商業(yè)銀行的ＩＴ審計是加強商業(yè)銀行內部控制的有力手段，它不僅能有效促進商業(yè)銀行核心業(yè)務系統(tǒng)的安全平穩(wěn)運行，而且通過對ＩＴ戰(zhàn)略目標與商業(yè)銀行總體發(fā)展目標的一致性評估，可以最大限度地規(guī)避戰(zhàn)略風險、投資風險和運行風險，保證商業(yè)銀行的可持續(xù)發(fā)展。

　　一、ＩＴ審計的內涵

　　目前，國內外商業(yè)銀行的數據集中已成為必然的發(fā)展趨勢。數據的集中給商業(yè)銀行的決策層提供了及時、準確、全面的信息資源和有效的基礎平臺，實現(xiàn)了銀行業(yè)務數據與營業(yè)機構的分離，為銀行的管理集中和科學運營奠定了堅實的基礎。同時，數據的集中也帶來了ＩＴ決策風險、信息系統(tǒng)建設投資風險、信息系統(tǒng)運行維護風險的相對集中。如何有效地規(guī)避上述風險，并對其內控措施的有效性進行評估，是商業(yè)銀行每位高級管理人員都非常關心的問題。商業(yè)銀行ＩＴ審計不僅能夠滿足上述需要，而且還能對信息科技隊伍的建設情況、運行效率等諸多內容做出相應的評價，以確保信息發(fā)展與銀行發(fā)展戰(zhàn)略目標的一致性。

　　商業(yè)銀行ＩＴ審計的范圍覆蓋了全行所有系統(tǒng)的應用領域，以及信息系統(tǒng)整個生命周期中的所有活動和所有資源。與信息系統(tǒng)的建設不同，ＩＴ審計更關注風險的規(guī)避、管理和控制。其主要內容包括銀行ＩＴ戰(zhàn)略規(guī)劃審計、銀行信息系統(tǒng)需求獲取和開發(fā)過程審計、系統(tǒng)交付后技術支持和運行維護審計、對整個系統(tǒng)生命周期中相關管理活動的審計、對相關過程中文檔管理的審計、對相關人員的審計、對外部委托業(yè)務的審計、對災難恢復和業(yè)務持續(xù)性計劃的審計等內容。商業(yè)銀行ＩＴ審計是以風險管理為基礎，按重要性和成本效益性原則，在信息系統(tǒng)生命周期的全過程中，通過實施一般控制審計和應用控制審計，對相關證據進行采集和評價，用以判斷信息系統(tǒng)的資產安全、數據完整以及資源的有效利用，并對ＩＴ戰(zhàn)略規(guī)劃與銀行總體規(guī)劃的一致性進行評價。它綜合運用ＩＴ技術與審計理論及方法，為商業(yè)銀行戰(zhàn)略目標的實現(xiàn)提供合理的保障。

　　商業(yè)銀行通過ＩＴ審計，可以實現(xiàn)以下目標：

　　１。促進商業(yè)銀行公司治理戰(zhàn)略目標與ＩＴ發(fā)展戰(zhàn)略目標的高度一致。在金融業(yè)競爭非常激烈的今天，商業(yè)銀行的經營戰(zhàn)略目標必須緊隨市場的變化而變化，同時，ＩＴ技術和應用也在日新月異地發(fā)展，通過ＩＴ審計能夠評價兩者之間總體目標的一致性，并能就兩者之間的差異給出相應的咨詢建議。

　　２。優(yōu)化資源配置，實現(xiàn)在銀行內部的合理存儲、共享和利用。通過正確的信息戰(zhàn)略的制定和實施，使商業(yè)銀行獲得比較優(yōu)勢，促進和保障各類資源、資本在銀行內部各個環(huán)節(jié)上的合理分配和利用。通過選擇正確的技術架構和必要的手段，優(yōu)化資源的有效配置，提高信息系統(tǒng)效用，促進商業(yè)銀行快速持久發(fā)展。

