2025年国际注册内部审计师CIA考试（内部审计实务）复习题库及答案

2025年国际注册内部审计师CIA考试（内部审计实务）复习题库及答案1.【单选】在确认某制造企业的环境合规性时，内部审计师最应关注下列哪一项证据的可靠性？A.企业EHS部门编制的年度排放汇总表B.第三方检测机构出具的废气监测报告原件C.生产经理在访谈中声称“排放从未超标”的口头说明D.企业微信公众号发布的绿色生产新闻稿答案：B解析：第三方独立报告具有外部来源、独立性与原始单据属性，可靠性最高；其余选项均存在管理层偏见或未经外部验证。2.【单选】审计抽样中，若总体变异性大、可容忍误差小，且期望置信水平95%，则下列哪种抽样方法最能同时满足效率与统计推断需求？A.货币单位抽样（PPS）B.属性抽样C.传统变量抽样（均值估计）D.停—走抽样答案：C解析：变量抽样可量化金额差错，且通过分层技术可降低变异性影响；PPS虽高效但对低估错报不敏感；属性与停—走抽样无法推断货币误差。3.【单选】在评估舞弊风险时，哪一项最符合“合理可能性”标准？A.采购经理与单一供应商私交甚密，且该供应商连续三次以最低报价中标B.财务总监过去五年从未休假C.仓库保安夜间巡逻记录缺失两天D.员工报销单粘贴不整齐答案：A解析：A项同时存在动机、机会与异常迹象，符合IIA实务指南“合理可能性”阈值；其余项虽可作为线索，但尚未达到合理可能程度。4.【单选】审计工作底稿的归档期限，以下哪项符合IIA标准要求？A.审计报告发布之日起30天B.审计报告发布之日起90天C.首席审计执行官批准报告之日起30天D.首席审计执行官批准报告之日起90天答案：D解析：IPPF2330.A1要求“不得晚于业务最终沟通后90天”，最终沟通以CAE批准报告日为标志。5.【单选】下列哪项最能体现内部审计在ERM（企业风险管理）中的“合理确认”角色？A.设定企业风险偏好B.对风险管理过程提供独立评估C.承担剩余风险监测的日常职责D.批准风险应对策略答案：B解析：IIA立场文件明确内部审计不承担管理责任，而是通过独立确认帮助董事会/高级管理层评估ERM有效性。6.【单选】在审计企业云存储的访问控制时，最优先的测试步骤是：A.检查云服务商SOC2报告B.抽样复核离职员工账户是否及时注销C.访谈CIO了解加密算法强度D.观察数据中心双因子门禁答案：B解析：用户生命周期管理缺陷直接产生“未授权访问”风险，且测试成本低、见效快；SOC2虽重要但属于外部证据，不能替代自身控制测试。7.【单选】以下哪项最能支持内部审计对“持续经营”假设的评估？A.未来五年资本预算B.银行授信函C.管理层现金流量预测及敏感性分析D.行业研究报告答案：C解析：现金流量预测直接反映偿债能力与资金缺口，且敏感性分析揭示不利情景下的缓冲空间；授信函仅为外部融资意愿，不保证实际放款。8.【单选】在运用CAATs分析采购订单时，发现同一供应商编号对应两个不同银行账户，内部审计师应首先：A.向供应商发函确认账户B.比对供应商主数据变更日志C.检查采购合同付款条款D.报告舞弊嫌疑并申请暂停付款答案：B解析：优先验证“变更是否经适当审批”，以区分系统错误与舞弊；若日志显示未经授权修改，再升级为舞弊调查。9.【单选】下列哪项最能降低“审计结论过度外推”风险？A.扩大样本量至总体10%B.在审计报告中披露抽样方法与置信区间C.采用非统计抽样D.将发现金额调整至财务报表答案：B解析：披露抽样技术与区间可让报告使用者正确理解结论局限；单纯扩大样本量并不能消除外推偏差；非统计抽样反而降低透明度。10.【单选】在评估企业社会责任（CSR）报告披露完整性时，最适用的鉴证框架是：A.IPPFB.AA1000C.COSOD.ISO27001答案：B解析：AA1000专为可持续发展信息鉴证设计，含包容性、实质性、回应性原则；IPPF面向内部审计；COSO聚焦内控与ERM；ISO27001为信息安全。11.【单选】审计委员会最期望内部审计在下列哪方面提供“增值”建议？A.编制年度预算B.识别成本节约机会并量化潜在收益C.选择外包供应商D.审批薪酬政策答案：B解析：识别节约机会属于咨询活动，与内部审计的“评价与改进”职能一致；其余项属管理职责。12.【单选】在审计远程员工差旅费时，下列哪项技术最能发现“拆分报销”舞弊？