領域1：信息系統審計流程[復制]A1-1內部審計部門編寫了一些腳本，用于對某些信息系統持續審計。IT部門要求獲得腳本副本，以用來在關鍵系統上設立連續監控流程。與IT部門分享這些腳本是否會影響信息系統審計師獨立、客觀地審計IT部門的能力？[單選題]*A.不允許分享腳本，因為這會使IT部門能夠對系統進行預審計并避開精確、全面的審計。B.無論是否削弱審計獨立性都需要分享腳本，因為IT部門必須能夠審核在信息系統上運行的所有程序和軟件。C.如果IT部門認識到審計還可能在腳本覆蓋范圍以外進行，便可以允許分享腳本。(正確答案)D.不允許分享腳本，因為編寫腳本的信息系統審計師將不被允許審計任何使用該腳本進行監控的信息系統。答案解析：A.IT部門持續地監控和處理IT系統問題的能力不會影響信息系統審計進行全面審計的能力。B.可能為了質量保證和配置管理而在政策上需要分享腳本，但是這不會損害審計的能力。C.IS審計仍然可以審核系統的所有方面。他們可能無法審核腳本的有效性，但仍然能夠對系統進行審計。D.信息系統審計涵蓋的范圍不只是腳本中覆蓋的控制。A1-2在信息系統合規性審計的規劃階段，以下哪個是決定所需的數據收集范圍的最佳因素？[單選題]*A.組織業務的復雜性。B.上一年度提到的發現和問題。C.審計的目的、目標和范圍。(正確答案)D.審計師對組織的熟悉程度。答案解析：A.組織運營的復雜性是在規劃審計時需要考慮的因素，但不會對數據收集量的確定產生直接影響。數據收集的范圍取決于審計的強度、范圍和目的。B.之前的發現和問題是在規劃審計時需要考慮的因素，但不會對數據收集量的確定產生直接影響。必須在之前發現的范圍以外進行數據收集。C.在IS審計期間，所收集數據的范圍應與審計的目的、目標和范圍直接相關。目的、目標和范圍有限的審計所收集的數據很可能比目的和范圍較廣的審計要少。統計分析也可能決定數據收集的范圍，如樣本量或數據收集的方式。D.審計師對組織的熟悉程度是在規劃審計時需要考慮的因素，但不會對數據收集量的確定產生直接影響。審計必須以足夠的控制監控證據為基礎，而且不受審計師對組織的熟悉程度的不當影響。A1-3某信息系統審計師正在針對包含新系統的環境制訂一項審計計劃。組織的管理層級希望該信息系統審計師著重關注最新實施的系統。該信息系統審計師應如何去做？[單選題]*A.按管理層的要求審計新系統。B.審計去年審計范圍以外的系統。C.確定風險最高的系統，然后相應地制訂計劃。(正確答案)D.審計去年審計范圍以外的系統和新系統。答案解析：A.審計新系統不能反映基于風險的方法。盡管系統可能包含敏感數據并可能給組織帶來數據丟失或泄露的風險，但在未經過風險評估的情況下，僅審計新實施系統的決定不是基于風險所做出的。B.審計去年審計范圍之外的系統不能反映基于風險的方法。此外，管理層可能清楚新系統存在的問題，并刻意想讓審計繞開這一薄弱領域。盡管乍看之下，新系統可能是最具風險的領域，但也必須執行評估，而不能依賴信息系統審計師或IT經理的判斷。C.最佳措施是執行風險評估并制訂審計計劃，以涵蓋最高風險領域。ISACA信息系統審計和鑒證標準1202（規劃中的風險評估），主張1202.1：“信息系統審計和鑒證職能部門應運用恰當的風險評估方法和配套方法來制訂總體的信息系統審計計劃和確定有效分配信息系統審計資源的優先順序。”D.審計計劃的制訂應與管理部門合作進行，并且以風險為基礎。信息系統審計師不應擅自決定審計范圍。A1-4某信息系統審計師正在對一個基于Web的關鍵系統的安全控制進行實施前審查。滲透測試結果尚不確定，并且在實施前無法最終得出結果。以下哪項是該信息系統審計師的最佳選擇？[單選題]*A.根據可用信息發布一份報告，突出強調潛在的安全漏洞，并要求進行后續審計測試。(正確答案)B.發布一份報告，忽略沒有從測試中獲得決定性證據的領域。C.請求延遲實施日期，直到能夠完成其他安全測試且能夠獲得相應控制證據。D.通知管理層，審計工作無法在實施前完成，并且建議推遲審計。答案解析：A.如果信息系統審計師無法在議定的時間范圍內充分鑒證關鍵系統的安全，則應在審計報告中突出強調該事實并在日后安排后續測試。然后，管理部門才可根據確定的潛在漏洞的重要程度，來決定是否需要延遲系統的上線日期。B.信息系統審計師由于無法在議定的審計時間內得到決定性證據而忽略潛在漏洞的領域是不可接受的。如果在審計報告中忽略這些領域，則會違反ISACA信息系統審計和鑒證標準。C.在此情形中，如果系統涉及關鍵業務，則不太可能允許延長審計時間和延遲上線日期。無論如何，是否延遲上線日期必須由業務管理部門而不是信息系統審計師來決定。在這種情況下，信息系統審計師應在議定日期前向業務管理部門提供所有可用信息。D.未能在審計項目的某個部分獲得充分證據不能成為取消或延緩審計的理由，這會違反應有的職業謹慎的審計準則。A1-5在無法對職責進行適當分離的環境中，信息系統審計師將會尋求以下哪一種控制？[單選題]*A.重疊控制。B.邊界控制。C.訪問控制。D.補償性控制。(正確答案)答案解析：A.重疊控制是針對同一控制目標或風險敞口實施的兩種控制。因為在無法或沒有適當分離職責時不能實施主要控制，因此很難采取重疊控制措施。B.邊界控制用于在計算機系統的目標用戶與計算機系統本身之間建立接口，并且是基于個人而非角色的控制。C.對資源的訪問控制基于個人而非角色。如果缺少職責分離，則信息系統審計師預期會發現有人擁有的權限比理想的要高。信息系統審計師需要找到補償性控制來解決該風險。D.補償控制屬于內部控制，在無法適當分離職責時，可以降低現有的或潛在的控制弱點可能面臨的風險。A1-6以下哪項是控制自我評估的主要優點？[單選題]*A.管理者在支持業務目標的內部控制方面的責任得到了強化。(正確答案)B.如果評估結果是外部審計工作的輸入，審計費用會降低。C.舞弊偵測會有所改進，因為企業內部人員參與了測試控制。D.內部審計師可通過使用評估結果轉到咨詢式的方法。答案解析：A.控制自我評估（CSA）的目標是使企業管理人員更加了解內部控制的重要性以及他們在公司治理方面的責任。B.減少審計費用不是CSA的主要優點。C.盡管改進舞弊偵測很重要，但其重要性不及控制所有權。它不是CSA的首要目標。D.CSA可以豐富內部審計師的見解，使他們發揮更大的咨詢作用，但這是一個額外的優點，而不是主要優點。A1-7數據挖掘和審計軟件工具應該滿足哪項主要需求？該軟件工具應該：[單選題]*A.與各種類型的企業資源規劃軟件和數據庫具備接口。B.準確地捕捉來自組織系統的數據，而且不產生過多的性能問題。(正確答案)C.將審計勾引入組織的財務系統，以便為連續審計提供支持。D.具有可定制性并且支持加入客戶編程，以便幫助調查分析。答案解析：A.產品必須與組織使用的各種類型的系統具備接口，并為分析提供有意義的數據。B.在對用于審計和數據挖掘的軟件工具進行評估時，盡管所有列為答案選項的要求均有可取之處，但最關鍵的要求是該工具能夠有效地在被審計組織的系統上運行。C.該工具可能不僅限于在財務系統上運行，而且不一定需要實施審計鉤。D.該工具應該很靈活，但不必具有可定制性。它應具有內置分析軟件工具。A1-8一名具有強大技術背景和豐富管理經驗的長期IT員工申請了信息系統審計部門的空缺職位。除了個人經驗，還最應該根據以下哪項來確定該職位是否雇用這個人？[單選題]*A.工齡，因為這有助于確保技術能力。B.年齡，因為進行審計技術培訓可能不實際。C.IT知識，因為這將增強審計職能的可信度。D.作為信息系統審計師，能否獨立于現有IT關系。(正確答案)答案解析：A.工齡不能確保技術能力。B.根據個人年齡來評估其資質并不是一個好標準，這在世界許多地方都是非法的。C.此員工從事IT工作多年并不能保證可信度。應對IS審計部門的需求進行定義，需要對照這些要求對任意候選人進行評估。D.審計師和管理人員應持續評估獨立性。此評估應考慮的因素包括：人際關系的變化、經濟利益以及以前的工作分配和職責。