单选题

当评估由某IT组织的CRO(首席风险官)完成的控制自我评估(CSA)时,审计师最应该关注以下哪一个选项:()

ACRO直接向CIO(首席信息官)报告

B某些IT经理指出CSA培训是不能满足要求

CCRO直接向董事会报告

DCSA流程最近刚刚被组织采用

正确答案

来源:www.examk.com

答案解析

如果CRO向CIO汇报,就会存在CRO的客观性的风险。理想情况下,CRO应该向董事会或者CEO汇报。尽管涉及CSA(控制自我评价)的每个人都应该接受合适的培训,但更为重要的是负责人员是否完全客观。尽管对组织而言,开发相应的CSA的专业技能需要花费时间,并且刚刚被评准的CSA流程需要更严格的监督,但更重要的是负责人员是否完全客观。审计师将审查评估结果,以确保所有重大风险都被确认。审计师要弄清楚CSA是否依照正确的组织程序(比如:规划、实施和监控)。点评:CRO向董事会而不是CIO进行报告。
相似试题
  • 评估IT风险的最佳途径是?()

    单选题查看答案

  • 评估IT风险的最佳办法是()。

    单选题查看答案

  • 评估IT风险被很好的达到,可以通过()。

    单选题查看答案

  • 一个信息系统审计师发现组织的首席官(CIO)正在使用一个基于全球移动通信(GSM)技术的无线宽带调制解调器,该调试解调器在首席信息官旅行中不在办公室时用来连接CIO的笔记本电脑到公司的虚拟专用网络(VPN)。信息系统审计师应:()

    单选题查看答案

  • 下列哪一项是首席安全官的正常职责?()

    单选题查看答案

  • 当评估IT服务交付时,下面哪一项是其中最重要的()。

    单选题查看答案

  • IT安全风险进行评估时,审计师要求IT安全人员参与跟用户和业务单位的代表进行风险识别的研讨会。审计师要取得成果和避免今后的冲突,什么是最重要的建议?()

    单选题查看答案

  • IT审计师在评估组织的软件开发过程中注意到,质量保证部门向项目管理层进行汇报。以下哪项是IT审计师觉得最重要的()。

    单选题查看答案

  • 一家大型银行实施IT审计的过程中,IS审计师发现许多业务应用没有执行正规的风险评估,也没有确定其重要性和恢复时间上的要求。那么,这些暴露的银行风险是()。

    单选题查看答案