談 逸/文

一、引言

在信息時(shí)代，商業(yè)銀行信息化建設(shè)是必然，信息系統(tǒng)的建設(shè)和不斷升級(jí)是銀行穩(wěn)健運(yùn)營(yíng)和發(fā)展的基石。銀行對(duì)信息系統(tǒng)的依賴加重，無(wú)疑對(duì)其安全性、可靠性和有效性提出了更高的要求。不少銀行就曾因?yàn)樾畔⑾到y(tǒng)風(fēng)險(xiǎn)而蒙受損失。目前商業(yè)銀行面臨的信息系統(tǒng)風(fēng)險(xiǎn)主要分為兩大類，即系統(tǒng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)。

如今，漸漸意識(shí)到預(yù)防信息系統(tǒng)風(fēng)險(xiǎn)重要性的商業(yè)銀行，開(kāi)始著手建立專業(yè)的信息系統(tǒng)審計(jì)部門。為了滿足銀行內(nèi)部管理和信息系統(tǒng)風(fēng)險(xiǎn)管理的需要，也為了更好應(yīng)對(duì)外部監(jiān)督和檢查，商業(yè)銀行不斷對(duì)內(nèi)部信息系統(tǒng)審計(jì)提高要求。作為各種組織經(jīng)營(yíng)管理的重要部分，信息系統(tǒng)深刻影響著企業(yè)的日常經(jīng)營(yíng)活動(dòng)。信息系統(tǒng)審計(jì)通過(guò)借鑒傳統(tǒng)審計(jì)的方法，完善補(bǔ)充現(xiàn)有的審計(jì)體系，對(duì)信息系統(tǒng)和信息技術(shù)運(yùn)營(yíng)的安全性和可靠性進(jìn)行評(píng)估，信息系統(tǒng)貫穿于商業(yè)銀行的各項(xiàng)業(yè)務(wù)活動(dòng)中，并與相關(guān)業(yè)務(wù)進(jìn)行有效融合，通過(guò)開(kāi)展銀行信息系統(tǒng)的審計(jì)工作，將信息系統(tǒng)風(fēng)險(xiǎn)歸入銀行風(fēng)險(xiǎn)管理之中，提高銀行風(fēng)險(xiǎn)管理的水平。

但是由于我國(guó)商業(yè)銀行在信息系統(tǒng)業(yè)務(wù)方面起步較晚，目前良好的信息審計(jì)系統(tǒng)環(huán)境仍未形成，這也成為我國(guó)各商業(yè)銀行改進(jìn)、建設(shè)的一個(gè)要點(diǎn)。

二、信息系統(tǒng)審計(jì)及COBIT框架

（一）信息系統(tǒng)審計(jì)及現(xiàn)行的信息系統(tǒng)審計(jì)框架

信息系統(tǒng)審計(jì)的主要目的是通過(guò)檢查和評(píng)價(jià)被審計(jì)單位信息系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)性，揭示信息系統(tǒng)存在的問(wèn)題，提出完善信息系統(tǒng)控制的審計(jì)意見(jiàn)和建議，促進(jìn)被審計(jì)單位信息系統(tǒng)實(shí)現(xiàn)組織目標(biāo)；同時(shí)，通過(guò)檢查和評(píng)價(jià)信息系統(tǒng)產(chǎn)生的數(shù)據(jù)的真實(shí)性、完整性和正確性，防范和控制審計(jì)風(fēng)險(xiǎn)。

信息系統(tǒng)審計(jì)是面向系統(tǒng)的。國(guó)際現(xiàn)行的被大眾較為了解的信息系統(tǒng)審計(jì)框架有 COBIT、ITIL、ISO27001、CMMI、PMP、COSO等。其中大眾接受和認(rèn)可程度較高的是由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)在1996年提出的COBIT標(biāo)準(zhǔn)。與其他相比，COBIT有著可實(shí)施、可裁剪的特點(diǎn)，是公認(rèn)的IT治理的良好實(shí)踐，是IT治理及相關(guān)標(biāo)準(zhǔn)和理念的集大成者。

（二）COBIT 框架

COBIT是Control Object for Information and Related Technology的縮寫，著眼于信息與相關(guān)技術(shù)控制目標(biāo)，是企業(yè)技術(shù)管制的框架。COBIT是一個(gè)非常有用的工具，也非常易于理解和實(shí)施，可以幫助企業(yè)在管理層、IT與審計(jì)之間交流的鴻溝上搭建橋梁，提供了彼此溝通的共同語(yǔ)言。幾乎每個(gè)機(jī)構(gòu)都可以從COBIT中獲益，來(lái)決定基于IT過(guò)程及他們所支持的商業(yè)功能的合理控制。當(dāng)我們知道這些業(yè)務(wù)功能是什么，其對(duì)企業(yè)的影響到什么程度時(shí)，就能對(duì)這些事件進(jìn)行良好的分類。