A1-9對于一家交易量巨大的零售企業來說，下面哪項是最適合應對新出現的風險的審計技術？[單選題]*A.使用計算機輔助審計技術。B.季度風險評估。C.交易日志抽樣。D.持續性審計。(正確答案)答案解析：A.使用計算機輔助審計技術等軟件工具分析交易數據的做法可以提供對趨勢和潛在風險的詳細分析，但其有效性不如持續性審計，這是因為在運行軟件和分析結果之間可能有時間差。B.季度風險評估也是不錯的技術，但是不如持續性審計反應迅速。C.對交易日志抽樣是一種有效的審計技術；但是，可能無法從交易日志中捕捉到可能存在的風險，且分析中可能有時間滯后。D.實現持續性審計能夠通過自動報告流程為管理層實時地提供信息，因此管理層可更快地實施糾正行動。A1-10某信息系統審計師正在審查某應用程序的訪問權限，以確定最近添加的賬戶是否經過適當授權。這是以下哪一項的示例？[單選題]*A.變量抽樣。B.實質性測試。C.符合性測試。(正確答案)D.停—走抽樣。答案解析：A.變量抽樣用于評估數值，如美元價值。B.實質性測試用于證實實際處理流程（如財務報表結余）的完整性。實質性測試的進行通常取決于符合性測試的結果。如果符合性測試指出存在充分的內部控制，則可以盡量減少實質性測試。C.符合性測試可確定控制措施是否是按照政策來執行的。這包括用于確定新賬戶是否經過適當授權的測試。D.停—走抽樣會使測試盡早停止，不適合檢查是否已遵循流程。A1-11信息系統審計師的決定和行動最可能影響以下哪種風險？[單選題]*A.固有風險。B.檢測風險。(正確答案)C.控制風險。D.業務風險。答案解析：A.固有風險是在沒有有關的內部控制來防止或檢測錯誤的情況下，可能發生實質性錯誤的風險。固有風險通常不受信息系統審計師影響。B.檢測風險直接受到信息系統審計師選擇的審計流程和技術的影響。檢測風險是審核不能檢測或注意到實質問題的風險。C.控制風險是指無法通過內部控制系統及時阻止或檢測到存在的實質性錯誤的風險。控制風險可通過組織管理層的行動得到緩解。D.業務風險是損失（或收益）的頻率和程度都不確定的可能情形。業務風險通常不受信息系統審計師直接影響。A1-12規劃信息系統審計時，以下哪項是最關鍵的步驟？[單選題]*A.回顧之前審計的結果。B.執行管理層批準審計計劃。C.審查信息安全政策和程序。D.執行風險評估。(正確答案)答案解析：A.審計師可以對之前審計的結果有興趣，但這不是最關鍵的步驟。最關鍵的步驟涉及發現當前問題或風險最高的領域，而不是回顧以往問題的解決方法。對歷史審計結果進行回顧可能暴露出管理層不解決問題，或建議無效。B.執行管理層不必批準審計計劃。它通常由審計委員會或董事會批準。管理層可以建議需要審計的領域。C.審查信息安全政策和程序一般是在現場工作期間，而不是在規劃中進行。D.上述所有步驟中，執行風險評估最為關鍵。ISACA信息系統審計和鑒證標準1202（規劃中的風險評估），主張1202.2中要求進行風險評估：“在規劃審計任務時，信息系統審計和鑒證專業人員應識別和評估與審查領域相關的風險。”除了有標準要求，如果沒有執行風險評估，則可能無法發現受審方系統或操作中的高風險領域，從而無法實現評估目的。A1-13一位信息系統審計師正在審查一款以面向服務架構的原則為基礎構建的軟件應用程序。第一步應該是：[單選題]*A.通過查看服務資料庫文檔，來了解服務及其在業務流程上的分配。(正確答案)B.對以安全斷言標記語言為代表的服務安全標準的使用進行抽樣。C.查看為所有系統提供商設立的服務水平協議。D.審計核心服務及其對其他系統的依賴性。答案解析：A.面向服務的架構依賴分布式環境的原則，在分布式環境中，服務將業務邏輯封裝為黑箱，并可能有意結合在一起以描述實際業務流程。在詳細審查服務之前，信息系統審計師理解業務流程到服務的映射是非常必要的。B.對以安全斷言標記語言為代表的服務安全標準的使用進行抽樣是了解服務及其向業務分配的重要后續步驟，但不是第一步。C.查看服務水平協議是了解服務及其向業務分配的重要后續步驟，但不是第一步。D.審計核心服務及其對其他服務的依賴性很可能是審計的一部分，但是信息系統審計師必須首先理解業務流程及系統如何支持這些流程。A1-14一位審查軟件使用和許可情況的信息系統審計師發現許多PC含有未經授權的軟件。該信息系統審計師應采取以下哪項行動？[單選題]*A.刪除未經授權的軟件的所有副本。B.建議利用自動化流程來監測軟件許可合規性。C.報告使用未經授權的軟件的行為以及防止這種情況再次發生的必要性。(正確答案)D.警告最終用戶有關使用非法軟件的風險。答案解析：A.信息系統審計師不應擔當執法人員的角色，也不應親自參與刪除未經授權的軟件。B.這可以監測軟件許可合規性。然而，自動化解決方案并不一定是所有場合的最佳選擇。C.組織應禁止使用未經授權的或非法的軟件。信息系統審計師必須使用戶以及管理層確信該風險以及消除該風險的必要性。例如，軟件盜版可導致風險敞口和高額罰款。D.審計師必須向管理層報告實質性發現，以采取行動。向用戶告知風險不是信息系統審計師的主要責任。A1-15審計章程應該：[單選題]*A.是動態和變化的，與技術和審計行業不斷變化的性質相一致。B.明確說明對于負責維護和審查內部控制的管理機構的審計目標和授權。C.記錄用于實現審計目標的審計流程。D.概述審計職能部門的整體權限、范圍和責任。(正確答案)答案解析：A.審計章程不應受技術變化的影響，也不應隨時間的遷移發生重大變化。章程應由最高管理層批準。B.審計章程會說明審計的權限和報告要求，但不會說明內部控制維護的細節。C.審計章程不會很詳細，因此，不會包含具體審計目標或程序。D.審計章程應說明對于信息系統審計師的管理目標以及授權。A1-16某信息系統審計師發現，少量用戶訪問請求未通過正常的預定工作流程步驟和上報規則獲得經理授權。信息系統審計師應：[單選題]*A.執行額外分析。(正確答案)B.將問題報告給審計委員會。C.執行安全風險評估。D.建議身份管理系統負責人解決工作流程問題。答案解析：A.信息系統審計師需要執行實質性測試以及額外分析，以確定審批和工作流程沒有按預期生效的原因。在做出任何建議之前，信息系統審計師應充分了解問題范圍以及引起該事件的因素。信息系統審計師應確定問題是由于經理未遵守程序而產生的，還是由于自動化系統工作流程的問題而導致的，或者兩者兼有。B.信息系統審計師此時還沒有足夠的信息報告問題。C.改變信息系統審計的范圍或進行安全風險評估需要關于被審流程和違規的更詳細的信息。D.信息系統審計師必須首先確定問題的根本原因和影響，此時還沒有足夠的信息建議修正工作流程問題。A1-17進行符合性測試時，以下哪種抽樣方法最有用？[單選題]*A.屬性抽樣。(正確答案)B.變量抽樣。C.分層單位均值抽樣。D.差異估計抽樣。答案解析：A.屬性抽樣是用于符合性測試的主要抽樣方法。屬性抽樣是一種抽樣模型，用于估算總體中特定性質（屬性）的發生率，并在符合性測試中用于確認該性質是否存在。例如，屬性抽樣可能檢查超過一定的預定金額的交易是否經過合適的批準。B.變量抽樣基于對總體中抽出的樣本的均值的計算，并使用均值估計總體的特性。例如，一個包含10個商品的樣本，其商品的平均價格為10美元。對于包含1000個商品的總體，其價值可估計為10000美元。這不是衡量對流程的遵守程度的好方法。C.分層均值抽樣試圖確保樣本能夠代表總體。這不是衡量合規性的有效方法。D.差異估計抽樣檢查方法的偏離和異常項目，不是衡量合規性的好方法。A1-18對遠程系統的程序變更請求進行測試時，信息系統審計師發現可用于抽樣的變更數量無法提供合理水平的鑒證。信息系統審計師最好采取以下哪項措施？[單選題]*A.制定替代的測試程序。(正確答案)B.向管理層報告發現的問題。C.對變更管理流程執行瀏覽審查。D.創建額外的樣本數據，以測試額外的變更。答案解析：A.如果給定數據不能滿足目標樣本量，信息系統審計師將無法保證達到相關測試目標。