COBIT与商业银行的IT审计
伴随着我国商业银行信息化建设的不断深入和飞速发展,信息已经成为商业银行可持续发展的重要基础性资源。信息技术已不再是单纯的业务实现手段和支持方式,而逐渐成为商业银行战略规划、投资决策所必须考虑的重
伴随着我国商业银行信息化建设的不断深入和飞速发展,信息已经成为商业银行可持续发展的重要基础性资源。信息技术已不再是单纯的业务实现手段和支持方式,而逐渐成为商业银行战略规划、投资决策所必须考虑的重要因素之一。信息技术在为商业银行提供了大量便利的同时,也带来了巨大的操作、法律和信誉风险。因此,如何管理好信息与信息资源,如何充分利用信息技术保证银行在竞争日趋激烈的金融市场中占据优势,是摆在银行高级管理人员面前的一个课题。
商业银行的IT审计是加强商业银行内部控制的有力手段,它不仅能有效促进商业银行核心业务系统的安全平稳运行,而且通过对IT战略目标与商业银行总体发展目标的一致性评估,可以最大限度地规避战略风险、投资风险和运行风险,保证商业银行的可持续发展。
一、IT审计的内涵
目前,国内外商业银行的数据集中已成为必然的发展趋势。数据的集中给商业银行的决策层提供了及时、准确、全面的信息资源和有效的基础平台,实现了银行业务数据与营业机构的分离,为银行的管理集中和科学运营奠定了坚实的基础。同时,数据的集中也带来了IT决策风险、信息系统建设投资风险、信息系统运行维护风险的相对集中。如何有效地规避上述风险,并对其内控措施的有效性进行评估,是商业银行每位高级管理人员都非常关心的问题。商业银行IT审计不仅能够满足上述需要,而且还能对信息科技队伍的建设情况、运行效率等诸多内容做出相应的评价,以确保信息发展与银行发展战略目标的一致性。
商业银行IT审计的范围覆盖了全行所有系统的应用领域,以及信息系统整个生命周期中的所有活动和所有资源。与信息系统的建设不同,IT审计更关注风险的规避、管理和控制。其主要内容包括银行IT战略规划审计、银行信息系统需求获取和开发过程审计、系统交付后技术支持和运行维护审计、对整个系统生命周期中相关管理活动的审计、对相关过程中文档管理的审计、对相关人员的审计、对外部委托业务的审计、对灾难恢复和业务持续性计划的审计等内容。商业银行IT审计是以风险管理为基础,按重要性和成本效益性原则,在信息系统生命周期的全过程中,通过实施一般控制审计和应用控制审计,对相关证据进行采集和评价,用以判断信息系统的资产安全、数据完整以及资源的有效利用,并对IT战略规划与银行总体规划的一致性进行评价。它综合运用IT技术与审计理论及方法,为商业银行战略目标的实现提供合理的保障。
商业银行通过IT审计,可以实现以下目标:
1。促进商业银行公司治理战略目标与IT发展战略目标的高度一致。在金融业竞争非常激烈的今天,商业银行的经营战略目标必须紧随市场的变化而变化,同时,IT技术和应用也在日新月异地发展,通过IT审计能够评价两者之间总体目标的一致性,并能就两者之间的差异给出相应的咨询建议。
2。优化资源配置,实现在银行内部的合理存储、共享和利用。通过正确的信息战略的制定和实施,使商业银行获得比较优势,促进和保障各类资源、资本在银行内部各个环节上的合理分配和利用。通过选择正确的技术架构和必要的手段,优化资源的有效配置,提高信息系统效用,促进商业银行快速持久发展。
3。帮助董事会或高级管理层提高决策效率和决策的正确性。IT审计能够整体识别、评价全行面临的IT风险以及这些风险在全行范围的分布、影响、危害等。根据这些风险的具体情况,进行风险评估,为银行高级管理层提出客观、明确的建议和方案,督促相关部门采取措施,确保银行核心业务系统的安全稳定运行,从而为全行业务的快速稳定发展提供保证。
4。通过科学、规范、独立而实效的IT审计,在国内外银行界树立良好的风险控制形象,增强国内外战略投资者和所有利益方的信心,进而推动国有商业银行股改上市的步伐。
二、COBIT简介
当前,国际普遍应用的IT相关标准众多,有IT硬件技术标准、软件实现标准、网络通信标准、IT服务标准,还有涉及IT系统安全及安全工程的标准等,但有关信息系统管理及如何对信息系统进行审计的标准相对较少,COBIT(Control Objectives for Information and related Technology,信息及相关技术的控制目标)就是其中的一个多方面兼而有之的标准。COBIT是信息技术安全与审计组织(ISACA)在1996年公布的信息系统审计的框架体系标准,目前已更新到第三版。作为国际通用的、具有权威性的信息技术控制和审计标准,COBIT得到了业界的一致认同。
1。COBIT系列所包含的内容
COBIT体系框架包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档(见图1)。从COBIT文档的组成成分来看,不仅有管理指南,更有审计指南和具体的控制目标。在管理指南中,COBIT为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等,并根据这些指标对每个过程进行了成熟度模型的划分。在审计指南中,COBIT就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。
2。COBIT参照标准
在COBIT的制定过程中,ISACA的专家参考了许多国际标准,其中包括银行对新兴业务的要求等。其主要参照标准有:
(1)相关的IT技术标准,包括ISO系列标准和EDIFACT等。
(2)相关的审计行为准则,主要包括ISACA的相关准则及欧洲的OECD等。
(3)与IT系统和过程相关的质量标准,主要包括ITSEC、TCSEC、ISO-9000、SPICE、CC、TickIT等。
