企业内部控制与风险管理试题库及答案

企业内部控制与风险管理试题库及答案一、单项选择题（本大题共30小题，每小题1分，共30分）1.在COSO整合框架中，内部控制的五个要素不包括以下哪一项？A.控制环境B.风险评估C.监督D.战略目标【答案】D【解析】COSO框架认为内部控制有五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。战略目标属于企业目标设定的范畴，而非内部控制的构成要素。2.企业建立与实施内部控制应当遵循的全面性原则，要求内部控制覆盖什么？A.仅覆盖核心业务流程B.仅覆盖财务部门C.覆盖企业及其所属单位的各种业务和事项D.仅覆盖高层管理人员的决策过程【答案】C【解析】全面性原则要求内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。3.下列哪项属于不相容职务分离控制中的典型不相容岗位？A.记录银行存款日记账与编制银行存款余额调节表B.采购申请与采购审批C.销售订单处理与发货D.现金支付与现金保管【答案】A【解析】记录银行存款日记账属于资产记录，编制银行存款余额调节表属于稽核核对，这两者应当分离。虽然B、C、D也是重要的控制点，但在财务会计核心控制中，A项是经典的资产安全控制分离要求。B、C、D通常也被视为不相容，但A项在考试中常作为最典型的考点。注：本题设计时侧重于资产保护。在实际操作中，B、C、D也是正确的分离原则，但A项的“记账与稽核”分离是防止舞弊的最关键防线。4.风险管理的三道防线中，第一道防线是？A.内部审计部门B.董事会及风险管理委员会C.各业务部门和职能部门D.合规部门【答案】C【解析】第一道防线是各业务部门和职能部门，它们负责管理和控制在其业务领域内产生的风险。第二道防线是风险管理、合规等部门，第三道防线是内部审计。5.关于控制环境在内部控制中的作用，下列描述最准确的是？A.它直接影响控制活动的实施效果B.它是所有其他内部控制组成要素的基础C.它主要用于评估外部审计风险D.它是应用计算机技术的环境【答案】B【解析】控制环境确立组织的基调，影响员工的风险控制意识，它是其他内部控制要素的基础，如果没有良好的控制环境，其他要素即便设计得再好也难以发挥有效作用。6.企业在进行风险评估时，首先应当进行的工作是？A.风险应对B.目标设定C.风险识别D.风险分析【答案】B【解析】风险评估的前提是目标设定。企业必须先设定目标，才能识别和评估实现这些目标过程中的风险。7.下列关于内部审计的描述，错误的是？A.内部审计应当保持独立性B.内部审计只关注财务数据的准确性C.内部审计是内部控制监督的重要组成部分D.内部审计可以协助管理层建立和完善内部控制【答案】B【解析】现代内部审计的范围已经扩展到经营审计、管理审计和合规性审计，不仅仅局限于财务数据。8.某公司规定，超过100万元的采购合同必须经总经理审批。这属于什么控制活动？A.业绩评价控制B.授权审批控制C.职责分离控制D.会计系统控制【答案】B【解析】这是典型的授权审批控制，旨在确保重大交易由适当层级的管理人员审批。9.在风险管理基本流程中，风险应对策略不包括？A.风险规避B.风险降低C.风险转移D.风险预测【答案】D【解析】风险应对策略主要包括规避、降低、分担（转移）和承受（接受）。风险预测是风险分析的过程，不是应对策略。10.信息系统的一般控制与应用控制的主要区别在于？A.一般控制针对所有应用，应用控制针对特定业务流程B.一般控制针对财务数据，应用控制针对运营数据C.一般控制由IT部门执行，应用控制由业务部门执行D.一般控制是预防性的，应用控制是检查性的【答案】A【解析】一般控制适用于整个信息系统环境（如数据中心管理、系统软件管理），而应用控制直接针对特定的应用程序和业务处理流程（如输入检查、数据验证）。11.下列哪种情况最可能表明存在“管理层逾越”这一内部控制缺陷？A.出纳员编制银行存款余额调节表B.总经理指示会计人员将费用支出资本化以虚增利润C.