在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。IS审计师接下来应该做什么?()A、寻求补偿控制B、审查金融交易日志C、审查审计范围D、要求管理员禁用这些账户
题目
在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。IS审计师接下来应该做什么?()
- A、寻求补偿控制
- B、审查金融交易日志
- C、审查审计范围
- D、要求管理员禁用这些账户
相似考题
更多“在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计”相关问题
-
第1题:
在审计整个企业的资源企划(ERP)系统时会遇到何种挑战?Ⅰ.处理需在实时环境下在线进行。Ⅱ.失去传统审计线索。Ⅲ.访问要求扩展到供应商和客户。Ⅳ.信息系统的复杂程度增加。A.只有Ⅱ是对的。
B.只有Ⅰ和Ⅱ是对的。
C.只有Ⅲ和Ⅳ是对的。
D.Ⅰ、Ⅱ、Ⅲ和Ⅳ是对的。答案:D解析:Ⅰ.正确。因为ERP中的数据是实时运作的,在实时环境下在线进行有助于审计的时效性。Ⅱ.正确。相对于传统审计,收集审计线索对审计人员信息水平要求更高。Ⅲ.正确。新一代ERP包括了企业的前端和后端,涉及供应商和客户。Ⅳ.正确。ERP整合整个企业的资源,对信息系统的复杂程度增加。 -
第2题:
在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()
- A、寻找补偿性控制
- B、检阅财务事务日志
- C、检阅审计范围
- D、叫管理员禁用这些帐号
正确答案:A -
第3题:
一个IS审计师正为一个老客户制定审计计划。该审计师检查了一上午的审计计划,并发现之前的被用来检查该该公司网络和电子邮件系统是上一年新使用的,但是该计划并没有包括对电子商务web服务器的检查。公司的IT经理暗示今年该公司偏向集中审计新应用的企业资源计划(ERP)系统,该IS审计系统应当如何反应?()
- A、如IT经理所请求的,审计新ERP应用
- B、审计电子商务服务器,因为它去年没有被审计
- C、确定风险最高的系统,并基于该结果制定审计计划
- D、既审计电子商务服务器也审计ERP应用
正确答案:C -
第4题:
()指出,审计师在进行内部控制审计项目中的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。
- A、《企业内部控制基本规范》
- B、《企业内部控制审计指引》
- C、《企业内部控制应用指引》
- D、《企业内部控制评价指引》
正确答案:A,B -
第5题:
ERP系统是企业资源规划的缩写。
正确答案:正确 -
第6题:
IS审计师正在评估在将来IS审计中所用的数据挖掘和审计软件。什么是IS 审计师在软件工具中寻找的最主要的能力?该软件工具应该:()
- A、与多种企业资源计划(ERP)软件和数据库的接口
- B、保存数据完整性
- C、将审计引入组织的财务系统以支持连续审计
- D、可以配置并支持定制编程以帮助调查分析
正确答案:B -
第7题:
在银行信息系统审计期间,信息系统审计员评估是否企业对员工访问操作系统进行了适当的管理,信息系统审计人员应该判断是否企业执行了:()
- A、定期检查用户活动日志
- B、在特定领域登记核实用户授权
- C、检查数据通信活动日志
- D、定期检查改变的数据文件
正确答案:A -
第8题:
单选题IS审计师正在评估在将来IS审计中所用的数据挖掘和审计软件。什么是IS 审计师在软件工具中寻找的最主要的能力?该软件工具应该:()A与多种企业资源计划(ERP)软件和数据库的接口
B保存数据完整性
C将审计引入组织的财务系统以支持连续审计
D可以配置并支持定制编程以帮助调查分析
正确答案: B解析: 尽管上述所有选项都被所评估的审计和数据挖掘数目的软件工具所需要,该工具中最关键的需求是其不能破坏数据完整性或改变正在被审计的系统。点评:证据的完整性最重要。 -
第9题:
单选题审计轨迹是有助于管理者管理个人责任的技术机制,以下哪一项控制能更好地与审计轨迹协同工作()。A物理访问控制
B环境控制
C管理控制
D逻辑访问控制
正确答案: B解析: 暂无解析 -
第10题:
多选题()指出,审计师在进行内部控制审计项目中的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。A《企业内部控制基本规范》
B《企业内部控制审计指引》
C《企业内部控制应用指引》
D《企业内部控制评价指引》
正确答案: A,B解析: 暂无解析 -
第11题:
单选题确保审计资源在组织中发挥最大价值的首要步骤应该是()A规划审计工作并监控每项审计的时间花费
B培训信息系统审计师掌握公司中使用的最新技术
C基于详细的风险评估制定审计计划
D监控审计进展并实施成本控制
正确答案: D解析: 暂无解析 -
第12题:
单选题在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()A寻找补偿性控制
B检阅财务事务日志
C检阅审计范围
D叫管理员禁用这些帐号
正确答案: D解析: 最好的逻辑访问控制实践是创建用户ID给每一个定义了责任的使用人。只有在建立ID和独立使用人之间一个一对一关系时才有可能。尽管如此,如果用户ID是基于角色创建的,信息系统审计师应首先理解原因,然后评价补偿控制有效性和效率。检查处理日志对审计逻辑访问控制是无关的,检查审计相关的范围也是无关的。在弄明白原因和评价补偿性控制之前,不建议信息系统审计师请管理员对共享帐号停掉。这不是信息系统审计师的职责在审计期间让停止使用帐号。 -
第13题:
在企业资源管理系统的实施后审计中,IS审计师很可能()。
