领域4—风险优化（20%）

Question 1

1.风险管理流程最重要的目标是：
A.帮助IT更有效且高效地管理风险
B.确立控制措施以改善风险状况
C.开展控制自我评估研讨会
D.促进公司战略的成功执行

Answer 1

D是正确答案。
理由：
A.帮助IT业务部门管理风险、确立控制措施和开展控制自我评估（CSA）研讨会只是整个风险管理流程中的一部分。
B.确立控制措施以改善企业的风险状况是风险管理流程的一部分，并不是风险管理流程最重要的目标。
C.CSA有助于企业了解其内部控制环境并识别风险领域和改进机会。开展CSA研讨会是全面风险管理流程的一部分，但本身不是目标。
D.在企业中设立风险管理流程的最重要目的是确保成功执行企业战略并实现企业目标。

Question 2

2.软件开发流程中，应在以下哪个阶段执行风险评估：
A.在需求阶段
B.在软件开发的每一阶段
C.在设计和开发阶段
D.在测试阶段，以避免任何潜在不足

Answer 2

B是正确答案。理由：
A.风险评估是在需求阶段执行，并在整个软件开发生命周期中持续进行。
B.风险评估应在从需求到设计、开发、测试和实施的每一个阶段中执行。
C.在设计和开发阶段执行风险评估至关重要，但必须关注流程每个阶段的风险，而不仅仅是某个阶段。
D.在测试阶段执行风险评估不能确保风险得到适当处理，尤其是在早期阶段未执行风险评估的情况下。

Question 3

3.企业风险管理系统使得管理层能够：
A.提高企业创造价值的能力
B.及时报告
C.将风险降至最低并确保提高生产力
D.为企业选择最佳风险应对措施

Answer 3

A是正确答案。
理由：
A.企业风险管理（ERM）评估、控制、利用和监控所有相关来源中的风险并为其提供资金，旨在提高企业对其利益相关方的短期和长期价值。在企业运营环境中，全球化、技术、重组、不断变化的市场、竞争和监管等因素都会造成不确定性，这些均可通过ERM来解决。
B.ERM对于及时报告没有帮助。
C.ERM可优化风险，但不能将风险降到最低；虽然ERM有助于提高生产力，但并不能确保做到这一点。
D.ERM的作用不只是为企业选择最佳风险应对措施。ERM可确保：IT相关企业风险不超过风险偏好和风险容忍度，确定和管理IT风险对企业价值的影响，违规的可能性被降到最低。

Question 4

4.与IT服务外包相关的IT风险可通过下面哪种方式得到最佳管理：
A.制定多个资源开发战略
B.在合同中纳入控制措施和服务等级协议
C.制定政策和程序
D.执行尽责调查审计

Answer 4

B是正确答案。
理由：
A.制定多个资源开发战略是应对风险的方式之一，但并不是全面应对风险的唯一方法。
B.在合同和协议中纳入缓解控制措施和要求可让每个合同的外包风险都得到管理。
C.政策和程序非常重要，但只能管理部分外包风险。
D.审计和审计权限很重要，但只是缓解风险的控制措施之一。

Question 5

5.以下哪一项涉及IT风险的决策是在计划层面做出的？
A.采取行动所需的决策
B.有关将战略转化为行动的决策
C.有关业务目标的决策
D.有关实现IT目标质量控制的风险的决策

Answer 5

B是正确答案。
理由：
A.采取行动所需的决策是在项目层面做出的。
B.有关将战略转化为行动的决策是在计划层面做出的，涉及使用计划资源来实施战略的选项。
C.有关业务目标的决策是在战略层面做出的。同样在战略层面做出的还
有：有关创新相关风险的决策，以及有关实施业务战略的计划。
D.质量控制的决策是在项目层面做出的。

Question 6

6.企业风险管理流程的首要目标是确保企业能够：
A.履行企业使命
B.保护业务和IT资产
C.提供最优质服务
D.增加盈利

Answer 6

A是正确答案。
理由：
A.企业风险管理（ERM）流程包括战略风险、运营风险、报告风险和合规风险。ERM旨在确保企业的战略目标不受损害，从而保护企业履行其使命的能力。
B.资产保护是ERM的重要组成部分；然而，ERM必须始终考虑收益和成本以确保对风险进行优化，使企业能够经济高效地完成其使命。
C.提供最优质服务的能力属于运营风险，但并不是ERM流程的首要目标。ERM包括运营风险以及战略风险、财务风险和合规风险。
D.保护企业增加盈利的能力属于财务风险，但并不是ERM流程的首要目标。ERM包括运营风险以及战略风险、财务风险和合规风险。

Question 7

7.在企业中，最能说明IT风险管理流程成熟度的是：
A.高级管理层准备在IT安全方面投入更多资金
B.员工拥有适当的风险意识且能轻松地谈论它
C.在IT和业务管理的方方面面执行风险评估
D.在风险评估和风险等级评定方面使业务和IT保持一致

