1.Information Security Auditing Process(21%) Flashcards
1.一个IS审计师被分配去执行一项测试:比较计算机作业运行日志与作业计划表。下面哪一条是IS审计师最需要关注的? A.有越来越多的紧急变更 B.存在某些作业没有按时完成的情况 C.存在某些作业被计算机使用者否决的情况 D.证据显示仅仅运行了预先计划的作业
C 被计算机使用者否决掉的计算机处理工作可能会导致未经审批的、针对数据或程序的变更,这是一个控制上的考虑,因此,通常非常关键。其他的选项都是非关键的,因此诸如处理延迟、错误甚至于紧急变更都是可以接受的,只要这些行为被正确的记录。
2.在审核一个财务系统的时候,IS审计师怀疑发生了一个事故(攻击)。审计师首先应该做什么? A.要求关闭系统以保留证据 B.向管理者报告事故 C.要求立即暂停可疑的账户 D.立即调查事故的来源和性质
B 向管理层报告可疑事故将有助于启动事件响应过程,这是最合适的行为。管理层有责任作出决策以采取合适的响应。在审计过程中,审计师不应对事件做出响应。其他的选项在事件响应中应由管理层指导所采取的行动。
3.一家金融服务公司拥有一个独立代理用来管理客户账户的网站。在检查系统的逻辑访问时,IS审计师注意到,一些用户ID似乎被多个代理用户共享。此时,IS审计师最适合采取以下哪项行动: A.通知审计委员会存在潜在问题 B.要求详细审查相关ID的审计日志 C.记录结果并对使用共享ID的风险作出解释 D.联系安全经理,要求从系统中删除这些ID
C IS审计师的职责是:检测并记录审计结果以及控制缺陷问题。审计报告的作用则是,届时结果背后的论据,不建议使用共享ID,因此此做法无法明确交易问责性。IS审计师并没有因使用共享ID而侵害隐私的证据。因此,在向管理层提交审计结果并要求恢复之前,IS审计事项审计委员会报告结果的举动是不恰当的。由于共享ID无法明确交易问责性,所以监察审计日志也没有用。要求从系统中删除ID也不是IS审计师的工作。
4.一个IS审计师被请求去为一个基于Web的关键订单系统做完全监控检查,且此时距该订单系统预定的正式上线日期只有很短的时间,该审计师进行了一项渗透测试,产生了不确定的结果,而在授权给审计的完成时间内无法进行另外的测试。下述哪个是该审计师最好的选择? A.基于可用的信息公布一个报告,突出强调潜在的安全弱点以及对后续审计测试的需求。 B.公布一个报告,忽略来自测试的证据不足的领域。 C.请求推迟正式上线时间直到完成附加的安全测试并获得正式测试的证据。 D.通知管理层审计工作不能在规定的时间窗内完成,并建议审计推迟。
A 如果IS审计师在授权时间窗内不能获得关键系统充分的确认,该事实应该在审计报告中突出强调,并且今后某个时间的后续测试应该被预定。此时管理层可以决定识别的潜在弱点中是否有任何一个重要到需要推迟系统正式上线时间的程度。审计师由于在授权的审计时间窗内无法获得充分的证据而忽略具有潜在弱点的领域是不可接受的。如果这些领域在审计报告中北忽略,这将违背IS ACA审计标准。为审计扩展审计时间窗和推迟正式上线时间在该场景下不大可能被接受,因为涉及的系统是关键交易系统。在任何情况下,推迟正式上线时间都必须是企业管理者的决定,而不是IS审计师的决定。在该场景中,IS 审计师应该在授权时间前向管理者展示所有可用信息。审计聘约阶段没有获得充分的证据并不意味着需要取消或者推迟审计,这将违背审计准则中关于尽职审查和专业职责条款。
5.管理层让一个初级IS审计师用他最佳的判断力来准备并发布一个最终报告,因为没有可用的其他高级IS审计师来检查其工作报告。这种情况最主要的风险是? A.由于审计没有按照标准执行而造成声誉损失 B.审计报告不能识别和分类关键风险 C.客户管理者会质疑其结果 D.审计报告可能不会被审计经理所批准
A ISACA审计标准S6(审计工作执行),子标准03(监督)规定“IS审计职员应当被监督以提供实现审计目标和满足专业审计标准的保证”。如果一个审计师在没有检查或监督的情况下完成整个审计,包括审计报告,这就没有满足监督的标准。违反审计标准会造成审计组织损失可信性,并面临法律责任风险以及失去其资格与执照的风险。如果审计师的工作没有被检查,其报告可能不能够成功识别和分类关键风险,这些风险可能会被一个更有经验的审计师通过检查发现,然而,这种风险与声誉、可信性、资格/执照损失相比是次要的。如果该高级审计师错误的分类一些风险,客户经理可能会质疑其审计结果里管理层认为不重要的风险。然而,该风险与没有遵守标准相比而言是次要的。审计经理经过检查,可能会发现在提交给管理层之前需要对报告进行修改。由于这是一个有正当理由的风险,因此在该场景中不是主要风险。
6."管理层让一个初级IS审计师用他最佳的判断力来准备并发布一个最终报告,因为没有可用的其他高级IS审计师来检查其工作报告。这种情况最主要的风险是? A.由于审计没有按照标准执行而造成声誉损失 B.审计报告不能识别和分类关键风险 C.客户管理者会质疑其结果 D.审计报告可能不会被审计经理所批准"
A ISACA审计标准S6(审计工作执行),子标准03(监督)规定“IS审计职员应当被监督以提供实现审计目标和满足专业审计标准的保证”。如果一个审计师在没有检查或监督的情况下完成整个审计,包括审计报告,这就没有满足监督的标准。违反审计标准会造成审计组织损失可信性,并面临法律责任风险以及失去其资格与执照的风险。如果审计师的工作没有被检查,其报告可能不能够成功识别和分类关键风险,这些风险可能会被一个更有经验的审计师通过检查发现,然而,这种风险与声誉、可信性、资格/执照损失相比是次要的。如果该高级审计师错误的分类一些风险,客户经理可能会质疑其审计结果里管理层认为不重要的风险。然而,该风险与没有遵守标准相比而言是次要的。审计经理经过检查,可能会发现在提交给管理层之前需要对报告进行修改。由于这是一个有正当理由的风险,因此在该场景中不是主要风险。
7."在审计风险管理程序中,下面那一项职责最有可能损害审计师的独立性? A.参加风险管理框架的设计 B.为不同的实施方法提供建议 C.协助风险意识的培训 D.对风险管理程序进行尽职调查"
A 参加设计风险管理框架将涉及控制设计,这将损害审计师审计风险管理程序的独立性。为不同的实施方法提供建议并不损害审计师的独立性,因为审计师并不参与决策过程。协助风险意识的培训不会损害审计师的独立性因为审计师不参与决策过程。尽职调查(due diligence,又做“谨慎性、合理尽责”之类的解释)是一种审计类型。
8."某企业正在制定一个策略,以更新数据库软件版本。审计师可以执行下面哪一个任务而又不会危害IS审计的客观性? A.建议对新数据库软件采用哪些应用程序控制 B.为项目团队将来所需的许可证费用提供评估 C.在项目规划会议上就如何改善迁移效率提供建议 D.在执行验收之前,审核验收测试用例文档"
D 上面的选项中,只有仅仅审核测试用例会提高客观性。如果审计师建议采用一个具体的应用程序控制,可能会损害其独立性。如果审计师对将来需经管理层批准的项目费用估算进行审计,也可能损害其独立性。就如何提高迁移效率向项目经理提供建议也会损害其独立性。
9.”在审计一个会计应用系统的内部数据完整性控制时,IS审计师发现支持该会计系统的变更管理软件中存在重大不足。审计师应采取的最合适的行为是:
A.继续测试会计应用系统控制,口头通知IT经理有关变更管理软件中的控制缺陷以及就可能的解决方案提供咨询。
B.完成应用程序控制的审核,但是并不报告变更管理软件中的控制缺陷,因为它不属于审核范围。
C.继续完成会计应用系统的测试,并且在最终的报告中加入变更软件中的控制缺陷。
D.停止所有的审计活动,一直到变更控制软件中的控制缺陷被解决为止。”
C 报告所发现的、可能会对有效控制造成中的影响的资料是审计师的责任,不管这些(内容)是否在审计范围内。审计师并不假定IT经理会跟进解决变更管理控制缺陷,并且在审计过程中就发现的问题提供咨询服务是不恰当的。虽然技术上不属于审计范围之内,审计师有责任汇报在审计期间发现可能对控制的有效性造成重大影响的发现。要求在执行或者完成一个审计之前,完成IT工作不是审计师的责任。
10.”公司内部审计部门为了达到持续审计的目的,开发并维护了ACL脚本,为了保持连续监控目的,这些脚本被提供给IT管理部门,这种情况导致潜在的与审计师独立性和客观性相关的冲突,下述哪一种行为可以最好的解决该问题?