采购人员未经询价直接向长期合作供应商下单D.仓库管理员未登记出入库台账【答案】B【解析】管理层逾越是指管理层利用职权绕过既定的内部控制制度。A、C、D属于员工违反规定或职责分离不当，而B是典型的管理层为了达到特定财务目标而凌驾于控制之上。12.企业风险管理是一个过程，它由谁的推动并渗透于企业各项活动之中？A.外部审计师B.董事会、管理层和其他员工C.监管机构D.股东【答案】B【解析】根据COSO定义，企业风险管理受董事会、管理层和其他人员的影响，并通过企业战略制定和运营活动贯穿于整个企业。13.关于控制活动的形式，下列哪项不属于常见的控制活动？A.不相容职务分离B.预算控制C.实物控制D.市场营销策略【答案】D【解析】市场营销策略属于企业经营策略，不是内部控制活动。A、B、C均为标准的控制活动。14.企业在识别风险时，不应采用的方法是？A.SWOT分析B.流程图分析法C.仅依赖高层管理人员的经验判断D.头脑风暴法【答案】C【解析】风险识别需要全员参与，结合多方面的信息和方法。仅依赖高层人员经验容易导致风险盲区，不符合风险识别的全面性和客观性要求。15.下列关于“实质重于形式”原则在内部控制中的应用，说法正确的是？A.只要制度文件写得完美，即使执行不到位也没关系B.内部控制的设计必须符合法律法规的字面要求C.判断内部控制是否有效，要看其是否真正防范了风险，而非仅仅看是否有形式上的文件D.小企业不需要复杂的内部控制，形式上过得去即可【答案】C【解析】内部控制的有效性关键在于执行和实质效果。A、B、D都过分强调形式或忽视了实质风险防范。16.预算控制属于内部控制中的哪一类？A.控制环境B.控制活动C.信息与沟通D.风险评估【答案】B【解析】预算控制是一种重要的控制活动，用于调节和规范企业的经营活动，以实现目标。17.在风险评估的定量分析中，通常需要计算风险价值。如果某投资组合的预期收益率为5%，标准差为10%，在95%的置信水平下，其风险价值（VaR）大约是多少？（假设正态分布）A.5%1.6510%A.5%1.6510%B.5%+1.6510%B.5%+1.6510%C.5%1.9610%C.5%1.9610%D.5%+1.9610%D.5%+1.9610%【答案】A【解析】风险价值通常是指在一定的置信水平和持有期内，资产组合可能遭受的最大损失。对于正态分布，95%置信水平对应的Z值约为1.65（单尾）。VaR=预期收益率Z标准差（即最坏情况下的收益）。如果是计算绝对损失额，则通常关注偏离均值的下行风险。【解析】风险价值通常是指在一定的置信水平和持有期内，资产组合可能遭受的最大损失。对于正态分布，95%置信水平对应的Z值约为1.65（单尾）。VaR=预期收益率Z标准差（即最坏情况下的收益）。如果是计算绝对损失额，则通常关注偏离均值的下行风险。18.企业内部控制评价报告的披露时间要求是？A.年度结束后立即披露B.注册会计师审计报告出具后披露C.年度报告披露的同时披露D.没有固定时间要求【答案】C【解析】根据相关规定，企业在披露年度财务报告时，应当同时披露内部控制评价报告和内部控制审计报告。19.下列哪项不属于有效的反舞弊机制的内容？A.举报投诉制度B.透明的奖惩机制C.鼓励员工“不论手段，只看结果”的文化D.定期的舞弊风险评估【答案】C【解析】“只看结果”的激进文化往往会导致员工为了达成目标而铤而走险，增加舞弊风险，这与反舞弊机制背道而驰。20.采购与付款业务循环中，关键的控制点是？A.采购申请必须由生产部门提出B.采购合同必须由法律部门审核C.付款必须与采购订单、验收单相匹配D.供应商的选择必须随机【答案】C【解析】付款环节的核心控制是“三单匹配”，即付款依据应当包括采购订单、验收单（或入库单）和发票，确保资金支付的真实性和准确性。21.销售与收款业务循环中，为了防止坏账风险，应当实施的控制是？A.由销售部门独立批准信用额度B.由出纳员负责应收账款账龄分析C.定期对账D.