2026年企业合规师全国资格认证试卷及答案

2026年企业合规师全国资格认证试卷及答案第一部分单项选择题（共20题，每题1.5分，共30分）1.根据ISO37301:2021标准，合规管理体系的核心原则中，不包括以下哪一项？A.合规的承诺B.合规的独立性C.合规的融入性D.合规的改进2.在中国法律框架下，关于《个人信息保护法》中规定的“单独同意”，下列说法正确的是？A.处理敏感个人信息必须取得个人的单独同意B.处理所有个人信息均需取得单独同意C.基于履行合同所必需的个人信息处理需取得单独同意D.单独同意可以通过默认勾选的方式获得3.企业合规管理体系中，风险评估的频率通常建议为？A.每月一次B.仅在发生违规事件时进行C.至少每年一次，或在发生重大变更时进行D.每三年一次4.根据《反垄断法》，经营者集中申报标准中，关于营业额的门槛，下列描述符合最新法律规定的是？A.参与集中的所有经营者上一会计年度在中国境内的营业额合计超过20亿元B.参与集中的所有经营者上一会计年度在全球范围内的营业额合计超过100亿元，并且其中至少两个经营者上一会计年度在中国境内的营业额均超过4亿元C.参与集中的所有经营者上一会计年度在中国境内的营业额合计超过10亿元D.参与集中的所有经营者上一会计年度在全球范围内的营业额合计超过50亿元5.在出口管制合规中，美国的“实体清单”的主要作用是？A.限制列入清单的外国实体从美国进口特定商品B.禁止美国企业向列入清单的实体出口特定技术或软件，且需要申请许可证C.仅对列入清单的实体进行金融制裁D.列入清单的实体将被禁止在全球范围内进行任何商业活动6.关于企业合规委员会的职责，下列哪项是不准确的？A.审定合规管理体系的重大方针政策B.审议年度合规管理计划C.日常的合规风险监测与预警D.审议重大合规违规事件的处理决定7.根据《中央企业合规管理办法》，合规管理责任体系的“第一责任人”是？A.董事长B.总经理C.合规委员会D.首席合规官8.在反商业贿赂合规中，FCPA（美国反海外腐败法）管辖的对象包括？A.仅包括美国国内公司B.仅包括在美国注册的公司及其高管C.包括发行人、国内行贿者以及某些外国人和外国公司在美行为D.仅包括美国政府官员9.企业进行第三方尽职调查时，最核心的步骤是？A.仅要求第三方签署合规承诺函B.收集第三方的股权结构图和受益人信息C.仅审查第三方的财务报表D.依赖中介机构的推荐信10.关于数据跨境传输的安全评估，下列哪项情形必须申报国家网信部门的安全评估？A.处理10万人以上个人信息的企业向境外提供个人信息B.累计向境外提供1万人次非敏感个人信息C.跨国公司内部进行人力资源数据传输D.向境外提供未包含重要数据的个人信息11.合规管理体系有效性评价的指标中，属于过程指标的是？A.违规事件造成的经济损失金额B.员工合规培训覆盖率C.监管机构的处罚次数D.合规诉讼案件的败诉率12.在劳动用工合规中，关于竞业限制协议，下列说法正确的是？A.所有员工入职时均需签署竞业限制协议B.竞业限制期限不得超过两年C.竞业限制经济补偿金必须在离职后一次性支付D.未约定经济补偿金的竞业限制协议无效13.根据《数据安全法》，国家建立数据分类分级保护制度。关于“核心数据”，下列描述正确的是？A.关系国家安全、国民经济运行的重要数据B.一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全和公共利益造成特别严重危害的数据C.仅涉及个人隐私的数据D.企业内部的商业秘密数据14.合规培训体系中，针对高风险岗位的培训频率要求通常是？A.入职时一次即可B.每年至少一次C.每两年一次D.仅在法规更新时进行15.在合规举报调查中，保护举报人身份的常用技术手段是？A.公开表扬举报人B.