CMA P1(2015)考前冲刺习题及答案-第五章内部控制

第五章 内部控制

一、单项选择题

1、内部控制隐含的基本概念包括下列两项： ①系统成本不应超过预期取得的收益。

②整体控制程序带来的影响不应妨碍营运效率。 下列哪种内部控制体现了以上两概念？（ ）

A、限制。 B、管理层责任。 C、数据处理方法。 D、合理保证。

2、下列哪项行为违反了内部控制的基本原则？（ ）

A、取信的职员将收到的支票与随支票寄来的原文件对比，并确认，然后注释出支 付的金额，最后每天向出纳递交支票（包括一个现金收入清单）的存款。

B、取信的职员将收到的支票与随支票寄来的原文件对比，并确认，然后注释出支 付的金额，最后每天将随支付而来的原文件（包括一个现金收入清单）记录到应收账款明细分类账。 C、在周末，收银出纳为本周收到的全部现金收据制作存单。

D、总账部门比较从出纳收到的为可用于未计科目的现金编制的简要会计分录，以 及应收账款部门记录明细分类账的分批总数。

3、为了正确地进行职责分配，计算机部门的哪个职位应对重新处理数据处理过程中发现的错误负责？（ ）

A、部门经理。 B、系统分析员。 C、电脑程序员。 D、数据控制组。

4、在将一个新客户的汇款地址输入到甲公司电脑数据库的时候，员工错误地输入了一个不存在的邮政区号，结果，邮寄给新客户的第一个月的账单又退回了甲公司。如果当时采取下述哪一项措施，将最有可能发现甲公司电脑数据库的输入错误? （ ）

A、限制性测试。 B、有效性测试。 C、奇偶校验。 D、记录数目测试。

5、以下的控制哪个可以用来检测到那些从来没有发生却被银行记录的存款？（ ）

A、尽可能早些将收入制证、记账。

B、查相关其他的内部会计科目（即稽核应收账款或销售）。 C、合并现金收款点。 D、第三方执行银行对账。

6、控制是管理层通过以下哪一项的适当及有效活动实施的结果？（ ）

A、计划、组织和指导组织活动。

B、确定需求，确定可供选择的行动方案，制定衡量业绩的标准，并将结果与预定标准相比较。 C、授权和检查业绩，并与计划业绩的实现对比。

D、确定经营的效率和经济性，包括目的和目标是否已经达到。

7、如果内部控制被良好的设计，那么以下哪两种任务应当由两个不同的人执行？（ ）

A、批准坏账核销，应付账款明细账和控制的账户合并。 B、发放工资支票和确认赊销的回款。 C、记录现金收入日记账和现金支付的总账。 D、记录现金收入和编制银行对账单。

8、已知精度区间，样本能够反映总体的可能性由下列哪项得知？（ ）

A、点估计。 B、抽样误差。 C、置信水平。 D、误差率。

9、下列哪种会计和管理技术最不可能帮助内部审计人员评价各个利润中心使用资源的经济性和效率？（A、成本差异分析。 B、弹性预算。 C、作业管理。 D、联合成本分摊。

10、从现代内部审计的角度来看，下面哪一项是内部审计活动最重要的好处？（ ）

A、保证公布的财务报表是正确的。 B、保证欺诈活动将被检测。 C、保证该组织符合法律规定。 D、保证日常的经营得到合理的控制。

11、下列哪项是电子数据处理系统的内部控制系统的缺点？（ ）

A、数据控制小组审核并测试程序，然后再处理计算机发现的错误。

）

B、应收账款职员准备并将数据输入计算机系统，审核错误输出。 _ C、系统分析人员设计新的系统，监督系统的测试。 D、计算机操作员根据指令执行程序并监管程序和文件。

