2025年国际注册内部审计师（CIA）资格考试（内部审计知识要素）综合试题及答案

2025年国际注册内部审计师（CIA）资格考试（内部审计知识要素）综合试题及答案1.（单选）2025年1月，某跨国零售集团将“零库存”目标写入《内部审计章程》，首席审计执行官（CAE）在制定年度审计计划时，应首先将下列哪项风险列为最高优先级？A.供应商数据泄露导致客户信用卡信息在暗网出售B.第三方物流仓库突发火灾造成季节性商品断货C.新上线的生成式AI定价算法被监管机构质疑价格歧视D.董事会要求在6个月内将存货周转天数从45天压降至15天答案：D解析：章程已将“零库存”列为战略目标，审计计划必须优先保证该目标的可实现性与合规性；存货周转天数压缩幅度巨大，涉及采购、物流、销售、财务多流程再造，风险连锁性最高。其余选项虽重要，但未直接写入章程，优先级次之。2.（单选）根据IIA2025年1月修订的《三道防线模型应用指引》，下列哪项活动最能体现“第二道防线”的职责边界？A.内审部门对反洗钱模型进行事后验证B.合规部在信贷产品上线前审批模型偏差阈值C.财务部编制季度公允价值估值调节表D.运营部每日核对POS机现金长短款答案：B解析：第二道防线核心在“事前监督与政策制定”，合规部审批阈值属于典型事前治理；A属第三道防线事后独立评价；C、D属第一道防线自我控制。3.（单选）某新能源车企使用区块链记录电池全生命周期数据，内部审计师在验证“不可篡改”声明时，最应关注以下哪项控制弱点？A.智能合约存在可升级代理合约机制B.电池回收商节点采用轻量级客户端C.共识算法为节能型PoA而非PoWD.链上数据采用AES-256加密存储答案：A解析：可升级代理合约意味着私钥持有人可逻辑上修改合约，破坏“不可篡改”承诺；B、C、D均不直接破坏不可篡改属性。4.（单选）2025年欧盟CSRD（企业可持续发展报告指令）要求上市公司对“双重重要性”进行鉴证。内部审计部门在制定鉴证方案时，应首先：A.评估可持续发展信息对财务报表的影响B.评估企业活动对环境和社会的影响C.识别利益相关方对可持续信息的期望D.与公司选定的ESG评级机构核对指标口径答案：C解析：双重重要性强调“由外而内”与“由内而外”并重，第一步必须厘清利益相关方期望，再分别映射财务与影响重要性。5.（单选）某银行采用“联邦学习”训练反欺诈模型，内审师怀疑参与方可能通过梯度泄露推断敏感客户信息。下列哪项技术控制最能缓解该风险？A.同态加密梯度聚合B.增加本地Epoch训练次数C.采用差分隐私添加噪声D.使用SecureEnclave硬件隔离答案：C解析：差分隐私在梯度上传前添加校准噪声，是目前针对梯度泄露最有效的模型级控制；A虽可行但计算开销巨大，尚未大规模商用；B、D不能防止信息泄露。6.（单选）在采用“持续审计”模式时，内审部门最需升级以下哪项基础能力，以避免“警报疲劳”？A.数据可视化大屏实时展示异常指标B.基于风险权重调整异常阈值自学习算法C.建立24小时轮班CallCenter响应异常D.将异常推送至企业微信工作群答案：B解析：阈值自学习可随业务波动动态优化，减少误报；A、D可能加剧疲劳；C属被动资源消耗。7.（单选）某集团对子公司CEO实行“经济增加值（EVA）”考核，2025年起将数据资产公允价值变动计入EVA。内审师在复核数据资产估值时，发现估值技术采用“多期超额收益法”，最应质疑以下哪项假设？A.数据资产法律寿命为合同期限5年B.折现率采用WACC+2%风险溢价C.数据资产未来现金流与现有业务现金流可明确区分D.数据资产不存在活跃市场但可使用收益法答案：C解析：超额收益法核心在于可辨识专属现金流，若无法区分则估值基础不成立；其余假设均符合IFRS13与IIA估值指引。8.（单选）某上市公司在2025年季报中披露“已建立AI伦理委员会”，内审师测试其有效性时，应优先检查：A.