2026年企业内部控制与风险管理模拟考试卷

2026年企业内部控制与风险管理模拟考试卷一、单项选择题（本题型共20题，每题1.5分，共30分。每题只有一个正确选项，不选、错选均不得分。）1.在COSO整合框架中，内部控制的五个要素相互关联，共同构成了一个有机的整体。其中，处于基础地位，是其他所有要素根植于其中的是（）。A.风险评估B.控制活动C.内部环境D.信息与沟通2.某大型制造企业在进行年度风险评估时，发现由于原材料价格大幅波动，导致生产成本存在重大不确定性。为了应对这一风险，管理层决定与供应商签订长期固定价格合同。这种风险应对策略属于（）。A.风险规避B.风险降低C.风险分担D.风险承受3.根据我国《企业内部控制基本规范》的规定，负责监督检查企业内部控制建立和实施情况的机构主要是（）。A.董事会B.监事会C.内部审计机构D.经理层4.不相容职务分离控制是内部控制的重要手段。下列各项中，不属于不相容职务的是（）。A.授权批准与业务经办B.业务经办与会计记录C.会计记录与财产保管D.业务经办与业务稽核5.在企业风险管理流程中，确保管理层选择的风险应对策略得到有效实施的关键环节是（）。A.目标设定B.事件识别C.控制活动D.监控6.甲公司是一家上市公司，其董事会下设了审计委员会。关于审计委员会在内部控制中的职责，下列说法中错误的是（）。A.审计委员会负责审查企业内部控制，监督内部控制的有效实施B.审计委员会的负责人应当由总经理担任C.审计委员会应当对内部控制评价报告的真实性负责D.审计委员会协调内部控制审计及其他相关事宜7.预算控制是企业常用的一种控制方法。下列关于预算控制的表述中，不正确的是（）。A.预算控制可以涵盖企业经营活动的全过程B.预算控制应当严格执行，经批准后的预算一般不得调整C.预算控制具有激励员工、明确目标的作用D.预算编制应当与企业的战略目标保持一致8.某公司销售部门在制定信用政策时，为了扩大销售额，放宽了对客户的信用标准，导致坏账率上升。这种风险主要源于（）。A.外部环境变化B.内部控制设计缺陷C.内部控制运行失效D.战略制定失误9.企业在建立与实施有效的内部控制时，必须遵循成本效益原则。下列做法中，符合成本效益原则的是（）。A.为了防止小额现金流失，安装昂贵的生物识别系统B.对于重大风险投入大量控制资源，对于微小风险采取简化控制C.无论风险大小，均采用最高级别的控制措施D.为了节省成本，取消对关键业务环节的复核10.在信息系统中，一般控制和应用控制是两大类控制。下列各项中，属于应用控制的是（）。A.数据中心运行管理B.系统软件的acquisition和开发C.输入数据的校验（如数字格式、逻辑检查）D.访问安全控制11.企业进行风险评估时，需要定性分析与定量分析相结合。下列属于定量分析的方法是（）。A.风险矩阵B.专家打分法C.概率模型D.集体讨论12.下列关于管理层凌驾于控制之上的风险的表述中，错误的是（）。A.这是一种由于管理层滥用职权导致的内部控制失效风险B.董事会和审计委员会的监督可以有效降低此类风险C.这种风险在规模较小的企业中通常不会发生D.建立反舞弊机制是应对此类风险的重要手段13.甲公司为一家高新技术企业，研发投入巨大。为了保护知识产权，公司对核心技术资料实施了严格的物理隔离和访问限制。这属于控制活动中的（）。A.绩效考评控制B.财产保护控制C.运营分析控制D.会计系统控制14.企业在编制内部控制评价报告时，如果发现内部控制存在重大缺陷，应当（）。A.在内部控制评价报告中如实披露，并进行整改B.隐瞒不报，以免影响企业形象C.仅在内部进行整改，不在报告中披露D.等待注册会计师审计结果出来后再决定是否披露15.2026年，随着人工智能技术的普及，某企业引入了AI辅助决策系统。从风险管理角度看，这属于（）。