企业内部控制与风险管理试题(答案)

企业内部控制与风险管理试题(答案)一、单项选择题（本大题共15小题，每小题2分，共30分）1.在COSO整合框架中，内部控制的定义不仅包含财务报告的可靠性，还涵盖了经营的效率和效果以及遵循适用的法律法规。以下哪项不属于COSO框架中内部控制的五个核心要素？（）A.控制环境B.风险评估C.监督活动D.公司治理结构2.某大型跨国企业在进行年度风险评估时，发现其供应链中某一关键原材料供应商所在国家爆发了地缘政治冲突，导致供应中断的可能性大幅上升。这种风险属于（）。A.信用风险B.市场风险C.运营风险D.法律合规风险3.“职责分离”是内部控制活动中非常关键的一项措施。其核心目的是为了（）。A.提高工作效率B.降低运营成本C.防止错误或舞弊，并隐藏这些错误或舞弊D.增强员工之间的团队协作4.根据COSO《企业风险管理——与战略和绩效的整合》（2017版），风险偏好是指（）。A.企业在追求价值过程中所愿意承担的广泛意义上的风险数量B.企业在实现具体目标时所能接受的偏离度C.企业在特定时间内可能遭受的最大损失金额D.企业为了规避风险而投入的资源总量5.关于内部审计部门在内部控制中的角色，以下描述最准确的是（）。A.内部审计部门负责设计和执行具体的业务流程控制B.内部审计部门负责对内部控制的有效性进行监督和评价C.内部审计部门应当直接负责财务报表的编制D.内部审计部门可以替代管理层对内部控制的责任6.管理层凌驾于控制之上是内部控制面临的一个重大威胁。以下哪项情况最可能属于管理层凌驾？（）A.系统自动生成的月度银行存款余额调节表B.会计人员根据审批后的发票进行记账C.首席财务官（CFO）指示下属将当期的费用支出资本化，以掩盖未达成的利润目标D.仓库管理员根据发货单进行实物出库7.在信息与沟通要素中，企业需要建立相关的信息系统来识别、获取和传递相关信息。以下关于信息系统的说法中，错误的是（）。A.信息系统不仅处理内部产生的数据，还处理外部相关的事件、活动和状况的信息B.信息系统的战略规划应当与企业战略紧密衔接C.信息系统的安全性控制属于一般控制，与应用控制无关D.信息系统应当支持管理层对经营状况的监控8.风险应对策略主要包括风险规避、风险降低、风险分担和风险承受。企业为关键生产设备购买财产保险，这属于（）。A.风险规避B.风险降低C.风险分担D.风险承受9.控制环境决定了组织的基调，影响员工的风险意识。以下哪项不属于控制环境的内容？（）A.诚信和道德价值观B.治理结构C.绩效考评激励机制D.具体的业务操作流程10.某公司规定，超过100万元的采购合同必须由总经理亲自审批。这种控制活动属于（）。A.业绩指标分析B.交易授权C.信息处理D.实物控制11.在进行缺陷评价时，如果一个控制缺陷存在导致企业年度或中期财务报表出现重大错报且不能及时防止或发现的合理可能性，该缺陷应被归类为（）。A.一般缺陷B.重要缺陷C.重大缺陷D.实质性漏洞12.COSOERM框架（2017）强调了风险与战略及绩效的整合。该框架引入了“风险与战略及绩效的整合”的概念，并将风险定义为（）。A.损失发生的可能性B.事项发生并影响目标实现的可能性C.未来结果的不确定性D.潜在的负面事件13.企业在进行风险评估时，需要考虑固有风险和剩余风险。下列关于两者关系的说法正确的是（）。A.剩余风险是指管理层在没有采取任何风险应对措施之前的风险B.固有风险是指管理层在实施风险应对之后仍存在的风险C.剩余风险=固有风险风险应对效果D.固有风险总是大于剩余风险14.关于“三道防线”模型，以下排列顺序正确的是（）。A.业务部门、内部审计部门、风险管理/合规部门B.内部审计部门、风险管理/合规部门、业务部门C.业务部门、风险管理/合规部门、内部审计部门D.风险管理/合规部门、业务部门、内部审计部门15.某投资公司在计算投资组合风险时，需要考虑资产之间的相关性。假设有两个资产A和B，其收益率分别为和，标准差分别为和，相关系数为。投资组合的方差的计算公式为（）。A.=B.=C.=D.