2025年大學《內部審計-信息系統(tǒng)審計》考試備考題庫及答案解析單位所屬部門：________姓名：________考場號：________考生號：________一、選擇題1.信息系統(tǒng)內部審計計劃的首要任務是（）A.確定審計范圍和目標B.選擇審計方法C.分配審計資源D.編寫審計報告答案：A解析：制定信息系統(tǒng)內部審計計劃時，首先要明確審計的范圍和目標，這是后續(xù)所有審計工作的基礎和方向。只有明確了審計要達成的目的和覆蓋的領域，才能選擇合適的審計方法、合理分配審計資源，并在審計結束后編寫有針對性的審計報告。因此，確定審計范圍和目標是首要任務。2.在信息系統(tǒng)審計中，風險評估的主要目的是（）A.識別和評估信息系統(tǒng)的風險B.制定風險應對措施C.監(jiān)控風險變化D.審計風險應對措施的有效性答案：A解析：風險評估是信息系統(tǒng)審計流程中的關鍵環(huán)節(jié)，其主要目的是系統(tǒng)地識別與信息系統(tǒng)相關的風險，并評估這些風險對組織目標實現(xiàn)可能產生的影響。它是后續(xù)風險應對、控制措施設計和審計計劃制定的基礎。雖然制定應對措施、監(jiān)控風險變化和審計應對措施有效性也是審計工作的一部分，但風險評估是其中的首要目的。3.信息系統(tǒng)內部審計人員執(zhí)行測試時，獲取充分、適當?shù)膶徲嬜C據(jù)的主要目的是（）A.證明信息系統(tǒng)完全符合所有標準B.識別所有潛在的錯誤和舞弊C.形成審計意見D.支持審計結論答案：D解析：內部審計人員執(zhí)行測試、收集審計證據(jù)的核心目的是為了獲取充分、適當?shù)淖C據(jù)，以支持他們形成的審計結論。審計結論是基于對審計證據(jù)的分析和評估得出的，用于評價信息系統(tǒng)的控制有效性和風險狀況。雖然測試可能識別出一些錯誤和舞弊，目標并非識別所有，且審計意見是結論的體現(xiàn)，而不是證據(jù)的主要目的。4.在測試信息系統(tǒng)控制設計的有效性時，內部審計人員通常采用的方法是（）A.檢查系統(tǒng)日志B.執(zhí)行穿行測試C.重新執(zhí)行控制D.分析交易數(shù)據(jù)答案：B解析：測試控制設計的有效性，即評估控制是否按設計運行，最常用的方法是執(zhí)行穿行測試。穿行測試跟蹤一個業(yè)務流程從起點到終點的完整路徑，檢查流程中設計的控制是否被恰當?shù)厍度牒蛨?zhí)行。檢查系統(tǒng)日志、重新執(zhí)行控制和分析交易數(shù)據(jù)等方法更多地用于測試控制的運行效果或發(fā)現(xiàn)異常，而不是評估控制設計本身的有效性。5.以下哪項不屬于信息系統(tǒng)內部審計報告的主要內容？（）A.審計發(fā)現(xiàn)和評估B.審計建議C.審計計劃細節(jié)D.被審計單位的整改情況答案：C解析：信息系統(tǒng)內部審計報告通常包括審計范圍和目標、審計期間、審計發(fā)現(xiàn)及其評估、審計建議、被審計單位的初步整改承諾或情況、以及審計結論等。詳細的審計計劃細節(jié)一般不會包含在最終報告中，因為那是審計執(zhí)行前的內部文件。被審計單位的整改情況可能在后續(xù)的跟蹤審計或報告中反映，但最終報告中通常包含的是初步整改情況或承諾。6.信息系統(tǒng)內部審計過程中，與被審計單位溝通的主要目的是（）A.獲取被審計單位的配合B.確保審計結果的客觀性C.了解被審計單位的信息系統(tǒng)狀況D.分享審計發(fā)現(xiàn)和獲取反饋答案：D解析：在整個信息系統(tǒng)內部審計過程中，與被審計單位保持持續(xù)、有效的溝通至關重要。溝通的目的不僅僅是獲取配合、了解狀況或確?？陀^性，更主要的是及時分享審計發(fā)現(xiàn)，聽取被審計單位的解釋和反饋，確保雙方對審計事項的理解一致，并為后續(xù)的審計建議和報告奠定基礎。