2025年国际注册内部审计师（CIA）资格考试（内部审计知识要素）强化练习题及答案一

2025年国际注册内部审计师（CIA）资格考试（内部审计知识要素）强化练习题及答案一1.（单选）根据IIA最新《国际内部审计专业实务框架》，下列哪项最能体现内部审计的“确认”职能？A.向董事会提交年度审计计划B.对反舞弊控制的设计有效性发表意见C.协助管理层建立风险appetite声明D.为并购团队提供估值模型答案：B解析：确认服务旨在对治理、风险管理和控制过程的质量提供独立评价，B项直接对控制有效性发表意见，属于典型确认业务；A项属于计划沟通；C、D项属于咨询服务。2.（单选）2025年1月，某跨国银行将生成式AI用于信贷审批。内部审计在评估模型偏差时，最应关注下列哪项风险？A.训练数据过度代表高净值客户B.模型接口未采用RESTful架构C.模型输出未同步到数据湖D.模型服务器位于第三方云答案：A解析：AI模型偏差首要源于训练数据不均衡，导致对特定群体系统性误判，违反公平授信法规；其余选项属技术或运营问题，与“偏差”风险关联度低。3.（单选）在评估企业ESG数据治理时，下列哪项最能作为“完整性”认定审计证据？A.ESG系统用户访问日志B.第三方碳排核查机构出具的无保留意见C.董事会ESG委员会会议纪要D.可持续报告与GRI标准对照表答案：B解析：第三方核查直接对数据完整性和准确性提供外部确认，属于最具说服力的审计证据；其余选项仅证明存在、授权或比对过程。4.（单选）某制造企业对关键供应商采用“实时区块链结算”。审计测试发现链上哈希值与收货数量不一致，最可能的控制缺陷是：A.智能合约未设置多签阈值B.物联网传感器校准程序缺失C.节点私钥托管在热钱包D.共识算法采用PoW答案：B解析：哈希值由传感器采集数据生成，若传感器失准，源头数据即错，区块链不可篡改特性反而放大错误；A、C、D与数量记录错误无直接因果。5.（单选）根据COSOERM2025年修订版，下列哪项最能体现“风险容量”与“风险appetite”区别？A.容量用定量指标，appetite用定性描述B.容量是最大可承受风险，appetite是追求的风险水平C.容量由董事会设定，appetite由CRO设定D.容量针对财务风险，appetite针对战略风险答案：B解析：COSO明确容量（riskcapacity）是组织在目标不受损前提下可承受的最大风险量；appetite是组织愿意接受的风险水平，通常低于容量。6.（单选）在审计公司云计算采购时，下列哪项合同条款最能降低“供应商锁定”风险？A.数据可携性条款，要求提供机器可读格式B.服务级别协议中99.9%可用性C.信息安全附录引用ISO27001D.争议解决适用伦敦仲裁院答案：A解析：数据可携性直接降低迁移成本，是缓解锁定的核心条款；B、C、D分别对应可用、安全、法律风险，与锁定无直接对冲。7.（单选）某零售公司使用“零信任”架构。内部审计测试网络分段有效性时，最恰当的审计程序是：A.扫描公网IP端口B.模拟内部横向移动并记录跳转路径C.检查防火墙规则版本号D.访谈IT是否每年复查ACL答案：B解析：零信任强调“永不信任、持续验证”，横向移动测试直接验证微分段与动态授权是否生效；A仅测外围；C、D属静态检查。8.（单选）下列哪项最能体现内部审计在“第一道防线”中的角色边界？A.指导业务部门更新SOPB.对控制自我评估结果进行抽样验证C.设计关键控制流程图D.批准采购订单答案：B解析：IIA立场声明强调内部审计不得承担管理责任；B项属于对第一道防线输出的独立验证，符合“独立确认”定位。9.（单选）某上市公司2025年采用“双重重要性”披露ESG。