=二、多项选择题（本大题共10小题，每小题3分，共30分。多选、少选、错选均不得分）1.COSO《内部控制——整合框架》（2013版）明确提出了内部控制的五要素，同时也提出了与之相关的原则。以下哪些属于“控制环境”要素下的原则？（）A.组织对诚实和道德价值观做出承诺B.董事会独立开展监督C.组织建立吸引、发展和留住胜任人才的机制D.组织展现对适用法律法规的承诺2.有效的内部控制目标体系通常包括以下哪几类？（）A.战略目标B.经营目标C.报告目标D.合规目标3.风险评估过程包括以下几个关键步骤：（）。A.目标设定B.风险识别C.风险分析D.风险应对4.常见的信息系统一般控制包括（）。A.数据中心运行控制B.系统软件管理控制C.访问安全控制D.应用系统输入校验控制5.企业在识别外部风险时，通常需要考虑的因素包括（）。A.宏观经济形势B.技术进步C.自然灾害D.员工的胜任能力6.下列关于管理层评价内部控制有效性的说法中，正确的有（）。A.评价需要基于一定的方法论B.评价可以是持续的，也可以是单独评价C.评价范围必须涵盖所有的业务单元和职能部门D.评价结论只能出具“有效”或“无效”两种结果7.舞弊三角理论通常认为，舞弊行为的发生由三个要素构成，即（）。A.压力/动机B.机会C.借口/自我合理化D.能力8.为了确保资产的安全完整，企业可以采取的实物控制措施包括（）。A.限制对资产和处理资产的会计记录的物理接触B.定期盘点并将盘点记录与会计记录核对C.设置门禁系统和监控摄像头D.聘请外部审计进行审计9.下列哪些情形可能表明企业存在财务报告内部控制的重大缺陷？（）A.对以前期间的财务报表进行重述，以更正由于错误或舞弊导致的重大错报B.审计委员会发现公司存在重大的会计政策应用错误C.期末财务报告流程存在重大缺陷，导致无法按时结账D.个别员工偶尔违反报销制度，金额较小10.企业在建立与实施内部控制时，应当遵循的基本原则包括（）。A.全面性原则B.重要性原则C.制衡性原则D.适应性原则E.成本效益原则三、判断题（本大题共10小题，每小题1分，共10分。正确的打“√”，错误的打“×”）1.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。它不仅仅是政策手册和流程图，更是一个动态的流程。（）2.只要建立了完善的内部控制制度，就一定能保证企业目标的实现，杜绝任何舞弊和错误的发生。（）3.风险承受策略通常适用于那些发生概率极低且一旦发生影响轻微的风险，或者是企业无法规避、降低且转移成本过高的风险。（）4.董事会对内部控制的有效性负最终责任，管理层负责设计和执行内部控制，内部审计部门负责对内部控制进行监督。（）5.在控制环境较差的企业中，即使设计了非常精妙的控制活动，其效果也可能大打折扣，因为员工可能不会认真执行。（）6.企业在进行风险分析时，应当采用定性分析和定量分析相结合的方法。定量分析通常比定性分析更准确，因此应完全替代定性分析。（）7.穿行测试是指注册会计师或内部审计人员追踪交易在财务报告信息系统中的处理过程。它是了解内部控制和评估控制设计有效性的一种常用方法。（）8.企业的风险偏好是单一的、不变的，一旦确定，无论在什么业务领域和市场环境下都应当保持一致。（）9.如果一项控制缺陷经过整改后已经得到纠正，那么在出具内部控制评价报告时，不需要披露该缺陷。（）10.信息技术的发展给企业带来了便利，但也增加了新的风险，如数据泄露、系统瘫痪、网络攻击等，因此IT控制是现代内部控制不可或缺的一部分。（）四、简答题（本大题共4小题，每小题10分，共40分）1.简述COSO内部控制整合框架（2013）与COSO企业风险管理框架（2017）之间的主要区别与联系。2.什么是“不相容职务分离”？请列举企业采购与付款循环中至少三组应当分离的不相容职务。3.简述内部审计部门在风险管理及内部控制体系中的具体职能，并说明为何保持其独立性至关重要。4.某公司正面临原材料价格大幅波动的风险。请列举并解释四种主要的风险应对策略，并针对该原材料价格波动风险分别为每种策略给出一个可能的应对措施示例。