使用加密的举报平台和匿名化处理C.仅向管理层透露举报人姓名D.不需要特别保护16.关于广告合规，使用“国家级”、“最高级”、“最佳”等用语，违反了？A.《反不正当竞争法》B.《广告法》C.《消费者权益保护法》D.《产品质量法'17.ESG（环境、社会和治理）合规中，G（治理）维度主要关注？A.企业的碳排放量和污染物排放B.企业的员工关系和社区投入C.企业的董事会结构、风险控制及商业道德D.产品的安全与质量18.税务合规中，关于特别纳税调整，税务机关有权对关联交易价格进行调整的依据是？A.独立交易原则B.成本加成原则C.市场份额原则D.政府指导价原则19.合规管理流程中的“监控与测试”环节，其主要目的是？A.惩罚违规员工B.验证控制措施是否按设计运行并有效C.制定新的合规政策D.替代外部审计20.根据《网络安全法》，网络运营者为用户办理网络接入、域名注册服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。这被称为？A.实名制B.备案制C.许可制D.审核制第二部分多项选择题（共10题，每题3分，共30分。多选、少选、错选均不得分）21.建立有效的合规管理体系，通常应包含的关键要素有哪些？A.合规方针与组织环境B.领导作用与策划C.支持与运行D.绩效评价与改进22.根据《个人信息保护法》，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息处理者的信息，包括？A.个人信息处理者的名称或者姓名和联系方式B.个人信息处理目的、处理方式，处理的个人信息种类、保存期限C.个人信息处理者的权利和行使权利的方式D.其他法律法规规定应当告知的事项23.企业在面对监管机构调查时，合规官应采取的正确措施包括？A.立即组织内部律师团队启动内部调查B.销毁可能产生不利影响的文件C.确保员工不对外发表未经授权的言论D.积极配合监管机构，行使陈述申辩权24.下列哪些情形属于《反垄断法》禁止的垄断协议？A.固定或者变更商品价格B.限制商品的生产数量或者销售数量C.分割销售市场或者原材料采购市场D.限制购买新技术、新设备或者限制开发新技术、新产品25.关于合规风险的识别方法，常用的有？A.问卷调查法B.流程分析法C.头脑风暴法D.案例分析法26.企业在制定商业行为准则时，应涵盖的主要领域包括？A.反腐败与反贿赂B.利益冲突管理C.知识产权保护D.数据隐私与安全27.根据中国出口管制法，国家对两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术和服务等实施管制。下列哪些物项可能受到管制？A.特定的稀有金属B.高性能无人机C.密码技术D.普通民用纺织品28.合规审计与财务审计的主要区别在于？A.审计对象不同（合规行为vs财务报表）B.审计标准不同（法律法规/内部政策vs会计准则）C.审计目标不同（风险控制vs公允反映）D.审计主体不同（必须由外部审计进行vs内部即可）29.在供应链合规管理中，企业对供应商的合规要求通常包括？A.遵守劳动法，禁止使用童工B.遵守环保法规，达标排放C.遵守商业贿赂相关法律D.必须通过ISO9001认证30.当发生重大合规违规事件时，企业采取的应对措施应包括？A.立即制止违规行为B.及时向监管部门报告（如适用）C.采取补救措施，减轻损害后果D.启动问责机制，追究相关人员责任第三部分判断题（共10题，每题1分，共10分）31.合规管理仅仅是法律部门的职责，与其他业务部门无关。32.ISO37301标准取消了ISO19600中的“指导性技术文件”性质，成为了可用于认证的管理体系标准。33.只要企业没有受到监管处罚，就证明其合规管理体系是有效的。34.