《内部控制与风险管理》在线作业答案

《内部控制与风险管理》在线作业答案一、单项选择题（本大题共20小题，每小题2分，共40分）1.在COSO整合框架中，内部控制的五大要素不包括以下哪一项？A.控制环境B.风险评估C.监督活动D.战略目标设定2.风险管理的首要步骤是：A.风险识别B.风险评估C.风险应对D.风险监控3.下列哪项不属于“不相容职务分离”控制的具体应用？A.记录应收账款的人员不应负责批准信用限额B.仓库保管员负责登记存货明细账C.采购人员负责签发支票D.出纳人员不得兼任会计档案保管4.关于控制环境在内部控制体系中的作用，下列描述最准确的是：A.它是内部控制体系的最高层次，决定了一个组织的基调B.它主要关注财务报表的准确性C.它仅与企业高层管理者的道德有关D.它是一套具体的规章制度5.某企业为了应对原材料价格波动风险，决定与供应商签订长期固定价格合同。这种风险应对策略属于：A.风险规避B.风险降低C.风险分担D.风险承受6.在进行风险评估时，通常需要考虑风险发生的可能性和影响程度。如果某风险发生的可能性极低，但一旦发生将导致企业破产，该风险属于：A.关键风险B.重要风险C.一般风险D.可忽略风险7.内部审计部门在内部控制中的主要职责是：A.设计内部控制制度B.执行日常业务操作C.对内部控制的有效性进行监督和评价D.批准重大交易8.下列关于“职责分离”原则的表述中，错误的是：A.旨在通过职责划分来防范错误和舞弊B.一项业务的全流程不应由一个人或一个部门单独处理C.对于小型企业，由于人员限制，可以完全不执行职责分离D.授权、批准、执行、记录、保管等职责应尽量分离9.企业的风险管理文化应当融入其日常运营。以下哪种行为最能体现良好的风险管理文化？A.员工严格遵守操作规程，即使会降低短期效率B.管理层只在年末进行风险评估C.只有内部审计人员关心风险控制D.为了追求业绩，员工偶尔绕过控制程序10.穿行测试是了解和测试内部控制的一种常用方法，其目的是：A.检查内部控制是否得到一贯执行B.验证财务数据的准确性C.追踪交易在财务报告信息系统中的处理流程D.评估管理层的诚信度11.根据COSO框架，信息与沟通要素关注的是：A.识别和评估内外部风险B.确保员工获取执行职责所需的信息C.制定具体的控制活动D.对内部控制进行持续监督12.某公司发现其销售部门存在为了完成销售指标而大量向信用状况不佳的客户赊销的情况。这属于哪种类型的内部控制缺陷？A.设计缺陷B.运行缺陷C.人员缺陷D.环境缺陷13.在风险管理中，“风险敞口”是指：A.风险发生后的损失金额B.企业暴露在风险下的资产或业务规模C.风险发生的概率D.风险应对的成本14.下列哪项属于预防性控制？A.定期盘点存货B.编制银行存款余额调节表C.限制未经授权的人员访问系统D.对异常交易进行调查15.企业建立反舞弊机制时，核心的“舞弊三角”理论不包括：A.压力B.自我合理化C.机会D.贪婪16.控制活动的类型包括：A.业绩评价、信息处理、实物控制、职责分离B.风险识别、风险分析、风险应对C.目标设定、事项识别、风险评估D.监督、沟通、环境建设17.关于“实质重于形式”原则在内部控制中的应用，下列说法正确的是：A.只要形式上符合规定，即使实质上存在漏洞也是有效的B.应关注控制是否实质上发挥了作用，而非仅仅停留在书面制度上C.该原则仅适用于会计核算，不适用于内部控制D.内部审计只需检查书面记录即可18.在采购与付款循环中，验收单应当至少传递给以下哪个部门？A.人事部B.采购部C.财务部D.销售部19.风险偏好是指：A.企业愿意承担的风险种类B.企业在追求目标过程中愿意接受的风险数量C.企业实际面临的风险水平D.企业无法控制的外部风险20.以下哪项技术属于连续性监督控制活动？A.每月由内部审计进行的检查B.嵌入在ERP系统中的自动异常数据报告C.