五、综合案例分析题（本大题共2小题，每小题25分，共50分）1.案例背景：迅达科技是一家专注于智能硬件研发与生产的高新技术企业。近年来，随着业务规模的快速扩张，公司内部管理出现了一系列问题，导致近期财务报表出现重大错报，且股价大幅下跌。以下是审计过程中发现的若干具体情况：(1)公司董事长李某同时担任总经理，且在公司董事会中占据主导地位。董事会下设的审计委员会只有三名成员，均为公司内部高管，且无会计或审计专业背景。(2)为了实现上市承诺的业绩目标，李某在年末私下指示财务总监，将两笔实际上尚未满足收入确认条件的巨额销售合同提前确认为当期收入，并要求财务人员修改出库单日期。(3)公司的研发费用支出巨大，但缺乏明确的审批流程。研发部门经理可以直接审批大额采购，且研发耗材的领用没有记录，经常发生丢失现象。(4)公司的信息系统由IT部门自行维护，且IT经理拥有系统超级用户权限，可以随时修改数据库中的财务数据而不留痕迹。(5)公司过去三年从未对内部控制进行过系统性的自我评价，也未聘请外部审计机构对内部控制进行审计。问题：(1)根据COSO框架，分析迅达科技在“控制环境”方面存在的缺陷，并说明理由。（10分）(2)指出案例中体现的“控制活动”缺陷，并分析这些缺陷可能带来的风险。（8分）(3)针对案例中提到的问题，从“监督”要素的角度，提出改进建议。（7分）2.案例背景：宏远集团是一家多元化经营的跨国集团，业务涉及房地产、金融投资、进出口贸易等。集团管理层决定引入全面风险管理体系，并聘请了咨询公司协助进行风险评估。在针对“海外投资项目”的风险评估过程中，收集了以下数据：假设集团计划投资一个海外基础设施项目，初始投资额为=5000经过分析，该项目面临三种主要情景：情景A（乐观）：市场需求旺盛，汇率稳定。每年现金流为C=2000万元，发生概率情景B（中性）：市场需求正常，汇率小幅波动。每年现金流为C=1200万元，发生概率情景C（悲观）：当地出台限制政策，汇率大幅贬值。每年现金流为C=−500假设折现率为r=此外，集团目前的资产负债率为70%，处于较高水平。集团希望评估该投资项目的风险收益特征，并制定相应的风险应对策略。问题：(1)请计算该项目净现值（NPV）的期望值。（计算结果保留两位小数，请列出计算过程或公式）（10分）(2)请计算该项目净现值的方差和标准差，以衡量其风险水平。（计算结果保留两位小数，请列出计算过程或公式）（10分）(3)结合计算结果和集团的高资产负债率现状，分析该项目的风险状况，并建议集团应采取何种风险应对策略及具体措施。（5分）参考答案与解析一、单项选择题1.D【解析】COSO框架中内部控制的五个核心要素包括：控制环境、风险评估、控制活动、信息与沟通、监督活动。公司治理结构属于控制环境的一部分，而不是独立于五要素之外的要素，且D选项表述不如其他选项准确，在COSO标准术语中，不直接将“公司治理结构”列为五要素之一，而是包含在控制环境中。注意：本题严格考察COSO五要素，D为干扰项。2.C【解析】运营风险是指由于内部程序、人员、系统的不完善或失误，或由于外部事件而导致损失的风险。供应链中断直接影响企业的生产经营能力，属于典型的运营风险。信用风险主要涉及交易对手违约；市场风险涉及汇率、利率、价格波动；法律合规风险涉及违反法律法规。3.C【解析】职责分离的核心目的是通过将一项业务分由不同人员处理，形成相互牵制，防止错误或舞弊，并增加隐藏这些错误或舞弊的难度。虽然它可能间接影响效率和成本，但其主要目的是防弊纠错。4.A【解析】根据COSOERM（2017），风险偏好是指企业在追求价值过程中所愿意承担的广泛意义上的风险数量。B选项描述的是风险容忍度。5.B【解析】内部审计的职能是监督和评价，包括对内部控制的设计和执行情况进行检查、评价，并提出改进建议。A和C是管理层的职责；D选项错误，内部审计不能替代管理层的责任。6.C【解析】管理层凌驾通常指管理层为了个人利益（如奖金、职位）或公司形象（如股价），利用职权绕过既定的内部控制。CFO指示违规调整财务报表属于典型的管理层凌驾。