在中国，企业收集不满14周岁的未成年人个人信息，必须取得其监护人的同意。35.竞业限制协议中约定的违约金过高或过低时，当事人可以请求人民法院予以调整。36.美国出口管制法规（EAR）中，如果产品含有美国受控成分的比例超过25%，则该产品受到美国管辖（DeMinimis规则例外情况除外）。37.企业合规中的“举报人保护”仅包括保护其不被解雇，不包括防止其遭到报复或骚扰。38.根据《中央企业合规管理办法》，首席合规官由总经理兼任。39.数据合规中的“被遗忘权”是指个人有权要求数据处理者立即删除其个人信息，且数据处理者无权拒绝。40.ESG报告中的披露内容目前在中国属于强制性法定要求，所有上市公司必须披露。第四部分填空题（共5题，每题2分，共10分）41.GB/T35770-2022《合规管理体系要求及使用指南》是ISO37301的中国国家标准转化版本，该标准采用了PDCA循环模型，即计划、实施、检查和\_\_\_\_\_\_。42.根据《反不正当竞争法》，经营者进行有奖销售，最高奖的金额不得超过\_\_\_\_\_\_元。43.在合规风险评估模型中，风险值通常等于风险发生的可能性乘以\_\_\_\_\_\_。44.《网络安全法》规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当进行\_\_\_\_\_\_。45.企业合规管理体系建设中的“三道防线”模型中，第一道防线是\_\_\_\_\_\_。第五部分简答题（共4题，每题5分，共20分）46.简述企业合规管理体系中“合规方针”应包含的核心内容。47.请列举至少三种常见的国际贸易合规管制清单，并简述其区别。48.在反垄断合规中，什么是“轴辐协议”？其主要法律风险是什么？49.简述企业在处理员工个人信息时，应遵循的“最小必要原则”的具体含义。第六部分综合应用题（共3题，共50分）50.案例分析：数据合规与跨境传输（15分）某跨国科技公司A（中国境内运营主体）计划将收集的中国用户个人信息传输至位于美国的服务器进行数据分析。该公司收集了1000万用户的个人信息，其中包括人脸识别信息等敏感个人信息。公司认为这是为了优化算法，属于履行合同所必需，未取得用户单独同意，仅通过隐私政策告知了用户。此外，公司未进行数据出境安全评估，而是与境外接收方签署了标准合同。问题：(1)公司的行为违反了《个人信息保护法》的哪些规定？请具体说明。(2)假设公司需要合规地进行此次数据出境，有哪些合法路径可供选择？请分析适用条件。(3)针对敏感个人信息的处理，法律有哪些特殊要求？51.案例分析：反垄断与经营者集中（15分）甲公司和乙公司是某互联网细分市场的两大巨头，市场份额分别为45%和40%。2025年，甲公司通过现金交易收购了乙公司100%的股权。交易前，甲公司全球营业额为200亿美元，中国境内营业额为80亿美元；乙公司全球营业额为150亿美元，中国境内营业额为60亿美元。双方未向市场监管总局申报经营者集中，直接完成了股权交割。问题：(1)请判断该交易是否达到经营者集中申报标准？请列出计算过程。(2)未依法申报经营者集中，可能面临的法律后果是什么？(3)假设你是该企业的首席合规官，针对此次并购，应如何制定合规策略？52.综合案例分析：FCPA与第三方管理（20分）某中国医疗器械制造企业B（在美国上市）计划开拓某东南亚国家的医疗市场。为了获得当地公立医院的采购订单，B公司聘请了当地的一家咨询公司C作为代理商。C公司向B公司保证能搞定关系，但要求合同金额的20%作为“咨询服务费”，且其中一部分将用于“疏通关系”。B公司合规部门在审核合同时发现了这一条款，但销售部门声称这是当地商业惯例，且如果不支付将丢失巨大市场份额。最终，B公司管理层指示合规部门批准了合同，并采取将费用拆分为“市场推广费”和“培训费”的方式入账。