A.技术创新风险B.战略风险C.运营风险D.法律合规风险16.企业文化是内部环境的重要组成部分。下列关于企业文化与内部控制关系的说法中，正确的是（）。A.企业文化对内部控制没有实质影响B.优秀的企业文化可以弥补内部控制制度的缺陷C.内部控制制度可以完全替代企业文化的作用D.企业文化建设应当独立于内部控制建设17.某企业规定，采购金额超过100万元的合同必须由总经理亲自审批。这项控制措施属于（）。A.不相容职务分离B.授权审批控制C.预算控制D.会计系统控制18.在风险应对策略中，“风险分担”通常包括（）。A.业务重组B.退出市场C.购买保险D.提高质量标准19.企业内部控制的自我评价中，评价范围和内容的确定应当以（）为基础。A.风险评估结果B.管理层意愿C.审计师要求D.历史数据20.某跨国公司在海外投资时，面临东道国政策变动的不确定性。为了应对这一风险，公司聘请了当地法律顾问团队进行实时监控。这属于（）。A.风险识别B.风险评估C.风险应对D.风险监控二、多项选择题（本题型共10题，每题2分，共20分。每题均有多个正确选项，不选、错选、漏选均不得分。）1.根据COSO《企业风险管理——与战略和绩效的整合》框架（2017版），风险管理的五大要素包括（）。A.风险与文化B.风险与战略C.风险与执行D.风险与审查E.风险与信息、沟通和报告2.有效的内部控制应当致力于实现企业的各类目标，这些目标通常包括（）。A.战略目标B.经营目标C.报告目标D.合规目标E.市场占有率目标3.内部控制存在的局限性包括（）。A.人员的判断失误B.管理层凌驾C.串通舞弊D.成本效益约束E.外部环境变化导致控制失效4.企业在识别内部风险时，应当关注的因素包括（）。A.董事、监事、经理及其他高级管理人员的职业操守B.组织机构、经营方式、资产管理、业务流程等管理因素C.研究开发、技术投入、信息技术运用等自主创新因素D.财务状况、经营成果、现金流量等财务因素E.营运安全、员工健康、环境保护等安全环保因素5.常见的控制活动措施包括（）。A.不相容职务分离控制B.授权审批控制C.会计系统控制D.财产保护控制E.预算控制6.下列关于企业内部审计的描述中，正确的有（）。A.内部审计机构应当对内部控制的有效性进行监督检查B.内部审计机构在监督检查中发现的重大缺陷，有权直接向董事会及其审计委员会报告C.内部审计机构必须保持绝对的独立性，完全不受管理层制约D.内部审计的范围涵盖所有业务环节和下属单位E.内部审计只关注财务数据的准确性7.企业在建立反舞弊机制时，应当重点关注（）。A.舞弊行为的举报途径B.举报人保护制度C.舞弊风险的评估D.对舞弊行为的惩处力度E.仅关注管理层舞弊，忽视员工舞弊8.信息系统的一般控制包括（）。A.数据中心和网络运行控制B.系统软件的购置、修改及维护控制C.访问安全控制D.应用系统开发、变更和维护控制E.输入数据有效性验证9.风险评估程序通常包括（）。A.目标设定B.风险识别C.风险分析D.风险应对E.风险监控10.企业在制定风险应对策略时，需要考虑的因素包括（）。A.风险发生的可能性B.风险发生后可能造成的影响程度C.企业的风险容量D.应对成本与预期收益的权衡E.外部监管要求三、判断题（本题型共10题，每题1分，共10分。请判断每题的表述是否正确，认为正确的选“√”，认为错误的选“×”。）1.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。（）2.只要建立了完善的内部控制制度，就能保证企业杜绝一切舞弊行为和错误。（）3.企业风险评估应当每年进行一次，无需在日常经营活动中持续进行。（）4.财产保护控制要求企业限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对等措施。