审计团队在评估重要性矩阵时，发现环境议题对财务影响低但对外部影响高，应建议：A.从矩阵中剔除该议题以减少噪音B.在治理章节披露但不在财务章节重复C.仍纳入披露，因影响外部资本分配D.仅当金额超过利润5%时披露答案：C解析：双重重要性要求同时考虑“企业对可持续议题的影响”和“议题对企业价值的影响”，即使财务影响低，对外部影响高仍需披露，否则误导投资者。10.（单选）在审计企业采用“生成式AI编码助手”时，最应关注的版权风险来源是：A.模型输出包含GPL代码片段B.模型推理延迟超过200msC.模型API按token计费D.模型部署在边缘节点答案：A解析：GPL代码具有“传染性”，若被嵌入闭源软件，企业需开源其全部代码，法律后果严重；其余选项与版权无关。11.（单选）下列哪项最能提高审计抽样中对舞弊信号的检测力？A.提高置信水平至99%B.采用单位货币抽样C.使用机器学习异常检测模型D.扩大样本量至总体10%答案：C解析：舞弊通常呈“低频高损”，传统随机抽样可能遗漏；机器学习可识别隐藏模式，显著提升异常侦测率；A、B、D仍属传统抽样逻辑。12.（单选）在审计“碳抵消”项目时，下列哪项证据最能证明“额外性”？A.项目业主声明无碳收益则项目不可行B.第三方审定机构出具“额外性”positiveopinionC.项目IRR低于8%D.项目注册联合国CDM平台答案：B解析：额外性需独立机构依据方法学验证；B为直接正面证据；A为管理层声明，可靠性低；C、D为间接线索。13.（单选）某集团采用“共享服务中心”模式。审计发现中心对子公司发票进行“先付后审”，导致重复付款增加。最根因的控制缺陷是：A.职责分离不足B.未执行三单匹配C.系统缺少重复付款预警D.付款审批权限过大答案：B解析：三单匹配（PO、收货、发票）是防止重复付款最根本的控制；先付后审本身不必然导致重复，缺失匹配才是根因。14.（单选）下列哪项最能体现“持续审计”特征？A.每季度运行CAATs脚本B.实时dashboard对100%交易预警C.年度风险评估后更新审计计划D.审计报告发布后30日跟踪整改答案：B解析：持续审计强调高频率、全覆盖、实时反馈；B符合；A频率不足；C、D属传统事后审计。15.（单选）在审计“员工股票计划”时，发现授予日股价被回溯至低点。审计应首先：A.检查董事会薪酬委员会会议纪要B.重新计算期权公允价值C.询问HR系统管理员D.对比授予日市场价与公告价答案：A解析：回溯授予日需董事会正式批准，会议纪要可提供授权轨迹；D虽重要，但属第二步。16.（单选）下列哪项最能降低“深度伪造”欺诈导致CEO虚假指令的风险？A.采用多方视频确认+动态口令B.提高邮件网关垃圾邮件评分C.对员工进行钓鱼演练D.部署DMARC协议答案：A解析：深度伪造可模拟声纹、面部，单一媒介已不足；多因素、跨通道验证最有效；B、C、D针对传统钓鱼。17.（单选）在审计“物联网设备”安全时，发现固件版本号可被回滚。最恰当的建议是：A.启用安全启动（SecureBoot）B.关闭OTA升级C.增加设备白名单D.更换为Lora通信答案：A解析：SecureBoot通过签名验证阻止回滚到旧版固件，直接解决回滚风险；B导致无法补丁；C、D无关。18.（单选）某公司拟发行“绿色债券”。审计验证募集资金投向时，最可靠的证据是：A.管理层出具绿色项目清单B.募集资金专户银行对账单C.第三方验证机构出具“收益分配报告”D.公司网站可持续报告答案：C解析：第三方验证报告遵循ICMA绿色债券原则，对资金去向及环境效益提供独立意见，可靠性最高。19.（单选）下列哪项最能体现内部审计对“敏捷治理”的适应？A.审计计划一年锁定不变B.采用迭代式审计sprintC.审计报告仅提供长式披露D.