后经举报，美国SEC介入调查。问题：(1)请分析B公司及其高管可能触犯FCPA的哪些具体条款？(2)在第三方合规管理中，针对“红绿灯”测试，请分析C公司的行为属于哪一类？B公司应采取何种尽职调查措施？(3)面对销售部门的业绩压力，合规部门应如何应对？请设计一套包含事前、事中、事后的全流程合规管控机制。2026年企业合规师全国资格认证试卷参考答案及解析第一部分单项选择题1.[答案]B[解析]ISO37301:2021的核心原则包括：合规的承诺、良好的治理、融入性、透明度、问责制、可持续性、改进。独立性是审计或合规部门履职时的特性要求，并非作为体系本身的七项核心原则之一被单独列出，更多体现在“问责制”和“良好治理”中。2.[答案]A[解析]根据《个人信息保护法》第二十九条，处理敏感个人信息应当取得个人的单独同意。B项错误，一般个人信息只需告知同意即可；C项错误，履行合同必需属于订立合同的明示情形，不需单独同意，除非涉及敏感信息；D项错误，默认勾选视为未取得同意。3.[答案]C[解析]风险是动态的，合规管理体系标准要求企业定期对风险进行评估，通常至少每年一次，或在发生重大组织变革、业务变更或法规变化时及时进行。4.[答案]B[解析]根据《国务院关于经营者集中申报标准的规定》及《反垄断法》修正案，申报标准通常为：全球营业额合计超过100亿人民币，且至少两家境内营业额均超过4亿；或者境内营业额合计超过20亿，且至少两家境内营业额均超过4亿。选项B符合国际通用的申报门槛逻辑（注：具体数值以2026年当时有效法规为准，此处考察逻辑）。注：最新修订标准中门槛有所提高，但B选项描述了“全球+境内”的双重测试逻辑。5.[答案]B[解析]美国商务部工业与安全局（BIS）管理的实体清单，主要是限制出口商向清单上的实体出口特定受控的美国原产物项（商品、技术、软件），且通常推定为拒绝批准许可。6.[答案]C[解析]日常的合规风险监测与预警通常由合规管理职能部门（如合规部、法务部）负责，合规委员会主要负责决策、审议和监督重大事项。7.[答案]A[解析]根据《中央企业合规管理办法》，党委（党组）发挥把方向、管大局、促落实的领导作用，董事会定战略、作决策、防风险，经理层谋经营、抓落实、强管理。董事长是合规管理的第一责任人。8.[答案]C[解析]FCPA管辖范围很广，包括发行人（美国上市公司）、国内行贿者（美国企业、个人及某些在美国境内行为的外国个人/企业）。9.[答案]B[解析]尽职调查的核心是了解合作伙伴的背景、声誉和风险状况。股权结构和受益人信息是识别最终控制人、评估潜在政府关联或政治风险的关键。仅签署承诺函或依赖推荐是不够的。10.[答案]A[解析]根据《数据出境安全评估办法》，处理100万人以上个人信息的数据处理者向境外提供个人信息，必须申报国家网信部门的安全评估。11.[答案]B[解析]过程指标衡量合规体系的运行投入和活动，如培训覆盖率、培训完成率、政策知晓率。结果指标衡量产出，如违规金额、处罚次数。12.[答案]B[解析]《劳动合同法》规定，竞业限制期限不得超过两年。A项错误，限于知悉商业秘密的人员；C项错误，可以按月支付；D项错误，未约定补偿金不影响协议效力，劳动者履行后可主张补偿。13.[答案]B[解析]根据《数据安全法》及分类分级指南，核心数据一旦遭到泄露等，对国家安全造成特别严重危害。A项通常指重要数据。14.[答案]B[解析]高风险岗位（如销售、采购、财务）面临更大的合规诱惑，应接受更频繁的培训，通常要求每年至少一次强化培训。15.[答案]B[解析]保护举报人需要技术和管理手段结合，使用加密通道、匿名化处理代码、限制查阅权限等是关键。16.[答案]B[解析]《广告法》第九条明确禁止使用“国家级”、“最高级”、“最佳”等绝对化用语。