自考内部控制与风险管理模拟试题及答案

自考内部控制与风险管理模拟试题及答案一、单项选择题（本大题共20小题，每小题1分，共20分）1.在COSO整合框架中，内部控制的五个要素不包括（）。A.控制环境B.风险评估C.监督D.战略目标2.下列关于内部控制“局限性”的描述中，错误的是（）。A.内部控制的设计和运行受制于成本与效益原则B.内部控制可能因执行人员的粗心大意而失效C.内部控制能够绝对防止所有的舞弊和错误D.内部控制可能因管理人员违规凌驾而失效3.风险管理流程中，首要的步骤是（）。A.风险识别B.风险评估C.风险应对D.风险监控4.某企业规定“采购人员不得负责会计记录”，这体现的是内部控制中的（）。A.不相容职务分离控制B.授权审批控制C.会计系统控制D.财产保护控制5.在ERM（企业风险管理）框架中，风险偏好是指（）。A.企业在追求价值过程中所愿意承受的广泛风险的数量B.企业在实现目标过程中可以接受的具体风险水平C.企业对风险发生的可能性的度量D.企业对风险发生后影响程度的度量6.下列各项中，属于预防性控制的是（）。A.定期进行银行存款余额调节表编制B.仓库管理人员对存货进行定期盘点C.对采购订单进行连续编号D.内部审计部门对财务报表进行审计7.控制环境是内部控制的基石，其构成要素不包括（）。A.诚信与道德价值观B.治理结构C.组织结构D.风险应对策略8.某公司为了应对原材料价格波动风险，与供应商签订了长期固定价格合同。这种风险应对策略属于（）。A.风险规避B.风险降低C.风险分担D.风险承受9.下列关于“管理层越权”的表述中，正确的是（）。A.只有高层管理人员才能越权B.内部控制无法完全防止管理层越权C.管理层越权通常是由于内部控制设计缺陷造成的D.管理层越权不属于内部控制需要考虑的问题10.在风险评估中，通常采用定性或定量的方法来分析风险。下列属于定量分析的是（）。A.专家打分法B.德尔菲法C.计算期望值D.风险矩阵法11.内部审计部门在内部控制中的职责主要是（）。A.设计内部控制制度B.执行日常业务操作C.对内部控制的运行情况进行监督和评价D.批准重大经济业务12.有效的信息与沟通系统应当确保（）。A.信息仅供管理层使用B.信息能够及时、准确地传递给相关人员C.信息的保密性高于一切，即使影响效率D.只有财务信息需要被记录和报告13.下列属于“检查性控制”的是（）。A.设置密码登录系统B.将现金收入与销售记录进行核对C.招聘时进行背景调查D.限制非授权人员进入机房14.企业在进行风险识别时，需要关注外部因素和内部因素。下列属于外部因素的是（）。A.新员工入职B.信息系统升级C.法律法规的变化D.质量管理体系的变更15.COSO委员会发布的《企业风险管理——整合框架》中，将风险管理分为（）个要素。A.5B.6C.7D.816.关于“职责分离”，下列说法错误的是（）。A.授权某项经济业务的人员应与执行该业务的人员分离B.执行某项经济业务的人员应与记录该业务的人员分离C.为了节约成本，小企业可以忽略职责分离D.资产保管人员应与资产记录人员分离17.企业在建立内部控制时，应当遵循全面性原则。全面性原则要求（）。A.内部控制应当覆盖企业所有的业务流程和人员B.内部控制只需要覆盖高风险领域C.内部控制只需要覆盖财务部门D.内部控制只需要覆盖管理层18.风险地图（风险矩阵）的主要作用是（）。A.识别风险B.评估风险发生的可能性和影响程度C.制定风险应对策略D.监控风险19.某企业为了降低信用风险，要求客户在赊销前提供担保。这种措施属于（）。A.风险规避B.风险降低C.风险分担（转移）D.风险承受20.在内部控制的监督活动中，持续监督与单独评价相比，其特点是（）。A.针对性强，能够深入评估特定控制B.及时性高，能够动态地发现问题C.由外部审计师执行D.通常在年度结束时进行二、多项选择题（本大题共10小题，每小题2分，共20分。多选、少选、错选均不得分）21.COSO内部控制整合框架中，风险评估的过程包括（）。A.确定目标B.识别风险C.分析风险D.应对风险22.常见的风险应对策略包括（）。A.规避B.降低C.分担D.承受23.内部控制的目标主要包括（）。A.经营的效率和效果B.