基于COBIT框架下市场商业银行信息系统审计探讨

谈 逸/文

一、引言

在信息时代，商业银行信息化建设是必然，信息系统的建设和不断升级是银行稳健运营和发展的基石。银行对信息系统的依赖加重，无疑对其安全性、可靠性和有效性提出了更高的要求。不少银行就曾因为信息系统风险而蒙受损失。目前商业银行面临的信息系统风险主要分为两大类，即系统风险和操作风险。

如今，渐渐意识到预防信息系统风险重要性的商业银行，开始着手建立专业的信息系统审计部门。为了满足银行内部管理和信息系统风险管理的需要，也为了更好应对外部监督和检查，商业银行不断对内部信息系统审计提高要求。作为各种组织经营管理的重要部分，信息系统深刻影响着企业的日常经营活动。信息系统审计通过借鉴传统审计的方法，完善补充现有的审计体系，对信息系统和信息技术运营的安全性和可靠性进行评估，信息系统贯穿于商业银行的各项业务活动中，并与相关业务进行有效融合，通过开展银行信息系统的审计工作，将信息系统风险归入银行风险管理之中，提高银行风险管理的水平。

但是由于我国商业银行在信息系统业务方面起步较晚，目前良好的信息审计系统环境仍未形成，这也成为我国各商业银行改进、建设的一个要点。

二、信息系统审计及COBIT框架

（一）信息系统审计及现行的信息系统审计框架

信息系统审计的主要目的是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性，揭示信息系统存在的问题，提出完善信息系统控制的审计意见和建议，促进被审计单位信息系统实现组织目标；同时，通过检查和评价信息系统产生的数据的真实性、完整性和正确性，防范和控制审计风险。

信息系统审计是面向系统的。国际现行的被大众较为了解的信息系统审计框架有 COBIT、ITIL、ISO27001、CMMI、PMP、COSO等。其中大众接受和认可程度较高的是由信息系统审计与控制协会在1996年提出的COBIT标准。与其他相比，COBIT有着可实施、可裁剪的特点，是公认的IT治理的良好实践，是IT治理及相关标准和理念的集大成者。

（二）COBIT 框架

COBIT是Control Object for Information and Related Technology的缩写，着眼于信息与相关技术控制目标，是企业技术管制的框架。COBIT是一个非常有用的工具，也非常易于理解和实施，可以帮助企业在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此沟通的共同语言。几乎每个机构都可以从COBIT中获益，来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些业务功能是什么，其对企业的影响到什么程度时，就能对这些事件进行良好的分类。

COBIT是一个典型的按照西方思维方法取得的研究成果，即分析事实、提炼模型、建立概念、提出行动方法和评价体系。基于IT治理的概念，ISACA对IT建设过程进行提炼，建立了一系列概念和过程，及时确定行动目标，提出行动方法和评审标准。这些内容构成了COBIT的框染和支柱，使用者可以根据实际情况做一定的剪裁。COBIT所提出基本概念是：IT治理的模型、IT治理的过程、成熟度级别、控制目标、关键目标指示（KGI）、关键性能指示（KPI）、重要成功因素（CSF）等。

三、商业银行对COBIT框架的调整与适应

COBIT的一个特性就是可裁剪性。一个完整的COBIT框架也许不能完全适应一个银行的需求，但是它的可裁剪性可以使银行更加灵活地做出调整和改善。它的通用性强、针对性弱，很好地解决了商业银行不能对其照搬照用的问题。另外，COBIT的控制目标、指标等均是通用的，虽然方方面面俱到，比较全面地做到了全覆盖，但不具针对性，如果要将其应用到特定的某个银行甚至是特定的某些业务，也只需要做出释放的裁剪或调整。

COBIT定位于高端，由业务需求驱动，覆盖了所有的IT活动，它关注的是治理、管理和控制应该达到什么目标，而不是关注如何去做。也就是说，COBIT只提供了目标，没有给出具体实施步骤，操作性不足。例如COBIT设置了成熟度模型和标准，但没有明确其判断指标，仅仅用相对定性的语言进行了描述，在实际运用COBIT成熟度模型时，极有可能随审计人员的主观判断而形成检查结果的不同和偏差。