委员会章程是否经董事会批准B.委员会成员是否包含外部独立AI伦理专家C.委员会是否对高风险AI系统拥有一票否决权D.委员会会议纪要是否记录异议投票细节答案：C解析：有效性最终体现在权力配置，若无否决权则沦为咨询机构；A、B、D虽重要但非最优先。9.（单选）根据2025年ISO37000《组织治理指南》，内部审计在治理评价中应秉持的核心理念是：A.以合规为中心B.以风险为导向C.以价值创造为核心D.以控制测试为手段答案：C解析：ISO37000将治理目标提升至“可持续价值创造”，内审评价亦应围绕价值；B是方法而非理念。10.（单选）某SaaS服务商与客户签订“年度可中断服务协议”，承诺服务可用性≥99.9%，但允许在提前30天书面通知后中断服务。内审师检查收入确认时，应重点关注：A.是否按直线法在全年分摊收入B.是否将中断权利视为可变对价C.是否把中断期对应价款计入合同负债D.是否识别该条款为“实质性固定费用退还”答案：B解析：可中断权利构成可变对价，需估计预期交易价格并遵循IFRS15约束；A、C、D未抓住可变对价核心。11.（单选）某集团使用RPA机器人自动抓取银行回单并生成记账凭证，内审师在测试机器人运行时，发现月末最后一天机器人未运行，导致银行存款未达账项高估。最可能缺失的控制是：A.机器人流程异常自动邮件告警B.机器人运行日志哈希值每日上链C.机器人变更经ITGC变更流程审批D.机器人运行依赖Windows计划任务未设置“错过计划立即执行”答案：D解析：错过计划立即执行可补漏；A虽能告警但无法自动补跑；B、C与补跑无关。12.（单选）2025年某国通过《算法责任法》，要求“高风险算法”须进行算法影响评估（AIA）。内审部门在审查AIA报告时，发现以下哪项缺陷将直接导致审计意见为“否定”？A.未对训练数据代表性进行卡方检验B.未披露算法逻辑可解释性技术路径C.未评估算法对弱势群体的差异化影响D.未建立算法下线退出触发条件答案：C解析：差异化影响评估是法律刚性要求，缺失即构成重大合规风险；其余为一般缺陷。13.（单选）某生物制药公司将研发阶段数据上传至云端数据湖，内审师测试数据分类分级时发现，下列哪项数据被标记为“内部公开”最不合理？A.临床试验受试者去标识化基因组数据B.实验室仪器校准记录C.研发项目月度进度报告D.原料药杂质谱图答案：A解析：基因组数据即使去标识化仍属敏感个人信息，应至少标记为“机密”；其余可内部公开。14.（单选）某集团推行“绿色采购”政策，要求供应商提供碳足迹第三方核查声明。内审师在验证声明可靠性时，应首先检查：A.核查机构是否获得ISO14065认可B.碳足迹计算是否采用GHGProtocolC.供应商是否建立能源管理体系ISO50001D.碳足迹数据是否经区块链存证答案：A解析：核查机构资质是声明可靠性的前提；B、C、D为技术细节，其次序在后。15.（单选）某保险公司将理赔审核外包给BPO服务商，合同约定服务商不得保存客户医疗影像。内审师最应采用哪项技术程序以验证服务商合规？A.远程渗透测试服务商生产数据库B.要求服务商提供DLP（数据防泄漏）策略截图C.对服务商服务器进行全盘镜像取证D.使用TLS指纹技术验证传输通道加密答案：B解析：DLP策略可直接反映是否限制本地保存；A、C需高授权且易破坏业务；D仅解决传输安全。16.（单选）2025年COSO发布《人工智能控制》补充指南，将AI系统控制目标划分为“数据、模型、部署、治理”四类。下列哪项控制活动最能同时覆盖“模型”与“部署”两类目标？A.模型版本仓库采用GitLFS并附加SHA-256摘要B.在模型推理端侧启用输入输出校验APIC.对训练数据执行对抗样本检测D.建立模型性能衰减监控仪表盘答案：B解析：输入输出校验既校验模型本身逻辑（模型目标），也校验部署环境输入污染（部署目标）；A仅模型；C仅数据；D仅部署后监控。