7.C【解析】信息系统一般控制包括数据中心运行、系统软件管理、访问安全、程序变更管理等。应用控制（如输入校验、处理逻辑）直接作用于具体业务数据，但应用控制的有效性依赖于一般控制。C选项说“与应用控制无关”是错误的，一般控制是应用控制的基础。8.C【解析】购买保险是将风险转移给保险公司的行为，属于风险分担（转移）策略。风险规避是放弃业务；风险降低是采取措施减少概率或影响；风险承受是被动接受。9.D【解析】具体的业务操作流程属于控制活动的范畴，而非控制环境。控制环境包括基调、诚信、治理结构、组织结构、胜任能力等高层级要素。10.B【解析】对超过一定金额的合同进行审批，属于高层级的审批授权，即交易授权。11.D【解析】根据中国《企业内部控制审计指引》及COSO相关准则，严重程度导致财务报表重大错报且无法防止单独或连同其他缺陷合理可能性未被发现的，是实质性漏洞。注意：在某些语境下“重大缺陷”也被提及，但严格来说，实质性漏洞是更严重的术语，通常在审计报告中使用。如果选项中只有“重大缺陷”和“重要缺陷”，选重大缺陷。但本题选项中有“实质性漏洞”，且描述符合实质性漏洞的定义（即一个严重到足以导致年报重大错报的缺陷）。注：在中国企业内部控制规范体系中，缺陷分为一般缺陷、重要缺陷和重大缺陷。重大缺陷的定义即“一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标”。在审计指引中，重大缺陷可能导致实质性漏洞。根据本题选项设置，D为最准确对应严重程度的术语（尽管在非上市公司评价体系中常用“重大缺陷”，但在涉及财报错报且无法及时发现的严重情况，实质性漏洞是COSO及审计准则术语）。若严格遵循国内《内部控制评价指引》，则选C（重大缺陷）。但考虑到题目提到“合理可能性”且选项含D，通常顶级考试会区分评价与审计。此处按照最严格的风险管理与审计理论，选D（实质性漏洞）代表最严重的控制缺失。注：若依据国内《企业内部控制基本规范》配套指引，缺陷分类为一般、重要、重大。若题目背景为国内企业评价，则选C。鉴于题目未限定具体法规且提到“合理可能性”这一审计术语，D在专业深度上更佳，但在国内考试中C常作为标准答案。综合来看，C（重大缺陷）是评价体系中的最高级。【解析】根据中国《企业内部控制审计指引》及COSO相关准则，严重程度导致财务报表重大错报且无法防止单独或连同其他缺陷合理可能性未被发现的，是实质性漏洞。注意：在某些语境下“重大缺陷”也被提及，但严格来说，实质性漏洞是更严重的术语，通常在审计报告中使用。如果选项中只有“重大缺陷”和“重要缺陷”，选重大缺陷。但本题选项中有“实质性漏洞”，且描述符合实质性漏洞的定义（即一个严重到足以导致年报重大错报的缺陷）。注：在中国企业内部控制规范体系中，缺陷分为一般缺陷、重要缺陷和重大缺陷。重大缺陷的定义即“一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标”。在审计指引中，重大缺陷可能导致实质性漏洞。根据本题选项设置，D为最准确对应严重程度的术语（尽管在非上市公司评价体系中常用“重大缺陷”，但在涉及财报错报且无法及时发现的严重情况，实质性漏洞是COSO及审计准则术语）。若严格遵循国内《内部控制评价指引》，则选C（重大缺陷）。但考虑到题目提到“合理可能性”且选项含D，通常顶级考试会区分评价与审计。此处按照最严格的风险管理与审计理论，选D（实质性漏洞）代表最严重的控制缺失。注：若依据国内《企业内部控制基本规范》配套指引，缺陷分类为一般、重要、重大。若题目背景为国内企业评价，则选C。鉴于题目未限定具体法规且提到“合理可能性”这一审计术语，D在专业深度上更佳，但在国内考试中C常作为标准答案。综合来看，C（重大缺陷）是评价体系中的最高级。修正：根据中国《企业内部控制评价指引》第十二条，重大缺陷定义包括“已经发现的财务报表重大错报”。本题描述符合重大缺陷。选项D“实质性漏洞”更多用于审计师视角。考虑到题目是“企业内部控制与风险管理试题”，通常侧重企业自评，故C更合适。