COBIT與商業(yè)銀行的IT審計
伴隨著我國商業(yè)銀行信息化建設的不斷深入和飛速發(fā)展,信息已經成為商業(yè)銀行可持續(xù)發(fā)展的重要基礎性資源。信息技術已不再是單純的業(yè)務實現(xiàn)手段和支持方式,而逐漸成為商業(yè)銀行戰(zhàn)略規(guī)劃、投資決策所必須考慮的重
伴隨著我國商業(yè)銀行信息化建設的不斷深入和飛速發(fā)展,信息已經成為商業(yè)銀行可持續(xù)發(fā)展的重要基礎性資源。信息技術已不再是單純的業(yè)務實現(xiàn)手段和支持方式,而逐漸成為商業(yè)銀行戰(zhàn)略規(guī)劃、投資決策所必須考慮的重要因素之一。信息技術在為商業(yè)銀行提供了大量便利的同時,也帶來了巨大的操作、法律和信譽風險。因此,如何管理好信息與信息資源,如何充分利用信息技術保證銀行在競爭日趨激烈的金融市場中占據優(yōu)勢,是擺在銀行高級管理人員面前的一個課題。
商業(yè)銀行的IT審計是加強商業(yè)銀行內部控制的有力手段,它不僅能有效促進商業(yè)銀行核心業(yè)務系統(tǒng)的安全平穩(wěn)運行,而且通過對IT戰(zhàn)略目標與商業(yè)銀行總體發(fā)展目標的一致性評估,可以最大限度地規(guī)避戰(zhàn)略風險、投資風險和運行風險,保證商業(yè)銀行的可持續(xù)發(fā)展。
一、IT審計的內涵
目前,國內外商業(yè)銀行的數據集中已成為必然的發(fā)展趨勢。數據的集中給商業(yè)銀行的決策層提供了及時、準確、全面的信息資源和有效的基礎平臺,實現(xiàn)了銀行業(yè)務數據與營業(yè)機構的分離,為銀行的管理集中和科學運營奠定了堅實的基礎。同時,數據的集中也帶來了IT決策風險、信息系統(tǒng)建設投資風險、信息系統(tǒng)運行維護風險的相對集中。如何有效地規(guī)避上述風險,并對其內控措施的有效性進行評估,是商業(yè)銀行每位高級管理人員都非常關心的問題。商業(yè)銀行IT審計不僅能夠滿足上述需要,而且還能對信息科技隊伍的建設情況、運行效率等諸多內容做出相應的評價,以確保信息發(fā)展與銀行發(fā)展戰(zhàn)略目標的一致性。
商業(yè)銀行IT審計的范圍覆蓋了全行所有系統(tǒng)的應用領域,以及信息系統(tǒng)整個生命周期中的所有活動和所有資源。與信息系統(tǒng)的建設不同,IT審計更關注風險的規(guī)避、管理和控制。其主要內容包括銀行IT戰(zhàn)略規(guī)劃審計、銀行信息系統(tǒng)需求獲取和開發(fā)過程審計、系統(tǒng)交付后技術支持和運行維護審計、對整個系統(tǒng)生命周期中相關管理活動的審計、對相關過程中文檔管理的審計、對相關人員的審計、對外部委托業(yè)務的審計、對災難恢復和業(yè)務持續(xù)性計劃的審計等內容。商業(yè)銀行IT審計是以風險管理為基礎,按重要性和成本效益性原則,在信息系統(tǒng)生命周期的全過程中,通過實施一般控制審計和應用控制審計,對相關證據進行采集和評價,用以判斷信息系統(tǒng)的資產安全、數據完整以及資源的有效利用,并對IT戰(zhàn)略規(guī)劃與銀行總體規(guī)劃的一致性進行評價。它綜合運用IT技術與審計理論及方法,為商業(yè)銀行戰(zhàn)略目標的實現(xiàn)提供合理的保障。
商業(yè)銀行通過IT審計,可以實現(xiàn)以下目標:
1。促進商業(yè)銀行公司治理戰(zhàn)略目標與IT發(fā)展戰(zhàn)略目標的高度一致。在金融業(yè)競爭非常激烈的今天,商業(yè)銀行的經營戰(zhàn)略目標必須緊隨市場的變化而變化,同時,IT技術和應用也在日新月異地發(fā)展,通過IT審計能夠評價兩者之間總體目標的一致性,并能就兩者之間的差異給出相應的咨詢建議。
2。優(yōu)化資源配置,實現(xiàn)在銀行內部的合理存儲、共享和利用。通過正確的信息戰(zhàn)略的制定和實施,使商業(yè)銀行獲得比較優(yōu)勢,促進和保障各類資源、資本在銀行內部各個環(huán)節(jié)上的合理分配和利用。通過選擇正確的技術架構和必要的手段,優(yōu)化資源的有效配置,提高信息系統(tǒng)效用,促進商業(yè)銀行快速持久發(fā)展。
3。幫助董事會或高級管理層提高決策效率和決策的正確性。IT審計能夠整體識別、評價全行面臨的IT風險以及這些風險在全行范圍的分布、影響、危害等。根據這些風險的具體情況,進行風險評估,為銀行高級管理層提出客觀、明確的建議和方案,督促相關部門采取措施,確保銀行核心業(yè)務系統(tǒng)的安全穩(wěn)定運行,從而為全行業(yè)務的快速穩(wěn)定發(fā)展提供保證。