销售人员直接收取现金【答案】C【解析】定期对账（如发送对账单）是确认应收账款真实性、及时发现错误和舞弊的重要控制。A项应当由信用管理部门或独立部门批准；B项出纳不得兼任债权债务账目登记；D项是严重的内控缺陷。22.存货管理中的关键控制措施是？A.存货由采购部门负责保管B.存货盘点由仓库管理员独立完成C.存货的发出必须经过授权批准D.废弃存货无需审批即可核销【答案】C【解析】存货发出必须经过授权批准，以确保资产安全。A项采购与保管应分离；B项盘点应由独立于保管和记录的人员进行或参与监盘；D项核销需严格审批。23.企业在构建风险管理文化时，核心是？A.制定严格的风险管理制度B.培养全员的风险意识和责任C.购买保险D.建立风险数据库【答案】B【解析】风险管理文化是企业文化的重要组成部分，其核心在于培养全员的风险意识和将风险管理融入日常工作的责任感。24.关于内部监督，下列说法正确的是？A.只有内部审计部门才能进行监督B.日常监督和专项监督缺一不可C.监督只需要在年底进行一次D.监督结果不需要报告给管理层【答案】B【解析】内部监督包括日常监督（持续性监督）和专项监督（针对特定事项）。两者结合才能确保内部控制的有效性。25.COSOERM框架（2017）将风险定义为？A.损失发生的可能性B.对目标实现产生影响的潜在事项C.仅仅是负面的不确定性D.可量定的波动率【答案】B【解析】COSOERM（2017）强调风险与战略和绩效相关，定义为“事项发生并影响战略和商业目标实现的可能性”。这一定义包含了正负面（机会和风险）的影响，虽然传统上更关注负面，但现代定义更为全面。26.下列属于应用控制的是？A.数据中心访问控制B.输入数据校验（如逻辑检查、格式检查）C.操作系统升级管理D.灾难恢复计划【答案】B【解析】A、C、D均属于信息系统的一般控制。B项直接针对具体业务数据的处理，属于应用控制。27.企业在制定风险应对策略时，对于发生概率低且影响程度小的风险，通常采取？A.风险规避B.风险承受C.风险转移D.风险降低【答案】B【解析】对于剩余风险在可接受范围内的风险（通常概率低、影响小），企业为了成本效益原则，通常选择风险承受（接受）。28.内部控制缺陷按其成因分为？A.设计缺陷和运行缺陷B.一般缺陷和重要缺陷C.财务缺陷和非财务缺陷D.定量缺陷和定性缺陷【答案】A【解析】内部控制缺陷按成因分为设计缺陷（制度本身设计不合理）和运行缺陷（制度设计合理但未执行）。按严重程度分为一般缺陷、重要缺陷和重大缺陷。29.董事会对内部控制的责任是？A.负责内部控制的日常执行B.对内部控制的有效性负责C.负责具体的控制活动D.只负责审批年度财务报表【答案】B【解析】董事会对企业内部控制（包括建立和有效实施）承担最终责任。管理层负责组织领导内部控制的日常运行。30.某企业发现其ERP系统中，普通员工可以修改自己的工资等级。这属于什么类型的控制缺陷？A.设计缺陷B.运行缺陷C.一般控制缺陷D.重要缺陷【答案】A【解析】如果系统权限配置允许普通员工修改工资，说明系统在权限设计上存在逻辑错误，属于设计缺陷。如果是员工盗用他人账号修改，则属于运行缺陷（或舞弊）。二、多项选择题（本大题共20小题，每小题2分，共40分。多选、少选、错选均不得分）1.企业内部控制的目标主要包括？A.合理保证经营管理合法合规B.合理保证资产安全C.合理保证财务报告及相关信息真实完整D.提高经营效率和效果E.促进企业实现发展战略【答案】ABCDE【解析】根据《企业内部控制基本规范》，内部控制目标包括合规、资产安全、报告真实完整、经营效率效果、发展战略。2.下列属于控制环境内容的有？A.诚信与道德价值观B.治理结构C.组织机构设置与权责分配D.人力资源政策E.内部审计机制【答案】ABCDE【解析】控制环境包括：诚信与道德价值观、组织架构、治理结构、权责分配、发展战略、人力资源政策、企业文化、社会责任等。内部审计的独立性也受控制环境影响，且其机构设置属于环境的一部分。3.常见的风险识别方法包括？A.