在這種情況下，信息系統審計師應制定（經審計管理層批準后）替代的測試程序。B.沒有足夠的證據將發現結果作為缺陷進行報告。C.在執行分析以確認能否提供所需鑒證之前，不應啟動瀏覽審查。D.對于信息系統審計師來說，為了審計的目的而創建樣本數據并不合適。A1-19以下哪種情況可能削弱信息系統審計師的獨立性？信息系統審計師：[單選題]*A.在應用開發過程中實施了特定功能。(正確答案)B.為審計設計了嵌入式審計模塊。C.以應用系統項目團隊成員的身份參與，并且沒有操作職責。D.提供了應用良好實踐方面的咨詢建議。答案解析：A.如果信息系統審計師正在或曾經積極參與了應用系統的開發、購置和實施，則獨立性可能被削弱。B.設計嵌入式審計模塊不會削弱信息系統審計師的獨立性。C.信息系統審計師不應審計自己的作品，但是僅以應用系統項目團隊成員的身份參與不會削弱信息系統審計師的獨立性。D.信息系統審計師提供有關已知良好實踐的建議并不會削弱其獨立性。A1-20連續審計方法的主要優點是：[單選題]*A.不需要信息系統審計師在系統進行處理時收集有關系統可靠性的證據。B.允許信息系統審計師及時地審查和跟進審計問題。(正確答案)C.使安全部門而非審計承擔實施和監督控制的責任。D.簡化了從多個復雜系統的數據抽取和關聯。答案解析：A.連續審計方法經常需要信息系統審計師在系統進行處理時收集有關系統可靠性的證據。B.連續審計能夠實現及時審計并響應審計問題，因為審計結果幾乎是實時收集的。C.實施和監督控制的責任主要是管理層的責任。D.連續審計的使用不以受監控的系統的復雜性和數量為依據。A1-21以下哪項會削弱質量保證團隊的獨立性？[單選題]*A.確保遵循開發方法。B.檢查測試假設。C.修正測試過程中出現的編碼錯誤。(正確答案)D.檢查代碼以確保正確記錄。答案解析：A.確保遵循開發方法是有效的質量保證職能。B.檢查測試假設是有效的質量保證職能。C.代碼修正不應當是質量保證團隊的責任，因為這樣便無法確保職責分離，從而削弱團隊的獨立性。D.檢查代碼以確保正確記錄是有效的質量保證職能。A1-22在規劃信息系統審計時，最關鍵的步驟是確定：[單選題]*A.重大風險區域。(正確答案)B.審計人員的技能組合。C.審計中的測試步驟。D.分配給審計的時間。答案解析：A.設計基于風險的審計計劃時，識別風險最高的區域以確定要審計的區域非常重要。B.在決定和選擇審計之前，應考慮審計人員的技能組合。如果審計人員技能不夠，組織應考慮使用外部資源。C.在審計規劃過程中，審計的測試步驟不如確定應審計的風險區域關鍵。D.分配給審計的時間是根據要審計的領域，并且主要根據進行適當審計的要求在規劃過程中決定的。A1-23在判斷運作有效性控制是否適當地應用到交易處理時，以下哪項審計實踐最有效？[單選題]*A.控制設計測試。B.進行實質性測試。(正確答案)C.檢查相關文檔。D.實施關于風險防范的測試。答案解析：A.控制設計測試旨在評估控制是不是根據具體控制目標制定的，無法確定控制是否有效執行。B.在文檔審查、瀏覽審查等其他方法中，控制測試是評估控制能否準確地為運作有效性提供支持的最有效流程。C.控制文檔可能并不能始終準確地描述實際流程。因此，依賴文檔審查的審計師并不能十分肯定控制的運作符合預期。D.實施關于風險防范的測試被視為符合性測試。這種測試用于確定是否遵守政策。A1-24在信息系統審計期間，所收集數據的范圍應根據以下哪個選項確定？[單選題]*A.關鍵和必需的信息的可用性。B.審計師對環境的熟悉程度。C.受審方查找相關證據的能力。D.正在執行的審計的目的和范圍。(正確答案)答案解析：A.在信息系統審計期間，所收集數據的范圍應根據審計的范圍、目的和要求決定，而不受獲取信息的容易性或信息系統審計師對所審計區域的熟悉程度限制。B.信息系統審計師必須客觀和徹底，不因根據對所審計區域的熟悉得出先入為主的結果而遭受審計風險的影響。C.收集所有所需證據是IS審計的必備要素，審計的范圍不應被受審方查找相關證據的能力所限制。如果不能獲得現成的證據，則審計師必須確保考慮其他形式的審計，以確保審計區域的合規性。D.在IS審計期間，所收集數據的范圍應直接與審計的范圍和目的有關。目的和范圍較窄的信息系統審計或只是高層次的審查很有可能比目的和范圍較寬的審計所需的數據收集量要少。A1-25在規劃信息系統審計時，應該進行風險評估以提供：[單選題]*A.審計工作將涵蓋重要項目的合理保證。(正確答案)B.審計工作將涵蓋重要項目的確切保證。C.審計工作將涵蓋所有項目的合理保證。D.審計工作將涵蓋所有項目的充分保證。答案解析：A.ISACA信息系統審計和鑒證指南2202（風險評估與審計規劃）主張，使用的風險評估方法應有助于信息系統審計和鑒證工作的優先級安排和計劃過程。風險評估應該為審計有興趣領域和項目的選擇過程及設計并執行具體的信息系統審計項目的決定過程提供支持。B.審計工作將涵蓋重要項目的確切保證是不切實際的主張。C.審計工作將涵蓋所有項目的合理保證并非正確答案，因為需要涵蓋的是重要項目，而不是所有項目。D.充分保證將涵蓋所有項目不如確保審計涵蓋所有重要項目重要。A1-26發現共享用戶賬戶時，信息系統審計師要采取的最適當措施是：[單選題]*A.向審計委員會告知潛在的問題。B.審查有問題ID的審計日志。C.記錄發現并說明使用共享ID的風險。(正確答案)D.要求從系統中刪除這些ID。答案解析：A.在進行更詳細的審查并向管理層提交結果要求回復之前，信息系統審計師向審計委員會報告結果的舉動是不恰當的。B.由于共享ID無法明確個人問責性，所以檢查審計日志也沒有用。C.信息系統審計師的角色是檢測并記錄結果和控制缺陷。審計報告的作用則是，解釋結果背后的論據。不建議使用共享ID，因為此做法無法明確交易問責性。信息系統審計師應讓管理層決定如何應對所提交的結果。D.要求將ID從系統中移除不是信息系統審計師的責任。A1-27信息系統審計師正在進行符合性測試，以確定控制措施是否支持管理政策和程序。測試將有助信息系統審計師確定：[單選題]*A.控制是否有效執行。B.控制是否在按設計預期運行。(正確答案)C.數據控制的完整性。D.財務報告控制的合理性。答案解析：A.有效執行控制很重要，但在這種情況下，目的是要確保控制支持管理政策和程序。因此，重要的問題是控制是否正確運作，從而能夠實現控制目標。B.符合性測試可用來測試定義的流程的存在和有效性。了解符合性測試的目標非常重要。信息系統審計師希望其所依賴的控制的有效性具有合理的保證。有效的控制是符合管理期望和目標的控制。C.與數據完整性相關的是實質性測試，而非符合性測試。D.確定財務報告控制的合理性是個非常狹窄的答案，因為它僅限于財務報告。符合確定控制是否合理這一目標，但是并不確保控制正確地運作，從而為管理期望和目標提供支持。A1-28人力資源副總裁要求進行信息系統審計，以確定上一年多付的工資額。在這種情況下，最佳的審計技術是什么？[單選題]*A.生成樣本測試數據。B.通用審計軟件。(正確答案)C.集成測試設施。D.嵌入式審計模塊。答案解析：A.測試數據會測試是否存在某種控制以防止多付工資，但不會檢測先前的具體錯誤計算。B.通用審計軟件的功能包括數學計算、分層、統計分析、順序檢查、重復檢查和重新計算。利用通用審計軟件，信息系統審計師可設計適當測試來重新計算工資，從而確定是否存在多付工資的現象，以及給哪些人多付了工資。C.集成測試設施可幫助發現正在發生的問題，但是不會發現之前的問題。D.嵌入式審計模塊可支持信息系統審計師評估流程并收集審計證據，但是不會發現之前的問題。A1-29在IT流程的安全審計期間，信息系統審計師發現沒有任何文檔記錄安全程序。信息系統審計師應：[單選題]*A.根據實踐創建程序文檔。B.提出對當前狀態的看法，并結束審計。C.對可用數據執行符合性測試。D.識別并評估現有實踐。(正確答案)答案解析：A.信息系統審計師不應創建文檔，因為流程可能不符合管理目標，而這樣做會損害他們的獨立性。