2026年合规性专项训练模拟试卷及答案

2026年合规性专项训练模拟试卷及答案一、单项选择题（本大题共20小题，每小题1.5分，共30分。在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填在括号内。）1.在2026年全球合规监管趋严的背景下，企业建立合规管理体系的首要原则是（）。A.成本效益最大化原则B.独立性原则C.高层承诺原则D.形式合规原则2.根据中国《个人信息保护法》及2025年最新修订的相关司法解释，处理个人信息应当遵循合法、正当、必要和诚信原则。其中，“必要原则”主要体现在（）。A.收集的个人信息的类型应当与处理目的直接相关B.必须获得用户的明示同意C.必须公开个人信息处理规则D.必须保障个人信息的安全3.在反洗钱（AML）合规体系中，金融机构在识别客户身份时，对于高风险客户或复杂产品，必须采取的强化尽职调查（EDD）措施不包括（）。A.了解客户财产或资金来源B.在建立业务关系后，简化交易监测C.定期审查客户业务关系D.获取业务关系目的的真实性质4.欧盟《人工智能法案》（AIAct）根据风险等级将人工智能系统分为四类。其中，面临最严格监管义务，甚至可能被禁止的类别是（）。A.有限风险B.最小风险C.不可接受风险D.高风险5.美国反海外腐败法（FCPA）管辖范围极为广泛。根据该法案，下列哪种行为可能构成违反FCPA的“记账条款”？（）A.向外国政府官员支付小额疏通费B.在账簿中虚假记录贿赂款项为“合法咨询费”C.公司员工为了个人目的向官员行贿D.公司通过第三方间接行贿但未进行尽职调查6.关于数据跨境传输的合规性，根据中国《数据出境安全评估办法》，企业在向境外提供数据时，必须申报安全评估的条件之一是：处理（）个人信息达到一百万人的个人信息处理者向境外提供个人信息。A.敏感B.重要C.核心D.一般7.合规管理体系中的“三道防线”模型中，第二道防线的主要职能是（）。A.负责制定规则、监控风险并指导业务部门B.直接承担业务运营风险，制定操作规程C.独立审计、评估及报告合规风险D.负责最终的刑事责任承担8.在出口管制合规领域，实体清单是主要的管制工具。若一家中国企业被列入美国实体清单，美国供应商向其出口受控物项通常需要申请（）。A.一般许可证B.免除许可C.特定许可证D.临时豁免9.某跨国公司制定了《全球反商业贿赂政策》，其中规定“严禁任何形式的礼品馈赠”。在春节前夕，一位长期合作的供应商向该公司采购经理赠送了价值约200元人民币的日历。根据合规管理的合理性原则，以下处理方式最恰当的是（）。A.立即解雇采购经理，并终止与供应商合作B.只要采购经理上交公司并存档，即可视为合规C.拒绝接收，并向供应商说明公司廉洁政策D.接受礼品，但要求供应商在发票中不注明10.环境社会治理（ESG）合规中，关于“范围3排放”的描述，正确的是（）。A.企业拥有或控制的排放源的温室气体排放B.企业外购的电力、蒸汽、供暖和制冷产生的排放C.企业价值链中除范围1和范围2之外的所有其他间接排放D.企业生产过程中直接燃烧燃料产生的排放11.根据中国《反垄断法》，禁止具有市场支配地位的经营者从事滥用市场支配地位的行为。下列哪种行为不属于滥用市场支配地位？（）A.以不公平的高价销售商品B.没有正当理由搭售商品C.为改进技术、研究开发新产品的垄断协议D.没有正当理由拒绝与交易相对人进行交易12.在合规举报调查中，保护举报人权益是核心。关于举报信息的保密要求，下列说法错误的是（）。A.除非法律强制要求，否则不得披露举报人身份B.被调查人有权在调查阶段知晓举报人的具体身份以进行对质C.调查报告应尽量隐去举报人的可识别信息D.