COBIT在工商银行信息系统审计工作中应用的探讨.doc

COBIT在工商银行信息系统审计工作中应用的探讨作者：时间：2006-06-06Hits: 1193 COBIT在工商银行信息系统审计工作中应用的探讨 在商业银行数据大集中的形势下，银行信息系统面临着两种威胁：一是利用计算机舞弊，二是灾难性破坏。计算机舞弊现象不仅存在于系统开发阶段，更容易发生在维护阶段。总行数据中心一旦发生灾难性破坏，受到影响的将是全行范围的所有分支机构和所有业务，经济%信誉和法律的损失将无法估量。为此，工商银行的行领导非常重视，除了进一步加强信息科技部门自身的内部控制和采取必要的措施之外， 还于2002年在内审部门成立了专职的IT 审计处， 重点对IT风险进行检查和控制，在IT审计方面做了一些有益的探索，取得了一些经验。商业银行在应用COBIT的具体过程中，要注意以下几点：1 从审计目的看，IT审计不仅包含对信息系统安全运行的状况提出评价， 规避操作风险， 更应该使组织中的IT战略符合企业的战略目标， 规避由于信息技术发展给企业带来的战略风险。在这一方面，COBIT的审计范围几乎涵盖了所有与IT相关的活动。而其他几个国际标准则各有不同，BS7799 侧重于与信息系统安全相关的活动，COSO 则侧重于企业自身内部控制，ITIL则是着重IT系统的交付和支持。更为重要的是，COBIT就如何进行IT审计，给出了详尽的指导性建议。就其适用的对象而言， 只有COBIT的适用用户包含审计师，是从审计人员的角度来全面阐述了如何对企业面临的IT战略风险和操作运行风险进行审计和规避。因此，应该按照COBIT要求的控制目标，尽早对银行相关的IT过程进行审计。2 在应用COBIT标准时，应以COBIT为主，还要参照其他国际标准。COBIT作为一个IT治理的通用标准和信息系统审计的框架体系，与其他的国际IT标准并不冲突。审计师在以COBIT作为主要参照标准的同时，针对信息系统审计的不同方面，可以借鉴不同的国际标准。如在对商业银行数据中心安全方面进行审计时， 可以参照BS7799中的相应内容， 也可以参照SSECMM的标准来进行; 在涉及信息系统的交付和支持时，则可以采用ITIL 中的内容来对数据中心的相关活动进行评价和审计;在对数据中心内控机制的建设情况进行评价时，就可参照COSO中的相应条款来比照评估。3 对COBIT标准的采用，应结合商业银行自身的实际情况有选择地实施。COBIT作为一个国际标准，比较强调其通用性，而对企业的具体情况有所忽视。在具体运用过程中，可依据自身特点，结合信息系统生命周期各个阶段的不同特点，有选择分阶段地来实施COBIT中所要求的内容。4 在运用COBIT实施IT审计时，可从COBIT有关过程中的控制目标入手，进行风险分析， 得出与该过程相关的风险控制目标，再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点，结合商业银行自身的技术特色，找出其所包含的风险检查点，风险检查点又可以组成对相关部分的检查表。针对检查的结果，与COBIT相关部分中的要求相比照，找出相关的薄弱点，并就此提出相应的改进意见。风险控制目标和风险检查点之间的推导方式主要有两种，一种是自下而上，即从具体的管理过程或技术实施措施入手，从中得出相应的风险控制点，对相应的风险控制点进行提炼，最后得到风险控制目标; 一种是自上而下，从风险控制目标出发，将其进行分解，得到相应的风险控制点并对其进行细分，直到能够直接得出检查点为止。最后将得到的风险控制目标与COBIT相关过程的控制目标相比较，以确保整个信息系统审计目标的完整性。七、我国商业银行IT审计发展的几点思考商业银行IT 审计应审时度势, 紧密联系经营的新形势、新特点, 遵循先进的国际审计标准, 突出技术特色和风险导向, 大力开展非现场IT 审计。1. 紧密围绕银行的经营需求, 推动银行的公司治理及IT 治理。目前金融市场的竞争进一步加剧, 需要进行全面的风险管理, 对内部控制和内部治理也应进行彻底性的变革。IT 审计在这场变革中, 要把握方向, 加快体系建设, 提高审计层次, 促进IT 治理, 推动公司治理。因此，一方面，商业银行要切实落实金融机构计算机安全保护工作暂行规定要求，合理安排基础设施和安全防范措施。要充分重视IT内部审计的作用，发挥审计对安全管理的内控作用，在引入IT 审计后，加快完善公司治理机制，并保证内审的独立性。成立信息系统风险控制委员会，定期对信息系统风险管理情况进行研究，推进IT审计中的故障发现、评估和风险控制措施的落实，督促指导IT 审计组的工作。另一方面，监管部门应加强对金融企业的IT 审计的监管，将IT 安全作为监管的重要内容，将IT 审计作为评价其安全性的重要因素，通过现场及非现场检查对商业银行等金融企业进行督促。同时，国家审计在金融计算机审计方面发展迅速，电子数据的采集分析等方面已有相当高的水平，但在对针对金融企业信息技术本身的审计方面，还应予以加强。2. 建立商业银行IT 审计规划。恰当的IT 审计方案与规划是IT 审计工作的核心基础，是保证审计目标实现，以及达到相关审计效果的关键。