【正文】 風險；了解信息流動；審核接口問題（比如，硬件和硬件、軟件和軟件、以及硬件和軟件），以及評價業(yè)務持續(xù)和災難恢復計劃?！　　纠}】內(nèi)部審計師最有可能評估的電子商務項目中，風險最低的是（?。??！　　⒃O計和執(zhí)行同組織戰(zhàn)略的一體化過程的業(yè)務計劃　　，并且在其風險評估中包含了其他的外部因素　　　　　　[答疑編號811040208]　　【答案】A　　【解析】以下是內(nèi)部審計師在開展電子商務業(yè)務和評估風險時應該考慮的問題：電子商務項目或方案是否有業(yè)務計劃；業(yè)務計劃是否涵蓋了電子商務系統(tǒng)的計劃、設計和執(zhí)行同組織戰(zhàn)略的一體化過程；政府的以及管制的要求是否得到了分析和考慮；硬件和軟件的安全性有多少，它們能否防止或發(fā)現(xiàn)未授權的登陸、不恰當?shù)氖褂靡约捌渌泻Φ挠绊懞蛽p失；交易處理是否是當前的、準確的、完整的以及無可置疑的；風險評估是否包含內(nèi)部和外部的力量；如果采用外部供應商，是否由合格的能證明供應商的受托第三方來評價供應商?持續(xù)經(jīng)營情況；如果供應商提供主機服務，他們是否具有經(jīng)過測試的業(yè)務應急計劃？他們是否提供了最新的SAS70報告？（SAS70報告能向用戶機構提供有關內(nèi)部控制的有價值信息。）還有，隱私問題是否得以解決？基于電子商務項目很好的關注了這些問題，取得最低的風險評估的項目很可能是涵蓋了電子商務系統(tǒng)的計劃、設計和執(zhí)行同組織戰(zhàn)略的一體化過程的業(yè)務計劃?！　∵x項B不正確，這個項目的業(yè)務計劃除了要在風險評估中包含外部力量，還應包含內(nèi)部力量；選項C不正確，運用外部供應商會增加電子商務項目的風險，除非由合格的能證明供應商的受托第三方來評價供應商的持續(xù)經(jīng)營情況，供應商具有經(jīng)過測試的業(yè)務持續(xù)計劃，供應商已提供了最近的SAS70報告等；選項D不正確，項目的業(yè)務計劃除了應關注軟件安全性外，還要關注硬件安全性。此外，這份計劃不僅應確保交易處理的準確性，而且還應確定所處理的交易是當前的、完整的以及無可置疑的?！　　纠}】關于電子商務風險的最佳定義是（?。骸　?，它對組織目標的實現(xiàn)會產(chǎn)生負面的影響　　，它向管理層安全保障組織的資產(chǎn)會產(chǎn)生正面的影響　　，它對組織目標的實現(xiàn)會產(chǎn)生正面的影響　　，它會影響組織資源利用的效果和效率　　[答疑編號811040209]　　【答案】A　　【解析】電子商務風險和控制環(huán)境非常復雜，而且在不斷演化。風險是事件發(fā)生的不確定性，它會對組織目標的實現(xiàn)產(chǎn)生負面影響?！　∵x項B不正確，管理層安全保障組織資產(chǎn)的目標僅是眾多管理目標中的一個；選項C不正確，對組織目標的實現(xiàn)會產(chǎn)生負面的影響，而不是正面的影響；選項D不正確，盡管組織資源利用的效果和效率是有效的目標，但不確定事件對這個目標的影響不都是負面的?！　　　　纠}】貨幣交易的安全性是電子商務業(yè)務的審計目標的一個范例。以下（?。