《内部控制与风险管理》试题与答案二

《内部控制与风险管理》试题与答案二一、单项选择题（本大题共20小题，每小题1.5分，共30分）1.在COSO整合框架中，内部控制的五个要素相互关联，其中被视为其他所有要素基础的是（）。A.风险评估B.控制活动C.控制环境D.信息与沟通2.下列关于风险管理的表述中，错误的是（）。A.风险管理是一个过程，它持续地并贯穿于一个实体的所有业务中B.风险管理受到企业董事会、管理层和其他人员的影响C.风险管理旨在识别一旦发生将会影响企业的潜在事件，并管理风险处于风险容量之内D.风险管理能够绝对保证企业目标的实现3.某公司采购部门负责采购审批、供应商选择以及付款审核，这种做法违反了内部控制的（）。A.不相容职务分离控制原则B.授权审批控制原则C.会计系统控制原则D.财产保护控制原则4.在企业面临的风险中，由于市场价格波动、利率变化或汇率调整导致资产价值下降的风险属于（）。A.运营风险B.法律风险C.财务风险D.战略风险5.下列控制措施属于“预防性控制”的是（）。A.定期进行银行存款余额调节表编制B.仓库管理员定期进行存货盘点C.采购订单必须经过采购经理审批D.对赊销客户进行信用额度控制6.下列关于内部审计部门职责的描述中，最恰当的是（）。A.内部审计部门应当负责制定并执行内部控制制度B.内部审计部门应当负责财务报表的编制C.内部审计部门应当对内部控制的有效性进行监督检查D.内部审计部门应当直接负责日常经营活动的决策7.风险评估的第一步是（）。A.风险分析B.风险应对C.目标设定D.风险识别8.当企业面临的风险无法通过转移或降低来有效管理时，且该风险发生的概率极低但影响巨大，企业通常采取的策略是（）。A.风险规避B.风险降低C.风险分担D.风险承受9.有效的控制环境通常不包括以下哪项特征？（）A.诚信和道德价值观B.董事会和审计委员会的监督C.组织结构的僵化与缺乏适应性D.胜任能力与承诺10.在信息技术一般控制中，关于“访问控制”的描述，错误的是（）。A.确保只有经过授权的人员才能访问系统和数据B.应当定期审查和更新用户权限C.为方便工作，所有员工应共享同一个超级管理员账号D.应当建立账号创建、变更和删除的审批流程11.某企业为应对原材料价格波动风险，与供应商签订了长期固定价格合同。这种风险应对策略属于（）。A.风险规避B.风险分担C.风险降低D.风险承受12.穿行测试是了解和测试内部控制的一种常用方法，其主要目的是（）。A.检查内部控制是否得到一贯执行B.评估内部控制设计的合理性C.确定内部控制的缺陷D.量化控制风险13.根据COSO框架，管理层在内部控制中的责任是（）。A.设计、实施和监控内部控制B.对内部控制的外部审计C.最终承担内部控制的全部责任D.只需关注财务报告内部控制14.下列哪项不属于控制活动中的“实物控制”？（）A.限制对资产和记录的物理接触B.定期盘点存货并与记录核对C.建立资产投保制度D.对大额交易进行集体决策15.企业在建立风险预警机制时，需要设定风险预警指标。关于定性指标与定量指标的结合，下列说法正确的是（）。A.应完全依赖定量指标，因为数据客观B.应完全依赖定性指标，因为经验重要C.应将两者结合，定量指标用于量化风险程度，定性指标用于补充说明风险性质D.定性指标在预警机制中毫无意义16.下列关于“职责分离”的表述中，正确的是（）。A.某项交易的执行、记录和保管可以由同一人负责，以提高效率B.资产的保管人员应兼任资产会计记录工作C.经济业务的审批人员应兼任该业务的执行人员D.信息系统开发人员不应兼任操作人员17.在风险矩阵图中，横轴通常代表（）。A.风险发生的可能性B.风险发生后的影响程度C.风险的数量D.风险应对的成本18.下列关于缺陷评价的表述中，属于“重大缺陷”的是（）。A.缺陷导致的错报未达到财务报表重要性水平B.