内部控制试题集(内控考试).doc

内部控制试题集(内控考试)一、体系框架 1.什么是内部控制？ 答：COSO内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为实现经营的效率和效果性、财务报告的可靠性、相关法规的遵循性等目标而提供合理保证的过程。其含义如下： (1)内部控制是一个过程，是一个发现问题、解决问题，不断发展和完善的动态过程；(2)内部控制是由董事会、管理层、各部门、所属单位和全体员工共同实施的完整体系； (3)内部控制是对公司内部的人、财、物、信息等要素的控制制度、程序和办法。 2.为什么要进行内部控制体系建设？ 答：2001年，美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光，诚信危机震撼着美国及国际社会。为了提高民众对美国金融市场、政府经济政策的信心，2002年7月，美国政府颁布实施了萨班斯奥克斯利法案。法案要求在美国上市的境内外上市公司必须建立完善的内部控制体系并保持有效的执行。香港证券监管机构对此也提出了严格的要求。中国石油天然气股份有限公司作为在美国纽约证券交易所和香港联交所上市的公司，必须满足上市地的监管要求，建立完善的内部控制体系，并保证有效执行。 3.美国证券交易委员会认可的内部控制体系建设标准是什么? 答：美国证券交易委员会唯一推荐使用的内部控制体系标准是COSO框架体系。 注：萨班斯奥克斯利法案第404条款的“最终细则”也明确COSO内部控制框架可以作为评估公司内部控制的标准。 4.什么是COSO内部控制框架？ 答：COSO是自愿性的私人组织，由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成，致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。1992年9月，COSO委员会提出了内部控制-整体框架报告，即COSO内部控制框架。 5.COSO内部控制框架的主要内容？ 答：COSO内部控制框架的核心内容主要体现在内部控制目标和内部控制构成要素。 内部控制目标有：经营的效率效果性、财务报告的可靠性、法律法规的遵循性。 内部控制的构成要素有：控制环境、风险评估、控制活动、信息与沟通、监督等五个方面。 6.萨班斯奥克斯利法案中302条款和404条款的主要内容是什么？ 答：302条款主要明确了在美国上市公司对财务报告的责任，要求向美国证券交易委员会定期提交财务报告的公司，在每一个年度或季度的财务报告中附一份由公司总裁和财务总监签署的书面认证书，保证公司提交的财务报告在所有重大方面公允地反映了公司的财务状况和经营成果。404条款主要明确了公司对建立内部控制的责任，要求管理层必须建立、记录、运行、维护、测试和评价内部控制体系，并通过外部审计师的审计。 7.目前中国石油内部控制体系框架主要包括哪些内容？ 答：目前中国石油以COSO框架为指引，进行内部控制体系建设。主要包括：控制环境、风险评估、控制活动、信息与沟通和监督五个方面的内容。 8.内部控制的三大目标是什么？ 答：内部控制的三大目标是： (1)经营的效率效果性：与公司的基本经营目标相关，包括业绩目标、盈利性目标和资产的使用效果目标； (2)财务报告的可靠性：与财务报告的编制相关，包括公开的中期报告和财务简报以及从报告提取的诸如收入等的财务数据是真实的、客观的、公允的，而不是虚假的； (3)法律法规的遵从性：内部控制规范的经营活动必须符合公司适用的法律和法规。 9.内部控制的五大要素是什么？答：内部控制五大要素是：控制环境、风险评估、控制活动、信息与沟通和监督10.内部控制的局限性表现在哪些方面？ 答：内部控制，无论设计和运行的多么完善，也只能就企业目标的实现向管理层和董事会提供合理的保证。它的局限性主要表现在： (1)决策中个人的判断可能是错误的； (2)需要考虑内部控制的相对成本和收益； (3)简单的误差或错误带来的内部控制失效； (4)两个或更多人的合伙同谋行为而导致内控失效； (5)管理层能够无视内控体系。 11.如果中国石油不能通过内部控制审计将会带来什么影响？ 答：蒋洁敏总裁在内控工作讲话中指出：“中国石油内部控制必须通过外部审计，通不过，就意味着公司价值受到损害；通不过，我们在国际资本市场就没有形象；通不过，将来的发展就失去了制度保障。”二、控制环境 12.什么是控制环境？如何理解控制环境的重要性? 答：控制环境就是指内部控制依存和运行的、对其建立和实施产生影响的内部和外部因素的总和，主要反映管理者和其他人员对内部控制的态度、认识和行动等。控制环境是内部控制得以正常运行的基础，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。