www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • COBIT與商業(yè)銀行的IT審計(jì)

    2014-11-08 20:49:48 大云網(wǎng)  點(diǎn)擊量: 評論 (0)
     伴隨著我國商業(yè)銀行信息化建設(shè)的不斷深入和飛速發(fā)展,信息已經(jīng)成為商業(yè)銀行可持續(xù)發(fā)展的重要基礎(chǔ)性資源。信息技術(shù)已不再是單純的業(yè)務(wù)實(shí)現(xiàn)手段和支持方式,而逐漸成為商業(yè)銀行戰(zhàn)略規(guī)劃、投資決策所必須考慮的重
     伴隨著我國商業(yè)銀行信息化建設(shè)的不斷深入和飛速發(fā)展,信息已經(jīng)成為商業(yè)銀行可持續(xù)發(fā)展的重要基礎(chǔ)性資源。信息技術(shù)已不再是單純的業(yè)務(wù)實(shí)現(xiàn)手段和支持方式,而逐漸成為商業(yè)銀行戰(zhàn)略規(guī)劃、投資決策所必須考慮的重要因素之一。信息技術(shù)在為商業(yè)銀行提供了大量便利的同時(shí),也帶來了巨大的操作、法律和信譽(yù)風(fēng)險(xiǎn)。因此,如何管理好信息與信息資源,如何充分利用信息技術(shù)保證銀行在競爭日趨激烈的金融市場中占據(jù)優(yōu)勢,是擺在銀行高級管理人員面前的一個(gè)課題。
      商業(yè)銀行的IT審計(jì)是加強(qiáng)商業(yè)銀行內(nèi)部控制的有力手段,它不僅能有效促進(jìn)商業(yè)銀行核心業(yè)務(wù)系統(tǒng)的安全平穩(wěn)運(yùn)行,而且通過對IT戰(zhàn)略目標(biāo)與商業(yè)銀行總體發(fā)展目標(biāo)的一致性評估,可以最大限度地規(guī)避戰(zhàn)略風(fēng)險(xiǎn)、投資風(fēng)險(xiǎn)和運(yùn)行風(fēng)險(xiǎn),保證商業(yè)銀行的可持續(xù)發(fā)展。
      一、IT審計(jì)的內(nèi)涵
      目前,國內(nèi)外商業(yè)銀行的數(shù)據(jù)集中已成為必然的發(fā)展趨勢。數(shù)據(jù)的集中給商業(yè)銀行的決策層提供了及時(shí)、準(zhǔn)確、全面的信息資源和有效的基礎(chǔ)平臺,實(shí)現(xiàn)了銀行業(yè)務(wù)數(shù)據(jù)與營業(yè)機(jī)構(gòu)的分離,為銀行的管理集中和科學(xué)運(yùn)營奠定了堅(jiān)實(shí)的基礎(chǔ)。同時(shí),數(shù)據(jù)的集中也帶來了IT決策風(fēng)險(xiǎn)、信息系統(tǒng)建設(shè)投資風(fēng)險(xiǎn)、信息系統(tǒng)運(yùn)行維護(hù)風(fēng)險(xiǎn)的相對集中。如何有效地規(guī)避上述風(fēng)險(xiǎn),并對其內(nèi)控措施的有效性進(jìn)行評估,是商業(yè)銀行每位高級管理人員都非常關(guān)心的問題。商業(yè)銀行IT審計(jì)不僅能夠滿足上述需要,而且還能對信息科技隊(duì)伍的建設(shè)情況、運(yùn)行效率等諸多內(nèi)容做出相應(yīng)的評價(jià),以確保信息發(fā)展與銀行發(fā)展戰(zhàn)略目標(biāo)的一致性。
      商業(yè)銀行IT審計(jì)的范圍覆蓋了全行所有系統(tǒng)的應(yīng)用領(lǐng)域,以及信息系統(tǒng)整個(gè)生命周期中的所有活動(dòng)和所有資源。與信息系統(tǒng)的建設(shè)不同,IT審計(jì)更關(guān)注風(fēng)險(xiǎn)的規(guī)避、管理和控制。其主要內(nèi)容包括銀行IT戰(zhàn)略規(guī)劃審計(jì)、銀行信息系統(tǒng)需求獲取和開發(fā)過程審計(jì)、系統(tǒng)交付后技術(shù)支持和運(yùn)行維護(hù)審計(jì)、對整個(gè)系統(tǒng)生命周期中相關(guān)管理活動(dòng)的審計(jì)、對相關(guān)過程中文檔管理的審計(jì)、對相關(guān)人員的審計(jì)、對外部委托業(yè)務(wù)的審計(jì)、對災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)性計(jì)劃的審計(jì)等內(nèi)容。