缺乏合理控制导致企业无法及时防止或发现并纠正财务报表中的重大错报C.存在少数员工违反公司报销制度的行为D.存货盘点偶尔出现小额误差19.企业在进行风险管理时，应遵循成本效益原则。下列做法不符合该原则的是（）。A.为防范10万元的风险，投入100万元的控制系统B.在控制效果相同的情况下，选择成本较低的方案C.对于发生概率极低且影响微小的风险，不采取专门控制措施D.定期评估控制成本与收益，优化资源配置20.下列哪项属于“应用控制”？（）A.数据中心的环境控制B.操作系统的访问权限管理C.业务数据的输入校验（如字段格式检查）D.程序开发与变更的版本控制二、多项选择题（本大题共10小题，每小题2分，共20分。多选、少选、错选均不得分）1.下列属于COSO风险管理框架“八要素”的有（）。A.内部环境B.目标设定C.事项识别D.风险评估E.监控2.常见的风险识别方法包括（）。A.流程图分析法B.头脑风暴法C.德尔菲法D.财务报表分析法E.SWOT分析法3.有效的信息与沟通系统应当具备的特征包括（）。A.能够获取内部和外部信息B.信息在组织内部及时传递C.信息必须经过严格加密，导致获取困难D.建立举报机制，方便举报舞弊行为E.信息系统与战略目标保持一致4.下列各项中，属于“管理层凌驾于控制之上”风险表现的有（）。A.管理层擅自更改会计分录B.管理层在未授权的情况下进行大额关联方交易C.管理层故意隐瞒重大坏账损失D.员工无意中造成的计算错误E.系统偶尔出现的逻辑故障5.企业在制定风险应对策略时，需要考虑的因素包括（）。A.风险发生的可能性和影响程度B.企业的风险偏好C.风险应对的成本D.法律法规的强制性要求E.机会成本6.下列关于控制缺陷的整改，说法正确的有（）。A.对于一般缺陷，可以口头通知管理层整改B.对于重要缺陷，应书面向管理层和董事会报告C.对于重大缺陷，必须立即采取补救措施D.整改后无需再次测试E.整改责任应落实到具体部门和个人7.下列属于“运营风险”的具体表现有（）。A.生产流程中断B.关键技术人员流失C.产品质量不合格导致召回D.原材料供应短缺E.利率上升导致财务费用增加8.下列关于“业务流程层面”内部控制的说法，正确的有（）。A.它关注的是具体的业务活动B.它是公司层面控制的具体落实C.各业务流程之间是孤立的，无需关联D.常见的流程包括销售与收款、采购与付款等E.流程控制应关注关键风险点9.有效的绩效考评控制应当（）。A.设定清晰的考核指标B.考核结果与薪酬挂钩C.防止管理层为了达成指标而进行舞弊D.仅关注财务指标，忽略非财务指标E.定期评估考核体系的有效性10.下列关于“资产安全”目标的说法，正确的有（）。A.防止资产被挪用或盗窃B.确保资产记录的准确性C.资产包括实物资产和无形资产D.资产安全比经营效率更重要E.限制未经授权的人员接触资产三、判断题（本大题共15小题，每小题1分，共15分。正确的打“√”，错误的打“×”）1.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。（）2.只要建立了完善的内部控制制度，就能完全杜绝企业内部的舞弊行为。（）3.风险承受策略通常适用于那些发生概率极低、影响程度较小，或者应对成本高于潜在损失的风险。（）4.董事会对内部控制负有最终责任，必须确保内部控制体系的有效运行。（）5.在进行内部控制评价时，如果发现控制缺陷，无论严重程度如何，都必须对外披露。（）6.企业在建立和实施内部控制时，应当全面权衡成本与效益，以适当的成本实现有效控制。（）7.风险识别是一个静态的过程，只需要在企业成立时进行一次即可。（）8.不相容职务分离的核心是内部牵制，即一项业务由多人分工负责，相互制约。（）9.预算控制属于一种事后控制，主要用于考核实际业绩与预算的差异。（）10.企业应当设立专门的投诉举报渠道，并对举报人的信息严格保密，防止打击报复。