内部控制与风险管理概述习题与答案

内部控制与风险管理概述习题与答案一、单项选择题（本大题共20小题，每小题1.5分，共30分。在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。错选、多选或未选均无分。）1.根据《企业内部控制基本规范》，内部控制的目标不包括（）。A.合理保证企业经营管理合法合规B.合理保证企业资产安全C.合理保证企业财务报告及相关信息真实完整D.绝对保证企业提高经营效率和效果2.COSO《内部控制——整合框架》（2013版）中提出的内部控制的五个要素中，属于其他要素基础的是（）。A.风险评估B.控制活动C.控制环境D.信息与沟通3.在风险管理过程中，企业采取行动降低风险发生的可能性或影响，将风险控制在风险承受度之内的策略称为（）。A.风险规避B.风险降低C.风险分担D.风险承受4.下列关于“不相容职务分离”控制活动的描述中，错误的是（）。A.不相容职务是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务B.授权批准与业务经办通常属于不相容职务C.业务经办与会计记录通常属于不相容职务D.会计记录与稽核检查通常属于相容职务，可以由同一人兼任5.下列各项中，属于内部监督中“持续监督”特征的是（）。A.通常由内部审计部门定期执行B.侧重于评估内部控制的特定方面C.嵌入在企业的日常重复性经营活动之中D.通常在管理层认为必要时或发生重大变化时进行6.风险管理的三道防线中，主要负责制定风险管理策略、制度和流程，并协调各部门实施的是（）。A.业务部门B.风险管理部门C.内部审计部门D.董事会及下设的风险管理委员会7.某企业在进行风险评估时，识别出原材料价格大幅波动是一个关键风险。为了应对这一风险，该企业与供应商签订了长期固定价格合同。这种应对策略属于（）。A.风险规避B.风险降低C.风险分担D.风险承受8.COSO《企业风险管理——整合框架》（2017版）将风险与战略和绩效相结合，强调风险管理的五大组成部分。其中，负责制定与风险偏好一致的文化及运营架构的是（）。A.治理与文化B.风险、战略与目标设定C.风险执行D.风险信息、沟通与报告9.在信息系统的generalcontrol（一般控制）中，不包括（）。A.数据中心运行控制B.系统软件控制C.访问安全控制D.输入数据核对控制10.有效的内部审计部门应当在（）领导下开展工作，以确保其独立性和权威性。A.总经理B.财务总监C.董事会或审计委员会D.监事会11.企业建立与实施内部控制应当遵循的原则中，要求内部控制在兼顾全面的基础上，关注重要业务事项和高风险领域的是（）。A.全面性原则B.重要性原则C.制衡性原则D.适应性原则12.下列关于管理层逾越内部控制（ManagementOverride）的描述，正确的是（）。A.这是内部控制系统失效的常见原因，且难以通过常规控制预防B.这种行为通常会被系统自动拦截C.只有基层员工才可能逾越内部控制D.只要建立了完善的控制环境，管理层就绝对无法逾越13.在风险矩阵图中，横轴通常代表（）。A.风险发生的可能性B.风险发生后的影响程度C.风险的数量D.风险的剩余水平14.企业在进行内部控制评价时，对于重大缺陷的整改期限一般要求是（）。A.立即整改B.在下一个会计期间结束前整改C.在合理的时间内整改，并向董事会报告D.可以暂不整改，只需记录在案15.控制环境的构成要素中，体现了企业对诚实守信、遵纪守法等道德规范的重视程度的是（）。A.组织结构B.权责分配C.诚信与道德价值观D.人力资源政策16.下列各项风险应对措施中，属于“风险分担”的是（）。A.放弃可能导致风险的业务活动B.投资保险C.增加管理层复核频率D.提高产品质量标准以减少退货17.根据COSO框架，控制活动可以分为预防性控制和检查性控制。下列属于检查性控制的是（）。A.在生成采购订单前自动检查供应商信用额度B.定期编制银行存款余额调节表C.操作员需使用密码和U盾双重认证登录系统D.