商業(yè)銀行IT審計(jì)是以風(fēng)險(xiǎn)管理為基礎(chǔ),按重要性和成本效益性原則,在信息系統(tǒng)生命周期的全過程中,通過實(shí)施一般控制審計(jì)和應(yīng)用控制審計(jì),對相關(guān)證據(jù)進(jìn)行采集和評價(jià),用以判斷信息系統(tǒng)的資產(chǎn)安全、數(shù)據(jù)完整以及資源的有效利用,并對IT戰(zhàn)略規(guī)劃與銀行總體規(guī)劃的一致性進(jìn)行評價(jià)。它綜合運(yùn)用IT技術(shù)與審計(jì)理論及方法,為商業(yè)銀行戰(zhàn)略目標(biāo)的實(shí)現(xiàn)提供合理的保障。
      商業(yè)銀行通過IT審計(jì),可以實(shí)現(xiàn)以下目標(biāo):
      1。促進(jìn)商業(yè)銀行公司治理戰(zhàn)略目標(biāo)與IT發(fā)展戰(zhàn)略目標(biāo)的高度一致。在金融業(yè)競爭非常激烈的今天,商業(yè)銀行的經(jīng)營戰(zhàn)略目標(biāo)必須緊隨市場的變化而變化,同時(shí),IT技術(shù)和應(yīng)用也在日新月異地發(fā)展,通過IT審計(jì)能夠評價(jià)兩者之間總體目標(biāo)的一致性,并能就兩者之間的差異給出相應(yīng)的咨詢建議。
      2。優(yōu)化資源配置,實(shí)現(xiàn)在銀行內(nèi)部的合理存儲、共享和利用。通過正確的信息戰(zhàn)略的制定和實(shí)施,使商業(yè)銀行獲得比較優(yōu)勢,促進(jìn)和保障各類資源、資本在銀行內(nèi)部各個(gè)環(huán)節(jié)上的合理分配和利用。通過選擇正確的技術(shù)架構(gòu)和必要的手段,優(yōu)化資源的有效配置,提高信息系統(tǒng)效用,促進(jìn)商業(yè)銀行快速持久發(fā)展。
      3。幫助董事會或高級管理層提高決策效率和決策的正確性。IT審計(jì)能夠整體識別、評價(jià)全行面臨的IT風(fēng)險(xiǎn)以及這些風(fēng)險(xiǎn)在全行范圍的分布、影響、危害等。根據(jù)這些風(fēng)險(xiǎn)的具體情況,進(jìn)行風(fēng)險(xiǎn)評估,為銀行高級管理層提出客觀、明確的建議和方案,督促相關(guān)部門采取措施,確保銀行核心業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行,從而為全行業(yè)務(wù)的快速穩(wěn)定發(fā)展提供保證。
      4。通過科學(xué)、規(guī)范、獨(dú)立而實(shí)效的IT審計(jì),在國內(nèi)外銀行界樹立良好的風(fēng)險(xiǎn)控制形象,增強(qiáng)國內(nèi)外戰(zhàn)略投資者和所有利益方的信心,進(jìn)而推動(dòng)國有商業(yè)銀行股改上市的步伐。
      二、COBIT簡介
      當(dāng)前,國際普遍應(yīng)用的IT相關(guān)標(biāo)準(zhǔn)眾多,有IT硬件技術(shù)標(biāo)準(zhǔn)、軟件實(shí)現(xiàn)標(biāo)準(zhǔn)、網(wǎng)絡(luò)通信標(biāo)準(zhǔn)、IT服務(wù)標(biāo)準(zhǔn),還有涉及IT系統(tǒng)安全及安全工程的標(biāo)準(zhǔn)等,但有關(guān)信息系統(tǒng)管理及如何對信息系統(tǒng)進(jìn)行審計(jì)的標(biāo)準(zhǔn)相對較少,COBIT(Control Objectives for Information and related Technology,信息及相關(guān)技術(shù)的控制目標(biāo))就是其中的一個(gè)多方面兼而有之的標(biāo)準(zhǔn)。COBIT是信息技術(shù)安全與審計(jì)組織(ISACA)在1996年公布的信息系統(tǒng)審計(jì)的框架體系標(biāo)準(zhǔn),目前已更新到第三版。作為國際通用的、具有權(quán)威性的信息技術(shù)控制和審計(jì)標(biāo)準(zhǔn),COBIT得到了業(yè)界的一致認(rèn)同。
