信息系统审计师该 内容由中 审 网校 所属w w w .au di tcn.com帮助一家小型但增长迅速的金融机构 Accenco 审查 IT 和业务目标的一致性。信息系统审计师该 内容由中 审 网校 所属w w w .au di tcn.com需要获得包括业务目标和 IT 目标在内的相关信息。但审计师该 内容由中 审 网校 所属w w w .au di tcn.com收到的信息仅限于在报告会议中使用的简短的业务目标清单和 IT目标幻灯片。信息系统审计师该 内容由中 审 网校 所属w w w .au di tcn.com还在提供的文档中发现，过去两年，风险管理委员会（由高级管理层组成）仅召开过三次会议，并且没有维护会议纪要。比较下一年的 IT 预算和 IT 战略计划后，审计师该 内容由中 审 网校 所属w w w .au di tcn.com发现，下一年计划中提到的多项举措没有纳入该年的预算中。

       信息系统审计师该 内容由中 审 网校 所属w w w .au di tcn.com还发现 Accenco 没有全职 CIO。实体的组织架构图显示，信息系统经理向 CFO 报告，CFO 向董事会报告。在该实体中，董事会在监控 IT 举措方面发挥着重要作用，CFO 定期汇报 IT 举措的进度。

       通过审查职责分离矩阵发现，显然应用程序开发人员只需获得 DBA 的批准即可直接访问生产数据。此外，信息系统审计师该 内容由中 审 网校 所属w w w .au di tcn.com还发现，应用程序开发人员必须先将开发的程序代码提供给库管理员，再由其迁移到生产。信息系统审计由内部审计部门执行，内部审计部门在每个月的月末向 CFO 报告审计结果（作为业务绩效审查流程的一部分）。企业管理人员负责详细审查实体的财务结果并签字，以证明其中所含数据正确无误。

1. 以下哪个与 Accenco 的 IT 业务战略相关的选项最令信息系统审计师该 内容由中 审 网校 所属w w w .au di tcn.com担忧?

A. 战略文档非正式且不完整。

B. 风险管理委员会鲜少召开会议并且没有维护会议记录。

C. 预算看起来不足以支持未来的 IT 投资。

D. 没有全职 CIO。

2. 以下哪个选项是亟待解决的与 Accenco 的 IT 业务战略相关的最重要问题?

A. 与应用程序开发人员的访问和迁移代码相关的行为。

B. 缺乏 IT 政策和程序

C. 与同类企业相比的风险管理实务

D. IT 的报告结构

3. 在所描述的情况下，从 IT 治理角度来看，以下哪一项最令人担忧?

A. 企业没有全职 CIO。

B. 企业没有IT指导委员会。

C. 董事会在监控 IT 举措方面发挥着重要作用。

D.信息系统经理向 CFO 报告。

4. 在所描述的情况下，从 SoD 角度来看，以下哪一项最令人担忧?

A. 应用程序开发人员只需获得 DBA 的批准即得到对数据的直接写入访问权限。

B. 应用程序开发人员必须将开发的程序代码移交给库管理员，由其将程序代码迁移到生产。

C. 内部审计部门向 CFO 报告。

D. 仅需企业管理人员签字同意业务绩效审查结果。

5. 从缓解控制的角度来看，以下哪一项可以最有效地解决数据完整性问题?

A. 应用程序开发人员必须获得 DBA 的批准，才可直接访问数据。

B. 应用程序开发人员必须将开发的程序代码移交给库管理员，再由其将程序代码转移到生产。

C. 内部审计部门向 CFO 报告。

D. 业务绩效结果必须由企业管理人员审查和签字同意。

6. 在这家小型企业中，假设 CFO 还担任着 CIO 的角色。信息系统审计师该 内容由中 审 网校 所属w w w .au di tcn.com应该对治理结构提出什么建议?

