COBIT与商业银行的IT审计

发布时间：2020-07-21 19:05:23 阅读：次来源：压力表厂家

摘要：商业银行的ＩＴ审计是加强商业银行内部控制的有力手段，它不仅能有效促进商业银行核心业务系统的安全平稳运行，而且通过对ＩＴ战略目标与商业银行总体发展目标的一致性评估，可以

关键词：IT审计COBIT

伴随着我国商业银行信息化建设的不断深入和飞速发展，信息已经成为商业银行可持续发展的重要基础性资源。信息技术已不再是单纯的业务实现手段和支持方式，而逐渐成为商业银行战略规划、投资决策所必须考虑的重要因素之一。信息技术在为商业银行提供了大量便利的同时，也带来了巨大的操作、法律和信誉风险。因此，如何管理好信息与信息资源，如何充分利用信息技术保证银行在竞争日趋激烈的金融市场中占据优势，是摆在银行高级管理人员面前的一个课题。

商业银行的ＩＴ审计是加强商业银行内部控制的有力手段，它不仅能有效促进商业银行核心业务系统的安全平稳运行，而且通过对ＩＴ战略目标与商业银行总体发展目标的一致性评估，可以最大限度地规避战略风险、投资风险和运行风险，保证商业银行的可持续发展。

一、ＩＴ审计的内涵

目前，国内外商业银行的数据集中已成为必然的发展趋势。数据的集中给商业银行的决策层提供了及时、准确、全面的信息资源和有效的基础平台，实现了银行业务数据与营业机构的分离，为银行的管理集中和科学运营奠定了坚实的基础。同时，数据的集中也带来了ＩＴ决策风险、信息系统建设投资风险、信息系统运行维护风险的相对集中。如何有效地规避上述风险，并对其内控措施的有效性进行评估，是商业银行每位高级管理人员都非常关心的问题。商业银行ＩＴ审计不仅能够满足上述需要，而且还能对信息科技队伍的建设情况、运行效率等诸多内容做出相应的评价，以确保信息发展与银行发展战略目标的一致性。

商业银行ＩＴ审计的范围覆盖了全行所有系统的应用领域，以及信息系统整个生命周期中的所有活动和所有资源。与信息系统的建设不同，ＩＴ审计更关注风险的规避、管理和控制。其主要内容包括银行ＩＴ战略规划审计、银行信息系统需求获取和开发过程审计、系统交付后技术支持和运行维护审计、对整个系统生命周期中相关管理活动的审计、对相关过程中文档管理的审计、对相关人员的审计、对外部委托业务的审计、对灾难恢复和业务持续性计划的审计等内容。商业银行ＩＴ审计是以风险管理为基础，按重要性和成本效益性原则，在信息系统生命周期的全过程中，通过实施一般控制审计和应用控制审计，对相关证据进行采集和评价，用以判断信息系统的资产安全、数据完整以及资源的有效利用，并对ＩＴ战略规划与银行总体规划的一致性进行评价。它综合运用ＩＴ技术与审计理论及方法，为商业银行战略目标的实现提供合理的保障。

商业银行通过ＩＴ审计，可以实现以下目标：

１。促进商业银行公司治理战略目标与ＩＴ发展战略目标的高度一致。在金融业竞争非常激烈的今天，商业银行的经营战略目标必须紧随市场的变化而变化，同时，ＩＴ技术和应用也在日新月异地发展，通过ＩＴ审计能够评价两者之间总体目标的一致性，并能就两者之间的差异给出相应的咨询建议。

２。优化资源配置，实现在银行内部的合理存储、共享和利用。通过正确的信息战略的制定和实施，使商业银行获得比较优势，促进和保障各类资源、资本在银行内部各个环节上的合理分配和利用。通过选择正确的技术架构和必要的手段，优化资源的有效配置，提高信息系统效用，促进商业银行快速持久发展。

３。帮助董事会或高级管理层提高决策效率和决策的正确性。ＩＴ审计能够整体识别、评价全行面临的ＩＴ风险以及这些风险在全行范围的分布、影响、危害等。根据这些风险的具体情况，进行风险评估，为银行高级管理层提出客观、明确的建议和方案，督促相关部门采取措施，确保银行核心业务系统的安全稳定运行，从而为全行业务的快速稳定发展提供保证。