　　３。幫助董事會或高級管理層提高決策效率和決策的正確性。ＩＴ審計能夠整體識別、評價全行面臨的ＩＴ風險以及這些風險在全行范圍的分布、影響、危害等。根據這些風險的具體情況，進行風險評估，為銀行高級管理層提出客觀、明確的建議和方案，督促相關部門采取措施，確保銀行核心業(yè)務系統(tǒng)的安全穩(wěn)定運行，從而為全行業(yè)務的快速穩(wěn)定發(fā)展提供保證。

　　４。通過科學、規(guī)范、獨立而實效的ＩＴ審計，在國內外銀行界樹立良好的風險控制形象，增強國內外戰(zhàn)略投資者和所有利益方的信心，進而推動國有商業(yè)銀行股改上市的步伐。

　　二、ＣＯＢＩＴ簡介

　　當前，國際普遍應用的ＩＴ相關標準眾多，有ＩＴ硬件技術標準、軟件實現(xiàn)標準、網絡通信標準、ＩＴ服務標準，還有涉及ＩＴ系統(tǒng)安全及安全工程的標準等，但有關信息系統(tǒng)管理及如何對信息系統(tǒng)進行審計的標準相對較少，ＣＯＢＩＴ（Ｃｏｎｔｒｏｌ Ｏｂｊｅｃｔｉｖｅｓ ｆｏｒ Ｉｎｆｏｒｍａｔｉｏｎ ａｎｄ ｒｅｌａｔｅｄ Ｔｅｃｈｎｏｌｏｇｙ，信息及相關技術的控制目標）就是其中的一個多方面兼而有之的標準。ＣＯＢＩＴ是信息技術安全與審計組織（ＩＳＡＣＡ）在１９９６年公布的信息系統(tǒng)審計的框架體系標準，目前已更新到第三版。作為國際通用的、具有權威性的信息技術控制和審計標準，ＣＯＢＩＴ得到了業(yè)界的一致認同。

　　１。ＣＯＢＩＴ系列所包含的內容

　　ＣＯＢＩＴ體系框架包括了實施簡介、實施工具集、高層控制目標框架、管理指南、具體控制目標、審計指南等一系列文檔（見圖１）。從ＣＯＢＩＴ文檔的組成成分來看，不僅有管理指南，更有審計指南和具體的控制目標。在管理指南中，ＣＯＢＩＴ為每個過程提供了關鍵成功因素、關鍵目標指標和關鍵績效指標等，并根據這些指標對每個過程進行了成熟度模型的劃分。在審計指南中，ＣＯＢＩＴ就審計的控制目標、調查對象、需要掌握的證據及如何進行測試和評估做出了詳細的說明。

　　２。ＣＯＢＩＴ參照標準

　　在ＣＯＢＩＴ的制定過程中，ＩＳＡＣＡ的專家參考了許多國際標準，其中包括銀行對新興業(yè)務的要求等。其主要參照標準有：

　　（１）相關的ＩＴ技術標準，包括ＩＳＯ系列標準和ＥＤＩＦＡＣＴ等。

　　（２）相關的審計行為準則，主要包括ＩＳＡＣＡ的相關準則及歐洲的ＯＥＣＤ等。

　　（３）與ＩＴ系統(tǒng)和過程相關的質量標準，主要包括ＩＴＳＥＣ、ＴＣＳＥＣ、ＩＳＯ－９０００、ＳＰＩＣＥ、ＣＣ、ＴｉｃｋＩＴ等。

　　（４）與內部控制和審計相關的職業(yè)或業(yè)務標準，如ＣＯＳＯ、ＩＦＡＣ、ＡＩＣＰＡ、ＣＩＣＡ、ＩＳＡＣＡ、ＩＩＡ、ＰＣＩＥ、ＧＡＯ等。

　　（５）來自銀行、電子商務和ＩＴ制造行業(yè)等新興行業(yè)的需求。

　　從以上ＣＯＢＩＴ參照的標準來看，它不僅參考了與ＩＴ相關的技術標準，而且還包括了與審計相關的行為準則及審計標準、內控標準和模型等內容。總之，ＣＯＢＩＴ是一個兼顧ＩＴ審計和ＩＴ系統(tǒng)管理的國際標準。