17.[答案]C[解析]ESG中，G（Governance）关注公司治理结构，包括董事会独立性、股东权利、反腐败、风险控制等。A是E，B是S。18.[答案]A[解析]A是独立交易原则。B是转让定价方法的一种，不是原则本身。19.[答案]B[解析]监控与测试是为了验证控制措施的设计有效性和运行有效性。20.[答案]A[解析]《网络安全法》第二十四条规定了网络实名制。第二部分多项选择题21.[答案]ABCD[解析]ISO37301标准的高层结构（HLS）包含这七个主要部分：组织环境、领导作用、策划、支持、运行、绩效评价、改进。22.[答案]ABCD[解析]《个人信息保护法》第十七条规定了告知事项，A、B、C、D均属于法定告知范围。23.[答案]ACD[解析]B项销毁文件是妨碍调查，属于严重的违法犯罪行为，绝对禁止。24.[答案]ABCD[解析]《反垄断法》第十三条、第十四条禁止横向和纵向垄断协议，A、B、C为横向，D为横向限制创新。25.[答案]ABCD[解析]这些都是常用的风险识别工具。26.[答案]ABCD[解析]商业行为准则应覆盖企业运营的主要合规风险领域。27.[答案]ABC[解析]稀有金属、高性能无人机、密码技术均属于两用物项或受控物项，普通民用纺织品通常不受管制。28.[答案]ABC[解析]合规审计和财务审计在对象、标准、目标上不同。D项错误，两者都可以由内部或外部进行。29.[答案]ABC[解析]A、B、C是供应链合规的基本要求。D项ISO9001是质量管理体系，不是合规的强制要求。30.[答案]ABCD[解析]违规事件应对应包含制止、报告（强制或自愿）、补救、整改和问责。第三部分判断题31.[答案]错误[解析]合规管理是全员责任，业务部门是合规管理的“第一道防线”。32.[答案]正确[解析]ISO37301取代了ISO19600，从TypeA（指导性）转变为TypeB（要求类），可用于第三方认证。33.[答案]错误[解析]没有被处罚可能是因为运气好或未被监管发现，不代表体系有效。有效性评价需要基于过程指标和结果的持续监测。34.[答案]正确[解析]《个人信息保护法》第三十一条，处理不满十四周岁未成年人个人信息，应当取得未成年人的父母或者其他监护人的同意。35.[答案]正确[解析]《最高人民法院关于审理劳动争议案件适用法律问题的解释（一）》规定了违约金调整机制。36.[答案]正确[解析]EAR中的DeMinimis规则通常规定，外国产品中美国受控成分含量超过25%则受管辖（特定国家如受制裁国可能更低）。37.[答案]错误[解析]保护措施应全面，包括防止解雇、降职、骚扰、歧视等各种形式的报复。38.[答案]错误[解析]《中央企业合规管理办法》规定，首席合规官由分管合规工作的负责人（副总经理级）担任，对主要负责人负责，不由总经理兼任，以保证独立性。39.[答案]错误[解析]个人有权要求删除，但法律、行政法规规定的保存期限未届满等情形下，数据处理者有权拒绝。40.[答案]错误[解析]目前中国主要对重点企业和部分央企强制要求披露ESG/社会责任报告，尚未对所有上市公司强制要求法定披露（虽趋势是强制，但目前仍多为自愿或半强制）。第四部分填空题41.[答案]改进[解析]PDCA循环：Plan,Do,Check,Act。42.[答案]50000[解析]《反不正当竞争法》第十条，抽奖式有奖销售，最高奖金额不得超过五万元。43.[答案]风险影响/后果[解析]风险值=可能性×影响程度。44.[答案]安全评估[解析]《网络安全法》第三十七条，关键信息基础设施运营者向境外提供数据应当进行安全评估。45.[答案]业务部门[解析]三道防线模型：第一道防线是业务部门，第二道防线是合规/风控职能部门，第三道防线是内审/纪检。