領(lǐng)域：信息系統(tǒng)審計流程附有答案

領(lǐng)域1：信息系統(tǒng)審計流程[復(fù)制]A1-1內(nèi)部審計部門編寫了一些腳本，用于對某些信息系統(tǒng)持續(xù)審計。IT部門要求獲得腳本副本，以用來在關(guān)鍵系統(tǒng)上設(shè)立連續(xù)監(jiān)控流程。與IT部門分享這些腳本是否會影響信息系統(tǒng)審計師獨立、客觀地審計IT部門的能力？[單選題]*A.不允許分享腳本，因為這會使IT部門能夠?qū)ο到y(tǒng)進行預(yù)審計并避開精確、全面的審計。B.無論是否削弱審計獨立性都需要分享腳本，因為IT部門必須能夠?qū)徍嗽谛畔⑾到y(tǒng)上運行的所有程序和軟件。C.如果IT部門認(rèn)識到審計還可能在腳本覆蓋范圍以外進行，便可以允許分享腳本。(正確答案)D.不允許分享腳本，因為編寫腳本的信息系統(tǒng)審計師將不被允許審計任何使用該腳本進行監(jiān)控的信息系統(tǒng)。答案解析：A.IT部門持續(xù)地監(jiān)控和處理IT系統(tǒng)問題的能力不會影響信息系統(tǒng)審計進行全面審計的能力。B.可能為了質(zhì)量保證和配置管理而在政策上需要分享腳本，但是這不會損害審計的能力。C.IS審計仍然可以審核系統(tǒng)的所有方面。他們可能無法審核腳本的有效性，但仍然能夠?qū)ο到y(tǒng)進行審計。D.信息系統(tǒng)審計涵蓋的范圍不只是腳本中覆蓋的控制。A1-2在信息系統(tǒng)合規(guī)性審計的規(guī)劃階段，以下哪個是決定所需的數(shù)據(jù)收集范圍的最佳因素？[單選題]*A.組織業(yè)務(wù)的復(fù)雜性。B.上一年度提到的發(fā)現(xiàn)和問題。C.審計的目的、目標(biāo)和范圍。(正確答案)D.審計師對組織的熟悉程度。答案解析：A.組織運營的復(fù)雜性是在規(guī)劃審計時需要考慮的因素，但不會對數(shù)據(jù)收集量的確定產(chǎn)生直接影響。數(shù)據(jù)收集的范圍取決于審計的強度、范圍和目的。B.之前的發(fā)現(xiàn)和問題是在規(guī)劃審計時需要考慮的因素，但不會對數(shù)據(jù)收集量的確定產(chǎn)生直接影響。必須在之前發(fā)現(xiàn)的范圍以外進行數(shù)據(jù)收集。C.在IS審計期間，所收集數(shù)據(jù)的范圍應(yīng)與審計的目的、目標(biāo)和范圍直接相關(guān)。目的、目標(biāo)和范圍有限的審計所收集的數(shù)據(jù)很可能比目的和范圍較廣的審計要少。統(tǒng)計分析也可能決定數(shù)據(jù)收集的范圍，如樣本量或數(shù)據(jù)收集的方式。D.審計師對組織的熟悉程度是在規(guī)劃審計時需要考慮的因素，但不會對數(shù)據(jù)收集量的確定產(chǎn)生直接影響。審計必須以足夠的控制監(jiān)控證據(jù)為基礎(chǔ)，而且不受審計師對組織的熟悉程度的不當(dāng)影響。A1-3某信息系統(tǒng)審計師正在針對包含新系統(tǒng)的環(huán)境制訂一項審計計劃。組織的管理層級希望該信息系統(tǒng)審計師著重關(guān)注最新實施的系統(tǒng)。該信息系統(tǒng)審計師應(yīng)如何去做？[單選題]*A.按管理層的要求審計新系統(tǒng)。B.審計去年審計范圍以外的系統(tǒng)。C.確定風(fēng)險最高的系統(tǒng)，然后相應(yīng)地制訂計劃。(正確答案)D.審計去年審計范圍以外的系統(tǒng)和新系統(tǒng)。答案解析：A.審計新系統(tǒng)不能反映基于風(fēng)險的方法。盡管系統(tǒng)可能包含敏感數(shù)據(jù)并可能給組織帶來數(shù)據(jù)丟失或泄露的風(fēng)險，但在未經(jīng)過風(fēng)險評估的情況下，僅審計新實施系統(tǒng)的決定不是基于風(fēng)險所做出的。B.審計去年審計范圍之外的系統(tǒng)不能反映基于風(fēng)險的方法。此外，管理層可能清楚新系統(tǒng)存在的問題，并刻意想讓審計繞開這一薄弱領(lǐng)域。盡管乍看之下，新系統(tǒng)可能是最具風(fēng)險的領(lǐng)域，但也必須執(zhí)行評估，而不能依賴信息系統(tǒng)審計師或IT經(jīng)理的判斷。C.最佳措施是執(zhí)行風(fēng)險評估并制訂審計計劃，以涵蓋最高風(fēng)險領(lǐng)域。ISACA信息系統(tǒng)審計和鑒證標(biāo)準(zhǔn)1202（規(guī)劃中的風(fēng)險評估），主張1202.1：“信息系統(tǒng)審計和鑒證職能部門應(yīng)運用恰當(dāng)?shù)娘L(fēng)險評估方法和配套方法來制訂總體的信息系統(tǒng)審計計劃和確定有效分配信息系統(tǒng)審計資源的優(yōu)先順序。”D.審計計劃的制訂應(yīng)與管理部門合作進行，并且以風(fēng)險為基礎(chǔ)。信息系統(tǒng)審計師不應(yīng)擅自決定審計范圍。A1-4某信息系統(tǒng)審計師正在對一個基于Web的關(guān)鍵系統(tǒng)的安全控制進行實施前審查。滲透測試結(jié)果尚不確定，并且在實施前無法最終得出結(jié)果。以下哪項是該信息系統(tǒng)審計師的最佳選擇？[單選題]*A.根據(jù)可用信息發(fā)布一份報告，突出強調(diào)潛在的安全漏洞，并要求進行后續(xù)審計測試。(正確答案)B.發(fā)布一份報告，忽略沒有從測試中獲得決定性證據(jù)的領(lǐng)域。C.請求延遲實施日期，直到能夠完成其他安全測試且能夠獲得相應(yīng)控制證據(jù)。D.通知管理層，審計工作無法在實施前完成，并且建議推遲審計。答案解析：A.如果信息系統(tǒng)審計師無法在議定的時間范圍內(nèi)充分鑒證關(guān)鍵系統(tǒng)的安全，則應(yīng)在審計報告中突出強調(diào)該事實并在日后安排后續(xù)測試。然后，管理部門才可根據(jù)確定的潛在漏洞的重要程度，來決定是否需要延遲系統(tǒng)的上線日期。B.信息系統(tǒng)審計師由于無法在議定的審計時間內(nèi)得到?jīng)Q定性證據(jù)而忽略潛在漏洞的領(lǐng)域是不可接受的。如果在審計報告中忽略這些領(lǐng)域，則會違反ISACA信息系統(tǒng)審計和鑒證標(biāo)準(zhǔn)。C.在此情形中，如果系統(tǒng)涉及關(guān)鍵業(yè)務(wù)，則不太可能允許延長審計時間和延遲上線日期。無論如何，是否延遲上線日期必須由業(yè)務(wù)管理部門而不是信息系統(tǒng)審計師來決定。在這種情況下，信息系統(tǒng)審計師應(yīng)在議定日期前向業(yè)務(wù)管理部門提供所有可用信息。D.未能在審計項目的某個部分獲得充分證據(jù)不能成為取消或延緩審計的理由，這會違反應(yīng)有的職業(yè)謹(jǐn)慎的審計準(zhǔn)則。A1-5在無法對職責(zé)進行適當(dāng)分離的環(huán)境中，信息系統(tǒng)審計師將會尋求以下哪一種控制？[單選題]*A.重疊控制。B.邊界控制。C.訪問控制。D.補償性控制。(正確答案)答案解析：A.重疊控制是針對同一控制目標(biāo)或風(fēng)險敞口實施的兩種控制。因為在無法或沒有適當(dāng)分離職責(zé)時不能實施主要控制，因此很難采取重疊控制措施。B.邊界控制用于在計算機系統(tǒng)的目標(biāo)用戶與計算機系統(tǒng)本身之間建立接口，并且是基于個人而非角色的控制。C.對資源的訪問控制基于個人而非角色。如果缺少職責(zé)分離，則信息系統(tǒng)審計師預(yù)期會發(fā)現(xiàn)有人擁有的權(quán)限比理想的要高。信息系統(tǒng)審計師需要找到補償性控制來解決該風(fēng)險。D.補償控制屬于內(nèi)部控制，在無法適當(dāng)分離職責(zé)時，可以降低現(xiàn)有的或潛在的控制弱點可能面臨的風(fēng)險。A1-6以下哪項是控制自我評估的主要優(yōu)點？[單選題]*A.管理者在支持業(yè)務(wù)目標(biāo)的內(nèi)部控制方面的責(zé)任得到了強化。(正確答案)B.如果評估結(jié)果是外部審計工作的輸入，審計費用會降低。C.舞弊偵測會有所改進，因為企業(yè)內(nèi)部人員參與了測試控制。D.內(nèi)部審計師可通過使用評估結(jié)果轉(zhuǎn)到咨詢式的方法。答案解析：A.控制自我評估（CSA）的目標(biāo)是使企業(yè)管理人員更加了解內(nèi)部控制的重要性以及他們在公司治理方面的責(zé)任。B.減少審計費用不是CSA的主要優(yōu)點。C.盡管改進舞弊偵測很重要，但其重要性不及控制所有權(quán)。它不是CSA的首要目標(biāo)。D.CSA可以豐富內(nèi)部審計師的見解，使他們發(fā)揮更大的咨詢作用，但這是一個額外的優(yōu)點，而不是主要優(yōu)點。A1-7數(shù)據(jù)挖掘和審計軟件工具應(yīng)該滿足哪項主要需求？該軟件工具應(yīng)該：[單選題]*A.與各種類型的企業(yè)資源規(guī)劃軟件和數(shù)據(jù)庫具備接口。B.準(zhǔn)確地捕捉來自組織系統(tǒng)的數(shù)據(jù)，而且不產(chǎn)生過多的性能問題。(正確答案)C.將審計勾引入組織的財務(wù)系統(tǒng)，以便為連續(xù)審計提供支持。D.具有可定制性并且支持加入客戶編程，以便幫助調(diào)查分析。答案解析：A.產(chǎn)品必須與組織使用的各種類型的系統(tǒng)具備接口，并為分析提供有意義的數(shù)據(jù)。B.在對用于審計和數(shù)據(jù)挖掘的軟件工具進行評估時，盡管所有列為答案選項的要求均有可取之處，但最關(guān)鍵的要求是該工具能夠有效地在被審計組織的系統(tǒng)上運行。C.該工具可能不僅限于在財務(wù)系統(tǒng)上運行，而且不一定需要實施審計鉤。D.該工具應(yīng)該很靈活，但不必具有可定制性。它應(yīng)具有內(nèi)置分析軟件工具。A1-8一名具有強大技術(shù)背景和豐富管理經(jīng)驗的長期IT員工申請了信息系統(tǒng)審計部門的空缺職位。除了個人經(jīng)驗，還最應(yīng)該根據(jù)以下哪項來確定該職位是否雇用這個人？[單選題]*A.工齡，因為這有助于確保技術(shù)能力。B.年齡，因為進行審計技術(shù)培訓(xùn)可能不實際。C.IT知識，因為這將增強審計職能的可信度。D.作為信息系統(tǒng)審計師，能否獨立于現(xiàn)有IT關(guān)系。(正確答案)答案解析：A.工齡不能確保技術(shù)能力。B.根據(jù)個人年齡來評估其資質(zhì)并不是一個好標(biāo)準(zhǔn)，這在世界許多地方都是非法的。C.此員工從事IT工作多年并不能保證可信度。應(yīng)對IS審計部門的需求進行定義，需要對照這些要求對任意候選人進行評估。