A.内部审计小组应该停止共享这些脚本,IT管理部门必须开发他自己的脚本。
B.由于持续监控和持续审计是相似的功能,IT管理部门应该将持续监控的任务指派给内部审计部门。
C.IT管理部门应该继续用这些脚本并进行持续监控,并理解他需要对测试和维护脚本负责。
D.内部审计小组应该检查这些脚本所被应用的领域,并减少审计的范围和频率。”
C IT管理部门承担着测试和维护它所用脚本的责任,这些脚本与内部审计部门所用的不同,并且IT管理部门可以自由修改这些脚本。一旦脚本被看成是不同的,内部审计小组违背客观性和独立性风险就大大降低了。如果内部审计小组停止共享这些脚本,IT员工必须从零开始创建脚本或者不得不雇用专业人员来完成该工作,因此并不是一个合理的解决方案。持续监控是IT管理部门的责任之一,不能移交给内部审计小组。持续审计是审计小组的功能,并不能代替持续监控。另外,内部审计小组不能假设他们的脚本被IT管理部门正确的使用,也不能假设他们的脚本没有修改从而可能产生错误的结果。
11."在对IT流程的安全审计过程中,信息系统审计师发现没有关于安全程序的文档。该审计师应该: A.生成该程序的文档 B.中止审计 C.进行符合性测试 D.识别并评估目前状况下的组织活动"
D 审计的一个主要目标是要识别潜在的风险,因此,最主动的方式是识别并评估目前状况下组织的安全活动。信息系统审计师不应该生成和准备这些文档,因为这会损害审计师的独立性。中止审计便无法实现识别潜在风险这一基本审计目标。因为连正式成文的程序文档都不存在,因此实施符合性测试是没有依据的。
12.信息系统审计师在对软件使用及许可方面进行审计时发现,大量的PC设备中含有非授权的软件。信息系统审计师随即应该采取以下哪个行动?
A.删除非授权软件的所有拷贝
B.通知被审计机构有关非授权软件的情况,并进行跟踪确保软件的删除
C.向被审计机构管理层报告使用非授权软件的情况,以及告知管理层有必要防止该情况的再次发生
D.警告终端用户有关使用非法软件的风险
C 组织应该禁止使用非授权或非法软件。软件盗版会产生内在的风险并导致严重的后果。信息系统审计师必须告知用户和管理层相关的风险和消除风险的必要性。信息系统审计师不必承担强迫管理层的角色,也不涉及删除非授权软件的相关责任。
13."审计章程应该是: A.动态且经常变更,与技术和审计专业的变化本质保持同步和一致 B.清晰地说明审计目标、审计的委托关系,以及维护和审查内部控制中的授权职责 C.为了取得计划的审计目标而制定的审计程序的文件 D.对审计工作的整体授权、范围、职责的描述"
D 审计章程应该说明管理层对于信息系统审计的委托授权及目标定位情况。审计章程应该获得最高管理层的审批,切不应该不停地改变。审计章程不应该过于细致,通常通常不包含详细具体的审计目标或审计程序。
14.在对一个大型组织的身份管理系统(IDM)中的供应流程进行审计时,信息系统审计师很快发现有少数通过正常预定义的工作流程的访问情况没有得到管理者的授权。信息系统审计师应该? A.实施进一步的分析 B.向审计委员会报告该问题 C.实施风险评估 D.建议IDM系统的所有者解决这个工作流成中的问题
A 信息系统审计师需要进行大量的测试和进一步的分析来确定授权和工作流程没有按预定方式运作是原因。在做出任何建议前,审计师应该很好的理解掌握问题的范围和问题的原因。信息系统审计师应该确认问题是由管理人员没有按预定流程执行所引起的,还是自动化系统本身的工作流程而引起的,还是两种因素都存在。其它选项不正确,是因为审计师没有充分的信息进行下一步的汇报、风险评估和提出解决该问题的建议。
15."信息系统审计师被指派对一个应用系统进行实施后的审计。以下哪种情形可能影响信息系统审计师独立性? A.在应用系统的开发阶段执行特定的需求功能。 B.为了审计该应用系统而设计一个嵌入式的审计模块。 C.作为应用系统项目团队的一员,但不承担运行职能。 D.根据应用系统的最佳实践提供咨询和建议。" A
A 信息系统审计师参与到系统的开发、获取和实施活动中,独立性就可能受损。选项BC不会损害审计师的独立性。选项D.不正确,因为以最佳实践提供咨询建议是不会损害审计师的独立性的。
16."将实质性发现包括在审计报告里是最终决定应该由谁来做? A.审计委员会 B.被审计单位的经理 C.IS审计师 D.组织的CEO"
C IS审计师应该做出关于在审计报告里包括和不包括什么的最终决定。其它选项都会限制审计员的审计独立性。
17."IS审计师获取充分和合适的审计证据的最重要的原因是: A.遵从法规的要求 B.提供推导出合理结论的基础 C.确认完整的审计内容 D.根据定义的范围执行审计"
B IS审计的范围由目标来定义。它包括确定与审计范围相关的控制不足。获取充分和合适的证据有助于审计员确定、记录并控制不足之处。遵从法规要求、确认审计内容和执行审计都与审计有关但不是需要充分和相关证据的原因。
18."初步调查之后,审计员发现有理由相信欺骗的存在。IS 审计员应该: A.展开行动确定调查是否合理 B.将事情报告至审计委员会 C.将欺骗可能性报告给高层,高层管理询问是否继续 D.咨询外部法律顾问以决定采取什么及如何行动"
A IS审计师在检测欺骗方面的责任包括评估欺骗迹象并决定是否有必要采取额外的行动或应该建议调查。IS审计师只有当确定欺骗证据确凿而建议调查时才会通知组织内适当的权威。通常,IS审计师在审计中没有权利咨询外部法律顾问。
19."一个公司的IS审计章程应该指明: A.IS审计约定书的短期和长期计划 B.IS审计约定书的培训目标和范围 C.IS审计师的具体培训计划 D.IS审计功能的角色"
D 审计章程建立了信息系统审计功能的角色。章程应该描述审计功能的整体授权、范围和责任。应该由最高管理层批准,如果可行的话,也由审计委员会批准。短期和长期计划是审计管理层的责任。每个IS审计的目标和范围应在约定书中表达一致。一个基于审计计划的短期培训计划应由审计管理层制定。
20."审计员在审计时检测到有计算机病毒存在,下一步审计员该如何做? A.观察相应机制 B.从网络里清除病毒 C.立即通知相关人员 D.确保删除病毒"
C IS 审计员在检测到计算机病毒后要做的第一件事就是提醒组织病毒的存在,然后看他们的响应。A选项应该是在C选项发生之后。这样能使IS审计师去检查实际的响应机制可实用性和有效性。IS 审计员不应该对被审计的系统做更改;确保病毒被删除属于管理责任。
21.IS 审计员在会谈工资结算员时发现他的回答跟工作描述和文档里的流程不符合,在这种情况下,IS审计师应该: A. 推断控制是不充分的 B.增加实质性测试的范围 C.更依赖以前的审计结果 D.暂停目前的计划
B 如果员工回答IS审计师的问题不能跟文档记录的流程或职位描述一致,IS审计师应该增加控制测试的范围并包含附加的实质性测试。没有证据显示无论充分与否控制总存在。更加依赖于之前的审计结果或暂停审计都是不合适的行动,因为她不能提供关于已有控制的充分性的目前状况。
22."IS审计师在发布的审计报告中指出边界网络网关没有防火墙保护机制,并建议使用某供应商的产品来应对这个脆弱性。这里审计师的错误表现在? A.职业独立性 B.组织独立性 C.技术能力 D.职业技能"
A 当IS审计师推荐某一供应商时,他违背了职业独立性。组织独立性跟审计内容是不相关的,且应该在接受审计任命时考虑。技术与职业能力跟独立性要求也不相关。
23.IS审计师参与了组织业务连续性计划的制定,而又被指派去审计这个计划。IS审计师应该? A.拒绝这个审计任务的指派。 B.提醒管理层关于自己完成审计任务后利益冲突的可能。 C.提醒业务连续性计划组关于自己在开始审计任务前可能的利益冲突。 D.在开始审计任务之前与管理层沟通关于利益冲突的可能性。
D 开始审计任务之前与管理层沟通关于利益冲突的可能性是正确的选择。可能的利益冲突,非常会影响审计员的独立性,应该在开始审计任务之前引起管理层的注意。拒绝审计任务是不正确的选项因为分配的任务在获得管理层的同意后是可以接受的。在完成审计任务之后提醒管理层可能的利益冲突是不正确的因为应该先获得许可而不是之后。在开始审计任务之前提醒业务连续性计划小组关于可能的利益冲突也是不正确的,因为业务连续性小组没有授权此事的权限。
24."IS审计师在执行对远程管理的服务器备份的审计。IS审计师评审了一天内的日志发现一个案例:登录服务器失败,结果备份任务是否重启不能确定。审计员应该? A.发布审计发现 B.从IS管理层那里寻求解释 C.评审服务器数据的分析 D.增加日志评审的取样范围"