      1。COBIT系列所包含的內(nèi)容
      COBIT體系框架包括了實(shí)施簡介、實(shí)施工具集、高層控制目標(biāo)框架、管理指南、具體控制目標(biāo)、審計(jì)指南等一系列文檔(見圖1)。從COBIT文檔的組成成分來看,不僅有管理指南,更有審計(jì)指南和具體的控制目標(biāo)。在管理指南中,COBIT為每個(gè)過程提供了關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵績效指標(biāo)等,并根據(jù)這些指標(biāo)對每個(gè)過程進(jìn)行了成熟度模型的劃分。在審計(jì)指南中,COBIT就審計(jì)的控制目標(biāo)、調(diào)查對象、需要掌握的證據(jù)及如何進(jìn)行測試和評估做出了詳細(xì)的說明。
      2。COBIT參照標(biāo)準(zhǔn)
      在COBIT的制定過程中,ISACA的專家參考了許多國際標(biāo)準(zhǔn),其中包括銀行對新興業(yè)務(wù)的要求等。其主要參照標(biāo)準(zhǔn)有:
      (1)相關(guān)的IT技術(shù)標(biāo)準(zhǔn),包括ISO系列標(biāo)準(zhǔn)和EDIFACT等。
      (2)相關(guān)的審計(jì)行為準(zhǔn)則,主要包括ISACA的相關(guān)準(zhǔn)則及歐洲的OECD等。
      (3)與IT系統(tǒng)和過程相關(guān)的質(zhì)量標(biāo)準(zhǔn),主要包括ITSEC、TCSEC、ISO-9000、SPICE、CC、TickIT等。
      (4)與內(nèi)部控制和審計(jì)相關(guān)的職業(yè)或業(yè)務(wù)標(biāo)準(zhǔn),如COSO、IFAC、AICPA、CICA、ISACA、IIA、PCIE、GAO等。
      (5)來自銀行、電子商務(wù)和IT制造行業(yè)等新興行業(yè)的需求。
      從以上COBIT參照的標(biāo)準(zhǔn)來看,它不僅參考了與IT相關(guān)的技術(shù)標(biāo)準(zhǔn),而且還包括了與審計(jì)相關(guān)的行為準(zhǔn)則及審計(jì)標(biāo)準(zhǔn)、內(nèi)控標(biāo)準(zhǔn)和模型等內(nèi)容。總之,COBIT是一個(gè)兼顧IT審計(jì)和IT系統(tǒng)管理的國際標(biāo)準(zhǔn)。
      3。COBIT所體現(xiàn)的原則
      COBIT所體現(xiàn)的原則包括質(zhì)量、信用和安全三個(gè)方面的內(nèi)容。在質(zhì)量方面主要有品質(zhì)、成本和交付三個(gè)原則;信用方面的內(nèi)容主要取自COSO模型,主要有業(yè)務(wù)運(yùn)營的效力和效果、信息的可靠性、符合相關(guān)法律法規(guī)三個(gè)原則;在安全方面主要有機(jī)密性、完整性和可用性三個(gè)原則。從COBIT體現(xiàn)的原則可以看出,COBIT能夠滿足商業(yè)銀行對信息系統(tǒng)進(jìn)行審計(jì)和管理的要求。
      4。COBIT中的信息資產(chǎn)
      在COBIT中,對信息系統(tǒng)所包含的資產(chǎn)進(jìn)行了劃分,主要分為以下幾類:數(shù)據(jù)、應(yīng)用、技術(shù)、設(shè)施和人力資源。它不僅包含IT技術(shù),也包含了IT基礎(chǔ)設(shè)施等內(nèi)容。尤其重要的是,它把使用技術(shù)的人也作為一種資源并對相關(guān)的情況進(jìn)行審計(jì)。
      5。COBIT的基本架構(gòu)
      COBIT將所有與信息系統(tǒng)相關(guān)的活動(dòng)進(jìn)行了劃分,主要包括34個(gè)過程,分屬于4個(gè)域。具體關(guān)系見表1。