控制环境确定了公司的总体态度，是内部控制所有其他组成要素的基础。 13.控制环境包括哪些内容？ 答：控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任分配、人力资源政策与措施、董事会和审计委员会以及反舞弊等内容。 14.“职业道德”的关注要点有哪些？ 答：(1)职业道德规范的制定及推行：管理层应该向员工传达职业道德规范，并且必须不折不扣地执行。员工应该知晓和理解这些规定。管理层应该在言谈和行动中表现出对职业道德规范一丝不苟的遵循。 (2)“高层管理基调”的建立：包括详尽的道德指导和在公司上下沟通程度的指导。具体包括： 通过一言一行，在公司范围内传达对职业道德规范的遵循； 员工感觉到被同仁敦促做正确事情的压力； 管理层对存在问题的迹象予以适当关注。 (3)与利益相关方的关系：要求管理层在与员工、供应商、客户、保险公司、竞争对手和审计师等进行交往时，也要采用高的道德标准，并且要求其他人同样遵守。 (4)违规处理：对违反政策及道德标准的情况采取适当的措施。 (5)管理层对干预或逾越既定控制的态度，具体包括：管理层就需要进行干预的情形和进行干预的频率订立方针；管理层对控制制度的干预被适当地记录和解释；明确禁止管理人员逾越既定控制。 (6)实现目标的压力：确定合理的绩效目标，特别是短期目标；工资与绩效的挂钩是合理的。 15.什么是干预？什么是越权？ 答：干预是指为了合法的目的而偏离既定的规章和程序的行为。当出现特殊的和非标准的交易和事件时，管理层的干预是合理的，因为没有一个公司在设计内部控制时能够考虑所有因素，当特殊情况出现，现有的内部控制不适用时，需要管理层采取干预进行处理。越权则是指为了不合法的目的而不遵守既定的规定和程序。 例如：(1)某一客户要求进行易货贸易，在公司的现有规章制度中没有对此类交易进行相关规定，这时，需要管理层采取一定的方式进行决策，决定接受或拒绝该项交易，同时对该项交易的过程和理由进行适当的记录，这种行为就是干预。 (2)公司在销售业务中明令禁止收取商业承兑汇票，如果管理层为了某些不法利益，授意财务人员收取商业承兑汇票，这种行为就是越权。 16.“员工胜任能力”的关注要点有哪些？ 答：(1)岗位职责描述：管理层应当以正式或非正式的岗位描述或其它方式，分析并定义各岗位的具体工作任务，考虑员工在履行工作时运用判断的程度和对该工作的相应监督程度。 (2)分析胜任工作所需要的知识和技能：管理层应分析并确定员工胜任工作所需的基本知识和技能，并有证据表明员工具备工作所需的基本知识和技能。 17.“管理理念和经营风格”的关注要点有哪些？ 答：(1)业务风险的接受程度：在介入新业务前，是否经过仔细的风险和收益分析后才采取行动；是否经常介入风险特别高的业务，还是在接受风险方面非常保守。 (2)关键人员的更换频率：关键部门人员(如：经营、会计和数据处理等部门)的更换频率，具体包括：管理层和监督层人员是否存在过高的更换频率；关键岗位员工是否存在突然辞职，或辞职提前通知期较短的现象。 (3)管理层对数据处理、财务报告等的态度： 财务职能被认为仅仅是公司的“计数中心”，还是公司各种经营管理活动的控制中心； 所选用的会计准则是否追求财务报告利润最高； 如果会计职能为分散管理，地区公司负责人是否对报告结果签字确认； 基层单位的财务部门是否与总部的财务部门有工作汇报关系； 重大资产，包括知识资产和信息被严格地保护，防止未经授权的接触。 (4)高级管理人员相互交流的频率：高级管理人员是否经常访问分支机构及不同地区的下属机构；是否经常召开公司或区域性的管理层会议。 18.“组织结构”的关注要点有哪些？ 答：(1)组织结构适应信息流通和权力集中程度：考虑公司经营业务的性质，公司的组织结构按照适当集中或分散的管理方式设置；组织结构有利于信息的上传、下达和各业务活动间的传递。 (2)关键管理人员的知识和经验：关键管理人员具备执行相关职责的知识和经验。具体包括：负责的管理人员技能素质满足要求，具备执行其业务必备的知识、经验并接受适当培训。 (3)汇报机制的适当性：确立的汇报机制是有效的，能够保证管理人员获得与其责任和权限有关的信息。经营活动的管理人员有与相关的高级管理人员进行沟通和交流的通畅渠道。 (4)组织结构变化的适应性：组织结构会在何种程度上随环境的变化而变化。具体包括：管理人员定期根据变化的业务或行业环境来评价公司的组织结构。 (5)职员人数足够：存在足够数量的员工，特别是管理人员。具体包括：管理人员拥有足够的时间来有效地履行职责；管理人员能够将工作分派给其下属，避免出现大量加班，以完成本可以由多名员工完成的工作。 19.“权力和责任的分配”的关注要点有哪些？ 答：(1)责任分配与授权：根据公司的目标、经营职能和监管要求，分配责任和授权，包括信息系统的责任和变化的授权。