信息系统审计师正在评估管理层对信息系统的风险评估工作。审计师应该首先检查：（）

在评估不同的信息系统相关的风险时，一个主要的因素是需要考虑受影响资产的所有威胁和脆弱性。信息资产的相关风险应该独立于已经实施的控制而被全面评估。类似的，考虑控制措施的有效性是应该在风险转移阶段实施而不是应该在风险评估工作阶段。对资产风险的持续监控机制应该在风险评估后的风险监控阶段中进行。点评：风险评估方法：资产识别—威胁脆弱性—现有控制—风险。