（）11.在风险应对中，风险分担仅包括购买保险这一种方式。（）12.信息系统的一般控制（ITGC）主要影响应用控制的有效性，一般控制薄弱会导致应用控制失效。（）13.企业在招聘关键岗位人员时，只需考察其专业技能，无需关注其诚信记录和道德价值观。（）14.当环境发生重大变化时，企业应当及时对内部控制进行重新评价和调整。（）15.内部控制自我评价报告必须由会计师事务所出具审计意见后才能对外报送。（）四、简答题（本大题共5小题，每小题6分，共30分）1.简述COSO框架中“控制环境”包含的主要内容。2.简述风险管理的基本流程。3.简述不相容职务分离的基本原理，并列举采购与付款循环中至少三组应当分离的不相容职务。4.简述内部控制评价中，一般缺陷、重要缺陷和重大缺陷的认定标准。5.简述信息技术对企业内部控制产生的双重影响。五、综合案例分析题（本大题共3小题，每小题15分，共45分）案例一：A公司为一家大型制造业企业，近年来业务规模迅速扩张。由于管理层过于关注市场份额和销售额，忽视了内部控制建设。近期，公司内部发生了一系列问题：1.采购部经理李明不仅负责供应商的选择和定价谈判，还负责采购合同的审批以及最终验收单的签字确认。2.为了应对年底的业绩考核压力，销售部经理在未经过信用管理部门审核的情况下，擅自向一家信用记录不良的公司赊销了价值500万元的产品。3.公司仓库保管员王五利用职务之便，多次将仓库内的紧缺贵重原材料偷运出厂变卖，直到年底大盘点时才发现账实不符，损失达200万元。4.公司的财务软件系统由信息部自行开发和维护，且信息部人员拥有财务数据的修改权限，无需财务部授权即可直接调整账务数据。要求：(1)根据上述资料，分析A公司在内部控制方面存在的主要缺陷（至少指出四点）。(2)针对上述缺陷，请提出改进建议。案例二：B公司是一家从事高科技产品研发的企业。为了激励研发人员，公司制定了高额的奖金制度，奖金直接与新产品上市数量挂钩。然而，这一政策导致了严重的后果：研发部门为了追求“数量”，忽视了产品质量和市场需求。许多新产品在未经过充分的测试和严格的市场调研后就匆忙上市，导致产品返修率极高，客户投诉激增，公司品牌形象受损。同时，研发人员为了抢占进度，经常绕过既定的研发审批流程，自行修改设计方案，导致技术文档混乱，后续维护困难。此外，公司董事会下设的审计委员会主要由缺乏技术背景的独立董事组成，审计委员会很少关注研发领域的风险，认为那是技术部门的事。内部审计部门也主要精力放在财务收支审计上，从未对研发流程进行过审计。要求：(1)从风险管理和内部控制的角度，分析B公司研发环节存在的问题。(2)针对B公司的现状，说明“控制环境”和“监督活动”要素在该公司存在哪些缺失。(3)请为B公司设计一套针对研发环节的关键控制措施。案例三：C集团是一家跨国企业，面临复杂的外部环境。2023年，集团决定拓展海外市场，收购一家位于欧洲的电子元器件企业E公司。在收购前的尽职调查中，C集团发现E公司存在一项未决的环境污染诉讼，可能面临巨额赔偿。C集团管理层认为E公司的技术非常有价值，且诉讼胜诉概率较大，于是决定继续收购。收购完成后，欧洲出台了更为严格的环保法规，导致E公司的生产线必须进行大规模技术改造，成本远超预期。同时，由于汇率波动，C集团在换算合并报表时产生了巨额汇兑损失。此外，C集团在整合过程中，未能妥善处理与E公司工会的关系，导致罢工频发，生产停滞。要求：(1)识别C集团在海外并购过程中面临的各类风险（请分类说明）。(2)分析C集团在风险管理中的失误。(3)结合全面风险管理理念，阐述企业应如何构建有效的风险预警和应对机制。六、计算分析题（本大题共1小题，共20分）D公司正在考虑投资一条新的生产线。该项目的初始投资额为1000万元。预计未来5年每年的现金净流量受市场需求影响较大。