D.審計師和管理人員應(yīng)持續(xù)評估獨立性。此評估應(yīng)考慮的因素包括：人際關(guān)系的變化、經(jīng)濟利益以及以前的工作分配和職責(zé)。A1-9對于一家交易量巨大的零售企業(yè)來說，下面哪項是最適合應(yīng)對新出現(xiàn)的風(fēng)險的審計技術(shù)？[單選題]*A.使用計算機輔助審計技術(shù)。B.季度風(fēng)險評估。C.交易日志抽樣。D.持續(xù)性審計。(正確答案)答案解析：A.使用計算機輔助審計技術(shù)等軟件工具分析交易數(shù)據(jù)的做法可以提供對趨勢和潛在風(fēng)險的詳細(xì)分析，但其有效性不如持續(xù)性審計，這是因為在運行軟件和分析結(jié)果之間可能有時間差。B.季度風(fēng)險評估也是不錯的技術(shù)，但是不如持續(xù)性審計反應(yīng)迅速。C.對交易日志抽樣是一種有效的審計技術(shù)；但是，可能無法從交易日志中捕捉到可能存在的風(fēng)險，且分析中可能有時間滯后。D.實現(xiàn)持續(xù)性審計能夠通過自動報告流程為管理層實時地提供信息，因此管理層可更快地實施糾正行動。A1-10某信息系統(tǒng)審計師正在審查某應(yīng)用程序的訪問權(quán)限，以確定最近添加的賬戶是否經(jīng)過適當(dāng)授權(quán)。這是以下哪一項的示例？[單選題]*A.變量抽樣。B.實質(zhì)性測試。C.符合性測試。(正確答案)D.停—走抽樣。答案解析：A.變量抽樣用于評估數(shù)值，如美元價值。B.實質(zhì)性測試用于證實實際處理流程（如財務(wù)報表結(jié)余）的完整性。實質(zhì)性測試的進行通常取決于符合性測試的結(jié)果。如果符合性測試指出存在充分的內(nèi)部控制，則可以盡量減少實質(zhì)性測試。C.符合性測試可確定控制措施是否是按照政策來執(zhí)行的。這包括用于確定新賬戶是否經(jīng)過適當(dāng)授權(quán)的測試。D.?！叱闃訒箿y試盡早停止，不適合檢查是否已遵循流程。A1-11信息系統(tǒng)審計師的決定和行動最可能影響以下哪種風(fēng)險？[單選題]*A.固有風(fēng)險。B.檢測風(fēng)險。(正確答案)C.控制風(fēng)險。D.業(yè)務(wù)風(fēng)險。答案解析：A.固有風(fēng)險是在沒有有關(guān)的內(nèi)部控制來防止或檢測錯誤的情況下，可能發(fā)生實質(zhì)性錯誤的風(fēng)險。固有風(fēng)險通常不受信息系統(tǒng)審計師影響。B.檢測風(fēng)險直接受到信息系統(tǒng)審計師選擇的審計流程和技術(shù)的影響。檢測風(fēng)險是審核不能檢測或注意到實質(zhì)問題的風(fēng)險。C.控制風(fēng)險是指無法通過內(nèi)部控制系統(tǒng)及時阻止或檢測到存在的實質(zhì)性錯誤的風(fēng)險。控制風(fēng)險可通過組織管理層的行動得到緩解。D.業(yè)務(wù)風(fēng)險是損失（或收益）的頻率和程度都不確定的可能情形。業(yè)務(wù)風(fēng)險通常不受信息系統(tǒng)審計師直接影響。A1-12規(guī)劃信息系統(tǒng)審計時，以下哪項是最關(guān)鍵的步驟？[單選題]*A.回顧之前審計的結(jié)果。B.執(zhí)行管理層批準(zhǔn)審計計劃。C.審查信息安全政策和程序。D.執(zhí)行風(fēng)險評估。(正確答案)答案解析：A.審計師可以對之前審計的結(jié)果有興趣，但這不是最關(guān)鍵的步驟。最關(guān)鍵的步驟涉及發(fā)現(xiàn)當(dāng)前問題或風(fēng)險最高的領(lǐng)域，而不是回顧以往問題的解決方法。對歷史審計結(jié)果進行回顧可能暴露出管理層不解決問題，或建議無效。B.執(zhí)行管理層不必批準(zhǔn)審計計劃。它通常由審計委員會或董事會批準(zhǔn)。管理層可以建議需要審計的領(lǐng)域。C.審查信息安全政策和程序一般是在現(xiàn)場工作期間，而不是在規(guī)劃中進行。D.上述所有步驟中，執(zhí)行風(fēng)險評估最為關(guān)鍵。ISACA信息系統(tǒng)審計和鑒證標(biāo)準(zhǔn)1202（規(guī)劃中的風(fēng)險評估），主張1202.2中要求進行風(fēng)險評估：“在規(guī)劃審計任務(wù)時，信息系統(tǒng)審計和鑒證專業(yè)人員應(yīng)識別和評估與審查領(lǐng)域相關(guān)的風(fēng)險?！背擞袠?biāo)準(zhǔn)要求，如果沒有執(zhí)行風(fēng)險評估，則可能無法發(fā)現(xiàn)受審方系統(tǒng)或操作中的高風(fēng)險領(lǐng)域，從而無法實現(xiàn)評估目的。A1-13一位信息系統(tǒng)審計師正在審查一款以面向服務(wù)架構(gòu)的原則為基礎(chǔ)構(gòu)建的軟件應(yīng)用程序。第一步應(yīng)該是：[單選題]*A.通過查看服務(wù)資料庫文檔，來了解服務(wù)及其在業(yè)務(wù)流程上的分配。(正確答案)B.對以安全斷言標(biāo)記語言為代表的服務(wù)安全標(biāo)準(zhǔn)的使用進行抽樣。C.查看為所有系統(tǒng)提供商設(shè)立的服務(wù)水平協(xié)議。D.審計核心服務(wù)及其對其他系統(tǒng)的依賴性。答案解析：A.面向服務(wù)的架構(gòu)依賴分布式環(huán)境的原則，在分布式環(huán)境中，服務(wù)將業(yè)務(wù)邏輯封裝為黑箱，并可能有意結(jié)合在一起以描述實際業(yè)務(wù)流程。在詳細(xì)審查服務(wù)之前，信息系統(tǒng)審計師理解業(yè)務(wù)流程到服務(wù)的映射是非常必要的。B.對以安全斷言標(biāo)記語言為代表的服務(wù)安全標(biāo)準(zhǔn)的使用進行抽樣是了解服務(wù)及其向業(yè)務(wù)分配的重要后續(xù)步驟，但不是第一步。C.查看服務(wù)水平協(xié)議是了解服務(wù)及其向業(yè)務(wù)分配的重要后續(xù)步驟，但不是第一步。D.審計核心服務(wù)及其對其他服務(wù)的依賴性很可能是審計的一部分，但是信息系統(tǒng)審計師必須首先理解業(yè)務(wù)流程及系統(tǒng)如何支持這些流程。A1-14一位審查軟件使用和許可情況的信息系統(tǒng)審計師發(fā)現(xiàn)許多PC含有未經(jīng)授權(quán)的軟件。該信息系統(tǒng)審計師應(yīng)采取以下哪項行動？[單選題]*A.刪除未經(jīng)授權(quán)的軟件的所有副本。B.建議利用自動化流程來監(jiān)測軟件許可合規(guī)性。C.報告使用未經(jīng)授權(quán)的軟件的行為以及防止這種情況再次發(fā)生的必要性。(正確答案)D.警告最終用戶有關(guān)使用非法軟件的風(fēng)險。答案解析：A.信息系統(tǒng)審計師不應(yīng)擔(dān)當(dāng)執(zhí)法人員的角色，也不應(yīng)親自參與刪除未經(jīng)授權(quán)的軟件。B.這可以監(jiān)測軟件許可合規(guī)性。然而，自動化解決方案并不一定是所有場合的最佳選擇。C.組織應(yīng)禁止使用未經(jīng)授權(quán)的或非法的軟件。信息系統(tǒng)審計師必須使用戶以及管理層確信該風(fēng)險以及消除該風(fēng)險的必要性。例如，軟件盜版可導(dǎo)致風(fēng)險敞口和高額罰款。D.審計師必須向管理層報告實質(zhì)性發(fā)現(xiàn)，以采取行動。向用戶告知風(fēng)險不是信息系統(tǒng)審計師的主要責(zé)任。A1-15審計章程應(yīng)該：[單選題]*A.是動態(tài)和變化的，與技術(shù)和審計行業(yè)不斷變化的性質(zhì)相一致。B.明確說明對于負(fù)責(zé)維護和審查內(nèi)部控制的管理機構(gòu)的審計目標(biāo)和授權(quán)。C.記錄用于實現(xiàn)審計目標(biāo)的審計流程。D.概述審計職能部門的整體權(quán)限、范圍和責(zé)任。(正確答案)答案解析：A.審計章程不應(yīng)受技術(shù)變化的影響，也不應(yīng)隨時間的遷移發(fā)生重大變化。章程應(yīng)由最高管理層批準(zhǔn)。B.審計章程會說明審計的權(quán)限和報告要求，但不會說明內(nèi)部控制維護的細(xì)節(jié)。C.審計章程不會很詳細(xì)，因此，不會包含具體審計目標(biāo)或程序。D.審計章程應(yīng)說明對于信息系統(tǒng)審計師的管理目標(biāo)以及授權(quán)。A1-16某信息系統(tǒng)審計師發(fā)現(xiàn)，少量用戶訪問請求未通過正常的預(yù)定工作流程步驟和上報規(guī)則獲得經(jīng)理授權(quán)。信息系統(tǒng)審計師應(yīng)：[單選題]*A.執(zhí)行額外分析。(正確答案)B.將問題報告給審計委員會。C.執(zhí)行安全風(fēng)險評估。D.建議身份管理系統(tǒng)負(fù)責(zé)人解決工作流程問題。答案解析：A.信息系統(tǒng)審計師需要執(zhí)行實質(zhì)性測試以及額外分析，以確定審批和工作流程沒有按預(yù)期生效的原因。在做出任何建議之前，信息系統(tǒng)審計師應(yīng)充分了解問題范圍以及引起該事件的因素。信息系統(tǒng)審計師應(yīng)確定問題是由于經(jīng)理未遵守程序而產(chǎn)生的，還是由于自動化系統(tǒng)工作流程的問題而導(dǎo)致的，或者兩者兼有。B.信息系統(tǒng)審計師此時還沒有足夠的信息報告問題。C.改變信息系統(tǒng)審計的范圍或進行安全風(fēng)險評估需要關(guān)于被審流程和違規(guī)的更詳細(xì)的信息。D.信息系統(tǒng)審計師必須首先確定問題的根本原因和影響，此時還沒有足夠的信息建議修正工作流程問題。A1-17進行符合性測試時，以下哪種抽樣方法最有用？[單選題]*A.屬性抽樣。(正確答案)B.變量抽樣。C.分層單位均值抽樣。D.差異估計抽樣。答案解析：A.屬性抽樣是用于符合性測試的主要抽樣方法。屬性抽樣是一種抽樣模型，用于估算總體中特定性質(zhì)（屬性）的發(fā)生率，并在符合性測試中用于確認(rèn)該性質(zhì)是否存在。例如，屬性抽樣可能檢查超過一定的預(yù)定金額的交易是否經(jīng)過合適的批準(zhǔn)。B.變量抽樣基于對總體中抽出的樣本的均值的計算，并使用均值估計總體的特性。例如，一個包含10個商品的樣本，其商品的平均價格為10美元。對于包含1000個商品的總體，其價值可估計為10000美元。這不是衡量對流程的遵守程度的好方法。C.分層均值抽樣試圖確保樣本能夠代表總體。這不是衡量合規(guī)性的有效方法。D.差異估計抽樣檢查方法的偏離和異常項目，不是衡量合規(guī)性的好方法。