鄒 雪

摘要:本文首先簡要分析了銀行信息化風(fēng)險的表現(xiàn)形式以及IT審計的內(nèi)涵,進(jìn)而分析商業(yè)銀行引入IT審計的必要性。然后著重討論了IT審計中的COBIT標(biāo)準(zhǔn),并分析了商業(yè)銀行應(yīng)如何應(yīng)用COBIT標(biāo)準(zhǔn)以及在應(yīng)用該標(biāo)準(zhǔn)時應(yīng)注意的問題。

關(guān)鍵詞:信息化風(fēng)險 IT審計 COBIT標(biāo)準(zhǔn)體系

1.銀行信息化的風(fēng)險

從“十五”初期至今,我國商業(yè)銀行一直不斷持續(xù)深入發(fā)展信息化建設(shè),并全面應(yīng)用信息系統(tǒng)來實現(xiàn)對客戶的服務(wù),銀行對IT系統(tǒng)依賴性的增強也越發(fā)明顯。

銀行信息化給商業(yè)銀行的決策層提供了及時、準(zhǔn)確、全面的信息資源,也為銀行的經(jīng)營帶來了極大的便利,與此同時也帶來了巨大的IT風(fēng)險。一方面是信息系統(tǒng)本身的固有風(fēng)險隨著系統(tǒng)的復(fù)雜在加大,銀行信息系統(tǒng)所采用的IT技術(shù)與信息系統(tǒng)軟硬件一旦被特定的威脅所利用就會產(chǎn)生風(fēng)險,進(jìn)而對銀行信息系統(tǒng)的機密性、完整性及安全性產(chǎn)生損害。另一方面銀行數(shù)據(jù)集中處理后信息系統(tǒng)的風(fēng)險增大,系統(tǒng)一旦出現(xiàn)問題,就會影響到整個銀行的正常運營。近年來,網(wǎng)上銀行、電子商務(wù)等網(wǎng)絡(luò)金融得到了快速的發(fā)展,它也對銀行信息系統(tǒng)的安全性提出了更高的要求與挑戰(zhàn)。因此,運用IT審計,及時識別IT風(fēng)險,完善控制規(guī)避風(fēng)險,對商業(yè)銀行信息化建設(shè)及發(fā)展都至關(guān)重要。

2. 商業(yè)銀行IT審計的內(nèi)涵

對于IT審計的定義,國際信息系統(tǒng)審計領(lǐng)域的權(quán)威專家Ronweder將它定義為:收集并評估證據(jù)以判斷一個計算機系統(tǒng)(信息系統(tǒng))是否有效做到保護(hù)資產(chǎn);維護(hù)數(shù)據(jù)完整;完成組織目標(biāo),同時最經(jīng)濟地使用資源。

與一般的審計不同,IT審計關(guān)注的風(fēng)險主要與IT相關(guān),更注重風(fēng)險的規(guī)避、管理與控制。商業(yè)銀行的IT審計主要任務(wù)和目標(biāo)是確保銀行業(yè)務(wù)流程中與IT相關(guān)的風(fēng)險以及IT項目管理風(fēng)險在可接受的水平上,確保銀行信息和信息系統(tǒng)的安全、可靠和可用。促進(jìn)商業(yè)銀行治理戰(zhàn)略目標(biāo)與IT發(fā)展戰(zhàn)略目標(biāo)高度一致,推動業(yè)務(wù)發(fā)展,促使銀行利益最大化。把IT審計引入商業(yè)銀行,,可以最大限度的的規(guī)避戰(zhàn)略風(fēng)險、投資風(fēng)險與運營風(fēng)險,保證商業(yè)銀行的持續(xù)競爭力。

3. COBIT簡介

COBIT(Control Objectives for In for mation and related Technology),是國際信息系統(tǒng)審計協(xié)會(ISACA)在1996年所公布的業(yè)界標(biāo)準(zhǔn),是以供管理層、用戶、IT專家、信息系統(tǒng)審計師與安全管理人員來強化和評價IT管理控制的規(guī)范。現(xiàn)已發(fā)布到第四版。