具体包括：职权和职责被授予公司内的员工；决策的责任与其职权和职责相对应；对员工进行授权和分配职责时，应充分考虑适当的信息。 (2)数据、会计等员工技能的充分性：数据处理和会计职能部门的员工应具备与公司规模、业务活动和系统相适应的技能水平。具体包括：从数量和经验两个方面考虑，公司拥有足够的员工以完成其职责。 (3)责任分配与授权的恰当性：授权和所分配的责任相吻合。具体包括：完成工作所需要的权力与高级管理人员参与的程度应存在适当的平衡；授予合适级别的员工纠正问题或实施改进的权力，并且此授权也明确了所需的能力水平和权力界限。 20.“人力资源政策”的关注要点有哪些？ 答：(1)人力资源政策和程序：雇佣、培训、晋升和员工薪酬的政策及程序，具体包括：现有人力资源政策和程序可以招聘并发展有能力、可信的人员，能够支持有效的内部控制体系；对招聘和培训合适人员的关注程度是适当的。 (2)员工责任和目标：员工(包括新员工)应意识到他们的工作职责和公司对他们的期望。 (3)违规行为的纠正措施：对违背政策和程序的行为的校正，具体包括：管理层对工作失职采取适当的措施；有对违背政策的适当纠正行为；员工应明白未照章执行的行为最终将被纠正。 (4)道德标准的遵从：人力资源政策与相应的道德标准一致，对职业道德规范的遵从是员工评价的一项标准。 (5)核查候选人的背景：特别要考虑公司不能接受的行为或活动，具体包括：对频繁更换工作和职业背景相差很大的候选人要仔细核查；雇佣政策要包括对犯罪记录的调查。 21.什么是舞弊？舞弊行为有何特征？ 答：舞弊是指以故意的行为获得不当或非法利益。 舞弊行为主要有两个特征：一是主观故意；二是获得不当或非法利益，包括对财务报告造成重大影响或给公司造成重大损失等情况。 22.“反舞弊”的关注要点有哪些？ 答：(1)管理层有效地设计、实施公司反舞弊程序和控制，针对规避财务报告内部控制的行为和其他欺诈行为，采取适当的措施。 (2)董事会和审计委员会监督公司反舞弊程序和控制。 (3)建立并推行道德准则。 (4)建立道德热线/检举揭发机制。 (5)雇佣和晋升时进行背景调查。 (6)建立舞弊调查程序并实施恰当的补救措施。 (7)进行舞弊风险分析。 (8)为减少已识别的舞弊风险应该设计并实施有效的控制活动。 (9)对反舞弊相关信息进行收集和分享并适当培训。 (10)管理层对反舞弊程序和控制的质量持续监控和定期评估。 23.反舞弊重点关注哪些类型的舞弊行为？ 答：(1)财务报告舞弊。如：以不适当的收入确认方法调节收入、高估资产或低估负债等。 (2)资产盗用。例如，非法挪用公司财产、工资舞弊或偷窃等。 (3)不当目的的支出或负债。例如，商业行贿、对政府行贿、其他不当付款等。 (4)以欺诈的方式取得资产和收入。如：不当的超额收取货款或费用、掉换销售货品等。 (5)以欺诈的方式避免成本或费用。例如，公司不当地逃避税费或避免成本等。 (6)高级管理层或董事会成员在财务方面的不当行为。例如，不正当的关联方交易等。 24.反舞弊在内控体系中的重要性如何？ 答：反舞弊是内控体系建设的重要内容之一，反舞弊的目的就是保证财务报告的真实性和可靠性。外部审计对反舞弊程序与控制非常关注，PCAOB(美国上市公司会计监管委员会)审计工作准则第2号在重要缺陷与实质性漏洞方面对舞弊导致的后果专门作了规定。 25.PCAOB(美国上市公司会计监管委员会)审计准则所称高级管理层是指哪些人员？ 答：PCAOB审计准则所称的“高级管理层”包括根据萨-奥法案第302条签署公司证明的主要高级管理人员和财务负责人，也包括在公司财务报告过程中发挥重要作用的其他管理人员。 股份、专业和地区公司与财务报告相关的高级管理层人员包括：公司总裁、财务总监、财务部总经理和副总经理；专业分公司总经理和总会计师；地区公司的总经理、负责财务的副总经理和总会计师等。 26.PCAOB审计准则对高管人员舞弊是如何规定的? 答:PCAOB审计准则第2号140条第6款规定:高级管理层中的任何程度的舞弊行为,至少应被认为是一个重要缺陷,并且是财务报告内部控制存在实质性漏洞的明显征兆。 27.信访举报的方式有几种？分公司信访举报的电话和渠道是什么? 答：信访举报方式主要有来信、来访、电话、电子邮件和网上举报5种。 分公司信访举报电话和渠道是： 举报电话： 举报邮箱： 受理机构：党委办公室纪检监察岗 办公地点： 通信地址： 邮编：三、风险评估 28.什么是风险？ 答：风险是指任何可能影响目标实现的负面因素，所有公司，无论规模、结构和行业性质，都面临着诸多来自内部和外部的风险，影响公司既定目标的实现。 29.如何理解风险的特性？ 答：(1)风险具有不确定性。风险什么时间、什么地点发生是没有规律的。 (2)风险具有客观性。