12、信息系统的控制可以划分为一般控制和应用控制。在评估信息系统的内部控制时，下列哪种控制不是一般控制？（ ）

A、记录。 B、数据安全。 C、输出。 D、物理设备。

13、审计人员通常以问卷、图表和简述的方式将他们对于管理内部控制系统的理解表现出来。问卷包含一系列审计人员认为有必要提到的旨在防止或及时发现 某种控制错误的问题。审计人员对于支出循环完整性认知最恰当的问题与下列哪项有关（ ）

A、使用某种审査保护工具来巩固支票账户。 B、对预先编号支票的使用和审计责任。 C、对会计人员的资质认证。

D、对质量、价格及销售发票准确性的内部审核。 14、职责分工控制属于以下哪种控制？（ ）

A、预防性控制。 B、补偿性控制。 C、行政控制。 D、侦测控制。

15、以下几项中，一致性测试最主要的目的是为了检测（ ）

A、程序是否经常更新。

B、财务决算项目是否被正确说明。 C、是否产生员工间的勾结现象。 D、控制是否产生预期效果。

16、在信息系统组织的各种功能中，最重要的一个任务是（ ）

A、不允许数据管理系统参与数据处理操作。 B、保证计算机编程系统远离数据处理操作。

C、为交易流程的顺利进行以及交易正确通道的识别提供一个独立的部门。 D、为实用程序提供不同的系统维护人群，而不是与应用程序共享。

17、根据1977年的《美国国外贪腐防治法》，以下哪项不是企业内部控制系统所必需的？（ ）

A、档案资产和现存资产的定期对比，并对其出现的任何差异采取相应措施。 B、根据管理的一般或特定授权而执行的交易。 C、管理人员必须每年审查内部控制系统的有效性。

D、交易存在的必要性（1）为财务决算提供与GAAP或其他任何决算标准相适应的 准备工作（2）维持资产会计责任。 18、在审计的过程中，审计人员要考虑到审计风险，所谓的审计风险是指（ ）

A、当财务决算出现重大错误时，审计人员无法改变自己观点的风险。

B、当重大错误存在时，审计人员在审查账户的过程中却不能发现错误的风险。 C、客户端的内部控制系统不能及时发现或阻止重大错误的风险。

D、客户端在没有任何内部控制的情况下，账户结余容易出现重大错误的风险。

19、审计控制通常比较关注资产的安全和财务记录的可靠性。结果，人们就期望通过这些控制来提供合理的保障，以实现一些特定的目标，其中不包括以下哪项？（ ）

A、与保证实施效果的方法和程序相一致，并符合管理方针。 B、在与管理的一般授权和特定授权相符合的情况下执行交易。

C、经常把记录的资产登记与现存资产做对照，并对其差异通过适当的行动予以解 决。

D、交易记录无论对于为财务决算提供与GAAP或其他任何决算标准相适应的准备工作还是维持资产会计责任都存在其必要性。

20、审查循环中，审计员在决定出示多少查账证据时通常会用到审计风险模型，以下哪种不是常用的审计风险模型所包含的内容？（ ）

A、控制风险。 B、固有风险。 C、审计业务风险。 D、检査风险。

21、下列哪一项对控制环境的影响最大？（ ）

A、组织结构。

B、是否定期更改控制。 C、管理理念和经营风格。 D、公司规模。

22、下列哪个有关董事会的选项是正确的？（ ）

A、董事会必须代表员工的利益。

B、董事会必须设立审计委员会以监督内部控制。 C、董事会必须代表管理层的利益。

D、董事会必须代表股东的利益。 23、以下哪项是内部控制的目标？（ ） Ⅰ.财务报告的可靠性。 Ⅱ.防止舞弊行为。 Ⅲ.经营效果。 Ⅳ经营效率。

Ⅴ遵守适用法律和法规。

A、只有Ⅰ，Ⅱ和Ⅳ。 B、只有Ⅰ，Ⅲ和Ⅴ。 C、Ⅰ，Ⅱ，Ⅲ，Ⅳ和Ⅴ。 D、只有I，Ⅲ， Ⅳ和Ⅴ。 24、下列哪项是正确的？（ ）

A、较高薪员工会更仔细和一贯地遵循控制程序。

B、雇佣、提升和培训有能力的人员是一个有效的控制环境不可或缺的一部分。 C、如果不是员工都受过高质量的教育和培训，控制程序将是无效的。 D、控制程序可以完全弥补员工粗心大意的问题。 25、以下哪一项是职责分离的例子？（ ）

