CISA中文模拟题465题.docx
《CISA中文模拟题465题.docx》由会员分享,可在线阅读,更多相关《CISA中文模拟题465题.docx(111页珍藏版)》请在冰点文库上搜索。
CISA中文模拟题465题
Chapter1
1.下列哪些形式的审计证据就被视为最可靠?
❑口头声明的审计
❑由审计人员进行测试的结果
❑组织内部产生的计算机财务报告
❑从外界收到的确认来信
2.当程序变化是,从下列哪种总体种抽样效果最好?
❑测试库清单
❑源代码清单
❑程序变更要求
❑产品库列表
3.在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试:
❑系统程序员.
❑法律人员
❑业务部门经理
❑应用程序员.
4.进行符合性测试的时候,下面哪一种抽样方法最有效?
❑属性抽样
❑变数抽样
❑平均单位分层抽样
❑差别估算
5.当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道:
❑当数据流通过系统时,其作用的控制点。
❑只和预防控制和检查控制有关.
❑纠正控制只能算是补偿.
❑分类有助于审计人员确定哪种控制失效
6.审计人员在对几个关键服务进行审计的时候,想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。
下列哪些工具最适合从事这项工作?
❑计算机辅助开发工具(casetool)
❑嵌入式(embedded)资料收集工具
❑启发扫描工具(heuristicscanningtools)
❑趋势/变化检测工具
7.在应用程序开发项目的系统设计时间,审计人员的主要作用是:
❑建议具体而详细的控制程序
❑保证设计准确地反映了需求
❑确保在开始设计的时候包括了所有必要的控制
❑开发经理严格遵守开发排程
8.下面哪一个目标控制自我评估(CSA)计划的目标?
❑关注高风险领域
❑替换审计责任
❑完成控制问卷
❑促进合作研讨会Collaborativefacilitativeworkshops
9.利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证:
❑充分保护信息资产
❑根据资产价值进行基本水平的保护
❑对于信息资产进行合理水平的保护
❑根据所有要保护的信息资产分配相应的资源
10.审计轨迹的主要目的是:
❑改善用户响应时间
❑确定交易过程的责任和权利
❑提高系统的运行效率
❑为审计人员追踪交易提供有用的数据
11.在基于风险为基础的审计方法中,审计人员除了风险,还受到以下那种因素影响:
❑可以使用的CAATs
❑管理层的陈述
❑组织结构和岗位职责.
❑存在内部控制和运行控制
12.对于组织成员使用控制自我评估(CSA)技术的主要好处是:
❑可以确定高风险领域,以便以后进行详细的审查
❑使审计人员可以独立评估风险
❑可以作来取代传统的审计
❑使管理层可以放弃relinquish对控制的责任
13.下列哪一种在线审计技术对于尽早发现错误或异常最有效?
❑嵌入审计模块
❑综合测试设备Integratedtestfacility
❑快照sanpshots
❑审计钩Audithooks
14.当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时,审计人员会用下面哪一种测试方法?
❑对于链接库控制进行实质性测试
❑对于链接库控制进行复合性测试
❑对于程序编译控制的符合性测试
❑对于程序编译控制的实质性测试
15.在实施连续监控系统时,信息系统审计师第一步时确定:
❑合理的开始(thresholds)指标值
❑组织的高风险领域
❑输出文件的位置和格式
❑最有最高回报潜力的应用程序
16.审计计划阶段,最重要的一步是确定:
❑高风险领域
❑审计人员的技能
❑审计测试步骤
❑审计时间
17.审计师被对一个应用系统进行实施后审计。
下面哪种情况会损害信息系统审计师的独立性?
审计师:
❑在应用系统开发过程中,实施了具体的控制
❑设计并嵌入了专门审计这个应用系统的审计模块
❑作为应用系统的项目组成员,但并没有经营责任
❑为应用系统最佳实践提供咨询意见
18.审计中发现的证据表明,有一种欺诈舞弊行为与经理的账号有关。
经理把管理员分配给他的密码写在纸上后,存放在书桌抽屉里。
IS审计师可以推测的结论是:
❑经理助理有舞弊行为
❑不能肯定无疑是谁做的
❑肯定是经理进行舞弊
❑系统管理员进行舞弊
19.为确保审计资源的价值分配给组织价值最大的部分,第一步将是:
❑制定审计日程表并监督花在每一个审计项目上的时间
❑培养审计人员使用目前公司正在使用的最新技术
❑根据详细的风险评估确定审计计划
❑监督审计的进展并开始成本控制措施
20.审计师在评估一个公司的网络是否可能被员工渗透,其中下列哪一个发现是审计师应该最重视的?