A1-18對遠(yuǎn)程系統(tǒng)的程序變更請求進行測試時，信息系統(tǒng)審計師發(fā)現(xiàn)可用于抽樣的變更數(shù)量無法提供合理水平的鑒證。信息系統(tǒng)審計師最好采取以下哪項措施？[單選題]*A.制定替代的測試程序。(正確答案)B.向管理層報告發(fā)現(xiàn)的問題。C.對變更管理流程執(zhí)行瀏覽審查。D.創(chuàng)建額外的樣本數(shù)據(jù)，以測試額外的變更。答案解析：A.如果給定數(shù)據(jù)不能滿足目標(biāo)樣本量，信息系統(tǒng)審計師將無法保證達到相關(guān)測試目標(biāo)。在這種情況下，信息系統(tǒng)審計師應(yīng)制定（經(jīng)審計管理層批準(zhǔn)后）替代的測試程序。B.沒有足夠的證據(jù)將發(fā)現(xiàn)結(jié)果作為缺陷進行報告。C.在執(zhí)行分析以確認(rèn)能否提供所需鑒證之前，不應(yīng)啟動瀏覽審查。D.對于信息系統(tǒng)審計師來說，為了審計的目的而創(chuàng)建樣本數(shù)據(jù)并不合適。A1-19以下哪種情況可能削弱信息系統(tǒng)審計師的獨立性？信息系統(tǒng)審計師：[單選題]*A.在應(yīng)用開發(fā)過程中實施了特定功能。(正確答案)B.為審計設(shè)計了嵌入式審計模塊。C.以應(yīng)用系統(tǒng)項目團隊成員的身份參與，并且沒有操作職責(zé)。D.提供了應(yīng)用良好實踐方面的咨詢建議。答案解析：A.如果信息系統(tǒng)審計師正在或曾經(jīng)積極參與了應(yīng)用系統(tǒng)的開發(fā)、購置和實施，則獨立性可能被削弱。B.設(shè)計嵌入式審計模塊不會削弱信息系統(tǒng)審計師的獨立性。C.信息系統(tǒng)審計師不應(yīng)審計自己的作品，但是僅以應(yīng)用系統(tǒng)項目團隊成員的身份參與不會削弱信息系統(tǒng)審計師的獨立性。D.信息系統(tǒng)審計師提供有關(guān)已知良好實踐的建議并不會削弱其獨立性。A1-20連續(xù)審計方法的主要優(yōu)點是：[單選題]*A.不需要信息系統(tǒng)審計師在系統(tǒng)進行處理時收集有關(guān)系統(tǒng)可靠性的證據(jù)。B.允許信息系統(tǒng)審計師及時地審查和跟進審計問題。(正確答案)C.使安全部門而非審計承擔(dān)實施和監(jiān)督控制的責(zé)任。D.簡化了從多個復(fù)雜系統(tǒng)的數(shù)據(jù)抽取和關(guān)聯(lián)。答案解析：A.連續(xù)審計方法經(jīng)常需要信息系統(tǒng)審計師在系統(tǒng)進行處理時收集有關(guān)系統(tǒng)可靠性的證據(jù)。B.連續(xù)審計能夠?qū)崿F(xiàn)及時審計并響應(yīng)審計問題，因為審計結(jié)果幾乎是實時收集的。C.實施和監(jiān)督控制的責(zé)任主要是管理層的責(zé)任。D.連續(xù)審計的使用不以受監(jiān)控的系統(tǒng)的復(fù)雜性和數(shù)量為依據(jù)。A1-21以下哪項會削弱質(zhì)量保證團隊的獨立性？[單選題]*A.確保遵循開發(fā)方法。B.檢查測試假設(shè)。C.修正測試過程中出現(xiàn)的編碼錯誤。(正確答案)D.檢查代碼以確保正確記錄。答案解析：A.確保遵循開發(fā)方法是有效的質(zhì)量保證職能。B.檢查測試假設(shè)是有效的質(zhì)量保證職能。C.代碼修正不應(yīng)當(dāng)是質(zhì)量保證團隊的責(zé)任，因為這樣便無法確保職責(zé)分離，從而削弱團隊的獨立性。D.檢查代碼以確保正確記錄是有效的質(zhì)量保證職能。A1-22在規(guī)劃信息系統(tǒng)審計時，最關(guān)鍵的步驟是確定：[單選題]*A.重大風(fēng)險區(qū)域。(正確答案)B.審計人員的技能組合。C.審計中的測試步驟。D.分配給審計的時間。答案解析：A.設(shè)計基于風(fēng)險的審計計劃時，識別風(fēng)險最高的區(qū)域以確定要審計的區(qū)域非常重要。B.在決定和選擇審計之前，應(yīng)考慮審計人員的技能組合。如果審計人員技能不夠，組織應(yīng)考慮使用外部資源。C.在審計規(guī)劃過程中，審計的測試步驟不如確定應(yīng)審計的風(fēng)險區(qū)域關(guān)鍵。D.分配給審計的時間是根據(jù)要審計的領(lǐng)域，并且主要根據(jù)進行適當(dāng)審計的要求在規(guī)劃過程中決定的。A1-23在判斷運作有效性控制是否適當(dāng)?shù)貞?yīng)用到交易處理時，以下哪項審計實踐最有效？[單選題]*A.控制設(shè)計測試。B.進行實質(zhì)性測試。(正確答案)C.檢查相關(guān)文檔。D.實施關(guān)于風(fēng)險防范的測試。答案解析：A.控制設(shè)計測試旨在評估控制是不是根據(jù)具體控制目標(biāo)制定的，無法確定控制是否有效執(zhí)行。B.在文檔審查、瀏覽審查等其他方法中，控制測試是評估控制能否準(zhǔn)確地為運作有效性提供支持的最有效流程。C.控制文檔可能并不能始終準(zhǔn)確地描述實際流程。因此，依賴文檔審查的審計師并不能十分肯定控制的運作符合預(yù)期。D.實施關(guān)于風(fēng)險防范的測試被視為符合性測試。這種測試用于確定是否遵守政策。A1-24在信息系統(tǒng)審計期間，所收集數(shù)據(jù)的范圍應(yīng)根據(jù)以下哪個選項確定？[單選題]*A.關(guān)鍵和必需的信息的可用性。B.審計師對環(huán)境的熟悉程度。C.受審方查找相關(guān)證據(jù)的能力。D.正在執(zhí)行的審計的目的和范圍。(正確答案)答案解析：A.在信息系統(tǒng)審計期間，所收集數(shù)據(jù)的范圍應(yīng)根據(jù)審計的范圍、目的和要求決定，而不受獲取信息的容易性或信息系統(tǒng)審計師對所審計區(qū)域的熟悉程度限制。B.信息系統(tǒng)審計師必須客觀和徹底，不因根據(jù)對所審計區(qū)域的熟悉得出先入為主的結(jié)果而遭受審計風(fēng)險的影響。C.收集所有所需證據(jù)是IS審計的必備要素，審計的范圍不應(yīng)被受審方查找相關(guān)證據(jù)的能力所限制。如果不能獲得現(xiàn)成的證據(jù)，則審計師必須確?？紤]其他形式的審計，以確保審計區(qū)域的合規(guī)性。D.在IS審計期間，所收集數(shù)據(jù)的范圍應(yīng)直接與審計的范圍和目的有關(guān)。目的和范圍較窄的信息系統(tǒng)審計或只是高層次的審查很有可能比目的和范圍較寬的審計所需的數(shù)據(jù)收集量要少。A1-25在規(guī)劃信息系統(tǒng)審計時，應(yīng)該進行風(fēng)險評估以提供：[單選題]*A.審計工作將涵蓋重要項目的合理保證。(正確答案)B.審計工作將涵蓋重要項目的確切保證。C.審計工作將涵蓋所有項目的合理保證。D.審計工作將涵蓋所有項目的充分保證。答案解析：A.ISACA信息系統(tǒng)審計和鑒證指南2202（風(fēng)險評估與審計規(guī)劃）主張，使用的風(fēng)險評估方法應(yīng)有助于信息系統(tǒng)審計和鑒證工作的優(yōu)先級安排和計劃過程。風(fēng)險評估應(yīng)該為審計有興趣領(lǐng)域和項目的選擇過程及設(shè)計并執(zhí)行具體的信息系統(tǒng)審計項目的決定過程提供支持。B.審計工作將涵蓋重要項目的確切保證是不切實際的主張。C.審計工作將涵蓋所有項目的合理保證并非正確答案，因為需要涵蓋的是重要項目，而不是所有項目。D.充分保證將涵蓋所有項目不如確保審計涵蓋所有重要項目重要。A1-26發(fā)現(xiàn)共享用戶賬戶時，信息系統(tǒng)審計師要采取的最適當(dāng)措施是：[單選題]*A.向?qū)徲嬑瘑T會告知潛在的問題。B.審查有問題ID的審計日志。C.記錄發(fā)現(xiàn)并說明使用共享ID的風(fēng)險。(正確答案)D.要求從系統(tǒng)中刪除這些ID。答案解析：A.在進行更詳細(xì)的審查并向管理層提交結(jié)果要求回復(fù)之前，信息系統(tǒng)審計師向?qū)徲嬑瘑T會報告結(jié)果的舉動是不恰當(dāng)?shù)?。B.由于共享ID無法明確個人問責(zé)性，所以檢查審計日志也沒有用。C.信息系統(tǒng)審計師的角色是檢測并記錄結(jié)果和控制缺陷。審計報告的作用則是，解釋結(jié)果背后的論據(jù)。不建議使用共享ID，因為此做法無法明確交易問責(zé)性。信息系統(tǒng)審計師應(yīng)讓管理層決定如何應(yīng)對所提交的結(jié)果。D.要求將ID從系統(tǒng)中移除不是信息系統(tǒng)審計師的責(zé)任。A1-27信息系統(tǒng)審計師正在進行符合性測試，以確定控制措施是否支持管理政策和程序。測試將有助信息系統(tǒng)審計師確定：[單選題]*A.控制是否有效執(zhí)行。B.控制是否在按設(shè)計預(yù)期運行。(正確答案)C.數(shù)據(jù)控制的完整性。D.財務(wù)報告控制的合理性。答案解析：A.有效執(zhí)行控制很重要，但在這種情況下，目的是要確?？刂浦С止芾碚吆统绦?。因此，重要的問題是控制是否正確運作，從而能夠?qū)崿F(xiàn)控制目標(biāo)。B.符合性測試可用來測試定義的流程的存在和有效性。了解符合性測試的目標(biāo)非常重要。信息系統(tǒng)審計師希望其所依賴的控制的有效性具有合理的保證。有效的控制是符合管理期望和目標(biāo)的控制。C.與數(shù)據(jù)完整性相關(guān)的是實質(zhì)性測試，而非符合性測試。D.確定財務(wù)報告控制的合理性是個非常狹窄的答案，因為它僅限于財務(wù)報告。符合確定控制是否合理這一目標(biāo)，但是并不確?？刂普_地運作，從而為管理期望和目標(biāo)提供支持。A1-28人力資源副總裁要求進行信息系統(tǒng)審計，以確定上一年多付的工資額。在這種情況下，最佳的審計技術(shù)是什么？[單選題]*A.生成樣本測試數(shù)據(jù)。B.通用審計軟件。(正確答案)C.集成測試設(shè)施。D.嵌入式審計模塊。答案解析：A.測試數(shù)據(jù)會測試是否存在某種控制以防止多付工資，但不會檢測先前的具體錯誤計算。B.通用審計軟件的功能包括數(shù)學(xué)計算、分層、統(tǒng)計分析、順序檢查、重復(fù)檢查和重新計算。利用通用審計軟件，信息系統(tǒng)審計師可設(shè)計適當(dāng)測試來重新計算工資，從而確定是否存在多付工資的現(xiàn)象，以及給哪些人多付了工資。C.集成測試設(shè)施可幫助發(fā)現(xiàn)正在發(fā)生的問題，但是不會發(fā)現(xiàn)之前的問題。D.