内部控制与风险管理(第3版)题库

内部控制与风险管理(第3版)题库一、单项选择题（本大题共30小题，每小题1分，共30分）1.在COSO整合框架中，内部控制的基础和核心要素是（）。A.风险评估B.控制环境C.控制活动D.信息与沟通【答案】B【解析】控制环境确立组织的基调，影响员工的控制意识，它是所有其他组成要素的基础，其他要素都依赖于控制环境。如果没有有效的控制环境，其他要素即使设计得再完善，也难以发挥有效作用。2.下列关于内部控制“局限性”的描述中，错误的是（）。A.内部控制的设计和运行受制于成本与效益原则B.内部控制可能因执行人员的粗心大意、精力分散或判断失误而失效C.内部控制可以绝对保证防止所有的舞弊和错误D.内部控制可能因管理人员滥用职权或相互串通而失效【答案】C【解析】无论内部控制设计得多么完善，都只能提供“合理保证”，而不能提供“绝对保证”。内部控制存在固有的局限性，包括人为错误、串通舞弊、管理层凌驾于控制之上以及成本效益约束等。3.在COSOERM（2017）框架中，战略制定被纳入了风险管理的范畴，该框架强调风险与（）。A.绩效的整合B.合规的整合C.报告的整合D.运营的整合【答案】A【解析】COSOERM（2017）框架最大的变化之一是将风险管理与战略和绩效制定更加紧密地整合在一起，强调风险在价值创造中的作用，而不仅仅是防范风险。4.某公司规定，采购人员不得负责会计记录，验收人员不得负责采购付款审批。这项控制属于（）。A.不相容职务分离控制B.授权审批控制C.会计系统控制D.财产保护控制【答案】A【解析】不相容职务分离是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。采购与记账、验收与审批均属于典型的不相容职务。5.风险评估的第一步是（）。A.风险识别B.风险分析C.风险应对D.风险监控【答案】A【解析】风险评估是一个动态的过程，首先必须进行目标设定，然后进行风险识别，接着进行风险分析（包括估计影响程度和发生可能性），最后才是风险应对。6.下列不属于内部审计在内部控制中职责的是（）。A.评价内部控制设计的合理性B.测试内部控制执行的有效性C.对内部控制的设计和执行负最终责任D.监督内部控制的持续运行【答案】C【解析】管理层对内部控制的设计和执行负最终责任，董事会对内部控制的建立健全和有效实施负责。内部审计属于监督要素，主要负责评价和监督。7.当企业面临的风险无法通过转移或降低来应对时，且风险发生的概率极低，企业通常选择（）。A.风险规避B.风险降低C.风险分担D.风险承受【答案】D【解析】风险承受是指企业对一些风险采取接受的态度，不采取任何措施来降低风险发生的可能性或影响。通常适用于风险影响较小或发生概率极低，或者采取其他应对措施成本过高的情况。8.在《企业内部控制基本规范》中，内部控制的五要素不包括（）。A.内部环境B.风险评估C.控制措施D.内部监督【答案】C【解析】我国《企业内部控制基本规范》借鉴COSO框架，将内部控制要素定义为五项：内部环境、风险评估、控制活动、信息与沟通、内部监督。“控制措施”不是规范的术语，标准术语是“控制活动”。9.下列控制活动中，属于“预防性控制”的是（）。A.定期进行银行存款余额调节表编制B.仓库管理员定期进行存货盘点C.采购申请必须经过主管经理审批D.对账单进行独立核对【答案】C【解析】预防性控制旨在防止错误和舞弊的发生。审批控制属于典型的预防性控制。而定期盘点、调节表编制、核对等属于发现性控制，旨在在问题发生后及时查明。10.信息系统的一般控制（ITGeneralControls）不包括（）。A.数据中心运行控制B.