助于管理阶层增加实现目标的信心。

四、风险管理审计的内容

风险管理审计与风险导向审计的内涵截然不同。风险管理审计的涵义是“对组织的风险管理进行审计”。对于企业来说，这里的风险，是指“企业风险”，主要涉及“经营风险”。在风险管理审计框架下，“风险管理”是审计的客体和对象。风险导向审计是作为继账项基础审计、制度基础审计之后一种新的审计模式，其中的风险指的是“审计风险”，其含义更加倾向于审计主体。【答】

根据我国《内部审计具体准则第16号——内部控制中的风险管理》的要求，基于风险管理过程主要包括风险识别、风险评估、风险应对三个主要阶段的考虑，对风险管理的审计亦应围绕这三个方面展开。内部审计机构和人员应当充分了解组织的风险管理全过程，审查和评价其适当性和有效性，并提出改进建议。

(一)风险识别审计

内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认。

(二)风险评估审计

内部审计人员审查与评价风险评估过程时，应重点关注两个要素：(1)风险发生的可能性，(2)风险对组织目标的实现产生影响的严重程度。

(三)风险应对审计

内部审计人员应当实施适当的审计程序，对风险应对措施进行审查。根据风险评估结果作出的风险应对措施主要包括以下几个方面：1．回避，是指采取措施避免可产生风险的活动；2．接受，是指由于风险已在组织可接受的范围内，因而不采取任何措施；3．降低，是指采取可行措施将风险降低到组织可接受的范围内；4．分担，是指采取措施转移风险。【答】

五、与内部控制审计的比较研究

不能单纯地从COSO的“五要素”或“八要素”角度简单确定内部控制审计与风险管理审计的关系，对于同一个企业来说，内部控制与风险管理的直接载体都是企业的经营活动，控制与风险管理的边界都是企业的法人边界，控制是管理的职能。因此，可以推断，内部控制自然也是风险管理的一个机制，内部控制重心在企业的高管层之下(经营活动)，风险管理的重心在高管层之上(战略设计、决策)，内部控制主要关注不相容职务是否分离，风险管理主要关注经营目标实现过程中的不确定性；内部控制是风险管理的主要机制，但不是全部；合谋舞弊时内部控制无效，需要风险管理辅之。在这样的基础上甄别内部控制审计和风险管理审计，可以得到如表所示之结论。

表：内部控制审计与风险管理审计的关系【论】

比较而言，风险管理审计与内部控制审计不是两个截然不同的事情，二者在整个审计系统框架中具有诸多相似之处，只是重点和审计角度在一定程度上有所不同而已。可以说，风险管理审计是内部控制审计的发展和延伸。

六、内部审计在企业风险管理过程中的角色和责任【论】

内部审计在企业风险管理过程中的核心作用是就企业风险管理过程的有效性提供确认服务和咨询服务。

(一)确认服务。主要包括：1．对风险管理过程的确认服务，2．对正确识别风险的确认服务，3.评估风险管理过程，4．评估关键风险因素报告，5．评估关键风险因素管理。

(二)咨询服务。在咨询服务方面，内部审计应充当企业风险管理过程中的咨询者、建议者、协调者角色，主要包括：1．帮助识别和评估风险，2．指导管理层应对风险，3.协调风险管理相关活动，4．加强对风险的报告与披露，5．保持和完善企业风险管理框架，6．支持企业风险管理的建设，7．在董事会批准的前提下，协助制定风险管理战略。

第二节风险管理审计的途径与方法

风险管理审计从工作的第一步开始就要考虑可能影响企业目标实现的风险，并将这种风险意识一直贯穿于整个审计过程之中。

一、风险识别

风险识别是企业风险管理审计的第一步，是对企业面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程。

二、风险评估的内容与方法

(一)风险评估的主要内容

风险评估是对已识别内部和外部风险的分析确认和衡量。其主要内容包括风险损失频率估计和风险损失程度估计。

(二)风险评估的方法

风险评估的方法有很多，但大体说来可以分为定性分析和定量分析两种方法。

三、基于风险评估的审计计划

制订计划分为两步：评测可利用的资源、风险分析及风险排序【答】

风险分析审计的要点：从因果两个方面去分析风险发生的可能性和影响程度；所采取的定性、定量分析标准和方法是否科学合理；是否根据风险分析的结果进行专业判断和风险排序。【答】