COBIT是一個(gè)典型的按照西方思維方法取得的研究成果，即分析事實(shí)、提煉模型、建立概念、提出行動(dòng)方法和評(píng)價(jià)體系。基于IT治理的概念，ISACA對(duì)IT建設(shè)過(guò)程進(jìn)行提煉，建立了一系列概念和過(guò)程，及時(shí)確定行動(dòng)目標(biāo)，提出行動(dòng)方法和評(píng)審標(biāo)準(zhǔn)。這些內(nèi)容構(gòu)成了COBIT的框染和支柱，使用者可以根據(jù)實(shí)際情況做一定的剪裁。COBIT所提出基本概念是：IT治理的模型、IT治理的過(guò)程、成熟度級(jí)別、控制目標(biāo)、關(guān)鍵目標(biāo)指示（KGI）、關(guān)鍵性能指示（KPI）、重要成功因素（CSF）等。

三、商業(yè)銀行對(duì)COBIT框架的調(diào)整與適應(yīng)

COBIT的一個(gè)特性就是可裁剪性。一個(gè)完整的COBIT框架也許不能完全適應(yīng)一個(gè)銀行的需求，但是它的可裁剪性可以使銀行更加靈活地做出調(diào)整和改善。它的通用性強(qiáng)、針對(duì)性弱，很好地解決了商業(yè)銀行不能對(duì)其照搬照用的問(wèn)題。另外，COBIT的控制目標(biāo)、指標(biāo)等均是通用的，雖然方方面面俱到，比較全面地做到了全覆蓋，但不具針對(duì)性，如果要將其應(yīng)用到特定的某個(gè)銀行甚至是特定的某些業(yè)務(wù)，也只需要做出釋放的裁剪或調(diào)整。

COBIT定位于高端，由業(yè)務(wù)需求驅(qū)動(dòng)，覆蓋了所有的IT活動(dòng)，它關(guān)注的是治理、管理和控制應(yīng)該達(dá)到什么目標(biāo)，而不是關(guān)注如何去做。也就是說(shuō)，COBIT只提供了目標(biāo)，沒(méi)有給出具體實(shí)施步驟，操作性不足。例如COBIT設(shè)置了成熟度模型和標(biāo)準(zhǔn)，但沒(méi)有明確其判斷指標(biāo)，僅僅用相對(duì)定性的語(yǔ)言進(jìn)行了描述，在實(shí)際運(yùn)用COBIT成熟度模型時(shí)，極有可能隨審計(jì)人員的主觀判斷而形成檢查結(jié)果的不同和偏差。

COBIT涉及信息系統(tǒng)生命周期全過(guò)程，包含34個(gè)信息技術(shù)處理過(guò)程，318個(gè)具體控制目標(biāo)。但由于其通用性的特點(diǎn)，應(yīng)用于具體單位時(shí)需要根據(jù)實(shí)際情況進(jìn)行裁剪。而COBIT推出的同時(shí)能針對(duì)各個(gè)行業(yè)的實(shí)際情況，提出具體應(yīng)用方法，特別是裁減方法、允許的裁減程度，如哪部分是必須保留的重要的，哪部分可以根據(jù)實(shí)際情況進(jìn)行取。

四、商業(yè)銀行如何建立起完善的信息系統(tǒng)審計(jì)環(huán)境

為了能夠更好地應(yīng)對(duì)外部合法合規(guī)的壓力、適應(yīng)內(nèi)部管理和信息系統(tǒng)風(fēng)險(xiǎn)管理的要求，商業(yè)銀行需要建立起一個(gè)完善的信息系統(tǒng)審計(jì)環(huán)境，其中有兩點(diǎn)是必不可少的，即完善的信息系統(tǒng)審計(jì)體系和優(yōu)秀的審計(jì)人員。

（一）建立完善的信息系統(tǒng)審計(jì)體系

商業(yè)銀行想要建立完善的信息系統(tǒng)審計(jì)體系，在運(yùn)營(yíng)過(guò)程中將風(fēng)險(xiǎn)降至最低，至少需要做到以下幾點(diǎn)：

1.確定信息系統(tǒng)審計(jì)單位

不管是誰(shuí)來(lái)審計(jì)，審計(jì)內(nèi)容是什么，獨(dú)立性都必須放在首位，信息系統(tǒng)審計(jì)也不例外。國(guó)內(nèi)大多商業(yè)銀行的組織形式對(duì)內(nèi)部審計(jì)部門在實(shí)施工作時(shí)都或多或少存在一些限制，在條件允許的情況下，銀行可以采取內(nèi)部審計(jì)與外部審計(jì)相結(jié)合的方式。即使是無(wú)法做到，也應(yīng)該確保信息系統(tǒng)審計(jì)部門的權(quán)限足夠，從而保證其獨(dú)立性。

