2026年内部控制与风险防范测试卷

2026年内部控制与风险防范测试卷一、单项选择题（本大题共20小题，每小题1.5分，共30分。在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填在括号内）1.在COSO整合框架中，内部控制的定义强调了其是为实现各类目标提供合理保证的过程。以下哪项不属于COSO框架明确界定的三类目标？（）A.运营目标B.财务报告目标C.战略规划目标D.合规目标2.风险评估是内部控制的重要组成部分，其基础是确定目标。在进行风险分析时，企业通常需要评估风险发生的可能性和影响。如果某风险发生的概率极低，但一旦发生将导致企业破产，这种风险通常被称为（）。A.剩余风险B.固有风险C.重大错报风险D.控制风险3.控制环境是所有内部控制组成要素的基础，它确立了企业的基调。在控制环境中，管理层的经营理念和风险偏好直接决定了企业文化的走向。以下哪项管理层行为最可能表明其缺乏诚信的价值观，从而削弱控制环境的有效性？（）A.定期审批财务预算B.在追求短期业绩目标时，暗示会计人员可以通过“合规的技术处理”调整利润C.主动关注员工的专业胜任能力D.建立了举报机制4.职责分离是一项重要的控制活动，旨在将一项业务分由不同人员处理，以降低舞弊或错误的风险。在采购与付款循环中，以下哪项职责分离安排是不恰当的？（）A.采购部门负责审批请购，验收部门负责验收货物B.会计部门负责记录应付账款，出纳负责签发支票C.采购部门负责询价并确定供应商，采购部门负责人负责审批合同D.询价人员与合同签订人员分离5.随着数字化转型的深入，信息系统的一般控制（ITGC）变得尤为重要。以下哪项不属于信息系统一般控制的范畴？（）A.数据中心的物理安全与环境控制B.应用系统的访问权限管理C.操作系统的变更管理D.具体业务数据的输入校验（如在金额字段限制只能输入数字）6.根据COSO风险管理框架，风险应对策略包括规避、降低、分担和接受。企业为防止核心数据泄露，投入巨资购买网络安全保险，这属于哪种风险应对策略？（）A.风险规避B.风险降低C.风险分担D.风险接受7.内部监督机制通过持续的监督活动或单独的评价来确保内部控制随时间推移保持有效。关于内部审计在监督中的角色，以下描述正确的是（）。A.内部审计人员可以负责设计并执行他们曾经参与过的业务流程的控制活动B.内部审计部门只需向财务总监汇报工作C.内部审计应当保持独立性，直接向董事会或审计委员会报告D.内部审计主要关注财务报表的准确性，无需关注运营效率8.穿行测试是了解和评估内部控制常用的方法。审计师通过追踪一笔交易在系统中的处理路径，来验证控制设计的有效性。穿行测试的主要目的是（）。A.确认控制是否在整个期间内一贯执行B.评估控制是否能够防止或发现并纠正重大错报C.确认交易是否经过授权D.验证财务数据的准确性9.舞弊三角理论认为，舞弊通常由三个要素构成：压力/动机、机会和借口。其中，“机会”要素与内部控制的强弱直接相关。以下哪项属于增加了舞弊“机会”的情形？（）A.员工近期购买了大额房产，面临还款压力B.企业处于行业低迷期，业绩考核指标难以完成C.存货保管员既负责实物保管又负责登记存货明细账D.员工认为公司高层存在挪用公款行为，自己挪用一点也是“公平”的10.在评估控制缺陷的严重程度时，需要考虑该缺陷导致账户余额或披露错报的可能性，以及该错报的潜在大小。如果存在一个“重要缺陷”，但该缺陷有合理的可能性导致企业无法及时防止或发现并纠正年度财务报表中的重大错报，那么该缺陷应被归类为（）。A.一般缺陷B.重要缺陷C.重大缺陷D.实质性漏洞11.2026年，某跨国公司引入了生成式人工智能（AI）辅助进行财务分析。从风险防范角度看，以下哪项是该公司最需要关注的新型风险？（）A.AI系统生成的分析报告缺乏艺术感B.AI算法的“黑箱”特性导致决策逻辑不可解释及潜在的数据偏见C.AI系统运行速度过快导致服务器过载D.