Answer 7

B是正确答案。
理由：
A.高级管理层在IT安全方面投资并不一定是成熟度的标志，因为这不能保证结果、安全意识或更好的风险管理；它也不是风险的衡量指标。
B.拥有风险意识的员工是任何企业中IT风险管理流程成熟度的最重要衡量指标之一。企业员工认识到他们活动中的固有风险，能够讨论风险并愿意合作解决风险，这是风险意识文化的最佳体现。
C.仅仅是风险评估并不能成功，除非有相应水平的意识和沟通。
D.在风险评估流程中使业务和IT保持一致不是正确答案，因为这只是营造所需的风险意识文化中的一步。

Question 8

8.风险管理的最终责任属于：
A.相应的业务经理
B.战略委员会
C.董事会
D.IT风险应对委员会

Answer 8

C是正确答案。
理由：
A.各业务经理都参与风险管理，但最终责任属于董事会。
B.战略委员会参与风险管理，但不承担最终责任（有时责任属于指导委员会）。
C.董事会承担风险管理的最终责任，并确定风险偏好和风险容忍度水平。董事会还应针对业务和IT管理部门所管理的IT风险所有权，规定一种一致的方法，确保所有利益相关方正确地参与。
D.风险应对委员会并不管理风险；该委员会主要是在事故发生时积极参与风险应对流程。

Question 9

9.以下哪一项是企业中最常见的风险领域？
A.投资财务风险
B.信贷风险
C.市场风险
D.运营风险

Answer 9

D是正确答案。
理由：
A.投资财务风险是围绕投资组合管理的风险；很多企业不受此类风险影响，其与银行和金融公司更加相关。
B.许多企业不受信贷风险影响，这是与银行客户和银行或金融公司本身的信贷评级相关的风险。
C.市场风险是与市场波动相关的风险，可能并不会影响所有企业。
D.运营风险是正确的，因为这类影响企业的风险会根据位置、行业、全球化水平和其他诸多因素不同而变化。例如，服务公司可能不太担心信贷风险和市场风险。但是，所有企业都必须运营才能开展业务。运营风险包含与人、技术、成本、时间表、资源、运营支持、质量、提供商出现问题、安全、基础设施故障、业务连续性和客户关系有关的风险。

Question 10

10.在努力使IT风险管理成为企业风险管理的一部分时，董事会应当了解的关键信息是风险管理：
A.是应当涵盖整个企业所有层面的活动
B.是企业内各个部门的单独活动
C.与确定和可预见的决策有关
D.旨在通过尽量降低风险来实现业务目标

Answer 10

A是正确答案。
理由：
A.要想行之有效，企业风险管理（ERM）应当涵盖整个企业的所有层面。ERM是每个部门和职能日常运作必不可少的一部分，而不是独立的活动。
B.ERM的成功显著依赖于利益相关方和决策者在所有层面的适当和及时参与。
C.有效的ERM旨在管理各种风险，以帮助企业实现战略目标。这些风险往往涉及不确定性，可能既要依据事实、数据和先前的事件，还要基于个人经验和判断以及企业风险偏好来制定决策。
D.任何风险应对方案都需要资源来实施和维护。因此，最大程度降低风险并不是一个好的业务实践。应根据风险出现的可能性及影响来管理、缓解和降低风险。有时，缓解的成本可能超过风险出现的可能性和影响，企业可能选择接受风险而不采取行动。

Question 11

11.企业的风险偏好水平主要受以下哪一项的影响？
A.风险等级评定方法
B.风险的影响程度乘以风险出现的可能性
C.管理层的风险文化
D.风险评估团队中的专家

Answer 11

C是正确答案。
理由：
A.风险等级评定流程是指对现有风险场景进行评估，并将风险按出现的可能性最高、影响最大到出现的可能性最低、影响最小的顺序进行排序。会考虑风险场景之间的相互依赖性。风险等级评定本身并不影响风险偏好。
B.威胁出现的可能性乘以影响的程度有助于量化具体风险场景的相对风险，但并不影响风险偏好水平。
C.各企业的风险偏好水平是不同的。根据管理层的风险文化以及相对于业务目标内部利益相关方愿意接受的风险量不同，风险偏好水平会有所变化。
D.风险评估

Question 12

12.风险管理组应对认定为“低风险”的流程采取什么措施？
A.接受风险并在风险登记表中记录这一事实
B.从未来的风险评估范围中移除流程
C.向高级管理层和董事会报告时不包括这些流程
D.将流程标记为潜在机会，以降低成本或提升价值

Answer 12

D是正确答案。
理由：
A.尽管低风险流程看起来不错，但是如果不采取措施，可能会失去这些机会。
B.如果风险随着时间的推移而升高，从未来的风险评估范围中除去这些方面可能会损害企业。
C.不向高级管理层和董事会报告这些方面的信息，风险管理团队就剥夺了高级管理层/董事会了解重要信息的机会，而他们可能希望利用这些重要信息提供指导，如探索低风险流程带来的机会。
D.低风险流程可能带来需要进一步探索的机会。例如，减小控制力度可能会带来节省成本的机会，也可能导致需要承担更多风险。