系统软件管理控制C.访问安全控制D.输入数据校验控制【答案】D【解析】输入数据校验属于应用控制，是针对具体业务应用程序的控制。一般控制适用于所有应用系统，包括数据中心、系统软件、访问安全和系统开发维护等。11.董事会对内部控制的建立和实施承担的责任是（）。A.直接责任B.最终责任C.监督责任D.执行责任【答案】B【解析】根据《企业内部控制基本规范》，董事会对内部控制的建立健全和有效实施负责，即承担最终责任。经理层负责组织领导内部控制的日常运行。12.风险清单是风险识别的重要工具，下列关于风险清单的说法错误的是（）。A.应包含风险发生的可能性B.应包含风险对企业目标的影响程度C.一旦制定完成，无需更新D.应描述风险的来源和症状【答案】C【解析】风险清单是一个动态文件。由于外部环境和企业内部经营活动的变化，新的风险可能产生，旧的风险可能消失或性质改变，因此风险清单需要定期更新和复核。13.某企业为了应对原材料价格波动风险，与供应商签订了长期固定价格合同。这属于（）。A.风险规避B.风险降低C.风险分担（对冲）D.风险承受【答案】C【解析】通过签订固定价格合同，将价格波动的风险转移给对方或通过金融工具锁定成本，属于风险分担中的风险对冲或转移策略。14.穿行测试是了解和评价内部控制常用的方法，其主要目的是（）。A.查明内部控制是否得到有效执行B.识别内部控制的关键控制点C.确定内部控制的可信赖程度D.发现内部控制的重大缺陷【答案】B【解析】穿行测试是指在每一类交易循环中选择一笔或若干笔业务进行追踪，即从业务发生到最终记录的整个过程。其主要目的是为了了解交易流程，识别关键控制点，验证控制设计的合理性，而非直接测试执行的有效性。15.下列哪种情况最可能表明存在“管理层凌驾于控制之上”的风险？（）A.会计人员偶尔出现计算错误B.期末进行异常的大额会计分录调整C.仓库保管员未定期盘点存货D.采购员未经审批采购小额办公用品【答案】B【解析】管理层凌驾通常涉及通过异常的会计分录、不恰当的会计估计披露或隐瞒事实来粉饰财务报表。期末异常的大额调整是典型的红旗标志。其他选项更多属于执行层面的错误或一般性违规。16.在风险管理文化中，企业应当建立（）。A.风险厌恶文化B.风险偏好文化C.风险中性文化D.符合自身特点的风险管理文化【答案】D【解析】企业的风险管理文化应与企业所处行业、业务特点、战略目标相适应。既不能过度厌恶导致错失良机，也不能过度激进导致危机。17.根据COSO框架，控制环境的构成要素中，属于“软控制”的是（）。A.组织结构B.权责分配C.诚信与道德价值观D.人力资源政策【答案】C【解析】控制环境分为“硬控制”（如组织结构、权责分配、政策程序）和“软控制”（如诚信、道德价值观、董事会关注程度、管理哲学和经营风格）。软控制虽然无形，但对控制环境的影响至关重要。18.企业在识别风险时，不仅要关注内部风险，还要关注外部风险。下列属于外部风险的是（）。A.员工操作失误风险B.技术研发失败风险C.法律法规变化风险D.财务状况恶化风险【答案】C【解析】外部风险包括法律风险、政治风险、经济风险、社会风险、自然环境风险、技术风险（外部技术变革）等。A、B、D均属于企业内部运营和管理产生的风险。19.关键绩效指标（KPI）在内部控制与风险管理中的作用是（）。A.替代控制活动B.监控异常情况并预警C.识别所有风险D.消除所有风险隐患【答案】B【解析】KPI用于衡量目标完成情况。当KPI出现异常波动时，往往意味着潜在的风险或控制失效，因此可以作为监控和预警的工具。20.下列关于“三道防线”模型的描述，正确的是（）。A.第一道防线是内部审计部门B.第二道防线是业务管理部门C.