- 相关推荐
2017中级审计师考试《审计专业相关知识》模拟试题及答案
模拟试题一:
1. 终端用户可能通过修改标准程序以获取原本无法直接获取的财务和作业数据的子集,与此相关的最大风险是
A.所获取的数据可能不完整或缺乏时效性。
B.数据定义可能过时。
C.主机数据可能被终端用户的更新活动所破坏。
D.重复下载可能会耗尽终端用户微机的存储容量。
[答案]A
解题思路:
A.正确。终端用户对主机数据结构及之间的关联不可能很精通,因此通过修改标准程序所获取的数据就可能不完整;由于获取的数据保存在本地微机中,而主机数据是实时变化的,因此微机中的数据可能不是最新的数据,即缺乏时效性。
B.不正确。数据定义不会因为终端用户的数据查询操作而改变。
C.不正确。终端用户获取数据子集的过程不包含更新操作,不会导致对主机数据的破坏。
D.不正确。重复下载的数据通常会相互覆盖,因此也不会耗尽终端用户微机的存储容量。
2. 对硬件、软件及广域网通讯部件的准确的产品记录资料和对系统改进的正确的描述,可以:
A.最大程度地减小对外部组织的依赖。
B保证新组件安装的及时性。
C.有助于隔离网络故障。
D.最大程度地提高系统的可用性。
[答案]C
解题思路:
A.不正确。完整准确的安装和改进记录在减小对外部组织的依赖方面确有一定的作用,但不是决定性的,故仅仅依靠这些登记材料并不能“最大程度地减少”对外部组织的依赖。
B.不正确。完整准确的安装和改进记录当然不能“保证”新组件安装的及时性。
C.正确。不同型号的产品部件以及同一种型号不同批次的部件之间会有微小的差别而导致不兼容等问题,如果有充分的安装和改进记录资料就更容易对网络错误进行有效的定位。
D.不正确。完整准确的安装和改进记录不能“最大程度地提高”系统的可用性
3. 在检查一个利用第三方服务的EDI系统的应用情况时,审计师应该:
Ⅰ、确认加密密钥符合ISO标准。
Ⅱ、确定是否已经对服务供应商的营运进行了独立检查。
Ⅲ、核实该服务供应商是否仅使用了公用交换数据网络。
Ⅳ、核实服务供应商的合同是否包含了必要的条款,如审计权力等。
A.Ⅰ和Ⅱ。
B.Ⅰ和Ⅳ。
C.Ⅱ和Ⅲ。
D.Ⅱ和Ⅳ。
[答案]D
解题思路:
A.不正确。不存在关于加密密钥的ISO标准。
B.不正确。参见“a.”。
C.不正确。EDI服务有完整的安全协议保障,没有必要去核实是否仅使用了公用交换数据网络。
D.正确。对EDI审计需要决定是否对服务供应商的营运进行独立检查,并核实服务供应商的合同是否包含了必要的条款,如审计权力等。
4. 数据库管理人员应用以下哪种语言接口来建立数据库表结构?
A.数据定义语言
B.数据控制语言
C.数据操纵语言
D.数据查询语言
[答案]A
解题思路:
A.正确。数据定义语言(DDL)用于定义(即:决定)数据库的结构。
B.不正确。数据控制语言(DCL)用于指定特权和安全规则。
C.不正确。数据操纵语言(DML)为程序员提供了一个修改数据库数据的工具。
D.不正确。数据查询语言(DQL)用于特设的查询。
5. 在对数据中心进行物理设计时考虑以下哪项内容是不恰当的?
A.评价与铁路和公路交通有关的潜在风险。
B.应用生物统计法访问系统。
C.为访问操作系统设计授权表格。
D.包括不间断电源系统和电涌保护。
[答案]C
解题思路:
A.不正确。在确定数据中心的位置时应评估其外部风险。
B.不正确。生物访问系统可控制对数据中心的物理接触。
C.正确。用于操作系统访问的授权表格针对的是逻辑控制,而不是物理控制。
D.不正确。数据中心的物理设计包含供电系统和电涌保护。
6. 在传统的信息系统中,计算机运行维护人员负责对软件和数据文件进行定期备份。在分布式系统或协作系统中,确定是否有足够备份的责任属于:
A.用户管理部门。
B.系统程序员。
C.数据录入员。
D.磁带库管理员。
[答案]A
解题思路:
A.正确。因为在分布式系统或协作系统中,系统数据是分散在各用户节点上,所以确定是否有足够备份是用户管理部门的责任。
B.系统程序员负责程序的编制,不承担备份任务。
C.数据录入员负责数据的输入,不承担备份任务。
D.磁带库管理员负责维护磁带库的运行维护,不承担备份任务。
7. 用来确定应用程序系统需要建立多少控制的标准不包括以下哪项内容?
