制订基于风险的审计程序时，IS审计师最可能关注的是（）

A . 当控制的运行未留下轨迹时的控制测试 B . 实质性分析程序 C . 风险评估程序 D . 当控制的运行留下轨迹时的控制测试

A . 灾难程度只考虑到受到威胁的业务职能的范围大小，而没有考虑持续时间的长短 B . 没有区分较小的灾难与软件事故 C . 整体的BCP是成文的，而具体的恢复步骤没有细化（或预先制定） D . 没有指定报告发生灾难事件的负责人

A . 在实施实质性程序时，必须使用细节测试 B . 在实施实质性程序时，必须使用实质性分析程序 C . 在实施函证程序时考虑询证销售协议的细节条款 D . 对销售协议上的变动情况询问被审计单位的非财务人员

A . 检查风险的评估 B . 控制风险的评估 C . 固有风险的评估 D . 舞弊风险的评估

A . 缺少对成功攻击网络的报告 B . 缺少对于入侵企图的通报政策 C . 缺少对于访问权限的定期审查 D . 没有通告公众有关入侵的情况

A . 正确 B . 错误

A . 把正常通讯识别为危险事件的数量（误报） B . 系统没有识别出的攻击事件 C . 由自动化工具生成的报告和日志 D . 被系统阻断的正常通讯流

A . 安装在地理上分散 B . 网络服务器集中在一个地点 C . 准备热站 D . 为网络实施多路由

A . A、确定截至审计报告日发生的事项是否提供有关会计估计的审计证据 B . B、测试管理层如何作出会计估计以及会计估计所依据的数据 C . C、测试与管理层如何作出会计估计相关的控制的运行有效性，并实施恰当的实质性程序 D . D、作出注册会计师的点估计或区间估计，以评价管理层的点估计

A . 对组织全部环境做整体评估。 B . 基于可接受的框架（例如COBIT或COSO）建立审计方法论。 C . 文档化审计程序确保审计师获得计划的审计目标。 D . 识别控制失效的高风险区域。

A . 开发新产品或提供新服务，或进入新的业务领域 B . 开辟新的经营场所 C . 发生重大收购、重组或其他非经常性事项 D . 拟出售分支机构或业务分部

A . 判断是否测试目标被文档记录 B . 评估是否用户记录了预计的测试结果 C . 审查是否已完成测试问题记录 D . 审查是否存在尚未解决的问题

A . 已经存在减免风险的控制 B . 找到了弱点和威胁 C . 已经考虑到审计风险 D . 实施差异分析是适当的

A . 集团管理层向组成部分下达指令 B . 合并过程 C . 集团层面控制 D . 集团及其环境、集团组成部分及其环境

A . 导致健康问题（如头痛）和疾病 B . 被截获的信息可以被其他人获取 C . 导致通讯冲突 D . 导致主板错误

A . 固有风险 B . 检查分析 C . 控制风险 D . 业务风险

A . 缓冲器溢出 B . 暴力攻击 C . 分布式拒绝服务攻击 D . 战争拨号攻击

A . 当控制的运行未留下轨迹时的控制测试 B . 实质性分析程序 C . 风险评估程序 D . 当控制的运行留下轨迹时的控制测试

A . 拒绝服务攻击 B . 包重放 C . 社交工程 D . 缓存溢出

A . 由系统生成的信息跟踪到变更管理文档 B . 检查变更管理文档中涉及的证据的精确性和正确性 C . 由变更管理文档跟踪到生成审计轨迹的系统 D . 检查变更管理文档中涉及的证据的完整性

A . 项目的成本超支 B . 雇员对变革的抵触 C . 关键控制可能从业务流程中取消 D . 新流程缺少文档

A . 保证金存款的检查，检查开立银行承兑汇票的协议或银行授信审批文件 B . 对于存出投资款，跟踪资金流向，并获取董事会决议等批准文件、开户资料、授权操作资料等 C . 是否存在有保证金发生而被审计单位无对应保证事项的情形 D . 资金收支的财务账面记录与资金流水是否相符

A . 充分、适当的确认 B . 切实控制 C . 消除

A．灾难级别是基于受损功能的范围上，而非基于灾难产生的时间影响持续上 B．低等级灾难时间和软件故障的区别不清 C．全部的业务连续性计划都被记录下来，但是没有详细的步骤 D．没有明确宣告灾难的职责