A、订单部门的业务员不会接触到产品，因此不能将产品运给客户。 B、—家小公司的总裁有访问工资记录和调整分录的权利。 C、运输部经理可以访问输入订单电脑，并输入命令。

D、从客户处获得订单的某员工可以进入系统的输入订单并监督产品的装运过程。 26、下面哪一项是进行独立检査的原因？（ ）

A、为了确保管理层看起来符合外部审计标准。 B、为了确保错误可以在犯错的财政年度内被纠正。 C、评估雇员并确定他或她是否遵从控制程序。 D、发现并纠正错误及挪用资产问题。 27、以下哪一项是完整性控制的例子？（ ）

A、设施利用率报告。

B、通过会计课程来培训员工哪笔交易应被记录。 C、必须完成考勤表后，员工才可以接收他们的薪水。 D、将表单预先编号，以方便运输清单和表单对账。 28、下列哪项关于控制风险是正确的？（ ）

A、控制风险依赖于检测风险。

B、控制风险与维护风险一起被测量，来决定总风险。

C、控制风险是评估错报超过可接受水平不会被内部控制发现或防止的可能性。 D、控制风险是评估错报超过可接受水平不会被内部控制发现的可能性。 29、固有风险是（ ）

A、内部审计没有发现不遵守控制程序事件的风险。 B、未遵循内部控制的风险。

C、衡量一个公司的内部控制的有效性。

D、业务本身具有的风险，无论内部控制是否存在。 30、检查风险是（ ）

A、未遵循内部控制的风险。

B、业务本身具有的风险，无论内部控制是否存在。 C、衡量一个公司的内部控制的有效性。

D、内部审计没有发现不遵守控制程序事件的风险。 31、以下哪项陈述是不正确的？（ ）

A、审计检查内部控制以确定控制风险。

B、细致和有记录的内部控制是减少信息错报的原因。 C、有管理案例和解释支持的内部控制是最有效的。 D、细致和有记录的内部控制可以保证舞弊行为发生。

32、门禁，安全系统，ID卡，密码等类似控制是为以下哪项设计的？（A、保护公司的资产。 B、降低生产成本。 C、确保内部控制被遵循。 D、保护公司的声誉。

33、下列哪一项是《萨班斯法案》对于管理层责任的要求？（ ）

A、对内部控制和外部财务报告负责。 B、对财务总监教育背景的要求。 C、对制定长期战略规划负责。 D、对金融投资决策负责。

34、下列哪项不属于内部控制？（ ）

）

A、准确记录假期的要求。 B、预先编号的表单。 C、着装的要求。 D、员工工资记录。

35、下列哪项是审计委员会的职责？（ ） I.帮助选择会计方法和政策。 Ⅱ.内部控制程序的文件。 . Ⅲ.签署季度和年度财务报告。 Ⅳ.选择审计师及批准审计费用。 V审查审计师的改进内部控制建议。

A、只有I，Ⅱ和Ⅲ。 B、I，Ⅱ，Ⅲ，Ⅳ和 V。 C、只有I，Ⅲ，Ⅳ和V。 D、只有I，Ⅳ和V。

36、内部审计的职能是（ ）

A、会计部门的一部分并直接向业务经理报告。 B、按照《美国国外贪腐防治法》要求建立的。

C、独立于经营并负责审查财务和经营信息的可靠性和完整性。 D、负责确保财务报表上的所有信息是准确和真实的。 37、下列哪项是内部审计工作的范围内？（ ） I.检查的财务和经营信息的可靠性和完整性。

