国际注册内部审计师

　　组织程序允许员工预计可能出现的问题。这种控制被称为：
　　A、反馈性控制；
　　B、战略性控制；
　　C、前馈控制；
　　D、绩效评估。
　　答案：C
　　解题思路：A、不正确。反馈性控制是指事情发生后，基于活动的结果所采取的一种控制。
　　B、不正确。这种控制应伴随着战略计划。
　　C、正确。前馈控制是为预防某种情况发生（在事件发生之前）而采取的一种控制。
　　D、不正确。这是一种回顾性的控制。
　　在过去几年里，许多组织都在试图减少管理费用，并且能对顾客要求及竞争做出迅速的反应。方法之一是减少中层管理层次。这种减少将影响到组织结构的：
　　A、空间差异；
　　B、正规化；
　　C、纵向差别；
　　D、工作正规化。
　　答案：C
　　解题思路：A、不正确。这指的是人员、设施的地理分散程度。
　　B、不正确。指组织依靠规则和程序指导员工行为的程度。
　　C、正确。减少组织的中间管理层次，就直接减小了组织结构的纵向差别，即会增加管理跨度，使组织结构变得更扁平化。
　　D、不正确。这个术语指组织内部，需具有专门知识或技能才能从事的工作种类。
　　内部审计适当的组织角色应当是：
　　A、协助外部审计人员以降低外部审计费用。
　　B、实施调查研究以协助组织达到更有效率的运行
　　C、履行董事会中审计委员会的调查队职能。
　　D、履行评价职能，对组织的各项活动提供审查与评估服务。
　　答案：D
　　解题思路：A、不正确。降低外部审计费用是审计工作的成果，不是内部审计的组织角色。
　　B、不正确。没能对内部审计适当的组织角色进行完整的描述。
　　C、不正确。所描述的组织角色范围太小，认为内部审计仅为经营管理和高级管理部门服务。
　　D、正确。这是对内部审计基本组织角色的正确描述，只是换了一种说法。
　　公司内部审计部门是公司内部控制制度的有机组成部分。当审计部门对系统开发情况进行检查时，内部审计部门应该选取哪种控制措施？
　　A、反馈控制；
　　B、战略计划；
　　C、政策与程序；
　　D、前馈控制。
　　答案：D
　　解题思路：A、不正确。反馈性控制指事情发生后基于事件结果所采取的一种控制。
　　B、不正确。这不是一种控制类型。
　　C、不正确。政策与程序是公司的内部控制制度，其执行的控制功能是前馈控制。
　　D、正确。审计部门对系统开发情况进行检查，是典型的前馈控制的应用。
　　组织的生产率可以定义为某一特定时期，在消除通货膨胀因素后，组织的总产出与总投入之间的比率。在很多年里，日本的生产率都保持着领先，成为各国追赶的对象。日本的高生产率主要归因于：
　　A、丰富的原材料供应和优越的人力资源与财力资源。
　　B、更好的管理和使用较少资源实现更大目标的能力。
　　C、国家持续不断的基础设施建设。
　　D、强调创造性的先进的教育系统。
　　答案：B
　　解题思路：A、不正确。不符合生产率的定义。
　　B、正确。符合生产率的定义。
　　C、不正确。不符合生产率的定义。
　　D、不正确。不符合生产率的定义。
　　在全面质量管理体系中：
　　A、进行全程检测，将问题消灭在源头。
　　B、质量控制是由受过严格训练的检查员工在生产过程的最后工序进行。
　　C、上级管理人员对产品和服务的质量负主要责任。
　　D、使用大量的供应商，以得到最低的价格。
　　答案：A
　　解题思路：A、正确。全面质量管理强调的是全员全过程的参与、不断地改进产品或服务的质量。
　　B、不正确。质量控制贯穿于整个过程，而不仅仅是生产过程的最后工序。
　　C、不正确。该项所述内容适用范围很广，不是全面质量管理所特有的。
　　D、不正确。全面质量管理注重合格的供应商，并与其共同发展，而不以得到最低的价格为目的。
　　某银行为培训分行经理设计了一套在岗培训项目，目的是训练参与者尽可能快地完成其业务。该项目要求特定活动必须首先完成。例如，在信贷部门没有工作经验的人员，不能够做出信贷决策。对这个项目，一个适当的时间安排技术是：
　　A、计划评审技术（PERT/CPM）；
　　B、线性规划；
　　C、排队论；
　　D、敏感性分析。
　　答案：A
　　解题思路：A、正确。计划评审技术（PERT/CPM）是一种规划大型复杂项目时间安排的技术，包括PERT和CPM.
