国际注册内部审计师考试(CIA)
内部审计师对信息安全的最终责任是:()A、确认要经检查的技术的特征(aspects)、风险、流程和事务处理。B、确定测试的范围和程度,以便实现业务目标。C、定期评估信息安全实务。D、记录业务程序。
题目
内部审计师对信息安全的最终责任是:()
- A、确认要经检查的技术的特征(aspects)、风险、流程和事务处理。
- B、确定测试的范围和程度,以便实现业务目标。
- C、定期评估信息安全实务。
- D、记录业务程序。
如果没有搜索结果,请直接 联系老师 获取答案。
如果没有搜索结果,请直接 联系老师 获取答案。
相似问题和答案
第1题:
以下哪项最恰当地描述了内部审计师审查组织现存风险管理、控制和治理程序的目的?
A.有助于确定实现审计业务目标所必需的工作性质、时间安排、测试范围
B.确保内部控制系统的弱点已被纠正
C.为这些程序能有效率和经济地实现组织的目的和目标提供合理保证
D.确定这些程序是否能保证会计记录是正确的和财务报表是公允的
B.确保内部控制系统的弱点已被纠正
C.为这些程序能有效率和经济地实现组织的目的和目标提供合理保证
D.确定这些程序是否能保证会计记录是正确的和财务报表是公允的
答案:C
解析:
第2题:
业务范围的确定应足以实现业务的目标。在制定业务目标时,内部审计师应该考虑:
A.重大的不合规性的可能性。
B.包括在业务工作方案中的信息。
C.业务程序的结果。
D.所需资源。
B.包括在业务工作方案中的信息。
C.业务程序的结果。
D.所需资源。
答案:A
解析:
A正确,根据标准2210.A2,内部审计师在制定业务目标时,应考虑到存在重大错误、不合规、违法及其它风险暴露的可能性。在咨询业务中,咨询业务目标应按与客户达成协议的范围关注风险、控制及治理过程(标准2210.C1)。B不正确,业务目标必须在书面业务工作方案的编写之前确定。C不正确,目标确定了要开展的审计程序。D不正确,内部审计师确定所需资源以实现业务目标。
第3题:
信息安全风险评估是信息安全保障体系过程中的重要的评价方法和决策机制,大致要经历准备、资产识别、威胁识别、已有安全措施的确认、风险识别、风险评估结果记录等几个流程。()
答案:正确
第4题:
内部审计部门在信息安全方面的关键职责是
A.确认要经检查的技术的特征、风险、流程和事务处理
B.确定测试的范围和程度,以便实现业务目标
C.定期评估信息安全实务
D.记录业务程序
B.确定测试的范围和程度,以便实现业务目标
C.定期评估信息安全实务
D.记录业务程序
答案:C
解析:
A.不正确,业务工作计划是计划过程的组成部分。它包括确认要经检查的技术的特征、风险、流程和事务处理,确定测试的范围和程度,以便实现业务目标,并记录业务程序。B.不正确,参照题解A。C.正确。根据《框架》,内部审计师应该定期评估组织的信息安全实务,在适当的情况下,建议加强或开展新的控制和安全防护措施,并根据评估结果向董事会、审计委员会或其他管制机构提交确认报告。这种评价是既定审计计划的组成部分,它既能以独立业务的形式开展,又能在综合其他审计或业务的多重业务中开展。D.不正确,参照题解A。
第5题:
某内部审计师被授命对企业的治理过程进行评估,根据《专业实务框架》,该内部审计师应该应用哪项标准:
A.风险、控制活动、战略和法律
B.规定、章程、法律和制度
C.价值观、目标、法律和制度
D.战略、政策、程序和业务操作
B.规定、章程、法律和制度
C.价值观、目标、法律和制度
D.战略、政策、程序和业务操作
答案:B
解析:
因为是对公司治理过程进行评估,需要考虑的是公司的治理是否存在不合理不合法的情况,而不是考虑是否存在价值观和风险的问题,所以选B。
第6题:
内部审计活动应通过确认和评价风险的重大不利影响,并促进风险管理和控制体系的改进来帮助组织。关于对风险管理流程充分性的评估,内部审计师应该最有可能:
A.认识到组织应该采用相似的技术来管理风险。
B.确认风险管理流程关键目标是否实现。
C.确定组织可接受的风险水平。
D.将对风险管理流程的评价以相同的方式用于计划业务时的风险分析。
B.确认风险管理流程关键目标是否实现。
C.确定组织可接受的风险水平。
D.将对风险管理流程的评价以相同的方式用于计划业务时的风险分析。
答案:B
解析:
A,不正确,风险管理流程随组织的业务活动的规模和复杂性而变化。B,正确,内部审计师应该有责任就组织的风险管理流程的充分性向董事会与管理层提供确认。这种责任要求他们对风险管理流程是否充分到足以保护组织的资产、声誉与持续的经营形成意见。为了上述目标,内部审计师必须确信组织的风险管理流程是否着眼于5个关键目标,即:(1)找出业务战略与活动领域的风险并进行优先排序;(2)管理层和董事会已经确定了组织可以接受的风险水平,包括为实现组织的战略计划而接受的风险;(3)设计并开展了风险减轻活动,将风险降低、管理在管理层和董事会可以接受的水平上;(4)开展持续的监督活动,定期对风险和控制的有效性进行再评估,以便管理风险;(5)董事会和管理层定期收到风险管理流程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况(实务公告2110-1)。C,不正确,管理层和董事会确定组织可接受的风险水平。D,不正确,评价管理层的风险过程要区别于内部审计师在计划业务时所采用的风险评估,但在做业务计划时所取得的综合性风险管理流程的信息是有用的。
第7题:
内部审计师应该为每项业务制订并记录一个计划。计划过程不应包括以下哪项?