7.在評估信息系統(tǒng)訪問控制的有效性時，內部審計人員應關注的關鍵因素之一是（）A.用戶權限的分配是否符合最小權限原則B.用戶的操作日志是否完整C.系統(tǒng)的響應速度D.用戶界面的友好程度答案：A解析：評估信息系統(tǒng)訪問控制的有效性，核心在于確保只有授權用戶才能訪問授權資源。最小權限原則是訪問控制的關鍵設計要求，它規(guī)定用戶應僅被授予完成其職責所必需的最低權限。關注用戶權限分配是否符合此原則，是判斷訪問控制設計是否合理、運行是否有效的重要方面。操作日志完整性、系統(tǒng)響應速度和用戶界面友好程度雖然也是系統(tǒng)特性，但與訪問控制本身的有效性關聯(lián)性相對較小。8.以下哪項活動通常不屬于信息系統(tǒng)內部審計人員的職責范圍？（）A.評估信息系統(tǒng)的安全性B.評估信息系統(tǒng)的合規(guī)性C.優(yōu)化信息系統(tǒng)的設計D.評估信息系統(tǒng)的業(yè)務流程效率答案：C解析：信息系統(tǒng)內部審計人員的職責包括評估信息系統(tǒng)的安全性、合規(guī)性以及業(yè)務流程效率，以識別風險和提出改進建議。然而，優(yōu)化信息系統(tǒng)的設計通常屬于系統(tǒng)開發(fā)團隊、IT部門或業(yè)務流程改進團隊的專業(yè)職責。審計人員的角色是評估設計是否合理、控制是否有效、流程是否合規(guī)高效，而不是直接進行設計優(yōu)化。9.當內部審計機構資源有限時，確定審計優(yōu)先級的主要依據(jù)通常是（）A.審計人員的個人偏好B.風險評估結果C.被審計單位的請求D.審計費用的高低答案：B解析：在資源有限的情況下，為了確保審計資源能夠最有效地應對最重要的風險，內部審計機構通常會依據(jù)風險評估的結果來確定審計優(yōu)先級。高風險領域或對組織目標影響重大的領域應優(yōu)先進行審計。個人偏好、被審計單位的請求或審計費用雖然也是考慮因素，但風險評估結果應是確定優(yōu)先級的主要依據(jù)。10.信息系統(tǒng)內部審計結束后，跟蹤審計的主要目的是（）A.審查被審計單位的整改措施B.重新執(zhí)行審計測試C.編寫新的審計報告D.評估審計質量答案：A解析：內部審計結束后，進行跟蹤審計的主要目的是監(jiān)控和評估被審計單位針對審計發(fā)現(xiàn)的問題所制定的整改措施是否得到了有效執(zhí)行，以及整改效果如何。這是確保審計建議被采納、風險得到控制、審計價值得以實現(xiàn)的重要環(huán)節(jié)。重新執(zhí)行測試、編寫新報告或評估審計質量雖然可能與審計相關，但跟蹤審計的核心目的在于驗證和評估整改情況。11.信息系統(tǒng)內部審計計劃中，確定審計范圍應主要考慮（）A.被審計部門的意愿B.信息系統(tǒng)的重要性及風險水平C.審計資源的充足程度D.審計人員的偏好答案：B解析：確定信息系統(tǒng)內部審計范圍時，最關鍵的考慮因素是信息系統(tǒng)對組織的重要性以及其所面臨的風險水平。重要性高的系統(tǒng)或風險大的領域理應獲得更廣泛的審計覆蓋。被審計部門的意愿、審計資源的限制以及審計人員的偏好雖然需要在計劃制定過程中予以考慮，但不應是確定審計范圍的主要依據(jù)。12.在信息系統(tǒng)審計中，訪談被審計人員的主要目的是（）A.獲取系統(tǒng)操作日志B.驗證系統(tǒng)配置文件C.了解信息系統(tǒng)運行狀況和內部控制執(zhí)行情況D.評估系統(tǒng)開發(fā)人員的技能答案：C解析：訪談是信息系統(tǒng)審計中收集信息、了解情況的重要方法之一。通過與被審計人員（如系統(tǒng)管理員、業(yè)務操作員等）進行訪談，審計人員可以更深入地了解信息系統(tǒng)的實際運行狀況、業(yè)務流程、控制措施的執(zhí)行情況以及存在的問題，獲取訪談無法從文檔或系統(tǒng)中直接獲取的信息。