四、基于风险矩阵图与风险测试的审计实施

(一)充分运用风险评估技术，估计风险严重程度和发生的可能性。

(二)数字化的风险测试与风险评价

审计测试是审计实施阶段的主要内容，意味着通过将选择的项目变成证据。对内部控制制度进行测试，需要经过穿行测试和小样本测试两个主要阶段。其中，穿行测试可以通过两种途径达到：一是“凭证穿行测试”，即根据组织的记录来追踪整个活动过程；二是“程序穿行测试”，即由审计人员对活动的每一步进行一到两次的测试。穿行测试是从控制点的分析开始的，审计人员针对项目建设活动中的控制点，对项目建设活动分层进行测试。小样本测试的实质是选择少量的行为活动进行测试，其目的是检查内部控制制度实施的有效性程度，即实际活动效果是否达到了预期的目标。

(三)前瞻性的风险管理审计报告

与常规业务审计报告不同，因不确定性的存在，风险管理审计报告也存在“风险”。如何突出审计报告的前瞻性和可用性?如何体现不同使用者对风险管理审计报告的不同需求?如何降低风险管理审计报告的风险?诸多问题需要讨论和关注。

五、可以借鉴的工具方法

(一)风险坐标图(又称为风险矩阵图)

(二)蒙特卡罗方法

(三)关键风险指标管理、

(四)压力测试

第三节风险管理审计案例分析

1．资料：

某企业2014年1月投产一条年产30000台车载设备生产线，投资100000万元，预计年投资收益15000万元；2015年初，风险管理部门对该生产线进行风险评估。在调查中发现，该生产线生产的设备虽然全部销售，但是，销售车载设备获得的投资收益仅6000万元。

要求：(1)根据上述情况，辨识投产新的车载设备生产线是不是一个风险事件，为什么?(2)可能导致的风险因素有哪些方面，其中最直接的因素可能是什么因素?

答案要点：(1)这是一个风险事件，因为：这个事件符合风险的特征。所谓风险是指在经营活动中达不成经营目标的可能性。本生产线预计年投资收益为15000万元，结果，只实现了6000万元，经营目标没有达成，由不确定性变成了确定性，年少收益6000万元。(2)这个事件的风险因素主要是企业经营影响因素，因为：经过一年的运行，证明生产线符合国家有关产业政策，并没有受到国家法律法规等方面的制裁，这项影响因素不存在；经过一年的运行，生产线年产30000台车载设备的任务完成，在资金投入、人力资源配置、原材料能源供应生产技术等方面应无问题，这方面的影响因素也应不存在：其真正的风险因素应该是车载设备的质量、成本合适产销售影响因素，质量没有达到优质品的标准影响销售量；生产成本过高影响销售价格；市场销售措施不力影响市场占有率，这三项因素都用可能导致利润目标的实现。在车载设备市场属于卖方市场的前提下，其中最主要的影响因素可能是车载设备质量和成本因素。

2．资料：

A公司是美国一家拟上市的食品生产公司，该公司董事会目前正在审查公司的内部控制系统。A公司管理层一直致力于实现最高水平的内部控制，以使股东对公司的管理层更加有信心，同时提高A公司的社会信誉。但是最近A公司的信誉由于内部出现的事件而受到了负面影响。事件的起因是，一种酸奶制品的部分批次所包含的菌群和菌落超出了相关食品安全标准的规定，食品生产质量检验部的一名员工对外进行了披露。该员工曾就此问题向其所在部门的领导进行反映，但并未得到任何答复，遂向媒体投诉。在接受媒体采访时，该员工指出，A公司的工作作风一向不够严谨，此次漠视食品安全标准规定只是公司对待类似问题的一个例子。