应建立禁止报复的追踪机制13.ISO37301:2021《合规管理体系要求及使用指南》替代了旧版标准，其采用的PDCA循环中的“A”代表（）。A.Action（改进）B.Analysis（分析）C.Assessment（评估）D.Approval（批准）14.2026年生效的某项金融监管新规要求，算法模型在投入使用前必须通过“伦理审查”。这主要属于（）层面的合规要求。A.数据治理B.模型治理C.网络安全D.消费者权益保护15.劳动用工合规中，关于“竞业限制”的约定，下列说法符合法律规定的是（）。A.所有员工入职时均必须签署竞业限制协议B.竞业限制期限不得超过两年C.竞业限制经济补偿金必须在离职后一次性支付D.用人单位有权随时解除竞业限制协议且无需支付额外补偿16.税务合规中，转让定价是跨国企业的重点关注领域。税务机关在调整转让定价时，常用的核心原则是（）。A.成本分摊原则B.独立交易原则C.利润最大化原则D.市场主导原则17.在合同合规管理中，标准合同条款的审查通常不包括下列哪项？（）A.适用法律与争议解决条款B.不可抗力条款C.双方经办人员的私人关系D.违约责任与赔偿条款18.关于云计算服务的合规责任，根据“责任共担模型”，云服务提供商（CSP）通常负责（）。A.客户数据的分类分级B.物理环境安全和虚拟化层安全C.客户数据的访问权限控制D.应用程序的安全编码19.某公司合规部门在进行年度合规风险评估时，发现某海外子公司所在国法律发生了重大变更，增加了新的税务申报要求。此时，合规部门应采取的首要措施是（）。A.立即向监管机构报告该子公司的历史违规行为B.更新合规义务库，并评估该变更对公司的具体影响C.立即停止该子公司的所有业务D.等待当地监管机构发出通知后再做反应20.知识产权合规中，若企业研发过程中使用了开源软件，必须特别关注该开源软件的（）。A.市场占有率B.许可证类型C.代码编写语言D.开发者国籍二、多项选择题（本大题共15小题，每小题2分，共30分。在每小题列出的五个备选项中有两个至五个是符合题目要求的，请将其代码填在括号内。多选、少选、错选均不得分。）1.建立有效的合规管理体系，根据ISO37301及国资委《中央企业合规管理办法》，关键要素包括（）。A.合规环境B.合规领导与承诺C.合规风险评估D.合规方针与程序E.合规培训与意识2.中国《数据安全法》建立了数据分类分级保护制度。关于核心数据，下列说法正确的有（）。A.关系国家安全、国民经济命脉、重要民生B.关系公共利益C.一旦遭到损害，可能对国家安全造成严重危害D.只能在境内存储，严格限制出境E.由省级以上数据安全主管部门负责认定3.反洗钱合规中，可疑交易报告（STR）的触发指标（红旗警告信号）可能包括（）。A.客户资金交易规模明显超过其经营规模或合理收入B.客户频繁进行整额交易，且刻意规避大额交易报告标准C.客户在发生高风险国家有大量汇入汇出交易D.客户使用多个关联账户进行分散交易后集中提现E.客户在银行营业时间外进行频繁的大额转账4.FCPA禁止的“不当支付”对象包括（）。A.外国政府官员B.外国政党官员C.国际公共组织官员D.为获得不正当优势而通过第三方支付的上述人员E.私营企业中的普通员工（非为了获取政府合同）5.企业在进行供应商合规尽职调查时，应重点审查的领域包括（）。A.反腐败与反贿赂政策B.劳工标准与强迫劳动C.环境保护合规记录D.知识产权侵权情况E.供应商的股权结构及实际控制人背景6.关于个人信息处理者的义务，下列说法符合《个人信息保护法》规定的有（）。A.发生或者可能发生个人信息泄露、篡改、丢失的，应当立即采取补救措施B.处理敏感个人信息应当取得个人的单独同意C.利用个人信息进行自动化决策，应当保证决策的透明度和结果公平公正D.