談 逸/文

一、引言

在信息時代，商業(yè)銀行信息化建設(shè)是必然，信息系統(tǒng)的建設(shè)和不斷升級是銀行穩(wěn)健運(yùn)營和發(fā)展的基石。銀行對信息系統(tǒng)的依賴加重，無疑對其安全性、可靠性和有效性提出了更高的要求。不少銀行就曾因為信息系統(tǒng)風(fēng)險而蒙受損失。目前商業(yè)銀行面臨的信息系統(tǒng)風(fēng)險主要分為兩大類，即系統(tǒng)風(fēng)險和操作風(fēng)險。

如今，漸漸意識到預(yù)防信息系統(tǒng)風(fēng)險重要性的商業(yè)銀行，開始著手建立專業(yè)的信息系統(tǒng)審計部門。為了滿足銀行內(nèi)部管理和信息系統(tǒng)風(fēng)險管理的需要，也為了更好應(yīng)對外部監(jiān)督和檢查，商業(yè)銀行不斷對內(nèi)部信息系統(tǒng)審計提高要求。作為各種組織經(jīng)營管理的重要部分，信息系統(tǒng)深刻影響著企業(yè)的日常經(jīng)營活動。信息系統(tǒng)審計通過借鑒傳統(tǒng)審計的方法，完善補(bǔ)充現(xiàn)有的審計體系，對信息系統(tǒng)和信息技術(shù)運(yùn)營的安全性和可靠性進(jìn)行評估，信息系統(tǒng)貫穿于商業(yè)銀行的各項業(yè)務(wù)活動中，并與相關(guān)業(yè)務(wù)進(jìn)行有效融合，通過開展銀行信息系統(tǒng)的審計工作，將信息系統(tǒng)風(fēng)險歸入銀行風(fēng)險管理之中，提高銀行風(fēng)險管理的水平。

但是由于我國商業(yè)銀行在信息系統(tǒng)業(yè)務(wù)方面起步較晚，目前良好的信息審計系統(tǒng)環(huán)境仍未形成，這也成為我國各商業(yè)銀行改進(jìn)、建設(shè)的一個要點。

二、信息系統(tǒng)審計及COBIT框架

（一）信息系統(tǒng)審計及現(xiàn)行的信息系統(tǒng)審計框架

信息系統(tǒng)審計的主要目的是通過檢查和評價被審計單位信息系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)性，揭示信息系統(tǒng)存在的問題，提出完善信息系統(tǒng)控制的審計意見和建議，促進(jìn)被審計單位信息系統(tǒng)實現(xiàn)組織目標(biāo)；同時，通過檢查和評價信息系統(tǒng)產(chǎn)生的數(shù)據(jù)的真實性、完整性和正確性，防范和控制審計風(fēng)險。

信息系統(tǒng)審計是面向系統(tǒng)的。國際現(xiàn)行的被大眾較為了解的信息系統(tǒng)審計框架有 COBIT、ITIL、ISO27001、CMMI、PMP、COSO等。其中大眾接受和認(rèn)可程度較高的是由信息系統(tǒng)審計與控制協(xié)會在1996年提出的COBIT標(biāo)準(zhǔn)。與其他相比，COBIT有著可實施、可裁剪的特點，是公認(rèn)的IT治理的良好實踐，是IT治理及相關(guān)標(biāo)準(zhǔn)和理念的集大成者。

（二）COBIT 框架

COBIT是Control Object for Information and Related Technology的縮寫，著眼于信息與相關(guān)技術(shù)控制目標(biāo)，是企業(yè)技術(shù)管制的框架。COBIT是一個非常有用的工具，也非常易于理解和實施，可以幫助企業(yè)在管理層、IT與審計之間交流的鴻溝上搭建橋梁，提供了彼此溝通的共同語言。幾乎每個機(jī)構(gòu)都可以從COBIT中獲益，來決定基于IT過程及他們所支持的商業(yè)功能的合理控制。當(dāng)我們知道這些業(yè)務(wù)功能是什么，其對企業(yè)的影響到什么程度時，就能對這些事件進(jìn)行良好的分類。

