《内部控制与风险管理》案例讨论参考答案

《内部控制与风险管理》案例讨论参考答案一、单项选择题（本大题共15小题，每小题2分，共30分）1.在COSO整合框架中，被认为是内部控制其他要素基础，并决定企业基调的要素是（）。A.风险评估B.控制活动C.控制环境D.信息与沟通2.下列不属于企业内部控制的固有局限性的是（）。A.人员判断失误B.管理层凌驾于控制之上C.成本效益原则的约束D.信息技术的一般控制失效3.某公司规定，采购人员负责签订采购合同，验收人员负责验收货物，会计人员负责记录应付账款。这体现了内部控制的（）。A.不相容职务分离控制B.授权审批控制C.会计系统控制D.财产保护控制D.监督4.在风险管理流程中，企业需要识别和分析实现其目标过程中可能遇到的风险。下列关于风险应对策略的表述中，错误的是（）。A.对于发生概率高且影响重大的风险，通常选择风险规避B.对于发生概率低且影响轻微的风险，通常选择风险接受C.对于超出企业风险承受能力的风险，应选择风险分担D.风险降低是通过采取内部控制措施来降低风险的可能性或影响5.审计委员会在内部控制中的职责不包括（）。A.监督财务报告流程B.评价内部控制的有效性C.编制内部控制手册D.协调内部审计与外部审计6.下列关于控制环境的表述中，不正确的是（）。A.控制环境包括治理结构、机构设置、权责分配等B.控制环境决定了企业的风险偏好C.控制环境一旦建立，就无需随着外部环境的变化而调整D.诚信和道德价值观是控制环境的核心7.某企业为了应对原材料价格波动风险，与供应商签订了长期固定价格合同。这种风险应对策略属于（）。A.风险规避B.风险降低C.风险分担D.风险承受8.在信息系统一般控制中，关注的是（）。A.特定应用软件的输入、处理和输出控制B.数据中心运行管理、系统软件管理、访问安全C.交易数据的准确性D.业务流程的审批权限9.根据COSO框架，信息与沟通要素要求企业必须（）。A.建立完善的财务报告系统B.识别和获取相关信息，并在适当时间内传递给相关人员C.定期进行内部控制自我评价D.设立独立的内部审计部门10.管理层凌驾于控制之上是内部控制失效的重要原因。为了防范此类风险，企业应重点加强（）。A.在董事会下设审计委员会，并强化其独立监督职能B.增加会计人员的数量C.购买更多的保险D.提高员工的薪酬待遇11.风险评估的基础是（）。A.设定目标B.风险识别C.风险分析D.风险应对12.下列各项中，属于应用控制的是（）。A.对计算机机房物理访问的限制B.程序开发与变更的版本管理C.输入数据时的格式校验和逻辑检查D.系统灾难恢复计划的制定13.企业在识别风险时，不仅要关注内部风险，还要关注外部风险。下列属于外部风险的是（）。A.员工素质和技能不足B.新技术引进导致的生产流程中断C.宏观经济政策调整D.财务报告系统存在漏洞14.内部审计部门对内部控制的监督属于（）。A.持续性监督B.单独评价C.缺陷整改D.风险评估15.关于控制活动的类型，下列说法正确的是（）。A.绩效考评属于预防性控制B.实物资产盘点属于发现性控制C.授权审批通常属于纠正性控制D.会计系统控制主要用于防止舞弊二、多项选择题（本大题共10小题，每小题3分，共30分。多选、少选、错选均不得分）1.COSO《内部控制——整合框架》提出的内部控制目标包括（）。A.战略目标B.经营目标C.报告目标D.合规目标E.资产安全目标2.有效的内部控制应当遵循的原则包括（）。A.全面性原则B.重要性原则C.制衡性原则D.适应性原则E.成本效益原则3.常见的不相容职务包括（）。A.授权批准与业务经办B.业务经办与会计记录C.会计记录与稽核检查D.业务经办与财产保管E.财产保管与财产清查4.风险评估流程的主要步骤包括（）。A.目标设定B.风险识别C.风险分析D.风险应对E.风险监控5.下列属于内部控制缺陷认定标准的有（）。A.财务报告内部控制缺陷B.非财务报告内部控制缺陷C.设计缺陷D.运行缺陷E.重大缺陷6.企业进行风险分析时，通常需要考虑（）。A.风险发生的可能性B.风险发生后可能产生的影响程度C.风险的历史数据D.风险来源的内外部因素E.