在中华人民共和国境外处理中华人民共和国公民个人信息，应当在境内设立专门机构E.委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式等7.有效的合规培训计划应具备的特征包括（）。A.针对不同层级和岗位的风险状况进行差异化设计B.仅在入职时进行一次培训即可C.定期开展，并包含法律法规更新的内容D.对培训效果进行考核和记录E.包含案例分析、情景模拟等互动形式8.下列哪些情形可能触发企业启动内部合规调查？（）A.收到监管机构的问询或调查函B.内部举报热线收到关于财务造假的实名举报C.媒体报道公司涉嫌存在重大环境违规D.审计部门在例行审计中发现异常费用报销E.竞争对手发布了关于公司的负面新闻（未经证实）9.关于欧盟《通用数据保护条例》（GDPR）中数据主体的权利，包括（）。A.访问权B.更正权C.被遗忘权（删除权）D.数据可携带权E.反对自动化决策权10.合规部门在进行第三方合作伙伴管理时，采取的管控措施应包括（）。A.签署合规承诺书B.在合同中嵌入合规条款及终止权C.定期对第三方进行审计或抽查D.对高风险第三方进行尽职调查E.完全依赖第三方的自我声明11.2026年数字产品合规中，关于“无障碍设计”的要求，主要目的是（）。A.提升产品在搜索引擎中的排名B.确保残障人士能够平等地获取和使用信息C.符合《残疾人权利公约》的精神D.降低产品的开发成本E.避免相关的反歧视诉讼12.下列哪些行为属于《反不正当竞争法》禁止的商业混淆行为？（）A.擅自使用与他人有一定影响的商品名称、包装、装潢等相同或者近似的标识B.擅自使用他人有一定影响的企业名称（包括简称、字号等）C.擅自使用他人有一定影响的域名主体部分、网站名称、网页等D.使用本商品的通用名称E.在商品上伪造或者冒用认证标志、名优标志等质量标志13.合规风险量化评估中，常用的风险计算公式模型为Risk=Probability×Impact。其中，“Impact”（影响程度）的评估维度通常包括（）。A.财务损失B.声誉损害C.监管处罚（罚款、吊销执照）D.刑事责任E.业务中断14.关于软件供应链安全合规，企业应关注的风险点包括（）。A.引入的开源组件包含已知漏洞（CVE）B.供应商被恶意攻击导致植入后门C.依赖库的许可证传染性风险D.软件更新过程被劫持E.代码签名证书管理不当15.在合规文化建设中，高层领导的言行至关重要。下列属于“高层垂范”的具体表现有（）。A.在公开场合强调合规是不可逾越的底线B.在业绩压力下默许业务部门违规操作C.亲自参与重大合规事件的调查与决策D.削减合规部门的预算以增加利润E.将合规绩效纳入高管考核指标三、判断题（本大题共15小题，每小题1分，共15分。请判断下列说法的正误，正确的打“√”，错误的打“×”。）1.（）合规不仅仅是法律部门的责任，而是业务部门、职能部门以及董事会共同承担的责任。2.（）根据“法无禁止即可为”的原则，只要法律没有明确规定禁止的行为，企业在商业经营中都可以随意进行。3.（）在中国境内收集产生的个人信息，确需向境外提供的，应当通过国家网信部门组织的安全评估，或者进行个人信息保护认证，或者订立标准合同。4.（）合规免责是指如果企业已经建立了完善的合规管理体系，且员工个人违规行为违背了企业意愿，企业可以完全免除所有法律责任，包括行政处罚。5.（）洗钱的上游犯罪不仅包括毒品犯罪、黑社会性质的组织犯罪，还包括贪污贿赂犯罪、金融诈骗犯罪等。6.（）企业合规中的“举报人保护”仅限于保护其不被解雇，不包括保护其免受降职、调岗等隐形报复。7.（）GDPR规定的数据保护官（DPO）必须直接向最高管理层汇报，以确保其独立性。