《内部控制与风险管理》作业习题

《内部控制与风险管理》作业习题一、单项选择题（本大题共20小题，每小题1.5分，共30分）1.在COSO整合框架中，被认为是内部控制系统基础的其他所有要素构建和运行之上的要素是（）。A.风险评估B.控制活动C.控制环境D.信息与沟通2.下列关于企业风险管理的表述中，不正确的是（）。A.企业风险管理是一个贯穿于企业各个层级和单位的过程B.企业风险管理旨在识别和管理可能影响目标实现的潜在事件C.企业风险管理由企业的董事会、管理层和其他员工共同实施D.企业风险管理可以确保企业目标的绝对实现3.某公司规定，金额超过10万元的采购订单必须经总经理审批，金额在1万元至10万元之间的由采购经理审批。这种控制属于（）。A.预防性控制B.检查性控制C.纠正性控制D.补偿性控制4.职责分离的核心思想是将一项业务分由不同人员处理，其最主要目的是（）。A.提高工作效率B.降低运营成本C.防止错误和舞弊D.明确岗位责任5.在风险评估过程中，识别和分析影响目标实现的风险之后，管理层应采取的下一步骤是（）。A.确定风险应对策略B.开展控制活动C.进行信息沟通D.实施内部监督6.下列各项中，属于“不相容职务”的是（）。A.记录银行存款日记账与编制银行存款余额调节表B.签订销售合同与审核信用额度C.采购申请与采购审批D.登记总账与登记明细账7.企业的风险管理框架中，用于评估风险影响程度的维度通常不包括（）。A.财务影响B.声誉影响C.员工年龄结构D.合规与法律影响8.关于内部审计部门在内部控制中的职责，下列说法正确的是（）。A.内部审计部门负责设计和执行内部控制制度B.内部审计部门负责对内部控制的有效性进行监督和评价C.内部审计部门可以直接代替管理层进行风险决策D.内部审计部门只需关注财务报表的准确性9.下列控制活动中，属于“应用控制”的是（）。A.数据中心物理访问控制B.会计系统中输入数据的校验位检查C.操作系统的用户权限管理D.灾难恢复计划的制定10.企业在面临风险时，通过购买保险将风险转移给保险公司的策略属于（）。A.风险规避B.风险降低C.风险分担D.风险承受11.某上市公司在年度报告中披露其内部控制评价报告，这体现了内部控制的（）原则。A.重要性原则B.制衡性原则C.适应性原则D.信息公开原则12.在采购与付款循环中，验收部门收到货物后，应依据（）进行验收。A.请购单B.订货单C.发票D.付款申请书13.管理层凌驾于控制之上是内部控制面临的主要威胁之一。下列不属于管理层凌驾迹象的是（）。A.对财务报表进行异常的会计调整B.会计人员频繁变动且无合理解释C.严格的职责分离制度得到有效执行D.审计委员会对财务报告缺乏积极监督14.下列关于风险偏好的说法中，错误的是（）。A.风险偏好反映了企业在追求价值过程中所愿意承受的风险程度B.高风险偏好通常意味着企业追求高收益C.风险偏好一旦设定，在任何情况下都不得调整D.风险偏好应与企业的战略和目标相匹配15.在信息系统一般控制中，确保只有经过授权的人员才能访问程序和数据文件的控制是（）。A.程序变更控制B.访问安全控制C.数据备份与恢复控制D.运行控制16.穿行测试是了解和测试内部控制常用的方法，其目的是（）。A.检查内部控制是否在实际运行中得到执行B.验证内部控制设计的有效性C.评估内部控制的缺陷严重程度D.重新评估企业面临的风险17.企业在建立内部控制时，应当权衡实施成本与预期收益，以适当的成本实现有效控制。这体现了内部控制的（）。A.成本效益原则B.全面性原则C.重要性原则D.制衡性原则18.下列各项中，属于运营目标的是（）。A.确保财务报告的可靠性B.遵守适用的法律法规C.提高经营效率和效果D.保护资产的安全19.