7. 信息系统预算流程应与业务流程相结合，并与企业预算周期保持一致。信息系统审计师该 内容由中 审 网校 所属w w w .au di tcn.com将为企业提出什么建议，以确保预算涵盖所有方面并且能被董事会接受?

8. 内部审计师该 内容由中 审 网校 所属w w w .au di tcn.com向IT举措和运营的所有者 CFO 进行汇报。汇报关系会妨碍审计师该 内容由中 审 网校 所属w w w .au di tcn.com的独立性。可启用哪些补偿性控制来改进审计工作?

参考答案

1.

A. 如果没有明确的战略文档，IT 就会忽视业务方向，从而加大项目选择的难度，而且难以界定服务水平。总体而言，IT 在交付和价值实现方面无法发挥最大作用。

B. 风险管理委员会未能定期召开会议并提供良好记录，这表明缺乏良好的风险治理。设定业务和 IT 目标时，风险也会随之而来。

C. 虽然未来 IT 投资预算不足会引发关注，但其重要程度不如不完整的战略。

D. 缺乏全职 CIO 可能是问题，但其重要程度不如不完整的战略。

2.

A. 与应用程序开发人员的访问和迁移代码相关的行为表明缺乏IT政策和程序。

B. 缺乏 IT 政策和程序会使所交付的 IT 相关工作不一致。政策反映了管理层的意图以及根据战略设定的规范。程序有助于完成日常 IT 交付。

C. 无须将风险管理实务与同类企业进行比较。

D. 虽然 IT 的报告结构非常重要，但其重要程度不及 IT 政策和程序。

3.

A. 没有全职 CIO 可能是需要关注的问题，但不如信息系统经理向 CFO 报告严重。

B. 没有 IT 指导委员会可能会引发问题，但不如信息系统经理向 CFO 报告严重。

C. 董事会在 IT 举措中发挥重要作用并不是需要关注的重要问题。

D. 理想情况下，信息系统经理应该向董事会或 CEO 报告，以便拥有足够的独立性。要求信息系统经理向 CFO 报告的报告结构并非理想方案，可能导致某些控制的效果大打折扣。

4.

A. 在访问数据之前，应用程序开发人员应该获得业务所有者的批准。DBA 只是数据管理员，并且只能提供数据所有者授权的访问权限。

B. 虽然这可能是需要关注的 SoD 问题，但不如 DBA 审批直接写入访问权限严重。

C. 内部审计部门向 CFO 报告是需要关注的 SoD 问题，但不如 DBA 审批直接写入访问权限严重。

D. 此 SoD 问题不如 DBA 审批直接写入访问权限严重。

5.

A. 这不是缓解数据篡改风险的最佳方法。

B. 将程序代码移交给库管理员并不是缓解数据篡改风险的最佳方法。

C. 报告结构无法缓解数据篡改风险。

D. 企业管理人员月底签字同意财务结果中包含的数据，可以发现在未经企业管理人员批准或企业管理人员不了解的情况下，通过不适当地直接访问所获得的数据并篡改数据从而可能导致的重大差异。

6.

可能答案：在小型企业中，CFO 可同时担任 CIO。最好能让内部控制部门向不同高管（如人力资源或风险管理）报告。组织应拥有治理职能，以负责执行 IT 战略和 IT 指导委员会方针。应该尽可能最大限度地实现 SoD。可将监管审查或同行评审等补偿性控制用于当前控制。

7.

可能答案：应定义符合 Accenco 企业周期（如财年、季度审查）的 IT 预算和投资流程。财务管理流程应包括预算活动，其中说明了所用的预算方法、遵循会计科目表的成本结构和审批链。业务案例流程应当用于证明流程的合理性以及说服董事会批准流程。

8.

可能答案：这种情况下，内部审计师该 内容由中 审 网校 所属w w w .au di tcn.com应寻求进一步的鉴证（例如，利用工具监控信息系统控制、对采购团队的工作执行基准检测、董事会临时执行外部审计或高级管理层审查）。