风险是客观存在的，只要企业存在该业务，那么相对应的风险就应该存在，而不论在哪级管理层面上，也不会因为企业具有严密的控制措施而消失，也不能因为目前风险没有发生，就判断没有此项风险。 (3)风险具有对应性。风险是与业务相对应的，不同的业务存在不同的风险，不能将甲业务的风险列在乙业务上。 (4)风险具有可避免性。风险是可以认识，并可通过采取控制措施加以规避。对风险可以采取回避风险、减少风险、分担风险、接受风险等办法进行管理。 30.什么是风险评估？ 答：风险评估就是识别和分析那些影响目标实现的风险的过程，是风险管理的基础。 31.如何确定重要风险？ 答：公司主要根据风险发生的可能性和影响程度的对应关系将风险重要性水平分为高、中、低三类，如果风险发生的可能性属于较大可能，并且风险的影响程度属于较大影响，则将该类风险的重要性水平确认为高，对于重要性水平为高的风险，公司将此类风险确定为重要风险。 32.什么是公司层面目标？ 答：一个公司要达到有效控制就必须建立目标。公司层面的目标包括公司期望实现目标的总体说明，并有相关的战略计划支持。 (1)公司层面的目标提供对公司期望达到的主要目标的充分说明和指导，它们应当与公司直接相关； (2)公司层面目标的生效应与员工及董事会沟通； (3)公司层面目标与战略计划的关联性和一贯性； (4)公司计划和预算与公司层面目标、战略计划及当前情况的一致性。 33.什么是业务活动层面目标？ 答：业务活动层面的目标来自公司的总目标和战略计划，并与之相联系，是随着具体对象和最终期限不断制定的。这些目标应针对每个重要活动并与其他活动保持一致： (1)业务活动层面的目标与公司目标及战略计划一致； (2)各个活动目标之间的一致性； (3)所有重要业务流程与业务活动层面目标的相关性； (4)业务活动层面目标的具体性； (5)资源的充足性； (6)确定决定公司整体目标实现与否的重要因素； (7)管理层参与制定公司目标以及他们对目标的负责程度。四、控制活动 34.什么是控制活动？ 答：控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构内所有级别和职能部门。包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。 35.控制目标类型有哪些？ 答：控制活动目标类型分为：完整性控制(C)、准确性控制(A)、有效性控制(V)、限制接触控制(R)。 (1)完整性控制(C)：指建立完整规范的控制体系和标准；生产经营和财务信息数据的采集、记录和处理完整，无遗漏和重复。如：把当期所有的合同信息都完整地、不重复地录入合同管理系统。 (2)准确性控制(A)：指所有信息和数据的计算、归集和记录准确无误。如：在采购过程中，合同上的价格、数量应该准确；发票内容与销售交易内容或合同应当一致。 (3)有效性控制(V)：指所有的生产经营活动都经过适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件。如：付款经过适当的管理人员审批；费用报销附有真实有效的原始单据。 (4)限制接触性控制(R)：指信息处理控制和实物资产的保护和安全控制。如防止存货和实物资产的偷窃和遗失；规定只有出纳人员才能保管现金等。 36.规避风险应采取哪些控制措施？ 答：(1)全面预算控制。通过编制预算，检查、分析、考核预算执行情况，利用权、责、利的对等关系来实施的控制。 (2)职责分工控制。按照不相容职务相分离的原则设置合理的机构和岗位，明确职责权限，形成内部制衡机制的控制。 (3)授权批准控制。通过建立并执行明确的授权审批程序而实施的控制。 (4)查证核对控制。通过考核、复核相关文件和资料，确保制度、程序在业务活动中准确执行，实现手续资料完整有效、数据真实可靠的控制。 (5)资产安全控制。包括接近控制和定期盘点控制。 (6)信息系统控制。运用电子信息技术手段实施的系统控制。 (7)经营业绩分析评价。定期将实际经营业绩与预算、前期的业绩进行对比、分析，通过分析公司业绩实现程度和差异原因，评价经营绩效水平的控制。 37.一项控制措施须明确哪些内容？ 答：一项控制措施必须明确以下要素： (1)谁(岗位)：完成该项控制的岗位或人员； (2)做什么(审核内容、具体操作要求)：该项控制的具体内容； (3)有何证据(签字、表单、报告等)：完成该项控制活动需留下的表单、报告、签字等； (4)何时做、频率是多少：该项控制在什么时间操作，多长时间操作一次(即频率)。 38.如何理解关键控制？ 答：关键控制是在相关业务流程中影响力和控制力相对较强的一项或多项控制，其控制作用是必不可少和不可替代的。如果缺少该项控制，将在很大程度上直接导致财务风险的产生。关键控制是内部控制体系建设与测试的重点，股份公司为防范重要风险，设计了294个关键控制。 