COBIT是一個典型的按照西方思維方法取得的研究成果，即分析事實、提煉模型、建立概念、提出行動方法和評價體系?；贗T治理的概念，ISACA對IT建設(shè)過程進(jìn)行提煉，建立了一系列概念和過程，及時確定行動目標(biāo)，提出行動方法和評審標(biāo)準(zhǔn)。這些內(nèi)容構(gòu)成了COBIT的框染和支柱，使用者可以根據(jù)實際情況做一定的剪裁。COBIT所提出基本概念是：IT治理的模型、IT治理的過程、成熟度級別、控制目標(biāo)、關(guān)鍵目標(biāo)指示（KGI）、關(guān)鍵性能指示（KPI）、重要成功因素（CSF）等。

三、商業(yè)銀行對COBIT框架的調(diào)整與適應(yīng)

COBIT的一個特性就是可裁剪性。一個完整的COBIT框架也許不能完全適應(yīng)一個銀行的需求，但是它的可裁剪性可以使銀行更加靈活地做出調(diào)整和改善。它的通用性強(qiáng)、針對性弱，很好地解決了商業(yè)銀行不能對其照搬照用的問題。另外，COBIT的控制目標(biāo)、指標(biāo)等均是通用的，雖然方方面面俱到，比較全面地做到了全覆蓋，但不具針對性，如果要將其應(yīng)用到特定的某個銀行甚至是特定的某些業(yè)務(wù)，也只需要做出釋放的裁剪或調(diào)整。

COBIT定位于高端，由業(yè)務(wù)需求驅(qū)動，覆蓋了所有的IT活動，它關(guān)注的是治理、管理和控制應(yīng)該達(dá)到什么目標(biāo)，而不是關(guān)注如何去做。也就是說，COBIT只提供了目標(biāo)，沒有給出具體實施步驟，操作性不足。例如COBIT設(shè)置了成熟度模型和標(biāo)準(zhǔn)，但沒有明確其判斷指標(biāo)，僅僅用相對定性的語言進(jìn)行了描述，在實際運(yùn)用COBIT成熟度模型時，極有可能隨審計人員的主觀判斷而形成檢查結(jié)果的不同和偏差。

COBIT涉及信息系統(tǒng)生命周期全過程，包含34個信息技術(shù)處理過程，318個具體控制目標(biāo)。但由于其通用性的特點，應(yīng)用于具體單位時需要根據(jù)實際情況進(jìn)行裁剪。而COBIT推出的同時能針對各個行業(yè)的實際情況，提出具體應(yīng)用方法，特別是裁減方法、允許的裁減程度，如哪部分是必須保留的重要的，哪部分可以根據(jù)實際情況進(jìn)行取。

四、商業(yè)銀行如何建立起完善的信息系統(tǒng)審計環(huán)境

為了能夠更好地應(yīng)對外部合法合規(guī)的壓力、適應(yīng)內(nèi)部管理和信息系統(tǒng)風(fēng)險管理的要求，商業(yè)銀行需要建立起一個完善的信息系統(tǒng)審計環(huán)境，其中有兩點是必不可少的，即完善的信息系統(tǒng)審計體系和優(yōu)秀的審計人員。

（一）建立完善的信息系統(tǒng)審計體系

商業(yè)銀行想要建立完善的信息系統(tǒng)審計體系，在運(yùn)營過程中將風(fēng)險降至最低，至少需要做到以下幾點：

1.確定信息系統(tǒng)審計單位

不管是誰來審計，審計內(nèi)容是什么，獨立性都必須放在首位，信息系統(tǒng)審計也不例外。國內(nèi)大多商業(yè)銀行的組織形式對內(nèi)部審計部門在實施工作時都或多或少存在一些限制，在條件允許的情況下，銀行可以采取內(nèi)部審計與外部審計相結(jié)合的方式。即使是無法做到，也應(yīng)該確保信息系統(tǒng)審計部門的權(quán)限足夠，從而保證其獨立性。