A.Benford定律分析B.文本挖掘发票号码C.关联分析（同日报销多笔小额交通费）D.趋势分析月度差旅总额答案：C解析：拆分报销特征为“人为将单笔大额拆成多笔小额”，关联分析可识别同一日期、同类费用异常集中；Benford定律对小额数据敏感但解释性差。13.【单选】下列哪项最能支持内部审计对“数据治理”成熟度评估？A.数据字典版本号B.数据质量KPI趋势图C.数据资产目录覆盖比例D.数据备份日志答案：C解析：资产目录覆盖比例直接反映“数据责任归属”与“分类分级”完成度，是治理基础；备份日志仅体现可用性，不涉治理。14.【单选】在审计企业采用AI模型进行信贷审批时，最应关注的固有风险是：A.模型过拟合B.训练数据偏差导致歧视C.算法黑箱不可解释D.服务器宕机答案：B解析：信贷歧视可能违反公平信贷法规，产生合规与声誉风险；虽其余选项亦重要，但“偏差”属于最典型且难以事后发现的固有风险。15.【单选】下列哪项最能体现内部审计的“职业怀疑”？A.对管理层解释进行交叉验证B.采用随机抽样C.与前任审计师沟通D.签署独立性声明答案：A解析：职业怀疑要求“质疑精神”与“corroboration”，交叉验证属典型做法；随机抽样仅为技术手段；独立性声明是合规动作。16.【单选】在评估企业“零信任”架构时，内部审计师发现网络微分段未覆盖遗留SCADA系统，最恰当的建议是：A.立即断开SCADA网络B.评估补偿控制（如防火墙白名单、物理隔离）C.将SCADA系统迁移至云端D.接受管理层剩余风险答案：B解析：遗留系统常因实时性要求无法立即改造，优先评估补偿控制；盲目断网影响生产；迁移云端不现实；接受风险需先量化。17.【单选】下列哪项最能证明内部审计部门“质量保证与改进项目（QAIP）”有效性？A.每五年外部评估一次B.年度关键绩效指标（KPI）达标C.外部评估结论“总体遵循”D.董事会批准审计章程答案：C解析：IPPF1312要求外部评估对“遵循标准”发表结论；“总体遵循”即有效；五年周期是最低要求，非充分证据。18.【单选】在审计企业并购后的整合时，最应关注的“协同效应”风险是：A.文化冲突导致关键人才流失B.收购方股价波动C.反垄断调查D.汇率变动答案：A解析：人才流失直接削弱协同效应实现；其余项为交易或宏观风险，非整合阶段特有。19.【单选】下列哪项最能支持内部审计对“ESG评级机构”工作的依赖？A.评级机构公开方法论B.评级机构接受SEC监管C.评级机构提供有限保证D.评级机构声誉良好答案：C解析：内部审计可依赖第三方工作，但需评估其提供的保证程度；有限保证符合IPPF2050要求；公开方法论不等于质量控制。20.【单选】在审计企业区块链应收账款系统时，发现智能合约无“紧急暂停”功能，最可能的审计结论是：A.存在密钥泄露风险B.存在逻辑漏洞导致资金永久锁定C.存在共识机制缺陷D.存在合规风险答案：B解析：无暂停功能意味着一旦逻辑缺陷或价格预言机攻击，资金无法撤回；与密钥泄露无关；共识机制属链层；合规风险需具体法规。21.【多选】下列哪些程序能有效发现“ghostemployee”舞弊？（选三项）A.比对工资系统与门禁系统记录B.复核工资银行代发文件与员工账户一致性C.观察生产车间现场点名D.检查员工档案社保缴纳记录E.重新计算绩效奖金答案：A、B、D解析：ghostemployee特征为“虚构人头”，需验证实体存在与银行账号归属；现场点名对远程员工无效；绩效奖金计算不涉及存在性。22.【多选】在评估企业“反洗钱（AML）”程序时，内部审计应关注哪些关键指标？（选三项）A.可疑交易报告（STR）数量与质量B.客户尽职调查（CDD）完成率C.制裁名单筛查命中率D.外汇套期保值比率E.大额现金交易比率答案：A、B、C解析：STR、CDD、制裁筛查直接反映AML有效性；外汇套保属财务风险；大额现金比率仅提供背景信息。23.【多选】下列哪些情形可能导致内部审计违反“客观性”原则？（选三项）A.审计师持有被审计单位股票B.审计师去年曾负责该领域运营C.审计师接受被审计单位赠送演唱会门票D.审计师配偶在被审计单位任财务经理E.审计师临时借调被审计单位三个月答案：A、C、D解析：B、E属自我复核风险，但可通过冷却期或披露缓解；A、C、D直接产生经济利益或亲密关系，违反守则。