❑有一些外部调制解调器连接网络
❑用户可以在他们的计算机上安装软件
❑网络监控是非常有限的
❑许多用户账号的密码是相同的
21.信息系统审计师在控制自我评估(CSA)中的传统角色是:
❑推动者(facilitator)
❑经理
❑伙伴
❑股东
22.下面哪一种审计技术为IS部门的职权分离提供了最好的证据:
❑与管理层讨论
❑审查组织结构图
❑观察和面谈
❑测试用户访问权限
23.2IS审计师应该最关注下面哪一种情况?
❑缺少对成功攻击网络的报告
❑缺少对于入侵企图的通报政策
❑缺少对于访问权限的定期审查
❑没有通告公众有关入侵的情况
24.审计人员审计网络操作系统。
下面哪一个是审计人员应该审计的用户特征?
❑可得到在线网络文文件
❑支持终端访问远程主机
❑处理在主机和内部用户通信之间的文件传输
❑执行管理,审计和控制
25.审计师使用不完整的测试过程得出不存在重大错误的结论,这种做法的风险实质上是:
❑固有的风险.
❑控制风险
❑检查危险
❑审计风险
26.审计章程应采取:
❑是动态的和经常变化的,以便适应技术和和审计专业(professional)的改变
❑清楚的说明审计目标和授权,维护和审核内部控制
❑文文件化达到计划审计目标的审计程序
❑列出对审计功能的所有授权,范围和责任
27.审计师已经对一个金融应用的数据完整性进行了评估,下面哪一个发现是最重要的?
❑应用程序所有者不知道IT部门对系统实施的一些应用
❑应用数据每周只备份一次
❑应用开发文档不完整
❑信息处理设施没有受到适当的火灾探测系统的保护
28.IS审计功能的一个主要目的是:
❑确定每个人是否都按照工作说明使用IS资源
❑确定信息系统的资产保护和保持数据的完整性
❑对于计算机化的系统审查账册及有关证明文件
❑确定该组织识别诈骗fraud的能力
29.进行审计的时候,审计师发现存在病毒,IS审计师下一步应该做什么?
❑观察反应机制
❑病毒清除网络
❑立即通知有关人员
❑确保删除病毒
30.审计章程的的主要目标是:
❑记录企业使用的审计流程
❑审计部门行动计划的正式档
❑记录审计师专业行为的行为准则
❑说明审计部门的权力和责任。
31.在对IT程序的安全性审计过程中,IS审计师发现没有文件记录安全程序,该审计员应该:
❑建立程序文件
❑终止审计
❑进行一致性测试
❑鉴定和评估现行做法
32.在风险分析期间,IS审计师已经确定了威胁和潜在的影响,下一步IS审计师应该:
❑确定并评估管制层使用的风险评估过程
❑确定信息资产和受影响的系统
❑发现对管理者的威胁和影响
❑鉴定和评估现有控制.
33.下面哪一项用于描述ITF(整体测试法)最合适?
❑这种方法使IS审计师能够测试计算机应用程序以核实正确处理
❑利用硬件和或软件测试和审查计算机系统的功能
❑这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程
❑IS系统审计师用于测试的一种程序,可以用于处理tagging和扩展交易和主文档记录。
34.IS审计师要判断是否严格控制被授权者对于程序文文件的访问,最有可能的做法是:
❑评估在存储场所的档保存计划
❑就当前正在进行的流程采访程序员
❑对比实际使用的记录和操作表
❑审查数据文件访问记录测试管理库的功能
35.需要进一步收集哪些数据,IS审计师的决定取决于
❑需要的重要信息的可用性
❑审计师对于情况的熟悉程序
❑审计人员(auditee)找到相关证据的能力
❑进行审计的目的和范围
36.审查管理层的长期战略计划有助于审计师:
❑了解一个组织的宗旨和目标
❑测试企业的内部控制
❑评估组织队信息系统的依赖性
❑确定审计所需的资源
37.利用统计抽样程序可以减少:
❑抽样风险
❑检查风险
❑固有风险
❑控制风险
38.IS审计师对软件使用和权限进行审计,发现大量的PC安装了未授权的软件。
IS审计师应该采取下面哪种行为?
