商業(yè)銀行的ＩＴ審計(jì)是加強(qiáng)商業(yè)銀行內(nèi)部控制的有力手段，它不僅能有效促進(jìn)商業(yè)銀行核心業(yè)務(wù)系統(tǒng)的安全平穩(wěn)運(yùn)行，而且通過對ＩＴ戰(zhàn)略目標(biāo)與商業(yè)銀行總體發(fā)展目標(biāo)的一致性評估，可以最大限度地規(guī)避戰(zhàn)略風(fēng)險(xiǎn)、投資風(fēng)險(xiǎn)和運(yùn)行風(fēng)險(xiǎn)，保證商業(yè)銀行的可持續(xù)發(fā)展。

　　一、ＩＴ審計(jì)的內(nèi)涵

　　目前，國內(nèi)外商業(yè)銀行的數(shù)據(jù)集中已成為必然的發(fā)展趨勢。數(shù)據(jù)的集中給商業(yè)銀行的決策層提供了及時(shí)、準(zhǔn)確、全面的信息資源和有效的基礎(chǔ)平臺，實(shí)現(xiàn)了銀行業(yè)務(wù)數(shù)據(jù)與營業(yè)機(jī)構(gòu)的分離，為銀行的管理集中和科學(xué)運(yùn)營奠定了堅(jiān)實(shí)的基礎(chǔ)。同時(shí)，數(shù)據(jù)的集中也帶來了ＩＴ決策風(fēng)險(xiǎn)、信息系統(tǒng)建設(shè)投資風(fēng)險(xiǎn)、信息系統(tǒng)運(yùn)行維護(hù)風(fēng)險(xiǎn)的相對集中。如何有效地規(guī)避上述風(fēng)險(xiǎn)，并對其內(nèi)控措施的有效性進(jìn)行評估，是商業(yè)銀行每位高級管理人員都非常關(guān)心的問題。商業(yè)銀行ＩＴ審計(jì)不僅能夠滿足上述需要，而且還能對信息科技隊(duì)伍的建設(shè)情況、運(yùn)行效率等諸多內(nèi)容做出相應(yīng)的評價(jià)，以確保信息發(fā)展與銀行發(fā)展戰(zhàn)略目標(biāo)的一致性。

　　商業(yè)銀行ＩＴ審計(jì)的范圍覆蓋了全行所有系統(tǒng)的應(yīng)用領(lǐng)域，以及信息系統(tǒng)整個(gè)生命周期中的所有活動(dòng)和所有資源。與信息系統(tǒng)的建設(shè)不同，ＩＴ審計(jì)更關(guān)注風(fēng)險(xiǎn)的規(guī)避、管理和控制。其主要內(nèi)容包括銀行ＩＴ戰(zhàn)略規(guī)劃審計(jì)、銀行信息系統(tǒng)需求獲取和開發(fā)過程審計(jì)、系統(tǒng)交付后技術(shù)支持和運(yùn)行維護(hù)審計(jì)、對整個(gè)系統(tǒng)生命周期中相關(guān)管理活動(dòng)的審計(jì)、對相關(guān)過程中文檔管理的審計(jì)、對相關(guān)人員的審計(jì)、對外部委托業(yè)務(wù)的審計(jì)、對災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)性計(jì)劃的審計(jì)等內(nèi)容。商業(yè)銀行ＩＴ審計(jì)是以風(fēng)險(xiǎn)管理為基礎(chǔ)，按重要性和成本效益性原則，在信息系統(tǒng)生命周期的全過程中，通過實(shí)施一般控制審計(jì)和應(yīng)用控制審計(jì)，對相關(guān)證據(jù)進(jìn)行采集和評價(jià)，用以判斷信息系統(tǒng)的資產(chǎn)安全、數(shù)據(jù)完整以及資源的有效利用，并對ＩＴ戰(zhàn)略規(guī)劃與銀行總體規(guī)劃的一致性進(jìn)行評價(jià)。它綜合運(yùn)用ＩＴ技術(shù)與審計(jì)理論及方法，為商業(yè)銀行戰(zhàn)略目標(biāo)的實(shí)現(xiàn)提供合理的保障。

