CISA 中文模拟题465题.docx

1、CISA 中文模拟题465题Chapter 11.下列哪些形式的审计证据就被视为最可靠? 口头声明的审计 由审计人员进行测试的结果 组织内部产生的计算机财务报告 从外界收到的确认来信 2.当程序变化是，从下列哪种总体种抽样效果最好？测试库清单源代码清单 程序变更要求 产品库列表3.在对定义IT服务水平的控制过程的审核中，审计人员最有可能面试：系统程序员. 法律人员 业务部门经理 应用程序员. 4.进行符合性测试的时候，下面哪一种抽样方法最有效？属性抽样 变数抽样 平均单位分层抽样差别估算 5.当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：当数据流通过系统时，其作用

2、的控制点。 只和预防控制和检查控制有关. 纠正控制只能算是补偿. 分类有助于审计人员确定哪种控制失效6.审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作? 计算机辅助开发工具（case tool） 嵌入式（embedded）资料收集工具 启发扫描工具（heuristic scanning tools） 趋势/变化检测工具 7.在应用程序开发项目的系统设计时间，审计人员的主要作用是：建议具体而详细的控制程序 保证设计准确地反映了需求 确保在开始设计的时候包括了所有必要的控制 开发经理严格遵守开发排程8.下面哪一个目标控

3、制自我评估(CSA)计划的目标? 关注高风险领域替换审计责任 完成控制问卷 促进合作研讨会 Collaborative facilitative workshops9.利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证： 充分保护信息资产根据资产价值进行基本水平的保护对于信息资产进行合理水平的保护根据所有要保护的信息资产分配相应的资源10.审计轨迹的主要目的是：改善用户响应时间确定交易过程的责任和权利提高系统的运行效率为审计人员追踪交易提供有用的数据 11.在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响： 可以使用的CAATs管理层的陈述组织结构和岗位职

4、责.存在内部控制和运行控制12.对于组织成员使用控制自我评估(CSA)技术的主要好处是： 可以确定高风险领域，以便以后进行详细的审查使审计人员可以独立评估风险可以作来取代传统的审计使管理层可以放弃relinquish对控制的责任13.下列哪一种在线审计技术对于尽早发现错误或异常最有效?嵌入审计模块综合测试设备Integrated test facility 快照sanpshots审计钩Audit hooks14.当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方法？对于链接库控制进行实质性测试对于链接库控制进行复合性测试对于程序编译控制的符合性测试 对

5、于程序编译控制的实质性测试15.在实施连续监控系统时，信息系统审计师第一步时确定：合理的开始（thresholds）指标值组织的高风险领域输出文件的位置和格式最有最高回报潜力的应用程序16.审计计划阶段，最重要的一步是确定：高风险领域审计人员的技能审计测试步骤审计时间17.审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师：在应用系统开发过程中，实施了具体的控制设计并嵌入了专门审计这个应用系统的审计模块作为应用系统的项目组成员，但并没有经营责任为应用系统最佳实践提供咨询意见18.审计中发现的证据表明，有一种欺诈舞弊行为与经理的账号有关。经理把管理员分配给他的

6、密码写在纸上后，存放在书桌抽屉里。IS审计师可以推测的结论是：经理助理有舞弊行为不能肯定无疑是谁做的肯定是经理进行舞弊系统管理员进行舞弊19.为确保审计资源的价值分配给组织价值最大的部分，第一步将是：制定审计日程表并监督花在每一个审计项目上的时间培养审计人员使用目前公司正在使用的最新技术根据详细的风险评估确定审计计划监督审计的进展并开始成本控制措施20.审计师在评估一个公司的网络是否可能被员工渗透， 其中下列哪一个发现是审计师应该最重视的？有一些外部调制解调器连接网络用户可以在他们的计算机上安装软件网络监控是非常有限的许多用户账号的密码是相同的21.信息系统审计师在控制自我评估(CSA)中的传

7、统角色是：推动者（facilitator）经理伙伴股东 22.下面哪一种审计技术为IS部门的职权分离提供了最好的证据：与管理层讨论审查组织结构图观察和面谈测试用户访问权限23.2IS审计师应该最关注下面哪一种情况？缺少对成功攻击网络的报告缺少对于入侵企图的通报政策缺少对于访问权限的定期审查没有通告公众有关入侵的情况24.审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征？可得到在线网络文文件支持终端访问远程主机处理在主机和内部用户通信之间的文件传输执行管理，审计和控制25.审计师使用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：固有的风险.控制风险检查危险审计

8、风险26.审计章程应采取：是动态的和经常变化的，以便适应技术和和审计专业（professional）的改变清楚的说明审计目标和授权，维护和审核内部控制文文件化达到计划审计目标的审计程序列出对审计功能的所有授权，范围和责任27.审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发现是最重要的?应用程序所有者不知道IT部门对系统实施的一些应用应用数据每周只备份一次应用开发文档不完整信息处理设施没有受到适当的火灾探测系统的保护28.IS审计功能的一个主要目的是：确定每个人是否都按照工作说明使用IS资源 确定信息系统的资产保护和保持数据的完整性对于计算机化的系统审查账册及有关证明文件确定该组织

