《CISA中文试题二零一六年》.docVIP

试卷A 1. 一个公司正在实施控制自我评估项目，审计师应该作为什么角色参与： A.监督者。 B.推动者。 C.项目领导者。 D.审计师不应该参与公司控制自我评估项目，因为他这样做可能会引起利益冲突。 答案：B 解释：在控制自我评估项目中，审计师应该成为推动者，推动项目的进展。 2. 一个用户的行为可以被下列那种方式正确地记录和追溯责任？ A.识别和批准； B.批准和认证； C.识别和认证； D.批准。 答案：C 解释：如果没有恰当的识别和认证，对于用户的行为不可能追溯责任。 3. 在基于风险审计做计划时，以下哪一步最关键？ A.对组织全部环境做整体评估。 B.基于可接受的框架（例如COBIT或COSO)建立审计方法论。 C.文档化审计程序确保审计师获得计划的审计目标。 D.识别控制失效的高风险区域。 答案：D 解释：在为审计项目做计划时最关键步骤是识别高风险区域。 4. 审计痕迹的主要目的： A.更好的评估和审计由于审计师没有检查出的控制失效引起的审计风险。 B.建立完成的审计工作按年代顺序排列的事件链。 C.建立交付处理的业务交易的责任（可追溯责任）。 D.职责分离缺乏的补偿。 答案：C 解释：审计痕迹和其它日志用于补偿缺乏恰当的职责分离，审计痕迹的主要目的是建立交付处理的业务交易的职责（可追溯责任）。 5. 下列哪种风险说明了与程序的陷门有关的风险： A.固有风险 B.审计风险 C.检查风险 D.业务（商业）风险 答案：A 解释：程序具有陷门属于固有风险。 6. 对公司信息系统做审计时，审计师的第一步工作应该是： A.开发出战略性审计计划。 B.对公司的业务重点获得理解。 C.做初步的风险评估为基于风险的审计打下基础。 D.确定和定义审计范围和重要性。 答案：B 解释：审计师的第一步是理解公司的业务重点，如果不能理解公司的业务愿景，目标和运营，他不会有能力完成其它任务。 7. 当审计师使用不充分的测试步骤导致没能发现存在的重要性错误，导致以下哪种风险： A.业务（商业）风险。 B.检查风险。 C.审计风险。 D.固有风险。 答案：B 解释：审计师使用不恰当的测试步骤并且得出重要性错误不存在，属于审计师的检查风险。 8. 实施连续审计方法的最重要的优点是： A.可以在处理大批量交易的时间共享计算环境改善系统安全。B.由于从管理层和职员得到加强的输入可以提供可追溯责任的审计结果。 C.可以识别高风险区域以供以后详细的审查。 D.由于时间约束更松弛可以显著减少需要的审计资源。 答案：A 解释：连续审计可以改善系统的安全。 9. 审计师发现控制存在小弱点，例如弱口令或者监控报告比较差，审计师最恰当的行动是： A.采取改正行动并通知用户和管理层控制的脆弱性。 B.确认此类控制的小弱点对于此次审计不重要。 C.向信息技术管理层立即报告此类弱点。 D.不执行改正行动，在审计报告中记录观察的现象和相关的风险。 答案：D 解释：在准备审计报告时，审计师应该记录观察的现象和相关的风险。 10. 使用测试数据验证交易处理的最大挑战是： A.实际的生产数据可能被污染。 B.创建测试数据以覆盖所有可能的正常的和非正常的情景。 C.测试结果与生产环境中的结果做比较。 D.与高速事务处理相关的数据隔离。 答案：B 解释：测试用例的设计是最大的挑战。 11. 开发组织政策的自底向上法通过： A.审查公司愿景和目标。 B.匹配政策目标到公司战略的结构化方法。 C.资产脆弱性的风险评估。 D.已知威胁的业务影响分析。 答案：C 解释：自底向上法通常通过风险评估驱动  12. 关于不恰当的职责分离，审计师的主要责任是： A.确保恰当的职责分离的执行。 B.为管理层提供不恰当的职责分离相关风险的建议。 C.参与组织内角色和责任的定义以预防不恰当的职责分离。 D.把违反恰当的职责分离的情况记录在案 答案：B 解释：审计师不负责实施控制。 13. 信息资产足够的安全措施的责任属于： A.数据和系统所有者，例如公司管理层 B.数据和系统保管者，例如网络管理员和防火墙管理员 C.数据和系统用户，例如财务部 D.数据和系统经理 答案：A 解释：最终的管理责任属于高级管理层。 14. 审计师观察到不存在恰当的项目批准流程，他应该： A.提供详细流程建议实施。 B.寻找没有书面批准流程的证据。 C.确认缺乏恰当的项目批准流程是不足的项目管理技能的风险标志，建议项目管理培训作为补偿性控制 D.向管理层建议采取恰当的项目批准流程并文档化。 答案：D 解释：如果IS审计师观察到不存在项目批准流程，他应该向管理层建议采