　　商業(yè)銀行通過ＩＴ審計(jì)，可以實(shí)現(xiàn)以下目標(biāo)：

　　１。促進(jìn)商業(yè)銀行公司治理戰(zhàn)略目標(biāo)與ＩＴ發(fā)展戰(zhàn)略目標(biāo)的高度一致。在金融業(yè)競爭非常激烈的今天，商業(yè)銀行的經(jīng)營戰(zhàn)略目標(biāo)必須緊隨市場的變化而變化，同時(shí)，ＩＴ技術(shù)和應(yīng)用也在日新月異地發(fā)展，通過ＩＴ審計(jì)能夠評價(jià)兩者之間總體目標(biāo)的一致性，并能就兩者之間的差異給出相應(yīng)的咨詢建議。

　　２。優(yōu)化資源配置，實(shí)現(xiàn)在銀行內(nèi)部的合理存儲、共享和利用。通過正確的信息戰(zhàn)略的制定和實(shí)施，使商業(yè)銀行獲得比較優(yōu)勢，促進(jìn)和保障各類資源、資本在銀行內(nèi)部各個(gè)環(huán)節(jié)上的合理分配和利用。通過選擇正確的技術(shù)架構(gòu)和必要的手段，優(yōu)化資源的有效配置，提高信息系統(tǒng)效用，促進(jìn)商業(yè)銀行快速持久發(fā)展。

　　３。幫助董事會或高級管理層提高決策效率和決策的正確性。ＩＴ審計(jì)能夠整體識別、評價(jià)全行面臨的ＩＴ風(fēng)險(xiǎn)以及這些風(fēng)險(xiǎn)在全行范圍的分布、影響、危害等。根據(jù)這些風(fēng)險(xiǎn)的具體情況，進(jìn)行風(fēng)險(xiǎn)評估，為銀行高級管理層提出客觀、明確的建議和方案，督促相關(guān)部門采取措施，確保銀行核心業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行，從而為全行業(yè)務(wù)的快速穩(wěn)定發(fā)展提供保證。

　　４。通過科學(xué)、規(guī)范、獨(dú)立而實(shí)效的ＩＴ審計(jì)，在國內(nèi)外銀行界樹立良好的風(fēng)險(xiǎn)控制形象，增強(qiáng)國內(nèi)外戰(zhàn)略投資者和所有利益方的信心，進(jìn)而推動(dòng)國有商業(yè)銀行股改上市的步伐。

　　二、ＣＯＢＩＴ簡介

　　當(dāng)前，國際普遍應(yīng)用的ＩＴ相關(guān)標(biāo)準(zhǔn)眾多，有ＩＴ硬件技術(shù)標(biāo)準(zhǔn)、軟件實(shí)現(xiàn)標(biāo)準(zhǔn)、網(wǎng)絡(luò)通信標(biāo)準(zhǔn)、ＩＴ服務(wù)標(biāo)準(zhǔn)，還有涉及ＩＴ系統(tǒng)安全及安全工程的標(biāo)準(zhǔn)等，但有關(guān)信息系統(tǒng)管理及如何對信息系統(tǒng)進(jìn)行審計(jì)的標(biāo)準(zhǔn)相對較少，ＣＯＢＩＴ（Ｃｏｎｔｒｏｌ Ｏｂｊｅｃｔｉｖｅｓ ｆｏｒ Ｉｎｆｏｒｍａｔｉｏｎ ａｎｄ ｒｅｌａｔｅｄ Ｔｅｃｈｎｏｌｏｇｙ，信息及相關(guān)技術(shù)的控制目標(biāo)）就是其中的一個(gè)多方面兼而有之的標(biāo)準(zhǔn)。ＣＯＢＩＴ是信息技術(shù)安全與審計(jì)組織（ＩＳＡＣＡ）在１９９６年公布的信息系統(tǒng)審計(jì)的框架體系標(biāo)準(zhǔn)，目前已更新到第三版。作為國際通用的、具有權(quán)威性的信息技術(shù)控制和審計(jì)標(biāo)準(zhǔn)，ＣＯＢＩＴ得到了業(yè)界的一致認(rèn)同。

　　１。ＣＯＢＩＴ系列所包含的內(nèi)容

　　ＣＯＢＩＴ體系框架包括了實(shí)施簡介、實(shí)施工具集、高層控制目標(biāo)框架、管理指南、具體控制目標(biāo)、審計(jì)指南等一系列文檔（見圖１）。從ＣＯＢＩＴ文檔的組成成分來看，不僅有管理指南，更有審計(jì)指南和具體的控制目標(biāo)。在管理指南中，ＣＯＢＩＴ為每個(gè)過程提供了關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵績效指標(biāo)等，并根據(jù)這些指標(biāo)對每個(gè)過程進(jìn)行了成熟度模型的劃分。在審計(jì)指南中，ＣＯＢＩＴ就審計(jì)的控制目標(biāo)、調(diào)查對象、需要掌握的證據(jù)及如何進(jìn)行測試和評估做出了詳細(xì)的說明。

