答案：

66

[答案]：C

[解析]：某机构要求其审计执行主管（CAE）对违反机构行为守则的情况进行监测和报告。那么，该审计执行主管应该以顾问身份参与旨在裁定违法行为的委员会的相关工作。

67

[答案]：D

[解析]：

A.不正确。管理层对建立内部控制负有责任。

B.不正确。风险管理、控制和治理过程最终是要安全防护组织的资源。

C.不正确。《国际内部审计专业实务标准》 （以下简称《标准》）2110，内部审计活动不能确保财务与经营信息的可靠性与完整性。它的职责是评价与治理、经营和信息系统相关的有关财务与经营信息可靠性与完整性的风险不利因素。在风险评估的基础上，内部审计活动才能评价控制的充分性和有效性。

D.正确。根据国际内部审计专业实务框架的词汇表，“控制过程是控制框架的组成部分，包括政策、程序与控制活动。控制过程的设计用于确保将风险控制在既定的风险管理过程所允许的范围内。”因此，控制活动在内部审计中具有突出的作用，它“通过采取系统化、规范化的方法评价和改善组织的风险管理、控制及治理过程的有效性，帮助组织实现其目标。”

68

[答案]：C

[解析]：I、不正确。传统ERP软件的各子系统是组织内部使用的，因此又称为后端功

能。它们生成的信息主要是为组织的管理者所用，因此不能被客户或供应商所利用。II、不正确。见解析I。III、正确。传统ERP软件的各子系统可以共享数据并相互协作。当市场部门获得客户定单时，该系统会快速查验现有存货是否足够发货，如不能，就会自动通知生产部门自动调节产量计划并生产更多的产品。如果材料不足，系统就会发出采购定单。如果需要更多的劳务，系统就会要求人力资源部门重新配置或雇佣人员。IV、正确。见解析III。

69

[答案]：B

[解析]：

A.不正确。灾难管理程序属于典型的风险管理。制定应急计划是风险管理的内容之一，但并不是风险管理的第一步工作。

B.正确。风险管理，是建立在风险分析的基础之上的，指采取一定的措施对风险进行检测评估，使风险降低到可以接受的程度，并将其控制在这一水平上。即开展风险分析是风险管理的第一步工作。

C.不正确。创建风险管理小组是风险管理的内容之一，但并不是风险管理的第一步工作。

D.不正确。练习对风险的反应属于风险管理的内容，但同样不是风险管理的第一步工作。

70

[答案]：B

[解析]：A不正确。恰当的报告途径应是向管理当局和董事会报告。他们负责采取更正和后续行动。B正确。这是最恰当的做法，内部审计师应将表明控制的主要缺陷和可能存在或发生的舞弊的所有信息及时向管理层报告，以便管理层及时采取更正和后续行动。C不正确。这是对银行制度和法规的重大违背，应立即报告给管理当局，以便采取后续和更正。D不正确。控制中的所有重大缺陷都应报告，即便被审者同意改正问题。