内部控制试题集(内控考试)

一、体系框架
1.什么是内部控制？
答： COSO 内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为实现经营的效率和效果性、财务报告的可靠性、相关法规的遵循性等目标而提供合理保证的过程。

其含义如下：
(1)内部控制是一个过程，是一个发现问题、解决问题，不断发展和完善的动态过程；
(2)内部控制是由董事会、管理层、各部门、所属单位和全体员工共同实施的完整体系；
(3)内部控制是对公司内部的人、财、物、信息等要素的控制制度、程序和办法。

2.为什么要进行内部控制体系建设？
答： 2001 年，美国安然、世通、施乐、默节制药等一批大公司会计丑闻接连暴光，诚信危机震撼着美国及国际社会。

为了提高民众对美国金融市场、政府经济政策的信心， 2002 年7 月，美国政府颁布实施了《萨班斯－奥克斯利法案》。

《法案》要求在美国上市的境内外
上市公司必须建立完善的内部控制体系并保持有效的执行。

香港证券监管机构对此也提出了严格的要求。

中国石油天然气股分有限公司作为在美国纽约证券交易所和香港联交所上市的公司，必须满足上市地的监管要求，建立完善的内部控制体系，并保证有效执行。

3.美国证券交易委员会认可的内部控制体系建设标准是什么?
答：美国证券交易委员会惟一推荐使用的内部控制体系标准是COSO 框架体系。

注：《萨班斯－奥克斯利法案》第 404 条款的“最终细则”也明确COSO 内部控制框架可以作为评估公司内部控制的标准。

4.什么是COSO 内部控制框架？
答： COSO 是自愿性的私人组织，由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成，致力于通过强化商业道德、建立完善有效的内部控制和法人管理结构以提高财务报告的质量。

19 92 年9 月， COSO 委员会提出了《内部控制-整体框架》报告，即 COSO 内部控制框架。

5.COSO 内部控制框架的主要内容？
答： COSO 内部控制框架的核心内容主要体现在内部控制目标和内部控制构成要素。

内部控制目标有：经营的效率效果性、财务报告的可靠性、法律法规的遵循性。

内部控制的构成要素有：控制环境、风险评估、控制活动、信息与沟通、监督等五个方面。

6. 《萨班斯－奥克斯利法案》中 302 条款和 404 条款的主要内容是什么？
答： 302 条款主要明确了在美国上市公司对财务报告的责任，要求向美国证券交易委员会定期提交财务报告的公司，在每一个年度或者季度的财务报告中附一份由公司总裁和财务总监签署的书面认证书，保证公司提交的财务报告在所有重慷慨面公允地反映了公司的财务状况和经营成果。

404 条款主要明确了公司对建立内部控制的责任，要求管理层必须建立、记录、运行、维护、测试和评价内部控制体系，并通过外部审计师的审计。

7. 目前中国石油内部控制体系框架主要包括哪些内容？
答：目前中国石油以 COSO 框架为指引，进行内部控制体系建设。

主要包括：控制环境、风险评估、控制活动、信息与沟通和监督五个方面的内容。

8.内部控制的三大目标是什么？
答：内部控制的三大目标是：
(1)经营的效率效果性：与公司的基本经营目标相关，包括业绩目标、盈利性目标和资产的使用效果目标；
(2)财务报告的可靠性：与财务报告的编制相关，包括公开的中期报告和财务简报以及从报告提取的诸如收入等的财务数据是真正的、客观的、公允的，而不是虚假的；
(3)法律法规的遵从性：内部控制规范的经营活动必须符合公司合用的法律和法规。

9.内部控制的五大要素是什么？
答：内部控制五大要素是：控制环境、风险评估、控制活动、信息与沟通和监督
10.内部控制的局限性表现在哪些方面？
答：内部控制，无论设计和运行的多么完善，也只能就企业目标的实现向管理层和董事会提供合理的保证。

它的局限性主要表现在：
(1)决策中个人的判断可能是错误的；
(2)需要考虑内部控制的相对成本和收益；
(3)简单的误差或者错误带来的内部控制失效；
(4)两个或者更多人的合伙同谋行为而导致内控失效；
(5)管理层能够无视内控体系。

11.如果中国石油不能通过内部控制审计将会带来什么影响？
答：蒋洁敏总裁在内控工作讲话中指出：“中国石油内部控制必须通过外部审计，通无非，就意味着公司价值受到伤害；通无非，我们在国际资本市场就没有形象；通无非，将来的发展就失去了制度保障。

