2023年国际内审师《科目三内部审计知识要素》考试题库

-----------------------1-----------------------单项选择题1.在年初，财务部门开始使用一种新的会计软件系统。它具有良好的文档程序，可以操作组织采用的复杂的会计方法。下面哪项是在年底审计该会计系统的最好方法？A.审计以前出现在IT系统审计目录清单上的会计系统的组成部分。B.审计会计系统软件供应商提供的目录清单上的会计系统的组成部分。C.基于对会计系统的固定风险、控制风险和检査风险的评估来审计会计系统的组成部分。D.对会计系统的每一个组成部分都要同等的进行审计。参考答案：C【解析】审计应当采取以风险为导向的审计理念。固有风险和控制风险与账户余额可能会误报的风险向关联。检查风险时未发现错报的风险。内部审计师应注意其中高于正常业务的风险而不是使用“最佳实践”的清单。2.内部审计是如何为企业的风险管理（ERM）增加价值的？Ⅰ.及时了解风险管理领域的最新变化，以确保符合相关法规。Ⅱ.发展良好的人际沟通能力并对不同层级的管理者和员工进行企业风险管理的教育。Ⅲ.向审计委员会和执行管理层提供风险管理流程是有效率和有效果并像预期的那样在运行的确认。Ⅳ.采用风险管理程序的成果来开发起风险导向的审计计划，以识别随环境而变化的难以预料的高风险领域。A.只有Ⅱ。B.Ⅲ和Ⅳ。C.Ⅰ、Ⅱ和Ⅲ。D.Ⅰ、Ⅱ和Ⅳ。参考答案：B【解析】Ⅲ和Ⅳ选项正确的反映了内部审计师通过使用系统化的、科学的方法来评估和改善风险管理、控制和治理程序的有效性以帮助组织实现其目标，并符合IIA对内部审计师角色的定义。Ⅰ和Ⅱ则是管理层的责任。3.下列哪项不是首席风险官(CRO)在组织的企业风险管理(ERM)过程中的适当责任？A.监控企业的风险状况，确保重大风险被识别并向上级报告。B.协助内部和外部审计师依靠企业风险管理结果，以达到审计计划和执行目的。C.保持企业风险管理的最终所有权，设置“管理基调”，确保积极的内部环境。D.验证企业风险管理在每个业务单元按照批准的风险管理政策和框架运行。参考答案：C【解析】在企业风险管理的过程中，C项属于首席执行官（CEO）的职责。首席风险官（风险经理）在CEO的授权下，对整个组织的企业风险管理进行协调。首席风险官与其他管理人员合作，建立有效的风险管理措施，监测进展情况。4.以下哪项关于风险评估过程的说法是正确的？A.风险评估过程不应该包括道德氛围，因为这种因素无法得到定量评估。B.风险评估过程可能需要应用一个以上的风险因子才能保证风险评估的综合性。C.风险评估过程应该对所有风险因子一视同仁，以减少产生偏见的可能性。D.风险评估过程应该至少每三年开展一次。参考答案：B【解析】A不正确。风险评估过程应该包括道德氛围。B正确。风险评估过程可能需要应用一个以上的风险因子才能保证风险评估的综合性。C不正确。风险评估一般是选择各单位最重要的风险因素进行。1-----------------------2-----------------------D不正确。风险评估过程应该至少每年开展一次。5.某企业最近因为其供货商ABC不能按时提供关键部件而导致缺货。供应商辩称他们自身因为存货不足而无法运转。下列哪种方式是能够防止出现这种状况的有成本效益的方法？A.持有大量的ABC公司的部件材料。B.内部开发关键部件材料。C.与ABC就组织的风险偏好和风险容忍度进行沟通。D.在ABC公司建立全面风险管理框架。参考答案：C【解析】C正确。增加关键部件的存货会降低缺货风险。但并不是多多益善，大量的存货在库也会影响保管成本和现金流。