2025年国际注册内部审计师（CIA）资格考试（内部审计知识要素）测试题及答案

2025年国际注册内部审计师（CIA）资格考试（内部审计知识要素）测试题及答案1.单选题（每题1分，共40分）1.某制造企业在2024年上线了一套基于区块链的供应商协同平台，内部审计师在评估其数据完整性时，最应关注下列哪一项控制目标？A.交易不可抵赖性B.供应商评级实时更新C.智能合约执行效率D.节点地理分布合理性答案：A解析：区块链的核心价值之一即通过哈希与共识机制保证交易不可篡改与不可抵赖，数据完整性审计应首先验证该目标是否达成。2.在敏捷开发环境下，内部审计师希望评估产品负责人（PO）是否存在“功能镀金”风险，下列哪项审计程序最具说服力？A.比对用户故事点数与迭代实际工时B.检查PO的绩效考核指标是否包含“创新加分”C.抽样回顾会议记录，追踪未被客户提出的功能是否进入迭代D.观察每日站会时长是否超时答案：C解析：功能镀金指未经客户要求而增加额外功能，直接证据来自回顾会议中未在原始需求池出现的功能却被排入迭代。3.2025年1月，欧盟《CSRD》正式生效，要求披露范围3碳排放。某跨国公司委托内部审计部门对碳数据进行鉴证，内部审计师应首先：A.复核第三方核查机构的ISO14064资质B.评估公司自开发的碳排因子库是否经过外部专家评审C.测试SAP新模块中运输排放计算的逻辑完整性D.走访工厂验证电表读数答案：B解析：范围3排放依赖大量外购数据与排放因子，其准确性直接决定披露可靠性，内部审计应优先评估因子库的科学性与独立性。4.对采用“零信任”架构的银行，内部审计师在测试身份验证控制时，下列哪项最可能表明存在“过度信任”缺陷？A.多因素令牌有效期为8小时B.特权用户每次访问微服务均需重新进行风险评分C.服务账户在容器重启后继承原令牌D.用户行为分析引擎将“新设备”风险权重设为0.3答案：C解析：零信任要求“持续验证、永不信任”，服务账户继承令牌意味着未对重启后的身份进行重新验证，违背该原则。5.某上市公司使用机器学习模型预测客户流失，内部审计师怀疑模型存在“样本偏差”，下列哪项测试最能量化偏差程度？A.计算训练集与验证集的KS统计量差异B.对敏感特征进行SHAP值分析C.使用独立外部数据集重新训练并比较召回率D.检查特征工程日志是否记录缺失值填补方法答案：C解析：用完全外部数据重新训练可排除原样本选择偏差，若召回率显著下降，则表明原模型过拟合于特定样本。6.在审计企业ESG债券募集资金使用时，内部审计师发现部分款项被暂时用于补充营运资金，但公司承诺30日内归还。根据ICMA《绿色债券原则》，该情形最可能被定性为：A.合规，因期限短且披露充分B.不合规，因用途变更未征得第二意见方同意C.合规，若资金池账户每日余额不低于挪用金额D.不合规，因任何短期流动性用途均被禁止答案：B解析：绿色债券资金一旦确定用途，不得随意变更；即使短期调用也需征得第二意见方及投资者同意，否则视为违规。7.对采用“云原生”架构的保险公司，内部审计师在评估“配置漂移”风险时，最应依赖哪类证据？A.Git仓库的commit记录B.容器镜像的SHA256摘要C.运行时配置与基线的实时比对报告D.基础设施即代码(IaC)的单元测试结果答案：C解析：配置漂移指运行环境与基线不一致，实时比对报告可直接发现未授权变更，其他选项仅体现构建时或静态状态。8.某大型零售商使用机器人流程自动化（RPA）处理供应商发票，内部审计师发现bot在异常情况下仍继续执行并生成错误凭证。该缺陷最可能源于：A.缺少异常处理分支B.未对bot进行版本控制C.缺少职责分离D.未加密日志答案：A解析：异常处理分支决定bot在遇到非预期输入时是否暂停并报警，缺失该分支会导致错误持续放大。9.在审计企业数据治理时，内部审计师发现“数据所有者”与“数据管家”角色由同一人担任，该情形最可能导致：A.数据质量指标被高估B.数据分类分级延迟C.访问权限回收不及时D.元数据标准不统一答案：A解析：数据所有者负责定义质量要求，数据管家负责监控与报告，两者合一将削弱独立复核，质量指标易被操纵。10.