中汇CISA习题精选(200)

中汇CISA习题精选

1.下列哪些形式的审计证据就被视为最可靠?

A.口头声明的审计

B.由审计人员进行测试的结果

C.组织内部产生的计算机财务报告

D.从外界收到的确认来信

2.进行符合性测试的时候，下面哪一种抽样方法最有效？

A.属性抽样

B.变量抽样

C.平均单位分层抽样

D.差别估算

3.审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜

在的用户或系统行为异常。下列哪些工具最适合从事这项工作?

A.计算机辅助开发工具（case tool）

B.嵌入式（embedded）数据收集工具

C.启发扫描工具（heuristic scanning tools）

D.趋势/变化检测工具

4.在应用程序开发项目的系统设计阶段，审计人员的主要作用是：

A.建议具体而详细的控制程序

B.保证设计准确地反映了需求

C.确保在开始设计的时候包括了所有必要的控制

D.开发经理严格遵守开发日程安排

5.IS审计师的决策和行动最有可能影响下面哪种风险？

A.固有风险

B.检查分析

C.控制风险

D.业务风险

6.利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证：

A.充分保护信息资产

B.根据资产价值进行基本水平的保护

C.对于信息资产进行合理水平的保护

D.根据所有要保护的信息资产分配相应的资源

7.审计计划阶段，最重要的一步是确定：

A.高风险领域

B.审计人员的技能

C.审计测试步骤

D.审计时间

8.信息系统审计师在控制自我评估(CSA)中的传统角色是：

A.推动者（facilitator）

B.经理

C.伙伴

D.股东

9.下面哪一种审计技术为IS部门的职权分离提供了最好的证据：

A.与管理层讨论

B.审查组织结构图

C.观察和面谈

D.测试用户访问权限

10.审计章程应采取：

A.是动态的和经常变化的，以便适应技术和和审计专业（professional）的改变

B.清楚的说明审计目标和授权，维护和审核内部控制

C.文档化达到计划审计目标的审计程序

D.列出对审计功能的所有授权，范围和责任

11.下列哪一个是风险评估过程的描述? 风险评估是:

A.主观.

B.客观.

C.数学方法

D.统计

12.以风险为基础的审计方法，ＩＳ审计师应该首先完成：

A.固有的风险评估.

B.控制风险评估.

C.控制测试评估.

D.实质性测试评估.

13.在评估网络监测控制时，IS审计师第一步应该审核网络的

A.拓朴图.

B.带宽使用.

C.阻塞分析报告

D.瓶颈确定

14.在审计章程中记录的审计功能中的责任、权力和经营责任responsibility, authority and

accountability，必须：

A.必须经最高管理层批准

B.经审计部门管理者批准

C.经用户部门领导批准

D.在每年IS审计师大会commencement之前修改

15.当通知审计结果时，IS审计师应该牢记他们的最终责任是对：

A.高级管理和/或审计委员会.

B.被审计单位的经理.

C.IS审计主管.

D.法律部门legal authorities

16.下面哪一项是使用基于风险方法的审计计划的好处？审计

A.日程安排可以提前完成.

B.预算更符合IS审计人员的需要

C.人员可以使用不同的技术

D.资源分配给高风险领域

17.下列哪一种在线审计技术对于尽早发现错误或异常最有效?

A.嵌入审计模块

B.综合测试设备Integrated test facility

C.快照sanpshots

D.审计钩Audit hooks

18.当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员

会用下面哪一种测试方法？

A.对于程序库控制进行实质性测试

B.对于程序库控制进行复合性测试

C.对于程序编译控制的符合性测试

D.对于程序编译控制的实质性测试

19.在实施连续监控系统时，信息系统审计师第一步时确定：

A.合理的开始（thresholds）指标值

B.组织的高风险领域

C.输出文件的位置和格式

D.最有最高回报潜力的应用程序

20.在风险分析期间，ＩＳ审计师已经确定了威胁和潜在的影响，下一步ＩＳ审计师应

该：

A.确定并评估管制层使用的风险评估过程

B.确定信息资产和受影响的系统

C.发现对管理者的威胁和影响

D.鉴定和评估现有控制.

21.如果缺乏高层管理人员对于战略计划的许诺（commitment），最可能的后果是:

A.缺乏技术投资.

B.缺乏系统开发的方法.

C.技术与组织目标不一致.

D.缺乏对于技术合同的控制.

22.用自下而上的方法来开发组织政策的优势在于这样开发的政策:

A.为组织整体而指定.

B.更可能来自于风险评估的结果.

C.与企业整体政策不会冲突.

D.确保整个组织的一致性

23.有效的IT治理应该确保IT计划符合组织的:

A.业务计划.

B.审计计划.

C.安全计划.

D.投资计划.

24.下面哪一项最可能暗示，客户数据仓库应该由内部开发而不是外包给海外运营？

A.时差不同有可能影响IT团队的沟通

B.通信费在第一年非常高

C.有关隐私权的法律可能会阻碍信息跨国界传输

D.软件开发需要更详细的说明

25.当一名员工被解雇时，需要采取的最重要的行动是:

A.交出全部职工的档案给指定的另一名雇员.

B.完成员工工作的备份.

C.通知其他员工关于该员工的解雇通知.

D.解除该员工的逻辑访问权限.

26.IS审计师在审查IT设备的外包合同的时候，希望合同确定的是：