QCM CISA CERTIFIED INFORMATION SYSTEM AUDITOR- FR

20 QUESTIONS DOMAINE 2
Mr Najah Idrissi Moulay Rachid
1 - Le risque commercial global pour une menace particulière peut être exprimé comme suit :
A. un produit de la probabilité et de l'ampleur de l'impact si une menace exploite avec succès une
vulnérabilité
B. l'ampleur de l'impact si une source de menace réussit à exploiter la vulnérabilité
C. la probabilité qu'une source de menace donnée exploite une vulnérabilité donnée
D. le jugement collectif du plateau d'évaluation des risques
2- La charte d'audit des SI d'une organisation doit préciser :
A. plans à court et à long terme pour les missions d'audit des SI
B. Objectifs et portée de la mission d'audit des SI
C. plan de formation détaillé du personnel d'audit SI
D. Rôle de la fonction audit SI
3- Un auditeur des SI doit utiliser un échantillonnage statistique et non un échantillonnage par
jugement (non statistique) lorsque :
A. la probabilité d'erreur doit être objectivement quantifiée
B. l'auditeur souhaite éviter les risques d'échantillonnage
C. le logiciel d'audit généralisé n'est pas disponible
D. le taux d'erreur tolérable ne peut pas être déterminé
4- Lors de la phase de planification d'un audit SI, l'objectif PRINCIPAL d'un auditeur SI est de :
A. répondre à l'objectif de l'audit
B. recueillir suffisamment de preuves
C. spécifier le test approprié
D. minimiser les ressources d'audit
5-Un auditeur SI évaluant les contrôles d'accès logiques doit PREMIÈREMENT :
A. documenter les contrôles appliqués aux chemins d'accès potentiels au système
B. tester les contrôles sur les chemins d'accès pour déterminer s'ils fonctionnent
C. évaluer l'environnement de sécurité par rapport aux politiques et pratiques écrites
D. obtenir une compréhension des risques de sécurité pour le traitement de l'information
6- Un auditeur SI a importé des données de la base de données du client. L'étape suivante, qui
consiste à confirmer si les données importées sont complètes, est effectuée par :
A. faire correspondre les totaux de contrôle des données importées aux totaux de contrôle des
données d'origine
B. trier les données pour confirmer si les données sont dans le même ordre que les données
d'origine
C. examen de l'impression des 100 premiers enregistrements de données d'origine avec les 100
premiers enregistrements de données importées
D. filtrer les données pour différentes catégories et les faire correspondre aux données d'origine
7- Lequel des éléments suivants serait normalement la preuve la PLUS fiable pour un auditeur ?
A. Une lettre de confirmation reçue d'un tiers vérifiant le solde d'un compte
B. Assurance de la part de la hiérarchie qu'une application fonctionne comme prévu
C. Données sur les tendances obtenues à partir de sources du World Wide Web (Internet)
D. Analystes des ratios élaborés par l'auditeur SI à partir des rapports fournis par la hiérarchie
8- Lors de l'examen d'une fiche client, un auditeur SI a découvert de nombreux doublons de noms
de clients dus à des variations de prénoms clients. À déterminer l'étendue de la duplication,
l'auditeur des SI utiliserait :
A. tester les données pour valider la saisie des données
B. tester les données pour déterminer la capacité de tri du système
C. logiciel d'audit généralisé pour rechercher les doublons de champ d'adresse
D. Logiciel d'audit généralisé pour rechercher les doublons de champs de compte
9- La MEILLEURE méthode pour prouver l'exactitude d'un système de calcul de taxe consiste à :
A. examen visuel détaillé et analyse du code source des programmes de calcul
B. recréer la logique du programme à l'aide d'un logiciel d'audit généralisé pour calculer le total
mensuel
C. préparer des transactions simulées pour le traitement et comparer les résultats au résultat
prédéterminé
D. organigramme automatique et analyse du code source du programme de calcul
10- Laquelle des techniques d'audit en ligne suivantes est la plus efficace pour la détection
précoce d'erreurs ou d'irrégularités ?