13.以下哪種技術通常不用于測試信息系統(tǒng)數(shù)據(jù)訪問權限的合規(guī)性？（）A.抽樣檢查用戶權限清單B.執(zhí)行模擬用戶操作C.分析系統(tǒng)設計文檔D.檢查數(shù)據(jù)庫索引答案：D解析：測試信息系統(tǒng)數(shù)據(jù)訪問權限的合規(guī)性，通常涉及檢查用戶權限設置是否恰當（如抽樣檢查權限清單）、通過模擬用戶操作來驗證權限的實際訪問效果，以及查閱相關的設計文檔來了解權限的設計依據(jù)。檢查數(shù)據(jù)庫索引主要是為了評估數(shù)據(jù)庫性能和優(yōu)化查詢效率，與直接測試數(shù)據(jù)訪問權限的合規(guī)性關系不大。14.信息系統(tǒng)內部審計證據(jù)的適當性是指（）A.證據(jù)能夠證明審計結論B.證據(jù)來源可靠、性質適當C.證據(jù)具有時效性D.證據(jù)數(shù)量充足答案：B解析：審計證據(jù)的適當性是指證據(jù)本身是否具有足夠的質量，能夠支持審計人員得出結論。這包括證據(jù)的來源是否可靠（如來自可信的內部或外部來源）、證據(jù)的性質是否與審計目標相關（如是事實陳述、計算結果還是系統(tǒng)日志），以及證據(jù)是否能夠恰當反映被審計事項的真實情況。證據(jù)能夠證明結論、具有時效性和數(shù)量充足是評估證據(jù)充分性的方面。15.內部審計人員在對信息系統(tǒng)進行實質性測試時，選擇測試樣本應主要考慮（）A.樣本的隨機性B.樣本量的大小C.樣本項目具有代表性D.樣本獲取的便捷性答案：C解析：進行實質性測試時，選擇具有代表性的樣本項目至關重要。這意味著樣本應能夠反映總體特征，從而使得基于樣本得出的結論能夠合理地推斷到整個總體。雖然樣本的隨機性、樣本量的大小以及獲取的便捷性也是需要考慮的因素，但代表性是選擇樣本最核心的原則。16.在評估信息系統(tǒng)變更管理控制的有效性時，內部審計人員應關注（）A.變更請求的審批流程B.變更實施后的系統(tǒng)測試C.變更記錄的完整性D.以上所有答案：D解析：評估信息系統(tǒng)變更管理控制的有效性需要全面考慮變更流程的各個環(huán)節(jié)。這包括變更請求的提交、審批流程是否合規(guī)，變更實施前的測試是否充分，以及變更實施后的驗證和記錄是否完整。關注以上所有方面有助于全面評估變更控制的整體有效性。17.信息系統(tǒng)內部審計報告中的審計發(fā)現(xiàn)通常應包括（）A.審計期間B.審計事項C.審計發(fā)現(xiàn)的事實描述D.以上所有答案：D解析：一份清晰、完整的審計發(fā)現(xiàn)應至少包括審計期間（或具體時點）、被審計的審計事項，以及對該事項的具體發(fā)現(xiàn)，包括事實的描述。有時還會包括發(fā)現(xiàn)產生的原因和潛在的影響。因此，以上所有選項都是構成審計發(fā)現(xiàn)的關鍵要素。18.對于信息系統(tǒng)內部審計過程中發(fā)現(xiàn)的重大問題，審計人員首先應（）A.將問題直接通報給被審計單位管理層B.在審計報告中詳細描述問題C.內部討論并評估問題的嚴重性和性質D.立即停止審計工作答案：C解析：在信息系統(tǒng)內部審計過程中，當發(fā)現(xiàn)問題時，審計人員首先需要進行內部討論，以評估問題的嚴重性、性質及其潛在影響。這有助于審計團隊統(tǒng)一認識，判斷問題是否構成重大發(fā)現(xiàn)，并決定后續(xù)的處理方式，例如是否需要立即與被審計單位溝通、如何在審計報告中呈現(xiàn)等。直接通報、詳細描述或停止審計通常是評估后的后續(xù)步驟。19.以下哪項是信息系統(tǒng)內部審計質量保證的關鍵組成部分？（）A.定期進行內部審計人員的績效評估B.