1.Information Security Auditing Process(21%) Flashcards
1.一个IS审计师被分配去执行一项测试:比较计算机作业运行日志与作业计划表。下面哪一条是IS审计师最需要关注的? A.有越来越多的紧急变更 B.存在某些作业没有按时完成的情况 C.存在某些作业被计算机使用者否决的情况 D.证据显示仅仅运行了预先计划的作业
C 被计算机使用者否决掉的计算机处理工作可能会导致未经审批的、针对数据或程序的变更,这是一个控制上的考虑,因此,通常非常关键。其他的选项都是非关键的,因此诸如处理延迟、错误甚至于紧急变更都是可以接受的,只要这些行为被正确的记录。
2.在审核一个财务系统的时候,IS审计师怀疑发生了一个事故(攻击)。审计师首先应该做什么? A.要求关闭系统以保留证据 B.向管理者报告事故 C.要求立即暂停可疑的账户 D.立即调查事故的来源和性质
B 向管理层报告可疑事故将有助于启动事件响应过程,这是最合适的行为。管理层有责任作出决策以采取合适的响应。在审计过程中,审计师不应对事件做出响应。其他的选项在事件响应中应由管理层指导所采取的行动。
3.一家金融服务公司拥有一个独立代理用来管理客户账户的网站。在检查系统的逻辑访问时,IS审计师注意到,一些用户ID似乎被多个代理用户共享。此时,IS审计师最适合采取以下哪项行动: A.通知审计委员会存在潜在问题 B.要求详细审查相关ID的审计日志 C.记录结果并对使用共享ID的风险作出解释 D.联系安全经理,要求从系统中删除这些ID
C IS审计师的职责是:检测并记录审计结果以及控制缺陷问题。审计报告的作用则是,届时结果背后的论据,不建议使用共享ID,因此此做法无法明确交易问责性。IS审计师并没有因使用共享ID而侵害隐私的证据。因此,在向管理层提交审计结果并要求恢复之前,IS审计事项审计委员会报告结果的举动是不恰当的。由于共享ID无法明确交易问责性,所以监察审计日志也没有用。要求从系统中删除ID也不是IS审计师的工作。
4.一个IS审计师被请求去为一个基于Web的关键订单系统做完全监控检查,且此时距该订单系统预定的正式上线日期只有很短的时间,该审计师进行了一项渗透测试,产生了不确定的结果,而在授权给审计的完成时间内无法进行另外的测试。下述哪个是该审计师最好的选择? A.基于可用的信息公布一个报告,突出强调潜在的安全弱点以及对后续审计测试的需求。 B.公布一个报告,忽略来自测试的证据不足的领域。 C.请求推迟正式上线时间直到完成附加的安全测试并获得正式测试的证据。 D.通知管理层审计工作不能在规定的时间窗内完成,并建议审计推迟。
A 如果IS审计师在授权时间窗内不能获得关键系统充分的确认,该事实应该在审计报告中突出强调,并且今后某个时间的后续测试应该被预定。此时管理层可以决定识别的潜在弱点中是否有任何一个重要到需要推迟系统正式上线时间的程度。审计师由于在授权的审计时间窗内无法获得充分的证据而忽略具有潜在弱点的领域是不可接受的。如果这些领域在审计报告中北忽略,这将违背IS ACA审计标准。为审计扩展审计时间窗和推迟正式上线时间在该场景下不大可能被接受,因为涉及的系统是关键交易系统。在任何情况下,推迟正式上线时间都必须是企业管理者的决定,而不是IS审计师的决定。在该场景中,IS 审计师应该在授权时间前向管理者展示所有可用信息。审计聘约阶段没有获得充分的证据并不意味着需要取消或者推迟审计,这将违背审计准则中关于尽职审查和专业职责条款。