9、识别诈骗fraud的能力29.进行审计的时候，审计师发现存在病毒，IS审计师下一步应该做什么？观察反应机制 病毒清除网络 立即通知有关人员 确保删除病毒 30.审计章程的的主要目标是： 记录企业使用的审计流程审计部门行动计划的正式档 记录审计师专业行为的行为准则 说明审计部门的权力和责任。31.在对程序的安全性审计过程中，审计师发现没有文件记录安全程序，该审计员应该：建立程序文件 终止审计 进行一致性测试鉴定和评估现行做法 32.在风险分析期间，IS审计师已经确定了威胁和潜在的影响，下一步审计师应该：确定并评估管制层使用的风险评估过程 确定信息资产和受影响的系统 发现对管理者的威胁和影响 鉴定

10、和评估现有控制. 33.下面哪一项用于描述（整体测试法）最合适？这种方法使IS审计师能够测试计算机应用程序以核实正确处理 利用硬件和或软件测试和审查计算机系统的功能 这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程 IS系统审计师用于测试的一种程序，可以用于处理tagging和扩展交易和主文档记录。34.IS审计师要判断是否严格控制被授权者对于程序文文件的访问，最有可能的做法是 ：评估在存储场所的档保存计划 就当前正在进行的流程采访程序员 对比实际使用的记录和操作表 审查数据文件访问记录测试管理库的功能35.需要进一步收集哪些数据，IS审计师的决定取决于需要的重要信息的可

11、用性 审计师对于情况的熟悉程序 审计人员（auditee）找到相关证据的能力 进行审计的目的和范围36.审查管理层的长期战略计划有助于审计师：了解一个组织的宗旨和目标 测试企业的内部控制 评估组织队信息系统的依赖性 确定审计所需的资源 37.利用统计抽样程序可以减少：抽样风险 检查风险 固有风险 控制风险38.IS审计师对软件使用和权限进行审计，发现大量的PC安装了未授权的软件。IS审计师应该采取下面哪种行为？个人擅自删除所有未授权软件拷贝 通知被审计人员非授权软件的情况，并确认删除 报告使用XX软件的情况，并需要管理层避免这种情况重复发生 不采取任何行动，因为这是一个公认的惯例和做法，业务管

12、理部门负责监督这种使用39.下面哪一项IS审计师可用来确定编辑和确认程序的有效性（effectiveness）?域完整性测试 相关完整性测试 参照完整性测试 同位检查 40.下面哪一种情况下，IS审计师应该用统计抽样而不是判断抽样(nonstatistical)：错误率必须被客观量化（objectively quantified） 审计师希望避免抽样风险 通用审计软件不实用（unavailable） 容忍误差(tolerable error rate)不能确定41.证明税收计算系统精确性的最好的方法是：对于计算程序源代码详细目测审核和分析使用通用审计软件对每个月计算的总数进行重复的逻辑计算为处

13、理流程准备模拟交易，并和预先确定的结果进行比较 自动分析流程图和计算程序的源代码42.以下哪一个是使用测试数据的最大的挑战?确定测试的程序的版本和产品程序的版本一致制造测试数据报括所有可能的有效和无效的条件 对于测试的应用系统，尽量减少附加交易的影响在审计师监督下处理测试数据43.电子邮件系统已经成为一个有用的诉讼证据来源，下面哪一个是最有可能的原因？多重循环备份文件可供利用 访问控制可以确定电子邮件行为的责任对于通过电子邮件交流的信息尽心过数据分类管理企业中，用于确保证据可得的清晰的使用电子邮件的政策44.IS审计师对于应用程控进行审查，应该评价：应用程序对于业务流程的的效率发现的隐患exp

14、osures的影响应用程序服务的业务应用程序的优化. 45.以下哪一个是最主要的优势，利用计算机司法软件进行调查：维护保管的一系列电子证据 节约时间 效率和效益寻求侵犯知识产权证据的能力46.以下哪一个是使用ITF综合测试法的优势?使用真实的或虚拟的主文档，IS审计师不需要审查交易的来源。定期检验过程并不需要单独分离测试过程证实应用程序并可测试正在进行的操作它无需准备测试资料. 47.风险分析的一个关键因素是:审计计划.控制弱点. Vulnerabilities负债liabilities48.IS审计师的决策和行动最有可能影响下面哪种风险？固有风险检查分析控制风险业务风险49.在一台重要的服务器中，IS审计师发现了由已知病毒程序产生的木马程序，这个病毒可以利用操作系统的弱点。IS审计师应该首先做什么？调查病毒的作者. 分析操作系统日志确保恶意代码已被清除安装消除弱点vulne