某银行采用“联邦学习”反洗钱模型，内部审计师需验证参与方是否存在“数据投毒”攻击，下列哪项程序最有效？A.检查模型聚合算法的加权策略B.比对各参与方上传梯度与历史基线的偏离度C.复核参与方数据本地清洗脚本D.测试通信通道的加密强度答案：B解析：数据投毒表现为梯度异常，偏离度统计可快速定位可疑参与方。11.在审计企业第三方风险管理时，内部审计师发现高风险供应商未纳入年度现场检查计划，其根本原因最可能是：A.风险评分模型未考虑地缘政治因素B.供应商自评估问卷未收集外包情况C.风险矩阵阈值设置过高D.内部审计资源不足答案：C解析：阈值过高导致高风险供应商被错误归类为中等风险，从而逃避现场检查。12.某能源公司使用无人机巡检输电线路，内部审计师在评估其“持续运营”能力时，最应关注：A.无人机电池供应链的集中度B.图像识别算法的F1分数C.无人机飞行员培训时长D.空域申请流程的周期答案：A解析：电池是受限关键件，若供应商单一，geopolitical或自然灾害将直接中断巡检。13.在审计企业“零基预算”实施效果时，内部审计师发现某部门连续三年“决策包”成本削减比例低于5%，该情形最可能表明：A.预算松弛B.增量思维回潮C.成本效益分析技术不足D.决策包颗粒度过细答案：B解析：零基预算要求每年从零论证，若削减比例极低，说明部门仍沿用“去年基数+调整”模式，增量思维回潮。14.某科技公司采用“DevSecOps”模式，内部审计师在评估“安全左移”效果时，最应检查：A.每次代码提交是否触发SASTB.生产环境漏洞修复平均时长C.安全工单在Jira中的优先级分布D.安全培训覆盖率答案：A解析：安全左移强调在编码阶段即发现漏洞，SAST（静态应用安全测试）是最直接证据。15.在审计企业“碳抵消”项目时，内部审计师发现某林业碳汇项目存在“重复计算”嫌疑，下列哪项证据最具决定性？A.项目注册机构与VCS数据库记录不一致B.项目所在地卫星图片显示砍伐迹象C.项目业主同时向两家registry提交D.第三方核证机构未进行现场签发答案：A解析：注册机构与VCS数据库不一致直接说明同一减排量被多次登记，属于决定性证据。16.某医疗集团使用“同态加密”技术进行多中心临床研究，内部审计师在评估数据机密性时，最需验证：A.密钥托管方是否获得患者明示同意B.加密参数是否满足128位安全强度C.计算结果解密权限是否仅限于伦理委员会D.加密芯片是否通过FIPS140-3认证答案：C解析：同态加密允许密文运算，但结果解密环节若权限泛滥，仍会导致患者隐私泄露。17.在审计企业“反舞弊”程序时，内部审计师发现举报热线接通率仅为75%，其最大风险是：A.不符合SOX404要求B.舞弊线索丢失C.员工对道德准则认知不足D.无法通过外部质量评估答案：B解析：接通率低直接导致潜在举报被阻断，舞弊线索无法进入调查流程。18.某电商平台采用“直播带货”模式，内部审计师在评估收入确认准确性时，发现部分订单在“7天无理由退货”期满后才确认收入，该做法：A.符合IFRS15，因退货权已失效B.不符合IFRS15，因应估计退货率并确认资产C.符合USGAAP，但不符合IFRSD.不符合任何准则，应即时报税答案：B解析：IFRS15要求企业在转让控制权时估计退货并确认“退款负债”及“退货资产”，不能简单推迟。19.在审计企业“数字孪生”工厂时，内部审计师发现虚拟传感器数据延迟超过200ms，该缺陷最可能导致：A.产能利用率指标虚高B.预测性维护误报C.能耗基准失效D.数字线程中断答案：B解析：延迟过高使异常信号不能及时触发模型，导致预测性维护错过最佳停机窗口或误报。20.某银行使用“可解释人工智能（XAI）”审批贷款，内部审计师需验证模型拒绝放贷的决策是否符合“公平借贷”法规，其首要步骤是：A.检查训练数据是否包含受保护特征B.对拒绝样本进行反事实生成，观察种族替换后结果C.计算不同族群间的FDR差异D.复核模型开发文档是否记录解释方法答案：B解析：反事实生成可直接测试若申请人仅改变受保护特征（如种族）是否结论变化，是监管认可的公平性测试。21.某跨国企业采用“全球共享服务中心”处理应付账款，内部审计师在评估“串谋”风险时，最应执行：A.