2026年合规风控师考试内部控制与风险管理试题(附答案)

2026年合规风控师考试内部控制与风险管理试题(附答案)一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.根据COSO《内部控制——整合框架》，内部控制的五大要素不包括（）。A.控制环境B.风险评估C.信息与沟通D.合规审计【答案】D2.下列关于风险偏好陈述的表述，正确的是（）。A.风险偏好一经设定不得调整B.风险偏好由审计委员会最终批准C.风险偏好应量化表达并可分解到业务单元D.风险偏好仅适用于信用风险【答案】C3.在风险矩阵中，若某风险发生可能性为“中等”，影响程度为“重大”，则该风险通常应被归类为（）。A.低风险B.中低风险C.中高风险D.高风险【答案】C4.依据《企业内部控制基本规范》，企业年度内部控制评价报告的批准机构是（）。A.监事会B.董事会C.审计委员会D.风险管理部【答案】B5.下列控制活动中，最能直接防止“虚构供应商”舞弊风险的是（）。A.供应商准入尽调与实地核查B.采购合同用印审批C.月末对账D.采购预算控制【答案】A6.在反洗钱三道防线模型中，第二道防线的职责主体通常是（）。A.业务部门B.合规与风险管理职能部门C.内部审计部门D.外部审计机构【答案】B7.下列关于关键风险指标（KRI）的表述，错误的是（）。A.KRI应具有前瞻性B.KRI阈值一旦突破应立即启动风险应对C.KRI选取无需考虑数据可获得性D.KRI应与关键绩效指标（KPI）形成互补【答案】C8.依据《商业银行资本管理办法》，操作风险资本计量允许使用的高级法为（）。A.基本指标法B.标准法C.高级计量法（AMA）D.内部评级法【答案】C9.在内部控制审计中，注册会计师发现一项控制缺陷可能导致年度财报错报金额大于当年税前利润的3%，该缺陷应归类为（）。A.一般缺陷B.重要缺陷C.重大缺陷D.需披露但无需整改缺陷【答案】C10.企业采用“自我保证声明”方式对境外子公司进行反贿赂合规管理，属于（）。A.风险规避B.风险转移C.风险降低D.风险接受【答案】C11.下列关于“职责分离”原则的表述，正确的是（）。A.记账与审批可由同一人完成以提高效率B.系统管理员可兼任应用层审批角色C.付款执行与付款审批必须分离D.出纳可保管全部银行预留印鉴【答案】C12.在COSO企业风险管理框架中，战略与目标设定阶段的输出成果是（）。A.风险清单B.风险偏好陈述C.风险应对策略D.业务单元KPI【答案】B13.下列关于“控制自评（CSA）”的表述，错误的是（）。A.CSA可由业务部门主导B.CSA结果可作为审计抽样依据C.CSA无需记录底稿D.CSA可采用问卷、研讨会等形式【答案】C14.若企业采用“零风险”表述作为风险管理目标，其违背的风险管理原则是（）。A.成本效益原则B.全面性原则C.重要性原则D.制衡性原则【答案】A15.下列关于“情景分析”与“压力测试”的区别，正确的是（）。A.情景分析仅用于市场风险B.压力测试必须量化损失C.情景分析不能考虑多重风险叠加D.压力测试无需考虑管理层行动【答案】B16.依据《萨班斯法案》404条款，管理层需对内部控制有效性进行（）。A.声明与评价B.审计与签证C.抽样测试D.缺陷整改【答案】A17.下列关于“黑天鹅”事件的表述，正确的是（）。A.可基于历史数据精确建模B.具有高度可预测性C.影响巨大且事后可解释D.可通过KRI提前预警【答案】C18.在风险应对策略中，购买保险属于（）。A.风险规避B.风险降低C.风险转移D.风险接受【答案】C19.下列关于“内部审计独立性”的表述，正确的是（）。A.内部审计可向财务总监报告B.内部审计可参与日常经营决策C.内部审计章程应由董事会批准D.内部审计人员可兼任采购审批【答案】C20.若企业设定“员工举报商业贿赂属实奖励10万元”，该措施属于（）。A.预防性控制B.检查性控制C.纠正性控制D.指导性控制【答案】D二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项字母填入括号内，漏选、错选均不得分）21.下列属于操作风险损失事件类型的有（）。A.内部欺诈B.外部欺诈C.客户、产品与业务活动事件D.实物资产损坏E.系统宕机导致的业务中断【答案】A,B,C,D,E22.下列关于“控制环境”要素的表述，正确的有（）。A.包括员工诚信与道德价值观B.包括管理层的经营风格C.包括组织结构与职责分配D.包括反舞弊机制E.包括人力资源政策【答案】A,B,C,E23.