季度管理层对控制报告的审阅D.年度内部控制自我评价二、多项选择题（本大题共10小题，每小题3分，共30分。多选、少选、错选均不得分）21.COSO《内部控制——整合框架》中定义的内部控制目标包括：A.经营目标B.财务报告目标C.合规目标D.战略目标22.常见的风险应对策略有哪些？A.规避B.承受C.降低D.分担23.有效的控制环境应具备的要素包括：A.诚信原则和道德价值观B.治理结构C.组织结构D.权责分配方法24.下列哪些属于内部控制的局限性？A.人员的判断失误B.管理层凌驾于控制之上C.串通舞弊D.成本效益原则的约束25.在销售与收款循环中，关键的内部控制点包括：A.销售合同审批B.信用额度审核C.发货与开票职责分离D.定期对账26.企业进行风险评估时，需要考虑的外部因素包括：A.宏观经济政策B.行业竞争状况C.技术进步D.员工素质27.信息系统的一般控制包括：A.数据中心运行控制B.系统软件管理C.访问安全控制D.应用系统开发与维护控制28.下列属于检查性控制的有：A.编制预算与实际执行情况的对比分析报告B.供应商主数据变更的审批C.银行存款余额调节表的编制与审核D.存货的定期盘点29.董事会及审计委员会在内部控制中的职责包括：A.监督管理层对内部控制的执行B.批准重大的风险应对策略C.负责内部控制的日常运行D.聘请外部审计师30.风险管理信息与沟通系统应当确保：A.信息能够被及时识别和获取B.信息能够准确地传递给相关人员C.员工有渠道报告异常情况D.外部信息能够被有效整合三、判断题（本大题共15小题，每小题2分，共30分）31.内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。32.风险评估只需要在年初进行一次，即可满足全年管理需求。33.只要建立了完善的内部控制制度，就一定能防止所有的舞弊和错误。34.职责分离不仅适用于物理层面的岗位分工，也适用于信息系统中的权限设置。35.内部控制制度的建立应当遵循成本效益原则，即控制成本不应超过由此产生的收益。36.管理层凌驾是内部控制无法通过制度设计完全消除的固有局限性。37.预防性控制主要用于事后发现已经发生的错误，而检查性控制用于事前防止错误。38.企业在制定风险应对策略时，必须对所有识别出的风险都进行详细的分析和应对。39.有效的监督活动应当包括日常监督和专项评价。40.穿行测试通常是在了解业务流程时使用，通过抽取少量样本追踪整个流程。41.控制环境的优劣直接决定了企业其他内部控制要素能否有效发挥作用。42.企业在进行风险排序时，应优先关注“可能性高、影响大”的风险。43.外部审计师对内部控制的审计意见可以直接替代企业管理层的责任。44.信息系统的安全性控制属于应用控制，不属于一般控制。45.风险分担策略通常通过购买保险或外包业务来实现。四、简答题（本大题共5小题，每小题8分，共40分）46.简述COSO框架中“控制环境”包含的主要内容，并说明其为何是内部控制的基础。47.什么是“不相容职务分离”？请列举出货币资金业务中至少三组应当分离的不相容职务。48.简述风险识别的主要方法，并说明定性风险评估与定量风险评估的区别。49.企业在构建内部控制体系时，应如何平衡“控制有效性”与“运行效率”之间的关系？50.描述“管理层凌驾”风险产生的原因及常见的防范措施。五、案例分析题（本大题共3小题，每小题15分，共45分）51.案例背景：A公司是一家大型制造企业，近年来业务快速扩张。为了提升管理效率，公司引入了先进的ERP系统。然而，在最近的一次内部审计中发现，尽管ERP系统功能强大，但库存管理环节存在严重问题。具体表现为：仓库管理员拥有在系统中直接录入采购入库单和修改库存数据的权限；当生产线需要领料时，仓库管理员根据口头指令直接发货，事后补录出库单；由于缺乏定期的独立盘点，年底盘点发现库存短缺高达500万元，且无法查明具体原因。