《CISA 2010南审培训习题精解》是南京审计学院CISA培训中心为准备CISA(Certified Information Systems Auditor,注册信息系统审计师)考试的学员准备的一套详细习题集,旨在帮助学员掌握并深化信息系统审计领域的核心知识与技能。此习题集由李庭燎教授编辑,内容涵盖了多个章节,每个章节均围绕关键知识点展开,通过精心设计的题目来检验学习者对理论的理解与应用能力。
### 知识点一:审计证据的可靠性
在第一章中,习题提出了一道关于审计证据可靠性的选择题。题目询问在四种不同形式的审计证据中,哪一种被视为最可靠。选项包括口头声明、审计人员测试结果、内部产生的计算机财务报告以及外界收到的确认来信。正确答案是外界收到的确认来信,因为这类证据通常不受被审计单位的控制,且具有第三方验证的特点,因此被认为是可靠性最高的。
### 知识点二:抽样效果
第二题探讨了当程序发生变化时,从哪个总体抽样效果最佳。这里涉及的是抽样技术在软件审计中的应用,选项包括测试库清单、源代码清单、程序变更要求和产品库清单。最佳选择是程序变更要求,因为它直接反映了程序变化的历史记录,有助于审计人员了解程序变更的具体情况及其合规性。
### 知识点三:服务水平控制过程
第三题聚焦于IT服务水平的控制过程,询问审计人员最可能采访的对象。选项包括系统程序员、法律人员、业务部门经理和应用程序员。业务部门经理通常是最合适的访谈对象,因为他们对服务需求和服务水平协议有深入理解,能够提供关于服务水平控制过程的有效信息。
### 知识点四:符合性测试的抽样方法
第四题探讨了进行符合性测试时最有效的抽样方法。选项包括属性抽样、变量抽样、平均单位分层抽样和差别估算。属性抽样是最有效的方法,因为它直接关注控制的存在性和运作情况,适用于判断控制是否按预期执行。
### 知识点五:控制的整体效果评估
第五题要求理解如何评估预防控制、检察控制和纠正控制的整体效果。正确答案是理解数据流通过系统时作用的控制点,这有助于审计人员全面评估控制体系的有效性,并识别任何可能的控制漏洞。
### 知识点六:审计轨迹
第六题关注审计轨迹的主要目的。选项中趋势/变化检测工具被认为是最适合用于分析审计轨迹的工具,因为它可以帮助审计人员识别出用户或系统行为的异常模式,从而发现潜在的风险或违规行为。
### 知识点七:系统设计阶段的审计人员作用
第七题探讨了在系统设计阶段审计人员的作用。正确的回答是确保在开始设计时就包括所有必要的控制,这表明审计人员在系统开发早期就应参与其中,以确保设计符合安全和控制标准。
### 知识点八:控制自我评估(CSA)计划的目标
第八题询问了控制自我评估(CSA)计划的目标。选项中关注高风险领域被视为CSA的主要目标之一,这强调了CSA作为风险管理工具的重要性。
### 知识点九:信息安全管理的基准方法
第九题讨论了风险评估在信息安全管理中的作用。正确答案是对于信息资产进行合理水平的保护,这表明风险评估有助于确定适当的保护措施,避免过度或不足的资源分配。
### 知识点十:审计轨迹的目的
第十题询问审计轨迹的主要目的。确定交易过程的责任和权利是审计轨迹的关键功能之一,它有助于在发生争议或问题时追溯责任。
### 知识点十一至十六:综合审计技能
从第十一题到第十六题,涵盖了基于风险的审计方法、控制自我评估(CSA)技术的应用、在线审计技术的选择、源代码与目标代码一致性检查、连续监控系统的实施策略以及审计计划的制定等多个方面,这些题目旨在全面考察审计人员的综合技能和专业知识。
通过以上分析,我们可以看出,《CISA 2010南审培训习题精解》不仅提供了丰富的实践案例,还深入讲解了信息系统审计的核心概念和技术,是CISA备考的重要参考资料。