對內部審計工作底稿進行復核C.設立內部審計部門的獨立監(jiān)督機制D.審計費用預算的制定答案：B解析：確保內部審計質量的關鍵措施包括對審計工作底稿進行復核。工作底稿是審計過程和結論的記錄，對其進行復核可以檢查審計程序的執(zhí)行是否到位、證據(jù)是否充分適當、結論是否合理，是保證審計質量的重要環(huán)節(jié)。定期進行內部審計人員的績效評估、設立獨立的監(jiān)督機制以及審計費用預算的制定也都是審計管理的一部分，但與直接保證審計工作質量的技術性措施相比，復核工作底稿更為關鍵。20.信息系統(tǒng)內部審計計劃在審計過程中出現(xiàn)重大變化時，應（）A.立即通知被審計單位B.由審計項目負責人決定是否調整C.按照原計劃執(zhí)行D.記錄變化原因及影響答案：D解析：當信息系統(tǒng)內部審計計劃在執(zhí)行過程中出現(xiàn)重大變化時，審計人員應詳細記錄導致變化的原因，并評估這些變化對審計目標、范圍、時間和資源可能產生的影響。這種記錄是審計工作底稿的重要組成部分，有助于確保審計的透明度和可追溯性。雖然通知被審計單位、由項目負責人決定或按原計劃執(zhí)行可能是后續(xù)的步驟或考慮因素，但記錄變化本身及其影響是應對計劃變更的基本要求。二、多選題1.信息系統(tǒng)內部審計計劃應包括哪些主要內容？（）A.審計目標B.審計范圍C.審計資源分配D.審計時間表E.審計證據(jù)收集方法答案：ABCD解析：一份完整的信息系統(tǒng)內部審計計劃應明確審計的目標，界定審計的范圍，規(guī)劃所需投入的審計資源及其分配，并制定詳細的審計時間表，包括各個階段的起止時間。審計證據(jù)收集方法通常在計劃中會初步提及或根據(jù)具體審計程序確定，但計劃的主體內容通常不包括詳細的方法列表，這會在審計程序階段進一步細化。因此，ABCD是計劃的核心要素。2.評估信息系統(tǒng)控制設計的有效性時，內部審計人員可能采用哪些方法？（）A.文件審閱B.流程描述C.穿行測試D.重新執(zhí)行控制E.詢問被審計人員答案：ABCE解析：在評估信息系統(tǒng)控制設計的有效性時，內部審計人員會審閱相關的設計文檔和文件（A），分析業(yè)務流程描述（B），通過穿行測試來了解控制是如何被嵌入流程并被設計的意圖（C），以及向被審計人員詢問以獲取對控制設計的理解（E）。重新執(zhí)行控制（D）通常用于測試控制運行的有效性，而不是評估設計的有效性。3.以下哪些是信息系統(tǒng)內部審計證據(jù)的來源？（）A.系統(tǒng)日志B.電子郵件C.審計工作底稿D.交易文件E.訪談記錄答案：ABDE解析：信息系統(tǒng)內部審計證據(jù)可以來源于信息系統(tǒng)的各種輸出，如系統(tǒng)日志（A）、電子郵件（B）、交易文件（D）等。訪談記錄（E）雖然不是系統(tǒng)直接產生的，但訪談中獲得的信息是重要的審計證據(jù)。審計工作底稿（C）是審計人員記錄其工作和發(fā)現(xiàn)的地方，是審計證據(jù)的載體，而不是證據(jù)的來源本身。4.內部審計人員執(zhí)行實質性分析程序時，通常需要（）A.定義預期值B.識別異常波動C.獲取足夠的審計證據(jù)支持結論D.依賴復雜的數(shù)據(jù)分析工具E.評估預期值與實際值差異的原因答案：ABCE解析：執(zhí)行實質性分析程序時，審計人員需要先定義基于數(shù)據(jù)或標準的預期值（A），然后比較實際值與預期值，識別異常波動或差異（B），并嘗試評估這些差異產生的原因（E）。這個過程需要獲取足夠的證據(jù)來支持分析結論（C）。雖然可能使用數(shù)據(jù)分析工具（D），但這并非執(zhí)行程序的必需條件，審計人員也可以手動進行計算和比較。5.信息系統(tǒng)內部審計報告通常應包含哪些部分？（）A.審計概況B.