问题：(1)请指出A公司在库存管理内部控制中存在的缺陷。(2)根据上述缺陷，可能导致什么样的后果？(3)请提出针对性的改进建议。52.案例背景：B公司为一家上市公司，其董事会下设审计委员会。由于公司业绩压力巨大，总经理在未经过董事会正式审批的情况下，指示财务部将一笔应当费用化的研发支出资本化处理，从而虚增了当期利润和资产。财务经理虽然知道此举不符合会计准则，但在总经理的高压下，安排会计人员进行了违规账务处理。公司内部审计部门在例行审计中发现了该问题，并向审计委员会报告。审计委员会随后介入调查，并要求管理层进行调整。问题：(1)本案例中体现了哪些内部控制的失效环节？(2)总经理的行为属于哪种类型的风险？请结合“舞弊三角”理论进行分析。(3)评价B公司内部审计和审计委员会的作用，并说明如何进一步完善治理结构以防范此类风险。53.案例背景：C公司是一家从事跨境电商业务的企业。随着国际贸易环境的变化，汇率波动和关税政策调整成为主要风险。此外，公司面临客户信用卡欺诈交易的威胁。目前，C公司尚未建立系统的风险管理机制。财务部门仅负责事后核算，对于汇率变动带来的汇兑损失只能被动接受；客服部门在收到欺诈投诉后才进行退款处理，导致资金损失较大。问题：(1)识别C公司面临的主要风险类别。(2)针对汇率波动风险，请设计具体的风险应对策略（至少两种）。(3)针对信用卡欺诈风险，请设计一套包含预防、发现和应对的内部控制流程。六、计算题（本大题共2小题，每小题15分，共30分）54.某企业正在评估一项新产品的开发项目。经过风险识别，该项目面临市场需求不确定的风险。根据市场分析预测：(1)市场需求高涨的概率为30%，此时项目收益为2000万元；(2)市场需求一般的概率为50%，此时项目收益为500万元；(3)市场需求低迷的概率为20%，此时项目亏损为800万元。要求：(1)计算该项目收益的期望值。(2)如果企业设定的风险容忍度为亏损不超过500万元，请计算该项目的风险敞口（即在最坏情况下的超额损失，如果存在的话）。(3)假设企业可以购买一份保险，在市场需求低迷时赔付600万元，保险费为100万元。请计算购买保险后期望收益是否增加，并给出决策建议。55.某工厂生产过程中，由于设备老化，发生火灾事故的概率估计为0.5%（即0.005）。一旦发生火灾，预计造成的直接经济损失为1000万元，停工损失为200万元。(1)计算该风险的年度预期损失（ExpectedLoss）。(2)工厂考虑投入50万元安装一套自动喷淋系统。安装后，火灾发生概率降低至0.1%（0.001），但喷淋系统本身维护费每年为2万元。请计算安装系统后的年度总成本（包含预期损失和维护费）。(3)基于成本效益分析，计算安装喷淋系统每年能为工厂减少多少损失？参考答案与解析一、单项选择题1.【答案】D【解析】COSO整合框架中内部控制的五大要素包括：控制环境、风险评估、控制活动、信息与沟通、监督活动。战略目标设定属于目标设定范畴，不是内部控制的组成要素。2.【答案】A【解析】风险管理的流程通常始于风险识别，即确定哪些风险会影响组织目标，随后才是评估和应对。3.【答案】B【解析】不相容职务分离要求资产保管与记录职务分离。仓库保管员负责存货的实物保管，若同时登记存货明细账（会计记录），则容易发生掩盖资产短缺的舞弊行为。A、C、D均体现了职责分离原则。4.【答案】A【解析】控制环境确立了组织的基调，影响员工的风险和控制意识。它是其他所有内部控制要素的基础。5.【答案】C【解析】签订长期固定价格合同是将价格波动的风险转移给交易对手（供应商），属于风险分担（转移）策略。风险规避是退出产生风险的业务；风险降低是采取措施减小概率或影响；风险承受是被动接受。6.【答案】A【解析】关键风险（或称重大风险）通常指对目标实现有重大影响的风险。