　　B、不正确。线性规划是一种数学方法，以使某个给定的客观对象最大化到某个限度或最小化到某个限度。这是使有限资源达到最优配置的正确方法。
　　C、不正确。排队论是用来解决等候线（排队）问题的。
　　D、不正确。敏感性分析是分析某决策因素变化时对结果的影响。
　　有效的目标管理（MBO）可以增强组织的效果。以下哪项有助于目标管理的有效性？
　　A、强调“应该做”而非“必须做”的目标。
　　B、量化的、清晰可测评的、说明完成日期要求的目标。
　　C、管理人员严格督促所属员工，使他们准确地完成自己起草的目标任务。
　　D、上面所有内容。
　　答案：B
　　解题思路：A、不正确。“必须做”应当是第一位的，因为必须做的事情对组织取得良好业绩是至关重要的。
　　B、正确。目标管理的四要素就是明确目标（要求目标是明确的、可检验的和可衡量的）、规定期限（每一个目标的完成都有一个简单明确的时间期限）、参与决策和绩效反馈（不断地将实现目标的进展情况反馈给个人，以便他们能够调整自己的行动，并定期进行正式的会议，以便上下级共同回顾和检查进展情况）。
　　C、不正确。严格督促所属员工准确地完成所起草的目标，可能会在员工中建立起一种紧张害怕的氛围，从而导致低效。
　　D、不正确。只有b正确。
　　通过设立战略业务单位（SBU）成功地完成了组织的改组。以下哪条不是衡量组织单元是否有资格成为SBU的标准：
　　A、在母公司以外设立一个明确的市场。
　　B、成为一个利润中心。
　　C、风险厌恶。
　　D、面对外部竞争。
　　答案：C
　　解题思路：A、不正确。SBU应当不影响母公司的市场。
　　B、不正确。SBU必须是一个利润中心，以便能够对它本身的经营效果做出测评。
　　C、正确。战略业务单位（SBUs）是针对如何竞争而产生的一种战略单位，代表一种单一的事业或相关的事业组合，每一个SBU都有自己的独特使命和竞争对手，每一个SBU服务于一种明确定义的产品－细分市场，并具有明确定义的战略，同时在与整体组织的能力和需要保持一致的条件下，按照自身的能力和竞争需要来开发战略。因此，风险厌恶就不可能成为衡量组织单元是否有资格成为SBU的标准。
　　D、不正确。要求SBU能有效地面对竞争。
　　最近全球发生了一些灾难。鉴于灾难可能对其组织造成破坏性影响，内部审计师应该鼓励管理者制定灾难管理程序。此种程序制定的第一步工作是：
　　A、制定应急计划；
　　B、开展风险分析；
　　C、创建风险管理小组；
　　D、练习对风险的反应。
　　答案：B
　　解题思路：A、不正确。灾难管理程序属于典型的风险管理。制定应急计划是风险管理的内容之一，但并不是风险管理的第一步工作。
　　B、正确。风险管理，是建立在风险分析的基础之上的，指采取一定的措施对风险进行检测评估，使风险降低到可以接受的程度，并将其控制在这一水平上。即开展风险分析是风险管理的第一步工作。
　　C、不正确。创建风险管理小组是风险管理的内容之一，但并不是风险管理的第一步工作。
　　D、不正确。练习对风险的反应属于风险管理的内容，但同样不是风险管理的第一步工作。
　　大型制造商都采取适时存货系统，以便最大限度地减少库存的储存成本。以下哪项是适时存货系统的主要薄弱点？
　　A、计算机资源；
　　B、材料供应合同；
　　C、停工；
　　D、实施时间。
　　答案：
　　解题思路：A、不正确。适时存货系统要求每道环节和工序相互衔接，时间恰到好处，并尽可能实现“零库存”。其主要内容包括适时采购、适时加工、适时存货、适时运输，因此，对于想采用该系统的制造商而言，足够的计算机资源、稳定而有效的材料供应合同、充分的实施时间等条件是必须具备的，否则将不可能实施该系统。但一旦具备了这些条件建立起了该系统，则这些因素就不再成为约束条件，而其他足以致使各环节无法衔接的因素如可能的停工（工作中断、工人罢工等）现象等将会对该系统的正常运行造成严重威胁。
　　B、不正确。见a.