Question 13

13.以下哪个角色负责确定企业的IT风险管理框架是否与企业风险管理框架一致？
A.首席执行官
B.首席信息官
C.首席审计官
D.首席信息安全官

Answer 13

A是正确答案。
理由：
A.首席执行官（CEO）是董事会的代表，负责推动整个企业（包括IT）为实现企业目标而努力。因此，CEO有责任让IT风险管理与企业风险管理框架保持一致。
B.首席信息官负责管理企业的信息资产。
C.首席审计官负责管理企业的审计职能。
D.首席信息安全官负责管理企业的信息资产安全。

Question 14

14.定义风险管理战略之前应初步分析什么？
A.风险评估方法
B.IT预算
C.组织文化和风险偏好
D.IT资产清单

Answer 14

C是正确答案。
理由：
A.风险评估方法是风险识别和评估的一部分，但并不推动风险管理战略。
B.定义风险应对战略时，IT预算是限制因素之一。
C.企业可以根据其风险文化接受、缓解或转移风险。风险偏好和容忍度是企业风险文化更易于衡量的表达，直接推动风险管理战略。
D.IT资产清单是风险管理战略的依据信息。

Question 15

15.某企业发现一个出现的可能性很高、会对关键IT流程造成很大影响的风险。以下哪一项是最适当的风险应对方案？
A.风险规避
B.风险缓解
C.风险转移
D.风险接受

Answer 15

B是正确答案。
理由：
A.由于受影响的IT流程是关键IT流程，风险规避不可取。风险规避是系统地避免风险的流程，如不从事特定活动。
B.对于出现的可能性较高、影响力较大的风险，需要部署对策，将风险降低到可接受的水平。
C.对于出现的可能性较高、影响力较大的风险，一般不适合进行风险转移。风险转移是将风险分摊到其他企业的过程，通常通过购买保险或外包服务来实现。
D.对于出现的可能性较高、影响力较大的风险，一般不应接受，而应缓解。风险接受是指对特定风险不采取任何行动，而是接受损失（当其发生时/如有）。这不同于无视风险；而是高级管理层做出的明智决定。

Question 16

16.以下哪一项是在设计控制框架时最重要的考虑因素？
A.风险偏好
B.工作指导书
C.员工士气
D.监控要求

Answer 16

A是正确答案。
理由：
A.要营造最佳的内部控制环境，最好要了解风险偏好。一旦明确了风险偏好，就可以确定实施控制框架所需的投资力度。
B.工作指导书的操作性太强，在设计控制框架时不需要考虑。
C.员工士气和基本的组织文化是在设计控制框架时需要重点考虑的因素。强有力的控制措施可减少实施欺诈的机会，从而抵消员工士气低下的环境中借口增多的状况。尽管如此，在设计控制框架时，首先应了解企业的风险偏好，以便组织制定适合其特定环境的控制措施。
D.监控要求可能只涵盖控制框架的一部分；因此，它不是最重要的考虑因素。

Question 17

17.接受风险的责任由以下哪一方承担？
A.企业风险委员会
B.执行管理层
C.业务流程所有者
D.审计委员会

Answer 17

B是正确答案。
理由：
A.企业风险委员会监督风险治理状况，但接受风险的责任仍由执行管理层承担。
B.接受风险是执行管理层或其指定代表的责任。
C.业务流程所有者通常会将风险接受请求上报到执行管理层进行审批。
D.审计委员会识别风险，但服从执行管理层的风险接受决策。

Question 18

18.以下哪个角色对风险管理流程监控负最终责任？
A.首席信息官
B.首席信息安全官
C.首席财务官
D.首席执行官

Answer 18

D是正确答案。
理由：
A.首席信息官可以受委托承担该责任，但不负最终责任。
B.首席信息安全官可以受委托承担该责任，但不负最终责任。
C.首席财务官可以受委托承担该责任，但不负最终责任。
D.风险管理监控的总体责任由首席执行官承担。

Question 19

19.当外包信用卡处理事务时，谁负责确保符合监管要求？
A.外包供应商
B.责任共担
C.客户企业
D.责任取决于合同

Answer 19

C是正确答案。
理由：
A.外包供应商按合同开展活动和交付服务，但不承担最终责任。
B.客户企业和外包供应商不能分担责任，因为外包供应商负责提供服务，仅对所提供的服务负责，而不负责监管要求的合规性。
C.客户企业仍然对其交付的服务负责。合同或采购文件不会解除客户的这种责任。
D.合同不能解除客户的固有责任。

Question 20

20.为企业选择风险缓解战略时，以下哪一项最重要？
A.资产价值和重要性
B.风险偏好和容忍度
C.威胁发生的可能性和频率
D.资产总拥有成本

Answer 20

B是正确答案。
理由：
A.资产价值和重要性是具体风险缓解活动的主要依据信息，但不是风险缓解战略最重要的信息。
B.风险缓解战略用于将残余风险尽量降低至可接受的水平。风险偏好和容忍度是制定风险缓解战略的主要考虑因素。
C.威胁发生的可能性和频率是开展具体风险缓解活动的主要依据信息，但不是风险缓解战略最重要的信息。
D.总拥有成本与风险缓解战略没有直接关联。

