在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()A、寻找补偿性控制B、检阅财务事务日志C、检阅审计范围D、叫管理员禁用这些帐号
题目
在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()
- A、寻找补偿性控制
- B、检阅财务事务日志
- C、检阅审计范围
- D、叫管理员禁用这些帐号
相似考题
更多“在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()A、寻找补偿性控制B、检阅财务事务日志C、检阅审计范围D、叫管理员禁用这些帐号”相关问题
-
第1题:
一家金融服务公司拥有一个独立代理用来管理客户账户的网站。在检查系统的逻辑访问时,IS审计师注意到,一些用户ID似乎被多个代理用户共享。此时,IS审计师最适合采取以下哪项行动:()
- A、通知审计委员会存在潜在问题
- B、要求详细审查相关ID的审计日志
- C、记录结果并对使用共享ID的风险作出解释
- D、联系安全经理,要求从系统中删除这些ID
正确答案:C -
第2题:
在辅助财务审计的IT控制测试时,总账GL用户向信息系统审计师投诉,在访问数据时存在严重的延时。IS审计师应采取的最合理的操作为:()
- A、将延时记录为有待改善的控制缺陷
- B、推荐使用负载平衡去改进吞吐量
- C、在管理建议书中写明这个投诉
- D、在形成对IT控制的审计意见时,排除这些投诉
正确答案:D -
第3题:
审计基于角色的访问控制系统(RBAC)时,信息系统审计师发现一些IT安全员工已经在某些服务器上具有修改或删除事务日志的管理系统管理员权限。以下哪个是该系统审计师应给的最佳建议?()
- A、确保这些员工得到充分的监管
- B、确保交易日志备份保留
- C、实时控制以检测这些更改
- D、确保在事务日志实时写入只能一次写入和多次读取的(WORM)驱动器
正确答案:D -
第4题:
在对一个流程处理中的预防控制、发现控制和纠正控制的整体效果进行评估时,信息系统审计师应该认识到以下哪项?()
- A、控制应该在系统中数据流的各个点上建立
- B、只有预防性控制和发现性控制是相关的
- C、纠正性控制只能被视为是补偿性的
- D、信息系统审计师可以使用分类方法来决定哪些控制是缺少的
正确答案:A -
第5题:
确定哪些用户可以进入超级用户权限,IS审计师应该审计下面哪一项()。
- A、系统访问日志文件
- B、许可软件访问控制参数
- C、访问控制iolations日志
- D、控制项使用的系统配置文件
正确答案:D -
第6题:
一个信息系统审计师正在执行对一个网络操作系统的审计。下列哪一项是信息系统审计师应该审查的用户特性?()
- A、可以获得在线网络文档
- B、支持远程主机终端访问
- C、在主机间以及用户通讯中操作文件传输
- D、性能管理,审计和控制
正确答案:A -
第7题:
单选题在辅助财务审计的IT控制测试时,总账GL用户向信息系统审计师投诉,在访问数据时存在严重的延时。IS审计师应采取的最合理的操作为:()A将延时记录为有待改善的控制缺陷
B推荐使用负载平衡去改进吞吐量
C在管理建议书中写明这个投诉
D在形成对IT控制的审计意见时,排除这些投诉
正确答案: D解析: 弄清响应时间的根本原因超出了在现行的审计范围。影响财务报表IT控制的主要目标是保证财务报表的完整性。因此,对于使用数据库的操作问题不应该是主要的审计意见。降低吞吐量并不意味着它可能是导致财务账目出现错误的控制缺陷。负载均衡作为一个解决方案并不能从从根本上解决吞吐量减少的问题。投诉经证实后才可以包含在管理建议书中。点评:该问题对控制有效性没有影响,故忽略之。 -
第8题:
单选题一个信息系统审计师正在执行对一个网络操作系统的审计。下列哪一项是信息系统审计师应该审查的用户特性?()A可以获得在线网络文档
B支持远程主机终端访问
C在主机间以及用户通讯中操作文件传输
D性能管理,审计和控制
正确答案: A解析: 网络操作系统用户特征包括网络文档的在线可用性。其他特征还有用户访问网络主机的多个领域,用户授权访问具体领域(特定领域),用户使用网络和主机不需要特殊操作或命令。选项B,C,D是网络操作系统功能的实例。 -
