2026年内部控制与风险管理考试试题(附答案)

2026年内部控制与风险管理考试试题(附答案)一、单项选择题（本大题共20小题，每小题1.5分，共30分。在每小题列出的四个备选项中只有一个是最符合题目要求的，请将其代码填写在题后的括号内。）1.在COSO整合框架（2013版）中，被认为是内部控制系统基础并决定了组织基调的要素是（）。A.风险评估B.控制活动C.内部环境D.信息与沟通2.某大型跨国企业在2026年进行风险评估时，发现其供应链受地缘政治影响较大，原材料价格波动剧烈。为了应对这一风险，公司决定寻找替代供应商并建立战略储备。这种风险管理策略属于（）。A.风险规避B.风险降低C.风险分担D.风险承受3.关于职责分离，下列说法中正确的是（）。A.为了节约成本，小企业可以由一人兼任出纳和会计记账工作B.业务的批准、执行、记录应由不同人员负责C.资产保管与记录可以由同一人负责，以提高效率D.计算机信息系统下的职责分离不再重要4.在内部控制评价中，如果某项控制缺陷导致企业无法及时防止或发现并纠正财务报表中的重大错报，则该缺陷应被认定为（）。A.一般缺陷B.重要缺陷C.重大缺陷D.非实质性缺陷5.下列关于“管理层凌驾于控制之上”的风险描述中，不属于常见表现形式的是（）。A.管理层操纵会计利润B.管理层为了个人利益虚增交易C.员工无意中发生的操作失误D.管理层无视既定的审批流程进行大额资金调拨6.根据我国《企业内部控制基本规范》，内部控制的目标不包括（）。A.合理保证经营管理合法合规B.合理保证资产安全C.合理保证企业实现利润最大化D.合理保证财务报告及相关信息真实完整7.在应用控制中，旨在确保数据在输入、处理和输出过程中准确、完整和有效的控制称为（）。A.一般控制B.输入控制C.输出控制D.物理安全控制8.风险地图（RiskMap）通常用于展示风险的（）。A.历史损失金额B.发生概率和影响程度C.责任归属部门D.应对措施成本9.审计委员会在内部控制中的核心职责是（）。A.制定内部控制制度B.执行具体的控制活动C.监督财务报告及内部、外部审计工作D.评估经营效率10.某公司规定，超过100万元的采购合同必须经总经理和财务总监双重签字批准。这属于（）。A.预防性控制B.检查性控制C.纠正性控制D.补偿性控制11.在信息技术高度发展的2026年，企业面临的网络安全风险日益突出。下列哪项不属于网络安全内部控制的有效措施？（）A.实施多因素身份认证B.定期进行渗透测试C.将所有核心数据明文存储在公网服务器上D.建立应急响应计划12.穿行测试是了解和测试内部控制的一种常用方法，其目的是（）。A.检查内部控制是否得到一贯执行B.评估内部控制设计的有效性C.直接发现财务报表中的金额错误D.确定控制缺陷的严重程度13.下列关于ERM（企业风险管理）框架中“风险偏好”的表述，错误的是（）。A.风险偏好反映了企业在追求战略目标时愿意承担的风险种类和数量B.高风险偏好通常意味着追求高回报C.风险偏好一旦设定，在任何情况下都不得调整D.风险偏好应与企业的战略和资源相匹配14.有效的信息与沟通系统要求企业能够（）。A.收集和传递与内部控制相关的信息B.仅收集财务信息C.仅在管理层内部传递信息D.保留所有原始纸质凭证，无需电子系统15.在采购与付款循环中，验收部门验收商品后应立即（）。A.通知财务部门付款B.编制验收单并通知会计部门记录负债C.将商品直接移送使用部门D.销毁采购订单副本16.下列哪项属于内部控制的“局限性”？（）A.成本效益原则B.人员素质C.串通舞弊D.以上都是17.2026年，某科技公司引入了AI辅助决策系统。