❑个人擅自删除所有未授权软件拷贝
❑通知被审计人员非授权软件的情况,并确认删除
❑报告使用XX软件的情况,并需要管理层避免这种情况重复发生
❑不采取任何行动,因为这是一个公认的惯例和做法,业务管理部门负责监督这种使用
39.下面哪一项IS审计师可用来确定编辑和确认程序的有效性(effectiveness)?
❑域完整性测试
❑相关完整性测试
❑参照完整性测试
❑同位检查
40.下面哪一种情况下,IS审计师应该用统计抽样而不是判断抽样(nonstatistical):
❑错误率必须被客观量化(objectivelyquantified)
❑审计师希望避免抽样风险
❑通用审计软件不实用(unavailable)
❑容忍误差(tolerableerrorrate)不能确定
41.证明税收计算系统精确性的最好的方法是:
❑对于计算程序源代码详细目测审核和分析
❑使用通用审计软件对每个月计算的总数进行重复的逻辑计算
❑为处理流程准备模拟交易,并和预先确定的结果进行比较
❑自动分析流程图和计算程序的源代码
42.以下哪一个是使用测试数据的最大的挑战?
❑确定测试的程序的版本和产品程序的版本一致
❑制造测试数据报括所有可能的有效和无效的条件
❑对于测试的应用系统,尽量减少附加交易的影响
❑在审计师监督下处理测试数据
43.电子邮件系统已经成为一个有用的诉讼证据来源,下面哪一个是最有可能的原因?
❑多重循环备份文件可供利用
❑访问控制可以确定电子邮件行为的责任
❑对于通过电子邮件交流的信息尽心过数据分类管理
❑企业中,用于确保证据可得的清晰的使用电子邮件的政策
44.IS审计师对于应用程控进行审查,应该评价:
❑应用程序对于业务流程的的效率
❑发现的隐患exposures的影响
❑应用程序服务的业务
❑应用程序的优化.
45.以下哪一个是最主要的优势,利用计算机司法软件进行调查:
❑维护保管的一系列电子证据
❑节约时间
❑效率和效益
❑寻求侵犯知识产权证据的能力
46.以下哪一个是使用ITF综合测试法的优势?
❑使用真实的或虚拟的主文档,IS审计师不需要审查交易的来源。
❑定期检验过程并不需要单独分离测试过程
❑证实应用程序并可测试正在进行的操作
❑它无需准备测试资料.
47.风险分析的一个关键因素是:
❑审计计划.
❑控制
❑弱点.Vulnerabilities
❑负债liabilities
48.IS审计师的决策和行动最有可能影响下面哪种风险?
❑固有风险
❑检查分析
❑控制风险
❑业务风险
49.在一台重要的服务器中,IS审计师发现了由已知病毒程序产生的木马程序,这个病毒可以利用操作系统的弱点。
IS审计师应该首先做什么?
❑调查病毒的作者.
❑分析操作系统日志
❑确保恶意代码已被清除
❑安装消除弱点vulnerability的补丁.
50.组织的IS部门希望确保用于信息处理设备的计算机文件有足够的备份以便能进行适当的恢复。
这是一种:
❑控制程序.
❑控制目标
❑纠正控制
❑运行控制.
51.IS审计师审计IT控制的效果,发现了一份以前的审计报告,但是没有工作记录workpapers,IS审计师应该怎么处理?
❑暂停审计直至找到工作记录
❑依靠以前的审计报告
❑对于风险最高的区域重新测试控制
❑通知审计管理层,重新测试控制
52.IS审计师审查组织结构主要是为了:
❑理解工作流程
❑调查各种沟通管道
❑理解个人的责任和权利
❑调查员工之间不同的联系管道
53.IS审计师审查对于应用程序的访问,以确定最近的10个"新用户"是否被争取的授权,这个例子是关于:
❑变数抽芽
❑实质性测试
❑符合性测试
❑停-走抽样.
54.当需要审计轨迹的时候,以下哪一种审计工具最有用?
❑综合测试法(ITF)
❑持续间断模拟(CIS)
❑审计钩(audithook)
❑快照
55.以下哪一个是实质性测试?
❑检查例外报告清单
❑确认对参数改变进行审批
❑对于磁带库列表进行统计抽样
❑审核密码历史记录
56.对于特定威胁的整体经营风险的威胁,可以表示如下:
❑一种产品的可能性和影响的重要性,如果威胁暴露了弱点
❑影响的重要性应该是威胁来源暴露了弱点
❑威胁来源暴露弱点的可能性
❑风险评估小组的整体判断
57.在审查客户主文档的时候,IS审计师发现很多客户的名字相同arisingfromvariationsincustomerfirstnames,为了进一步确定重复程度,IS设计师应该:
❑测试数据以确认输入数据
❑测试数据以确定系统排序能力
❑用通用审计软件确定地址字段的重复情况
❑用通用审计软件确定帐户字段的重复情况
58.通常,以下哪一种证据对IS审计师来说最可靠?