2.確定獨立信息系統(tǒng)審計組

實施商業(yè)銀行信息系統(tǒng)審計，內(nèi)容涵蓋了很多方面，不僅涉及銀行的軟硬件系統(tǒng)，還要對商業(yè)銀行運(yùn)營的業(yè)務(wù)進(jìn)行符合性審計，更包括了信息系統(tǒng)項目的組織、策劃、服務(wù)管理等，涵蓋內(nèi)容越全面廣泛，審計結(jié)果就會越真實有效。因此，想要組織一支專業(yè)的信息系統(tǒng)審計團(tuán)隊，團(tuán)隊中必須有以上各方面的專業(yè)人才，且這些專業(yè)人才應(yīng)該具有專業(yè)的資格認(rèn)證。

3.信息系統(tǒng)審計方案與計劃

在確定好審計單位和審計組后，審計工作開始前的信息系統(tǒng)審計方案與計劃的制定是正式開始審計工作前最重要的準(zhǔn)備。制定一個適合且專業(yè)的審計計劃將在后續(xù)實施時更加高效，更加貼合審計目標(biāo)。根據(jù)各商業(yè)銀行的實際情況，審計組在制定審計計劃時，應(yīng)該考慮到該商業(yè)銀行的具體經(jīng)營重點，最主要的風(fēng)險點在哪里，有側(cè)重點地進(jìn)行審計。

4.信息系統(tǒng)審計實施

在實施具體審計時，應(yīng)根據(jù)實際實施情況，在審計過程中對遇到的問題進(jìn)行細(xì)分，并對各審計內(nèi)容進(jìn)行細(xì)致分析，對重點項目要加強(qiáng)審計力度，重視數(shù)據(jù)的完整性和真實性。

5.信息系統(tǒng)審計報告

在完成所有的審計工作后，審計組需要出具一份具體詳盡的信息系統(tǒng)審計報告。根據(jù)審計實施的具體情況，對發(fā)現(xiàn)的問題、存在的不足進(jìn)行具體的說明和分析。審計報告可以按照審計執(zhí)行時間進(jìn)行，也可按照審計項目分類說明。

6.持續(xù)改進(jìn)

制定完善的信息系統(tǒng)審計框架并非一蹴而就的事情，恰恰相反，信息系統(tǒng)審計部門需要一直不斷地發(fā)現(xiàn)其中的問題并做出持續(xù)改進(jìn)。銀行相關(guān)風(fēng)險不會一成不變，因此危機(jī)也有可能不斷升級，若是不能以發(fā)展的目光去看待處理各類風(fēng)險，那么信息系統(tǒng)審計部門便失去了其存在的意義。

（二）培養(yǎng)優(yōu)秀的審計人員

商業(yè)銀行可以在以下三個方面培養(yǎng)能夠滿足內(nèi)部審計需求的審計人員：第一類是銀行審計部門的工作人員。事實上，為了滿足自身職業(yè)發(fā)展和順應(yīng)銀行審計需求，不少銀行審計人員已經(jīng)開始加強(qiáng)對信息系統(tǒng)的自主學(xué)習(xí)和培訓(xùn)，如果銀行能在其中擇優(yōu)培養(yǎng)，定期組織信息系統(tǒng)相關(guān)培訓(xùn)，幫助他們在實際工作中熟悉信息審計系統(tǒng)，必然對專業(yè)人員的擴(kuò)充有所幫助。第二類是銀行信息科技崗位的管理人員。信息科技崗位的銀行員工在銀行各個系統(tǒng)研發(fā)活動的參與度都很高，如果將他們完全與審計部門割裂開，可能會導(dǎo)致系統(tǒng)研發(fā)不符合審計相關(guān)要求。可見，如今對信息科技崗位的員工要求很高，對他們進(jìn)行相關(guān)的培訓(xùn)也是必不可少的。尤其是專業(yè)綜合的高級管理人才，銀行應(yīng)當(dāng)對其予以重點培養(yǎng)。第三類是外部專業(yè)人員。如今，尤其是在高校，對學(xué)生的綜合素質(zhì)十分重視，對復(fù)合型人才的培養(yǎng)是高校培養(yǎng)人才的重點，銀行可以向高?；蚴巧鐣で髱椭还苁钦衅竼T工或是邀請專業(yè)老師來對員工進(jìn)行培訓(xùn)，相較而言成本都不是很高。