最有效益的方法是与供货商就组织的风险偏好和风险容忍度进行沟通，这一方法可以避免因为不注意不同供货商价格标准不同面带来的额外风险。6.以下各项环境控制风险中，更可能是在独立微机环境下而不是主机环境下产生的是：A.由于使用购入的盗版软件而侵犯版权。B.未经授权访问数据。C.由于不充分的数据保存政策而导致可利用数据的缺乏。D.以上三项都是。参考答案：D【解析】A不正确。在独立微机环境下，由于软件安装方便快捷，更可能使用盗版软件而侵犯版权，属情况之一。B不正确。由于微机的访问控制相对薄弱，更可能未经授权访问数据，属情况之一。C不正确。由于微机的数据保存和备份政策相对不完备，更有可能导致数据缺乏，属情况之一。D正确。a、b和c选项均是。7.许多组织通过资金电子转账向其供应商付款，而不是签发支票。关于与签发支票有关的风险，以下风险管理技术中，资金电子转账代表了哪一项？A.控制B.接受C.转移D.回避参考答案：D【解析】A不正确。取消支票付款并不代表实施了持续性的控制。控制更多是体现在制度上，比如建立权责分离。B不正确。取消支票付款不是接受与支票付款有关的风险，而是回避这种风险。C不正确。与支票付款有关的风险并没有转移给任何其他的人，而是不存在了。D正确。通过取消支票付款，组织回避了与之有关的风险。区别转移和回避的要点在于，原风险是否仍然存在。选择风险回避，代表原风险不存在，但同样会产生新的风险。如题，虽然签发支票的风险不存在了，但应用电子转账会有新的风险。8.当向股东披露有关企业风险管理(ERM)的信息时，以下所有的部分都将是适当的可包括在内的内容，但哪项除外？A.在相关战略环境范围内的一个高层次的有关ERM流程的解释。B.一个根据风险管理政策对ERM功能是如何在每一个业务部门内起作用的描述。C.一个综合了与整体业务目标和战略有关的内部和外部风险因素的总结。D.明确了ERM是如何与国际最佳实践框架建立联系的。2-----------------------3-----------------------参考答案：B【解析】企业风险管理为组织提供了一个组合的方法对相互关联的风险进行识别，组织应从监测和评估一个组织范围内的风险中获得重大利益。与股东沟通应说明风险管理是如何整合到组织结构中的，并保证了如内部审计之类的业务活动接口。至于具体的ERM功能描述就没有必要向股东报告了。9.在风险评估的过程中，如果控制目标是为了确保员工保护其密码，以下哪一项能够描述某员工可能将密码留在显示屏上？A.风险事件B.风险应对C.固有风险D.剩余风险参考答案：A【解析】风险事件就是指那些可能发生的能够阻碍内控目标实现的事件。固有风险是在没有采取任何措施来改变风险的可能性或影响的情况下，一个主体面临的风险。风险应对是管理当局为控制风险采取的一系列行动，旨在把风险控制在主体的风险容限和风险容量以内。剩余风险是指管理层采取有关措施，包括采取应对某风险的控制活动降低负面事件的影响和可能性之后仍然存在的风险。10.最近全球发生了一些灾难。鉴于灾难可能对其组织造成破坏性影响，内部审计师应该鼓励管理者制定灾难管理程序。此种程序指定的第一步工作是：A.制定应急计划B.开展风险分析C.创建风险管理小组D.联系对风险的反应参考答案：B【解析】风险管理，是建立在风险分析的基础之上的，指采取一定的措施对风险进行检测评估，使风险降低到可以接受的程度，并将其控制在这一水平上。而开展风险分析是风险管理的第一步工作。11.定量风险评估模型具有诸多优势，但以下哪项内容除外？A.在评价中包括了大量风险因子。完整版考试题库请加微信xky952B.为首席审计执行官（CAE）保证长期审计计划的实施提供参考文档。