Question 21

21.以下哪个角色负责IT风险管理决策？
A.首席财务官
B.合规部门
C.内部审计
D.首席信息官

Answer 21

D是正确答案。
理由：
A.首席财务官是负责财务管理所有方面事务的最高官员，包括财务风险和控制以及可靠、准确的账目。
B.合规部门负责在企业内给予法律、监管和合同合规性方面的指导。
C.内部审计负责提供企业内部的审计工作。
D.首席信息官是企业内负责让IT和业务战略保持一致，并负责计划、资源调配和管理IT服务及解决方案交付以支持企业目标的最高官员。这包括指导IT风险管理决策。

Question 22

22.以下最佳中，哪一项能实现风险管理目标？
A.确定企业愿意承担的IT相关风险的水平
B.倡导IT风险意识文化，增强企业主动识别IT风险的能力。
C.向董事会或执行委员会报告任何风险管理问题
D.让关键利益相关方审查企业既定目标的进展情况

Answer 22

A是正确答案。
理由：
A.实现风险管理目标的最佳方法是确定企业的风险偏好是否适合，并确保识别和管理使用IT给企业价值带来的风险。
B.倡导IT风险意识文化有助于指导风险管理实践，但无助于实现风险管理目标。
C.报告风险管理问题可以帮助监控风险管理流程，但对实现风险管理目标没有帮助。
D.让关键利益相关方审查进展可以帮助监控风险管理流程，但对实现风险管理目标没有帮助。

Question 23

23.要使IT风险管理计划有效，以下哪一项最重要？
A.企业风险管理框架
B.IT目标与企业目标保持一致
C.高级管理层的意见
D.保守的风险偏好

Answer 23

C是正确答案。
理由：
A.一个有效的IT风险管理计划不一定需要企业风险管理框架。
B.IT目标与企业目标保持一致是企业IT治理的重要部分，但不一定会使IT风险管理计划有效。
C.要使IT风险管理计划有效，最需要高级管理层的意见，因为管理层负责定义风险阈值并最终负责评估、指导和监控风险管理活动。
D.保守的风险偏好不一定会使IT风险管理计划有效；但确保风险不超过风险偏好则是IT风险管理计划中的重要因素。

Question 24

24.在建立IT风险管理实务时，以下哪一项依据信息最重要？
A.企业风险管理计划
B.风险分析结果
C.监管要求
D.IT风险管理政策

Answer 24

A是正确答案。
理由：
A.IT风险管理实务应与企业风险管理（ERM）一致。
B.风险分析结果是监控风险管理实务的依据信息，而非建立风险管理实务的依据信息。
C.虽然监管要求是风险管理流程的重要依据信息，但它对风险管理过程的影响不如对整个企业风险管理计划的影响大。
D.IT风险管理政策是创建风险管理实务的输出结果。

Question 25

``` 25.在评估如何符合新法规时，企业应当首先考虑以下哪一项？ A.第三方风险评估的结果 B.检查过往事件/损失 C.潜在威胁 D.风险偏好和容忍度 ```

Answer 25

``` D是正确答案。 理由： A.在考虑风险偏好和容忍度之后，才会执行第三方风险评估并评定结果。 B.检查过往事件/损失可为风险评估提供依据信息。 C.考虑潜在威胁可为风险评估提供依据信息。 D.通过了解企业的风险偏好和容忍度，管理层能够确定如何设计控制活动来管理风险。 ```

Question 26

``` 26.在考虑新的IT举措之前执行风险评估的主要目标是： A.为IT资产提供适当级别的保护 B.确定风险偏好和风险容忍度水平 C.使管理层能够基于风险制定决策 D.确保新的举措与战略一致 ```

Answer 26

C是正确答案。 理由： A.如果管理层决定继续投资新举措，风险评估将有助于选择和实施控制措施以保护IT资产；但这不是考虑新IT举措时的主要依据信息。 B.新举措的相关决策应基于企业当前已在企业层面确定的风险偏好和风险容忍度。 C.执行风险评估的主要目标是：向企业详细说明新举措相关威胁可能造成的正面和负面影响。这将帮助管理层适当地决定继续/停止新举措。 D.IT举措的复杂性不断增长，只有当管理层能够基于IT治理观点做出明智决策并且把风险分析作为流程的一部分时，才能确保这些举措与业务战略的一致性。

Question 27

``` 27.为确保IT内部控制措施的有效性，以下哪项为最佳做法？ A.持续监控 B.质量保证职能 C.IT指导委员会 D.外部绩效评估 ```

Answer 27

A是正确答案。 理由： A.持续监控采用自动化的方式来检测违反公司政策的系统交易、设置或数据变更。这些系统可以用来阻断未经授权用户的特定活动或限制用户未经更高级别批准而做出变更的能力。 B.质量保证是为产品或服务符合要求提供充分保证而需执行的所有有计划的系统性行动。质量保证不会反映IT内部控制的有效性。 C.如果没有持续监控等基本流程，IT指导委员会本身不会提供IT内部控制有效性的状态和证据。 D.外部绩效评估通常由专门的审计师执行，涉及对企业的计划、职能、运营或管理系统和程序进行审查，以便评估该企业在利用现有资源方面是否实现了经济性、效率性和效益性。