24.【多选】在审计企业“碳排放”数据时，下列哪些属于直接排放（Scope1）？（选三项）A.自有锅炉燃煤排放B.外购电力生产排放C.自有车辆柴油排放D.员工通勤自驾排放E.工艺过程化学反应排放答案：A、C、E解析：Scope1为“直接拥有或控制”的排放；外购电力属Scope2；员工通勤属Scope3。25.【多选】下列哪些工具可用于“持续审计”监控？（选三项）A.ACLRoboticsB.PowerBI仪表板C.脚本自动化（Python+SQL）D.纸质盘点表E.电子邮件审批答案：A、B、C解析：持续审计依赖自动化与可视化；纸质与邮件为手工流程，无法实现实时。26.【多选】在评估企业“业务连续性计划（BCP）”时，下列哪些测试方式能验证“RTO”达标？（选三项）A.桌面演练B.部分切换演练C.全量热备切换演练D.渗透测试E.供应商问卷答案：B、C解析：RTO需实际测量系统恢复时间；桌面演练仅评估流程熟悉度；渗透测试与问卷不涉切换时间。27.【多选】下列哪些属于“内部控制五要素”中的“信息与沟通”？（选三项）A.数据质量治理政策B.员工举报热线C.管理层季度经营分析会D.年度内控自评问卷E.访问控制矩阵答案：A、B、C解析：D属监控活动；E属控制活动；A、B、C均涉信息质量与沟通渠道。28.【多选】在审计企业“开源软件”使用时，下列哪些合规风险最突出？（选三项）A.GPL传染条款导致私有代码被迫开源B.MIT许可证要求保留版权声明C.第三方库存在CVE高危漏洞D.商业许可证采购成本超预算E.开源组件缺乏技术支持答案：A、B、C解析：A、B为许可证合规；C为安全；D、E为运营与成本，非合规。29.【多选】下列哪些指标可用于衡量内部审计部门“增值”效果？（选三项）A.审计建议被采纳率B.审计覆盖风险资产比例C.审计发现问题净回收金额D.审计人员平均加班时长E.客户满意度调查评分答案：A、C、E解析：B衡量范围非增值；D为效率但非效果；A、C、E直接体现改进与满意。30.【多选】在审计企业“数据跨境传输”时，下列哪些控制可降低合规风险？（选三项）A.标准合同条款（SCC）签署B.数据出境安全评估申报C.本地化备份D.数据分类分级E.对称加密算法答案：A、B、D解析：C为可用性；E为保密性；A、B、D直接对应法规要求。31.【判断】根据IIA标准，内部审计在发现重大舞弊迹象时可免除“成本效益”原则，立即扩大测试范围。答案：正确解析：IPPF1220.A1指出，当重大风险（含舞弊）涉及公众利益或法律要求时，成本效益限制不适用。32.【判断】在运用数据分析发现异常后，内部审计可直接将结果作为“充分、适当”的证据，无需再获取管理层解释。答案：错误解析：数据分析结果需corroboration，必须结合问询、文件等证据，避免“唯数据论”。33.【判断】企业采用“零基预算”后，内部审计无需再评估预算编制的“合规性”，因所有支出均需重新论证。答案：错误解析：零基预算仅改变编制逻辑，仍需验证审批流程、政策遵循与数据准确性。34.【判断】若被审计单位已聘请“四大”进行外部鉴证，内部审计可完全依赖其结论，不再重复测试。答案：错误解析：IPPF2050要求评估外部工作独立性、范围与适当性，内部审计仍需抽样复核。35.【判断】在审计企业“敏捷开发”项目时，由于迭代周期短，内部审计无需检查需求文档，只需测试最终功能。答案：错误解析：敏捷仍需用户故事、验收标准等证据，内部审计应评估“定义完成（DoD）”与持续集成记录。36.【判断】“合理保证”意味着内部审计只需发现“重大”风险，无需关注“微小”控制缺陷。答案：错误解析：合理保证指风险降至“低”水平，仍应汇总微小缺陷并评估累积影响。37.【判断】在审计企业“数字货币”投资时，内部审计应重点关注“私钥管理”而非“公允价值计量”。答案：正确解析：私钥一旦丢失即永久丧失资产；公允价值虽重要，但属财务报告范畴，内部审计优先关注保管风险。38.【判断】内部审计师在社交媒体发表被审计单位负面信息，只要不透露机密，即不违反“保密”原则。答案：错误解析：IPPF3.2要求不得损害组织声誉，负面信息即使匿名也可能被识别，违反守则。39.