案例分析法B.流程图分析法C.专家调查法（德尔菲法）D.风险清单法E.SWOT分析法【答案】ABCDE【解析】风险识别需要多种方法结合，包括案例、流程图、头脑风暴、德尔菲法、SWOT、PESTEL、风险清单等。4.不相容职务通常包括？A.授权批准与业务执行B.业务执行与会计记录C.会计记录与财产保管D.业务执行与稽核检查E.授权批准与监督检查【答案】ABCDE【解析】不相容职务分离的核心是：授权、批准、执行、记录、保管、稽核检查。这些岗位之间应当相互分离。5.有效的信息与沟通系统应当具备的特征包括？A.能够获取财务信息和运营信息B.信息传递及时C.信息传递准确D.信息传递安全E.包含举报机制【答案】ABCDE【解析】信息与沟通不仅包括常规经营信息的传递，还包括反舞弊的举报投诉机制。信息的及时性、准确性、安全性是基本要求。6.企业在面临财务风险时，可采取的风险转移手段包括？A.购买保险B.外包非核心业务C.使用金融衍生工具对冲风险D.停止相关业务E.明确责任条款转嫁风险【答案】ABCE【答案】D属于风险规避。A、B、C、E均是通过合同或金融工具将风险后果转移给第三方。7.内部控制评价报告的内容应当包括？A.声明对内部控制有效性的责任B.内部控制评价的依据C.内部控制评价的范围D.内部控制缺陷及其整改情况E.内部控制有效性的结论【答案】ABCDE【解析】完整的评价报告需涵盖责任声明、评价依据、范围、程序、方法、缺陷认定、整改情况及最终结论。8.下列属于内部控制中“实物控制”措施的有？A.限制未经授权的人员接触资产B.定期盘点C.资产记录保护D.门禁系统E.设备维护【答案】ABCD【解析】实物控制主要关注资产的安全。包括接触限制（门禁、保险柜）、盘点、记录保护（防火、防水）。设备维护属于运营管理，不属于狭义的资产安全实物控制，但在广义上也有联系，通常考试中选ABCD。9.下列哪些迹象可能表明企业存在重大内部控制缺陷？A.董事会及其审计委员会监督职能无效B.注册会计师发现当期财务报表存在重大错报，且错报与内部控制相关C.企业更正已公布的财务报表D.高级管理人员舞弊E.反舞弊程序和控制措施无效【答案】ABCDE【解析】以上均为表明内部控制可能存在重大缺陷的“迹象”。特别是管理层舞弊和董事会监督失效，直接否定控制环境。10.风险管理组织体系通常包括？A.董事会（及其风险管理委员会）B.总经理（及其风险管理委员会）C.风险管理职能部门D.审计委员会E.各业务部门【答案】ABCDE【解析】风险管理是三道防线架构，涉及治理层（董事会、审计委）、管理层（总经理、风险职能部门）和执行层（业务部门）。11.关于企业社会责任与内部控制，下列说法正确的有？A.安全生产管理是内部控制的重要组成部分B.产品质量控制属于内部控制范畴C.环境保护措施有助于降低企业的合规风险D.员工权益保护属于内部控制中“控制环境”的人力资源政策E.内部控制无需关注公益活动【答案】ABCD【解析】内部控制的应用指引中明确包含社会责任（安全生产、产品质量、环保、员工权益）。虽然公益活动不是强制控制点，但良好的社会责任感属于控制环境的一部分。E项表述过于绝对，内部控制虽不强制公益，但企业文化涉及此方面，且广义的内控关注企业长期价值，因此E不选。12.下列属于“应用控制”具体措施的有？A.限额检查（如采购金额不超过预算）B.顺序编号（如发票编号连续）C.访问权限控制（如用户名密码）D.数据格式校验（如日期格式）E.数据中心物理安全【答案】ABCD【解析】E属于一般控制。A、B、C、D均嵌入在具体业务流程中，属于应用控制。13.企业在建立内部控制时，需要权衡成本与效益。以下做法符合成本效益原则的有？A.对小额现金支出简化审批流程B.对核心资产的保管投入高额安保成本C.对于极低概率的毁灭性风险购买保险而非自建防范系统D.为了绝对安全，停止所有高风险高收益业务E.对所有业务环节实行最严格的控制【答案】ABC【解析】D和E不符合成本效益原则。D放弃了收益，E造成了过高的控制成本。