某企业发现其库存商品存在积压风险，决定通过打折促销的方式清理库存。这种风险应对策略是（）。A.风险规避B.风险降低C.风险分担D.风险承受20.根据我国《企业内部控制基本规范》，内部控制的目标不包括（）。A.企业战略B.经营的效率和效果C.财务报告的可靠性D.确保员工获得最高薪酬二、多项选择题（本大题共10小题，每小题2分，共20分。多选、少选、错选均不得分）1.下列各项中，属于COSO风险管理框架中“事项识别”需要考虑的因素有（）。A.外部环境因素B.内部环境因素C.历史数据的趋势分析D.员工的个人喜好2.有效的控制环境应具备的特征包括（）。A.诚信和道德价值观的建立B.董事会和审计委员会的监督C.组织结构的合理性D.胜任能力的重视3.常见的财务报告控制活动包括（）。A.凭证与记录控制B.资产接触与记录使用控制C.独立稽核D.业绩评价4.企业在进行风险应对时，可能采取的策略有（）。A.规避B.降低C.分担D.承受5.下列关于信息系统在内部控制中作用的说法，正确的有（）。A.信息系统可以将经营数据转化为可用的信息B.信息系统可以帮助管理层监督业务运行C.信息系统自身的安全风险也是企业需要管理的内容D.信息系统可以完全替代人工控制6.下列属于内部控制缺陷认定标准的有（）。A.设计缺陷B.运行缺陷C.重大缺陷D.重要缺陷7.在销售与收款循环中，为了防止向资信状况差的客户赊销，企业应实施的控制措施包括（）。A.建立客户信用审批制度B.销售合同由独立的信用管理部门审核C.销售人员直接决定赊销额度D.定期对客户信用进行重新评估8.内部监督的方式包括（）。A.日常监督B.专项监督C.外部审计D.舆论监督9.下列各项中，可能导致内部控制出现重大缺陷的情形有（）。A.发现高级管理层舞弊B.重述以前公布的财务报表C.注册会计师发现当期财务报表存在重大错报，且内部控制在运行中未能发现D.企业审计委员会对内部审计监督范围没有受到限制10.企业在识别内部控制风险时，应关注的外部风险因素包括（）。A.宏观经济形势B.产业政策C.技术进步D.员工流失率三、判断题（本大题共15小题，每小题1分，共15分。正确的打“√”，错误的打“×”）1.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。（）2.只要建立了完善的内部控制制度，就一定能杜绝所有的舞弊行为。（）3.风险评估是企业实施内部控制的基础，但在企业环境稳定时，无需进行持续的风险评估。（）4.董事会对企业内部控制的建立和实施负责，是内部控制的责任主体。（）5.预防性控制通常在错误或舞弊发生之后发挥作用。（）6.企业在进行风险分析时，应当采用定性与定量相结合的方法。（）7.职责分离不仅适用于物理层面的职责划分，也适用于信息系统中的权限设置。（）8.内部控制评价报告必须经注册会计师审计后才能对外披露。（）9.补偿性控制通常是针对某些控制环节由于某种原因无法实施或成本过高而设置的替代控制。（）10.企业战略目标的实现主要依赖于外部环境，内部控制的作用微乎其微。（）11.在手工会计系统和电算化会计系统中，职责分离的原则是完全相同的。（）12.风险承受策略通常适用于那些发生概率低且影响程度小的风险。（）13.信息与沟通要素不仅包括企业内部的信息传递，也包括与外部相关方的信息交换。（）14.企业的风险偏好是统一的，所有业务单元都应执行相同的风险偏好标准。（）15.专项监督是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的检查。（）四、简答题（本大题共5小题，每小题6分，共30分）1.简述COSO《内部控制——整合框架》中提出的五要素及其相互关系。