╉棽皇请娮由虅諛I(yè)務的審計目標：　　　　　　　　　　[答疑編號811040210]　　【答案】D　　【解析】電子商務業(yè)務的審計目標可以包括：電子商務交易的證據(jù)；安全系統(tǒng)的可用性與可靠性；電子商務和財務系統(tǒng)的有效接口；貨幣交易的安全性；客戶鑒定程序的有效性；業(yè)務持續(xù)過程的適當性，包括運營中斷后的恢復；遵守常規(guī)的安全標準；有效的使用和控制數(shù)字簽名；用于控制公鑰證書（運用公鑰密碼技術）系統(tǒng)、政策和程序的適當性；操作數(shù)據(jù)和信息的適當性和及時性；有效的內(nèi)部控制系統(tǒng)的備有證明文件的證據(jù)。數(shù)字簽名原理的解釋；　　對稱加密：一把密鑰　　非對稱加密：一對密鑰，公鑰和私鑰　　【例題】根據(jù)給定的事實，以下（?。╉椧馕吨畹统潭鹊沫h(huán)境、健康和安全風險?！　?，致使公眾失去信心　　　　　　，包括傷亡事件　　[答疑編號811040211]　　【答案】C　　【解析】審計執(zhí)行主管（CAE）在任何全面企業(yè)風險評估中要包含環(huán)境、健康和安全（EHamp。S）風險，并以一種平穩(wěn)的方式評估與機構的運營有關的其他類型的風險活動。除此之外還要評價以下的風險暴露：組織的報告結構；引起環(huán)境危害、罰金以及處罰的可能性；由環(huán)境保護機構（EPA）或其他政府機構要求的支出；傷亡的歷史記錄；客戶的損失記錄以及負面的公共事件和公共印象和聲譽損失。同樣，根據(jù)題中提到的風險暴露，水電動力工廠位于一個小城鎮(zhèn)幾公里處，會造成最低程度的EHamp。S風險?！　∵x項A不正確，停電風險會讓工廠消極地暴露在公眾面前，并失去公共的形象和信譽；選項B不正確，將化學廢品處理到河流里增加了引起環(huán)境傷害、罰金和處罰；選項D不正確，建筑場所暴露出的風險是其歷史上的傷亡造成的?！　　纠}】內(nèi)部審計師在組織的業(yè)務持續(xù)性及災難恢復計劃中會扮演某個角色。以下（?。┓N方式能使內(nèi)部審計活動對于業(yè)務持續(xù)或災難恢復計劃的規(guī)劃階段會有幫助？　　，包括管理層的流動、市場環(huán)境的變化以及控制上的變動情況　　，確定它能反映在風險評估過程中包含并得到評價的運營情況，并確定它包含了充分的內(nèi)部控制關注點和規(guī)定　　，確保在不利環(huán)境發(fā)生后及時地恢復運營和程序　　，確定它是否在結構上吸收了已經(jīng)發(fā)生的變化　　[答疑編號811040212]　　【答案】A　　【解析】組織會依靠內(nèi)部審計師對運營的分析以及對風險管理和控制過程的評估。內(nèi)部審計師能了解整體的業(yè)務運營情況以及各個職能，并且這些職能之間的相互關聯(lián)關系。這就決定了內(nèi)部審計活動在災難恢復計劃形成過程中能成為對該計劃進行評價的極有價值的資源。內(nèi)部審計活動能幫助對組織的內(nèi)部和外部環(huán)境的評估。需要考慮的內(nèi)部因素包括管理層的流動情況以及信息系統(tǒng)、控制和主要項目和方案的變動情況。需要考慮的外部因素包括外部的管制和業(yè)務環(huán)境的變化以及市場和競爭環(huán)境、國際金融和經(jīng)濟環(huán)境以及技術的變化?！　∵x項B不正確，這是內(nèi)部審計活動在業(yè)務持續(xù)和災難恢復計劃的評價階段的工作；選項C不正確，這是內(nèi)部審計活動對業(yè)務持續(xù)性或災難恢復計劃的定期確認業(yè)務的部分工作；選項D不正確，這是內(nèi)部審計活動對業(yè)務持續(xù)性或災難恢復計劃的定期確認業(yè)務的部分工作?！　　　　　? 第12頁