内部控制与风险管理试题及答案

内部控制与风险管理试题及答案一、单项选择题（本大题共20小题，每小题1.5分，共30分）1.在COSO整合框架中，内部控制的基础构成要素是（）。A.风险评估B.控制环境C.控制活动D.信息与沟通2.下列关于企业风险管理的表述中，错误的是（）。A.企业风险管理是一个贯穿于企业各项管理活动的连续过程B.企业风险管理旨在识别和管理可能影响目标实现的潜在事件C.企业风险管理只能由内部审计部门独立实施D.企业风险管理受到董事会、管理层及其他员工的影响3.某公司规定，超过100万元的采购合同必须由总经理亲自审批。这项控制措施属于（）。A.不相容职务分离控制B.授权审批控制C.会计系统控制D.财产保护控制4.风险评估的第一步是（）。A.风险分析B.风险应对C.目标设定D.风险识别5.在内部控制五要素中，作为其他要素基础的是（）。A.控制环境B.风险评估C.控制活动D.监督6.下列各项中，属于预防性控制的是（）。A.定期盘点存货B.编制银行存款余额调节表C.限制非授权人员接触计算机终端D.对实际业绩与预算进行差异分析7.根据COSO框架，有效的内部控制应当能够为企业的（）提供合理保证。A.绝对避免所有舞弊行为B.经营的效率和效果、财务报告的可靠性、法律法规的遵循性C.所有战略目标的实现D.市场份额的持续扩大8.某企业销售部门负责赊销信用审查、发货开票以及收款工作，这种做法违反了（）。A.授权审批控制B.不相容职务分离控制C.预算控制D.运营分析控制9.在风险管理技术中，对于发生概率高且影响程度大的风险，通常采取的策略是（）。A.风险规避B.风险降低C.风险分担D.风险承受10.内部审计部门在内部控制中的角色主要是（）。A.设计内部控制制度B.实施内部控制制度C.监督与评价内部控制制度D.承担内部控制最终责任11.下列关于“管理层凌驾于控制之上”风险的描述，正确的是（）。A.这类风险可以通过职责分离完全消除B.这类风险通常涉及管理层为了个人利益而绕过既定控制程序C.这类风险只存在于大型企业D.内部审计人员无需关注此类风险12.企业在建立与实施内部控制时，应当遵循的原则不包括（）。A.全面性原则B.重要性原则C.成本效益原则D.随意性原则13.下列属于应用控制的是（）。A.数据中心物理安全控制B.操作系统访问控制C.输入数据校验控制D.网络防火墙设置14.风险矩阵图是一种常用的风险评估工具，其横轴和纵轴通常分别代表（）。A.风险发生的可能性和风险发生的后果严重程度B.风险发生的成本和风险发生的收益C.内部风险和外部风险D.固有风险和剩余风险15.关于控制自我评估（CSA），下列说法错误的是（）。A.它是一种由业务部门人员直接参与对其内部控制进行评价的方法B.它可以增加员工对内部控制的认同感C.它完全替代了内部审计的独立评估D.它通常通过研讨会、问卷调查等形式进行16.某公司投资部负责对外投资项目的可行性研究，而审批由董事会决定。为了加强控制，下列做法最恰当的是（）。A.投资部负责项目评估后直接实施B.投资部负责评估，财务部负责审批C.投资部负责评估，董事会审批，投资部负责实施D.投资部负责评估和审批，监事会负责实施17.信息技术一般控制（ITGC）的主要目标是（）。A.确保特定应用系统的数据处理准确B.确保IT基础设施安全稳定运行C.确保财务报表数据录入无误D.确保员工熟练使用办公软件18.在风险应对策略中，“购买保险”属于（）。A.风险规避B.风险降低C.风险分担D.风险承受19.下列迹象中，最可能表明企业存在重大内部控制缺陷的是（）。A.季度财务报告存在少量非关键性的计算错误B.管理层频繁更替且理由不明C.个别员工违反考勤制度D.办公电脑偶尔出现死机20.董事会及审计委员会在内部控制中的责任是（）。A.负责内部控制的日常运行B.负责设计和执行具体控制程序C.