要求：确定A公司目前遭受风险的类型，并评价这些风险对A公司可能造成的影响。

答案要点：根据材料可知，A公司目前面临的风险主要包括：第一、法律／合规风险，该公司一种酸奶制品的部分批次所包含的菌群和菌落超出了相关食品安全标准的规定。第二、产品风险，产品质量不过关。第三、声誉风险，由于产品不符合相关国家食品安全标准的规定，再加上该名员工在接受媒体采访时的言词，会对该公司声誉带来严重的长期影响。

3．资料：

美游旅行社从事旅游服务业务，注册资本1000万元人民币，报表中流动资产和负债多，固定投资少，经营成本以人工成本为主。内部审计师王某对2013年美游旅行社的财务报表进行审计。2013年11月间，美游旅行社招揽春节旅游团92团，每团平均20人，预收团费约2000万元，预定2014年2月8日开始陆续出游。在审计2013年美游旅行社财务报表时，内部审计师王某并未发现报表存在重大错报、舞弊或内部控制缺陷，但在执行分析程序时，发现美游旅行社流动比率偏低，资金可能不足。内部审计师王某于2014年2月6日完成对晋美财务报表的审计工作，准备撰写内部审计报告。不料，晋美旅行社于2014年2月8曰不能如约组团旅游，受害人聚集美游旅行社抗议，并声言拟聘请律师告美游旅行社，大众传媒广为报道，内部审计师王某从电视和报纸新闻中得知此事。据报道，由于晋美旅行社预收团费被挪作偿债之用，没有剩余资金用于支付春节旅游团的团费。

要求：(1)企业经营风险与审计风险有什么不同?内部审计师在审计中应考虑哪些风险?(2)结合本案例分析内部审计师在审计中的审计风险是否受经营风险影响?并说明理由。

答案要点：(1)经营风险由企业生产经营管理的具体情况决定，审计师不能控制，只能在了解的基础上进行评估；审计风险是由审计师执业情况决定的，审计师可以通过谨慎执业加以控制，即通过实施针对性的审计程序获取充分、适当的审计证据将审计风险降至可接受水平。审计师在审计中要识别并应对重大错报风险，才能将审计风险降至可接受水平。(2)2013年该旅行社流动比率偏低，资金不足；预收团费被挪作偿债之用，没有剩余资金用于支付春节旅游团的团费，这些经营风险审计到资金问题，容易引发报表重大错报，针对这种风险，如果审计师没有了解、评估和应对风险，经营风险就通过报表重大错报风险转移为审计风险。

4．资料：

2008年12月25日，A市政府举行新闻发布会，通报S集团股份有限公司破产案处理情况。SL牌婴幼儿配方奶粉重大食品安全事故发生后，S集团于2008年9月12日全面停产。截止2008年lO月31日财务审计和资产评估，S集团资产总额为15．6l亿元，总负债17．62亿元，净资产一2．01亿元，经中国品牌资产评价中心评定，价值高达149．07亿元的SL品牌资产灰飞烟灭。S集团倡导的企业文化是为提高大众的营养健康水平而不懈地进取。其宣传资料显示，多年来S集团以履行社会责任为己任。带领8万多户农民脱贫致富，吸纳5万下岗职工和80多万农村剩余劳动力，S集团“与奶农形成了稳固的利益联合体”。s集团的原奶采购模式是“奶农一奶站一乳企”。采用此模式，乳品企业不需要建立养殖场、不需要养殖奶牛，却可以迅速扩大奶源产量。但奶农、奶站都不属于乳企，乳企无法直接、全面地控制奶农和奶站；随着企业规模快速扩张，奶农、奶站愈来愈加分散，控制难度愈来愈大。S集团在养殖区建立技术服务站，派出驻站员，监督检查饲养环境、挤奶设施卫生、挤奶工艺程序的落实。驻站员监督检查对于从源头上保证产品质量意义重大。然而，S集团驻站员监督检查等并没有严格实施，在原奶进入S集团的生产企业之前，缺乏对奶站经营者的有效监督。自“七五”以来集团实现了跨越式发展。其主要原因之一是走一条低成本扩张的资本运营之路，先后与一些省市的30多家企业进行控股、合资、合作，快速壮大了企业规模，扩大了市场份额，使得s集团的组织结构发生了很大变化。但是，这种扩张导致了资金投入跟不上、机器设备及内部管理跟不上的现实，S集团旗下的子公司、联营企业、合营企业大多厂房破旧，设备简陋，埋下了诸多的安全隐患。2005年7月5日，天津市河西区质量技术监督局执法人员在一库房内发现，“SL原味酸牛奶”生产日期是2005年7月6日。执法人员在司机提供的发货凭证上确定这批酸牛奶是在本月4日发出的。现场检查表明，这批SL酸牛奶已经涉嫌伪造生产日期。2007年12月以来，S集团陆续接到消费者关于婴幼儿食用SL牌奶粉出现疾患的投诉。经企业检验，2008年6月份已发现奶粉中非蛋白氮含量异常，后确定其产品中含有三聚氰胺。直到8月2日，S集团才向市政府做了报告。在2007年12月至2008年8月2日的8个月中，S集团未向市政府和有关部门报告，也未采取积极补救措施，导致事态进一步扩大，给中国奶业造成恶劣影响。

