2026年内部控制与风险管理考试试题(附答案)

2026年内部控制与风险管理考试试题(附答案)一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.下列关于COSO《内部控制——整合框架》的表述，正确的是（）。A.仅适用于财务报告内部控制B.控制环境是五要素之一C.风险评估不包括舞弊风险D.监控活动只能由内部审计部门执行【答案】B2.根据《企业内部控制基本规范》，企业建立与实施内部控制的责任主体是（）。A.监事会B.董事会C.审计委员会D.财务总监【答案】B3.下列风险应对策略中，属于“风险分担”的是（）。A.退出高风险区域市场B.为存货投保财产综合险C.对供应商预付款设置信用额度D.加强员工反舞弊培训【答案】B4.在风险矩阵中，若风险发生可能性为“高”，影响程度为“低”，则该风险应被归类为（）。A.重大风险B.重要风险C.一般风险D.可接受风险【答案】C5.下列控制活动中，最能直接防止“虚构供应商”舞弊的是（）。A.供应商主数据变更需采购经理审批B.对账单由出纳每月编制C.采购合同采用标准模板D.发票三单匹配后付款【答案】A6.关于反舞弊机制，下列说法错误的是（）。A.举报热线应由董事会直接管理B.实名举报必须书面答复处理结果C.舞弊调查工作底稿应至少保存10年D.对举报人打击报复属于重大内控缺陷【答案】B7.下列哪项最可能导致控制环境无效（）。A.独立董事比例低于1/3B.年度财务报表未经外部审计C.信息系统采用云计算模式D.公司未设置风险管理部门【答案】A8.在穿行测试中，注册会计师最关注的问题是（）。A.控制是否得到执行B.控制设计是否有效C.控制运行是否一贯D.控制成本是否最低【答案】B9.下列关于“重大缺陷”的说法，正确的是（）。A.重大缺陷一定导致财务报表重大错报B.重大缺陷应以书面形式与审计委员会沟通C.重大缺陷只需在年报中披露即可D.重大缺陷的整改期限可由企业自行决定【答案】B10.企业采用自保险方式应对员工医疗保险风险，该策略属于（）。A.风险规避B.风险降低C.风险分担D.风险承受【答案】D11.下列关于“三道防线”模型的表述，错误的是（）。A.第一道防线是业务部门B.第二道防线是风险与合规管理职能C.第三道防线是外部审计机构D.各道防线应建立信息沟通机制【答案】C12.在ERP系统中，针对“采购订单价格”采用的系统配置“若高于最新采购均价5%则冻结付款”，该控制类型属于（）。A.预防性自动控制B.检查性手工控制C.预防性手工控制D.检查性自动控制【答案】A13.下列哪项不属于企业风险管理的目标（）。A.确保零风险B.保障经营效率C.促进战略目标实现D.保证合规经营【答案】A14.关于控制自我评估（CSA），下列做法正确的是（）。A.仅由审计部牵头完成B.评估结果无需高管签字C.应形成书面工作底稿D.每年一次即可，无需持续更新【答案】C15.下列关于“舞弊三角”理论的表述，正确的是（）。A.机会、压力、自我合理化B.动机、能力、环境C.压力、机会、暴露概率D.贪婪、偶然、制度漏洞【答案】A16.在风险热图中，红色区域代表（）。A.可接受风险B.一般风险C.重要风险D.重大风险【答案】D17.下列哪项最能体现“职责分离”原则（）。A.出纳保管空白支票与法人章B.仓库管理员每月盘点存货C.采购员不得审批供应商主数据D.财务总监兼任董事会秘书【答案】C18.下列关于“损失事件数据库”的说法，正确的是（）。A.仅记录已实际发生的损失B.数据来源于第二道防线C.应包含近因分析与整改状态D.无需设定访问权限【答案】C19.下列哪项属于战略层面的风险（）。A.汇率波动导致应收账款贬值B.新技术替代导致主营产品被淘汰C.员工操作失误导致数据丢失D.