内部控制与风险管理期末考试题

内部控制与风险管理期末考试题一、单项选择题（本大题共20小题，每小题1.5分，共30分。在每小题列出的四个备选项中只有一个是最符合题目要求的，请将其代码填在括号内。）1.在COSO整合框架中，被认为是内部控制其他构成要素基础，并设定了组织基调的是（）。A.风险评估B.控制活动C.控制环境D.信息与沟通2.下列关于风险偏好与风险承受度的表述中，错误的是（）。A.风险偏好是指企业在实现其目标过程中愿意接受的风险数量B.风险承受度是指企业在目标实现过程中对差异的可接受限度C.风险偏好与风险承受度必须保持一致，不能调整D.风险承受度可以量化，也可以通过定性的方式描述3.某公司规定，金额超过50万元的采购合同必须经总经理亲自审批。这项控制属于（）。A.预防性控制B.检查性控制C.纠正性控制D.补偿性控制4.在风险管理流程中，用于识别可能影响组织实现目标的事件和情况的过程是（）。A.风险识别B.风险分析C.风险评价D.风险应对5.下列哪项不属于《企业内部控制基本规范》中内部控制的五要素？（）A.内部环境B.风险评估C.监督检查D.预算控制6.职责分离的核心思想是（）。A.一项业务由多人共同处理以提高效率B.将一项业务的全过程分解为不同环节，由不同人员分别负责C.任何人员都不能独自包办从业务授权到记录的全过程D.资产的保管与记录必须由同一人负责以确保准确性7.审计委员会在内部控制中的主要职责不包括（）。A.监督财务报告过程B.审核外部审计师的聘任与解聘C.亲自执行具体的内部控制测试工作D.监督内部审计部门的工作8.当潜在的风险事件发生的概率较低，但一旦发生造成的损失极其严重时，企业通常采取的风险应对策略是（）。A.风险规避B.风险降低C.风险分担D.风险承受9.关于“管理层凌驾于控制之上”的风险，下列说法正确的是（）。A.这种风险可以通过职责分离完全消除B.这种风险主要存在于基层操作中C.健全的控制环境和有效的反舞弊程序有助于降低此类风险D.只有大公司才存在这种风险10.在信息技术一般控制中，确保只有经过授权的人员才能访问系统程序和数据文件的控制是（）。A.程序变更控制B.访问安全控制C.数据中心运行控制D.系统软件控制11.某企业发现其库存商品账面余额与实际盘点结果存在重大差异，经查是由于仓库管理员兼任了库存明细账的登记工作。这违反了（）。A.交易授权B.职责分离C.资产接触限制D.独立稽核12.风险矩阵图常用于（）。A.识别风险B.定性分析风险C.定量分析风险D.制订风险应对计划13.下列控制活动中，属于业绩评价控制的是（）。A.定期编制银行存款余额调节表B.将实际数据与预算数据进行差异分析C.仓库门禁系统D.采购订单的审批14.COSO《企业风险管理——整合框架》（2017版）强调风险与战略及绩效的关系，提出了风险管理的（）。A.五要素B.八要素C.二十项原则D.三大目标15.内部审计部门在评价内部控制有效性时，其工作底稿的所有权归属于（）。A.具体执行审计的审计师B.被审计单位C.审计委员会或董事会D.外部审计机构16.某公司为了应对原材料价格波动风险，与供应商签订了长期固定价格合同。这种策略属于（）。A.风险规避B.风险分担C.风险降低D.风险承受17.在业务流程层面控制中，销售与收款循环的关键控制点通常不包括（）。A.客户信用批准B.销售定价审批C.发货单与销售发票的匹配核对D.固定资产折旧计提18.下列关于内部监督的表述中，不正确的是（）。A.内部监督分为日常监督和专项监督B.日常监督具有持续性C.专项监督通常针对发生频率较低的风险D.