- A、审查访问控制配置
- B、接口测试评估
- C、详细设计文件审查
- D、系统测试评估
正确答案:A -
第14题:
在辅助财务审计的IT控制测试时,总账GL用户向信息系统审计师投诉,在访问数据时存在严重的延时。IS审计师应采取的最合理的操作为:()
- A、将延时记录为有待改善的控制缺陷
- B、推荐使用负载平衡去改进吞吐量
- C、在管理建议书中写明这个投诉
- D、在形成对IT控制的审计意见时,排除这些投诉
正确答案:D -
第15题:
内部审计机构应当编制中长期审计规划、年度审计计划、 本机构人力资源计划和()
- A、奖惩制度
- B、薪酬制度
- C、财务预算
- D、财务计划
正确答案:C -
第16题:
关于同一企业的内部控制审计和财务报表审计的审计意见之间的关系,下列说法正确的有()
- A、如果注册会计师对企业的财务报表审计出具了否定意见的财务报表审计报告,对于该企业的内部控制审计,通常应当出具否定意见的内部控制审计报告
- B、如果注册会计师对企业的内部控制审计出具了否定意见的内部控制审计报告,对于该企业的财务报表审计,应当出具否定意见的财务报表审计报告
- C、如果注册会计师对企业的财务报表审计出具了否定意见的财务报表审计报告,对于该企业的内部控制审计,应当出具无法表示意见的内部控制审计报告
- D、如果注册会计师对企业的内部控制审计出具了否定意见的内部控制审计报告,对于该企业的财务报表审计,可能出具无保留意见的财务报表审计报告
正确答案:A -
第17题:
S审计师报告指出企业资源计划(ERP)系统的财务模块应用运行很慢,是因为审计痕迹在一些敏感的表格上被激活。供应商已经要求关闭这些交易表的审计痕迹且限定只对成功和不成功登入系统进行审计。如果这个建议被采纳,以下哪个是最大的威胁?()
- A、不能保证财务数据的完整性
- B、不能保证系统日志的完整性
- C、访问敏感数据未被记录
- D、可能发生欺诈
正确答案:A -
第18题:
在什么时候对于财务会计应用系统的授权逻辑访问过程中的错误最有可能被识别?()
- A、信息系统审计期间
- B、在执行身份管理方案之后
- C、在会计对账过程中
- D、在由业务所有者的定期访问检查中
正确答案:D -
第19题:
审计轨迹是有助于管理者管理个人责任的技术机制,以下哪一项控制能更好地与审计轨迹协同工作()。
- A、物理访问控制
- B、环境控制
- C、管理控制
- D、逻辑访问控制
正确答案:D -
第20题:
单选题在什么时候对于财务会计应用系统的授权逻辑访问过程中的错误最有可能被识别?()A信息系统审计期间
B在执行身份管理方案之后
C在会计对账过程中
D在由业务所有者的定期访问检查中
正确答案: B解析: 由业务所有者定期检查访问控制列表可以判断是否在授权访问中有错误会发生。虽然信息审计系统审计员可以确定不适当的访问实例,但是业务所有者的确认是第一位的。身份认证管理应用的存在不是执行检查访问列表的先决条件。会计对账评估的是在一个特定的时点的有效性、正确性或者账户余额恰当性,不能检查用户访问权。 -
第21题:
单选题一个IS审计师正为一个老客户制定审计计划。该审计师检查了一上午的审计计划,并发现之前的被用来检查该该公司网络和电子邮件系统是上一年新使用的,但是该计划并没有包括对电子商务web服务器的检查。公司的IT经理暗示今年该公司偏向集中审计新应用的企业资源计划(ERP)系统,该IS审计系统应当如何反应?()A如IT经理所请求的,审计新ERP应用
B审计电子商务服务器,因为它去年没有被审计
C确定风险最高的系统,并基于该结果制定审计计划
D既审计电子商务服务器也审计ERP应用
正确答案: B解析: 最好的行动方案是进行一项风险评估,并修订审计计划以涵盖高风险的领域,ISACA审计标准S11(在审计计划中应用风险评估),子标准S03规定:“在制定整体IS审计计划以及为有效分配IS审计资源而确定优先级时,IS审计师应该采用适当的风险评估技术或方法”。审计师不能依赖上一年的审计计划因为它可能没有被设计来反应基于风险的方法(最新的系统并不一定是具有最高风险的系统)。审计师的ERP应该没有反应基于风险的方法因此不是正确答案。尽管ERP系统典型的包含敏感数据并可能出现数据丢失或泄漏的风险,没有风险评估,则审计ERP系统的决定即不急于风险的决定。由于其前一年没有被审计而审计电子商务服务器没有反应基于风险的方法,因此不是正确答案。另外IT经理可能清楚电子商务服务器的问题并可能故意试图将审计员从更脆弱的领域引开。尽管尽管乍一看电子商务服务器可能是风险最高的领域,也必须进行风险评估而不能依赖于审计师或IT经理的判断。审计电子商务服务器又审计ERP应用并没反应基于风险的方法,因此这并不是正确答案。点评:基于风险来确定审计的目标和范围。 -
第22题:
单选题在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。IS审计师接下来应该做什么?()A寻求补偿控制
B审查金融交易日志
C审查审计范围
D要求管理员禁用这些账户
正确答案: D解析: 最好的逻辑访问控制做法是:为每个人创建用户ID以定义问责制、这只有在ID和个人之间建立一对一的关系才可能实现。但是,如果用户ID是根据角色名称创建的,则IS审计师应首先了解原因,然后对补偿控制的有效性进行评估。审查交易日志与审计逻辑访问控制和审查审计范围都不相关。在IS审计师了解原因和评估补偿控制之前,不建议要求管理员禁用共享账户。审计期间要求禁用账户并不是IS审计师的职责。 -
第23题:
单选题在企业资源管理系统的实施后审计中,IS审计师很可能()。A审查访问控制配置
B接口测试评估
C详细设计文件审查
D系统测试评估
正确答案: D解析: 暂无解析