从风险管理角度看，公司应重点关注的新型风险是（）。A.AI算法的偏见与不可解释性B.AI系统带来的电力成本增加C.员工不会使用AI界面D.AI设备折旧过快18.重新评估现有内部控制的频率通常取决于（）。A.外部审计师的要求B.企业的风险状况和环境变化C.董事长的个人意愿D.固定的年度计划19.下列行为中，最可能违反“诚实守信”这一内部环境要素的是（）。A.员工加班未申请加班费B.销售人员为了完成业绩指标，与客户串通虚增销售收入C.采购员在比价后选择性价比最高的供应商D.出纳员每日清点现金20.人力资源政策属于内部环境要素的一部分。下列哪项不属于良好的人力资源控制？（）A.严格的招聘背景调查B.定期的专业技能培训C.竞争性的薪酬机制D.关键岗位长期由同一人担任且不轮岗二、多项选择题（本大题共15小题，每小题2分，共30分。在每小题列出的五个备选项中有两个至五个是符合题目要求的，请将其代码填写在题后的括号内。多选、少选、错选均不得分。）1.COSO框架（2013）提出的内部控制五要素包括（）。A.控制环境B.风险评估C.控制活动D.信息与沟通E.监督活动2.企业在建立与实施内部控制时，应当遵循的原则包括（）。A.全面性原则B.重要性原则C.制衡性原则D.适应性原则E.成本效益原则3.常见的风险应对策略有哪些？（）A.风险规避B.风险降低C.风险分担D.风险承受E.风险转移4.不相容职务通常包括（）。A.授权批准与业务执行B.业务执行与会计记录C.会计记录与财产保管D.业务执行与稽核检查E.授权批准与财产保管5.下列属于控制活动的是（）。A.绩效考核B.交易授权C.职责分离D.实物控制E.独立稽核6.内部控制评价报告通常包含的内容有（）。A.内部控制评价工作的总体情况B.内部控制评价的依据C.内部控制评价的范围D.内部控制缺陷及其认定情况E.内部控制有效性的结论7.企业面临的外部风险主要包括（）。A.法律风险B.宏观经济风险C.技术风险D.自然灾害风险E.道德风险8.有效的舞弊防范机制应当关注舞弊三角理论中的要素，包括（）。A.压力/动机B.机会C.借口/自我合理化D.能力E.贪婪9.在现金管理内部控制中，正确的做法有（）。A.出纳人员负责登记现金日记账B.出纳人员负责登记总分类账C.库存现金进行定期盘点D.现金收入应当及时存入银行E.严禁坐支现金10.信息系统的一般控制（ITGeneralControls）包括（）。A.数据中心运行控制B.系统软件管理控制C.访问安全控制D.应用系统开发与变更控制E.特定业务数据的输入校验11.下列哪些情况可能表明存在财务报表重大缺陷？（）A.董事长长期凌驾于内部控制之上B.对已公布的财务报表进行重大重述C.注册会计师审计发现当期重大错报，但内部控制在以前期间未能发现D.企业审计委员会和内部审计机构对内部控制的监督无效E.会计人员偶尔发生计算错误12.风险评估过程应当包括的步骤有（）。A.目标设定B.风险识别C.风险分析D.风险应对E.风险监控13.关于内部审计在风险管理中的角色，描述正确的有（）。A.对风险管理流程进行评估B.对关键风险进行监控C.为管理层提供风险应对建议D.直接负责制定企业战略E.保证消除所有风险14.企业在采购业务中，可能存在的风险点包括（）。A.采购计划不合理B.供应商选择不当C.采购价格不合理D.验收不规范E.付款审核不严15.为了应对2026年日益复杂的ESG（环境、社会及治理）风险，企业应当采取的措施包括（）。A.建立碳排放监测系统B.加强劳工权益保护审计C.提升董事会多元化程度D.忽视非财务指标，仅关注财务回报E.定期发布可持续发展报告三、判断题（本大题共10小题，每小题1分，共10分。