仓库发货时需核对发货单与销售合同18.企业风险管理的首要步骤是（）。A.风险评估B.风险应对C.目标设定D.风险识别19.下列关于“职责分离”的局限性，说法错误的是（）。A.在人员编制较少的小型企业中，完全的职责分离可能难以实现B.合谋可以规避职责分离的控制C.职责分离能完全消除舞弊风险D.如果管理层凌驾于职责分离原则之上，控制将失效20.某公司规定，超过100万元的采购合同必须经总经理审批。这项控制属于（）。A.业绩评价控制B.授权审批控制C.财产保护控制D.会计系统控制二、多项选择题（本大题共10小题，每小题2分，共20分。在每小题列出的五个备选项中有两个至五个是符合题目要求的，请将其代码填写在题后的括号内。错选、多选、少选或未选均无分。）21.COSO内部控制整合框架（2013）提出的内部控制原则包括（）。A.企业对诚信和道德价值观做出承诺B.董事会独立于管理层C.企业建立适用的组织结构D.企业展现对胜任能力承诺E.企业为实现目标识别和评估风险22.内部控制固有的局限性主要包括（）。A.人员的判断失误B.管理层凌驾于内部控制之上C.串通舞弊D.成本效益原则的约束E.外部环境变化导致控制失效23.风险评估的流程主要包括（）。A.目标设定B.风险识别C.风险分析D.风险应对E.风险监控24.下列属于常见的控制活动有（）。A.不相容职务分离B.授权审批C.会计系统控制D.财产保护控制E.预算控制25.有效的信息与沟通系统应当具备的特征包括（）。A.能够获取内部和外部信息B.在企业内部及时传递相关信息C.能够向外部相关方提供相关信息D.信息必须经过严格的加密处理E.建立反舞弊机制和举报人投诉制度26.根据我国《企业内部控制基本规范》，内部控制的设计和运行需要考虑的因素包括（）。A.企业的经营规模B.企业的业务性质C.企业的行业特点D.企业的经营环境E.企业的风险状况27.企业在制定风险应对策略时，需要考虑（）。A.风险发生的可能性和影响程度B.企业的风险偏好C.企业的风险承受度D.实施应对策略的成本与收益E.员工的个人意愿28.下列关于内部审计在风险管理中作用的描述，正确的有（）。A.评估风险管理流程的充分性和有效性B.评价关键风险的计量报告的准确性C.协助管理层识别和评估风险D.直接制定企业的风险应对策略E.作为第三道防线，提供独立保证29.下列属于“应用控制”的是（）。A.输入数据的校验（如数字格式、逻辑检查）B.处理控制（如批处理汇总、余额核对）C.输出控制（如分发名单控制、输出报告审核）D.数据库的备份与恢复E.机房门禁管理30.企业在建立反舞弊机制时，重点关注的内容包括（）。A.舞弊案件的举报渠道B.舞弊案件的调查、处理、报告和补救程序C.发挥审计委员会和监事会的作用D.防范管理层凌驾E.建立激励员工举报的制度三、判断题（本大题共15小题，每小题1分，共15分。请判断下列各题的正误，正确的打“√”，错误的打“×”。）31.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。（）32.只要建立了完善的内部控制制度，企业就能杜绝所有的舞弊行为和错误。（）33.风险规避策略意味着企业完全不承担任何风险，因此是所有企业应对风险的最佳策略。（）34.董事会是内部控制的核心责任主体，对内部控制的建立健全和有效实施负责。（）35.重要性原则要求企业在全面控制的基础上，关注重要业务事项和高风险领域，这并不意味着企业可以忽略一般风险。（）36.企业在进行风险识别时，不仅要关注内部风险，还需要关注外部风险，如技术进步、法律法规变化等。（）37.预算控制属于一种事前控制，不具备事后分析考核的功能。（）38.COSO2013框架认为，内部控制是一个静态的制度体系，一旦建立完成就无需改变。（）39.信息系统的一般控制适用于所有应用系统，而应用控制则针对特定的业务流程。（）40.企业对子公司的控制不属于内部控制的范畴，因为子公司是独立的法人实体。（）41.