经过风险评估，市场可能出现三种情况：1.繁荣：概率为0.3，每年现金净流量为400万元。2.正常：概率为0.5，每年现金净流量为300万元。3.萧条：概率为0.2，每年现金净流量为100万元。假设该项目的必要报酬率为10%，无风险利率为5%。公司管理层希望了解该项目的风险情况，并考虑是否购买一份保险，该保险能在市场萧条时补偿公司200万元的损失（注：该补偿仅在现金流为100万元时生效），保险费为每年15万元（在每年年初支付，共5年）。要求：(1)计算该项目未购买保险时的预期年现金净流量。(2)计算该项目未购买保险时的净现值（NPV）。（计算结果保留两位小数）(3)计算购买保险后的预期年现金净流量（需扣除保险费，并考虑保险赔付）。(4)计算购买保险后的净现值（NPV）。(5)基于计算结果，利用风险应对理论，分析D公司是否应该购买该保险。参考答案与解析一、单项选择题1.【答案】C【解析】控制环境确立组织的基调，影响员工的控制意识，是其他所有内部控制要素的基础。2.【答案】D【解析】内部控制和风险管理提供的是合理保证，而非绝对保证。由于内部控制的固有局限性（如人为错误、串通舞弊、成本效益权衡等），无法绝对保证目标的实现。3.【答案】A【解析】采购审批、供应商选择、付款审核属于不相容职务。采购部门既负责采购又负责付款审核，容易导致舞弊，违反了不相容职务分离原则。4.【答案】C【解析】市场价格、利率、汇率波动导致资产价值下降或收益减少，属于市场风险，通常归类于财务风险。5.【答案】D【解析】预防性控制旨在防止错误和舞弊的发生。信用额度控制是在销售发生前进行的，旨在防止坏账发生，属于预防性控制。A、B属于检查性/发现性控制，C属于预防性控制但更侧重于流程审批，D也是预防性且侧重于风险源头控制。严格来说，C和D都是预防性，但D通常被视为更具体的信用风险控制措施。在标准教材中，审批、验证资格均为预防性。此处D选项“对赊销客户进行信用额度控制”是典型的销售环节预防性控制。C选项对采购订单审批也是预防性。若单选，D更侧重于风险控制的具体手段。注：本题中C和D均为预防性，但C侧重操作流程，D侧重风险指标。通常题目会设置干扰项。若必须选一个最典型的，D涉及风险模型的运用，更具代表性。但根据常规题库，审批也是预防性。此题若为单选，D更佳。或者理解为C是必须的常规操作，D是额外的风险控制。在此选定D。6.【答案】C【解析】内部审计的职责是独立监督和评价内部控制的有效性，不负责制定和执行（那是管理层的责任），也不负责编制报表（财务部责任）或经营决策（管理层责任）。7.【答案】D【解析】风险评估的顺序是：目标设定->风险识别->风险分析（包括可能性和影响）->风险应对。8.【答案】D【解析】风险承受（保留）是指企业接受风险，不采取任何措施改变可能性或影响。通常适用于发生概率低、影响小，或应对成本高于风险损失的情况。9.【答案】C【解析】控制环境包括诚信原则、董事会监督、组织结构等。组织结构应当是权责分明的，而不是僵化且缺乏适应性。僵化是控制环境的弱点。10.【答案】C【解析】共享超级管理员账号严重违反了访问控制原则，无法追踪操作痕迹，存在极大安全隐患。11.【答案】B【解析】签订长期固定价格合同，将价格波动的风险转移给了供应商，属于风险分担（利用合同工具转移风险）。12.【答案】B【解析】穿行测试通常在了解和初步测试阶段使用，通过追踪交易在财务系统中的处理流程，来验证内部控制设计的合理性和执行情况。13.【答案】A【解析】管理层负责设计、实施和监控内部控制；董事会负责监督；管理层对CEO负责，董事会承担最终责任。选项A描述了管理层的具体职责。14.【答案】D【解析】实物控制主要涉及资产的安全。包括限制接触、盘点、投保等。大额交易集体决策属于授权审批控制或运营控制，不属于实物控制。15.