请判断每小题的表述是否正确，认为正确的选“√”，错误的选“×”。）1.内部控制是由企业的董事会、监事会、经理层和全体员工共同实施的，旨在实现控制目标的过程。（）2.只要建立了完善的内部控制制度，就能绝对保证企业不发生舞弊行为和错误。（）3.风险降低策略是指通过放弃或停止与该风险相关的业务活动来消除风险。（）4.企业的内部审计部门应当对财务报告内部控制的有效性负责。（）5.在紧急情况下，为了不耽误业务进度，可以先执行业务，后补办审批手续。（）6.保留书面痕迹是内部控制中一项重要的控制措施，有助于责任追溯和审计。（）7.企业的风险偏好必须低于行业平均水平，才是安全的。（）8.信息系统的一般控制主要针对特定的应用场景，而应用控制则针对整个IT环境。（）9.管理层对内部控制有效性的自我评价，可以作为外部审计师免除审计责任的依据。（）10.成本效益原则要求在实施内部控制时，如果控制的成本高于预期的损失，就可以不实施该控制。（）四、简答题（本大题共5小题，每小题6分，共30分。）1.简述COSO风险管理框架（2017）与内部控制框架（2013）的主要区别与联系。2.简述企业进行风险识别的主要方法（至少列举四种）。3.什么是“实质重于形式”原则在内部控制中的应用？请举例说明。4.简述内部审计部门在内部控制体系中的作用。5.简述在数字化转型背景下，企业面临的新型数据安全风险及应对思路。五、综合分析题（本大题共3小题，共60分。）1.案例分析：A公司的采购困局（20分）A公司是一家知名的电子产品制造商。2025年底，公司内部审计部门在对采购环节进行审查时发现了以下情况：(1)采购部经理老张拥有极大的权限，他不仅负责供应商的筛选和谈判，还拥有最终合同签订的审批权（只要金额在500万以内）。此外，供应商的付款申请也需要他签字确认。(2)公司为了应对紧急生产需求，允许“先干活后补单”。审计发现，2025年有30笔大额采购业务未签订正式合同即已发货，且入库手续不全。(3)仓库管理人员在验收货物时，仅清点了数量，未对产品的规格和性能进行详细测试，验收单据由仓库主管一人签字即可生效。(4)财务部在付款时，仅依据采购经理签字的发票和入库单进行付款，未核对采购合同。要求：(1)指出A公司采购与付款循环中存在的内部控制缺陷（10分）。(2)针对上述缺陷，提出改进建议（10分）。2.案例分析：B集团的财务造假风波（20分）B集团是一家在多地上市的综合性集团。2026年初，B集团发布公告称，由于前期会计处理存在重大差错，将对过去三年的财务报表进行追溯调整，导致净资产大幅缩水。随后，监管机构介入调查。调查发现：(1)集团董事长为了完成业绩对赌协议，向财务总监下达了“必须完成利润指标”的死命令。(2)财务总监授意下属，通过虚构与关联方的交易循环来虚增收入。同时，将应予费用化的研发支出资本化，以减少当期费用。(3)集团审计委员会成员虽然具备财务背景，但从未对异常财务指标提出过质疑，且审计委员会会议流于形式，主要听取管理层汇报。(4)集团内部举报机制虽然存在，但举报信箱钥匙由行政部经理保管，且该经理是董事长的亲信。要求：(1)结合“舞弊三角理论”，分析B集团发生财务造假的原因（9分）。(2)从公司治理和内部控制角度，分析B集团在监督机制方面存在的问题（6分）。(3)如何通过优化内部控制环境来防范此类事件？（5分）3.计算与决策分析：C公司的风险应对策略（20分）C公司是一家大型物流企业，其数据中心是核心资产。随着业务扩展，C公司评估其数据中心面临火灾、断电及网络攻击的风险。经测算，如果数据中心发生重大事故导致停业：发生概率约为5%（即0.05）。