风险偏好是指企业在实现其目标过程中愿意接受的风险的广泛程度。（）42.内部控制评价报告应当报经董事会批准后对外披露或报送。（）43.绩效考评控制要求企业定期对员工的工作业绩进行考核，并将考核结果作为薪酬调整的依据，这与风险管理无关。（）44.企业应当建立突发事件应急处理机制，确保在遇到突发事件时能够及时应对，减少损失。（）45.在风险应对中，风险降低和风险分担是互斥的策略，不能同时使用。（）四、简答题（本大题共4小题，每小题5分，共20分。）46.简述COSO《内部控制——整合框架》（2013版）中内部控制的五个要素及其相互关系。47.简述企业风险管理的“三道防线”模型及其主要职能。48.简述内部控制的局限性，并举例说明管理层凌驾是如何发生的。49.简述风险识别的主要方法，请列举至少四种方法并简要说明。五、综合案例分析题（本大题共2小题，第50题15分，第51题20分，共35分。）50.A公司为一家大型制造企业，主要生产家用电子产品。近年来，随着市场竞争加剧，A公司推行了积极的扩张战略。然而，在最近的一次内部审计中，发现了以下情况：(1)公司的销售政策规定，对于赊销金额超过50万元的客户，必须经分管销售的副总经理审批。审计发现，销售经理王某为了完成业绩指标，多次将大额合同拆分成若干份小于50万元的合同，以绕过副总经理的审批，导致部分信用状况不佳的客户获得了高额赊销，形成了大量坏账。(2)公司的仓库管理混乱，原材料和成品的出入库记录经常不及时，导致财务部门核算的成本与实际库存严重不符。仓库管理员李某既负责出入库单据的录入，又拥有仓库门禁的独立管理权限。(3)公司的信息系统由IT部门自行开发和维护。近期，IT部门的一名工程师在未获得授权的情况下，私自修改了采购系统的价格参数，导致公司以高于市场的价格采购了一批原材料。要求：(1)根据上述资料，分析A公司在内部控制方面存在的主要缺陷（请结合相关要素进行分析）。（6分）(2)针对上述缺陷，请提出改进建议。（9分）51.B集团是一家跨国上市公司，业务涉及金融、房地产和制造业。为了应对日益复杂的经营环境，董事会决定加强企业风险管理。根据COSO《企业风险管理——整合框架》（2017版）及相关理论，B集团正在重新梳理其风险管理体系。在风险评估过程中，B集团识别出其房地产板块面临的主要风险之一是“宏观政策调控导致销售价格下跌”。经过分析，该风险发生的可能性为“高”，影响程度为“中等”。集团的风险偏好是“中等”，即愿意承担能够通过日常管理控制的风险，但对于可能导致重大损失的风险持规避态度。假设该风险发生的概率P=0.7，如果政策调控发生，预计将导致项目利润下降V=B集团目前考虑以下两种应对方案：方案一：加快项目周转速度，降价促销，快速回笼资金，减少政策调控后的库存积压。预计实施成本为，能将影响程度降低至=10。方案二：通过金融衍生工具对冲部分价格风险。预计实施成本为，能将风险发生的概率降低至=0.4，但影响程度不变。假设=500万元，=800万元，项目总预期利润为要求：(1)请运用风险矩阵法，判断“宏观政策调控导致销售价格下跌”这一风险在初始状态下的风险等级（高、中、低），并说明B集团应采取的基本风险应对策略类型。（5分）(2)请利用LaTex公式计算初始风险预期损失值、方案一和方案二在考虑对冲效果后的预期损失值（仅计算风险导致的利润减少额，不考虑实施成本），并结合成本效益原则，分析B集团应选择哪个方案？（计算结果保留两位小数）（10分）(3)为了确保风险管理流程的有效运行，B集团应当在“信息、沟通与报告”方面做好哪些工作？（5分）参考答案与解析一、单项选择题1.【答案】D【解析】内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。注意是“合理保证”而非“绝对保证”，且“提高经营效率和效果”是目标之一，但D选项用了“绝对保证”，这是错误的，因为内部控制存在固有局限性。2.【答案】C【解析】控制环境确立组织的基调，影响员工的控制意识。