单选题

一个IS审计师正为一个老客户制定审计计划。该审计师检查了一上午的审计计划,并发现之前的被用来检查该该公司网络和电子邮件系统是上一年新使用的,但是该计划并没有包括对电子商务web服务器的检查。公司的IT经理暗示今年该公司偏向集中审计新应用的企业资源计划(ERP)系统,该IS审计系统应当如何反应?()

A如IT经理所请求的,审计新ERP应用

B审计电子商务服务器,因为它去年没有被审计

C确定风险最高的系统,并基于该结果制定审计计划

D既审计电子商务服务器也审计ERP应用

正确答案

来源:www.examk.com

答案解析

最好的行动方案是进行一项风险评估,并修订审计计划以涵盖高风险的领域,ISACA审计标准S11(在审计计划中应用风险评估),子标准S03规定:“在制定整体IS审计计划以及为有效分配IS审计资源而确定优先级时,IS审计师应该采用适当的风险评估技术或方法”。审计师不能依赖上一年的审计计划因为它可能没有被设计来反应基于风险的方法(最新的系统并不一定是具有最高风险的系统)。审计师的ERP应该没有反应基于风险的方法因此不是正确答案。尽管ERP系统典型的包含敏感数据并可能出现数据丢失或泄漏的风险,没有风险评估,则审计ERP系统的决定即不急于风险的决定。由于其前一年没有被审计而审计电子商务服务器没有反应基于风险的方法,因此不是正确答案。另外IT经理可能清楚电子商务服务器的问题并可能故意试图将审计员从更脆弱的领域引开。尽管尽管乍一看电子商务服务器可能是风险最高的领域,也必须进行风险评估而不能依赖于审计师或IT经理的判断。审计电子商务服务器又审计ERP应用并没反应基于风险的方法,因此这并不是正确答案。点评:基于风险来确定审计的目标和范围。
相似试题
  • IS审计师计划审计一个通过个人计算机使用局域网的客户信息系统与使用大型机相比,使用局域网和个人计算机所增加的风险,不包括哪一项()。

    单选题查看答案

  • 对于一个灾难恢复计划,一个IS审计师的任务应包括?()

    单选题查看答案

  • IS审计师审计业务连续性计划(BCP)以下哪一个发现最重要?()

    单选题查看答案

  • 一个IS审计师可以验证一个组织的业务连续性计划(BCP)是有效的,依据审查:()

    单选题查看答案

  • 某企业正在制定一个策略,以更新数据库软件版本。审计师可以执行下面哪一个任务而又不会危害IS审计的客观性?()

    单选题查看答案

  • 在一个审计过程中,IS审计师注意到组织的业务持续计划(BCP)没有充分考虑到恢复过程的信息机密性。IS审计师应该建议修改计划,包括以下哪项?()

    单选题查看答案

  • 企业里有个混合访问点不能升级其安全强度,而新的访问点具有高级无线安全特性。IS审计师建议用新的访问点替换老的混合访问点,下面哪一个选项支持IS审计师的建议的理由最为充分()。

    单选题查看答案

  • 在灾难恢复计划中,一个IS审计师观察到在灾难恢复站点的服务器性能低下。为了找到导致这种情况的原因,IS审计师最先应该检查?()

    单选题查看答案

  • 一个IS审计师指出,机构对每个单独的业务流程都有适当的业务连续性计划,但是没有一个完整的BCP计划,该审计员最有可能会采取以下行动?()

    单选题查看答案