一旦发生，预计造成的直接经济损失和间接商誉损失共计2000万元。目前，C公司考虑引入一套高标准的灾备系统（方案A）：该系统建设及年运维成本合计为80万元。引入该系统后，重大事故的发生概率可降低至1%（即0.01）。即使发生事故，损失预计可降低至500万元。或者，C公司选择购买商业保险（方案B）：年保费为60万元。保险公司承诺在事故发生后赔偿80%的损失（即赔偿1600万元，企业自担400万元）。购买保险后，企业仍需投入少量基础安保措施，预计能将事故发生概率降低至2%（即0.02）。或者，C公司维持现状（方案C）：不采取额外措施，承担所有风险。要求：(1)计算方案C（维持现状）下的预期损失金额。（公式：预期损失=发生概率×损失金额）（4分）(2)计算方案A（引入灾备系统）下的年度总风险成本。（公式：年度总成本=控制成本+（新概率×新损失金额））（6分）(3)计算方案B（购买保险）下的年度总风险成本。（公式：年度总成本=保费+（新概率×自担损失金额））（6分）(4)基于成本效益分析，仅从财务角度考虑，C公司应选择哪个方案？请说明理由。（4分）参考答案与详细解析一、单项选择题1.【答案】C【解析】内部环境是内部控制系统的基石，它确立了组织的基调，影响员工的控制意识。它包括诚信、道德价值观、组织结构等。风险评估、控制活动等都是在此基础上建立的。2.【答案】B【解析】寻找替代供应商和建立战略储备是为了改变风险的后果或降低风险发生的可能性/影响，这属于风险降低（也称为风险缓解）。风险规避是退出产生风险的业务；风险分担是如保险；风险承受是被动接受。3.【答案】B【解析】职责分离的核心是将一项业务分由不同人员处理，以防止舞弊和错误。A错误，小企业也应尽量职责分离或通过补偿性控制；C错误，资产保管与记录必须分离；D错误，IT环境下职责分离依然重要，特别是权限管理。4.【答案】C【解析】重大缺陷是指一个或多个控制缺陷的组合，导致企业及时防止或发现并纠正财务报表中的重大错报的可能性微乎其微。重要缺陷和一般缺陷的严重程度依次降低。5.【答案】C【解析】管理层凌驾是指管理层利用职权绕过既定的内部控制。选项C属于员工无意失误，并非管理层故意凌驾。A、B、D均为典型的管理层凌驾行为。6.【答案】C【解析】内部控制的目标包括：合规、资产安全、报告真实完整、经营效率和效果、战略实现。内部控制不能“保证”实现利润最大化，因为经营受市场等不可控因素影响，内部控制只能提供“合理保证”而非“绝对保证”。7.【答案】B【解析】输入控制确保数据进入系统前准确完整。一般控制针对IT环境整体；输出控制针对结果；物理安全控制针对硬件资产。8.【答案】B【解析】风险地图（热力图）通常以横轴表示影响程度，纵轴表示发生概率，用于可视化风险等级并确定优先级。9.【答案】C【解析】审计委员会的职责侧重于监督，特别是监督财务报告过程、外部审计师的聘任和工作以及内部审计部门的工作。制定制度是管理层职责，执行控制是业务部门职责。10.【答案】A【解析】在错误发生之前予以防范的控制是预防性控制。双重签字是为了防止未经授权或错误的支付。检查性是事后发现；纠正性是事后修正。11.【答案】C【解析】明文存储在公网服务器是严重的安全违规行为，极大增加了数据泄露风险。A、B、D均是有效的安全控制措施。12.【答案】B【解析】穿行测试是指追踪交易在财务报告信息系统中的处理过程。其主要目的是了解内部控制流程并评估其设计是否合理。13.【答案】C【解析】风险偏好虽然相对稳定，但并非一成不变。随着外部环境、战略调整或资源变化，企业可以调整风险偏好。14.