A.数据在系统中的重要性。
B.应用网络监测软件的可行性。
C.某项活动或处理没有受到适当控制所产生的风险水平。
D.每种控制措施的效率、复杂性和费用。
[答案]B
解题思路:
A.不正确。例如,重要的财务和会计系统,如证券交易所的股票买卖跟踪系统,相对于记录员工培训和技能的系统而言,必须具有更高的控制标准。
B.正确。网络监测软件并不参与应用系统内部的控制。
C.不正确。问题的发生频率及其潜在的危害应决定在一个系统中建立多少控制。
D.不正确。例如,在一个每天处理成千上万笔支付业务的系统中,完全的逐项检查可能过于费时而不可操作,但如仅检查关键的数据则可能是可行的,如检查金额、账号而忽略姓名和地址。
8. 某银行正在开发一个计算机系统以帮助评估贷款申请。信息系统职员通过和银行的抵押担保人进行交谈,提炼出后者的知识和决策过程并输入计算机。完成后的系统应能以与抵押担保人相同的方式处理信息,并做出关于贷款决定的最后建议。这种方法称为:
A.专家系统
B.神经网络
C.智能代理
D.模糊逻辑
[答案]A
解题思路:
A.正确。专家系统是一个知识密集的计算机程序,它可以获取人类在某个特定领域的知识。
B.不正确。神经网络是一个试图模仿生物大脑处理模式的软件。
C.不正确。智能代理是软件程序,它基于一个内嵌的或通过训练获得的知识库,替单独的用户、商业过程或软件应用来执行特定、重复、可预测的任务。在因特网上,智能代理是一个无需用户介入并能定期采集信息或执行某些其它服务的程序。
D.不正确。模糊逻辑是一种基于规则的人工智能,它利用被称为成员函数的非特定的术语来解决问题,因而能容许不确定性。
9. 终端仿真软件允许局域网的微机象大型机的终端一样工作。部门局域网用户也需要公司大型机的中心数据库的信息,并使用该部门雇员开发的终端用户计算(EUC)应用系统对这些信息进行处理。在这种环境下,除了哪一项外都是主要的控制风险:
A.雇员可能将微机用于获得私人利益。
B.在进行终端仿真时,微机的屏幕显示能力可能不足。
C.部门用户可能未执行充分的针对EUC应用的备份程序。
D.雇员可能将未经授权的办公自动化软件拷贝用于私人目的。
[答案]C
解题思路:
A.不正确。应用快速应用开发技术并不能取消或延迟系统文档的编制。
B.不正确。项目管理牵涉到开发小组。
C.正确。新系统应该分模块开发。
D.不正确。如应用对象开发技术,则将增加而不是减少对以往代码的利用。
10. 某电子公司决定通过应用快速应用程序开发技术来实现某新系统。以下哪项内容将被包括在该新系统的开发之中?
A.将系统文档编制的需要延迟到最后模块完成之时。
B.把项目管理责任从开发小组转移出去。
C.分模块创建系统直至系统完成。
D.应用对象开发技术将以往编码的使用减少到最低程度。
[答案]C
解题思路:
A.不正确。应用快速应用开发技术并不能取消或延迟系统文档的编制。
B.不正确。项目管理牵涉到开发小组。
C.正确。新系统应该分模块开发。
D.不正确。如应用对象开发技术,则将增加而不是减少对以往代码的利用。
模拟试题二:
1. 以下哪项不是典型的输出控制?