2.什么是管理层凌驾？列举三种常见的管理层凌驾于控制之上的手段。3.简述风险识别、风险评估和风险应对三个环节的主要任务。4.在采购与付款循环中，请列举至少四项关键的控制措施。5.简述内部审计部门在内部控制评价与监督中的主要职责。五、计算与分析题（本大题共2小题，每小题10分，共20分）1.某企业正在评估两个新项目的风险。项目A预计收益为500万元，标准差为100万元；项目B预计收益为400万元，标准差为50万元。假设两个项目的收益均服从正态分布，且企业目前的无风险利率为4%。(1)请计算两个项目的变异系数（CV）。(2)仅从单位收益所承担的风险角度比较，哪个项目更优？(3)如果该企业是风险厌恶型，且要求项目收益必须至少覆盖无风险利率加上风险溢价（假设风险溢价与变异系数成正比），请简述你的决策依据。2.某公司预计明年面临供应链中断的风险。根据历史数据分析和专家预测，该风险发生的概率为20%。一旦发生，预计造成的直接经济损失为2000万元，同时因订单违约导致的间接损失约为500万元。公司目前考虑购买一份保险，保险费用为80万元，保险公司在风险发生时赔付直接经济损失的80%（即1600万元）。(1)计算不购买保险情况下的期望损失值。(2)计算购买保险情况下的总成本（包括保险费和未获赔付的期望自留损失）。(3)根据计算结果，从纯财务角度分析是否应该购买保险？六、综合案例分析题（本大题共3小题，每小题15分，共45分）案例一：A公司为一家大型制造企业，近年来业务扩张迅速。为了适应发展，公司建立了较为规范的法人治理结构，设立了董事会、监事会和经理层。然而，在实际运营中，公司出现了以下问题：1.董事长李某同时兼任总经理和财务总监，掌握了公司的绝对决策权。2.公司在销售环节，为了扩大市场份额，对部分大客户实行“先发货后补签合同”的政策，且由销售人员直接负责催收货款。3.仓库管理员张某利用职务之便，多次私自将仓库内的贵重金属运出变卖，直至年底盘点才发现短缺。4.公司的信息系统由信息中心自主开发维护，近期系统频繁出现数据错误，导致成本核算失真，但信息中心声称是硬件老化所致，拒绝承担责任。5.审计委员会每年仅在年度会议前听取一次内部审计汇报，平时不关注内审工作。要求：(1)根据上述资料，分析A公司在内部控制方面存在的主要缺陷（请结合COSO五要素进行分类分析）。(2)针对上述缺陷，请提出改进建议。案例二：B科技股份公司是一家专注于智能家居研发的高新技术企业。2023年，公司决定投入巨资研发一款基于人工智能的新一代家庭机器人。该项目技术难度大，研发周期长，市场前景不明朗。在项目启动会上，研发总监王某认为这是公司超越竞争对手的关键机会，主张采用最激进的技术路线，忽略了备选方案的制定。财务部门虽然对预算提出了质疑，但在王某的坚持下，最终批准了预算。项目进行到中期，核心技术团队因对研发方向产生分歧，多名骨干工程师离职，项目进度严重滞后。此时，市场上竞争对手推出了类似功能的低价产品，B公司的产品优势受到挑战。为了追赶进度，公司决定跳过部分模块的压力测试，直接进入试生产阶段。在产品发布会上，演示机器人突然失控，造成现场演示嘉宾受伤，且产品存在严重的隐私数据泄露隐患，导致公司股价暴跌，声誉受损。要求：(1)请从风险评估与风险应对的角度，分析B公司在该项目管理中存在的失误。(2)针对B公司的研发项目，应建立哪些关键的风险控制机制？案例三：C集团是一家跨国零售集团，近期在对其下属子公司进行内部审计时，发现了以下情况：子公司D的采购部门负责全公司的物资采购。2022年，D公司从供应商E处采购了大量包装材料。审计人员发现，供应商E的法定代表人是D公司采购经理的配偶。此外，采购价格比市场平均价格高出约15%，且部分包装材料的质量不达标，导致产品退货率上升。