它是所有其他组成要素的基础，如果没有一个有效的控制环境，其他要素（风险评估、控制活动、信息与沟通、监督）即使设计得再完善，也难以发挥有效作用。3.【答案】B【解析】风险降低（也称风险缓解）是指企业在权衡成本效益后，采取适当的控制措施将风险降低到风险承受度之内。风险规避是放弃风险；风险分担是转嫁风险（如保险）；风险承受是接受风险。4.【答案】D【解析】不相容职务分离的核心在于避免一人包办。会计记录与稽核检查属于典型的不相容职务，必须分离。如果由同一人兼任，既记账又稽核，无法发现错误。5.【答案】C【解析】持续监督是指嵌入在企业经营日常活动中的、重复性的监督行为。例如，管理层在复核报告时进行的日常检查。A、B、D描述的是单独评价（专项评价）的特征。6.【答案】B【解析】风险管理部门（第二道防线）负责制定风险管理策略、制度和流程，协助业务部门识别风险，并进行协调。业务部门是第一道防线，直接面对风险；内部审计是第三道防线，负责评价。7.【答案】C【解析】签订长期固定价格合同，将原材料价格波动的风险转移给了供应商（或锁定了风险），这属于风险分担策略中的合同转移。虽然它也在一定程度上降低了波动，但在金融和合同领域，利用合同条款锁定风险通常归类为风险分担/转移。8.【答案】A【解析】COSOERM2017中，“治理与文化”是核心组成部分，它决定了组织的风险哲学、风险偏好和运营架构，是其他部分的基础。9.【答案】D【解析】输入数据核对控制属于应用控制，针对特定业务数据。一般控制（IT总体控制）包括数据中心运行、系统软件acquisition、维护及访问安全，适用于整个IT环境。10.【答案】C【解析】为了保持内部审计的独立性和权威性，内部审计部门应当在组织上受董事会或审计委员会领导，在职能上向其报告，行政上可向总经理报告，但核心汇报路线应是董事会或审计委员会。11.【答案】B【解析】重要性原则要求内部控制在全面覆盖的基础上，重点关注重要业务事项和高风险领域。12.【答案】A【解析】管理层拥有凌驾于内部控制之上的权力，这是内部控制最严重的局限性之一。常规控制通常无法预防管理层利用职权违规操作。13.【答案】B【解析】在常见的风险矩阵（热力图）中，横轴通常表示影响程度（Impact），纵轴表示可能性（Probability），当然也有相反的情况，但根据常规项目管理及PMBOK等标准，横轴多为影响。若题目未指定，通常理解为影响程度。14.【答案】C【解析】对于重大缺陷，企业应当及时整改，并在合理的时间内完成，同时向董事会报告。15.【答案】C【解析】诚信与道德价值观是控制环境的核心要素，它决定了企业的道德基调。16.【答案】B【解析】投资保险是将风险转嫁给保险公司，属于典型的风险分担策略。17.【答案】B【解析】编制银行存款余额调节表是为了发现已经发生的错误或舞弊，属于检查性控制。A、C、D都是在业务发生前或发生时进行的阻止性措施，属于预防性控制。18.【答案】C【解析】目标设定是事项识别、风险评估和风险应对的前提。只有先设定了目标，才能判断什么事项是风险。19.【答案】C【解析】职责分离可以降低舞弊风险，但不能“完全消除”舞弊风险。例如，两人合谋可以绕过职责分离。20.【答案】B【解析】明确授权审批范围和权限，属于授权审批控制。二、多项选择题21.【答案】ABCDE【解析】COSO2013提出了17项原则，选项A、B、C、D属于控制环境的原则，选项E属于风险评估的原则。22.【答案】ABCD【解析】内部控制的固有局限性包括：在决策过程中人为判断可能出现错误（A）；人为失误可能导致内部控制失效（A）；管理层凌驾（B）；串通舞弊（C）；成本效益原则（D）；外部环境变化可能导致控制不适用。E选项“外部环境变化”本身不是局限性的定义，而是导致局限性的原因之一，但通常教材列举的局限性主要指A、B、C、D。如果严格按教材，ABCD是标准答案。有些教材也会提到“资源限制”。E选项表述不够准确。23.【答案】ABCD【解析】风险评估流程包括：目标设定、风险识别、风险分析（包括可能性和影响）、风险应对。