CISA 复习考题及解答手册 (第12版) - (EPUB全文下载)

文件大小：2.32 mb。
文件格式：epub 格式。
书籍内容：

CISA 复习考题及解答手册 (第12版)
各领域相关考题及解答
学后测验
考试样卷
考试样卷参考答案
考试样卷答题纸（学前测验）
考试样卷答题纸（学后测验）
评估
反侵权盗版声明
各领域相关考题及解答
领域1——信息系统审计流程（21%）
A1-1 内部审计部门编写了一些脚本，用于对某些信息系统持续审计。IT 部门要求获得脚本副本，以用来在关键系统上设立连续监控流程。与 IT 部门分享这些脚本是否会影响信息系统审计师独立、客观地审计IT部门的能力？
A.不允许分享脚本，因为这会使IT部门能够对系统进行预审计并避开精确、全面的审计。
B.无论是否削弱审计独立性都需要分享脚本，因为 IT 部门必须能够审核在信息系统上运行的所有程序和软件。
C.如果IT部门认识到审计还可能在脚本覆盖范围以外进行，便可以允许分享脚本。
D.不允许分享脚本，因为编写脚本的信息系统审计师将不被允许审计任何使用该脚本进行监控的信息系统。
C是正确答案。
理由：
A.IT部门持续地监控和处理IT系统问题的能力不会影响信息系统审计进行全面审计的能力。
B.可能为了质量保证和配置管理而在政策上需要分享脚本，但是这不会损害审计的能力。
C.IS 审计仍然可以审核系统的所有方面。他们可能无法审核脚本的有效性，但仍然能够对系统进行审计。
D.信息系统审计涵盖的范围不只是脚本中覆盖的控制。
A1-2 在信息系统合规性审计的规划阶段，以下哪个是决定所需的数据收集范围的最佳因素？
A.组织业务的复杂性。
B.上一年度提到的发现和问题。
C.审计的目的、目标和范围。
D.审计师对组织的熟悉程度。
C是正确答案。
理由：
A.组织运营的复杂性是在规划审计时需要考虑的因素，但不会对数据收集量的确定产生直接影响。数据收集的范围取决于审计的强度、范围和目的。
B.之前的发现和问题是在规划审计时需要考虑的因素，但不会对数据收集量的确定产生直接影响。必须在之前发现的范围以外进行数据收集。
C.在IS审计期间，所收集数据的范围应与审计的目的、目标和范围直接相关。目的、目标和范围有限的审计所收集的数据很可能比目的和范围较广的审计要少。统计分析也可能决定数据收集的范围，如样本量或数据收集的方式。
D.审计师对组织的熟悉程度是在规划审计时需要考虑的因素，但不会对数据收集量的确定产生直接影响。审计必须以足够的控制监控证据为基础，而且不受审计师对组织的熟悉程度的不当影响。
A1-3 某信息系统审计师正在针对包含新系统的环境制订一项审计计划。组织的管理层级希望该信息系统审计师着重关注最新实施的系统。该信息系统审计师应如何去做？
A.按管理层的要求审计新系统。
B.审计去年审计范围以外的系统。
C.确定风险最高的系统，然后相应地制订计划。D.审计去年审计范围以外的系统和新系统。
C是正确答案。
理由：
A.审计新系统不能反映基于风险的方法。尽管系统可能包含敏感数据并可能给组织带来数据丢失或泄露的风险，但在未经过风险评估的情况下，仅审计新实施系统的决定不是基于风险所做出的。
B.审计去年审计范围之外的系统不能反映基于风险的方法。此外，管理层可能清楚新系统存在的问题，并刻意想让审计绕开这一薄弱领域。尽管乍看之下，新系统可能是最具风险的领域，但也必须执行评估，而不能依赖信息系统审计师或IT经理的判断。
C.最佳措施是执行风险评估并制订审计计划，以涵盖最高风险领域。ISACA信息系统审计和鉴证标准1202 （规划中的风险评估），主张1202.1：“信息系统审计和鉴证职能部门应运用恰当的风险评估方法和配套方法来制订总体的信息系统审计计划和确定有效分配信息系统审计资源的优先顺序。”
D.审计计划的制订应与管理部门合作进行，并且以风险为基础。信息系统审计师不应擅自决定审计范围。
A1-4 某信息系统审计师正在对一个基于 Web 的关键系统的安全控制进行实施前审查。渗透测试结果尚不确定，并且在实施前无法最终得出结果。以下哪项是该信息系统审计师的最佳选择？
A.根据可用信息发布一份报告，突出强调潜在的安全漏洞，并要求进行后续审计测试。
B.发布一份报告，忽略没有从测试中获得决定性证据的领域。
C.请求延迟实施日期，直到能够完成其他安全测试且能够获得相应控制证据。
D.通知管理层，审计工作无法在实施前完成，并且建议推迟审计。
A是正确答案。
理由：
A.如果信息系统审计师无法在议定的时间范围内充分鉴证关键系统的安全，则应在审计报告中突出强调该事实并在日后安排后续测试。然后，管理部门才可根据确定的潜在漏洞的重要程度，来决定是否需要延迟系统的上线日期。
B.信息系统审计师由于无法在议定的审计时间内得到决定性证据而忽略潜在漏洞的领域是不可接受的。如果在审计报告中忽略这些领域，则会违反ISACA信息系统审计和鉴证标准。
C.在此情形中，如果系统涉及关键业务，则不太可能允许延长审计时间和延迟上线日期。无论如何，是否延迟上线日期必须由业务管理部门而不是信息系统审计师来决定。在这种情况下，信息系统审计师应在议定日期前向业务管理部门提供所有可用信息。
D.未能在审计项目的某个部分获得充分证据不能成为取消或延缓审计的理由，这会违反应有的职业谨慎的审计准则。
A1-5 在无法对职责进行适当分离的环境中，信息系统审计师将会寻求以下哪一种控制？
A.重叠控制。
B.边界控制。
C.访问控制。
D.补偿性控制。
D是正确答案。
理由：
A.重叠控制是针对同一控制目标或风险敞口实施的两种控制。因为在无法或没有适当分离职责时不能实施主要控制，因此很难采取重叠控制措施。
B.边界控制用于在计算机系统的目标用户与计算机系统本身之间建立接口，并且是基于个人而非角色的控制。
C.对资源的访问控制基于个人而非角色。如果缺少职责分离，则信息系统审计师预期会发现有人拥有的权限比理想的要高。信息系统审计师需要找到补偿性控制来解决该风险。
D.补偿控制属于内部控制，在无法适当分离职责时，可以降低现有的或潜在的控制弱点可能面临的风险。
A1-6 以下 ............

以上为书籍内容预览，如需阅读全文内容请下载EPUB源文件，祝您阅读愉快。