A、B、C体现了根据风险程度和重要性配置资源。14.导致内部控制失效的常见原因有？A.管理层凌驾于控制之上B.串通舞弊C.控制设计不合理D.执行人员缺乏专业胜任能力E.外部环境剧烈变化未及时调整控制【答案】ABCDE【解析】内部控制失效的五大常见原因：管理层逾越、串通、设计缺陷、执行缺陷（胜任能力或意愿）、环境变化导致控制过时。15.采购业务中，验收环节的控制要求包括？A.建立验收与入库机制B.出具验收证明C.超过采购订单数量的应当拒收D.发现短缺应当及时查明原因E.验收部门可以兼任采购部门【答案】ABCD【解析】验收与采购必须职责分离，E错误。16.下列属于工程项目内部控制关键点的有？A.项目立项与可行性研究B.概预算编制与审核C.竣工决算与审计D.工程招标E.质量控制与进度控制【答案】ABCDE【解析】工程项目周期长、风险大，从立项、招投标、预算、施工管理到竣工决算，每个环节都需要严格的控制。17.担保业务中，为了防范风险，企业应当采取的措施包括？A.建立担保评估机制B.对被担保方的资信状况进行调查C.严禁为亏损企业提供担保（除非有反担保）D.担保审批权限必须集中E.建立担保跟踪监测制度【答案】ABDE【解析】C项过于绝对，如果是有战略意义的亏损企业且有足额反担保，是可以担保的。关键是风险评估和审批。18.合同管理的控制风险点主要包括？A.未签订书面合同B.合同文本存在法律漏洞C.合同印章管理不善D.合同执行监控不到位E.合同纠纷处理不当【答案】ABCDE【解析】合同管理全生命周期：谈判、文本审核、签署、执行、纠纷处理、归档，每个环节都有风险。19.信息系统开发控制的一般原则包括？A.业务部门与IT部门共同参与B.开发过程文档化C.测试与开发分离D.上线前的审批与验收E.并行运行和数据迁移控制【答案】ABCDE【解析】这些都是系统开发生命周期（SDLC）中的关键控制措施，确保新系统满足业务需求且安全可靠。20.关于内部控制审计，下列说法正确的有？A.内部控制审计由注册会计师执行B.内部控制审计的范围是财务报告内部控制C.注册会计师需要对内部控制缺陷进行分类D.内部控制审计意见类型包括无保留、否定、无法表示意见E.整合审计可以提高审计效率【答案】ABCDE【解析】在中国，企业通常聘请注册会计师对财务报告内部控制进行审计。整合审计是指将财务报表审计与内部控制审计结合进行。三、判断题（本大题共20小题，每小题1分，共20分）1.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。【答案】正确【解析】这是内部控制的定义，强调了全员参与和过程属性。2.只要建立了完善的内部控制制度，就能杜绝企业所有的舞弊和错误。【答案】错误【解析】内部控制只能提供“合理保证”，而非“绝对保证”。它受限于成本效益原则、人为错误、串通舞弊和管理层逾越等因素。3.小企业因为规模小、人员少，不需要建立内部控制。【答案】错误【解析】小企业同样面临风险，虽然其内部控制形式可能不如大企业复杂，但核心的控制原则（如职责分离、授权审批）依然适用，可以根据自身特点简化实施。4.风险评估只需要在企业设立时进行一次，以后无需重复。【答案】错误【解析】风险评估是持续的、动态的过程。随着内外部环境的变化，企业必须定期或适时进行风险评估。5.企业的财务负责人可以兼任内部审计部门的负责人。【答案】错误【解析】这违反了独立性原则。内部审计需要对财务部门进行监督，两者职责必须分离。6.预算编制必须以战略目标为导向，确保资源分配符合战略规划。【答案】正确【解析】预算是战略执行的工具，必须与战略目标保持一致。7.在手工会计系统和电算化会计系统中，不相容职务分离的要求是完全相同的。【答案】错误【解析】虽然原则相同，但在电算化系统中，由于程序集中处理，部分传统的职责分离被系统自动控制取代，但重点转向了程序开发、数据管理和系统操作之间的分离。8.企业在发生自然灾害等不可抗力时，应当立即启动应急预案，这属于内部控制中的“控制活动”。