”
二、控制环境
12.什么是控制环境？如何理解控制环境的重要性?
答：控制环境就是指内部控制依存和运行的、对其建立和实施产生影响的内部和外部
因素的总和，主要反映管理者和其他人员对内部控制的态度、认识和行动等。

控制环境是内部控制得以正常运行的基础，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。

控制环境确定了公司的总体态度，是内部控制所有其他组成要素的基础。

13.控制环境包括哪些内容？
答：控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权
利和责任分配、人力资源政策与措施、董事会和审计委员会以及反舞弊等内容。

14. “职业道德”的关注要点有哪些？
答： (1)职业道德规范的制定及推行：管理层应该向员工传达职业道德规范，并且必须不折不扣地执行。

员工应该知晓和理解这些规定。

管理层应该在言谈和行动中表现出对职业道德规范一丝不苟的遵循。

(2) “高层管理基调”的建立：包括详尽的道德指导和在公司上下沟通程度的指导。

具体包括：
①通过一言一行，在公司范围内传达对职业道德规范的遵循；
②员工感觉到被同仁敦促做正确事情的压力；
③管理层对存在问题的迹象予以适当关注。

(3)与利益相关方的关系：要求管理层在与员工、供应商、客户、保险公司、竞争对手和审计师等进行交往时，也要采用高的道德标准，并且要求其他人同样遵守。

(4)违规处理：对违反政策及道德标准的情况采取适当的措施。

(5)管理层对干预或者逾越既定控制的态度，具体包括：管理层就需要进行干预的情形和进行干预的频率订立方针；管理层对控制制度的干预被适当地记录和解释；明确禁止管理人员逾越既定控制。

(6)实现目标的压力：确定合理的绩效目标，特殊是短期目标；工资与绩效的挂钩是合理的。

15.什么是干预？什么是越权？
答：干预是指为了合法的目的而偏离既定的规章和程序的行为。

当浮现特殊的和非标准的交易和事件时，管理层的干预是合理的，因为没有一个公司在设计内部控制时能够考虑所
有因素，当特殊情况浮现，现有的内部控制不合用时，需要管理层采取干预进行处理。

越权则是指为了不合法的目的而不遵守既定的规定和程序。

例如： (1)某一客户要求进行易货贸易，在公司的现有规章制度中没有对此类交易进行相关规定，这时，需要管理层采取一定的方式进行决策，决定接受或者拒绝该项交易，同时对该项交易的过程和理由进行适当的记录，这种行为就是干预。

(2)公司在销售业务中明令禁止收取商业承兑汇票，如果管理层为了某些不法利益，授意财务人员收取商业承兑汇票，这种行为就是越权。

16. “员工胜任能力”的关注要点有哪些？
答： (1)岗位职责描述：管理层应当以正式或者非正式的岗位描述或者其它方式，分析并定义各岗位的具体工作任务，考虑员工在履行工作时运用判断的程度和对该工作的相应监督程度。

(2)分析胜任工作所需要的知识和技能：管理层应分析并确定员工胜任工作所需的基本知识和技能，并有证据表明员工具备工作所需的基本知识和技能。

17. “管理理念和经营风格”的关注要点有哪些？
答： (1)业务风险的接受程度：在介入新业务前，是否经过子细的风险和收益分析后才采取行动；是否时常介入风险特殊高的业务，还是在接受风险方面非常保守。

(2)关键人员的更换频率：关键部门人员(如：经营、会计和数据处理等部门)的更换频率，具体包括：管理层和监督层人员是否存在过高的更换频率；关键岗位员工是否存在蓦地辞职，或者辞职提前通知期较短的现象。

(3)管理层对数据处理、财务报告等的态度：
①财务职能被认为仅仅是公司的“计数中心”，还是公司各种经营管理活动的控制中心；
②所选用的会计准则是否追求财务报告利润最高；
③如果会计职能为分散管理，地区公司负责人是否对报告结果签字确认；
④基层单位的财务部门是否与总部的财务部门有工作汇报关系；
⑤重大资产，包括知识资产和信息被严格地保护，防止未经授权的接触。

(4)高级管理人员相互交流的频率：高级管理人员是否时常访问分支机构及不同地区的下属机构；是否时常召开公司或者区域性的管理层会议。

18. “组织结构”的关注要点有哪些？
答： (1)组织结构适应信息流通和权力集中程度：考虑公司经营业务的性质，公司的组织结构按照适当集中或者分散的管理方式设置；组织结构有利于信息的上传、下达和各业务活动间的传递。