A. Module d'audit intégré
B. Installation d'essai intégrée
C. Instantanés
D. Crochets d'audit
11- Un test de fond pour vérifier que les enregistrements d'inventaire de la bibliothèque de
bandes sont exacts est :
A. déterminer si les lecteurs de codes à barres sont installés
B. déterminer si le mouvement des bandes est autorisé
C. effectuer un comptage physique de l'inventeur de la bande
D. vérifier si les reçus et les sorties de bandes sont correctement enregistrés
12 - Un auditeur des SI publie un rapport d'audit soulignant l'absence de fonctionnalités de
protection par pare-feu au niveau de la passerelle du réseau de périmètre et recommande un
produit fournisseur pour remédier à cette vulnérabilité. L'auditeur des SI n'a pas exercé :
A. indépendance professionnelle
B. indépendance organisationnelle
C. compétence technique
D. compétence professionnelle
13- Après enquête initiale, un auditeur SI a des raisons de croire qu'une fraude peut être
présente. L'auditeur SI doit :
A. élargir les activités pour déterminer si une enquête est justifiée
B. signaler le problème au comité d'audit
C. signaler la possibilité de fraude à la haute direction et demander comment ils aimeraient
procéder
D. consulter un conseiller juridique externe pour déterminer la marche à suivre
14- La raison PRINCIPALE pour laquelle un auditeur des SI effectue une visite fonctionnelle lors de
la phase préliminaire d'une mission d'audit est de :
A. comprendre les processus commerciaux
B. se conformer à la norme d'audit
C. identifier les faiblesses du contrôle
D. plan test substantiel
15- Lequel des éléments suivants un auditeur des SI utiliserait-il pour déterminer si des
modifications non autorisées ont été apportées aux programmes de production ?
A. Analyse du journal système
B. Test de conformité
C. Analyse médico-légale
D. Examen analytique
16- Lors d'un audit de contrôle des modifications d'un système de production, un auditeur des SI
constate que le processus de gestion des modifications n'est pas formellement documenté et que
certains les procédures de migration ont échoué. Que doit faire ensuite l'auditeur SI ?
A. Recommander la refonte du processus de gestion du changement
B. Obtenir plus d'assurance sur les résultats grâce à l'analyse des causes profondes
C. Recommander que la migration du programme soit arrêtée jusqu'à ce que le processus de
changement soit documenté
D. Documenter le résultat et le présenter aux managers
17- Une action corrective a été prise par une entité auditée immédiatement après l'identification
d'une constatation à signaler. L'auditeur doit :
A. inclure la constatation dans le rapport final, car l'auditeur des SI est responsable d'un rapport
précis de toutes les constatations
B. ne pas inclure la constatation dans le rapport final, car le rapport d'audit ne devrait inclure que
les constatations non résolues
C. ne pas inclure la constatation dans le rapport final, car l'action corrective peut être vérifiée par
l'auditeur du SI lors de l'audit
D. inclure la conclusion lors de la réunion de clôture à des fins de discussion uniquement

18- La décision finale d'inclure une constatation importante dans un rapport d'audit devrait être
prise par :
A. comité d'audit
B. la direction de l'audité
C. Auditeur SI
D. PDG de l'organisation
19- Un avantage PRIMAIRE dérivé d'une organisation employant des techniques d'auto-évaluation
des contrôles (AEC) est qu'elle :
A. peut identifier les zones à haut risque qui pourraient nécessiter un examen détaillé tardif
B. permet aux auditeurs des SI d'évaluer de manière indépendante les risques
C. peut être utilisé en remplacement de l'audit traditionnel
D. permet à la direction de renoncer à la responsabilité du contrôle
20- Une gouvernance informatique efficace garantira que le plan informatique est cohérent avec
les éléments suivants :
A. plan d'affaires
B. plan d'audit
C. plan de sécurité
D. plan d'investissement