【答案】正确【解析】突发事件应急处理机制（如业务连续性计划）属于控制活动中的“应急处理”或“实物控制”的延伸。9.企业的监事会负责对董事会建立与实施内部控制进行监督。【答案】正确【解析】监事会是公司的内部监督机构，负有监督董事、高管的职责，包括对内部控制的监督。10.重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标，但不会及时防止或发现纠正财务报表中的重大错报。【答案】错误【解析】重大缺陷的定义中，明确指出其“可能导致企业严重偏离控制目标”，且“可能导致企业无法及时防范或发现纠正年度财务报表中的重大错报”。题目后半句表述有歧义，通常重大缺陷是会导致无法防范重大错报。如果题目意指“可能导致...无法防止”，则是对的。但严格来说，题目中“但不会及时防止”的表述是错误的，重大缺陷恰恰意味着内部控制存在严重漏洞，无法防止错报。【解析】重大缺陷的定义中，明确指出其“可能导致企业严重偏离控制目标”，且“可能导致企业无法及时防范或发现纠正年度财务报表中的重大错报”。题目后半句表述有歧义，通常重大缺陷是会导致无法防范重大错报。如果题目意指“可能导致...无法防止”，则是对的。但严格来说，题目中“但不会及时防止”的表述是错误的，重大缺陷恰恰意味着内部控制存在严重漏洞，无法防止错报。11.企业在进行风险分析时，应采用定性分析与定量分析相结合的方法。【答案】正确【解析】定性分析适用于难以量化的风险，定量分析适用于可量化的风险，两者结合能更全面地评估风险。12.内部控制自我评价是由企业内部审计部门独立完成的，其他部门无需参与。【答案】错误【解析】虽然内审部门通常牵头，但内部控制自评（CSA）强调全员参与，各业务部门对自己业务流程的控制最了解，应当参与评价。13.企业的组织架构设置应当遵循科学、高效、透明、制衡的原则。【答案】正确【解析】这是组织架构设计的基本原则，旨在确保治理结构有效。14.采购业务中，对于大额采购，必须进行招标采购。【答案】正确【解析】根据国家法规及企业内控规范，大额、标准化的采购通常要求通过招标方式进行，以确保透明度和竞争性。15.只有当企业出现亏损时，才需要进行风险评估。【答案】错误【解析】风险评估是企业日常管理的一部分，无论盈利还是亏损都需要进行，以识别潜在威胁和机会。16.企业应当建立退回商品的验收制度，确保退货入库的质量。【答案】正确【解析】销售退回管理是销售循环的重要控制点，需要验收、质检和入库手续。17.内部控制信息的沟通必须是自上而下的。【答案】错误【解析】信息沟通应当是多向的：自上而下（政策传达）、自下而上（问题汇报）、横向（部门间协作）以及与外部沟通。18.企业可以为了降低成本，取消对关键岗位员工的背景调查。【答案】错误【解析】关键岗位（如出纳、会计、采购）的诚信和胜任能力至关重要，背景调查是必要的控制成本，不能随意取消。19.风险承受策略意味着企业不采取任何措施，任由风险发生。【答案】错误【解析】风险承受是一种主动的策略选择，通常适用于低风险，或者企业已预留了资源（如风险准备金）来应对。被动地无视风险与主动承受不同。20.会计师事务所的内部控制审计报告可以直接替代企业自身的内部控制评价报告。【答案】错误【解析】两者责任主体不同。审计报告是注册会计师的意见，评价报告是企业董事会自我评估的结果，不能互相替代，都需要披露。四、简答题（本大题共5小题，每小题6分，共30分）1.简述不相容职务分离控制的基本原理及其在现金管理中的具体应用。【答案】基本原理：不相容职务是指那些如果由一人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。内部控制的核心要求是不相容职务必须分离，实现相互制衡。在现金管理中的具体应用：1.会计记录与现金保管分离：出纳员负责现金保管和日记账登记，会计人员负责总账登记和稽核，严禁出纳兼任稽核、会计档案保管或收入、支出、费用、债权债务账目的登记工作。