2025年大学《内部审计-信息系统审计》考试备考题库及答案解析

2025年大学《内部审计-信息系统审计》考试备考题库及答案解析单位所属部门：________姓名：________考场号：________考生号：________一、选择题1.信息系统内部审计计划的首要任务是（）A.确定审计范围和目标B.选择审计方法C.分配审计资源D.编写审计报告答案：A解析：制定信息系统内部审计计划时，首先要明确审计的范围和目标，这是后续所有审计工作的基础和方向。只有明确了审计要达成的目的和覆盖的领域，才能选择合适的审计方法、合理分配审计资源，并在审计结束后编写有针对性的审计报告。因此，确定审计范围和目标是首要任务。2.在信息系统审计中，风险评估的主要目的是（）A.识别和评估信息系统的风险B.制定风险应对措施C.监控风险变化D.审计风险应对措施的有效性答案：A解析：风险评估是信息系统审计流程中的关键环节，其主要目的是系统地识别与信息系统相关的风险，并评估这些风险对组织目标实现可能产生的影响。它是后续风险应对、控制措施设计和审计计划制定的基础。虽然制定应对措施、监控风险变化和审计应对措施有效性也是审计工作的一部分，但风险评估是其中的首要目的。3.信息系统内部审计人员执行测试时，获取充分、适当的审计证据的主要目的是（）A.证明信息系统完全符合所有标准B.识别所有潜在的错误和舞弊C.形成审计意见D.支持审计结论答案：D解析：内部审计人员执行测试、收集审计证据的核心目的是为了获取充分、适当的证据，以支持他们形成的审计结论。审计结论是基于对审计证据的分析和评估得出的，用于评价信息系统的控制有效性和风险状况。虽然测试可能识别出一些错误和舞弊，目标并非识别所有，且审计意见是结论的体现，而不是证据的主要目的。4.在测试信息系统控制设计的有效性时，内部审计人员通常采用的方法是（）A.检查系统日志B.执行穿行测试C.重新执行控制D.分析交易数据答案：B解析：测试控制设计的有效性，即评估控制是否按设计运行，最常用的方法是执行穿行测试。穿行测试跟踪一个业务流程从起点到终点的完整路径，检查流程中设计的控制是否被恰当地嵌入和执行。检查系统日志、重新执行控制和分析交易数据等方法更多地用于测试控制的运行效果或发现异常，而不是评估控制设计本身的有效性。5.以下哪项不属于信息系统内部审计报告的主要内容？（）A.审计发现和评估B.审计建议C.审计计划细节D.被审计单位的整改情况答案：C解析：信息系统内部审计报告通常包括审计范围和目标、审计期间、审计发现及其评估、审计建议、被审计单位的初步整改承诺或情况、以及审计结论等。详细的审计计划细节一般不会包含在最终报告中，因为那是审计执行前的内部文件。被审计单位的整改情况可能在后续的跟踪审计或报告中反映，但最终报告中通常包含的是初步整改情况或承诺。6.信息系统内部审计过程中，与被审计单位沟通的主要目的是（）A.获取被审计单位的配合B.确保审计结果的客观性C.了解被审计单位的信息系统状况D.分享审计发现和获取反馈答案：D解析：在整个信息系统内部审计过程中，与被审计单位保持持续、有效的沟通至关重要。沟通的目的不仅仅是获取配合、了解状况或确保客观性，更主要的是及时分享审计发现，听取被审计单位的解释和反馈，确保双方对审计事项的理解一致，并为后续的审计建议和报告奠定基础。7.在评估信息系统访问控制的有效性时，内部审计人员应关注的关键因素之一是（）A.用户权限的分配是否符合最小权限原则B.用户的操作日志是否完整C.系统的响应速度D.用户界面的友好程度答案：A解析：评估信息系统访问控制的有效性，核心在于确保只有授权用户才能访问授权资源。最小权限原则是访问控制的关键设计要求，它规定用户应仅被授予完成其职责所必需的最低权限。关注用户权限分配是否符合此原则，是判断访问控制设计是否合理、运行是否有效的重要方面。操作日志完整性、系统响应速度和用户界面友好程度虽然也是系统特性，但与访问控制本身的有效性关联性相对较小。8.以下哪项活动通常不属于信息系统内部审计人员的职责范围？（）A.评估信息系统的安全性B.评估信息系统的合规性C.优化信息系统的设计D.评估信息系统的业务流程效率答案：C解析：信息系统内部审计人员的职责包括评估信息系统的安全性、合规性以及业务流程效率，以识别风险和提出改进建议。然而，优化信息系统的设计通常属于系统开发团队、IT部门或业务流程改进团队的专业职责。审计人员的角色是评估设计是否合理、控制是否有效、流程是否合规高效，而不是直接进行设计优化。9.当内部审计机构资源有限时，确定审计优先级的主要依据通常是（）A.审计人员的个人偏好B.风险评估结果C.被审计单位的请求D.审计费用的高低答案：B解析：在资源有限的情况下，为了确保审计资源能够最有效地应对最重要的风险，内部审计机构通常会依据风险评估的结果来确定审计优先级。高风险领域或对组织目标影响重大的领域应优先进行审计。个人偏好、被审计单位的请求或审计费用虽然也是考虑因素，但风险评估结果应是确定优先级的主要依据。10.信息系统内部审计结束后，跟踪审计的主要目的是（）A.审查被审计单位的整改措施B.重新执行审计测试C.编写新的审计报告D.评估审计质量答案：A解析：内部审计结束后，进行跟踪审计的主要目的是监控和评估被审计单位针对审计发现的问题所制定的整改措施是否得到了有效执行，以及整改效果如何。这是确保审计建议被采纳、风险得到控制、审计价值得以实现的重要环节。重新执行测试、编写新报告或评估审计质量虽然可能与审计相关，但跟踪审计的核心目的在于验证和评估整改情况。11.信息系统内部审计计划中，确定审计范围应主要考虑（）A.被审计部门的意愿B.信息系统的重要性及风险水平C.审计资源的充足程度D.审计人员的偏好答案：B解析：确定信息系统内部审计范围时，最关键的考虑因素是信息系统对组织的重要性以及其所面临的风险水平。重要性高的系统或风险大的领域理应获得更广泛的审计覆盖。被审计部门的意愿、审计资源的限制以及审计人员的偏好虽然需要在计划制定过程中予以考虑，但不应是确定审计范围的主要依据。12.在信息系统审计中，访谈被审计人员的主要目的是（）A.获取系统操作日志B.验证系统配置文件C.了解信息系统运行状况和内部控制执行情况D.评估系统开发人员的技能答案：C解析：访谈是信息系统审计中收集信息、了解情况的重要方法之一。通过与被审计人员（如系统管理员、业务操作员等）进行访谈，审计人员可以更深入地了解信息系统的实际运行状况、业务流程、控制措施的执行情况以及存在的问题，获取访谈无法从文档或系统中直接获取的信息。13.以下哪种技术通常不用于测试信息系统数据访问权限的合规性？（）A.抽样检查用户权限清单B.执行模拟用户操作C.分析系统设计文档D.检查数据库索引答案：D解析：测试信息系统数据访问权限的合规性，通常涉及检查用户权限设置是否恰当（如抽样检查权限清单）、通过模拟用户操作来验证权限的实际访问效果，以及查阅相关的设计文档来了解权限的设计依据。检查数据库索引主要是为了评估数据库性能和优化查询效率，与直接测试数据访问权限的合规性关系不大。14.信息系统内部审计证据的适当性是指（）A.证据能够证明审计结论B.证据来源可靠、性质适当C.证据具有时效性D.证据数量充足答案：B解析：审计证据的适当性是指证据本身是否具有足够的质量，能够支持审计人员得出结论。这包括证据的来源是否可靠（如来自可信的内部或外部来源）、证据的性质是否与审计目标相关（如是事实陈述、计算结果还是系统日志），以及证据是否能够恰当反映被审计事项的真实情况。证据能够证明结论、具有时效性和数量充足是评估证据充分性的方面。15.内部审计人员在对信息系统进行实质性测试时，选择测试样本应主要考虑（）A.样本的随机性B.样本量的大小C.样本项目具有代表性D.样本获取的便捷性答案：C解析：进行实质性测试时，选择具有代表性的样本项目至关重要。这意味着样本应能够反映总体特征，从而使得基于样本得出的结论能够合理地推断到整个总体。虽然样本的随机性、样本量的大小以及获取的便捷性也是需要考虑的因素，但代表性是选择样本最核心的原则。16.在评估信息系统变更管理控制的有效性时，内部审计人员应关注（）A.变更请求的审批流程B.变更实施后的系统测试C.变更记录的完整性D.以上所有答案：D解析：评估信息系统变更管理控制的有效性需要全面考虑变更流程的各个环节。这包括变更请求的提交、审批流程是否合规，变更实施前的测试是否充分，以及变更实施后的验证和记录是否完整。关注以上所有方面有助于全面评估变更控制的整体有效性。17.信息系统内部审计报告中的审计发现通常应包括（）A.审计期间B.审计事项C.审计发现的事实描述D.以上所有答案：D解析：一份清晰、完整的审计发现应至少包括审计期间（或具体时点）、被审计的审计事项，以及对该事项的具体发现，包括事实的描述。有时还会包括发现产生的原因和潜在的影响。因此，以上所有选项都是构成审计发现的关键要素。18.对于信息系统内部审计过程中发现的重大问题，审计人员首先应（）A.将问题直接通报给被审计单位管理层B.在审计报告中详细描述问题C.内部讨论并评估问题的严重性和性质D.立即停止审计工作答案：C解析：在信息系统内部审计过程中，当发现问题时，审计人员首先需要进行内部讨论，以评估问题的严重性、性质及其潜在影响。这有助于审计团队统一认识，判断问题是否构成重大发现，并决定后续的处理方式，例如是否需要立即与被审计单位沟通、如何在审计报告中呈现等。直接通报、详细描述或停止审计通常是评估后的后续步骤。19.以下哪项是信息系统内部审计质量保证的关键组成部分？（）A.定期进行内部审计人员的绩效评估B.对内部审计工作底稿进行复核C.设立内部审计部门的独立监督机制D.审计费用预算的制定答案：B解析：确保内部审计质量的关键措施包括对审计工作底稿进行复核。工作底稿是审计过程和结论的记录，对其进行复核可以检查审计程序的执行是否到位、证据是否充分适当、结论是否合理，是保证审计质量的重要环节。定期进行内部审计人员的绩效评估、设立独立的监督机制以及审计费用预算的制定也都是审计管理的一部分，但与直接保证审计工作质量的技术性措施相比，复核工作底稿更为关键。20.信息系统内部审计计划在审计过程中出现重大变化时，应（）A.立即通知被审计单位B.由审计项目负责人决定是否调整C.按照原计划执行D.记录变化原因及影响答案：D解析：当信息系统内部审计计划在执行过程中出现重大变化时，审计人员应详细记录导致变化的原因，并评估这些变化对审计目标、范围、时间和资源可能产生的影响。这种记录是审计工作底稿的重要组成部分，有助于确保审计的透明度和可追溯性。虽然通知被审计单位、由项目负责人决定或按原计划执行可能是后续的步骤或考虑因素，但记录变化本身及其影响是应对计划变更的基本要求。二、多选题1.信息系统内部审计计划应包括哪些主要内容？（）A.审计目标B.审计范围C.审计资源分配D.审计时间表E.审计证据收集方法答案：ABCD解析：一份完整的信息系统内部审计计划应明确审计的目标，界定审计的范围，规划所需投入的审计资源及其分配，并制定详细的审计时间表，包括各个阶段的起止时间。审计证据收集方法通常在计划中会初步提及或根据具体审计程序确定，但计划的主体内容通常不包括详细的方法列表，这会在审计程序阶段进一步细化。因此，ABCD是计划的核心要素。2.评估信息系统控制设计的有效性时，内部审计人员可能采用哪些方法？（）A.文件审阅B.流程描述C.穿行测试D.重新执行控制E.询问被审计人员答案：ABCE解析：在评估信息系统控制设计的有效性时，内部审计人员会审阅相关的设计文档和文件（A），分析业务流程描述（B），通过穿行测试来了解控制是如何被嵌入流程并被设计的意图（C），以及向被审计人员询问以获取对控制设计的理解（E）。重新执行控制（D）通常用于测试控制运行的有效性，而不是评估设计的有效性。3.以下哪些是信息系统内部审计证据的来源？（）A.系统日志B.电子邮件C.审计工作底稿D.交易文件E.访谈记录答案：ABDE解析：信息系统内部审计证据可以来源于信息系统的各种输出，如系统日志（A）、电子邮件（B）、交易文件（D）等。访谈记录（E）虽然不是系统直接产生的，但访谈中获得的信息是重要的审计证据。审计工作底稿（C）是审计人员记录其工作和发现的地方，是审计证据的载体，而不是证据的来源本身。4.内部审计人员执行实质性分析程序时，通常需要（）A.定义预期值B.识别异常波动C.获取足够的审计证据支持结论D.依赖复杂的数据分析工具E.评估预期值与实际值差异的原因答案：ABCE解析：执行实质性分析程序时，审计人员需要先定义基于数据或标准的预期值（A），然后比较实际值与预期值，识别异常波动或差异（B），并尝试评估这些差异产生的原因（E）。这个过程需要获取足够的证据来支持分析结论（C）。虽然可能使用数据分析工具（D），但这并非执行程序的必需条件，审计人员也可以手动进行计算和比较。5.信息系统内部审计报告通常应包含哪些部分？（）A.审计概况B.审计发现与评估C.审计建议D.被审计单位的整改承诺E.审计结论答案：ABCDE解析：一份完整的内部审计报告通常包括审计概况（介绍审计背景、范围、目标和方法等），详细描述审计发现及其评估，提出具体的审计建议，记录被审计单位的整改承诺或初步情况，并最终形成审计结论。这些部分共同构成了报告的核心内容。6.信息系统内部审计过程中，风险评估的主要活动包括（）A.识别与信息系统相关的风险B.分析风险发生的可能性和影响程度C.评估风险控制措施的有效性D.排序风险优先级E.制定风险应对策略答案：ABD解析：风险评估的主要活动包括识别出可能影响组织目标实现的潜在风险（A），分析这些风险发生的可能性以及一旦发生可能带来的影响程度（B），并根据风险的可能性和影响对风险进行排序以确定优先级（D）。评估风险控制措施的有效性（C）通常属于后续的控制测试环节。制定风险应对策略（E）则是在风险评估和优先级排序之后，针对重要风险制定的行动方案。7.测试信息系统访问控制时，内部审计人员可能执行哪些测试？（）A.检查用户权限矩阵B.执行模拟用户登录C.抽样检查用户访问日志D.验证权限分配是否符合最小权限原则E.检查密码策略的复杂性要求答案：ABCD解析：测试信息系统访问控制的有效性，审计人员会检查用户权限设置（如权限矩阵A），通过模拟用户登录尝试访问不同资源（B），检查系统记录的用户访问日志以验证实际访问情况（C），并评估权限分配是否遵循了最小权限原则（D）。检查密码策略的复杂性要求（E）虽然与安全相关，但更侧重于认证环节，而非访问控制本身（即谁可以访问什么资源）。8.以下哪些属于信息系统内部审计的质量保证措施？（）A.审计计划的审批B.审计工作底稿的复核C.审计报告的签发D.内部审计人员的持续培训E.对审计发现问题的跟踪答案：ABDE解析：确保信息系统内部审计质量的质量保证措施包括对审计计划进行审批（A），对审计工作底稿进行复核以验证审计程序的执行和质量（B），以及提供持续的审计人员培训（D），提升其专业胜任能力。对审计发现问题的跟踪（E）是确保审计价值实现和持续改进的重要环节，也属于质量保证的范畴。审计报告的签发（C）是审计流程的最终步骤，其本身是审计结论的体现，而非质量保证措施。9.在信息系统内部审计中，穿行测试的主要目的在于（）A.了解业务流程的完整步骤B.识别流程中的关键控制点C.评估控制设计的有效性D.验证控制运行的符合性E.评估流程的效率答案：AB解析：穿行测试的主要目的是跟踪一个业务流程从开始到结束的完整路径，以了解流程的实际运作方式（A），并在这个过程中识别出流程中的关键控制点（B）。通过了解流程和控制，审计人员可以更好地评估控制设计和运行的有效性（C和D），有时也能评估流程效率（E），但穿行测试本身的核心目标是理解和映射流程及其控制。10.当信息系统内部审计资源有限时，确定审计优先级可以考虑哪些因素？（）A.风险的严重程度B.风险发生的可能性C.信息系统对组织目标的重要性D.审计资源（时间、人员等）的限制E.被审计单位的请求答案：ABCD解析：在资源有限的情况下确定审计优先级，应优先考虑那些对组织目标影响最大或风险最高的领域。这通常基于风险的严重程度（A）、风险发生的可能性（B）以及信息系统对组织目标的重要性（C）来评估。同时，必须考虑可用的审计资源（D）对审计范围和深度的影响。被审计单位的请求（E）可以作为考虑因素之一，但不应是决定性因素，优先级主要应基于风险和重要性。11.信息系统内部审计过程中，识别风险的主要方法包括哪些？（）A.询问被审计人员B.分析组织结构C.检查系统文档D.评估行业风险E.分析历史审计发现答案：ABCDE解析：在信息系统内部审计中识别风险需要采用多种方法以获得全面的认识。询问被审计人员（A）可以获取他们对系统风险的理解。分析组织结构（B）有助于理解系统所支持的业务及其潜在风险点。检查系统文档（C）可以了解系统的设计、功能和控制。评估来自外部来源的行业风险（D）有助于识别普遍存在的威胁。分析历史审计发现（E）可以了解过去识别出的风险及其演变情况。综合运用这些方法有助于全面识别信息系统面临的风险。12.以下哪些活动属于信息系统内部审计的初步工作阶段？（）A.确定审计范围和目标B.访谈关键知情人C.收集和分析审计证据D.编写审计发现报告E.评估审计风险答案：ABE解析：信息系统内部审计的初步工作阶段主要涉及计划和控制。这包括确定审计的范围和目标（A），初步评估审计风险（E），以确定审计重点和资源需求。访谈关键知情人（B）通常也在这一阶段进行，以更好地理解审计环境和风险领域。收集和分析审计证据（C）是审计执行阶段的核心工作。编写审计发现报告（D）是审计完成阶段的产出。13.测试信息系统数据完整性控制时，内部审计人员可能执行哪些测试？（）A.检查数据输入验证逻辑B.执行数据匹配测试C.分析数据异常值D.验证数据备份和恢复流程E.检查数据归档策略答案：ABC解析：测试信息系统数据完整性控制，审计人员会关注数据在生命周期内的准确性和未被篡改。这包括检查数据输入时的验证逻辑（A），确保只有符合要求的数据才能被录入系统。执行数据匹配测试（B）可以验证相关数据集之间的一致性。分析数据异常值（C）有助于发现可能表示错误或不完整性的数据点。验证数据备份和恢复流程（D）主要测试数据的可用性和灾难恢复能力，属于可用性范畴。检查数据归档策略（E）则与数据保留和销毁相关。14.信息系统内部审计报告中的审计建议应具备哪些特点？（）A.具有可操作性B.针对审计发现的问题C.清晰、具体D.考虑被审计单位的资源限制E.数量越多越好答案：ABCD解析：有效的信息系统内部审计建议应直接回应审计发现的问题（B），措辞清晰、具体，便于被审计单位理解和执行（C），并且应具有实际的可操作性，能够在被审计单位的资源限制（D）内实施。审计建议的数量并非越多越好，关键在于建议的质量和针对性。因此，ABCD是有效审计建议应具备的特点。15.以下哪些因素会影响信息系统内部审计证据的适当性？（）A.证据的来源可靠性B.证据的相关性C.证据的获取方式D.证据的数量多少E.证据的客观性答案：ABCE解析：审计证据的适当性是指证据本身的质量，是否足以支持审计结论。这主要取决于证据的可靠性（A，如来自独立第三方或可靠系统记录）、相关性（B，是否与审计目标或发现直接相关）、客观性（E，是否受到偏见或不完整信息的扭曲），以及获取证据的方式是否符合标准程序。证据的数量多少（D）影响证据的充分性，而不是适当性。获取方式（C）是获取证据的过程，其合规性影响证据的可靠性。16.在评估信息系统变更管理控制时，内部审计人员应关注哪些方面？（）A.变更请求的提交和记录B.变更审批流程的适当性C.变更实施前的测试和验证D.变更实施后的系统确认E.变更配置管理答案：ABCDE解析：评估信息系统变更管理控制的有效性需要一个全面的视角。审计人员应关注变更请求是如何提交和记录的（A），审批流程是否恰当、是否有适当的级别审批（B），变更在实际实施前是否经过了充分的测试和验证（C），变更实施后系统是否按预期运行并进行了确认（D），以及变更后的配置是否得到了有效管理（E）。这些方面共同构成了变更管理控制的关键环节。17.信息系统内部审计计划中，确定审计方法时应考虑哪些因素？（）A.审计目标和范围B.可获取的审计资源C.风险评估结果D.被审计单位的特点和配合程度E.审计人员的专业胜任能力答案：ABCDE解析：确定信息系统内部审计方法是一个需要综合考虑多种因素的决策过程。审计目标（A）和范围（A）决定了需要达成的目的和覆盖的领域，直接影响方法的选择。风险评估（C）结果指导审计资源向高风险领域倾斜，选择更具针对性的方法。被审计单位的系统环境、特点（D）以及其预期的配合程度，也会影响方法的适用性。可用的审计资源（B），包括时间、人员和工具，限制了方法的复杂性。审计人员的专业胜任能力（E）决定了他们能够有效执行哪些方法。因此，所有这些因素都应在确定审计方法时予以考虑。18.以下哪些属于信息系统内部审计过程中常见的沟通对象？（）A.审计项目负责人B.被审计单位管理层C.审计委员会D.内部审计部门负责人E.系统开发人员答案：ABCDE解析：在信息系统内部审计过程中，审计人员需要与多个对象进行沟通。这包括审计团队内部的沟通（如与审计项目负责人D、审计委员会C沟通），与被审计单位层面的沟通（如管理层B、业务部门负责人），以及与信息系统相关的具体人员（如系统开发人员E、IT管理员等）。有效的沟通是确保审计顺利进行、发现得到确认、建议得到采纳的关键。19.评估信息系统数据访问权限控制的有效性时，内部审计人员可能执行哪些测试？（）A.抽样检查用户权限列表B.执行“提升权限”测试C.分析用户访问日志D.验证最小权限原则的遵循情况E.检查口令复杂度设置答案：ABCD解析：测试信息系统数据访问权限控制的有效性，审计人员会检查权限设置（如抽样检查用户权限列表A），测试权限的滥用可能性（如执行“提升权限”测试B），监控实际访问行为（如分析用户访问日志C），并评估权限分配是否遵循了最小权限原则（D）。检查口令复杂度设置（E）主要与身份认证安全相关，而非直接测试对特定数据的访问权限控制。20.信息系统内部审计质量保证的主要内容包括哪些方面？（）A.审计计划的审批B.审计现场的监督C.审计工作底稿的复核D.审计人员的持续培训和能力评估E.审计报告的签发流程答案：ABCD解析：信息系统内部审计质量保证是一个持续的过程，旨在确保审计工作符合标准、独立和客观。其主要内容包括对审计计划的审批（A），对审计现场执行过程的监督（B），对审计工作底稿（C）进行复核以验证其充分性和适当性，以及对审计人员进行持续的培训和能力评估（D），以保持其专业胜任力。审计报告的签发流程（E）是审计程序的一部分，确保签发过程的合规性是质量保证的体现，但不如前四项直接关乎审计工作本身的质量。三、判断题1.信息系统内部审计计划一旦确定，就不能再发生任何变化。（）答案：错误解析：信息系统内部审计计划虽然应在执行前制定得尽可能详细，但在审计过程中，由于环境变化、新风险的出现或其他不可预见因素，计划可能需要进行调整。审计项目负责人应具备评估变化影响并决定是否调整计划的能力，以确保审计能够有效达成目标。因此，计划并非一成不变。2.评估信息系统控制设计的有效性，意味着要测试该控制是否在实际运行中有效阻止了风险事件。（）答案：错误解析：评估信息系统控制设计的有效性，主要关注的是控制是否按照设计意图被正确地嵌入到业务流程中，以及控制的基本逻辑和要素是否合理。这更侧重于“纸面上”的设计审核。测试控制是否在实际运行中有效阻止了风险事件，则属于评估控制运行有效性的范畴。3.内部审计发现的重大问题，应立即向被审计单位最高管理层报告，无需经过审计项目负责人批准。（）答案：错误解析：内部审计发现的重大问题，虽然最终可能需要向被审计单位最高管理层报告，但通常情况下，审计项目负责人对审计发现进行初步评估，并决定报告的层级和方式。直接越级向最高管理层报告重大问题可能破坏审计的独立性和既定程序，除非有特殊情况或审计章程有明确规定。4.任何来源的证据，只要数量足够多，都可以作为内部审计结论的可靠依据。（）答案：错误解析：内部审计证据的可靠性是其有效性的基础。并非所有证据都具有同等的可靠性。证据的可靠性取决于其来源、获取方式以及是否受到偏见的影响。仅仅数量多并不等同于证据质量高或可靠，审计人员需要评估证据的适当性（相关性、可靠性）和充分性（数量和细节）。5.穿行测试主要用于评估信息系统控制运行的有效性，而不是了解业务流程。（）答案：错误解析：穿行测试的核心目的是沿着一个业务流程的完整路径进行跟踪，其首要目标是理解该流程的实际运作方式，包括涉及的活动、文档、系统和控制点。通过了解流程，审计人员才能评估嵌入其中的控制设计是否合理以及运行是否有效。因此，穿行测试对于了解业务流程至关重要。6.内部审计报告应客观反映审计发现，被审计单位可以对报告中的审计发现提出异议，但不能修改报告内容。（）答案：错误解析：内部审计报告确实应客观反映审计发现。被审计单位有权对报告中的审计发现、评估和建议提出异议或解释。审计机构与被审计单位就报告内容进行沟通是必要的程序。如果沟通后双方对报告内容仍有分歧，可以根据内部审计章程或相关规定，决定是否调整报告内容或如何处理分歧，而不是简单地禁止被审计单位提出异议。7.信息系统内部审计的质量保证主要依靠外部机构的定期检查。（）答案：错误解析：信息系统内部审计的质量保证主要依靠内部审计部门自身的机制和程序，例如制定和遵循审计标准、进行审计计划的审批、审计工作底稿的复核、审计人员的培训和评估等。外部机构的定期检查可能作为补充，但不是质量保证的主要依靠。8.审计建议不需要考虑被审计单位的实际情况，只需关注审计发现本身。（）答案：错误解析：有效的审计建议必须具有可操作性，这意味着建议需要切实可行，考虑到被审计单位的业务环境、资源限制、管理层的意愿和可行性等