领域4—风险优化(20%) Flashcards
1.风险管理流程最重要的目标是: A.帮助IT更有效且高效地管理风险 B.确立控制措施以改善风险状况 C.开展控制自我评估研讨会 D.促进公司战略的成功执行
D是正确答案。
理由:
A.帮助IT业务部门管理风险、确立控制措施和开展控制自我评估(CSA)研讨会只是整个风险管理流程中的一部分。
B.确立控制措施以改善企业的风险状况是风险管理流程的一部分,并不是风险管理流程最重要的目标。
C.CSA有助于企业了解其内部控制环境并识别风险领域和改进机会。开展CSA研讨会是全面风险管理流程的一部分,但本身不是目标。
D.在企业中设立风险管理流程的最重要目的是确保成功执行企业战略并实现企业目标。
2.软件开发流程中,应在以下哪个阶段执行风险评估: A.在需求阶段 B.在软件开发的每一阶段 C.在设计和开发阶段 D.在测试阶段,以避免任何潜在不足
B是正确答案。理由:
A.风险评估是在需求阶段执行,并在整个软件开发生命周期中持续进行。
B.风险评估应在从需求到设计、开发、测试和实施的每一个阶段中执行。
C.在设计和开发阶段执行风险评估至关重要,但必须关注流程每个阶段的风险,而不仅仅是某个阶段。
D.在测试阶段执行风险评估不能确保风险得到适当处理,尤其是在早期阶段未执行风险评估的情况下。
3.企业风险管理系统使得管理层能够: A.提高企业创造价值的能力 B.及时报告 C.将风险降至最低并确保提高生产力 D.为企业选择最佳风险应对措施
A是正确答案。
理由:
A.企业风险管理(ERM)评估、控制、利用和监控所有相关来源中的风险并为其提供资金,旨在提高企业对其利益相关方的短期和长期价值。在企业运营环境中,全球化、技术、重组、不断变化的市场、竞争和监管等因素都会造成不确定性,这些均可通过ERM来解决。
B.ERM对于及时报告没有帮助。
C.ERM可优化风险,但不能将风险降到最低;虽然ERM有助于提高生产力,但并不能确保做到这一点。
D.ERM的作用不只是为企业选择最佳风险应对措施。ERM可确保:IT相关企业风险不超过风险偏好和风险容忍度,确定和管理IT风险对企业价值的影响,违规的可能性被降到最低。
4.与IT服务外包相关的IT风险可通过下面哪种方式得到最佳管理: A.制定多个资源开发战略 B.在合同中纳入控制措施和服务等级协议 C.制定政策和程序 D.执行尽责调查审计
B是正确答案。 理由: A.制定多个资源开发战略是应对风险的方式之一,但并不是全面应对风险的唯一方法。 B.在合同和协议中纳入缓解控制措施和要求可让每个合同的外包风险都得到管理。 C.政策和程序非常重要,但只能管理部分外包风险。 D.审计和审计权限很重要,但只是缓解风险的控制措施之一。
5.以下哪一项涉及IT风险的决策是在计划层面做出的? A.采取行动所需的决策 B.有关将战略转化为行动的决策 C.有关业务目标的决策 D.有关实现IT目标质量控制的风险的决策
B是正确答案。 理由: A.采取行动所需的决策是在项目层面做出的。 B.有关将战略转化为行动的决策是在计划层面做出的,涉及使用计划资源来实施战略的选项。 C.有关业务目标的决策是在战略层面做出的。同样在战略层面做出的还 有:有关创新相关风险的决策,以及有关实施业务战略的计划。 D.质量控制的决策是在项目层面做出的。
6.企业风险管理流程的首要目标是确保企业能够: A.履行企业使命 B.保护业务和IT资产 C.提供最优质服务 D.增加盈利
A是正确答案。
理由:
A.企业风险管理(ERM)流程包括战略风险、运营风险、报告风险和合规风险。ERM旨在确保企业的战略目标不受损害,从而保护企业履行其使命的能力。
B.资产保护是ERM的重要组成部分;然而,ERM必须始终考虑收益和成本以确保对风险进行优化,使企业能够经济高效地完成其使命。
C.提供最优质服务的能力属于运营风险,但并不是ERM流程的首要目标。ERM包括运营风险以及战略风险、财务风险和合规风险。
D.保护企业增加盈利的能力属于财务风险,但并不是ERM流程的首要目标。ERM包括运营风险以及战略风险、财务风险和合规风险。
7.在企业中,最能说明IT风险管理流程成熟度的是: A.高级管理层准备在IT安全方面投入更多资金 B.员工拥有适当的风险意识且能轻松地谈论它 C.在IT和业务管理的方方面面执行风险评估 D.在风险评估和风险等级评定方面使业务和IT保持一致
B是正确答案。
理由:
A.高级管理层在IT安全方面投资并不一定是成熟度的标志,因为这不能保证结果、安全意识或更好的风险管理;它也不是风险的衡量指标。
B.拥有风险意识的员工是任何企业中IT风险管理流程成熟度的最重要衡量指标之一。企业员工认识到他们活动中的固有风险,能够讨论风险并愿意合作解决风险,这是风险意识文化的最佳体现。