第三道防线是内部审计部门D.三道防线之间职能可以完全重叠【答案】C【解析】三道防线模型中：第一道防线是业务部门（运营管理），直接面对风险；第二道防线是风险管理及合规部门（支持性职能）；第三道防线是内部审计部门（独立评价）。三道防线职能应相互独立但协同合作。21.企业进行风险评估时，通常采用定性分析与定量分析相结合的方法。下列属于定量分析方法的是（）。A.专家意见法B.德尔菲法C.概率分析法D.风险图谱法【答案】C【解析】定量分析方法侧重于数据，包括概率统计、敏感性分析、蒙特卡洛模拟、损失分布等。A、B、D主要依赖专家判断和经验，属于定性分析方法。22.有效的控制活动应当有助于确保管理层的指令得以执行。下列不属于控制活动要素的是（）。A.绩效考评控制B.实物资产控制C.预算控制D.风险识别【答案】D【解析】风险识别属于风险评估要素，不属于控制活动。控制活动包括：不相容职务分离、授权审批、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。23.企业在建立内部控制时，应当遵循全面性原则。全面性原则要求（）。A.覆盖所有业务流程和人员B.重点关注高风险领域C.成本效益优先D.仅关注财务报告内部控制【答案】A【解析】全面性原则要求内部控制贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。24.下列关于信息系统的说法中，错误的是（）。A.信息系统是企业信息与沟通的重要组成部分B.信息系统在获取和处理信息时必须保持准确性C.信息系统只需满足财务报告的需求D.信息系统安全是内部控制的重要关注点【答案】C【解析】信息系统不仅服务于财务报告目标，还应满足运营、合规及战略决策的信息需求。C选项表述过于片面。25.某上市公司在进行重大投资决策时，仅由董事长一人决定，未履行董事会集体决策程序。这属于（）。A.授权审批不当B.不相容职务未分离C.会计系统控制失效D.预算控制失效【答案】A【解析】对于重大投资决策，应当实行集体决策或者联签制度。仅由董事长一人决定属于授权审批控制中的权限过大或程序缺失。226.预算控制作为一种重要的控制活动，其主要功能不包括（）。A.资源配置B.绩效考核依据C.消除所有经营风险D.经营活动监控【答案】C【解析】预算主要用于规划资源、控制成本、考核绩效和监控运营。预算本身无法消除风险，它只是管理风险的一种手段。27.企业内部控制评价报告的报出时间通常要求是（）。A.年度结束后立即B.年度结束后3个月内C.年度结束后4个月内D.审计报告报出前【答案】C【解析】根据相关规定，企业内部控制评价报告通常应当在年度结束后4个月内报出。28.在COSOERM框架中，风险偏好与风险容量之间的关系是（）。A.风险偏好决定风险容量B.风险容量决定风险偏好C.两者概念完全相同D.两者毫无关联【答案】B【解析】风险容量是主体在追求价值的过程中所愿意承担的广泛风险量。风险偏好则是主体在实现战略目标过程中所愿意接受的广泛风险的数量和类型。风险容量是客观的承受限度，风险偏好是管理层的主观选择，通常风险容量决定了风险偏好的上限。29.下列关于反舞弊机制的描述，正确的是（）。A.舞弊主要来自外部，内部无需过于关注B.建立举报机制是反舞弊的重要手段C.内部审计无需关注舞弊风险D.管理层凌驾不属于舞弊【答案】B【解析】舞弊包括编制虚假财务报告和侵占资产。建立有效的舞弊风险防范机制，包括举报（舞弊热线）、反舞弊程序、内部审计重点审查等，是内部控制的重要内容。30.企业的合规风险主要是指（）。A.因违反法律法规而遭受法律制裁、监管处罚的风险B.因市场波动导致损失的风险C.因操作失误导致损失的风险D.因战略决策失误导致的风险【答案】A【解析】合规风险特指企业因未能遵循法律法规、监管要求、规则、自律性组织制定的准则，以及适用于企业自身行为规范的准则，而可能遭受法律制裁、监管处罚、重大财务损失或声誉损失的风险。二、多项选择题（本大题共15小题，每小题2分，共30分。多选、少选、错选均不得分）1.下列各项中，属于COSO《内部控制——整合框架》（2013）提出的内部控制原则的有（）。A.企业对诚信和道德价值观做出承诺B.企业制定与实现目标相适应的内部控制目标C.企业识别和评估与其目标相关的风险D.企业组织结构支持其内部控制目标的实现【答案】A,C,D【解析】COSO2013框架提出了17项原则。选项A对应控制环境原则，选项C对应风险评估原则，选项D对应控制环境原则。选项B表述不严谨，内部控制本身是为目标服务的，但原则强调的是“展示对诚信和道德价值观的承诺”等具体行为，且内部控制目标通常不由企业内部控制“制定”，而是源于企业战略和经营计划。更重要的是，COSO原则中强调的是“保持目标清晰”而非“制定目标”。但在某些广义解读中，B易被混淆，严格来说，COSO原则侧重于“如何”实现而非“制定”目标本身。本题重点考察A、C、D这明确的三项。2.下列属于常见的内部控制目标的有（）。A.促进企业实现发展战略B.提高经营效率和效果C.确保财务报告的真实性、完整性D.遵守国家法律法规和行业监管要求【答案】A,B,C,D【解析】我国《企业内部控制基本规范》明确指出，内部控制的目标包括：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。3.风险评估过程需要考虑的因素包括（）。A.宏观经济环境B.行业发展状况C.技术创新D.员工素质【答案】A,B,C,D【解析】风险识别需要考虑外部环境（宏观、行业、技术、法律等）和内部因素（战略、经营、财务、人员素质等）。A、B、C属于外部因素，D属于内部因素。4.不相容职务通常包括（）。A.授权批准与业务经办B.业务经办与会计记录C.会计记录与财产保管D.业务经办与稽核检查【答案】A,B,C,D【解析】不相容职务分离的核心是避免一个人既管钱又管账，既管事又管监督。A、B、C、D均属于典型的不相容职务组合。5.有效的信息与沟通系统应当具备的特征有（）。A.能够获取内部和外部信息B.信息在组织内部及时传递C.信息反馈渠道畅通D.信息系统安全可靠【答案】A,B,C,D【解析】信息与沟通要求企业能够准确收集识别内外部信息，并在组织内部以及与外部之间进行有效传递，同时建立反舞弊机制和沟通反馈渠道，并保障信息系统安全。6.企业进行内部控制评价时，评价报告的内容通常包括（）。A.内部控制评价工作的总体情况B.内部控制评价的依据C.内部控制评价的范围D.内部控制缺陷及其整改情况【答案】A,B,C,D【解析】根据《企业内部控制评价指引》，评价报告应包括声明、评价依据、范围、程序、缺陷认定、整改情况及结论等。7.常见的控制缺陷可以分为（）。A.设计缺陷B.运行缺陷C.重大缺陷D.重要缺陷【答案】A,B,C,D【解析】按缺陷成因分为设计缺陷和运行缺陷；按缺陷严重程度分为重大缺陷、重要缺陷和一般缺陷。8.下列属于应用控制（ApplicationControls）的有（）。A.输入数据的校验（如格式检查、逻辑检查）B.接口控制（数据传输匹配）C.数据库访问权限管理D.交易处理前的审批流程【答案】A,B【解析】应用控制直接作用于业务数据输入、处理和输出。A、B属于典型的应用控制。C属于一般控制中的访问安全，D属于业务层面的管理控制活动，非特定IT应用控制范畴（尽管IT系统可能支持该流程）。9.下列关于内部审计部门设置的描述，合理的有（）。A.在董事会或审计委员会领导下工作B.独立于财务部门C.对总经理负责并汇报工作D.具备必要的专业胜任能力【答案】A,B,D【解析】为了保持独立性，内部审计应当在组织上独立于被审计对象（如财务部门），并在职能上向董事会或审计委员会报告。如果只对总经理负责，独立性可能受损。因此，最合理的设置是A、B、D。10.企业在应对风险时，可采取的策略包括（）。A.风险规避B.风险降低C.风险分担D.风险承受【答案】A,B,C,D【解析】这是COSOERM定义的四大风险应对策略。11.下列哪些情形可能表明存在财务报告内部控制的重大缺陷？（）A.对已公布的财务报表进行重大重述B.审计委员会发现公司存在舞弊行为C.注册会计师出具了保留意见的审计报告D.期末频繁出现异常的会计调整分录【答案】A,B,D【解析】重大缺陷的迹象包括：已公布的财务报表重述、审计委员会监督无效、外部审计发现舞弊、内控环境无效等。C选项保留意见可能由多种原因引起，不一定全是内控重大缺陷导致的（如审计范围受限），但在A、B、D明确指向内控问题的情况下，C的确定性相对较低。但在广义判断中，A、B、D是教科书式的标准答案。12.控制环境的构成要素包括（）。A.诚信与道德价值观B.治理结构C.组织结构与权责分配D.人力资源政策与实务【答案】A,B,C,D【解析】控制环境包括：诚信与道德价值观、治理哲学与经营风格、董事会与审计委员会、组织结构、权责分配、人力资源政策、企业文化等。13.下列属于运营分析控制方法的有（）。A.比率分析B.趋势分析C.对比分析D.结构分析【答案】A,B,C,D【解析】运营分析控制要求企业综合运用生产、购销、投资、财务等方面的信息，利用比较分析、比率分析、趋势分析、因素分析等方法，发现存在的问题，查明原因。14.下列关于风险容量的表述，正确的有（）。A.风险容量是客观存在的资源限制B.风险容量与企业的资本实力相关C.风险容量可以通过风险管理策略进行调整D.不同企业的风险容量可能不同【答案】A,B,D【解析】风险容量通常指企业在追求价值创造过程中所能承受的最大风险量，通常与资本、现金流等客观资源相关，相对客观固定。C选项中，风险管理策略是在风险容量范围内进行配置，而不是调整风险容量本身（那是改变企业本质）。因此A、B、D更准确。15.企业在建立和实施内部控制时，应遵循的原则包括（）。A.全面性原则B.重要性原则C.制衡性原则D.适应性原则【答案】A,B,C,D【解析】我国《企业内部控制基本规范》明确提出了五大原则：全面性、重要性、制衡性、适应性、成本效益原则。三、判断题（本大题共15小题，每小题1分，共15分。正确的打“√”，错误的打“×”）1.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。（）【答案】√【解析】这是内部控制的定义核心。内部控制是全员参与的全过程管理，不仅仅是财务部门或文档工作。2.只要建立了完善的内部控制制度，就一定能防止所有的舞弊行为。（）【答案】仅能提供合理保证，不能提供绝对保证。由于人为错误、串通舞弊等局限性，无法防止所有舞弊。3.企业内部控制的建立和实施只与财务部门有关，其他业务部门只需配合即可。（）【答案】×【解析】内部控制是全员、全业务、全过程的管理，贯穿于企业各个层级和部门，不仅仅是财务部门的责任。4.风险评估只需要在企业建立之初进行一次，后续无需重复。（）【答案】×【解析】风险评估是持续的、动态的过程。随着内外部环境的变化，企业必须及时识别和评估新风险。5.