第9题:
单选题审计基于角色的访问控制系统(RBAC)时,信息系统审计师发现一些IT安全员工已经在某些服务器上具有修改或删除事务日志的管理系统管理员权限。以下哪个是该系统审计师应给的最佳建议?()A确保这些员工得到充分的监管
B确保交易日志备份保留
C实时控制以检测这些更改
D确保在事务日志实时写入只能一次写入和多次读取的(WORM)驱动器
正确答案: D解析: 因为需要拥有系统管理员权限做他们的工作,IT安全员工访问事务日志通常是不可必免的。在这种情况下最好的控制来避免未未经授权的事物修改日志,是实时把事务日志写到WORM驱动器中。值得注意的是,简单的将事务日志备份到磁带是不够的,因为数据可能在每日备份作业执行前(通常是晚上)被修改。选项A是不正确的,因为IT安全员工不能按传统的方法进行监督,除非是主管监控他的每次在工作站上的按键操作,这显然不是一个实现的选择输入。选项B是不正确的,因为事务日志备份保留组织不了备份前未被授权的修改。选项C是正确的,因为日志文件本身是一个未经授权更改的主要证据是,这是一个充足的检测控制。保护日志文件以防止修改需要预防控制,如安全记录日志。 -
第10题:
单选题信息系统审计师对网络操作系统进行审计,下列哪项用户特征是信息系统审计师应该审阅的?()A在线网络文件的可获得性
B支持访问远程主机的终端
C在主机和用户之间处理文件的传输
D实施管理、审计和控制
正确答案: A解析: -
第11题:
单选题确定哪些用户可以进入超级用户权限,IS审计师应该审计下面哪一项()。A系统访问日志文件
B许可软件访问控制参数
C访问控制iolations日志
D控制项使用的系统配置文件
正确答案: A解析: 暂无解析 -
第12题:
单选题在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()A寻找补偿性控制
B检阅财务事务日志
C检阅审计范围
D叫管理员禁用这些帐号
正确答案: D解析: 最好的逻辑访问控制实践是创建用户ID给每一个定义了责任的使用人。只有在建立ID和独立使用人之间一个一对一关系时才有可能。尽管如此,如果用户ID是基于角色创建的,信息系统审计师应首先理解原因,然后评价补偿控制有效性和效率。检查处理日志对审计逻辑访问控制是无关的,检查审计相关的范围也是无关的。在弄明白原因和评价补偿性控制之前,不建议信息系统审计师请管理员对共享帐号停掉。这不是信息系统审计师的职责在审计期间让停止使用帐号。 -
第13题:
信息系统审计师在一个客户/服务器环境下评审访问控制时,发现用户能接触所有打印选项,在这种情况下,信息系统审计师最可能归纳出()。
- A、信息被非授权用户使用,信息泄漏很严重。
- B、任何人在任何时候都可以打印任何报告,运行效率得到提高。
- C、信息容易被使用,使工作方法更加有效。
- D、用户中信息流动通畅,促进了用户的友好性和灵活性。
正确答案:A -
第14题:
当检查输入控制时,信息系统审计师发现企业一致性策略中,流程允许超级用户覆盖数据验证结果。此IS审计师应该:()
- A、不关心,可能有其他修补控制来降低风险
- B、确保覆盖会自动记录并接受检查
- C、验证是否所有这些覆盖被提交给高级管理人员批准
- D、建议不允许覆盖
正确答案:B -
第15题:
S审计师报告指出企业资源计划(ERP)系统的财务模块应用运行很慢,是因为审计痕迹在一些敏感的表格上被激活。供应商已经要求关闭这些交易表的审计痕迹且限定只对成功和不成功登入系统进行审计。如果这个建议被采纳,以下哪个是最大的威胁?()
- A、不能保证财务数据的完整性
- B、不能保证系统日志的完整性
- C、访问敏感数据未被记录
- D、可能发生欺诈
正确答案:A -
第16题:
一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项?()
- A、审查访问控制特权授权过程
- B、实施身份管理系统(IMS)
- C、改进对敏感客户数据更改进行审计的流程
- D、仅将火警账户授予经理
正确答案:A -
第17题:
整合性测试(ITF)被认为是一种有效的审计工具,这是因为?()
- A、在应用控制审计中是一种成本有效的方法
- B、使用财务和信息系统审计师集成他们的审计测试
