1、转变观念,注重过程。内联网安全审计具有一定的事前性,网络系统从一开始就需要审计部门介入,由审计人员对系统的有关内控制度提出设计要求,针对审计可视线索自然消失的趋势,强调在数据处理流程中,设置审计控制点,由计算机自动记录有关审计所需线索,并提供测试数据和比较标准,保留充分的审计线索。内联网系统在日常运行过程中,内审部门也可以对系统维护进行全程跟踪,注意搜集审计线索,建立内联网络审计档案,为日后顺利开展审计提供必需的条件。在开展审计工作时,内审部门可以对内联网风险进行评估,根据评估结果制定相应的审计计划,按照风险点的发生概率和危险程度确定审计重点,安排审计力量,真正做到信息系统的事前和事中审计相结合,将以损失为基础的传统审计转变成风险导向型审计。 2、丰富审计手段和技术,提高审计效率。在信息技术高速发展的今天,审计对象日益增多,而且数据量呈爆炸式增长;同时出现了一些新的舞弊手段,如修改计算机操作程序、篡改电子数据等手段的出现,这对我们审计工作都是新的挑战。我们可以开发出信息系统的数据接口,对采集来的系统数据进行汇总分析、数据挖掘、异常检测,以获取相关的审计线索,实现对各类业务活动的适时监控;也可以开发出信息技术审计工具软件,利用计算机对电子数据进行跟踪、审查、协调比对,并将处理过的信息数据直接生成审计工作底稿,免去了摘抄等大量环节,简化了审计取证和资料的汇总程序,把审计人员从繁琐的传统手工工作中解放出来,为现场审计提供审计依据和线索,以此来提高内审工作的广度和深度。 3、加强培训,提高审计人员综合素质。一方面需要加强审计人员的计算机知识与技能的培训、锻炼,要在基层央行培养出一支精通央行内部审计业务,掌握高科技信息技术的高素质人才队伍;另一方面也要加强科技人员的审计技能的培训,使得科技部门不仅能从信息技术的角度,也能从内控审计的角度,根据“技防、物防和人防相结合”的原则,采取有力措施全面促进内联网的安全管理工作。 4、明确审计重点,细化工作步骤。内联网安全审计应该围绕着网络的安全性和可靠性为中心。应遵循“不相容职责必须分离”的原则对网络系统职责、系统用户权限等级等分离情况进行审查,测试验证网络数据传输质量和速度,侧重于网络安全防护措施和网络故障排除处理等方面的技术数据和文档资料审查;对被审计内联网络整体进行分析与评价,以确认防范黑客入侵能力和病毒破坏能力、抗灾难能力,重点评估网络的稳健性;深入了解对被审计内联网络容错处理机制,安全管理体制和安全防护技术等方面,审查网络系统配置、系统日志、登记本等资料和各项制度落实情况,以全面评价其内联网系统安全性能等级。 5、完善内控制度建设,坚持自查与他查相结合的内部审查方法。网络安全审计是一个系统、全面的工程,因为网络安全是处于动态、不断变化的状态,需要健全的内控制度体系进行保障。因此我们在开展内审工作时,应坚持以自查和他查相结合的方式,对职责分离、授权控制、岗位轮换等内控制度执行情况实行有效监督,采取有力措施,努力创新,不断完善内控评审、风险评估、审计抽样等审计方法,积极探索适合央行网络安全审计的新方法。 6、制定系统完整的网络审计标准,规范审计流程。一是建立和完善网络安全审计的规范和流程;二是严格按照审计规范和审计流程的要求组织开展审计工作;三是按照审计标准,客观地评价内联网安全状况,界定审计责任,加强审计线索的综合分析,提高审计质量。制定出系统完整的网络安全审计的标准和流程,不仅能准确、客观公正地评价网络运行状况,还给内联网安全审计以及其他的信息系统的审计工作提供指引。 7、探索人民银行网络审计的模式。通过先进的信息技术手段进行明确分工、有效协作,实现联网全程监控、实时汇总、远程审计,努力整合内审部门人力和资源,提高审计工作效率、积极探索新的工作方式。