C.提供系统化方法，给不同的风险和优先考虑内容配置不同权重。D.不再需要由CAE作出相关判断。参考答案：D【解析】A不正确。这是定量风险评估模型的优点。B不正确。这是定量风险评估模型的优点。C不正确。这是定量风险评估模型的优点。D正确。定量风险评估模型首席审计执行官需要做出有关判断。12.在对某有害材料研究中心的环境保护装置进行审计时，内部审计师审查了设计师的警报装置详细说明书，检查了购买该装置的发票，并且会见了负责安装的工厂安全员。实施这些程序主要是为保证：A.警报系统确实在运行。B.特定的警报系统的设计充分。C.购买并安装了特定的警报系统。D.警报系统符合法定要求。参考答案：C【解析】A不正确，审计师不应关注警报装置的运行情况，主要关心其功能和付款情况。3-----------------------4-----------------------B不正确，审计师对警报系统的设计是否充分没有进行审计。C正确。从审查警报装置说明书，到检查购买装置的发票，再到负责安装的情况，都是为了保证购买并安装了特定的警报装置。D不正确，警报系统是否符合法定要求不是审计师关心的问题。13.关于在内部审计活动中使用风险评估这个术语，以下哪项陈述是不正确的？A.首席审计执行官（CAE)应该把各种不同来源的信息都归并纳入到风险评估的过程之中，包括与董事会、管理层和外部审计师讨论，合规的检査以及财务/运营数据的分析。B.像对一项审计或初步调査的结果一样，首席审计执行官（CAE)在任何时候都有可能会修改审计对象的风险评估的水平，对审计工作计划做适当调整。C.风险评估是一个确定和整合不利条件和或事件发生可能性的专业判断的系统化过程，为内部审计工作计划的组织提供一种手段。D.风险评估是一个在可审计的活动中分配金额价值给己知风险水平的判断过程。这些值允许主管选择可审计单位以最大可能的识别审计节约。参考答案：D【解析】风险评估并不一定涉及金额价值的分配，并无意于识别审计领域中最大的金额节约。其他项都是风险评估在内部审计活动中的一些典型应用。14.在企业风险管理（ERM)中，利用风险评估和风险地图的主要好处是？A.提供一个有关组织风险暴露的标准化视图。B.从未知的危机中附带的损害将会被减轻。C.最高的风险可以和预算、资本和股东价值挂钩。D.董事会和高级管理层已经不再对识别适当的风险管理程序承担唯一的责任。参考答案：A【解析】风险框架提供了一个很好的清单，使组织内的所有风险都能够被识别并可进行跟踪和分类。ERM的一个重要步骤是为了评估风险识别和风险排序提供标准的视图。其他三个选项则可以导致建立组织风险的标准视图。15.某内部审计师报告如下：“我认为在管理层做出了降低风险的努力后仍然存在的风险有这样的趋势功能，表明随着时间推移内部控制将失去其有效性。”下列哪项使用了恰当术语陈述同样的事情？A.“我认为剩余风险取决于控制风险。”B.“我认为绝对风险取决于管理风险。”C.“我认为管理风险取决于固有风险。”D.“我认为固有风险取决于剩余风险。”参考答案：A【解析】剩余风险是指管理层采取了有关措施，包括采取应对某项风险的控制活动降低负面事件的影响和可能性之后仍然存在的风险。视频课件精准押题加微信xky952控制风险是由于内部控制的局限性，不能通过内部控制结构、政策或程序及时被预防和发现的风险。16.以下哪一项最佳描述了内部审计部门在企业范围的风险评估中对董事会的支持作用？A.确保建立和运作健全的风险管理流程B.监督风险管理流程，判断其充分和有效性C.审查、评估风险流程的充分和有效性，并对其报告以及推荐改进措施D.