供应商延迟交货导致停产【答案】B20.根据《萨班斯—奥克斯利法案》第404条款，管理层需对内部控制进行（）。A.季度测试B.年度评估C.月度更新D.日常监控【答案】B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项字母填入括号内，漏选、错选均不得分）21.下列属于COSO企业风险管理八要素的有（）。A.目标设定B.事项识别C.控制活动D.信息与沟通【答案】ABD22.下列属于检查性控制的有（）。A.银行余额调节表编制B.系统每日自动生成例外报告C.仓库门禁刷卡记录D.季度存货减值测试【答案】ABD23.关于风险appetite与risktolerance的表述，正确的有（）。A.前者是组织愿意接受的风险总量B.后者是相对于具体目标的偏离程度C.两者均由董事会批准D.一旦设定不可调整【答案】ABC24.下列属于信息技术一般控制（ITGC）的有（）。A.程序变更管理B.逻辑访问权限管理C.数据中心物理安全D.接口控制核对【答案】ABC25.下列关于“重大并购交易”的内控要点，正确的有（）。A.需进行尽职调查B.交易价格需第三方评估C.董事会授权审批D.交易完成后无需后评价【答案】ABC26.下列属于反洗钱（AML）关键控制的有（）。A.客户身份识别（KYC）B.大额交易报告C.制裁名单实时筛查D.员工亲属账户监控【答案】ABC27.下列关于“业务持续性计划（BCP）”的表述，正确的有（）。A.应至少每年演练一次B.需识别关键业务及恢复时间目标C.数据备份应异地存放D.计划批准后即可不再更新【答案】ABC28.下列属于财务报告内部控制缺陷的有（）。A.应收账款账龄分析未按月度编制B.收入确认政策未披露变更C.固定资产盘点差异大于重要性水平D.出纳兼任记账与对账【答案】ACD29.下列关于“压力测试”的说法，正确的有（）。A.属于前瞻性风险评估工具B.可评估极端但可能发生的事件C.结果应报送董事会D.仅适用于金融机构【答案】ABC30.下列关于“数据治理”控制活动的有（）。A.设定数据质量标准B.建立数据责任人制度C.数据备份加密D.数据访问日志审计【答案】ABD三、填空题（每空1分，共15分）31.COSO内部控制五要素中，被誉为“顶层基调”的是________。【答案】控制环境32.企业风险管理的首要步骤是________。【答案】目标设定33.在风险矩阵中，通常用________轴表示风险发生可能性。【答案】纵34.根据《企业内部控制评价指引》，内部控制评价工作应形成________报告。【答案】内部控制评价35.当控制运行偏差率超过可容忍偏差率时，注册会计师应扩大________。【答案】样本量36.企业为降低汇率风险而签订远期外汇合约，该策略称为________。【答案】套期保值37.在ERP系统中，对供应商主数据的新增、修改、删除应设置________控制。【答案】职责分离/访问权限38.反舞弊调查中，对电子证据进行镜像备份是为了保证证据的________。【答案】完整性39.企业采用“零库存”模式，其风险应对策略本质属于________。【答案】风险降低40.在损失事件数据库中，用于衡量损失金额占当年营业收入比例的指标是________。【答案】损失强度41.根据《公司法》，上市公司董事会下设的专门委员会中，负责审查内部控制的是________。【答案】审计委员会42.在控制测试中获取的审计证据，其最高可靠性形式是________。【答案】文件/系统日志43.企业风险管理绩效指标体系中，用于衡量风险管理工作效率的指标是________。【答案】风险整改完成率44.在业务持续性计划中，RTO是指________。【答案】恢复时间目标45.