《下列哪些形式的审计证据就被视为最可靠》由会员分享,可在线阅读,更多相关《下列哪些形式的审计证据就被视为最可靠(19页珍藏版)》请在金锄头文库上搜索。
1、1. 下列哪些形式的审计证据就被视为最可靠? n 口头声明的审计 n 由审计人员进行测试的结果 n 组织内部产生的计算机财务报告 n 从外界收到的确认来信 2. 当程序变化是,从下列哪种总体种抽样效果最好?n 测试库清单n 源代码清单 n 程序变更要求 n 产品库清单3. 在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试:n 系统程序员. n 法律人员 n 业务部门经理 n 应用程序员. 4. 进行符合性测试的时候,下面哪一种抽样方法最有效?n 属性抽样 n 变量抽样 n 平均单位分层抽样n 差别估算 5. 当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道
2、:n 当数据流通过系统时,其作用的控制点。 n 只和预防控制和检查控制有关. n 纠正控制只能算是补偿. n 分类有助于审计人员确定哪种控制失效6. 审计人员在对几个关键服务进行审计的时候,想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作? n 计算机辅助开发工具(case tool) n 嵌入式(embedded)数据收集工具 n 启发扫描工具(heuristic scanning tools) n 趋势/变化检测工具 7. 在应用程序开发项目的系统设计阶段,审计人员的主要作用是:n 建议具体而详细的控制程序 n 保证设计准确地反映了需求 n 确保在开始
3、设计的时候包括了所有必要的控制 n 开发经理严格遵守开发日程安排8. 下面哪一个目标控制自我评估(CSA)计划的目标? n 关注高风险领域n 替换审计责任 n 完成控制问卷 n 促进合作研讨会 Collaborative facilitative workshops9. 利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证: n 充分保护信息资产n 根据资产价值进行基本水平的保护n 对于信息资产进行合理水平的保护n 根据所有要保护的信息资产分配相应的资源10. 审计轨迹的主要目的是:n 改善用户响应时间n 确定交易过程的责任和权利n 提高系统的运行效率n 为审计人员追踪交易提供有
4、用的资料 11. 在基于风险为基础的审计方法中,审计人员除了风险,还受到以下那种因素影响: n 可以使用的CAATsn 管理层的陈述n 组织结构和岗位职责.n 存在内部控制和运行控制12. 对于组织成员使用控制自我评估(CSA)技术的主要好处是: n 可以确定高风险领域,以便以后进行详细的审查n 使审计人员可以独立评估风险n 可以作来取代传统的审计n 使管理层可以放弃relinquish对控制的责任13. 下列哪一种在线审计技术对于尽早发现错误或异常最有效? n 嵌入审计模块n 综合测试设备Integrated test facility n 快照sanpshotsn 审计钩Audit hoo
5、ks14. 当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时,审计人员会用下面哪一种测试方法?n 对于程序库控制进行实质性测试n 对于程序库控制进行复合性测试n 对于程序编译控制的符合性测试 n 对于程序编译控制的实质性测试15. 在实施连续监控系统时,信息系统审计师第一步时确定:n 合理的开始(thresholds)指标值n 组织的高风险领域n 输出文件的位置和格式n 最有最高回报潜力的应用程序16. 审计计划阶段,最重要的一步是确定:n 高风险领域n 审计人员的技能n 审计测试步骤n 审计时间17. 审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立
6、性?审计师:n 在应用系统开发过程中,实施了具体的控制n 设计并嵌入了专门审计这个应用系统的审计模块n 作为应用系统的项目组成员,但并没有经营责任n 为应用系统最佳实践提供咨询意见18. 审计中发现的证据表明,有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后,存放在书桌抽屉里。IS审计师可以推测的结论是:n 经理助理有舞弊行为n 不能肯定无疑是谁做的n 肯定是经理进行舞弊n 系统管理员进行舞弊19. 为确保审计资源的价值分配给组织价值最大的部分,第一步将是:n 制定审计日程表并监督花在每一个审计项目上的时间n 培养审计人员使用目前公司正在使用的最新技术n 根据详细的风险
7、评估确定审计计划n 监督审计的进展并开始成本控制措施20. 审计师在评估一个公司的网络是否可能被员工渗透, 其中下列哪一个发现是审计师应该最重视的?n 有一些外部调制解调器连接网络n 用户可以在他们的计算机上安装软件n 网络监控是非常有限的n 许多用户帐号的密码是相同的21. 信息系统审计师在控制自我评估(CSA)中的传统角色是:n 推动者(facilitator)n 经理n 伙伴n 股东 22. 下面哪一种审计技术为IS部门的职权分离提供了最好的证据:n 与管理层讨论n 审查组织结构图n 观察和面谈n 测试用户访问权限23. IS审计师应该最关注下面哪一种情况?n 缺少对成功攻击网络的报告n