员工过度依赖AI而忘记基础会计公式12.控制活动是确保管理层指令得以执行的政策和程序。以下关于“独立核查”这一控制活动的描述，错误的是（）。A.独立核查可以由内部审计人员执行B.独立核查可以由第三方机构执行C.独立核查通常需要将实际记录与实物资产进行比对D.独立核查必须由不参与业务流程的人员执行，且频率越高越好，最好每笔业务都核查13.信息与沟通是内部控制要素之一。企业不仅需要处理内部信息，还需要关注外部信息。以下哪项属于企业应当关注的外部信息？（）A.仓库的每日库存变动记录B.供应商的信用评级变化C.员工的考勤记录D.生产线的产量统计14.在风险评估中，定性分析方法常用于难以量化的风险。如果企业使用“风险矩阵”来评估风险，将风险分为高、中、低三个等级。若某风险被评估为“高”风险，通常意味着（）。A.影响程度高且发生可能性高B.影响程度低但发生可能性极高C.影响程度极高但发生可能性极低D.影响程度中等且发生可能性中等15.预防性控制与检查性控制是控制活动的两种类型。以下哪项属于典型的预防性控制？（）A.定期编制银行存款余额调节表B.对库存现金进行突击盘点C.在采购系统中设置供应商信用额度上限，超过限额无法生成订单D.每月核对主营业务收入与增值税纳税申报表16.根据萨班斯-奥克斯利法案（SOX）404条款，管理层必须对财务报告内部控制的有效性进行评价。在评价过程中，如果发现控制缺陷，管理层需要决定是否采取补救措施。以下关于补救措施的考虑，错误的是（）。A.补救措施的成本不应超过因缺陷导致的潜在损失B.补救措施应能够直接针对缺陷的根源C.只要是缺陷，无论金额大小，都必须立即进行系统重构D.可以考虑通过人工补偿控制来暂时弥补自动化控制的缺陷17.在供应链风险管理中，单一供应商策略可能导致供应中断风险。为了降低此风险，企业采取“多源采购”策略。这主要体现了风险管理的哪一原则？（）A.风险转移B.风险分散C.风险对冲D.风险规避18.某公司计算出某项投资风险的预期损失。假设风险事件发生的概率为P，风险事件发生后的损失金额为L。则预期损失EL的计算公式为（）。A.EL=P+LB.EL=P×LC.EL=P/LD.EL=(1P)×L19.审计委员会在内部控制体系中扮演着关键角色，它是董事会下属的专门委员会。以下哪项职责不属于审计委员会的职责范围？（）A.监督外部审计师的聘任、解聘和审计费用B.审核公司的财务信息及其披露C.直接负责制定公司的总体战略目标D.监督公司内部审计制度的实施及效果20.在进行风险价值计算时，假设投资组合的收益率服从正态分布，置信水平为95，标准差为σ，均值为μ。则单日风险价值可以近似表示为（）。A.1.65×σB.1.96×σC.2.33×σD.3.00×σ二、多项选择题（本大题共10小题，每小题2分，共20分。在每小题列出的四个备选项中有两个或两个以上是符合题目要求的，请将其代码填在括号内。错选、多选、少选均不得分）1.COSO发布的《企业风险管理——整合框架》（2017版）将风险管理的要素与原则进行了更新。以下属于该框架中“战略与绩效”组成部分的要素有（）。A.制定战略B.执行战略C.识别风险D.评估风险2.一个有效的内部控制系统应当具备的特征包括（）。A.能够防止员工的所有舞弊行为B.能够提供合理保证，而非绝对保证C.受到成本效益原则的约束D.融入企业的日常经营活动之中3.关于管理层凌驾于控制之上的风险，以下描述正确的有（）。A.这通常是由于控制环境薄弱导致的B.主要手段包括虚构交易、不当调整会计估计等C.由于管理层处于强势地位，常规的内部控制往往难以防范D.审计师可以通过关注异常的会计分录、重大期末调整来识别此类风险4.信息技术在内部控制中的应用带来了效率，但也带来了特定风险。下列属于IT应用控制失效导致的风险有（）。A.系统逻辑错误导致所有交易数据计算错误B.未经授权的人员通过超级用户权限修改数据C.系统未设置数据输入的有效性校验，导致垃圾数据进入系统D.