2017年江苏省注册内部审计师：信息系统安全考试试题

2017年江苏省注册内部审计师：信息系统安全考试试题本卷共分为1大题50小题，作答时间为180分钟，总分100分，60分及格。一、单项选择题（共50题，每题2分。每题的备选项中，只有一个最符合题意）1.根据以上信息可知，新的账户管理系统需要具备的特征是下列哪一项? A：a.不确定的需求和用户高度理解的任务。 B：b.确定的需求和用户较少理解的任务。， C：c.不确定的需求和非结构化的任务。 D：d.确定的需求和非结构化的任务。2.确认以前已经报告过的问题领域，以便进一步采取跟踪措施。、再进一步审查时排除以前已经审计过的领域。、了解被审计领域的业务程序和控制活动。、理解管理层关注的问题或提出的要求。 A：只有是对的。 B：只有和是对的。 C：只有和是对的。 D：只有、和是对的。3.如果某审计师希望测试是否只有经过授权才能修改电脑程序，那么，最有效的审计程序应该是 A：应用通用审计软件来随机选择现有应用程序的样本，根据样本追踪程序修改授权表格； B：选取所有程序修改申请表样本，将申请表追踪 C：将现有程序库的自动化目录与档案中的原件进行比较。对所发现不同之处进行抽样测试，以核对恰当授权问题； D：获取信息系统管理员在过去6个月时间中实施的编程项目清单，从清单中选取样本，追踪至程序修改授权表格。 4.根据以上信息可知，该银行的管理层在选择新的账户管理系统的开发方法时最好的是下列哪一项? A：a.自下而上的设计。 B：b.生命周期法。 C：c.自顶向下的设计。 D：d.原型方法。 5. 内部审计专业实务标准要求制定书面的政策和程序来指导内部审计活动。对于这项要求，以下哪项表述是错误的 A：书面政策和程序的形式和内容应该与内部审计活动的规模相适应； B：所有的内部审计活动都应该有详细的政策和程序手册； C：不是所有的内部审计活动都需要正式的管理和技术手册； D：小型内部审计活动可以通过密切监督和书面备忘录来进行非正式管理。 6. 偿还次数和分期偿还金额之间的保持逻辑关系的最佳的控制措施？ A：a.格式检查。 B：b.存在性检查 C：c.依赖性检查 D：d.合理性检查 7. 下列哪种情况是上述病毒出现的征兆 A：电压猛增，从而损坏计算机设备； B：未知原因的数据丢失和改变； C：不完全的备份、恢复和权变计划； D：大量由于未授权的软件使用而造成的侵犯版权事件。 8. 在六西格玛方法中，在以下哪一个阶段使用了”是什么样”流程图? A：定义 B：测量 C：分析 D：改进 9. 内部审计师运用货币单位抽样方法选择了一个建筑商支付成本的样本，样本的设计情况和结果是支付合同成本 $10000000总体发票数量 2000可容忍误差 1%置信水平 95%可信度 3.0样本间隔 $33333样本量 300期望误差 无发现误差 无关于这个样本，下面哪项是正确的 A：选择任一个特定发票的概率都是15%(3002000)； B：合同发票中包含重要错误的概率是1%； C：如果错报不超过$33333，则抽样风险是可以接受的； D：在5%的误受风险水平下，成本高估额不超过$100000($10000000的1%)。 10. 由于下面的哪一项，顾客很难客观评价服务? A：无形性 B：异质性 C：易逝性 D：不可分割性 11. 在下述管理要求中，哪项属于内部审计专业实务框架 (以下简称专业实务框架所阐述的正常确认业务范围？ A：进行自制还是采购的决策分析，并将相关建议管理层批准。 B：就合同不同选择方案进行谈判，并将它们提交给管理层评估。 C：分析不同融资选择，并将它们提交审计委员会。 D：对管理层的计划进行独立评估，作为提出审计建议的依据。 12. 为减少与实物资产相关的潜在财在损失，资产应该按一个数额保险，这个数据是 A：由定期评估支持确定。 B：等于单个资产的账面价值。 C：根据经济指数例如消费价格指数自动调整。 D：由董事会决定。 13. 以下哪项内容最有助于提高机构内部审计部门的工作成效？ A：在章程中以恰当条款规定内部审计的范围和职责 B：管理层定期对审计章程进行审查 C：董事会保证内部审计的客观性 D：在年度审计计划中确定恰当的合规性审计范围 14. 当内部审计师开展能够带来增值并改善机构业务的咨询服务时 A：内部审计师不可能通过此种咨询业务提供保证服务。 