内部监督报告可以直接提交给管理层，无需董事会关注19.企业在建立与实施内部控制时，应当遵循的原则不包括（）。A.全面性原则B.重要性原则C.成本效益原则D.随意性原则20.在控制自我评估（CSA）中，由业务流程管理人员和员工直接参与对其内部控制质量的评估，其主要优点是（）。A.更加客观独立B.能够获得更深入的流程知识和员工承诺C.减少了内部审计的工作量D.完全消除了管理层舞弊的可能性二、多项选择题（本大题共10小题，每小题2分，共20分。在每小题列出的五个备选项中有两个至五个是符合题目要求的，请将其代码填在括号内。多选、少选、错选均不得分。）1.有效的内部控制应当致力于实现以下哪些目标？（）A.经营的效率和效果B.财务报告的可靠性C.遵守适用的法律法规D.保障企业股价持续上涨E.消除企业经营面临的所有风险2.控制环境构成要素包括（）。A.诚信与道德价值观B.治理结构C.组织结构D.权责分配E.人力资源政策3.常见的风险应对策略有哪些？（）A.规避B.降低C.分担D.承受E.忽略4.下列各项中，属于财务报告内部控制缺陷的有（）。A.对期末存货计价方法的错误应用B.负责现金出纳的人员同时登记应收账款明细账C.公司长期未召开董事会会议D.未按期披露重大关联方交易E.高层管理人员涉嫌挪用公款5.信息技术对内部控制产生的影响包括（）。A.提高了业务处理的效率和准确性B.减少了人工干预，降低了人为错误风险C.可能带来系统安全、数据备份等新风险D.使得职责分离更加困难E.改变了审计线索的形式（从纸质变为电子）6.下列关于内部审计的说法中，正确的有（）。A.内部审计应当保持独立性B.内部审计人员的专业胜任能力至关重要C.内部审计只关注财务领域，不关注运营领域D.内部审计结果可以作为管理层改进控制的依据E.内部审计部门可以直接向董事会或审计委员会报告7.在进行风险评估时，企业需要考虑的固有风险因素包括（）。A.外部环境变化（如技术更新、法规变动）B.行业特性C.业务的复杂性D.员工的道德素质E.现有控制措施的有效性8.下列属于应用控制的是（）。A.输入数据的合法性校验（如数字字段输入字母报错）B.系统登录密码验证C.数据库的定期备份D.只有授权人员才能生成付款支票E.总账与明细账的自动核对9.企业在识别外部风险时，应关注（）。A.宏观经济政策B.法律法规及监管要求C.技术进步D.自然灾害E.员工流失率10.根据COSO框架，信息与沟通需要满足的要求包括（）。A.获取并识别相关的信息B.在组织内部及时传递信息C.与外部相关方进行有效沟通D.建立信息系统以支持经营E.信息必须全部公开，不得有保密级别三、判断题（本大题共15小题，每小题1分，共15分。请判断每小题的表述是否正确，认为正确的打“√”，错误的打“×”。）1.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。（）2.只要建立了完善的内部控制制度，就一定能保证企业目标的实现。（）3.风险评估是一个动态的过程，需要随着内外部环境的变化而持续进行。（）4.企业的内部审计部门应当对财务报表的编制和披露负责。（）5.职责分离主要适用于预防性控制，对于检查性控制意义不大。（）6.重要性原则要求企业在全面控制的基础上，关注重要业务事项和高风险领域。（）7.企业购买保险是一种典型的风险降低策略。（）8.董事会是内部控制的核心责任主体，对内部控制的有效性承担最终责任。（）9.当控制缺陷导致错报的可能性微小，且即使发生错报也难以被发现时，该缺陷属于重大缺陷。（）10.预防性控制通常比检查性控制成本更低，因为它们能防止问题发生，而不是事后发现。