Question 28

``` 28.以下哪项活动的增加最能向董事会和股东说明该企业具备良好的企业IT治理实务？ A.审计活动 B.流程改进活动 C.治理委员会会议 D.风险管理活动 ```

Answer 28

D是正确答案。 理由： A.审计活动的增加说明有必要审查控制措施，表明正在对照标准审查业务活动。这不一定说明具备良好的企业IT治理实务（GEIT）。 B.流程改进活动的增加表明企业在专注于改进其内部业务流程，不代表企业具备良好的GEIT实务。 C.治理委员会会议的增加不能说明企业在努力建立良好的GEIT实务。 D.在策略、组合、计划、项目和运营层面应用风险管理，说明企业在其管理风格/文化、风险偏好和行业领域因素方面有自己的见解，这是展示自身具备良好GEIT实务的最佳方法。

Question 29

``` 29.以下哪一项最有助于使IT风险管理与企业风险管理保持一致？ A.让来自业务部门的资源参与IT风险管理 B.使用IT和业务部门通用的风险术语集 C.使用统一的方法衡量可能性和影响 D.将IT风险缓解控制措施嵌入业务流程 ```

Answer 29

B是正确答案。 理由： A.让业务人员管理IT风险并将IT风险管理与企业风险管理（ERM）保持一致，这也许是个好主意，但业务人员可能对IT风险并不了解。 B.借助通用的术语集以业务术语来说明IT风险，这有助于使IT风险评估与ERM保持一致，因为IT和业务部门对风险和回报拥有相同的视角和理解。 C.只有在使用业务和IT部门都可以理解的通用术语集来衡量IT风险和ERM风险的可能性和影响时，这种相同的衡量方法才会有用。 D.将IT风险缓解控制措施嵌入业务流程有助于更好地管理风险，但可能无法让IT风险管理与ERM保持一致。

Question 30

``` 30.当企业在发现重大风险后继续按现状运营时，应采取以下哪种风险应对方案？ A.风险缓释 B.风险共担 C.风险接受 D.风险规避 ```

Answer 30

``` C是正确答案。 理由： A.风险缓释的目标是将残余风险降至企业的风险容忍度水平以下。 B.风险共担是指通过转移或以其他方式分摊一部分风险来降低风险发生的频率或影响。 C.风险接受意味着对于特定风险不采取行动，而是接受损失（当其发生时/如有）。这与无视风险不同。接受风险的前提是，风险是已知的（管理层已经做出了接受风险的知情决定）。风险接受情况应记录在案并传达给高级管理层和董事会。 D.风险规避是指系统地规避风险的过程，是管理风险的一种方法。 ```

Question 31

``` 31.以下哪一项在确定风险偏好时最重要？ A.风险分析结果 B.企业文化 C.业务战略 D.风险概况 B是正确答案。 理由： A.风险分析结果提供风险态势信息，但未提供有关企业风险偏好的深入信息。它既不反映企业对于损失的承受能力，也不反映企业的文化。 B.企业文化包含企业的处事基调，可从中看出企业如何看待和应对风险，其中包括风险管理理念和风险偏好、诚信和道德价值观以及运营环境。风险偏好是实体在追求使命或愿景时准备接受的风险量。因为风险偏好取决于每个企业的内部环境，不同企业的风险偏好各不相同。 C.业务战略可能考虑了固有风险；但它只是确定风险偏好的部分考虑因素。 D.风险概况是风险分析的结果并且提供风险等级评定；但它不决定风险偏好。 ```

Question 32

``` 32.要使执行管理层能够做出有依据的风险应对决策，以下哪一项最重要？ A.风险沟通 B.风险框架 C.风险评级 D.风险委员会 ```

Answer 32

A是正确答案。 理由： A.有关IT风险的开放式沟通将会增强执行管理层对风险的认识。在企业内部培养风险意识文化的过程中，风险沟通是重要的一环。 B.风险框架是为企业风险管理提供指引的一套广泛的准则。该框架并不能增强执行管理层对实际暴露出的任何IT风险的认识。培养对企业暴露出的IT风险的理解力是指，让管理层具有更强的风险意识，包括对于未及时接受最新技术而丧失机会的风险意识。 C.尽管风险评级很重要，但如果人们没有风险意识并且不讨论风险和机会，企业可能会在市场上错失许多机会和风险竞争优势。因此，有效沟通最重要。 D.组建风险委员会只是建立有效沟通流程的一部分。

Question 33

``` 33.以下哪一项最能表明风险管理支持业务战略？ A.察觉、报告和事故响应之间的时间 B.外部和内部客户满意度评级 C.服务呼叫、变更请求和修复的次数 D.影响力较大的事故和投诉数量 ```

Answer 33

B是正确答案。 理由： A.察觉、报告和应对安全事故之间的时间差是一个关键绩效指标（KPI），可帮助完成客户满意度的关键目标指标（KGI）。 B.客户满意度是反映企业目标最终实现情况的直接KGI。这也是平衡计分卡（BSC）的主要维度之一，可以用来建立风险管理的绩效管理体系。高级/执行管理层仅关注对任务关键型领域有影响的衡量结果。客户满意度在所列问题中是最重要的。 C.安全相关服务呼叫、变更请求和修复的次数减少是可帮助完成客户满意度KGI的KPI。 D.影响公众形象或造成重大影响的事故数量是可帮助完成客户满意度KGI的KPI。

Question 34