審計發(fā)現(xiàn)與評估C.審計建議D.被審計單位的整改承諾E.審計結論答案：ABCDE解析：一份完整的內部審計報告通常包括審計概況（介紹審計背景、范圍、目標和方法等），詳細描述審計發(fā)現(xiàn)及其評估，提出具體的審計建議，記錄被審計單位的整改承諾或初步情況，并最終形成審計結論。這些部分共同構成了報告的核心內容。6.信息系統(tǒng)內部審計過程中，風險評估的主要活動包括（）A.識別與信息系統(tǒng)相關的風險B.分析風險發(fā)生的可能性和影響程度C.評估風險控制措施的有效性D.排序風險優(yōu)先級E.制定風險應對策略答案：ABD解析：風險評估的主要活動包括識別出可能影響組織目標實現(xiàn)的潛在風險（A），分析這些風險發(fā)生的可能性以及一旦發(fā)生可能帶來的影響程度（B），并根據(jù)風險的可能性和影響對風險進行排序以確定優(yōu)先級（D）。評估風險控制措施的有效性（C）通常屬于后續(xù)的控制測試環(huán)節(jié)。制定風險應對策略（E）則是在風險評估和優(yōu)先級排序之后，針對重要風險制定的行動方案。7.測試信息系統(tǒng)訪問控制時，內部審計人員可能執(zhí)行哪些測試？（）A.檢查用戶權限矩陣B.執(zhí)行模擬用戶登錄C.抽樣檢查用戶訪問日志D.驗證權限分配是否符合最小權限原則E.檢查密碼策略的復雜性要求答案：ABCD解析：測試信息系統(tǒng)訪問控制的有效性，審計人員會檢查用戶權限設置（如權限矩陣A），通過模擬用戶登錄嘗試訪問不同資源（B），檢查系統(tǒng)記錄的用戶訪問日志以驗證實際訪問情況（C），并評估權限分配是否遵循了最小權限原則（D）。檢查密碼策略的復雜性要求（E）雖然與安全相關，但更側重于認證環(huán)節(jié)，而非訪問控制本身（即誰可以訪問什么資源）。8.以下哪些屬于信息系統(tǒng)內部審計的質量保證措施？（）A.審計計劃的審批B.審計工作底稿的復核C.審計報告的簽發(fā)D.內部審計人員的持續(xù)培訓E.對審計發(fā)現(xiàn)問題的跟蹤答案：ABDE解析：確保信息系統(tǒng)內部審計質量的質量保證措施包括對審計計劃進行審批（A），對審計工作底稿進行復核以驗證審計程序的執(zhí)行和質量（B），以及提供持續(xù)的審計人員培訓（D），提升其專業(yè)勝任能力。對審計發(fā)現(xiàn)問題的跟蹤（E）是確保審計價值實現(xiàn)和持續(xù)改進的重要環(huán)節(jié)，也屬于質量保證的范疇。審計報告的簽發(fā)（C）是審計流程的最終步驟，其本身是審計結論的體現(xiàn)，而非質量保證措施。9.在信息系統(tǒng)內部審計中，穿行測試的主要目的在于（）A.了解業(yè)務流程的完整步驟B.識別流程中的關鍵控制點C.評估控制設計的有效性D.驗證控制運行的符合性E.評估流程的效率答案：AB解析：穿行測試的主要目的是跟蹤一個業(yè)務流程從開始到結束的完整路徑，以了解流程的實際運作方式（A），并在這個過程中識別出流程中的關鍵控制點（B）。通過了解流程和控制，審計人員可以更好地評估控制設計和運行的有效性（C和D），有時也能評估流程效率（E），但穿行測試本身的核心目標是理解和映射流程及其控制。10.當信息系統(tǒng)內部審計資源有限時，確定審計優(yōu)先級可以考慮哪些因素？（）A.風險的嚴重程度B.風險發(fā)生的可能性C.信息系統(tǒng)對組織目標的重要性D.審計資源（時間、人員等）的限制E.被審計單位的請求答案：ABCD解析：在資源有限的情況下確定審計優(yōu)先級，應優(yōu)先考慮那些對組織目標影響最大或風險最高的領域。這通?；陲L險的嚴重程度（A）、風險發(fā)生的可能性（B）以及信息系統(tǒng)對組織目標的重要性（C）來評估。同時，必須考慮可用的審計資源（D）對審計范圍和深度的影響。