(2)关键管理人员的知识和经验：关键管理人员具备执行相关职责的知识和经验。

具体包括：负责的管理人员技能素质满足要求，具备执行其业务必备的知识、经验并接受适当培训。

(3)汇报机制的适当性：确立的汇报机制是有效的，能够保证管理人员获得与其责任和权限有关的信息。

经营活动的管理人员有与相关的高级管理人员进行沟通和交流的通畅渠道。

(4)组织结构变化的适应性：组织结构会在何种程度上随环境的变化而变化。

具体包括：管理人员定期根据变化的业务或者行业环境来评价公司的组织结构。

(5)职员人数足够：存在足够数量的员工，特殊是管理人员。

具体包括：管理人员拥有足够的时间来有效地履行职责；管理人员能够将工作分派给其下属，避免浮现大量加班，以完成本可以由多名员工完成的工作。

19. “权力和责任的分配”的关注要点有哪些？
答： (1)责任分配与授权：根据公司的目标、经营职能和监管要求，分配责任和授权，包括信息系统的责任和变化的授权。

具体包括：职权和职责被授予公司内的员工；决策的责任与其职权和职责相对应；对员工进行授权和分配职责时，应充分考虑适当的信息。

(2)数据、会计等员工技能的充分性：数据处理和会计职能部门的员工应具备与公司规模、业务活动和系统相适应的技能水平。

具体包括：从数量和经验两个方面考虑，公司拥有
足够的员工以完成其职责。

(3)责任分配与授权的恰当性：授权和所分配的责任相吻合。

具体包括：完成工作所需
要的权力与高级管理人员参预的程度应存在适当的平衡；授予合适级别的员工纠正问题或者
实施改进的权力，并且此授权也明确了所需的能力水平和权力界限。

20. “人力资源政策”的关注要点有哪些？
答： (1)人力资源政策和程序：雇佣、培训、晋升和员工薪酬的政策及程序，具体包括：现有人力资源政策和程序可以招聘并发展有能力、可信的人员，能够支持有效的内部控制
体系；对招聘和培训合适人员的关注程度是适当的。

(2)员工责任和目标：员工(包括新员工)应意识到他们的工作职责和公司对他们的期望。

(3)违规行为的纠正措施：对违背政策和程序的行为的校正，具体包括：管理层对工作
失职采取适当的措施；有对违背政策的适当纠正行为；员工应明白未照章执行的行为最终将
被纠正。

