一、 判断题(每道题 1 分)
1.良好的控制环境有助于保证组织的内部控制体系更有效地实现其控制目标。
A. 正确 B. 错误
2.COSO 内部控制新框架的目的是为企业提供“正确”的组织结构。
A. 正确 B. 错误
3.企业内部审计的许多工作涉及财务控制,因此,首席审计执行官应当向首席财务官汇报工作。
A. 正确 B. 错误
4.量化风险需要评估特定业务的风险所造成的潜在损失和可能发生的概率。
A. 正确 B. 错误
5.企业风险管理是一个多向相互关联的过程,其中一个要素可能将影响另外几个要素。
A. 正确 B. 错误
6. 除了董事会的成员之外,任何人不得拥有凌驾于内部控制之上的特殊权利。
A. 正确 B. 错误
7.在某一活动中的持续监测程序应嵌入该活动正常的循环往复发生的程序。
A. 正确 B. 错误
8. 内部控制是由人来执行并受人的因素影响,保证组织所有员工具有一定水准的诚信、道德观和胜任能力的人力资源政策与实践,是内部控制有效性的关键因素之一。
A. 正确 B. 错误
9. 遵守《萨班斯 – 奥克斯利法案》,企业必须记录、审查和定期评价内部控制体系。
A. 正确 B. 错误
10. 根据《萨班斯-奥克斯利法案》,律师需要向独立审计师事务所报告重大的违反证券法的证据。
A.正确 B. 错误
二、单项选择题:(每道题 1 分)。在每道题的 4 个选项中,只有一项是符合题目要求的。
11. 下列哪一选项的组织将内部控制定义为:内部控制是一个由组织的董事会、管理层和其他员工实施的旨在为实现运营、报告和合规目标提供合理保证的过程。
A.美国注册会计师协会(AICPA)
B.国际内部审计师协会(IIA)
C.财务主管协会(FEI)
D.反虚假财务报告委员会的发起组织委员会(COSO)
12. COSO 内控新框架考虑了商业及运营环境的变化等因素,增强了易用性和适用范围更广。下列哪一选项不属于新框架更新的内容?
A. 内部控制三大目标和五要素
B. 扩大了运营和报告目标
C. 基于五要素阐述 17 项原则的基本概念
D. 添加了有关运营、合规和非财务报告目标的工作步骤和示例
13. 组织建立的内部控制体系应当体现内部牵制的制衡原则,下列哪一选项不属于内部牵制的措施?
A. 不相容职务分离
B. 授权批准控制
C. 员工道德规范培训
D. 财产保管和稽核检查
14. 立法部门和政府监管机构对企业监管的重点是内部会计控制,许多相关的法律只涉及财务报告方面的内部控制,下列哪一选项是政府监管机构重点的监管事项?
A. 政府政策或项目变化的影响
B. 要求企业 CEO 证明内部控制体系的有效性
C. 测评企业客户的满意度
D. 企业管理层运营的效果与效率
15. 在内部会计控制方面,AICPA 特别顾问委员会认为,组织应当有延伸到对外报告历史财务数据的会计控制措施,历史财务数据不包括下列哪一选项?
A. 财务报表和相关的注释
B. 有价证券申请上市登记报表中的财务信息
C. 管理层的财务风险分析
D. 对社会公众披露的财务报告
16. 董事会负责对内部控制体系进行监督,下列哪一选项不属于董事会可采用的监督措施?
A. 要求首席执行官提供控制环境的适当保证
B. 保留某些领域的关键决策权
C. 任命审计师帮助他们评价控制系统的有效性
D. 定期听取各部门和子公司经理们的工作汇报
17. 组织在创建内部控制持续改进项目时,应当考虑的卓越战略是下列哪一选项?
A. 采用计划–执行–检查–整改(PDCA)循环的概念
B. 请求合作同伴的支持与帮助;
C. 除非可以降低成本,否则不要设置任何变化;
D. 确保首席审计官同意采取任何强制实施行动。
18. 组织需要加强内部控制,下列哪一选项是组织必须建立有效的内部控制体系的原因?
A. 组织内控体系建立后能运行良好
B. 依靠外部的力量对组织实施控制
C. 组织的经营规模日益庞大、风险因素更为复杂,外部监管要求不断强化和扩展
D. 组织各级员工都能有序而又高效地实施各项业务
19. 控制环境的程序应当记录为内控手册、政策和操作流程。用文档记录程序是为了实现下列哪一选项的目标?
A. 管理层亲自参与制订各项政策
B. 消除含糊不确定性和鼓励应用程序的一致性
C. 实施有效的控制环境措施
D. 建立适当的控制环境监督流程
20. 在内部控制测评程序上需花费多少时间,取决于工作流程的复杂性,下列哪一选项是不正确的?
A. 测评工作的目的是保证员工正确完成组织下达的各项任务
B. 通过测评发现可能出现的异常现象
C. 设计完善的工作流程需要花费更多的测评时间
D. 工作流程的精确性决定生产无缺陷产品流程的有效性
21. 保护资产安全可以采取物理控制和逻辑控制,涉及资产保护的逻辑控制示例,下列哪一选项是正确的?
A. 在安全的地方存放可转让票据
B. 对关键岗位的人员进行背景调查
C. 经授权的员工佩戴徽章
D. 对重要文件记录保留复印件
22. 在组织的内控体系中,审计委员会发挥重要的监控作用,下列哪一选项不属于审计委员会的职责?
A. 质询管理层如何落实其财务报告责任
B. 履行直接指出违规违法事件的职责
C. 监督管理层采取整改行动
D. 汇总和分析经营业绩情况
23. 在内控自我评价小组讨论某一项目的舞弊风险时,内控评价人员通常不涉及讨论下列哪一选项的内容?
A. 关键岗位的员工串通舞弊的领域及方式
B. 公司层面进行风险投资的因素
C. 项目管理人员逾越内部控制系统的可能性
D. 评价小组需汇报的因舞弊导致重大内控缺陷事项
24. 为了减少或避免某个人实施并隐瞒某一交易活动的风险,在组织结构和报告制度中应遵守下列哪一原则?
A. 明确审计委员的监管职责
B. 开展各项业务需获得高级管理层的批准
C. 有利于不相容职务的分离
D. 按照管理层的授权接触和处置资产
25. 系统设计师在建立内部控制体系方面缺乏适当的内控知识培训。他们可以把各种控制措施设计并嵌入到业务处理活动中,但到最后他们却无法实现下列哪一选项的要求?
A . 建立某一业务系统的内部控制系统
B . 建立和维护交易处理系统
C . 有效控制业务系统的运行
D . 用文档记录证明内部控制系统
26. 随着计算机技术的发展日趋复杂,一个人很难掌握计算机硬件和软件的所有程序,需要组成团队共同努力来适当地利用技术,下列哪一选项不属于技术不适当使用的原因?
A. 项目组的人员流动频繁
B. 采用的新技术不过关
C. 使用未经测试验证的硬件和软件
D. 违反管理层的规定
27.组织应建立识别内外部风险的适当机制。下列哪一选项不属于管理层需考虑和重视的内部风险因素?
A. 人力资源
B. 供应来源
C. 劳资关系
D. 信息系统
28. 使用以风险为导向的方法设计控制措施,系统设计师首先要进行下列哪一选项的工作?
A. 确定为什么数据汇总不准确
B. 建立控制措施来校验关键数据
C. 开发成批的控制措施
D. 对选定区域增加校验位数
29. 公司的首席执行官(CEO)负责领导和协调不同的控制领域,并与负责不同领域控制活动的主管人员进行沟通,下列哪一选项不属于 CEO 领导和协调的控制领域?
A. 内部会计控制
B. 经营分析控制
C. 质量控制
D. 程序与产品控制
30. 组织确立的愿景是组织目标的理想化表述。在实现愿景方面,组织需要建立其希望融合到日常操作程序中的价值观。价值观不包括下列哪一选项?
