2026年合规工作考试题目及答案

2026年合规工作考试题目及答案一、单项选择题（本大题共30小题，每小题1分，共30分。在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填在括号内。）1.在企业合规管理体系建设中，根据ISO37301标准，合规管理的首要原则是（）。A.包容性B.实质性C.改进性D.可及性2.根据《中华人民共和国个人信息保护法》，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。这被称为（）。A.目的限制原则B.最小必要原则C.知情同意原则D.公开透明原则3.某跨国公司在中国设立子公司，在建立反商业贿赂合规政策时，除了遵守中国《反不正当竞争法》外，还必须重点关注美国的（）。A.萨班斯法案B.反海外腐败法(FCPA)C.通用数据保护条例(GDPR)D.多德-弗兰克法案4.合规风险与法律风险的主要区别在于（）。A.法律风险仅关注刑事处罚，合规风险关注行政处罚B.法律风险关注违法行为后果，合规风险关注因未遵循准则而遭受声誉、财务损失的可能性C.合规风险包含了法律风险，两者本质相同D.法律风险是外部强制的，合规风险是企业自愿设定的5.在合规管理体系中，负责制定合规方针、分配资源并最终对合规管理体系有效性承担责任的角色是（）。A.合规委员会B.董事会和最高管理者C.首席合规官(CCO)D.内部审计部门6.关于“举报人保护制度”，下列说法错误的是（）。A.应当建立匿名举报渠道B.应当对举报人的信息严格保密C.对于实名举报，必须在调查结束后向举报人披露被举报人的全部处罚细节D.禁止对善意举报人进行任何形式的报复7.某企业在进行第三方尽职调查时，发现该第三方由前政府官员持股超过5%。根据中国相关法律及国际合规惯例，该企业应当采取的行动是（）。A.立即终止合作B.增加审查层级，评估利益冲突风险，必要时进行强化尽职调查C.只要对方承诺不行使影响力，即可合作D.隐瞒该事实直接合作8.根据《中央企业合规管理办法》，中央企业应当配备（）。A.首席法律顾问B.首席合规官C.合规总监D.风险控制官9.数据合规中，企业在向境外提供个人信息时，通过（）的，可以免予向国家网信部门申报数据出境安全评估。A.单独同意B.订立标准合同C.业务必要性D.保密协议10.在反洗钱（AML）合规中，针对高风险国家或地区的客户，金融机构应采取的措施是（）。A.拒绝开户B.简化尽职调查程序C.强化尽职调查(EnhancedDueDiligence)D.仅进行常规监控11.合规培训有效性评估的关键指标是（）。A.参训人数B.培训时长C.培训覆盖率D.参训者对合规知识的掌握程度及行为改变12.某公司合规部门在审查一份重大合同时，发现其中包含可能导致违反《反垄断法》的转售价格维持（RPM）条款。合规部门的正确做法是（）。A.修改条款以符合法律要求B.建议业务部门删除该条款，否则不予批准C.标注风险提示后批准，由业务部门自行决定D.向监管机构举报13.ISO37301:2021标准取代了（）。A.ISO19600B.ISO27001C.ISO31000D.ISO900114.在ESG（环境、社会和治理）合规框架中，“G”主要关注的是（）。A.碳排放管理B.员工健康与安全C.公司治理结构、道德与反腐败D.社区公益投入15.关于合规审计与内部审计的关系，下列描述正确的是（）。A.合规审计是内部审计的唯一职能B.合规审计侧重于财务数据准确性，内部审计侧重于规则遵循性C.合规审计与内部审计职能应相互独立，但需信息共享D.合规审计部门可以兼任内部审计部门以节省成本16.根据《网络安全法》，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在（）。A.境内存储B.境外备份C.云端存储D.实时传输17.合规管理体系中的“三道防线”模型中，第二道防线是（）。A.业务部门B.合规、风控、法务部门C.内部审计部门D.外部审计机构18.在计算合规风险敞口时，常用的基本公式模型为（）。A.风险=概率+影响B.风险=概率×影响C.风险=(资产价值×威胁)/脆弱性D.风险=损失频率×损失程度19.某企业因违规行为被监管部门调查，此时企业的首要合规应对策略是（）。A.销毁相关文件以掩盖证据B.立即公开否认所有指控C.启动内部调查，配合监管，并评估是否适用行政和解或合规不起诉D.