风险管理成本7.信息系统中的一般控制主要包括（）。A.数据中心运行管理B.系统软件管理C.访问安全D.应用系统开发与维护E.网络防火墙设置8.董事会在内部控制中的责任包括（）。A.审议并批准企业内部控制制度B.监督管理层有效执行内部控制C.获取关于内部控制有效性的报告D.评价企业战略的合理性E.直接参与日常经营管理9.下列关于内部控制的描述，符合COSO框架理念的有（）。A.内部控制是一个过程B.内部控制受人为影响C.内部控制只能提供合理的保证，而非绝对的保证D.内部控制贯穿于企业的各个层级和单元E.内部控制是为了实现各类目标而设计的10.企业在建立与实施内部控制时，常用的控制手段有（）。A.不相容职务分离控制B.授权审批控制C.会计系统控制D.财产保护控制E.预算控制三、判断题（本大题共10小题，每小题1分，共10分。正确的打“√”，错误的打“×”）1.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。（）2.只要建立了完善的内部控制制度，就能完全杜绝企业内部的舞弊行为。（）3.风险降低策略通常通过改变业务流程来消除风险源。（）4.审计委员会必须全部由独立董事组成，且至少有一名独立董事是会计专业人士。（）5.企业的风险偏好与企业战略密切相关，高风险偏好通常伴随着追求高回报的战略。（）6.信息系统应用控制直接作用于企业的具体业务流程，其有效性依赖于一般控制的有效性。（）7.内部控制评价报告只需报送管理层，无需对外披露。（）8.预算控制属于一种事前控制，能够有效约束成本费用的支出。（）9.当企业发生重大并购重组等事项时，应当及时对内部控制进行重新评价。（）10.重大缺陷、重要缺陷和一般缺陷的划分标准是固定的，所有企业都应采用统一的标准。（）四、简答题（本大题共4小题，每小题5分，共20分）1.简述COSO风险管理框架中“三道防线”模型的主要内容。2.简述内部控制五要素（COSO框架）之间的相互关系。3.什么是管理层凌驾？列举两种常见的防范管理层凌驾的控制措施。4.简述风险识别的主要方法。五、计算分析题（本大题共1小题，共10分）某高科技制造企业正在评估其新研发的一款智能家居产品的市场风险。经过市场调研和专家分析，该产品在上市后可能面临三种市场情景：情景一：市场需求旺盛，预计概率为0.3，预计收益为5000万元；情景二：市场需求一般，预计概率为0.5，预计收益为1000万元；情景三：市场需求低迷，预计概率为0.2，预计亏损为2000万元。要求：1.计算该项目的预期货币价值（EMV）。2.假设企业为了降低市场需求低迷的风险，考虑购买一份保险，保险费用为100万元，若市场低迷，保险公司将赔付1500万元。请计算购买保险后的预期货币价值，并分析企业是否应该购买该保险。六、综合案例分析题（本大题共1小题，共50分）案例背景：“宏图精密器械股份有限公司”（以下简称“宏图股份”）是一家专注于高端医疗器械研发、生产与销售的上市公司。近年来，随着国家对医疗健康产业投入的增加，宏图股份业务规模迅速扩张，营业收入连续三年保持30%以上的增长率。然而，随着规模的扩大，公司在内部控制与风险管理方面逐渐暴露出一系列问题，引发了监管机构和投资者的关注。2023年，公司聘请了外部咨询机构对内部控制进行全面审计，发现以下情况：1.治理结构与控制环境：公司董事长兼CEO王某是技术出身，在公司拥有绝对权威。董事会成员中，除王某外，其余多为王某的旧部或关联方人员，独立董事比例不足三分之一，且独立董事从未对董事会的提案提出过反对意见。审计委员会每年仅召开一次会议，且会议纪要显示，主要讨论的是财务报表的最终审定，从未涉及内部审计的运作情况或内部控制缺陷的整改。公司内部强调“结果导向”和“狼性文化”，员工手册中虽然规定了诚信条款，但在实际销售考核中，为了达成业绩目标，默许甚至鼓励销售人员采用回扣、虚增业绩等手段。2.采购与付款循环：公司的原材料采购业务由采购部全权负责。采购部经理李某拥有决定供应商、谈判价格、签订合同以及审批付款的权限。为了应对生产急需，李某经常口头授权先发货后补签合同。