停电导致服务器暂时无法访问5.企业在建立反舞弊机制时，应当关注的重点领域包括（）。A.虚构收入B.虚减费用C.资产侵占D.贿赂与回扣6.风险评估流程通常包括以下步骤（）。A.目标设定B.风险识别C.风险分析（可能性与影响）D.风险应对7.下列关于“控制缺陷”严重程度分类的表述，正确的有（）。A.重大缺陷是指一个或多个控制缺陷的组合，导致企业无法及时防止或发现并纠正年度财务报表中的重大错报B.重要缺陷的严重程度低于重大缺陷，但足以引起监督人员的关注C.一般缺陷是指除重大缺陷和重要缺陷之外的其他缺陷D.所有的控制缺陷都必须向董事会及其审计委员会报告8.2026年，随着ESG（环境、社会和治理）理念的深入，企业在内部控制和风险管理中需要考虑的因素包括（）。A.碳排放数据收集与报告的准确性B.员工多元化与劳动权益保护C.数据隐私保护与网络安全D.短期利润最大化9.良好的信息与沟通系统应当具备的功能包括（）。A.能够识别和获取从外部来源传入的适当信息B.能够在企业内部自上而下、自下而上以及横向传递信息C.确保信息的相关性、可靠性和及时性D.能够自动解决所有信息传递中的冲突10.在评价一项控制活动的设计有效性时，审计师需要考虑的因素包括（）。A.该控制活动是否单独或连同其他控制活动能够达到控制目标B.该控制活动是如何执行的C.该控制活动是否由具备必要授权和专业能力的人员执行D.执行该控制活动的频率三、判断题（本大题共10小题，每小题1分，共10分。请判断每小题的表述是否正确，认为正确的选A，认为错误的选B）1.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程，因此董事会不需要对内部控制承担最终责任。（）2.如果企业规模较小，出于成本效益考虑，可以不建立正式的内部控制书面文档，只需口头传达即可。（）3.风险降低策略是指通过采取措施降低风险发生的可能性或影响，例如安装防火墙降低网络攻击成功的概率。（）4.持续监督活动通常嵌入在企业日常的重复性经营活动中，比单独的评价更能及时地发现内部控制的问题。（）5.保留责任是指虽然某项职责可以转交给代理人或外部服务提供商，但最终的责任仍由原责任人承担。（）6.如果企业建立了完善的内部控制体系，就一定能保证企业实现战略目标和经营目标。（）7.穿行测试通常用于测试控制运行的有效性，即确认控制是否在实际运行中发挥了作用。（）8.在风险评估中，固有风险是指在不考虑内部控制的情况下，某项风险发生的可能性和影响。（）9.只有当企业发生重大舞弊事件时，才需要建立举报机制，平时不需要设立专门的举报渠道。（）10.控制环境决定了组织的基调，影响员工的控制意识。即使有先进的控制技术和制度，如果控制环境薄弱，内部控制也可能失效。（）四、简答题（本大题共4小题，每共15分）1.简述COSO内部控制整合框架（2013版）中的五要素及其相互关系。2.请列举并解释四种主要的风险应对策略，并各举一例说明。3.在企业数字化转型过程中，信息系统的一般控制（ITGC）与应用控制（ITAC）有何区别？请分别举例说明。4.什么是管理层凌驾于控制之上的风险？企业应如何通过内部控制机制防范此类风险？五、综合案例分析题（本大题共2小题，共25分。阅读下列材料，回答问题）案例材料一：A公司为一家在创业板上市的高科技制造企业，主要生产智能穿戴设备。2026年初，A公司董事会决定扩大生产规模，并进军海外市场。然而，随着业务扩张，公司内部管理出现了一系列问题。1.采购环节：为了加快采购速度，采购部经理直接指定其亲戚控制的B公司作为主要原材料供应商，价格比市场平均价高出15%。合同由采购部经理直接审批，无需经过更高层级或采购委员会审核。2.销售环节：为了完成季度销售指标，销售副总在季度末指示发货部门向两家信誉不佳的经销商大量发货，并确认收入。这两家经销商在下一季度初即以“质量问题”为由退货。3.存货环节：仓库管理员老张负责登记存货明细账，同时负责实物保管和盘点。