要求：运用风险管理的有关知识分析S集团的风险管理有效性。

答案要点：(1)企业承担的社会责任主要是通过其提供给社会的优质产品来实现的，提供优质产品是其履行社会责任的前提。没有奶农的利益就不会有企业的利益。但无视消费者的利益真的才会有更大的企业利益。(2)在采购环节的质量控制已经是形同虚设了。更具隐患和风险的则是集团公司对下属企业的管理和控制。针对影响单位目标实现的各种风险而采取的各种措施和手段不到位。按业务流程进行生产经营管理是确保产品质量的一种最基本控制活动，s集团违背业务流程。(3)S集团每个部门的数据无法有效的收集存储，对于有效的管理企业造成障碍。随着S集团的高速发展，企业规模的扩大，信息的及时性、准确性已成为影响销售的一个重要问题。整个事件表明，S集团并不是积极主动地收集、处理和传递相关信息，尤其是没有及时向政府相关部门报告情况，没有积极主动地向社会披露信息以承担责任、召回问题产品。(4)日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督是指在企业发展战略、组织结构、经营活动、业务流程，关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。日常监督和专项监督无人重视。面对这种组织结构的大变化，进行内部控制有效性的专项监督检查更为必要。

5．资料：

2009年7月6日上午8：02，C市一辆出租车在一立交下桥处发生燃烧。受伤伤员被运送到医院进行救治。该事故已造成2人死亡、4人受伤。对事故原因调查和认定过程中发现以下问题：随着90年代市场化的推进，一些出租车公司开始将出租车承包给司机负责，司机的收入和运载的里程和乘客数成正比。于是，为了多争抢客源，多创经济效益，许多出租车开的异常快，上下班高峰期还常会有拼车、超载的情况。出租车司机只把精力全部投入到驾驶营运当中，而对其车身可能发生的意外和灾难，包括起火白燃，是难以顾及和及时发现的。6曰上午，一辆出租车驶往市区方向的途中，在开到桥上时，一乘客对司机说：“车上有味道，停下来看一下吧。”司机却以“桥上停车不安全”的说法拒绝了该乘客的要求。此次事件发生的时间8：02正是上下班高峰，公交此时基本爆满，出租车也难打到，于是会出现拼车、超载的情况。此次出事的出租车核定的载客人数为4人，但最终却挤上了5个成人和1个儿童。出租车上没有灭火、救生设备。对于C市出租车而言，只有新车以及部分较为高档的车型才可能配置。出租车公司对司机也几乎没有安全教育和应急处理的培训。出租车内也没有明显的标示，对市民也缺乏相关的公共教育。2006年4月，《华商报》曾发表题为《城市公交及出租车辆的应急漏洞》的文章，报道描述除个别公交车及出租车的司机缺乏应急处理的知识和技能，相应的公交公司和出租车公司管理层的安全意识薄弱。文章是基于对2家公交公司和3家出租车公司的调查而写的，而此次出事的出租车所在的公司正是记者批露的3家出租车公司之一。