- C、将处理输出结果和独立计算出的数据相比对
- D、向信息系统审计师提供了一种分析大量信息的工具
正确答案:C -
第18题:
单选题在不能恰当进行权责分离的环境中,信息系统审计师应关注下列哪种控制?()A重叠控制
B边界控制
C访问控制
D补偿性控制
正确答案: D解析: 补偿性控制是内部控制的一种,当职责没有适当的分离时,可能会引起一些已存在或潜在控制的弱点,补偿性控制可以用来减少这些风险。重复控制是用两种控制手段达到一种控制目标,当主要控制不能实现或者职责没有恰当的分离的时候,实现重复控制是比较难的。边缘控制在计算机系统的可能性用户和计算机系统本身之间建立接口,是基于个人,而不是基于角色的控制。资源的访问控制是基于个人而不是基于角色的。 -
第19题:
单选题整合性测试(ITF)被认为是一种有效的审计工具,这是因为?()A在应用控制审计中是一种成本有效的方法
B使用财务和信息系统审计师集成他们的审计测试
C将处理输出结果和独立计算出的数据相比对
D向信息系统审计师提供了一种分析大量信息的工具
正确答案: B解析: 整合性测试之所以被认为是一种有效的审计工具是因为它可以使用相同的程序来比较处理输出结果和独立计算出的数据。这包含了在应用系统中建立虚拟实体,并依靠该实体来处理测试数据和生产数据以验证处理的准确性。点评:ITF的概念。 -
第20题:
单选题在审查一个分布式多用户应用系统时,信息系统审计师发现了三方面的一些小缺陷:参数的初始设置配置不正确,使用了弱密码,一些重要的报告没有给恰当的检查。在准备审计报告时,信息系统审计师将:()A分别记录各个审计发现,以及针对每种审计发现所产生的影响
B向管理者建议可能存在的风险,但不记录相关的审计发现,因为这些控制缺陷是次要的
C记录审计发现以及这些控制缺陷聚合所产生的风险
D通报部门主管对每个审计发现进行关注,并在报告中进行适当记录
正确答案: B解析: 对于每一个来说,控制缺陷是较小的,但是他们结合起来可能会对整体控制架构产生巨大的潜在影响。选项A和D反映出信息系统审计师未能识别弱点的整体影响。向当事管理者进行建议但不报告相关实事和发现将会对其他股东造成真相的隐瞒。点评:考虑风险的汇集,积水成渊。 -
第21题:
单选题在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。IS审计师接下来应该做什么?()A寻求补偿控制
B审查金融交易日志
C审查审计范围
D要求管理员禁用这些账户
正确答案: D解析: 最好的逻辑访问控制做法是:为每个人创建用户ID以定义问责制、这只有在ID和个人之间建立一对一的关系才可能实现。但是,如果用户ID是根据角色名称创建的,则IS审计师应首先了解原因,然后对补偿控制的有效性进行评估。审查交易日志与审计逻辑访问控制和审查审计范围都不相关。在IS审计师了解原因和评估补偿控制之前,不建议要求管理员禁用共享账户。审计期间要求禁用账户并不是IS审计师的职责。 -
第22题:
单选题当检查输入控制时,信息系统审计师发现企业一致性策略中,流程允许超级用户覆盖数据验证结果。此IS审计师应该:()A不关心,可能有其他修补控制来降低风险
B确保覆盖会自动记录并接受检查
C验证是否所有这些覆盖被提交给高级管理人员批准
D建议不允许覆盖
正确答案: C解析: 如果输入过程允许编辑和验证的数据被覆盖,应自动记录日志。一个独立管理人员该检查该覆盖操作的日志。IS审计师不应该假设存在补偿控制。只要不改是符合规定的,没有必要经都要经过高级管理人员的或全面禁止覆盖的操作。点评:发现问题,深入分析,找补偿控制 -
第23题:
单选题在对一个流程处理中的预防控制、发现控制和纠正控制的整体效果进行评估时,信息系统审计师应该认识到以下哪项?()A控制应该在系统中数据流的各个点上建立
B只有预防性控制和发现性控制是相关的
C纠正性控制只能被视为是补偿性的
D信息系统审计师可以使用分类方法来决定哪些控制是缺少的
正确答案: C解析: 信息系统审计师应该关注控制在系统中数据流的各个点上建立的情况。选项B不正确是因为纠正性控制也是相关的。选项C不正确是因为纠正性控制可以消除或降低错误的影响,因此不应把他仅仅视为是补偿性控制。选项D不正确是因为控制的扩展性和功能性是重要的,而不是控制的分类。点评:各种控制是作用在业务实体之上的。