A. 所有员工必须胜任他们的工作
B. 合理支付员工薪酬
C. 保证企业利润最大化
D. 保护员工的诚实性
31. 组织必须制定如何沟通偏离治理标准和指导方针差异行为的方法,下列哪一选项不属于这些方法?
A. 差异行为的书面记录
B. 举报违规违法行为的流程
C. 审计发现和建议
D. 建立关键的经营绩效要求
32. 公司致力于追求稳健发展和保持盈利目标,公司对股东做出的承诺不包括下列哪一选项的内容?
A. 保持正确的和完整的财务记录
B. 维护财务报告内部控制系统的有效性
C. 维护计算机网络安全
D. 管理层可以利用企业机密或内部信息牟利
33. 企业要开展内部控制有效性的自我评价,下列哪一选项属于目前内部控制评价中的主要缺陷之一?
A. 使用传统的审计技术
B. 使用调查问卷或审计方案回答特定问题,而不是将内部控制作为一个流程来评价
C. 采用 IT 项目的测试方法
D. 没有项目审计计划
34. 风险暴露程度或者损失的分类方法很多,其中从风险发生环节的角度看待风险是下列哪一选项?
A. 按类型的风险暴露分类
B. 按功能领域的分类
C. 按交易处理的风险分类
D. 以上都不是
35. 与控制技术紧密相关的是重建处理的能力,如果有足够的文档记录能证明处理情况,大多数的控制缺陷都可以得到纠正,下列哪一选项不属于无法控制技术的结果?
A. 没留审计线索
B. 非法交易事项
C. 处理设施不适当
D. 数据被破坏
36. 关于内部控制合规性评价中用于评价独立审计师独立性的指南,下列哪一选项是不正确的?
A. 获取审计委员会与独立审计师之间签订合同协议的复印件
B. 审阅并获取独立审计师关于员工无利益冲突的证明文件
C. 由公司刚聘用的会计师事务所前雇员协助聘请独立审计师
D. 获取独立审计师已对其服务收费开具发票的所有文件副本
37. 系统资源损失主要涉及盗窃和欺诈行为,包括通过各种不同的手段故意偷盗实物资产、篡改和盗窃信息。经验表明这类损失大多数是员工侵害行为的结果。计算机系统资源损失的特定威胁不包括下列哪一选项?
A. 计算机硬件被盗
B. 机密性数据,例如产品描述、客户名单和人事文件被偷窃和复制
C. 伪造或篡改交易事项,以便将资金转移到诈骗者或相关的第三方账户
D. 内部控制评估缺乏标准
38. 按照不相容职责分离的原则,下列哪一选项是授权资产交易的人员不应当拥有的职责权力?
A. 可以单方面处置资产
B. 拥有控制资产的权力
C. 能够从公司库存中单独转移资产
D. 以上各项职责都应有制衡措施
39. 与成本过高和收入不足的风险暴露相关的具体原因有很多,下列哪一选项不属于相关的原因?A. 设计拙劣或不准确的计算机应用系统
B. 对用户的需求无法快速应对处理
C. 欺诈性过账
D. 客户交易损失
40. 美国法院出台“恢复信任计划”,用以协助企业重建内部控制体系中失去的信任。下列哪一选项是不正确的?
A. 恢复信任计划是单纯的公司治理研究
B. 避免再次发生公司财务丑闻的弊端
C. 该文件是必须执行的变革行动计划
D. 要求公司履行治理报告中的所有建议
41. 关于《萨班斯-奥克斯利法案》的意向目标,没有包括下列哪一选项的内容?
A. 改善公众对公司会计和报告的信任感
B. 增强内部审计师的独立性
C. 促使公司高级管理层能够对其行为更加负责
D. 增强财务系统、披露以及内部控制措施
42. COSO 对业务活动的定义包括业务流程和交易处理的活动,业务活动控制的有效性取决于下列哪一选项?
A. 管理层建立了行之有效的控制环境
B. 管理层对营私舞弊人员的处罚因人而异
C. 内部审计部门通常进行事后审计
D. 以上各项都正确
43. 公司依靠员工坚持公司的标准,在任何情况下员工有责任采取的行动中,不包括下列哪一选项?A. 熟悉法律并执行标准
B. 不要忽视违法行为
C. 猜测管理处理此事层的态度D. 协助改进控制措施于流程
44. 在业务系统的循环周期中,下列哪一选项与支出周期的“资产保护”措施无关?
A. 只对经授权购入的货物付款
B. 保证现金收入的安全
C. 只对经核准的员工支付薪酬
D. 保护重要的记录
45. 某网站计划每天花费 10,000 美元来改善网站功能,以便减少离开网站的客户数。假设 10,000 美元的投入可以挽回 1000 个客户中 30% 的客户,而这些客户平均每天花费 100 美元,那么预期该网站每天可以减少多少损失,投资回报又是多少?
A. 无法计算
B. 减少损失 30,000 美元;投资回报 20,000 美元
C. 减少损失 50,000 美元;投资回报 40,000 美元
D. 减少损失 3,000 美元;投资回报 4,000 美元
46. 某位财务主管得到管理层授权可以审核和调整员工的工资表。然而,他利用这一授权调高其个人的工资级别,这种行为属于下列哪一选项的行为?
A. 属于财务主管职责范围内的工作
B. 属于得到管理层授权的行为
C. 安全风险或易接近性风险
D. 财务主管滥用这一授权
47. 存在两种有关风险控制的授权方式,即一般授权和特别授权。下列哪一选项描述控制环境中的一般授权?
A. 某一业务主管其审批权限的最高金额为 10,000 美元
B. 如果员工的工作完成了,他们可以自行提早下班
C. 员工可以批准上限为 1000 美元的培训支出
D. 业务主管必须批准向其直接报告的每一份业绩报告
48. 审计能力威胁是指阻止交易处理重建的威胁。审计能力威胁的风险使存储数据这类信息无法用于向管理层、审计师和监管机构证明处理情况,下列哪一选项是不正确的?
A. 需要对这些数据进行监控、检查和审计处理
B. 确定这些数据是否已符合组织的政策和程序、法规要求
C. 按一般公认会计原则对这些数据进行处理
D. 审计能力威胁涉及数据存储的目的是方便数据处理
49. 管理层可以采用许多方式来监控其授权是否被下属各部门执行,这些方式不包括下列哪一选项的内容?
A. 编制预算并将实际业绩与预期业绩指标进行比较
B. 向董事会报告所有重大的控制缺陷和整改行动
C. 监督和履行责任的报告
D. 建立完整的合规性监控机制
50. 风险分析小组开始工作时,首先要进行风险分析调查,其初步调查结果不包括下列哪一选项?
A. 组织现有的控制措施
B. 企业资产价值的核算
C. 组织交易处理中的薄弱环节
D. 以外包的形式执行这项工作
51. 交易冲突模型的目的在于显示财务导向交易职责的适当分离。下列哪一选项不属于该模型说明的功能?
A. 分析可以执行的交易和在哪些财务账户上会发生交易职责冲突的问题
B. 相同的交易可以在同一账户执行太多的职能就存在潜在的职责冲突
C. 选择一个合格的小组,并正式授予权利和职责
D. 对潜在的冲突事项要进行适当的职责分离
52. 企业运营成果通常具有相关性,并且可以在绩效考评时与战略目标或经营计划进行比较。下列哪一项不属于差异分析类型?
A. 将实际结果与预算业绩指标进行比较
B. 设定某一业务项目的经费限额
C. 将运营与财务业绩矩阵与类似公司的业绩进行比较
D. 与本行业的专家讨论与绩效水平相比的明显差异
53. 对控制环境进行评估应当考虑信息沟通的性质、程度与时间安排,下列哪一选项是不属于评估沟通的内容?