下列属于“风险识别”常用技术的有（）。A.头脑风暴B.德尔菲法C.检查表法D.敏感性分析E.SWOT分析【答案】A,B,C,E24.下列关于“内部控制缺陷”的表述，正确的有（）。A.重大缺陷需对外披露B.重要缺陷无需向审计委员会报告C.一般缺陷可仅作汇总披露D.缺陷整改需跟踪测试E.缺陷认定需量化标准【答案】A,C,D,E25.下列关于“合规风险”的表述，正确的有（）。A.属于操作风险子类B.可能导致声誉损失C.仅适用于金融机构D.需建立合规管理三道防线E.需进行合规风险识别与评估【答案】A,B,D,E26.下列关于“风险文化”建设的措施，有效的有（）。A.将风险指标纳入绩效考核B.高管层公开示范合规行为C.建立“零容忍”违规纪律D.仅对高风险岗位培训E.鼓励员工匿名举报【答案】A,B,C,E27.下列关于“信息技术控制”的表述，正确的有（）。A.逻辑访问控制属于预防性控制B.系统变更管理需经测试与审批C.数据备份属于检查性控制D.系统日志审查属于检查性控制E.应急演练属于纠正性控制【答案】A,B,D,E28.下列关于“业务连续性管理（BCM）”的表述，正确的有（）。A.需识别关键业务与依赖资源B.需设定恢复时间目标（RTO）C.需进行桌面演练与实战演练D.需定期更新计划E.仅适用于IT部门【答案】A,B,C,D29.下列关于“反舞弊机制”的表述，正确的有（）。A.需建立举报热线B.需对举报人实施保护C.需对舞弊案件进行根因分析D.需将舞弊案件结果纳入培训案例E.仅需关注财务舞弊【答案】A,B,C,D30.下列关于“风险报告”的表述，正确的有（）。A.需区分内部报告与外部报告B.需明确报告频率与路径C.需包括风险暴露与趋势分析D.需经董事会审批后定稿E.可采用仪表盘形式【答案】A,B,C,E三、填空题（每空1分，共15分。请将正确答案填入空格内）31.COSO于2017年发布的《企业风险管理框架》将风险管理流程划分为五个互相关联的要素，其中第一个要素是________与________。【答案】治理与文化；战略与目标设定32.在风险矩阵中，通常将风险等级划分为“低、中低、中、中高、高”五级，其中“高”级风险对应的应对策略优先级为________。【答案】立即整改/优先处理33.依据《企业内部控制应用指引第1号——组织架构》，企业应当定期对________进行评估，确保其适应战略发展需要。【答案】组织架构34.操作风险损失数据收集的最小损失金额门槛称为________。【答案】收集阈值35.在内部控制审计中，注册会计师对控制有效性出具的意见类型包括无保留、________、否定和无法表示意见。【答案】保留36.企业采用“风险与控制自我评估”工具时，通常采用________Likert量表对控制有效性进行打分。【答案】5级37.依据《商业银行合规风险管理指引》，合规管理的基本制度应由________批准。【答案】董事会38.在风险应对策略中，将某高风险业务外包给第三方属于________策略。【答案】风险转移39.企业设定“库存周转天数不超过45天”属于________类关键风险指标。【答案】KRI40.依据《萨班斯法案》302条款，CEO与CFO需对季度财报的________与________进行声明。【答案】准确性；完整性41.在业务连续性计划中，RPO的中文含义是________。【答案】恢复点目标42.企业采用“双人双锁”保管重要空白凭证，属于________控制活动。【答案】预防性43.依据《反不正当竞争法》，商业贿赂的行政罚款最高可达________万元。【答案】30044.在风险文化成熟度模型中，最高等级被称为________阶段。【答案】持续改进45.企业建立“黑名单”制度禁止与高风险客户交易，属于________控制。【答案】指导性四、判断题（每题1分，共10分。请判断下列说法是否正确，正确的填“√”，错误的填“×”）46.内部控制的有效运行可以完全消除企业风险。（）【答案】×47.风险容忍度是企业在实现目标过程中对风险暴露的可接受水平。（）【答案】√48.依据《企业内部控制评价指引》，内部控制评价工作每年至少进行一次。（）【答案】√49.所有控制缺陷必须在当年完成整改，否则构成重大缺陷。（）【答案】×50.压力测试仅适用于银行机构，非金融企业无需开展。（）【答案】×51.企业采用云存储后，无需再对数据备份进行控制。（）【答案】×52.合规风险属于操作风险的子类别。（）【答案】√53.内部审计人员可以参与企业日常经营决策以提高效率。（）【答案】×54.