2025年底的盘点显示，原材料盘亏达200万元，老张解释为“自然损耗”，财务部门未深究。4.信息系统：公司新引进的ERP系统权限管理混乱。IT部门为了方便维护，给部分财务人员授予了超级用户权限，可以修改已过账的凭证。5.人力资源：公司近年来流失率高，关键岗位人员频繁变动，且新员工入职仅进行简单的岗位操作培训，未涉及合规和职业道德培训。问题：1.根据上述资料，分析A公司在内部控制方面存在的主要缺陷，并指出这些缺陷分别违反了内部控制的哪些要素或具体原则。（6分）2.针对采购环节和存货环节的缺陷，请提出具体的改进建议。（4分）3.结合风险评估理论，分析A公司当前面临的主要风险类型。（5分）案例材料二：B金融科技集团（以下简称“B集团”）是一家提供在线借贷服务的金融科技公司，核心业务依赖于其自主研发的“智能风控模型”和“大数据信用评分系统”。2026年，B集团面临激烈的市场竞争，为了提升审批效率和用户体验，管理层决定对风控模型进行升级，引入了深度学习算法。然而，在升级过程中，由于时间紧迫，模型开发团队在未经过充分的历史数据回测和独立验证的情况下，就将新模型投入生产环境。新模型上线后，虽然审批速度提升了30%，但坏账率在半年内从2.5%上升至4.8%。此外，B集团的数据治理体系存在漏洞，部分用户敏感信息（如身份证号、征信报告）在传输过程中未加密，导致发生了一起数据泄露事件，被监管部门罚款并责令整改。B集团的内部审计部门在事后审查中发现，IT部门拥有模型参数的完全修改权，且没有模型变更的审批记录；同时，公司没有设立专门的数据安全官（CISO）或数据治理委员会。问题：1.从内部控制与风险防范的角度，分析B集团在模型风险管理方面存在哪些失误？（5分）2.针对数据泄露事件，结合COSO框架中的“信息与沟通”及“控制活动”要素，提出B集团应采取的控制措施。（5分）参考答案及解析一、单项选择题1.【答案】C【解析】COSO整合框架明确界定的三类目标是：运营目标、财务报告目标和合规目标。战略目标是COSO风险管理框架（ERM）中的概念，虽然与内部控制紧密相关，但在传统的内部控制整合框架定义中，通常不直接列为第四类基础目标，而是作为更高层面的目标。2.【答案】B【解析】固有风险是指在不考虑内部控制结构的情况下，企业发生特定风险的可能性。题目描述的风险特征（发生概率极低但影响极大）属于固有风险的范畴。剩余风险是指在管理层实施风险应对后仍残留的风险。控制风险是内部控制未能及时防止或发现并纠正错报的风险。重大错报风险是审计术语，包含固有和控制风险。3.【答案】B【解析】控制环境的核心是诚信和道德价值观。选项B中，管理层暗示通过“合规的技术处理”调整利润，实际上是暗示进行盈余管理甚至舞弊，这直接破坏了诚信的价值观，严重削弱了控制环境。4.【答案】C【解析】职责分离要求不相容职务分离。采购业务中，询价与确定供应商、审批合同是不相容的。如果由同一人或同一部门负责，极易产生舞弊（如收受回扣、高价采购）。选项C中，采购部门既负责询价又负责确定供应商，且由部门负责人审批，缺乏制衡。5.【答案】D【解析】信息系统一般控制（ITGC）适用于所有应用系统，包括数据中心安全、系统软件acquisition、变更管理、以及程序和数据的访问安全。选项D“具体业务数据的输入校验”属于应用控制（ITAC），是针对特定业务程序的。6.【答案】C【解析】风险分担是指通过合同、保险或partnerships将部分风险转移给第三方。购买网络安全保险是将数据泄露带来的财务损失风险转移给保险公司，属于风险分担。7.【答案】C【解析】内部审计的有效性取决于其独立性。内部审计应当直接向董事会或审计委员会报告，以确保其工作不受管理层干扰。选项A违反了独立性原则；选项B向财务总监汇报会削弱独立性；选项D过于狭隘，内部审计范围包括运营、合规等。8.