A. 了解哪些人将使用这类信息和如何使用?
B. 明确这类信息的复杂程度,信息被错误传送的可能性有多大
C. 要求对这类信息做出反应的速度和频率
D. 可选择进行原始分录和记录文件的预先编号
54. 内部控制师评估管理层负有的责任时,采用评估核查清单确认相关事项。对某一问题做出肯定回答的流程必须有相关标准。下列哪一选项是不属于相关标准?
A. 该流程必须有书面文件
B. 整个流程必须告知所有负责执行的人员
C. 该流程的执行严格按照书面文件的规定
D. 该流程要求仅对调查问卷上“否定”回答的事项作进一步调查
55. 企业进行风险评估时,衡量风险的大小等级对于采取适当的控制措施是非常重要的,下列哪一选项不正确?
A . 衡量风险的大小等级之前是无法适当控制风险的
B . 采用很强的控制措施来降低损失较小的风险是无效的做法
C . 衡量风险的大小等级存在单独的一般公认的方法
D . 一些组织将风险等级分为低级、中级、高级及灾难级
56. 在实现内部控制目标方面,组织所有员工都发挥着一定的作用。下列哪一选项属于高级管理层采取的控制活动?
A . 出纳和会计执行对账业务
B . 内部审计人员实施现场观察
C . 控制大额资金的承付款项
D . 评估小组调查成本差异的原因
57. 企业建立内部控制体系需要考虑控制措施的成本效益,下列哪一选项是不正确的?
A . 分配足够的资源来建立控制措施
B . 遵守《萨·奥法案》证明本组织的内部控制体系有效性的要求
C . 消除被证明是无效的控制措施
D . 组织难以证明其采用的控制措施具有成本效益
58. 在许多业务系统中,企业投入越来越多的资金用于设计控制系统而不是设计业务交易处理系统。因此,下列哪一项选项是最佳答案?
A. 在系统中合适的位置嵌入控制措施
B. 使控制系统的总体成本最优化
C. 控制系统的成本应当是整个系统正常运行必需的支出
D. 综合考虑与应用以上各项因素。
59. 在成本和效益几乎相等的情况下,要做出成本效益决定是比较困难的。一个合理的范围将取决于每个项目相关的复杂性和风险暴露,再加上或减去一定的百分比(例如 10% )。假如某一项目估计的成本或收益将达到 50,000 美元,出于决策的目的,该项目应当考虑的合理范围为下列哪一选项?
A. 4,000 美元~5,000 美元
B. 45,000 美元~55,000 美元
C. 50,000 美元~55,000 美元
D. 无法确定
60. 计算机化应用系统中的一个主要风险来源是如何解决不相容职责分离的问题。下列哪一选项不是出现这种风险的原因?
A. 传统的职责分离概念不适用
B. 未采用不相容职责分离的新技术
C. 不相容职责的集权化管理
D. 审计线索不足或丢失
61. 作为一般规则,如果出现下列哪一情形,内部控制评价人员将无法依赖业务活动的应用控制措施?
A. 内部审计师已经帮助建立应用控制措施
B. 应用控制措施没有用文档记录
C. 公司层面控制环境失效
D. 应用控制措施与内部控制框架相一致
62. 内控评价人员需开展初步调查以确定评价范围。下列哪一项活动应当在评价人员召开进点会议之前进行?
A. 测试应用控制
B. 审查应用控制
C. 与高级管理层面谈,确认他们潜在的关注事项
D. 完成内部控制核查清单
63. 如果评价人员采用内部应用特征的风险评分方法需要对应用系统有深入的了解,否则,无法对应用系统开展详细的风险评估,下列哪一选项是正确的?
A . 使用内部应用特征风险评分的方法,通常要求对文档记录和系统特征做初步审查。
B . 评价人员大多采用外部应用特征的风险评分的方法
C . 应用系统的详细风险评估需要删除或修改一些特征
D . 五级风险的检查项目难以汇总
64. 记录活动最容易受到舞弊和盗用公款的影响。下列哪一选项不属于记录活动发生舞弊和盗用公款的原因?
A. 蓄意的输入编码错误
B. 伪造授权流程
C. 设备出现故障
D. 从记录流程中删除信息
65. 资产安全可以是物理安全和逻辑安全,涉及资产保护的物理控制示例,下列哪一选项是正确的?
A. 与关键员工签约
B. 为重要资产提供保险
C. 经授权的员工佩戴徽章
D. 开发灾难恢复计划
66. 许多组织通过风险评估小组量化某一特定时期的风险。风险评估小组最通常采用的方法是下列哪一选项?
A. 频繁的损失经验(FLE)
B. 每周的风险分析(WRA)
C. 当期损失检查(PLR)
D. 年度损失预期(ALE)
67. 管理层应当以其职责得到有效履行的方式进行授权。特别授权的事项涉及重大决策、重要人事安排、重大事项和大额支付款项,需通过董事会或执行管理层研究决定。下列哪一选项不属于特别授权的事项?
A. 主要的资本支出
B. 长期贷款合同
C. 批准年度经营预算
D. 委派代表行使某种权力
68. 交易处理的控制目标是保证交易处理流程的安全性。下列哪一选项不属于交易处理的控制措施?
A. 将实际收到的产品与采购订单比较
B. 拒绝不符合系统规则的交易
C. 提交与运营或资产监控相关的会计报告
D. 输入数据验证程序
69. 随着计算机技术的改进,人们期望越来越多的控制措施将实现自动化管理。在授权交易的自动化管理方面,
下列哪一选项是较为有效的措施?
A. 通过冗余(重复)控制来实现
B. 联合使用密码和加密磁卡
C. 人事部门和销售等部门制定相关程序
D. 特别关注不寻常的或不重现的交易事项
70. 当内部控制措施被视为每个业务系统中单一的相互独立的组成部分时,往往会导致下列哪一种情况?
A. 最具成本效益的方法
B. 每一部分的单点控制
C. 重复控制和控制成本过高的现象
D. 控制成本正常预算的最佳方式
71. 在使用外部应用特征方法评估风险时,下列哪一项因素不属于访问风险的评级因素?
A. 财务应用情况
B. 应用损失历史记载
C. 系统无法根据业务需要自动做出改变
D. 访问安全性
72. 评价人员首先要确认控制环境是适当的,然后才执行业务活动控制评估。下列哪一选项是评估方案的说明?
A. 执行某一系统或业务活动评估的程序
B. 通常是一种代价很高的业务活动
C. 一种简单的用文档记录的程序
D. 绝对必需的一种成本效益分析
73. 首席执行官(CEO)的职责包括努力使内部控制体系的所有组成部分设计适当并有效运行。下列哪一选项不属于 CEO 履行这种职责的方式?
A. 向部门经理提供领导和发展方向
B. 定期会见各主要职能部门的负责人
C. 监控业务活动执行的整个过程
D. 明确规定需要的内部控制相关信息
74. 审计师传统上拒绝承担发现舞弊行为的任何责任,他们认为舞弊控制是管理层的职责。而管理层希望审计师和评价人员揭示潜在的舞弊行为,下列哪一选项是正确的?
A. 审计活动的主要职责就是发现舞弊
B. 审发现舞弊的能力是有限的计师
C. 审计测试在大多数情况下都能发现舞弊行为
D. 通过计算机控制措施自动发现舞弊行为
75. 评估方案中的信息与沟通要素很重要,与利益相关者应特别注意沟通下列哪一目标的信息流?
A. 知道已分配多少预算资金
B. 确保日常监管活动不被忽视
C. 如何控制工作流程
D. 保持与评估团队责任相一致
76. 在《萨 • 奥法案》合规性评价时,针对强化内部控制体系的评估关注事项,重点是评价执行管理层的行为,执行管理层的下列哪一种行为是不正确的?