实施风险管理办法和风险控制，以便对识别的风险进行处理参考答案：C【解析】根据COSO企业全面风险管理框架的内容，内部审计时应注意的问题是风险评估的衡量标准是后4-----------------------5-----------------------果和可能性。因此对董事会而言，首先是对其风险的审查，是否建立风险管理框架，然后对其流程的充分性和有效性进行识别，最后针对问题提出改进措施。17.以下哪项内容是任何风险框架均拥有的共同要素？A.机构目标。B.已预测的产品损失。C.董事会政策。D.权力委托。参考答案：A【解析】A，正确。组织目标是任何风险框架均拥有的共同要素。18.内部审计师可以在协助某个组织建立风险管理过程的初始阶段发挥更加能动的作用。然而，如果这种协助超出了内部审计师正常的保证和咨询活动范围，其独立性可能受到损害。以下哪项可能损害参与风险管理过程的初始建立阶段的内部审计师的独立性？A.对风险管理过程进行评估和编制报告。B.管理已识别的风险。C.评价管理层的风险过程的充分性和有效性。D.实施控制，用来应对已识别的风险。参考答案：B【解析】A、不正确。“对风险管理过程进行评估和编制报告”不仅是一项内部审计活动，而且具有较高的审计优先顺序。B正确。“能动的作用”不代表“风险的所有者身份”，这是管理层的责任。C不正确。这是内部审计师的一项责任。D不正确。从事咨询工作的内部审计师可以协助管理层实施控制。19.下列哪项最好的描述了这一事件可以被放置在风险地图上的低影响、高可能性区域？A.精简财务总管支票签名及检査授权批准职能。B.在一个高交易流量区域保持的小额现金，以及组织没有使用预付款账户系统。C.员工可以找到办法绕过自动控制去上网冲浪，因此浪费时间。D.打印后的计算机输出就位于打印机上，以及有价值的材料最终却出现在竞争对手的手中。参考答案：B【解析】A不正确。精简财务总管的职能事件是高影响和高可能性。B正确，需要理解的是估算任何事件的可能性和影响都是主观的。在小额现金上的控制基本是不存在的，使整个事件有高的可能性发生，但一些零用现金的损失将对公司业务的连续性只有较低的影响。C不正确。逾越控制上网事件是低可能性和低影响。D不正确。计算机输出事件是高的影响，但可能性很低，因为员工可能需要和竞争对手共谋才可能。20.共同的风险语言是如何增强组织的企业风险管理（ERM）工作的？Ⅰ.当谈到风险的时候，确保每个人都有相同的理解Ⅱ.增强组织的风险管理文化Ⅲ.自底向上，有利于构建风险管理框架Ⅳ.支持与监管机构的有效沟通A.Ⅰ。B.Ⅰ和Ⅱ。C.Ⅰ、Ⅱ和Ⅲ。D.Ⅰ、Ⅱ和Ⅳ。5-----------------------6-----------------------参考答案：B【解析】一个组织中的每个人都会在有效的风险管理中起作用，共同的风险语言可以打破因组织层级和劳动分工所引起的可能对风险管理活动的误解和其他沟通问题，同时还可以增加组织的风险管理文化。另外，共同的风险语言应该是从上到下而非自底向上来构建。21.谁负责监督对信息安全(数据保护)和控制的评估工作？A.高级经理层B.审计委员会C.首席风险官(CRO)D.首席审计执行官(CAE)参考答案：B【羿文解析】B正确。首席审计执行官(CAE)负责具体的评估工作；审计委员会负责对评估工作的监督。22.以下哪项是支持企业行为守则的恰当管理战略？Ⅰ.为所有员工提供关于道德话题的培训机会；Ⅱ.就合规性对员工、供应商和客户进行调查；Ⅲ.应用有关恰当行为、不恰当行为的案例研究和正反两方面的例子；Ⅳ.在公司上下进行明确的职责阐述。A.只有Ⅱ和Ⅳ是对的。B.只有Ⅰ、Ⅱ和Ⅲ是对的。C.只有Ⅰ、Ⅲ和Ⅳ是对的。D.