D 审计标准要求IS审计师收集足够和适当的审计证据。审计员已经发现潜在的问题现在需要判断这是一个特殊意义外还是系统控制的失败。在这个阶段发布审计发现或寻求管理层解释还为时过早,但是比较好的做法是收集额外的证据来评估事态的严重性。备份失败,这里还没有确定,如果包含关键数据就是非常严重的。然而,问题不是被检测到问题的服务器上数据的重要性,而是是否有系统控制的失误存在而影响到其它服务器。
25.一位IS审计师正在执行合规性测试,以确定控制是否支持管理政策和流程。测试在以下哪个方面对IS审计师有所帮助: A.获得对控制目标的了解 B.保证运行中的控制与设计要求一致 C.确定数据控制的完整性 D.确定财务报告控制的合理性
B 合规性测试可用于监测已定义流程的存在性和有效性。了解合规性测试的目标非常重要。IS审计师希望其所依赖的控制之有效性具有合理的保障。了解控制目标是很关键,但这并非执行合规性测试的原因。实质性测试(而非合规性测试)于数据完整性和财务报告相关。
26."在对一个流程处理中的预防控制、发现控制和纠正控制的整体效果进行评估时,信息系统审计师应该认识到以下哪项? A.控制应该在系统中数据流的各个点上建立 B.只有预防性控制和发现性控制是相关的 C.纠正性控制只能被视为是补偿性的 D.信息系统审计师可以使用分类方法来决定哪些控制是缺少的"
A 信息系统审计师应该关注控制在系统中数据流的各个点上建立的情况。选项B不正确是因为纠正性控制也是相关的。选项C不正确是因为纠正性控制可以消除或降低错误的影响,因此不应把他仅仅视为是补偿性控制。选项D不正确是因为控制的扩展性和功能性是重要的,而不是控制的分类。
27.如果IS审计师与部门经理对审计结果存在争议,争议期间审计师应首先采取以下哪项行动 A.对控制进行重新测试,以验证审计结果 B.邀请第三方对审计结果进行验证 C.将审计结果记入报告,同时注明部门经理的意见 D.对支持审计结果的证据进行重新验证
D IS审计师得出的结论应有充分的证据支持,同时也要考虑部门经理提出的补偿性控制或纠正措施。因此,首先要做的应该是对审计结果的证据进行重新验证。对控制进行重新测试通常排在重新验证证据之后。尽管有时也需要第三方执行特定的审计程序,但IS审计师还是应该首先验证支持证据,已确定是否需要第三方的参与。再重新验证和重新测试之后,如果仍有争议,应将这些问题纳入报告。
28.在对外包运营网络运营中心(NOC)审查期间,IS审计师得出结论,通过外包代理监控远程网络管理活动的工作流程是不恰当的。管理层讨论期间,首席信息官(CIO)对此问题进行了更正,证实其作为按照客服工作流程处理的客户服务活动的合理性,并提出以激活入侵监测系统(IDS)日志并监控防火墙规则。IS审计师应采取的最佳行动步骤是什么? A.根据CIO的反馈修改审计报告中的审计结果 B.因为已经激活IDS日志,所以撤销审计结果 C.因为已经监控防火墙规则,所以撤销审计结果 D.在审计报告中记录已确定的审计结果
D IS审计师的独立性要求,应对受审方提供的额外信息进行考察。通常情况下,IS审计师不会自发撤销或修改审计结果。
29.以下哪一项最适当的描述了IS审计师和被审计单位就审计发现进行讨论的目的? A.把审计结果告知高层管理人员 B.为所提的建议制定出实施时间表 C.确认审计发现,并制定纠正措施的实施计划 D.为识别的风险确定补偿控制
C 在把审计结果传达给最高管理层之前,IS审计师要和被审计单位讨论审计发现。讨论的目的是为了确认审计发现的准确性,并制定一个纠正措施的实施计划。基于这个讨论,审计师最终完成审计报告并提交给相应级别的高级管理层。在和高级管理层人员和被审计单位的讨论的基础上,审计师可同意针对所提建议制定一个实施计划和时间表。在报告起草阶段,很少与受审方讨论来确定补偿性控制。
30.在识别出一个应当报告的发现之后,被审计机构立即采取了纠正措施。审计师应当: A.这一发现应当记录在最终报告中,因为审计师负责对所有调查结果的准确报告。 B.不在最终报告中记录,因为审计报告只包括尚未纠正的发现。 C.不在最终报告中记录,因为在审计过程中,审计师可以验证纠正措施。 D.在离场会议上,将发现的情况仅作讨论目的。
A 在最终报告中记录审计发现是一个普遍接受的审计实践。如果一项审计措施在审计开始之后,在审计结束之前实施,审计报告应当确认和描述所采取的措施。审计报告应该记录这些情况,因为其存在于审计过程中。被审计单位所采取的所有纠正措施都应当予以记录。
31.”在审查一个分布式多用户应用系统时,信息系统审计师发现了三方面的一些小缺陷:参数的初始设置配置不正确,使用了弱密码,一些重要的报告没有给恰当的检查。在准备审计报告时,信息系统审计师将:
A.分别记录各个审计发现,以及针对每种审计发现所产生的影响。
B.向管理者建议可能存在的风险,但不记录相关的审计发现,因为这些控制缺陷是次要的。
C.记录审计发现以及这些控制缺陷聚合所产生的风险。
D.通报部门主管对每个审计发现进行关注,并在报告中进行适当记录。”
C 对于每一个来说,控制缺陷是较小的,但是他们结合起来可能会对整体控制架构产生巨大的潜在影响。选项A和D反映出信息系统审计师未能识别弱点的整体影响。向当事管理者进行建议但不报告相关实事和发现将会对其他股东造成真相的隐瞒。
32.在末次会议上,如果对某项审计发现的影响存在分歧,信息系统审计师应该: A.要求被审计单位签署一份申明以授权全部的法律责任 B.详细阐述审计发现的重要性和不纠正这种错误的风险 C.将分歧报告给审计委员会以寻求解决 D.接受被审计单位的立场因为他们是流程的所有者
B 如果被审计单位对于审计发现的问题持不同意见,由于被审计单位对风险的暴露程度和重要性可能缺乏充分的了解,对于信息系统审计师来说向其阐述和澄清风险及其暴露情况是很重要的。其目的是启发被审计单位或者揭示出信息系统审计师所没有意识到的新的信息。而任何可能威胁被审计单位的情况都将影响有效的沟通并造成一种对立的关系。同样的道理,信息系统审计师也不能因为被审计单位表述另一种观点而擅自同意。
33."在对组织的灾难恢复计划进行审查后,信息系统审计师要求与公司管理层召开会议以讨论审计发现。以下哪一项是对此次会议的主要目标的最佳描述? A.取得管理层对整改行动的批准 B.验证审计发现的准确性 C.帮助管理层实施整改行动 D.向管理层说明审计的范围和所受到的限制"
B 会议的目的是为了验证审计发现的准确性,并给管理层一个就整改行动达成一致意见的机会。会议并不需要管理层对整改行动进行批准,因为这不属于审计师的职责。只有在确认了审计发现之后,才进行进一步的整改措施的实施,然后整改措施的实施同样不应该分配给审计师否则将影响审计师的独立性。向管理层说明审计的范围和所受到的限制应该在启动会议上进行,而不应该在退出会议上。
34."完成评审之前跟被审计单位开会的主要目的是: A.确认审计员没有忽略任何重要的议题 B.获取对审计结果的一致意见 C.接受关于审计规程充分性的反馈 D.测试最终报告"
B 完成评审之前跟被审计单位开会的主要目的是获取对审计结果的一致意见。其他的的选项虽然都与正式完成审计工作相关但是都是次要的。
35."虽然管理层已经声明,然而IS审计师依然有理由相信组织在使用未经许可的软件,面临这种情况IS审计师应该: A.将管理层的声明附在审计报告中 B.识别组织是否真正的使用了这类软件 C.和管理层再次确认对软件的使用情况 D.和高级管理层讨论此事,因为报告此事将会给组织带来负面影响"
B 当有迹象表明组织在使用未经许可的软件时,信息系统审计师应在写入报告前获取足够的证据。使用这种方法,不能单凭管理层的陈述。如果组织确实正在使用未经许可的软件,那么审计师应该出于客观性和独立性,将此计入审计报告中。
36."在辅助财务审计的IT控制测试时,总账GL用户向信息系统审计师投诉,在访问数据时存在严重的延时。IS审计师应采取的最合理的操作为: A.将延时记录为有待改善的控制缺陷 B.推荐使用负载平衡去改进吞吐量 C.在管理建议书中写明这个投诉 D.在形成对IT控制的审计意见时,排除这些投诉"
D 弄清响应时间的根本原因超出了在现行的审计范围。影响财务报表IT控制的主要目标是保证财务报表的完整性。因此,对于使用数据库的操作问题不应该是主要的审计意见。降低吞吐量并不意味着它可能是导致财务账目出现错误的控制缺陷。负载均衡作为一个解决方案并不能从从根本上解决吞吐量减少的问题。投诉经证实后才可以包含在管理建议书中。
37."要确定向供应商发出的采购订单是否已根据授权矩阵取得授权,以下哪种抽样方法最有效 A.变量抽样 B.分层单位平均评估抽样 C.属性抽样 D.不分层单位平均估计抽样"