风险appetite与risktolerance在中文语境中可完全互换使用。（）【答案】×55.企业对外披露的内部控制评价报告应与审计结论保持一致。（）【答案】√五、简答题（共5题，每题8分，共40分）56.（封闭型）简述COSO内部控制五要素之间的关系，并指出哪一要素被视为基础。【答案】五要素为控制环境、风险评估、控制活动、信息与沟通、内部监督。控制环境是基础，奠定组织基调；风险评估识别影响目标实现的风险；控制活动确保管理层指令得以执行；信息与沟通提供及时相关信息；内部监督对体系运行质量进行持续评估。五要素相互关联、缺一不可，控制环境为其他要素提供纪律与结构。57.（开放型）结合实例说明企业如何利用大数据技术提升反舞弊检查性控制的效率。【答案】示例：某零售集团建立采购舞弊监测模型，整合ERP、财务共享、外部工商与舆情数据，利用机器学习识别异常特征：同一供应商短期内报价异常低于市场均值15%以上、收货地址与注册地址距离>500公里、收货人手机号与供应商法人手机号曾出现同一设备登录。模型每日跑批，触发阈值后自动推送至内审部，2025年三季度共发现3起虚构供应商案件，涉及金额1200万元，较传统抽样审计效率提升80%，挽回损失并完善供应商准入白名单。58.（封闭型）列出并简要解释操作风险AMA计量模型的数据要求。【答案】AMA需四类数据：内部损失数据（ILD）、外部损失数据（ELD）、情景分析数据（SBA）、业务环境与内部控制因素（BEICF）。ILD用于拟合损失分布；ELD补充低频高损事件；SBA捕捉前瞻性风险；BEICF用于调整资本乘数，确保资本反映控制有效性。59.（开放型）说明企业在进行海外并购时，如何运用“三道防线”模型对合规风险进行整合管理。【答案】第一道防线：并购团队设立合规官，对目标公司进行FCPA、反贿赂尽调，嵌入交割协议；第二道防线：集团合规部统一制定并购后100日整合计划，包括政策映射、培训、系统对接、KRI监控；第三道防线：内审部在交割后6个月内开展专项审计，覆盖礼品招待、第三方中介、政府审批流程，发现问题直接向审计委员会报告，并跟踪整改，形成闭环。60.（封闭型）简述内部控制缺陷的认定标准量化维度。【答案】量化维度包括：①财务影响：潜在错报金额占税前利润、资产、收入的百分比；②发生可能性：基于历史频率、控制设计/运行有效性评估；③补偿控制：是否存在并有效；④监管影响：是否导致违反法律法规；⑤声誉影响：是否引发媒体负面报道或客户流失。综合评分后按阈值划分为一般、重要、重大缺陷。六、计算与分析题（共3题，共30分）61.（计算题·10分）某银行采用标准法计量操作风险资本，2025年三年总收入分别为：1200亿元、1350亿元、1500亿元，对应业务条线β系数为：公司金融（18%）、交易销售（18%）、零售银行（12%）、商业银行（15%）、支付清算（18%）、代理服务（15%）、资产管理（12%）、零售经纪（12%）。已知各年各条线收入如下表（单位：亿元），计算2026年操作风险资本要求。业务条线202320242025公司金融200220250交易销售150180200零售银行400450500商业银行250280300支付清算100120150代理服务506070资产管理303030零售经纪20100【答案】步骤1：计算各年正的平均总收入公司金融：(200+220+250)/3=223.33交易销售：(150+180+200)/3=176.67零售银行：(400+450+500)/3=450商业银行：(250+280+300)/3=276.67支付清算：(100+120+150)/3=123.33代理服务：(50+60+70)/3=60资产管理：(30+30+30)/3=30零售经纪：(20+10+0)/3=10步骤2：乘以β系数公司金融：223.33×18%=40.20交易销售：176.67×18%=31.80零售银行：450×12%=54商业银行：276.67×15%=41.50支付清算：123.33×18%=22.20代理服务：60×15%=9资产管理：30×12%=3.6零售经纪：10×12%=1.2步骤3：求和资本要求=40.20+31.80+54+41.50+22.20+9+3.6+1.2=203.5亿元【答案】203.5亿元62.（分析题·10分）某上市公司2025年12月发现其子公司A存在以下事项：①子公司A总经理未经授权，以公司名义对外签署担保合同，金额2亿元，占上市公司最近一期经审计净资产9%；②该子公司未设置担保审批流程，且公章由总经理保管；③内部审计2024年已发现公章管理缺陷但未跟踪整改；④担保对象已违约，上市公司面临连带清偿风险。