Ⅰ、Ⅱ、Ⅲ和Ⅳ都对。参考答案：D【羿文解析】Ⅰ.正确，培训可以提升员工对行为准则的遵守。Ⅱ.正确，对合规性的调查是恰当的方式。Ⅲ.正确，案例研究可以提供行为比照。Ⅳ.正确，明确的职责阐述有利于明确职责。23.以下关于机构内部风险管理职责的描述中，哪项是不正确的？A.风险管理归根到底是董事会的职责。B.风险管理可通过直线管理人员的定期评估得到改善。C.风险管理包括执行管理层对剩余风险的接受情况。D.风险管理要求内部审计部门进行参与，以便其得到董事会的认可。参考答案：D【羿文解析】D正确。并没有规定“风险管理要求内部审计部门进行参与，董事会才能认可”。24.以下关于风险管理流程的哪个角色可以被指派给内部审计部门？Ⅰ.不扮演任何角色；Ⅱ.审计风险管理过程，作为内部审计计划的一部分；Ⅲ.参与诸如监督委员会以监督该流程；Ⅳ.管理和协调风险管理流程。完整版考试题库请加微信xky952A.只有Ⅰ。B.只有Ⅱ。C.Ⅱ和Ⅲ。D.Ⅰ、Ⅱ、Ⅲ和Ⅳ。参考答案：D6-----------------------7-----------------------【羿文解析】D正确。实务公告2120-1“评估风险管理过程的适当性”规定：内部审计部门在组织风险管理过程中的作用并非一成不变，可以包括：.不发挥作用；.将风险管理过程的审计作为内部审计计划的一部分；.积极、持续地支持并参与风险管理过程，.如参加监督委员会、参与监管活动并报告情况；.管理和协调风险管理过程。25.依据COSO全面风险管理框架，首席执行官（CEO）通常对下列内容负责，除了：A.与销售、市场、财务和其他经理人会晤以了解操作风险和风险对策。B.监督那些与组织风险偏好相关的经营活动和风险。C.领导高级管理层并提供指导。D.建立通用风险语言。参考答案：D【羿文解析】D、正确。建立通用风险管理语言通常是风险管理官的职责。其他职能都在CEO的职责范围内。26.根据《标准》，内部审计机构在审查组织的风险管理流程时必须评估与以下哪项相关的风险？Ⅰ.组织治理。Ⅱ.组织运营。Ⅲ.组织信息系统。Ⅳ.组织结构。A.Ⅰ和Ⅲ。B.Ⅱ和Ⅳ。C.Ⅰ、Ⅱ和Ⅲ。D.Ⅰ、Ⅱ和Ⅳ。参考答案：C【羿文解析】C正确。根据标准2120.A1---内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险：●组织战略目标的实现；●财务和运营信息的可靠性和完整性；●运营和程序的效率与效果；●资产的安全；●对法律、法规、政策、程序及合同的遵循情况。27.以下哪项关于使用自下而上法来确定与流程相关风险的陈述是正确的？A.自下而上法通常由拥有广阔组织视野的个人组成的团队来实施。B.自下而上法有可能会忽视一些最终被证明非常重要的流程。C.自下而上法在对每项流程相较于其他流程进行排序时会变得很麻烦。D.自下而上法要求组织的每个领域都仅对关键流程进行识别和记录。参考答案：D【羿文解析】A不正确。这是自上而下法的特点。B不正确。自下而上法基于风险评估结果，保障关键流程的纳入。C不正确。这是自上而下法的特点。D正确。这是自下而上法的特点。28.在制定一个有效的以风险为基础的计划以确定审计优先顺序时，内部审计活动应由以下哪项开始？7-----------------------8-----------------------A.辨别组织的营运风险。B.观察和分析控制。C.对已知风险排序。D.复核组织的目标。参考答案：D【羿文解析】A不正确。审查公司目标是第一步，风险是阻碍目标实现的因素，不清楚目标，风险无从谈起。B不正确。基于风险的有效计划以确定审计重点时，应该先确定公司面临的风险。