(单选题)
当评估由某IT组织的CRO(首席风险官)完成的控制自我评估(CSA)时,审计师最应该关注以下哪一个选项:()
ACRO直接向CIO(首席信息官)报告
B某些IT经理指出CSA培训是不能满足要求
CCRO直接向董事会报告
DCSA流程最近刚刚被组织采用
正确答案
答案解析
如果CRO向CIO汇报,就会存在CRO的客观性的风险。理想情况下,CRO应该向董事会或者CEO汇报。尽管涉及CSA(控制自我评价)的每个人都应该接受合适的培训,但更为重要的是负责人员是否完全客观。尽管对组织而言,开发相应的CSA的专业技能需要花费时间,并且刚刚被评准的CSA流程需要更严格的监督,但更重要的是负责人员是否完全客观。审计师将审查评估结果,以确保所有重大风险都被确认。审计师要弄清楚CSA是否依照正确的组织程序(比如:规划、实施和监控)。点评:CRO向董事会而不是CIO进行报告。
相似试题
(单选题)
评估IT风险的最佳途径是?()
(单选题)
评估IT风险的最佳办法是()。
(单选题)
评估IT风险被很好的达到,可以通过()。
(单选题)
一个信息系统审计师发现组织的首席官(CIO)正在使用一个基于全球移动通信(GSM)技术的无线宽带调制解调器,该调试解调器在首席信息官旅行中不在办公室时用来连接CIO的笔记本电脑到公司的虚拟专用网络(VPN)。信息系统审计师应:()
(单选题)
下列哪一项是首席安全官的正常职责?()
(单选题)
当评估IT服务交付时,下面哪一项是其中最重要的()。
(单选题)
IT安全风险进行评估时,审计师要求IT安全人员参与跟用户和业务单位的代表进行风险识别的研讨会。审计师要取得成果和避免今后的冲突,什么是最重要的建议?()
(单选题)
IT审计师在评估组织的软件开发过程中注意到,质量保证部门向项目管理层进行汇报。以下哪项是IT审计师觉得最重要的()。
(单选题)
一家大型银行实施IT审计的过程中,IS审计师发现许多业务应用没有执行正规的风险评估,也没有确定其重要性和恢复时间上的要求。那么,这些暴露的银行风险是()。