5.管理层让一个初级IS审计师用他最佳的判断力来准备并发布一个最终报告,因为没有可用的其他高级IS审计师来检查其工作报告。这种情况最主要的风险是? A.由于审计没有按照标准执行而造成声誉损失 B.审计报告不能识别和分类关键风险 C.客户管理者会质疑其结果 D.审计报告可能不会被审计经理所批准
A ISACA审计标准S6(审计工作执行),子标准03(监督)规定“IS审计职员应当被监督以提供实现审计目标和满足专业审计标准的保证”。如果一个审计师在没有检查或监督的情况下完成整个审计,包括审计报告,这就没有满足监督的标准。违反审计标准会造成审计组织损失可信性,并面临法律责任风险以及失去其资格与执照的风险。如果审计师的工作没有被检查,其报告可能不能够成功识别和分类关键风险,这些风险可能会被一个更有经验的审计师通过检查发现,然而,这种风险与声誉、可信性、资格/执照损失相比是次要的。如果该高级审计师错误的分类一些风险,客户经理可能会质疑其审计结果里管理层认为不重要的风险。然而,该风险与没有遵守标准相比而言是次要的。审计经理经过检查,可能会发现在提交给管理层之前需要对报告进行修改。由于这是一个有正当理由的风险,因此在该场景中不是主要风险。
6."管理层让一个初级IS审计师用他最佳的判断力来准备并发布一个最终报告,因为没有可用的其他高级IS审计师来检查其工作报告。这种情况最主要的风险是? A.由于审计没有按照标准执行而造成声誉损失 B.审计报告不能识别和分类关键风险 C.客户管理者会质疑其结果 D.审计报告可能不会被审计经理所批准"
A ISACA审计标准S6(审计工作执行),子标准03(监督)规定“IS审计职员应当被监督以提供实现审计目标和满足专业审计标准的保证”。如果一个审计师在没有检查或监督的情况下完成整个审计,包括审计报告,这就没有满足监督的标准。违反审计标准会造成审计组织损失可信性,并面临法律责任风险以及失去其资格与执照的风险。如果审计师的工作没有被检查,其报告可能不能够成功识别和分类关键风险,这些风险可能会被一个更有经验的审计师通过检查发现,然而,这种风险与声誉、可信性、资格/执照损失相比是次要的。如果该高级审计师错误的分类一些风险,客户经理可能会质疑其审计结果里管理层认为不重要的风险。然而,该风险与没有遵守标准相比而言是次要的。审计经理经过检查,可能会发现在提交给管理层之前需要对报告进行修改。由于这是一个有正当理由的风险,因此在该场景中不是主要风险。
7."在审计风险管理程序中,下面那一项职责最有可能损害审计师的独立性? A.参加风险管理框架的设计 B.为不同的实施方法提供建议 C.协助风险意识的培训 D.对风险管理程序进行尽职调查"
A 参加设计风险管理框架将涉及控制设计,这将损害审计师审计风险管理程序的独立性。为不同的实施方法提供建议并不损害审计师的独立性,因为审计师并不参与决策过程。协助风险意识的培训不会损害审计师的独立性因为审计师不参与决策过程。尽职调查(due diligence,又做“谨慎性、合理尽责”之类的解释)是一种审计类型。
8."某企业正在制定一个策略,以更新数据库软件版本。审计师可以执行下面哪一个任务而又不会危害IS审计的客观性? A.建议对新数据库软件采用哪些应用程序控制 B.为项目团队将来所需的许可证费用提供评估 C.在项目规划会议上就如何改善迁移效率提供建议 D.在执行验收之前,审核验收测试用例文档"