董事会是内部控制的最高责任主体，对内部控制的建立健全和有效实施负责。（）【答案】√【解析】根据规范，董事会（或股东会）是内部控制的最终责任主体。6.不相容职务分离的核心是“管钱不管账，管账不管钱”。（）【答案】√【解析】这是不相容职务分离最通俗和核心的体现，旨在形成相互制约机制。7.内部审计人员必须具备完全独立于企业的身份，即必须全部由外部人员担任。（）【答案】×【解析】内部审计是企业内部的机构，其独立性是指职能上的独立（向审计委员会报告），而非人员必须来自外部。8.企业在制定风险应对策略时，必须针对每一项风险都选择降低风险的策略。（）【答案】×【解析】风险应对策略包括规避、降低、分担、承受。企业应根据风险偏好和成本效益原则选择合适的组合，并非所有风险都适合降低。9.信息系统的一般控制和应用控制是相互独立的，一般控制失效不会影响应用控制的有效性。（）【答案】×【解析】一般控制是应用控制的基础。如果一般控制（如操作系统安全、程序变更管理）失效，应用控制（如输入校验）的可靠性将无法得到保障。10.预算控制既包括预算的编制，也包括预算的执行、调整、分析和考核。（）【答案】√【解析】预算控制是一个闭环管理系统，涵盖从编制到考核的全过程。11.企业在评价内部控制有效性时，如果发现一般缺陷，只需口头告知管理层即可，无需记录。（）【答案】×【解析】无论何种程度的缺陷，都应当进行记录、汇总和跟踪，以确保问题得到解决。12.风险偏好是指企业在实现其目标过程中愿意接受的风险的广泛范围。（）【答案】√【解析】这是风险偏好的定义，它反映了管理层在战略制定和执行时对风险的态度。13.穿行测试可以用来证实内部控制是否在实际运行中得到了一贯执行。（）【答案】×【解析】穿行测试主要用于了解业务流程和验证控制设计。要证实控制是否一贯执行，通常需要实施控制测试（如重新执行、观察、检查文件）。14.企业应当定期对内部控制的有效性进行全面评价，并出具内部控制评价报告。（）【答案】√【解析】这是企业内部控制自我评价的法定要求。15.成本效益原则要求企业在实施内部控制时，如果控制成本高于预期收益，就应当放弃该控制。（）【答案】√【解析】虽然内部控制很重要，但企业毕竟是盈利组织。如果某项控制的成本远超其带来的风险降低收益，从经济角度考虑是不合理的。四、简答题（本大题共4小题，每小题5分，共20分）1.简述COSO风险管理框架（ERM）与内部控制整合框架（IC）的主要区别。【答案】（1）目标体系不同：ERM框架增加了“战略目标”，并将“财务报告目标”细化为“报告目标”（包含对外对内、财务非财务），而IC框架主要关注经营、财务报告和合规三类目标。（2）要素构成不同：ERM框架增加了“目标设定”、“事项识别”和“风险应对”三个要素，将IC框架中的“风险评估”与“控制活动”进行了深化和重组，形成八要素。（3）侧重点不同：IC框架侧重于控制活动和合规，主要服务于财务报告可靠性；ERM框架侧重于风险管理与战略和绩效的整合，强调风险对价值创造的影响，范围更广。（4）应用环境不同：ERM框架适用于企业整体层面的风险管理，而IC框架更多关注具体的控制流程。2.简述不相容职务分离控制的主要内容，并举例说明。【答案】不相容职务分离是指那些如果由一个人担任，既可能发生错误和舞弊，又可能掩盖其错误和舞弊的职务必须分离。主要内容通常包括：（1）授权批准与业务经办分离；（如：采购审批人与采购执行人）（2）业务经办与会计记录分离；（如：销售员与会计记账员）（3）会计记录与财产保管分离；（如：会计出纳与仓库保管员）（4）业务经办与稽核检查分离；（如：采购员与审计人员）（5）授权批准与监督检查分离。通过这种分离，形成相互制衡的机制，降低错误和舞弊风险。