B.結束審計和提出看法不能確定潛在風險。審計師應當評估現行的做法，仍然可以建議組織制定書面程序。終止審計可能有礙實現識別潛在風險的基本審計目標。C.由于程序沒有文檔記錄，因此沒有測試合規性的基礎。D.審計的一項主要目標是確定潛在的風險。因此，最主動的方法應該是識別并評估組織當前遵循的現有安全實務，并將結果和風險提交管理層，同時建議記錄當前控制或實施已記錄在案的程序。A1-30在風險分析期間，信息系統審計師已確定威脅和潛在影響。接下來，該信息系統審計師應該：[單選題]*A.確保風險評估與管理層的風險評估流程相一致。B.確定信息資產和底層系統。C.對管理層披露威脅和影響。D.確定并評估現有控制。(正確答案)答案解析：A.審計風險評估的目的與管理層風險評估流程的目的不同。B.如果不先確定受影響的資產，則不可能確定影響，因此，這項工作一定已經完成了。C.風險評估完成后，信息系統審計師應該描述對資產的威脅和潛在影響及如何應對風險的建議，并與管理層對其進行討論。然而，只有確定了控制而且計算了威脅的可能性后才能完成此項行動。D.信息系統審計師應確定和評估現有的和計劃的控制的存在和有效性，以便在確定潛在威脅和可能的影響之后計算風險水平。A1-31對于信息系統審計師來說，以下哪項通常是最可靠的證據？[單選題]*A.從驗證賬戶余額的第三方收到的確認函。(正確答案)B.部門管理人員對應用程序按設計方式運行所做的保證。C.從互聯網來源獲得的趨勢數據。D.信息系統審計師根據部門管理人員提供的報告所進行的比率分析。答案解析：A.從獨立第三方獲得的證據幾乎總是被認為比本地管理層提供的保證更為可靠。B.因為管理層不是客觀的，可能不了解風險和控制環境，他們只提供應用程序（而非控制）正確運行的證據，他們的保證達不到審計證據可接受的信任水平。C.從互聯網收集的數據不一定可信或經過獨立驗證。D.比率分析可確定趨勢和對基線的偏離，但不是可靠的證據。A1-32在評估某流程中的預防性、檢測性或糾正性控制的整體效果時，信息系統審計師應意識到以下哪項？[單選題]*A.當數據通過系統時執行控制的時刻。(正確答案)B.只有預防性和檢測性控制是重要的。C.改正性控制被視為補償性的。D.信息系統審計師通過分類可確定缺少哪些控制。答案解析：A.信息系統審計師應關注當數據通過計算機系統時執行控制的情況。B.改正性控制也是有意義的，因為它們允許改正錯誤或問題。C.糾正性控制會消除或減少錯誤和違規行為的影響，不應僅被視為一種補償性控制。D.控制的存在和功能很重要，而不是分類。A1-33哪種審計技術可提供IT部門中已實施職責分離的最佳證據？[單選題]*A.與管理層進行討論。B.審查組織架構圖。C.觀察和面談。(正確答案)D.測試用戶訪問權限。答案解析：A.管理層可能不知道IT部門每位員工的詳細職能以及控制是否得到遵循。因此，與管理層的討論只能為職責分離提供有限的信息。B.組織架構圖不會提供員工職能或控制是否正確運作的詳細信息。C.基于觀察和面談，信息系統審計師可對職責分離進行評估。通過觀察執行任務的IT員工，信息系統審計師可確定他們是否正在執行任何不兼容的操作。通過與IT員工面談，審計師獲得所執行任務的概況。D.測試用戶權限可提供有關用戶擁有的信息系統權限的信息，但不會提供用戶所執行的職能的完整信息。觀察也許是更好的選擇，因為用戶權限可能在審計項目間發生變化。A1-34審查完某個組織的災難恢復計劃流程后，信息系統審計師請求與組織管理層開會討論審查結果。以下哪項最能描述此次會議的主要目標？[單選題]*A.獲得管理層對糾正措施計劃的批準。B.確認審查結果的事實準確性。(正確答案)C.協助管理層實施糾正措施。D.確定項目解決方案的優先級。答案解析：A.無須管理層批準糾正措施計劃。管理層可以選擇實施其他糾正措施計劃來應對風險。B.會議的目標是確認審計發現的事實準確性，并為管理層提供機會，就糾正措施的建議達成共識或做出回應。C.糾正措施的實施應該在確定審計結果的事實準確性后進行，但實施糾正措施的工作通常不會分配給信息系統審計師，因為這會損害審計師的獨立性。D.對審計結果進行評級可以向管理層提供優先為高風險問題分配資源的指導。A1-35信息系統審計師審查在線電子資金轉賬對賬流程時，應該確保涵蓋：[單選題]*A.核單情況。B.授權情況。C.更正工作。D.跟蹤情況。(正確答案)答案解析：A.核單一般在資金轉賬期間執行，而不是對賬期間。B.在線處理時，授權通常在非對賬期間由系統自動完成。C.更正輸入應在對賬期間審查；但一般不是由受托進行對賬的個人進行，而且沒有跟蹤重要。D.跟蹤是交易對賬活動，涉及對交易從原始來源一直到最終目的地的跟隨。在電子資金轉移交易中，跟蹤的方向可能從客戶打印的收據副本開始，然后檢查系統審計軌跡和日志，最后檢查日常交易的主文件記錄。A1-36一位信息系統審計師正在執行一項系統配置審查。以下哪個選項是支持當前系統配置設置的最佳證據？[單選題]*A.系統管理員導入電子表格的系統配置值。B.包含信息系統審計師從系統中抽取的配置值的標準報告。(正確答案)C.系統管理員提供的有日期的系統配置設置屏幕截圖。D.企業主對批準的系統配置值的年度審核。答案解析：A.并非系統生成信息的證據在提交給信息系統審計師之前可進行修改，因此不如信息系統審計師自己獲取的證據那樣可靠。例如，系統管理員可以在進行屏幕截圖之前變更設置或修改圖像。B.信息系統審計師直接從來源獲得的證據比系統管理員或企業主提供的信息更可靠，因為信息系統審計師對審計的結果沒有既得利益。C.管理員在進行屏幕截圖之前可能已經修改了規則，因此，屏幕截圖不是最好的證據。D.企業主提供的年度審核可能不會反映當前信息。A1-37在金融交易的電子數據交換通信過程中，對金額字段計算校驗和是為了確保：[單選題]*A.完整性。(正確答案)B.真實性。C.授權。D.不可否認性。答案解析：A.根據金額字段計算校驗和并包含在電子數據交換通信中，可用于識別未授權的修改。B.真實性無法通過校驗和單獨確定，還需要其他控制。C.授權無法通過校驗和單獨確定，還需要其他控制。D.通過使用數字簽名可確保不可否認性。A1-38以下哪種形式的證據會被信息系統審計師認為是最可靠的？[單選題]*A.受審方的口頭陳述。B.外部信息系統審計師執行的測試的結果。(正確答案)C.內部生成的計算機會計報告。D.從外部來源收到的確認函。答案解析：A.受審方的口頭陳述是審計證據，但不如外部信息系統審計師執行的測試的結果可靠。B.應始終認為信息系統審計師執行的獨立測試是比第三方確認函更可靠的證據來源，因為確認函是對流程進行分析的結果，可能并不以權威的審計技術為依據。審計應包括由信息系統審計師根據風險所確定的檢查、觀察和質詢的組合。這提供了一種標準的方法，并合理保證控制和測試結果是準確的。C.內部生成的計算機會計報告是審計證據，但不如外部信息系統審計師執行的測試的結果可靠。D.應始終認為信息系統審計師執行的獨立測試是比第三方確認函更可靠的證據來源，因為確認函是主觀的，可能不是權威審計的一部分，或不符合審計標準。A1-39某信息系統審計師在審查電子數據交換（EDI）交易期間發現未授權的交易，該審計師很可能建議改進：[單選題]*A.EDI貿易伙伴協議。B.終端機的物理控制。C.發送和接收消息的身份認證技術。(正確答案)D.程序變更控制流程。答案解析：A.電子數據交換貿易伙伴協議會將法律問題的風險降到最低，但不會解決未授權交易的問題。B.物理控制很重要，也能防止非授權人員訪問系統，但無法防范授權用戶進行的未授權交易。C.要最大限度地減少未授權交易的風險，發送和接收消息的身份認證技術具有重要的作用。D.變更控制流程不能解決未授權交易的問題。A1-40信息系統審計師正在驗證一項涉及系統生成的異常報告審查的控制措施。以下哪個選項是控制措施有效性的最佳證據？[單選題]*A.與復核人員一起對控制措施的運行進行瀏覽審查。B.