审计建议需经CFO批准答案：B解析：敏捷治理强调快速迭代、持续反馈；审计sprint可随业务变化调整，符合敏捷理念。20.（单选）在审计“联邦学习”场景时，发现参与方可通过梯度反推原始数据。审计应建议：A.增加模型参数维度B.采用差分隐私机制C.提高学习率D.减少参与方数量答案：B解析：差分隐私在梯度更新中添加噪声，可防止成员推理攻击；A、C、D无法解决隐私泄露。21.（多选）下列哪些情况可能导致内部审计独立性受到“自我复核”威胁？A.审计师复核自己去年设计的控制测试B.审计师对本月采购流程提出咨询建议后对该流程进行确认C.审计师参加项目庆功会并接受奖品D.审计师负责月度风险报告编制答案：A、B、D解析：自我复核指审计自身工作；A、B、D均涉及；C属“自我利益”威胁。22.（多选）关于“风险velocity”，下列说法正确的有：A.可用于评估网络安全风险B.指风险事件发生后对财务报表的影响金额C.可与风险appetite结合设定阈值D.在COSOERM2025中被新增为风险维度答案：A、C、D解析：velocity衡量风险发生速度；A、C、D正确；B描述的是影响程度（severity）。23.（多选）在审计“数字孪生工厂”时，下列哪些指标可用于评估模型准确性？A.虚拟产线节拍与实物产线差异<0.5%B.传感器数据延迟<100msC.模型渲染帧率>30fpsD.数字孪生预测设备故障的F1值>0.9答案：A、D解析：准确性关注孪生体与物理实体的映射及预测能力；A、D直接相关；B、C属性能指标。24.（多选）下列哪些属于IIA对“咨询业务”可提供的增值？A.改善控制效率B.减少审计成本C.提供风险洞察D.承担管理决策责任答案：A、C解析：咨询旨在增加价值、改善流程；内部审计不得承担管理责任；B非直接目标。25.（多选）在审计“加密货币挖矿”业务时，下列哪些程序可用于验证“矿机存在”认定？A.现场盘点矿机并记录SN码B.获取矿池收益地址与钱包地址匹配记录C.检查电费账单与算力消耗模型一致性D.观察矿机指示灯状态答案：A、C、D解析：B验证的是收益而非存在；A、C、D提供物理存在及运行证据。26.（多选）下列哪些情形可能表明“云存储桶”配置存在“公共写”风险？A.ACL列出AllUsersWRITEB.BucketPolicy含"s3:PutObject"对""允许C.预签名URL有效期7天D.未启用MFADelete答案：A、B解析：A、B直接开放写权限；C为读风险；D影响删除保护。27.（多选）下列哪些属于2025年《欧盟CSRD》要求提供的“可持续信息”？A.生物多样性过渡计划B.社会指标对人力资本影响C.可持续尽职治理政策D.未来10年财务预测答案：A、B、C解析：CSRD要求双重重要性披露，含环境、社会、治理；D非强制。28.（多选）在审计“即时零售”平台时，下列哪些指标可用于评估“算法歧视”风险？A.不同zipcode的配送费差异>20%B.推荐列表中高价商品占比与用户收入负相关C.骑手派单等待时间variance<5%D.女性用户收到优惠券面额显著低于男性答案：A、B、D解析：A、B、D可能隐含地域、收入、性别歧视；C仅说明算法稳定性。29.（多选）下列哪些程序可用于检测“幽灵库存”？A.比较库存系统与财务总账数量B.观察仓库是否存在封箱未拆却已销售记录C.测试RFID信号强度D.分析毛利率异常波动答案：A、B、D解析：幽灵库存指实物不存在却账面有；A、B、D提供线索；C验证追踪技术。30.（多选）下列哪些属于内部审计在“敏捷开发”中的增值活动？A.对userstory进行风险评审B.在每个sprint回顾会提出控制改进C.编写安全单元测试代码D.