负责监督内部控制体系的建立和有效运行D.负责编制内部控制评价报告二、多项选择题（本大题共10小题，每小题2分，共20分。多选、少选、错选均不得分）1.COSO《内部控制——整合框架》提出的内部控制目标包括（）。A.战略目标B.经营目标C.报告目标D.合规目标2.常见的不相容职务包括（）。A.授权批准与业务经办B.业务经办与会计记录C.会计记录与财产保管D.业务经办与稽核检查3.内部控制中“控制环境”要素包含的内容有（）。A.诚信与道德价值观B.治理结构C.组织结构D.人力资源政策4.企业面临的外部风险主要包括（）。A.法律风险B.经济风险C.技术风险D.自然环境风险5.有效的信息与沟通系统应当具备的特征包括（）。A.能够获取财务信息和非财务信息B.信息能够在适当的时间传递给适当的人员C.信息传递渠道畅通无阻D.只能自上而下传递信息6.风险应对的四种基本策略是（）。A.规避B.降低C.分担D.承受7.内部控制评价报告的内容通常包括（）。A.内部控制评价工作的总体情况B.内部控制评价的依据C.内部控制缺陷及其认定情况D.内部控制有效性的结论8.下列属于内部控制缺陷认定标准的有（）。A.财务报告内部控制缺陷标准B.非财务报告内部控制缺陷标准C.定量标准D.定性标准9.下列关于内部审计的描述，正确的有（）。A.内部审计必须保持独立性B.内部审计的范围包括财务审计、经营审计和合规审计C.内部审计只关注财务数据的准确性D.内部审计可以向董事会提供关于风险管理的信息10.下列属于控制活动的是（）。A.绩效考评B.信息系统控制C.实物控制D.预算控制三、判断题（本大题共15小题，每小题1分，共15分。正确的打“√”，错误的打“×”）1.内部控制是由企业的董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。（）2.只要建立了完善的内部控制制度，就能保证企业绝对不会发生舞弊行为。（）3.风险评估是一个动态的过程，需要随着内外部环境的变化而变化。（）4.小型企业因为人员少，不需要建立内部控制体系。（）5.职责分离控制的核心是避免一个人无法从头到尾包办一项业务。（）6.企业在进行风险识别时，应当关注内部风险，无需关注外部风险。（）7.穿行测试是指在内部控制测试中，抽取一笔或少数几笔具有代表性的业务，追踪其从发生到结束的整个过程。（）8.补偿性控制是指如果主控制失效，可以替代其发挥作用的控制。（）9.内部控制评价工作必须由外部会计师事务所完成。（）10.管理层的诚信和道德价值观对控制环境没有实质影响。（）11.预算控制仅限于财务部门的预算编制工作，不涉及执行过程。（）12.剩余风险是指在管理层采取了风险应对措施后仍然存在的风险。（）13.信息技术环境下的内部控制，其核心依然是人工控制，计算机只是辅助工具。（）14.审计委员会是董事会下设的专门工作机构，主要负责监督公司的财务报告和内部控制。（）15.重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。（）四、简答题（本大题共4小题，每小题5分，共20分）1.简述COSO风险管理框架（ERM）与内部控制框架（IC）的主要联系与区别。2.简述内部控制的局限性。3.简述风险识别的主要方法。4.简述企业进行内部控制自我评价的一般程序。五、综合题（本大题共2小题，共35分。其中第1题15分，第2题20分）1.（案例分析题）A公司为一家大型制造企业，近期由于市场竞争加剧，管理层决定加强内部控制。以下是审计部在对公司采购与付款循环进行审计时发现的若干情况：(1)采购部负责根据生产需要编制请购单，采购部经理审批后直接向供应商发出订单。(2)仓库负责验收货物，验收合格后填写验收单，一份留存，一份交采购部，一份交财务部。