嵌入式審計模塊可支持信息系統(tǒng)審計師評估流程并收集審計證據(jù)，但是不會發(fā)現(xiàn)之前的問題。A1-29在IT流程的安全審計期間，信息系統(tǒng)審計師發(fā)現(xiàn)沒有任何文檔記錄安全程序。信息系統(tǒng)審計師應(yīng)：[單選題]*A.根據(jù)實踐創(chuàng)建程序文檔。B.提出對當(dāng)前狀態(tài)的看法，并結(jié)束審計。C.對可用數(shù)據(jù)執(zhí)行符合性測試。D.識別并評估現(xiàn)有實踐。(正確答案)答案解析：A.信息系統(tǒng)審計師不應(yīng)創(chuàng)建文檔，因為流程可能不符合管理目標(biāo)，而這樣做會損害他們的獨立性。B.結(jié)束審計和提出看法不能確定潛在風(fēng)險。審計師應(yīng)當(dāng)評估現(xiàn)行的做法，仍然可以建議組織制定書面程序。終止審計可能有礙實現(xiàn)識別潛在風(fēng)險的基本審計目標(biāo)。C.由于程序沒有文檔記錄，因此沒有測試合規(guī)性的基礎(chǔ)。D.審計的一項主要目標(biāo)是確定潛在的風(fēng)險。因此，最主動的方法應(yīng)該是識別并評估組織當(dāng)前遵循的現(xiàn)有安全實務(wù)，并將結(jié)果和風(fēng)險提交管理層，同時建議記錄當(dāng)前控制或?qū)嵤┮延涗浽诎傅某绦颉1-30在風(fēng)險分析期間，信息系統(tǒng)審計師已確定威脅和潛在影響。接下來，該信息系統(tǒng)審計師應(yīng)該：[單選題]*A.確保風(fēng)險評估與管理層的風(fēng)險評估流程相一致。B.確定信息資產(chǎn)和底層系統(tǒng)。C.對管理層披露威脅和影響。D.確定并評估現(xiàn)有控制。(正確答案)答案解析：A.審計風(fēng)險評估的目的與管理層風(fēng)險評估流程的目的不同。B.如果不先確定受影響的資產(chǎn)，則不可能確定影響，因此，這項工作一定已經(jīng)完成了。C.風(fēng)險評估完成后，信息系統(tǒng)審計師應(yīng)該描述對資產(chǎn)的威脅和潛在影響及如何應(yīng)對風(fēng)險的建議，并與管理層對其進行討論。然而，只有確定了控制而且計算了威脅的可能性后才能完成此項行動。D.信息系統(tǒng)審計師應(yīng)確定和評估現(xiàn)有的和計劃的控制的存在和有效性，以便在確定潛在威脅和可能的影響之后計算風(fēng)險水平。A1-31對于信息系統(tǒng)審計師來說，以下哪項通常是最可靠的證據(jù)？[單選題]*A.從驗證賬戶余額的第三方收到的確認(rèn)函。(正確答案)B.部門管理人員對應(yīng)用程序按設(shè)計方式運行所做的保證。C.從互聯(lián)網(wǎng)來源獲得的趨勢數(shù)據(jù)。D.信息系統(tǒng)審計師根據(jù)部門管理人員提供的報告所進行的比率分析。答案解析：A.從獨立第三方獲得的證據(jù)幾乎總是被認(rèn)為比本地管理層提供的保證更為可靠。B.因為管理層不是客觀的，可能不了解風(fēng)險和控制環(huán)境，他們只提供應(yīng)用程序（而非控制）正確運行的證據(jù)，他們的保證達不到審計證據(jù)可接受的信任水平。C.從互聯(lián)網(wǎng)收集的數(shù)據(jù)不一定可信或經(jīng)過獨立驗證。D.比率分析可確定趨勢和對基線的偏離，但不是可靠的證據(jù)。A1-32在評估某流程中的預(yù)防性、檢測性或糾正性控制的整體效果時，信息系統(tǒng)審計師應(yīng)意識到以下哪項？[單選題]*A.當(dāng)數(shù)據(jù)通過系統(tǒng)時執(zhí)行控制的時刻。(正確答案)B.只有預(yù)防性和檢測性控制是重要的。C.改正性控制被視為補償性的。D.信息系統(tǒng)審計師通過分類可確定缺少哪些控制。答案解析：A.信息系統(tǒng)審計師應(yīng)關(guān)注當(dāng)數(shù)據(jù)通過計算機系統(tǒng)時執(zhí)行控制的情況。B.改正性控制也是有意義的，因為它們允許改正錯誤或問題。C.糾正性控制會消除或減少錯誤和違規(guī)行為的影響，不應(yīng)僅被視為一種補償性控制。D.控制的存在和功能很重要，而不是分類。A1-33哪種審計技術(shù)可提供IT部門中已實施職責(zé)分離的最佳證據(jù)？[單選題]*A.與管理層進行討論。B.審查組織架構(gòu)圖。C.觀察和面談。(正確答案)D.測試用戶訪問權(quán)限。答案解析：A.管理層可能不知道IT部門每位員工的詳細(xì)職能以及控制是否得到遵循。因此，與管理層的討論只能為職責(zé)分離提供有限的信息。B.組織架構(gòu)圖不會提供員工職能或控制是否正確運作的詳細(xì)信息。C.基于觀察和面談，信息系統(tǒng)審計師可對職責(zé)分離進行評估。通過觀察執(zhí)行任務(wù)的IT員工，信息系統(tǒng)審計師可確定他們是否正在執(zhí)行任何不兼容的操作。通過與IT員工面談，審計師獲得所執(zhí)行任務(wù)的概況。D.測試用戶權(quán)限可提供有關(guān)用戶擁有的信息系統(tǒng)權(quán)限的信息，但不會提供用戶所執(zhí)行的職能的完整信息。觀察也許是更好的選擇，因為用戶權(quán)限可能在審計項目間發(fā)生變化。A1-34審查完某個組織的災(zāi)難恢復(fù)計劃流程后，信息系統(tǒng)審計師請求與組織管理層開會討論審查結(jié)果。以下哪項最能描述此次會議的主要目標(biāo)？[單選題]*A.獲得管理層對糾正措施計劃的批準(zhǔn)。B.確認(rèn)審查結(jié)果的事實準(zhǔn)確性。(正確答案)C.協(xié)助管理層實施糾正措施。D.確定項目解決方案的優(yōu)先級。答案解析：A.無須管理層批準(zhǔn)糾正措施計劃。管理層可以選擇實施其他糾正措施計劃來應(yīng)對風(fēng)險。B.會議的目標(biāo)是確認(rèn)審計發(fā)現(xiàn)的事實準(zhǔn)確性，并為管理層提供機會，就糾正措施的建議達成共識或做出回應(yīng)。C.糾正措施的實施應(yīng)該在確定審計結(jié)果的事實準(zhǔn)確性后進行，但實施糾正措施的工作通常不會分配給信息系統(tǒng)審計師，因為這會損害審計師的獨立性。D.對審計結(jié)果進行評級可以向管理層提供優(yōu)先為高風(fēng)險問題分配資源的指導(dǎo)。A1-35信息系統(tǒng)審計師審查在線電子資金轉(zhuǎn)賬對賬流程時，應(yīng)該確保涵蓋：[單選題]*A.核單情況。B.授權(quán)情況。C.更正工作。D.跟蹤情況。(正確答案)答案解析：A.核單一般在資金轉(zhuǎn)賬期間執(zhí)行，而不是對賬期間。B.在線處理時，授權(quán)通常在非對賬期間由系統(tǒng)自動完成。C.更正輸入應(yīng)在對賬期間審查；但一般不是由受托進行對賬的個人進行，而且沒有跟蹤重要。D.跟蹤是交易對賬活動，涉及對交易從原始來源一直到最終目的地的跟隨。在電子資金轉(zhuǎn)移交易中，跟蹤的方向可能從客戶打印的收據(jù)副本開始，然后檢查系統(tǒng)審計軌跡和日志，最后檢查日常交易的主文件記錄。A1-36一位信息系統(tǒng)審計師正在執(zhí)行一項系統(tǒng)配置審查。以下哪個選項是支持當(dāng)前系統(tǒng)配置設(shè)置的最佳證據(jù)？[單選題]*A.系統(tǒng)管理員導(dǎo)入電子表格的系統(tǒng)配置值。B.包含信息系統(tǒng)審計師從系統(tǒng)中抽取的配置值的標(biāo)準(zhǔn)報告。(正確答案)C.系統(tǒng)管理員提供的有日期的系統(tǒng)配置設(shè)置屏幕截圖。D.企業(yè)主對批準(zhǔn)的系統(tǒng)配置值的年度審核。答案解析：A.并非系統(tǒng)生成信息的證據(jù)在提交給信息系統(tǒng)審計師之前可進行修改，因此不如信息系統(tǒng)審計師自己獲取的證據(jù)那樣可靠。例如，系統(tǒng)管理員可以在進行屏幕截圖之前變更設(shè)置或修改圖像。B.信息系統(tǒng)審計師直接從來源獲得的證據(jù)比系統(tǒng)管理員或企業(yè)主提供的信息更可靠，因為信息系統(tǒng)審計師對審計的結(jié)果沒有既得利益。C.管理員在進行屏幕截圖之前可能已經(jīng)修改了規(guī)則，因此，屏幕截圖不是最好的證據(jù)。D.企業(yè)主提供的年度審核可能不會反映當(dāng)前信息。A1-37在金融交易的電子數(shù)據(jù)交換通信過程中，對金額字段計算校驗和是為了確保：[單選題]*A.完整性。(正確答案)B.真實性。C.授權(quán)。D.不可否認(rèn)性。答案解析：A.根據(jù)金額字段計算校驗和并包含在電子數(shù)據(jù)交換通信中，可用于識別未授權(quán)的修改。B.真實性無法通過校驗和單獨確定，還需要其他控制。C.授權(quán)無法通過校驗和單獨確定，還需要其他控制。D.通過使用數(shù)字簽名可確保不可否認(rèn)性。A1-38以下哪種形式的證據(jù)會被信息系統(tǒng)審計師認(rèn)為是最可靠的？[單選題]*A.受審方的口頭陳述。B.外部信息系統(tǒng)審計師執(zhí)行的測試的結(jié)果。(正確答案)C.內(nèi)部生成的計算機會計報告。D.從外部來源收到的確認(rèn)函。答案解析：A.受審方的口頭陳述是審計證據(jù)，但不如外部信息系統(tǒng)審計師執(zhí)行的測試的結(jié)果可靠。B.應(yīng)始終認(rèn)為信息系統(tǒng)審計師執(zhí)行的獨立測試是比第三方確認(rèn)函更可靠的證據(jù)來源，因為確認(rèn)函是對流程進行分析的結(jié)果，可能并不以權(quán)威的審計技術(shù)為依據(jù)。審計應(yīng)包括由信息系統(tǒng)審計師根據(jù)風(fēng)險所確定的檢查、觀察和質(zhì)詢的組合。這提供了一種標(biāo)準(zhǔn)的方法，并合理保證控制和測試結(jié)果是準(zhǔn)確的。C.內(nèi)部生成的計算機會計報告是審計證據(jù)，但不如外部信息系統(tǒng)審計師執(zhí)行的測試的結(jié)果可靠。D.應(yīng)始終認(rèn)為信息系統(tǒng)審計師執(zhí)行的獨立測試是比第三方確認(rèn)函更可靠的證據(jù)來源，因為確認(rèn)函是主觀的，可能不是權(quán)威審計的一部分，或不符合審計標(biāo)準(zhǔn)。A1-39某信息系統(tǒng)審計師在審查電子數(shù)據(jù)交換（EDI）交易期間發(fā)現(xiàn)未授權(quán)的交易，該審計師很可能建議改進：[單選題]*A.EDI貿(mào)易伙伴協(xié)議。B.終端機的物理控制。C.發(fā)送和接收消息的身份認(rèn)證技術(shù)。(正確答案)D.程序變更控制流程。答案解析：A.