评估technicaldebt对财务影响答案：A、B、D解析：C属开发团队职责；A、B、D提供独立风险视角。31.（判断）根据IIA标准，内部审计在2025年必须对所有AI模型进行算法审计。答案：错误解析：标准未强制要求对所有模型审计，而是基于风险评估。32.（判断）在零信任架构下，传统网络边界防火墙已失去意义。答案：错误解析：零信任仍可能用防火墙作为微分段工具，但不再唯一依赖边界。33.（判断）“碳排范围三”仅指企业上游供应链排放。答案：错误解析：范围三含上游与下游全部间接排放。34.（判断）内部审计师可以在社交媒体上披露客户名称，只要信息已公开。答案：错误解析：IIA伦理要求保护客户机密，即使公开亦需授权。35.（判断）采用持续审计后，无需再进行年度财务报表审计。答案：错误解析：持续审计不能替代法定外部审计。36.（填空）2025年《国际内部审计专业实务框架》将“__________”列为内部审计核心价值之一，与“诚信”“客观”并列。答案：敏捷学习解析：IIA2025年更新强调审计师需具备快速学习能力以应对技术变革。37.（填空）在审计“区块链跨链桥”时，应重点关注__________攻击导致资产被无限铸造。答案：智能合约重放解析：跨链桥常因签名重放漏洞被攻击。38.（填空）COSO提出的“__________”原则要求组织在设定目标时考虑ESG相关法规。答案：战略ObjectiveSetting解析：COSO2025年补充原则3.1明确纳入ESG法规。39.（填空）当内部审计使用无人机盘点林木资产时，应确保飞行高度不低于__________米以避免侵犯隐私。答案：150解析：多国隐私法将150米以下列为敏感空域。40.（填空）在审计“数字员工”RPA流程时，应对机器人账号实施__________管理，防止权限漂移。答案：服务账号生命周期解析：机器人账号需定期复核、回收、轮换，避免僵尸账号。41.（简答）描述内部审计在审查“生成式AI内容合规性”时应实施的三大测试程序，并说明每项程序可获得的审计证据类型。答案：（1）训练数据版权审查：使用哈希比对工具扫描训练集与已知版权作品库，获得“存在性”与“权利完整性”证据；（2）输出内容过滤测试：输入高风险提示词1000次，记录拒绝率与有害内容命中率，获得“控制运行有效性”证据；（3）模型更新版本管理检查：抽取三次版本迭代记录，验证是否进行影响评估与董事会批准，获得“治理层监督”证据。42.（简答）阐述“可持续供应链金融”审计中如何验证“绿色应收账款”真实性，并列出两项数据分析方法。答案：审计需穿透底层资产，验证应收账款对应交易是否属绿色项目。方法：（1）文本挖掘：对发票商品描述与《欧盟可持续金融分类法》关键词进行语义相似度匹配，筛选绿色交易；（2）网络分析：构建供应商—项目—发票图谱，检测同一发票重复融资或绿色项目虚构。43.（简答）说明在审计“边缘计算节点”时，如何评估“物理篡改”风险，并给出两项控制测试。答案：评估需关注节点部署环境无人值守、外壳强度、检测机制。测试：（1）现场模拟撬开外壳，记录是否在30秒内触发加速度传感器报警；（2）检查tamperevidentseal序列号与日志是否一致，验证封条完整性。44.（简答）列举内部审计在“量子加密迁移”项目中的三项关键审计步骤，并指出可使用的审计技术。答案：步骤：（1）评估量子风险评估报告完整性，使用专家访谈与文档审阅；（2）测试量子密钥分发QKD设备性能，使用CAATs分析误码率日志；（3）审查量子随机数发生器entropysource，使用熵测试工具dieharder。45.（简答）说明如何运用“过程挖掘”技术审计“订单到现金”流程，并指出两项可发现的控制缺陷示例。