Ⅱ.检查既定的控制，以确保遵守政策、程序、法规、合同和法律。 Ⅲ.检查保护资产的方法。 Ⅳ.评估资源运用的效率。

Ⅴ.检查运营，以确定结果是否与公司的目标一致。

A、I，Ⅱ，Ⅲ，Ⅳ和Ⅴ。 B、只有I，Ⅱ，Ⅳ和Ⅴ。 C、只有I，Ⅱ，Ⅲ和Ⅳ。 D、只有I，Ⅱ和Ⅳ。

38、下列哪项不是内部审计的职能？（ ）

A、检查是否遵守法律和法规。 B、检查记录交易是否正确。 C、检查计算机系统控制是否有效。 D、检查管理人员的报酬是否合理。

39、首席审计师根据对应收账款的坏账评估认为该公司风险已经达到高的难以接受的水平。首席审计执行官应该向谁汇报这个问题？（ ）

A、首席执行官。 B、首席财务官。 C、董事会。 D、外部审计团队。

40、除以下哪项，内部审计人员应报告控制薄弱点或风险给管理层（ ）

A、信息安全的外部侵入。 B、不重要的薄弱环节。 C、欺诈。 D、违法行为。

41、在存货审计时，内部审计人员怀疑商店的店员可能偷存货。进行内部审计的最佳方式是什么？（ ）

A、与商店的店员访谈来确定他们是否盗取货物。 B、咨询高级管理层来确定公司政策的应用。 C、咨询道德政策。

D、咨询法律顾问关于地方性法规的意见。

42、在进行资产审计时，内部审计人员认为本应归为费用的一些项目被归为了资产。内部审计师应该将这个问题报告给谁？（ ）

A、与分类该项交易的总会计师讨论这个问题。 B、与高级管理人员讨论此事来确定分类是否正确。 C、咨询法律顾问的意见。 D、与首席审计师讨论这个问题。

43、除哪项外，其余各项都可用于内部审计师对于收入和现金回款环节内部控制有效性的评价（ ）

A、将应收账款明细账与总账进行对账。 B、将应付账款明细账与总账进行对账。 C、向客户发函询证目前账户余额。 D、从销售发票验证销售日记账信息。

44、输出控制为加工的完整和准确提供了保证。以下哪项不是输出控制？ （ ）

A、审计记录。 B、文件的密码保护。 C、合理性检查。

D、错误清单。

45、.在审计中，审计人员评估内部控制是否充分。根据以下哪项，审计师决定审计内容和实质性测试的范围（ ）

A、监测控制。 B、纠正控制。 C、控制风险。 D、预防控制。

46、赵四正在处理一批交易。她在进入程序后发现这批共有15个交易，共计15万美元的订单。这个批次控制与以下哪项不相关？（ ）

A、过程控制。 B、输入控制。 C、程序访问控制。 D、输出控制。 47、数据备份（ ）

A、有助于防止黑客入侵并应每日进行一次备份。

B、有助于病毒、自然灾害和硬件故障造成丢失的数据的恢复并应每日进行一次备份。 C、在公司数据库的信息恢复，有助于恢复丢失的数据。

D、每日进行一次备份，但对计算机病毒造成的数据丢失的情况无帮助。 48、下列哪项是正确的？（ ）

A、应定期将数据备份在灾难恢复站点，以便于储存数据的设施损失时恢复数据。 B、灾难恢复系统仅对于那些子公司处于不同地区的总公司有效。 C、防火墙系统可以保证未经授权的用户无法访问备份数据。