C.仅仅是风险评估并不能成功,除非有相应水平的意识和沟通。
D.在风险评估流程中使业务和IT保持一致不是正确答案,因为这只是营造所需的风险意识文化中的一步。
8.风险管理的最终责任属于: A.相应的业务经理 B.战略委员会 C.董事会 D.IT风险应对委员会
C是正确答案。 理由: A.各业务经理都参与风险管理,但最终责任属于董事会。 B.战略委员会参与风险管理,但不承担最终责任(有时责任属于指导委员会)。 C.董事会承担风险管理的最终责任,并确定风险偏好和风险容忍度水平。董事会还应针对业务和IT管理部门所管理的IT风险所有权,规定一种一致的方法,确保所有利益相关方正确地参与。 D.风险应对委员会并不管理风险;该委员会主要是在事故发生时积极参与风险应对流程。
9.以下哪一项是企业中最常见的风险领域? A.投资财务风险 B.信贷风险 C.市场风险 D.运营风险
D是正确答案。
理由:
A.投资财务风险是围绕投资组合管理的风险;很多企业不受此类风险影响,其与银行和金融公司更加相关。
B.许多企业不受信贷风险影响,这是与银行客户和银行或金融公司本身的信贷评级相关的风险。
C.市场风险是与市场波动相关的风险,可能并不会影响所有企业。
D.运营风险是正确的,因为这类影响企业的风险会根据位置、行业、全球化水平和其他诸多因素不同而变化。例如,服务公司可能不太担心信贷风险和市场风险。但是,所有企业都必须运营才能开展业务。运营风险包含与人、技术、成本、时间表、资源、运营支持、质量、提供商出现问题、安全、基础设施故障、业务连续性和客户关系有关的风险。
10.在努力使IT风险管理成为企业风险管理的一部分时,董事会应当了解的关键信息是风险管理: A.是应当涵盖整个企业所有层面的活动 B.是企业内各个部门的单独活动 C.与确定和可预见的决策有关 D.旨在通过尽量降低风险来实现业务目标
A是正确答案。
理由:
A.要想行之有效,企业风险管理(ERM)应当涵盖整个企业的所有层面。ERM是每个部门和职能日常运作必不可少的一部分,而不是独立的活动。
B.ERM的成功显著依赖于利益相关方和决策者在所有层面的适当和及时参与。
C.有效的ERM旨在管理各种风险,以帮助企业实现战略目标。这些风险往往涉及不确定性,可能既要依据事实、数据和先前的事件,还要基于个人经验和判断以及企业风险偏好来制定决策。
D.任何风险应对方案都需要资源来实施和维护。因此,最大程度降低风险并不是一个好的业务实践。应根据风险出现的可能性及影响来管理、缓解和降低风险。有时,缓解的成本可能超过风险出现的可能性和影响,企业可能选择接受风险而不采取行动。
11.企业的风险偏好水平主要受以下哪一项的影响? A.风险等级评定方法 B.风险的影响程度乘以风险出现的可能性 C.管理层的风险文化 D.风险评估团队中的专家
C是正确答案。
理由:
A.风险等级评定流程是指对现有风险场景进行评估,并将风险按出现的可能性最高、影响最大到出现的可能性最低、影响最小的顺序进行排序。会考虑风险场景之间的相互依赖性。风险等级评定本身并不影响风险偏好。
B.威胁出现的可能性乘以影响的程度有助于量化具体风险场景的相对风险,但并不影响风险偏好水平。
C.各企业的风险偏好水平是不同的。根据管理层的风险文化以及相对于业务目标内部利益相关方愿意接受的风险量不同,风险偏好水平会有所变化。
D.风险评估
12.风险管理组应对认定为“低风险”的流程采取什么措施? A.接受风险并在风险登记表中记录这一事实 B.从未来的风险评估范围中移除流程 C.向高级管理层和董事会报告时不包括这些流程 D.将流程标记为潜在机会,以降低成本或提升价值
D是正确答案。
理由:
A.尽管低风险流程看起来不错,但是如果不采取措施,可能会失去这些机会。
B.如果风险随着时间的推移而升高,从未来的风险评估范围中除去这些方面可能会损害企业。
C.不向高级管理层和董事会报告这些方面的信息,风险管理团队就剥夺了高级管理层/董事会了解重要信息的机会,而他们可能希望利用这些重要信息提供指导,如探索低风险流程带来的机会。
D.低风险流程可能带来需要进一步探索的机会。例如,减小控制力度可能会带来节省成本的机会,也可能导致需要承担更多风险。
13.以下哪个角色负责确定企业的IT风险管理框架是否与企业风险管理框架一致? A.首席执行官 B.首席信息官 C.首席审计官 D.首席信息安全官
A是正确答案。 理由: A.首席执行官(CEO)是董事会的代表,负责推动整个企业(包括IT)为实现企业目标而努力。因此,CEO有责任让IT风险管理与企业风险管理框架保持一致。 B.首席信息官负责管理企业的信息资产。 C.首席审计官负责管理企业的审计职能。 D.首席信息安全官负责管理企业的信息资产安全。