審查期間經復檢人員簽字的系統生成的異常報告。C.審查期間的系統生成的異常報告樣本，同時提供復核人員注明的后續行動。(正確答案)D.管理層對審查期間控制措施的有效性的確認。答案解析：A.瀏覽審查能夠說明控制措施的預期工作方式，但幾乎不能突出控制措施的有效性或流程中的異常或制約情況。B.如果復核人員未就發現的異常情況注明后續行動，則復核人員簽字認可不能證明控制有效。C.系統生成的報告樣本如果帶有證明復核人員已跟進異常的證據，是可能證明控制有效運行的最佳證據，因為記錄的證據表明復核人員已經進行了審查并根據異常報告采取了措施。D.管理層對控制有效性的確認可能缺乏獨立性——管理層會傾向于認為已經設置到位的控制是有效的。A1-41某公司最近為整合電子數據交換（EDI）傳輸而對采購系統進行了升級。要確保有效的數據映射，應在EDI接口中實施以下哪種控制？[單選題]*A.密鑰驗證。B.一對一檢查。C.手動重新計算。D.功能性確認。(正確答案)答案解析：A.密鑰驗證用于數據加密和保護，但不用于數據映射。B.一對一檢查驗證交易的準確性和完整性，而不映射數據。C.手動重新計算用于驗證處理的正確性，而不映射數據。D.作為電子數據交換交易的審計軌跡，功能性確認是用于數據映射的主要控制之一。A1-42以下哪種抽樣方法是確定發給供應商的采購訂單是否已經根據授權矩陣進行授權的最有效方法？[單選題]*A.變量抽樣。B.分層單位均值。C.屬性抽樣。(正確答案)D.未分層單位均值。答案解析：A.變量抽樣方法是實質性測試中采用的方法，它涉及交易定量方面（如資金價值）的測試。B.分層單位均值用于變量抽樣。C.屬性抽樣是用于符合性測試的主要抽樣方法。在這個場景中評估的是控制的運行，因此，每個采購訂單是否經過正確授權的屬性將用于確定是否遵從控制。D.未分層單位均值用于變量抽樣。A1-43確認系統稅務計算準確性的最佳方法是：[單選題]*A.審查并分析計算稅務程序的源代碼。B.使用通用審計軟件重新創建程序邏輯以計算每月總和。C.準備模擬交易，以處理結果并與預期結果進行比較。(正確答案)D.對計算程序的源代碼繪制自動流程圖并進行分析。答案解析：A.源代碼審查不是確保正確計算的有效方法。B.重新創建程序邏輯可能導致錯誤，而每月總和的精確程度不足以確認正確計算。C.準備模擬交易，以處理結果并與預期結果進行比較，這是確認稅務計算準確性的最佳方法。D.對源代碼繪制流程圖和分析并不是解決個人稅務計算的準確性問題的有效方法。A1-44審查應用程序控制的信息系統審計師將評估：[單選題]*A.應用程序的效率是否滿足業務流程。B.任何已發現的風險敞口的影響。(正確答案)C.應用程序所服務的業務流程。D.應用程序的優化。答案解析：A.信息系統審計師審核的是控制的有效性，而不是應用程序滿足業務需求的合適性。B.應用程序控制審查包括對應用程序自動化控制的評估，以及對由于控制薄弱環節而產生的任何風險敞口的評估。C.其他選項可能是應用程序審計的目標，但不是局限于應用程序控制檢查的審計的一部分。D.應用程序的效率和優化可能是一項需要審查的內容，但不是在此審計中審查的內容。A1-45受審方在確定可報告的審計發現后立即采取了糾正措施。信息系統審計師應：[單選題]*A.將審計發現包含在最終報告中，因為信息系統審計師負責出具包括所有發現的準確報告。(正確答案)B.在最終報告中不寫入這些審計發現，因為管理層已解決了問題。C.不將審計發現包含在最終報告中，因為信息系統審計師可在審計期間驗證糾正措施。D.將審計發現包含在結束會議中，僅用于討論。答案解析：A.將審計發現包含在最終報告中是普遍認可的審計行為。如果受審方在審計開始之后、結束之前采取某項措施，審計報告應標識審計發現并描述所采取的糾正措施。審計報告應反映該種情況，因為其在審計開始時便存在。受審方采取的所有糾正措施都應以書面方式報告。B.審計報告應包含所有相關發現和管理層的反應，即使發現的問題已經解決。這意味著后續審計可能測試持續的控制解決措施。C.審計報告應包含該發現，以記錄該發現，而控制若在審計后移除也會被注意到。D.審計報告應包含該發現和解決措施，這一點可在最終會議上提及。審計報告應列出所有相關發現及管理層的反應。A1-46內部信息系統審計團隊在審計對銷售退回的控制并關注欺詐風險。以下哪種抽樣方法對信息系統審計師最有幫助？[單選題]*A.停—走抽樣。B.經典的變量抽樣。C.發現抽樣。(正確答案)D.概率比例規模抽樣。答案解析：A.停—走抽樣方法有助于限制樣本大小，可讓測試盡早停止。B.經典的變量抽樣與貨幣金額相關，其樣本基于總體的代表性樣本，但不以欺詐為重點。C.當信息系統審計師嘗試確定是否發生過某類事件時，可使用發現抽樣法。因此，這種方法適合評估欺詐風險，確定是否曾發生過欺詐事件。D.概率比例規模抽樣法通常與樣本中有分組情況的整群抽樣有關。該問題并不表示信息系統審計師在尋找欺詐的標準。A1-47制訂基于風險的審計策略時，信息系統審計師應執行風險評估，以確保：[單選題]*A.降低風險所需的控制已就位。B.識別出漏洞和威脅。(正確答案)C.將審計風險考慮在內。D.差距分析得當。答案解析：A.了解降低風險所需的相應控制是否就位，是審計工作最終要實現的效果。B.在制訂基于風險的審計策略時，了解相關風險和漏洞至關重要。它們決定著將要審計的領域和審計的覆蓋范圍。C.審計風險是審計工作的固有組成部分，直接與審計流程相關，但與待審計環境的風險分析無關。D.差距分析通常用于將實際狀態和預期或理想狀態進行比較。A1-48離場面談過程中，如果對于審計發現可能產生的影響存在分歧，信息系統審計師應該：[單選題]*A.要求受審單位簽署豁免協議書并承擔全部法律責任。B.詳細闡述審計發現的重要性以及不予以糾正可能產生的風險。(正確答案)C.將不同意見報告給審計委員會以尋求解決方案。D.接受受審方的觀點，因為他們才是流程所有者。答案解析：A.管理層始終對風險負責。信息系統審計師的職責是告知管理層審計發現及與發現相關的風險。B.如果受審方對審計結果的影響存在不同意見，那么信息系統審計師就有必要對風險和敞口進行詳細闡述和解釋，因為受審方可能沒有完全意識到風險的嚴重程度。目的是向受審方傳授知識或揭示信息系統審計師之前未曾意識到的新信息。如果向受審方傳達的事宜帶有威脅性色彩，則會妨礙有效的溝通，從而使雙方之間的關系受到不利影響，但信息系統審計師也不應該因為與受審方的意見相左而自動順從受審方的觀點。C.審計報告包含信息系統審計師的發現和管理層的反應。接受風險并適當地緩解風險是管理層的責任。審計師的職責是清楚徹底地告知管理層，以做出最佳決策。D.信息系統審計師必須專業、勝任工作并保持獨立。他們不能簡單地接受管理層的解釋或論據，除非用于產生該發現的流程存在缺陷。A1-49為確保審計資源為組織創造最大價值，審計項目的第一步是：[單選題]*A.制訂審計計劃并監控花費在每次審計上的時間。B.就組織使用的現有技術對信息系統審計人員進行培訓。C.基于詳細的風險評估制訂審計計劃。(正確答案)D.監控審計的進度并啟用成本控制措施。答案解析：A.如果審計的區域不對，則監控審計和花費在審計上的時間就不會有效。最重要的是制訂基于風險的審計計劃，以確保對審計資源的有效使用。B.信息系統審計師可能有專長，或者審計團隊可能依靠外部專家進行非常專業的審計。就所有的新技術對每位信息系統審計師進行培訓是不必要的。C.盡管監控時間安排和審計方案，以及充足的培訓都可以提高信息系統審計人員的生產力（效率和績效），但要確保將專門用于審計的資源和精力集中于較高風險領域，為企業創造價值。D.監控審計和啟用成本控制措施不能確保對審計資源的有效使用。A1-50如果信息系統審計師與部門經理對審計結果存在爭議，爭議期間審計師應首先采取以下哪項行動？[單選題]*A.對控制重新進行測試，以驗證審計結果。B.邀請第三方對審計結果進行驗證。C.將審計結果記入報告，同時注明部門經理的意見。D.