（）11.企业在风险应对时，可以同时采取多种策略的组合。（）12.所有的控制活动都必须通过人工方式执行，自动化控制不可靠。（）13.如果企业规模较小，出于成本考虑，可以不进行职责分离。（）14.外部审计师的审计意见可以直接替代企业内部对内部控制的评价。（）15.穿行测试是指通过追踪交易在财务报告信息系统中的处理过程，来了解和评估内部控制设计有效性的方法。（）四、简答题（本大题共4小题，每小题6分，共24分。）1.简述COSO《企业风险管理——整合框架》（2017）中定义的“风险”与传统的“风险”概念有何主要区别？2.请列出至少六项属于“控制活动”要素的具体控制措施。3.简述内部审计部门在内部控制体系建设和维护中的主要作用。4.解释“风险承受度”在风险管理决策中的作用，并举例说明。五、计算与分析题（本大题共1小题，共10分。）某高科技制造企业正在评估其数据中心面临的火灾风险。经过风险识别与评估，收集到以下数据：1.数据中心发生火灾的概率为2%。2.一旦发生火灾，预计造成的直接资产损失和业务中断损失共计5000万元。3.企业正在考虑安装一套自动喷淋灭火系统。该系统的安装及维护成本现值为80万元。4.安装该系统后，火灾发生的概率将降低至0.5%，且一旦发生火灾，损失金额预计降低至2000万元。请利用风险管理中的定量分析方法，分别计算：(1)不安装喷淋系统情况下的预期损失（ExpectedLoss）。(2)安装喷淋系统情况下的总成本（TotalCost=控制成本+剩余预期损失）。(3)根据计算结果，从成本效益角度分析企业是否应该安装该系统。六、案例分析题（本大题共2小题，每小题25.5分，共51分。）案例一：“宏图制造股份有限公司”是一家从事精密仪器生产与销售的大型企业。随着业务规模的扩大，公司管理层近期发现库存管理混乱，成本核算不准，且发生过几起仓库保管员监守自盗的事件。为了加强内部控制，公司聘请了内部咨询顾问进行诊断。顾问在调研后发现了以下情况：1.采购与付款循环：采购部门负责根据生产需求编制采购订单，并直接向供应商下单。当货物到达时，由采购部门的人员负责验收，并编制验收单。随后，采购部门将验收单和采购订单交给财务部门，财务部门据此进行付款。2.存货管理：仓库设有两名保管员，A负责原材料入库和登记原材料明细账，B负责原材料出库和登记出库记录。仓库的钥匙由A和B分别持有，但并未限制两人进入对方管理的区域。每月末，财务会计会直接根据A和B提供的记录汇总编制库存报表，从未进行过实地盘点。3.销售与收款循环：为了扩大销售，公司赋予了销售人员极大的自主权。销售人员可以自行决定客户的信用额度，并直接签订销售合同。发货部门根据销售人员填写的发货单发货。应收账款明细账由销售部门负责登记和催收，财务部门只负责总账核算。4.资金管理：出纳员负责保管现金、登记现金及银行存款日记账，并负责编制银行存款余额调节表。公司总经理经常因个人急用向出纳借支现金，事后以“业务招待费”等名义报销补足，出纳员均予以配合。要求：根据《企业内部控制基本规范》及COSO框架的相关要求，分析宏图制造股份有限公司在内部控制设计方面存在的主要缺陷，指出这些缺陷违反了哪些内部控制的一般原则或具体控制要求，并提出改进建议。案例二：“绿源生态农业集团”是一家致力于有机农产品开发的上市公司。2023年，公司决定利用闲置资金进入高风险的金融衍生品市场进行投资，以期获得巨额回报。由于公司此前缺乏相关经验，董事会授权总经理全权负责此事。总经理指定财务总监成立了一个专门的投资小组，该小组直接向总经理汇报。