39.如何评价控制设计的有效性？ 答：评价控制设计的有效性可从以下两个方面进行： (1)评价其控制措施是否符合岗位分离要求、事前是否经过严格的审批、审批是否在审批的权限范围内、事中是否留下有效的控制证据、事后是否有复核、核对、清查等发现性控制措施等。 (2)评价业务处理的控制措施是否包含了股份公司规定的关键控制，控制措施的描述如岗位、内容、证据、时间及频率等是否符合关键控制点的要求。 40.控制活动如何分类？ 答：(1)按控制活动的目标分为以下几类： 战略目标控制活动：指能够满足战略目标实现的控制活动。 经营控制活动：指能够满足经营活动效率与效果目标的控制活动。 财务报告控制活动：指能够满足财务报告目标的控制活动。 合规性控制活动：指能够满足合规性目标的控制活动。 (2)按控制活动的内容分为以下几类： 公司层面控制 a 控制环境范围内的内部控制，包括道德准则的建立与推行、高层管理者基调、检举揭发机制、权限和职责分工、审计委员会、IT环境与组织以及人力资源政策等； b 反舞弊程序与控制； c 风险评估流程； d 集中化的处理和程序； e 监督，包括持续监督、独立评估和缺陷报告； f 经营活动分析、审核； g 期末财务报告流程； h 统一的规章制度。 业务活动层面控制：指直接作用于公司生产经营业务活动的具体控制，亦称业务控制，如业务处理程序中的批准与授权、审核与复核，以及保证资产安全而采用的限制接近等控制。 (3)按控制活动的作用分为预防性控制和发现性控制。 预防性控制：指为防止错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制。 发现性控制：指为及时查明已发生的错误和非法行为，或增强发现错误和非法行为机会的能力所进行的各项控制。 (4)按控制活动的手段分为人工控制和自动控制。 人工控制：是以人工方式执行的控制。 自动控制：是由计算机等系统自动执行的控制。 41.什么是服务采购? 答：服务采购是指公司以支付货币的形式取得无形的劳务，这种劳务是无形的，不具有实体形态，一般通过支付劳务费的形式取得。它包含咨询服务，如会计、审计、法律、税务咨询，也包含工程技术服务，如存续企业提供的钻井、物探、设计、安装、维修等。42.流程图中使用的图例分别代表什么含义？序号图例图例说明1此图例为业务操作步骤。岗位或人员：填列负责该工作的岗位 工作：简要填列具体实施的工作步骤，如：填写费用报销单2流程目录中已经明确的具体业务流程，此图例表示对其他流程的引用3此图例表示以文本形式存在的文件、制度、表单等，内容为文件、表单的全称4此图例在存在判断/决策时使用，内容填列判断的具体事项5表示页码索引，内容填列索引的页码编号6表示在系统数据库中储存或以电子文档方式储存7表示非电子文档的其他储存方式8表示业务流程步骤中存在的风险，标识在存在风险的步骤的左下角，同时用数字进行编号，如1 9 表示业务流程步骤中针对风险的控制点，标识在实施控制步骤的右下角，编号与风险点编号对应，如1.1M10在需要对某项步骤进行详细说明时使用，如说明文字过长，应链接至word文档43.如何理解流程图？ 答：(1)流程图分上下两部分。上部分为背景部分，主要说明了流程的名称、流程的编号、业务主管部门和业务参与部门等内容；下部分为主体部分，主要描述了负责的职能部门业务操作的主要步骤、业务执行的相关岗位或人员、风险和控制等。 (2)主体部分各职能带明确了业务操作的部门和人员，从左到右管理级别由大到小排列。 (3)各操作步骤中明确了该步骤的执行岗位或人员以及应完成的工作内容。 (4)流程图与风险控制文档(RCD文档)是相对应的，如风险符号中的编号为RCD文档中的风险序号；控制符号中的编号与RCD文档中的“控制点编号”相对应，其含义为“风险序号.控制序号M/A”,其中“M”代表“人工控制”，“A”代表“自动控制”，例如：1.1M表示针对风险1的控制措施1，控制类型为人工控制。2.3A表示针对风险2的控制措施3，控制类型为自动控制。 (5)对于涉及到等级一系统的流程，需在图中标注相应的系统名称，且流程图与应用系统控制文档(ARCD文档)要相对应。如控制符号中标注编号“KAn”(n为序号)与ARCD文档中的关键系统控制编号“KAn”(n为序号)是对应的。 44.如何理解风险控制文档(RCD)？ 答：风险控制文档(RCD)是基于公司基本业务流程目录中的末级子流程，针对识别出风险的末级子流程，以表格形式完整体现风险类别、风险描述、控制目标类型、控制目标具体描述、现有控制措施、控制方法、控制类型、控制频率、控制实施证据、控制文件的文号及名称等内容的文档。每个文档涵盖公司业务活动层面风险数据库中该子流程对应的所有风险，主要内容： (1)提供了该业务风险的具体内容，风险序号与流程图中的风险序号相对应。 (2)明确了各控制措施的具体操作内容、控制类型、控制方法、控制频率、控制证据及该项控制所依据的文件制度等，控制措施与风险相对应，并通过控制点编号与流程图相对应。 (3)RCD文档从上到下以控制措施的先后为主线，与流程图所描述的顺序相一致，风险和控制之间存在一对一、一对多或多对一的情况。 (4)RCD文档中在“关键控制编号”栏中标有“K”的，该项控制措施为关键控制，其编号是股份公司的统一编号，不得随意更改。关键控制是测试的主要内容，必须严格按照股份公司规定的内容进行设计和操作。RCD中的关键控制通过“控制点编号”与流程图中的关键控制相对应。 风险控制文档是重要的内部控制管理文件，也是测试的主要依据。 45.如何理解程序文件？ 答：程序文件是在完成流程图描述、风险控制文档编制的基础上，对重要业务流程的适用范围、风险、部门职责、控制、相关制度、控制证据、控制证据格式等七项内容进行汇编而成的。 (1)程序文件用文字形式描述了风险和控制措施的具体内容。其中，风险描述后标注有“K”的为重要风险，控制描述后标注有“Kn”(n为序号)的是关键控制； (2)程序文件是对现有规章制度的细化、补充和完善，如现行制度与程序文件不符，执行中应以程序文件的规定为准，并据以修改有关的文件制度； (3)程序文件中列示了统一规范的控制证据格式，须严格执行。 46.流程图、RCD文档、ARCD文档、程序文件的关系？ 答：(1)流程图与RCD文档的对应关系：一个有风险的业务流程图对应一个RCD文档，风险、控制点在流程图和RCD文档中一一对应； (2)ARCD文档是对应用系统存在的风险制定的控制措施。ARCD文档是在RCD文档基础上形成的(仅适用于财务、资产应用系统)，并从RCD关键控制措施描述中识别出实现或支持该关键控制的应用系统控制措施。 (3)RCD文档、ARCD文档与程序文件的对应关系：有关键控制的RCD文档、ARCD文档均有对应的程序文件，其中风险描述、控制措施、控制证据、制度文件等在RCD文档(ARCD文档)和程序文件中一一对应。五、信息与沟通 47.什么是信息与沟通？ 答：信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息，并交换这些信息。 48.信息与沟通包含的五大要素是什么？ 答：五大要素：信息、沟通、信息系统总体控制、信息系统应用控制与信息披露。 49.内部信息主要包括哪些内容？ 答：内部信息主要包括：财务信息、经营信息、规章制度信息及综合信息等。 50.获取内部信息的主要渠道有哪些？ 答：主要渠道有：机关职能部门的调研报告；财务会计报告；信息员搜集、反映的情况；群众来信来访、员工直接向上级沟通的信息；内部刊物、资料；公司局域网；各种会议提案、记录、纪要等。 51.外部信息主要包括哪些内容？ 答：主要包括：国家法律法规，国内外监管机构信息以及客户、供应商、竞争对手的信息等。 52.获取外部信息的主要渠道有哪些？ 答：主要渠道有：国家部委和外部监管方的文件；期刊杂志；中介机构；互联网；广播、电视；公司采购及销售部门收集的市场和价格信息；驻外办事处提供的信息；外部来信来访；参加行业会议、座谈交流等多种渠道。 53.什么是沟通？ 答：沟通是指信息在公司各层次、各部门以及在公司与客户、供应商、监管者和股东等外部环境之间的传递。 54.信息与沟通须保留哪些文档性记录？ 答：文档性记录包括：员工岗位职责描述、业绩考核文档资料、财务会计报告、审计意见书、客户调查问卷、会议纪要、公司年报及公司各部门信息流汇总表。 55.信息系统总体控制(GCC)包括哪些项目？ 答：GCC包括：控制环境、信息安全、项目建设管理、系统变更管理、信息系统日常运作及最终用户操作等项目。 56.什么是信息系统应用控制(AC)？ 答：AC控制是指应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序。这些控制结合在一起，可以保证系统中的财务和其他信息的安全性、完整性、准确性和有效性。 57.信息系统总体控制(GCC)和应用系统控制(AC)的关系？ 答：信息系统总体控制(GCC)和应用系统控制(AC)是相互关联的，信息系统总体控制是应用系统控制的基础，应用系统控制依赖于信息系统总体控制，信息系统总体控制和应用系统控制共同保证信息处理的完整性和准确性。 58.什么是信息系统总体控制(GCC)实施要求？ 答：信息系统总体控制(GCC)实施要求是中国石油信息系统总体控制体系的重要组成部分，是GCC体系的纲要性文件，制定了与中国石油信息系统总体控制相关的政策和制度；描述了中国石油GCC总体政策、适应范围及制定、审批、发布、维护、更新流程；明确了中国石油在总体控制环境、信息安全、项目建设管理、系统变更、信息系统日常运作、最终用户操作等方面的总体规定和要求。 