B：如果内部审计师承接同一客户的保证服务，此种服务有损内部审计师的客观性。 C：此种服务应该与内部审计部门章程中所反映的部门权限相一致。 D：除了咨询业务的客户，此种服务不要求审计师负责向任何其他方面传达信息。 15. “应该是”流程图在六西格玛方法中的哪一个阶段中使用? A：定义 B：测量 C：分析 D：改进 16. 某组织正式制定了隐私政策并聘用了首席隐私官，自上任以来，该首席隐私官已开展风险评估，确定工作的先排序，并已配置资源来确保在公司上下实施并维护有效一致的隐私控制措施。根据能力成熟模型(CMM)，该组织在隐私战略方面达到什么样的成熟度？ A：已有可重复的隐私战略 B：已有明确的隐私战略 C：已有管理方的隐私战略 D：已有经过优化的隐私战略 17. 一家宠物医院通过计算机应用程序把每次宠物就诊的账单提供给客户。需要在操作系统的帮助下才能完成的功能是下列哪一项？ A：a.需要将就诊费用汇总时。 B：b.当对余额进行更新时。 C：c.当对每一个宠物的文件进行调阅时。 D：d.当从通讯录中提取出宠物主人的姓名时。 18. 在审计一个计算机会计系统时，下列有关整合测试设施(ITF)的叙述中，哪项不正确 A：ITF只是重复处理实际的、而非虚拟的交易； B：对交易的测试可以不通过使用计算机操作员的知识而提交； C：ITF测试操作中的实际程序； D：ITF方法也被称为小公司技术。 19. 以下哪项是组织为提高公众对其财务报告的理解而作出的恰当反应 A：加强由外部董事组成的审计委员会； B：将内部审计视为一项暂时的职业管理职位的基石； C：要求内部审计师向首席执行官报告所有重大的违法活动结果； D：使外部审计师与内部审计师独自工作以保持独立性。 20. 近年全球发生了一些灾难，鉴于灾难可能对其组织造成破坏性影响，内部审计师应该鼓励管理者制定危机管理程序，识别制定危机管理程序的第一步工作是什么？ A：制定应急计划 B：开展风险分析 C：创建危机管理小组 D：练习对危机的反应 21. 以下哪种情形违反了IIA职业道德规范？ A：在一起合伙人起诉某公司诈骗的案件中，该公司内部审计师被法庭传唤，他在法庭上泄漏了机密审计信息。 B：某办公用品制造公司的内部审计师最近完成了对公司市场部进行的审计，基于本次审计经验，周末他花费几个小时为本地一家医院提供有偿咨询，指导这家医院市场部实施类似的审计。 C：某内部审计师在当地举办的IIA会议上发表了一次讲演，概括了他为某公司电子数据交换系统进行审计而设计的程序，许多该公司主要竞争者的审计师都参加了此次会议。 D：在一次审计中，内部审计师了解到某公司将要推出一种能使该产业发生变革的新产品，由于新产品可能成功，该内部审计师接受了生产经理的建议，多购入了该公司股票。 22. 某内部审计师被指派分析一套修复方案的有效性。这一方案已运行了10年，从未被评估过。提供方案数据的机构断定数据是不完整的。内部审计师应该 A：无论如何先进行分析，评价不完整数据的影响，但否认任何关于数据可信度的断言。 B：追踪随机选择的记录到源文件，以评估所提供数据的准确性和完整性。 C：不进行分析 D：推迟分析直到数据完整时 23. 鉴于管理层提出的紧急要求，事务繁忙的内部审计部门发现其已无法履行年度审计计划中包含的所有承诺。审计执行主管应采取的最佳行动方案是以下哪一项内容？ A：马上将情况告知董事会，寻求后者的支持，以获得进一步的资源，满足年度审计计划的相关需求 B：将情况告知董事会和高层管理人员，并请求后者对年度审计计划进行重新评估 C：将情况告知高层管理人员，并应用更加有力的风险评估和优先排序系数，请求后者重新考虑这些额外的审计要求 D：继续执行年度审计计划，寻找机会调整工作重点，并重新进行资源配置 24. 在对差旅费用进行审计时，内部审计师先计算出所有销售人员每天的平均差旅费用，然后对那些高于平均值的差旅费收据进行详细检查，这些程序是对以下哪种类型的信息进行确认 A：文件及实物证据 B：分析及实物证据 C：文件及分析证据 D：实物及证明证据 25. “应该是”流程图在六西格玛方法中的哪一个阶段中使用? A：定义 B：测量 C：分析 D：改进26.下面的流程图描述了 A：程序编码检查； B：平行模拟； C：整合测试设施； D：控制重复处理。 