電子數(shù)據(jù)交換貿(mào)易伙伴協(xié)議會將法律問題的風(fēng)險降到最低，但不會解決未授權(quán)交易的問題。B.物理控制很重要，也能防止非授權(quán)人員訪問系統(tǒng)，但無法防范授權(quán)用戶進行的未授權(quán)交易。C.要最大限度地減少未授權(quán)交易的風(fēng)險，發(fā)送和接收消息的身份認(rèn)證技術(shù)具有重要的作用。D.變更控制流程不能解決未授權(quán)交易的問題。A1-40信息系統(tǒng)審計師正在驗證一項涉及系統(tǒng)生成的異常報告審查的控制措施。以下哪個選項是控制措施有效性的最佳證據(jù)？[單選題]*A.與復(fù)核人員一起對控制措施的運行進行瀏覽審查。B.審查期間經(jīng)復(fù)檢人員簽字的系統(tǒng)生成的異常報告。C.審查期間的系統(tǒng)生成的異常報告樣本，同時提供復(fù)核人員注明的后續(xù)行動。(正確答案)D.管理層對審查期間控制措施的有效性的確認(rèn)。答案解析：A.瀏覽審查能夠說明控制措施的預(yù)期工作方式，但幾乎不能突出控制措施的有效性或流程中的異常或制約情況。B.如果復(fù)核人員未就發(fā)現(xiàn)的異常情況注明后續(xù)行動，則復(fù)核人員簽字認(rèn)可不能證明控制有效。C.系統(tǒng)生成的報告樣本如果帶有證明復(fù)核人員已跟進異常的證據(jù)，是可能證明控制有效運行的最佳證據(jù)，因為記錄的證據(jù)表明復(fù)核人員已經(jīng)進行了審查并根據(jù)異常報告采取了措施。D.管理層對控制有效性的確認(rèn)可能缺乏獨立性——管理層會傾向于認(rèn)為已經(jīng)設(shè)置到位的控制是有效的。A1-41某公司最近為整合電子數(shù)據(jù)交換（EDI）傳輸而對采購系統(tǒng)進行了升級。要確保有效的數(shù)據(jù)映射，應(yīng)在EDI接口中實施以下哪種控制？[單選題]*A.密鑰驗證。B.一對一檢查。C.手動重新計算。D.功能性確認(rèn)。(正確答案)答案解析：A.密鑰驗證用于數(shù)據(jù)加密和保護，但不用于數(shù)據(jù)映射。B.一對一檢查驗證交易的準(zhǔn)確性和完整性，而不映射數(shù)據(jù)。C.手動重新計算用于驗證處理的正確性，而不映射數(shù)據(jù)。D.作為電子數(shù)據(jù)交換交易的審計軌跡，功能性確認(rèn)是用于數(shù)據(jù)映射的主要控制之一。A1-42以下哪種抽樣方法是確定發(fā)給供應(yīng)商的采購訂單是否已經(jīng)根據(jù)授權(quán)矩陣進行授權(quán)的最有效方法？[單選題]*A.變量抽樣。B.分層單位均值。C.屬性抽樣。(正確答案)D.未分層單位均值。答案解析：A.變量抽樣方法是實質(zhì)性測試中采用的方法，它涉及交易定量方面（如資金價值）的測試。B.分層單位均值用于變量抽樣。C.屬性抽樣是用于符合性測試的主要抽樣方法。在這個場景中評估的是控制的運行，因此，每個采購訂單是否經(jīng)過正確授權(quán)的屬性將用于確定是否遵從控制。D.未分層單位均值用于變量抽樣。A1-43確認(rèn)系統(tǒng)稅務(wù)計算準(zhǔn)確性的最佳方法是：[單選題]*A.審查并分析計算稅務(wù)程序的源代碼。B.使用通用審計軟件重新創(chuàng)建程序邏輯以計算每月總和。C.準(zhǔn)備模擬交易，以處理結(jié)果并與預(yù)期結(jié)果進行比較。(正確答案)D.對計算程序的源代碼繪制自動流程圖并進行分析。答案解析：A.源代碼審查不是確保正確計算的有效方法。B.重新創(chuàng)建程序邏輯可能導(dǎo)致錯誤，而每月總和的精確程度不足以確認(rèn)正確計算。C.準(zhǔn)備模擬交易，以處理結(jié)果并與預(yù)期結(jié)果進行比較，這是確認(rèn)稅務(wù)計算準(zhǔn)確性的最佳方法。D.對源代碼繪制流程圖和分析并不是解決個人稅務(wù)計算的準(zhǔn)確性問題的有效方法。A1-44審查應(yīng)用程序控制的信息系統(tǒng)審計師將評估：[單選題]*A.應(yīng)用程序的效率是否滿足業(yè)務(wù)流程。B.任何已發(fā)現(xiàn)的風(fēng)險敞口的影響。(正確答案)C.應(yīng)用程序所服務(wù)的業(yè)務(wù)流程。D.應(yīng)用程序的優(yōu)化。答案解析：A.信息系統(tǒng)審計師審核的是控制的有效性，而不是應(yīng)用程序滿足業(yè)務(wù)需求的合適性。B.應(yīng)用程序控制審查包括對應(yīng)用程序自動化控制的評估，以及對由于控制薄弱環(huán)節(jié)而產(chǎn)生的任何風(fēng)險敞口的評估。C.其他選項可能是應(yīng)用程序?qū)徲嫷哪繕?biāo)，但不是局限于應(yīng)用程序控制檢查的審計的一部分。D.應(yīng)用程序的效率和優(yōu)化可能是一項需要審查的內(nèi)容，但不是在此審計中審查的內(nèi)容。A1-45受審方在確定可報告的審計發(fā)現(xiàn)后立即采取了糾正措施。信息系統(tǒng)審計師應(yīng)：[單選題]*A.將審計發(fā)現(xiàn)包含在最終報告中，因為信息系統(tǒng)審計師負(fù)責(zé)出具包括所有發(fā)現(xiàn)的準(zhǔn)確報告。(正確答案)B.在最終報告中不寫入這些審計發(fā)現(xiàn)，因為管理層已解決了問題。C.不將審計發(fā)現(xiàn)包含在最終報告中，因為信息系統(tǒng)審計師可在審計期間驗證糾正措施。D.將審計發(fā)現(xiàn)包含在結(jié)束會議中，僅用于討論。答案解析：A.將審計發(fā)現(xiàn)包含在最終報告中是普遍認(rèn)可的審計行為。如果受審方在審計開始之后、結(jié)束之前采取某項措施，審計報告應(yīng)標(biāo)識審計發(fā)現(xiàn)并描述所采取的糾正措施。審計報告應(yīng)反映該種情況，因為其在審計開始時便存在。受審方采取的所有糾正措施都應(yīng)以書面方式報告。B.審計報告應(yīng)包含所有相關(guān)發(fā)現(xiàn)和管理層的反應(yīng)，即使發(fā)現(xiàn)的問題已經(jīng)解決。這意味著后續(xù)審計可能測試持續(xù)的控制解決措施。C.審計報告應(yīng)包含該發(fā)現(xiàn)，以記錄該發(fā)現(xiàn)，而控制若在審計后移除也會被注意到。D.審計報告應(yīng)包含該發(fā)現(xiàn)和解決措施，這一點可在最終會議上提及。審計報告應(yīng)列出所有相關(guān)發(fā)現(xiàn)及管理層的反應(yīng)。A1-46內(nèi)部信息系統(tǒng)審計團隊在審計對銷售退回的控制并關(guān)注欺詐風(fēng)險。以下哪種抽樣方法對信息系統(tǒng)審計師最有幫助？[單選題]*A.?！叱闃?。B.經(jīng)典的變量抽樣。C.發(fā)現(xiàn)抽樣。(正確答案)D.概率比例規(guī)模抽樣。答案解析：A.?！叱闃臃椒ㄓ兄谙拗茦颖敬笮?，可讓測試盡早停止。B.經(jīng)典的變量抽樣與貨幣金額相關(guān)，其樣本基于總體的代表性樣本，但不以欺詐為重點。C.當(dāng)信息系統(tǒng)審計師嘗試確定是否發(fā)生過某類事件時，可使用發(fā)現(xiàn)抽樣法。因此，這種方法適合評估欺詐風(fēng)險，確定是否曾發(fā)生過欺詐事件。D.概率比例規(guī)模抽樣法通常與樣本中有分組情況的整群抽樣有關(guān)。該問題并不表示信息系統(tǒng)審計師在尋找欺詐的標(biāo)準(zhǔn)。A1-47制訂基于風(fēng)險的審計策略時，信息系統(tǒng)審計師應(yīng)執(zhí)行風(fēng)險評估，以確保：[單選題]*A.降低風(fēng)險所需的控制已就位。B.識別出漏洞和威脅。(正確答案)C.將審計風(fēng)險考慮在內(nèi)。D.差距分析得當(dāng)。答案解析：A.了解降低風(fēng)險所需的相應(yīng)控制是否就位，是審計工作最終要實現(xiàn)的效果。B.在制訂基于風(fēng)險的審計策略時，了解相關(guān)風(fēng)險和漏洞至關(guān)重要。它們決定著將要審計的領(lǐng)域和審計的覆蓋范圍。C.審計風(fēng)險是審計工作的固有組成部分，直接與審計流程相關(guān)，但與待審計環(huán)境的風(fēng)險分析無關(guān)。D.差距分析通常用于將實際狀態(tài)和預(yù)期或理想狀態(tài)進行比較。A1-48離場面談過程中，如果對于審計發(fā)現(xiàn)可能產(chǎn)生的影響存在分歧，信息系統(tǒng)審計師應(yīng)該：[單選題]*A.要求受審單位簽署豁免協(xié)議書并承擔(dān)全部法律責(zé)任。B.詳細(xì)闡述審計發(fā)現(xiàn)的重要性以及不予以糾正可能產(chǎn)生的風(fēng)險。(正確答案)C.將不同意見報告給審計委員會以尋求解決方案。D.接受受審方的觀點，因為他們才是流程所有者。答案解析：A.管理層始終對風(fēng)險負(fù)責(zé)。信息系統(tǒng)審計師的職責(zé)是告知管理層審計發(fā)現(xiàn)及與發(fā)現(xiàn)相關(guān)的風(fēng)險。B.如果受審方對審計結(jié)果的影響存在不同意見，那么信息系統(tǒng)審計師就有必要對風(fēng)險和敞口進行詳細(xì)闡述和解釋，因為受審方可能沒有完全意識到風(fēng)險的嚴(yán)重程度。目的是向受審方傳授知識或揭示信息系統(tǒng)審計師之前未曾意識到的新信息。如果向受審方傳達的事宜帶有威脅性色彩，則會妨礙有效的溝通，從而使雙方之間的關(guān)系受到不利影響，但信息系統(tǒng)審計師也不應(yīng)該因為與受審方的意見相左而自動順從受審方的觀點。C.審計報告包含信息系統(tǒng)審計師的發(fā)現(xiàn)和管理層的反應(yīng)。接受風(fēng)險并適當(dāng)?shù)鼐徑怙L(fēng)險是管理層的責(zé)任。審計師的職責(zé)是清楚徹底地告知管理層，以做出最佳決策。D.信息系統(tǒng)審計師必須專業(yè)、勝任工作并保持獨立。他們不能簡單地接受管理層的解釋或論據(jù)，除非用于產(chǎn)生該發(fā)現(xiàn)的流程存在缺陷。A1-49為確保審計資源為組織創(chuàng)造最大價值，審計項目的第一步是：[單選題]*A.制訂審計計劃并監(jiān)控花費在每次審計上的時間。B.就組織使用的現(xiàn)有技術(shù)對信息系統(tǒng)審計人員進行培訓(xùn)。C.基于詳細(xì)的風(fēng)險評估制訂審計計劃。(正確答案)D.監(jiān)控審計的進度并啟用成本控制措施。答案解析：A.如果審計的區(qū)域不對，則監(jiān)控審計和花費在審計上的時間就不會有效。最重要的是制訂基于風(fēng)險的審計計劃，以確保對審計資源的有效使用。B.