D 上面的选项中,只有仅仅审核测试用例会提高客观性。如果审计师建议采用一个具体的应用程序控制,可能会损害其独立性。如果审计师对将来需经管理层批准的项目费用估算进行审计,也可能损害其独立性。就如何提高迁移效率向项目经理提供建议也会损害其独立性。
9.”在审计一个会计应用系统的内部数据完整性控制时,IS审计师发现支持该会计系统的变更管理软件中存在重大不足。审计师应采取的最合适的行为是:
A.继续测试会计应用系统控制,口头通知IT经理有关变更管理软件中的控制缺陷以及就可能的解决方案提供咨询。
B.完成应用程序控制的审核,但是并不报告变更管理软件中的控制缺陷,因为它不属于审核范围。
C.继续完成会计应用系统的测试,并且在最终的报告中加入变更软件中的控制缺陷。
D.停止所有的审计活动,一直到变更控制软件中的控制缺陷被解决为止。”
C 报告所发现的、可能会对有效控制造成中的影响的资料是审计师的责任,不管这些(内容)是否在审计范围内。审计师并不假定IT经理会跟进解决变更管理控制缺陷,并且在审计过程中就发现的问题提供咨询服务是不恰当的。虽然技术上不属于审计范围之内,审计师有责任汇报在审计期间发现可能对控制的有效性造成重大影响的发现。要求在执行或者完成一个审计之前,完成IT工作不是审计师的责任。
10.”公司内部审计部门为了达到持续审计的目的,开发并维护了ACL脚本,为了保持连续监控目的,这些脚本被提供给IT管理部门,这种情况导致潜在的与审计师独立性和客观性相关的冲突,下述哪一种行为可以最好的解决该问题?
A.内部审计小组应该停止共享这些脚本,IT管理部门必须开发他自己的脚本。
B.由于持续监控和持续审计是相似的功能,IT管理部门应该将持续监控的任务指派给内部审计部门。
C.IT管理部门应该继续用这些脚本并进行持续监控,并理解他需要对测试和维护脚本负责。
D.内部审计小组应该检查这些脚本所被应用的领域,并减少审计的范围和频率。”
C IT管理部门承担着测试和维护它所用脚本的责任,这些脚本与内部审计部门所用的不同,并且IT管理部门可以自由修改这些脚本。一旦脚本被看成是不同的,内部审计小组违背客观性和独立性风险就大大降低了。如果内部审计小组停止共享这些脚本,IT员工必须从零开始创建脚本或者不得不雇用专业人员来完成该工作,因此并不是一个合理的解决方案。持续监控是IT管理部门的责任之一,不能移交给内部审计小组。持续审计是审计小组的功能,并不能代替持续监控。另外,内部审计小组不能假设他们的脚本被IT管理部门正确的使用,也不能假设他们的脚本没有修改从而可能产生错误的结果。
11."在对IT流程的安全审计过程中,信息系统审计师发现没有关于安全程序的文档。该审计师应该: A.生成该程序的文档 B.中止审计 C.进行符合性测试 D.识别并评估目前状况下的组织活动"
D 审计的一个主要目标是要识别潜在的风险,因此,最主动的方式是识别并评估目前状况下组织的安全活动。信息系统审计师不应该生成和准备这些文档,因为这会损害审计师的独立性。中止审计便无法实现识别潜在风险这一基本审计目标。因为连正式成文的程序文档都不存在,因此实施符合性测试是没有依据的。
12.信息系统审计师在对软件使用及许可方面进行审计时发现,大量的PC设备中含有非授权的软件。信息系统审计师随即应该采取以下哪个行动?