27.下列各项中属于用户可移动的采用的只读技术的介质是哪一项？ A：a.ROM B：b.CD-ROM C：c.WORM D：d.RAM 28.概念模式、内部模式。下列哪一项是内部模式的唯一属性？ A：a.它描述了数据库某部分的用户视图。 B：b.它描述了所需要的数据的用户模型。 C：c.它描述了数据在数据库中的物理存储方式。 D：d.它描述了数据库全面的逻辑视图。 29.由内部审计部门协调执法检查员的工作对组织是有益的，因为内部审计师能 A：影响执法检查对法律的解释，以便其与公司实务相一致。 B：建议执法检查员改变检查范围以便限制偏差。 C：帮助执法检查员进行现场工作，以减少其现场检查时间。 D：通过审计底稿和报告向执法检查员提供足够的符合性测试的证据。 30. 在六西格玛方法中，”分析”阶段是在以下哪一个阶段后? A：定义 B：控制 C：测量 D：改进31. 在经营审计中，内部审计师将子公司的存货周转率与公认行业标准相比较，目的是 A：评价内部财务报告的准确性 B：对旨在保护资产的控制进行测试 C：确定是否遵守关于存货水平的公司程序 D：评价业绩并显示哪里需要额外的审计32. 下列哪项审计程序提供的证据与证实工薪都支付给了真实雇员的审计目标最不相关？ A：审查注销支票背书的正确性并与人员记录相比较 B：将使用的工时卡片与在职雇员相核对 C：证实付款批准职责与录用/雇职责是否分离 D：通过将未到期支票追查至工薪登记薄来测试工薪账户的银行余额调节33. 一位银行内部审计师希望确定是否所有贷款都有充足的抵押担保，是否根据最近的付款日期进行分类，是否恰当地划分流动和非流动两类。为实现这些审计目标，以下哪项审计程序最佳 A：使用通用审计软件读取贷款总文件，根据最近的一次付款日期来划分其流动性，按流动和非流动性进行分层统计抽样。审查抽取到的每项贷款是否正确进行抵押和分类 B：抽取超过一定限额的一组贷款样本，确定它们是否属流动性并正确分类。对每笔经批准的货款，证实其年限和分类 C：对所有货款申请进行发现抽样，确定是否每个申请都附有抵押声明书 D：选取贷款支付的样本，追查至原贷款，确认这些支付是否都经过适当的申请手续 34. CIA想要测试的是要求某医疗保险公司赔款的所有申请都经过适当的批准和文件处理，包括但不限于指定的医生开出的索赔申请的合法性和该申请是否符合索赔人政策的证据，那么最恰当的审计程序是 A：对所有的投保人进行随机统计抽样，审查当年样本项目中所有索赔申请，确定其处理是否正确。 B：抽取一组存档的索赔申请样本，追查至批准和其他支持性文件证据。 C：抽取一组被拒绝的索赔申请样本，确认拒绝是否合理。由于被拒绝索赔文件较小，CIA可以在样本量一定的情况下获得更大的审查范围。 D：从索赔(现金)支出文件中抽取已支付赔款的样本，并追查至批准和其他支持性文件证据 35. 内部审计师将一个部门的员工水平与行业标准相比以得出以下结论 A：对工资处理程序控制的充分性 B：该部门现有的绩效水平 C：对雇用控制的充分性 D：遵守人力资源政策的程度 36. 某银行内部审计师要证实存款账户总账余额的准确性，其中用到一个审计程序是向用统计抽样方法选出的存款储户发送肯定式询证函，但是函证回收的数量不足以对账户的准确性形成有效的审计结论，审计师还应采用什么方法实现这一审计目标 A：认为未答复函证的储户已默认了该余额，记录下结果，在这一审计程序中无需再做进一步的工作； B：扩大函证的样本规模，增加储户； C：确认储户地址的准确性，再次发出函证要求并作标记以示这是第二次发出的函证； D：对所有未答复函证的储户寄送否定式函证，并记录测试结果。如果有必要可以与储户电话联系，询问与确认余额的任何不一致。37. 某组织大量采用最终用户开发的方式。然而由于对最终用户开发的系统缺乏必要的安全和恢复控制，而可能对组织产生潜在的风险。下列各项中哪一项是对这种风险进行控制的最佳办法？ A：a.对知识库进行检查。 B：b.对开发和生产中的控制进行测试。 C：c.确保信息系统与组织目标的兼容性。 D：d.为了保证手续的完备，管理部门要进行严格监督。38. 一个规模非常小的内部审计部门的首席审计执行官刚接到管理层请求，要对一个极端复杂而首席审计执行官和内部审计部门没有该方面专业技术的领域实施审计。该项审计业务属于内部审计部门的职责。