商业银行在引入IT 审计后，应对全系统信息系统建设设计整体的专业审计规划，制定年度工作目标及三年、五年风险控制目标，并与信息化建设发展相适应，形成IT 审计标准方案和计划。商业银行IT 审计方案与计划应包括：商业银行的信息系统现状分析、商业银行的内部控制现状初步评价、IT 审计的性质与范围、审计工作的组织安排、审计风险评估、审计费用与成本、实施时间计划、IT 审计方法、审计协调与沟通机制等。IT 审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容，进行取证、测试与评价，最终形成IT 审计报告。3. 遵循国际通行准则, 建立国际标准框架下具有各行特色的标准和规范体系。从国际同业的实践看, 国际大型商业银行大多都在自己的IT 审计体系下, 遵循国际标准或规范, 按照国际通行的做法, 结合实际情况, 确立自己的IT 审计标准和规范。因而, 我国商业银行也可应把目前国际上公认的最先进、最权威的IT 审计标准COBIT 作为核心标准, 同时借鉴巴塞尔协议、BS7799、COSO (Committee of Sponsoring Organizations of the Treadway Commision)、萨班斯奥克斯利法案等其他国际标准和原则, 进而确立适合各行的IT 审计目标、对象、范围、方法、流程等, 具体指导IT 审计工作。同时，应进一步明确IT 审计的技术角色，突出IT 审计的技术特色，根据商业银行信息系统的技术架构和特点，结合审计资源条件，确立IT 审计对应的技术角色架构。可以考虑将IT 审计的技术角色划分为应用、系统、网络及硬件三个大类。不同的技术角色分别负责信息系统生命周期中不同阶段的不同技术领域的控制、分析和评价，确立控制风险分布和控制重点，建立相应的风险评估指标，制定有效的控制检查表和检查点，提高商业银行IT 审计的专业化水平。4.建立合理的IT 审计管理模式。现阶段，商业银行开展IT 审计应将现场审计与非现场审计有效结合，并利用好不同审计模式下取得的成果，形成互补。通过考察国际银行业界的IT 审计技术和手段，可以断定，借助先进技术实施非现场审计已是大势所趋。IT 审计可以通过采用灵活的、可配置的审计模型及数据分析探测工具，构筑起科学、有效的风险分析、监测、评价体系，进一步加强商业银行IT 审计的非现场审计，推动商业银行的审计信息化建设。但在审计开展过程中，要注意加强风险管理，规避IT 审计风险。在关注重要性的同时，要力求效益性，防止因审计不当导致银行新的风险发生。5.加强注册信息系统审计师（Certified Information System Auditor，简称CISA）和IT 审计专业人才的培养。从当前商业银行审计人员素质来看，还不大适应IT 审计的要求。这主要归结于在IT 环境下商业银行内部审计人员工作发生的一系列重大变化，对内部审计人员素质要求进一步提高。首先，内部审计人员需要以内部控制专家的身份参与开发小组并监督计算机信息系统开发过程中的各项活动。其次，内部审计人员应及早参与到计算机系统的实施过程，提出宝贵意见和建议。因此，内部审计人员必须不断地注视信息技术的发展，掌握新方法与新技能，了解现代信息技术的用途及其对企业管理与信息处理的影响，使信息技术成为实施审计监督和加强控制的有力工具，并在现有的基础上掌握经营方面的重要知识和技能，以增强在经营领域的运作。目前虽然外包IT 内审的条件不成熟，但IT 业务外包是社会化分工的趋势，从长远来看，商业银行应增加IT技术尤其是通用技术的外包，将各系统行大批内部IT 开发人员适当转化为固定的IT 内部审计人员，从而进一步提高内审质量。6. 进行IT 审计人员的技术角色划分, 突出IT 审计的技术特色。根据各商业银行自己的信息系统技术体系及IT 审计资源, 划分不同的IT 审计技术角色, 突出IT审计的技术特色, 提升IT 审计层次。首先应分析掌握信息系统的技术和管理架构的特点, 然后结合现有的审计资源, 根据一般控制、应用控制和信息安全审计的要求,确立IT 审计对应的技术角色架构。可以初步将技术角色划分为三个大类, 即应用类技术角色、系统类技术角色、信息和网络安全类技术角色。不同角色审计人员负责对信息系统中不同技术领域进行审计, 建立各自的控制风险分布和重点的模型, 并制定相应的风险评估指标, 确定有效的风险控制检查表和检查点。形成以三大技术分类为主线, 全面覆盖全行信息系统各个部门和信息系统发展生命周期全过程的IT 审计的技术体系。7. 推行风险管理, 突出IT 审计的风险导向。现阶段, 在复杂的信息系统技术和管理环境下的IT 审计无疑是有一定审计风险的。因此, IT 审计更要重视风险管理, 规避审计风险, 在注重重要性的同时, 要讲究效益性, 这也是在今后相当长的时间里要充分重视的。在目前商业银行的环境下, 信息系统的审计应该是以风险管理为基础, 按照重要性原则, 对信息系统进行的一般控制审计和应用控制审计,并且贯穿了信息系统生命周期的全过程。商业银行IT审计工作应该按照先进的国际标准的要求, 本着科学、独立、审慎的精神, 依据各商业银行的实际情况来进行,只有这样, 才能达到IT 审计真正目的。通过信息系统审计（IT 审计），及时识别