CIOI:另外，业务控制是关键点。会计、出纳是什么关系？内部控制严格不严格？软件有没有后门？软件权限是不是分开？
　　
　　王智玉：外部审计常常从风险点控制去检查，进行外部控制。风险管理更多的应当是内部控制，比如税务局的金税系统，财政部的金财系统，负责这个系统的CIO要避免自己的系统出现问题：首先，要进行法制约束，发现问题要严惩不贷；其次是CIO要具有职业道德；最后才是CIO的管理水平。
　　
　　国外有一套信息系统的开发控制指南——COBIT（信息系统审计与控制框架），是IT审计的一套理论。COBIT就如何进行IT项目的建设，给出了详尽的指导性建议。审计人员可以换一个角度去使用COBIT，既然它是最佳的建设指南，审计师也可以以此来对IT建设项目进行检查。从这个角度来看，COBIT的用户中应该包含审计师。
　　
　　在应用COBIT标准时，还应参考其他国际标准。COBIT作为一个IT治理的通用标准和信息系统审计的框架体系，与其他的国际IT标准并不冲突。不过到目前为止，在全球范围内找不到任何一个项目是完全按照COBIT标准去做的，也找不到任何一个项目是按照ITIL标准管理的，所有的IT系统与标准或多或少都有差别，因为ITIL和COBIT是最佳方案，是最理想的状态，客观上不要求我们完全照做，也难以一丝不苟地照做到。作为企业或单位的CIO，在IT审计方面责任很重，他们要做好两个防范：一是利用计算机作弊；二是灾难性破坏。CIO应该做三部分内容：第一是设备的维护、系统的建设等；第二是要支持业务，比如税务系统怎样使老百姓申报更快、更便捷、保证系统不宕机，群众报税不等待等；第三是做好IT审计。很多单位的信息化投资都非常大，下属单位做的工程，要了几千万元预算，最后干得怎样？这样的事情CIO要管起来。我建议CIO应当把这件事提到自己的职责里去，这对于扩大CIO的视野、职权、提高威望等都有帮助。
　　
　　CIOI:“金审”二期的重点是什么？
　　
　　王智玉：“金审”二期准备做三年，投资将超过一期。二期主要有两大任务，一是巩固一期成果，另一个重点是联网审计。联网审计在一期中有一些试点，取得了很好的成效。所谓联网审计，是将现代化信息技术、计算机网络技术运用到政府的审计工作中，在被审计单位的信息系统资料数据库和审计软件之间建立安全的联接，实现信息共享，提高审计效率。
　　
　　联网审计真正投入工程化的实施，需要具备两个条件，一个是被审计单位的支持；第二个是有雄厚的资金支持。试点和大面积投产是完全不同的概念。一个部委做了试点，在十个部委分散的做也可以做，但到了一百个部委时就出问题了，一百个部委搞一百套系统，领导会提出集成的需求。集成时，就会发现所使用的数据库、架构都是不适应的。需要重新在一个新基础上来构建，这就需要大量投资。
　　
　　CIOI:如何保证联网审计的安全性？
　　
　　王智玉：联网审计的安全非常重要。我们只需要被审计单位数据库的只读权限，这个只读权限由被审计单位设定。为保护被审计单位的系统，我们与清华大学共同研制了“单刀双掷网络开关”，并申报了国家专利。它确保被审计单位和审计署前置机接触取数据时，前置机绝对和审计署断开；数据取到前置机里面之后，绝对和被审计单位的数据库断开联接。这样可以确保双方的互信和安全。
　　
　　读取数据时有两个方法，一是读全部数据，另一个是读增量数据。比如，今天把全年的账全部导过来，在这些数据里，既可能有元旦那天导过的数据，也可能有今天中午导过的数据。由于账面上没有时间戳，审计人员分不清哪个是昨天导过的，哪个是今天该导的，存量数据和增量数据分不出来。现在，通过技术手段可以解决这个问题，不管数据有没有时间戳，都能判断出哪个是存量数据，哪个是增量数据，然后按照审计条件对这些数据进行筛选、过滤。显示存量数据和增量数据的作用是可以查出改账、删账这些内容的。比如前天系统记录的一笔帐，今天却没有了，系统比对，就可以报警。