A. 执行管理层熟悉内部控制体系
B. 执行管理层设置一个流程,以确定公司现行的内控系统是否有效
C. 执行管理层设置一个流程,评估其内控系统中已收集到的信息用以改进系统的缺陷
D. 执行管理层让内部审计师代表其签署内控系统有效性的意见
77. 组织行为守则的特定政策声明中,通常不包括下列哪一选项内容?
A. 公司资产的使用与责任
B. 财务报告的限制性规定
C. 利益冲突事项
D. 反托拉斯法和规则
78. 组织应设定清晰明确的目标,以识别和评估与目标相关的风险,下列哪一选项不属于管理层确定外部财务报告的目标是否存在并运行的关注点?
A. 符合适用的会计准则
B. 考虑风险容忍度
C. 考虑重要性水平
D. 反映本企业经营活动
79. 在过去几年发生的公司丑闻中,那些清楚记录了不正当行为的证据已经被销毁。《萨 • 奥法案》的起草者希望公司管理层能够在足够长的时间内做好下列哪一项工作?
A. 将更多的精力用在识别法律漏洞上
B. 妥善保存调查或起诉所需要的证据
C. 解雇自行检举者
D. 进行适当的会计处理
80. 面对可能发生灾难性损失的风险暴露时,组织可以采取三种控制措施。下列哪一选项属于组织选择的缓解风险发生时亏损影响的控制措施?
A. 实施费用低于风险暴露的控制措施来降低损失发生的可能性
B. 实施合理费用的控制措施来降低其损失的经济影响
C. 向保险公司投保
D. 不采取任何控制措施容忍其发生
81. 公司首席执行官和管理层的薪酬应当依照公司业绩进行评估。审计师如何评估首席执行官薪酬的合理性?
A. 审查董事会的会议记要
B. 制定相同行业首席执行官的薪酬基准
C. 审查年度报告
D. 比较首席执行官直接报告的薪酬
82. 假设一个大公司将大部分的数据处理设施集中在同一个地方。一旦这些设施发生灾难性损失时,公司这类损失的所有费用总计为 1.5 亿美元,而发生这种灾难性损失的概率为 50 年一次。请问该公司每年应当花费多少费用的保护措施来降低这种损失?
A. 450,000 美元 /年
B. 3,000,000 美元 /年
C. 30,000,000 美元 /年
D. 4,500,000 美元 /年
83. 如果系统设计者理解风险暴露的主要类型,他们就可以定义业务系统所需的控制目标,并确定提供下列哪一选项的内容?
A. 管理层评价责任的机会
B. 决定在系统的哪些点位设置控制措施
C. 授予员工拥有责任的机会
D. 决定组织中设定目标的依据
84. 错误记录通常被控制系统设计师认为是最大的风险暴露。下列哪一选项是大多数单一错误发生的原因?
A. 存在欺诈和盗用公款的行为
B. 遭遇洪水、飓风、气旋、 龙卷风等的天灾
C. 出现设备故障
D. 出现意外的错误和遗漏现象
85. 许多人认为如果他们不承担责任或不作为,他们就不必负责任。这些人面对的唯一风险是下列哪一选项?
A. 避免承担责任
B. 减少了个人的风险
C. 增加了组织的风险
D. 因为不作为而遭到惩罚
86. 《萨 • 奥法案》对董事会及其审计委员有三个方面的要求,下列哪一选项不属于这三方面的要求?
A. 确保能够识别已出现的问题或发现内控缺陷
B. 独立董事必须和公司没有任何关系
C. 由独立董事担任董事会的重要职务
D. 确保对独立审计师和内部审计师的工作提供更多的监管和指导
87. 美国马科姆•波多里奇国家质量奖的核心价值观被用于指导企业加强公司治理,下列哪一选项是不正确的?
A. 马科姆•波多里奇国家质量奖由美国国会法案规定的
B. 采用企业和质量管理专家多次会议输入的信息作为评奖的依据
C. 每年需要更新信息,编入前一年度未被采用的企业“最佳管理实务”
D. 研究结果表明,获得该国家质量奖企业的业绩未能持续超过主要证券市场的指数
88. 在首席执行官签署内部控制体系有效性的书面声明之前,涉及评估的三方人士应当对内部控制的有效性达成一致的结论。下列哪一选项不属于内控评估的三方人士?
A. 执行管理层
B. 内部审计师
C. 风险分析小组
D. 独立审计师
89.首席执行官对确保遵从《萨 • 奥法案》所采取的行动负最终的责任,下列哪一选项是不正确的?
A. 首席执行官需要协调和领导以确保该法案合规性的总体努力
B. 首席执行官通过签署报告自行对确保遵从该法案负责
C. 可以委派首席内部审计官完成适当的合规性检查职责
D. 首席执行官通常需要各部门的帮助以确保遵从该法案
90. 高级管理层不仅要向员工沟通其期望值,而且还应当为员工树立表率作用,下列哪一选项是正确的?
A. 参与管理
B. 言行一致
C. 事必躬亲
D. 定期演讲
91. SOX 法案排除独立审计师履行工作时可能造成利益冲突的任何阻碍因素,下列哪一选项不属于排除潜在利益冲突的做法?
A. 取消或最大限度地减少咨询业务
B. 聘用独立审计师事务所的前任雇员,并随后允许其立即聘用该审计事务所
C. 定期轮换审计合伙人
D. 审计费用由审计委员决定
92. 威胁点矩阵可用于确认高风险点以便设置或评估控制措施,列哪一选项不属于威胁点矩阵的方法?
A. 系统设计师可用于确定在哪些点位使用最具有成本效益的控制资源
B. 业务系统负责人可对所有威胁点实施同等强度的控制措施
C. 审计师可用于确认关键控制措施设置的适当性
D. 系统设计师对可能发生损失的高风险点进行排序
93. 管理层确立高层基调,包括明确规定道德指引以及组织上下沟通的范围,下列哪一选项不属于“高层基调”?
A. 在整个企业是否有效沟通对诚信和价值观的承诺
B. 要求员工做正确的事,不谋不义之财
C. 为董事建立强制的退休年龄制度
D. 管理层应当适当处理存在的问题
94. 在线计算机应用程序对数据控制带来一些新的威胁,主要是因为下列哪一因素?
A. 编程人员往往不明白内部控制流程
B. 员工未经过适当的训练,
C. 通信系统中的数据处于不同的处理阶段
D. IT 系统的设计通常无法提供必要的控制措施来处理所有可能出现的商业挑战
95. 下列哪一选项不属于《萨班斯-奥克斯利法案》对董事会及其审计委员会的要求?A.独立董事必须和公司没有任何关系
B.董事会主席和首席执行官可以是同一个人
C.由独立董事担任董事会的重要职务
D.确保对审计师的工作提供更多的监管和指导
96. 内部控制体系必须加以监控,以便评价各项活动的业绩质量。监控要素可保证实现下列哪一目标?
A. 组织能够识别问题和发现内控缺陷
B. 获得对不合规事项的整改成本预估
C. 监事可以在必要时整改控制缺陷
D. 取消或最大限度地减少咨询工作
97. 组织的所有员工在实现控制目标方面都发挥一定的作用,员工实施的控制措施不包括下列哪一选项?
A. 提供内部控制体系运行所需的相关信息
B. 在正常汇报线之外建立沟通渠道
C. 采取实现控制目标所需的其他行动
D. 关注直接影响内控系统有效性的异常活动
98. 企业评价内部控制体系并及时向负责采取整改行动的当事方,包括高级管理层和董事会沟通内部控制缺陷的情况,下列哪一选项不属于管理层和董事会重点关注的事项?
A. 评估持续监控和独立评价的结果。
B. 沟通控制缺陷
C. 考虑过度的压力
D. 监控缺陷整改行动
99. 许多独立审计师为公司建立应用系统时收取巨额咨询费用,而这些应用系统正是他们的会计师事务所日后必须审计的对象。由于这些高额咨询费,引起许多人对独立审计师的不同看法,下列哪一选项是不正确的?