14.定义风险管理战略之前应初步分析什么? A.风险评估方法 B.IT预算 C.组织文化和风险偏好 D.IT资产清单
C是正确答案。 理由: A.风险评估方法是风险识别和评估的一部分,但并不推动风险管理战略。 B.定义风险应对战略时,IT预算是限制因素之一。 C.企业可以根据其风险文化接受、缓解或转移风险。风险偏好和容忍度是企业风险文化更易于衡量的表达,直接推动风险管理战略。 D.IT资产清单是风险管理战略的依据信息。
15.某企业发现一个出现的可能性很高、会对关键IT流程造成很大影响的风险。以下哪一项是最适当的风险应对方案? A.风险规避 B.风险缓解 C.风险转移 D.风险接受
B是正确答案。
理由:
A.由于受影响的IT流程是关键IT流程,风险规避不可取。风险规避是系统地避免风险的流程,如不从事特定活动。
B.对于出现的可能性较高、影响力较大的风险,需要部署对策,将风险降低到可接受的水平。
C.对于出现的可能性较高、影响力较大的风险,一般不适合进行风险转移。风险转移是将风险分摊到其他企业的过程,通常通过购买保险或外包服务来实现。
D.对于出现的可能性较高、影响力较大的风险,一般不应接受,而应缓解。风险接受是指对特定风险不采取任何行动,而是接受损失(当其发生时/如有)。这不同于无视风险;而是高级管理层做出的明智决定。
16.以下哪一项是在设计控制框架时最重要的考虑因素? A.风险偏好 B.工作指导书 C.员工士气 D.监控要求
A是正确答案。
理由:
A.要营造最佳的内部控制环境,最好要了解风险偏好。一旦明确了风险偏好,就可以确定实施控制框架所需的投资力度。
B.工作指导书的操作性太强,在设计控制框架时不需要考虑。
C.员工士气和基本的组织文化是在设计控制框架时需要重点考虑的因素。强有力的控制措施可减少实施欺诈的机会,从而抵消员工士气低下的环境中借口增多的状况。尽管如此,在设计控制框架时,首先应了解企业的风险偏好,以便组织制定适合其特定环境的控制措施。
D.监控要求可能只涵盖控制框架的一部分;因此,它不是最重要的考虑因素。
17.接受风险的责任由以下哪一方承担? A.企业风险委员会 B.执行管理层 C.业务流程所有者 D.审计委员会
B是正确答案。 理由: A.企业风险委员会监督风险治理状况,但接受风险的责任仍由执行管理层承担。 B.接受风险是执行管理层或其指定代表的责任。 C.业务流程所有者通常会将风险接受请求上报到执行管理层进行审批。 D.审计委员会识别风险,但服从执行管理层的风险接受决策。
18.以下哪个角色对风险管理流程监控负最终责任? A.首席信息官 B.首席信息安全官 C.首席财务官 D.首席执行官
D是正确答案。 理由: A.首席信息官可以受委托承担该责任,但不负最终责任。 B.首席信息安全官可以受委托承担该责任,但不负最终责任。 C.首席财务官可以受委托承担该责任,但不负最终责任。 D.风险管理监控的总体责任由首席执行官承担。
19.当外包信用卡处理事务时,谁负责确保符合监管要求? A.外包供应商 B.责任共担 C.客户企业 D.责任取决于合同
C是正确答案。 理由: A.外包供应商按合同开展活动和交付服务,但不承担最终责任。 B.客户企业和外包供应商不能分担责任,因为外包供应商负责提供服务,仅对所提供的服务负责,而不负责监管要求的合规性。 C.客户企业仍然对其交付的服务负责。合同或采购文件不会解除客户的这种责任。 D.合同不能解除客户的固有责任。
20.为企业选择风险缓解战略时,以下哪一项最重要? A.资产价值和重要性 B.风险偏好和容忍度 C.威胁发生的可能性和频率 D.资产总拥有成本
B是正确答案。
理由:
A.资产价值和重要性是具体风险缓解活动的主要依据信息,但不是风险缓解战略最重要的信息。
B.风险缓解战略用于将残余风险尽量降低至可接受的水平。风险偏好和容忍度是制定风险缓解战略的主要考虑因素。
C.威胁发生的可能性和频率是开展具体风险缓解活动的主要依据信息,但不是风险缓解战略最重要的信息。
D.总拥有成本与风险缓解战略没有直接关联。
21.以下哪个角色负责IT风险管理决策? A.首席财务官 B.合规部门 C.内部审计 D.首席信息官
D是正确答案。
理由:
A.首席财务官是负责财务管理所有方面事务的最高官员,包括财务风险和控制以及可靠、准确的账目。
B.合规部门负责在企业内给予法律、监管和合同合规性方面的指导。
C.内部审计负责提供企业内部的审计工作。
D.首席信息官是企业内负责让IT和业务战略保持一致,并负责计划、资源调配和管理IT服务及解决方案交付以支持企业目标的最高官员。这包括指导IT风险管理决策。