信息系統(tǒng)審計師可能有專長，或者審計團隊可能依靠外部專家進行非常專業(yè)的審計。就所有的新技術(shù)對每位信息系統(tǒng)審計師進行培訓(xùn)是不必要的。C.盡管監(jiān)控時間安排和審計方案，以及充足的培訓(xùn)都可以提高信息系統(tǒng)審計人員的生產(chǎn)力（效率和績效），但要確保將專門用于審計的資源和精力集中于較高風(fēng)險領(lǐng)域，為企業(yè)創(chuàng)造價值。D.監(jiān)控審計和啟用成本控制措施不能確保對審計資源的有效使用。A1-50如果信息系統(tǒng)審計師與部門經(jīng)理對審計結(jié)果存在爭議，爭議期間審計師應(yīng)首先采取以下哪項行動？[單選題]*A.對控制重新進行測試，以驗證審計結(jié)果。B.邀請第三方對審計結(jié)果進行驗證。C.將審計結(jié)果記入報告，同時注明部門經(jīng)理的意見。D.對支持審計結(jié)果的證據(jù)進行重新驗證。(正確答案)答案解析：A.對控制重新進行測試通常排在重新驗證證據(jù)之后。B.盡管有時也需要第三方執(zhí)行專業(yè)的審計程序，但信息系統(tǒng)審計師還是應(yīng)該首先重新驗證支持證據(jù)，以確定是否需要第三方參與。C.在將有爭議的審計結(jié)果或管理層反應(yīng)記入報告之前，信息系統(tǒng)審計師應(yīng)檢查審計結(jié)果中使用的證據(jù)以確保審計的準(zhǔn)確性。D.信息系統(tǒng)審計師得出的結(jié)論應(yīng)有充分的證據(jù)支持，同時也要考慮部門經(jīng)理指出的補償性控制或糾正措施。因此，首先要做的應(yīng)該是，對審計結(jié)果的證據(jù)重新進行驗證。如果，在重新驗證或重新測試之后，爭議仍然未決，則應(yīng)將這些問題記入報告。A1-51出現(xiàn)以下哪種情況時，信息系統(tǒng)審計師應(yīng)使用統(tǒng)計抽樣方法而非判斷（非統(tǒng)計）抽樣方法：[單選題]*A.必須客觀量化錯誤的概率。(正確答案)B.審計師希望避免抽樣風(fēng)險。C.無法使用通用審計軟件。D.無法確定可容忍誤差率。答案解析：A.在給定了預(yù)期錯誤率和置信水平的前提下，統(tǒng)計抽樣才是一種客觀的抽樣方法，因為其有助于信息系統(tǒng)審計師確定樣本量并量化錯誤的概率（置信系數(shù)）。B.抽樣風(fēng)險是指某樣本無法代表樣本總體的風(fēng)險。判斷抽樣和統(tǒng)計抽樣中都存在這種風(fēng)險。C.統(tǒng)計抽樣可使用通用審計軟件，但不是必需的。D.對于判斷抽樣和統(tǒng)計抽樣來說，可容忍誤差率都必須預(yù)先確定。A1-52當(dāng)外包的遠(yuǎn)程訪問監(jiān)控流程不足，并且管理層因為已經(jīng)有了入侵檢測系統(tǒng)（IDS）和防火墻控制而不同意時，信息系統(tǒng)審計師需要采取的最佳措施是什么？[單選題]*A.根據(jù)管理層的反饋修改審計報告中的審計結(jié)果。B.撤銷審計結(jié)果，因為部署了IDS控制。C.因為已經(jīng)監(jiān)控防火墻規(guī)則，所以撤銷審計結(jié)果。D.在審計報告中記錄已確定的審計結(jié)果。(正確答案)答案解析：A.信息系統(tǒng)審計師可將管理層的反應(yīng)納入報告，但是這不影響報告審計結(jié)果的要求。B.審計結(jié)果仍然有效而管理層的反應(yīng)也會被記錄，但是審計可指出需要檢查管理層反應(yīng)的有效性。C.審計結(jié)果仍然有效而管理層的反應(yīng)也會被記錄，但是審計可指出需要檢查管理層反應(yīng)的有效性。D.按信息系統(tǒng)審計師獨立性要求，應(yīng)考慮受審方提供的額外信息。通常情況下，信息系統(tǒng)審計師不會自發(fā)撤銷或修改審計結(jié)果。A1-53某組織通過銀行處理每周的薪資支付。工時表和薪資調(diào)整表（例如，時薪變更和離職）會在完成后提交到銀行，從而為分配支票和報表做準(zhǔn)備。以下哪種做法能夠最有效地確保薪資數(shù)據(jù)的準(zhǔn)確性？[單選題]*A.將薪資報表與輸入表進行對比。(正確答案)B.以手動方式重新計算薪資總額。C.將支票與輸入表進行對比。D.使支票與輸出報表保持一致。答案解析：A.當(dāng)輸入由組織提供而輸出由銀行生成時，確保數(shù)據(jù)準(zhǔn)確性的最佳方法是使用薪資報表的結(jié)果來驗證數(shù)據(jù)輸入（輸入）表。B.以手動方式重新計算薪資總額只能驗證處理是否正確，不能驗證數(shù)據(jù)輸入的準(zhǔn)確性。C.由于支票包含的是處理后的信息，而輸入表包含的是輸入數(shù)據(jù)，所以對比支票和輸入表的做法并不可行。D.使支票與輸出報表保持一致只能確認(rèn)按輸出報表規(guī)定發(fā)出的支票。A1-54在電子數(shù)據(jù)交換（EDI）環(huán)境中，以下哪一項的潛在風(fēng)險最大？[單選題]*A.缺乏交易授權(quán)。(正確答案)B.EDI傳輸丟失或重復(fù)。C.傳輸延遲。D.在建立應(yīng)用控制前后刪除或修改交易。答案解析：A.由于各方之間采用電子形式進行交互，所以不會進行固有的身份驗證。因此，缺乏交易授權(quán)是最大的風(fēng)險。B.電子數(shù)據(jù)交換傳輸?shù)膩G失或重復(fù)是一種風(fēng)險，但因為所有交易都會被日志記錄，其影響不如未授權(quán)交易大。C.傳輸延遲可能使過程終止或錯過正常的處理時間，但不會造成數(shù)據(jù)損失。D.在建立應(yīng)用控制前后刪除或修改交易是一個風(fēng)險示例。通過日志記錄可檢測對數(shù)據(jù)的任何修改，其影響不如未授權(quán)交易大。A1-55在信息系統(tǒng)審計的計劃階段，信息系統(tǒng)審計師的主要目標(biāo)是：[單選題]*A.達到審計目標(biāo)。(正確答案)B.收集足夠的證據(jù)。C.指定適當(dāng)?shù)臏y試。D.盡可能少使用審計資源。答案解析：A.ISACAIT審計和鑒證標(biāo)準(zhǔn)要求信息系統(tǒng)審計師制訂的審計工作計劃要能夠?qū)崿F(xiàn)審計目標(biāo)。其他選項中描述的行為都是為了達到審計目標(biāo)，因此都是次要的。B.信息系統(tǒng)審計師在審計的計劃階段并不收集證據(jù)。C.指定適當(dāng)?shù)臏y試不是審計計劃的主要目標(biāo)。D.對審計資源的有效（而非最少）使用是審計計劃的目標(biāo)。A1-56選擇審計程序時，信息系統(tǒng)審計師應(yīng)運用自己的專業(yè)性判斷，以確保：[單選題]*A.收集充分的證據(jù)。(正確答案)B.重大缺陷在合理期限內(nèi)得到糾正。C.識別出所有嚴(yán)重漏洞。D.將審計成本控制在最低水平。答案解析：A.程序是指信息系統(tǒng)審計師在執(zhí)行審計項目時需要遵循的流程。在確定任意具體程序的適用性時，信息系統(tǒng)審計師應(yīng)運用針對特定狀況的專業(yè)性判斷。專業(yè)性判斷是指，對審計期間出現(xiàn)的狀況進行主觀的評估（通常是定性的評估）。專業(yè)性判斷針對的是不適用二元判定（是/否）的灰色區(qū)域，信息系統(tǒng)審計師的過往經(jīng)驗在判斷中起關(guān)鍵性作用。在評估所收集的證據(jù)是否充分時，信息系統(tǒng)審計師應(yīng)運用專業(yè)性判斷。ISACA的準(zhǔn)則中描述了如何在進行IS審計工作時遵從各種標(biāo)準(zhǔn)的相關(guān)信息。B.糾正缺陷是管理層的責(zé)任，而不是審計程序選擇流程的一部分。C.重大漏洞得以識別是審計計劃與執(zhí)行工作中是否運用了相應(yīng)的能力、經(jīng)驗以及工作是否徹底的結(jié)果，并不是專業(yè)性判斷的結(jié)果。專業(yè)性判斷并不是解決審計中財務(wù)問題的主要途徑。審計程序與運用專業(yè)性判斷并不能保證所有缺陷/漏洞均得以識別和糾正。D.專業(yè)性判斷可確保審計資源和成本被明智地使用，但這不是審計師選擇審計程序時的主要目標(biāo)。A1-57檢驗磁帶庫庫存記錄是否準(zhǔn)確的實質(zhì)性測試是指：[單選題]*A.確定是否安裝了條形碼讀取器。B.確定磁帶的調(diào)動是否經(jīng)過授權(quán)。C.對磁帶庫存進行盤點。(正確答案)D.檢查磁帶的收發(fā)情況是否已準(zhǔn)確記錄。答案解析：A.確定是否安裝了條形碼讀取器是符合性測試。B.確定磁帶的調(diào)動是否經(jīng)過授權(quán)是符合性測試。C.實質(zhì)性測試涉及收集證據(jù)，以評估單個交易、數(shù)據(jù)或其他信息是否完好（完整性、準(zhǔn)確性和有效性）。對磁帶庫存進行盤點屬于一種實質(zhì)性測試。D.檢查磁帶的收發(fā)情況是否已準(zhǔn)確記錄是符合性測試。A1-58為保證電子數(shù)據(jù)交換系統(tǒng)應(yīng)用程序中所接收到的訂單真實可靠，以下哪種控制比較合適？[單選題]*A.通過確認(rèn)消息告知收到電子訂單。B.在填寫訂單之前對訂貨數(shù)量進行合理性檢查。C.核實發(fā)送者的身份并確定訂單是否符合合同條款。(正確答案)D.對電子訂單進行加密。答案解析：A.通過確認(rèn)消息告知收到電子訂單是一種很好的做法，但是無法對客戶訂單進行身份認(rèn)證。B.在下訂單之前對訂貨數(shù)量進行合理性檢查是一種確保組織訂單準(zhǔn)確無誤的控制，但是無法確?？蛻粲唵蔚恼鎸嵭?。C.電子數(shù)據(jù)交換系統(tǒng)不僅會受到計算機系統(tǒng)一般風(fēng)險的影響，也會受貿(mào)易伙伴和第三方服務(wù)提供商的潛在控制不力的影響，這使得用戶和消息來源的身份認(rèn)證成為主要的安全關(guān)注點。D.對敏感消息進行加密這種做法很好，但是不能證明接收到的消息的真實性。A1-59信息系統(tǒng)審計師與薪資結(jié)算人員面談時，發(fā)現(xiàn)該人員的回答與其工作描述和記錄在案的工作流程不符。在此情況下，信息系統(tǒng)審計師應(yīng)該：[單選題]*A.斷定控制不適當(dāng)。B.擴大測試范圍，從而引入實質(zhì)性測試。(正確答案)C.更多地依賴以往的審計結(jié)果。D.暫停審計。答案解析：A.僅僅根據(jù)與薪資結(jié)算人員面談的結(jié)果，信息系統(tǒng)審計師無法收集到足夠的證據(jù)以斷定現(xiàn)有的控制是否充分。B.如果針對信息系統(tǒng)審計師的問題所提供的答案無法從記錄在案的工作流程或工作描述中得到證實，那么信息系統(tǒng)審計師應(yīng)擴大控制測試范圍，引入額外的實質(zhì)性測試。C.更多地依賴以往的審計結(jié)果屬于不合適的行為，因為這不能提供證明現(xiàn)有的控制是否足夠的最新信息。D.