8.（）在出口管制合规中，即使最终用户不在实体清单上，如果最终用途涉及大规模杀伤性武器，相关物项的出口也可能被禁止。9.（）商业秘密一旦公开，无论是否因为权利人的过错，都自动失去其保密性，不再构成商业秘密。10.（）ESG合规中的“G”（治理）主要关注企业的董事会结构、股权架构、反腐败及商业道德等。11.（）企业在进行广告宣传时，可以使用“国家级”、“最高级”、“最佳”等绝对化用语，只要能提供相关证明材料即可。12.（）对于跨境并购交易，合规尽职调查通常应在签署具有法律约束力的协议之前完成，以避免收购“有毒资产”。13.（）ISO37301标准不仅可以用于认证，也可以作为企业向司法机关证明其已尽到合规管理义务的证据。14.（）在计算合规风险时，如果某事件发生的概率极低但影响极大，其风险值可能低于概率高但影响极小的事件。15.（）员工个人在履职过程中因违规行为给公司造成损失的，公司在承担对外赔偿责任后，有权向该员工追偿。四、填空题（本大题共10小题，每小题1.5分，共15分。请在横线上填入恰当的专业术语或数值。）1.在合规管理中，__________是指企业为确保其决策和运营符合法律法规、监管要求、行业准则及道德标准而采取的一系列管理活动。2.根据中国《网络安全法》，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。其中，对于关键信息基础设施，要求达到__________级及以上安全保护要求。3.美国反海外腐败法（FCPA）主要包含两个核心条款：反贿赂条款和__________条款。4.风险评估的基本公式通常表示为：风险=__________×影响。5.个人信息保护影响评估（PIA）是企业在处理敏感个人信息或利用个人信息进行自动化决策前必须进行的合规动作，其核心目的是__________。6.在反垄断合规中，具有市场支配地位的经营者没有正当理由，以低于__________的价格销售商品，可能构成掠夺性定价行为。7.合规管理体系中的“红线”是指绝对禁止的行为，一旦触犯，通常会导致__________或立即解除劳动合同。8.供应链合规中，__________是指企业对其供应链中的社会和环境影响进行管理，包括劳工权益、环境保护、道德采购等。9.数据留存合规中，对于业务日志，通常建议保留至少__________个月，以满足监管溯源和审计需求（具体视行业而定）。10.合规审计的独立性要求，合规审计部门应向__________或其授权的审计委员会报告，以确保审计结果不受干扰。五、简答题（本大题共5小题，每小题6分，共30分。）1.简述“三道防线”模型在合规管理架构中的具体分工及其相互关系。2.根据中国《个人信息保护法》，处理个人信息应当告知个人哪些事项？（请列举至少五项）3.在反洗钱合规中，什么是“受益所有人”（BeneficialOwner）？为什么要识别受益所有人？4.简述企业在面对监管机构现场检查时，合规部门应协调业务部门做好哪些准备工作？5.什么是“合规不起诉制度”？该制度对企业建立合规管理体系有何激励作用？六、案例分析题（本大题共3小题，共30分。）1.案例一：商业贿赂与第三方管控（10分）某跨国医疗器械公司A公司为了提升其心脏支架产品在中国B医院的销量，指示其经销商C公司向B医院心内科主任D医生提供赞助，名义是“医学研究经费”。实际上，该笔费用并未用于任何真实的研究项目，而是直接存入了D医生的个人账户。A公司管理层对此事知情，并在内部账簿中将该笔支出记录为“市场推广费”。后经举报，监管机构展开调查。问题：(1)A公司、C公司及D医生的行为分别违反了哪些法律法规或合规原则？（3分）(2)A公司在第三方（经销商）管理上存在哪些合规漏洞？