经进一步调查，采购合同是由采购经理直接审批的，没有经过询价、比价程序。财务部门在付款时，仅检查了发票金额与合同金额是否一致，未对采购价格的合理性进行审核。当审计人员向D公司总经理汇报时，总经理表示：“采购经理是公司的老员工，能力强，虽然价格高点，但供货及时，为了保证生产，这点瑕疵可以接受。”要求：(1)指出D公司在采购业务循环中违反了哪些内部控制原则？(2)识别该案例中存在的具体风险，并说明这些风险可能带来的后果。(3)针对关联方交易和采购定价，C集团应制定哪些具体的控制措施来防范此类问题？参考答案与解析一、单项选择题1.【答案】C【解析】控制环境确立组织的基调，影响员工的控制意识，是所有其他内部控制组成要素的基础。它包括诚信原则、道德价值观、组织结构等。2.【答案】D【解析】内部控制（及风险管理）只能提供“合理保证”，而非“绝对保证”。由于内部控制的固有局限性（如人为判断失误、串通舞弊、管理层凌驾等），无法确保目标的绝对实现。3.【答案】A【解析】事前审批旨在防止不合规或不合理的采购发生，属于预防性控制。检查性控制是在事后发现错误，纠正性控制是纠正已发现的错误。4.【答案】C【解析】职责分离的主要目的是降低舞弊和错误的风险。如果一个人既负责记录资产又负责保管资产，就增加了贪污资产并掩盖舞弊行为的机会。5.【答案】A【解析】风险评估的流程通常包括：目标设定->风险识别->风险分析（风险分析与评估）->风险应对。识别和分析之后，自然进入确定应对策略阶段。6.【答案】A【解析】记录银行存款日记账的人员属于资产记录，编制银行存款余额调节表属于独立稽核/核对。如果由同一人执行，可能掩盖挪用或盗窃资金的行为。B、C、D均属于不相容职务的分离，即题目问的是“属于”不相容职务的，但题目选项问的是“属于不相容职务的是”，通常这种题意是选出“哪一组是不相容的”。注意：选项B中签订合同（业务执行）与审核信用（批准）是不相容的；选项C申请与审批是不相容的；选项D总账与明细账是不相容的。但A选项中，记录日记账和编调节表是典型的不相容职务，且极易导致舞弊。此题设计为选出“属于不相容职务”的组合，A是最经典的案例。注：若题目意指“哪一组职责是可以兼任的”，则无正确选项，但根据题意，A是必须分离的。7.【答案】C【解析】风险影响程度通常从财务、声誉、法律合规、运营安全、客户满意度等维度评估。员工年龄结构通常不是风险直接影响维度的衡量标准，虽然它可能影响风险发生的概率，但不是“影响程度”的维度。8.【答案】B【解析】内部审计的职责是监督、评价内部控制，提供咨询建议。管理层负责设计和执行内部控制。内部审计不能代替管理层决策。9.【答案】B【解析】应用控制是指直接作用于具体业务流程（如销售、采购）的数据处理控制，如输入校验、逻辑检查。A、C、D均属于一般控制。10.【答案】C【解析】风险分担（转移）是通过合同、保险等方式将风险的部分或全部财务后果转移给第三方。11.【答案】D【解析】对外披露内部控制评价报告体现了信息的公开透明，有助于外部监督，符合信息公开原则。12.【答案】B【解析】验收的依据是订购单（或采购订单），以确保收到的货物是订购的品种和数量。请购单是申请采购的凭证，发票是结算凭证。13.【答案】C【解析】管理层凌驾通常表现为：异常的会计调整、隐瞒事实、对审计限制接触等。C选项“严格的职责分离制度得到有效执行”是健康的控制状态，不是凌驾迹象。14.【答案】C【解析】风险偏好不是一成不变的，它随着企业战略、外部环境、资源状况的变化而调整。15.【答案】B【解析】访问安全控制（如用户ID、密码、权限矩阵）确保只有授权人员才能访问。16.