暫停審計屬于不合適的行為，因為這不能提供證明現(xiàn)有的控制是否足夠的最新信息。A1-60一名外部信息系統(tǒng)審計師提交了一份審計報告，指出邊界網(wǎng)絡(luò)網(wǎng)關(guān)缺乏防火墻保護功能，并推薦了一款特定的供應(yīng)商產(chǎn)品來消除這一漏洞。信息系統(tǒng)審計師未能發(fā)揮：[單選題]*A.專業(yè)獨立性。(正確答案)B.組織獨立性。C.技術(shù)能力。D.專業(yè)能力。答案解析：A.如果信息系統(tǒng)審計師推薦了一個特定的供應(yīng)商，則審計師的專業(yè)獨立性受到影響。B.組織獨立性與審計報告的內(nèi)容無關(guān)，應(yīng)該在接受項目時予以考慮。C.技術(shù)能力與專業(yè)能力與獨立性的要求無關(guān)。D.專業(yè)能力與獨立性的要求無關(guān)。A1-61信息系統(tǒng)審計師在審計任務(wù)的初期階段執(zhí)行功能瀏覽審查的主要原因是：[單選題]*A.了解業(yè)務(wù)流程。(正確答案)B.遵守審計標(biāo)準(zhǔn)。C.確定控制薄弱環(huán)節(jié)。D.進行風(fēng)險評估。答案解析：A.了解業(yè)務(wù)流程是信息系統(tǒng)審計師需要執(zhí)行的第一步。B.ISACAIT審計和鑒證標(biāo)準(zhǔn)鼓勵采用必要的審計流程/過程，以便協(xié)助信息系統(tǒng)審計師更有效地執(zhí)行IS審計。但標(biāo)準(zhǔn)中并未要求信息系統(tǒng)審計師在履行審計項目的初期進行流程瀏覽審查。C.確定控制薄弱環(huán)節(jié)并不是瀏覽審查的主要原因，并且通常發(fā)生在審計的后期。D.主要原因是要了解業(yè)務(wù)流程。風(fēng)險評估應(yīng)當(dāng)在了解業(yè)務(wù)流程之后開展。A1-62在程序變更控制的評估期間，信息系統(tǒng)審計師使用源代碼比較軟件的目的是：[單選題]*A.在不需要信息系統(tǒng)人員提供信息的情況下，檢查源程序的變更。(正確答案)B.檢測源程序從獲得源的副本到比較運行這段時間內(nèi)所經(jīng)歷的變更。C.確認(rèn)控制副本是當(dāng)前版本的生產(chǎn)程序。D.確保當(dāng)前源副本中的所有變更已經(jīng)過測試。答案解析：A.如果信息系統(tǒng)審計師在不需要信息系統(tǒng)人員提供信息的情況下，通過源代碼比較來檢查源程序的變更，便可客觀、獨立且相對完整地了解程序的變更情況，因為通過源代碼比較可識別出變更。B.源代碼比較發(fā)現(xiàn)的是兩個版本的軟件之間的不同。這不會發(fā)現(xiàn)軟件副本獲得后做出的變更。C.這是庫管理的功能，不是源代碼比較的功能。信息系統(tǒng)審計師可另行確定此項。D.源代碼比較會發(fā)現(xiàn)原程序和變更過的程序之間的所有變更，但該比較不能確保變更已經(jīng)過充分測試。A1-63在正式結(jié)束審查前，與受審方舉行會議的主要目的是：[單選題]*A.確認(rèn)審計師沒有忽略任何重要問題。B.就審計發(fā)現(xiàn)達成一致意見。(正確答案)C.就審計流程是否充分聽取反饋意見。D.測試最終陳述的結(jié)構(gòu)。答案解析：A.結(jié)束會議會確定審計中的任何誤解或錯誤，但不會確定審計中忽略的任何重要問題。B.在正式結(jié)束審查前，與受審方舉行會議的主要目的是就審計發(fā)現(xiàn)和管理層反饋達成一致意見。C.結(jié)束會議可獲取管理層對審計實施的評論，但其目的不是作為對審計程序的充分性的正式審查。D.審計報告的結(jié)構(gòu)和陳述遵循公認(rèn)的標(biāo)準(zhǔn)和慣例。結(jié)束會議可能指出審計或陳述中的錯誤，但其目的不是測試陳述的結(jié)構(gòu)。A1-64在判斷自上次進行授權(quán)的程序變更后是否存在未授權(quán)的程序變更時，下列哪項審計技術(shù)將最大限度地幫助信息系統(tǒng)審計師？[單選題]*A.測試數(shù)據(jù)運行。B.代碼審查。C.自動代碼比對。(正確答案)D.代碼遷移流程審查。答案解析：A.審計師可通過測試數(shù)據(jù)運行來驗證預(yù)選交易的處理，但無法獲得有關(guān)程序中未授權(quán)變更和未運行部分的證據(jù)。B.代碼審查是指讀取程序源代碼列表的過程，用于判斷代碼是否符合編碼標(biāo)準(zhǔn)或包含潛在錯誤或低效語句。代碼審查可用作代碼比對的手段，但用于檢測代碼變更時效率不高、也不可能，特別是對于大程序的代碼。C.自動代碼比對是指比較同一程序的兩個版本的過程，用于判斷兩者是否一致。這項技術(shù)之所以高效是因為它是一個自動化流程。D.代碼遷移流程審查檢測不到的未授權(quán)的程序變更。A1-65編制審計報告時，信息系統(tǒng)審計師應(yīng)確保審計結(jié)果得到下列哪項支持？[單選題]*A.信息系統(tǒng)管理層的聲明。B.其他審計師的工作底稿。C.組織控制自我評估。D.充分恰當(dāng)?shù)膶徲嬜C據(jù)。(正確答案)答案解析：A.信息系統(tǒng)管理層的聲明可包含在審計分析中，但就這些聲明自身而言，卻不能作為發(fā)布報告的充分依據(jù)。B.其他審計師的工作底稿可用于證實和驗證審計結(jié)果，但應(yīng)與制作報告的信息系統(tǒng)審計師的工作底稿的更多證據(jù)同時使用。C.控制自我評估的結(jié)果可協(xié)助信息系統(tǒng)審計師確定風(fēng)險和合規(guī)性，但其自身不足以支持審計報告。D.ISACA關(guān)于報告的信息系統(tǒng)審計和鑒證標(biāo)準(zhǔn)要求信息系統(tǒng)審計師須有充分恰當(dāng)?shù)膶徲嬜C據(jù)來支持報告的結(jié)果。IS管理人員的聲明是就經(jīng)驗性證據(jù)無法驗證的事項達成一致的依據(jù)。即使信息系統(tǒng)審計師能夠獲得其他審計師的工作底稿，報告也應(yīng)以審查期間收集的證據(jù)為基礎(chǔ)。組織控制自我評估的結(jié)果可以作為審計發(fā)現(xiàn)的補充。A1-66在某組織中對軟件開發(fā)實務(wù)進行評估期間，信息系統(tǒng)審計師注意到質(zhì)量保證（QA）職能部門向項目管理人員匯報。信息系統(tǒng)審計師最關(guān)心的問題是：[單選題]*A.QA職能的有效性，因為QA職能應(yīng)在項目管理和用戶管理間進行溝通。(正確答案)B.QA職能的效率，因為QA職能部門應(yīng)與項目實施團隊進行交互。C.項目經(jīng)理的有效性，因為項目經(jīng)理應(yīng)與QA職能部門進行交互。D.項目經(jīng)理的效率，因為該QA職能部門需要與項目實施團隊進行溝通。答案解析：A.要有效工作，質(zhì)量保證（QA）職能部門應(yīng)該獨立于項目管理部門。否則，項目管理部門可能對QA職能部門施壓以批準(zhǔn)不合格的產(chǎn)品。B.QA職能的效率不會因為與項目實施團隊進行交互而受影響。QA團隊在產(chǎn)品符合QA要求前不會發(fā)布產(chǎn)品用于實施。C.項目經(jīng)理會響應(yīng)QA團隊提出的問題。這不會影響項目經(jīng)理的有效性。D.QA職能部門與項目實施團隊的交互不應(yīng)影響項目經(jīng)理的效率。A1-67是否將一項重大發(fā)現(xiàn)寫入審計報告的最終決定，應(yīng)由誰做出？[單選題]*A.審計委員會。B.受審方的經(jīng)理。C.信息系統(tǒng)審計師。(正確答案)D.首席執(zhí)行官。答案解析：A.審計委員會不應(yīng)通過影響審計報告應(yīng)包括哪些內(nèi)容而傷害信息系統(tǒng)審計師的獨立性、專業(yè)性和客觀性。B.信息系統(tǒng)審計師的經(jīng)理可建議在審計報告中包括或不包括哪些內(nèi)容，但受審方的經(jīng)理不應(yīng)影響報告的內(nèi)容。C.應(yīng)由信息系統(tǒng)審計師最終決定審計報告中應(yīng)該包括或排除哪些內(nèi)容。D.首席執(zhí)行官不得影響審計報告的內(nèi)容，因為這會破壞審計部門的獨立性。A1-68在審查敏感的電子版工作底稿時，信息系統(tǒng)審計師注意到它們沒有被加密。這可能危及：[單選題]*A.工作底稿版本管理的審計軌跡。B.審計階段的批準(zhǔn)。C.對工作底稿的訪問權(quán)限。D.工作底稿的機密性。(正確答案)答案解析：A.審計軌跡自身不會影響機密性，但是它是要求加密的部分原因。B.審計階段的批準(zhǔn)自身不會影響工作底稿的機密性，但是是要求加密的部分原因。C.對工作底稿的訪問權(quán)限應(yīng)僅限于工作需要的人員，但是沒有加密會破壞工作底稿的機密性，而不是對工作底稿的訪問權(quán)限。D.通過加密的方式可保證電子版工作底稿的機密性。A1-69信息系統(tǒng)審計師獲得充分恰當(dāng)?shù)膶徲嬜C據(jù)的最重要的目的是：[單選題]*A.遵守法規(guī)要求。B.為得出合理結(jié)論提供依據(jù)。(正確答案)C.確保審計覆蓋范圍完整。D.根據(jù)定義的范圍執(zhí)行審計。答案解析：A.遵守法規(guī)要求對審計來說是相關(guān)的，但不是獲得充分恰當(dāng)?shù)淖C據(jù)的最重要的原因。B.IS審計的范圍由其目標(biāo)決定。這涉及確定審計范圍內(nèi)的控制弱點。獲得充分恰當(dāng)?shù)淖C據(jù)不僅有助于審計師識別出控制弱點，還有助于對其進行記錄和驗證。C.確保覆蓋范圍對審計來說是相關(guān)的，但不是獲得充分恰當(dāng)?shù)淖C據(jù)的最重要的原因。獲得證據(jù)的原因是確保審計結(jié)論有事實根據(jù)而且準(zhǔn)確。D.在定義的范圍執(zhí)行審計對審計來說是相關(guān)的，但不是獲得充分恰當(dāng)?shù)淖C據(jù)的原因。A1-70經(jīng)初步調(diào)查，信息系統(tǒng)審計師有理由相信可能存在舞弊行為。信息系統(tǒng)審計師應(yīng)：[單選題]*A.擴大工作范圍，判斷是否有必要開展調(diào)查。(正確答案)B.將該事件報告給審計委員會。C.向管理層報告舞弊的可能性。D.與外部法律顧問進行磋商，確定應(yīng)采取的行動方案。答案解析：A.對于檢測舞弊行為，信息系統(tǒng)審計師的職責(zé)包括評估舞弊跡象、決定是否有必要采取額外措施或是否應(yīng)該建議展開調(diào)查。B.只有在判斷出舞弊跡象足以建議展開調(diào)查時，信息系統(tǒng)審計師才應(yīng)該通知組織內(nèi)的相關(guān)機構(gòu)。C.只有在證據(jù)足以展開調(diào)查時，信息系統(tǒng)審計師才應(yīng)該將舞弊的可能性報告給高級管理層。這可能受管理層是否可能涉入舞弊的影響。D.信息系統(tǒng)審計師通常無權(quán)與外部法律顧問進行磋商。