``` 34.在保证领导对信息风险管理的承诺时，以下哪一项最重要？ A.请IT风险专家全面解释风险 B.展示安全漏洞威胁的相关证据 C.围绕价值优化展开信息风险讨论 D.说明需要采取的步骤 ```

Answer 34

C是正确答案。 理由： A.高级管理层通常不想与IT风险专家直接对话。管理层希望进行价值、风险和效益层面而非技术层面的讨论。 B.高级管理层不想看到安全漏洞威胁的证据。管理层希望了解正在采取哪些措施来降低企业面临的风险和受到的影响。因此，围绕价值优化展开信息风险讨论最重要。 C.高级管理层希望获得所提出的任何问题的答案，或者至少是解决问题的计划。说到底，管理层最关心的问题是价值优化。围绕价值优化展开信息风险讨论有助于将二者联系在一起。 D.高级管理层更关注为何必须采取某种行动，而非需要采取何种行动。

Question 35

``` 35.企业的宏观信息风险政策主要提供以下哪种信息？ A.有关风险偏好的指导 B.漏洞清单 C.有关如何实施控制的明确说明 D.风险缓解的优先级 ```

Answer 35

A是正确答案。 理由： A.风险偏好是指一个实体在追求其使命时愿意接受的广义风险量。风险偏好包含在企业的风险政策内，用来指导基于风险制定决策。 B.漏洞清单是风险管理流程的一部分，而非该政策的一部分。该政策是一份管理文件，包含对风险管理流程的指导。 C.有关如何实施控制的明确说明不是该政策的一部分，因其操作性太强。 D.风险缓解的优先级是一项管理决策，政策对此有帮助，但其并非政策的输出结果。

Question 36

``` 36.以下哪一项提供企业整体的风险状况？ A.风险管理 B.风险分析 C.风险偏好 D.风险概况 ```

Answer 36

D是正确答案。 理由： A.风险管理包括就风险对企业进行指导和控制的协调活动。 B.风险分析是在某个时间点对风险所做的分析，但是未通过多种数据源进行累积更新以反映整个企业的整体风险状况。在开展风险管理的一开始，需完成的工作包括：分析资产对企业的价值、确定这些资产面临的威胁、评估每项资产受这些威胁攻击的难易程度。风险管理过程中通常需要评估特定事件可能发生的频率以及该事件可能造成的影响。 C.风险偏好是指实体在追求其使命时愿意接受的广义风险量，而非当前的整体风险状况。 D.风险概况指企业当前确定面临的风险的整体状况。由于概况随着风险的演变和新风险的出现而更新，因此其反映企业当前的风险状况。

Question 37

``` 37.表明企业风险管理成功的最佳指标是： A.设立了企业风险评级委员会。 B.在企业面临的重大风险方面保持信息透明。 C.不计成本规避已知风险。 D.实施企业信息安全控制措施。 ```

Answer 37

B是正确答案。 理由： A.拥有一个企业风险等级委员会并不一定意味着适当的企业风险管理（ERM）和必要的透明度。 B.透明度是所有良好治理原则的主要共同特征；在企业面临的重大风险方面保持信息透明表明ERM的成功。 C.不计成本规避风险并不意味着在这一过程中做到了信息透明，也不能说明正在执行的ERM恰当。 D.制定和实施企业信息安全控制措施并不意味着企业风险得到了适当的审查，因为企业信息安全只是整体IT系统的一部分。

Question 38

``` 38.向高级管理层报告信息风险重大变更的主要原因是什么？ A.修改关键风险指标 B.获得高级管理层对于新对策的支持 C.让管理层做出明智的决策 D.重新计算现有信息资产的价值 ```

Answer 38

C是正确答案。 理由： A.关键风险指标的修改情况必需传达给管理层；但它们并非传达新的重大信息风险的方法。 B.获得高级管理层对于新对策的支持并非向他们报告信息风险变更的主要原因。并非所有重大变更都需要新对策。 C.信息风险的变更会影响关键业务流程，风险从业人员应将其汇报给管理层，以便管理层能够做出明智的风险应对决策。 D.重新计算资产价值不是向高级管理层报告信息风险变更的主要原因。高级管理层通常了解关键资产的重要性，不会等到出现重大风险才重新考虑资产价值。

Question 39

``` 39.企业风险管理系统使得管理层能够： A.及时报告 B.将风险降至最低并确保提高生产力 C.选择最佳控制措施来应对风险 D.提高企业创造价值的能力 ```

Answer 39

D是正确答案。 理由： A.企业风险管理（ERM）对于及时报告没有帮助。 B.ERM能优化风险；它不会将风险控制到最低。尽管ERM可能有助于提高生产力，但不能确保做到这一点。 C.ERM为管理层提供所需的信息以基于风险制定决策，但不会定义必要的控制措施来将风险降至可接受的容忍度范围内。 D.ERM评估、控制、利用和监控所有相关来源中的风险并为其提供资金，旨在提高企业对其利益相关方的短期和长期价值。在企业运营环境中，全球化、技术、重组、不断变化的市场、竞争和监管等因素都会造成不确定性，这些均可通过ERM来解决。

Question 40