A.删除非授权软件的所有拷贝
B.通知被审计机构有关非授权软件的情况,并进行跟踪确保软件的删除
C.向被审计机构管理层报告使用非授权软件的情况,以及告知管理层有必要防止该情况的再次发生
D.警告终端用户有关使用非法软件的风险
C 组织应该禁止使用非授权或非法软件。软件盗版会产生内在的风险并导致严重的后果。信息系统审计师必须告知用户和管理层相关的风险和消除风险的必要性。信息系统审计师不必承担强迫管理层的角色,也不涉及删除非授权软件的相关责任。
13."审计章程应该是: A.动态且经常变更,与技术和审计专业的变化本质保持同步和一致 B.清晰地说明审计目标、审计的委托关系,以及维护和审查内部控制中的授权职责 C.为了取得计划的审计目标而制定的审计程序的文件 D.对审计工作的整体授权、范围、职责的描述"
D 审计章程应该说明管理层对于信息系统审计的委托授权及目标定位情况。审计章程应该获得最高管理层的审批,切不应该不停地改变。审计章程不应该过于细致,通常通常不包含详细具体的审计目标或审计程序。
14.在对一个大型组织的身份管理系统(IDM)中的供应流程进行审计时,信息系统审计师很快发现有少数通过正常预定义的工作流程的访问情况没有得到管理者的授权。信息系统审计师应该? A.实施进一步的分析 B.向审计委员会报告该问题 C.实施风险评估 D.建议IDM系统的所有者解决这个工作流成中的问题
A 信息系统审计师需要进行大量的测试和进一步的分析来确定授权和工作流程没有按预定方式运作是原因。在做出任何建议前,审计师应该很好的理解掌握问题的范围和问题的原因。信息系统审计师应该确认问题是由管理人员没有按预定流程执行所引起的,还是自动化系统本身的工作流程而引起的,还是两种因素都存在。其它选项不正确,是因为审计师没有充分的信息进行下一步的汇报、风险评估和提出解决该问题的建议。
15."信息系统审计师被指派对一个应用系统进行实施后的审计。以下哪种情形可能影响信息系统审计师独立性? A.在应用系统的开发阶段执行特定的需求功能。 B.为了审计该应用系统而设计一个嵌入式的审计模块。 C.作为应用系统项目团队的一员,但不承担运行职能。 D.根据应用系统的最佳实践提供咨询和建议。" A
A 信息系统审计师参与到系统的开发、获取和实施活动中,独立性就可能受损。选项BC不会损害审计师的独立性。选项D.不正确,因为以最佳实践提供咨询建议是不会损害审计师的独立性的。
16."将实质性发现包括在审计报告里是最终决定应该由谁来做? A.审计委员会 B.被审计单位的经理 C.IS审计师 D.组织的CEO"
C IS审计师应该做出关于在审计报告里包括和不包括什么的最终决定。其它选项都会限制审计员的审计独立性。
17."IS审计师获取充分和合适的审计证据的最重要的原因是: A.遵从法规的要求 B.提供推导出合理结论的基础 C.确认完整的审计内容 D.根据定义的范围执行审计"
B IS审计的范围由目标来定义。它包括确定与审计范围相关的控制不足。获取充分和合适的证据有助于审计员确定、记录并控制不足之处。遵从法规要求、确认审计内容和执行审计都与审计有关但不是需要充分和相关证据的原因。
18."初步调查之后,审计员发现有理由相信欺骗的存在。IS 审计员应该: A.展开行动确定调查是否合理 B.将事情报告至审计委员会 C.将欺骗可能性报告给高层,高层管理询问是否继续 D.咨询外部法律顾问以决定采取什么及如何行动"
A IS审计师在检测欺骗方面的责任包括评估欺骗迹象并决定是否有必要采取额外的行动或应该建议调查。IS审计师只有当确定欺骗证据确凿而建议调查时才会通知组织内适当的权威。通常,IS审计师在审计中没有权利咨询外部法律顾问。