【答案】B【解析】穿行测试的主要目的是了解业务流程和内部控制设计，验证控制设计是否合理并得到执行，即确认控制是否能够防止或发现并纠正重大错报。它不是用来评估一贯性（那是控制测试的目的）或直接验证数据准确性。9.【答案】C【解析】舞弊三角中的“机会”是指缺乏有效的内部控制，使得舞弊行为可以隐藏或不易被发现。选项C中，存货保管员既管物又管账，缺乏职责分离，为舞弊提供了机会。选项A是压力，选项B是压力，选项D是借口。10.【答案】C【解析】根据审计准则和COSO指引，如果一个重要缺陷（或多个缺陷的组合）有合理的可能性导致无法防止或发现并纠正年度财务报表的重大错报，那么该缺陷应被提升为重大缺陷。11.【答案】B【解析】引入AI带来的新型风险包括算法不可解释性（黑箱）、数据偏见、模型失效等。选项B直接指出了AI治理中的核心风险。选项A和C属于次要问题，选项D是人员使用问题，非AI系统本身的风险。12.【答案】D【解析】独立核查需要考虑成本效益原则。频率越高，控制越强，但成本也越高。并非每笔业务都需要独立核查，通常对于高风险、大金额业务进行核查。因此D选项“最好每笔业务都核查”是不符合成本效益原则的错误描述。13.【答案】B【解析】外部信息包括法律法规、市场趋势、客户需求、供应商状况等。供应商信用评级变化属于外部信息，直接影响企业的采购风险。A、C、D均为内部信息。14.【答案】A【解析】在风险矩阵中，“高”风险通常意味着风险发生的可能性高且一旦发生造成的影响程度高。虽然具体矩阵定义可能不同，但通常“高”风险是指双高。15.【答案】C【解析】预防性控制旨在在错误或舞弊发生之前防止其发生。在系统中设置信用额度上限，超过无法生成订单，直接在源头阻止了超信用采购，属于预防性控制。A、B、D均为检查性控制，是在事后发现问题的。16.【答案】C【解析】补救措施需遵循成本效益原则。对于非重大缺陷，如果补救成本远高于潜在损失，管理层可能选择接受风险。C选项“无论金额大小，都必须立即进行系统重构”过于绝对，不符合成本效益原则。17.【答案】B【解析】风险分散是指通过多样化投资或业务布局来降低整体风险。多源采购避免了单一供应商中断带来的全面停产风险，属于风险分散。18.【答案】B【解析】预期损失通常定义为风险发生的概率乘以风险事件发生后的损失金额。公式为EL=P×L。19.【答案】C【解析】制定公司的总体战略目标主要是董事会和管理层的职责，审计委员会主要负责监督、财务信息审核及内外部审计协调，不直接负责战略制定。20.【答案】B【解析】在正态分布假设下，95%置信水平对应的单侧Z值约为1.645，双侧为1.96。在风险价值计算中，通常使用单侧（关注损失尾部），标准正态分布95%分位数对应的Z值约为1.645，但通常简化为1.65。如果是正态分布且置信水平95%，常用的近似系数是1.65。但在一些严谨的金融考试中，若指双侧则选1.96，若指单侧VaR（通常指下侧风险），则是1.645。选项中最接近且常用的是1.65。若选项有1.65选1.65，若无，看具体语境。这里选项B为1.96，A为1.65。通常VaR计算涉及单尾，1.65更准确。但若题目隐含双侧或特定教材定义，可能选B。鉴于1.65是标准正态95%单侧分位，A更准确。但若必须从给定选项选且无1.65，通常题目会设计好。这里A是1.65，B是1.96。标准VaR（95%）是1.65。选A。修正：仔细看选项，A是1.65。通常VaR是单尾。所以选A。修正：仔细看选项，A是1.65。通常VaR是单尾。所以选A。二、多项选择题1.【答案】A,B【解析】COSOERM2017框架中，五大组成部分分别是：治理与文化、战略与绩效、审阅与修订、信息沟通与报告。其中“战略与绩效”包含：制定战略、执行战略、设定目标等。识别风险和评估风险属于“审阅与修订”或通用的风险管理流程，但在该特定框架结构下，战略与绩效主要关注战略制定和执行。实际上，ERM2017将风险视为贯穿始终。但在具体要素归类上，战略与绩效包含：制定战略、设定业务目标、识别风险、评估风险、识别和评估风险等。