财务报告的可靠性C.遵守适用的法律法规D.实现企业利润最大化24.下列属于“控制活动”要素的具体内容有（）。A.绩效指标考核B.交易授权C.职责分离D.实物控制25.企业在识别内部风险时，应关注（）。A.董事、监事、经理及其他高级管理人员的职业操守B.组织机构、经营方式、资产管理、业务流程等管理因素C.研究开发、技术投入、信息技术运用等自主创新因素D.财务状况、经营成果、现金流量等财务因素26.有效的反舞弊机制通常包括（）。A.诚信和道德价值观的倡导B.建立举报和投诉机制C.定期进行舞弊风险评估D.对舞弊行为进行严厉惩处27.信息系统的一般控制包括（）。A.数据中心运作控制B.系统软件控制C.访问安全控制D.应用系统开发与维护控制28.关于控制环境的说法，正确的有（）。A.它是其他内部控制要素的基础B.它决定了企业的风险基调C.它包括员工的胜任能力D.它一旦确立，就无需改变29.下列属于“应用控制”的是（）。A.输入数据的校验（如数字格式、逻辑检查）B.处理控制（如批处理汇总、计算核对）C.输出控制（如输出报告的分发控制）D.机房门禁管理30.内部控制评价报告应当披露的内容包括（）。A.董事会对内部控制报告真实性的声明B.内部控制评价工作的总体情况C.内部控制评价的依据D.内部控制缺陷及其整改情况三、名词解释（本大题共5小题，每小题3分，共15分）31.内部控制32.风险评估33.不相容职务34.穿行测试35.剩余风险四、简答题（本大题共5小题，每小题6分，共30分）36.简述内部控制的局限性。37.简述COSO框架中“信息与沟通”要素的主要内容。38.简述企业风险管理（ERM）与内部控制之间的关系。39.简述风险识别的主要方法。40.简述内部审计在风险管理中的作用。五、计算题（本大题共1小题，共10分）41.某企业正在评估一项新产品的投资项目。经过市场分析，该项目面临两种主要的市场风险状态：状态一：市场繁荣，预计发生的概率为0.6，此时项目收益为500万元；状态二：市场衰退，预计发生的概率为0.4，此时项目收益为-200万元（即亏损）。企业现有风险应对方案A和方案B：方案A：不采取任何额外措施，直接承担风险。方案B：购买一份保险，保险费为40万元。若市场衰退，保险公司将赔付200万元，弥补亏损；若市场繁荣，则无赔付。要求：（1）计算方案A的期望收益。（2）计算方案B的期望收益。（3）根据期望收益原则，企业应选择哪个方案？（需列出计算过程）六、案例分析题（本大题共2小题，每小题15分，共30分）42.案例背景：A公司是一家从事电子产品生产和销售的大型股份制企业。近年来，随着业务规模的迅速扩大，管理问题逐渐凸显。近期，公司发生了以下事件：(1)公司销售部经理李某拥有极大的权力，他不仅负责客户的信用审批，还负责销售合同的签订以及最终的货款回收。最近发现，李某为了完成销售业绩指标，擅自放宽信用政策，向一家信用状况不佳的公司赊销了大量产品，导致该笔货款至今无法收回，形成坏账。(2)公司的仓库管理混乱。原材料和成品的出入库记录经常不及时，仓库管理员王某利用职务之便，多次将贵重的电子芯片带出仓库变卖，直到年度盘点时才发现芯片短缺严重。(3)公司虽然设立了内部审计部门，但内审人员直接向总经理汇报工作。在调查上述李某和王某的事件时，内审人员受到了总经理的干预，要求“大事化小”，以免影响公司声誉。要求：根据COSO内部控制整合框架，分析A公司在内部控制方面存在的主要缺陷，并针对这些缺陷提出改进建议。43.案例背景：B公司是一家专注于互联网软件开发的高新技术企业。为了在激烈的市场竞争中保持优势，公司决定研发一款全新的社交APP。该项目投资巨大，且技术门槛高。在项目启动初期，风险管理委员会组织了一次风险评估会议，识别出以下关键风险：1.技术风险：核心技术可能无法攻克，导致项目延期或失败。2.市场风险：产品推出后，用户可能不认可，导致市场占有率低。3.法律风险：产品可能涉及侵犯第三方知识产权，导致诉讼。4.人才风险：核心研发人员可能被竞争对手高薪挖走。针对上述风险，公司管理层讨论了应对策略：对于技术风险，由于公司技术储备较强，决定自行研发，不外包。对于市场风险，决定投入大量资金进行广告宣传，并采用小范围试运行的方式收集用户反馈。