在2022年的一次突击盘点中，发现仓库中有一批价值高昂的特种金属积压严重，经查该批材料是李某从其亲属开设的公司高价采购的，且该材料并非当前生产所需型号。3.销售与收款循环：为了扩大市场份额，公司制定了激进的信用政策。销售部门拥有客户信用额度的审批权，且无需财务部门复核。部分新客户在没有任何信用记录的情况下，仅凭销售人员的口头申请即可获得高额发货。财务部门在确认收入时，仅依据出库单和销售发票，对于客户的回款情况缺乏跟踪。截至2023年底，公司应收账款账龄分析显示，账龄1-2年的应收账款占比大幅上升，坏账准备计提比例明显低于行业平均水平。4.资产管理与生产运营：公司的生产设备管理混乱。虽然建立了固定资产卡片，但定期盘点流于形式，经常出现账实不符情况。对于高价值的精密仪器，缺乏定期的维护保养记录，导致设备故障率上升，影响生产进度。此外，生产过程中的废料处理由车间主任直接联系废品回收站变卖，所得款项直接用于车间员工福利，未入公司财务账。5.信息系统与沟通：公司于2021年上线了新的ERP系统，但系统上线后，并未进行严格的用户权限管理。研发部门的核心技术人员拥有ERP系统中财务数据的查询权限和修改权限。2023年发生了一起数据泄露事件，起因是研发人员离职时带走了大量客户名单和技术参数，导致公司内控机密外泄，给竞争对手提供了可乘之机。6.内部审计与监督：内部审计部门直接向总经理王某汇报。内部审计的主要工作集中在配合外部审计机构提供凭证，很少主动开展经营审计或合规审计。在过去两年中，内审部门从未出具过关于内部控制缺陷的报告，也从未对采购和销售环节的异常情况提出过质疑。要求：1.根据COSO内部控制整合框架，分析“宏图股份”在控制环境方面存在的缺陷，并说明理由。（10分）2.针对“采购与付款循环”和“销售与收款循环”中的描述，分别指出存在的主要风险点及缺失的控制活动。（15分）3.结合“资产管理与生产运营”及“信息系统与沟通”的案例，分析该公司在控制活动和信息与沟通方面存在的问题。（10分）4.评价该公司内部审计职能的有效性，并提出改进建议。（10分）5.假设你是咨询顾问，请为“宏图股份”设计一套针对“采购环节”的内部控制优化方案。（5分）参考答案与详细解析一、单项选择题1.【答案】C【解析】控制环境确立企业的基调，影响员工的控制意识，是其他所有内部控制组成要素的基础。它包括治理结构、组织机构设置、权责分配、企业文化等。2.【答案】D【解析】内部控制的固有局限性包括：在决策过程中人为判断可能出现错误或因人为失误而导致内部控制失效；管理层凌驾于控制之上；由于串通或外部环境变化导致控制失效；以及出于成本效益原则的考虑。选项D“信息技术的一般控制失效”属于内部控制执行中的问题，而非理论上的固有局限性。3.【答案】A【解析】不相容职务分离控制要求那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务必须分离。采购、验收、记录属于典型的不相容职务。4.【答案】C【解析】风险分担（如购买保险）通常适用于那些影响程度较大但发生概率较低，或者企业无法通过内部控制完全消除，但可以通过转移给第三方来管理的风险。对于超出企业风险承受能力的风险，通常应选择“风险规避”（即停止相关业务），而不是分担。5.【答案】C【解析】编制内部控制手册通常是管理层或相关职能部门的职责，审计委员会主要负责监督、评价和协调，不直接负责制度的编制执行。6.【答案】C【解析】控制环境不是静态的，它必须随着外部环境、企业战略和业务的变化进行相应的调整，以保持其有效性。7.【答案】C【解析】通过签订合同将价格波动风险转移给供应商，属于利用合同工具进行风险分担（转移）。8.【答案】B【解析】信息系统一般控制旨在保证信息系统的安全、稳定运行，包括数据中心管理、系统软件管理、访问安全等。选项A和C属于应用控制。9.【答案】B【解析】信息与沟通要素要求企业识别、收集、处理和传递相关信息，确保信息在企业内部、企业与外部之间进行有效沟通。10.【答案】A【解析】防范管理层凌驾最有效的措施是强化治理结构的独立性，特别是发挥审计委员会的监督职能，以及对重大异常交易进行集体决策。