供应商与员工银行账户的地址匹配B.对账差异的月度趋势分析C.发票单价与采购订单单价的容忍度测试D.审批层级的DOD测试答案：A解析：串谋常表现为虚假供应商或员工冒充供应商，地址匹配可发现可疑重叠。22.在审计企业“生物多样性”风险时，内部审计师发现某矿区未进行“物种迁徙走廊”评估，该缺失最可能影响：A.TNFD披露质量B.ISO14001认证C.社会责任债券发行D.采矿权续期答案：A解析：TNFD（自然相关财务披露）框架要求评估运营对生态连通性的影响，缺失迁徙走廊评估将直接降低披露质量。23.某互联网公司采用“边缘计算”处理用户位置数据，内部审计师在评估GDPR合规时，最需关注：A.边缘节点是否存储数据超过24小时B.数据主体拒绝权是否可在边缘侧实时生效C.数据匿名化算法是否满足差分隐私D.数据出境是否通过SCC协议答案：B解析：GDPR强调数据主体权利即时响应，边缘侧若无法实时删除或停止处理，将违反第17条“被遗忘权”。24.在审计企业“并购后整合”时，内部审计师发现被收购方IT系统未在18个月内退役，其最大风险是：A.维护成本超预算B.无法获得协同效应C.合规框架不一致D.商誉减值答案：C解析：系统未退役意味着控制框架可能仍沿用旧标准，导致集团层面合规缺口。25.某保险公司推出“参数保险”产品，内部审计师在评估准备金充足性时，发现触发参数与损失之间存在基差风险，该风险应计入：A.保险风险B.信用风险C.市场风险D.操作风险答案：A解析：基差风险指参数与实际损失偏离，仍属保险风险范畴。26.在审计企业“生成式AI”使用政策时，内部审计师发现员工将客户反馈输入公共ChatGPT以生成营销文案，该行为最可能违反：A.数据分类政策B.外包政策C.可接受使用政策D.备份政策答案：C解析：公共生成式AI属于外部服务，输入客户反馈即构成数据外泄，违反可接受使用政策。27.某零售集团采用“暗黑工厂”模式，内部审计师在评估“无人仓”安全时，最应检查：A.机械臂的安全补丁级别B.紧急停止按钮的响应时间C.视觉导航系统的训练数据偏差D.无人仓与外部网络的物理隔离答案：D解析：物理隔离可防止远程入侵直接控制设备，是无人仓首要安全屏障。28.在审计企业“气候情景分析”时，内部审计师发现管理层仅使用1.5℃情景，未考虑“无序转型”情景，该缺失最可能影响：A.IFRSS2披露B.资本充足率C.可持续挂钩贷款KPID.投资组合VaR答案：A解析：IFRSS2要求披露多种气候情景包括无序转型，缺失将导致披露不完整。29.某银行采用“开放银行API”模式，内部审计师在评估“速率限制”控制时，发现第三方每秒调用超过500次仍未触发限流，该缺陷最可能导致：A.数据完整性受损B.拒绝服务攻击C.客户隐私泄露D.监管罚款答案：B解析：速率限制缺失会使API成为DDoS攻击入口，导致服务不可用。30.在审计企业“数字员工体验”时，内部审计师发现员工需登录7个不同系统才能完成一次报销，该情形最可能导致：A.流程效率风险B.身份提供者风险C.凭证填充攻击D.职责分离失效答案：A解析：系统碎片化降低效率，增加错误与绕行可能，属流程效率风险。31.某电信公司使用“网络功能虚拟化（NFV）”，内部审计师在评估“编排器”安全时，最需验证：A.VNF镜像签名证书有效期B.编排器是否使用最小权限访问HypervisorC.虚拟防火墙规则是否默认拒绝D.MANO接口是否使用TLS1.3答案：B解析：编排器权限过高可直接控制底层资源，最小权限是核心控制。32.在审计企业“可持续供应链”时，内部审计师发现某关键供应商未披露“范围3”排放，该缺失最可能影响：A.企业自身范围3类别1排放B.企业范围2排放C.企业CDP评分D.企业营运资本答案：A解析：类别1为“购买商品与服务”，供应商未披露将迫使企业使用估计值，降低数据质量。33.某基金公司采用“分布式账本”记录基金份额，内部审计师在评估“最终性”风险时，应重点检查：A.共识算法是否支持即时最终性B.节点地理分布是否满足监管要求C.私钥托管是否符合SSAE18D.