虽然发生概率极低，但影响程度（导致破产）极大，因此属于关键风险，必须重点关注。7.【答案】C【解析】内部审计的职责是独立评价内部控制和风险管理的适当性、有效性和效率。设计制度是管理层职责；执行业务是业务部门职责；批准交易是管理层或授权人员职责。8.【答案】C【解析】对于小型企业，虽然人员有限难以完全实现理想的职责分离，但仍需通过管理监督、定期审计等替代性控制来弥补，不能完全不执行。9.【答案】A【解析】良好的风险管理文化体现在员工在日常工作中自觉遵守规则，即使在面临效率压力时也不妥协。B、C、D均体现了风险管理文化的缺失。10.【答案】C【解析】穿行测试是指在每一类交易循环中选择一笔或几笔交易，追踪其从发生到最终记录的整个过程，旨在了解和测试交易流程的内部控制设计。11.【答案】B【解析】信息与沟通要素确保与履行职责相关的信息被识别、获取和传递。A属于风险评估，C属于控制活动，D属于监督。12.【答案】A【解析】题目描述的情况表明制度设计上可能缺乏对信用审批与销售业绩挂钩的制衡，或者制度未能有效防止此类行为，属于设计缺陷（或运行缺陷，视具体语境，此处倾向于制度设计未能有效制衡）。如果制度有规定但未执行，则是运行缺陷。根据题意“为了完成指标...赊销”，通常暗示激励机制或审批流程设计存在问题。13.【答案】B【解析】风险敞口是指企业在特定风险下，可能受到影响的资产、负债或业务活动的规模。14.【答案】C【解析】限制未经授权访问是事前防止非法操作，属于预防性控制。A、B、D均是在事项发生后进行的检查和核对，属于检查性控制。15.【答案】D【解析】舞弊三角理论包括：压力/动机、机会、自我合理化。贪婪属于动机的一种表现，但理论术语中通常不直接列为“贪婪”。16.【答案】A【解析】控制活动包括：不相容职务分离、授权审批、会计系统控制、财产保护控制、预算控制、业绩评价控制、信息处理等。B、C属于风险管理流程，D属于监督。17.【答案】B【解析】内部控制的有效性关键在于执行。实质重于形式要求关注控制是否真正落实，而非仅仅停留在纸面制度。18.【答案】C【解析】验收单证明货物已入库，是财务部确认应付账款、登记资产账的依据，因此必须传递给财务部。19.【答案】B【解析】风险偏好是指企业在追求价值过程中所愿意承担的广泛意义上的风险数量和水平。20.【答案】B【解析】嵌入在系统中的自动报告属于连续性的、由程序自动执行的监督，属于连续性监督。A、C、D均属于单独的评价活动。二、多项选择题21.【答案】A,B,C【解析】1992年COSO框架定义的三大类目标是：经营、财务报告、合规。2013年框架及ERM框架中加入了战略目标，但经典内部控制框架题目通常考察前三个。22.【答案】A,B,C,D【解析】风险应对四大基本策略为：规避、承受、降低、分担。23.【答案】A,B,C,D【解析】控制环境要素包括：诚信与道德价值观、治理结构、组织结构、权责分配、人力资源政策、胜任能力等。24.【答案】A,B,C,D【解析】内部控制的固有局限性包括：人为失误、凌驾、串通、成本效益约束、环境变化等。25.【答案】A,B,C,D【解析】销售收款循环关键控制包括：审批、信用检查、发货记录分离、对账、坏账核销审批等。26.【答案】A,B,C【解析】D属于内部因素。外部因素包括经济、法律、技术、竞争、自然环境等。27.【答案】A,B,C,D【解析】信息系统一般控制（ITGC）包括：数据中心运行、系统软件管理、访问安全、程序变更管理、系统开发与维护等。28.【答案】A,C,D【解析】检查性控制旨在事后发现错误。预算差异分析、银行余额调节表、盘点均为检查性。B是事前审批，属于预防性。29.【答案】A,B,D【解析】董事会和审计委员会负责监督和oversight，不负责日常运行（C是管理层职责）。30.【答案】A,B,C,D【解析】信息与沟通系统需要确保信息识别、获取、传递准确，以及沟通渠道畅通（包括举报渠道）。