聘请律师对抗监管20.广告合规中，使用“国家级”、“最高级”、“最佳”等绝对化用语，根据《广告法》，除罚款外，情节严重的，可处以（）。A.吊销营业执照B.停业整顿C.责令停业D.撤销广告发布登记21.劳动用工合规中，关于竞业限制，下列说法正确的是（）。A.所有员工都必须签署竞业限制协议B.竞业限制期限不得超过两年C.竞业限制经济补偿金必须在离职后一次性支付D.未约定经济补偿金的，竞业限制协议无效22.在出口管制合规中，企业必须审查最终用户和最终用途。若怀疑物项可能用于大规模杀伤性武器，应（）。A.申请许可证B.停止交易并报告主管部门C.要求最终用户签署承诺书后继续交易D.隐瞒怀疑继续交易23.税务合规中，企业发生关联交易时，必须遵循（）。A.成本加成法B.独立交易原则C.再销售价格法D.利润分割法24.合规文化建设的高级阶段特征是（）。A.员工被动遵守规则B.员工因害怕惩罚而合规C.合规成为员工的自觉行为和价值观D.合规制度完善但执行不力25.根据《数据安全法》，国家建立数据分类分级保护制度。将数据分为一般数据、重要数据和（）。A.核心数据B.敏感数据C.机密数据D.隐私数据26.关于合规管辖权，下列说法正确的是（）。A.仅适用注册地法律B.仅适用主要营业地法律C.可能同时适用注册地、运营地及交易行为发生地法律D.仅由企业总部所在地法律管辖27.在反垄断合规中，禁止具有竞争关系的经营者达成下列哪类协议（）。A.联合研发协议B.标准化协议C.固定或者变更商品价格的横向垄断协议D.分割销售市场的纵向协议（在特定条件下）28.首席合规官（CCO）向（）汇报工作，以确保其独立性。A.CEOB.CFOC.董事会或下设的合规委员会D.总经理29.网络安全等级保护制度中，等级保护对象的最高级别是（）。A.第二级B.第三级C.第四级D.第五级30.企业合规整改中，针对制度漏洞的修复措施属于PDCA循环中的（）。A.Plan(计划)B.Do(执行)C.Check(检查)D.Act(改进)二、多项选择题（本大题共15小题，每小题2分，共30分。在每小题列出的五个备选项中有两个至五个是符合题目要求的，请将其代码填在括号内。多选、少选、错选均不得分。）1.有效的合规管理体系通常包含的关键要素有（）。A.合规方针与组织环境B.领导作用与策划C.支持与运行D.绩效评价与改进E.财务预算与成本控制2.根据《个人信息保护法》，处理个人信息应当取得个人同意的情形包括（）。A.为订立、履行个人作为一方当事人的合同所必需B.为应对突发公共卫生事件所必需C.为实施新闻报道、舆论监督等行为在合理范围内处理个人信息D.将个人信息用于提供个性化推荐E.在公共场所安装图像采集设备用于维护公共安全3.企业在建立反舞弊机制时，应重点关注的高风险领域包括（）。A.采购与付款循环B.销售与收款循环C.研发费用归集D.资产处置E.员工报销4.关于合规风险的评估方法，正确的有（）。A.定性分析法（如风险矩阵）B.定量分析法（如统计模型）C.仅依靠管理层主观判断D.结合历史数据与未来预测E.忽略低频发生的风险5.下列属于违反《反不正当竞争法》的行为有（）。A.擅自使用与他人有一定影响的商品名称、包装、装潢等相同或者近似的标识B.对商品的性能、功能作虚假或者引人误解的商业宣传C.实施虚假交易帮助他人进行虚假或者引人误解的商业宣传D.采用财物或者其他手段贿赂单位或者个人以谋取交易机会E.低于成本价销售鲜活商品6.合规尽职调查中，针对第三方的调查内容通常包括（）。A.公司股权结构及实际控制人背景B.是否涉及政府官员或政治公众人物C.过往的合规记录及诉讼情况D.财务状况及偿债能力E.员工的学历水平7.数据出境安全评估的申报条件包括（）。A.处理100万人以上个人信息的数据处理者向境外提供个人信息B.累计向境外提供10万人以上个人信息C.关键信息基础设施运营者向境外提供个人信息D.自上年1月1日起累计向境外提供非敏感个人信息1万人E.国家网信部门规定的其他情形8.合规培训应当分层级、分类别进行，下列培训设计合理的有（）。A.对全员进行基础合规价值观培训B.对高管进行合规领导力及刑事风险培训C.对销售人员重点进行反商业贿赂、反垄断培训D.对财务人员重点进行财务造假、税务合规培训E.对研发人员重点进行数据安全、知识产权保护培训9.合规报告的路径应当清晰，通常包括（）。A.合规部门向董事会或合规委员会报告B.业务部门向合规部门报告合规风险C.