但若从全球顶级大师视角，COSO框架下审计师发现的是实质性漏洞。在此提供解析：在COSO框架下，这种缺陷被称为实质性漏洞。但在国内企业内控评价标准中，称为重大缺陷。鉴于题目未限定标准，且D选项存在，D代表更精准的学术定义。修正：根据中国《企业内部控制评价指引》第十二条，重大缺陷定义包括“已经发现的财务报表重大错报”。本题描述符合重大缺陷。选项D“实质性漏洞”更多用于审计师视角。考虑到题目是“企业内部控制与风险管理试题”，通常侧重企业自评，故C更合适。但若从全球顶级大师视角，COSO框架下审计师发现的是实质性漏洞。在此提供解析：在COSO框架下，这种缺陷被称为实质性漏洞。但在国内企业内控评价标准中，称为重大缺陷。鉴于题目未限定标准，且D选项存在，D代表更精准的学术定义。最终决定：选D。理由：题目强调“合理可能性”和“不能及时防止或发现”，这是审计准则对实质性漏洞的定义核心。最终决定：选D。理由：题目强调“合理可能性”和“不能及时防止或发现”，这是审计准则对实质性漏洞的定义核心。12.B【解析】COSOERM（2017）将风险定义为“事项发生并影响战略和业务绩效目标实现的可能性”。这一定义比“损失发生的可能性”更广泛，包含正面和负面影响。13.C【解析】固有风险是风险应对前的风险；剩余风险是风险应对后的风险。关系式为：剩余风险=固有风险风险应对效果（或更准确地说，剩余风险是管理层实施风险应对后的风险水平）。14.C【解析】三道防线模型：第一道防线是业务部门（直接承担风险和运营）；第二道防线是风险管理/合规部门（制定政策、监督指导）；第三道防线是内部审计部门（独立评价）。15.C【解析】这是现代投资组合理论中计算两资产组合方差的标准马科维茨公式。=+二、多项选择题1.ABC【解析】D选项“组织展现对适用法律法规的承诺”属于“合规目标”相关的内容，虽然在广义上与控制环境有关，但在COSO2013原则中，原则1（诚信）、原则2（监督）、原则3（结构）、原则4（胜任能力）、原则5（问责）属于控制环境。D选项更多体现在控制活动或风险评估中遵循法律法规的要求。注：COSO2013控制环境原则包括：1.承诺诚信与道德；2.监督董事会；3.建立结构权责；4.吸引培养人才；5.落实问责。因此选ABC。【解析】D选项“组织展现对适用法律法规的承诺”属于“合规目标”相关的内容，虽然在广义上与控制环境有关，但在COSO2013原则中，原则1（诚信）、原则2（监督）、原则3（结构）、原则4（胜任能力）、原则5（问责）属于控制环境。D选项更多体现在控制活动或风险评估中遵循法律法规的要求。注：COSO2013控制环境原则包括：1.承诺诚信与道德；2.监督董事会；3.建立结构权责；4.吸引培养人才；5.落实问责。因此选ABC。2.ABCD【解析】COSO框架明确列出了这四类目标：战略、经营、报告、合规。3.ABCD【解析】完整的风险评估流程包括目标设定（作为前提）、风险识别、风险分析（估计影响和可能性）和风险应对。4.ABC【解析】一般控制针对整个IT环境，包括数据中心、系统软件、访问安全、程序变更等。应用控制针对具体业务流程，如输入校验。D属于应用控制。5.ABC【解析】外部风险包括经济、技术、自然环境、法律、监管、竞争等。D选项“员工的胜任能力”属于内部风险（人力资源风险）。6.AB【解析】评价需要方法论（A对）；可以是持续或单独（B对）。评价范围通常基于重要性原则，不一定涵盖所有微小单元（C错，应是基于风险评估的基础上的全覆盖，或者说是“基于风险”的覆盖，但C表述“必须涵盖所有”在实务中往往指所有重要领域，严格来说C是可以的，但A和B更核心。D错，结论可以是有效或无效，但缺陷有等级）。修正：C选项“评价范围必须涵盖所有的业务单元和职能部门”在原则上是正确的，内部控制评价应当涵盖企业及其所属单位的各种业务和事项，但可以根据重要性程度进行调整。通常考试中C被认为是正确的。D选项错误，因为评价结论除了有效/无效，还有可能出具保留意见或否定意见（虽然企业自评通常只出有效/无效，但审计报告有多种意见）。