要求：结合风险管理八要素框架分析该出租车公司在这起出租车燃烧惨剧中风险管理存在的问题。

答案要点：内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。人力资源和企业文化似乎是全国各大出租车公司的软肋。需求远大于供给的市场环境决定了出租车公司的强势地位。应强调出租车公司的公益性质。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。这种风险包括了公司因素导致的内部风险和宏观环境下的市场以及时代因素的外部风险。出租车公司内部实际都没有采取足够的控制措施保证事发时乘客的顺利逃生。保证出租车公司内部和公司与外部环境的沟通对于控制风险至关重要。可用小册子或宣传片等手段，把灾难应急和防范常识送进学校、社区、单位。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

6．资料：

TP软件有限公司1995年在深圳证券交易所上市，主营业务为计算机软、硬件、网络集成等。该公司早在1997年就有了审计部，然而内部审计部门的运作情况极不理想，很少对内部控制运行情况进行监督。1997年TP公司成为首批四家国家级软件企业之一，然而在此机会面前，TP公司不是建设、开发软件园，而是打起以“建设软件园，投资换市场’’的名义源源不断地从政府手中拿到廉价的“高科技”用地的主意，然后把土地按市场价格评估后到银行抵押贷款套现。最后因大部分软件园的建设和投资远落后于当初的承诺，相当部分用地被政府收回。公司一副总裁离开公司的时候，带走了公司核心业务的几乎所有技术和业务骨干。华东区一个主管后勤的副总裁一个月仅“出差”就净赚近万元。2000年5月，作为首批市场化增发的试点，该公司增发3380万股，实际募集资金9亿元。有了充足的资金保障，TP的发展本应如虎添翼。然而，2004年初，在董事长宋xx将其持有的TP股权以象征性2元的价格转让给两同乡1个月后，TP就爆出了近40亿资金黑洞。公司股票于2007年5月21日终止上市。在此期间，该公司以上市公司存款为大股东贷款担保的方式“掏钱”。在难以得到上市公司过半数董事同意的情况下，制造虚假的上市公司董事会决议。为了便于控制，近几年来公司高管和董事会成员频繁更换，公司的重大决策听命于个别核心人物。由于在全国多个城市同时招聘软件工程师，公司根本无法派出足够懂技术的面试考官，有的考官则被应试者问得瞠目结舌。不少公司高层“把公司的钱装进自己的兜”，一些中层更是把公司用于奖励员工的奖金截留提成，业务人员则签署大量的虚假合同。2005年确定的目标是要实现年产值500亿元，成为中国第一流企业，但该年主营业务收人仅5000万元。要求：分析TP软件公司在风险管理方面存在的不足。

答案要点：公司缺陷，公司治理是内部控制设计、运行的制度环境，也是管理层超越内部控制的重要约束机制。（1）内部环境薄弱。内部控制环境是影响内部控制制度有效性的各种因素，是所有控制方式与方法赖以存在与运行的环境。具体包括董事会及审计委员会、管理者的品行及管理哲学和经营风格、管理者的素质、产权关系及组织结构、人力资源政策及实行、企业文化、信息系统、权责划分。管理高层常常藐视或推翻公司制定的内控制度。这是最终导致倒闭的重要因素。（2）目标设定不合公司实际。目标需要得到充分了解和可计量。内部控制要求各个层级的人员根据各自影响范围的不同对企业的目标。（3）未对事项进行全面识别。管理层应当识别对企业产生影响的潜在事项，并确定其是否代表机会或风险，对带来负面影响的事项应予以评估和应对，对能带来正面影响的事件应将其反馈到战略和目标设定过程之中。识别影响事项的内外部因素对于有效的事项识别有重要作用。风险评估使企业能够考虑潜在影响目标实现程度的因素，是提高内部控制效率和效果的关键。（4）控制活动是确保风险应对得以实施的政策和程序，包括确定应该做什么和实现政策的程序。选定了风险应对后，管理层就要确定确保风险应对得以恰当和及时实施所需的控制活动。要确保内部控制切实执行且效果良好、能随时适应新情况。（5）监控是评估内部控制运作质量的过程。

更多复习资料可查看“自考重点知识点”栏目。