C 属性抽样是合规性测试中使用的方法。在这种场景下,须对控制实务进行评估,因此应采用属性抽样来确定采购订单是否已获批准。实质性测试中则采用变量抽样方法,它涉及交易定量方面(如资金价值)的测试。分层单位平均评估抽样和不分层单位平均估计抽样则是在变量抽样中使用。
38."内部审计小组对销售回报率的控制进行审计,并考察是否存在欺诈问题。以下那种抽样方法对审计师最有帮助 A.停-走抽样法 B.经典变量抽样法 C.发现抽样法 D.概率比例规模抽样法"
C 审计师在尝试确定是否发生过某类事件时使用发现抽样法,因此,这种方法适合评估欺诈风险,确定其是否曾经发生过。停止或继续的抽样发则有助于限制样本大小,可让测试尽早停止。经典变量抽样发则与资金额有关。概率比例规模抽样法常与样本中有分组情况的整群抽样有关。该问题并不表示IS审计师在寻找欺诈的标准。
39."执行实质性测试时,IS审计师应最关注: A.可确定控制运行是否符合设计的证据 B.可确定风险评估的证据 C.收集可评估数据有效性的证据 D.要收集和审查数据的质量"
C 实质性测试是收集数据以证实数据处理完整性的过程,例如,确定数据是否准确。收集证据以确定控制的运行或应用是否符合设计则是合规性测试的内容。控制无法按计划运行时,将会存在漏洞。如果风险小,则对实质性测试的需求也很有限。证据的质量和数量由审计目的和IS审计师的判断决定。
40."信息系统审计师正在审查对应用的访问控制,以确定10个最新的用户账号是否被适当的授权。这是一个属于以下哪个方面的例子? A.变量抽样 B.实质性测试 C.符合性测试 D.停走抽样"
C 符合性测试是用来判断在政策程序的符合性上,控制是否被有效的执行。这包括判断新账户是否被适当授权的测试。变量抽样被用于估计量化的值(如美元金额)。实质性测试用于证实实际处理流程的完整性(如财务、资产平衡表)。实质性测试的开展总是基于符合性测试的结果。如果符合性测试标明内部控制措施是足够的,那么可以相应减少实质性测试。停走抽样可以最可能早的停止抽样测试,所以在检查程序控制是否被完全遵循方面是不合适的。
41.当对符合性进行测试时,以下哪种抽样方法是最有用的? A.属性抽样 B.变量抽样 C.分层单位均值抽样 D.差异估计
A 属性抽样是用于符合性测试中的主要抽样方法。属性抽样是一种用于评估某一特定属性发生率的抽样模型,通常被用来进行符合性测试以验证控制的存在性。其它选项被用在实质性测试中,通常是进行详细量化的测试。
42."在如下哪种情况时,IS审计师应该用统计抽样而不是非统计抽样: A.必须客观衡量错误概率 B.审计员希望避免抽样风险 C.不能使用同用审计软件 D.允许的错误率不能确定"
A 当给定期望错误率和信任等级的时候,统计取样是一种客观的取样方法,它能帮助信息系统审计员决定抽样大小和量化错误几率(置信系数)。答案B.是错误的因为抽样风险是抽样不能代表整体的风险。系统抽样和非系统抽样都存在这种风险。C选项是错误的因为统计取样不需要使用审计软件。选项D是错误的,因为允许的错误率必须在非统计和统计抽样之前确定。
43."一个验证磁带库库存记录准确性的实质性测试是: A.确定是否安装了扫描枪的读头 B.确定磁带的移动是否被授权 C.清点磁带库存数量 D.检查接收和发布磁带是否被准确记录"
C 实质性测试包括收集证据来评估单笔交易、数据或其它信息的准确性。清点磁带库的库存数目属于实质性测试。选项A.B.D都是合规性测试。
44."在判断是否有未授权的对生产程序的修改时,IS审计师可以使用以下哪一项? A.系统日志分析 B.合规性测试 C.司法分析 D.分析审评"
B 判断对生产系统的修改都经过了授权需要评审变更管理流程来评估记录证据的痕迹。合规性测试应该有助于验证是否一贯遵守变更管理流程。系统日志分子不太可能提供关于程序变更的信息。司法分析是一项专业犯罪调查的技术。分析评审评估常规组织的环境控制。
45."以下哪项在实施信息系统审计计划时是最重要的? A.查阅以前审计的审计发现 B.设计一个对数据中心设施物理安全的审计计划 C.查阅信息系统政策和程序 D.进行风险评估"
D 在全部所列的步骤当中,执行风险评估是最重要的。风险评估是ISACA.协会的S11条(在审计计划中适用风险评估)审计标准所要求的。除了标准要求外,如果不实施风险评估,被审计机构的系统或运行中高风险的领域就可能没有被识别和评估,审计发现风险(错误没有被审计师发现的风险)就增加了。查阅以前审计的审计发现是审计过程中的必要部分,但没有风险评估那么重要。对数据中心设施的物理安全审计是重要的,但是同样没有风险评估重要。查阅信息系统政策和程序一般在现场审计实施中展开,不属于审计计划阶段。
46."信息系统设计师在检查一个基于服务导向架构(SOA)原理的软件应用。第一步最好是? A.通过查阅服务知识库文档中的文档,理解应用的服务以及它们与业务流程的分配关系 B.对于SAML提出的服务安全标准的使用情况进行抽样 C.检查服务协议(SLA) D.审计任何单独的服务,以及它与其它服务之间的依赖关系"
A 一个SOA依赖于分布式环境的原理。在该分布式环境中服务把业务逻辑封装成黑盒模式并被特意组合成现实环境中的业务流程。在该服务进行详细审计前,信息系统审计师有必要理解业务流程和服务之间的映射关系。选项B和C不正确,,这是因为对于SAML提出的服务安全标准的使用进行抽样以及检查服务水平协议应该是理解了服务与业务流程之间关系后的后续步骤,并不是第一步。选项D不正确,这是因为审计任何单独的服务,以及它与其它服务之间的依赖关系是很耗费时间的,所以他不是启动SOA审计是标准方式。
47."为了确保审计资源给组织带来了最大的价值,通常的第一步是: A.计划审计项目,并对每个审计项目的时间安排进行监督 B.向信息系统审计师培训有关组织正在使用的最新技术 C.在详细风险评估的基础上开展审计计划 D.审计监督程序,并采取成本控制措施"
C 监控时间(选项A)和审计程序(选项D),以及充分的培训(选项B)将有助于提供信息系统审计师的生产率(效率与技能),但是针对高风险领域所投入的资源和花费才能给组织带来最大化的价值。
48."一个信息系统审计师在审阅组织章程时主要是为了: A.了解工作流程 B.调查各种通讯渠道 C.理解每个人的职责和权限 D.调查不同员工的联网信息"
C 组织章程提供了关于组织中各个员工职责和权限的信息,这会帮助信息系统审计师了解到是否进行了适当的职责分离。工作流程图能够提供关于不同员工所扮演不同角色的信息。网络图表可以提供有关不同通讯渠道的使用信息以及用户连接到网络的信息。
49."IS审计师评估逻辑访问控制时首先应该: A.记录对系统访问路径的控制 B.测试访问路径的控制以判断是否起作用 C.评估与已有政策和实践相关的安全环境 D.获取并理解信息处理的安全风险"
D 当评估逻辑访问控制时,IS审计师应该首先通过评审相关的文档、询问并执行风险评估来掌握和理解信息处理面临的风险。记录和估计是在评估充分性。高效性、有效性的第二步,从而确定控制的缺陷或冗余。第三步是测试访问路径一来决定控制是否起作用。最后,IS审计师评估安全环境以评估其充分性,一般通过评审已有的政策文件、观察实践并与适当的安全最佳实践相比来评估。
50."在IS 审计的计划阶段中,IS 审计员是首要目标是: A.处理审计目标 B.收集充分证据 C.确定合适的测试 D.最小化审计资源"
A ISACA审计标准要求IS审计师通过计划审计工作来处理审计目标。选项B是不正确的因为审计员不在审计的计划阶段收集证据。选择C和D都是不正确的因为他们不是审计计划中的首要目标。B.C.D中描述的活动也都是在处理审计目标时采取的活动,因而是在选项A之后。
51.在审计分配的初级阶段,IS审计师执行功能性巡视的首要原因是: A.理解业务流程 B.遵从审计标准 C.识别控制不足 D.计划实质性测试
A 理解业务流程是IS审计师要做的第一步。标准不要求IS审计师执行流程巡视。识别控制不足不是巡视的主要原因并且常发生在审计的后期阶段。实质性测试计划也是在审计后期工作。
52.一个IS审计师发现有一个没有被包含在网络拓扑图中的设备被连接到网络中,该网络拓扑图是用于确定审计范围的。CIO解释说,该网络拓扑图正在进行更新并且等待最后的审批。审计师应该首先要: A.扩大审计范围以包含这个没有在网络图中出现的设备 B.评估这个未经批准的设备对审计范围的影响 C.注意控制缺陷,因为网络图尚未更新 D.对未记录的设备计划后续的审计工作
B “在一个基于风险的审计中,审计范围是由设备的影响程度