在此选择最核心的AB。修正：C选项“评价范围必须涵盖所有的业务单元和职能部门”在原则上是正确的，内部控制评价应当涵盖企业及其所属单位的各种业务和事项，但可以根据重要性程度进行调整。通常考试中C被认为是正确的。D选项错误，因为评价结论除了有效/无效，还有可能出具保留意见或否定意见（虽然企业自评通常只出有效/无效，但审计报告有多种意见）。在此选择最核心的AB。实际上，根据《企业内部控制评价指引》，内部控制评价的范围包括企业及其所属单位的各种业务和事项。所以C也是对的。但多选题通常选最确定的。AB是无疑正确的。实际上，根据《企业内部控制评价指引》，内部控制评价的范围包括企业及其所属单位的各种业务和事项。所以C也是对的。但多选题通常选最确定的。AB是无疑正确的。7.ABC【解析】舞弊三角理论（DonaldCressey）包括：压力/动机、机会、自我合理化。舞弊钻石理论增加了“能力”。本题问三角理论，故选ABC。8.ABC【解析】实物控制包括限制接触、盘点、门禁等。D属于外部监督，不是企业自身的实物控制措施。9.ABC【解析】A、B、C均属于财务报告内部控制重大缺陷的迹象。D属于一般缺陷或重要缺陷（取决于金额），但描述为“个别员工”、“金额较小”，通常不构成重大缺陷。10.ABCDE【解析】《企业内部控制基本规范》明确规定了全面性、重要性、制衡性、适应性、成本效益五项原则。三、判断题1.√【解析】这是内部控制的定义核心，强调全员参与和过程属性。2.×【解析】内部控制只能提供“合理保证”，而非“绝对保证”。其存在固有限制，如人为错误、串通舞弊、成本效益约束等。3.√【解析】这是风险承受策略的典型应用场景。4.√【解析】治理结构的责任分配：董事会最终责任，管理层执行责任，内审监督责任。5.√【解析】控制环境是基础，基调不好，具体控制活动难以有效执行。6.×【解析】定量分析虽然精确，但需要数据支持，且难以量化所有风险（如声誉风险）。定性分析在数据不足或风险性质难以量化时非常必要。两者应结合，不能完全替代。7.√【解析】穿行测试是了解业务流程和内部控制设计有效性的重要方法。8.×【解析】企业的风险偏好应当与战略相适应，不同业务单元、不同时期的风险偏好可能不同。例如，核心业务可能偏好低风险，创新业务可能偏好较高风险。9.×【解析】如果缺陷在基准日之前已整改并运行足够时间，评价报告可不披露其为“未整改”缺陷，但通常需要说明整改情况。如果题目指“不需要提及”，则是错误的，因为整改情况本身是内控有效性的证明。但严格来说，如果已有效整改，它不再是当前的缺陷。不过，为了展示内控评价的严谨性，通常在底稿中记录。根据《企业内部控制评价指引》，对于已整改的缺陷，如运行有效，可不作为缺陷披露。但本题表述“不需要披露该缺陷”，在严格审计视角下，如果是报告期内发生并整改的重大事项，可能仍需在财务报表附注或内控审计报告中提及。但在企业自评报告中，如果整改有效，则不构成期末的缺陷。判定：该题表述较为模糊，倾向于错误，因为“不需要披露”过于绝对，忽略了重大缺陷整改的披露要求。【解析】如果缺陷在基准日之前已整改并运行足够时间，评价报告可不披露其为“未整改”缺陷，但通常需要说明整改情况。如果题目指“不需要提及”，则是错误的，因为整改情况本身是内控有效性的证明。但严格来说，如果已有效整改，它不再是当前的缺陷。不过，为了展示内控评价的严谨性，通常在底稿中记录。根据《企业内部控制评价指引》，对于已整改的缺陷，如运行有效，可不作为缺陷披露。但本题表述“不需要披露该缺陷”，在严格审计视角下，如果是报告期内发生并整改的重大事项，可能仍需在财务报表附注或内控审计报告中提及。但在企业自评报告中，如果整改有效，则不构成期末的缺陷。判定：该题表述较为模糊，倾向于错误，因为“不需要披露”过于绝对，忽略了重大缺陷整改的披露要求。10.√【解析】IT控制是现代内部控制的重要组成部分，涵盖一般控制和应用控制。四、简答题1.简述COSO内部控制整合框架（2013）与COSO企业风险管理框架（2017）之间的主要区别与联系。