（）5.企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策。（）6.内部控制评价报告不仅需要报送董事会，还需要随同年度财务报告一同对外披露。（）7.风险降低策略是指通过放弃或停止与该风险相关的业务活动以消除风险。（）8.企业在建立内部控制时，应当全面、系统地梳理各业务流程，确保不存在控制盲区。（）9.信息技术不仅改变了企业的运营模式，也改变了内部控制的方式和手段，内部控制可以完全依赖IT系统自动执行。（）10.企业的社会责任建设属于内部控制环境中的“企业文化”范畴。（）四、简答题（本题型共4题，每题5分，共20分。）1.简述不相容职务分离控制的基本原理，并列举至少三组典型的不相容职务。2.简述COSO框架（2013版）中“信息与沟通”要素在内部控制中的主要作用。3.简述企业风险管理的“风险承受”策略及其适用情形。4.简述内部审计部门在内部控制评价和监督中的核心职责。五、综合案例分析题（本题型共2题，每题15分，共30分。）案例一：A公司为一家快速扩张的连锁零售企业，主要经营电子产品。2025年底，公司计划在2026年进一步扩大市场份额，新增50家门店。为了应对扩张带来的管理挑战，A公司对现有的内部控制体系进行了审查，发现以下情况：1.采购环节：为了提高效率，公司赋予采购部经理极大的权限。所有采购合同的签订、供应商的选择以及付款审批均由采购部经理一人负责。采购部经理经常指定其亲属控制的公司为独家供应商，且采购价格明显高于市场平均水平。2.销售环节：为了追求销售业绩，公司对销售人员实行“高提成”政策。销售人员拥有直接调整客户信用额度的权限，无需经过信用部门审核。这导致部分信用状况不佳的客户获得了高额赊销，2025年末坏账率同比上升了150%。3.存货环节：新门店的库存管理由各门店店长负责。公司规定每季度进行一次全面盘点，但由于人手不足，实际盘点工作经常流于形式，仅由店长自行填写盘点表。2026年初，发现多家门店存在大量商品短缺且无法查明原因。4.资金活动：公司为支持扩张，计划通过发行债券筹集大量资金。财务部负责编制筹资方案，并由财务总监直接审批后实施。董事会未对筹资方案的可行性进行深入审议。要求：1.根据上述资料，识别A公司内部控制存在的缺陷，并指出其违反了内部控制的哪些具体原则或控制手段。（6分）2.针对采购环节的缺陷，提出改进建议。（3分）3.针对销售环节的信用管理问题，设计一套合理的控制流程。（3分）4.分析存货控制失效可能带来的风险，并提出改进措施。（3分）案例二：B公司是一家从事新能源电池研发与生产的高科技企业。随着全球对碳中和的重视，B公司近年来业绩飞速增长。然而，2026年初，B公司遭遇了一系列危机：1.技术泄密事件：公司核心研发人员离职后加入了竞争对手，带走了B公司最新的电池配方，导致B公司即将发布的新产品竞争优势丧失。2.环保处罚事件：由于生产过程中的废液处理设施未达标运行，导致周边水源污染，被环保部门处以巨额罚款，并责令停产整顿3个月。3.投资失败事件：B公司管理层在未进行充分尽职调查的情况下，盲目投资了一个上游锂矿项目，结果发现该矿藏储量远低于预期，且开采成本极高，导致公司计提大额减值损失。董事会要求风险管理委员会对上述事件进行复盘，并完善企业风险管理体系。要求：1.根据COSO风险管理框架，分析B公司面临的三类事件分别属于哪种风险类别（战略风险、运营风险、市场风险、法律合规风险等）。（3分）2.针对技术泄密事件，从“内部环境”和“控制活动”两个角度，分析B公司可能存在的内部控制缺陷，并提出相应的改进建议。（6分）3.针对投资失败事件，阐述企业在进行重大投资决策时，应如何构建风险控制机制以防范类似风险。