投资小组在未经过系统性的风险评估和可行性研究的情况下，在短短一个月内动用了公司净资产的40%购买了某种复杂的期权合约。半年后，由于市场行情发生剧烈波动，该期权合约价值大幅缩水，导致公司遭受了巨额亏损，直接影响了当期利润，甚至威胁到公司的持续经营能力。事后调查显示，该投资小组在交易过程中存在越权操作，且未建立任何止损机制。此外，公司的内部审计部门在审计期间曾发现投资交易的异常，但在向分管副总经理汇报后，该消息被压下，未及时传达给董事会或审计委员会。审计委员会的成员主要由公司现任高管及其亲属担任，缺乏独立性。要求：1.分析绿源生态农业集团在此次投资失败事件中，暴露了其在“内部环境”和“风险评估”方面存在的哪些严重问题？2.分析公司在“监督活动”和“信息与沟通”方面存在的缺陷。3.结合ERM框架，阐述该企业应当如何构建有效的风险管理机制以避免类似事件再次发生？参考答案与解析一、单项选择题1.【答案】C【解析】控制环境是所有其他组成要素的基础，它确立了组织的基调，影响员工的控制意识。2.【答案】C【解析】风险偏好和风险承受度是可以根据企业战略的变化而调整的，并非必须保持绝对一致且不可更改。3.【答案】A【解析】审批控制通常属于预防性控制，旨在在错误或违规行为发生之前进行阻止。4.【答案】A【解析】风险识别是确定可能影响组织目标实现的潜在事件和情况的过程。5.【答案】D【解析】《企业内部控制基本规范》五要素包括：内部环境、风险评估、控制活动、信息与沟通、内部监督。预算控制属于控制活动的一种具体手段，不属于五要素之一。6.【答案】C【解析】职责分离的核心是不相容职务分离，即任何一个人都不能独自包办一项业务的全过程，以防止舞弊和错误。7.【答案】C【解析】审计委员会负责监督，具体的内部控制测试工作是由内部审计部门或外部审计师执行的，审计委员会不亲自执行测试。8.【答案】A【解析】对于发生概率低但一旦发生损失极其严重的风险（如毁灭性灾害），通常采取风险规避策略，即放弃该业务或活动。9.【答案】C【解析】管理层凌驾于控制之上是内部控制面临的最难防范的风险之一，通过建立强有力的控制环境（强调诚信）、有效的反舞弊程序和独立的监督可以降低此类风险，但很难完全消除。10.【答案】B【解析】访问安全控制旨在确保只有经过授权的人员才能访问系统程序和数据文件，防止未授权的修改或泄露。11.【答案】B【解析】资产保管（仓库管理员）与资产记录（登记明细账）属于不相容职务，由同一人负责容易导致舞弊，违反了职责分离原则。12.【答案】B【解析】风险矩阵图通过评估风险发生的可能性和影响程度，对风险进行定性分析和分级。13.【答案】B【解析】业绩评价控制包括将实际数据与预算、预测、前期数据及竞争对手数据进行对比分析，以发现异常情况。14.【答案】C【解析】COSO2017版ERM框架提出了与五大组成部分相关的20项原则。15.【答案】C【解析】内部审计部门向审计委员会或董事会负责，其工作底稿归属于组织，具体由审计委员会或董事会监管。16.【答案】B【解析】通过签订合同将价格波动的风险转移给对方（或锁定风险），属于风险分担策略（利用金融工具或合同）。17.【答案】D【解析】固定资产折旧计提属于固定资产与循环循环，不属于销售与收款循环。18.【答案】D【解析】内部监督发现的重大问题应当向董事会或审计委员会报告，而不仅仅是管理层。19.【答案】D【解析】内部控制的建立和实施应当遵循全面性、重要性、制衡性、适应性、成本效益原则，不能随意。20.【答案】B【解析】控制自我评估（CSA）由业务人员参与，能利用其对流程的深入了解，并提高其对内控的责任感和承诺。二、多项选择题1.