19."一个公司的IS审计章程应该指明: A.IS审计约定书的短期和长期计划 B.IS审计约定书的培训目标和范围 C.IS审计师的具体培训计划 D.IS审计功能的角色"
D 审计章程建立了信息系统审计功能的角色。章程应该描述审计功能的整体授权、范围和责任。应该由最高管理层批准,如果可行的话,也由审计委员会批准。短期和长期计划是审计管理层的责任。每个IS审计的目标和范围应在约定书中表达一致。一个基于审计计划的短期培训计划应由审计管理层制定。
20."审计员在审计时检测到有计算机病毒存在,下一步审计员该如何做? A.观察相应机制 B.从网络里清除病毒 C.立即通知相关人员 D.确保删除病毒"
C IS 审计员在检测到计算机病毒后要做的第一件事就是提醒组织病毒的存在,然后看他们的响应。A选项应该是在C选项发生之后。这样能使IS审计师去检查实际的响应机制可实用性和有效性。IS 审计员不应该对被审计的系统做更改;确保病毒被删除属于管理责任。
21.IS 审计员在会谈工资结算员时发现他的回答跟工作描述和文档里的流程不符合,在这种情况下,IS审计师应该: A. 推断控制是不充分的 B.增加实质性测试的范围 C.更依赖以前的审计结果 D.暂停目前的计划
B 如果员工回答IS审计师的问题不能跟文档记录的流程或职位描述一致,IS审计师应该增加控制测试的范围并包含附加的实质性测试。没有证据显示无论充分与否控制总存在。更加依赖于之前的审计结果或暂停审计都是不合适的行动,因为她不能提供关于已有控制的充分性的目前状况。
22."IS审计师在发布的审计报告中指出边界网络网关没有防火墙保护机制,并建议使用某供应商的产品来应对这个脆弱性。这里审计师的错误表现在? A.职业独立性 B.组织独立性 C.技术能力 D.职业技能"
A 当IS审计师推荐某一供应商时,他违背了职业独立性。组织独立性跟审计内容是不相关的,且应该在接受审计任命时考虑。技术与职业能力跟独立性要求也不相关。
23.IS审计师参与了组织业务连续性计划的制定,而又被指派去审计这个计划。IS审计师应该? A.拒绝这个审计任务的指派。 B.提醒管理层关于自己完成审计任务后利益冲突的可能。 C.提醒业务连续性计划组关于自己在开始审计任务前可能的利益冲突。 D.在开始审计任务之前与管理层沟通关于利益冲突的可能性。
D 开始审计任务之前与管理层沟通关于利益冲突的可能性是正确的选择。可能的利益冲突,非常会影响审计员的独立性,应该在开始审计任务之前引起管理层的注意。拒绝审计任务是不正确的选项因为分配的任务在获得管理层的同意后是可以接受的。在完成审计任务之后提醒管理层可能的利益冲突是不正确的因为应该先获得许可而不是之后。在开始审计任务之前提醒业务连续性计划小组关于可能的利益冲突也是不正确的,因为业务连续性小组没有授权此事的权限。
24."IS审计师在执行对远程管理的服务器备份的审计。IS审计师评审了一天内的日志发现一个案例:登录服务器失败,结果备份任务是否重启不能确定。审计员应该? A.发布审计发现 B.从IS管理层那里寻求解释 C.评审服务器数据的分析 D.增加日志评审的取样范围"
D 审计标准要求IS审计师收集足够和适当的审计证据。审计员已经发现潜在的问题现在需要判断这是一个特殊意义外还是系统控制的失败。在这个阶段发布审计发现或寻求管理层解释还为时过早,但是比较好的做法是收集额外的证据来评估事态的严重性。备份失败,这里还没有确定,如果包含关键数据就是非常严重的。然而,问题不是被检测到问题的服务器上数据的重要性,而是是否有系统控制的失误存在而影响到其它服务器。
25.一位IS审计师正在执行合规性测试,以确定控制是否支持管理政策和流程。测试在以下哪个方面对IS审计师有所帮助: A.获得对控制目标的了解 B.保证运行中的控制与设计要求一致 C.确定数据控制的完整性 D.确定财务报告控制的合理性
