1.以下哪项概述了执行信息系统审计的整体权限范围?

A.审计范围，包括目的和目标

B.管理层提出执行审计的要求

C.经批准的审计章程

D.经批准的审计日程计划安排

2.以下哪项是控制自我评估的主要优点?

A.管理层在支持业务目标的内部控制方面的所有权得到了强化

B.如果评估结果是外部审计工作的输入，审计费用会降低

C.欺诈检测会有所改进，因为企业内部人员参与了测试控制

D.内部审计师 该 内容 由中 审 网校 所属 www . auditcn .c om可通过使用评估结果转向咨询式的方法

3.制定基于风险的审计方案时，信息系统审计师 该 内容 由中 审 网校 所属 www . auditcn .c om最可能关注以下哪一项?

A.业务流程

B.管理控制

C.环境控制

D.业务战略

4.下列哪种审计风险类型表示所审查领域中缺少补偿性控制?

A.控制风险

B.检测风险

C.固有风险

D.抽样风险

5.审查某应用程序控制的信息系统审计师 该 内容 由中 审 网校 所属 www . auditcn .c om发现系统软件中存在可能严重影响该应用程序的弱点。在这种情况下，信息系统审计师 该 内容 由中 审 网校 所属 www . auditcn .c om应该：

A.忽略这些控制弱点，因为系统软件审查不在此次审查范围之内

B.对系统软件进行详细的审查并报告控制弱点

C.在报告中声明，此次审计仅限于审查应用程序控制

D.仅审查相关的系统软件控制并建议进行详细的系统软件审查

6.下列哪项是定期审查审计规划流程的最重要原因?

A.为可用审计资源的部署制订计划

B.将风险环境的变化考虑在内

C.为审计章程记录文档提供输入数据

D.确定适合的信息系统审计标准

7.以下哪项是控制自我评估的主要优点?

A.管理层在支持业务目标的内部控制方面的所有权得到了强化

B.如果评估结果是外部审计工作的输入，审计费用会降低

C.欺诈检测会有所改进，因为企业内部人员参与了测试控制

D.内部审计师 该 内容 由中 审 网校 所属 www . auditcn .c om可通过使用评估结果转向咨询式的方法

8.规划信息系统审计时，以下哪项是最关键的步骤?

A.审查之前的审计发现

B.执行管理层批准审计计划

C.审查信息安全政策和程序

D.执行风险评估

9.信息系统审计师 该 内容 由中 审 网校 所属 www . auditcn .c om规划信息系统审计范围时使用的方法应基于：

A.风险

B.重要性

C.欺诈监控

D.审计证据的充分性

10.某组织执行关键数据和软件文件的日常备份，并将备份介质存放在组织以外的位置。备份介质用于在文件损毁时恢复文件。这个例子属于：

A.预防性控制

B.管理控制

C.改正性控制

D.检测性控制

参考答案

1.

A.审计范围特定于一次审计，不授予执行审计的权力。

B.来自管理层的要求对于执行审计是不够的，因为这与具体审计有关。

C.经批准的审计章程概述了审计师 该 内容 由中 审 网校 所属 www . auditcn .c om的责任、权限和义务。

D.经批准的审计日程计划安排不授予执行审计的权力。

2.

A.控制自我评估的目标是使企业管理人员更加了解内部控制的重要性以及他们在公司治理方面的责任。

B.减少审计费用不是CSA的主要优点。

C.尽管改进欺诈检测很重要，但其重要性不及控制所有权。它不是CSA的首要目标。

D.CSA可以丰富内部审计师 该 内容 由中 审 网校 所属 www . auditcn .c om的见解，使他们发挥更大的咨询作用；但这是一个额外的优点，而不是主要优点。

3.

A.基于风险的审计方法侧重于对业务性质的认识，能够识别和划分风险。业务风险会影响特定业务的长期存续能力。因此，如果信息系统审计师 该 内容 由中 审 网校 所属 www . auditcn .c om要使用基于风险的审计方法，就必须能够了解业务流程。

B.尽管管理控制是控制的重要组成部分，但其并非在审计范围内了解业务流程的主要关注点。

C.与管理控制一样，环境控制是重要的控制组成部分；但其并不针对受审查的全局性高级业务流程。

D.业务战略是业务流程的驱动力；但在本例中，信息系统审计师 该 内容 由中 审 网校 所属 www . auditcn .c om关注的是为支持组织实施其战略而制定的业务流程。

4.