被審計單位的請求（E）可以作為考慮因素之一，但不應是決定性因素，優(yōu)先級主要應基于風險和重要性。11.信息系統(tǒng)內部審計過程中，識別風險的主要方法包括哪些？（）A.詢問被審計人員B.分析組織結構C.檢查系統(tǒng)文檔D.評估行業(yè)風險E.分析歷史審計發(fā)現(xiàn)答案：ABCDE解析：在信息系統(tǒng)內部審計中識別風險需要采用多種方法以獲得全面的認識。詢問被審計人員（A）可以獲取他們對系統(tǒng)風險的理解。分析組織結構（B）有助于理解系統(tǒng)所支持的業(yè)務及其潛在風險點。檢查系統(tǒng)文檔（C）可以了解系統(tǒng)的設計、功能和控制。評估來自外部來源的行業(yè)風險（D）有助于識別普遍存在的威脅。分析歷史審計發(fā)現(xiàn)（E）可以了解過去識別出的風險及其演變情況。綜合運用這些方法有助于全面識別信息系統(tǒng)面臨的風險。12.以下哪些活動屬于信息系統(tǒng)內部審計的初步工作階段？（）A.確定審計范圍和目標B.訪談關鍵知情人C.收集和分析審計證據(jù)D.編寫審計發(fā)現(xiàn)報告E.評估審計風險答案：ABE解析：信息系統(tǒng)內部審計的初步工作階段主要涉及計劃和控制。這包括確定審計的范圍和目標（A），初步評估審計風險（E），以確定審計重點和資源需求。訪談關鍵知情人（B）通常也在這一階段進行，以更好地理解審計環(huán)境和風險領域。收集和分析審計證據(jù)（C）是審計執(zhí)行階段的核心工作。編寫審計發(fā)現(xiàn)報告（D）是審計完成階段的產出。13.測試信息系統(tǒng)數(shù)據(jù)完整性控制時，內部審計人員可能執(zhí)行哪些測試？（）A.檢查數(shù)據(jù)輸入驗證邏輯B.執(zhí)行數(shù)據(jù)匹配測試C.分析數(shù)據(jù)異常值D.驗證數(shù)據(jù)備份和恢復流程E.檢查數(shù)據(jù)歸檔策略答案：ABC解析：測試信息系統(tǒng)數(shù)據(jù)完整性控制，審計人員會關注數(shù)據(jù)在生命周期內的準確性和未被篡改。這包括檢查數(shù)據(jù)輸入時的驗證邏輯（A），確保只有符合要求的數(shù)據(jù)才能被錄入系統(tǒng)。執(zhí)行數(shù)據(jù)匹配測試（B）可以驗證相關數(shù)據(jù)集之間的一致性。分析數(shù)據(jù)異常值（C）有助于發(fā)現(xiàn)可能表示錯誤或不完整性的數(shù)據(jù)點。驗證數(shù)據(jù)備份和恢復流程（D）主要測試數(shù)據(jù)的可用性和災難恢復能力，屬于可用性范疇。檢查數(shù)據(jù)歸檔策略（E）則與數(shù)據(jù)保留和銷毀相關。14.信息系統(tǒng)內部審計報告中的審計建議應具備哪些特點？（）A.具有可操作性B.針對審計發(fā)現(xiàn)的問題C.清晰、具體D.考慮被審計單位的資源限制E.數(shù)量越多越好答案：ABCD解析：有效的信息系統(tǒng)內部審計建議應直接回應審計發(fā)現(xiàn)的問題（B），措辭清晰、具體，便于被審計單位理解和執(zhí)行（C），并且應具有實際的可操作性，能夠在被審計單位的資源限制（D）內實施。審計建議的數(shù)量并非越多越好，關鍵在于建議的質量和針對性。因此，ABCD是有效審計建議應具備的特點。15.以下哪些因素會影響信息系統(tǒng)內部審計證據(jù)的適當性？（）A.證據(jù)的來源可靠性B.證據(jù)的相關性C.證據(jù)的獲取方式D.證據(jù)的數(shù)量多少E.證據(jù)的客觀性答案：ABCE解析：審計證據(jù)的適當性是指證據(jù)本身的質量，是否足以支持審計結論。