对于法律风险，决定聘请专业律师事务所对代码进行合规审查。对于人才风险，决定与核心研发人员签订竞业禁止协议，并提供期权激励。要求：(1)请运用风险应对策略的理论（规避、降低、分担、承受），分析B公司对上述四类风险分别采取了哪种策略？(2)请结合B公司的实际情况，为其设计一套针对“人才风险”的进一步监控机制，以确保该风险处于可控范围内。一、单项选择题答案及解析1.【答案】D【解析】COSO整合框架（1992年发布，1994年修订）明确提出了内部控制的五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。战略目标属于COSOERM（2004）框架中的目标分类（战略、经营、报告、合规），不属于内部控制要素本身。2.【答案】C【解析】内部控制的局限性是客观存在的。无论内部控制设计得多么完善，都只能提供“合理的保证”，而不能提供“绝对的保证”。选项C称“能够绝对防止所有的舞弊和错误”过于绝对，违背了内部控制的基本原理。3.【答案】A【解析】风险管理是一个循环的过程。首先必须识别风险，知道风险在哪里，才能进行后续的评估、应对和监控。因此，风险识别是首要步骤。4.【答案】A【解析】不相容职务是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。采购负责购买业务，会计记录负责账务，两者分离属于典型的不相容职务分离控制。5.【答案】A【解析】在ERM框架中，风险偏好是指企业在追求价值过程中所愿意承受的广泛风险的数量。它反映了企业的风险理念。选项B描述的是风险容忍度。6.【答案】C【解析】预防性控制旨在为了防止错误和舞弊的发生，在事前进行防范。对采购订单进行连续编号，可以防止业务记录的遗漏或重复，属于预防性控制。选项A、B、D均属于事后或过程中的检查性控制。7.【答案】D【解析】控制环境包括：诚信与道德价值观、治理结构、组织结构、权责分配、胜任能力、人力资源政策、企业文化等。风险应对策略属于“风险评估”或“风险应对”环节的内容，不属于控制环境的基础要素。8.【答案】A【解析】签订长期固定价格合同，将价格锁定，从而消除了价格波动的风险。这是通过改变业务模式来消除风险源，属于风险规避。如果是通过期货进行套期保值，则属于风险分担（转移）。9.【答案】B【解析】管理层越权是指管理层违规凌驾于内部控制之上。这是内部控制最难应对的问题之一，因为内部控制的设计和执行往往依赖于管理层。内部控制无法完全防止管理层凌驾，只能通过合理的治理结构（如董事会、审计委员会）来监督。10.【答案】C【解析】定量分析主要利用数据模型和数学方法计算风险值。计算期望值属于定量分析方法。专家打分法、德尔菲法、风险矩阵法通常被归类为定性分析方法（尽管矩阵法结合了定量维度，但本质上依赖定性判断）。11.【答案】C【解析】内部审计的职责是独立监督和评价内部控制的有效性。设计制度通常是管理层或专业咨询机构的职责；执行业务是业务部门的职责；批准业务是管理层的授权职责。12.【答案】B【解析】信息与沟通系统必须确保相关信息能够被识别、获取，并以适当的形式、在规定的时间范围内传递给相关人员，以便其履行职责。13.【答案】B【解析】检查性控制旨在为了在错误或舞弊发生之后（或过程中）及时detect（发现）出来。将现金收入与销售记录核对，是为了发现是否存在截留挪用或记录错误，属于检查性控制。选项A、C、D属于预防性控制。14.【答案】C【解析】外部因素包括：法律、经济、技术、自然环境、市场竞争等。法律法规的变化属于典型的外部因素。选项A、B、D均属于企业内部因素。15.【答案】D【解析】COSO《企业风险管理——整合框架》（2004）包含8个要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。注：2017年更新的ERM框架将要素整合为了5个（治理与文化、战略与目标设定、执行、审查与修订、信息沟通与报告），但自考教材通常以经典的2004版8要素为准。此处按经典8要素出题。16.【答案】C【解析】职责分离是内部控制的核心。