（3分）(3)针对此类风险，A公司应如何完善其第三方合规管控体系？（4分）2.案例二：数据跨境与安全评估（10分）某大型电商平台E公司拥有超过1.2亿名用户，其中包含大量用户的身份证号、银行账号等敏感个人信息。2026年，E公司被一家位于美国的F公司收购。作为收购后的整合计划，F公司要求将E公司收集的所有中国用户数据传输至美国总部进行分析存储。E公司合规部门提出了异议，认为直接传输存在巨大合规风险。问题：(1)根据中国《数据出境安全评估办法》及《个人信息保护法》，E公司将数据传输至美国是否需要申报安全评估？请说明理由。（4分）(2)如果必须进行安全评估，申报安全评估时需要提交哪些主要材料？（3分）(3)假设E公司必须进行数据出境，除了安全评估外，还可以采取哪些技术手段保障数据传输过程中的安全？（3分）3.案例三：出口管制与实体清单（10分）中国高科技制造企业G公司生产的高端半导体芯片被列入美国《出口管制条例》的EAR99管控类别，且G公司自身被列入“实体清单”。G公司生产该芯片需要用到一种关键原材料“高纯度化学品H”，该化学品原产于美国，受ECCN编码管控。H公司是G公司的长期供应商，位于美国。问题：(1)在G公司被列入实体清单后，美国供应商H公司向G公司出口化学品H需要满足什么条件？（3分）(2)G公司为了规避美国管制，计划通过一家位于第三国（非美国）的中间商I公司转手购买化学品H。I公司先从H公司购买，再卖给G公司。这种做法是否可行？请分析合规风险。（4分）(3)面对出口管制风险，G公司应采取哪些供应链合规应对策略？（3分）试卷到此结束，请仔细检查后参考答案及解析。2026年合规性专项训练模拟试卷参考答案及解析一、单项选择题1.【答案】C【解析】合规管理体系的建设必须基于高层承诺。只有董事会和最高管理层公开承诺支持合规，分配资源，并确立基调，合规体系才能有效运行。其他原则虽重要，但高层承诺是前提。2.【答案】A【解析】必要原则要求收集个人信息限于实现处理目的的最小范围，不得收集与处理目的无关的信息。B涉及同意原则，C涉及公开原则，D涉及安全原则。3.【答案】B【解析】强化尽职调查（EDD）要求比标准尽职调查更严格的措施，包括了解资金来源、业务关系性质审查等。B选项“简化交易监测”与强化要求背道而驰，对于高风险客户应加强交易监测。4.【答案】C【解析】根据欧盟AI法案，不可接受风险（如政府社会评分、实时生物特征识别等）是被禁止的。高风险（如医疗、招聘、交通）需严格合规。有限和最小风险仅需透明度义务或自愿合规。5.【答案】B【解析】FCPA记账条款要求上市公司保持账簿和记录的准确性，不得伪造或虚报。A和D涉及反贿赂条款的支付行为，C涉及个人责任。B直接涉及账簿记录的虚假性。6.【答案】D【解析】根据《数据出境安全评估办法》，处理100万人以上个人信息的处理者向境外提供个人信息，必须通过国家网信部门的安全评估。这里指“个人信息”总量，而非特定类型。7.【答案】A【解析】三道防线模型中：第一道防线是业务部门；第二道防线是合规、风控等职能部门（制定规则、监控）；第三道防线是内审部门（独立审计）。8.【答案】C【解析】被列入实体清单的企业，通常无法适用一般许可证，需要申请特定许可证，且通常是“推定拒绝”的审查政策。9.【答案】C【解析】合规管理应合理且具有可操作性。对于低价值、习俗性的礼品（如日历），通常应拒绝；若无法拒绝，应上交并申报。C选项最符合严格合规原则。A过重，B虽有流程但不如C源头防范，D明显违规。10.【答案】C【解析】范围1是直接排放，范围2是外购能源排放，范围3是价值链其他间接排放（如上下游、员工差旅等）。11.