對支持審計結果的證據進行重新驗證。(正確答案)答案解析：A.對控制重新進行測試通常排在重新驗證證據之后。B.盡管有時也需要第三方執行專業的審計程序，但信息系統審計師還是應該首先重新驗證支持證據，以確定是否需要第三方參與。C.在將有爭議的審計結果或管理層反應記入報告之前，信息系統審計師應檢查審計結果中使用的證據以確保審計的準確性。D.信息系統審計師得出的結論應有充分的證據支持，同時也要考慮部門經理指出的補償性控制或糾正措施。因此，首先要做的應該是，對審計結果的證據重新進行驗證。如果，在重新驗證或重新測試之后，爭議仍然未決，則應將這些問題記入報告。A1-51出現以下哪種情況時，信息系統審計師應使用統計抽樣方法而非判斷（非統計）抽樣方法：[單選題]*A.必須客觀量化錯誤的概率。(正確答案)B.審計師希望避免抽樣風險。C.無法使用通用審計軟件。D.無法確定可容忍誤差率。答案解析：A.在給定了預期錯誤率和置信水平的前提下，統計抽樣才是一種客觀的抽樣方法，因為其有助于信息系統審計師確定樣本量并量化錯誤的概率（置信系數）。B.抽樣風險是指某樣本無法代表樣本總體的風險。判斷抽樣和統計抽樣中都存在這種風險。C.統計抽樣可使用通用審計軟件，但不是必需的。D.對于判斷抽樣和統計抽樣來說，可容忍誤差率都必須預先確定。A1-52當外包的遠程訪問監控流程不足，并且管理層因為已經有了入侵檢測系統（IDS）和防火墻控制而不同意時，信息系統審計師需要采取的最佳措施是什么？[單選題]*A.根據管理層的反饋修改審計報告中的審計結果。B.撤銷審計結果，因為部署了IDS控制。C.因為已經監控防火墻規則，所以撤銷審計結果。D.在審計報告中記錄已確定的審計結果。(正確答案)答案解析：A.信息系統審計師可將管理層的反應納入報告，但是這不影響報告審計結果的要求。B.審計結果仍然有效而管理層的反應也會被記錄，但是審計可指出需要檢查管理層反應的有效性。C.審計結果仍然有效而管理層的反應也會被記錄，但是審計可指出需要檢查管理層反應的有效性。D.按信息系統審計師獨立性要求，應考慮受審方提供的額外信息。通常情況下，信息系統審計師不會自發撤銷或修改審計結果。A1-53某組織通過銀行處理每周的薪資支付。工時表和薪資調整表（例如，時薪變更和離職）會在完成后提交到銀行，從而為分配支票和報表做準備。以下哪種做法能夠最有效地確保薪資數據的準確性？[單選題]*A.將薪資報表與輸入表進行對比。(正確答案)B.以手動方式重新計算薪資總額。C.將支票與輸入表進行對比。D.使支票與輸出報表保持一致。答案解析：A.當輸入由組織提供而輸出由銀行生成時，確保數據準確性的最佳方法是使用薪資報表的結果來驗證數據輸入（輸入）表。B.以手動方式重新計算薪資總額只能驗證處理是否正確，不能驗證數據輸入的準確性。C.由于支票包含的是處理后的信息，而輸入表包含的是輸入數據，所以對比支票和輸入表的做法并不可行。D.使支票與輸出報表保持一致只能確認按輸出報表規定發出的支票。A1-54在電子數據交換（EDI）環境中，以下哪一項的潛在風險最大？[單選題]*A.缺乏交易授權。(正確答案)B.EDI傳輸丟失或重復。C.傳輸延遲。D.在建立應用控制前后刪除或修改交易。答案解析：A.由于各方之間采用電子形式進行交互，所以不會進行固有的身份驗證。因此，缺乏交易授權是最大的風險。B.電子數據交換傳輸的丟失或重復是一種風險，但因為所有交易都會被日志記錄，其影響不如未授權交易大。C.傳輸延遲可能使過程終止或錯過正常的處理時間，但不會造成數據損失。D.在建立應用控制前后刪除或修改交易是一個風險示例。通過日志記錄可檢測對數據的任何修改，其影響不如未授權交易大。A1-55在信息系統審計的計劃階段，信息系統審計師的主要目標是：[單選題]*A.達到審計目標。(正確答案)B.收集足夠的證據。C.指定適當的測試。D.盡可能少使用審計資源。答案解析：A.ISACAIT審計和鑒證標準要求信息系統審計師制訂的審計工作計劃要能夠實現審計目標。其他選項中描述的行為都是為了達到審計目標，因此都是次要的。B.信息系統審計師在審計的計劃階段并不收集證據。C.指定適當的測試不是審計計劃的主要目標。D.對審計資源的有效（而非最少）使用是審計計劃的目標。A1-56選擇審計程序時，信息系統審計師應運用自己的專業性判斷，以確保：[單選題]*A.收集充分的證據。(正確答案)B.重大缺陷在合理期限內得到糾正。C.識別出所有嚴重漏洞。D.將審計成本控制在最低水平。答案解析：A.程序是指信息系統審計師在執行審計項目時需要遵循的流程。在確定任意具體程序的適用性時，信息系統審計師應運用針對特定狀況的專業性判斷。專業性判斷是指，對審計期間出現的狀況進行主觀的評估（通常是定性的評估）。專業性判斷針對的是不適用二元判定（是/否）的灰色區域，信息系統審計師的過往經驗在判斷中起關鍵性作用。在評估所收集的證據是否充分時，信息系統審計師應運用專業性判斷。ISACA的準則中描述了如何在進行IS審計工作時遵從各種標準的相關信息。B.糾正缺陷是管理層的責任，而不是審計程序選擇流程的一部分。C.重大漏洞得以識別是審計計劃與執行工作中是否運用了相應的能力、經驗以及工作是否徹底的結果，并不是專業性判斷的結果。專業性判斷并不是解決審計中財務問題的主要途徑。審計程序與運用專業性判斷并不能保證所有缺陷/漏洞均得以識別和糾正。D.專業性判斷可確保審計資源和成本被明智地使用，但這不是審計師選擇審計程序時的主要目標。A1-57檢驗磁帶庫庫存記錄是否準確的實質性測試是指：[單選題]*A.確定是否安裝了條形碼讀取器。B.確定磁帶的調動是否經過授權。C.對磁帶庫存進行盤點。(正確答案)D.檢查磁帶的收發情況是否已準確記錄。答案解析：A.確定是否安裝了條形碼讀取器是符合性測試。B.確定磁帶的調動是否經過授權是符合性測試。C.實質性測試涉及收集證據，以評估單個交易、數據或其他信息是否完好（完整性、準確性和有效性）。對磁帶庫存進行盤點屬于一種實質性測試。D.檢查磁帶的收發情況是否已準確記錄是符合性測試。A1-58為保證電子數據交換系統應用程序中所接收到的訂單真實可靠，以下哪種控制比較合適？[單選題]*A.通過確認消息告知收到電子訂單。B.在填寫訂單之前對訂貨數量進行合理性檢查。C.核實發送者的身份并確定訂單是否符合合同條款。(正確答案)D.對電子訂單進行加密。答案解析：A.通過確認消息告知收到電子訂單是一種很好的做法，但是無法對客戶訂單進行身份認證。B.在下訂單之前對訂貨數量進行合理性檢查是一種確保組織訂單準確無誤的控制，但是無法確保客戶訂單的真實性。C.電子數據交換系統不僅會受到計算機系統一般風險的影響，也會受貿易伙伴和第三方服務提供商的潛在控制不力的影響，這使得用戶和消息來源的身份認證成為主要的安全關注點。D.對敏感消息進行加密這種做法很好，但是不能證明接收到的消息的真實性。A1-59信息系統審計師與薪資結算人員面談時，發現該人員的回答與其工作描述和記錄在案的工作流程不符。在此情況下，信息系統審計師應該：[單選題]*A.斷定控制不適當。B.擴大測試范圍，從而引入實質性測試。(正確答案)C.更多地依賴以往的審計結果。D.暫停審計。答案解析：A.僅僅根據與薪資結算人員面談的結果，信息系統審計師無法收集到足夠的證據以斷定現有的控制是否充分。B.如果針對信息系統審計師的問題所提供的答案無法從記錄在案的工作流程或工作描述中得到證實，那么信息系統審計師應擴大控制測試范圍，引入額外的實質性測試。C.更多地依賴以往的審計結果屬于不合適的行為，因為這不能提供證明現有的控制是否足夠的最新信息。D.暫停審計屬于不合適的行為，因為這不能提供證明現有的控制是否足夠的最新信息。A1-60一名外部信息系統審計師提交了一份審計報告，指出邊界網絡網關缺乏防火墻保護功能，并推薦了一款特定的供應商產品來消除這一漏洞。信息系統審計師未能發揮：[單選題]*A.專業獨立性。(正確答案)B.組織獨立性。C.技術能力。D.專業能力。