C不正确。应该先确定公司面临的风险，然后再对风险进行优先排序。D正确。29.某公司存在很高的固有风险，同时已建立非常有力的控制系统，在对该公司的财务报表进行年度审计时，外部审计师也许可以允许发现风险的增加，这是因为：A.审计风险已得到降低。B.控制风险已被评估为较低水平。C.公司的运营情况很容易被误报。D.无论何时，只要内在风险高，就可将控制风险置之不顾。参考答案：B【羿文解析】B正确。固有风险也称内在风险，因为审计风险＝固定风险×控制风险×检查风险。在固定风险相对固定（某组织存在很高的内在风险，同时已经建立非常有力的控制系统）时，如果控制风险已被评估为较低水平时，也许可以允许检查风险（发现风险）的增加，而审计风险还将可以保持在原定的水平内。30.电子数据交换系统（EDI）的风险评估已确定，控制失败的风险评估分别为控制管理5%，物理控制10%，软件控制6%。因此，EDI的控制风险是：视频课件精准押题加微信xky952A.0.03%B.0.07%C.7%D.10%参考答案：A【羿文解析】控制风险是所有三层控制都失败的风险。控制风险=管理风险百分比×物理风险百分比×软件风险百分比=0.05×0.1×0.06=0.0003(0.03%)。31.下列哪项陈述描述了2100系列标准中反映的控制的本质？Ⅰ.识别控制作为关键机制，确保功能单元的财务一体化。Ⅱ.使控制与广泛的组织目标相一致。Ⅲ.将控制限制在组织政策和程序之内。Ⅳ.将控制描述为促进组织风险的管理和治理过程的有效性。A.仅有Ⅰ。B.Ⅰ和Ⅲ。C.Ⅱ和Ⅳ。D.Ⅲ和Ⅳ。参考答案：C【羿文解析】2100-工作性质内部审计活动必须应用系统、规范的方法，评估并协助改善治理、风险管理和控制过程。32.以下哪项最恰当地描述了内部审计师在组织现存的风险管理、控制以及治理过程中的工作目标？A.帮助确定必要测试的性质、时间安排及范围，以实现业务目标8-----------------------9-----------------------B.确保内部控制系统的薄弱环节得到纠正C.为组织的目标和宗旨得以有效率和有效果地实现提供合理的确认D.确定内部审计过程是否能确保会计记录的正确性以及财务报表的公允披露参考答案：C【羿文解析】本选项符合国际内部审计师协会内部审计专业实务框架中的内部审计定义。内部审计是一项独立的、客观的确认和咨询活动。它通过采取系统化、规范化的方法评价和改善组织的风险管理、控制及治理过程的有效性，帮助组织实现其目标。因此，内部审计可以为组织的目标和宗旨得以有效率和有效果地实现过程提供合理的确认。33.以下除哪一项外都属于防止不符合排放标准的废水排放的控制系统？A.在排放前针对许可证规定的成分进行水质化学分析。B.（通过政策、培训和指示标识）说明哪些物质可以通过工厂内的水槽和地面排水管处置。C.定期用大量干净的水冲洗水槽和地面排水管，确保污染物得到充分稀释。D.建立预处理系统预防性维护方案。参考答案：C【羿文解析】A不正确。分析结果是决定污水是否可以排放的依据，该种控制措施有助于管理层实现他们的目标，即防止出现未达到排放标准的废水被排放的情况。B不正确。该种控制措施有助于管理层实现他们的目标，即防止出现未达到排放标准的废水被排放的情况。C正确。定期稀释不能防止排放超过排放标准的污染物质。D不正确。预防性的维修方案可以降低预处理系统发生故障的可能性，因而该种控制措施有助于管理层实现他们的目标，即防止出未达到排放标准的废水被排放的情况。34.美国证券交易委员会(SEC)第13a-14和第15d-14条规则要求证券发行人的主要执行官和主要财务官，或者其他履行类似职责的人员，应书面证实其履行以下哪些职能？