COBIT涉及信息系统生命周期全过程，包含34个信息技术处理过程，318个具体控制目标。但由于其通用性的特点，应用于具体单位时需要根据实际情况进行裁剪。而COBIT推出的同时能针对各个行业的实际情况，提出具体应用方法，特别是裁减方法、允许的裁减程度，如哪部分是必须保留的重要的，哪部分可以根据实际情况进行取。

四、商业银行如何建立起完善的信息系统审计环境

为了能够更好地应对外部合法合规的压力、适应内部管理和信息系统风险管理的要求，商业银行需要建立起一个完善的信息系统审计环境，其中有两点是必不可少的，即完善的信息系统审计体系和优秀的审计人员。

（一）建立完善的信息系统审计体系

商业银行想要建立完善的信息系统审计体系，在运营过程中将风险降至最低，至少需要做到以下几点：

1.确定信息系统审计单位

不管是谁来审计，审计内容是什么，独立性都必须放在首位，信息系统审计也不例外。国内大多商业银行的组织形式对内部审计部门在实施工作时都或多或少存在一些限制，在条件允许的情况下，银行可以采取内部审计与外部审计相结合的方式。即使是无法做到，也应该确保信息系统审计部门的权限足够，从而保证其独立性。

2.确定独立信息系统审计组

实施商业银行信息系统审计，内容涵盖了很多方面，不仅涉及银行的软硬件系统，还要对商业银行运营的业务进行符合性审计，更包括了信息系统项目的组织、策划、服务管理等，涵盖内容越全面广泛，审计结果就会越真实有效。因此，想要组织一支专业的信息系统审计团队，团队中必须有以上各方面的专业人才，且这些专业人才应该具有专业的资格认证。

3.信息系统审计方案与计划

在确定好审计单位和审计组后，审计工作开始前的信息系统审计方案与计划的制定是正式开始审计工作前最重要的准备。制定一个适合且专业的审计计划将在后续实施时更加高效，更加贴合审计目标。根据各商业银行的实际情况，审计组在制定审计计划时，应该考虑到该商业银行的具体经营重点，最主要的风险点在哪里，有侧重点地进行审计。

4.信息系统审计实施

在实施具体审计时，应根据实际实施情况，在审计过程中对遇到的问题进行细分，并对各审计内容进行细致分析，对重点项目要加强审计力度，重视数据的完整性和真实性。

5.信息系统审计报告

在完成所有的审计工作后，审计组需要出具一份具体详尽的信息系统审计报告。根据审计实施的具体情况，对发现的问题、存在的不足进行具体的说明和分析。审计报告可以按照审计执行时间进行，也可按照审计项目分类说明。

6.持续改进

制定完善的信息系统审计框架并非一蹴而就的事情，恰恰相反，信息系统审计部门需要一直不断地发现其中的问题并做出持续改进。银行相关风险不会一成不变，因此危机也有可能不断升级，若是不能以发展的目光去看待处理各类风险，那么信息系统审计部门便失去了其存在的意义。

（二）培养优秀的审计人员

商业银行可以在以下三个方面培养能够满足内部审计需求的审计人员：第一类是银行审计部门的工作人员。事实上，为了满足自身职业发展和顺应银行审计需求，不少银行审计人员已经开始加强对信息系统的自主学习和培训，如果银行能在其中择优培养，定期组织信息系统相关培训，帮助他们在实际工作中熟悉信息审计系统，必然对专业人员的扩充有所帮助。第二类是银行信息科技岗位的管理人员。信息科技岗位的银行员工在银行各个系统研发活动的参与度都很高，如果将他们完全与审计部门割裂开，可能会导致系统研发不符合审计相关要求。可见，如今对信息科技岗位的员工要求很高，对他们进行相关的培训也是必不可少的。尤其是专业综合的高级管理人才，银行应当对其予以重点培养。第三类是外部专业人员。如今，尤其是在高校，对学生的综合素质十分重视，对复合型人才的培养是高校培养人才的重点，银行可以向高校或是社会寻求帮助，不管是招聘员工或是邀请专业老师来对员工进行培训，相较而言成本都不是很高。