答案解析：A.如果信息系統審計師推薦了一個特定的供應商，則審計師的專業獨立性受到影響。B.組織獨立性與審計報告的內容無關，應該在接受項目時予以考慮。C.技術能力與專業能力與獨立性的要求無關。D.專業能力與獨立性的要求無關。A1-61信息系統審計師在審計任務的初期階段執行功能瀏覽審查的主要原因是：[單選題]*A.了解業務流程。(正確答案)B.遵守審計標準。C.確定控制薄弱環節。D.進行風險評估。答案解析：A.了解業務流程是信息系統審計師需要執行的第一步。B.ISACAIT審計和鑒證標準鼓勵采用必要的審計流程/過程，以便協助信息系統審計師更有效地執行IS審計。但標準中并未要求信息系統審計師在履行審計項目的初期進行流程瀏覽審查。C.確定控制薄弱環節并不是瀏覽審查的主要原因，并且通常發生在審計的后期。D.主要原因是要了解業務流程。風險評估應當在了解業務流程之后開展。A1-62在程序變更控制的評估期間，信息系統審計師使用源代碼比較軟件的目的是：[單選題]*A.在不需要信息系統人員提供信息的情況下，檢查源程序的變更。(正確答案)B.檢測源程序從獲得源的副本到比較運行這段時間內所經歷的變更。C.確認控制副本是當前版本的生產程序。D.確保當前源副本中的所有變更已經過測試。答案解析：A.如果信息系統審計師在不需要信息系統人員提供信息的情況下，通過源代碼比較來檢查源程序的變更，便可客觀、獨立且相對完整地了解程序的變更情況，因為通過源代碼比較可識別出變更。B.源代碼比較發現的是兩個版本的軟件之間的不同。這不會發現軟件副本獲得后做出的變更。C.這是庫管理的功能，不是源代碼比較的功能。信息系統審計師可另行確定此項。D.源代碼比較會發現原程序和變更過的程序之間的所有變更，但該比較不能確保變更已經過充分測試。A1-63在正式結束審查前，與受審方舉行會議的主要目的是：[單選題]*A.確認審計師沒有忽略任何重要問題。B.就審計發現達成一致意見。(正確答案)C.就審計流程是否充分聽取反饋意見。D.測試最終陳述的結構。答案解析：A.結束會議會確定審計中的任何誤解或錯誤，但不會確定審計中忽略的任何重要問題。B.在正式結束審查前，與受審方舉行會議的主要目的是就審計發現和管理層反饋達成一致意見。C.結束會議可獲取管理層對審計實施的評論，但其目的不是作為對審計程序的充分性的正式審查。D.審計報告的結構和陳述遵循公認的標準和慣例。結束會議可能指出審計或陳述中的錯誤，但其目的不是測試陳述的結構。A1-64在判斷自上次進行授權的程序變更后是否存在未授權的程序變更時，下列哪項審計技術將最大限度地幫助信息系統審計師？[單選題]*A.測試數據運行。B.代碼審查。C.自動代碼比對。(正確答案)D.代碼遷移流程審查。答案解析：A.審計師可通過測試數據運行來驗證預選交易的處理，但無法獲得有關程序中未授權變更和未運行部分的證據。B.代碼審查是指讀取程序源代碼列表的過程，用于判斷代碼是否符合編碼標準或包含潛在錯誤或低效語句。代碼審查可用作代碼比對的手段，但用于檢測代碼變更時效率不高、也不可能，特別是對于大程序的代碼。C.自動代碼比對是指比較同一程序的兩個版本的過程，用于判斷兩者是否一致。這項技術之所以高效是因為它是一個自動化流程。D.代碼遷移流程審查檢測不到的未授權的程序變更。A1-65編制審計報告時，信息系統審計師應確保審計結果得到下列哪項支持？[單選題]*A.信息系統管理層的聲明。B.其他審計師的工作底稿。C.組織控制自我評估。D.充分恰當的審計證據。(正確答案)答案解析：A.信息系統管理層的聲明可包含在審計分析中，但就這些聲明自身而言，卻不能作為發布報告的充分依據。B.其他審計師的工作底稿可用于證實和驗證審計結果，但應與制作報告的信息系統審計師的工作底稿的更多證據同時使用。C.控制自我評估的結果可協助信息系統審計師確定風險和合規性，但其自身不足以支持審計報告。D.ISACA關于報告的信息系統審計和鑒證標準要求信息系統審計師須有充分恰當的審計證據來支持報告的結果。IS管理人員的聲明是就經驗性證據無法驗證的事項達成一致的依據。即使信息系統審計師能夠獲得其他審計師的工作底稿，報告也應以審查期間收集的證據為基礎。組織控制自我評估的結果可以作為審計發現的補充。A1-66在某組織中對軟件開發實務進行評估期間，信息系統審計師注意到質量保證（QA）職能部門向項目管理人員匯報。信息系統審計師最關心的問題是：[單選題]*A.QA職能的有效性，因為QA職能應在項目管理和用戶管理間進行溝通。(正確答案)B.QA職能的效率，因為QA職能部門應與項目實施團隊進行交互。C.項目經理的有效性，因為項目經理應與QA職能部門進行交互。D.項目經理的效率，因為該QA職能部門需要與項目實施團隊進行溝通。答案解析：A.要有效工作，質量保證（QA）職能部門應該獨立于項目管理部門。否則，項目管理部門可能對QA職能部門施壓以批準不合格的產品。B.QA職能的效率不會因為與項目實施團隊進行交互而受影響。QA團隊在產品符合QA要求前不會發布產品用于實施。C.項目經理會響應QA團隊提出的問題。這不會影響項目經理的有效性。D.QA職能部門與項目實施團隊的交互不應影響項目經理的效率。A1-67是否將一項重大發現寫入審計報告的最終決定，應由誰做出？[單選題]*A.審計委員會。B.受審方的經理。C.信息系統審計師。(正確答案)D.首席執行官。答案解析：A.審計委員會不應通過影響審計報告應包括哪些內容而傷害信息系統審計師的獨立性、專業性和客觀性。B.信息系統審計師的經理可建議在審計報告中包括或不包括哪些內容，但受審方的經理不應影響報告的內容。C.應由信息系統審計師最終決定審計報告中應該包括或排除哪些內容。D.首席執行官不得影響審計報告的內容，因為這會破壞審計部門的獨立性。A1-68在審查敏感的電子版工作底稿時，信息系統審計師注意到它們沒有被加密。這可能危及：[單選題]*A.工作底稿版本管理的審計軌跡。B.審計階段的批準。C.對工作底稿的訪問權限。D.工作底稿的機密性。(正確答案)答案解析：A.審計軌跡自身不會影響機密性，但是它是要求加密的部分原因。B.審計階段的批準自身不會影響工作底稿的機密性，但是是要求加密的部分原因。C.對工作底稿的訪問權限應僅限于工作需要的人員，但是沒有加密會破壞工作底稿的機密性，而不是對工作底稿的訪問權限。D.通過加密的方式可保證電子版工作底稿的機密性。A1-69信息系統審計師獲得充分恰當的審計證據的最重要的目的是：[單選題]*A.遵守法規要求。B.為得出合理結論提供依據。(正確答案)C.確保審計覆蓋范圍完整。D.根據定義的范圍執行審計。答案解析：A.遵守法規要求對審計來說是相關的，但不是獲得充分恰當的證據的最重要的原因。B.IS審計的范圍由其目標決定。這涉及確定審計范圍內的控制弱點。獲得充分恰當的證據不僅有助于審計師識別出控制弱點，還有助于對其進行記錄和驗證。C.確保覆蓋范圍對審計來說是相關的，但不是獲得充分恰當的證據的最重要的原因。獲得證據的原因是確保審計結論有事實根據而且準確。D.在定義的范圍執行審計對審計來說是相關的，但不是獲得充分恰當的證據的原因。A1-70經初步調查，信息系統審計師有理由相信可能存在舞弊行為。信息系統審計師應：[單選題]*A.擴大工作范圍，判斷是否有必要開展調查。(正確答案)B.將該事件報告給審計委員會。C.向管理層報告舞弊的可能性。D.與外部法律顧問進行磋商，確定應采取的行動方案。答案解析：A.對于檢測舞弊行為，信息系統審計師的職責包括評估舞弊跡象、決定是否有必要采取額外措施或是否應該建議展開調查。B.只有在判斷出舞弊跡象足以建議展開調查時，信息系統審計師才應該通知組織內的相關機構。C.只有在證據足以展開調查時，信息系統審計師才應該將舞弊的可能性報告給高級管理層。這可能受管理層是否可能涉入舞弊的影響。D.信息系統審計師通常無權與外部法律顧問進行磋商。A1-71信息系統審計師注意到，對核心財務系統的失敗登錄嘗試會被自動記錄并由該組織保留一年。