A1-71信息系統(tǒng)審計師注意到，對核心財務(wù)系統(tǒng)的失敗登錄嘗試會被自動記錄并由該組織保留一年。此日志記錄：[單選題]*A.是一種有效的預(yù)防性控制。B.是一種有效的檢測性控制。C.不是一種充分的控制。(正確答案)D.是一種改正性控制。答案解析：A.生成活動日志不是一種預(yù)防性控制，因為它不能防止不當(dāng)?shù)脑L問。B.生成活動日志不是一種檢測性控制，因為它不能幫助檢測不當(dāng)?shù)脑L問，除非經(jīng)過適當(dāng)人員審查。C.生成活動日志本身并不是一種控制，對此類日志進行審查使得該活動成為一項控制（生成日志加審查等于控制）。D.生成活動日志不是一種改正性控制，因為它不能改正不當(dāng)訪問帶來的影響。A1-72組織的信息系統(tǒng)審計章程應(yīng)指明：[單選題]*A.信息系統(tǒng)審計項目計劃。B.IS審計項目的目標(biāo)和范圍。C.針對IS審計人員的詳細(xì)培訓(xùn)計劃。D.IS審計職能部門的角色。(正確答案)答案解析：A.規(guī)劃由審計管理部門負(fù)責(zé)。B.每次IS審計的目標(biāo)和范圍應(yīng)在業(yè)務(wù)約定書中議定。審計章程應(yīng)指明審計部門的目標(biāo)和范圍，而不是每個審計項目的目標(biāo)和范圍。C.基于審計計劃的培訓(xùn)計劃應(yīng)由審計管理人員制訂。D.IS審計章程應(yīng)確立信息系統(tǒng)審計職能部門的角色。章程應(yīng)對審計職能部門的整體權(quán)限、范圍和責(zé)任予以說明。它應(yīng)該由最高管理層或?qū)徲嬑瘑T會（如果存在）審批。A1-73信息系統(tǒng)審計師應(yīng)使用下列哪項來檢測發(fā)票主文件中是否存在重復(fù)的發(fā)票記錄？[單選題]*A.屬性抽樣。B.計算機輔助審計技術(shù)。(正確答案)C.符合性測試。D.集成測試設(shè)施。答案解析：A.屬性抽樣可以幫助識別符合特定條件的記錄，但無法通過將一個記錄與另一個記錄進行比較來確定重復(fù)現(xiàn)象。為了檢測是否存在重復(fù)的發(fā)票記錄，信息系統(tǒng)審計師應(yīng)檢查所有滿足條件的記錄，而不是若干記錄組成的樣本。B.計算機輔助審計技術(shù)（CAAT）能讓信息系統(tǒng)審計師審查整個發(fā)票主文件，以尋找滿足選擇條件的那些項。C.符合性測試用于確定是否遵循控制程序。使用CAAT是更好的選擇，因為它最有可能更高效地搜索出重復(fù)的發(fā)票記錄。D.有了集成測試設(shè)施，信息系統(tǒng)審計師便能夠通過生產(chǎn)系統(tǒng)測試交易，但無法通過比較記錄來識別重復(fù)現(xiàn)象。A1-74制訂風(fēng)險管理方案時，應(yīng)首先執(zhí)行以下哪項活動？[單選題]*A.評估威脅。B.對數(shù)據(jù)進行分類。C.清點資產(chǎn)。(正確答案)D.分析重要性。答案解析：A.首先需要確認(rèn)資產(chǎn)。列出可對這些資產(chǎn)產(chǎn)生影響的威脅屬于該流程中稍后進行的步驟。B.在定義訪問控制和進行重要性分析時需要對數(shù)據(jù)分類，但在分類前需要對資產(chǎn)（包括數(shù)據(jù)）進行確認(rèn)。C.在制定風(fēng)險管理方案期間，第一步是確定要保護的資產(chǎn)。D.重要性分析是該流程中確認(rèn)資產(chǎn)之后進行的步驟。A1-75在評估電子數(shù)據(jù)交換（EDI）應(yīng)用程序的控制時，信息系統(tǒng)審計師應(yīng)該主要關(guān)注以下哪種風(fēng)險？[單選題]*A.交易周轉(zhuǎn)時間過長。B.應(yīng)用程序接口故障。C.交易授權(quán)不當(dāng)。(正確答案)D.批量處理總數(shù)未經(jīng)驗證。答案解析：A.交易周轉(zhuǎn)時間過長是有不便，但不是嚴(yán)重風(fēng)險。B.應(yīng)用程序接口故障是一種風(fēng)險，但不是最嚴(yán)重的問題。該問題一般是臨時性的且容易解決的。C.在與電子數(shù)據(jù)交換（EDI）相關(guān)的風(fēng)險中，最嚴(yán)重的是交易授權(quán)不當(dāng)。由于與各方的交互采用的是電子形式，因此本身并沒有身份認(rèn)證環(huán)節(jié)。認(rèn)證不當(dāng)可導(dǎo)致財務(wù)損失這一嚴(yán)重風(fēng)險。D.EDI交易的完整性很重要，但沒有未授權(quán)交易的風(fēng)險大。A1-76以下哪一項對于信息系統(tǒng)審計師訪問和分析數(shù)據(jù)以從不同的軟件環(huán)境中收集相關(guān)審計證據(jù)最有用？[單選題]*A.結(jié)構(gòu)化查詢語言。B.應(yīng)用軟件報告。C.數(shù)據(jù)分析控制。D.計算機輔助審計技術(shù)。(正確答案)答案解析：A.結(jié)構(gòu)化查詢語言為審計師提供了根據(jù)審計目標(biāo)查詢特定數(shù)據(jù)庫的選項。但是，查詢特定數(shù)據(jù)庫需要技能，并且用戶必須能夠理解記錄結(jié)構(gòu)才能訪問數(shù)據(jù)。B.來自應(yīng)用軟件的報告可能很有用，但它們不如計算機輔助審計技術(shù)（CAAT）那么有用。C.數(shù)據(jù)分析控制可能是用于控制測試的一種很好的技術(shù)，但它們并不像CAAT那么全面。D.CAAT是用于訪問來自各種軟件環(huán)境、記錄格式等電子數(shù)據(jù)的工具。CAAT可作為根據(jù)審計目標(biāo)收集和評估審計證據(jù)的有用工具，并且可提高收集此類證據(jù)的效率。A1-77以下哪種抽樣方法最適合測試自動發(fā)票授權(quán)控制，以確保不會對特定用戶進行例外處理？[單選題]*A.變量抽樣。B.判斷抽樣。C.分層隨機抽樣。(正確答案)D.系統(tǒng)化抽樣。答案解析：A.變量抽樣用于實質(zhì)性測試，以確定總體特征的貨幣或容量影響。在此案例中，它并非最適合的方法。B.在判斷抽樣中，專業(yè)人員對于樣本可能有失偏頗（例如，所有抽樣單位都超過一定值，都針對特定類型的異?；蚨紴榉穸棧?。應(yīng)該注意的是，判斷性樣本并非基于統(tǒng)計學(xué)，并且其結(jié)果不應(yīng)該用來在總體中推斷結(jié)果，因為樣本不太可能代表總體。C.分層是將總體劃分為具有明確定義的相似特征的子總體的過程，因此每個抽樣單位只能屬于一個層次。這種抽樣方法可確保每個子組中的所有抽樣單位都具有已知的非零選擇機會。在此案例中，它是最適合的方法。D.系統(tǒng)抽樣涉及使用固定的選擇間隔來選擇抽樣單位，其中第一間隔具有隨機起點。在此案例中，它并非最適合的方法。A1-78某位曾參與過組織業(yè)務(wù)連續(xù)性計劃（BCP）設(shè)計的信息系統(tǒng)審計師被指派審計該計劃。信息系統(tǒng)審計師應(yīng)：[單選題]*A.拒絕接受任務(wù)。B.完成審計任務(wù)后通知管理人員可能存在利益沖突。C.開始執(zhí)行任務(wù)前通知BCP團隊可能存在利益沖突。D.開始執(zhí)行任務(wù)前通知審計管理部門可能存在利益沖突。(正確答案)答案解析：A.只有經(jīng)過管理層批準(zhǔn)，或向管理部門、審計管理部門或其他利益相關(guān)方披露之后，才可以拒絕接受任務(wù)。B.應(yīng)在開始執(zhí)行任務(wù)前獲得批準(zhǔn)，而不是在完成任務(wù)后。C.開始執(zhí)行任務(wù)前通知BCP團隊可能存在利益沖突不正確，原因是BCP團隊無權(quán)決定此類事宜。D.潛在利益沖突有可能影響信息系統(tǒng)審計師的獨立性，應(yīng)在開始執(zhí)行任務(wù)之前就提請管理層注意。A1-79IT司法審計的主要目的是：[單選題]*A.參與調(diào)查企業(yè)欺詐行為。B.在發(fā)生系統(tǒng)違規(guī)行為后有計劃地收集和分析證據(jù)。(正確答案)C.評估組織財務(wù)報表的正確性。D.保存犯罪活動的證據(jù)。答案解析：A.司法審計并不僅限于企業(yè)欺詐。B.在發(fā)生系統(tǒng)違規(guī)行為后有計劃地收集和分析證據(jù)是對司法審計的最佳描述。收集的證據(jù)隨后可被分析并用于司法程序。C.評估組織財務(wù)報表的正確性不是司法審計的主要目的。D.取證是調(diào)查與犯罪或不良行為有關(guān)的證據(jù)。保存證據(jù)屬于取證過程，但不是主要目的。A1-80某信息系統(tǒng)審計師審查某遠(yuǎn)程管理服務(wù)器某天的日志時，發(fā)現(xiàn)了日志記錄失敗且無法確認(rèn)備份重啟的情況。該信息系統(tǒng)審計師應(yīng)該怎樣做？[單選題]*A.發(fā)布審計發(fā)現(xiàn)。B.向IS管理人員尋求解釋。C.審查服務(wù)器上的數(shù)據(jù)分類。D.擴大審查的日志樣本范圍。(正確答案)答案解析：A.在這個階段，發(fā)布審計發(fā)現(xiàn)還為時過早。向管理人員尋求解釋是可行的，但更好的做法是收集額外證據(jù)來正確評估該情況的嚴(yán)重性。B.如果不收集關(guān)于此事故及其發(fā)生頻率的更多信息，則很難從管理人員處獲得有意義的解釋。C.備份故障（此時尚未確定）如果牽涉關(guān)鍵數(shù)據(jù)將非常嚴(yán)重。但是，問題并不在于檢測到問題的服務(wù)器上的數(shù)據(jù)是否重要，而在于是否存在影響其他服務(wù)器的系統(tǒng)性控制故障。D.IT審計和鑒證標(biāo)準(zhǔn)要求信息系統(tǒng)審計師收集充分且適當(dāng)?shù)膶徲嬜C據(jù)。該信息系統(tǒng)審計師發(fā)現(xiàn)了一處潛在問題，現(xiàn)在需要確定它到底是個別事故，還是系統(tǒng)性控制故障。A1-81在某小型組織中，發(fā)行經(jīng)理和應(yīng)用程序開發(fā)人員的職能由同一員工履行。在此場景中，以下哪一項是最佳補償性控制？[單選題]*A.雇用額外的員工以實現(xiàn)職責(zé)分離。B.禁止發(fā)行經(jīng)理對程序進行修改。C.記錄對開發(fā)庫的更改。D.驗證是否僅實施經(jīng)過批準(zhǔn)的程序變更。(正確答案)答案解析：A.建立職責(zé)分離并非補償性控制，而是預(yù)防性控制。在小型組織中，雇用新員工可能并不可行，這正是可能需要進行補償性控制的原因。B.由于發(fā)行經(jīng)理履行雙重職責(zé)，因此阻止他們對程序進行修改不可行；而且，在小型組織中，職責(zé)分離也可能不可行。C.記錄對開發(fā)庫的更改不能檢測出對生產(chǎn)庫的更改。D.如果適當(dāng)?shù)目刂撇豢尚谢虿粚嶋H，則補償性控制可用于緩解風(fēng)險。在小型