虽然小企业资源有限，但基本的职责分离原则仍应遵循，不能因为成本而完全忽略，否则会带来巨大的风险成本。可以通过所有者亲自监督等方式弥补，但不能直接忽略。17.【答案】A【解析】全面性原则要求内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。18.【答案】B【解析】风险地图（或称热力图）是一个二维矩阵，横轴通常表示影响程度，纵轴表示可能性，用于直观地展示风险的大小，即评估风险发生的可能性和影响程度。19.【答案】C【解析】要求客户提供担保，是将信用违约的风险转移给担保人。如果客户违约，企业可以向担保人追偿。这属于风险分担（转移）策略。20.【答案】B【解析】持续监督是在企业日常经营活动中进行的，嵌入在管理流程中，具有及时性高、动态性的特点。单独评价（如年度内控评价）通常定期进行，针对性强，但及时性不如持续监督。二、多项选择题答案及解析21.【答案】A,B,C,D【解析】根据COSO框架，风险评估是一个完整的过程，包括目标设定（确定目标）、事项识别（识别风险）、风险分析（分析风险发生可能性和影响）、风险应对（制定应对策略）。22.【答案】A,B,C,D【解析】这四项是ERM框架中明确提出的四种基本风险应对策略。23.【答案】A,B,C【解析】COSO框架定义的内部控制目标主要有三个：经营的效率和效果、财务报告的可靠性、法律法规的遵循性。选项D“实现企业利润最大化”是企业的商业目标，并非内部控制直接保证的目标，内控是为实现此目标提供合理保证。24.【答案】A,B,C,D【解析】控制活动包含了一系列具体的政策和程序。绩效指标考核（分析性控制）、交易授权、职责分离、实物控制（资产安全）均属于控制活动的范畴。25.【答案】A,B,C,D【解析】识别内部风险需要关注企业内部的各种因素。包括人力资源因素（A）、管理因素（B）、自主创新因素（C）、财务因素（D）等。26.【答案】A,B,C,D【解析】反舞弊机制需要多管齐下。倡导诚信（A）是基础；建立举报机制（B）是发现渠道；定期评估（C）是预防；严厉惩处（D）是威慑。四项均正确。27.【答案】A,B,C,D【解析】信息系统一般控制（ITGeneralControls,ITGC）适用于所有应用系统，确保IT环境持续稳定。包括数据中心运作、系统软件、访问安全、系统开发维护等。选项D属于应用控制。28.【答案】A,B,C【解析】控制环境确实是基础（A），决定了风险基调（B），包括胜任能力（C）。但控制环境不是一成不变的，随着企业战略、外部环境的变化，控制环境也需要调整和优化，故D错误。29.【答案】A,B,C【解析】应用控制（ITApplicationControls,ITAC）是指针对具体业务应用系统的控制。输入、处理、输出控制是应用控制的三个主要环节。机房门禁属于一般控制中的物理安全。30.【答案】A,B,C,D【解析】根据《企业内部控制评价指引》，内部控制评价报告应当包括董事会对报告真实性的声明、评价工作总体情况、评价依据、缺陷认定及整改情况等内容。三、名词解释答案及解析31.【答案】内部控制：由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。它是通过一系列制度、程序和方法，对企业的风险进行管理，为企业经营的效率效果、财务报告的可靠性、法律法规的遵循性提供合理保证。32.【答案】风险评估：是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程。它包括目标设定、风险识别、风险分析和风险应对等环节。33.【答案】不相容职务：是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。通常包括：授权批准与业务执行、业务执行与会计记录、会计记录与财产保管、业务经办与审核稽核等。34.【答案】穿行测试：是指在了解内部控制时，审计人员或评价人员选取一笔或少数几笔具有代表性的交易或事项，追踪其从发生到最终在财务报告中反映的整个过程，即沿着业务流程轨迹，检查相关控制点是否得到执行的一种测试方法。35.【答案】剩余风险：是指企业在实施了风险应对策略（如控制活动、风险分担等）之后，仍然残留的风险。