　　２。ＣＯＢＩＴ參照標(biāo)準(zhǔn)

　　在ＣＯＢＩＴ的制定過程中，ＩＳＡＣＡ的專家參考了許多國際標(biāo)準(zhǔn)，其中包括銀行對新興業(yè)務(wù)的要求等。其主要參照標(biāo)準(zhǔn)有：

　　（１）相關(guān)的ＩＴ技術(shù)標(biāo)準(zhǔn)，包括ＩＳＯ系列標(biāo)準(zhǔn)和ＥＤＩＦＡＣＴ等。

　　（２）相關(guān)的審計(jì)行為準(zhǔn)則，主要包括ＩＳＡＣＡ的相關(guān)準(zhǔn)則及歐洲的ＯＥＣＤ等。

　　（３）與ＩＴ系統(tǒng)和過程相關(guān)的質(zhì)量標(biāo)準(zhǔn)，主要包括ＩＴＳＥＣ、ＴＣＳＥＣ、ＩＳＯ－９０００、ＳＰＩＣＥ、ＣＣ、ＴｉｃｋＩＴ等。

　　（４）與內(nèi)部控制和審計(jì)相關(guān)的職業(yè)或業(yè)務(wù)標(biāo)準(zhǔn)，如ＣＯＳＯ、ＩＦＡＣ、ＡＩＣＰＡ、ＣＩＣＡ、ＩＳＡＣＡ、ＩＩＡ、ＰＣＩＥ、ＧＡＯ等。

　　（５）來自銀行、電子商務(wù)和ＩＴ制造行業(yè)等新興行業(yè)的需求。

　　從以上ＣＯＢＩＴ參照的標(biāo)準(zhǔn)來看，它不僅參考了與ＩＴ相關(guān)的技術(shù)標(biāo)準(zhǔn)，而且還包括了與審計(jì)相關(guān)的行為準(zhǔn)則及審計(jì)標(biāo)準(zhǔn)、內(nèi)控標(biāo)準(zhǔn)和模型等內(nèi)容。總之，ＣＯＢＩＴ是一個(gè)兼顧ＩＴ審計(jì)和ＩＴ系統(tǒng)管理的國際標(biāo)準(zhǔn)。

　　３。ＣＯＢＩＴ所體現(xiàn)的原則

　　ＣＯＢＩＴ所體現(xiàn)的原則包括質(zhì)量、信用和安全三個(gè)方面的內(nèi)容。在質(zhì)量方面主要有品質(zhì)、成本和交付三個(gè)原則；信用方面的內(nèi)容主要取自ＣＯＳＯ模型，主要有業(yè)務(wù)運(yùn)營的效力和效果、信息的可靠性、符合相關(guān)法律法規(guī)三個(gè)原則；在安全方面主要有機(jī)密性、完整性和可用性三個(gè)原則。從ＣＯＢＩＴ體現(xiàn)的原則可以看出，ＣＯＢＩＴ能夠滿足商業(yè)銀行對信息系統(tǒng)進(jìn)行審計(jì)和管理的要求。

　　４。ＣＯＢＩＴ中的信息資產(chǎn)

　　在ＣＯＢＩＴ中，對信息系統(tǒng)所包含的資產(chǎn)進(jìn)行了劃分，主要分為以下幾類：數(shù)據(jù)、應(yīng)用、技術(shù)、設(shè)施和人力資源。它不僅包含ＩＴ技術(shù)，也包含了ＩＴ基礎(chǔ)設(shè)施等內(nèi)容。尤其重要的是，它把使用技術(shù)的人也作為一種資源并對相關(guān)的情況進(jìn)行審計(jì)。

　　５。ＣＯＢＩＴ的基本架構(gòu)

　　ＣＯＢＩＴ將所有與信息系統(tǒng)相關(guān)的活動(dòng)進(jìn)行了劃分，主要包括３４個(gè)過程，分屬于４個(gè)域。具體關(guān)系見表１。