17.（单选）某集团采用“零信任网络”架构，内审师在测试身份验证控制时，发现以下哪项情形最能表明“设备信任根”已遭破坏？A.员工使用私人手机通过MDM注册后访问ERPB.员工笔记本TPM芯片证书被暴力更换且平台认证仍通过C.员工使用硬件加密狗登录VPND.员工通过生物识别门禁进入机房答案：B解析：TPM证书被更换却通过平台认证，说明设备信任根验证失效；其余均属正常场景。18.（单选）某电商公司利用无人机配送高价值商品，内审师在审计无人机物流风险时，最应关注下列哪项保险条款的充分性？A.机身一切险B.第三方责任险C.产品延误险D.网络安全险答案：B解析：无人机坠落可能导致高额人身伤害和财产损失，第三方责任险是核心；延误险价值相对较低；网络安全险与机身险非最优先。19.（单选）某集团建立“内部审计数据科学中心”，CAE要求数据科学家在构建连续审计模型时遵循“可解释性优先”原则。下列哪种算法最不符合该原则？A.逻辑回归+L2正则B.决策树+最大深度限制C.梯度提升树+SHAP值解释D.深度神经网络+Dropout答案：D解析：深度神经网络即使附SHAP仍属黑盒，可解释性最差；A、B、C均提供直观解释。20.（单选）某银行将部分信贷审批权下放至“边缘计算节点”，内审师在测试边缘节点模型更新合规性时，应首先检查：A.节点是否具备物理防撬锁B.模型更新包是否经央行算法备案C.节点与云端通信是否采用双向mTLSD.模型更新是否经联邦学习聚合签名答案：B解析：信贷模型属金融监管范围，央行备案是合规前提；A、C、D为技术安全，其次序在后。21.（多选）2025年IIA发布《敏捷审计准则》，下列哪些做法符合“敏捷审计”价值观？A.审计backlog按风险价值排序并每两周重估B.审计报告采用“一页纸可视化”代替传统章节式C.审计团队每日站会限时15分钟且不解决细节问题D.审计发现立即通过邮件发送给CFO而不等期末汇总E.审计计划固定12个月不变以保证连续性答案：A、B、C解析：敏捷强调快速迭代、价值驱动、可视化、每日沟通；D未体现“适配”与“协作”，易引发信息过载；E违背敏捷响应变化原则。22.（多选）某集团使用生成式AI撰写审计报告初稿，CAE担心出现“幻觉”引用。下列哪些控制可有效降低该风险？A.要求AI仅引用经审计底稿交叉索引的句子B.启用检索增强生成（RAG）并限定向量库为官方底稿C.对AI输出执行查重比对，相似度>30%即退回D.由AI自动添加“本段由生成式AI撰写”水印E.要求AI输出必须附带每条结论的t统计量答案：A、B、C解析：A、B、C均通过溯源或查重限制幻觉；D水印不能降低幻觉；E统计量与文本幻觉无关。23.（多选）某跨国企业建立“内部审计元宇宙工作室”，审计人员佩戴VR头盔远程盘点海外仓库。下列哪些因素可能导致盘点证据不可靠？A.仓库光照不足导致VR点云模型出现空洞B.仓库管理员未佩戴定位标签，系统无法识别其身份C.VR软件版本与仓库WMS系统接口不匹配D.盘点当天仓库屋顶维修导致货架位移E.审计团队所在时区与仓库时区相差12小时答案：A、B、D解析：A、B、D直接影响观察证据完整性或存在性；C为技术兼容，可通过补丁解决；E时区差异不影响证据本身。24.（多选）2025年某国通过《举报人保护法》，要求企业建立匿名语音热线。内审部门在评估热线有效性时，应检查下列哪些指标？A.举报案件30天内闭环率B.经热线举报的贪腐案件行政处罚金额C.热线系统通话录音加密算法强度D.员工对热线匿名性的信任度调查得分E.热线运营成本占审计预算比例答案：A、B、D解析：A、B、D直接反映机制有效性与文化；C属技术安全，非效果；E为效率指标，非核心。25.（多选）某银行采用“量子密钥分发（QKD）”保护交易数据，内审师在测试QKD有效性时，应关注下列哪些风险？