E属于监督环节。24.【答案】ABCDE【解析】常见的控制活动包括：不相容职务分离、授权审批、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。25.【答案】ABCE【解析】有效的信息与沟通系统需要获取内外部信息（A），及时传递（B），向外部提供（C），以及建立反舞弊机制（E）。D选项“必须经过严格加密”过于绝对，并非所有信息都需要加密，且加密是安全措施的一部分，不是沟通系统的全部特征。26.【答案】ABCDE【解析】企业应当根据经营规模、业务性质、行业特点、经营环境和风险状况等，设计并运行适合自身的内部控制。27.【答案】ABCD【解析】风险应对策略的选择应基于风险分析结果（可能性、影响）、风险偏好、风险承受度以及成本效益原则。E选项员工个人意愿不是决策依据。28.【答案】ABCE【解析】内部审计的职责是评估、评价、协助，而不是“直接制定”策略（D），制定策略是管理层的职责。29.【答案】ABC【解析】应用控制直接针对业务数据，包括输入、处理、输出控制。D、E属于一般控制（IT总体控制）。30.【答案】ABCDE【解析】建立反舞弊机制需要关注：举报渠道（A）、调查处理程序（B）、审计委员会和监事会作用（C）、防范管理层凌驾（D）、激励举报（E）。三、判断题31.【答案】√【解析】符合《企业内部控制基本规范》对内部控制的定义。32.【答案】×【解析】内部控制只能提供“合理保证”，由于存在固有局限性（如串通、管理层凌驾等），无法杜绝所有舞弊和错误。33.【答案】×【解析】风险规避意味着退出或避免风险，但这并不意味着不承担任何风险。过度规避可能导致企业错失商业机会，并非最佳策略。34.【答案】√【解析】董事会对内部控制的建立健全和有效实施负责。35.【答案】√【解析】重要性原则强调抓重点，但全面性是基础，不能忽略一般风险，只是资源分配上有所侧重。36.【答案】√【解析】风险识别需要全面，既包括内部风险（如财务、运营），也包括外部风险（如法律、技术、市场）。37.【答案】×【解析】预算控制不仅包含事前的编制和审批，还包含事中的执行监控和事后的分析考核，是一个全过程控制。38.【答案】×【解析】COSO2013明确指出，内部控制是一个动态的过程，随着企业内外部环境的变化而变化。39.【答案】√【解析】这是IT控制的标准分类。一般控制保障IT环境安全，应用控制保障业务数据准确。40.【答案】×【解析】企业对子公司的控制属于内部控制范畴。虽然子公司是独立法人，但母公司作为投资者，通过治理结构和管控手段对子公司实施控制，这是集团内部控制的重要组成部分。41.【答案】√【解析】风险偏好反映了企业在追求价值过程中愿意接受的风险的数量和性质。42.【答案】√【解析】内部控制评价报告需经董事会批准后对外披露或报送。43.【答案】×【解析】绩效考评控制与风险管理密切相关。如果考核指标设置不合理（如仅重收入不重风险），会诱导员工承担过高风险，因此它是控制环境的重要组成部分。44.【答案】√【解析】建立突发事件应急处理机制是内部控制中“突发事件处理”的要求。45.【答案】×【解析】风险降低和风险分担可以结合使用。例如，企业既加强内部控制降低风险，又购买保险分担剩余风险。四、简答题46.【答案】COSO《内部控制——整合框架》（2013版）提出的五个要素包括：(1)控制环境：确立组织的基调，影响员工的控制意识。包括诚信、道德价值观、组织结构、权责分配等。(2)风险评估：识别和分析实现目标过程中的风险，为确定如何管理风险奠定基础。(3)控制活动：根据风险评估结果，采取必要的控制措施，将风险控制在可承受度之内。如审批、核对、职责分离等。(4)信息与沟通：获取、处理和传递与内部控制相关的信息，确保信息在企业内部、外部之间有效沟通。(5)监督：对内部控制体系建立和实施情况进行监控，评价其有效性，必要时加以改进。相互关系：这五个要素相互关联、有机结合，共同构成了内部控制体系。