（6分）六、计算与分析题（本题型共1题，共10分。）C公司是一家大型进出口贸易公司，2026年面临汇率波动的巨大风险。公司预计将在3个月后收到一笔1000万美元的出口货款。当前的即期汇率为1美元=7.20人民币。财务部门预测未来3个月汇率波动的概率如下：情景一：汇率升值至1美元=7.30人民币，概率为30%情景一：汇率升值至1美元=7.30人民币，概率为30%情景二：汇率保持在1美元=7.20人民币，概率为40%情景二：汇率保持在1美元=7.20人民币，概率为40%情景三：汇率贬值至1美元=7.10人民币，概率为30%情景三：汇率贬值至1美元=7.10人民币，概率为30%为了规避风险，公司考虑采用远期外汇合约进行套期保值。银行提供的3个月远期汇率为1美元=7.22人民币。要求：1.计算C公司在不进行套期保值的情况下，预期3个月后收到的人民币金额（即期望值）。（请列出计算公式）（4分）2.计算C公司如果使用远期合约锁定汇率，3个月后确定收到的人民币金额。（2分）3.计算套期保值后，C公司在三种不同汇率情景下，相对于不进行套期保值的期望值的损益变动情况，并简要分析套期保值的作用。（4分）以下为答案与解析部分一、单项选择题答案与解析1.【答案】C【解析】内部环境是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。它决定了组织的基调，影响员工的风险意识。2.【答案】C【解析】风险分担是指企业通过借助外部力量（如购买保险、外包、签订合同等）来分担部分风险。签订长期固定价格合同将价格波动的风险转移给了供应商，属于风险分担（或风险转移）。3.【答案】C【解析】根据《企业内部控制基本规范》，内部审计机构负责对内部控制的有效性进行监督检查，是内部控制体系中的监督要素的重要组成部分。虽然董事会和监事会也有监督职责，但具体的监督检查工作主要由内审机构执行。4.【答案】D【解析】不相容职务是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。业务经办与业务稽核属于相容职务（实际上业务经办后的稽核是控制手段，但通常不相容职务指的是：授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核通常被认为是必要的控制，但标准的不相容职务分离列表中，通常强调的是资产保管与记录、授权与执行等。这里D选项“业务经办与业务稽核”在严格定义下，如果是同一人自己办自己查，那肯定是不相容的。但在此题选项中，D其实是正确的控制手段（即应当分离）。等等，题目问的是“不属于不相容职务”。让我们重新审视。A：授权批准与业务经办->必须分离。B：业务经办与会计记录->必须分离。C：会计记录与财产保管->必须分离。D：业务经办与业务稽核->必须分离。这道题出题可能有歧义，或者考察的是常见的组合。通常“业务经办”与“业务稽核”也是应当分离的。修正：题目可能意在考察“业务经办”与“业务审批”等。但根据标准教材，不相容职务主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查。任何一个人不能同时兼任其中两项可能导致舞弊的职务。如果必须选一个“不属于”的，可能是指某些特定的组合。但在内部控制理论中，上述A、B、C、D通常都是要求分离的。可能是题目设置有误，或者考察的是某种特殊情况。但在常规考试中，如果题目出现此情况，通常是指“业务经办与业务决策”等。让我们重新审视选项。如果题目问的是“不属于不相容职务”，意味着这两个职务可以由一人兼任。实际上，在实务中，如果规模较小，有时业务经办和稽核可能由同一部门甚至同一人兼任（虽然不合规），但理论上都不允许。让我们换一个角度。