(4)道德标准的遵从：人力资源政策与相应的道德标准一致，对职业道德规范的遵从是
员工评价的一项标准。

(5)核查候选人的背景：特殊要考虑公司不能接受的行为或者活动，具体包括：对频繁
更换工作和职业背景相差很大的候选人要子细核查；雇佣政策要包括对犯罪记录的调查。

21.什么是舞弊？舞弊行为有何特征？
答：舞弊是指以故意的行为获得不当或者非法利益。

舞弊行为主要有两个特征：一是主观故意；二是获得不当或者非法利益，包括对财务报
告造成重大影响或者给公司造成重大损失等情况。

22. “反舞弊”的关注要点有哪些？
答： (1)管理层有效地设计、实施公司反舞弊程序和控制，针对规避财务报告内部控制
的行为和其他欺诈行为，采取适当的措施。

(2)董事会和审计委员会监督公司反舞弊程序和控制。

(3)建立并推行道德准则。

(4)建立道德热线/检举揭发机制。

(5)雇佣和晋升时进行背景调查。

(6)建立舞弊调查程序并实施恰当的补救措施。

(7)进行舞弊风险分析。

(8)为减少已识别的舞弊风险应该设计并实施有效的控制活动。

(9)对反舞弊相关信息进行采集和分享并适当培训。

(10)管理层对反舞弊程序和控制的质量持续监控和定期评估。

23.反舞弊重点关注哪些类型的舞弊行为？
答：(1)财务报告舞弊。

如：以不适当的收入确认方法调节收入、高估资产或者低估负债等。

(2)资产盗用。

例如，非法挪用公司财产、工资舞弊或者偷窃等。

(3)不当目的的支出或者负债。

例如，商业行贿、对政府行贿、其他不当付款等。

(4)以欺诈的方式取得资产和收入。

如：不当的超额收取货款或者费用、掉换销售货品
等。

(5)以欺诈的方式避免成本或者费用。

例如，公司不当地逃避税费或者避免成本等。

(6)高级管理层或者董事会成员在财务方面的不当行为。

例如，不正当的关联方交易等。

24.反舞弊在内控体系中的重要性如何？
答：反舞弊是内控体系建设的重要内容之一，反舞弊的目的就是保证财务报告的真实性
和可靠性。

外部审计对反舞弊程序与控制非常关注， PCAOB(美国上市公司会计监管委员会)
审计工作准则第 2 号在重要缺陷与实质性漏洞方面对舞弊导致的后果专门作了规定。

25.PCAOB(美国上市公司会计监管委员会)审计准则所称高级管理层是指哪些人员？
答： PCAOB 审计准则所称的“高级管理层”包括根据《萨-奥法案》第 302 条签署公司证明的主要高级管理人员和财务负责人，也包括在公司财务报告过程中发挥重要作用的其他管理人员。

股分、专业和地区公司与财务报告相关的高级管理层人员包括：公司总裁、财务总监、财务部总经理和副总经理；专业分公司总经理和总会计师；地区公司的总经理、负责财务的副总经理和总会计师等。

26.PCAOB 审计准则对高管人员舞弊是如何规定的?
答:PCAOB 审计准则第 2 号 140 条第 6 款规定:高级管理层中的任何程度的舞弊行为,至少应被认为是一个重要缺陷,并且是财务报告内部控制存在实质性漏洞的明显征兆。

27.信访举报的方式有几种？分公司信访举报的电话和渠道是什么?
答：信访举报方式主要有来信、来访、电话、电子邮件和网上举报5 种。

分公司信访举报电话和渠道是：
举报电话：
举报邮箱：
受理机构：党委办公室纪检监察岗
办公地点：
通信地址：
邮编：
三、风险评估
28.什么是风险？
答：风险是指任何可能影响目标实现的负面因素，所有公司，无论规模、结构和行业性质，都面临着诸多来自内部和外部的风险，影响公司既定目标的实现。

29.如何理解风险的特性？
答： (1)风险具有不确定性。

风险什么时间、什么地点发生是没有规律的。

(2)风险具有客观性。

风险是客观存在的，只要企业存在该业务，那末相对应的风险就应该存在，而不论在哪级管理层面上，也不会因为企业具有严密的控制措施而消失，也不能因为目前风险没有发生，就判断没有此项风险。

(3)风险具有对应性。

风险是与业务相对应的，不同的业务存在不同的风险，不能将甲业务的风险列在乙业务上。

(4)风险具有可避免性。

风险是可以认识，并可通过采取控制措施加以规避。

对风险可以采取回避风险、减少风险、分担风险、接受风险等办法进行管理。

30.什么是风险评估？
答：风险评估就是识别和分析那些影响目标实现的风险的过程，是风险管理的基础。

31.如何确定重要风险？
答：公司主要根据风险发生的可能性和影响程度的对应关系将风险重要性水平分为高、中、低三类，如果风险发生的可能性属于较大可能，并且风险的影响程度属于较大影响，则将该类风险的重要性水平确认为高，对于重要性水平为高的风险，公司将此类风险确定为重要风险。

32.什么是公司层面目标？
答：一个公司要达到有效控制就必须建立目标。

公司层面的目标包括公司期望实现目标的总体说明，并有相关的战略计划支持。

(1)公司层面的目标提供对公司期望达到的主要目标的充分说明和指导，它们应当与公司直接相关；
(2)公司层面目标的生效应与员工及董事会沟通；
(3)公司层面目标与战略计划的关联性和一贯性；
(4)公司计划和预算与公司层面目标、战略计划及当前情况的一致性。

33.什么是业务活动层面目标？
答：业务活动层面的目标来自公司的总目标和战略计划，并与之相联系，是随着具体对象和最终期限不断制定的。

这些目标应针对每一个重要活动并与其他活动保持一致：
(1)业务活动层面的目标与公司目标及战略计划一致；
(2)各个活动目标之间的一致性；
(3)所有重要业务流程与业务活动层面目标的相关性；
(4)业务活动层面目标的具体性；
(5)资源的充足性；
(6)确定决定公司整体目标实现与否的重要因素；
(7)管理层参预制定公司目标以及他们对目标的负责程度。

四、控制活动
34.什么是控制活动？
答：控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构内所有
级别和职能部门。