``` 40.以下哪一项是IT高级管理层在总体风险管理中扮演的主要角色？ A.将IT相关风险记录到企业风险组合 B.识别企业对IT风险管理的偏好 C.识别IT风险对业务的影响 D.了解IT风险管理 ```

Answer 40

``` A是正确答案。 理由： A.IT高级管理层在总体风险管理中的角色是识别所有IT相关风险并记录到企业风险组合。 B.识别企业的风险偏好是董事会和高级管理层的责任。 C.识别IT风险对业务的影响是业务管理层和业务流程所有者的责任。 D.了解风险管理是每个员工的责任。 ```

Question 41

``` 41.以下哪个标准对选择关键风险指标最重要？ A.关联性 B.可定量性 C.敏感度 D.可靠性 ```

Answer 41

``` A是正确答案。 理由： A.关键风险指标（KRI）必须与企业相关，否则其他标准也会变得无关紧要。 B.如果KRI可以量化，但与企业不相关，也不能使用。 C.敏感度标准描述触发KRI所需的阈值。 D.如果KRI衡量结果可靠，但与企业不相关，也不能使用。可靠性标准描述每次发生异常时KRI是否标记异常。 ```

Question 42

``` 42.以下哪种方法是识别和评估IT风险的最佳方法？确保每种IT风险： A.都有相关的缓解措施 B.符合法律和监管要求 C.与一个业务目标对应 D.都有高级管理层支持 ```

Answer 42

``` C是正确答案。 理由： A.缓解措施是在运营层面对已确定IT风险的响应。 B.部分（而非全部）风险可能符合法律和监管要求。 C.由于IT是至少一个支持战略目标的业务流程的动力，因此每种IT风险应与一个业务目标对应。 D.高级管理层的支持可确保IT风险的识别和缓解工作得到管理层的监督和指导。 ```

Question 43

``` 43.以下哪一项是IT参与业务连续性计划的主要结果？确保： A.IT系统恢复能力 B.实现业务恢复能力目标 C.实施IT灾难恢复机制 D.IT对于企业的业务连续性举措的所有权 ```

Answer 43

``` B是正确答案。 理由： A.IT系统恢复能力是业务连续性计划的一部分。 B.让IT参与业务连续性计划可确保体现并最终实现与IT相关的连续性要求。 C.IT灾难恢复机制是IT系统恢复能力的一部分，包含在业务连续性计划内。 D.高级管理层（而非IT）是业务连续性举措的所有者。 ```

Question 44

``` 44.在创建针对业务恢复能力的IT风险管理方法时，执行业务影响分析的最大优势是： A.拥有更新的登记表，反映所有资产变更 B.拥有定性和定量的风险估算 C.消除执行风险分析的需求 D.了解失去关键IT资产对业务的影响 ```

Answer 44

``` D是正确答案。 理由： A.必须定期更新业务影响分析（BIA），以反映任何资产变更。 B.BIA应使用定性和定量估算。 C.BIA不会消除执行风险分析的需求。 D.BIA有助于提高企业对业务影响的认识，以防任何关键IT资产丢失或受损。 ```

Question 45

``` 45.为创建有效的IT风险管理流程，企业必须加强董事会和高级管理层之间的风险对话。以下哪一项是开启有效沟通的最佳措施？ A.定期在IT管理层和审计委员会之间召开会议 B.定期为董事会编制有关每种IT风险缓解措施进展的风险报告 C.为董事会、高级管理层和IT治理委员会定义风险角色 D.为董事会实施IT风险培训计划 ```

Answer 45

C是正确答案。 理由： A.在为董事会和IT治理委员会定义风险角色时，会明确定期在IT管理层和审计委员会之间召开会议的责任。 B.在为董事会和IT治理委员会定义风险角色时，会明确规定必须报告旨在应对关键风险的措施绩效。 C.为董事会和IT治理委员会定义风险角色将促使他们明确了解角色和风险责任。通过明确分配责任，董事会和高级管理层可以开始探索可能影响企业IT风险的不同方面，并制订应对计划，衡量其应对的有效性。 D.向董事会提供必要的工具（包括IT风险培训）有助于董事会更好地了解与IT相关的风险，从而让他们在IT风险管理中发挥必要作用。

Question 46

``` 46.以下哪一项最能帮助IT管理层和董事会对与涉及外包协议的IT风险相关的监管要求做出响应？ A.建立针对第三方关系的IT风险管理流程 B.制定用于选择第三方的IT风险管理战略 C.制定用于监督第三方服务的IT风险流程 D.开展独立的IT风险审查以有效管理第三方 ```

Answer 46

``` A是正确答案。 理由： A.建立针对第三方关系的IT风险管理流程能够最有效地帮助IT管理层响应监管要求，以管理从确认到终止的整个第三方关系生命周期风险。 B.制定用于选择第三方的IT风险管理战略是第三方IT风险管理流程的一部分。 C.制定用于监督第三方的IT风险流程是第三方IT风险管理流程的一部分。 D.开展独立的IT风险审查以有效管理第三方是第三方IT风险管理流程的一部分。 ```