3.什么是内部控制的“设计缺陷”和“运行缺陷”？请分别举例。【答案】（1）设计缺陷：是指内部控制的设计缺少为实现控制目标所必需的控制，或者现有控制的设计不适当，即使正常运行也难以实现控制目标。举例：企业规定采购付款由采购员一人负责下单、验收和付款，缺乏职责分离，这就是设计缺陷。（2）运行缺陷：是指设计适当的内部控制由于未按设计意图执行，或者执行人员缺乏必要的授权或专业胜任能力，导致无法有效实现控制目标。举例：企业设计了库存盘点制度，要求每月盘点，但仓库管理员连续三个月未进行盘点，且无人监督，这就是运行缺陷。4.简述企业建立反舞弊机制的重点措施。【答案】（1）惩治舞弊：建立严厉的惩治制度，对舞弊行为进行严肃处理，起到震慑作用。（2）防范舞弊：完善内部控制制度，堵塞管理漏洞，减少舞弊机会。（3）发现与举报机制：建立畅通的、保密的举报渠道（如舞弊热线、邮箱），鼓励员工和第三方举报舞弊。（4）调查机制：指定专门部门（如审计、监察）负责对舞弊线索进行调查。（5）文化建设：倡导诚信正直的企业文化，管理层以身作则。五、计算分析题（本大题共1小题，共10分）某企业正在考虑投资一个新项目，该项目面临市场需求变化的风险。经过风险评估小组的分析，得出以下数据：1.市场需求旺盛的概率为P(Hi2.市场需求低迷的概率为P(Lo3.企业还可以选择购买一份保险，保险费用为50万元。如果购买保险，当市场需求低迷时，保险公司将赔付150万元；若需求旺盛，无赔付。要求：1.计算不购买保险情况下，该项目的预期货币价值（EMV）。2.计算购买保险情况下，该项目的预期货币价值（EMV）。3.根据计算结果，从风险量化角度分析企业是否应该购买保险。【答案】1.不购买保险情况下的EMV：EEE2.购买保险情况下的EMV：首先计算扣除保险费后的净收益情况。若需求旺盛：净收益=50050（保险费）=450若需求低迷：净收益=−20050（保险费）+150（赔付）=EE3.决策分析：比较两种情况下的预期货币价值：E从风险量化的预期收益角度来看，购买保险后的预期价值更高。此外，购买保险还降低了最差情况下的损失（从-200降至-100），起到了风险分担（降低）的作用。因此，建议企业购买保险。六、综合案例分析题（本大题共2小题，每小题15分，共30分）案例一：A公司为一家快速扩张的连锁零售企业。为了追求规模，公司在过去两年内新开了100家门店。近期，公司内部审计师在对下属5家门店进行突击检查时，发现了以下情况：1.门店的收银员兼任了门店存货盘点表的编制工作，并且负责将盘点数据录入系统。2.为了节省人力成本，门店经理直接掌握着门店备用金的提取和使用权限，无需任何人审批，且每月不进行现金突击盘点。3.门店退货流程混乱，顾客退回的商品往往直接被收银员放入“待处理”箱，无任何记录，导致经常出现收银员私自将退回商品带回家的情况。4.公司总部虽然有采购政策，但各门店为了应对紧急需求，经常自行采购小额商品，且采购款项直接从当日销售收入中坐支，账务处理滞后。要求：1.根据上述资料，分析A公司在内部控制方面存在的主要缺陷。（6分）2.针对上述缺陷，请运用COSO框架中的“控制活动”要素，提出改进建议。（9分）【答案】1.A公司存在的内部控制缺陷：（1）不相容职务未分离：收银员（资产接触/经手）兼任盘点编制和录入（会计记录/监督），容易发生收银员通过调整盘点数据掩盖盗窃行为。（2）现金管理失控：备用金由经理一人全权负责，缺乏审批和监督，且缺乏定期盘点，存在极高的贪污挪用风险。（3）资产安全控制缺失：退货无记录、无监督，导致资产流失（员工私拿）。（4）采购与付款循环违规：坐支现金违反了财经法规和资金管理规范，且