智能合约是否可升级答案：A解析：最终性决定交易是否可撤销，若算法不支持，将产生双重赎回风险。34.在审计企业“员工健康数据”处理时，内部审计师发现智能手环数据被用于精算团体保险费率，该做法需首先：A.获得员工明示同意B.进行数据保护影响评估（DPIA）C.匿名化处理D.向监管机构报备答案：B解析：健康数据属敏感数据，用于精算构成高风险处理，GDPR要求先完成DPIA。35.某制造企业采用“增材制造”技术，内部审计师在评估知识产权风险时，最应检查：A.3D打印文件是否嵌入数字水印B.打印材料是否为进口C.打印机喷嘴寿命D.打印件密度偏差答案：A解析：数字水印可追踪文件泄露源头，是保护CAD文件的核心技术控制。36.在审计企业“净零承诺”时，内部审计师发现管理层使用“避免排放”作为减排指标，该做法最可能：A.被TCFD质疑B.导致“漂绿”指控C.影响ESG评级D.增加审计费用答案：B解析：避免排放难以验证且非企业直接减排，易被外界视为漂绿。37.某航空公司采用“预测性维修”模型，内部审计师在评估模型风险时，发现训练数据未包含COVID-19期间停飞数据，该缺失最可能导致：A.模型过估计故障率B.模型低估腐蚀风险C.模型无法解释D.模型延迟收敛答案：B解析：停飞期间飞机湿度循环变化加剧腐蚀，缺失该数据将低估风险。38.在审计企业“加密资产”披露时，内部审计师发现公司将自持比特币列为“无形资产”并按成本计量，该做法符合：A.IFRS38B.USGAAPASC350C.AICPA实践指引D.以上皆不符合答案：D解析：现行IFRS与USGAAP均未提供专门指引，但将高波动比特币列为无形资产并成本计量不能反映经济实质，需按公允价值。39.某物流公司采用“自动驾驶卡车”运输，内部审计师在评估“网络安全”时，最需验证：A.激光雷达固件签名B.高清地图更新频率C.远程接管权限的MFAD.车辆保险是否覆盖网络攻击答案：C解析：远程接管若被劫持，将直接威胁公共安全，MFA是核心控制。40.在审计企业“混合办公”模式时，内部审计师发现员工使用个人打印机处理客户资料，该行为最可能违反：A.资产安全政策B.物理环境保护政策C.可接受使用政策D.记录保留政策答案：B解析：个人打印机位于不可控环境，客户资料可能被非授权访问，违反物理环境保护。2.多选题（每题2分，共30分）41.内部审计师在评估企业“生成式AI”治理时，下列哪些指标可用于衡量“模型幻觉”风险？A.事实一致性得分（FactualConsistencyScore）B.Rouge-LC.答案拒绝率（RefusalRate）D.温度参数设置E.提示词长度答案：A、C、D解析：FCS直接衡量输出与事实一致程度；拒绝率高表明模型对不确定问题选择不回答，降低幻觉；温度参数越高，随机性越大，幻觉风险增加。Rouge-L仅衡量摘要重叠度，提示词长度与幻觉无直接因果。42.在审计企业“气候风险”时，内部审计师应关注下列哪些物理风险类型？A.急性风险B.转型风险C.慢性风险D.声誉风险E.市场风险答案：A、C解析：物理风险分为急性（如台风）与慢性（如海平面上升），转型、声誉、市场属另一类。43.某银行采用“实时支付”系统，内部审计师在评估“反洗钱”有效性时，应检查哪些控制？A.实时制裁名单筛查B.延迟24小时结算C.交易链路可追踪D.模型阈值动态调整E.客户行为画像更新频率答案：A、C、D、E解析：实时支付要求毫秒级筛查与追踪，B选项延迟结算与实时性矛盾。44.在审计企业“数字孪生”数据质量时，内部审计师发现下列哪些情形会导致“孪生体”失效？A.传感器采样频率低于奈奎斯特频率B.时序数据库未采用UTC时间戳C.仿真模型版本未锁定D.边缘节点时钟漂移>100msE.数字线程未包含维护日志答案：A、B、C、D解析：采样频率不足导致信号失真；时区混乱使序列错位；模型版本漂移降低可比性；时钟漂移影响事件顺序；维护日志缺失不直接影响孪生体实时性。45.内部审计师在评估“可持续金融”分类标准时，发现下列哪些活动可能被欧盟《可持续金融分类法》视为“过渡活动”？A.水泥窑协同处置废弃物B.天然气发电碳排放<270gCO2/kWhC.钢铁厂使用氢冶金试点D.