答：联系：(1)基础一致：COSOERM(2017)是建立在COSO内部控制(2013)基础之上的。内部控制整合框架中的五要素和原则被完全融入到了ERM框架中。(2)目标重合：两者都致力于服务于组织的战略、经营、报告和合规目标。(3)组件相通：内部控制是ERM的一个子集。ERM涵盖了内部控制的所有内容。区别：(1)视角与范围不同：内部控制框架主要侧重于通过控制活动防止负面事件，保障目标实现；ERM框架则更广泛，强调风险与战略和绩效的整合，不仅关注防范风险（下行风险），也关注把握机会（上行风险），以创造和保存价值。(2)要素构成不同：内部控制框架包含五要素（控制环境、风险评估、控制活动、信息与沟通、监督）；ERM框架包含五大要素（治理与文化、战略与目标设定、执行、审查与修订、信息沟通与报告）和二十项原则。ERM对要素进行了重新组织，以突显战略在风险管理中的核心地位。(3)角色定位不同：内部控制常被视为合规和财务报告的工具；ERM被视为董事会和管理层进行战略决策和绩效管理的核心工具。2.什么是“不相容职务分离”？请列举企业采购与付款循环中至少三组应当分离的不相容职务。答：不相容职务分离：是指那些如果由一个人担任，既可能发生错误和舞弊，又可能掩盖其错误和舞弊的职务。通过职责分离，形成相互制约、相互监督的机制。采购与付款循环中的不相容职务组：(1)请购与审批：提出采购需求的人员（如仓库管理员、生产部门）与审批采购申请的人员（如采购经理）职务分离。(2)询价与确定供应商：负责向供应商询价的人员与最终决定供应商、谈判价格的人员职务分离。(3)采购与验收：负责下达采购订单的人员与负责实物验收的人员职务分离。(4)付款审批与付款执行：负责审核付款单据的人员（如会计主管）与负责签发支票或进行网银转账的人员职务分离。(5)记录采购/付款与资产保管：负责会计记账的人员与负责保管资产（如仓库保管员）的人员职务分离。(任答三组即可)(任答三组即可)3.简述内部审计部门在风险管理及内部控制体系中的具体职能，并说明为何保持其独立性至关重要。答：具体职能：(1)监督与评价职能：对内部控制的设计和执行有效性进行定期检查和评价，评估风险管理流程的充分性和有效性。(2)咨询与增值职能：协助管理层识别和评估风险，提供改进内部控制和风险管理的建议，帮助组织优化治理流程。(3)协助遵循职能：检查法律法规和内部规章制度的遵循情况，确保合规经营。独立性的重要性：(1)客观性保证：独立性（包括组织独立和人员独立）是内部审计客观公正地开展工作、得出正确结论的前提。如果内部审计受制于被审计部门，其评价结果将失去公信力。(2)有效监督：只有独立于经营管理层之外（向董事会或审计委员会报告），才能有效地对管理层的行为进行监督，防止管理层凌驾。(3)权威性：独立的地位能确保内部审计在资源获取、问题整改推动方面具有足够的权威性。4.某公司正面临原材料价格大幅波动的风险。请列举并解释四种主要的风险应对策略，并针对该原材料价格波动风险分别为每种策略给出一个可能的应对措施示例。答：(1)风险规避：放弃或停止可能导致风险的业务活动。示例：公司决定停止生产该原材料依赖度过高的产品线，转而生产其他材料的产品。示例：公司决定停止生产该原材料依赖度过高的产品线，转而生产其他材料的产品。(2)风险降低（减轻）：采取措施降低风险发生的可能性或影响程度。示例：公司投入研发资金，寻找该原材料的替代品，或改进生产工艺降低单位消耗，从而减少价格波动对成本的影响。示例：公司投入研发资金，寻找该原材料的替代品，或改进生产工艺降低单位消耗，从而减少价格波动对成本的影响。(3)风险分担（转移）：通过合同、保险等方式将风险的全部或部分转移给第三方。示例：公司与供应商签订长期固定价格合同，将价格波动风险锁定；或者在期货市场上进行套期保值操作，利用金融工具转移价格风险。示例：公司与供应商签订长期固定价格合同，将价格波动风险锁定；或者在期货市场上进行套期保值操作，利用金融工具转移价格风险。(4)风险承受：不采取任何措施，接受风险带来的后果（通常适用于影响较小的风险）。示例：经