1.7.1 面谈和观察员工以了解其职责履行情况

面谈技巧是信息系统审计师需要掌握的一项重要技能。面谈应该事先安排，清楚传达目标，遵循既定大纲并将面谈记录存档。使用信息系统审计师事先准备的面谈表格或检查清单是一种很好的方法。

记住，此类面谈的目的是运用质询、观察、检查、确认、执行和监控等技巧搜集审计证据。人员面谈的本质是挖掘信息，绝不能责问受访者；访问者应当让受访者感到轻松，并鼓励他们分享信息、想法、担忧和知识。信息系统审计师应当验证与受访者面谈所做笔记的准确性。

观察员工的职责履行情况可帮助信息系统审计师确定：

• 实际职能。观察这一测试方法足以确保被指派和授权履行某特定职能的人员是实际执行该项工作的人。信息系统审计师可以借机了解他人是如何理解和践行政策和程序的。根据具体情况，应将此类测试的结果与对应的逻辑访问权限进行比较。

• 实际流程/程序。浏览审查流程/程序可以让信息系统审计师获得符合性证据并观察到可能存在的偏差。此类观察对于物理控制很有用。

• 安全意识。观察安全意识可以查证个人是如何理解和践行用于保护企业资产和数据的有效预防性及检测性安全措施的。可以检查先前按计划完成的和计划中的安全培训，进一步支持此类信息。

• 报告关系。观察报告关系可以确保履行分配的职责并践行了充分的SoD。通常，应将此类测试的结果与对应的逻辑访问权限进行比较。

• 观察障碍。观察者可能会对被观察环境造成干扰。当发现有人观察自己时，人们可能会改变行事方式。与信息处理人员和管理层面谈可确保员工具备履行工作职责所需的技术技能。这是促成有效及高效运营的重要因素。