【答案】C【解析】定量指标（如财务比率）和定性指标（如员工士气、声誉）各有优劣，结合使用能更全面地反映风险状况。16.【答案】D【解析】不相容职务分离要求：执行、记录、保管、授权等职责分离。D选项中开发人员兼任操作人员可能导致自行修改程序作弊，必须分离。17.【答案】A【解析】风险矩阵通常横轴表示可能性（概率），纵轴表示影响程度。也有反过来表示的，但通常横轴是可能性。18.【答案】B【解析】重大缺陷是指一个或多个控制缺陷的组合，导致企业无法及时防止或发现并纠正年度财务报表中的重大错报。19.【答案】A【解析】成本效益原则要求控制成本不应超过风险带来的损失或控制带来的收益。投入100万防范10万风险违反了该原则。20.【答案】C【解析】应用控制直接作用于具体的应用程序和数据，如输入校验、逻辑检查等。A、B、D均属于信息技术一般控制（ITGC）。二、多项选择题1.【答案】ABCDE【解析】COSO风险管理框架（ERM）包含八个要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。2.【答案】ABCDE【解析】流程图、头脑风暴、德尔菲、财务报表分析、SWOT分析均为常用的风险识别工具。3.【答案】ABDE【解析】信息与沟通系统应保证信息获取、传递及时、安全（但安全不应导致获取困难，C错误）、建立举报机制等。4.【答案】ABC【解析】管理层凌驾于控制之上是特指管理层利用职权绕过或干预内部控制的行为。D属于员工过失，E属于系统故障。5.【答案】ABCDE【解析】制定风险应对策略需综合考虑风险特征（可能性、影响）、风险偏好、成本效益、法律合规及机会成本等因素。6.【答案】ABCE【解析】整改后必须再次测试以验证有效性，故D错误。7.【答案】ABCD【解析】运营风险涉及内部流程、人员、系统或外部事件导致的运营损失。利率上升属于财务风险（市场风险），故E错误。8.【答案】ABDE【解析】业务流程层面的控制关注具体活动，是公司层面控制的落实，各流程间存在接口，并非孤立，故C错误。9.【答案】ABCE【解析】绩效考评应平衡财务与非财务指标（如平衡计分卡），仅关注财务指标可能导致短视行为，故D错误。10.【答案】ABCE【解析】资产安全目标包括防挪用、记录准确、含无形资产、限制接触。D选项“资产安全比经营效率更重要”是错误的，不同目标应平衡，不存在绝对优先级。三、判断题1.【答案】√2.【答案】×【解析】内部控制存在固有局限性，只能提供合理保证，不能完全杜绝舞弊。3.【答案】√4.【答案】√5.【答案】×【解析】只有重要缺陷和重大缺陷才需要对外披露（通常在年报或内控审计报告中），一般缺陷通常只需内部整改。6.【答案】√7.【答案】×【解析】风险识别是持续的、动态的过程，贯穿企业始终。8.【答案】√9.【答案】×【解析】预算控制包括事前编制、事中控制（差异分析调整）和事后考核，不仅仅是事后控制。10.【答案】√11.【答案】×【解析】风险分担还包括利用金融衍生工具、外包、联盟等多种方式，保险只是其中一种。12.【答案】√13.【答案】×【解析】诚信和道德价值观是控制环境的核心，招聘关键岗位必须考察诚信。14.【答案】√15.【答案】×【解析】内控自评报告由董事会或类似机构对外发布，会计师事务所出具的是审计意见，两者独立但相关。四、简答题1.【答案】COSO框架中“控制环境”的主要内容包括：(1)诚信原则和道德价值观；(2)胜任能力（员工具备完成工作所需的知识和技能）；(3)董事会或审计委员会的监督；(4)管理哲学和经营风格；(5)组织结构（权责分配）；(6)职责分配与授权；(7)人力资源政策与实务。2.【答案】风险管理的基本流程包括：(1)收集风险管理初始信息；(2)进行风险评估（包括风险识别、风险分析和风险评价）；(3)制定风险管理策略；(4)提出和实施风险管理解决方案；(5)风险管理的监督与改进。