也许题目选项是“业务经办与业务描述”？鉴于这是一份模拟题，我需要确保有一个明确答案。让我们调整选项D为：“业务经办与绩效评价”（通常绩效评价不应由业务经办直接决定）。或者，我们修正题目选项D为：“会计记录与经营责任报告”。为了确保准确性，我们将题目选项D设定为：“现金保管与现金日记账登记”（这是必须分离的）。让我们重新设计该题选项以符合逻辑。题目4修正：4.不相容职务分离控制是内部控制的重要手段。下列各项中，不属于不相容职务的是（）。A.授权批准与业务经办B.业务经办与会计记录C.会计记录与稽核检查D.业务经办与业务描述（例如记录销售单）【答案】D【解析】业务经办与业务描述（如编制销售单）通常可以由同一人完成，而授权与执行、执行与记录、记录与稽核必须分离。（注：原题选项可能存在歧义，此处以解析修正后的逻辑为准，确保考试严谨性。在正式输出中，我将使用修正后的选项和答案。）5.【答案】C【解析】控制活动是确保管理层的风险应对策略得以实施的政策和程序。它是将风险评估结果转化为具体行动的环节。6.【答案】B【解析】审计委员会的负责人必须由独立董事担任，而不是由总经理（属于管理层）担任，以确保审计的独立性。7.【答案】B【解析】预算控制应当具有一定的灵活性。当市场环境发生重大变化时，经过严格的审批程序，预算是可以进行调整的。B选项表述过于绝对，不符合实际情况。8.【答案】C【解析】信用政策已经制定，但执行层面（销售部门）为了业绩放宽了标准，导致控制未能有效执行。这属于内部控制运行失效（或执行偏差）。9.【答案】B【解析】成本效益原则要求企业以适当的成本实现有效的控制。对于重大风险投入多，对于微小风险简化控制，符合这一原则。A和D违反了成本效益原则（过度控制或控制不足）。10.【答案】C【解析】应用控制直接作用于业务数据输入、处理和输出，如数据校验。A、B、D属于一般控制，是保证IT系统整体安全、稳定运行的控制。11.【答案】C【解析】概率模型属于定量分析方法，利用数学统计工具计算风险值。A、B、D属于定性分析方法。12.【答案】C【解析】管理层凌驾于控制之上的风险在任何规模的企业中都可能存在，只要存在权力过于集中或缺乏有效监督的情况。13.【答案】B【解析】对实物资产（包括知识产权载体）进行限制接触、保护记录，属于财产保护控制。14.【答案】A【解析】根据规定，企业内部控制评价报告应当如实披露内部控制缺陷，特别是重大缺陷，并进行整改。15.【答案】C【解析】引入AI系统属于企业运营过程中的技术变革，由此带来的系统可靠性、算法偏见等风险属于运营风险。16.【答案】B【解析】优秀的企业文化能够增强员工的诚信意识和道德观念，促进内部控制的有效执行，在一定程度上弥补制度设计的不足。17.【答案】B【解析】对特定金额的合同由特定级别人员审批，属于授权审批控制中的“金额授权”。18.【答案】C【解析】购买保险是将风险转移给保险公司，属于风险分担。A属于风险降低，B属于风险规避，D属于风险降低。19.【答案】A【解析】内部控制评价应当以风险评估为基础，重点关注高风险领域。20.【答案】D【解析】聘请顾问进行实时监控，属于对风险状态的持续跟踪，即风险监控。二、多项选择题答案与解析1.【答案】A,B,C,D,E【解析】COSO2017框架将风险管理整合为五大要素和二十项原则。五大要素包括：治理与文化（风险与文化）、战略与目标设定（风险与战略）、执行（风险与执行）、审查与修订（风险与审查）、信息、沟通与报告（风险与信息、沟通和报告）。2.【答案】A,B,C,D【解析】内部控制的四类目标：战略、经营、报告、合规。市场占有率是经营目标下的一个具体指标，不是独立的目标类别。3.【答案】A,B,C,D【解析】内部控制的局限性包括：人为错误、管理层凌驾、串通舞弊、成本效益限制、以及由于外部环境变化导致控制过时等。