2011年cisa-补充习题100道.ppt

;第一章 信息系统审计过程;1．审计师被安排实施比较计算机计划任务和运行日志的测试，下面哪一项是其最关心的？ A 有越来越多的紧急变更 B 存在某些工作没有完成的实例 C 存在某些工作被计算机使用者否决的实例 D 有证据显示仅仅被计划的工作运行了 ;2. 审计师发现一个没有包含在网络拓扑中的设备被连接在网络中，在该图被用于制定审计范围时，CIO解释该拓扑图已经更新并等待最终批准，审计师首先要： A 扩充审计范围，以包含这个设备 B 评估这个设备对审计范围的影响 C 注意控制缺陷，因为网络图没有更新 D 对该设备开展后续审计 ;3. 审计师正在测试雇员对一个大型的财务系统的访问情况。他从被审计单位提供的雇员名单中选择了一个样本，下面哪一个是支持测试的最可靠线索？ A 系统管理员提供的电子表格 B 雇员老板签署的HR文档 C 系统生成的有关账号访问级别的列表 D 在系统管理员在场的情况下的观察结果 ;4. 在一个小银行的合规审计中，审计师注意到IT职能与账户功能都是由财务系统的同一个用户来执行，下列监管者实施的审查，哪一项是最好的补偿性控制？ A 审计跟踪显示事务的日期和时间 B 包含金额总数和货币单位的每一笔事务的日报告汇总 C 用户账户管理 D 在财务系统中显示每一笔事务的计算机日志文件 ;5. 在审计一个财务系统时，审计师怀疑发生了一个意外（攻击），他首先做什么？ A 要求系统关机以保留证据 B 向管理者报告这个意外 C 马上中止可以账户 D 马上调查意外的来源和特性 ;6. 以下哪一项最能说明审计师和被审计单位讨论审计发现的目标？ A 把审计的沟通结果告知最高管理层 B 制定出实施所提建议的时间表 C 复核结果，并制定一个修正行动 D 为识别的风险识别补偿性控制 ;7.在审计风险管理过程中，下面哪一项职责最有可能损害审计师的独立性？ A 参加风险管理框架的设计 B 提出不同的实现技术 C 促进风险意识的培训 D 实施风险管理过程的尽职调查 ;8. 企业正在发布一个用于更新数据库软件版本的战略。下面哪一项任务可以被审计师执行而不会危害信息系统审计的客观性？ A 建议通过新数据库软件??应用程序控制（方法、规则等） B 为项目团队提供许可证费用的预算 C 建议在项目计划会议上讨论如何改善系统迁移的效果 D 在测试被执行之前，审核可接受的测试用例文档 ;9. 审计师要在关键的服务器上分析审计日志以发现在用户或者系统行为中潜在的一场，为执行这个任务，下面哪一个是最恰当的？ A 计算机辅助软件工程（CASE）工具 B 内嵌的数据收集工具 C 趋势/差异扫描工具 D 启发式扫描工具 ;10. 控制自我评估（CSA）或者控制自我鉴证程序的最主要目标是什么？ A 简化针对企业的控制监控过程 B 替换某些内部审计责任 C 从职能经理哪里移走某些责任 D 替换一些职能领域的某些控制监控义务 ;11. 当审计一个会计应用系统内部数据的完整性控制时，IS审计师识别出支持该会计系统的变更管理软件的重大不足，审计师最合适的动作是？ A 继续测试会计应用系统的控制，口头通知IT管理人员有关变更管理软件的控制缺陷以及可以采用的可能的解决方案 B 完成应用控制的审核，但并不报告变更管理软件中的控制缺陷，因为它并不是审核范围的一部分 C 继续完成会计应用系统的测试，并在最终的报告中提及变更管理软件中的控制缺陷 D 停止所有的审计活动，一直到变更控制软件中的控制缺陷被解决为止 ;12. 下面哪一选项可以在业务应用系统中最成功地识别重叠的关键控制？ A 审计与复杂的业务处理过程相联系的系统功能 B 提交测试事务以通过一个整体测试（ITF） C 用一个自动化的审计解决方案替换手工监测 D 测试控制，证实其有效性 ;13. 在评估一个基于密码管理的程序控制时，下面哪一项是审计师最有可能依靠的？ A 长度检查 B 完全采用哈希算法 C 有效性检查 D 字段检查 ;14. 在下面管理风险的方法中，分担风险是其一个关键的因素？ A 转移风险 B 容忍风险 C 终止（消除）风险 D 降低风险 ;第二章 IT治理与管理;1. 当评估一个IT组织的首席风险官（CRO）完成的控制自我评价时，审计师最重要的考虑是？ A CRO直接向CIO报告 B 某些IT管理人员指出CSA培训是不合适的 C CRO直接向董事会的董事报告 D CSA流程最近刚刚被组织批准 ;2. 企业自主现场管理自己的数据中心，但外包了其主要财务应用系统的管理，要确保外包公司的雇员符合公司的安全策略，下面哪一个选项是最好的？ A 要求所有用户签署一份符合公司安全策略的协议 B 在外包合同中规定赔偿的内容 C 对所有用户实施强制性的安全意识培训 D 修改安全策略以符合第三方用户的需求 ;3. 企业正