控制环境是基础，风险评估是依据，控制活动是手段，信息与沟通是载体，监督是保障。它们贯穿于企业的各个层级和业务流程。47.【答案】风险管理的“三道防线”模型包括：(1)第一道防线：业务部门。主要职能：作为风险的直接承担者和管理者，负责在其日常业务经营中识别、评估、应对和监控风险。他们拥有最直接的风险信息，是风险管理的第一责任人。(2)第二道防线：风险管理部门及合规部门。主要职能：负责制定风险管理策略、政策和流程；协助业务部门进行风险识别和评估；监控风险限额的执行；向管理层报告风险状况；协调各部门的风险管理工作。(3)第三道防线：内部审计部门。主要职能：以独立、客观的视角，对风险管理体系及第一、二道防线的工作进行评价和鉴证；评估内部控制的有效性；直接向董事会或审计委员会报告，确保风险管理体系的充分性和有效性。48.【答案】内部控制的局限性：(1)人为判断失误：内部控制的设计和执行依赖于人的判断，判断失误可能导致控制失效。(2)人为错误或疏忽：员工在执行控制时可能因疲劳、分心等产生无意的错误。(3)串通舞弊：两名或多名员工相互串通，或员工与外部第三方串通，可以规避不相容职务分离等控制。(4)管理层凌驾：管理层利用职权越过既定的控制程序，这通常是最难防范的风险。(5)成本效益约束：实施控制的成本不能超过由此带来的收益，因此对于一些小概率风险，企业可能不设置控制。(6)环境变化：外部环境或业务性质发生变化，原有控制可能不再适用。管理层凌驾举例：例如，企业规定超过一定金额的支出需经董事会审批，但总经理为了隐瞒关联交易损失，授意财务人员将支出拆分为多笔小额支出，利用其签字权限直接批准，从而绕过了董事会的审批控制。这就是典型的管理层凌驾。49.【答案】风险识别的主要方法包括：(1)头脑风暴法：召集相关专家、管理人员和员工，在无拘无束的氛围中畅所欲言，集思广益，识别潜在风险。(2)德尔菲法（专家调查法）：采用背对背的通信方式征询专家意见，经过多轮反馈，使专家意见趋于一致，从而识别风险。(3)流程图分析法：通过绘制业务流程图，对每个环节进行分析，识别流程中可能存在的断点、瓶颈或错误风险。(4)SWOT分析法：通过分析企业的优势、劣势、机会和威胁，识别内部和外部风险。(5)财务报表分析法：通过对资产负债表、利润表等财务数据的比率分析、趋势分析，识别财务风险。(6)案例分析法：通过分析本企业或同行业历史发生的风险事件，总结经验教训，识别类似风险。(7)检查表法：利用事先编制的风险检查清单，逐项核对，识别当前业务中存在的风险。五、综合案例分析题50.【答案】(1)A公司存在的内部控制缺陷分析：①控制活动缺陷——授权审批控制失效。销售经理王某通过拆分合同金额绕过副总经理审批，说明公司缺乏对大额业务总额的监控，授权审批控制存在漏洞，且缺乏对业务执行过程的有效监督。②控制活动缺陷——不相容职务未分离。仓库管理员李某既负责单据录入（会计记录相关职能）又负责门禁管理（资产保管职能），属于不相容职务，容易发生资产盗窃或账实不符而掩盖错误的情况。③控制环境与控制活动缺陷——IT系统访问控制薄弱。IT工程师能私自修改系统核心参数，说明IT系统的一般控制（特别是权限管理和变更管理）存在严重缺陷，且缺乏必要的职责分离（开发与维护/操作未分离）。④监督缺陷。内部审计是在事后才发现这些问题，说明日常监督（持续监督）未能有效运行，未能及时发现违规操作和系统异常。(2)改进建议：①优化销售授权审批制度。建立客户信用额度动态管理机制，不仅控制单笔合同金额，还应控制客户累计赊销余额。对于大额销售，即使拆分也应触发系统预警或强制要求更高级别审批。②严格执行不相容职务分离。重新设计仓库岗位，将仓库门禁管理、实物保管与台账记录职责分离。例如，由安保人员管理门禁，仓管员负责实物，财务人员负责记录，定期进行三方盘点核对。③加强IT一般控制。实施严格的权限管理，遵循“最小权限原则”。关键系统参数的修改必须经过授权审批，并保留不可删除的审计日志。将系统开发、维护与操作岗位分离。④强化持续监督机制