4。通過科學、規(guī)范、獨立而實效的IT審計,在國內外銀行界樹立良好的風險控制形象,增強國內外戰(zhàn)略投資者和所有利益方的信心,進而推動國有商業(yè)銀行股改上市的步伐。
二、COBIT簡介
當前,國際普遍應用的IT相關標準眾多,有IT硬件技術標準、軟件實現(xiàn)標準、網絡通信標準、IT服務標準,還有涉及IT系統(tǒng)安全及安全工程的標準等,但有關信息系統(tǒng)管理及如何對信息系統(tǒng)進行審計的標準相對較少,COBIT(Control Objectives for Information and related Technology,信息及相關技術的控制目標)就是其中的一個多方面兼而有之的標準。COBIT是信息技術安全與審計組織(ISACA)在1996年公布的信息系統(tǒng)審計的框架體系標準,目前已更新到第三版。作為國際通用的、具有權威性的信息技術控制和審計標準,COBIT得到了業(yè)界的一致認同。
1。COBIT系列所包含的內容
COBIT體系框架包括了實施簡介、實施工具集、高層控制目標框架、管理指南、具體控制目標、審計指南等一系列文檔(見圖1)。從COBIT文檔的組成成分來看,不僅有管理指南,更有審計指南和具體的控制目標。在管理指南中,COBIT為每個過程提供了關鍵成功因素、關鍵目標指標和關鍵績效指標等,并根據這些指標對每個過程進行了成熟度模型的劃分。在審計指南中,COBIT就審計的控制目標、調查對象、需要掌握的證據及如何進行測試和評估做出了詳細的說明。
2。COBIT參照標準
在COBIT的制定過程中,ISACA的專家參考了許多國際標準,其中包括銀行對新興業(yè)務的要求等。其主要參照標準有:
(1)相關的IT技術標準,包括ISO系列標準和EDIFACT等。
(2)相關的審計行為準則,主要包括ISACA的相關準則及歐洲的OECD等。
(3)與IT系統(tǒng)和過程相關的質量標準,主要包括ITSEC、TCSEC、ISO-9000、SPICE、CC、TickIT等。
(4)與內部控制和審計相關的職業(yè)或業(yè)務標準,如COSO、IFAC、AICPA、CICA、ISACA、IIA、PCIE、GAO等。
(5)來自銀行、電子商務和IT制造行業(yè)等新興行業(yè)的需求。
從以上COBIT參照的標準來看,它不僅參考了與IT相關的技術標準,而且還包括了與審計相關的行為準則及審計標準、內控標準和模型等內容。總之,COBIT是一個兼顧IT審計和IT系統(tǒng)管理的國際標準。
3。COBIT所體現(xiàn)的原則
COBIT所體現(xiàn)的原則包括質量、信用和安全三個方面的內容。在質量方面主要有品質、成本和交付三個原則;信用方面的內容主要取自COSO模型,主要有業(yè)務運營的效力和效果、信息的可靠性、符合相關法律法規(guī)三個原則;在安全方面主要有機密性、完整性和可用性三個原則。從COBIT體現(xiàn)的原則可以看出,COBIT能夠滿足商業(yè)銀行對信息系統(tǒng)進行審計和管理的要求。
4。COBIT中的信息資產
在COBIT中,對信息系統(tǒng)所包含的資產進行了劃分,主要分為以下幾類:數據、應用、技術、設施和人力資源。它不僅包含IT技術,也包含了IT基礎設施等內容。尤其重要的是,它把使用技術的人也作為一種資源并對相關的情況進行審計。
5。COBIT的基本架構
COBIT將所有與信息系統(tǒng)相關的活動進行了劃分,主要包括34個過程,分屬于4個域。具體關系見表1。
6。COBIT的適用用戶
COBIT的使用人員有銀行的高級管理者、審計師和系統(tǒng)用戶三類人員,目前最主要的使用者是IT審計師。
總的來看,COBIT將IT過程、IT資源信息與企業(yè)的策略和目標聯(lián)系起來,形成了一個三維的體系結構,保障了商業(yè)銀行的IT戰(zhàn)略目標和其業(yè)務發(fā)展戰(zhàn)略目標的一致性。同時,COBIT還在信息系統(tǒng)審計師、管理層和IT技術人員之間搭建橋梁,使IT管理工作簡單化。基于以上原因,COBIT不論從其適用范圍還是內容上,都具備了作為一個審計標準的條件。盡管如此,其自身也存在不足之處,那就是COBIT對相關過程中所涉及的控制目標太籠統(tǒng),對過程的描述能力不強,在實際應用中需要IT審計師結合具體情況加以克服和完善。以上僅從審計的角度來探討COBIT的內容,實際上COBIT不僅是信息系統(tǒng)審計的國際標準,更是IT治理的相關標準。
三、COBIT在商業(yè)銀行信息系統(tǒng)審計工作中的應用探討