　　３。ＣＯＢＩＴ所體現(xiàn)的原則

　　ＣＯＢＩＴ所體現(xiàn)的原則包括質量、信用和安全三個方面的內容。在質量方面主要有品質、成本和交付三個原則；信用方面的內容主要取自ＣＯＳＯ模型，主要有業(yè)務運營的效力和效果、信息的可靠性、符合相關法律法規(guī)三個原則；在安全方面主要有機密性、完整性和可用性三個原則。從ＣＯＢＩＴ體現(xiàn)的原則可以看出，ＣＯＢＩＴ能夠滿足商業(yè)銀行對信息系統(tǒng)進行審計和管理的要求。

　　４。ＣＯＢＩＴ中的信息資產

　　在ＣＯＢＩＴ中，對信息系統(tǒng)所包含的資產進行了劃分，主要分為以下幾類：數據、應用、技術、設施和人力資源。它不僅包含ＩＴ技術，也包含了ＩＴ基礎設施等內容。尤其重要的是，它把使用技術的人也作為一種資源并對相關的情況進行審計。

　　５。ＣＯＢＩＴ的基本架構

　　ＣＯＢＩＴ將所有與信息系統(tǒng)相關的活動進行了劃分，主要包括３４個過程，分屬于４個域。具體關系見表１。

　　６。ＣＯＢＩＴ的適用用戶

　　ＣＯＢＩＴ的使用人員有銀行的高級管理者、審計師和系統(tǒng)用戶三類人員，目前最主要的使用者是ＩＴ審計師。

　　總的來看，ＣＯＢＩＴ將ＩＴ過程、ＩＴ資源信息與企業(yè)的策略和目標聯(lián)系起來，形成了一個三維的體系結構，保障了商業(yè)銀行的ＩＴ戰(zhàn)略目標和其業(yè)務發(fā)展戰(zhàn)略目標的一致性。同時，ＣＯＢＩＴ還在信息系統(tǒng)審計師、管理層和ＩＴ技術人員之間搭建橋梁，使ＩＴ管理工作簡單化。基于以上原因，ＣＯＢＩＴ不論從其適用范圍還是內容上，都具備了作為一個審計標準的條件。盡管如此，其自身也存在不足之處，那就是ＣＯＢＩＴ對相關過程中所涉及的控制目標太籠統(tǒng)，對過程的描述能力不強，在實際應用中需要ＩＴ審計師結合具體情況加以克服和完善。以上僅從審計的角度來探討ＣＯＢＩＴ的內容，實際上ＣＯＢＩＴ不僅是信息系統(tǒng)審計的國際標準，更是ＩＴ治理的相關標準。

　　三、ＣＯＢＩＴ在商業(yè)銀行信息系統(tǒng)審計工作中的應用探討

　　在商業(yè)銀行數據大集中的形勢下，銀行信息系統(tǒng)面臨著兩種威脅：一是利用計算機舞弊，二是災難性破壞。計算機舞弊現(xiàn)象不僅存在于系統(tǒng)開發(fā)階段，更容易發(fā)生在維護階段。總行數據中心一旦發(fā)生災難性破壞，受到影響的將是全行范圍的所有分支機構和所有業(yè)務，經濟、信譽和法律的損失將無法估量。為此，工商銀行的行領導非常重視，除了進一步加強信息科技部門自身的內部控制和采取必要的措施之外，還于２００２年在內審部門成立了專職的ＩＴ審計處，重點對ＩＴ風險進行檢查和控制，在ＩＴ審計方面做了一些有益的探索，取得了一些經驗。