A. 独立审计师收取高额咨询费可以制约公司的财务丑闻
B. 独立审计师与公司管理层存在利益关系
C. 独立审计师的独立性会受到影响
D. 独立审计师难以反对公司高级管理层不适当的行为
100. 独立评价是由某些专业人士所执行的监控活动,下列哪一选项不属于独立评价的执行机构或人员?
A. 组织设立的专门负责监控的机构
B. 内部审计师
C. 常规业务活动的检查人员
D.独立审计师
一、判断题(每道题 1 分)
1.组织需要进行有效控制主要是因为良好的内部控制有助于帮助组织实现经营成果利润的最大化。
A. 正确 B. 错误
2.COSO 将风险分为战略风险、报告风险、经营风险和合规风险,其中的报告风险只涉及财务报告失真风险。
A. 正确 B. 错误
3.风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
A. 正确 B. 错误
4.1977年美国国会通过的《海外反腐败法案》规定,加强内部控制是美国公司董事会的责任。
A. 正确 B. 错误
5.《萨班斯-奥克斯利法案》的首要目标是建立增强企业问责机制和处罚企业违法行为的新标准。
A. 正确 B. 错误
6.COSO 内控新框架对组织的控制目标提供了详细的风险控制活动,因而成为最广泛被认可的内部控制框架。
A. 正确 B. 错误
7.企业建立内部控制体系需要考虑控制措施的成本效益,应当消除那些被证明是无效的控制措施。
A. 正确 B. 错误
8.审计师通常会承担其未能发现舞弊行为的责任,因为他们认为查处舞弊行为是审计师的职责。
A. 正确 B. 错误
9.内部控制是由人来执行并受人的因素影响,保证组织所有员工具有一定水准的诚信、道德价值观和胜任能力
的人力资源政策与实践,是内部控制有效性的关键因素之一。
A. 正确 B. 错误
10. 遵守《萨班斯 – 奥克斯利法案》,企业必须记录、审查和定期评价内部控制体系。
A. 正确 B. 错误
二、单项选择题:(每道题 1 分)。在每道题的 4 个选项中,只有一项是符合题目要求的。
11. 下列哪一选项的组织将内部控制定义为:内部控制是一个由组织的董事会、管理层和其他员工实施的旨在为实现运营、报告和合规目标提供合理保证的过程。
A.美国注册会计师协会(AICPA)B.国际内部审计师协会(IIA)
C.财务主管协会(FEI)
D.反虚假财务报告委员会的发起组织委员会(COSO)
12. 立法部门和政府监管机构对企业加强监管,下列哪一选项是 COSO 新框架未强调的监管机构需监管的事项?
A. 企业的控制活动存在并有效运行
B. 解决与特定技术相关的内外风险
C. 要求企业 CEO 证明内部控制体系有效性
D. 管理层要为运营的效果与效率提供合理保证
13. COSO 总结 20 年多来,尤其是《萨·奥法案》颁布后最近 10 年企业内控建设的实践,在旧框架基础上提炼出内部控制五要素的 17 项总体原则。下列哪一选项在 COSO 内控新框架所包括的内容中没有做出特别要求?
A. 内容摘要、框架内容和附录
B. 评估内部控制体系有效性的解释性工具
C. 对关注点进行独立评价
D. 外部财务报告内部控制:方案和示例摘要
14. COSO 内控新框架强调控制环境对企业内控体系的基础作用,下列那一选型不属于控制环境的原则内容?
A. 展现诚信和道德价值的承诺
B. 董事会行使监督职责
C. 识别和分析显著变化
D. 对胜任能力的要求
15. COSO 新框架阐明内部控制五要素和 17 项原则,下列哪一选项不属于新框架中与控制活动相关的三项原则?
A. 政策和程序存在
B. 选择与执行控制活动
C. 选择并执行信息技术方面的一般控制
D. 通过政策与程序实施控制活动
16. COSO 报告对内部控制研究的突破不含下列那一选项?
A . 强调控制环境在内部控制中居于基础环节
B . 强调风险评估在内部控制中的重要作用
C . 强调信息与沟通是强化内部控制的重要途径
D .强调监督是内部控制发挥作用的关键环节
17. 公司致力于追求稳健发展和保持盈利目标,公司对股东做出的承诺不包括下列哪一选项的内容?
A. 保持真实的和完整的财务记录
B. 维护财务报告内部控制的有效性
C. 维护计算机网络安全
D. 管理层可以利用企业机密信息牟私利
18. COSO 新框架内控五要素的“监控活动”,要求评价与沟通内部控制缺陷,下列哪一选项不属于其关注点?
A. 评价结果
B. 业务流程
C. 沟通缺陷
D. 监控整改措施
19. 科学合理的战略计划为企业保护资产和生成用于决策的财务信息提供适当的控制程度,下列哪一选项是不属于战略计划应包括的重大事项?
A. 企业发展目标
B. 营运资金计划
C. 业务范围与产能计划
D. 长期的人事聘用计划
20. 内部控制体系受到组织各个层级人员的影响,需要与企业的组织结构相适应,下列哪一选项是不正确的?
A. 内部控制适用于整个企业或某一特定的子公司
B. 内部控制适用于事业部、运营单位或业务流程
C. 内部控制就是书面政策、制度框架和业务流程
D. 员工是推动企业发展和完善内控系统的驱动力
21. 高级管理层决定实现组织目标和绩效所需的组织结构,下列哪一选项不属于有效组织结构需考虑的事项?
A. 不同职责的委派
B. 预算和财务业绩
C. 不相容职责分离控制
D. 人事聘用政策
22. 组织的安全保障政策涉及计算机安全和一般的安全保障。下列那一选项不属于组织的安全保障政策?
A . 强调计算机信息系统沟通的方式和重要途径
B. 制定针对安全保障措施合理性的经济依据
C. 提供与控制措施相一致的安全系统或子系统
D.处理已经确认的暴露问题,并遵从法律要求
23.假设某公司的办公室管理不善,该办公室 10 名员工每周各自从公司盗窃价值 10 美元的物品,这种行为导致公司
年度亏损的金额预计是多少?
A. 52,000 美元
B. 5,200 美元
C. 5,20 美元
D. 5,000 美元
24. 一般授权通常是一种控制环境,组织应当正式形成一般授权的政策。下列哪一选项通常不属于一般授权?
A. 批准年度经营计划和经营预算
B. 批准组织结构和部门职责
C. 各类资产的控制目标
D. 审批大额资金支付业务
25. 行为准则代表公司期望员工面对各种情况时如何应对的方式。下列哪一选项通常不包括在行为准则中?
A. 非法错误支付款项的示例
B. 不适当管理层薪酬的示例
C. 利益冲突的示例
D. 遵守反垄断法的示例
26. 坚持制衡原则要对公司内部职能和权力的适当分配进行界定,下列哪一选项不属于内控制衡原则的要求?
A. 分配足够的资源来建立控制措施体系
B. 对各种权力的制衡运作进行制度构建
C. 合理分配公司各种权力,形成相互制衡的配置结果
D. 形成激励和约束相结合的内部管理体制
27. 公司的组织结构提供其运营的计划编制、指导和控制的总体框架。组织结构通常不涉及下列哪一选项?
A. 报告关系
B. 对账检查程序
C. 各部门的职责
D. 主管领导的权限
28. 人力资源部门应当理解员工要抵制其上级主管参与不合规活动时面临的压力,为此可以采取下列哪一选项的控制措施让员工报告违规违法行为?
A. 不相容职责分离的控制
B. 要求员工坚守岗位职责
C. 决策、执行与监督三权相互牵制
D. 在正常汇报线之外建立沟通渠道
29. 在定义、分配和限制权力与职责方面,管理层和董事会可以采取的控制措施不包括下列哪一选项?