合规部门向监管机构报告重大违规事件D.员工向管理层直接举报违规行为E.外部审计师向合规委员会汇报审计发现10.企业在面临监管调查时，律师参与合规工作的主要职责包括（）。A.解释法律条文和监管要求B.评估证据的法律效力C.代表企业与监管机构沟通D.指导企业进行内部调查E.承诺企业的经营业绩11.下列关于“吹哨人”制度的描述，符合国际最佳实践做法的有（）。A.设立独立的举报热线和邮箱B.允许跨区域、跨国界举报C.对调查结果进行反馈（在不违反保密原则前提下）D.对恶意举报进行免责E.保护举报人免受降职、解雇等报复12.税务合规中，容易引发税务稽查的风险信号包括（）。A.长期亏损但业务规模不断扩大B.频繁变更法定代表人C.税负率明显低于同行业平均水平D.大额现金交易E.关联交易价格异常13.合规管理信息化建设的主要功能模块应包含（）。A.合规风险识别与预警B.合规制度库与案例库检索C.合规审批流程嵌入D.违规线索管理与跟踪E.员工考勤管理14.在反洗钱合规中，客户身份识别（KYC）的基本要求是（）。A.了解客户及其受益所有人B.了解业务关系目的和性质C.了解实际控制客户的自然人和交易的实际受益人D.确保客户资料真实、准确、完整E.定期审核和更新客户信息15.供应链合规管理中，核心企业对供应商的合规要求应包括（）。A.签署商业行为准则B.承诺不使用强迫劳动C.承诺符合环保排放标准D.承诺保护核心企业提供的机密信息E.要求供应商必须使用核心企业指定的原材料三、判断题（本大题共15小题，每小题1分，共15分。请判断下列说法的正误，正确的打“√”，错误的打“×”。）1.合规就是遵守法律法规，企业内部的规章制度不属于合规范畴。（）2.企业只要建立了完善的合规制度，即使发生违规行为，也可以完全免除管理层的责任。（）3.根据《民法典》，履行合同义务必须遵循诚信原则，这属于广义的合规要求。（）4.为了提高效率，企业可以将合规审批权限完全下放给业务部门负责人，无需合规部门复核。（）5.个人信息保护合规中，企业合并或分立需要转移个人信息的，不需要重新取得个人同意。（）6.所有的商业贿赂行为都必然构成《刑法》中的非国家工作人员受贿罪或对非国家工作人员行贿罪。（）7.合规部门应当具有独立性，原则上不得承担业务经营、财务或人力资源管理职责。（）8.在中国，只有外资企业才需要建立反垄断合规体系，内资企业不需要。（）9.数据分类分级是数据合规的基础工作，企业应根据数据遭到篡改、破坏、泄露或者非法获取后对个人、组织或国家安全造成的危害程度进行分级。（）10.行政处罚听证程序中，当事人有权要求听证，但费用由当事人承担。（）11.合规管理体系的有效性评价只能通过内部审计进行，外部评价没有意义。（）12.企业在发布广告时，即使引用的数据有出处，但如果该数据不具备真实性，依然构成虚假广告。（）13.反洗钱合规中，对于高风险客户，金融机构必须拒绝提供金融服务。（）14.合规文化建设的核心是“高层垂范”，管理者的言行对员工合规意识的养成起决定性作用。（）15.涉及国家秘密的数据，无论其数量多少，都禁止向境外提供。（）四、填空题（本大题共10小题，每小题1分，共10分。请在横线上填写恰当的词语或数值。）1.ISO37301:2021《合规管理体系要求及使用指南》中，PDCA循环中的“C”代表________。2.《中华人民共和国数据安全法》规定，核心数据实行________保护制度。3.在反垄断合规中，经营者集中达到国务院规定的申报标准的，经营者事先未申报且未实施集中，若在实施后________内未申报，可能会受到处罚。4.合规风险通常被定义为：因未遵循法律、法规、规则、自律性组织制定的准则，以及适用于企业自身行为规范，而可能遭受法律制裁、监管处罚、重大财务损失或________损失的风险。5.根据《中央企业合规管理办法》，合规管理是指企业以有效防控合规风险为目的，以提升依法合规经营管理水平为导向，以企业经营管理行为和员工履职行为为对象，开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等一整套________活动。6.在个人信息保护中，处理个人信息应当遵循________原则，公开处理规则，明示处理的目的、方式和范围。7.某企业计算合规风险值，假设风险发生的概率为0.2，风险发生后的影响程度量化值为500万元，则该风险预期损失值为________万元。8.