B 合规性测试可用于监测已定义流程的存在性和有效性。了解合规性测试的目标非常重要。IS审计师希望其所依赖的控制之有效性具有合理的保障。了解控制目标是很关键,但这并非执行合规性测试的原因。实质性测试(而非合规性测试)于数据完整性和财务报告相关。
26."在对一个流程处理中的预防控制、发现控制和纠正控制的整体效果进行评估时,信息系统审计师应该认识到以下哪项? A.控制应该在系统中数据流的各个点上建立 B.只有预防性控制和发现性控制是相关的 C.纠正性控制只能被视为是补偿性的 D.信息系统审计师可以使用分类方法来决定哪些控制是缺少的"
A 信息系统审计师应该关注控制在系统中数据流的各个点上建立的情况。选项B不正确是因为纠正性控制也是相关的。选项C不正确是因为纠正性控制可以消除或降低错误的影响,因此不应把他仅仅视为是补偿性控制。选项D不正确是因为控制的扩展性和功能性是重要的,而不是控制的分类。
27.如果IS审计师与部门经理对审计结果存在争议,争议期间审计师应首先采取以下哪项行动 A.对控制进行重新测试,以验证审计结果 B.邀请第三方对审计结果进行验证 C.将审计结果记入报告,同时注明部门经理的意见 D.对支持审计结果的证据进行重新验证
D IS审计师得出的结论应有充分的证据支持,同时也要考虑部门经理提出的补偿性控制或纠正措施。因此,首先要做的应该是对审计结果的证据进行重新验证。对控制进行重新测试通常排在重新验证证据之后。尽管有时也需要第三方执行特定的审计程序,但IS审计师还是应该首先验证支持证据,已确定是否需要第三方的参与。再重新验证和重新测试之后,如果仍有争议,应将这些问题纳入报告。
28.在对外包运营网络运营中心(NOC)审查期间,IS审计师得出结论,通过外包代理监控远程网络管理活动的工作流程是不恰当的。管理层讨论期间,首席信息官(CIO)对此问题进行了更正,证实其作为按照客服工作流程处理的客户服务活动的合理性,并提出以激活入侵监测系统(IDS)日志并监控防火墙规则。IS审计师应采取的最佳行动步骤是什么? A.根据CIO的反馈修改审计报告中的审计结果 B.因为已经激活IDS日志,所以撤销审计结果 C.因为已经监控防火墙规则,所以撤销审计结果 D.在审计报告中记录已确定的审计结果
D IS审计师的独立性要求,应对受审方提供的额外信息进行考察。通常情况下,IS审计师不会自发撤销或修改审计结果。
29.以下哪一项最适当的描述了IS审计师和被审计单位就审计发现进行讨论的目的? A.把审计结果告知高层管理人员 B.为所提的建议制定出实施时间表 C.确认审计发现,并制定纠正措施的实施计划 D.为识别的风险确定补偿控制
C 在把审计结果传达给最高管理层之前,IS审计师要和被审计单位讨论审计发现。讨论的目的是为了确认审计发现的准确性,并制定一个纠正措施的实施计划。基于这个讨论,审计师最终完成审计报告并提交给相应级别的高级管理层。在和高级管理层人员和被审计单位的讨论的基础上,审计师可同意针对所提建议制定一个实施计划和时间表。在报告起草阶段,很少与受审方讨论来确定补偿性控制。
30.在识别出一个应当报告的发现之后,被审计机构立即采取了纠正措施。审计师应当: A.这一发现应当记录在最终报告中,因为审计师负责对所有调查结果的准确报告。 B.不在最终报告中记录,因为审计报告只包括尚未纠正的发现。 C.不在最终报告中记录,因为在审计过程中,审计师可以验证纠正措施。 D.在离场会议上,将发现的情况仅作讨论目的。