企业对外披露的内部控制缺陷，若次年未完成整改，应在年报中说明________。【答案】原因及后续措施四、简答题（共5题，每题8分，共40分）46.（封闭型）简述内部控制“制度设计有效性”与“运行有效性”的区别，并各举一例。【答案】（1）制度设计有效性：指控制本身的设计是否能够合理防止或发现并纠正重大错报。例如，公司制度规定付款必须有三单匹配（采购订单、收货单、发票）并由财务经理审批，若该流程设计合理，则设计有效。（2）运行有效性：指控制能够在整个期间内一贯执行。例如，注册会计师抽取50笔付款样本，发现2笔缺少财务经理签字，则运行有效性存在偏差。47.（开放型）结合“瑞幸咖啡财务造假”案例，说明如何在收入确认环节设计预防性控制与检查性控制，至少各列三项。【答案】预防性控制：1.收入系统与POS系统实时对接，禁止后台手工修改销量数据；2.单笔订单金额超过200元需短信验证消费者手机号；3.收入确认前需自动比对门店监控录像的客流数据与订单数，差异>5%自动冻结收入。检查性控制：1.每月随机抽取10%门店，由内部审计实地盘点库存并与系统销售倒轧；2.第三方外卖平台导出的流水与ERP收入明细进行总额调节；3.收入确认后次月发送电子对账单给消费者，设立有奖纠错机制。48.（封闭型）列举企业风险管理“四部循环”，并说明每一步的关键产出。【答案】1.风险识别：产出风险清单（含风险类别、来源、驱动因素）；2.风险评估：产出风险矩阵与排序表（含可能性、影响、风险等级）；3.风险应对：产出风险应对策略及责任矩阵；4.监督改进：产出风险绩效报告与整改跟踪表。49.（开放型）某集团公司计划建立全球统一的反舞弊热线，请说明热线设计应考虑的八项关键要素，并解释原因。【答案】1.多语言支持：员工分布于20个国家，确保举报无障碍；2.7×24小时人工接听：提高举报及时性，降低证据灭失风险；3.独立第三方运营：避免内部打击报复，增强员工信任；4.匿名选项：保护举报人身份，鼓励揭露集体舞弊；5.48小时内初步反馈机制：向举报人告知受理状态，提升满意度；6.董事会审计委员会直管：确保调查独立性，避免被被举报人干预；7.数据加密与本地化存储合规：满足不同国家数据出境限制；8.奖惩制度：对查实举报给予奖金，对打击报复者严厉处分，形成闭环。50.（封闭型）说明“剩余风险”与“固有风险”的定义，并给出计算公式。【答案】固有风险：在未采取任何控制措施的情况下，某一风险可能造成的最大损失。剩余风险：在现有控制措施执行后，仍然存在的风险。计算公式：剩余风险=固有风险–控制效果（或剩余风险=固有风险×(1–控制有效性百分比)）。五、计算与分析题（共3题，共30分）51.（计算类，10分）A公司2025年度营业收入为50亿元，历史年度数据显示，应收账款坏账损失率（固有风险）为3%。公司本年新增客户信用评级控制，预计可将坏账率降低40%。要求：（1）计算固有风险金额；（2）计算控制有效性百分比；（3）计算剩余风险金额；（4）若公司设定应收账款坏账剩余风险容忍度为8000万元，判断该控制是否充分。【答案】（1）固有风险=50亿元×3%=1.5亿元；（2）控制有效性=40%；（3）剩余风险=1.5×(1–40%)=0.9亿元=9000万元；（4）9000万元>8000万元，超过容忍度，控制不充分，需追加措施，如购买信用保险或提高预收款比例。52.（分析类，10分）B公司仓储部2025年共发生存货盘亏15次，合计损失300万元。内部审计发现，其中12次集中在第三方W仓库，该仓库由采购经理张某的配偶控股。要求：（1）运用舞弊三角分析该事项存在的压力、机会与自我合理化；（2）提出三项针对性控制改进建议。【答案】（1）压力：张某背负高额房贷，需额外资金；机会：W仓库由配偶控股，B公司未对关联关系进行披露与审批；自我合理化：张某认为公司薪酬低，仓库利润是对其“补偿”。