59.执行信息系统总体控制(GCC)实施要求的目的是什么？ 答：信息系统总体控制(GCC)实施要求是对信息系统总体控制实施规定的细化，用于指导日常的信息技术管理和运营维护，涵盖了IT管理和运营所涉及的各个方面。 60.信息系统控制环境主要包括哪些内容？ 答：主要包括：信息技术组织、人力资源管理、信息沟通、风险评估和监控等内容。 61.信息安全主要包括哪些内容？ 答：主要包括：信息安全组织、逻辑安全、物理安全、网络安全、病毒防护、第三方管理和安全事件响应等内容。 62.信息系统项目建设管理主要包括哪些内容？ 答：主要包括： (1)项目立项：项目立项审批、商业软件及硬件的外购。 (2)项目建设方法论：项目启动、项目需求分析、系统设计、系统开发实施、系统测试、数据移植、系统上线和项目验收和上线后评估。 (3)项目管理：项目培训管理、项目文档管理、项目沟通管理、项目变更管理、项目问题管理和环境隔离。 63.什么是系统变更？ 答：系统变更包括对应用系统的升级、修改、补丁安装等改变系统功能的活动，以及对操作系统升级和补丁安装、数据库/操作系统环境配置变化、防火墙配置修改等。 64.信息系统变更主要包括哪些内容？ 答：主要包括：日常变更和紧急变更两类。 65.信息系统日常运作主要包括哪些内容？ 答：主要包括：机房环境控制、日常监控、批处理作业管理、备份与恢复和问题管理等内容。 66.应用系统相关控制措施重点关注哪些内容？ 答：重点关注：岗位职责、权限的规定和对应用系统功能的要求，以及每个系统的相关控制措施是否都指定了控制实施岗位。 67.什么是电子表格? 答：用于直接或间接作为财务记帐依据的表格(包括Excel和Word表格)是电子表格。电子表格中的公式、宏及表间链接等功能增加了电子表格计算的复杂程度，同时也增加了电子表格数据完整性及计算准确性的风险。 68.若电子表格的数据从外部数据自动导入，必须执行哪些步骤？ 答：需要将更新后的电子表格内容打印出来，由审核岗人员比对外部数据来源，审核后签字确认，保证数据的完整与准确。 69.电子表格的存取控制必须执行哪些步骤？答：要求进行密码保护以限制存取。一般仅对工资信息相关的电子表格才需要实施这一控制。 70.电子表格安全性控制的主要措施是什么？ 答：要求对重要单元格进行锁定，只有经授权的人员才能更改电子表格中的预设公式和数值等内容。 71.电子表格权限控制的基本要求是什么？ 答：要求编制人和审核人实行权限分离。 72.电子表格逻辑检查控制的主要步骤是什么？ 答：主要步骤是由复核岗每月对电子表格的计算公式或数据链接关系进行检查，以保证表内逻辑计算的正确性。并对检查情况进行记录，由专人进行复核。 73.电子表格测试的主要内容什么？ 答：测试主要针对四个关键控制点：输入控制、存取控制、权限控制和逻辑检查。六监督 74.什么是监督？ 答：监督是对内部控制体系有效性进行评估的持续过程，包括持续监督、独立评估和缺陷报告等。 75.什么是持续监督？ 答：持续监督是在公司日常经营过程中进行的，包括日常的管理和监督活动，以及员工在履行职责时所采取的检查内部控制执行质量的行为。 76.什么是独立评估？ 答：独立评估是独立于控制活动之外而采取的定期评估行为，独立评估的范围和频率，主要取决于风险评估和持续监督程序的有效性，内容包括：评估的范围和频率、评估过程、评估方法、文档记录。 77.什么是缺陷报告？ 答：缺陷报告是将内部控制缺陷自下而上报告的行为，内容包括：汇集和报告发现的内部控制缺陷、汇报机制的适当性、跟进评估的适当性等。 78.内部控制体系测试执行的文件和规范有哪些？ 答：内部控制体系测试执行的文件和规范主要有：管理层测试规范、缺陷认定规范、地区公司测试评价规范、中国石油天然气股份有限公司内部控制体系管理规范和监督涉及的制度索引等。 79.内部控制测试的内容？ 答：内部控制测试主要分为公司层面测试、业务活动层面测试和信息系统测试等三部分，其中： (1)公司层面测试包括COSO五要素中的董事会、审计委员会、反舞弊等十七个主题； (2)业务活动层面测试包括跟单作业(穿行测试)和关键控制测试； (3)信息系统测试包括信息系统总体控制(GCC)测试和应用系统(AC)测试。 80.内部控制测试的方法？ 答：内部控制测试通常采用询问、观察、检查和再执行四种方法： (1)询问：主要是测试人员与相关人员通过面谈、电话交流、召开讨论会等形式了解一些内部控制执行中的情况。 (2)观察：主要是测试人员到内部控制措施执行的现场，通过侧面观察和现场观察等形式了解内部控制的执行情况。 (3)检查：主要是测试人员随机抽取一定的样本，通过检查样本的记录来检查内部控制措施的执行情况。 (4)再执行：这是测试效果最强的一种方式。