教你银行IT审计方法

2014-11-08 22:45:18 大云网　点击量：评论 (0)

近年来，因银行业务流程中对信息系统的依赖程度日益加大，这使得信息系统的固有风险随着系统的复杂而增加，高度集中化的银行信息化管理也面临着更加严峻的考验。因此，作为商业银行信息科技风险管理的第三道防线

COBIT（Control Objectives for Information and related Technology）是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，也是目前国际上通用的信息系统审计的标准之一。COBIT是一个基于控制的IT治理模型，其制定的宗旨是跨越业务控制和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。

COBIT本身并非针对IT审计的专门论述，其面向的使用者可以是企业中想通过改善IT过程实现经营目标的管理者，也可以是业务过程的所有者，即用户，也可以为IT审计师。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。在最新的COBIT5.0版本中，COBIT已经被称作“一个治理和管理企业IT的业务框架”。

COBIT4.1版本中经典的体系框架一直为众多使用者参考使用，它包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档（见图1）。管理指南为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等，并根据这些指标对每个过程进行了成熟度模型的划分；而审计指南，则就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。

COBIT4.1版本中的流程参考模型将所有与信息系统相关的活动进行了划分，主要包括34个流程，分属4个域。而COBIT 5.0的参考模型涵盖了治理和管理流程的完整集合，共分为37个流程。COBIT5.0流程参考模型是COBIT4.1流程参考模型的继承者，同时也融合了风险IT、价值IT流程模型。COBIT的广泛通用性也造就了它在应用上的弱点