　　商業(yè)銀行在應用ＣＯＢＩＴ的具體過程中，要注意以下幾點：

　　１。從審計目的看，ＩＴ審計不僅包含對信息系統(tǒng)安全運行的狀況提出評價，規(guī)避操作風險，更應該使組織中的ＩＴ戰(zhàn)略符合企業(yè)的戰(zhàn)略目標，規(guī)避由于信息技術發(fā)展給企業(yè)帶來的戰(zhàn)略風險。在這一方面，ＣＯＢＩＴ的審計范圍幾乎涵蓋了所有與ＩＴ相關的活動。而其他幾個國際標準則各有不同，ＢＳ７７９９側重于與信息系統(tǒng)安全相關的活動，ＣＯＳＯ則側重于企業(yè)自身內部控制，ＩＴＩＬ則是著重ＩＴ系統(tǒng)的交付和支持。更為重要的是，ＣＯＢＩＴ就如何進行ＩＴ審計，給出了詳盡的指導性建議。就其適用的對象而言，只有ＣＯＢＩＴ的適用用戶包含審計師，是從審計人員的角度來全面闡述了如何對企業(yè)面臨的ＩＴ戰(zhàn)略風險和操作運行風險進行審計和規(guī)避。因此，應該按照ＣＯＢＩＴ要求的控制目標，盡早對銀行相關的ＩＴ過程進行審計。

　　２。在應用ＣＯＢＩＴ標準時，應以ＣＯＢＩＴ為主，還要參照其他國際標準。ＣＯＢＩＴ作為一個ＩＴ治理的通用標準和信息系統(tǒng)審計的框架體系，與其他的國際ＩＴ標準并不沖突。審計師在以ＣＯＢＩＴ作為主要參照標準的同時，針對信息系統(tǒng)審計的不同方面，可以借鑒不同的國際標準。如在對商業(yè)銀行數據中心安全方面進行審計時，可以參照ＢＳ７７９９中的相應內容，也可以參照ＳＳＥ－ＣＭＭ的標準來進行；在涉及信息系統(tǒng)的交付和支持時，則可以采用ＩＴＩＬ中的內容來對數據中心的相關活動進行評價和審計；在對數據中心內控機制的建設情況進行評價時，就可參照ＣＯＳＯ中的相應條款來比照評估。

　　３。對ＣＯＢＩＴ標準的采用，應結合商業(yè)銀行自身的實際情況有選擇地實施。ＣＯＢＩＴ作為一個國際標準，比較強調其通用性，而對企業(yè)的具體情況有所忽視。在具體運用過程中，可依據自身特點，結合信息系統(tǒng)生命周期各個階段的不同特點，有選擇、分階段地來實施ＣＯＢＩＴ中所要求的內容。

　　４。在運用ＣＯＢＩＴ實施ＩＴ審計時，可從ＣＯＢＩＴ有關過程中的控制目標入手，進行風險分析，得出與該過程相關的風險控制目標，再從風險控制目標中導出與該目標相關的風險控制點。針對每個風險控制點，結合商業(yè)銀行自身的技術特色，找出其所包含的風險檢查點，風險檢查點又可以組成對相關部分的檢查表。針對檢查的結果，與ＣＯＢＩＴ相關部分中的要求相比照，找出相關的薄弱點，并就此提出相應的改進意見。風險控制目標和風險檢查點之間的推導方式主要有兩種，一種是自下而上，即從具體的管理過程或技術實施措施入手，從中得出相應的風險控制點，對相應的風險控制點進行提煉，最后得到風險控制目標；一種是自上而下，從風險控制目標出發(fā)，將其進行分解，得到相應的風險控制點并對其進行細分，直到能夠直接得出檢查點為止。最后將得到的風險控制目標與ＣＯＢＩＴ相關過程的控制目標相比較，以確保整個信息系統(tǒng)審計目標的完整性。