      6。COBIT的適用用戶
      COBIT的使用人員有銀行的高級管理者、審計(jì)師和系統(tǒng)用戶三類人員,目前最主要的使用者是IT審計(jì)師。
      總的來看,COBIT將IT過程、IT資源信息與企業(yè)的策略和目標(biāo)聯(lián)系起來,形成了一個(gè)三維的體系結(jié)構(gòu),保障了商業(yè)銀行的IT戰(zhàn)略目標(biāo)和其業(yè)務(wù)發(fā)展戰(zhàn)略目標(biāo)的一致性。同時(shí),COBIT還在信息系統(tǒng)審計(jì)師、管理層和IT技術(shù)人員之間搭建橋梁,使IT管理工作簡單化。基于以上原因,COBIT不論從其適用范圍還是內(nèi)容上,都具備了作為一個(gè)審計(jì)標(biāo)準(zhǔn)的條件。盡管如此,其自身也存在不足之處,那就是COBIT對相關(guān)過程中所涉及的控制目標(biāo)太籠統(tǒng),對過程的描述能力不強(qiáng),在實(shí)際應(yīng)用中需要IT審計(jì)師結(jié)合具體情況加以克服和完善。以上僅從審計(jì)的角度來探討COBIT的內(nèi)容,實(shí)際上COBIT不僅是信息系統(tǒng)審計(jì)的國際標(biāo)準(zhǔn),更是IT治理的相關(guān)標(biāo)準(zhǔn)。
      三、COBIT在商業(yè)銀行信息系統(tǒng)審計(jì)工作中的應(yīng)用探討
      在商業(yè)銀行數(shù)據(jù)大集中的形勢下,銀行信息系統(tǒng)面臨著兩種威脅:一是利用計(jì)算機(jī)舞弊,二是災(zāi)難性破壞。計(jì)算機(jī)舞弊現(xiàn)象不僅存在于系統(tǒng)開發(fā)階段,更容易發(fā)生在維護(hù)階段。總行數(shù)據(jù)中心一旦發(fā)生災(zāi)難性破壞,受到影響的將是全行范圍的所有分支機(jī)構(gòu)和所有業(yè)務(wù),經(jīng)濟(jì)、信譽(yù)和法律的損失將無法估量。為此,工商銀行的行領(lǐng)導(dǎo)非常重視,除了進(jìn)一步加強(qiáng)信息科技部門自身的內(nèi)部控制和采取必要的措施之外,還于2002年在內(nèi)審部門成立了專職的IT審計(jì)處,重點(diǎn)對IT風(fēng)險(xiǎn)進(jìn)行檢查和控制,在IT審計(jì)方面做了一些有益的探索,取得了一些經(jīng)驗(yàn)。
      商業(yè)銀行在應(yīng)用COBIT的具體過程中,要注意以下幾點(diǎn):
      1。從審計(jì)目的看,IT審計(jì)不僅包含對信息系統(tǒng)安全運(yùn)行的狀況提出評價(jià),規(guī)避操作風(fēng)險(xiǎn),更應(yīng)該使組織中的IT戰(zhàn)略符合企業(yè)的戰(zhàn)略目標(biāo),規(guī)避由于信息技術(shù)發(fā)展給企業(yè)帶來的戰(zhàn)略風(fēng)險(xiǎn)。在這一方面,COBIT的審計(jì)范圍幾乎涵蓋了所有與IT相關(guān)的活動(dòng)。而其他幾個(gè)國際標(biāo)準(zhǔn)則各有不同,BS7799側(cè)重于與信息系統(tǒng)安全相關(guān)的活動(dòng),COSO則側(cè)重于企業(yè)自身內(nèi)部控制,ITIL則是著重IT系統(tǒng)的交付和支持。更為重要的是,COBIT就如何進(jìn)行IT審計(jì),給出了詳盡的指導(dǎo)性建議。就其適用的對象而言,只有COBIT的適用用戶包含審計(jì)師,是從審計(jì)人員的角度來全面闡述了如何對企業(yè)面臨的IT戰(zhàn)略風(fēng)險(xiǎn)和操作運(yùn)行風(fēng)險(xiǎn)進(jìn)行審計(jì)和規(guī)避。因此,應(yīng)該按照COBIT要求的控制目標(biāo),盡早對銀行相關(guān)的IT過程進(jìn)行審計(jì)。