E选项描述的是一种情况，但通常归类为“环境变化”。4.【答案】A,B,C,D,E【解析】这些都是识别内部风险时应当关注的内部因素。5.【答案】A,B,C,D,E【解析】这些都是常见的七大控制活动（加上运营分析控制和绩效考评控制）。6.【答案】A,B,D【解析】内部审计需要保持独立性，但并非完全不受管理层制约（如行政上可能受管理），但在职能上向董事会或审计委员会报告。C选项“完全不受”过于绝对。E选项错误，内审范围很广，不仅限于财务。7.【答案】A,B,C,D【解析】反舞弊机制应关注所有层面的舞弊，包括管理层和员工，因此E错误。8.【答案】A,B,C,D【解析】输入数据有效性验证（E）属于应用控制。9.【答案】A,B,C,D【解析】风险评估是一个动态循环过程，包括目标设定、风险识别、风险分析、风险应对。风险监控通常作为单独的要素或贯穿全过程。10.【答案】A,B,C,D,E【解析】这些都是制定风险应对策略时必须综合考虑的因素。三、判断题答案与解析1.【答案】√【解析】这是内部控制的定义，强调全员参与和过程导向。2.【答案】×【解析】内部控制存在固有局限性，只能提供“合理保证”，而非“绝对保证”，无法杜绝一切舞弊和错误。3.【答案】×【解析】风险评估应当是持续的，贯穿于日常经营活动之中，而不仅仅是每年一次。4.【答案】√【解析】这是财产保护控制的定义和要求。5.【答案】√【解析】对于重大业务和事项，实行集体决策或联签制度是防止个人独断专行的重要控制措施。6.【答案】√【解析】上市公司通常要求随年度报告披露内部控制评价报告和审计报告。7.【答案】×【解析】放弃或停止业务活动属于“风险规避”。风险承受是指不采取措施，接受风险带来的影响。8.【答案】√【解析】内部控制建设应当具有全面性和系统性。9.【答案】×【解析】虽然IT系统很重要，但内部控制不能完全依赖IT，还需要人工监督和物理控制，且IT系统本身也可能出错或被攻击。10.【答案】×【解析】社会责任建设虽然重要，但在COSO及我国基本规范中，通常作为内部控制环境的一部分，但“企业文化”主要侧重于价值观、信念和道德。社会责任有时被单独列为控制活动或环境的一部分，但严格来说，两者不完全等同。不过，在某些广义解读下，社会责任属于企业文化建设的一部分。但为了严谨，通常社会责任是独立的控制活动或环境因素。修正：根据《企业内部控制应用指引》，社会责任是独立的指引。因此该题判断为错误。四、简答题答案与解析1.【答案】不相容职务分离控制的基本原理：如果某一项职务由一个人担任，既可能发生错误或舞弊行为，又可能掩盖其错误或舞弊行为，那么这两项（或多项）职务就是不相容的。企业必须将这些职务分离，由不同的人员或部门来担任，形成相互制衡的机制。典型的不相容职务组合：（1）经济业务的授权批准与执行（如：审批采购订单与签订采购合同）；（2）经济业务的执行与审核（如：记录销售与调整应收账款）；（3）经济业务的执行与会计记录（如：销售人员登记会计账簿）；（4）财产保管与会计记录（如：出纳员登记总账）；（5）授权批准与监督检查（如：审批人兼任审计人员）。2.【答案】“信息与沟通”要素在内部控制中的主要作用包括：（1）获取相关信息：企业必须以适当的时间间隔和精确度，识别和获取来自企业内部和外部的信息。（2）信息处理：对收集到的信息进行加工处理，使其符合内部控制和管理的需要。（3）信息传递：在企业内部以及企业与外部之间（如监管者、股东、客户）及时、准确地传递相关信息。（4）沟通机制：确保员工清楚其职责和控制责任，并建立畅通的举报渠道（如举报舞弊）。（5）支持决策：为管理层进行风险评估、制定决策和监控运营提供数据支持。3.【答案】“风险承受”策略是指企业不采取任何措施来干预风险发生的可能性或影响，而是接受风险带来的后果。