它是企业需要重点监控和管理的风险，因为管理层必须判断剩余风险是否在企业的风险可承受范围（风险容忍度）之内。四、简答题答案及解析36.【答案】内部控制的局限性主要体现在以下几个方面：(1)在决策过程中人为判断可能出现错误或因人为失误而导致内部控制失效。例如，由于误解规定、疲劳、分心等原因导致错误。(2)内部控制可能由于两个或更多的人员串通舞弊而被规避。不相容职务分离虽然有效，但相关人员合谋可以破坏控制。(3)内部控制可能由于管理层滥用职权或凌驾于内部控制之上而被规避。管理层拥有权限，可以无视既定的控制程序。(4)内部控制的设计和运行受制于成本与效益原则。企业不可能为了控制而无限制地投入资源，如果实施控制的成本超过其带来的收益，该控制可能会被舍弃。(5)内部控制一般针对常规业务设计，对于非常规业务或未预料到的事项可能无法发挥作用。37.【答案】COSO框架中“信息与沟通”要素的主要内容包括：(1)信息：企业必须识别、获取和处理来自外部和内部的相关信息，以支持企业的经营、决策和报告。获取：利用信息系统从内部和外部获取数据。获取：利用信息系统从内部和外部获取数据。处理：将原始数据转化为有用的信息。处理：将原始数据转化为有用的信息。报告：将信息以适当的形式（如报告、dashboard）传递给使用者。报告：将信息以适当的形式（如报告、dashboard）传递给使用者。(2)沟通：确保信息在企业内部以及企业与外部之间有效传递。内部沟通：信息必须自上而下、自下而上以及横向地在组织内部流动。员工必须知晓其职责和控制责任。内部沟通：信息必须自上而下、自下而上以及横向地在组织内部流动。员工必须知晓其职责和控制责任。外部沟通：与客户、供应商、监管者、股东等进行有效沟通，获取外部信息并反馈企业情况。外部沟通：与客户、供应商、监管者、股东等进行有效沟通，获取外部信息并反馈企业情况。(3)信息系统：不仅要处理财务信息，还要处理非财务信息（如运营数据、合规信息）。38.【答案】企业风险管理（ERM）与内部控制之间的关系：(1)内部控制是ERM的组成部分。COSOERM框架明确包含了内部控制的五个要素，并将其扩展为八个要素。内部控制关注的是更具体的控制目标和程序。(2)ERM涵盖了更广泛的范围。内部控制主要针对经营效率、财务报告可靠性和合规性；而ERM扩展到了战略目标，并将风险识别、评估和应对提升到了战略高度。(3)ERM比内部控制更侧重于风险。内部控制侧重于建立控制政策和程序来防止错误和舞弊；ERM则侧重于主动识别和管理各类不确定性，既包括负面风险（损失），也包括正面风险（机会）。(4)两者在实务中密不可分。有效的风险管理依赖于健全的内部控制体系作为基础保障；而内部控制的设计也需要以风险评估为前提。39.【答案】风险识别的主要方法包括：(1)流程图分析法：通过绘制业务流程图，对每个环节进行分析，识别潜在风险点。(2)财务报表分析法：通过分析资产负债表、利润表、现金流量表等财务数据，识别财务风险。(3)事件树分析法/故障树分析法：从初始事件出发，分析各种可能的后果路径，或从结果倒推原因。(4)专家调查法：利用专家的经验和知识，通过访谈、问卷等方式识别风险。(5)头脑风暴法：召集相关人员，在无拘无束的氛围中集思广益，提出潜在风险。(6)情景分析法：通过构建不同的未来情景，分析在各种情景下可能面临的风险。(7)SWOT分析法：通过分析企业的优势、劣势、机会和威胁，识别内部和外部风险。(8)行业标杆分析法：通过与同行业优秀企业对比，识别自身管理上的差距和潜在风险。40.【答案】内部审计在风险管理中的作用：(1)评估与评价：内部审计部门对企业风险管理流程的充分性和有效性进行独立评估，检查风险识别是否全面，评估是否客观，应对是否恰当。(2)咨询与建议：内部审计可以充当风险管理顾问，协助管理层识别风险，完善风险管理制度，提供改进建议。(3)协调与沟通：内部审计可以促进董事会、管理层以及各职能部门之间关于风险信息的沟通。(4)监督与监控：对已建立的风险控制措施的执行情况进行持续监督，确保其正常运行。(5)参与风险管理文化建设：通过培训和宣传，推动全员风险管理意识的提高。五、计算题答案及解析41.