2.业务授权与执行分离：现金支出的审批由授权人（如部门经理、总经理）进行，出纳员根据审批后的凭证付款。3.业务执行与审核分离：银行存款余额调节表的编制应由出纳和会计之外的人员（如指定人员或内审）进行，以防止出纳隐瞒挪用或盗窃行为。2.简述COSO风险管理框架（ERM）中“风险评估”的四个步骤。【答案】1.目标设定：风险必须与目标相关联。企业首先设定战略目标、经营目标、报告目标和合规目标。2.风险识别：识别可能对目标产生影响的内部和外部风险事项，包括潜在事项的实际发生和未发生。3.风险分析：分析风险发生的可能性（概率）和影响程度（后果）。可采用定性和定量方法。4.风险评价：在风险分析的基础上，综合考虑风险偏好和风险承受度，对风险进行排序，确定哪些风险是重大风险，需要进行管理。3.简述企业内部控制评价中，对内部控制缺陷认定的标准。【答案】内部控制缺陷按其影响程度分为：1.重大缺陷：指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。具体表现为：企业更正已公布的财务报表；发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现；审计委员会和内部审计机构对内部控制的监督无效。2.重要缺陷：指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。具体表现为：未依照公认会计准则选择和应用会计政策；未建立反舞弊程序和控制措施；对于非常规或复杂交易的账务处理没有建立相应的控制机制。3.一般缺陷：除重大缺陷和重要缺陷之外的其他缺陷。4.简述企业在采购与付款循环中，如何防范“价格虚高”和“收货短缺”的风险。【答案】防范“价格虚高”的措施：1.建立供应商评估与准入机制，优先选择合格供应商。2.实施询价制度，对大额采购进行比价，确保价格公允。3.建立采购定价机制，定期审核市场价格，防止采购人员与供应商串通。防范“收货短缺”的措施：1.实施职责分离，采购部门不得兼任验收部门。2.建立严格的验收制度，验收部门应当根据订单核对数量、质量和规格。3.点数应当由独立于保管和记录的人员进行，或进行突击盘点。4.对于短缺情况，及时编制差异报告并查明原因（是运输损耗、供应商少发还是盗窃）。5.简述管理层凌驾于控制之上的常见表现形式及应对措施。【答案】常见表现形式：1.管理层操纵会计利润（如提前确认收入、滥用准备金）。2.管理层无视既定程序进行重大交易（如违规担保、大额资金调拨）。3.管理层对内部控制进行不当干预（如强行要求下属不执行控制）。应对措施：1.强化董事会和审计委员会的职能，提高其独立性和监督力度。2.健全反舞弊机制，设立有效的举报渠道。3.加强会计控制，明确会计人员的责任，对异常交易保持职业怀疑。4.定期进行内部审计，重点审查管理层权限内的交易。5.建立健康的企业文化，强调诚信和道德价值观。五、综合案例分析题（本大题共3小题，每小题40分，共120分）1.案例背景：A公司是一家大型制造企业，近年来业务快速扩张。为了规范管理，公司聘请了咨询公司设计了一套看似完美的内部控制手册，并下发各部门执行。然而，在实际运行中出现了以下问题：(1)公司总经理王某为了完成董事会下达的利润指标，暗示财务经理李某将下一年度的销售合同提前在本年度确认收入。(2)公司的采购业务中，采购员张某负责从供应商选择、询价到签订合同的全过程。近期发现张某采购的原材料价格明显高于市场均价。(3)公司的出纳员赵某负责保管现金、登记现金日记账，并每月编制银行存款余额调节表。由于人手不足，财务经理李某安排赵某兼任会计档案保管。(4)公司的信息系统由IT部门自行开发和维护。近期系统遭受病毒攻击，导致大量生产数据丢失，且无法恢复，因为IT部门未进行异地备份。要求：(1)根据上述资料，分析A公司内部控制存在的问题（请逐条分析，并指出违背了哪些内部控制原则或要素）。(2)针对上述问题，请提出改进建议。