　　６。ＣＯＢＩＴ的適用用戶

　　ＣＯＢＩＴ的使用人員有銀行的高級管理者、審計(jì)師和系統(tǒng)用戶三類人員，目前最主要的使用者是ＩＴ審計(jì)師。

　　總的來看，ＣＯＢＩＴ將ＩＴ過程、ＩＴ資源信息與企業(yè)的策略和目標(biāo)聯(lián)系起來，形成了一個(gè)三維的體系結(jié)構(gòu)，保障了商業(yè)銀行的ＩＴ戰(zhàn)略目標(biāo)和其業(yè)務(wù)發(fā)展戰(zhàn)略目標(biāo)的一致性。同時(shí)，ＣＯＢＩＴ還在信息系統(tǒng)審計(jì)師、管理層和ＩＴ技術(shù)人員之間搭建橋梁，使ＩＴ管理工作簡單化。基于以上原因，ＣＯＢＩＴ不論從其適用范圍還是內(nèi)容上，都具備了作為一個(gè)審計(jì)標(biāo)準(zhǔn)的條件。盡管如此，其自身也存在不足之處，那就是ＣＯＢＩＴ對相關(guān)過程中所涉及的控制目標(biāo)太籠統(tǒng)，對過程的描述能力不強(qiáng)，在實(shí)際應(yīng)用中需要ＩＴ審計(jì)師結(jié)合具體情況加以克服和完善。以上僅從審計(jì)的角度來探討ＣＯＢＩＴ的內(nèi)容，實(shí)際上ＣＯＢＩＴ不僅是信息系統(tǒng)審計(jì)的國際標(biāo)準(zhǔn)，更是ＩＴ治理的相關(guān)標(biāo)準(zhǔn)。

　　三、ＣＯＢＩＴ在商業(yè)銀行信息系統(tǒng)審計(jì)工作中的應(yīng)用探討

　　在商業(yè)銀行數(shù)據(jù)大集中的形勢下，銀行信息系統(tǒng)面臨著兩種威脅：一是利用計(jì)算機(jī)舞弊，二是災(zāi)難性破壞。計(jì)算機(jī)舞弊現(xiàn)象不僅存在于系統(tǒng)開發(fā)階段，更容易發(fā)生在維護(hù)階段。總行數(shù)據(jù)中心一旦發(fā)生災(zāi)難性破壞，受到影響的將是全行范圍的所有分支機(jī)構(gòu)和所有業(yè)務(wù)，經(jīng)濟(jì)、信譽(yù)和法律的損失將無法估量。為此，工商銀行的行領(lǐng)導(dǎo)非常重視，除了進(jìn)一步加強(qiáng)信息科技部門自身的內(nèi)部控制和采取必要的措施之外，還于２００２年在內(nèi)審部門成立了專職的ＩＴ審計(jì)處，重點(diǎn)對ＩＴ風(fēng)險(xiǎn)進(jìn)行檢查和控制，在ＩＴ審計(jì)方面做了一些有益的探索，取得了一些經(jīng)驗(yàn)。

　　商業(yè)銀行在應(yīng)用ＣＯＢＩＴ的具體過程中，要注意以下幾點(diǎn)：

　　１。從審計(jì)目的看，ＩＴ審計(jì)不僅包含對信息系統(tǒng)安全運(yùn)行的狀況提出評價(jià)，規(guī)避操作風(fēng)險(xiǎn)，更應(yīng)該使組織中的ＩＴ戰(zhàn)略符合企業(yè)的戰(zhàn)略目標(biāo)，規(guī)避由于信息技術(shù)發(fā)展給企業(yè)帶來的戰(zhàn)略風(fēng)險(xiǎn)。在這一方面，ＣＯＢＩＴ的審計(jì)范圍幾乎涵蓋了所有與ＩＴ相關(guān)的活動(dòng)。而其他幾個(gè)國際標(biāo)準(zhǔn)則各有不同，ＢＳ７７９９側(cè)重于與信息系統(tǒng)安全相關(guān)的活動(dòng)，ＣＯＳＯ則側(cè)重于企業(yè)自身內(nèi)部控制，ＩＴＩＬ則是著重ＩＴ系統(tǒng)的交付和支持。更為重要的是，ＣＯＢＩＴ就如何進(jìn)行ＩＴ審計(jì)，給出了詳盡的指導(dǎo)性建議。就其適用的對象而言，只有ＣＯＢＩＴ的適用用戶包含審計(jì)師，是從審計(jì)人員的角度來全面闡述了如何對企業(yè)面臨的ＩＴ戰(zhàn)略風(fēng)險(xiǎn)和操作運(yùn)行風(fēng)險(xiǎn)進(jìn)行審計(jì)和規(guī)避。因此，應(yīng)該按照ＣＯＢＩＴ要求的控制目標(biāo)，盡早對銀行相關(guān)的ＩＴ過程進(jìn)行審計(jì)。