【答案】B【解析】穿行测试是指在每一类交易循环中选择一笔或几笔业务，从头到尾追踪其在系统中的处理过程，以确认控制是否设计合理并得到执行。它主要目的是验证设计的有效性和了解流程。17.【答案】A【解析】成本效益原则要求实施控制的成本不应超过因错误或舞弊造成的潜在损失。18.【答案】C【解析】A是报告目标，B是合规目标，D是资产安全目标（通常归类于运营或报告）。C是典型的运营目标。19.【答案】B【解析】打折促销是为了降低库存积压带来的损失，降低风险的影响程度，属于风险降低（缓解）。20.【答案】D【解析】内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。确保员工最高薪酬不是内控目标。二、多项选择题1.【答案】ABC【解析】事项识别需要考虑外部环境（经济、法律等）和内部环境（战略、流程等）以及历史数据趋势。员工个人喜好通常不是系统性风险识别的因素。2.【答案】ABCD【解析】控制环境因素包括：诚信与道德价值观、董事会与审计委员会、组织结构、权责分配、胜任能力、人力资源政策等。3.【答案】ABC【解析】财务报告控制活动侧重于数据的准确性。D业绩评价更多属于运营控制，虽然也影响财务，但A、B、C是更直接的财务报告控制。4.【答案】ABCD【解析】COSOERM框架中定义了四种风险应对策略：规避、降低、分担、承受。5.【答案】ABC【解析】信息系统是内控的重要工具，但无法完全替代人工判断和人工控制（如高层管理层的监督）。且系统本身也有风险。6.【答案】ABCD【解析】内部控制缺陷按成因分为设计缺陷和运行缺陷；按严重程度分为重大缺陷、重要缺陷和一般缺陷。7.【答案】ABD【解析】销售人员直接决定赊销额度容易导致为了业绩而忽视信用风险，属于职责冲突，应避免。8.【答案】AB【解析】内部监督包括日常监督（持续性）和专项监督（针对特定问题）。外部审计和舆论监督属于外部监督。9.【答案】ABC【解析】D选项是正常情况。A、B、C均属于表明可能存在重大缺陷的迹象。10.【答案】ABC【解析】员工流失率属于内部人力资源因素，不是外部风险因素。三、判断题1.【答案】√2.【答案】×【解析】内部控制存在固有局限性，只能提供合理保证，不能杜绝所有舞弊。3.【答案】×【解析】风险评估应是持续的，环境变化时必须重新评估。4.【答案】√【解析】董事会是内部责任主体。5.【答案】×【解析】预防性控制旨在事前防止；检查性控制才是事后发现。6.【答案】√7.【答案】√8.【答案】×【解析】内部控制评价报告是企业自我评价的文件，不一定需要注会审计（除非是主板上市公司按规定需披露，但评价报告本身由董事会出具，审计是对其发表审计意见，并非评价报告本身必须经审计才存在）。9.【答案】√10.【答案】×【解析】内部控制对于战略目标的实现至关重要，尤其是在运营效率和风险防范方面。11.【答案】×【解析】在电算化环境下，职责分离的内容发生了变化，例如程序员不应有操作权限，系统管理员不应兼任会计主管等，与手工系统不同。12.【答案】√13.【答案】√14.【答案】×【解析】企业整体有风险偏好，但不同业务单元可以根据其业务特性设定不同的风险偏好，只要符合整体要求。15.【答案】×【解析】描述的是持续（日常）监督。专项监督是不连续的、针对特定范围的。四、简答题1.【答案】COSO内部控制五要素包括：(1)控制环境：奠定基调，包括诚信、道德价值观、组织结构等。(2)风险评估：识别和分析实现目标过程中的风险。(3)控制活动：确保管理层指令执行的政策和程序（如审批、职责分离）。(4)信息与沟通：获取、处理和传递相关信息，确保信息流通。(5)监督：评估内部控制质量的过程（日常和专项）。