A 在最终报告中记录审计发现是一个普遍接受的审计实践。如果一项审计措施在审计开始之后,在审计结束之前实施,审计报告应当确认和描述所采取的措施。审计报告应该记录这些情况,因为其存在于审计过程中。被审计单位所采取的所有纠正措施都应当予以记录。
31.”在审查一个分布式多用户应用系统时,信息系统审计师发现了三方面的一些小缺陷:参数的初始设置配置不正确,使用了弱密码,一些重要的报告没有给恰当的检查。在准备审计报告时,信息系统审计师将:
A.分别记录各个审计发现,以及针对每种审计发现所产生的影响。
B.向管理者建议可能存在的风险,但不记录相关的审计发现,因为这些控制缺陷是次要的。
C.记录审计发现以及这些控制缺陷聚合所产生的风险。
D.通报部门主管对每个审计发现进行关注,并在报告中进行适当记录。”
C 对于每一个来说,控制缺陷是较小的,但是他们结合起来可能会对整体控制架构产生巨大的潜在影响。选项A和D反映出信息系统审计师未能识别弱点的整体影响。向当事管理者进行建议但不报告相关实事和发现将会对其他股东造成真相的隐瞒。
32.在末次会议上,如果对某项审计发现的影响存在分歧,信息系统审计师应该: A.要求被审计单位签署一份申明以授权全部的法律责任 B.详细阐述审计发现的重要性和不纠正这种错误的风险 C.将分歧报告给审计委员会以寻求解决 D.接受被审计单位的立场因为他们是流程的所有者
B 如果被审计单位对于审计发现的问题持不同意见,由于被审计单位对风险的暴露程度和重要性可能缺乏充分的了解,对于信息系统审计师来说向其阐述和澄清风险及其暴露情况是很重要的。其目的是启发被审计单位或者揭示出信息系统审计师所没有意识到的新的信息。而任何可能威胁被审计单位的情况都将影响有效的沟通并造成一种对立的关系。同样的道理,信息系统审计师也不能因为被审计单位表述另一种观点而擅自同意。
33."在对组织的灾难恢复计划进行审查后,信息系统审计师要求与公司管理层召开会议以讨论审计发现。以下哪一项是对此次会议的主要目标的最佳描述? A.取得管理层对整改行动的批准 B.验证审计发现的准确性 C.帮助管理层实施整改行动 D.向管理层说明审计的范围和所受到的限制"
B 会议的目的是为了验证审计发现的准确性,并给管理层一个就整改行动达成一致意见的机会。会议并不需要管理层对整改行动进行批准,因为这不属于审计师的职责。只有在确认了审计发现之后,才进行进一步的整改措施的实施,然后整改措施的实施同样不应该分配给审计师否则将影响审计师的独立性。向管理层说明审计的范围和所受到的限制应该在启动会议上进行,而不应该在退出会议上。
34."完成评审之前跟被审计单位开会的主要目的是: A.确认审计员没有忽略任何重要的议题 B.获取对审计结果的一致意见 C.接受关于审计规程充分性的反馈 D.测试最终报告"
B 完成评审之前跟被审计单位开会的主要目的是获取对审计结果的一致意见。其他的的选项虽然都与正式完成审计工作相关但是都是次要的。
35."虽然管理层已经声明,然而IS审计师依然有理由相信组织在使用未经许可的软件,面临这种情况IS审计师应该: A.将管理层的声明附在审计报告中 B.识别组织是否真正的使用了这类软件 C.和管理层再次确认对软件的使用情况 D.和高级管理层讨论此事,因为报告此事将会给组织带来负面影响"
B 当有迹象表明组织在使用未经许可的软件时,信息系统审计师应在写入报告前获取足够的证据。使用这种方法,不能单凭管理层的陈述。如果组织确实正在使用未经许可的软件,那么审计师应该出于客观性和独立性,将此计入审计报告中。
36."在辅助财务审计的IT控制测试时,总账GL用户向信息系统审计师投诉,在访问数据时存在严重的延时。IS审计师应采取的最合理的操作为: A.将延时记录为有待改善的控制缺陷 B.推荐使用负载平衡去改进吞吐量 C.在管理建议书中写明这个投诉 D.在形成对IT控制的审计意见时,排除这些投诉"
