培训课程
领域 1:信息系统审计的审计流程——案例
Betatronics是一家中等规模的电子产品制造商,其总部位于美国,工厂位于拉丁美洲。企业内部的信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com需要执行预备工作,评估组织是否准备好接受衡量其对新美国监管要求的遵守情况的审查。
这些要求旨在确保管理层能够在建立和维护良好受控环境方面发挥积极作用,并且还将评估管理层对一般IT控制的审查和测试。需要评估的领域包括:
● 逻辑和物理安全。
● 变更管理。
● 生产控制和网络管理。
● IT治理。
● 最终用户计算。
信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com有六个月的时间来完成这项预备工作。前几年,在逻辑安全和变更管理领域曾发现重复出现的问题。逻辑安全缺陷包括:共享管理员账户以及未针对密码强制实施足够的控制。变更管理缺陷包括:对不兼容职责的分离不当以及未记录所有变更。此外,在将操作系统更新部署到服务器的过程中,只有一部分操作是有效的。
首席信息官要求其直接下属撰写工作说明和流程步骤,描述IT负责的主要活动。完成这些任务并获得各个流程所有者和CIO的批准后,信息被转发给信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com检查。审计预备工作完成后,Betatronics决定制订未来两年的审计计划。接受任命后,信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com注意到:
● 该实体有一套审计章程,其中详述了信息系统审计职能的范围和责任,并指定审计委员会负责监督审计活动。
● 该实体应遵守监管合规性要求,其管理层必须保证内部控制系统的有效性,因为这与财务报告相关。
● 该实体在过去两年内持续增长,增长速度是行业平均水平的两倍。
● 该实体发现,员工的离职率有所上升。
1.信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com首先应该做什么?
A.执行逻辑访问控制的调查审计
B.修改审计计划以重点关注基于风险的审计
C.执行IT风险评估
D.开始测试信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com认为最关键的控制
2.在审计逻辑安全时,观察到哪种情况时会引起信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com的最大关注?
A.每个人都知道系统管理员账户
B.未强制要求经常更改密码
C.网络管理员被给予过多的权限
D.IT部门没有书面形式的权限管理政策
3.这种情况下,在测试方案变更管理时,应该如何选择样本?
A.应该随机选择变更管理文档并检查其是否适合
B.应该对生产代码的变更进行抽样并追踪到相关的授权文档
C.应该基于系统关键性选择变更管理文档并检查其是否适合
D.应该对生产代码的变更进行抽样并追踪到系统生成的包含变更日期和时间的日志
4.在规划未来两年审计时,列出信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com将用于实质性测试的三种一般IT控制。
5.在第一年,信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com最先应该调查的是:
A.以前的信息系统审计报告,以便规划审计时间表
B.审计章程,以便规划审计时间表
C.员工离职率上升的影响
D.新企业资源计划的实施对IT环境的影响
6.信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com应该如何评估计算机操作中的备份和批处理?
A.依靠服务审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com出具的服务提供商报告
B.研究实体与服务提供商之间的合同
C.将服务交付报告与SLA进行比较
D.规划并执行对计算机操作的独立审查
7.在日常工作中,信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com指出,存在日志审查可能无法及时检测错误的风险。这是以下哪一项的示例?
A.固有风险
B.残余风险
C.控制风险
D.重大风险
8.信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com建议CIO和团队改进一般的IT控制环境,并为此目的提议调整COBIT。在考虑此框架时,信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com应提出哪些建议?
参考答案
1.
A.在进行IT风险评估后,执行逻辑访问控制的调研审计。
B.在进行IT风险评估后,修改审计计划以重点关注基于风险的审计。
C.首先应该执行IT风险评估,以查明哪些方面所面临的风险最大,以及哪些控制能够减少风险。虽然已经撰写了工作说明和流程步骤,但是该组织尚未评估出关键的控制。
D.在进行IT风险评估后,测试信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com认为最关键的控制。
2.
A.每个人都知道系统管理员账户是最危险的。这种情况下,任何用户都可以在系统中执行任何操作,包括访问文件、调整权限和参数。
B.虽然不经常更改密码会造成问题,但不会像每个人都知道系统管理员账户那样严重。
C.虽然网络管理员获得过多权限会造成问题,但不会像每个人都知道系统管理员账户那样严重。
D.虽然缺乏特权管理政策会造成问题,但不会像每个人都知道系统管理员账户那样严重。
3.
A.如果是从一组控制文档中选择一个样本,无法确保每个变更都被记录到相应的控制文档中。
B.测试控制时,最好从受控项目追踪到相关的控制文档。如果是从一组控制文档中选择一个样本,无法确保每个变更都被记录到相应的控制文档中。因此,生产代码变更为选择样本提供了最适合的基础。
C.如果是从一组控制文档中选择一个样本,无法确保每个变更都被记录到相应的控制文档中。
D.测试控制时,最好从受控项目追踪到相关的控制文档。
4.
部分可能的答案包括:
● 信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com可以检查最近用于执行特定系统管理员任务的账户。
● 信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com可以检查针对任何选定的系统更改是否有更改记录(例如,服务器重启和修补)。
● 信息系统审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com可以审查交易,以确定其是否与不相容的职责分离。
5.
A.将重新审查以前的信息系统审计报告,以便在进行信息系统审计工作时减少冗余工作和用于参考。
B.审计章程定义信息系统审计活动的目的、权限和职责。它还为即将开展的活动奠定了基础。
C.如果需要弥合任何差距,则在协商各个领域的跟进活动时,需考虑员工离职率的影响。
D.如果需要弥合任何差距,则在协商各个领域的跟进活动时,需考虑实施新ERP的影响。
6.
A.服务审计师 该内 容 由中 审 网 校 所属ww w .a u ditcn.com的报告无法保证能发现控制效率低下。
B.审查合同无法保证能发现控制效率低下。
C.将服务交付报告和服务水平协议进行比较无法保证能发现控制效率低下。
D.信息系统审计应对备份和批处理进行独立审查。所有其他选项都无法保证能在流程中发现控制效率低下。
7.
A.这不是固有风险的示例。固有风险是指无论管理层是否采取或可能会采取措施(例如,实施控制)都会存在的风险级别或风险暴露。
B.这不是残余风险的示例。残余风险是管理层实施风险应对措施后剩余的风险。
C.当无法通过本示例所述的信息系统控制体系及时阻止或检测到风险时,则存在控制风险。
D.这不是重大风险的示例。重大风险是指任何大到足以对业务的总体成功造成实质性威胁的风险。
8.
可能答案:
可以利用并调整COBIT框架。通过将标准COBIT框架与组织的实际情况进行比较,可以将各个流程分类为完全适用、部分适用和不适用。正如COBIT指南所建议,各个相应的流程可包含更多框架、标准和实务。
下一篇:没有了!
