IS审计师评估信息系统的管理风险。IS审计师应该最先审查（）。

第1题：

在进行风险分析过程中，信息系统审计师发现了威胁及其潜在的影响。审计师下一步应该：（）

• A、对管理层实施的风险评估流程进行评估
• B、识别信息资产和与之相关的系统
• C、告知管理层所发现的威胁及其影响
• D、识别并评估现存的控制

第2题：

以风险为基础的审计方法，ＩＳ审计师应该首先完成（）。

• A、固有的风险评估.
• B、控制风险评估.
• C、控制测试评估.
• D、实质性测试评估.

第3题：

第4题：

以下哪组人员负责检查监督风险管理和控制程序的建立、管理和评估？（）

• A、运营经理
• B、内部审计师
• C、外部审计师
• D、高级管理人员

第5题：

信息系统审计师正在评估管理层对信息系统的风险评估工作。审计师应该首先检查：（）

• A、已经实施的控制
• B、已经实施的控制的有效性
• C、对相关风险的监控机制
• D、与资产相关的威胁和脆弱性

第6题：

审查客户端服务器环境的访问控制的IS审计师应该首先：（）

• A、评估加密技术
• B、识别网络访问点
• C、审查身份管理系统
• D、审查应用程序级访问控制

第7题：

IS审计师发现数据库管理员（DBA）有生产数据的读写权限。该IS审计师应该：（）

• A、接受DBA访问为普遍做法
• B、评估与DBA功能相关的控制
• C、建议立即撤销DBA对生产数据的访问权限
• D、审查DBA批准的用户访问权限

第8题：

一位信息系统审计师在检查IT安全风险管理程序，安全风险的测量应该（）。

• A、列举所有的网络风险
• B、对应IT战略计划持续跟踪
• C、考虑整个IT环境
• D、识别对（信息系统）的弱点的容忍度的结果

第9题：

根据《专业实务框架》（）

• A、每名内部审计师的业绩都应该在每次审计业务结束之际得到评估。
• B、每名内部审计师的业绩都应该至少每年评估一次。
• C、每名内部审计师的业绩都应该至少每两年评估一次。
• D、由首席审计执行官自主确定对每名内部审计师进行业绩评估的时间。

第10题：

以下关于内部审计师在全面风险管理体系中的工作，表述错误的是：（）

• A、内部审计师在协助管理层建立或改善风险管理过程中，如需承担风险管理工作必须得到管理层的授权
• B、内部审计师应评价风险管理过程的有效性，并对其改善提出建议
• C、内部审计师应评估与组织治理、运营及信息系统有关的风险
• D、内部审计师可以为组织的全面风险管理提供咨询服务