适用情形：（1）当风险发生的可能性极低，且一旦发生造成的影响也在企业可承受范围内（微小风险）。（2）当采取风险应对措施的成本高于风险发生后可能造成的损失（不符合成本效益原则）。（3）当企业无法通过其他手段（如规避、分担、降低）来有效管理该风险。（4）企业为了追求高收益，自愿承担与收益相匹配的风险（如投机性风险）。4.【答案】内部审计部门在内部控制评价和监督中的核心职责包括：（1）对内部控制的有效性进行日常和定期的监督检查。（2）识别内部控制缺陷，分析缺陷的性质和成因。（3）向董事会及其审计委员会、监事会报告发现的内部控制缺陷（特别是重大缺陷）。（4）对内部控制缺陷的整改情况进行跟踪，督促相关部门及时纠正。（5）协助管理层完善内部控制制度和流程。（6）作为内部控制评价工作的具体执行机构，出具内部控制评价报告（或协助出具）。五、综合案例分析题答案与解析案例一：1.【答案】A公司存在的内部控制缺陷及违反的原则/手段：（1）采购环节：缺陷为采购权过于集中，缺乏制衡。违反了“不相容职务分离控制”原则。采购合同的签订、供应商选择、付款审批由一人负责，容易导致舞弊。（2）销售环节：缺陷为销售人员拥有过大的信用额度调整权，缺乏独立审核。违反了“授权审批控制”和“不相容职务分离”原则。信用评估与销售执行未分离。（3）存货环节：缺陷为盘点流于形式，缺乏监督。违反了“财产保护控制”原则。盘点由保管人（店长）自行执行，缺乏独立人员监盘。（4）资金活动：缺陷为重大筹资决策程序不当，缺乏董事会审议。违反了“重大事项集体决策”或“三重一大”决策制度。筹资方案仅由财务总监审批，未上董事会。2.【答案】针对采购环节的改进建议：（1）建立采购不相容职务分离制度。供应商的选择、采购合同的审批、付款申请的审核、会计记录应由不同部门或人员执行。（2）设立独立的供应商管理部门或评估小组，建立供应商准入和评估机制，定期对供应商进行评审。（3）实行大额采购集体决策或联签制度，防止个人独断。（4）建立采购价格比较机制，定期进行市场询价，确保采购价格合理。3.【答案】销售信用控制流程设计：（1）客户申请：客户向销售部门提出赊购申请。（2）资信调查：销售部门收集客户财务及信用资料。（3）信用评估：独立的信用管理部门（或财务部信用岗）根据调查结果评估客户信用等级，并核定具体的信用额度。（4）审批批准：根据核定的额度，按照授权权限由相应级别的主管审批赊销合同。（5）执行发货：审批通过后，仓储部门依据发货单发货。（6）后续监控：定期监控客户应收账款余额，对超期或超额度的客户停止发货并催收。4.【答案】存货控制失效的风险：（1）资产流失风险：商品被盗、挪用导致企业财产损失。（2）财务报告风险：账实不符导致财务报表存货数据虚假，影响利润计算。（3）运营风险：缺货导致销售机会丧失，或积压导致仓储成本增加。改进措施：（1）严格执行定期盘点制度，盘点必须由独立于保管人员的第三者（如财务人员或专门盘点小组）进行监盘。（2）利用条形码或RFID技术加强存货的出入库管理，确保记录准确。（3）建立存货损耗责任制，对非正常损耗追究相关人员责任。（4）实施存货的ABC分类管理，对高价值商品加强盘点频率和控制力度。案例二：1.【答案】（1）技术泄密事件：属于运营风险（也可包含法律合规风险中关于知识产权的部分，但核心是运营中的资产保护）。注：在COSO框架下，核心技术流失直接影响战略和运营能力。通常归类为运营风险（人员、技术、流程）。（2）环保处罚事件：属于法律合规风险（违反环保法规）。（3）投资失败事件：属于战略风险（重大投资决策失误影响公司发展方向和资源配置）。2.【答案】（1）内部环境缺陷：缺乏良好的企业文化，对知识产权保护意识淡薄。人力资源政策不完善，对核心