　　２。在應(yīng)用ＣＯＢＩＴ標(biāo)準(zhǔn)時(shí)，應(yīng)以ＣＯＢＩＴ為主，還要參照其他國際標(biāo)準(zhǔn)。ＣＯＢＩＴ作為一個(gè)ＩＴ治理的通用標(biāo)準(zhǔn)和信息系統(tǒng)審計(jì)的框架體系，與其他的國際ＩＴ標(biāo)準(zhǔn)并不沖突。審計(jì)師在以ＣＯＢＩＴ作為主要參照標(biāo)準(zhǔn)的同時(shí)，針對信息系統(tǒng)審計(jì)的不同方面，可以借鑒不同的國際標(biāo)準(zhǔn)。如在對商業(yè)銀行數(shù)據(jù)中心安全方面進(jìn)行審計(jì)時(shí)，可以參照ＢＳ７７９９中的相應(yīng)內(nèi)容，也可以參照ＳＳＥ－ＣＭＭ的標(biāo)準(zhǔn)來進(jìn)行；在涉及信息系統(tǒng)的交付和支持時(shí)，則可以采用ＩＴＩＬ中的內(nèi)容來對數(shù)據(jù)中心的相關(guān)活動(dòng)進(jìn)行評價(jià)和審計(jì)；在對數(shù)據(jù)中心內(nèi)控機(jī)制的建設(shè)情況進(jìn)行評價(jià)時(shí)，就可參照ＣＯＳＯ中的相應(yīng)條款來比照評估。

　　３。對ＣＯＢＩＴ標(biāo)準(zhǔn)的采用，應(yīng)結(jié)合商業(yè)銀行自身的實(shí)際情況有選擇地實(shí)施。ＣＯＢＩＴ作為一個(gè)國際標(biāo)準(zhǔn)，比較強(qiáng)調(diào)其通用性，而對企業(yè)的具體情況有所忽視。在具體運(yùn)用過程中，可依據(jù)自身特點(diǎn)，結(jié)合信息系統(tǒng)生命周期各個(gè)階段的不同特點(diǎn)，有選擇、分階段地來實(shí)施ＣＯＢＩＴ中所要求的內(nèi)容。

　　４。在運(yùn)用ＣＯＢＩＴ實(shí)施ＩＴ審計(jì)時(shí)，可從ＣＯＢＩＴ有關(guān)過程中的控制目標(biāo)入手，進(jìn)行風(fēng)險(xiǎn)分析，得出與該過程相關(guān)的風(fēng)險(xiǎn)控制目標(biāo)，再從風(fēng)險(xiǎn)控制目標(biāo)中導(dǎo)出與該目標(biāo)相關(guān)的風(fēng)險(xiǎn)控制點(diǎn)。針對每個(gè)風(fēng)險(xiǎn)控制點(diǎn)，結(jié)合商業(yè)銀行自身的技術(shù)特色，找出其所包含的風(fēng)險(xiǎn)檢查點(diǎn)，風(fēng)險(xiǎn)檢查點(diǎn)又可以組成對相關(guān)部分的檢查表。針對檢查的結(jié)果，與ＣＯＢＩＴ相關(guān)部分中的要求相比照，找出相關(guān)的薄弱點(diǎn)，并就此提出相應(yīng)的改進(jìn)意見。風(fēng)險(xiǎn)控制目標(biāo)和風(fēng)險(xiǎn)檢查點(diǎn)之間的推導(dǎo)方式主要有兩種，一種是自下而上，即從具體的管理過程或技術(shù)實(shí)施措施入手，從中得出相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)，對相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)進(jìn)行提煉，最后得到風(fēng)險(xiǎn)控制目標(biāo)；一種是自上而下，從風(fēng)險(xiǎn)控制目標(biāo)出發(fā)，將其進(jìn)行分解，得到相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)并對其進(jìn)行細(xì)分，直到能夠直接得出檢查點(diǎn)為止。最后將得到的風(fēng)險(xiǎn)控制目標(biāo)與ＣＯＢＩＴ相關(guān)過程的控制目標(biāo)相比較，以確保整個(gè)信息系統(tǒng)審計(jì)目標(biāo)的完整性。