（2）改进建议：1.建立关联方申报系统，采购经理每年签署利益冲突声明；2.对第三方仓库引入招标制度，由供应链、法务、财务三方联合评标；3.每季度对异地仓库进行突击盘点，使用无人机/RFID技术提高盘点效率。53.（综合类，10分）C公司为一制造业上市公司，2026年启动境外并购，标的位于政治不稳定地区。并购金额占C公司净资产55%。要求：（1）识别该并购面临的四类风险；（2）设计一套“三步走”风险应对方案；（3）说明如何将该并购纳入年度内部控制评价范围。【答案】（1）风险：1.政治风险（国有化、战争）；2.汇率风险（本币升值导致并购成本增加）；3.财务风险（标的隐藏负债）；4.合规风险（反海外腐败、制裁）。（2）三步走方案：第一步：交易前——购买政治风险保险，签署政府稳定协议；使用分期付款与对赌条款；第二步：交割中——设立托管账户，10%价款两年后无潜在负债再支付；使用远期合约锁定汇率；第三步：交割后——派驻合规官，建立反贿赂合规体系；每季度进行压力测试，更新应急预案。（3）纳入内控评价：1.将并购整合流程作为2026年度重点评价范围；2.评价整合阶段财务报告、资金支付、合规制度的设计与运行有效性；3.对并购后新增的重大账户（商誉、或有负债）进行抽样测试；4.评价结果单独出具报告，提交董事会与外部审计师。六、案例综合题（共1题，25分）54.案例背景：D公司为深交所主板上市零售连锁企业，2025年门店数量1200家，营业收入200亿元，净利润8亿元。2026年3月，财政部检查组发现其2024—2025年存在以下问题：1.门店生鲜商品每日报损数据可后台手工修改，导致2025年少报损耗2.3亿元，虚增利润1.8亿元；2.区域经理可绕过总部集中采购系统，自行与农户签订采购合同，2025年涉及金额5亿元，其中30%无发票；3.公司未对门店POS系统设置权限矩阵，收银员可自行为亲友订单打5折，全年折扣损失估计3000万元；4.内部审计部2025年仅对300家门店进行库存监盘，覆盖率为25%，且未对报损数据系统进行审计；5.董事会审计委员会一年内仅召开2次会议，未对内部控制评价报告进行质询。要求：（1）逐项指出上述问题对应的内部控制要素及具体控制活动缺陷类型（设计/运行）；（2）运用风险矩阵，对五项问题进行风险等级排序（给出可能性、影响、等级）；（3）提出针对五项问题的整改路线图，明确责任部门、完成时限、关键里程碑；（4）说明注册会计师在2026年度审计中应如何扩大审计程序以应对这些风险；（5）若D公司未能在年报披露前完成整改，请模拟出具一份“内部控制否定意见”审计报告段落（仅需关键段落，无需前后格式）。【答案】（1）要素与缺陷：1.控制活动——设计缺陷（系统允许手工修改报损）；2.控制活动——设计缺陷（区域经理采购权限无上限）；3.控制活动——设计缺陷（POS权限未分离）；4.监督——运行缺陷（审计覆盖不足）；5.控制环境——运行缺陷（审计委员会未履职）。（2）风险矩阵：1.手工报损：可能性高，影响重大，等级“重大”；2.区域采购：可能性中，影响重大，等级“重大”；3.POS折扣：可能性高，影响中等，等级“重要”；4.内审覆盖：可能性中，影响中等，等级“重要”；5.审委会：可能性低，影响重大，等级“重大”（因治理失效放大其他风险）。排序：1>5>2>3>4（3）整改路线图：问题1：信息部重新设计报损系统，取消手工修改功能，增加区域经理与总部生鲜总监两级审批；责任部门：信息部、生鲜事业部；完成时限：2026年8月31日；里程碑：6月完成需求设计，7月完成开发，8月完成1200家门店上线。问题2：供应链部发布《区域采购禁令》，所有生鲜必须经总部平台；对农户引入白名单制度，由财务部统一开具农产品收购