(3)财务部根据验收单、采购合同和发票进行核对，如果三者一致，则由出纳人员开具支票付款，并将支票交由采购部经理签字后寄出。(4)公司对于大额资金的支付，规定由总经理一支笔审批。要求：(1)请指出上述情况中存在的内部控制缺陷，并说明理由。(2)请针对上述缺陷提出改进建议。2.（计算与分析题）B公司计划投资一项新产品的研发项目。该项目的初始投资额为500万元。由于市场风险较大，管理层对该项目的未来现金流进行了预测，并分析了不同市场状况下的概率及对应的净现值（NPV）。预测数据如下：繁荣状态：发生概率为30%，预计净现值为800万元。繁荣状态：发生概率为30%，预计净现值为800万元。正常状态：发生概率为50%，预计净现值为200万元。正常状态：发生概率为50%，预计净现值为200万元。衰退状态：发生概率为20%，预计净现值为-400万元。衰退状态：发生概率为20%，预计净现值为-400万元。此外，该项目的标准差系数（变异系数）阈值设定为0.8。如果项目的风险过高，公司要求必须提取风险准备金，金额为预期净现值的10%。要求：(1)计算该项目的预期净现值（E(NPV)）。(2)计算该项目的净现值的标准差（σ）。(3)计算该项目的变异系数（CV）。(4)根据计算结果，分析该项目的风险程度，并判断公司是否需要提取风险准备金。如果需要，计算提取的金额。（计算结果保留两位小数，使用LaTex公式展示计算过程）答案与解析一、单项选择题1.【答案】B【解析】COSO整合框架包括五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。其中，控制环境是所有其他要素的基础，决定了组织的基调。2.【答案】C【解析】企业风险管理是一个全员参与的过程，涉及企业各个层级和部门，不仅仅是内部审计部门的职责。内部审计主要负责监督和评价，但不能独立实施全部风险管理。3.【答案】B【解析】对超过一定金额的合同由特定级别人员审批，属于授权审批控制，旨在确保交易得到适当管理层的授权。4.【答案】D【解析】风险评估的顺序通常是：目标设定->风险识别->风险分析（包括估计可能性和影响）->风险应对。必须先设定目标，才能识别影响目标实现的潜在风险。5.【答案】A【解析】控制环境提供纪律与结构，是影响、制约其他内部控制要素建立、实施与运行的基础。6.【答案】C【解析】预防性控制旨在防止错误和舞弊的发生。限制非授权人员接触计算机终端属于访问控制，是典型的预防性控制。A、B、D均属于事后发现问题的检查性控制（或检测性控制）。7.【答案】B【解析】内部控制只能提供“合理保证”而非“绝对保证”。其目标主要包括经营的效率和效果、财务报告的可靠性以及法律法规的遵循性。战略目标通常是ERM框架扩展的内容。8.【答案】B【解析】销售部门同时负责信用审查（授权）、发货（业务执行）和收款（资产保管），违反了不相容职务分离原则。信用审查应独立于销售业务，收款应独立于销售和发货。9.【答案】A【解析】对于发生概率高且影响程度大的风险（即严重风险），通常采取风险规避策略，即放弃或改变该业务以避免风险。风险降低适用于可管理的风险，风险分担适用于可转移的风险，风险承受适用于影响小的风险。10.【答案】C【解析】内部审计部门在内部控制中的主要职责是独立地监督和评价内部控制体系的有效性，并提供改进建议，而不是设计或实施（这是管理层的责任）。11.【答案】B【解析】管理层凌驾是指管理层利用职权绕过内部控制的情形。这是内部控制面临的主要风险之一，无法通过常规职责分离完全消除，且内部审计必须高度关注。12.【答案】D【解析】内部控制建立与实施应遵循全面性、重要性、制衡性、适应性、成本效益原则。随意性原则是错误的，内部控制必须具有严肃性和规范性。13.【答案】C【解析】应用控制是指直接作用于具体业务数据处理的控制，如输入校验、数据处理逻辑验证等。A、B、D均属于一般控制（ITGC），旨在保障IT环境整体安全。