【例题 8·简答题】甲公司为一家拟上市的医药生产公司，该公司董事会目前正在审查

公司的内部控制系统。甲公司管理层一直致力于实现最高水平的内部控制，以使股东对公
司的管理层更加有信心，同时提高甲公司的社会信誉。但是最近甲公司的信誉由于内部出
现的事件而受到了负面影响。事件的起因是，一种口服药的部分批次所包含的菌群和菌落
超出了相关药品安全标准的规定，药品生产质量检验部的一名员工对外进行了披露。该员
工曾就此问题向其所在部门的领导进行反映，但并未得到任何答复，遂向媒体投诉。在接
受媒体采访时，该员工指出，甲公司一向缺乏严谨的工作作风，此次漠视药品安全标准
规定只是公司对待类似问题的一个例子。

要求：
（1）根据我国最近制定的相关内部控制原则，说明甲公司的内部控制系统有哪些地

方不符合相关内控原则的要求。

（2）确定甲公司目前遭受风险的类型，并评价这些风险对公司可能造成的影响。

（2009 年简答题）

【答案】
（1）我国于 2008 年 6 月印发《企业内部控制基本规范》，自 2009 年 7 月 1 日起在上

市公司范围内施行，同时鼓励非上市的大中型企业执行。

《企业内部控制基本规范》借鉴了

以美国 COSO 报告为代表的国际内部控制框架，完善的控制系统应当包括五个要素：内
部环境；风险评估；控制活动；信息与沟通；内部监督。

甲公司内部控制系统存在诸多不合规之处。
①甲公司内部环境不完善。员工提出问题被管理层忽视，表明甲公司的文化不支持良

好的内部控制。表明甲公司存在管理效率低下问题。

②甲公司缺乏有效的信息与沟通系统。甲公司员工向管理层反映问题的报告程序不健

全。

③没有证据表明甲公司存在风险评估系统。没有证据表明甲公司存在旨在减少药品微

生物污染风险的控制测试系统。

（2）甲公司遭受的风险类型及其影响。
①甲公司存在信誉风险。甲公司产品不符合外部标准，导致顾客对产品的信心不足。

顾客服用甲公司不合格产品，可能导致公司面临法律诉讼，还将对公司的财务产生不良
影响。

②甲公司存在法律/合规性风险。甲公司因不遵守药物安全标准将面临相关部门的法

律制裁。

疑难问题解答

【问题一】如何理解全面风险管理与企业内部控

制的联系与区别。

【解答】
说到风险管理，有个概念是必须要提到的，即企业内部控制。在实践中有

很多企业不能真正理解全面风险管理与内部控制的区别和联系，要么将两者
完全隔离开来，要么只是简单地将它们等同起来。那么它们有什么联系和差异
呢？目前国际上基本上是接受了美国 COSO（全国虚假财务报告委员会的发