《中华人民共和国反外国制裁法》规定，中华人民共和国境内的自然人、法人和非法人组织，应当执行国务院有关部门采取的________措施。9.在出口管制合规中，通常涉及“两用物项”，即既有民用用途又有________用途的物项。10.企业合规整改的验收标准通常包括：合规制度的建设、合规机制的运行、合规文化的形成以及________的整改。五、简答题（本大题共5小题，每小题6分，共30分。）1.简述合规管理中“三道防线”模型的具体构成及其主要职责。2.根据《个人信息保护法》，企业在处理敏感个人信息（如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等）时，应当满足哪些特定的合规条件？3.简述企业进行第三方合规尽职调查的主要原因及核心调查步骤。4.在反垄断合规中，企业如何识别并管控“轴辐协议”风险？5.简述PDCA循环在合规管理体系持续改进中的应用逻辑。六、案例分析题（本大题共3小题，每小题15分，共45分。）1.【数据合规与网络安全案例】某大型互联网平台公司A计划推出一款基于人脸识别的健康监测APP。该APP需要收集用户的面部识别信息（敏感个人信息）、心率数据以及地理位置信息。为了推广该APP，A公司与某连锁咖啡店B合作，B店在用户支付时提示用户授权A公司获取其手机号和消费记录，作为交换，用户可获得A公司APP的会员权益。2026年3月，A公司因系统漏洞导致10万条用户信息（含面部识别信息）在暗网被售卖。A公司在发现后72小时才向监管部门报告，且未及时通知用户。请结合《个人信息保护法》、《数据安全法》及相关合规原则，分析A公司在上述经营活动中存在的合规风险点，并给出整改建议。2.【反商业贿赂与反垄断案例】某医疗器械制造企业S公司（生产高端影像设备）为了扩大在某省公立医院的销量，制定了2026年度营销政策。政策规定：凡采购S公司设备的医院，S公司将免费提供为期3年的“维修保养服务”，并邀请医院科室主任参加由S公司出资在海外举办的“学术研讨会”，会议期间包含少量旅游观光活动。此外，S公司在该省的经销商协议中规定，经销商必须按照S公司设定的统一价格（包括折扣幅度）向医院销售设备，不得私自降价。后经举报，监管部门对S公司展开调查。请分析S公司的行为可能触犯哪些法律风险（涉及反商业贿赂和反垄断），并计算若该行为被认定为实施垄断协议，可能面临的罚款基数逻辑（假设上一年度销售额为10亿元人民币）。3.【综合合规管理应用题】某跨国制造企业M（中国区）在2025年底遭遇了一起严重的合规事件：其采购总监收受了供应商巨额回扣，并违规引入了质量不合格的原材料，导致成品出现安全隐患，被迫召回，造成直接经济损失约5000万元人民币，品牌声誉严重受损。该事件暴露出M公司中国区在采购流程管控、供应商管理及内部监督方面的重大漏洞。事件发生后，M集团总部决定对中国区进行全面的合规体系重构。假设你是M公司中国区新任首席合规官，请根据ISO37301标准及中国相关监管要求，设计一套针对该事件的合规整改方案框架。要求包括：(1)立即响应措施；(2)根本原因分析；(3)制度与流程修补（重点针对采购与供应商管理）；(4)培训与文化提升计划；(5)长效监督机制。七、参考答案与解析一、单项选择题1.B2.B3.B4.B5.B6.C7.B8.B9.B10.C11.D12.B13.A14.C15.C16.A17.B18.B19.C20.A21.B22.B23.B24.C25.A26.C27.C28.C29.D30.D二、多项选择题1.ABCD2.AD3.ABDE4.ABD5.ABCD6.ABCD7.ACE8.ABCDE9.ABC10.ABCD11.ABCE12.ABCDE13.ABCD14.ABCDE15.ABCD三、判断题1.×（合规包括法律法规、行业准则、内部规章及道德规范）2.×（制度建立不代表免责，还需有效执行，且管理层负有监督责任）3.√4.×（合规审批权限不能完全下放，需保留关键节点的复核）5.√（符合《个人信息保护法》关于合并分立情形的除外规定）6.×（可能仅构成行政违规，未达到刑事立案标准）7.√8.×（内资企业同样受《反垄断法》约束）9.√10.×（当事人不承担听证费用）11.×（外部评价如监管检查、第三方认证也很重要）12.√13.×（应采取强化尽职调查，而非必须拒绝）14.√15.√四、填空题1.Check（检查）2.更加严格（或严格）3.一年4.声誉5.系统性6.