這主要取決于證據(jù)的可靠性（A，如來自獨立第三方或可靠系統(tǒng)記錄）、相關性（B，是否與審計目標或發(fā)現(xiàn)直接相關）、客觀性（E，是否受到偏見或不完整信息的扭曲），以及獲取證據(jù)的方式是否符合標準程序。證據(jù)的數(shù)量多少（D）影響證據(jù)的充分性，而不是適當性。獲取方式（C）是獲取證據(jù)的過程，其合規(guī)性影響證據(jù)的可靠性。16.在評估信息系統(tǒng)變更管理控制時，內部審計人員應關注哪些方面？（）A.變更請求的提交和記錄B.變更審批流程的適當性C.變更實施前的測試和驗證D.變更實施后的系統(tǒng)確認E.變更配置管理答案：ABCDE解析：評估信息系統(tǒng)變更管理控制的有效性需要一個全面的視角。審計人員應關注變更請求是如何提交和記錄的（A），審批流程是否恰當、是否有適當?shù)募墑e審批（B），變更在實際實施前是否經過了充分的測試和驗證（C），變更實施后系統(tǒng)是否按預期運行并進行了確認（D），以及變更后的配置是否得到了有效管理（E）。這些方面共同構成了變更管理控制的關鍵環(huán)節(jié)。17.信息系統(tǒng)內部審計計劃中，確定審計方法時應考慮哪些因素？（）A.審計目標和范圍B.可獲取的審計資源C.風險評估結果D.被審計單位的特點和配合程度E.審計人員的專業(yè)勝任能力答案：ABCDE解析：確定信息系統(tǒng)內部審計方法是一個需要綜合考慮多種因素的決策過程。審計目標（A）和范圍（A）決定了需要達成的目的和覆蓋的領域，直接影響方法的選擇。風險評估（C）結果指導審計資源向高風險領域傾斜，選擇更具針對性的方法。被審計單位的系統(tǒng)環(huán)境、特點（D）以及其預期的配合程度，也會影響方法的適用性?？捎玫膶徲嬞Y源（B），包括時間、人員和工具，限制了方法的復雜性。審計人員的專業(yè)勝任能力（E）決定了他們能夠有效執(zhí)行哪些方法。因此，所有這些因素都應在確定審計方法時予以考慮。18.以下哪些屬于信息系統(tǒng)內部審計過程中常見的溝通對象？（）A.審計項目負責人B.被審計單位管理層C.審計委員會D.內部審計部門負責人E.系統(tǒng)開發(fā)人員答案：ABCDE解析：在信息系統(tǒng)內部審計過程中，審計人員需要與多個對象進行溝通。這包括審計團隊內部的溝通（如與審計項目負責人D、審計委員會C溝通），與被審計單位層面的溝通（如管理層B、業(yè)務部門負責人），以及與信息系統(tǒng)相關的具體人員（如系統(tǒng)開發(fā)人員E、IT管理員等）。有效的溝通是確保審計順利進行、發(fā)現(xiàn)得到確認、建議得到采納的關鍵。19.評估信息系統(tǒng)數(shù)據(jù)訪問權限控制的有效性時，內部審計人員可能執(zhí)行哪些測試？（）A.抽樣檢查用戶權限列表B.執(zhí)行“提升權限”測試C.分析用戶訪問日志D.驗證最小權限原則的遵循情況E.檢查口令復雜度設置答案：ABCD解析：測試信息系統(tǒng)數(shù)據(jù)訪問權限控制的有效性，審計人員會檢查權限設置（如抽樣檢查用戶權限列表A），測試權限的濫用可能性（如執(zhí)行“提升權限”測試B），監(jiān)控實際訪問行為（如分析用戶訪問日志C），并評估權限分配是否遵循了最小權限原則（D）。檢查口令復雜度設置（E）主要與身份認證安全相關，而非直接測試對特定數(shù)據(jù)的訪問權限控制。20.信息系統(tǒng)內部審計質量保證的主要內容包括哪些方面？（）A.審計計劃的審批B.審計現(xiàn)場的監(jiān)督C.審計工作底稿的復核D.審計人員的持續(xù)培訓和能力評估E.審計報告的簽發(fā)流程答案：ABCD解析：信息系統(tǒng)內部審計質量保證是一個持續(xù)的過程，旨在確保審計工作符合標準、獨立和客觀。