❑收到的来自第三方的核实账户余额确认信
❑一线经理确保应用程序如设计的方式工作
❑从internet来源得到的数据趋势(Trenddata)
❑由一线经理提供报告,IS审计师开发的比率分析(Ratioanalysis)
59.成功的实施控制自我评估(CSA)需要高度依赖:
❑一线管理人员承担部分监督管理责任
❑安排人员负责建置管理,而不是监督、控制
❑实施严格的控制策略,和规则驱动的控制
❑监督实施和并对控制职责进行监督
60.审计计划阶段,对于风险的评估用于提供:
❑审计覆盖重大事项的合理保证
❑明确保证重大事项在审计工作中被覆盖
❑审计覆盖所有事项的合理保证
❑充分保证所有事项在审计工作中被覆盖
61.下面哪一项是使用基于风险方法的审计计划的好处?
审计
❑排程可以提前完成.
❑预算更符合IS审计人员的需要
❑人员可以使用不同的技术
❑资源分配给高风险领域
62.IS审计人员使用数据流程图是用来
❑定义数据层次
❑突出高级别数据定义.
❑用图表化方式描述数据路径和存储
❑描绘一步一步数据产生的详细数据
63.在对数据中心进行安全审计时,通常审计师第一步要采取的是:
❑评级物理访问控制测试的结果
❑确定对于数据中心网站的风险/威胁
❑审查业务持续程序
❑测试对于可疑网站的物理访问的证据
64.高层管理要求IS审计师帮助部门管理者实施必要的控制,IS审计师应该:
❑拒绝这种安排,因为这不是审计人员的职责
❑告诉管理层将来他的审计工作无法进行
❑执行安排和将来的审计工作,处于职业谨慎
❑在得到使用者部门批准的情况下,进行实施和后续工作
65.在制定风险基础审计策略时,IS审计师需要进行风险评估审计,目的是保证:
❑减轻风险的控制到位
❑确定了脆弱性和威胁
❑审计风险的考虑.
❑Gap差距分析是合适的.
66.当通知审计结果时,IS审计师应该牢记他们的最终责任是对:
❑高级管理和/或审计委员会.
❑被审计单位的经理.
❑IS审计主管.
❑法律部门legalauthorities
67.对于抽样可以这样认为:
❑当相关的总体不具体或者是控制没有文文件记录时intangibleorundocumentedcontrol,适用于统计抽样。
❑如果审计师知道内部控制是强有力的,可以降低置信系数
❑属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。
❑变量抽样是一种技术,用于评估某种控制或一系列相关控制的发生率。
68.IS审计师评估系统变更的测试结果,这个系统用于处理缴纳结算paymentcomputation。
审计师发现50%的计算结果不能和预先定义的总数匹配。
IS审计师最有可能采取下面哪一步措施?
❑对于出错的计算,设计进一步的测试
❑确定可能导致测试结果错误的变量
❑检查部分测试案例,以便确认结果
❑记录结果,准备包括发现、结论和建议的报告
69.在实施对于多用户分布式应用程序的审核时,IS审计师发现在三个方面存在小的弱点:
初始参数设置不当,正在适用的弱密码,一些关键报告没有被很好的检查。
当准备审计报告时,IS审计师应该:
❑分别记录对于每个发现产生的相关影响。
(recordtheobservationsseparatelywiththeimpactofeachofthemmarkedagainsteachrespectivefinding.)
❑建议经理关于可能的风险不记录这些发现,因为控制弱点很小
❑记录发现的结果和由于综合缺陷引发的风险
❑报告部门领导重视每一个发现并在报告中适当的记录
70.人力资源的副总裁要求审计确定上一年度工资发放中多付报酬的部分,这种情况下最好使用下面哪一种审计技术?