A. 下放权力和明确责任
B. 设定高层基调
C. 通过使用适当的流程技术来分配职责
D. 在组织的各个层级进行不相容职责分离
30. 管理层应当以其职责得到有效履行的方式进行授权。特别授权的事项涉及重大决策、重要人事安排、重大事项和大额支付款项,需通过董事会或执行管理层研究决定。下列哪一选项不属于特别授权的事项?
A. 批准年度经营预算
B. 批准重大的资本支出
C. 批准长期贷款合同
D. 委派代表行使某种权力
31.管理层出于强化绩效控制的考虑,定期将财务预算与实际绩效进行比较,采用这一方法通常要开展下列哪一选项的工作?
A. 绩效差异的分析
B. 运营管理的分析
C. 调查市场细分情况
D. 不相容职责分离
32. 关于应用系统中职责冲突分离矩阵的作用,下列哪一选项是不正确的?
A. 说明员工在哪些数据元素上可以行使何种职责
B. 未采用新技术控制应用系统中集中的各种职能
C. 评估应用系统中不相容职责分离的适当性
D. 确定应用系统中应当进行分离的不相容职责
33. 与成本过高和收入不足的风险暴露相关的具体原因有很多,下列哪一选项不属于相关的原因?
A. 设计拙劣或不准确的计算机应用系统
B. 对用户的需求无法快速应对处理
C. 欺诈性过账
D. 客户交易损失
34. 在使用外部应用特征方法评估风险时,下列哪一项因素不属于访问风险的评级因素?
A. 财务应用情况
B. 应用损失历史记载
C. 系统无法根据业务需要自动做出改变
D. 访问安全性
35. 使用以风险为导向的方法设计控制措施,首先要进行下列哪一选项的工作?
A. 对选定区域增加校验位数
B. 建立控制措施来校验关键数据
C. 开发成批的控制措施
D. 查明为什么数据汇总不准确
36. 记录活动最容易受到舞弊和盗用公款的影响。下列哪一选项不属于记录活动发生舞弊和盗用公款的原因?
A. 蓄意的输入编码错误
B. 伪造授权流程
C. 设备出现故障
D. 从记录流程中删除信息
37. 组织在评估实现目标的风险时,应考虑舞弊的潜在可能性。下列哪一选项不属于评估舞弊风险的关注点?
A. 评估技术的相关性
B. 考虑舞弊的不同类型
C. 评估动机与压力
D. 评估对待舞弊行为的态度
38. 业务中断包括造成计算机系统无法运行的任何事件。某些业务活动在业务处理中断的情况下是无法进行的,一些组织使用冗余处理部件应对突发的业务处理中断情况。下列哪一选项不属于业务处理中断的原因?
A. 计算机设备出现故障
B. 使用了某一错误版本的报告
C. 某一系统软件的漏洞没有及时修复
D. 在无法完成工作的点位处理超载
39. 公司的首席执行官(CEO)负责领导和协调不同的控制领域,并与负责不同领域控制活动的主管人员进行沟通,下列哪一选项不属于 CEO 领导和协调的控制领域?
A. 内部会计控制
B. 质量管理控制
C. 程序与产品控制
D. 经营分析控制
40. 企业实施的控制措施应当保存足够的文件和证据,以便在需要时可以重建交易事项并指明需处理的问责机制。下列哪一选项是应用控制目标中针对保存证据的要求?
A.数据需经过授权
B.按照一般公认会计程序处理
C.获得充分的支持性证据
D.保存原始单据
41. COSO 对业务活动的定义包括业务流程和交易处理的活动,业务活动控制的有效性取决于下列哪一选项?
A. 管理层建立了行之有效的控制环境
B. 管理层对营私舞弊人员的处罚因人而异
C. 内部审计部门通常进行事后审计
D. 以上各项都正确
42. 下列各选项中,没有违反现金内部控制的行为包括那一选项?
A . 不得私设小金库
B . 用本单位银行账号为他人支取现金
C . 用白条顶替库存现金
D . 将本单位的现金借给他单位临时支用
43. 风险分析小组开始工作时,首先要进行风险分析调查,其初步调查结果不包括下列哪一选项?
A. 组织现有的控制措施
B. 企业资产重置成本清单
C. 实际威胁与风险排序清单
D. 以外包形式执行风险分析
44. 组织要准确地预测一个意外事件发生的可能性, 往往比评估它产生的影响要困难得多。如果不考虑下列哪一选项,组织就无法确认最有改进价值的安全漏洞?
A. 一项损失的平均经济影响
B. 对做出承担风险决定的直觉判断
C. 分析意外事件的潜在经济影响及其发生的概率
D. 可能产生灾难性的后果
45. 所有员工在实现控制目标方面都发挥一定的作用,他们可以提出与内部控制体系设计和运行有关的信息,或采取实现控制目标所需的其他行动。下列哪一选项不属于员工采取的行动?
A. 质询管理层如何落实其财务报告责任
B. 提供存货记录、在制品数据、销售或者支出报告 B.
C. 实施现场观察或跟踪例外报告的情况
D. 调查成本差异的原因和考评业绩指标
46. 预防性监控的重点是关注某一企业业务流程的输入或准入标准,下列哪一选项不属于预防性监控?
A. 采购产品之前,应当事先审核客户
B. 在业务流程高风险点设置监控措施
C. 确认哪些订单来自经审核确认的客户
D. 使用预先编号的支票
47. COSO 新框架内部控制五要素的“风险评估”,要求识别和分析重大变化。下列哪一选项不属于重大变化?
A. 外部环境的变化
B. 商业模式的变化
C. 领导层的变化
D. 员工职责变化
48. 下列哪一选项已经被证明是识别可能导致发生损失的高风险点缺陷原因的有效风险分析方法?
A.Why-Why 流程
B.风险矩阵
C.威胁点矩阵
D.因果关系图
49. 企业实现内部控制目标可能会受到内控系统中固有局限性的影响,下列哪一选项不属于内控的局限性?
A. 高层决策判断失误
B. 关键岗位的人员串通合谋
C. 管理层凌驾于内控体系之上
D. 政府出台新政策或项目变化
50. 董事会需要采取相关措施来实现其监督职责,下列哪一选项不属于董事会的监控措施?
A. 编制预算和将实际业绩与预期业绩进行比较
B. 要求首席执行官提供控制环境的适当保
C. 要求管理层向董事会报告所有重大的违反控制的行为和纠正行动
D. 任命独立审计师和内部审计师评价控制措施的适当性和有效性
51. 目前高级管理层在其决策过程中同时使用计算机生成的信息和人工采集的信息。如果管理层充分理解这些信息与数据,他们做出错误决策的可能性是很小的。下列哪一选项不属于可能导致错误管理决策的原因?
A. 管理层没有及时得到信息
B. 管理层使用的信息技术落后
C. 管理层不理解其使用的信息
D. 管理层得到了错误的信息
52. 首席执行官(CEO)的职责包括努力使内部控制体系的所有组成部分设计适当并有效运行。下列哪一选项不属于 CEO 履行这种职责的方式?
A. 监控业务流程各项活动的运行状况
B. 向部门经理提供领导和发展的方向
C. 定期会见各主要职能部门的负责人
D. 明确规定所需的内部控制相关信息
53. 在处理某一外部关联交易时,员工允许其配偶或子女享有任何直接或间接的利益,这种行为被称为:
A. 符合公司利益
B. 竞争性事务
C. 利益冲突
D. 利益承诺
54. 为了避免实施计算机安全政策方面的问题,管理层应当首先做好下列哪一项的工作?
A. 亲自编写和制定安全政策
B. 监督所有员工的工作情况
C. 现场示范安全操作规程
D. 明确规定安全的成功因素
55. 在企业内部控制体系建设的过程中,下列哪一选项是内部审计发挥的主要作用?