【答案】ABC【解析】内部控制的目标包括经营的效率和效果、财务报告的可靠性、法律法规的遵循性。保障股价上涨和消除所有风险不是内控能保证的。2.【答案】ABCDE【解析】以上五项均属于控制环境的构成要素。3.【答案】ABCD【解析】风险应对策略包括规避、降低、分担、承受。4.【答案】ABDE【解析】C选项属于公司治理层面的缺陷，虽然影响内控环境，但A、B、D、E更直接地关联到财务报告的准确性或资产安全，属于财务报告内控缺陷的典型表现。注：广义上所有缺陷都影响财报，但通常A、B、D是直接的财报内控缺陷。E导致资产流失也影响财报。5.【答案】ABCDE【解析】信息技术改变了业务处理方式，提高了效率，但也带来了新风险，改变了控制方式和审计线索。6.【答案】ABDE【解析】内部审计的范围不仅限于财务，还包括运营、合规等，C选项错误。7.【答案】ABC【解析】固有风险是指在不考虑控制措施的情况下，业务本身存在的风险。D和E属于控制风险或道德风险，不属于固有风险的外部或业务属性。E（现有控制）属于控制风险范畴。8.【答案】ADE【解析】应用控制是针对特定应用系统的控制，如输入、处理、输出控制。B和C属于一般控制（ITGeneralControls）。9.【答案】ABCD【解析】员工流失率通常属于内部人力资源风险，而非外部风险。10.【答案】ABCD【解析】信息与沟通需要获取、识别、传递信息，包括内外部沟通，并建立信息系统。E选项错误，信息需要根据保密级别进行传递，并非全部公开。三、判断题1.【答案】√【解析】符合内部控制的定义。2.【答案】×【解析】内部控制只能提供“合理保证”，而非“绝对保证”，且受限于成本效益原则、人为错误等。3.【答案】√【解析】风险是动态的，风险评估也应是持续的。4.【答案】×【解析】财务报表的编制和披露责任是管理层（治理层）的，内部审计负责监督和评价。5.【答案】×【解析】职责分离既适用于预防性控制（防止舞弊），也有助于检查性控制（通过交叉核对发现错误）。6.【答案】√【解析】符合重要性原则的定义。7.【答案】×【解析】购买保险是将风险转移给保险公司，属于风险分担（转移），而非风险降低。8.【答案】√【解析】董事会对内控有效性承担最终责任。9.【答案】×【解析】描述的是“重要缺陷”或“一般缺陷”的特征。重大缺陷是指一个或多个控制缺陷的组合，可能导致企业无法及时防范或发现错报，从而严重影响财务报表的真实性。10.【答案】√【解析】预防性控制通常在事前，比事后发现并纠正的检查性控制更具成本效益。11.【答案】√【解析】企业可以根据不同风险的特点，组合使用多种策略。12.【答案】×【解析】自动化控制在适当设计的情况下非常可靠且高效，许多控制活动必须依赖自动化。13.【答案】×【解析】无论企业规模大小，只要存在不相容职务，就应当在可能的情况下进行职责分离。小企业可以通过业主亲自监督等替代性措施，但不能完全忽视。14.【答案】×【解析】外部审计师是独立的第三方，其审计不能替代企业自身的内部控制评价责任。15.【答案】√【解析】穿行测试是了解和测试内部控制设计有效性的常用方法。四、简答题1.【答案】COSO2017框架将风险定义为“事项发生并影响目标实现的可能性”。主要区别在于：（1）战略视角：传统风险概念往往关注负面威胁（即损失），而COSO2017强调风险具有二重性，既包括负面威胁，也包括正面机会（即可能提升价值的事项）。风险管理不仅是为了防范损失，也是为了识别和利用机会。（2）与战略和绩效的融合：新定义强调风险是直接与战略制定和绩效执行相联系的，风险被视为在价值创造过程中固有的，而不仅仅是需要规避的独立因素。