要求：（1）判断上述事项是否构成内部控制重大缺陷，并说明理由；（2）提出三项整改措施并说明控制类型。【答案】（1）构成重大缺陷。理由：①担保金额占净资产9%，超过大多数公司5%的披露标准，潜在财务影响重大；②控制设计失效，缺少担保审批与公章制衡；③内审发现未整改，表明监督失效；④已发生实际损失风险，满足“可能导致财报重大错报或重大损失”标准。（2）整改措施：a.建立担保业务“董事会特别授权+法律合规部审核+双人双章”制度，属预防性控制；b.启用电子公章系统，嵌入OA审批流，物理章交由集团统一保管，属预防性+检查性控制；c.内审建立“缺陷整改跟踪系统”，设置逾期预警，整改完成需测试验证，属纠正性控制。63.（综合题·10分）某制造企业2026年计划推出新产品，项目团队识别出三大风险：R1：关键原材料价格波动，年需求10万吨，现价8000元/吨，若上涨20%，利润下降1.6亿元；R2：新产品因技术缺陷被召回，召回成本估计为销售额的8%，预计首年销售额10亿元；R3：竞争对手提前上市类似产品，导致市场份额下降30%，预计损失销售额3亿元。企业可采取以下对冲工具：A.与供应商签订固定价格合同，锁定一年，需支付溢价200元/吨；B.购买产品责任保险，保费500万元，覆盖召回成本上限2亿元；C.加速研发，提前2个月上市，追加研发费用3000万元，可将R3概率由40%降至10%。假设企业风险容忍度为利润下降不超过1亿元，请进行成本效益分析并给出最优组合方案。【答案】步骤1：计算各风险暴露R1暴露：1.6亿元R2暴露：10亿×8%=0.8亿元R3暴露：3亿元步骤2：计算对冲成本与剩余风险方案A成本：10万吨×200元=0.2亿元，剩余R1=0，节省1.6亿元，净收益1.4亿元；方案B成本：0.05亿元，剩余R2=max(0,0.8-2)=0，节省0.8亿元，净收益0.75亿元；方案C成本：0.3亿元，剩余R3暴露=3亿元×(10%÷40%)=0.75亿元，节省3×0.75=2.25亿元，净收益1.95亿元。步骤3：组合分析若单选：C净收益最高(1.95亿)，但R1、R2未对冲，总暴露=1.6+0.8+0.75=3.15亿>1亿容忍度；若A+B：成本0.25亿，剩余R3=3亿，总暴露=3亿>1亿；若A+C：成本0.5亿，剩余R2=0.8亿，总暴露=0.8亿<1亿，满足容忍度，净收益=1.6+0.8+2.25-0.5=4.15亿；若B+C：成本0.35亿，剩余R1=1.6亿，总暴露=1.6+0.75=2.35亿>1亿；若A+B+C：成本0.55亿，剩余暴露=0，净收益=1.6+0.8+3-0.55=4.85亿，但成本最高。步骤4：最优组合在满足容忍度前提下选取成本最小净收益最大：A+C组合，总成本0.5亿元，剩余风险暴露0.8亿元，低于容忍度1亿元，净收益4.15亿元，优于A+B+C的4.85亿-0.55亿=4.3亿（差异小但成本更低）。【答案】最优组合：采用A+C，即锁定原材料价格+加速研发，总对冲成本0.5亿元，剩余风险暴露0.8亿元，符合容忍度，且净收益最大。七、案例综合题（共1题，25分）64.案例背景H集团为A股上市大型消费连锁企业，2025年门店数量5000家，营收800亿元。2026年3月，H集团公告披露其下属华南大区2025年存在“虚假销售”事件：大区经理指使门店店长在年末集中虚开销售小票，虚增收入5亿元，占集团年度营收0.625%；虚增毛利1.2亿元，占年度毛利2%；相关货款由大区统一安排第三方“回流”至门店。事件曝光后，股价三日累计下跌18%，市值蒸发约150亿元，监管机构立案调查，集团面临投资者集体诉讼。经内部调查，事件暴露以下问题：1.门店POS系统可“挂单”后取消，但系统日志可被店长删除；2.年末销售冲刺奖金与“销售额”绝对值挂钩，未剔除退货；3.大区审计部实行“属地管理”，人事、薪酬由大区总经理决定；4.内部举报邮箱2025年8月已收到匿名举报，但合规部未独立调查，转交大区自查后无下文；5.年度内控评价由财务中心牵头，抽样比例仅0.5%，且未覆盖POS日志删除权限；6.外部审计依赖公司提供的“门店销售明细”，未对POS系统日志进行IT审计。要求：（1）运用COSO五要素分析该事件存在的内部控制缺陷，并按要素分类指出至少两项缺陷表现；（2）判断该缺陷类型（一般、重要、重大），并说明理由；（3）从“三道防线”角度提出系统整改方案，需覆盖治理、流程、技术、监督四个维度，每项维度至少两条措施；（4）若集团拟建立“销