完整版考试题库请加微信xky952Ⅰ.负责制定和维护发行人的“信息披露控制和流程”。Ⅱ.设计了这些信息披露控制和流程，用以确保重要信息能够被其知晓，尤其在该期间报告所属的期间。Ⅲ.在报告被申报之前的180天内评估了发行人的信息披露控制和流程的有效性。A.Ⅰ和ⅡB.Ⅱ和ⅢC.Ⅰ和ⅢD.Ⅰ、Ⅱ和Ⅲ参考答案：A【羿文解析】A正确。实务公告2120.A1-3列明了一系列新的法定要求。《萨班斯奥克斯利法案》第302条明确了公司对于财务报告的责任。SEC发布了实施该法案的指引。SEC第13a—14和15d—14条规则采纳了该法案的有关规定，要求证券发行人的主要执行官和主要财务官，或者其他履行类似职责的人员，在每份季度或年度财务报告中，书面证实其履行了以下责任：·负责制定和维护发行人的“信息披露控制和流程”；·设计了这些信息披露控制和流程，用以确保重要信息能够被其知晓，尤其是期间报告所属的期间：·在报告被申报之前的90天内评估了发行人的信息披露控制和流程的有效性；·在报告中宣布基于所需的评估在签署当日对于信息披露控制和流程的有效性的结论。35.企业风险管理过程中，面临的最广泛的无形成本是：A.授权费B.破坏和机会成本C.维修费D.信息技术的实施和整合成本9-----------------------10-----------------------参考答案：B【羿文解析】B正确。机会成本是指在选择一种方案而不是另一种方案时所放弃的好处。企业风险管理中破坏和机会成本是最广泛的无形成本。36.下列哪项是COSO风险管理响应所将适用的情况，即由于付出的代价大于该项目的重置成本，组织通过取消保险从[a]转移到[b]？A.[a]分享，[b]接受。B.[a]降低，[b]接受。C.[a]降低，[b]避免。D.[a]分享，[b]避免。参考答案：A【羿文解析】风险应对策略主要包括四种方法：规避、降低分享和承受。分享，是降低风险的可能性，或者是转移了影响，或是分享风险的一部分。常见的风险分享技术包括购买产品保险。接受/承受，既不采取任何行动来影响事件发生的可能性或者影响。本题中的保险费用大于处置成本，所以没有必要采取“分享”措施而直接“接受”了这种风险。37.下列哪一项有关风险管理技术的说法是正确的？A.因为剩余风险是不可控制的，所以不应该让它影响决策。B.内部审计师应避免使用风险矩阵而应在没有外界影响的情况下来研究风险。C.风险可以精确的详细的来量化，没有必要复杂化风险评估。D.风险评估应注重财务风险而不是软问题。参考答案：C【羿文解析】除非复杂的风险量化是值得做的（例如：衍生品），否则最好是保持简单的量化和风险等排序的方法，与其注重传统的财务风险，还不如关注无形的软问题（例如，人力资源），软问题在风险评估中的重要性日益增加。在决策时，剩余风险也是必须要考虑的。内部审计师可以运用风险矩阵作为一种工具来改善风险评估，而不应该在真空环境中研究风险。38.组织通常是根据以下哪些因素来衡量风险的？Ⅰ.不确定性Ⅱ.机会Ⅲ.可能性Ⅳ.影响A.Ⅰ和Ⅱ。B.Ⅰ、Ⅱ和Ⅳ。C.Ⅲ和Ⅳ。D.Ⅰ、Ⅱ、Ⅲ和Ⅳ。参考答案：C【羿文解析】风险是指对组织实现目标有影响的事件发生的可能性，因此，风险是根据影响和可能性来衡量的。39.关于COSO企业风险管理(ERM)整合框架，下列哪项说法是错误的？A.通过识别机会的好处，避免只关注风险的下行性质。B.包括专注于满足财务目标。C.需要采取比传统的风险管理更集中的方法。D.利用自然对冲和投资组合的影响。参考答案：C10-----------------------11-----------------------【羿文解析】C正确。