D、自动备份系统往往是无效的，数据备份应每天由经过授权的管理员执行。

49、丙公司已安装了限制未授权人进入公司的网络的软件/硬件系统。这个系统被称为（ ）

A、防火墙。 B、灾难恢复步骤。 C、数据加密。 D、入侵检测系统。

50、哪项控制可以为数据的完整、准确和授权提供合理保证？（ ）

A、过程控制。 B、输入控制。

C、物理控制。 D、输出控制。

二、案例分析题

1、汤姆拥有一家制造电器设备的小公司。公司初创时，汤姆独自管理这家公司，采购和生产的监督工作以及财务记录的维护工作都由他来做。他所雇佣的员工只有生产工人。

随着公司的扩大，汤姆决定聘用鲍勃担任这家公司的财务主管。鲍勃拥有工大的EMBA学位，并且在一家大公司的财务部门有过十年的工作经验。在面试过程中，鲍勃提到他也在考虑另一家公司给他的录用通知，需要在未来几天内知道汤姆的决定。

由于鲍勃的学历给汤姆留下了非常深刻的印象，因此汤姆未开展背景调查便录用他担任此职位。鲍勃看起来是一名敬业勤恳的员工。他所表现出来的诚实正直很快为他赢得了美誉：人们认为他是一位出色且可以信赖的主管。 同年晚些时候，汤姆又聘用了迈克担任生产部门的主管，负责监管该部门的工作。汤姆继续照管采购事宜，所有付款都须经他批准。迈克极为称职，看起来可靠并尽责。用一年的时间观察迈克的工作后，汤姆认定他一直在高效地履行自己的职责。汤姆认为迈克和鲍勃都是自己可以信赖的优秀主管，因而让他们担当了更多的职责。迈克的其他职责包括采购和验收工作；鲍勃则支付所有账单，准备并签署所有支票，维护记录，核对银行对账单。

汤姆很快便开始采用无为而治的方法来管理他的这家公司。他经常与家人一起去度长假而不在办公室检査公司的工作。他对公司能够盈利感到很高兴，并期望公司在这两位称职且可信赖的主管的管理之下以后能够继续盈利。在汤姆将公司的管理工作交给鲍勃和迈克一年之后，这家公司开始出现利润下降。汤姆认为这是由经济的周期性衰退造成的。但盈利水平在经济好转后仍继续下降，这时汤姆便开始展开调查。

他注意到营业收入在增加，但利润却在下降。他还发现，从一家供应商处进行的采购与其他五家供应商相比出现大幅增加现象。汤姆担心在他的公司内可能存在欺诈行为。 <1>、列出该公司的4个内部控制缺陷并进行简要描述。 <2>、对于每个内部控制缺陷，推荐一个改进方案。 <3>、完善的内部控制系统是否可以保证不发生欺诈行为。

2、微动态是一家数据库软件包开发公司，该公司的股票在柜台交易市场公开交易。该 公司最近收到一个由证券交易委员会的执法官员发出的警告，认为该公司的内部控制存在缺陷。作为反应，微动态公司已同意建立一个健全的内部审计制度，并加强其审计委员会的职能。

为了应对由证券交易委员会的执法官员发出的警告，公司聘请了一位内部审计部经理，并且开始建立内部审计制度。此外，审计委员会的组成结构也发生变化，委员会中包括所有的外部董事。微动态公司已召开了初步计划会议，讨论了在内部控制中的各个参与者的角色和财务报告的过程的相关问题，与会者包括该公司总裁、财务总监、审计委员会成员、微动态外部审计师事务所的合伙人以及新任命的内部审计部经理。与会者的意见如下：

董事长说：“我们要确保微动态公司符合证券交易委员会的执法意见，以使公司不要再受到这样的警告。内部审计部门应帮助纠正存在的问题，以加强我们的内部控制制度。我希望你们好好考虑如何同内部审计部经理保持适当关系的问题。”

财务总监说：“我认为内部审计部经理应该向我报告工作，因为许多部门的工作都涉及到财务问题。审计委员会应该负监督责任。”