14.【答案】A【解析】风险矩阵图通常以风险发生的可能性为横轴（或纵轴），以风险发生的后果严重程度为纵轴（或横轴），用于对风险进行分级。15.【答案】C【解析】控制自我评估（CSA）是业务部门参与的评估，可以作为内部审计的补充，但不能完全替代内部审计的独立评估。16.【答案】C【解析】投资部负责可行性研究（建议），董事会负责审批（决策），投资部负责实施（执行）。这种分离确保了建议、决策和执行职能的分离，相互制衡。17.【答案】B【解析】信息技术一般控制（ITGC）关注数据中心管理、系统安全管理、软件变更管理等，旨在确保IT基础设施稳定运行，从而支持应用控制的有效性。18.【答案】C【解析】购买保险是将风险后果转移给保险公司的行为，属于风险分担（转移）策略。19.【答案】B【解析】管理层频繁更替且理由不明，往往暗示公司治理存在问题、控制环境薄弱或存在潜在舞弊，是重大缺陷的重要迹象。A、C、D通常属于一般或重要缺陷，视具体影响而定。20.【答案】C【解析】董事会及审计委员会的核心责任是监督，确保管理层建立并维护有效的内部控制体系。二、多项选择题1.【答案】B,C,D【解析】COSO《内部控制——整合框架》明确提出的三大目标是经营目标、报告目标和合规目标。战略目标属于COSO《企业风险管理——整合框架》扩展的目标。2.【答案】A,B,C,D【解析】不相容职务通常包括：授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。3.【答案】A,B,C,D【解析】控制环境包括：诚信与道德价值观、治理结构（董事会和审计委员会）、组织结构（权责分配）、组织文化、人力资源政策、胜任能力等。4.【答案】A,B,C,D【解析】外部风险源于企业外部，包括：法律、监管、政策环境；宏观经济环境（经济风险）；技术进步；自然环境灾害；社会文化因素；市场竞争等。5.【答案】A,B,C【解析】信息与沟通应当是全方位的，包括自上而下、自下而上以及横向沟通。选项D“只能自上而下”是错误的。6.【答案】A,B,C,D【解析】根据COSOERM框架，风险应对策略包括：规避、降低、分担、承受。7.【答案】A,B,C,D【解析】内部控制评价报告应当全面反映评价情况，包括总体情况、评价依据、范围、程序、缺陷认定及整改情况、有效性结论等。8.【答案】A,B,C,D【解析】内部控制缺陷认定标准需区分财务报告和非财务报告，且通常结合定量标准（如错报金额）和定性标准（如性质严重程度）。9.【答案】A,B,D【解析】内部审计具有独立性，范围涵盖财务、经营、合规等多方面。选项C错误，内部审计不仅关注财务数据，还关注运营效率和风险管控。10.【答案】A,B,C,D【解析】控制活动包括：不相容职务分离、授权审批、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、信息系统控制等。三、判断题1.【答案】√【解析】符合内部控制的定义，它是由全员实施的动态过程。2.【答案】×【解析】内部控制存在固有局限性，如管理层凌驾、串通舞弊、成本效益权衡等，因此只能提供合理保证，不能绝对防止舞弊。3.【答案】√【解析】风险是动态的，随着业务、环境、法规的变化，新的风险会出现，旧的风险会消失，因此风险评估必须是持续的。4.【答案】×【解析】小型企业同样需要建立内部控制，虽然其形式可能不如大企业复杂，但核心的控制原则（如职责分离、授权审批）依然适用。5.【答案】√【解析】职责分离的核心目的就是防止一个人包办业务全过程可能导致的错误或舞弊。6.【答案】×【解析】风险识别必须全面，既要关注内部风险（如人员、技术、流程），也要关注外部风险（如法律、市场、环境）。7.【答案】√【解析】穿行测试是了解内部控制和测试控制运行有效性的常用方法。8.