【答案】（1）计算方案A的期望收益：方案A不采取任何措施，直接承担市场波动带来的收益或亏损。设为方案A的期望收益。根据期望值计算公式：E===（2）计算方案B的期望收益：方案B支付保险费40万元。若市场繁荣（概率0.6）：收益为50040若市场衰退（概率0.4）：亏损-200万元，但保险赔付200万元，抵消亏损，净收益为040或者理解为：经营净收益+保险赔付保险费。繁荣期：500+衰退期：−200设为方案B的期望收益。===（3）决策建议：比较两个方案的期望收益：==因为>，即260>根据期望收益最大化原则，企业应选择方案B（购买保险）。【解析】本题考察风险应对策略的成本效益分析。通过计算不同策略下的期望值，量化比较风险决策的经济后果。方案B虽然支付了保险费，但锁定了下行风险，使得整体期望收益高于不投保的方案A。六、案例分析题答案及解析42.【答案】A公司存在的内部控制缺陷及改进建议如下：缺陷1：销售部经理李某权力过于集中，违背了不相容职务分离原则。具体表现：李某同时负责客户信用审批、签订合同、货款回收。这属于典型的“三权合一”，极易导致为了业绩而盲目赊销，或者发生截留货款的舞弊行为。改进建议：(1)建立独立的信用管理部门（或岗位），专门负责客户的信用调查和信用额度审批，与销售部门分离。(2)销售部门负责洽谈业务和签订合同，但无权审批信用额度。(3)货款回收应由财务部门负责，或者设立专门的收款员，销售人员不得直接经手现金或直接控制回款账户。缺陷2：资产管理控制薄弱，缺乏实物安全控制。具体表现：仓库管理混乱，出入库记录不及时，导致管理员王某监守自盗，且未能及时发现。改进建议：(1)建立严格的存货出入库登记制度，确保所有物资流动都有实时记录。(2)实行职责分离，仓库保管员与会计记录人员（存货明细账）分离。(3)安装监控设备，限制非授权人员进入仓库。(4)实施定期和不定期的存货盘点制度，确保账实相符。缺陷3：内部审计缺乏独立性，且监督失效。具体表现：内审人员向总经理汇报，导致在调查违规事件时受到管理层干预，无法客观公正地履行监督职责。改进建议：(1)改变内部审计的报告路线。内部审计部门应直接向董事会或其下设的审计委员会报告，以确保其在行政和职能上的独立性，不受管理层制约。(2)建立举报投诉制度和举报人保护制度，鼓励员工和外部人员检举舞弊行为。(3)对于发现的内部控制缺陷和舞弊行为，应建立严格的追踪整改机制，不能“大事化小”。缺陷4：控制环境存在问题，管理层诚信度与道德价值观缺失。具体表现：总经理为了公司声誉干预审计，掩盖问题，表明管理层缺乏合规意识。改进建议：(1)董事会应加强对管理层的监督，强化高层的合规意识和职业道德。(2)建立明确的奖惩机制，对违规行为进行严肃处理，树立良好的企业文化。43.【答案】(1)B公司风险应对策略分析：1.技术风险：风险承受（或风险降低）。分析：公司决定自行研发，不外包。这意味着公司选择利用自身技术储备来应对挑战。如果公司确信自己能攻克，这属于基于自身能力的风险承受；如果研发过程中采取了迭代测试等措施，也包含风险降低的成分。但相对于“规避”（放弃项目）和“分担”（外包），这里主要体现为依靠自身能力承担风险。更准确地说，如果是基于自信且不采取额外措施分担，可视为承受；如果是投入资源加强研发力量，可视为降低。在此语境下，通常认为“不外包”是保留了风险，即承受，或者通过加强内部控制（自主研发能力）来降低失败概率。鉴于题目提到“技术储备较强”，倾向于风险承受。2.市场风险：风险降低。分析：公司投入广告宣传是为了提升产品认知度，减少用户不认可的风险；采用小范围试运行是为了提前发现问题，降低全面推出失败的风险。这些措施都是在改变风险发生的可能性或影响，属于典型的风险降低（缓解）策略。3.法律风险：风险分担（转移）。分析：公司聘请律师事务所进行合规审查。这实际上是在利用外部专家的专业服务来降低风险，且通常涉及通过法律意见书来分担责任。如果购买职业责任保险则是转移，此处“聘请律师审查”可以视为一种通过合同方式利用外部专家能力来分担风险管理的责任，或者属于风险降低。但在考试分类中，利用外部专业机构辅助通常被视为一种风险分担（利用外部资源分担管理压力）或降低。更标准的“分担”通常指保