A.审查计算机处理记录,以确定所有正确的计算机作业都得到正确执行。
B.将输入数据与主文件上的信息进行匹配,并将不对应的项目放入暂记文件中。
C.定期对照输出报告,以确认有关总额、格式和关键细节的正确性以及与输入信息的一致性。
D.通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者。
[答案]B
解题思路:
A.不正确。审查计算机处理记录是典型的输出控制。
B.正确。将输入数据与主文件上的信息进行匹配是一项输入控制。
C不正确。定期对照输出报告是典型的输出控制。
D.不正确。通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者是典型的输出控制。
2. 以下哪一项不是一个新的应用系统的实施方法?
A.直接转换
B.平行转换
C.试点转换
D.测试
[答案]D
解题思路:A不正确。直接转换、平行转换、试点转换和分阶段的转换是用新系统替代老系统的四种主要策略。
B不正确。参见“a.”。
C不正确。参见“a.”。
D.正确。测试是系统开发阶段的任务之一,以验证系统按预定的功能运行,因此测试不是新应用系统的实施方法。
3. 对于传统的系统,程序改变控制能够保证生产系统是从经批准的程序的正确版本中产生。而在客户机/服务器环境下运行的系统有可能增加程序改变控制的复杂性。一个在客户机/服务器环境中要求而在大型主机环境中不要求的程序变动控制功能是保证:
A.程序版本在全网络上的同步。
B.程序紧急改动的过程应制定成条文规定并遵守执行。
C.适当的用户参与程序改变测试。
D.从测试资料库到成品资料库的传送要受到控制。
[答案]A
解题思路:
A.正确。客户机/服务器环境下的客户端程序分散在各个客户机中,当升级应用程序版本时,必须保证版本在全网络上的同步,否则旧版的客户程序可能不能正常工作甚至影响到服务器中的数据。而在大型机环境下应用程序集中存放在主机中,只需升级主机中的程序即可。
B.不正确。客户机/服务器环境和大型机环境都必须制定程序紧急改动的条文规定并要求遵守执行。
C.不正确。两种环境下都要求用户参与程序改变测试。
D.不正确。两种环境下从测试资料库到成品资料库的传送都应受到控制。
4. 要防止通过直接连接主机的无人照管的终端而对敏感数据进行非法访问,以下哪项安全控制效果最佳?
A.使用带密码的屏幕保护程序。
B.使用工作站脚本程序。
C对数据文件加密。
D.自动注销不活动用户。
[答案]D
解题思路:
A.不正确。无人照管终端的主要风险是该终端可能已经合法地登录主机,因此任何人都可以利用该终端访问主机中的敏感数据。在这种情况下,带密码的屏幕保护程序较容易被饶过,如用另一台终端替换该终端。
B.不正确。参见“a.”, 工作站脚本程序用来定制终端的运行环境,只有在终端登录时起作用。
C.不正确。参见“a.”, 对数据文件加密不能防止攻击者访问敏感数据,因此时攻击者已获得了合法用户的身份,系统会自动解密数据文件。
D.正确。参见“a.”,自动注销不活动用户可使攻击者失去获得合法用户的机会。
5. 为了避免非法数据的输入,某银行在每个帐号结尾新加一个数字并对新加的数字进行一种计算,此种技术被称为:
A.光学字符识别(optical character recognition)。
B.校验数位(check digit)。
C.相关检查(dependency check)。
D.格式检查(format check)。
[答案]B
解题思路:
A.不正确。光学字符识别将印刷字符转换成计算机可以识别的内部代码。
B.正确。校验数位是对某字段进行某种计算后得出,并附加在该字段之后的校验位。通过重新计算校验位并和原校验位进行比较,可以发现该字段内容是否已发生变化。
C.不正确。相关检查用于检查多个字段之间是否存在某种关联,来判断字段内容的正确性。
D.不正确。格式检查用于检查字段内容是否遵循某种特定的格式,如日期字段应该具有如下格式:YYYY:MM:DD。
6. 在公司信息系统的战略应用中,面向对象的技术变得越来越重要,因为它具有以下潜力:
A.允许更快更可靠地开发系统。
B.保持原来用过程语言编写的程序。
C.减少对层次数据库的数据完整性的破坏。
D.使传统的瀑布式系统开发方法更加流畅。
[答案]A
解题思路:
A.正确。面向对象的开发技术利用对象的继承、重用、重构等特征,可以更快更可靠地开发系统。
B.不正确。面向对象的开发技术将数据和对该数据的操作封装成一个对象,因此不能保持原来用过程语言编写的程序。
C.不正确。对象虽然具有层次的概念,但和层次数据库中的层次概念没有任何联系。
D.不正确。面向对象的开发方法和传统的瀑布式系统开发方法在需求分析、系统设计和编码上都有很大的区别,属于两类不同的系统开发方法学,因此不存在使传统的瀑布式系统开发方法更加流畅的作用。
7. 以下哪项关于电子邮件安全性的说法是正确的?