11.【答案】A【解析】风险必须与目标相关联。设定目标是风险评估的前提和基础，只有先确立了目标，才能识别实现目标过程中的风险。12.【答案】C【解析】应用控制直接作用于业务数据，包括输入控制（如格式校验）、处理控制和输出控制。A、B、D均属于一般控制范畴。13.【答案】C【解析】宏观经济政策调整属于外部环境因素，导致外部风险。A、B、D均源于企业内部，属于内部风险。14.【答案】B【解析】内部审计部门进行的定期检查、专项审计等属于单独评价（也称个别评价），它是持续性监督的补充。15.【答案】B【解析】实物资产盘点通过核对账实来发现差异，属于典型的发现性控制。绩效考评属于预防性或纠正性控制；授权审批属于预防性控制；会计系统控制贯穿全过程。二、多项选择题1.【答案】A,B,C,D【解析】COSO框架定义的三大类目标是：战略目标、经营目标、报告目标和合规目标。资产安全目标通常被包含在经营目标中。2.【答案】A,B,C,D,E【解析】这五项均为我国《企业内部控制基本规范》明确指出的建立与实施内部控制应遵循的原则。3.【答案】A,B,C,D,E【解析】这些都是典型的不相容职务组合，旨在通过职责分离形成相互制衡。4.【答案】A,B,C,D【解析】风险评估是一个动态的循环过程，包括目标设定、风险识别、风险分析、风险应对。风险监控通常属于监督活动。5.【答案】C,D【解析】按缺陷成因分为设计缺陷和运行缺陷；按缺陷严重程度分为重大缺陷、重要缺陷和一般缺陷；按影响领域分为财务报告缺陷和非财务报告缺陷。题目问的是“认定标准”的分类维度，通常指成因和程度。6.【答案】A,B,C,D【解析】风险分析需要定性或定量地分析风险的可能性和影响，并结合历史数据和内外部环境。成本效益通常是在风险应对阶段考虑的因素。7.【答案】A,B,C,D【解析】一般控制包括数据中心管理、系统软件管理、访问安全、系统开发与维护变更管理等。E属于网络环境下的基础设施，也属于一般控制范畴，但通常归入访问安全或运行管理。8.【答案】A,B,C【解析】董事会对内部控制负责，核心职责包括审批、监督和获取报告。评价战略合理性是其治理职责的一部分，但更侧重于战略本身而非内控。E选项错误，董事会不参与日常经营。9.【答案】A,B,C,D,E【解析】这些均为COSO框架对内部控制定义的核心观点。10.【答案】A,B,C,D,E【解析】这些都是企业常用的控制活动手段。三、判断题1.【答案】√【解析】符合内部控制的定义，内部控制是全员参与的全过程管理。2.【答案】×【解析】内部控制存在固有局限性，只能提供合理的保证，无法完全杜绝舞弊。3.【答案】×【解析】消除风险源属于“风险规避”。风险降低是通过采取措施降低可能性或影响，而非完全消除。4.【答案】√【解析】这是上市公司治理准则和审计准则对审计委员会成员构成的通常要求，以保证独立性。5.【答案】√【解析】风险偏好反映了企业在追求目标过程中愿意接受的风险数量和种类，通常与战略选择直接相关。6.【答案】√【解析】一般控制是应用控制的基础，如果一般控制失效（如系统安全崩溃），应用控制也无法可靠运行。7.【答案】×【解析】上市公司需要披露年度内部控制评价报告和内部控制审计报告。8.【答案】√【解析】预算控制在事前设定了支出标准，属于事前控制的重要手段。9.【答案】√【解析】当企业环境、业务或组织结构发生重大变化时，内部控制应及时更新评价。10.【答案】×【解析】缺陷认定标准应由企业根据自身业务特点、规模和风险偏好自行制定，并非全行业统一。四、简答题1.【参考答案】COSO风险管理框架中的“三道防线”模型是指企业在风险管理中构建的三个层级的防御体系：（1）第一道防线：各业务部门和职能部门。业务部门处于风险管理的最前沿，负责识别和评估本部门的运营风险，制定并执行相应的控制措施，直接承担风险管理的主体责任。（2）第二道防线：风险管理委员会和风险管理职能部门。该层级负责制定风险管理政策和流程，协助业务部门进行风险识别和评估，协调跨部门的风险管理活动，并对第一道防线的设计和执行情况进行监督和检查。（3）第三道防线：内部审计部门。内部审计通过独立的审计活动，对风险管理和内部控制流程的全面性、有效性进行客观评价，直接向董事会或审计委员会报告，确保前两道防线得到有效执行。2.【参考答案】内部控制五要素之间相互关联、相互配合，形成一个有机的整体：（1）控制环境是基础，提供纪律与架构，塑造企业文化，影响其他要素的实施效果。（2）风险评估是依据，在控制环境确定基调后，必须识别和分析实现目标过程中的风险，以确定控制重点。（3）控制活动是手段，根据风险评估结果，采取具体的政策和程序（如审批、核对）来管理风险。（4）信息与沟通是载体，确保相关信息在企业内部及外部之间及时、准确地传递，支持其他要素的运行。（5）监督是保障，通过持续性监督和单独评价，监控内部控制的运行质量，并在必要时进行修正。这五个要素贯穿于企业的各种管理活动之中，缺一不可。3.【参考答案】管理层凌驾是指企业管理层为了个人私利或粉饰业绩，利用其职权超越或绕过既定的内部控制程序，导致内部控制失效的行为。常见的防范措施包括：（1）完善董事会和审计委员会的职能，强化独立董事的监督作用，确保重大交易经过集体决策。（2）建立健全反舞弊机制，设立举报渠道，鼓励员工和外部人员检举管理层的不当行为。（3）加强对重大异常会计调整的审计与复核，要求管理层对这类调整提供充分的书面证据。（4）定期进行岗位轮换，避免关键岗位长期由同一人把持。4.【参考答案】风险识别的主要方法包括：（1）头脑风暴法：召集专家和团队成员，集思广益，列举潜在风险。（2）德尔菲法（专家调查法）：通过匿名方式反复征求专家意见，达成共识。（3）流程图分析法：通过绘制业务流程图，分析各个环节可能存在的风险点。（4）财务报表分析法：分析财务数据中的异常波动，识别潜在的财务风险。（5）SWOT分析法：通过分析企业的优势、劣势、机会和威胁来识别风险。（6）事故树分析法：分析事故起因和逻辑关系，识别导致风险事件的因素。五、计算分析题1.【参考答案】（1）计算该项目的预期货币价值（EMV）：E其中为概率，为收益或亏损。EEE该项目的预期货币价值为1600万元。（2）计算购买保险后的预期货币价值：购买保险后，情景一和情景二的收益不变（扣除保险费）：情景一净收益：5000100情景二净收益：1000100情景三（市场低迷）：原亏损2000万，获赔付1500万，扣除保险费100万。净收益：−2000购买保险后的EMEEE分析：购买保险后的预期货币价值为1800万元，高于不购买保险时的1600万元。从纯财务期望值的角度来看，企业应该购买该保险。此外，购买保险还降低了极端损失的风险，提高了财务稳健性。六、综合案例分析题1.【参考答案】宏图股份在控制环境方面存在以下严重缺陷：（1）治理结构失效，缺乏独立性：董事会成员构成不合理，独立董事比例不足且缺乏独立性，未能发挥监督作用。审计委员会会议频率低且流于形式，未履行监督职责。这导致权力过度集中于董事长王某，缺乏有效的制衡机制。（2）管理层诚信与道德价值观缺失：公司虽然制定了诚信条款，但在实际考核中默许甚至鼓励回扣、虚增业绩等舞弊行为，说明“高层基调”严重扭曲，企业文化存在重大缺陷。（3）组织架构与权责分配不当：董事长兼CEO且拥有绝对权威，导致决策缺乏民主和科学性；内部审计向总经理汇报而非审计委员会或董事会，独立性受损。（4）人力资源政策不合理：过分强调“狼性文化”和短期业绩，忽视合规与道德培训，导致员工行为偏离内部控制要求。2.【参考答案】采购与付款循环：主要风险点：1.采购人员利用职权收受回扣、采购质次价高物资（舞弊风险）。2.采购业务缺乏必要的审批和合同约束，导致法律纠纷或经济损失。3.采购与付款职责未分离，导致资金被挪用或错误支付。缺失的控制活动：1.不相容职务分离控制缺失：采购经理李某集供应商选择、谈判、签约、审批于一身，严重违反职责分离原则。2.授权审批控制缺失：存在大量口头授权，未严格执行书面审批流程。3.采购定价与供应商管理控制缺失：缺乏对供应商的准入评估和价格比较机制。销售与收款循环：主要风险点：1.客户信用管理失控，导致坏账损失。2.虚增收入，提前确认收入（舞弊风险）。3.应收账款回收困难，资金流动性受阻。缺失的控制活动：