４。通过科学、规范、独立而实效的ＩＴ审计，在国内外银行界树立良好的风险控制形象，增强国内外战略投资者和所有利益方的信心，进而推动国有商业银行股改上市的步伐。

二、ＣＯＢＩＴ简介

当前，国际普遍应用的ＩＴ相关标准众多，有ＩＴ硬件技术标准、软件实现标准、网络通信标准、ＩＴ服务标准，还有涉及ＩＴ系统安全及安全工程的标准等，但有关信息系统管理及如何对信息系统进行审计的标准相对较少，ＣＯＢＩＴ（ＣｏｎｔｒｏｌＯｂｊｅｃｔｉｖｅｓｆｏｒＩｎｆｏｒｍａｔｉｏｎａｎｄｒｅｌａｔｅｄＴｅｃｈｎｏｌｏｇｙ，信息及相关技术的控制目标）就是其中的一个多方面兼而有之的标准。ＣＯＢＩＴ是信息技术安全与审计组织（ＩＳＡＣＡ）在１９９６年公布的信息系统审计的框架体系标准，目前已更新到第三版。作为国际通用的、具有权威性的信息技术控制和审计标准，ＣＯＢＩＴ得到了业界的一致认同。

１。ＣＯＢＩＴ系列所包含的内容

ＣＯＢＩＴ体系框架包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档（见图１）。从ＣＯＢＩＴ文档的组成成分来看，不仅有管理指南，更有审计指南和具体的控制目标。在管理指南中，ＣＯＢＩＴ为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等，并根据这些指标对每个过程进行了成熟度模型的划分。在审计指南中，ＣＯＢＩＴ就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。

２。ＣＯＢＩＴ参照标准

在ＣＯＢＩＴ的制定过程中，ＩＳＡＣＡ的专家参考了许多国际标准，其中包括银行对新兴业务的要求等。其主要参照标准有：

（１）相关的ＩＴ技术标准，包括ＩＳＯ系列标准和ＥＤＩＦＡＣＴ等。

（２）相关的审计行为准则，主要包括ＩＳＡＣＡ的相关准则及欧洲的ＯＥＣＤ等。

（３）与ＩＴ系统和过程相关的质量标准，主要包括ＩＴＳＥＣ、ＴＣＳＥＣ、ＩＳＯ－９０００、ＳＰＩＣＥ、ＣＣ、ＴｉｃｋＩＴ等。

（４）与内部控制和审计相关的职业或业务标准，如ＣＯＳＯ、ＩＦＡＣ、ＡＩＣＰＡ、ＣＩＣＡ、ＩＳＡＣＡ、ＩＩＡ、ＰＣＩＥ、ＧＡＯ等。

（５）来自银行、电子商务和ＩＴ制造行业等新兴行业的需求。

从以上ＣＯＢＩＴ参照的标准来看，它不仅参考了与ＩＴ相关的技术标准，而且还包括了与审计相关的行为准则及审计标准、内控标准和模型等内容。总之，ＣＯＢＩＴ是一个兼顾ＩＴ审计和ＩＴ系统管理的国际标准。

３。ＣＯＢＩＴ所体现的原则

ＣＯＢＩＴ所体现的原则包括质量、信用和安全三个方面的内容。在质量方面主要有品质、成本和交付三个原则；信用方面的内容主要取自ＣＯＳＯ模型，主要有业务运营的效力和效果、信息的可靠性、符合相关法律法规三个原则；在安全方面主要有机密性、完整性和可用性三个原则。从ＣＯＢＩＴ体现的原则可以看出，ＣＯＢＩＴ能够满足商业银行对信息系统进行审计和管理的要求。

４。ＣＯＢＩＴ中的信息资产

在ＣＯＢＩＴ中，对信息系统所包含的资产进行了划分，主要分为以下几类：数据、应用、技术、设施和人力资源。它不仅包含ＩＴ技术，也包含了ＩＴ基础设施等内容。尤其重要的是，它把使用技术的人也作为一种资源并对相关的情况进行审计。

５。ＣＯＢＩＴ的基本架构

ＣＯＢＩＴ将所有与信息系统相关的活动进行了划分，主要包括３４个过程，分属于４个域。具体关系见表１。

６。ＣＯＢＩＴ的适用用户

ＣＯＢＩＴ的使用人员有银行的高级管理者、审计师和系统用户三类人员，目前最主要的使用者是ＩＴ审计师。

总的来看，ＣＯＢＩＴ将ＩＴ过程、ＩＴ资源信息与企业的策略和目标联系起来，形成了一个三维的体系结构，保障了商业银行的ＩＴ战略目标和其业务发展战略目标的一致性。同时，ＣＯＢＩＴ还在信息系统审计师、管理层和ＩＴ技术人员之间搭建桥梁，使ＩＴ管理工作简单化。基于以上原因，ＣＯＢＩＴ不论从其适用范围还是内容上，都具备了作为一个审计标准的条件。尽管如此，其自身也存在不足之处，那就是ＣＯＢＩＴ对相关过程中所涉及的控制目标太笼统，对过程的描述能力不强，在实际应用中需要ＩＴ审计师结合具体情况加以克服和完善。以上仅从审计的角度来探讨ＣＯＢＩＴ的内容，实际上ＣＯＢＩＴ不仅是信息系统审计的国际标准，更是ＩＴ治理的相关标准。