【答案】(1)存在的问题及分析：①问题(1)：管理层凌驾于控制之上。违背了“内部控制的有效性依赖于执行”的原则。虽然公司有手册，但总经理利用职权绕过控制，指示财务人员违规确认收入，破坏了诚信与道德价值观（控制环境）和收入确认的控制活动。②问题(2)：不相容职务未分离。违背了“不相容职务分离”原则。采购员一人包办供应商选择、询价和签约，极易产生舞弊（吃回扣），导致采购价格虚高，缺乏制衡机制。③问题(3)：出纳员职责过重，严重违反不相容职务分离。违背了“不相容职务分离”和“资产安全”原则。出纳员兼任日记账登记（虽允许）、编制银行存款余额调节表（禁止，属于记账与稽核不分）、保管会计档案（禁止，资产记录与保管资产记录不分）。这为出纳员掩盖贪污或挪用资金提供了极大便利。④问题(4)：信息系统一般控制失效，缺乏业务连续性管理。违背了“信息与沟通”及“风险评估”原则。IT部门缺乏灾备计划，未进行数据备份，导致风险发生时企业无法持续经营，数据安全无法保障。(2)改进建议：①针对管理层凌驾：强化董事会和审计委员会的监督职能，建立举报机制，保护举报人；对财务报表进行严格的独立审计；加强高管职业道德教育。②针对采购业务：实施职责分离，设立独立的采购部门、验收部门和询价小组；建立供应商评估和定期轮换制度；大额采购实行招标或集体决策。③针对出纳业务：严格执行不相容职务分离。银行存款余额调节表应由出纳和会计主管以外的第三人编制；会计档案应由专人保管，出纳不得接触；实行定期轮岗制度。④针对信息系统：建立完善的信息系统一般控制，包括数据备份与恢复策略（异地容灾）、系统访问控制、病毒防护和应急响应计划。2.案例背景：B公司是一家高科技企业，正处于研发新产品的关键时期。该项目的成功与否直接关系到公司未来五年的生存与发展。研发项目预算为5000万元。为了评估项目风险，公司风险管理小组收集了以下数据：市场竞争加剧导致产品定价压力的概率为30%，若发生，预计将减少收入2000万元。核心技术攻关失败的概率为10%，若发生，项目将完全失败，损失全部投入5000万元。原材料价格上涨的概率为50%，若发生，成本增加1000万元。同时，如果核心技术攻关失败，市场竞争加剧的影响将不再考虑（因为项目已终止）。要求：(1)请利用决策树法或概率分析法，计算该研发项目的期望损失金额。(2)假设B公司可采取以下两种应对措施，请从定量角度分析哪种更优？措施甲：购买原材料期货合约，对冲价格上涨风险。成本为50万元，可完全消除原材料价格上涨的影响。措施乙：聘请外部专家团队协助研发，成本为200万元，可将核心技术攻关失败的概率降低至5%。(3)除了定量分析，企业在进行风险应对决策时还应考虑哪些定性因素？【答案】(1)计算期望损失：我们需要计算各种情景下的损失值。设L为损失。情景1：技术攻关失败（概率10%）。损失=5000万元。情景2：技术攻关成功（概率90%）。在此情况下：a.原材料价格上涨（概率50%）：i.市场竞争加剧（概率30%）：损失=1000+2000=3000万元。ii.市场竞争未加剧（概率70%）：损失=1000万元。b.原材料价格未上涨（概率50%）：i.市场竞争加剧（概率30%）：损失=2000万元。ii.市场竞争未加剧（概率70%）：损失=0万元。计算期望值E(L)：E======1490(2)措施对比分析：原期望损失为1490万元。采取措施甲（对冲原材料风险）：成本：50万元。剩余风险：技术风险和市场风险。计算新期望损失(L技术失败（10%）：损失5000。技术成功（90%）：市场竞争加剧（30%）：损失2000（原材料风险已消除）。市场竞争未加剧（70%）：损失0。(L总成本=措施成本+剩余风险期望损失=50+采取措施乙（降低技术风险）：成本：200万元。新技术失败概率：5%。新技术成功概率：95%。计算新期望损失(L技术失败（5%）：损失5000。技术成功（95%）：原材料上涨（50%）：市场竞争加剧（30%）：3000。无：1000。原材料不涨（50%）：市场竞争加剧（