D 弄清响应时间的根本原因超出了在现行的审计范围。影响财务报表IT控制的主要目标是保证财务报表的完整性。因此,对于使用数据库的操作问题不应该是主要的审计意见。降低吞吐量并不意味着它可能是导致财务账目出现错误的控制缺陷。负载均衡作为一个解决方案并不能从从根本上解决吞吐量减少的问题。投诉经证实后才可以包含在管理建议书中。
37."要确定向供应商发出的采购订单是否已根据授权矩阵取得授权,以下哪种抽样方法最有效 A.变量抽样 B.分层单位平均评估抽样 C.属性抽样 D.不分层单位平均估计抽样"
C 属性抽样是合规性测试中使用的方法。在这种场景下,须对控制实务进行评估,因此应采用属性抽样来确定采购订单是否已获批准。实质性测试中则采用变量抽样方法,它涉及交易定量方面(如资金价值)的测试。分层单位平均评估抽样和不分层单位平均估计抽样则是在变量抽样中使用。
38."内部审计小组对销售回报率的控制进行审计,并考察是否存在欺诈问题。以下那种抽样方法对审计师最有帮助 A.停-走抽样法 B.经典变量抽样法 C.发现抽样法 D.概率比例规模抽样法"
C 审计师在尝试确定是否发生过某类事件时使用发现抽样法,因此,这种方法适合评估欺诈风险,确定其是否曾经发生过。停止或继续的抽样发则有助于限制样本大小,可让测试尽早停止。经典变量抽样发则与资金额有关。概率比例规模抽样法常与样本中有分组情况的整群抽样有关。该问题并不表示IS审计师在寻找欺诈的标准。
39."执行实质性测试时,IS审计师应最关注: A.可确定控制运行是否符合设计的证据 B.可确定风险评估的证据 C.收集可评估数据有效性的证据 D.要收集和审查数据的质量"
C 实质性测试是收集数据以证实数据处理完整性的过程,例如,确定数据是否准确。收集证据以确定控制的运行或应用是否符合设计则是合规性测试的内容。控制无法按计划运行时,将会存在漏洞。如果风险小,则对实质性测试的需求也很有限。证据的质量和数量由审计目的和IS审计师的判断决定。
40."信息系统审计师正在审查对应用的访问控制,以确定10个最新的用户账号是否被适当的授权。这是一个属于以下哪个方面的例子? A.变量抽样 B.实质性测试 C.符合性测试 D.停走抽样"
C 符合性测试是用来判断在政策程序的符合性上,控制是否被有效的执行。这包括判断新账户是否被适当授权的测试。变量抽样被用于估计量化的值(如美元金额)。实质性测试用于证实实际处理流程的完整性(如财务、资产平衡表)。实质性测试的开展总是基于符合性测试的结果。如果符合性测试标明内部控制措施是足够的,那么可以相应减少实质性测试。停走抽样可以最可能早的停止抽样测试,所以在检查程序控制是否被完全遵循方面是不合适的。
41.当对符合性进行测试时,以下哪种抽样方法是最有用的? A.属性抽样 B.变量抽样 C.分层单位均值抽样 D.差异估计
A 属性抽样是用于符合性测试中的主要抽样方法。属性抽样是一种用于评估某一特定属性发生率的抽样模型,通常被用来进行符合性测试以验证控制的存在性。其它选项被用在实质性测试中,通常是进行详细量化的测试。
42."在如下哪种情况时,IS审计师应该用统计抽样而不是非统计抽样: A.必须客观衡量错误概率 B.审计员希望避免抽样风险 C.不能使用同用审计软件 D.允许的错误率不能确定"
A 当给定期望错误率和信任等级的时候,统计取样是一种客观的取样方法,它能帮助信息系统审计员决定抽样大小和量化错误几率(置信系数)。答案B.是错误的因为抽样风险是抽样不能代表整体的风险。系统抽样和非系统抽样都存在这种风险。C选项是错误的因为统计取样不需要使用审计软件。选项D是错误的,因为允许的错误率必须在非统计和统计抽样之前确定。