三、ＣＯＢＩＴ在商业银行信息系统审计工作中的应用探讨

在商业银行数据大集中的形势下，银行信息系统面临着两种威胁：一是利用计算机舞弊，二是灾难性破坏。计算机舞弊现象不仅存在于系统开发阶段，更容易发生在维护阶段。总行数据中心一旦发生灾难性破坏，受到影响的将是全行范围的所有分支机构和所有业务，经济、信誉和法律的损失将无法估量。为此，工商银行的行领导非常重视，除了进一步加强信息科技部门自身的内部控制和采取必要的措施之外，还于２００２年在内审部门成立了专职的ＩＴ审计处，重点对ＩＴ风险进行检查和控制，在ＩＴ审计方面做了一些有益的探索，取得了一些经验。

商业银行在应用ＣＯＢＩＴ的具体过程中，要注意以下几点：

１。从审计目的看，ＩＴ审计不仅包含对信息系统安全运行的状况提出评价，规避操作风险，更应该使组织中的ＩＴ战略符合企业的战略目标，规避由于信息技术发展给企业带来的战略风险。在这一方面，ＣＯＢＩＴ的审计范围几乎涵盖了所有与ＩＴ相关的活动。而其他几个国际标准则各有不同，ＢＳ７７９９侧重于与信息系统安全相关的活动，ＣＯＳＯ则侧重于企业自身内部控制，ＩＴＩＬ则是着重ＩＴ系统的交付和支持。更为重要的是，ＣＯＢＩＴ就如何进行ＩＴ审计，给出了详尽的指导性建议。就其适用的对象而言，只有ＣＯＢＩＴ的适用用户包含审计师，是从审计人员的角度来全面阐述了如何对企业面临的ＩＴ战略风险和操作运行风险进行审计和规避。因此，应该按照ＣＯＢＩＴ要求的控制目标，尽早对银行相关的ＩＴ过程进行审计。

２。在应用ＣＯＢＩＴ标准时，应以ＣＯＢＩＴ为主，还要参照其他国际标准。ＣＯＢＩＴ作为一个ＩＴ治理的通用标准和信息系统审计的框架体系，与其他的国际ＩＴ标准并不冲突。审计师在以ＣＯＢＩＴ作为主要参照标准的同时，针对信息系统审计的不同方面，可以借鉴不同的国际标准。如在对商业银行数据中心安全方面进行审计时，可以参照ＢＳ７７９９中的相应内容，也可以参照ＳＳＥ－ＣＭＭ的标准来进行；在涉及信息系统的交付和支持时，则可以采用ＩＴＩＬ中的内容来对数据中心的相关活动进行评价和审计；在对数据中心内控机制的建设情况进行评价时，就可参照ＣＯＳＯ中的相应条款来比照评估。

３。对ＣＯＢＩＴ标准的采用，应结合商业银行自身的实际情况有选择地实施。ＣＯＢＩＴ作为一个国际标准，比较强调其通用性，而对企业的具体情况有所忽视。在具体运用过程中，可依据自身特点，结合信息系统生命周期各个阶段的不同特点，有选择、分阶段地来实施ＣＯＢＩＴ中所要求的内容。

４。在运用ＣＯＢＩＴ实施ＩＴ审计时，可从ＣＯＢＩＴ有关过程中的控制目标入手，进行风险分析，得出与该过程相关的风险控制目标，再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点，结合商业银行自身的技术特色，找出其所包含的风险检查点，风险检查点又可以组成对相关部分的检查表。针对检查的结果，与ＣＯＢＩＴ相关部分中的要求相比照，找出相关的薄弱点，并就此提出相应的改进意见。风险控制目标和风险检查点之间的推导方式主要有两种，一种是自下而上，即从具体的管理过程或技术实施措施入手，从中得出相应的风险控制点，对相应的风险控制点进行提炼，最后得到风险控制目标；一种是自上而下，从风险控制目标出发，将其进行分解，得到相应的风险控制点并对其进行细分，直到能够直接得出检查点为止。最后将得到的风险控制目标与ＣＯＢＩＴ相关过程的控制目标相比较，以确保整个信息系统审计目标的完整性。

责编：