来确定的。如果一个未经批准的设备不影响审计范围,那么,就
可以排除在当前的审计业务约定以外。这些信息由网络图提供,比如网络层、交叉连接等等。重要的是,审计师并不马上假定网络图上所提供的任何有关对网络系统的风险影响如何。要在合适的地方来做网络图的批准和更新的动作。在这种情况下,只是开始IS审计的时间与完成审批的时间不匹配。没有控制缺陷要报告。是否对未批准设备进行后续审计,取决于未记录设备所涉及的风险是否符合审计范围。”
53.在IS合规性审计规划阶段,以下哪个选项是决定数据收集内容的最重要因素 A.组织业务的复杂性 B.上一年度的审计结果和注意到的问题 C.审计的目的、目标和范围 D.审计师对组织的熟练程度
C 在IS审计期间,对数据收集内容应与审计的目的、目标和范围直接相关。目的、目标和范围狭窄有限的审计所收集的数据很可能会比目标和范围较广的审计要少。组织业务的复杂性、之前出现的问题以及审计师对组织的熟练程度都是在规划审计师需要考虑的因素,但不会对数据收集量的决定产生直接影响。
54."一个IS 审计师正为一个老客户制定审计计划。该审计师检查了一上午的审计计划,并发现之前的被用来检查该该公司网络和电子邮件系统是上一年新使用的,但是该计划并没有包括对电子商务web服务器的检查。公司的IT经理暗示今年该公司偏向集中审计新应用的企业资源计划(ERP)系统,该IS 审计系统应当如何反应? A.如IT经理所请求的,审计新ERP应用 B.审计电子商务服务器,因为它去年没有被审计 C.确定风险最高的系统,并基于该结果制定审计计划 D.既审计电子商务服务器也审计ERP应用"
C 最好的行动方案是进行一项风险评估,并修订审计计划以涵盖高风险的领域,ISACA审计标准S11(在审计计划中应用风险评估),子标准S03规定:“在制定整体IS 审计计划以及为有效分配IS审计资源而确定优先级时,IS审计师应该采用适当的风险评估技术或方法”。审计师不能依赖上一年的审计计划因为它可能没有被设计来反应基于风险的方法(最新的系统并不一定是具有最高风险的系统)。审计师的ERP 应该没有反应基于风险的方法因此不是正确答案。尽管ERP系统典型的包含敏感数据并可能出现数据丢失或泄漏的风险,没有风险评估,则审计ERP系统的决定即不急于风险的决定。由于其前一年没有被审计而审计电子商务服务器没有反应基于风险的方法,因此不是正确答案。另外IT经理可能清楚电子商务服务器的问题并可能故意试图将审计员从更脆弱的领域引开。尽管尽管乍一看电子商务服务器可能是风险最高的领域,也必须进行风险评估而不能依赖于审计师或IT经理的判断。审计电子商务服务器又审计ERP应用并没反应基于风险的方法,因此这并不是正确答案。
55.信息系统审计师的决定和行动最有可能对以下哪个风险产生影响? A.固有风险 B.检查风险 C.控制风险 D.业务风险
B 信息系统审计师对审计程序和审计工具的选择将直接影响到审计中的检查风险。固有风险通常不受信息系统审计师的影响。控制风险通常受到公司管理层行动的控制。业务风险同样也不受信息系统审计师的影响。
56.在下面哪一个管理风险的方法中,分担风险是一个关键的因素? A.转移风险 B.容忍风险 C.终止风险 D.降低风险
A 转移风险(比如:购买保险)是一个转移和分担风险的方法。容忍风险意味着风险被接受,但是不能被转移。终止(消除)风险不太涉及分担风险,因此某些风险仍将存在。处理或者控制风险可能涉及分担风险,但它并不是一个关键的因素。
57.在基于风险的审计方法中,IS审计师必须考虑固有风险外,也考虑? A.如何通过应用控制消除风险 B.潜在损失VS 执行控制的成本之间的平衡 C.该风险是否重要,而不管管理者对风险的容忍度 D.残余风险是否剩余是否高于所购买的风险
B 确定潜在损失与执行控制成本之间的平衡是一个有效的缓解风险战略的重要措施,最好的内部控制是执行该控制的收益至少与其成本相匹配。消除风险难以达到,往往不能实现,因此,审计师不应该建议风险被消除,因为这对组织来说可能不划算。风险是否重要不是正确答案,因为管理层的风险容忍度决定了哪个风险是重要的。保险范围并不一定是考虑降低参与风险时的唯一控制。
58.在审计计划时,通过实施风险评估可以提供以下哪项信息? A.对于审计覆盖重要领域提供合理的保证 B.对于审计工作覆盖重要领域提供一定的保证 C.对审计将覆盖全部领域提供合理的保证 D.对审计将覆盖全部领域提供充分保证
A ISACA协会的G15条:有关信息系统审计计划的审计指南中指出:“通过实施风险评估可以为审计工作覆盖足够的重要风险领域提供合理的保证,评估过程应该对具有高风险和存在重要问题的领域进行识别。”选项B:“对于审计工作覆盖重要领域提供一定的保证”陈述不正确。对审计将覆盖全部领域提供合理的保证同样不正确,因为只有重要项目需要进行审计,而不是所有的领域。
59.信息系统审计师正在检查一个测试流程,并得出了没有发现重要错误的审计结论。上述情形表述了哪类风险的存在? A.检查风险 B.审计风险 C.控制风险 D.固有风险
A 这是一种由于使用不正当测试程序而导致不能发现所有的重大缺陷的检查风险。审计风险是审计过程中检查风险、控制风险和固有风险的总称。控制风险是指系统的内部控制及时地防止和发现重要错误的发生和存在。固有风险是指在没有任何补偿控制情况下所存在的缺陷。(一个缺陷如果和其他缺陷结合在一起,可能会形成一个重要的缺陷)。
60.在进行风险分析过程中,信息系统审计师发现了威胁及其潜在的影响。审计师下一步应该: A.对管理层实施的风险评估流程进行评估 B.识别信息资产和与之相关的系统 C.告知管理层所发现的威胁及其影响 D.识别并评估现存的控制
D 对发现的威胁及其影响所存在的安全控制进行识别和评估是审计师重要的一项工作。只有在完成审计项目之后,信息系统审计师才应该与管理层进行讨论和描述资产所面临的威胁及其潜在影响。
61."在测试程序变更控制流程时,信息系统审计师发现,变更数量过少以至于无法对审计结论提供合理的保证。审计师最合适的行动是? A.设计一个另外的测试程序 B.把该缺陷向管理层汇报 C.对整个变更管理流程进行巡视 D.生成另外的程序变更样本"
A 如果样本大小规模不能代表数据的总体,审计师就不能对测试目标得出合理的结论。在这个例子中,信息系统审计师应该设计一个另外的测试程序(需得到管理层的批准)。选项B不正确,因为没有足够的证据来证明该发现是一个缺陷。只有当实施了分析以证实有所需的保证后,才应该开始对流程的巡视。对于审计目标来说,审计是自己生成额外的数据样本是不合适的。
62."信息系统审计师正在评估管理层对信息系统的风险评估工作。审计师应该首先检查: A.已经实施的控制 B.已经实施的控制的有效性 C.对相关风险的监控机制 D.与资产相关的威胁和脆弱性"
D 在评估不同的信息系统相关的风险时,一个主要的因素是需要考虑受影响资产的所有威胁和脆弱性。信息资产的相关风险应该独立于已经实施的控制而被全面评估。类似的,考虑控制措施的有效性是应该在风险转移阶段实施而不是应该在风险评估工作阶段。对资产风险的持续监控机制应该在风险评估后的风险监控阶段中进行。
63."在审计计划中,最重要的步骤是识别? A.高风险领域 B.审计师的所需知识技能 C.审计中的测试步骤 D.审计过程的时间分配"
A 在进行设计计划时,识别高风险领域以决定需要审计的领域是至关重要的。审计师的知识技能应该在决定和选择审计领域前就进行考虑。审计测试步骤没有识别高风险领域来的重要,审计过程的时间分配一般在基于风险识别后的审计领域决定后才进行。
64."信息系统审计师在执行应用控制审查时应当评估: A.满足业务流程的应用效率 B.发现的任何控制缺陷暴露的影响 C.应用支持的业务流程 D.应用的优化"
B 一个应用控制的审查涉及应用的自动化控制的评价和对任何控制缺陷暴露所产生的风险的评估。其他选项可能是一个应用审计项目的目标,但不是以控制审查为目的的审计的一部分。
65."在开发基于风险的审计策略时,信息系统审计人员应当进行风险评估,以确保: A.用于减少风险的控制已经实施 B.脆弱性风险已被实施 C.审计风险已被考虑 D.差距分析是适当的"
B 在开发基于风险的审计策略时,了解相关的脆弱性风险性是至关重要的。这将确定审计的领域和范围。确认降低风险的适当控制措施是否实施是审计项目的有效成果。审计风险是审计过程固有方面,和审计过程直接相关,而与审计对象进行的风险无关,差距分析通常应用于将实际情况和预期的或理想状态进行比较。
66."IS审计师使用数据流程图是用来? A.定义数据层次 B.标明高级别数据定义 C.用图表概述数据路径和存储 D.描绘写数据生成的详细步骤信息"
C 数据流程图用作数据流程和存储的辅助图形或图表。它们从源头一直追踪数据到终点,标明数据的路径和存储。它们不以任何层次结构定义数据。数据流程图也没必要比较层次或数据生成定义。
67."信息系统审计师评估了支付结算系统修改后的测试结果,审计师发现百分之五十的计算结果与预先设定好的结果不匹配。下列哪项是审计师可能实施的下一步审计程序? A.对错误的计算结果设计进一步程序进行测试 B.对可能造成计算结果不准确的变量进行识别和确认 C.检查某些测试样本来确认结果 D.对测试结果进行文档记录,同时准备关于审计发现,结论和建议的报告"
C 信息系统审计师下一步应该检查计算错误的样本并确认结果,在计算结果被确认后,进一步的测试才可以被执行和审阅。有关审计发现,结论和建议的报告必须等所有结果都被确认后才可以着手实施。
68."下述哪一个是在没有充分的计划和准备的情况下从采用传统的审计方法切换到辅助控制自我评估(FCSA,FacilitateD.control self-assessment)研讨组(workshop)的最主要的风险? A.FCSA研讨组不能提供足够的独立性 B.审计工作不能按时完成 C.关键风险问题不能被此流程所识别 D.财务报告不能够被发布到高级管理者手中 "
C 采用控制自我评估(CSA,control self-assessment)框架进行审计工作需要被审计的组织进行大量的准备工作。最后,组织的股东应当接受CSA流程的训练,必须得到高级管理层的同意来开始CSA初始工作。最后,审计师自身必须被训练以帮助CSA研讨组。由于切换到FCSA的时间(题目暗示计划已经结束,现场工作正在开始),审计师和被审计者均没有在方法论方面为该切换转备好。由于没有充分完成准备工作,CSA在被审计者的IT流程中将不会达到它识别基于风险的问题的目的。当被何苦的计划和实施时,FCSA.研讨组可以提供充分级别分独立性。对CSA研讨子改变审计方法将显著影响审计时间轴,并可能导致工作不能按时完成,然而,该风险不如由于不适当的计划所导致的可能的关键问题没识别的风险严重。从风险的角度讲一个迟点的精确的报告比一个及时 的单不准确的报告要强。最终报告有没有被发布给高级管理者不受所选择的审计方法的影响(传统的或CSA)。发布报告给该机管理者的决定权在于被审计者,并不受所提出的审计方法的改变的影响。因此,该选项不正确。
69.."控制自我评估(CSA)或者控制自我保证程序最主要的目标是: A.简化企业的控制监控程序 B.替换某些内部审计职责 C.移除生产管理人员的控制责任 D.将某些控制监控责任转移到职能领域"
D 控制自评估最主要的目的是移交某些控制监控责任给(非设计的)职能部门。涉及内部控制的相关的管理层和职员以及其团队是至关重要的。控制自评估对于企业而言并不一定是简单的控制监控过程,因为它涉及其他的部门去执行自我评估。CSA并不是要替换内部审计的职能,而是加强他们。客户,比如职能经理,都有责任去控制他们的环境。他们要响应并维护控制。CSA并不为控制而移除责任,而是对控制设计和监控责任展开培训。
70."组织控制自我评估(CSA)的主要好处是? A.可以识别高风险领域,以便之后对其进行审计 B.可以使信息系统审计师独立的评估风险 C.可以被用于代替传统的审计 D.可以使管理层不用承担对于控制的职责"
A CSA可以预测预要审计的高风险领域,以便立刻引起关注或在将来的时间内对其进行彻底的审查。选项B.不正确是因为CSA同时需要审计师和管理层的参与。从而使部分内部审计职能从传统的控制监督部门转移到各职能领域。选项C不正确是因为CSA并不能替代传统的审计过程。CSA不能替代审计的职能,只有对其加强。选项D不正确是因为CSA并不允许管理层放弃控制的职责。
71.当评估由某IT组织的CRO(首席风险官)完成的控制自我评估(CSA)时,审计师最应该关注以下哪一个选项: A.CRO直接向CIO(首席信息官)报告 B.某些IT经理指出CSA培训是不能满足要求 C.CRO直接向董事会报告 D.CSA流程最近刚刚被组织采用
A 如果CRO向CIO汇报,就会存在CRO的客观性的风险。理想情况下,CRO应该向董事会或者CEO汇报。尽管涉及CSA(控制自我评价)的每个人都应该接受合适的培训,但更为重要的是负责人员是否完全客观。尽管对组织而言,开发相应的CSA的专业技能需要花费时间,并且刚刚被评准的CSA流程需要更严格的监督,但更重要的是负责人员是否完全客观。审计师将审查评估结果,以确保所有重大风险都被确认。审计师要弄清楚CSA是否依照正确的组织程序(比如:规划、实施和监控)。
72."以下哪个是属于自我控制评估(CSA)方法的特点: A.广泛的雇员参与 B.审计师是关键的分子人员 C.受限的雇员参与 D.策略驱动"
A 控制自我评估方法论强调的是对机构业务流程控制的开发和监控的管理与稽核。CSA的特点是:内部员工参与高度持续的控制提升,而选项BCD都是传统的审计方案。
73."成功的控制自我评估(CSA)是高度依靠: A.把一部分控制监控的责任给在管理层 B.让管理层承担建立控制而不是监控控制的责任 C.执行严格的控制政策和以规则为导向的控制 D.执行监督和监控被指定责任的控制"
A 控制自我评估(CSA)的主要目标把一部分监控控制的责任转移到管理层。成功的控制自我评估项目取决于管理层承担监控控制责任的程度。选项B.C.D是传统审计方法的特性,不是CSA方法的。
74."下面哪项对确保应用控制持续有效是最重要的? A.异常报告 B.管理层参与 C.控制自我评估(CSA) D.同行审查"
C 控制自我评估是通过一个正式的、经过记录的协作流程来审查企业的业务目标和内部控制情况,包括对自动化的应用控制设计的测试。异常报告只关注那些没有实现的事件。管理层参与很重要,但是与控制自我评估相比,不是一致的或定义完善的过程。同时审查缺乏审计专家和管理层的直接参与。
75."IS审计师正在测试一个大型财务系统的员工访问权限。IS审计师从受审方提供的当前员工名单中选择一个样本。下面哪一个证据能够最可靠的支持该项测试? A.系统管理员提供的一个电子表格 B.员工管理人员所签署的HR文档 C.系统生成的包含访问级别的账户列表 D.在系统管理员在场的情况下进行的现场观察"
C 由系统生成的访问列表是最可靠的,因为在和所选择样本比较时,它是最客观的证据。说它客观是因为它是由系统生成而不是由个人所为。对于实质性测试来说,口头陈述本身并不是一个合适的证据。在大多数情况下,应该搜集书面证明来支持被审计单位的口头陈述。管理人员签署的HR文档是很好的证据。然而,这些文档不如系统生成的访问列表客观。观察结果是了解内部控制结构的好的证据。然而,如果用户数量巨大那么观察并不是很有效。对实质性测试而言,观察不够客观。
76.一位IS审计师正在对一家医疗保健机构执行合规性审计,该组织运营的在线系统中含有敏感性医疗保健信息。IS审计师应首先检查以下哪一项? A.在线系统的网络图和防火墙规划 B.IT基础设施和IS部门的组织结构图 C.关于数据隐私的法律法规要求 D.是否遵守组织政策和工作流程
一位IS审计师正在对一家医疗保健机构执行合规性审计,该组织运营的在线系统中含有敏感性医疗保健信息。IS审计师应首先检查以下哪一项? A.在线系统的网络图和防火墙规划 B.IT基础设施和IS部门的组织结构图 C.关于数据隐私的法律法规要求 D.是否遵守组织政策和工作流程
77."对于交易量庞大的零售企业而言,以下哪项审计技术最适合主动解决新出现的风险? A.使用通用审计软件(GAS) B.控制自我评估 C.对交易日志抽样 D.持续性审计"
D 执行持续性审计可以通过自动化报告流程向管理层实施提供信息,让管理层以更快的速度执行纠正措施。使用GAS等软件工具分析交易数据的做法可以提供对趋势和潜在风险的详细分析,但效率不及持续性审计,这是因为在执行软件和分析结果之间可能会有时间差。控制自我评估可帮助流程负责人评估控制环境,并教其学会控制和监控。对交易日志抽样是一种有效的审计技术;但是,可能无法从交易日志中捕捉到可能存在的风险,且分析中可能会有时间滞后。
78.管理层要求IS审计师对可能存在的交易进行审查。IS审计师在评估交易时的首要关注点应为: A.评估交易时保持公正 B.确保IS审计师始终保持独立性 C.确保始终保持证据的完整性 D.收集所有相关的交易证据
C IS审计师已被要求执行调查,寻找可能用于法律目的的证据,因此保持数据的完整性应是最重要的目标,倘若计算机证据处理不当,法庭会认定为不可接受。尽管IS审计师保持公正客观和独立性非常重要,但在这一案例中更为重要的是保护证据。尽管收集所有相关证据也很重要,但更重要的是,维护保证证据完整性的监管链。
79."一位IS审计师正在执行一项系统配置审查。以下那个选项是支持当前系统配置设置的最佳证据: A.由系统管理员导入到电子表格的系统配置值 B. 从系统获取的标准报告(含有配置值) C.由系统管理员提供的系统配置设置的屏幕截图(标注有日期) D.业务负责人对已批准系统配置值的年度审查"
B IS审计师直接从数据来源得到的证据比系统管理员或业务负责人提供的信息更可靠,因此IS 在审计结果中没哟任何既得利益。如果提供的证据不是系统生成的信息,它就可能在交给IS审计师前被修改,因此不像IS审计师自己获取的证据那样可靠。例如,系统管理员可以在屏幕截图之前更改设置或修改图像。业务负责人提供的年度审查也许并不可反映出当前状况。
80."一位IS审计师正在验证一项控制,其中涉及对系统所生成异常报告的审查。以下那个选项是说明控制有效性的最佳证据? A.与审查人员一起对控制实务经行穿行性测试 B.审查期间系统生成的异常报告,审查人员已签字确认 C.审查期间系统生成的异常报告样本,审查人员已注明后续操作项目 D.管理层确认审查期间控制有效"
C 选项C代表了控制运行有效的最佳证据,因为审查人员已经根据对异常报告的审查记录下了要采取的行动。穿行性测试能够说明控制的设计工作原理,但却几乎无法找出过程中的异常或约束条件。如果审查人员未就发现的异常情况注明后续行动,则审查人员签字不一定代表控制有效。管理层对控制有效性的确认可能会因缺乏独立性而受到质疑—管理层会倾向于认为已经设置到位的控制是有效的。
81."以下哪像计算机辅助审计技术(CAAT)能够对应付帐系统中的员工和供应商地址进行最佳比较 A.快照 B.通用审计软件(GAS) C.嵌入式审计数据收集工具 D.交易选择工具 "
B “GAS可用于执行数据合并、数据比较等数据分析工作,从而得出有关应付帐款交易的结论。快照可以用于比较数据,但是比较大量
数据(如员工地址)时可能不够灵活。嵌入式审计数据收集工具和交易选择工具可用于选择交易,而非比较数据和得出结论。”
82."IS审计师正在评估在将来IS审计中所用的数据挖掘和审计软件。什么是IS 审计师在软件工具中寻找的最主要的能力?该软件工具应该: A.与多种企业资源计划(ERP)软件和数据库的接口 B.保存数据完整性 C.将审计引入组织的财务系统以支持连续审计 D.可以配置并支持定制编程以帮助调查分析"
B 尽管上述所有选项都被所评估的审计和数据挖掘数目的软件工具所需要,该工具中最关键的需求是其不能破坏数据完整性或改变正在被审计的系统。
83."IS 审计师正在检查为保存数字证据所采取的流程。以下哪个发现最值得关注? A.在证据检索的时候系统的所有者没有出现 B.调查者将系统断线 C.证据移交时没有文档记录 D.随时访问内存(RAM)的内容没有备份"
C 证据被适当的处理并永远不被物理的或逻辑的修改非常重要,该流程的目标是可在法庭上真实的证明技术调查没有对数据做任何修改。如果调查者没有充分的手工或数字证据辩护方将试图基于证据可能被篡改货修改的事实来避免承认证据。注意对数字证据保存的法律要求在不同的国家之间是不同的,因此需要遵守当地法律。系统的所有者可能在数据检索的时候出现,但这并不是绝对必须的。在一些情况下所有者可能是调查的对象。在绝大多数情况下调查者需要关掉机器的电源以以创建一个硬盘驱动器的法庭镜像,因此这不是一个值得关注的问题。在关闭机器的电源之前,调查者应当对计算机的屏幕进行拍照,识别正在打开的文档以及任何其他的相关信息。重要的是,调查者需要直接关掉机器的电源而不是直接关机操作流程,许多操作系统在关机操作流程中清空临时文件,这可能会破坏有价值的证据。典型的司法调查技术不需要拷贝台式计算机或笔记本电脑的系统状态,因此,这不是正确的答案。
84."审计师要在关键的服务器上分析审计日志,以检查潜在的用户或者系统的异常行为。为执行这个任务,下面哪一个是最恰当的? A.计算机辅助软件工程(CASE)工具 B.嵌入式数据收集工具 C.趋势/差异扫描工具 D.启发式扫描工具"
C 趋势/差异扫描工具是用于查找用户或者系统的异常情况,比如发票号码不断增大的发票。CASE工具是用于协助软件开发的。嵌入式数据收集软件,比如SCARF(系统控制审计复核文件)或者SARF(系统审计复核文件),用于提供抽样和生产数据统计,但是并不用于审计日志的分析。启发式扫描工具是一种病毒扫描技术,用于发现可能的被感染的代码。
85."下面哪一个选项最能有效地确定在业务应用系统中重叠的关键控制? A.审计附加到复杂业务流程的系统功能 B.通过ITF(集成测试设施)提交测试交易 C.用自动化审计解决方案替换手工监测 D.对控制进行测试以验证测试是否有效"
C 作为尽力实现连续审计管理(CAM)的过程中,很多情况下都会引进一个自动化监控和审计解决方案。所有的关键控制都必须要明确才能完成系统性实施;因此,分析人员有可能会在系统中遇到不必要的或者有重叠的关键控制。通常,高度复杂的业务流程要比低复杂度的业务流程有更多的关键控制,然而,在一个复杂的系统中,并不总是会找到不必要的控制。如果一开始就建立了成熟的关键控制架构,就不会出现控制方面的重叠和问题。ITF集成测试设施是一个审计技术,用于在一个应用系统中测试流程的准确性。它可能可以发现应用系统中的控制缺陷,但是它很难发现关键控制的重叠。通过控制进行测试来验证它们是否有效,审计师能发现是否存在重叠控制。然而,实施自动化的审计解决方案将更有助于确定重叠控制。
86."在信息系统审计时,对于需要收集的数据的程序是基于以下哪项而决定的? A.重要信息及需求信息的可用性 B.审计师对环境的熟悉程度 C.被审计机构找到相关证据的能力 D.审计项目的目的和范围"
D 在信息系统审计时,对于需要收集的数据的程序是与审计项目的目的和范围直接相关的。一项目标和范围较窄的审计项目比起目标和范围较广的审计项目,通常需要收集相对较少的数据。审计范围一般不会受到信息获取的难易程度和审计师对环境的熟悉程度的限制。收集所需的证据是信息系统审计的必要步骤,审计范围同样不应受到审计机构查找相关证据的能力的限制。
87."信息系统审计师从客户数据库中获得了数据。下一步可以通过以下哪项来确认所导出的数据是完整的? A.把导出数据的控制总数与原始数据的控制总数相比对 B.把数据排序以验证是否与原始数据的顺序相一致 C.检查原始数据的前100条打印输出的记录和导出数据的前100条记录 D.按不同目录对数据进行过滤,并与原始数据比对"
A 由于把导出数据的控制总数与原始数据的控制总数相比对可以验证导出数据的完整性,因此这应该是下一个适当的步骤。把导出数据进行排序是不能验证完整性的,因为原始数据可能不是已排序的顺序存放的。另外,排序也无法提供验证完整性所需的控制总数。检查原始数据的前100条打印输出的记录和导出数据的前100条记录只是物理验证和确认了这100条记录的准确性。按不同目录对数据进行过滤,并与原始数据相比对此方法仍需要生成控制总数来验证数据的完整性。
88."人力资源的副总要求审计师对去年工资单中的超额支付问题进行审查。以下哪项是适用于此情形下的最好的审计技术? A.测试数据 B.通用审计软件 C.整合性测试设施(ITF) D.嵌入式审计模块"
B 通用审计软件的特点包括:算数量化计算、分层、统计分析、序列检查、重复性检查和验算。通过使用通用审计软件,审计师可以设计合适的测试方法来验算工资单,从而判断出是否存在超额支付的问题以及对哪些人进行了超额支付。测试数据可以对防止超额支付的控制的存在性进行测试,但通常不会发现以前的具体的错误计算。集成测试法和嵌入式审计模块也无法发现过去时间段中存在的错误。
89."对信息系统审计师来说,以下哪项通常是最为可靠的证据? A.从第三方收到的确认信函来验证账户的余额 B.从职能经理那里得到应用系统设计的运行保证 C.从互联网上得到的趋势数据 D.审计师依据经理提供的报表所进行的比率分析"
A 从独立的第三方获得的证据被认为是最可靠的。所以BCD相对而言没有选项A的证据可靠。同时BD相对于来源于组织内部。直线经理(Line Manager,也称“职能经理”)是指财务、生产、销售运营等职能部门的经理,是企业管理的中间力量,上对企业的战略负责,下对员工的发展负责,不仅要与同级的部门合作,而且要整合和协调内部、外部的资源,其重要性非同一般,肩负着完成本部门目标和对部门进行管理的职责。因此直线经理是企业管理任务中最为繁重的一个群体。