❑测试资料
❑通用审计软件
❑ITF综合测试法
❑嵌入审计模块
71.持续审计方法的主要优点是:
❑当处理过程开始的时候,不要求审计师就系统的可靠性收集证据
❑当所有信息收集完成后,需要审计师审查并立即采取行动
❑可以提高系统的安全性,当使用分时环境处理大量的交易时
❑不依靠组织的计算机系统的复杂性。
72.在审计章程中记录的审计功能中的责任、权力和经营责任responsibility,authorityandaccountability,必须:
❑必须经最高管理层批准
❑经审计部门管理者批准
❑经用户部门领导批准
❑在每年IS审计师大会commencement之前修改
73.IS审计师从一个客户的数据库引入数据。
下一步需要确认输入数据是否完整,是由:
❑匹配输入数据的控制总数和原始数据的控制总数
❑对数据进行排序以确认是否数据和原始数据的序号相同
❑审查打印输出的前100条原始记录和输入数据的前100条记录
❑按照不同的分类过滤数据,和原始数据检验
74.在评估网络监测控制时,IS审计师第一步应该审核网络的
❑拓朴图.
❑带宽使用.
❑阻塞分析报告
❑瓶颈确定
75.IS审计师评估信息系统的管理风险。
IS审计师应该最先审查:
❑已经实施的控制
❑已经实施控制的有效性
❑资产的风险监督机制
❑资产的脆弱性和威胁
76.在有异议的情况下,离开审计面谈中,考虑到结果的影响,IS审计师应该:
❑要求被审计人员以签名的形式接受所有法律责任
❑阐述调查的意义和不纠正的风险
❑向审计委员会报告有异议的情况
❑接收被审计方的意见,因为他们有处理的所有权
77.确定商品库存的价值已超过八周,IS审计师最有可能是用:
❑测试资料.
❑统计抽样
❑综合测试法ITF
❑通用审计软件
78.下列哪一个是风险评估过程的描述?
风险评估是:
❑主观.
❑客观.
❑数学方法
❑统计
79.综合测试法ITF被认为是一个有用的工具,因为它:
❑对于审计应用控制来说,是一种具有成本效益的方式
❑允许财务和IS审计师整合他们的测试
❑将处理的输出结果与单独计算的数据进行比较。
❑为IS审计师提供分析大量信息的工具
80.在审计报告确认发现的结果finding后,被审计方迅速采取了纠正行动。
审计师应该:
❑在最后报告中包括发现的结果,因为IS师要负责正确的审计报告包括所有的发现结果。
❑在最后的调查报告中不包括发现结果, 因为审计报告仅仅包括未解决的发现结果
❑在最后的调查报告中不包括发现结果, 因为在审计师审计期间,纠正行动已经被确认。
❑包括结果,仅仅在闭幕会议上讨论调查之用。
81.以风险为基础的审计方法,IS审计师应该首先完成:
❑固有的风险评估.
❑控制风险评估.
❑控制测试评估.
❑实质性测试评估.
第一章答案
01-10:
ddcaadcacb
11-20:
daccbbabcd
21-30:
acaacdabcd
31-40:
ddabdabcaa
41-50:
cbababcbcb
51-60:
dcbbcacaaa
61-70:
dcbbbabccb
71-81:
caaadbdacaa
Chapter2
1.下面哪一种IT治理是提高战略联盟(alignment)的最佳做法?
❑供货商和合作伙伴的风险管理.
❑基于客户、产品、市场、流程的知识库实施到位.
❑提供有利于于建立和共享商业信息的组织结构.
❑高层之间对于业务和技术责任的协调
2.建立可接受的风险水平的责任属于:
❑质量保证经理.
❑高级业务管理.
❑CIO首席信息主管.
❑首席安全主管
3.作为信息安全治理成果,战略联盟提供:
❑企业需求驱动的安全要求.
❑按照最佳实践制定的安全基线.
❑专门的或客户定制的解决方案.
❑了解风险.
4.如果缺乏高层管理人员对于战略计划的许诺(commitment),最可能的后果是:
❑缺乏技术投资.
❑缺乏系统开发的方法.
❑技术与组织目标不一致.
❑缺乏对于技术合同的控制.
5.用自下而上的方法来开发组织政策的优势在于这样开发的政策:
❑为组织整体而指定.
❑更可能来自于风险评估的结果.
❑与企业整体政策不会冲突.
❑确保整个组织的一致性
6.IS审计师发现并不是所有的员工都知道企业的信息安全政策.IS审计师可以得出的结论是:
❑这种无知有可能导致意外泄漏敏感数据
❑信息安全并非对所有功能都是关键的.
❑IS审计师应该为员工提供安全培训.
❑审计结果应该使管理者为员工提供持续的培训
7.有效的IT治理应该确保IT计划符合组织的:
❑业务计划.
❑审计计划.
❑安全计划.
❑投资计划.
8.当通信分析人员进行下面哪一项的时候,IS审
升级会员 