A. 设计内部控制制度
B. 开展内部控制活动
C. 实施必要的控制措施
D. 评价内部控制的有效性
56. 组织行为准则的特定政策声明中,通常不包括下列哪一选项内容?
A. 财务报告的限制性规定
B. 公司资产的使用与责任
C. 利益冲突事项
D. 反托拉斯法和规则
57. 计算机系统节点或组件之间通信资产的部分或全部损失,可能会导致从整个系统的崩溃到特别应用程序包失效的一系列问题。下列哪一选项不属于通信资产最容易受到损害的领域?
A. 对截获的敏感性
B. 对干扰或堵塞的敏感性
C. 对硬件或软件的依赖性
D. 对修改的敏感性
58. 在某些项目控制措施的成本与效益几乎相等的情况下,要做出成本效益决定是比较困难的。一个合理的范围将取决于每个项目相关的复杂性和风险暴露,再加上或减去某一百分比(例如 10 % )。假如某一创新项目预计的收益为 3000 万美元,出于决策的目的,该项目应当考虑的合理成本范围为下列哪一选项?
A. 2700 万美元~3000 万美元
B. 2700 万美元~3300 万美元
C. 3000 万美元~3300 万美元
D. 无法确定
59. 企业运营成果通常具有相关性,可以在绩效考评时与经营计划进行比较。下列哪一项不属于差异分析类型?
A. 设定某一业务活动项目的经费限额
B. 将实际结果与预算业绩指标进行比较
C. 与本行业的专家讨论与绩效水平相比的明显差异
D. 将运营与财务业绩矩阵与类似公司的业绩进行比较
60. 按照不相容职责分离的原则,下列哪一选项是授权资产交易的人员不应当拥有的职责权力?
A. 可以单方面处置资产
B. 拥有控制资产的权力
C. 能够从公司库存中单独转移资产
D. 对以上各项职责都应有制衡措
61.授权在应用系统中成为一项可控制的活动,员工必须经过授权才能进行数据处理。下列哪一选项不属于授权控制活动的方法?
A. 要求在主管领导在授权文件上签字
B. 要求相关人员在计算机终端输入密码
C. 采用自动化匹配风险与控制的手段
D. 授权某个人负责某一系统的交易活动
62. 为了保证整个应用系统数据的准确性和完整性,一种快速发展的趋势是,许多组织使用数据通信服务作为其计算机应用系统所必需的构成部分。下列哪一选项不属于组织使用数据通信系统的目的?
A. 确保适当的数据通信控制措施在应用系统支持下运行
B. 证实使用中的数据通信控制措施按照规定的程序运行
C. 识别与满足数据通信控制措施不断变化的要求
D. 核对无法回避的需计算机处理的控制措施
63. 下列那一选项是指组织不加以控制就容易产生错弊的环节。
A. 内部审计
B. 内部牵制
C. 实质性测试
D. 关键控制点
64.管理层确立的高层基调应明确规定道德指引与组织沟通的范围,下列哪一选项不属于“高层基调”?
A. 为董事建立强制的退休年龄制度
B. 在整个企业是否有效沟通对正直性和价值的承诺
C. 要求员工做正确的事,不谋不义之财
D. 管理层适当处理存在的问题
65. 组织建立的内部控制体系应当体现内部牵制的制衡原则,下列哪一选项不属于内部牵制的措施?
A. 不相容职务分离
B. 授权批准控制
C. 员工道德规范培训
D. 财产保管和稽核检查
66. 威胁点矩阵可用于确认高风险点以便建立或评估控制措施,下列哪一选项不属于威胁点矩阵的方法?
A . 系统设计师可用于确定在哪些点位使用最具有成本效益的控制资源
B . 审计师可用该方法确认设置控制措施的适当性
C . 系统设计师对可能发生损失的高风险点进行排序
D . 业务系统负责人可对所有威胁点实施同等力度的控制措施
67. 只要理解风险暴露的主要类型,系统设计师就可以定义业务系统所需的控制目标,并确定提供下列哪一选项的内容?
A. 管理层评价员工责任的机会
B. 授予员工拥有责任的机会
C. 明确业务系统设置关键控制点的位置
D. 决定组织中设定目标的依据
68. 内部控制评估小组采用内部应用特征的风险评分方法对组织运行中的某一业务内部控制系统进行初步审查,汇总风险评分计算表中 46 项重要特征的评分结果,风险评级各因素正负数值相加减后的得出风险结果得分为:负 146 分,请问该业务内部控制系统的风险等级应确定为下列哪一选项?(五级风险评分的数值为:极高风险:-5; 高风险:-3;中等风险:0;低风险: 3;极低风险: 5 )
A. 极高风险
B. 高风险
C. 中等风险
D. 极低风险
69. 计算机安全规划委员会负责组织中计算机安全的保障工作。下列哪一选项不属于该划委员会的责任?
A .确认计算机安全的任务并对这些任务进行优先排序
B .获得实施计算机安全任务的资金安排
C .选择安全责任人监督相关任务的执行情况
D .将实际执行结果与预期的业绩指标进行比较
70. 企业进行风险评估时,衡量风险的大小等级对于采取适当的控制措施是非常重要的,下列哪一选项不正确?
A. 衡量风险的大小等级存在单独的一般公认的方法
B. 衡量风险的大小等级之前是无法适当控制风险的
C. 采用很强的控制措施来降低损失较小的风险是无效的做法
D. 一些组织将风险等级分为低级、中级、高级及灾难级
71. 组织应设定清晰明确的控制目标,以识别和评估与目标相关的风险,下列哪一选项不属于管理层确定外部财务报告的目标是否存在并运行的关注点?
A. 符合适用的会计准则
B. 考虑重要性水平
C. 考虑风险容忍度
D. 反映本企业经营活动
72. 在计算机化业务环境中存在三种被放大的风险。下列哪一选项不是内控专业人士需要关注的风险之一?
A. 数据存储能力的容量
B. 无法快速做出反应
C. 无法证实处理情况
D. 不相容职责高度集中
73. 输出处理控制用于确保从计算机处理结束到数据提交给其功能用户之前所有输出文件的完整性。下列哪一选项不属于输出控制措施的范围?
A. 信息技术方面的平衡与协调
B. 输出文件的分发与用户部门的平衡协调
C. 记录保留与输出错误处理等
D. 编辑验证的例行程序与
74. 为了使内部控制体系的总成本最优化,在业务系统中确定关键控制点的位置是很重要的,下列哪一选项有助于确认关键控制点的合适位置?
A. 优先考虑系统停机的时间
B. 确认需要更多人工控制的地方
C. 确认风险暴露损失最大的地方
D. 确认需要持续的跨学科活动
75. 内控评估师为了确定内控评价范围需开展初步调查。评估师召开进点会议之前应进行下列哪一选项活动?
A. 与高级管理层面谈,确认他们潜在的关注事项
B. 测试应用控制措施
C. 审查应用控制结果
D. 完成内部控制核查清单
76. 在组织的内控体系中,审计委员会发挥重要的监督作用,下列哪一选项不属于审计委员会的职责?
A. 质询管理层如何落实其财务报告责任
B. 履行直接指出违规违法事件的监督职责
C. 监督管理层落实其整改内控缺陷的行动
D. 定期汇总和分析公司经营业绩的情况
77. 首席执行官必须对遵从 SOX 法案增强内部控制有效性的行动负责,下列哪一选项是不正确的?
A. 首席执行官通常需要协调和领导以确保 SOX 法案合规性的总体努力
B. 可以委派首席内部审计官完成适当的合规性检查职责
C. 首席执行官通常需要各部门帮助以确保遵从 SOX 法案
D. 首席执行官签署内控评价报告自行确保遵从 SOX 法案
78. 使用均衡组合的绩效考核标准有助于满足不同利益相关者的需要,并避免任何对利益相关者的不利影响,下列哪一选项是不正确的?