【答案】A【解析】信息与沟通系统必须能够识别、捕捉和交换与内部控制相关的各类信息（财务和非财务）。B、C、D均过于狭隘或错误。15.【答案】B【解析】验收单是确认负债和记录资产的关键依据。验收后应编制验收单，会计部门依据验收单和采购订单等凭证记录应付账款。A和D可能导致提前付款或记录错误。16.【答案】D【解析】内部控制的局限性包括：人为判断失误、串通舞弊、管理层凌驾、成本效益限制、以及因环境变化导致控制失效等。A、B、C均属于局限性。17.【答案】A【解析】AI算法的偏见、黑箱操作（不可解释性）以及潜在的伦理风险是AI应用中特有的新型风险。B、C、D属于一般运营或财务风险。18.【答案】B【解析】内部控制不是一劳永逸的。当企业风险状况发生重大变化、外部法律法规更新或发生重大舞弊事件时，应及时重新评估。19.【答案】B【解析】诚实守信要求企业及员工在交往中信守承诺。B选项中虚增收入是典型的违背诚信原则的舞弊行为。20.【答案】D【解析】关键岗位长期不轮岗容易滋生舞弊，掩盖错误，且不利于人才培养。定期轮岗是良好的人力资源控制措施。二、多项选择题1.【答案】ABCDE【解析】COSO五要素即为控制环境、风险评估、控制活动、信息与沟通、监督活动。2.【答案】ABCDE【解析】我国《企业内部控制基本规范》明确提出的五项原则：全面性、重要性、制衡性、适应性、成本效益。3.【答案】ABCD【解析】风险应对策略通常包括：规避、降低、分担（含保险、外包等）、承受。风险转移通常归属于风险分担。4.【答案】ABCDE【解析】不相容职务的核心是授权、执行、记录、保管、稽核必须分离。选项中列出的组合均属于典型的不相容职务。5.【答案】ABCDE【解析】控制活动包括：不兼容职务分离、授权审批、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。选项B、C、D、E明确属于，A绩效考核也属于。6.【答案】ABCDE【解析】内部控制评价报告应全面反映评价情况、依据、范围、缺陷及结论。7.【答案】ABCD【解析】外部风险来自企业外部，如法律、经济、社会、技术、自然环境等。道德风险（E）通常归类于内部风险（人员素质）。8.【答案】ABC【解析】舞弊三角理论由DonaldCressey提出，包括压力/动机、机会、自我合理化。能力是后来补充的第四要素，但三角理论核心是前三个。9.【答案】ACDE【解析】出纳不得登记总账（B总账由会计登记），必须登记日记账（A）。库存现金盘点（C）、及时存行（D）、严禁坐支（E）均为正确控制。10.【答案】ABCD【解析】一般控制针对IT环境整体，包括数据中心管理、系统软件获取、访问安全、程序变更管理。E（输入校验）属于应用控制。11.【答案】ABCD【解析】重大缺陷迹象包括：高管舞弊、重述财务报表、审计师发现当期重大错报而内控未发现、审计委员会监督无效。E属于一般性错误。12.【答案】ABCD【解析】风险管理流程通常包括：目标设定、风险识别、风险分析（含估计）、风险应对、监控。13.【答案】ABC【解析】内审的角色是评估、监控、建议，属于监督和咨询职能。D（制定战略）是董事会职责；E（消除所有风险）是不可能的。14.【答案】ABCDE【解析】采购循环各环节均存在风险，从计划、供应商、价格、验收到付款，任何一环失控都可能造成损失。15.【答案】ABCE【解析】ESG风险涉及环境（A）、社会（B）、治理（C）。应对措施包括建立监测系统、审计、提升治理、发布报告。D忽视非财务指标是错误的应对。三、判断题1.【答案】√【解析】这是内部控制的定义，强调全员参与和过程属性。2.