主要是测试人员对被测试对象，通过分析性复核、业绩考核、核对、重新执行等形式检查内部控制的执行情况。 81.公司层面控制测试的定义及内容？ 答：公司层面控制测试是对确保管理层获得在公司内部各个领域都有适当的控制机制在发挥作用的保证的重要机制控制的检查。 公司层面控制测试涵盖COSO框架的五个要素及反舞弊六个方面，包括职业道德、高管基调、信访举报和违规处理、组织结构、权利和责任分配、培训、业绩考核、人力资源政策、岗位职责描述、董事会、审计委员会、风险评估过程、经营活动分析、信息与沟通、信息披露、内部审计、反舞弊程序及控制等十七个主题。其中，除董事会和审计委员会外，其余主题均适用于管道公司。 82.公司层面控制测试的一般原则、测试目标和测试方法是什么？ 答：一般原则：公司层面控制测试既可以作为独立的测试项目组织实施，也可以与其他测试一并进行。 测试目标：通过公司层面控制测试，查找内部控制执行方面的不足，确保设计有效的内部控制在公司得到全面贯彻落实。 测试方法：主要为访谈、观察、抽样检查。 83.公司层面控制例外事项的定义是什么？ 答：公司层面控制的例外事项主要是指公司层面控制在设计有效性和执行有效性方面存在的问题，统称为例外事项。 84.如何确认公司层面控制例外事项？ 答：(1)询问过程中出现下述情况确认为例外事项： 公司目前的现状与内控关注要点不符或不完全相符； 缺乏必要的规章、制度或制度不完善； 已有的控制没有执行； 可以确定为例外事项的其他情况。 (2)检查过程中出现以下情况作为例外事项： 涉及的文件制度不存在； 文件或控制虽然存在，但是和内控关注要点不符，或虽然相符但未按规定执行； 执行后没有留下实施证据或实施证据不完整； 可以确定为例外事项的其他情况。 85.公司层面控制测试应做哪些准备？ 答：公司应做好以下准备： (1)资料准备：准备好控制环境建设相关的规章制度、会议通知、会议纪要及实施记录等； (2)人员准备：部门负责人和岗位执行人员要熟悉本部门所负责的公司层面控制内容，了解公司按照内控要求制定和规范的相关制度；详细掌握各项制度的内容并认真执行，掌握个人所在岗位的岗位职责等内容。 86.什么是跟单作业？ 答：跟单作业是在业务活动中选取两笔，从业务发生开始，一直追踪到该笔业务反映到公司财务报告的测试过程。 87.什么是跟单作业例外事项？ 答：跟单作业例外事项主要是指关键控制和一般控制在设计有效性、文本规范性和执行有效性方面存在的问题，统称为跟单作业例外事项。 88.跟单作业测试的目的是什么？ 答：跟单作业目的是： (1)查找文本规范性问题，即评估流程图、风险控制文档和程序文件的规范性，找出流程描述以及风险控制文档和程序文件的内容与实际执行情况不符等问题； (2)查找内控设计方面的不足，即缺少控制，或现有控制不足以防范风险； (3)在设计满足的情况下(风险控制文档中描述或制度中规定的控制)，检查其在实际中是否存在，查找执行方面存在的不足，即设计的控制在实际中没有完全执行。 89.跟单作业方法有哪些？ 答：跟单作业方法主要有访谈、观察和检查。 (1)访谈原则上应该是执行该项控制的人员作为访谈对象。如果相关人员(如负责人)能够说明具体情况，也可以访谈相关人员，不需要具体访谈到每个岗位。 (2)观察主要是针对特定的控制，如不相容岗位是否分离等。 (3)检查包括两个方面，一方面对文件制度的检查，必须是指定的文件制度。检查的重点是文件制度中是否做出相关规定。二是对实施证据的抽样检查，需要根据交易、审批权限和业务性质抽取样本，样本应能够贯穿业务流程的全过程，样本量必须为两个。 90.跟单作业例外事项分类及确认？ 答：跟单作业例外事项可分为以下三个方面九种类型。 (1)设计层面(文本规范性)的确认 已有的控制没有在流程图、风险控制文档中进行描述。主要是指，经过证实已经存在的控制，没有在流程图、风险控制文档中进行描述，造成流程图、风险控制文档缺少或是描述不完整。 风险控制文档描述不符合四要素要求。 其他。主要是指如流程描述格式欠缺、风险点及控制点标注不准确等其他无法列入上述几种类型的问题。 (2)设计层面(非文本规范性)的确认 应有的控制不存在或不完善。主要是指应该建立的控制被测试单位没有建立。具体表现在流程图、风险控制文档中没有进行相关描述，而且制度中没有相关工作规定，通过访谈发现，实际中也没有相关人员执行该项控制的都属于该类问题。 不相容岗位未进行分离。主要是指已有的控制在实际中，执行该项控制的岗位没有按照相关制度规定做到与其不相容岗位的适当分离。 已有的控制没有要求必要的实施证据。主要是指经过证实已经存在的控制(无论是否在流程图、风险控制文档中进行描述，只要不存在不相容岗位分离的问题)，但是没有要求执行控制人员留下实施证据。具体表现在缺少表单或是执行控制人员确认(签字、盖章)以及缺少执行跟踪分析控制的实施记录等。 已有的控制缺乏必要的制度