A.互联网上的所有信息都被加密,因此能够提供增强的安全性。
B.密码在防止偶然访问其他人的电子邮件时很有效。
C.如果没有事先对安全控制记录解密,那么即使具有访问包含电子邮件信息的文件服务器的管理级权限的人员也不能接触包含电子邮件信息的文件。
D.自主访问控制策略不需要口令。
[答案]B
解题思路:
A.不正确。互联网上的信息并未自动加密,包括电子邮件信息。
B.正确。对设置了密码的电子邮件,必须输入正确的密码信息才能阅读邮件,因此可以防止对邮件的偶然访问。
C.不正确。具有文件服务器管理权限(总体控制)的人员完全有可能饶过电子邮件的安全控制(应用控制),通过直接阅读邮件文件的方式来获得邮件内容。
D.不正确。自主访问控制策略需要对用户身份进行鉴别,而口令是身份鉴别的主要手段。
8. 为了适当控制对会计数据库文件的访问,数据库管理人员应正确应用数据库的安全特征以允许:
A.用只读方式访问数据库文件。
B.特权软件对数据进行更新。
C.只访问经过授权的逻辑视图。
D.用户可以修改其访问配置文件。
[答案]C
解题思路:
A.不正确。只读控制可以防止对数据的非授权修改,但不能防止对数据的非授权读取。
B.不正确。允许特权软件对数据进行更新不能防止用户对数据的非授权访问。
C.正确。逻辑视图从一个或多个数据库表中生成新的数据结构,以更适合用户使用的方式表示数据。对视图通常只能进行查询操作,通过限制用户只能对授权的视图、而不是表进行访问,可防止用户对表数据的非授权访问。
D.不正确。允许用户修改其访问配置文件不能防止用户对数据的非授权访问。
9. 一个组织的计算机帮助平台功能通常由哪个部门的负责?
A.应用开发部门
B.系统编程部门
C.计算机运行部门
D.用户部门
[答案]C
解题思路:
A.不正确。应用开发部门负责系统的开发。
B.不正确。系统编程部门负责系统的程序设计。
C正确。计算机运行部门负责系统的日常运行维护,计算机帮助平台是其功能之一。
D.不正确。用户部门负责操作使用计算机系统。
10. 要最大程度地降低未经授权编辑生产程序、工作控制语言和操作系统软件的可能性,以下哪种方法效果最佳?
A.数据库访问检查;
B符合性检查;
C.良好的变动控制程序;
D.有效的网络安全软件。
[答案]C
解题思路:
A.不正确。数据库访问检查可以防止对数据库的非授权访问,但不能防止未经授权编辑生产程序、工作控制语言和操作系统软件。
B.不正确。符合性检查可以在非授权编辑操作发生后发现该事件并予以纠正,但不能预防非授权编辑操作的发生。
C正确。良好的变动控制程序是安全政策、安全管理和安全技术的综合,可以最大程度地预防未经授权编辑生产程序、工作控制语言和操作系统软件的行为发生。
D.不正确。网络安全软件用于防止通过网络进行的非授权编辑,但对于直接通过控制台进行的非授权编辑可能就无能为力。有效的网络安全软件只是安全管理的技术因素,如没有管理方面的配合,安全效果会大打折扣
【中级审计师考试《审计专业相关知识》模拟试题及答案】相关文章:
2017中级审计师考试《专业相关知识》模拟题及答案08-30
2017中级审计师考试审计专业相关知识仿真模拟题及答案08-29
2017中级审计师考试《专业相关知识》备考题及答案08-28
2017中级审计师考试审计专业相关知识复习题及答案08-28
2017中级审计师考试《专业相关知识》复习题及答案08-28
2017中级审计师考试《审计相关专业知识》练习题(附答案)08-27
2017中级审计师考试试题及答案08-28
2017中级审计师考试题及答案08-30