Question 47

``` 47.以下哪一项最准确地描述了制定有效关键风险指标的目标？ A.帮助企业识别绩效不佳的指标 B.洞察影响企业的风险事件 C.建立向董事会报告的有效机制 D.确定企业目标面临的潜在风险 ```

Answer 47

D是正确答案。 理由： A.帮助企业识别绩效不佳的指标是指关键绩效指标（KPI），而非关键风险指标（KRI）。 B.KRI具有前瞻性且与过往事件无关。KPI关乎已经对企业产生影响的事件。 C.只有在确定并解决企业目标面临的潜在风险之后，才能建立向董事会报告的有效机制。 D.确定企业目标面临的潜在风险是KRI的主要目标。目标是识别可能妨碍企业实现其控制目标的潜在事件，并制定措施以消除或最小化事件的潜在影响。

Question 48

``` 48.以下哪一项是实施风险管理框架的最佳理由？ A.降低IT风险 B.促进沟通 C.降低企业成本 D.提供风险报告 ```

Answer 48

B是正确答案。 理由： A.降低IT风险的第一步是拥有一个能促进良好沟通的风险框架。但如果没有必要的相关活动，风险不会降低。 B.风险管理框架为所有利益相关方提供了一种共同语言。 C.风险框架和有效的风险管理不一定会降低成本。随着风险被发现，成本可能增加。 D.无论是否制定了风险管理框架，风险报告都可以存在。但基于风险管理框架的风险报告可提供更清晰的信息。

Question 49

``` 49.以下哪一项是与业务流程再造项目相关的最重要实施风险？ A.范围风险 B.用户支持风险 C.领导风险 D.文化风险 ```

Answer 49

C是正确答案。 理由： A.如果项目范围定义不当，会引起严重问题。但是，范围是在设计期间定义的，因此范围风险是设计风险。 B.如果用户不为业务流程再造项目提供必要的支持，则最终建立的流程可能行不通。用户支持是设计阶段的一部分，有助于实施阶段的测试。但是，如果没有领导支持，项目甚至不会进入实施阶段。 C.要成功完成项目，C级高管必须提供支持。 D.文化风险是项目设计、实施和运作阶段的一部分。在项目所有阶段采取措施来缓解文化风险是管理层的工作职责。

Question 50

``` 50.以下哪一项描述了采取风险缓解措施之后的剩余风险？ A.残余风险 B.业务风险 C.固有风险 D.控制风险 ```

Answer 50

``` A是正确答案。 理由： A.残余风险是指管理层采取风险应对（缓解）措施之后的剩余风险。接下来需对残余风险进行审查，以确定其是否为可接受的业务风险，或者是否应该采取额外的风险缓解措施。 B.所有风险最终都是公司的业务风险，必须作为标准业务实践的一部分接受。 C.固有风险是指实施管理活动以缓解风险之前暴露出的风险。 D.控制风险是指实施的控制活动可能存在残余风险的风险。 ```

Question 51

``` 51.考虑与法律合规性相关的IT风险时，以下哪一项是最重要的因素？ A.企业政策 B.变更管理政策 C.服务交付流程 D.企业目的和目标 ```

Answer 51

D是正确答案。 理由： A.企业目的和目标可以促成企业政策，它们是实现企业目的和目标的工具。 B.变更管理政策旨在落实法律规定，是确保符合法律规定的必要控制措施。因此，它们支持企业目的和目标。 C.服务交付流程是支持企业目的和目标的运营指南。 D.必须先存在企业目的和目标，然后才能识别任何风险。企业目的和目标通常包括遵循法律规定。IT事件和IT风险影响企业能否达成目的和目标。

Question 52

``` 52.IT灾难恢复计划（DRP）包括持续的IT备份和使用异地供应商数据中心。IT DRP会为某一事件提供以下哪种风险应对方案？ A.规避 B.缓解 C.转移 D.接受 ```

Answer 52

B是正确答案。 理由： A.IT灾难恢复计划（DRP）规定了出现中断时的恢复活动。在发生任何中断之前，就应采取必要的规避措施，因此，规避不是任何DRP的一部分。 B.在发生灾难性中断时，IT DRP会提供缓解计划。 C.转移是指将风险事件的责任转移至另一实体。在本示例中，风险事件的责任没有转移至供应商。 D.接受是指接受风险事件。例如，可能可以确定如果发生中断，将会持续不到六个小时。在这种情况下，公司可能决定接受中断并且不启动灾难恢复流程。

Question 53

``` 53.以下哪种方法最有助于制定关键IT风险指标？ A.通过面谈了解关键利益相关方关注的问题 B.对照同行业的同类企业进行基准检测 C.对过去三年执行的风险评估进行结果分析 D.对影响IT目标实现的风险进行分析 ```

Answer 53

D是正确答案。 理由： A.通过面谈了解关键利益相关方关注的问题，或许能够提供额外的依据信息来分析影响IT目标实现的风险。 B.基准检测可以提供额外信息，有助于分析影响IT目标实现的风险。 C.分析过去三年执行的风险评估或许能够提供额外的依据信息来分析影响IT目标实现的风险，但不能保证识别出当前所面临的风险。 D.由于IT目标源于业务目标，因此通过对影响IT目标实现的风险进行分析，能够以最佳方式设定关键风险指标。