      2。在應(yīng)用COBIT標(biāo)準(zhǔn)時(shí),應(yīng)以COBIT為主,還要參照其他國際標(biāo)準(zhǔn)。COBIT作為一個(gè)IT治理的通用標(biāo)準(zhǔn)和信息系統(tǒng)審計(jì)的框架體系,與其他的國際IT標(biāo)準(zhǔn)并不沖突。審計(jì)師在以COBIT作為主要參照標(biāo)準(zhǔn)的同時(shí),針對信息系統(tǒng)審計(jì)的不同方面,可以借鑒不同的國際標(biāo)準(zhǔn)。如在對商業(yè)銀行數(shù)據(jù)中心安全方面進(jìn)行審計(jì)時(shí),可以參照BS7799中的相應(yīng)內(nèi)容,也可以參照SSE-CMM的標(biāo)準(zhǔn)來進(jìn)行;在涉及信息系統(tǒng)的交付和支持時(shí),則可以采用ITIL中的內(nèi)容來對數(shù)據(jù)中心的相關(guān)活動(dòng)進(jìn)行評價(jià)和審計(jì);在對數(shù)據(jù)中心內(nèi)控機(jī)制的建設(shè)情況進(jìn)行評價(jià)時(shí),就可參照COSO中的相應(yīng)條款來比照評估。
      3。對COBIT標(biāo)準(zhǔn)的采用,應(yīng)結(jié)合商業(yè)銀行自身的實(shí)際情況有選擇地實(shí)施。COBIT作為一個(gè)國際標(biāo)準(zhǔn),比較強(qiáng)調(diào)其通用性,而對企業(yè)的具體情況有所忽視。在具體運(yùn)用過程中,可依據(jù)自身特點(diǎn),結(jié)合信息系統(tǒng)生命周期各個(gè)階段的不同特點(diǎn),有選擇、分階段地來實(shí)施COBIT中所要求的內(nèi)容。
      4。在運(yùn)用COBIT實(shí)施IT審計(jì)時(shí),可從COBIT有關(guān)過程中的控制目標(biāo)入手,進(jìn)行風(fēng)險(xiǎn)分析,得出與該過程相關(guān)的風(fēng)險(xiǎn)控制目標(biāo),再從風(fēng)險(xiǎn)控制目標(biāo)中導(dǎo)出與該目標(biāo)相關(guān)的風(fēng)險(xiǎn)控制點(diǎn)。針對每個(gè)風(fēng)險(xiǎn)控制點(diǎn),結(jié)合商業(yè)銀行自身的技術(shù)特色,找出其所包含的風(fēng)險(xiǎn)檢查點(diǎn),風(fēng)險(xiǎn)檢查點(diǎn)又可以組成對相關(guān)部分的檢查表。針對檢查的結(jié)果,與COBIT相關(guān)部分中的要求相比照,找出相關(guān)的薄弱點(diǎn),并就此提出相應(yīng)的改進(jìn)意見。風(fēng)險(xiǎn)控制目標(biāo)和風(fēng)險(xiǎn)檢查點(diǎn)之間的推導(dǎo)方式主要有兩種,一種是自下而上,即從具體的管理過程或技術(shù)實(shí)施措施入手,從中得出相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn),對相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)進(jìn)行提煉,最后得到風(fēng)險(xiǎn)控制目標(biāo);一種是自上而下,從風(fēng)險(xiǎn)控制目標(biāo)出發(fā),將其進(jìn)行分解,得到相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)并對其進(jìn)行細(xì)分,直到能夠直接得出檢查點(diǎn)為止。最后將得到的風(fēng)險(xiǎn)控制目標(biāo)與COBIT相關(guān)過程的控制目標(biāo)相比較,以確保整個(gè)信息系統(tǒng)審計(jì)目標(biāo)的完整性。
    大云網(wǎng)官方微信售電那點(diǎn)事兒

    責(zé)任編輯:葉雨田

    免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。
    我要收藏
    個(gè)贊
    ?
    国产精品一线二线三线| 中文字幕在线日亚州9| 亚洲国产综合精品二区| 樱桃视频大全免费高清版观看下载| 漂亮人妻被中出中文字幕| A级毛片免费全部播放视频| 大地资源高清在线观看| 精品国产VA久久久久久久| 内射在线Chinese| 欧美野外疯狂做受XXXX高潮|