【判断】“风险appetite”与“risktolerance”在实务中可互换使用，不影响审计结论。答案：错误解析：Appetite为“愿意承受的风险总量”，Tolerance为“围绕目标可接受的偏差范围”，混淆会导致误判风险水平。40.【判断】在审计企业“绿色债券”募集资金使用时，内部审计应参照ICMA《绿色债券原则》进行评估。答案：正确解析：该原则提供资金追踪、项目评估与报告框架，符合国际最佳实践。41.【填空】IPPF要求内部审计在“沟通结果”时，必须包含____、____与____三要素。答案：审计目标、范围、结论42.【填空】在统计抽样中，若期望置信水平从90%提高到95%，样本量将____（增加/减少）。答案：增加43.【填空】COSOERM2017框架将“战略与目标设定”置于____象限。答案：第一44.【填空】内部审计在评估“第三方风险管理”时，通常将供应商分为“关键”、“重要”与____三级。答案：“一般”45.【填空】“双重目的测试”同时测试____与____。答案：控制有效性、账户余额准确性46.【填空】在数据治理中，____角色负责批准数据质量标准。答案：数据治理委员会（或DataGovernanceCouncil）47.【填空】根据SOX404，管理层需对“财务报告内部控制”发表____类型意见。答案：有效性48.【填空】“差额估计抽样”适用于____误差呈正态分布的总体。答案：货币49.【填空】在审计企业“物联网（IoT）”设备时，最应关注____层协议的安全实现。答案：通信/传输50.【填空】IIA“三道防线”模型中，内部审计属于第____道防线。答案：三51.【简答】描述内部审计在“ESG”主题下如何平衡“确认”与“咨询”角色，并给出具体示例。答案：内部审计首先通过独立确认，评估ESG数据收集、报告流程的可靠性与合规性，如抽样验证碳排放计算准确性；其次，在确认基础上提供咨询，协助管理层建立ESG指标监测仪表板，将审计发现的缺陷转化为改进建议，例如引入区块链溯源提升供应链透明度。审计需明确区分两种服务的界限，确认业务保持独立，咨询业务需管理层申请且不损害客观性。52.【简答】阐述“持续审计”与“持续监控”的区别，并说明内部审计如何利用后者提升效率。答案：持续审计是内部审计部门主动、独立地以自动化方式对关键风险进行实时或近实时评估；持续监控则是管理层日常运行的控制活动，如系统自动比对采购订单与收货单。内部审计可嵌入审计规则至监控平台，将异常推送转为审计线索，减少现场测试时间；同时评估监控设计的有效性，避免重复建设。通过ServiceLevelAgreement明确监控指标阈值，审计从“事后检查”转为“事前预防”，提升审计覆盖面与响应速度。53.【简答】说明在审计“云原生”微服务架构时，如何评估“API安全”风险，并列出三项具体测试。答案：首先识别API资产清单，包括版本、所有者、敏感数据分类；其次评估认证授权设计，如OAuth2.0范围是否最小化；最后进行渗透测试与代码审查。具体测试：1.使用Postman批量验证JWT令牌过期后仍能否访问资源（令牌续期缺陷）；2.利用OWASPZAP扫描开放API是否存在批量分配（MassAssignment）漏洞；3.检查API网关日志，分析同一IP在短时间内高频调用不同端点，识别撞库或爬虫行为。将发现与CWE-285（授权不当）映射，量化风险等级并提出补偿控制，如引入WAF规则与速率限制。54.【简答】当内部审计发现“管理层凌驾”迹象时，应如何设计进一步程序以获取“说服性”证据？答案：采用“三角印证”策略：1.获得IT管理员超级用户日志，比对凌驾交易时间戳与管理层行程；2.访谈不同层级员工，包括交易录入员、复核员，使用结构化问卷降低社会期望偏差；3.获取外部第三方证据，如银行对账单、客户确认函，验证交易真实性；4.执行CAATs，分析凌驾账户的异常特征，如月末大额调整随后月初冲回；5.将发现汇总至“管理层凌驾风险矩阵”，量化频率与金额，与审计委员会进行“执行会议”闭门沟通，确保信息直达。55.【简答】解释“风险导向审计”在制定“年度审计计划”时的五步流程，并指出如何嵌入“新兴技术”风险。答案：1.风险识别：采用PESTEL、SWOT与专家访谈，列出战略、运营、合规、财务报告四类风险；2.