其主要內容包括對審計計劃的審批（A），對審計現(xiàn)場執(zhí)行過程的監(jiān)督（B），對審計工作底稿（C）進行復核以驗證其充分性和適當性，以及對審計人員進行持續(xù)的培訓和能力評估（D），以保持其專業(yè)勝任力。審計報告的簽發(fā)流程（E）是審計程序的一部分，確保簽發(fā)過程的合規(guī)性是質量保證的體現(xiàn)，但不如前四項直接關乎審計工作本身的質量。三、判斷題1.信息系統(tǒng)內部審計計劃一旦確定，就不能再發(fā)生任何變化。（）答案：錯誤解析：信息系統(tǒng)內部審計計劃雖然應在執(zhí)行前制定得盡可能詳細，但在審計過程中，由于環(huán)境變化、新風險的出現(xiàn)或其他不可預見因素，計劃可能需要進行調整。審計項目負責人應具備評估變化影響并決定是否調整計劃的能力，以確保審計能夠有效達成目標。因此，計劃并非一成不變。2.評估信息系統(tǒng)控制設計的有效性，意味著要測試該控制是否在實際運行中有效阻止了風險事件。（）答案：錯誤解析：評估信息系統(tǒng)控制設計的有效性，主要關注的是控制是否按照設計意圖被正確地嵌入到業(yè)務流程中，以及控制的基本邏輯和要素是否合理。這更側重于“紙面上”的設計審核。測試控制是否在實際運行中有效阻止了風險事件，則屬于評估控制運行有效性的范疇。3.內部審計發(fā)現(xiàn)的重大問題，應立即向被審計單位最高管理層報告，無需經過審計項目負責人批準。（）答案：錯誤解析：內部審計發(fā)現(xiàn)的重大問題，雖然最終可能需要向被審計單位最高管理層報告，但通常情況下，審計項目負責人對審計發(fā)現(xiàn)進行初步評估，并決定報告的層級和方式。直接越級向最高管理層報告重大問題可能破壞審計的獨立性和既定程序，除非有特殊情況或審計章程有明確規(guī)定。4.任何來源的證據(jù)，只要數(shù)量足夠多，都可以作為內部審計結論的可靠依據(jù)。（）答案：錯誤解析：內部審計證據(jù)的可靠性是其有效性的基礎。并非所有證據(jù)都具有同等的可靠性。證據(jù)的可靠性取決于其來源、獲取方式以及是否受到偏見的影響。僅僅數(shù)量多并不等同于證據(jù)質量高或可靠，審計人員需要評估證據(jù)的適當性（相關性、可靠性）和充分性（數(shù)量和細節(jié)）。5.穿行測試主要用于評估信息系統(tǒng)控制運行的有效性，而不是了解業(yè)務流程。（）答案：錯誤解析：穿行測試的核心目的是沿著一個業(yè)務流程的完整路徑進行跟蹤，其首要目標是理解該流程的實際運作方式，包括涉及的活動、文檔、系統(tǒng)和控制點。通過了解流程，審計人員才能評估嵌入其中的控制設計是否合理以及運行是否有效。因此，穿行測試對于了解業(yè)務流程至關重要。6.內部審計報告應客觀反映審計發(fā)現(xiàn)，被審計單位可以對報告中的審計發(fā)現(xiàn)提出異議，但不能修改報告內容。（）答案：錯誤解析：內部審計報告確實應客觀反映審計發(fā)現(xiàn)。被審計單位有權對報告中的審計發(fā)現(xiàn)、評估和建議提出異議或解釋。審計機構與被審計單位就報告內容進行溝通是必要的程序。如果溝通后雙方對報告內容仍有分歧，可以根據(jù)內部審計章程或相關規(guī)定，決定是否調整報告內容或如何處理分歧，而不是簡單地禁止被審計單位提出異議。7.信息系統(tǒng)內部審計的質量保證主要依靠外部機構的定期檢查。（）答案：錯誤解析：信息系統(tǒng)內部審計的質量保證主要依靠內部審計部門自身的機制和程序，例如制定和遵循審計標準、進行審計計劃的審批、審計工作底稿的復核、審計人員的培訓和評估等。外部機構的定期檢查可能作為補充，但不是質量保證的主要依靠。8.審計建議不需要考慮被審計單位的實際情況，只需關注審計發(fā)現(xiàn)本身。（）答案：錯誤解析：有效的審計建議必須具有可操作性，這意味著建議需要切實可行，考慮到被審計單位的業(yè)務環(huán)境、資源限制、管理層的意愿和可行性等