在开展信息技术审计工作时,基层银行除了充分运用审计的一般性方法和技术手段以外,还应根据信息系统审计工作的特殊性,结合实际情况,在审计的各个阶段综合运用特有方法与技术手段。 在审计实施阶段,首先应当对系统进行管理审计,主要采取现场观察、上机查看、查阅系统日志、运行维护记录以及有关业务文档资料等方法进行审计。其次,综合运用系统内部控制功能审计,通过搭建系统模拟运行环境或利用系统备机,采取平行模拟操作、试探性操作等方法,对系统的内部控制功能进行审计检测。再次,采用计算机基础设施管理和科技综合管理审计,采取现场观察或工具测试、文档和记录检查等方法进行审计。 评估和分析阶段,包括物理安全、逻辑安全和数据安全,分析存在的安全隐患和控制薄弱环节。 第一,利用审计软件辅助审计一般用于下列几种审计工作:按照审计人员的要求检查数据;测试及执行计算,审计人员可运用审计软件测试数据文件中相关数据计算的正确性并进行分析,评估被审计系统中相应数据的正确性;比较两个不同数据文件中的相关数据,确定数据的一致性;选择并打印审计样本,审计软件可采用随机抽样或判断抽样等方法,从被审计数据文件中选择所需的样本;汇总或重新组织数据,并执行分析工作。 第二,利用系统的子模块辅助审计。在利用被审计系统中的子模块进行审计之前,审计人员必须对其处理和控制功能进行审查。被审计系统的子模块在审查数据文件时操作便捷,不需开发或购买审计软件,但它们往往不具备达到审计目标所需要的全部功能,不能按照审计人员批定的格式和内容输出审计工作底稿。 第三,利用数据库管理系统和实用程序审计。目前,人民银行系统中使用的计算机应用系统本身就带有数据库管理的一些命令或实用程序。运用数据库管理系统和实用程序审计数据文件和审计软件,可实时跟踪相关信息系统;在对被审计单位的信息系统进行评价时,利用专用的审计对比软件将存放于数据库不同地址的同一种数据自动进行比较,形成相应的记录文件,并对有差异的文件数据详细审查。