三、判断题31.【答案】正确【解析】这是内部控制的定义，强调全员参与和过程属性。32.【答案】错误【解析】风险评估应是持续的、动态的过程，贯穿于日常经营活动，而非仅限年初。33.【答案】错误【解析】内部控制存在固有局限性，只能提供“合理保证”，而非绝对保证。34.【答案】正确【解析】职责分离原则同样适用于信息系统逻辑访问权限的设置。35.【答案】正确【解析】成本效益原则是内部控制设计和执行的基本原则。36.【答案】正确【解析】管理层凌驾是内部控制最难以通过制度防范的风险之一。37.【答案】错误【解析】预防性控制是事前防止，检查性控制是事后发现。描述反了。38.【答案】错误【解析】对于一些影响极小的风险，出于成本考虑，企业可能选择不进行详细应对，而是直接承受。39.【答案】正确【解析】监督包括日常持续的监督和定期的单独评价。40.【答案】正确【解析】穿行测试通过追踪少量交易来了解流程和控制点。41.【答案】正确【解析】控制环境决定基调，直接影响其他要素的实施效果。42.【答案】正确【解析】风险矩阵中，高可能性且高影响的风险优先级最高。43.【答案】错误【解析】外部审计是对财务报表发表意见，其内部控制审计不能替代管理层建立健全和执行内部控制的责任。44.【答案】错误【解析】访问安全控制属于信息系统一般控制（ITGC），应用控制是针对具体业务应用程序的。45.【答案】正确【解析】风险分担（转移）的典型手段是购买保险和业务外包。四、简答题46.【答案】COSO框架中“控制环境”的主要内容包括：(1)诚信原则和道德价值观：确立组织的道德基调。(2)治理结构：如董事会、审计委员会的独立性和监督能力。(3)组织结构：界定权责分配和报告路径。(4)胜任能力：员工具备执行职责所需的知识和技能。(5)人力资源政策：招聘、培训、考核、晋升等对员工行为的影响。(6)权责分配：明确授权和报告关系。(7)董事会及审计委员会的关注度：对内部控制的监督力度。它是内部控制的基础，因为控制环境确立了组织的风险意识和控制基调，决定了其他所有控制要素能否被有效设计、执行和监督。如果控制环境薄弱（如缺乏诚信），再好的具体控制制度也容易被流于形式或被凌驾。47.【答案】不相容职务分离是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务，应当予以分离。货币资金业务中应当分离的职务包括：(1)现金、银行存款的保管职责与记录职责（日记账登记）分离。(2)银行存款余额调节表的编制职责与资金保管、日记账登记职责分离。(3)支票签发印章的保管职责与支票填制、审核职责分离。(4)货币资金支付的审批职责与执行职责分离。48.【答案】风险识别的主要方法包括：(1)流程图分析法：通过绘制业务流程图识别各环节风险。(2)案例分析法：分析历史事件或同行业案例。(3)头脑风暴法：集合专家意见。(4)德尔菲法：专家匿名反馈。(5)SWOT分析：分析优势、劣势、机会、威胁。(6)检查表法：根据历史记录制作检查表。区别：(1)定性风险评估：侧重于描述风险性质、来源、发生可能性的高低（如高/中/低）和影响程度的描述，依赖经验和判断，不使用具体数值。(2)定量风险评估：使用数据和数学模型，计算风险发生的具体概率数值和预期损失金额，结果更精确，适合复杂决策。49.【答案】平衡“控制有效性”与“运行效率”的关系应遵循以下原则：(1)成本效益原则：实施控制的成本不应超过其带来的预期收益。如果某项控制过于繁琐导致效率大幅下降，应考虑简化或取消。(2)风险导向原则：将有限的资源优先配置到高风险领域，对低风险领域可采用较简单的控制，避免过度控制。(3)技术优化：利用信息技术（如ERP系统、自动化校验）实现自动控制，在不降低效率甚至提高效率的同时增强控制有效性。