修正：根据COSOERM2017，20个原则中，“制定战略”和“执行战略”属于战略与绩效组成部分。识别和评估风险也是该部分的重要内容。实际上，ERM2017的结构是：1.治理与文化，2.战略与绩效，3.审阅与修订，4.信息沟通与报告。战略与绩效包含：制定战略、设定业务目标、识别风险、评估风险、风险应对等。所以A、B、C、D都涉及。但通常考题会区分。这里选A、B最为稳妥，因为它们是组成部分的名称，C、D是具体活动。再修正：题目问“属于该框架中‘战略与绩效’组成部分的要素”。该组成部分下的原则包括：制定战略、设定业务目标、识别风险、评估风险、风险应对。所以全选。但考虑到选项形式，A、B是宏观阶段，C、D是具体动作。通常选A、B。【解析】COSOERM2017框架中，五大组成部分分别是：治理与文化、战略与绩效、审阅与修订、信息沟通与报告。其中“战略与绩效”包含：制定战略、执行战略、设定目标等。识别风险和评估风险属于“审阅与修订”或通用的风险管理流程，但在该特定框架结构下，战略与绩效主要关注战略制定和执行。实际上，ERM2017将风险视为贯穿始终。但在具体要素归类上，战略与绩效包含：制定战略、设定业务目标、识别风险、评估风险、识别和评估风险等。修正：根据COSOERM2017，20个原则中，“制定战略”和“执行战略”属于战略与绩效组成部分。识别和评估风险也是该部分的重要内容。实际上，ERM2017的结构是：1.治理与文化，2.战略与绩效，3.审阅与修订，4.信息沟通与报告。战略与绩效包含：制定战略、设定业务目标、识别风险、评估风险、风险应对等。所以A、B、C、D都涉及。但通常考题会区分。这里选A、B最为稳妥，因为它们是组成部分的名称，C、D是具体活动。再修正：题目问“属于该框架中‘战略与绩效’组成部分的要素”。该组成部分下的原则包括：制定战略、设定业务目标、识别风险、评估风险、风险应对。所以全选。但考虑到选项形式，A、B是宏观阶段，C、D是具体动作。通常选A、B。最终确认：COSOERM2017中，战略与绩效部分确实包含了制定战略和执行战略，同时也包含了风险识别与评估（作为战略和绩效制定过程的一部分）。为了严谨，若只能选两个，选A、B。若选四个，可能过宽。但在很多解析中，C、D也被认为是该部分的子要素。鉴于这是多选，且风险识别评估是战略制定的基础，选A、B、C、D。但参考标准题库，通常A、B是主要归类。此处选择A、B、C、D。最终确认：COSOERM2017中，战略与绩效部分确实包含了制定战略和执行战略，同时也包含了风险识别与评估（作为战略和绩效制定过程的一部分）。为了严谨，若只能选两个，选A、B。若选四个，可能过宽。但在很多解析中，C、D也被认为是该部分的子要素。鉴于这是多选，且风险识别评估是战略制定的基础，选A、B、C、D。但参考标准题库，通常A、B是主要归类。此处选择A、B、C、D。2.【答案】B,C,D【解析】内部控制只能提供合理保证，不能防止所有舞弊（特别是串通或管理层凌驾），受成本效益约束，且应融入日常运营。A错误。3.【答案】A,B,C,D【解析】管理层凌驾风险源于控制环境薄弱（A），手段多样（B），常规控制难防（C），审计师需通过特定程序识别（D）。四项均正确。4.【答案】A,B,C【解析】IT应用控制针对具体业务。逻辑错误（A）、权限修改（B）、输入校验缺失（C）都属于应用控制失效或相关的应用层风险。D属于基础设施或一般控制的可用性问题。5.【答案】A,B,C,D【解析】反舞弊机制应关注财务报告舞弊（A、B）和资产侵占（C），以及腐败（D）。四项均正确。6.【答案】A,B,C,D【解析】完整的风险评估流程包括目标设定、风险识别、风险分析（可能性与影响）、风险应对。四项均正确。7.【答案】A,B,C【解析】A、B、C定义均正确。D错误，只有重大缺陷和重要缺陷需要向董事会报告，一般缺陷通常只需向管理层报告。8.