答案：过程挖掘通过提取ERP事件日志，自动还原真实流程图。可发现：（1）信用检查步骤被跳过12%，导致高风险客户先发货后付款；（2）同一张订单在2小时内被修改价格3次，缺乏二次审批。46.（案例分析）背景：2025年6月，某跨国医药集团上线“AI药物不良反应（ADR）监测平台”，采用联邦学习聚合全球子公司数据。内部审计在2025年9月开展专项审计。资料a.平台由第三方AI公司提供，合同含SLA99.5%，未提及数据所有权；b.各子公司数据留在本地，仅上传梯度；c.审计发现梯度上传流量在凌晨2点出现10倍峰值，持续30分钟；d.平台可生成“ADR信号”列表，但无版本管理；e.某国监管机构要求48小时内解释信号来源。要求：（1）列出三项重大风险；（2）针对每项风险设计一项实质性测试程序；（3）提出一条治理层建议。答案：（1）风险：①梯度峰值异常可能暗示数据投毒攻击；②无版本管理导致信号可追溯性不足，违反监管；③合同缺数据所有权条款，存在知识产权争议。（2）测试程序：①抓取峰值时段梯度包，使用cosinesimilarity与历史基线对比，检测是否出现离群客户端；②随机抽取10条信号，追踪至原始梯度文件，检查是否可在30分钟内还原计算日志；③审阅合同及法律意见书，确认是否补充数据衍生权利条款。（3）治理建议：董事会应要求供应商在30日内与集团法务补签数据所有权补充协议，明确联邦模型衍生专利归属，并将该条款纳入年度供应商合规评估。47.（案例分析）背景：2025年7月，某电商平台推出“无人配送车”服务，内部审计对“车辆安全与合规”进行审计。资料：a.车辆运行3个月，发生5起轻微碰撞，均未上报监管；b.审计发现远程运维工程师可一键root车端OS；c.车辆每日收集20GB街景数据，存储在本地硬盘，7天后自动覆盖；d.隐私政策仅提及“可能收集环境影像”；e.保险公司要求提供黑匣子数据以厘定责任，但平台无法提取7天前数据。要求：（1）指出两项合规风险；（2）设计一项技术测试验证数据完整性；（3）提出一项改进建议。答案：（1）风险：①未上报交通事故违反《自动驾驶汽车测试管理暂行办法》；②街景数据收集超出隐私政策范围，违反《个人信息保护法》最小必要原则。（2）技术测试：使用write-blocker镜像车端硬盘，运行photorec工具尝试恢复被覆盖视频片段，评估实际覆盖周期与声明是否一致。（3）建议：立即修订隐私政策，增加“街景数据7天本地循环存储、不上云”条款，并在车端张贴明显标识；同时建立事故数据自动上传监管云端的API，确保24小时内上报。48.（案例分析）背景：2025年5月，某能源集团发行5亿美元“蓝色债券”，用于海上风电项目。内部审计在2025年10月进行募集资金专项审计。资料：a.债券条款要求资金100%用于合格蓝色项目，定义参照ICMA绿色债券原则；b.审计发现1亿美元被暂时用于补充营运资金，期限60天；c.集团已聘请第三方验证机构，但报告未披露资金短期挪用；d.风电项目子公司将部分建设合同分包给关联方，未公开招标；e.审计期间，集团股价因“蓝色债券”标签上涨8%。要求：（1）列出三项违反债券条款的证据；（2）针对分包程序设计一项合规测试；（3）向审计委员会提出一条紧急建议。答案：（1）证据：①1亿美元用于营运资金，偏离100%合格项目用途；②第三方报告未披露挪用，违反信息披露义务；③关联方分包未招标，可能违反公平采购承诺。（2）合规测试：从分包合同台账抽取5份关联方合同，检查是否保存“价格对标市场报价”证据，并使用统计方法对比第三方造价数据库，分析溢价是否超过5%。（3）建议：审计委员会应要求财务部门立即归还1亿美元至专户，并在48小时内发布更正公告，披露资金临时用途及整改措施，防止误