此日志記錄：[單選題]*A.是一種有效的預防性控制。B.是一種有效的檢測性控制。C.不是一種充分的控制。(正確答案)D.是一種改正性控制。答案解析：A.生成活動日志不是一種預防性控制，因為它不能防止不當的訪問。B.生成活動日志不是一種檢測性控制，因為它不能幫助檢測不當的訪問，除非經過適當人員審查。C.生成活動日志本身并不是一種控制，對此類日志進行審查使得該活動成為一項控制（生成日志加審查等于控制）。D.生成活動日志不是一種改正性控制，因為它不能改正不當訪問帶來的影響。A1-72組織的信息系統審計章程應指明：[單選題]*A.信息系統審計項目計劃。B.IS審計項目的目標和范圍。C.針對IS審計人員的詳細培訓計劃。D.IS審計職能部門的角色。(正確答案)答案解析：A.規劃由審計管理部門負責。B.每次IS審計的目標和范圍應在業務約定書中議定。審計章程應指明審計部門的目標和范圍，而不是每個審計項目的目標和范圍。C.基于審計計劃的培訓計劃應由審計管理人員制訂。D.IS審計章程應確立信息系統審計職能部門的角色。章程應對審計職能部門的整體權限、范圍和責任予以說明。它應該由最高管理層或審計委員會（如果存在）審批。A1-73信息系統審計師應使用下列哪項來檢測發票主文件中是否存在重復的發票記錄？[單選題]*A.屬性抽樣。B.計算機輔助審計技術。(正確答案)C.符合性測試。D.集成測試設施。答案解析：A.屬性抽樣可以幫助識別符合特定條件的記錄，但無法通過將一個記錄與另一個記錄進行比較來確定重復現象。為了檢測是否存在重復的發票記錄，信息系統審計師應檢查所有滿足條件的記錄，而不是若干記錄組成的樣本。B.計算機輔助審計技術（CAAT）能讓信息系統審計師審查整個發票主文件，以尋找滿足選擇條件的那些項。C.符合性測試用于確定是否遵循控制程序。使用CAAT是更好的選擇，因為它最有可能更高效地搜索出重復的發票記錄。D.有了集成測試設施，信息系統審計師便能夠通過生產系統測試交易，但無法通過比較記錄來識別重復現象。A1-74制訂風險管理方案時，應首先執行以下哪項活動？[單選題]*A.評估威脅。B.對數據進行分類。C.清點資產。(正確答案)D.分析重要性。答案解析：A.首先需要確認資產。列出可對這些資產產生影響的威脅屬于該流程中稍后進行的步驟。B.在定義訪問控制和進行重要性分析時需要對數據分類，但在分類前需要對資產（包括數據）進行確認。C.在制定風險管理方案期間，第一步是確定要保護的資產。D.重要性分析是該流程中確認資產之后進行的步驟。A1-75在評估電子數據交換（EDI）應用程序的控制時，信息系統審計師應該主要關注以下哪種風險？[單選題]*A.交易周轉時間過長。B.應用程序接口故障。C.交易授權不當。(正確答案)D.批量處理總數未經驗證。答案解析：A.交易周轉時間過長是有不便，但不是嚴重風險。B.應用程序接口故障是一種風險，但不是最嚴重的問題。該問題一般是臨時性的且容易解決的。C.在與電子數據交換（EDI）相關的風險中，最嚴重的是交易授權不當。由于與各方的交互采用的是電子形式，因此本身并沒有身份認證環節。認證不當可導致財務損失這一嚴重風險。D.EDI交易的完整性很重要，但沒有未授權交易的風險大。A1-76以下哪一項對于信息系統審計師訪問和分析數據以從不同的軟件環境中收集相關審計證據最有用？[單選題]*A.結構化查詢語言。B.應用軟件報告。C.數據分析控制。D.計算機輔助審計技術。(正確答案)答案解析：A.結構化查詢語言為審計師提供了根據審計目標查詢特定數據庫的選項。但是，查詢特定數據庫需要技能，并且用戶必須能夠理解記錄結構才能訪問數據。B.來自應用軟件的報告可能很有用，但它們不如計算機輔助審計技術（CAAT）那么有用。C.數據分析控制可能是用于控制測試的一種很好的技術，但它們并不像CAAT那么全面。D.CAAT是用于訪問來自各種軟件環境、記錄格式等電子數據的工具。CAAT可作為根據審計目標收集和評估審計證據的有用工具，并且可提高收集此類證據的效率。A1-77以下哪種抽樣方法最適合測試自動發票授權控制，以確保不會對特定用戶進行例外處理？[單選題]*A.變量抽樣。B.判斷抽樣。C.分層隨機抽樣。(正確答案)D.系統化抽樣。答案解析：A.變量抽樣用于實質性測試，以確定總體特征的貨幣或容量影響。在此案例中，它并非最適合的方法。B.在判斷抽樣中，專業人員對于樣本可能有失偏頗（例如，所有抽樣單位都超過一定值，都針對特定類型的異常或都為否定項）。應該注意的是，判斷性樣本并非基于統計學，并且其結果不應該用來在總體中推斷結果，因為樣本不太可能代表總體。C.分層是將總體劃分為具有明確定義的相似特征的子總體的過程，因此每個抽樣單位只能屬于一個層次。這種抽樣方法可確保每個子組中的所有抽樣單位都具有已知的非零選擇機會。在此案例中，它是最適合的方法。D.系統抽樣涉及使用固定的選擇間隔來選擇抽樣單位，其中第一間隔具有隨機起點。在此案例中，它并非最適合的方法。A1-78某位曾參與過組織業務連續性計劃（BCP）設計的信息系統審計師被指派審計該計劃。信息系統審計師應：[單選題]*A.拒絕接受任務。B.完成審計任務后通知管理人員可能存在利益沖突。C.開始執行任務前通知BCP團隊可能存在利益沖突。D.開始執行任務前通知審計管理部門可能存在利益沖突。(正確答案)答案解析：A.只有經過管理層批準，或向管理部門、審計管理部門或其他利益相關方披露之后，才可以拒絕接受任務。B.應在開始執行任務前獲得批準，而不是在完成任務后。C.開始執行任務前通知BCP團隊可能存在利益沖突不正確，原因是BCP團隊無權決定此類事宜。D.潛在利益沖突有可能影響信息系統審計師的獨立性，應在開始執行任務之前就提請管理層注意。A1-79IT司法審計的主要目的是：[單選題]*A.參與調查企業欺詐行為。B.在發生系統違規行為后有計劃地收集和分析證據。(正確答案)C.評估組織財務報表的正確性。D.保存犯罪活動的證據。答案解析：A.司法審計并不僅限于企業欺詐。B.在發生系統違規行為后有計劃地收集和分析證據是對司法審計的最佳描述。收集的證據隨后可被分析并用于司法程序。C.評估組織財務報表的正確性不是司法審計的主要目的。D.取證是調查與犯罪或不良行為有關的證據。保存證據屬于取證過程，但不是主要目的。A1-80某信息系統審計師審查某遠程管理服務器某天的日志時，發現了日志記錄失敗且無法確認備份重啟的情況。該信息系統審計師應該怎樣做？[單選題]*A.發布審計發現。B.向IS管理人員尋求解釋。C.審查服務器上的數據分類。D.擴大審查的日志樣本范圍。(正確答案)答案解析：A.在這個階段，發布審計發現還為時過早。向管理人員尋求解釋是可行的，但更好的做法是收集額外證據來正確評估該情況的嚴重性。B.如果不收集關于此事故及其發生頻率的更多信息，則很難從管理人員處獲得有意義的解釋。C.備份故障（此時尚未確定）如果牽涉關鍵數據將非常嚴重。但是，問題并不在于檢測到問題的服務器上的數據是否重要，而在于是否存在影響其他服務器的系統性控制故障。D.IT審計和鑒證標準要求信息系統審計師收集充分且適當的審計證據。該信息系統審計師發現了一處潛在問題，現在需要確定它到底是個別事故，還是系統性控制故障。A1-81在某小型組織中，發行經理和應用程序開發人員的職能由同一員工履行。在此場景中，以下哪一項是最佳補償性控制？[單選題]*A.雇用額外的員工以實現職責分離。B.禁止發行經理對程序進行修改。C.記錄對開發庫的更改。D.驗證是否僅實施經過批準的程序變更。(正確答案)答案解析：A.建立職責分離并非補償性控制，而是預防性控制。在小型組織中，雇用新員工可能并不可行，這正是可能需要進行補償性控制的原因。B.由于發行經理履行雙重職責，因此阻止他們對程序進行修改不可行；而且，在小型組織中，職責分離也可能不可行。C.記錄對開發庫的更改不能檢測出對生產庫的更改。D.如果適當的控制不可行或不實際，則補償性控制可用于緩解風險。在小型