【答案】√【解析】补偿性控制是指当某个主要控制失效时，能够起到弥补作用的替代控制措施。9.【答案】×【解析】内部控制评价主要由企业内部自行组织（如董事会或内部审计），也可以聘请外部中介机构协助，但并非必须由外部事务所完成。10.【答案】×【解析】管理层的诚信和道德价值观是控制环境的核心因素，对整个内部控制体系的基调有决定性影响。11.【答案】×【解析】预算控制贯穿预算编制、审批、执行、分析、考核等全过程，不仅仅是编制。12.【答案】√【解析】剩余风险是管理层在采取应对措施（控制活动）后，仍然残留的风险。企业需要关注剩余风险是否在可承受范围内。13.【答案】×【解析】在高度自动化的IT环境下，自动化的应用控制（如系统自动校验、自动计算）成为了内部控制的核心，人工控制更多地转向对系统的管理和监控。14.【答案】√【解析】审计委员会是董事会下设的专门委员会，主要负责外部审计师的聘任、财务报告的审核以及内部控制的监督。15.【答案】√【解析】重大缺陷的定义，通常指一个或多个一般缺陷的组合，其严重程度足以导致企业无法及时防范或发现严重偏离控制目标的情形。四、简答题1.【答案】联系：(1)ERM框架建立在IC框架基础之上，IC是ERM的一个子系统。(2)两者都包含五个相互关联的要素（控制环境、风险评估、控制活动、信息与沟通、监督），且都由董事会、管理层和员工实施。(3)两者的目标高度重合，都致力于实现经营、报告和合规目标。区别：(1)目标不同：ERM增加了“战略目标”，比IC框架更宏观。(2)要素深度不同：ERM扩展了“风险评估”要素，包含了目标设定、事项识别、风险反应等更细致的内容。(3)关注点不同：IC侧重于流程控制和合规，ERM侧重于全面风险管理和价值创造。2.【答案】内部控制的局限性主要包括：(1)判断失误：管理层在制定决策或执行控制时可能基于错误的信息或判断。(2)人为错误：员工在执行控制时可能因疲劳、疏忽或能力不足产生失误。(3)管理层凌驾：管理层利用职权绕过既定的控制程序，导致控制失效。(4)串通舞弊：两名或多名员工通过相互串通，规避职责分离等控制措施。(5)成本效益原则：实施控制的成本不能超过其带来的收益，因此某些次要风险可能不设控制。(6)环境变化：外部环境或业务性质发生变化，原有控制可能不再适用。3.【答案】风险识别的主要方法包括：(1)头脑风暴法：集思广益，鼓励团队成员提出潜在风险。(2)德尔菲法：通过专家匿名多轮反馈达成共识，识别风险。(3)流程图分析法：通过绘制业务流程图，分析各个环节可能存在的风险点。(4)案例分析法：参考历史发生的类似案例或行业内的风险事件。(5)财务报表分析法：通过分析财务数据异常来识别潜在的财务风险。(6)现场调查法：实地走访业务现场，观察操作流程。(7)SWOT分析：分析企业的优势、劣势、机会和威胁，识别内外部风险。4.【答案】企业进行内部控制自我评价的一般程序包括：(1)制定评价工作方案：明确评价范围、时间表、人员分工、方法等。(2)组成评价工作组：抽选具备专业能力的内部人员或聘请中介机构。(3)实施现场测试：通过询问、观察、检查、重新执行等方法收集证据，测试控制运行的有效性。(4)认定控制缺陷：将测试结果与既定标准对比，识别缺陷并按重大、重要、一般进行分类。(5)编制评价报告：汇总评价结果，形成书面报告，披露缺陷及整改情况。(6)报告与披露：按照规定路径报送董事会或审计委员会，并对外披露（如适用）。五、综合题1.【答案】(1)存在的内部控制缺陷及理由：缺陷1：采购部经理审批后直接发出订单。理由：请购单的审批和订单发出属于不相容职务。采购部经理作为采购部门负责人，既负责本部门需求（或直接审批本部门发起的请购），又负责执行采购，缺乏独立性。通常应由生产部门或更高层级的独立部门审批请购，或者采购申请与采购执行应分离。缺陷2：仓库验收后，验收单未