管理层已表示，因为涉及高风险，希望近期尽快开展该项业务。首席审计执行官以下反映中哪项违反了标准？ A：与管理层讨论该项审计业务的时限，确定是否有充足的时间去增长适当的专业知识。 B：与管理层讨论向外部采购该复杂领域审计服务的可能性。 C：因为涉及高风险领域，接受该项审计业务并马上展开工作。 D：为审计组增加一名外部顾问，协助实施审计业务。39. 哪项是电子工作底稿的不足？ A：每个审计人员必须有一台个人电脑 B：重要的工作底稿仍然必须打印和归档 C：互相索引更难 D：需要进行特别的技术培训40. 内部审计部门应通过对程序进行评估来为公司治理作贡献.通过评估.促进.提升道德标准和价值观.确保有效的组织业绩管理和责任制.传达风险和控制信息.协调内外部审计师和管理层的工作 A：只有、 B：只有 C：只有和 D：，和41. 现代技术使得进行无纸化审计成为可能。例如，在进行以计算机为基础的客户的应收账款的审计中，审计师可以使用微型计算机直接进入应收账款账户，将选择的客户记录拷贝到微型计算机中，进行审计分析。以下哪项是使用无纸化审计应收账款账户的优点 A：它减少了对支持性凭证的测试数量； B：它允许使用电子表格工作底稿立即处理审计数据； C：它增加了每个审计师所必备的技术和技能； D：它允许对客户账户的直接确认。42. 根据下面的资料回答问题某公司在个人计算机上储存生产资料，这些计算机通过局域网(LAN)相联，并通过电子资料交换自动生成采购定单。采购是向经批准的供货商进行的，根据下个月的生产计划以及经批准的确定每单位产品对零件需求的物料需求计划(MRP)。为了确定生产工艺变动时采购需求是否及时更新，以下哪项审计程序最为有效 A：按照当前生产计划和MRP重新计算生产工艺变动后零件的需求量，将结果与同期系统中生成的采购定单中的数量相比较 B：将测试数据输入LAN并将由测试资料生成的定货数量和由生产资料生成的定货数量相比较 C：使用通用审计软件编制超贮存存货报告，将存货量与当前生产规模相比较 D：抽取若干期的生产计划和MRP，并追踪检查其输入系统时是否正确43. 通用审计软件可以用于控制性测试 支持性测试 A：可以 可以 B：可以 不可以 C：不可以 可以 D：不可以 不可以44. 安装和操作计算机应用程序的建议进行评价。下列哪一项可能是内部审计师对该建议的评价？ A：a.该建议不会产生明显的效果，既不会提高也不会降低工作效率和生 产率。 B：b.该建议将会削弱内部控制，并将给舞弊和非法活动带来更多的机会。 C：c.该建议将会削弱资源分配和对用户的需要作出反应的能力。 D：d.该建议能够提高工作效率和生产率。45. 下列哪一项是数据字典所具有的功能? A：a.用来确定系统的用户。 B：b.为目标和资源确定优先级和安全规则。 C：c.可以划分两个连续业务的界限。 D：d.组织和共享有关对象和资源的信息。46. 以下抽样结果中，哪一种抽样风险最小样本量 可容忍误差率 样本误差率 A：40 5% 2% B：60 5% 1% C：80 4% 3% D：100 1% 1%47. 在实际的审计工作中，为了确定系统是否达到处理目标，内部审计师需要在某些计算机应用程序的审计中检查程序代码。那么，内部审计师检查的代码应该是下列哪一项? A：a.杂数代码。 B：b.访问代码。 C：c.目标代码。 D：d.源代码。48. 目前，系统开发生命周期的方法已经被越来越多的组织采用。但是系统开发生命周期的方法也有其缺点。系统开发生命周期的主要缺点是下列哪一项 A：a.对开发过程的管理很困难。 B：b.无法使用户参与到开发过程中。 C：c.组织的策略和用户的需求之间有必然的联系。 D：d.将原型作为最终产品来接受的倾向。49. 顾客通常认为下面哪一个服务质量维度是最重要的? A：可信赖性 B：保证 C：有形的 D：反应灵敏50. 内部审计师正在对以前12个月采取的销售佣金计划的有效性进行评价，对此项计划的有效性提供强有力支持的审计程序应该是 A：按生产线计算过去三年来每月销售的变动百分比； B：将本年每月的产品销售成本和前两年的每月产品销售成本进行比较； C：回归分析过去两年每月外部经济情况指数对销售的影响，并与销售预测报告进行比较； D：与同行业比较以前年度每月每一美元销售额与销售成本的比率。8