90."持续审计方法的一个主要优势是: A.不需要信息系统审计师对系统的可靠性收集数据 B.需要信息系统审计师对所有收集的信息立刻进行审查和采取跟进措施 C.当在时间共享环境中处理大量交易时,可以提高系统的安全性 D.不依赖组织计算机系统的复杂性"
C 当在时间共享环境中处理大量交易时使用持续审计技术的使用可以提高系统的安全性,但缺乏足够的文档记录。选项A不正确是因为持续审计技术需要审计师对系统的可靠性收集证据选项B不正确是因为信息系统审计师只有当发现重要的缺陷或错误后才需要进行审查和采取后续行动,选项D不正确是因为使用持续审计技术依赖于组织计算机系统的复杂性。
91."确保系统税金计算准确性的最好方法是: A.详细的可视化审阅以及分析计算程序的源代码 B.使用通用审计软件来重新生成程序逻辑以计算每月加总数 C.比较模拟交易产生的结果和预先设定的结果 D.绘制自动流程图以及分析计算程序的源代码"
C 将模拟交易产生的结果和预先设定的结果进行比对是提供系统计算税金准确性的最好的方法。详细的可视化审阅、绘制自动流程图以及分析计算程序的源代码并不是有效的方法,每月加总也不是提供个人税金计算准确性的好方法。
92.在对存货应用系统的审计过程中,以下哪个方法能为判断采购订单的有效性提供最有利的证据? A.测试是否存在不恰当的员工可以更改应用参数的情况 B.跟踪采购订单至计算机列表 C.将验收报告与详细采购订单相比 D.审查应用系统的文档
A 为了确定采购订单的有效性,对访问控制进行测试将能提供最好的证据、选项B和C.是基于既成事实基础上的方法,而选项D同样不能实现该审计目标,因为通常情况下系统文档与现实运行中的系统不总是一致的。
93."以下哪种审计技术在早期检测错误或违规时是最有效的? A.内嵌的审计模块 B.集成的测试工具 C.截屏 D.审计钩"
D 审机钩技术包括了为了检查特定的交易内嵌在应用程序中的代码,以帮助审计员在错误或违规失控之前采取行动。内嵌的审计模块包括内嵌特别制作的软件在组织的主机应用系统中,能够有选择性的监控应用系统。集成的测试工具在测试数据不现实的情况下使用,而截屏被应用于需要审计痕迹的场合。
94.对于信息系统部门的职责分离情况,以下哪项审计技术提供了最好的证据? A.与管理层进行讨论 B.审查组织章程 C.观察和面谈 D.测试用户访问权限
C 通过观察信息科技人员的任务,审计师可以发现他们是否在执行不合理的工作。通过与信息科技人员面谈,审计师可以对他们所执行的工作有全面的了解。因此基于观察和面谈,审计师可以评估职责分离的情况。管理层不会了解每个雇员在信息科技部门的具体详细职责,所以,与管理层讨论只能对职责分离情况提供有限的信息。职责章程一般不会提供雇员的详细职责情况。对用户权限的测试只能提供雇员拥有的对信息系统的权限信息,并不能对他们所承担的职责提供完整的信息。
95."当进行程序变更测试时,以下哪一项是最好的进行抽样的总体列表? A.测试库清单 B.源程序清单 C.程序变更申请 D.生产库清单"
D 对信息系统进行抽样或测试的最好的来源是自动化的系统。生产库表示经过了批准的执行程序来处理组织的数据。源程序列表是时间敏感性的。程序变更申请是被用于发起变更的文档,因此无法保证全部的变更申请已经完成。测试库清单无法表示那些执行程序是经过审批和授权的。
96."整合性测试(ITF)被认为是一种有效的审计工具,这是因为? A.在应用控制审计中是一种成本有效的方法 B.使用财务和信息系统审计师集成他们的审计测试 C.将处理输出结果和独立计算出的数据相比对 D.向信息系统审计师提供了一种分析大量信息的工具"
C 整合性测试之所以被认为是一种有效的审计工具是因为它可以使用相同的程序来比较处理输出结果和独立计算出的数据。这包含了在应用系统中建立虚拟实体,并依靠该实体来处理测试数据和生产数据以验证处理的准确性。
97."以下哪种形式的证据对审计师来讲最具可靠性? A.被审计人员的口头陈述 B.由外部IS审计师执行的测试结果 C.内部生成的计算机财务报告 D.从外部资源发来的确认函"
B 由IS审计师独立完成的测试一直被认为是比来自第三方的确认函较高可靠性的证据来源。因为函件并不符合审计标准且是主观的。作为IS审计师的风险定义的审计应包括检查、观察和询问的组合。这提供了一种标准的方法和合理的保证,因此控制和测试结果要求正确无误。选项A和C也是审计证据,但不如选项B可靠。
98."信息系统审计师对网络操作系统进行审计,下列哪项用户特征是信息系统审计师应该审阅的? A.在线网络文件的可获得性 B.支持访问远程主机的终端 C.在主机和用户之间处理文件的传输 D.实施管理、审计和控制"
A 网络操作系统的用户特征包括在线网络文件的可获得性,其他特征包括用户访问网络主机中的不同资源,访问特定资源的用户授权,在无需特定用户操作或命令的情况下使用的网络和主机。选项B.C和D只是网络操作功能的例子。
99."下列哪个是整合性测试(ITF)的优点? A.ITF使用实际主文件或者替代文件,从而可以使信息系统审计师不用审阅交易的来源 B.周期性的测试不需要独立的测试过程 C.ITF可以验证应用系统的有效性并且对运行中的操作系统进行测试 D.ITF省去了准备测试数据的麻烦"
B 整体测试法(ITF)通过在数据库中创建一个虚拟的实体,并通过数据的实时录入用来处理交易测试。它的优势在于周期性的测试不需要独立的测试过程。然后,仔细的计划也是必要的,而且测试数据必须与产生的数据相隔离。
100."IS审计师准备审计报告时需要确认对审计结果的支持来源于? A.IS管理层的声明 B.其它审计员的工作报告 C.组织的控制自我评估 D.充分、合适的审计证据"
D ISACA关于审计报告的标准要求IS审计师有充分合适的审计证据支持报告的结论。IS管理层的声明提供取得就某些不能由经验证据证明的事情的统一意见的基础。报告应该基于在审评中收集到的证据,即便是审计员可以得到其它审计员的工作报告。组织控制自我评估可以附加到审计结果中去。选项A.B.C可能在审计时作为参考,但是其本身不能作为发布报告的充分基础。
101."在评审敏感电子报告时,IS审计师注意到没有加密。以上可能违背: A.关于工作报告版本的审计跟踪 B.审计阶段的批准 C.工作报告的访问权限 D.工作报告的保密性"
D 对电子工作报告加密提供保密性。审计跟踪,审计阶段的批准和工作工作报告的访问控制他们本身都不能影响保密性但却是加密需求的部分原因是。
102."执行计算机犯罪证据调查时,对于数据收集,IS审计师应该最关心的证据是: A.分析 B.评估 C.保存 D.公开"
C 根据法律实施和司法授权保存和存档审评证据时最重要的事情,如果不能正确的保存证据可能会影响到法律诉讼时对证据的采纳。分析、评估和公开证据都很重要但是不是证据调查时的首要事情。
103."IS审计师应该使用以下哪一项来检测在发票主要文件里的重复发票记录? A.属性取样 B.通用审计工具 C.测试数据 D.集成测试工具"
B 通用审计软件使审计员能够评审完整的发票文件夹来发现那些满足选定标准的条目。属性取样在确定满足特定条件的记录会有所帮助,但是它不能比较不同记录以发现重复条目。为了检查重复的发票记录IS审计师应该检查所有符合标准的而不仅是取样的条目。测试数据被用来验证数据程序处理流程,但是不能发现重复记录。
104."在收集司法证据时,以下哪个行动最有可能导致破坏或损失在被入侵的系统里发现的证据? A.转储内存到文件里 B.创建被入侵系统的磁盘镜像 C.重启系统 D.从网络里移除系统"
C 重启系统可能会导致系统状态的改变以及丢失文件和重要的存储在内存中的证据。其他的都是适当保存证据的行动。
105."IT司法审计的主要目的是? A.参加与企业相关的调查 B.系统的收集在系统故障后的数据 C.评估组织财务申明是准确性 D.判断是否有犯罪行为"
B 选项B描述的是司法审计。收集的证据就能被用于诉讼程序。司法审计不局限于企业欺诈。评估组织财务申明的准确性不是司法审计的目的。推断是否是犯罪行为不是法律程序的一部分也不是司法审计的目标。
106."当使用一个ITF时,审计员应确保; A.生产数据用于测试 B.测试数据隔离与生产数据 C.使用一个测试数据生成器 D.主文件根据测试数据更新"
B 一个ITF在数据库中创建一个编造的文件,允许测试事物与真实数据同时进入系统中运行。虽然这可以确保定期测试不需要一个分离的测试过程,但是需要从生产数据中隔离测试数据。审计师不需要使用生产数据或者一个测试数据生成器。生产主文件不应该随着测试数据更新。