　　C、正确。见a.
　　D、不正确。见a.
　　许多人认为，冲突本身会对公司造成损害。但是，理论研究和实际案例都表明，有些冲突对于公司的繁荣是有好处的。可供管理人员使用，刺激冲突产生的技术是
　　A、权威性命令；
　　B、重组组织；
　　C、扩展资源；
　　D、创建高级目标。
　　答案：D
　　解题思路：A、不正确。权威性命令可以刺激冲突产生，但是否对公司的繁荣有好处则要看具体情况。
　　B、不正确。重组组织是一种冲突刺激技术，但其会打破组织结构的现状并提高冲突的水平，因此不易于管理人员直接使用。
　　C、不正确。扩展资源也是刺激冲突产生的一种技术，但对公司的繁荣同样具有类似双刃剑的作用。
　　D、正确。创建高级目标是激发功能正常的冲突的首要一步，是最易于（在本题选项中也是如此）管理人员使用的有效刺激冲突产生的技术。通过创建高级目标（如晋升、加薪等等），管理人员可以使冲突具有合法的地位，并可以自己的行动来加以支持。
　　以下哪项措施为笔记本电脑储存的敏感数据提供的安全保证最小？
　　A、为笔记本电脑上的数据文件加密。
　　B、为笔记本电脑上的屏幕保护程序加上密码保护。
　　C、使用带可拆卸硬盘驱动器的笔记本电脑。
　　D、不使用时将笔记本电脑锁在箱子中。
　　答案：B
　　解题思路：A、不正确。数据加密可以为笔记本电脑提供足够的安全性。
　　B、正确。屏幕保护程序的口令保护功能可以被轻易地饶过。
　　C、不正确。可移动硬盘能提供足够的安全性。
　　D、不正确。将笔记本电脑物理地锁进一个箱子里确实能增进其安全。
　　用以连接异构网络的设备叫做：
　　A、网关
　　B、网桥
　　C、路由器
　　D、集线器
　　答案：A
　　解题思路：A、正确。网关在两种或多种不同的协议簇之间进行翻译，从而使两种不同类型网络的连接成为可能。网关通常由软件来实现。
　　B、不正确。网桥连接不同网段，并使其显得象是只有一个物理网段。
　　C、不正确。路由器连接两个或更多个相同协议的网段，使这些网络段之间可以通讯。
　　D、不正确。集线器可与来自同一局域网的几台PC机的双绞线连接。
　　口令是以下哪种控制的例证？
　　A、物理控制
　　B、编辑控制
　　C、数字控制
　　D、访问控制
　　答案：D
　　解题思路：A、不正确。物理控制限制对某一区域的访问，但不包括口令。
　　B、不正确。编辑控制检查输入数据的合法性。
　　C、不正确。数字控制是一类物理控制。
　　D、正确。口令是访问控制的一种方式，因为口令可以限制对计算机系统及系统中所存储的信息的访问。
　　以下哪种方式能够以最佳方式保护计算机程序库的安全？
　　A、为程序安装一个日志系统。
　　B、监控对程序库介质的实物接触。
　　C、限制对程序库的物理和逻辑访问。
　　D、拒绝来自远程终端的访问。
　　答案：C
　　解题思路：A、不正确。安装一个针对程序访问的日志系统能侦查到未经授权的访问，但不能防止其发生。
　　B、不正确。监视对程序库介质的物理访问只能控制未经授权的物理访问。
　　C、正确。限制对程序库的物理和逻辑访问可以保护程序库免遭非授权的使用，无论攻击者是直接动手或通过远程终端进行。
　　D、不正确。拒绝所有的远程终端访问通常是不现实的，而且也不能防止对程序库的物理访问。