【答案】C【解析】《反垄断法》禁止滥用市场支配地位。C选项“为改进技术、研究开发新产品的垄断协议”通常属于垄断协议豁免情形（如果符合条件），且不属于滥用市场支配地位的行为类型。12.【答案】B【解析】保护举报人是合规核心。在调查阶段，除非法律强制（如刑事诉讼程序），通常严格保密举报人身份，防止被调查人打击报复。13.【答案】A【解析】PDCA即Plan（策划）、Do（实施）、Check（检查）、Act（改进）。A代表改进，即采取措施以持续改进绩效。14.【答案】B【解析】算法模型的伦理审查属于模型治理层面，关注算法的公平性、透明度和可解释性，防止歧视和偏见。15.【答案】B【解析】《劳动合同法》规定竞业限制期限不得超过两年。A错误（仅限涉密人员），C错误（可按月支付），D错误（用人单位解除需额外支付3个月补偿作为劳动者竞业限制义务的对价补偿）。16.【答案】B【解析】转让定价的核心原则是独立交易原则，即关联企业间的交易价格应按照无关联关系的独立企业在相同或类似条件下的交易价格确定。17.【答案】C【C】合同合规审查关注法律条款和风险分配。经办人员的私人关系不属于合同条款本身，且属于应避免的利益冲突范畴。18.【答案】B【解析】在责任共担模型下，云服务商负责“云的安全”（物理、网络、虚拟化层），客户负责“云中安全”（数据、应用、身份管理）。19.【答案】B【解析】合规部门的首要职责是识别法律变更并评估其对公司的影响，然后更新内部政策和流程。A、C、D均非首要且恰当的反应。20.【答案】B【解析】开源软件许可证具有法律效力，不同的许可证（如GPL,MIT,Apache）对使用、修改、分发的权利义务限制不同，必须关注以避免侵权。二、多项选择题1.【答案】ABCDE【解析】A、B、C、D、E均为ISO37301及国资委办法中明确的合规管理体系关键要素。2.【答案】ACD【解析】核心数据关系国家安全，危害程度最高，严格限制出境。B属于重要数据，E是重要数据的认定主体（核心数据通常由国家局认定）。3.【答案】ABCDE【解析】所有选项均为典型的洗钱可疑交易特征（红旗警告信号），涉及金额、频率、交易模式、地理风险等。4.【答案】ABCD【解析】FCPA管辖对象包括外国政府官员、政党官员、国际组织官员。通过第三方支付若目的是为了获取不正当优势并影响上述人员行为，亦属违规。E选项若不涉及政府合同或公权力行使，通常不直接受FCPA管辖（可能受当地法律管辖）。5.【答案】ABCDE【解析】现代供应链合规要求全方位尽职调查，涵盖反腐败、ESG（劳工、环境）、IP及背景调查。6.【答案】ABCE【解析】A、B、C、E均符合《个人信息保护法》规定。D选项错误，法律并未强制要求在境外设立机构，而是要满足标准合同、安全评估或认证等条件。7.【答案】ACDE【解析】有效的培训必须针对性、定期性、互动性且有考核。B选项“仅入职一次”是错误的。8.【答案】ABCD【解析】A、B、C、D均为明确的触发调查的信号。E选项仅为未经证实的负面新闻，通常先进行媒体监测和内部初步核实，不一定直接启动全面调查，除非风险极高。9.【答案】ABCDE【解析】GDPR赋予数据主体广泛的权利，A、B、C、D、E均为其中的重要权利。10.【答案】ABCD【解析】第三方管控措施应包括尽职调查、合同约束、持续监控、审计等。E选项“完全依赖自我声明”属于管控缺失。11.【答案】BC【解析】无障碍设计主要是为了保障残障人士平等权利（B），并履行相关公约义务（C）。A、D不是合规目的，E是后果之一。12.【答案】ABCE【解析】A、B、C、E均属于《反不正当竞争法》第六条、第八条规定的混淆行为或虚假标识行为。D项使用通用名称不构成混淆。13.