A.量子信道插入假信号攻击B.经典信道认证密钥预共享不足C.量子密钥过期后仍被重复使用D.量子随机数发生器存在后门E.量子比特误码率高于阈值导致密钥中断答案：A、B、C、D、E解析：QKD安全依赖量子与经典信道双重保障，所有选项均可能导致密钥泄露或服务中断。26.（多选）某集团将ESG指标纳入高管绩效，内审师在审计指标可靠性时，发现下列哪些情形将导致指标被判定为“重大错报”？A.范围三碳排放计算遗漏上游运输环节B.员工敬业度调查样本量仅覆盖总部员工C.董事会女性占比计算包含独立董事D.供应链社会责任审计未覆盖二级供应商E.温室气体排放数据未经外部核查答案：A、B、D解析：A、B、D导致指标不完整或不代表性；C合规；E未外部核查不一定错报，仅降低可信度。27.（多选）某零售集团使用“数字人民币智能合约”发放员工差旅费，合同约定“仅限指定酒店支付”。内审师在测试合约有效性时，应检查下列哪些控制？A.智能合约代码是否开源B.指定酒店白名单是否经HR与财务会签C.员工私钥是否托管在集团HSM中D.智能合约升级是否经多签治理E.数字人民币钱包是否启用生物识别答案：B、C、D解析：B保证白名单合规；C防止私钥泄露；D防止合约被恶意升级；A开源非强制；E为钱包安全，与合约逻辑无关。28.（多选）某集团建立“审计自动化工厂”，下列哪些角色组合最能体现“职责分离”原则？A.数据工程师负责采集日志，数据科学家负责建模B.模型验证人员与模型开发人员同属一个敏捷小组C.持续审计脚本由审计部编写，IT运维部拥有生产环境修改权D.审计结果推送API密钥由信息安全部保管E.模型参数调优由外部咨询公司完成，内部团队仅负责需求答案：A、C、D解析：A、C、D实现开发与运维、密钥与使用、采集与建模分离；B未分离；E虽外包但无内部独立验证，仍不足。29.（多选）某集团采用“同态加密”技术对供应商敏感数据进行联合分析，内审师在审计该方案时，应关注下列哪些风险？A.同态加密计算开销导致分析结果延迟B.供应商私钥被内部员工导出C.同态加密库存在侧信道漏洞D.分析结果解密后未设置水印追踪泄露E.同态加密方案仅支持整数运算导致精度损失答案：B、C、D、E解析：A为性能风险，非审计核心；B、C、D、E均可能导致数据泄露或结果错误。30.（多选）2025年某集团发布《内部审计职业道德白皮书》，下列哪些行为违反IIA《职业道德规范》？A.审计经理接受被审计单位赠送的NFT数字艺术品B.审计师将审计底稿上传至个人私有云以便周末加班C.审计师在社交媒体匿名吐槽被审计单位管理层D.审计师参加被审计单位付费的海外研讨会并领取差旅补贴E.CAE向董事会披露审计部使用生成式AI撰写报告答案：A、B、C、D解析：A、D属不当利益；B泄露机密；C损害职业声誉；E为正当披露，不违规。31.（案例分析）背景：2025年7月，某大型综合电商平台“CloudBuy”上线“AI团购”功能，由生成式AI实时拼单并动态定价。上线两周后，大量用户投诉“同款商品不同账号价差高达300%”，监管机构立案调查是否构成“大数据杀熟”。董事会要求内审部对算法合规性进行专项审计。资料：a.算法训练数据包含用户过去三年交易、浏览、售后、地理位置、设备型号、支付习惯、社交关系链；b.模型目标函数为“期望利润最大化”，约束条件仅包含库存、法律最低价；c.模型每日凌晨2点自动重训练，无人工复核；d.用户协议中仅模糊表述“平台有权根据市场情况调整价格”；e.算法团队未保存特征重要性日志，仅保留AUC、MAE指标。要求：（1）列出审计目标（至少3项）；（2）设计两条穿透测试程序，验证是否存在“杀熟”特征；（3）指出两项最严重的内控缺陷，并提出改进建议；（4）若审计结论确认存在差异化定价，但无法证明故意歧视，应如何出具审计意见？