　　虽然一个组织已经决定使用大型机来运行其制造工艺系统，但他们仍然在其它应用系统方面寻求降型化的机会。降型化的目的是：
　　A、提高可靠性。
　　B、提高安全性。
　　C、降低复杂性。
　　D、降低成本。
　　答案：D
　　解题思路：A、不正确。降型化并不能提高系统的可靠性。
　　B、不正确。降型化并不能提高系统的安全性。
　　C、不正确。降型化并不能降低系统的复杂性。
　　D、正确。降型化采用通用的微机和网络来代替专用的大型主机，可显著降低
　　现在组织更倾向于使用微机来完成数据表现，因为相对大型主机系统而言微机更具有：
　　A、可控性。
　　B、有助于数据有完整性。
　　C、可靠性。
　　D、经济性。
　　答案：D
　　解题思路：A、不正确。大型机环境的程序、数据集中存放的特征使其对系统的可控性比微机环境更高。
　　B、不正确。大型机环境的数据集中存放特征更有利于数据的完整性。
　　C、不正确。微机系统的可靠性通常要低于大型主机系统。
　　D、正确。开放的微机系统要比专用的大型主机系统便宜得多。
　　一个组织的战略层适合使用下列哪一种信息系统？
　　A、管理信息系统
　　B、决策支持系统
　　C、高级经理支持系统
　　D、知识工作系统
　　答案：C
　　解题思路：A、不正确。管理信息系统帮助中层经理从事监督、管理，处理行政事务。
　　B、不正确。决策支持系统帮助中高层经理对某些具体问题进行决策。
　　C、正确。高级经理支持系统帮助高层经理处理解决战略问题，研究组织内部和外部环境。
　　D、不正确。知识工作系统帮助组织中知识员工和数据员工把知识用到经营中去，为组织管理文件档案工作。
　　下列除哪项外都是信息安全主管的职责：
　　A、制定组织的信息安全政策。
　　B、维护和更改用户密码列表。
　　C、评价新应用软件中的安全控制。
　　D、对失败的访问企图进行监测和调查。
　　答案：B
　　解题思路：A、不正确。制定组织的信息安全政策是信息安全主管的职责。
　　B、正确。维护和更改用户密码列表应由用户自己完成。
　　C、不正确。评价新应用软件中的安全控制是信息安全主管的职责。
　　D、不正确。对失败的访问企图进行监测和调查是信息安全主管的职责。
　　为鉴别通信系统的哪些组成部分风险最大，内部审计师首先应该：
　　A、检查开放系统互联网络模型；
　　B、考查网络操作费用；
　　C、确定网络的商业用途；
　　D、把网络软件和硬件按各自的层次绘图表示。
　　答案：C
　　解题思路：A、不正确。参见c.。
　　B、不正确。参见c.。
　　C、正确。因为信息系统（包括通信系统）要为组织的目标服务，所以应首先确定系统的商业用途，并在此的基础上评估信息系统的风险。
　　D、不正确。参见c.。
　　以下哪一类机构按照用户的要求管理运行用户拥有的内部数据处理设备，并收取一定的费用？
　　A、计算机租赁公司
　　B、设备管理机构
　　C、服务局
　　D、时间共享服务商
　　答案：B
　　解题思路：A、不正确。计算机租赁公司只提供设备，不负责设备管理运行。
　　B、正确。设备管理机构按照用户的要求来管理运行用户拥有的数据处理设备。
　　C、不正确。服务局管理运行自己拥有的数据处理设备，为不同客户提供处理服务。
　　D、不正确。时间共享服务商管理运行自己拥有的数据处理设备和系统，使各类组织能使用他们的系统。