审计委员会的委员说：“我认为我们应该更仔细地考虑我们每一方的角色和作用。发起组织委员会的建议审计委员会在财务报告过程中发挥更加重要的作用。现在审计委员会的职责已经超出了橡皮图章的作用，我们需要在控制的保证和跟踪方面发挥更重要的作用。”

外部审计公司的合伙人：“我们各方之间需要一个紧密的合作关系。内部审计部门应该发挥重要的作用，控制系统应该建立在连续的基础上，并且和外部审计公司保持密切的联系。”

内部审计部门经理：“内部审计部门应更多地参与经营审计工作，但也应在财务审计领域发挥重要的监察角色。”董事长补充说：“我同意大家的观点，但我提醒内部控制部门应该重视职责分离。”最后，大家一致认为应该满足《萨

班斯法案》对于内部控制的要求，按照COSO内部控制框架建立内部控制体系。

信息部门的负责人最后补充提出“下次会议应该讨论有关于信息系统控制方面的问题，这类风险在当前显得尤为严重。”

<1>、描述以下各方在微动态公司的内部控制制度的建立、维护、评价工作中的作用： A.管理层B.审计委员会C.外部审计师D.内部审计部门。 <2>、说明微动态公司审计委员会在财务报告编制过程中的职责。

<3>、讨论审计委员会在以下方面的特点：A.组成、规模和成员任期B.与管理层、外部审计师和内部审计部门的长期关系。

<4>、说明内部审计的主要3个方面和COSO内部控制框架的5个方面并解释。 <5>、请解释职责分离的内涵和意义。

<6>、定义预防性控制和检查性措施，以及固有风险和控制风险。 <7>、描述常用的网络、硬件和设施方面的控制措施。

答案部分

一、单项选择题

1、D 2、C 3、D 4、B 5、D 6、A 7、D 8、C 9、D 10、D 11、D 12、C 13、B 14、A 15、D 16、B 17、C 18、A 19、A 20、C 21、C 22、D 23、D 24、B 25、A 26、D 27、D 28、C 29、D 30、D 31、D 32、A 33、A 34、C 35、D 36、C 37、A 38、D 39、C 40、B 41、C 42、D 43、B 44、C 45、C 46、C 47、B 48、A 49、A 50、B

二、案例分析题

1、

<1> 该公司的内部控制有4个缺陷：①汤姆在雇佣了鲍勃和迈克后就不再具体管理和仔细检査公司的业务。②鲍勃和迈克的管理权限太大而且缺乏必要的监督和检查。③公司没有正规的雇佣政策以雇佣合适的员工；汤姆没有好好筛选求职的员工，此外对鲍勃和迈克也没有进行背景检查。④公司缺乏必需的内部控制，例如职责分离、授权和检查等内部控制手段。因此，迈克既可以发订单也可以接收货物，而这两项责任本应该分隔开来，而汤姆则负责接受付款、保留记录、银行对帐及签写支票和批准支付。由于缺少基本的内部控制，从而给雇员的欺诈打开了方便之门。 <2> 通过建立合适的内部控制机制，从而使进行欺诈或掩盖欺诈的机会被消除。通过题干的描述，公司需要尽快建立这些内部控制机制：①职责分离。②授权系统。③独立检查。④合适的记录。建立这样的控制机制，就不会有一个部门或个人，从开始到结束，全面地操纵一笔交易。在记录交易和银行对账时，一个人只履行一项功能。同样，迈克不应该同时拥有授权购买、接收存货和给生产发放原材料的职能。另外，公司也应该分离准备支票、签写支票和批准支付的责任。汤姆应该授权采购和批准支付。他也可以考虑再雇佣一个人从而把保留记录和银行对账的职责分离开。另外，公司必须建立更好的雇佣政策，例如要求员工休假、进行内部审计和对雇员的表现进行监察。

<3> 即使最好的内部控制也无法确保欺诈能被彻底消除。内部控制只是为防止欺诈提供了合理的但不是绝对的保证。内部控制不是欺诈的屏障，也不能绝对阻止欺诈的发生。内部控制的有效性要依赖于执行内部控制的人员的能力和可靠性。 2、