COBIT模型主要有以下幾個部分組成:執(zhí)行指南、高級控制目標(biāo)框架、管理指南、審計指南、具體控制目標(biāo)、工具集等模塊,如下圖所示。其中,執(zhí)行指南對各模塊之間的關(guān)系進(jìn)行了總體說明,定義了信息準(zhǔn)則。在管理指南中,COBIT為每個過程提供了關(guān)鍵成功因素、關(guān)鍵性能指標(biāo)和關(guān)鍵目標(biāo)指標(biāo)等,并根據(jù)這些指標(biāo)對每個過程進(jìn)行了成熟度模型的劃分。在審計指南中,中介評估機構(gòu)或IT審計人員主要從系統(tǒng)的安全性、有效性和可靠性三方面著手,分析、評價這些控制目標(biāo)在信息技術(shù)處理過程中實施是否得當(dāng)。審計指南還對對如何實施審計等提供建議與指導(dǎo)。

此外,COBIT還將IT過程、IT資源以及信息準(zhǔn)則聯(lián)系起來,形成了一個三維的體系結(jié)構(gòu),確保了商業(yè)銀行IT戰(zhàn)略目標(biāo)與其業(yè)務(wù)目標(biāo)的一致性,從而使IT審計達(dá)到為銀行增值的目的。

4. COBIT在商業(yè)銀行信息系統(tǒng)審計中的應(yīng)用

我國各大銀行IT審計在結(jié)合自身的情況對COBIT做出了不同程度的應(yīng)用以解決自己的實際問題,其主要表現(xiàn)在:對于中國人民銀行基層,由于COBIT只是一個控制框架,而不是一個知道如何做的過程框架,它不包括具體的審計實施指南和實施步驟。在運用COBIT進(jìn)行IT審計時,審計人員可從COBIT有關(guān)過程的控制目標(biāo)入手,進(jìn)行風(fēng)險分析,從風(fēng)險控制目標(biāo)中找出與該目標(biāo)相關(guān)的風(fēng)險控制點。并結(jié)合自身的技術(shù)特色找出所包含的風(fēng)險檢查的結(jié)果,從而使人民銀行基層的崗位責(zé)任劃分更加清晰化。農(nóng)業(yè)銀行將COBIT應(yīng)用在了本行的信息化建設(shè),農(nóng)業(yè)銀行實施的數(shù)據(jù)大集中給該行的IT決策、信息系統(tǒng)建設(shè)投資、信息系統(tǒng)運行維護(hù)帶來的風(fēng)險,利用COBIT不僅有效的避讓了上述的風(fēng)險而且還能對信息科技隊伍的建設(shè)情況、運行效率等諸多內(nèi)容作出相應(yīng)的評價,以確保信息發(fā)展與銀行發(fā)展戰(zhàn)略目標(biāo)的一致性。

在商業(yè)銀行數(shù)據(jù)大集中的形勢下,銀行信息系統(tǒng)面臨著兩種威脅:一是利用計算機舞弊,二是災(zāi)難性破壞。在應(yīng)用的具體過程中,還應(yīng)該注意幾點問題:

COBIT的應(yīng)用將IT過程,IT資源信息與企業(yè)戰(zhàn)略和目標(biāo)聯(lián)系起來,形成了一個三維的體系結(jié)構(gòu),保障了商業(yè)銀行的IT戰(zhàn)略目標(biāo)的一致性?？傊?在銀行系統(tǒng)開展信息系統(tǒng)審計工作,是銀行控制風(fēng)險的的重要手段,在新形勢下,銀行要健康發(fā)展,就要積極迎接挑戰(zhàn)、應(yīng)對不斷出現(xiàn)的新風(fēng)險,防患于未然,才能抓住網(wǎng)絡(luò)經(jīng)濟時代給銀行帶來的新機遇, 迎來銀行業(yè)的新發(fā)展。

COBIT作為國際上的一種通過用的標(biāo)準(zhǔn)為IT治理和審計提供了最佳務(wù)實標(biāo)準(zhǔn),但它只提供了目標(biāo),未給出具體實施步驟。另外,它的特點是通用性強,針對性弱。目前,我國銀行業(yè)對于COBIT的應(yīng)用尚處于研究和探討階段。各銀行應(yīng)注意與本行實際和內(nèi)部審計實踐相結(jié)合,充分利用但不拘泥于標(biāo)準(zhǔn)。

參考文獻(xiàn):

[1] 高鵬 姜永明.COBIT標(biāo)準(zhǔn)在基層人民銀行IT審計中的應(yīng)用初探.黑龍江金融.2008.01

[2] 丁建平 薛恒新.COBIT與農(nóng)業(yè)銀行IT審計.現(xiàn)代金融.2008.04

[3] 中國工商銀行內(nèi)部審計局課題組.COBIT與商業(yè)銀行的IT審計.中國金融電腦.2005.06