8、 缺少对于入侵企图的通报政策n 缺少对于访问权限的定期审查n 没有通告公众有关入侵的情况24. 审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征?n 可得到在线网络文档n 支持终端访问远程主机n 处理在主机和内部用户通信之间的文件传输n 执行管理,审计和控制25. 审计师使用不完整的测试过程得出不存在重大错误的结论,这种做法的风险实质上是:n 固有的风险.n 控制风险n 检查危险n 审计风险26. 审计章程应采取:n 是动态的和经常变化的,以便适应技术和和审计专业(professional)的改变n 清楚的说明审计目标和授权,维护和审核内部控制n 文档化达到计划审计目标的审计程
9、序n 列出对审计功能的所有授权,范围和责任27. 审计师已经对一个金融应用的数据完整性进行了评估,下面哪一个发现是最重要的?n 应用程序所有者不知道IT部门对系统实施的一些应用n 应用数据每周只备份一次n 应用开发文档不完整n 信息处理设施没有受到适当的火灾探测系统的保护28. IS审计功能的一个主要目的是:n 确定每个人是否都按照工作说明使用IS资源n 确定信息系统的资产保护和保持数据的完整性n 对于计算机化的系统审查帐册及有关证明文件n 确定该组织识别诈骗fraud的能力29. 进行审计的时候,审计师发现存在病毒,IS审计师下一步应该做什么?n 观察反应机制 n 病毒清除网络n 立即通知有
10、关人员 n 确保删除病毒 30. 审计章程的的主要目标是: n A记录企业使用的审计流程n B审计部门行动计划的正式文件 n C记录审计师专业行为的行为准则n 说明审计部门的权力和责任。31. 在对程序的安全性审计过程中,审计师发现没有文件记录安全程序,该审计员应该:n 建立程序文件 n 终止审计n 进行一致性测试n 鉴定和评估现行做法 32. 在风险分析期间,审计师已经确定了威胁和潜在的影响,下一步审计师应该:n 确定并评估管制层使用的风险评估过程 n 确定信息资产和受影响的系统n 发现对管理者的威胁和影响 n 鉴定和评估现有控制. 33. 下面哪一项用于描述(整体测试法)最合适?n 这种方
11、法使IS审计师能够测试计算机应用程序以核实正确处理 n 利用硬件和或软件测试和审查计算机系统的功能 n 这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程 n IS系统审计师用于测试的一种程序,可以用于处理tagging和扩展交易和主文件记录。34. IS审计师要判断是否严格控制被授权者对于程序文档的访问,最有可能的做法是 :n 评估在存储场所的文件保存计划 n 就当前正在进行的流程采访程序员 n 对比实际使用的记录和操作表 n 审查数据文件访问记录测试管理库的功能35. 下面哪一种IT治理是提高战略联盟(alignment)的最佳做法? n 供应商和合作伙伴的风险管理.
12、n 基于客户、产品、市场、流程的知识库实施到位. n 提供有利于于建立和共享商业信息的组织结构. n 高层之间对于业务和技术责任的协调 36. 建立可接受的风险水平的责任属于: n 质量保证经理. n 高级业务管理. n CIO首席信息主管. n 首席安全主管37. 作为信息安全治理成果,战略联盟提供:n 企业需求驱动的安全要求. n 按照最佳实践制定的安全基线. n 专门的或客户定制的解决方案. n 了解风险. 38. 如果缺乏高层管理人员对于战略计划的许诺(commitment),最可能的后果是:n 缺乏技术投资. n 缺乏系统开发的方法. n 技术与组织目标不一致. n 缺乏对于技术合同
13、的控制. 39. 用自下而上的方法来开发组织政策的优势在于这样开发的政策:n 为组织整体而指定. n 更可能来自于风险评估的结果. n 与企业整体政策不会冲突. n 确保整个组织的一致性40. IS审计师发现并不是所有的员工都知道企业的信息安全政策. IS审计师可以得出的结论是:n 这种无知有可能导致意外泄漏敏感资料 n 信息安全并非对所有功能都是关键的. n IS审计师应该为员工提供安全培训. n D 审计结果应该使管理者为员工提供持续的培训。41. 有效的IT治理应该确保IT计划符合组织的:n 业务计划. n 审计计划. n 安全计划. n 投资计划. 42. 当通信分析人员进行下面哪一项
14、的时候,IS审计师应该给予重点关注?n 监测系统性能,追踪程序变动导致的问题 n 根据当前和未来的交易量,审查网络负载需求n 评价终端响应时间和网络数据传输率对于网络负载的影响n 网络负载平衡措施和改进建议43. 下面哪一项最可能暗示,客户数据仓库应该由内部开发而不是外包给海外运营?n 时差不同有可能影响IT团队的沟通n 通信费在第一年非常高n 有关隐私权的法律可能会阻碍信息跨国界传输n 软件开发需要更详细的说明44. 当一名员工被解雇时,需要采取的最重要的行动是:n 交出全部职工的档案给指定的另一名雇员. n 完成员工工作的备份.n 通知其他员工关于该员工的解雇通知. n 解除该员工的逻辑访问权限. 45. 在处理可疑入侵时,一个合理的信息安全策略最有可能包括下列哪一项?n 反应 n 纠错n 检测n 监控46. IS审计师在审查使用交叉培训做法的组织时,应该评估哪一种风险?n 对于单个员工的依赖性n 连续性计划不够充分n 一个员工了解系统的所有部分n 错误操作. 47. IS审计师在审查IT设备的外包合同的时候,希望合同确定的是:
