计算机应用系统审计考试题及答案

计算机应用系统审计考试题及答案一、单项选择题（每题2分，共20分）1.以下哪项不属于计算机应用系统审计的核心目标？A.验证系统数据的完整性与准确性B.评估系统业务流程与组织战略的匹配度C.测试系统硬件设备的物理稳定性D.检查系统访问控制的有效性答案：C2.在应用系统审计中，用于验证数据传输过程中未被篡改的常用技术是？A.哈希校验（HashCheck）B.数据库索引优化C.内存dump分析D.事务日志回溯答案：A3.某企业ERP系统中，采购订单需经采购主管、财务经理两级审批后方可提供。审计人员发现系统中存在采购专员直接提交并提供订单的记录，这一现象反映的主要控制缺陷是？A.职责分离失效B.输入控制缺失C.输出控制不足D.逻辑访问控制薄弱答案：A4.对银行核心交易系统进行审计时，重点关注的“交易不可抵赖性”主要通过以下哪项技术实现？A.数字签名B.防火墙规则C.数据库镜像D.负载均衡答案：A5.应用系统审计中，“穿行测试”的主要目的是？A.验证关键业务流程中控制措施的实际执行情况B.评估系统性能是否满足业务需求C.分析系统日志中的异常操作记录D.测试系统灾难恢复的响应时间答案：A6.以下哪项属于应用系统的“一般控制”范畴？A.销售订单金额的合理性校验规则B.财务模块与库存模块的自动对账机制C.服务器操作系统的补丁管理流程D.采购订单审批的工作流配置答案：C7.审计人员在检查某电商平台的用户注册功能时，发现同一手机号可重复注册3次并提供不同账号，这一问题主要影响系统的？A.数据唯一性控制B.输入合法性控制C.输出安全性控制D.访问授权控制答案：A8.对医疗信息系统进行审计时，重点需验证的合规性要求不包括？A.《个人信息保护法》关于患者隐私的规定B.《医疗机构病历管理规定》对电子病历存储时限的要求C.《网络安全法》对关键信息基础设施的保护要求D.《企业会计准则》对固定资产折旧的核算规则答案：D9.某企业生产管理系统中，生产工单的“计划完工时间”字段允许手动修改为过去日期，审计人员应关注的主要风险是？A.数据时效性失真影响生产排程决策B.系统运算逻辑存在漏洞导致计算错误C.权限滥用导致历史数据被恶意篡改D.接口不一致造成与ERP系统数据冲突答案：A10.应用系统审计中，“实质性测试”的核心目的是？A.确认系统内部控制的设计有效性B.验证具体业务数据的真实性与准确性C.评估系统开发过程的合规性D.测试系统应对高峰业务量的性能极限答案：B二、简答题（每题8分，共40分）1.简述计算机应用系统审计中“控制测试”与“实质性测试”的区别与联系。答案：区别：（1）目标不同：控制测试关注系统内部控制的设计合理性与执行有效性（如审批流程是否按规则运行）；实质性测试关注具体业务数据的真实性、准确性（如销售订单金额与出库单是否一致）。（2）方法不同：控制测试主要通过穿行测试、重新执行等验证控制措施是否发挥作用；实质性测试通过细节测试（如核对凭证与系统记录）、分析性程序（如比较月度销售额波动）验证数据可靠性。联系：两者共同服务于审计目标。控制测试结果影响实质性测试的范围——若控制有效，可适当减少实质性测试样本量；若控制失效，则需扩大实质性测试以直接验证数据。2.列举应用系统数据完整性审计的主要方法，并说明每种方法的适用场景。答案：（1）校验码验证：在数据录入时自动提供校验码（如身份证号最后一位校验位），用于验证数据录入错误，适用于关键基础数据（如客户编号、产品代码）的完整性保障。（2）一致性检查：通过关联表间的逻辑关系验证数据（如销售订单的客户ID应存在于客户主表中），适用于跨模块数据关联场景（如ERP中采购订单与供应商档案的关联）。（3）日志追溯：通过系统日志追踪数据修改记录（如谁在何时修改了某条财务凭证），适用于高风险数据（如财务金额、患者诊断结果）的变更审计。（4）平衡测试：验证数据汇总与明细的勾稽关系（如应收账款总金额应等于各客户应收明细之和），适用于需要层级核对的财务、统计类数据。3.说明应用系统访问控制审计的主要内容，并举例说明常见缺陷。答案：主要内容：（1）权限分配合理性：检查用户角色是否符合“最小权限原则”（如仓库管理员不应拥有财务凭证修改权限）；（2）权限变更流程：验证权限新增、修改、注销是否经过审批（如员工离职后是否及时回收系统权限）；（3）身份认证有效性：测试登录方式（如是否启用双因素认证）、密码策略（如复杂度、定期更换要求）是否合规；（4）权限执行日志：检查系统是否记录用户登录、操作日志（如财务模块的凭证修改日志），并可追溯。常见缺陷示例：某企业ERP系统中，销售部门主管同时拥有“客户档案修改”与“销售订单审核”权限，违反职责分离原则；某医院HIS系统允许护士账号通过弱密码（如“123456”）登录，且未启用登录失败锁定机制，存在账号被盗用风险。4.简述应用系统审计中“业务流程映射”的实施步骤及其在审计中的作用。答案：实施步骤：（1）收集业务文档：获取企业制度文件、流程图、操作手册等，明确理论流程；（2）访谈关键人员：与业务人员、系统管理员沟通，了解实际操作中的差异（如是否存在系统外审批）；（3）系统数据验证：通过抽取样本（如100份采购订单），追踪其在系统中的处理路径（从申请→审批→执行→归档），记录实际流程；（4）差异分析：对比理论流程与实际流程，识别流程断点（如某环节未在系统中留痕）或冗余（如重复审批）。作用：通过业务流程映射，审计人员可直观发现系统设计与实际业务的脱节（如系统未覆盖某关键审批环节），为后续控制测试确定重点（如缺失环节的风险评估），并为管理层提供流程优化建议（如简化冗余步骤）。5.说明云计算环境下应用系统审计面临的特殊挑战及应对措施。答案：特殊挑战：（1）数据存证困难：数据存储于云服务商服务器，审计人员可能无法直接访问底层数据，需依赖服务商提供的日志或第三方认证（如SOC报告）；（2）责任边界模糊：系统故障可能由云服务商（如服务器宕机）或企业自身（如配置错误）导致，需明确双方控制责任；（3）接口安全性风险：企业系统与云服务的API接口可能存在未加密传输、身份验证薄弱等问题，增加数据泄露风险；（4）合规性交叉：数据可能存储于多个司法管辖区，需同时满足《个人信息保护法》《GDPR》等不同法规要求。应对措施：（1）签订明确的SLA（服务级别协议），要求云服务商提供可审计接口（如开放日志查询权限）及合规证明；（2）实施“穿透式审计”，通过企业侧系统记录（如调用云服务的操作日志）与云服务商提供的审计证据（如API调用记录）交叉验证；（3）重点审计接口安全控制（如API密钥管理、传输加密协议），测试接口异常处理机制（如超时重试、错误日志记录）；（4）建立跨法域合规清单，针对数据跨境流动、隐私保护等要求设计专项审计程序。三、案例分析题（每题20分，共40分）案例一：某连锁超市部署了新一代零售管理系统（RMS），整合了采购、库存、销售、会员等模块。审计组受委托对该系统进行年度审计，重点关注销售环节的内部控制有效性。审计过程中发现以下情况：（1）系统设置“收银员”角色可修改商品单价，修改权限无需审批；（2）部分销售小票的“会员积分”与系统后台记录不一致，差异金额累计达12万元；（3）系统日志显示，某日21:00-22:00期间，服务器因断电导致销售交易未实时上传，次日补传时出现23笔交易重复记账；（4）会员管理模块中，存在3个已注销会员的账号仍可正常登录并使用积分。