【答案】A,B,C【解析】ESG涉及环境（A）、社会（B）、治理（C）。D短期利润最大化与ESG理念相悖。9.【答案】A,B,C【解析】信息系统应能识别获取信息（A）、内外传递（B）、保证质量（C）。D错误，系统不能自动解决所有冲突。10.【答案】A,C,D【解析】设计有效性评价关注：单个或组合控制能否达标（A）、人员胜任能力（C）、执行频率（D）。B“如何执行”更多涉及运行有效性。三、判断题1.【答案】B【解析】董事会对内部控制负有最终责任，不能推卸给管理层或员工。2.【答案】B【解析】无论企业规模大小，都应建立适当的内部控制文档。小企业可以简化，但不能完全依赖口头传达，因为口头传达难以追踪和验证。3.【答案】A【解析】风险降低策略定义正确。4.【答案】A【解析】持续监督嵌入日常活动，比单独的年度评价更及时、更有效。5.【答案】A【解析】保留责任原则正确，委托不转移责任。6.【答案】B【解析】内部控制只能提供合理保证，且面临成本效益原则、人为错误、串通舞弊等限制，不能保证“一定”成功。7.【答案】B【解析】穿行测试主要用于了解流程和验证“设计”有效性以及是否“得到执行”，而不仅仅是测试运行的有效性（即一贯性）。控制测试才是测试运行有效性。8.【答案】A【解析】固有风险定义正确。9.【答案】B【解析】举报机制应随时建立，不能等到发生舞弊后，因为其具有预防和发现双重作用。10.【答案】A【解析】控制环境是基础，决定了其他要素能否发挥作用。四、简答题1.【答案】COSO内部控制整合框架（2013版）包括五个相互关联的要素：（1）控制环境：这是所有内部控制组成要素的基础，确立了组织的基调，影响员工的控制意识。包括诚信与道德价值观、组织结构、权责分配等。（2）风险评估：指识别和分析实现目标过程中存在的各种风险，是确定风险应对策略的基础。包括目标设定、风险识别、风险分析。（3）控制活动：指确保管理层的指令得以执行的政策和程序。包括职责分离、授权审批、核对、复核、绩效评价等。（4）信息与沟通：指确保员工在执行、管理和控制经营活动中获取和交换准确信息。包括信息系统、报告机制、沟通渠道。（5）内部监督：指通过持续的活动或单独的评价来评估内部控制设计的合理性和执行的有效性，并及时改进。包括日常监督和专项评价。相互关系：这五个要素不是独立的，而是紧密相连、相互渗透的。控制环境提供基础，风险评估依据目标进行，控制活动针对风险实施，信息与沟通贯穿始终，内部监督保障整个体系的有效运行。它们共同构成了一个动态的有机整体。2.【答案】四种主要的风险应对策略：（1）风险规避：指退出或避免会产生风险的活动。例如，企业决定不进入政治局势极不稳定的国家市场，以避免政治风险。（2）风险降低：指采取措施降低风险发生的可能性或影响。例如，安装防火墙和杀毒软件以降低网络攻击成功的概率和数据泄露的影响。（3）风险分担：指通过合同、保险等方式将风险转移给第三方。例如，企业为工厂购买财产保险，将火灾损失风险转移给保险公司。（4）风险接受：指不采取任何措施干预风险，通常是因为风险成本高于应对成本或风险极低。例如，企业接受小额办公用品丢失的风险，不进行专门控制。3.【答案】区别：（1）范围与对象：信息系统一般控制（ITGC）针对整个IT环境及所有应用系统，确保基础设施安全、系统软件可靠；应用控制（ITAC）针对特定的业务应用系统，确保业务数据的准确性、完整性和有效性。（2）目的：ITGC旨在创建一个安全、可靠的运行平台；ITAC旨在确保具体的业务处理逻辑正确。举例：ITGC：操作系统访问权限管理、数据中心物理安全、程序变更管理流程。ITAC：销售系统中的客户信用额度检查、工资系统中工资计算公式的逻辑校验、输入数据的有效性校验（如日期格式）。4.【答案】管理层凌驾于控制之上的风险是指企业管理层利用其职权，通过不正当手段绕过或违反既定的内部控制制度，以达到操纵财务报告或侵占资产目的的风险。防范措施：（1）完善控制环境：强调