3.【答案】不相容职务分离的基本原理：如果一项经济业务由一个人独立处理，既容易发生错误又容易发生舞弊，必须将其分解为若干环节，分由不同人员分别掌管，形成相互制约、相互监督的机制。采购与付款循环中应当分离的职务：(1)采购审批与采购执行（供应商选择）；(2)采购执行与验收（采购员不得兼任验收员）；(3)付款审批与付款执行；(4)采购执行与会计记录（采购员不得兼任记账员）；(5)付款执行与会计记录。4.【答案】(1)重大缺陷：指一个或多个控制缺陷的组合，可能导致企业无法及时防止、发现并纠正财务报表中的重大错报。(2)重要缺陷：指其严重程度低于重大缺陷，但足以导致企业无法及时防止、发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报。(3)一般缺陷：指除重大缺陷和重要缺陷之外的其他缺陷。5.【答案】信息技术对内部控制的双重影响：正面影响：(1)提高了信息处理的效率和准确性，减少了人为错误；(2)增强了信息传递的及时性和便捷性；(3)能够实施更复杂的监控程序（如系统自动预警）；(4)有助于职责分离的自动化实现。负面影响：(1)增加了新的风险，如系统崩溃、数据丢失、网络安全威胁；(2)可能导致管理层过度依赖系统，忽视基本的监督；(3)系统的复杂性可能带来未被发现的逻辑错误；(4)信息系统开发与维护中的舞弊风险更高且更隐蔽。五、综合案例分析题案例一：(1)A公司存在的缺陷：①不相容职务未分离。采购部经理负责供应商选择、定价、合同审批及验收，集采购执行与审批、验收于一身，极易产生舞弊（如吃回扣、以次充好）。②销售环节信用控制缺失。销售经理绕过信用管理部门擅自赊销，违反了授权审批控制，导致坏账风险。③资产安全控制失效。仓库保管员利用职务之便盗窃资产，说明缺乏适当的实物控制（如限制接触、盘点监督）。④信息系统一般控制薄弱。信息部人员拥有财务数据修改权限，且开发与运维未分离，严重威胁财务数据的完整性和真实性。(2)改进建议：①建立采购与付款循环的职责分离制度。设立独立的采购部门、验收部门和付款审批部门。供应商选择和定价应由采购委员会或独立专员负责，验收由独立的仓储部门负责。②加强销售与收款循环的信用控制。严格执行“销售审批”与“信用审核”分离，信用额度必须经信用管理部门批准后方可发货。③强化资产实物控制。安装监控设备，限制非授权人员进入仓库，实施定期和不定期的突击盘点，并实行轮岗制度。④加强信息系统控制。实行系统开发与运维职责分离，信息部人员不应拥有直接修改财务数据的权限。所有数据修改必须经过授权并在日志中留痕，由财务部负责申请。案例二：(1)存在问题：①战略目标设定与激励机制不匹配。仅考核“上市数量”导致忽视质量和市场，引发产品责任风险和声誉风险。②缺乏关键控制活动。研发流程绕过审批，缺乏技术评审和市场测试环节。③风险意识淡薄。管理层为了短期业绩牺牲长期利益。(2)控制环境与监督活动的缺失：控制环境缺失：①管理哲学和经营风格存在偏差，过分追求短期业绩。②人力资源政策不合理，奖金制度导向错误。③董事会及审计委员会缺乏专业胜任能力（缺乏技术背景），无法有效监督管理层。监督活动缺失：①内部审计范围狭窄，未覆盖高风险的研发领域，缺乏对研发流程的独立评价。②缺乏对研发活动的日常监控和反馈机制。(3)针对研发环节的关键控制措施：①优化绩效考核体系。引入平衡计分卡，将产品质量、客户满意度、研发合规性纳入考核指标。②建立严格的研发项目立项与审批流程。设立跨部门的技术委员会，对设计方案、可行性进行评审。③实施阶段性测试与评审。在研发的不同阶段（如原型、样机）进行严格的质量测试和文档审核。④加强研发文档管理。建立版本控制系统，确保技术文档的完整性和可追溯性。⑤强化内部审计。定期对研发流程的合规性、资金使用情况进行审计。案例三：(1)面临的风险