大型水电项目E.数据中心PUE<1.3答案：A、B解析：过渡活动需满足严格阈值且为临时替代，天然气<270g且替代煤电可符合条件；氢冶金为突破性技术，不属于过渡。46.在审计企业“第三方云存储”时，内部审计师应验证下列哪些加密控制？A.服务端加密密钥由客户管理B.传输层使用TLS1.3C.静态数据使用AES-256D.密钥轮换周期<90天E.云服务商获得FIPS140-3认证答案：A、B、C、D解析：FIPS140-3针对硬件模块，云服务商通常获得SOC报告而非该认证。47.某制造企业采用“工业元宇宙”培训员工，内部审计师在评估“职业健康”合规时，应关注哪些风险？A.虚拟现实晕动症B.眼部疲劳C.数据跨境传输D.数字孪生爆炸场景引发心理创伤E.手柄长期使用导致腱鞘炎答案：A、B、D、E解析：数据跨境传输属隐私风险，与职业健康无直接关联。48.在审计企业“净零排放”目标时，内部审计师发现下列哪些做法可能削弱目标可信度？A.使用碳抵消比例>90%B.基准年选择并购前年份C.范围3排放占比<5%D.目标年仅设为2050年E.未设定中期目标答案：A、B、C、E解析：高抵消比例被质疑逃避直接减排；基准年选择并购前降低可比性；范围3占比过低可能遗漏主要排放；无中期目标缺乏路径可信度。49.内部审计师在评估“区块链供应链金融”时，应检查下列哪些控制以防“双花”？A.智能合约重入攻击防护B.私钥多重签名C.共识算法容错阈值D.链上链下数据一致性E.预言机签名验证答案：B、C、D解析：重入攻击与双花无直接因果；预言机签名验证确保数据真实，但不防止双花。50.在审计企业“员工股票计划”时，内部审计师发现下列哪些情形可能表明存在“内幕交易”风险？A.授予日选择在财报公布前静默期B.高管在业绩快报前修改行权条件C.股票归属后集中卖出D.使用10b5-1计划但无冷却期E.股票授予数量与KPI反向变化答案：A、B、D解析：集中卖出与数量反向变化可能为正常市场行为，不直接表明内幕交易。3.案例分析题（共30分）案例背景GlobalTech集团是一家在欧美亚三地上市的消费电子公司，2024年启动“碳中和2028”战略，计划通过能效提升、可再生能源、供应链减排及碳清除项目实现净零。2025年4月，内审部收到匿名举报，称亚太区工厂将可再生能源证书（REC）重复计入两个不同生产基地产生“双重计算”，且碳清除项目实际封存率被高估。内审部决定开展专项审计。审计范围1.范围2排放计算方法与REC所有权追溯；2.碳清除项目MRV（监测、报告、核查）流程；3.内部碳定价机制对投资决策的影响；4.相关ESG数据治理与系统控制。资料摘要A.亚太区工厂A与B分别位于中国苏州与越南河内，2024年共采购1,000万kWh风能REC，其中600万kWh由同一中介签发，签发日期为2024年3月，序列号段相邻。B.碳清除项目为美国某森林修复项目，2024年签发了8万吨CO2e的RemovalCredit，GlobalTech购买其中5万吨。项目方提供的核查报告显示，实际碳储量仅增加4.2万吨，差异归因于“保守系数”0.9未应用。C.内部碳定价为每吨CO2e60美元，2024年资本支出委员会以此评估新项目，但发现该价格未纳入欧盟ETS未来价格曲线。D.ESG数据由SAP新模块“ClimateHub”收集，该模块与ERP、MES通过API对接，但缺乏主数据管理政策，导致“能源消耗”字段存在多个单位（kWh、GJ、MWh）。要求（1）根据资料A，指出内部审计师应执行的三项具体程序，以验证REC是否存在双重计算。（5分）（2）根据资料B，计算碳清除项目高估比例，并说明内部审计师应如何评估该差异对财务报表的潜在影响。（5分）（3）根据资料C，分析内部碳定价未纳入ETS价格曲线可能导致哪些战略风险，并提出两项改进建议。（5分）（4）根据资料D，设计一套数据质量规则，确保能源消耗字段单位一致性，并说明如何验证规则有效性。（5分）（5）结合全部资料，撰写一份给审计委员会的简要审计结论，指出三项最高风险，并按优先级排序。（10分）答案与解析（1）程序1：获取REC注册处（如APX、I-R