要求：（1）针对上述4项问题，分别指出涉及的主要控制缺陷；（2）提出对应的审计建议。答案：（1）控制缺陷分析：①问题（1）：输入控制缺陷。关键业务字段（商品单价）的修改未设置审批流程，违反“职责分离”原则，可能导致收银员恶意修改价格套取差价。②问题（2）：数据一致性控制缺陷。销售前端与后台数据同步机制失效（如接口传输错误、缓存未刷新），导致会员积分记录不一致，影响财务核算准确性与会员权益。③问题（3）：灾难恢复控制缺陷。未对断电解耦场景下的交易暂存（如本地缓存）及补传逻辑（如唯一交易标识校验）进行有效设计，导致重复记账风险。④问题（4）：访问控制缺陷。会员账号注销后未及时终止权限（如未清除登录令牌、未禁用账号），存在已注销会员非法使用积分的风险。（2）审计建议：①针对问题（1）：限制“收银员”角色的单价修改权限，设置“店长”或“值班经理”角色进行审批，系统需记录修改日志（包括修改人、时间、原单价、新单价）。②针对问题（2）：检查销售前端与后台的接口传输逻辑，增加交易流水号校验（如每笔交易提供唯一ID），并在每日结账时自动核对前端小票数据与后台记录，差异需人工确认后调整。③针对问题（3）：优化断电解耦场景的交易处理逻辑，未上传交易应暂存于本地数据库并标记“未上传”状态，补传时通过交易ID查重，避免重复记账；同时测试UPS续航时间，确保关键交易在断电后30分钟内可完成本地存储。④针对问题（4）：完善会员注销流程，系统自动触发账号禁用（如设置“注销”状态字段），并清除已提供的登录令牌；定期（每月）导出已注销会员清单，与系统活跃账号比对，清理异常账号。案例二：某制造企业上线了MES（制造执行系统），用于管理生产车间的设备运行、工单执行、质量检验等环节。审计组在系统审计中发现：（1）设备维修模块中，维修工单的“故障描述”字段允许输入任意字符（包括特殊符号），导致部分记录出现乱码；（2）质量检验模块中，检验员可同时执行“检验”与“不合格品处理”操作；（3）系统与ERP的接口中，生产工单的“完工数量”传输时未进行数值范围校验，曾出现“-500”的异常数据；（4）车间操作终端未设置屏保锁定，离开岗位后他人可直接操作终端修改生产数据。要求：（1）分析上述问题可能引发的业务风险；（2）设计针对性的审计测试程序以验证问题是否存在。答案：（1）业务风险分析：①问题（1）：数据乱码可能导致维修记录无法追溯（如故障类型统计错误），影响设备维护策略制定，甚至因关键故障信息丢失引发重复故障。②问题（2）：检验员同时拥有检验与处理权限，可能掩盖质量问题（如将不合格品标记为合格），导致不良品流入下工序，增加返工成本或客户投诉风险。③问题（3）：异常负数传输至ERP系统，可能导致成本核算错误（如多计完工产品成本）、库存数据失真（如显示负库存），影响财务报表准确性。④问题（4）：操作终端未锁定，可能被他人恶意修改生产数据（如篡改完工数量、设备运行状态），导致生产统计失实，甚至影响排产计划。（2）审计测试程序设计：①针对问题（1）：抽取100条维修工单记录，检查“故障描述”字段是否包含乱码（如非中文/英文的特殊符号）；访谈系统管理员，确认是否设置输入限制（如仅允许输入汉字、数字、字母）；测试输入特殊符号（如“@￥”），观察系统是否提示“输入格式错误”。②针对问题（2）：查看系统角色权限配置表，确认“检验员”角色是否同时包含“质量检验”与“不合格品处理”权限；抽取50份不合格品处理记录，检查处理人与检验人是否为同一人；模拟操作：使用检验员账号登录，尝试在完成检验后直接执行不合格品处理（如标记为返工），验证系统是否允许。③针对问题（3）：从ERP系统导出生产工单完工数量数