<1> A.管理层负有保护公司全部资产安全的责任。管理层需要建立、维护、评估内部控制系统的有效性。 B.审计委员会的主要责任是协助公司董事会完成其监管职责，具体包括在会计政 策、内部控制、会计实务领域。 C.外部审计师负责检查公司的控制结构，具体包括控制环境、会计系统和控制程 序，最终评估财务报表鉴证业务的控制风险。另外，外部审计师需要将检查中发现的公司内部控制系统的任何重大缺陷报告公司。

D.内部审计部门负责经营审计和财务审计的工作，保证建立合适的控制政策和控 制程序，并且将发现的问题及时报告审计主管或审计委员会。内部审计部门也应协助外部审计师的检查工作。

<2> 微动态公司审计委员会在财务报告编制过程中的职责包括：①确认公司控制系 统的有效性和效率性，识别各种风险，以及确保财务报表正确地反映了公司的资产负债 状况、经营状况和现金流的状况。②检查内部审计部门和外部审计师发现的问题。③作 为审计师和董事会的沟通渠道。

<3> A.审计委员会至少包含3名外部独立董事。审计委员会最大的规模没有限制，但是一般为3至5名成员。成员任期由董事会确定，保证委员会成员的连续性和流动性。

B.审计委员会由董事会选举产生，其主要责任是协助公司董事会完成其监管职责，具体包括在会计政策、内部控制、会计实务领域。审计委员会检查公司管理层、外部审计师和内部审计部门保证财务报表信息可靠性方面的工作。审计委员会有责任选择外部审计师，协助解决审计工作中发生的问题，讨论管理层和外部审计师发现的问题。

<4> 内部审计的主要3个方面：①财务审计：确保公司的财务报告公正地反映公司的运营状况和财务状况，受众是董事会和高级管理层。财务审计的指导方针应该具有前瞻性，审计人员应该评估内部控制的充分性，进行若干实质性测试。②运营审计：是非财务审计，与运营的效率和效果有关。③合规性审计：确定公司遵守现行法律和法规以及专业和行业标准，第一步是确定管理层是否有识别现行政策、程序、标准以及法规的系统，第二步是控制措施是否得到应用和执行。

COSO内部控制框架的5个方面：①控制环境：它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提 供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。②风险评估：是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。③控制活动：是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。④信息和交流：信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。⑤监控：监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。

<5> 职责分离是预防性控制措施的一种，目的是为了防止错误的出现。四种职责必须分离：①授权执行交易。②记录交易。③资产的保管。④定期对账。

<6> ①预防性控制措施，目的是为了防止错误的出现，具体包括职责分离、监督审查、双重控制、编辑和准确度检查、合理性检查、完整性检查。②检测性控制措施，事后检查所发生的错误，对预防性措施提供补充。③固有风险是指财务报表受重大虚假陈述影响的程度。④控制风险是指内部控制没有预防或发现的风险。

<7> ①设备和硬件控制，包括控制非授权进入、对自然灾害和其他灾害进行保护、对进入数据中心控制、保护计算机设备免遭电压突变影响、硬件设备能应对数据峰值处理等方面。②网络控制是为了经过授权的员工可以访问和改变存储在中央计算机中的数据，防止未经授权的人员使用这些数据。③数据加密和传输是指将数据从一种易于以当地语言读取的形式转化为只能使用密钥读取的代码，这样可以减少未经授权人员的使用。④路由验证程序和信息确认程序可以降低数据被截取或数据阐述错误。⑤病毒防护软件检查计算机中的每个文件以明确系统是否有病毒，如果发件就会清除。⑥防火墙是软件和硬件的结合，限制对公司计算机网络的访问。⑦入侵侦测系统可以分析网络中的反常或者未经授权的行为，并加以警告。

本文来源：https://www.bwwdw.com/article/srn.html