【答案】ABCDE【解析】合规风险的影响是多维度的，包括财务、声誉、监管、刑事及运营层面。14.【答案】ABCDE【解析】软件供应链安全涵盖开源组件漏洞、供应商安全、许可证风险、更新劫持及签名管理等所有选项。15.【答案】ACE【解析】高层垂范包括公开承诺、参与决策、纳入考核。B和D属于负面行为，破坏合规文化。三、判断题1.【答案】√【解析】合规是全员责任，业务部门是第一道防线。2.【答案】×【解析】在合规领域，尤其是金融、数据安全等领域，遵循“法无授权不可为”或严格监管原则，不能仅依据“法无禁止即可为”。3.【答案】√【解析】符合《个人信息保护法》第三十八条关于数据出境路径的规定。4.【答案】×【解析】合规免责（或减轻处罚）通常指行政或刑事领域的责任减免，并非“完全免除所有责任”。且需满足合规体系有效、违规系个人行为等严格条件。5.【答案】√【解析】中国《反洗钱法》规定的上游犯罪范围很广。6.【答案】×【解析】举报人保护包括防止任何形式的报复，包括解雇、降职、调岗、骚扰等。7.【答案】√【解析】GDPR要求DPO在层级上独立，直接向最高管理层汇报。8.【答案】√【解析】出口管制关注“最终用户”和“最终用途”。即便用户不在清单上，若用途涉及禁止领域（如生化武器），亦不可出口。9.【答案】√【解析】商业秘密的秘密性一旦丧失，即不再构成商业秘密。10.【答案】√【解析】ESG中的G即Governance，关注公司治理结构、道德等。11.【答案】×【解析】《广告法》第九条明确禁止使用“国家级”、“最高级”、“最佳”等绝对化用语，即使有证明也不可使用。12.【答案】√【解析】尽职调查应在交易交割前完成，以发现风险并调整交易条款或终止交易。13.【答案】√【解析】ISO37301是国际标准，可作为企业合规管理的有力证据。14.【答案】×【解析】在风险评估中，极低概率×极大影响=高风险（如黑天鹅事件）。其风险值通常被认为高于高频低损事件。15.【答案】√【解析】《劳动合同法》规定，劳动者因本人原因给用人单位造成损失的，用人单位可依法要求赔偿。四、填空题1.【答案】合规管理2.【答案】四（或4）3.【答案】记账与会计（或会计）4.【答案】可能性（或概率）5.【答案】识别并最小化对个人信息权益的影响（或评估风险）6.【答案】成本7.【答案】立即辞退（或解除劳动合同）8.【答案】负责任供应链（或供应链尽责管理）9.【答案】6（或视具体行业法规，如金融业通常为6个月以上，此处填6为常见基准）10.【答案】董事会五、简答题1.【答案】(1)第一道防线：业务部门及职能部门。职责：识别本部门业务风险，制定操作规程，直接执行合规政策，是风险的承担者和管理者。(2)第二道防线：合规、风控、法务、财务等专业管理部门。职责：制定合规框架和政策，为业务部门提供指导、监控风险运行情况，进行合规审查。(3)第三道防线：内部审计部门。职责：独立评估第一、二道防线有效性，直接向董事会或审计委员会报告。关系：三道防线层层递进，相互制衡，共同构成完整的风险防控体系。2.【答案】根据《个人信息保护法》，处理个人信息应当告知个人下列事项：(1)个人信息处理者的名称或者姓名和联系方式；(2)个人信息处理的目的、处理方式、处理的个人信息种类、保存期限；(3)个人信息处理者行使权利的方式和程序；(4)法律、行政法规规定应当告知的其他事项。（注：处理敏感个人信息还需告知处理敏感个人信息的必要性以及对个人权益的影响）3.【答案】(1)定义：受益所有人是指最终拥有或实际控制客户的自然人，或直接/间接享有客户最终收益的自然人。(2)原因：识别受益所有人是为了防止犯罪分子利用匿名股东、空壳公司或复杂的股权结构掩饰非法资金来源（洗钱）