包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。

35.控制目标类型有哪些？
答：控制活动目标类型分为：完整性控制(C)、准确性控制(A)、有效性控制(V)、限制接触控制(R)。

(1)完整性控制(C)：指建立完整规范的控制体系和标准；生产经营和财务信息数据的采集、记录和处理完整，无遗漏和重复。

如：把当期所有的合同信息都完整地、不重复地录入合同管理系统。

(2)准确性控制(A)：指所有信息和数据的计算、归集和记录准确无误。

如：在采购过程中，合同上的价格、数量应该准确；发票内容与销售交易内容或者合同应当一致。

(3)有效性控制(V)：指所有的生产经营活动都经过适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件。

如：付款经过适当的管理人员审批；费用报销附有真实有效的原始单据。

(4)限制接触性控制(R)：指信息处理控制和实物资产的保护和安全控制。

如防止存货和实物资产的偷窃和遗失；规定惟独出纳人员才干保管现金等。

36.规避风险应采取哪些控制措施？
答： (1)全面预算控制。

通过编制预算，检查、分析、考核预算执行情况，利用权、责、利的对等关系来实施的控制。

(2)职责分工控制。

按照不相容职务相分离的原则设置合理的机构和岗位，明确职责权限，形成内部制衡机制的控制。

(3)授权批准控制。

通过建立并执行明确的授权审批程序而实施的控制。

(4)查证核对控制。

通过考核、复核相关文件和资料，确保制度、程序在业务活动中准确执行，实现手续资料完整有效、数据真实可靠的控制。

(5)资产安全控制。

包括接近控制和定期盘点控制。

(6)信息系统控制。

运用电子信息技术手段实施的系统控制。

(7)经营业绩分析评价。

定期将实际经营业绩与预算、前期的业绩进行对照、分析，通过分析公司业绩实现程度和差异原因，评价经营绩效水平的控制。

37.一项控制措施须明确哪些内容？
答：一项控制措施必须明确以下要素：
(1)谁(岗位)：完成该项控制的岗位或者人员；
(2)做什么(审核内容、具体操作要求)：该项控制的具体内容；
(3)有何证据(签字、表单、报告等)：完成该项控制活动需留下的表单、报告、签字等；
(4)何时做、频率是多少：该项控制在什么时间操作，多长期操作一次(即频率)。

38.如何理解关键控制？
答：关键控制是在相关业务流程中影响力和控制力相对较强的一项或者多项控制，其控制作用是必不可少和不可替代的。

如果缺少该项控制，将在很大程度上直接导致财务风险的产生。

关键控制是内部控制体系建设与测试的重点，股分公司为防范重要风险，设计了294 个关键控制。

39.如何评价控制设计的有效性？
答：评价控制设计的有效性可从以下两个方面进行：
(1)评价其控制措施是否符合岗位分离要求、事前是否经过严格的审批、审批是否在审批的权限范围内、事中是否留下有效的控制证据、事后是否有复核、核对、清查等发现性控制措施等。

(2)评价业务处理的控制措施是否包含了股分公司规定的关键控制，控制措施的描述如岗位、内容、证据、时间及频率等是否符合关键控制点的要求。

40.控制活动如何分类？
答： (1)按控制活动的目标分为以下几类：
①战略目标控制活动：指能够满足战略目标实现的控制活动。

②经营控制活动：指能够满足经营活动效率与效果目标的控制活动。

③财务报告控制活动：指能够满足财务报告目标的控制活动。

④合规性控制活动：指能够满足合规性目标的控制活动。

(2)按控制活动的内容分为以下几类：
①公司层面控制
a 控制环境范围内的内部控制，包括道德准则的建立与推行、高层管理者基调、检举
揭发机制、权限和职责分工、审计委员会、 IT 环境与组织以及人力资源政策等；
b 反舞弊程序与控制；
c 风险评估流程；
d 集中化的处理和程序；
e 监督，包括持续监督、独立评估和缺陷报告；
f 经营活动分析、审核；
g 期末财务报告流程；
h 统一的规章制度。

②业务活动层面控制：指直接作用于公司生产经营业务活动的具体控制，亦称业务控制，如业务处理程序中的批准与授权、审核与复核，以及保证资产安全而采用的限制接近等控制。

(3)按控制活动的作用分为预防性控制和发现性控制。

①预防性控制：指为防止错误和非法行为的发生，或者尽量减少其发生机会所进行的一种控制。

②发现性控制：指为及时查明已发生的错误和非法行为，或者增强发现错误和非法行为机会的能力所进行的各项控制。

(4)按控制活动的手段分为人工控制和自动控制。

①人工控制：是以人工方式执行的控制。

②自动控制：是由计算机等系统自动执行的控制。