　　因为登录系统的过程较琐碎枯燥，用户经常把登录序列保存在个人电脑里，以待进入主机设施时再调用。这一做法的风险是：
　　A、个人电脑上的敏感资料更易于泄露。
　　B、任何能访问个人电脑的人也能访问主机。
　　C、数据文件备份程序的有效性将被削弱。
　　D、未经充分训练的用户会犯更多的错误。
　　答案：B
　　解题思路：A、不正确。主机登录序列和个人电脑上的敏感资料的安全性无关。
　　B、正确。由于主机登录序列保存在个人电脑里，任何能访问个人电脑的人也能利用该序列来访问主机。
　　C、不正确。主机登录序列和数据文件备份程序的有效性无关。
　　D、不正确。与此相反，把登录序列保存在个人电脑里可以简化登录系统的过程，使未经充分训练
　　某总部位于纽约的大型连锁超市公司一直通过租用卫星线路来保持总部和遍布全球的各个超市之间的信息交换，这些信息包括采购成本等敏感信息。现在，为了节省通讯费用，公司管理层考虑采用因特网来代替卫星线路。此时最适合采用的技术是：
　　A、VLAN（虚拟局域网：virtual local area network）
　　B、PBX（专用分组交换机：private branch exchanges）
　　C、VPN（虚拟专用网：virtual private network）
　　D、VAN（增值网：value added network）
　　答案：C
　　解题思路：A、不正确。虚拟局域网是一种将物理上互连的网络在逻辑上隔离成不同网段的技术，可以提高网络的安全性。
　　B、不正确。专用分组交换机（PBX）使用专用电话线在办公室间传输电话、传真。
　　C、正确。虚拟专用网利用利用数据包封装和加密等技术，可以在公用交换网络上建立一个“虚拟”的专用网络，既具备私有网络的安全性，又具有公用网络的经济性。
　　D、不正确。增值网通常基于租用线路而不是因特网。
　　某不动产经纪公司正迁入一座装有足够电话线路的大楼。公司考虑安装一套内部数字交换系统（PBX），来连接公司计算机与其它办公设备（如复印机、打印机及传真机等）。在该网络中使用PBX系统的局限性是：
　　A、公司将依赖外人来维护系统。
　　B、系统不能轻松地处理大容量数据。
　　C、同轴电缆线必须装遍整幢大楼。
　　D、难以对办公设备进行重新布置，且花费甚大。
　　答案：B
　　解题思路：A、不正确。内部数字交换系统（PBX）可由公司自行维护。
　　B、正确。相对于以太网等专用数字线路，电话线路的数字带宽有限，不能轻松地传输大容量数据。
　　C、不正确。PBX系统利用大楼内现有的电话线路，由于楼内已装有足够的电话线路，因此无须铺设同轴电缆。
　　D、不正确。PBX系统可直接利用大楼内现有的电话线路和插座，一般情况下无须对办公设备进行大的调整。
　　能对源程序进行语法检查，并将其翻译成目标代码的程序是：
　　A、解释程序。
　　B、编译程序。
　　C、调试程序。
　　D、加密程序。
　　答案：B
　　解题思路：A、不正确。解释程序将高级语言程序转换成中间代码，并逐行解释执行……
　　B、正确。编译程序对源程序进行语法检查，并将其翻译成目标代码的程序。
　　C、不正确。调试程序用于跟踪程序的执行，并找到发生错误的代码。
　　D、不正确。加密程序用于对敏感数据进行密码变换，防止信息泄露。

（责任编辑：中大编辑）