自我评估问题参考答案

1.A.审计范围特定于一次审计，不授予执行审计的权力。

B.来自管理层的要求对于执行审计是不够的，因为这与具体审计有关。

C.经批准的审计章程概述了审计师的责任、权限和义务。

D.经批准的审计日程计划安排不授予执行审计的权力。

2.A.控制自我评估的目标是使企业管理人员更加了解内部控制的重要性以及他们在公司治理方面的责任。

B.减少审计费用不是CSA的主要优点。

C.尽管改进欺诈检测很重要，但其重要性不及控制所有权。它不是CSA的首要目标。

D.CSA可以丰富内部审计师的见解，使他们发挥更大的咨询作用；但这是一个额外的优点，而不是主要优点。

3.A.基于风险的审计方法侧重于对业务性质的认识，能够识别和划分风险。业务风险会影响特定业务的长期存续能力。因此，如果信息系统审计师要使用基于风险的审计方法，就必须能够了解业务流程。

B.尽管管理控制是控制的重要组成部分，但其并非在审计范围内了解业务流程的主要关注点。

C.与管理控制一样，环境控制是重要的控制组成部分；但其并不针对受审查的全局性高级业务流程。

D.业务战略是业务流程的驱动力；但在本例中，信息系统审计师关注的是为支持组织实施其战略而制定的业务流程。

4.A.控制风险是指存在无法通过内部控制系统及时阻止或检测到的实质性错误的风险。

B.检测风险是指审计和鉴证专业人员经过实质性测试仍未发现管理层认定中的重大误报的风险。其由两部分组成：抽样风险和非抽样风险。

C.固有风险是不考虑管理层已经或可能采取的措施而评估的风险水平或风险暴露。

D.抽样风险是指对抽样的总体的特性做出错误假设的风险。非抽样风险是指与抽样无关的检测风险；其可由多种原因引起，包括人为错误。

5.A.信息系统审计师不应只因控制弱点不在当前审查范围内便将其忽视。

B.执行详细的系统软件审查可能会妨碍审计的日程计划安排，信息系统审计师在审计时可能不具备执行此类审查的能力。

C.如果信息系统审计师发现控制弱点，则应予以披露。通过发布免责声明，可以免除此责任。

D.适当的做法是审查相关的系统软件，并建议进行详细的系统软件审查，为此可能需要建议额外资源。

6.A.可用审计资源的部署由审计任务决定，并受规划流程影响。

B.更改企业的风险环境、技术和业务流程，可能对推动审计规划的短期和长期问题造成严重影响。

C.审计章程反映的是高级管理层对审计职能的要求，存在于更抽象的层面。

D.信息系统审计标准、准则和程序适用于所有审计业务，不受短期和长期问题的影响。

7.A.控制自我评估的目标是使企业管理人员更加了解内部控制的重要性以及他们在公司治理方面的责任。

B.减少审计费用不是CSA的主要优点。

C.尽管改进欺诈检测很重要，但其重要性不及控制所有权。它不是CSA的首要目标。

D.CSA可以丰富内部审计师的见解，使他们发挥更大的咨询作用；但这是一个额外的优点，而不是主要优点。

8.A.审计师可以对之前审计的发现有兴趣，但这不是最关键的步骤。最关键的步骤涉及发现当前问题或高风险领域，而不是审查以往问题的解决方法。对历史审计发现进行审查可能暴露出管理层未解决已识别的风险，或建议无效。

B.执行管理层不必批准审计计划。它通常由审计委员会或董事会批准。管理层可以建议需要审计的领域。

C.审查信息安全政策和程序一般是在现场工作期间，而不是在规划中进行。

D.上述所有步骤中，执行风险评估最为关键。ISACA信息系统审计和鉴证标准1201（规划中的风险评估），主张1201.2中要求进行风险评估：“IT审计和鉴证从业者在规划单个业务时应识别并评估与所审查领域相关的风险。”除了有标准要求之外，如果没有执行风险评估，则可能无法发现受审方系统或操作中的高风险领域，从而无法实现评估目的。

9.A.审计规划要求采用基于风险的方法。

B.重要性与规划具体业务时的潜在控制弱点或缺失有关，还与此类控制弱点或缺失是否会导致重大缺陷或重大漏洞有关。

C.欺诈监控与识别欺诈相关交易和模式有关，并且只在关乎组织风险时才在审计规划中发挥作用。

D.审计证据的充分性与评估所获得的证据的充分性有关，以支持结论并实现具体的业务目标。

10.A.预防性控制是指在问题发生之前就进行预防的控制。备份介质无法用于预防文件损坏，因此不能将其归类为预防性控制。

B.管理控制可以修改处理系统，从而尽量减少问题的重复发生。备份介质不会修改处理系统，因此不符合管理控制的定义。

C.改正性控制可以帮助纠正问题或将其影响降至最低。备份介质可在文件损坏时用来恢复文件，从而减小损毁带来的影响。

D.检测性控制可以帮助检测和报告所发生的问题。备份介质无法帮助检测错误。