A. 绩效考核标准有利于监控实际的绩效
B. 提供一种有效沟通短期计划和长期计划优先排序的方法
C. 战略目标和资源分配需要适应电子商务环境
D. 提供一种用于提升绩效结果的明确依据
79. 在内部控制评估师看来,如果存在下列那一选项的问题,处于重要资产管理或控制岗位的员工侵占资产的舞弊风险可能最高?
A . 缺少强制休假制度
B . 员工不重视相关控制
C . 员工对公司有不满情绪
D . 不相容职责分离不充分
80. 当内部控制措施被视为每个业务系统中单一的相互独立的部分时,往往会导致下列哪一种情况?
A. 使用最具成本效益的方法
B. 强化每一部分的单点控制
C. 控制成本不超过正常预算
D. 重复控制和控制成本过高
81. 内控评估师事前调查的目的是为了确定评估的重点和范围,事前调查应关注的事项不包括下列哪一选项?
A. 视情况进行必要的测试,用以证实应用控制措施存在并运行
B. 与高级管理人员会谈,确认有关业务活动潜在的应关注事项
C. 与其他评估师讨论在评估期间对业务活动应关注的任何事项
D. 会见业务人员,确认他们认为被评估业务活动应关注的事项
82. 对控制环境进行评估应当考虑信息沟通的性质、程度与时间安排,下列哪一选项不属于评估沟通的内容?
A. 了解哪些人将使用这类信息和如何使用?
B. 明确这类信息的复杂程度,信息被错误传送的可能性有多大
C. 要求对这类信息做出反应的速度和频率
D. 可选择进行原始分录和记录文件的预先编号
83. 内部控制师评估控制环境的效果时,采用评估核查清单确认需审核的事项。对某一问题做出肯定回答的流程必须有相关标准。下列哪一选项是不属于相关标准?
A. 审核流程必须有书面文件
B. 整个流程必须告知所有负责执行的人员
C. 严格按照书面文件的规定执行审核流程
D. 该流程只要求对调查问卷上“否定”回答的事项作进一步调查
84. 关于内部控制合规性评价中用于评价独立审计师独立性的指南,下列哪一选项是不正确的?
A. 由公司刚聘用的会计师事务所前雇员协助聘请独立审计师
B. 获取审计委员会与独立审计师之间签订合同协议的复印件
C. 审阅并获取独立审计师关于员工无利益冲突的证明文件
D. 获取独立审计师已对其服务收费开具发票的所有文件副本
85. 有效的公司治理最佳实务是一种不可复制的流程,下列哪一选项不属于最佳实务治理方法的标准与程序?
A. 准入标准和退出标准
B. 执行最佳实务的程序
C. 检查流程执行效果的程序
D. 管理层治理行动的程序
86. 董事会及高级管理层应当在企业行为准则中定义关于诚信和道德价值观的期望,应当了解企业行为准则的人群不包括下列哪一选项?
A. 执法机构的人员
B. 企业所有层级的员工
C. 外包服务供应商
D. 业务合作伙伴
87. 为保证审计的独立性,SOX 法案规定:会计师事务所为某一审计客户提供审计服务时,审计项目合伙人(或对审计项目实施最终复核的人)担任该审计项目负责人的任期不得超过多少年?
A. 1 年
B. 3 年
C. 5 年
D. 10 年
88. 公司的合规总监负责监督公司的合规系统,合规总监应当监督的范围不包括下列哪一选项?
A. 内部审计职能
B. 内部控制自我评价
C. 与公司法律法规相关的项目
D. 管理层和董事会成员薪酬上限
89. 在内控自我评价小组讨论某一业务项目的舞弊风险时,内控评估师通常不涉及讨论下列哪一选项的内容?
A. 公司层面进行风险投资的因素
B. 关键岗位的员工串通舞弊的领域及方式
C. 项目管理人员逾越内部控制体系的可能性
D. 评价小组需汇报的因舞弊导致重大内控缺陷事项
90. 客户至上的美德是一个战略概念,它有利于增加客户的满意度,提高产品的市场占有份额和实现发展目标。针对客户与市场需求,下列哪一选项是不正确的?
A. 对已变化的和新出现的客户与市场需求保持持续的敏感性
B. 客户满意度与忠诚度这些因素难以考核
C. 要求倾听客户的需求和预测市场的变化
D. 具有对客户和市场变化的快速反应技巧
91. SOX 法案规定,若因不当行为而被要求重编会计报表,则公司 CEO 与 CFO 应偿还公司多少个月内从公司
收到的所有奖金、红利或其他奖金性或有权益性酬金以及通过买卖该公司证券而实现的收益?
A. 6
B. 12
C. 24
D. 48
92. 企业评价内部控制体系并及时向负责采取整改行动的当事方,包括高级管理层和董事会沟通内部控制缺陷的情况,下列哪一选项不属于管理层和董事会重点关注的事项?
A. 评价持续监控和单独评价的结果
B. 沟通控制缺陷
C. 考虑过度的压力
93. 评估人员应当检查财务披露控制措施,并确认任何与一般公认会计原则不相符的会计惯例,向适当的当事方报告并进行披露。下列哪一选项不属于这一环节的评估关注事项?
A. 会计惯例与一般公认会计程序有差异
B. 公开报告的财务信息与公司正式的财务报告不一致
C. 披露的控制措施未确认所有的表外交易事项
D. 审计委员会履行财务及会计事务方面的职责
94. 审计师传统上拒绝承担发现舞弊行为的任何责任,他们认为舞弊控制是高级管理层的职责。而管理层希望审计师和评估师揭示潜在的舞弊行为,下列哪一选项是正确的?
A. 审计活动的主要职责就是发现舞弊
B. 审计测试在大多数情况下都能发现舞弊行为
C. 通过计算机控制措施自动发现舞弊行为
D. 审计师发现舞弊行为的能力是有限的
95. 在《萨 • 奥法案》合法性评价时,针对强化内部控制体系的评估关注事项,重点是评价高级管理层的行为,高级管理层的下列哪一种行为是不正确的?
A. 高级管理层熟悉内部控制体系
B. 高级管理层设置一个流程,以确定公司现行的内控体系是否有效
C. 高级管理层设置一个流程,评估其内控体系中已收集到的信息用以改进系统的缺陷
D. 高级管理层让内部审计师代表其签署内部控制有效性的意见
96. 管理层制定的薪酬政策应当以实现绩效目标为基础。下列哪一选项不属于评价薪酬合理性应考虑的事项?
A. 是否传递不断改进为客户服务的价值观
B. 是否存在对员工道德价值观的不公平测试
C. 员工的薪酬和晋升是否将以实现短期绩效目标作为唯一的依据
D. 是否存在相应的控制措施用于减少可能存在的其他诱惑
97.基于内部控制的原理,下列哪一选项的公司治理监控在一个组织中是最可取的和有效的监控类型?
A.监控高层基调
B.单独监控
C.持续监控
D.独立监控
98. 组织需要对偏离治理标准的差异情况采取整改行动,下列哪一选项不属于需执行整改行动的人员或机构?
A. 主管领导或所在部门的经理
B. 组织的法律顾问
C. 独立审计师
D. 明确规定需实施整改的单位
99. 公司治理方面,存在三种一般类型的最佳实务,下列哪一选项不被考虑为公司治理最佳实务的类型?
A. 公司的行为准则
B. 公司治理的政策与程序
C. 合规性的基础架构
D. 通用的公司治理最佳实务
100. 公司治理模型的基石是治理的方式、治理计划的执行、治理分析与强制实施。下列哪一选项是不正确的?
A. 高层基调由董事会负责制定和实施
B. 高层基调是管理层实现治理目标的方式
C. 治理计划的执行是规定组织中如何执行治理方式
D. 治理分析与强制实施是管理层确保实现治理目标的手段
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。