关系：控制环境是基础；风险评估是依据；控制活动是手段；信息与沟通是载体；监督是保障。五要素相互关联，贯穿于业务流程中。2.【答案】管理层凌驾是指管理层出于不当目的（如虚增利润、隐瞒亏损），利用其职权绕过或突破既定的内部控制制度，导致内部控制失效。常见手段：(1)虚构交易、调整会计分录（如期末突击确认收入）。(2)隐瞒或不披露重大事项（如未决诉讼）。(3)串通舞弊（如与客户或供应商勾结）。(4)滥用会计政策选择权。3.【答案】(1)风险识别：查找企业在实现目标过程中可能面临的所有内部和外部风险源（如技术风险、市场风险）。(2)风险评估：分析风险发生的可能性（概率）和影响程度，并对风险进行排序，确定重点关注的风险。(3)风险应对：根据风险评估结果，结合风险偏好，选择规避、降低、分担或承受等策略。4.【答案】(1)采购申请与审批职责分离。(2)询价与确定供应商职责分离（采购部门不应独自决定供应商）。(3)订货单编制与审批分离。(4)验收部门独立于采购和会计部门。(5)付款审批需复核发票、订货单和验收单的一致性（三单匹配）。5.【答案】(1)对内部控制设计的合理性和执行的有效性进行审查和评价。(2)协助组织治理层（董事会/审计委员会）监督内部控制和风险管理。(3)识别、分析和报告内部控制缺陷。(4)对整改措施的落实情况进行跟踪审计。(5)作为独立的第三方，提供客观的确认和咨询服务。五、计算与分析题1.【答案】(1)计算变异系数（CV）：公式：C项目A：C项目B：C(2)比较优劣：变异系数衡量的是每单位收益承担的风险。CV越小，风险相对收益越低。由于C((3)决策依据：虽然项目A的绝对收益高（500万>400万），但项目B的风险调整后收益效率更高。对于风险厌恶型企业，通常倾向于选择变异系数较小的项目，除非项目A的超额收益足以补偿其额外的风险。在此题中，若没有明确的风险溢价计算公式，一般倾向于选择项目B，因为其更稳健。2.【答案】(1)不购买保险的期望损失：总损失金额=直接损失+间接损失=2000+期望损失=2500×(2)购买保险的总成本：保险费=80万元获得赔付=1600万元未获赔付的自留损失=(2500总成本=保险费+期望自留损失=80+(3)分析：不购买保险的期望成本为500万元，购买保险的总成本为260万元。260<六、综合案例分析题案例一【答案】(1)存在的缺陷分析：控制环境：董事长兼任总经理和财务总监，导致权责过于集中，缺乏制衡，治理结构不完善。控制活动：销售环节：先发货后补签合同增加了法律风险和坏账风险；销售人员直接催收货款容易导致挪用或舞弊（职责分离失效）。销售环节：先发货后补签合同增加了法律风险和坏账风险；销售人员直接催收货款容易导致挪用或舞弊（职责分离失效）。资产安全：仓库管理员利用职务之便盗窃，说明缺乏资产接触控制（如门禁锁、定期盘点）和不相容职务分离（如记账与保管）。资产安全：仓库管理员利用职务之便盗窃，说明缺乏资产接触控制（如门禁锁、定期盘点）和不相容职务分离（如记账与保管）。信息与沟通：信息系统数据错误且部门推诿，说明系统维护和问题反馈机制存在缺陷，信息质量不可靠。监督：审计委员会仅在年度会议前听取汇报，监督力度不足，属于监督失效。(2)改进建议：完善治理结构，实行董事长与总经理分设；财务总监应由董事会任命，向董事会汇报。完善治理结构，实行董事长与总经理分设；财务总监应由董事会任命，向董事会汇报。严格执行销售合同审批制度，禁止先货后单（除非有严格的信用审批）；建立独立的信用管理部门和收款部门，与销售职能分离。严格执行销售合同审批制度，禁止先货后单（除非有严格的信用审批）；建立独立的信用管理部门和收款部门，与销售职能分离。加强资产管理，仓库安装监控，实行双人管库或定期