比起传统的风险管理，企业风险管理（ERM）采取更广泛的投资组合/产品服务方法，应对影响组织价值的创造和维持的风险和机遇。40.以下关于风险分析的陈述哪项正确？A.在协助审计人员决定比较风险分析时，某领域需要管理层判断的高低程度可视为一项风险因素。B.最高风险评估应总是被分配到存在最大潜在损失的领域。C.最高风险评估应总是被分配到发生机率最高的领域。D.风险分析必须简化为量化指标，以便在整个组织内部进行有意义的比较。参考答案：A【羿文解析】A正确。依赖于管理层判断的程度表明了该领域的不确定性，也表明管理层对该领域的重视程度，可以作为一种风险因素，为内部审计师进行比较风险分析提供帮助。B不正确。潜在损失的金额大小不是判断风险的惟一标准，还要考虑发生的可能性。C不正确。潜在损失发生的可能性不是判断风险的惟一标准，还要考虑金额的大小。D不正确。一般说来，风险分析应当尽可能量化，但在很多情况下风险分析难以量化。41.以下哪项内容对COSO企业风险管理框架的基本假设进行最佳描述？A.管理层应该在评价风险之前设定目标。B.每个企业的存在都是为了给其股东带来价值。C.政策的制定是为了确保风险得到有效应对。D.企业风险管理可以最大程度地降低意外事件的影响和发生的可能性。参考答案：B【羿文解析】B正确。“每个企业的存在都是为了给其股东带来价值”这是目标，对目标实现的影响带来风险，它是风险管理的基本假设。42.某公司有两大生产厂。每家工厂均包括两大生产工序和一个独立的包装工序，两大系统的生产工序均相同。使用的原材料包括铝、塑料原料、各种化学物品和溶剂。在一些操作过程中，如原料运输和储存、经特殊处理化学制品的使用、产成品的流转和安放均存在污染现象。在废品中也包括一些有害物质，无害废品均运至当地垃圾填充场。外部废物处理商处理、贮存、处置所有的有害废品。管理层了解其必须遵循环境保护法的相关义务。公司最近还制订了一项环境政策，其中要求其每个员工必须遵守环境保护法。管理层正在考虑开展环境审计项目的必要性。以下哪项不属于整个项目的目标？A.对两大系统进行实地评估。B.评价公司对所有环境法规的遵循情况。C.评价将废物减少至最低限度的可能性。D.确保管理系统足以使未来环境风险降至最低限度。参考答案：A【羿文解析】A正确。对两大系统进行实地评估是实施审计环境审计过程中的具体审计程序，不属于整个项目的目标。B不正确。《标准》2100规定，内部审计活动的性质是评价并帮助改进组织的风险管理、控制和治理体系。评价包括遵守法律，法规和合同的情况。因此，评价公司对环境法规的遵循情况是整个环境审计项目的目标之一。C不正确。内部审计的目的是为组织确定增加价值并提高组织的运作效率，通过对风险管理、控制和治理程序的评价来帮助实现组织目标。因此帮助公司降低经营风险、增加收益或减少损失是审计的目标。评价将废物减少至最低限度的可能性也是整个环境审计项目的目标之一。D不正确。确保管理系统足以使未来环境风险降至最低限度也是整个环境审计项目的目标之一。43.某公司有两大生产厂。每家工厂均包括两大生产工序和一个独立的包装工序，两大系统的生产工序均相同11-----------------------12-----------------------。使用的原材料包括铝、塑料原料、各种化学物品和溶剂。在一些操作过程中，如原料运输和储存、经特殊处理化学制品的使用、产成品的流转和安放均存在污染现象。在废品中也包括一些有害物质，无害废品均运至当地垃圾填充场。外部废物处理商处理、贮存、处置所有的有害废品。管理层了解其必须遵循环境保护法的相关义务