风险评估：使用概率影响矩阵，结合历史损失数据与情景分析，量化固有风险；3.风险排序：以“风险得分×董事会关注度”加权，生成风险热图；4.资源匹配：根据审计资源与专业技能，将高风险领域优先排期，并预留15%弹性窗口；5.计划批准：提交审计委员会审议，动态调整。嵌入新兴技术风险时，增设“技术雷达”小组，跟踪AI、量子加密、数字孪生等趋势，每季度更新技术风险清单，如AI模型偏见导致歧视诉讼，将其纳入合规风险并分配具备数据科学背景的审计经理负责，确保计划前瞻性与专业性。56.【案例分析】背景：某上市公司2024年上线“动态定价”算法，根据客户画像实时调整商品售价。2025年2月，消费者协会投诉称该公司存在“大数据杀熟”行为。董事会要求内部审计评估算法合规性与伦理风险。问题：a.列出审计目标与范围；b.设计三项具体测试程序；c.若发现VIP客户价格显著高于新客，如何形成审计结论与建议。答案：a.审计目标：评估动态定价算法在客户差异化定价中的合规性（含《个人信息保护法》《价格法》）、公平性与数据使用伦理；范围涵盖算法设计文档、训练数据来源、模型验证记录、定价日志、客户投诉处理流程。b.测试程序：1.抽样获取30天内同一SKU、同一时段、不同客户ID的成交价格，使用回归分析检验“购买历史频次”对价格系数是否显著为正；2.检查训练数据是否包含受保护特征（如年龄、性别），通过LIME解释性工具查看特征权重；3.追踪客户投诉台账，评估公司是否在15日内完成价格解释与退费。c.若回归结果显示VIP系数显著为正且幅度>5%，且模型使用“历史消费金额”作为高权重特征，审计结论为：算法存在对老客户更高定价的统计证据，可能违反《价格法》第十四条“价格歧视”精神，并损害品牌声誉。建议：1.立即引入“价格上限”规则，确保老客户溢价不超过新客3%；2.在APP显著位置提供“价格说明”按钮，披露定价因素；3.建立算法伦理委员会，每季度审查模型公平性指标（如demographicparity），内部审计进行后续跟踪审计。57.【案例分析】背景：某制造企业采用“供应商预付款融资”模式，银行依据企业应付账款为供应商提供低息贷款。2025年Q1，内部审计发现某供应商在获得融资后30天内注销营业执照，预付款100万美元无法追回。问题：a.指出该业务模式下关键控制缺陷；b.设计“持续性”监控指标；c.提出三项改进建议并说明如何验证有效性。答案：a.关键缺陷：1.未对供应商准入进行持续资信监控，缺乏“异常注销”预警；2.预付款融资合同未要求供应商提供“存续保证”条款；3.银行、企业与供应商三方数据未共享，导致注销信息滞后30天。b.监控指标：1.供应商注销天数与融资发放日间隔（目标>90天）；2.预付款融资余额占该供应商过去12个月交易额比例（设定阈值50%）；3.银行回款逾期率（目标<1%）。c.建议：1.引入第三方工商数据API，每日比对供应商经营状态，触发即冻结融资额度；验证：模拟已注销供应商名单，检查系统是否T+1自动预警。2.修订合同，要求供应商大股东签署“连带担保”，并提交年度财务报表；验证：抽样10份新合同，确认条款存在且经法务审核。3.建立银企数据共享平台，银行每日推送放款状态，企业实时更新应付账款；验证：通过CAATs比对平台数据与ERP应付账款一致性，差异率目标0%。58.【案例分析】背景：某零售集团2025年启用“无人门店”，通过视觉识别自动扣款。门店日均客流量2000人，系统识别准确率98.5%，但消费者投诉错扣款事件频发。问题：a.识别三类运营风险；b.设计审计程序评估“收入完整性”；c.若测试发现1%交易未识别，如何估算年度潜在损失并提出控制。答案：a.风险：1.技术风险：摄像头遮挡、光线干扰导致漏识别；2.合规风险：未经消费者明示同意收集生物特征；3.财务风险：漏识别导致收入低估，错识别导致退款与声誉损失。b.审计程序：1.从云端下载30天原始视频，使用计算机视觉重新跑模型，比对结果与系统记录，计算漏识率与误识率；2.抽样100笔争议退款，追踪是否系统日志缺失；3.比对门店POS系统与银行到账金额，验证是否一致。c.估算：日均2000笔×1%×客单价80元×365天=58.4万元年度损失。控制：1.增设“二次确认”闸机，未识别商品触发扫码支付；