(4)流程再造：在设计业务流程时，将控制点融入流程，使其成为业务的一部分，而非额外的审批环节，减少摩擦。50.【答案】原因：(1)权力集中与利益驱动：管理层面临业绩压力（压力/动机），拥有凌驾制度的能力（机会）。(2)内部监督失效：审计委员会或内部审计缺乏独立性或未能及时发现。(3)制度设计局限：制度难以完全防范最高管理层的违规行为。常见防范措施：(1)强化董事会和审计委员会的独立性与监督职能，加强对高管的问责。(2)建立健全举报机制（吹哨人制度），保护举报人，鼓励员工举报管理层违规。(3)优化公司治理结构，明确权责，避免权力过度集中。(4)加强企业文化建设和道德教育，使管理层形成自我约束。(5)定期轮换关键管理岗位和财务人员。五、案例分析题51.【答案】(1)存在的缺陷：①权限设置不当：仓库管理员拥有“录入入库单”和“修改库存数据”的权限，违反了资产保管与记录分离的原则，且修改权限过大。②缺乏适当的单据流转和授权：发货仅凭“口头指令”，缺乏书面审批单据，容易导致发错货或虚假发货。③缺乏独立稽核：事后补录出库单，且没有独立的部门（如财务部或生产计划部）对发货的合理性进行审核。④监督不力：缺乏定期的独立盘点，盘点流于形式。(2)可能导致的后果：①资产安全受到威胁：可能发生盗窃、侵占、挪用库存物资。②财务报告失真：库存数据不准确，导致成本计算错误，利润虚增或虚减。③生产效率受影响：缺货可能导致停工待料，或积压导致资金占用。④舞弊风险：仓库管理员可能通过虚构入库、修改数据掩盖盗窃行为。(3)改进建议：①重新设计ERP权限：收回仓库管理员的修改权限，库存调整需经审批后由专门人员或系统自动记录。②规范发货流程：必须依据经过审批的“领料单”发货，严禁口头指令。③职责分离：仓库只负责实物保管和发出单据录入，财务部或成本会计负责核对，并定期稽核。④强化盘点制度：实施定期（月度/季度）和不定期的突击盘点，由财务部或独立小组参与，确保账实相符。52.【答案】(1)失效环节：①控制环境：总经理缺乏诚信，凌驾于内部控制之上。②控制活动：会计系统的审核控制失效，未能识别并阻止违规的资本化处理。③风险评估：未能识别管理层业绩压力带来的财务报告舞弊风险。(2)风险类型及分析：属于“管理层凌驾”导致的财务报告舞弊风险。舞弊三角分析：①压力：公司业绩压力巨大，总经理面临无法达成目标的风险。②机会：总经理拥有权力指示财务部操作，且缺乏有效的制衡机制（在董事会审批前已操作）。③自我合理化：总经理可能认为是为了公司利益（暂时的），或者认为下一年度可以弥补。(3)评价与建议：作用：本案例中，内部审计发现了问题并上报审计委员会，审计委员会及时介入纠正，说明内部审计和审计委员会发挥了有效的“第三道防线”作用。完善建议：①加强审计委员会对重大会计判断和会计估计的审核。②实行会计人员委派制或加强对财务部门的垂直管理，提高财务人员的独立性。③建立透明的举报渠道，让财务人员敢于拒绝违规指令。④定期轮换财务总监和关键会计岗位。53.【答案】(1)主要风险类别：①市场风险：汇率波动风险。②合规与法律风险：关税政策调整风险。③运营风险：支付处理风险、欺诈交易风险。(2)汇率波动风险应对策略：①风险分担（套期保值）：使用外汇远期合约、期货或期权锁定汇率，将汇率波动风险转移给金融市场。②风险降低：调整定价策略，在合同中约定汇率波动调整机制；或使用本币结算（若客户同意）；自然对冲（匹配外币收入与支出）。(3)信用卡欺诈内部控制流程：①预防性控制：实施实时地址验证（AVS）和CVV码校验。设置风控规则，如对高风险国家IP、大额交易进行拦截。要求客户提供身份验证信息（如3DSecure）。②检查性控制：建立异常交易监控系统，对短时间内多次尝试、异地登录等行为进行预警。定期对交易数据进行大数据分析，识别欺诈模式。③应对性控制：建立快速响应机制，一旦发现欺诈立即冻结账户。购买