公开、透明7.100（计算公式：0.2×8.反制（或制裁）9.军事10.违规行为五、简答题1.【参考答案】三道防线模型构成及职责如下：(1)第一道防线（业务部门）：处于业务最前端，负责识别并管理本业务领域的日常合规风险，确保业务操作符合法律法规及公司制度，是合规风险管理的第一责任人。(2)第二道防线（合规及风控部门）：负责制定合规政策和制度，提供合规咨询，对业务部门进行指导和监督，监测整体合规风险，并向管理层和董事会报告。(3)第三道防线（内部审计部门）：负责对合规管理体系的有效性进行独立评估和审计，直接向董事会或审计委员会报告，确保前两道防线职能的有效发挥。2.【参考答案】处理敏感个人信息应满足的条件：(1)特定目的：具有特定的目的和充分的必要性。(2)严格保护：采取严格的保护措施。(3)单独同意：应当取得个人的单独同意（即不能通过一揽子同意获得授权）。(4)告知义务：应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。(5)影响评估：法律、行政法规规定处理敏感个人信息应当取得个人同意的，还应当进行个人信息保护影响评估。3.【参考答案】原因：防止第三方因违规行为（如贿赂、洗钱、侵犯知识产权）牵连企业自身；确保供应链安全；符合监管对尽职调查的硬性要求。核心步骤：(1)识别：确定需要审查的第三方范围及风险等级。(2)信息收集：收集第三方的工商注册信息、股权结构、受益所有人、管理层背景、合规记录等。(3)筛查：利用黑名单、制裁名单、媒体数据库进行负面筛查。(4)分析：评估识别出的风险点，判断是否可接受。(5)决定与监控：根据分析结果决定是否合作及合作条件，并在合作期间进行持续监控。4.【参考答案】识别与管控措施：(1)识别：轴辐协议是指竞争对手之间不直接横向沟通，而是通过一个共同的上游供应商或下游经销商（“轴心”）来协调价格、产量等竞争敏感信息。(2)管控：信息隔离：确保与不同竞争对手沟通时，严格隔离信息，防止将一方的竞争敏感数据透露给另一方。会议管理：行业协会或多方会议中，避免讨论价格、产量、客户划分等敏感话题，保留会议纪要以证明清白。合同审查：审查与供应商/经销商的合同条款，禁止其传递或反馈竞争对手的定价信息。培训：对销售和采购人员进行反垄断培训，识别轴辐协议陷阱。5.【参考答案】PDCA应用逻辑：Plan(计划)：根据风险评估结果、法律法规变化及企业战略目标，制定合规目标和实施方案，识别必要的资源。Do(执行)：实施合规计划，包括发布制度、开展培训、嵌入流程、建立举报机制等具体行动。Check(检查)：通过合规检查、内部审计、监控指标等方式，监测合规计划的执行情况和实施效果，对比目标进行差距分析。Act(改进)：针对检查发现的问题、未遂事件或违规事件，采取纠正和预防措施，处理不合规情况，并持续优化合规管理体系，进入下一个循环。六、案例分析题1.【参考答案及解析】存在的合规风险点：(1)违反“最小必要”原则：APP收集面部识别信息、心率、位置，需论证是否均为健康监测功能所必需，是否存在过度收集。(2)强制授权与捆绑授权：A公司与B店合作，用户支付时授权获取手机号和消费记录才能获得权益，涉嫌变相强制授权，违反自愿原则。(3)未履行数据安全保护义务：因系统漏洞导致数据泄露，说明技术措施和管理措施不到位。(4)未履行通知与报告义务：发生泄露后，应当“立即”采取补救措施并通知监管机构和用户。72小时才报告，且未通知用户，违反了《个人信息保护法》关于数据泄露通知的时限要求（应当立即或尽可能快）。(5)敏感个人信息处理风险：涉及生物识别信息（面部），未明确说明是否进行了单独同意和严格的个人信息保护影响评估。整改建议：(1)数据梳理与去重：重新评估APP功能，删除非必要的数据收集项，特别是与核心功能无关的地理位置或消费记录。(2)优化授权机制：取消捆绑授权，确保用户在充分知情且自愿的前提下单独同意。(3)加强网络安全建设：提升系统防火墙、加密存储、访问控制等技术防护能力，定期进行渗透测试。(4)建立应急响应机制：制定DPIR（数据泄露响应）预案，明确发现、报告、通知、补救的时限和流程，确保能在法定时限内（如立即）响应。(5)开展PIA评估：对处理敏感个人信息的业务流程进行专项个人信息保护影响评估。2.【参考答案及解析】法律风险分析：(1)商业贿赂风险：免费提供维修服务：若该服务实质上是为了影响医院采购决策，且未如实入账或对方未依法入