2.【答案】控制活动主要包括：（1）不相容职务分离（职责分离）；（2）授权审批（一般授权和特别授权）；（3）会计系统控制（凭证与记录控制）；（4）财产保护控制（资产接触限制、盘点）；（5）预算控制；（6）运营分析控制（业绩评价）；（7）绩效考评控制；（8）信息系统控制（一般控制和应用控制）。3.【答案】内部审计在内部控制中的作用包括：（1）监督与评价：对内部控制的设计和执行有效性进行独立审查和客观评价。（2）咨询与建议：针对发现的内部控制缺陷和薄弱环节，向管理层和董事会提供改进建议，协助优化业务流程。（3）反舞弊：通过审计程序识别和调查可能存在的舞弊行为。（4）风险管理的第三道防线：作为企业风险管理的第三道防线，独立于业务部门（第一道防线）和风险管理/合规部门（第二道防线），提供确认服务。4.【答案】风险承受度是指企业在实现目标的过程中，对偏离目标程度的可接受限度。作用：（1）决策基准：它是判断风险是否需要采取应对行动的临界点。当风险水平（预计差异）在承受度范围内时，企业可以选择“风险承受”策略，不采取额外措施；当超出承受度时，必须启动风险应对流程（如降低、分担或规避）。（2）量化管理：它将抽象的风险偏好转化为具体的、可衡量的指标，便于日常监控。举例：某企业设定“应收账款坏账率”的风险承受度为5%。如果实际预测坏账率为3%，在承受度内，可不做处理；若预测达到8%，则必须立即采取催收政策或调整信用政策。五、计算与分析题【答案】(1)不安装喷淋系统情况下的预期损失：EE(2)安装喷淋系统情况下的总成本：首先计算剩余预期损失：EE总成本=控制成本+剩余预期损失T(3)决策分析：比较两种情况下的成本：不安装系统的预期成本为100万元。安装系统的总成本为90万元。结论：从成本效益角度分析，安装喷淋系统的总成本（90万元）低于不安装系统的预期损失（100万元），且显著降低了火灾发生的概率和潜在损失幅度。因此，企业应该安装该系统。六、案例分析题案例一：【答案】宏图制造股份有限公司在内部控制设计方面存在以下主要缺陷、违反的原则及改进建议：1.采购与付款循环：采购与验收不相容职务未分离。缺陷分析：采购部门负责下单并直接负责验收，缺乏独立的监督。这可能导致采购员虚假采购、收受回扣或验收不合格物资。违反原则：违反了“不相容职务分离”原则。改进建议：设立独立的验收部门（或仓库验收人员），验收部门应根据采购订单独立验收货物，编制验收单，并与采购订单、发票进行核对（三单匹配）后交财务付款。2.存货管理：职责划分不清，缺乏独立稽核。缺陷分析：保管员A和B虽然名义分工，但未限制进入对方区域，且一人兼任保管和部分记录（虽然分了A和B，但缺乏制衡）。最重要的是，财务会计仅根据记录汇总，从未进行实地盘点，导致账实可能不符，且无法发现盗窃行为。违反原则：违反了“资产安全”和“独立稽核”原则。改进建议：严格限制仓库人员访问权限（门禁控制）；实行定期或不定期的存货盘点制度，盘点应由财务人员或独立于保管员的人员进行，确保账实相符。3.销售与收款循环：销售、信用审批、发货、应收账款记录职责混淆。缺陷分析：销售人员自行决定信用额度并签订合同，容易产生坏账风险或舞弊；销售部门登记应收账款明细账，违反了资产记录与业务职能分离，可能掩盖截留收入或挪用货款的行为。违反原则：违反了“不相容职务分离”和“授权审批”原则。改进建议：设立独立的信用管理部门（或岗位）负责审批客户信用；应收账款明细账应由财务部门负责登记，与销售部门分离；发货部门应依据经批准的销售单发货。4.资金管理：出纳员职责过重，存在管理层凌驾风险。缺陷分析：出纳员登