(4)与内部控制和审计相关的职业或业务标准,如COSO、IFAC、AICPA、CICA、ISACA、IIA、PCIE、GAO等。
(5)来自银行、电子商务和IT制造行业等新兴行业的需求。
从以上COBIT参照的标准来看,它不仅参考了与IT相关的技术标准,而且还包括了与审计相关的行为准则及审计标准、内控标准和模型等内容。总之,COBIT是一个兼顾IT审计和IT系统管理的国际标准。
3。COBIT所体现的原则
COBIT所体现的原则包括质量、信用和安全三个方面的内容。在质量方面主要有品质、成本和交付三个原则;信用方面的内容主要取自COSO模型,主要有业务运营的效力和效果、信息的可靠性、符合相关法律法规三个原则;在安全方面主要有机密性、完整性和可用性三个原则。从COBIT体现的原则可以看出,COBIT能够满足商业银行对信息系统进行审计和管理的要求。
4。COBIT中的信息资产
在COBIT中,对信息系统所包含的资产进行了划分,主要分为以下几类:数据、应用、技术、设施和人力资源。它不仅包含IT技术,也包含了IT基础设施等内容。尤其重要的是,它把使用技术的人也作为一种资源并对相关的情况进行审计。
5。COBIT的基本架构
COBIT将所有与信息系统相关的活动进行了划分,主要包括34个过程,分属于4个域。具体关系见表1。
6。COBIT的适用用户
COBIT的使用人员有银行的高级管理者、审计师和系统用户三类人员,目前最主要的使用者是IT审计师。
总的来看,COBIT将IT过程、IT资源信息与企业的策略和目标联系起来,形成了一个三维的体系结构,保障了商业银行的IT战略目标和其业务发展战略目标的一致性。同时,COBIT还在信息系统审计师、管理层和IT技术人员之间搭建桥梁,使IT管理工作简单化。基于以上原因,COBIT不论从其适用范围还是内容上,都具备了作为一个审计标准的条件。尽管如此,其自身也存在不足之处,那就是COBIT对相关过程中所涉及的控制目标太笼统,对过程的描述能力不强,在实际应用中需要IT审计师结合具体情况加以克服和完善。以上仅从审计的角度来探讨COBIT的内容,实际上COBIT不仅是信息系统审计的国际标准,更是IT治理的相关标准。
三、COBIT在商业银行信息系统审计工作中的应用探讨
在商业银行数据大集中的形势下,银行信息系统面临着两种威胁:一是利用计算机舞弊,二是灾难性破坏。计算机舞弊现象不仅存在于系统开发阶段,更容易发生在维护阶段。总行数据中心一旦发生灾难性破坏,受到影响的将是全行范围的所有分支机构和所有业务,经济、信誉和法律的损失将无法估量。为此,工商银行的行领导非常重视,除了进一步加强信息科技部门自身的内部控制和采取必要的措施之外,还于2002年在内审部门成立了专职的IT审计处,重点对IT风险进行检查和控制,在IT审计方面做了一些有益的探索,取得了一些经验。
商业银行在应用COBIT的具体过程中,要注意以下几点:
1。从审计目的看,IT审计不仅包含对信息系统安全运行的状况提出评价,规避操作风险,更应该使组织中的IT战略符合企业的战略目标,规避由于信息技术发展给企业带来的战略风险。在这一方面,COBIT的审计范围几乎涵盖了所有与IT相关的活动。而其他几个国际标准则各有不同,BS7799侧重于与信息系统安全相关的活动,COSO则侧重于企业自身内部控制,ITIL则是着重IT系统的交付和支持。更为重要的是,COBIT就如何进行IT审计,给出了详尽的指导性建议。就其适用的对象而言,只有COBIT的适用用户包含审计师,是从审计人员的角度来全面阐述了如何对企业面临的IT战略风险和操作运行风险进行审计和规避。因此,应该按照COBIT要求的控制目标,尽早对银行相关的IT过程进行审计。
2。在应用COBIT标准时,应以COBIT为主,还要参照其他国际标准。COBIT作为一个IT治理的通用标准和信息系统审计的框架体系,与其他的国际IT标准并不冲突。审计师在以COBIT作为主要参照标准的同时,针对信息系统审计的不同方面,可以借鉴不同的国际标准。如在对商业银行数据中心安全方面进行审计时,可以参照BS7799中的相应内容,也可以参照SSE-CMM的标准来进行;在涉及信息系统的交付和支持时,则可以采用ITIL中的内容来对数据中心的相关活动进行评价和审计;在对数据中心内控机制的建设情况进行评价时,就可参照COSO中的相应条款来比照评估。
3。对COBIT标准的采用,应结合商业银行自身的实际情况有选择地实施。COBIT作为一个国际标准,比较强调其通用性,而对企业的具体情况有所忽视。在具体运用过程中,可依据自身特点,结合信息系统生命周期各个阶段的不同特点,有选择、分阶段地来实施COBIT中所要求的内容。
4。在运用COBIT实施IT审计时,可从COBIT有关过程中的控制目标入手,进行风险分析,得出与该过程相关的风险控制目标,再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点,结合商业银行自身的技术特色,找出其所包含的风险检查点,风险检查点又可以组成对相关部分的检查表。针对检查的结果,与COBIT相关部分中的要求相比照,找出相关的薄弱点,并就此提出相应的改进意见。风险控制目标和风险检查点之间的推导方式主要有两种,一种是自下而上,即从具体的管理过程或技术实施措施入手,从中得出相应的风险控制点,对相应的风险控制点进行提炼,最后得到风险控制目标;一种是自上而下,从风险控制目标出发,将其进行分解,得到相应的风险控制点并对其进行细分,直到能够直接得出检查点为止。最后将得到的风险控制目标与COBIT相关过程的控制目标相比较,以确保整个信息系统审计目标的完整性。
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