A.控制风险是指存在无法通过内部控制系统及时阻止或检测到的实质性错误的风险。

B.检测风险是指审计和鉴证专业人员经过实质性测试仍未发现管理层认定中的重大误报的风险。其由两部分组成：抽样风险和非抽样风险。

C.固有风险是不考虑管理层已经或可能采取的措施而评估的风险水平或风险暴露。

D.抽样风险是指对抽样的总体的特性做出错误假设的风险。非抽样风险是指与抽样无关的检测风险；其可由多种原因引起，包括人为错误。

5.

A.信息系统审计师 该 内容 由中 审 网校 所属 www . auditcn .c om不应只因控制弱点不在当前审查范围内便将其忽视。

B.执行详细的系统软件审查可能会妨碍审计的日程计划安排，信息系统审计师 该 内容 由中 审 网校 所属 www . auditcn .c om在审计时可能不具备执行此类审查的能力。

C.如果信息系统审计师 该 内容 由中 审 网校 所属 www . auditcn .c om发现控制弱点，则应予以披露。通过发布免责声明，可以免除此责任。

D.适当的做法是审查相关的系统软件，并建议进行详细的系统软件审查，为此可能需要建议额外资源。

6.

A.可用审计资源的部署由审计任务决定，并受规划流程影响。

B.更改企业的风险环境、技术和业务流程，可能对推动审计规划的短期和长期问题造成严重影响。

C.审计章程反映的是高级管理层对审计职能的要求，存在于更抽象的层面。

D.信息系统审计标准、准则和程序适用于所有审计业务，不受短期和长期问题的影响。

7.

A.控制自我评估的目标是使企业管理人员更加了解内部控制的重要性以及他们在公司治理方面的责任。

B.减少审计费用不是CSA的主要优点。

C.尽管改进欺诈检测很重要，但其重要性不及控制所有权。它不是CSA的首要目标。

D.CSA可以丰富内部审计师 该 内容 由中 审 网校 所属 www . auditcn .c om的见解，使他们发挥更大的咨询作用；但这是一个额外的优点，而不是主要优点。

8.

A.审计师 该 内容 由中 审 网校 所属 www . auditcn .c om可以对之前审计的发现有兴趣，但这不是最关键的步骤。最关键的步骤涉及发现当前问题或高风险领域，而不是审查以往问题的解决方法。对历史审计发现进行审查可能暴露出管理层未解决已识别的风险，或建议无效。

B.执行管理层不必批准审计计划。它通常由审计委员会或董事会批准。管理层可以建议需要审计的领域。

C.审查信息安全政策和程序一般是在现场工作期间，而不是在规划中进行。

D.上述所有步骤中，执行风险评估最为关键。ISACA信息系统审计和鉴证标准1201(规划中的风险评估),主张1201.2中要求进行风险评估："IT审计和鉴证从业者在规划单个业务时应识别并评估与所审查领域相关的风险。”除了有标准要求之外，如果没有执行风险评估，则可能无法发现受审方系统或操作中的高风险领域，从而无法实现评估目的。

9.

A.审计规划要求采用基于风险的方法。

B.重要性与规划具体业务时的潜在控制弱点或缺失有关，还与此类控制弱点或缺失是否会导致重大缺陷或重大漏洞有关。

C.欺诈监控与识别欺诈相关交易和模式有关，并且只在关乎组织风险时才在审计规划中发挥作用。

D.审计证据的充分性与评估所获得的证据的充分性有关，以支持结论并实现具体的业务目标。

10.

A.预防性控制是指在问题发生之前就进行预防的控制。备份介质无法用于预防文件损坏，因此不能将其归类为预防性控制。

B.管理控制可以修改处理系统，从而尽量减少问题的重复发生。备份介质不会修改处理系统，因此不符合管理控制的定义。

C.改正性控制可以帮助纠正问题或将其影响降至最低。备份介质可在文件损坏时用来恢复文件，从而减小损毁带来的影响。

D.检测性控制可以帮助检测和报告所发生的问题。备份介质无法帮助检测错误。