【答案】×【解析】内部控制只能提供“合理保证”，而非“绝对保证”。它存在固有限制，如串通舞弊、人为失误等。3.【答案】×【解析】描述的是风险规避。风险降低是通过采取措施减轻风险的影响或概率。4.【答案】×【解析】董事会对内部控制有效性负责。管理层负责设计和实施，内审负责监督。5.【答案】×【解析】先斩后奏严重破坏了授权审批控制，是内部控制的大忌，特殊情况也应有特定的应急审批流程。6.【答案】√【解析】书面痕迹（审计轨迹）是检查交易真实性、完整性和责任认定的重要依据。7.【答案】×【解析】风险偏好因企业而异。激进型企业可能偏好高于行业平均的风险以换取高回报，只要在风险容量内。8.【答案】×【解析】搞反了。一般控制针对整体IT环境（如安全、运维），应用控制针对特定业务应用（如输入校验）。9.【答案】×【解析】管理层的自评不能免除注册会计师的审计责任。外部审计师必须独立获取证据进行审计。10.【答案】√【解析】成本效益原则是内部控制的约束条件。如果控制成本过高，超过了因风险减少带来的收益，则该控制是不经济的。四、简答题1.【答案】区别：(1)范围不同：ERM框架范围更广，涵盖了战略制定、经营、报告及合规目标；IC框架主要关注经营、报告、合规三类目标。(2)要素不同：ERM将“风险识别”单独强调，并增加了“战略与目标设定”等组件；IC是五要素。(3)视角不同：ERM更侧重风险与机遇，强调价值创造；IC侧重风险防范，强调资产安全和报告可靠。联系：(1)基础一致：都基于COSO立方体理论，强调主体、目标、要素的融合。(2)内控是ERM的基石：ERM包含了内部控制，内部控制是风险管理不可分割的一部分。2.【答案】(1)头脑风暴法：召集相关人员集体讨论，集思广益识别风险。(2)德尔菲法：通过专家匿名多轮反馈，达成共识识别风险。(3)流程图分析法：通过绘制业务流程图，分析各环节潜在风险点。(4)案例分析法：参考历史同类企业或自身历史案例，总结风险。(5)SWOT分析：分析企业优势、劣势、机会、威胁，从中识别风险。(6)检查表法：利用标准化检查清单逐项核对。3.【答案】“实质重于形式”原则在内部控制中要求，控制的实施不应仅停留在制度条文或形式流程上，而应关注控制是否真正发挥了防范风险、纠正错报的实际效果。举例：某公司规定“每月进行存货盘点”（形式），但如果盘点人员由保管员自己担任，且不进行抽查，或者盘点差异不进行账务调整，那么虽然形式上做了盘点，但实质上控制无效。有效的控制应确保盘点由独立人员进行，差异得到及时处理，从而实质上保证资产安全。4.【答案】(1)监督评价：对内部控制的运行情况进行日常监督和定期评价。(2)独立性：作为独立于业务部门的第三方，客观地评估风险和控制。(3)咨询服务：为完善内部控制制度和风险管理流程提供建议。(4)检查舞弊：协助发现和调查可能的舞弊行为。(5)沟通桥梁：向董事会或审计委员会报告内控缺陷和风险状况。5.【答案】新型风险：(1)数据泄露风险：客户隐私、商业机密因网络攻击或权限管理不当泄露。(2)数据完整性风险：数据被非法篡改，导致决策失误。(3)合规风险：如GDPR、个人信息保护法等法规带来的法律合规压力。应对思路：(1)建立数据分类分级制度，根据重要程度实施不同级别的保护。(2)强化访问控制，实施最小权限原则和多因素认证。(3)部署数据加密、脱敏技术。(4)建立数据安全事件应急响应机制。(5)加强员工数据安全意识培训。五、综合分析题1.【答案】(1)内部控制缺陷：①采购经理权力过于集中，违反了不相容职务分离原则。集供应商选择、谈判、审批、付款确认于一身，极易发生舞弊。②“先干活后补单”属于严重的授权审批