答案：（1）审计目标：①评估算法是否违反《个人信息保护法》关于“自动化决策透明与公平”要求；②评估算法是否存在对老客户、高黏性用户的不合理价格歧视；③评估模型重训练流程是否建立有效的人工复核与rollback机制；④评估用户协议是否充分披露算法定价逻辑并取得有效同意。（2）穿透测试程序：程序一：选取1000组“新、老用户各半”的虚拟账号，在相同IP、相同设备、相同时间、相同库存条件下对同一SKU发起团购请求，记录AI报价，使用双重差分法检验老用户均价是否显著高于新用户（显著性水平α=0.01）。程序二：对模型SHAP值进行反向工程，利用LIME局部解释工具提取前20位特征，检查是否包含“历史消费金额”“账号注册时长”等高敏感“杀熟”指示特征，并量化其边际价格弹性。（3）最严重内控缺陷与改进：缺陷一：模型目标函数未引入“公平性约束”，导致算法可任意利用用户价格敏感度差异。建议：在目标函数中加入“价格差异公平正则项”，如DemographicParity或EqualizedOdds，将公平性指标权重设为与利润同等级别。缺陷二：重训练无人工复核，变更管理缺失。建议：建立“算法发布委员会”，任何重训练版本须通过公平性、可解释性、性能三项评审，并设置48小时灰度观察期，保留rollback开关。（4）审计意见：由于无法证明平台存在“故意”歧视意图，依据IIA准则，应出具“保留意见”：说明审计发现差异化定价事实，但现有证据不足以断定违反法律法规；同时披露平台已采取的补救措施（如新增公平性约束、修订用户协议），并提醒董事会持续关注监管调查结果及潜在声誉风险。32.（案例分析）背景：2025年9月，某城商行“QuantumBank”宣布完成国内首笔“量子加密信贷”业务，使用量子密钥分发（QKD）保障信贷审批链路安全。业务上线一个月后，内审部发现：a.量子链路仅覆盖总行数据中心至分行机房，未延伸至客户经理笔记本；b.量子密钥池默认设定为“密钥使用一次即废弃”，但系统未检测密钥池耗尽状态，导致出现短暂回退至RSA2048；c.量子设备供应商为外资公司，维护工程师需跨境远程接入；d.量子密钥管理系统（QKMS）日志未记录密钥回退事件；e.监管部门要求11月底前提交量子加密合规报告。要求：（1）识别三类风险并评估等级（高、中、低）；（2）设计两项技术测试验证密钥回退是否被及时检测；（3）提出两项整改措施满足监管时效；（4）若银行未能及时整改，内审部应如何向审计委员会报告？答案：（1）风险识别与等级：①密钥池耗尽无感知导致回退至传统加密，属“密码降级”高风险；②跨境远程维护存在国家主权与后门风险，属“供应链安全”高风险；③日志缺失导致无法取证，属“审计轨迹缺失”中风险；④量子链路未覆盖终端，属“终端侧信道”中风险。（2）技术测试：测试一：使用量子密钥消耗模拟器，以每秒1000对密钥速率消耗，观察系统是否在密钥池低于阈值10%时触发告警并阻断新建会话，记录是否出现RSA回退及日志记录。测试二：通过旁路抓包，对信贷审批流量进行TLS指纹识别，检查是否出现非QKD-RSA密钥交换的CipherSuite，若出现则比对时间戳与QKMS日志，验证是否漏记。（3）整改措施：措施一：立即在QKMS中启用“密钥池耗尽自动熔断”功能，设置双重告警：密钥余量<20%时短信告警，<10%时自动拒绝新建连接，确保无回退。措施二：与供应商签署补充协议，限定跨境远程维护需经银行审批、使用一次性堡垒机账号、全程录屏，并引入国内第三方安全机构对维护行为进行旁路审计。（4）报告方式：内审部应以“红色事项”向审计委员会书面说明量子加密降级可能违反央行《量子加密金融应用指引》第8条，存在被暂停业务、罚款、声誉损失风险；同时提交整改时间表与责任人，建议审计委员会启动专项督导，若11月15日前仍无法完成，则建议董事会向监管申请延期并披露潜在影响。33.（案例分析）背景：2025年10月，某跨国矿业集团