在商業(yè)銀行數據大集中的形勢下,銀行信息系統(tǒng)面臨著兩種威脅:一是利用計算機舞弊,二是災難性破壞。計算機舞弊現(xiàn)象不僅存在于系統(tǒng)開發(fā)階段,更容易發(fā)生在維護階段。總行數據中心一旦發(fā)生災難性破壞,受到影響的將是全行范圍的所有分支機構和所有業(yè)務,經濟、信譽和法律的損失將無法估量。為此,工商銀行的行領導非常重視,除了進一步加強信息科技部門自身的內部控制和采取必要的措施之外,還于2002年在內審部門成立了專職的IT審計處,重點對IT風險進行檢查和控制,在IT審計方面做了一些有益的探索,取得了一些經驗。
商業(yè)銀行在應用COBIT的具體過程中,要注意以下幾點:
1。從審計目的看,IT審計不僅包含對信息系統(tǒng)安全運行的狀況提出評價,規(guī)避操作風險,更應該使組織中的IT戰(zhàn)略符合企業(yè)的戰(zhàn)略目標,規(guī)避由于信息技術發(fā)展給企業(yè)帶來的戰(zhàn)略風險。在這一方面,COBIT的審計范圍幾乎涵蓋了所有與IT相關的活動。而其他幾個國際標準則各有不同,BS7799側重于與信息系統(tǒng)安全相關的活動,COSO則側重于企業(yè)自身內部控制,ITIL則是著重IT系統(tǒng)的交付和支持。更為重要的是,COBIT就如何進行IT審計,給出了詳盡的指導性建議。就其適用的對象而言,只有COBIT的適用用戶包含審計師,是從審計人員的角度來全面闡述了如何對企業(yè)面臨的IT戰(zhàn)略風險和操作運行風險進行審計和規(guī)避。因此,應該按照COBIT要求的控制目標,盡早對銀行相關的IT過程進行審計。
2。在應用COBIT標準時,應以COBIT為主,還要參照其他國際標準。COBIT作為一個IT治理的通用標準和信息系統(tǒng)審計的框架體系,與其他的國際IT標準并不沖突。審計師在以COBIT作為主要參照標準的同時,針對信息系統(tǒng)審計的不同方面,可以借鑒不同的國際標準。如在對商業(yè)銀行數據中心安全方面進行審計時,可以參照BS7799中的相應內容,也可以參照SSE-CMM的標準來進行;在涉及信息系統(tǒng)的交付和支持時,則可以采用ITIL中的內容來對數據中心的相關活動進行評價和審計;在對數據中心內控機制的建設情況進行評價時,就可參照COSO中的相應條款來比照評估。
3。對COBIT標準的采用,應結合商業(yè)銀行自身的實際情況有選擇地實施。COBIT作為一個國際標準,比較強調其通用性,而對企業(yè)的具體情況有所忽視。在具體運用過程中,可依據自身特點,結合信息系統(tǒng)生命周期各個階段的不同特點,有選擇、分階段地來實施COBIT中所要求的內容。
4。在運用COBIT實施IT審計時,可從COBIT有關過程中的控制目標入手,進行風險分析,得出與該過程相關的風險控制目標,再從風險控制目標中導出與該目標相關的風險控制點。針對每個風險控制點,結合商業(yè)銀行自身的技術特色,找出其所包含的風險檢查點,風險檢查點又可以組成對相關部分的檢查表。針對檢查的結果,與COBIT相關部分中的要求相比照,找出相關的薄弱點,并就此提出相應的改進意見。風險控制目標和風險檢查點之間的推導方式主要有兩種,一種是自下而上,即從具體的管理過程或技術實施措施入手,從中得出相應的風險控制點,對相應的風險控制點進行提煉,最后得到風險控制目標;一種是自上而下,從風險控制目標出發(fā),將其進行分解,得到相應的風險控制點并對其進行細分,直到能夠直接得出檢查點為止。最后將得到的風險控制目標與COBIT相關過程的控制目標相比較,以確保整個信息系統(tǒng)審計目標的完整性。
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
2017年中國新能源重點細分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢及投資前景分析【圖】
-
電力轉型是推動能源轉型的關鍵
-
湖北2017年電力運行情況:直接交易完成簽約電量351.44億千瓦時
-
河南12月全社會用電量275.86億千瓦時 同比增長0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競爭刷新紀錄 實現(xiàn)開門紅
-
安徽電力直接交易執(zhí)行、出清細則和電力市場電量結算規(guī)則發(fā)布
-
電網經營行業(yè)產品成本核算制度印發(fā):有配電業(yè)務的售電公司參照執(zhí)行
-
遼寧對居民電采暖用戶試行峰谷分時電價政策
-
預計南方五省區(qū)2018年用電保持中速增長:南方電網將多措并舉 全力保障電力供應平穩(wěn)有序
-
財政部發(fā)布:電網經營行業(yè)產品成本核算制度
-
聚焦:貴州電力市場陷入僵局 大云網電力分析師邀您觀望