第五部分简答题46.[参考答案]企业合规方针应包含以下核心内容：(1)承诺：最高管理者对遵守法律法规、国际公约、行业准则及商业道德的明确承诺。(2)适用范围：明确方针适用于企业内部所有员工、董事、监事，以及第三方合作伙伴（如供应商、代理商）。(3)目标：制定合规管理的总体目标，如建立诚信文化、防范重大合规风险。(4)原则：声明企业将遵循的基本原则，如诚信、透明、问责、风险导向等。(5)责任分配：明确各级管理层和员工在合规方面的责任。(6)持续改进：承诺对合规管理体系进行定期评审和持续改进。47.[参考答案]常见的国际贸易合规管制清单包括：(1)美国实体清单：由美国BIS发布，限制向特定实体出口美国受控物项，主要涉及国家安全、外交政策利益。(2)未经核实名单（UVL）：由美国BIS发布，提示出口商在向名单上实体出口时无法进行最终用户核实，增加了尽职调查负担。(3)特别指定国民名单（SDNList）：由美国财政部OFAC发布，主要涉及反恐、反毒品、反大规模杀伤性武器等，列入该名单的实体资产将被冻结，且美国人一般不得与其交易。区别：管理部门不同（BISvsOFAC），管制措施不同（限制出口vs资产冻结/全面禁运），法律后果不同。48.[参考答案]轴辐协议是指竞争对手（辐条）不直接进行横向沟通，而是通过一个共同的上游供应商或下游经销商（轴心）来交换敏感信息（如价格、产量），并据此协调行动，从而实质上达成横向垄断协议。主要法律风险：虽然辐条之间没有直接联系，但如果轴心充当了信息传递的桥梁，且各方存在协同一致的合谋意图，这种安排可能被视为规避法律监管的横向卡特尔。根据《反垄断法》，这将被认定为横向垄断协议，面临罚款和法律责任。49.[参考答案]最小必要原则是指在处理个人信息时，应当限于实现处理目的的最小范围，不得进行与处理目的无关的收集、存储、使用、加工、传输、提供、公开等。具体含义包括：(1)收集范围：只收集与业务功能直接相关的个人信息，不强制收集无关信息。(2)精度：在能达到目的的前提下，选择精度最低的信息（如只需模糊地址就不收集精确住址）。(3)频率与期限：在满足目的的最短时间内保存，访问频率限制在必要程度。(4)数量：收集的个人信息的数量应控制在实现目的的最少数量。第六部分综合应用题50.[参考答案](1)违法行为分析：违反了单独同意规则。处理人脸识别信息属于敏感个人信息，必须取得个人的单独同意，而不仅仅是隐私政策告知。违反了数据出境安全评估义务。作为关键信息基础设施运营者或处理100万人以上个人信息的数据处理者，向境外提供个人信息应当通过国家网信部门的安全评估，不能仅通过签署标准合同出境。可能违反了必要性原则。将数据传至美国进行“优化算法”是否属于履行合同所必需存疑，若非必需，则缺乏合法性基础。(2)合法路径及条件：安全评估：适用于CIIO或处理100万人以上个人信息，或自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的情况。需向省级网信部门申报。专业机构认证：适用于未达到安全评估门槛，但通过国家网信部门认可的专业机构进行个人信息保护认证的情况。标准合同：适用于未达到安全评估门槛，且与境外接收方订立合同，备案标准合同的情况。本案因涉及1000万人信息，必须走“安全评估”路径。(3)敏感个人信息特殊要求：具体的目的、必要性及对个人权益的影响。个人的单独同意。严格的保护措施（如加密、去标识化）。向个人告知处理敏感个人信息的必要性及对权益的影响。51.[参考答案](1)申报标准判断：计算过程：全球营业额合计：200+150=350亿美元>100亿美元（或等值人民币）。中国境内营业额：甲80亿美元，乙60亿美元，均>4亿美元（或等值人民币）。