COBIT标准在商业银行IT审计中的应用
2009-06-18邹雪
邹 雪
摘要:本文首先简要分析了银行信息化风险的表现形式以及IT审计的内涵,进而分析商业银行引入IT审计的必要性。然后着重讨论了IT审计中的COBIT标准,并分析了商业银行应如何应用COBIT标准以及在应用该标准时应注意的问题。
关键词:信息化风险 IT审计 COBIT标准体系
1.银行信息化的风险
从“十五”初期至今,我国商业银行一直不断持续深入发展信息化建设,并全面应用信息系统来实现对客户的服务,银行对IT系统依赖性的增强也越发明显。
银行信息化给商业银行的决策层提供了及时、准确、全面的信息资源,也为银行的经营带来了极大的便利,与此同时也带来了巨大的IT风险。一方面是信息系统本身的固有风险随着系统的复杂在加大,银行信息系统所采用的IT技术与信息系统软硬件一旦被特定的威胁所利用就会产生风险,进而对银行信息系统的机密性、完整性及安全性产生损害。另一方面银行数据集中处理后信息系统的风险增大,系统一旦出现问题,就会影响到整个银行的正常运营。近年来,网上银行、电子商务等网络金融得到了快速的发展,它也对银行信息系统的安全性提出了更高的要求与挑战。因此,运用IT审计,及时识别IT风险,完善控制规避风险,对商业银行信息化建设及发展都至关重要。
2. 商业银行IT审计的内涵
对于IT审计的定义,国际信息系统审计领域的权威专家Ronweder将它定义为:收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产;维护数据完整;完成组织目标,同时最经济地使用资源。
与一般的审计不同,IT审计关注的风险主要与IT相关,更注重风险的规避、管理与控制。商业银行的IT审计主要任务和目标是确保银行业务流程中与IT相关的风险以及IT项目管理风险在可接受的水平上,确保银行信息和信息系统的安全、可靠和可用。促进商业银行治理战略目标与IT发展战略目标高度一致,推动业务发展,促使银行利益最大化。把IT审计引入商业银行,,可以最大限度的的规避战略风险、投资风险与运营风险,保证商业银行的持续竞争力。
3. COBIT简介
COBIT(Control Objectives for In for mation and related Technology),是国际信息系统审计协会(ISACA)在1996年所公布的业界标准,是以供管理层、用户、IT专家、信息系统审计师与安全管理人员来强化和评价IT管理控制的规范。现已发布到第四版。
COBIT模型主要有以下几个部分组成:执行指南、高级控制目标框架、管理指南、审计指南、具体控制目标、工具集等模块,如下图所示。其中,执行指南对各模块之间的关系进行了总体说明,定义了信息准则。在管理指南中,COBIT为每个过程提供了关键成功因素、关键性能指标和关键目标指标等,并根据这些指标对每个过程进行了成熟度模型的划分。在审计指南中,中介评估机构或IT审计人员主要从系统的安全性、有效性和可靠性三方面着手,分析、评价这些控制目标在信息技术处理过程中实施是否得当。审计指南还对对如何实施审计等提供建议与指导。
此外,COBIT还将IT过程、IT资源以及信息准则联系起来,形成了一个三维的体系结构,确保了商业银行IT战略目标与其业务目标的一致性,从而使IT审计达到为银行增值的目的。
4. COBIT在商业银行信息系统审计中的应用
我国各大银行IT审计在结合自身的情况对COBIT做出了不同程度的应用以解决自己的实际问题,其主要表现在:对于中国人民银行基层,由于COBIT只是一个控制框架,而不是一个知道如何做的过程框架,它不包括具体的审计实施指南和实施步骤。在运用COBIT进行IT审计时,审计人员可从COBIT有关过程的控制目标入手,进行风险分析,从风险控制目标中找出与该目标相关的风险控制点。并结合自身的技术特色找出所包含的风险检查的结果,从而使人民银行基层的岗位责任划分更加清晰化。农业银行将COBIT应用在了本行的信息化建设,农业银行实施的数据大集中给该行的IT决策、信息系统建设投资、信息系统运行维护带来的风险,利用COBIT不仅有效的避让了上述的风险而且还能对信息科技队伍的建设情况、运行效率等诸多内容作出相应的评价,以确保信息发展与银行发展战略目标的一致性。
在商业银行数据大集中的形势下,银行信息系统面临着两种威胁:一是利用计算机舞弊,二是灾难性破坏。在应用的具体过程中,还应该注意几点问题:
COBIT的应用将IT过程,IT资源信息与企业战略和目标联系起来,形成了一个三维的体系结构,保障了商业银行的IT战略目标的一致性。总之,在银行系统开展信息系统审计工作,是银行控制风险的的重要手段,在新形势下,银行要健康发展,就要积极迎接挑战、应对不断出现的新风险,防患于未然,才能抓住网络经济时代给银行带来的新机遇, 迎来银行业的新发展。
COBIT作为国际上的一种通过用的标准为IT治理和审计提供了最佳务实标准,但它只提供了目标,未给出具体实施步骤。另外,它的特点是通用性强,针对性弱。目前,我国银行业对于COBIT的应用尚处于研究和探讨阶段。各银行应注意与本行实际和内部审计实践相结合,充分利用但不拘泥于标准。
参考文献:
[1] 高鹏 姜永明.COBIT标准在基层人民银行IT审计中的应用初探.黑龙江金融.2008.01
[2] 丁建平 薛恒新.COBIT与农业银行IT审计.现代金融.2008.04
[3] 中国工商银行内部审计局课题组.COBIT与商业银行的IT审计.中国金融电脑.2005.06