A.确立业务目标和工作范围
B.获取有关被审计活动的背景信息
C.确认充分的信息以实现业务目标
D.确定如何、何时以及向谁沟通业务结果
B.获取有关被审计活动的背景信息
C.确认充分的信息以实现业务目标
D.确定如何、何时以及向谁沟通业务结果
答案:C
解析:
A.不正确,计划应包括确定业务目标和工作范围、获取有关被审计活动的背景信息以及确定如何、何时以及向谁沟通业务结果。B.不正确,参照题解A。C.正确。计划应包括确定业务目标和工作范围、获取有关被审计活动的背景信息、确定开展业务的必要资源,并将上述内容告知需要了解有关审计业务的管理层。计划还应包括在恰当时候为熟悉各项活动、风险和控制所开展的调查,确认业务的重点领域,并从业务客户处征求评论和建议。此外,计划要延伸到制订工作方案,确定如何、何时以及向谁沟通业务结果,并取得业务工作方案的批准。确认充分的信息以实现业务目标是在实地工作期间的工作,而不是计划阶段的工作。D.不正确,参照题解A。
第8题:
( )是在风险评估的基础上,分析各种信息安全事件发生时对业务功能可能产生的影响,进而确定应急响应的恢复目标。
A.风险评估
B.业务影响分析
C.制订应急响应策略
D.制定网络安全预警流程
B.业务影响分析
C.制订应急响应策略
D.制定网络安全预警流程
答案:B
解析:
业务影响分析是在风险评估的基础上,分析各种信息安全事件发生时对业务功能可能产生的影响,进而确定应急响应的恢复目标。
第9题:
在开展咨询业务之前,内部审计师应该与被审计单位就以下哪些内容达成谅解?Ⅰ.咨询业务目标;Ⅱ.内部审计师可以在多大程度上向高层管理人员和董事会披露咨询业务的结果;Ⅲ.客户与内部审计师各自的责任;Ⅳ.在确实咨询业务结束后开展确认业务的目标和范围时,应在多大程度上应用咨询业务的结果。
A.只有Ⅰ是对的。
B.只有Ⅳ是对的。
C.只有Ⅰ和Ⅲ是对的。
D.只有Ⅱ、Ⅲ和Ⅳ是对的。
B.只有Ⅳ是对的。
C.只有Ⅰ和Ⅲ是对的。
D.只有Ⅱ、Ⅲ和Ⅳ是对的。
答案:C
解析:
正确答案是C。根据IIA的《框架》的规定,内部审计师可以在多大程度上向高层管理人员和董事会披露咨询业务的结果不受被审计单位的限制。在确实咨询业务结束后开展保证业务的目标和范围时,应在多大程度上应用咨询业务的结果不用与被审计单位达成谅解。所以在开展咨询业务之前,内部审计师应该与被审计单位就咨询业务目标和客户与内部审计师各自的责任达成谅解。
第10题:
内部审计活动应通过确认和评价风险的重大不利影响,并促进风险管理和控制体系的改进来帮助组织。关于对风险管理流程充分性的评估,内部审计师应该最有可能:( )
A.认识到组织应该采用相似的技术来管理风险
B.确认风险管理流程的关键目标是否实现
C.确定组织可接受的风险水平
D.将对风险管理流程的评价以相同的方式用于计划业务时的风险分析
B.确认风险管理流程的关键目标是否实现
C.确定组织可接受的风险水平
D.将对风险管理流程的评价以相同的方式用于计划业务时的风险分析
答案:B
解析:
A不正确,风险管理流程随组织业务活动的规模和复杂性而变化。B正确。内部审计师应该有责任就组织的风险管理流程的充分性向董事会与管理层提供确认。这种责任要求他们对风险管理流程是否充分到足以保护组织的资产、声誉与持续的经营形成意见。为了上述目标,内部审计师必须确信组织的风险管理流程是否着眼于五个关键目标,即:(1)找出业务战略与活动领域的风险并进行优先排序;(2)管理层和董事会已经确定了组织可以接受的风险水平,包括为实现组织的战略计划而接受的风险;(3)设计并开展了风险减轻活动,将风险降低、管理在管理层和董事会可以接受的水平;(4)开展持续的监督活动,定期对风险和控制的有效性进行再评估,以便管理风险;(5)董事会和管理层定期收到风险管理流程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况。C不正确,管理层和董事会确定组织可接受的风险水平。D不正确,评价管理层的风险过程要区别于内部审计师在计划业务时所采用的风险评估,但在制订业务计划时所取得的综合性风险管理流程的信息是有用的。