2.確定獨(dú)立信息系統(tǒng)審計(jì)組

實(shí)施商業(yè)銀行信息系統(tǒng)審計(jì)，內(nèi)容涵蓋了很多方面，不僅涉及銀行的軟硬件系統(tǒng)，還要對(duì)商業(yè)銀行運(yùn)營(yíng)的業(yè)務(wù)進(jìn)行符合性審計(jì)，更包括了信息系統(tǒng)項(xiàng)目的組織、策劃、服務(wù)管理等，涵蓋內(nèi)容越全面廣泛，審計(jì)結(jié)果就會(huì)越真實(shí)有效。因此，想要組織一支專業(yè)的信息系統(tǒng)審計(jì)團(tuán)隊(duì)，團(tuán)隊(duì)中必須有以上各方面的專業(yè)人才，且這些專業(yè)人才應(yīng)該具有專業(yè)的資格認(rèn)證。

3.信息系統(tǒng)審計(jì)方案與計(jì)劃

在確定好審計(jì)單位和審計(jì)組后，審計(jì)工作開(kāi)始前的信息系統(tǒng)審計(jì)方案與計(jì)劃的制定是正式開(kāi)始審計(jì)工作前最重要的準(zhǔn)備。制定一個(gè)適合且專業(yè)的審計(jì)計(jì)劃將在后續(xù)實(shí)施時(shí)更加高效，更加貼合審計(jì)目標(biāo)。根據(jù)各商業(yè)銀行的實(shí)際情況，審計(jì)組在制定審計(jì)計(jì)劃時(shí)，應(yīng)該考慮到該商業(yè)銀行的具體經(jīng)營(yíng)重點(diǎn)，最主要的風(fēng)險(xiǎn)點(diǎn)在哪里，有側(cè)重點(diǎn)地進(jìn)行審計(jì)。

4.信息系統(tǒng)審計(jì)實(shí)施

在實(shí)施具體審計(jì)時(shí)，應(yīng)根據(jù)實(shí)際實(shí)施情況，在審計(jì)過(guò)程中對(duì)遇到的問(wèn)題進(jìn)行細(xì)分，并對(duì)各審計(jì)內(nèi)容進(jìn)行細(xì)致分析，對(duì)重點(diǎn)項(xiàng)目要加強(qiáng)審計(jì)力度，重視數(shù)據(jù)的完整性和真實(shí)性。

5.信息系統(tǒng)審計(jì)報(bào)告

在完成所有的審計(jì)工作后，審計(jì)組需要出具一份具體詳盡的信息系統(tǒng)審計(jì)報(bào)告。根據(jù)審計(jì)實(shí)施的具體情況，對(duì)發(fā)現(xiàn)的問(wèn)題、存在的不足進(jìn)行具體的說(shuō)明和分析。審計(jì)報(bào)告可以按照審計(jì)執(zhí)行時(shí)間進(jìn)行，也可按照審計(jì)項(xiàng)目分類說(shuō)明。

6.持續(xù)改進(jìn)

制定完善的信息系統(tǒng)審計(jì)框架并非一蹴而就的事情，恰恰相反，信息系統(tǒng)審計(jì)部門需要一直不斷地發(fā)現(xiàn)其中的問(wèn)題并做出持續(xù)改進(jìn)。銀行相關(guān)風(fēng)險(xiǎn)不會(huì)一成不變，因此危機(jī)也有可能不斷升級(jí)，若是不能以發(fā)展的目光去看待處理各類風(fēng)險(xiǎn)，那么信息系統(tǒng)審計(jì)部門便失去了其存在的意義。

（二）培養(yǎng)優(yōu)秀的審計(jì)人員

商業(yè)銀行可以在以下三個(gè)方面培養(yǎng)能夠滿足內(nèi)部審計(jì)需求的審計(jì)人員：第一類是銀行審計(jì)部門的工作人員。事實(shí)上，為了滿足自身職業(yè)發(fā)展和順應(yīng)銀行審計(jì)需求，不少銀行審計(jì)人員已經(jīng)開(kāi)始加強(qiáng)對(duì)信息系統(tǒng)的自主學(xué)習(xí)和培訓(xùn)，如果銀行能在其中擇優(yōu)培養(yǎng)，定期組織信息系統(tǒng)相關(guān)培訓(xùn)，幫助他們?cè)趯?shí)際工作中熟悉信息審計(jì)系統(tǒng)，必然對(duì)專業(yè)人員的擴(kuò)充有所幫助。第二類是銀行信息科技崗位的管理人員。信息科技崗位的銀行員工在銀行各個(gè)系統(tǒng)研發(fā)活動(dòng)的參與度都很高，如果將他們完全與審計(jì)部門割裂開(kāi)，可能會(huì)導(dǎo)致系統(tǒng)研發(fā)不符合審計(jì)相關(guān)要求?？梢?jiàn)，如今對(duì)信息科技崗位的員工要求很高，對(duì)他們進(jìn)行相關(guān)的培訓(xùn)也是必不可少的。尤其是專業(yè)綜合的高級(jí)管理人才，銀行應(yīng)當(dāng)對(duì)其予以重點(diǎn)培養(yǎng)。第三類是外部專業(yè)人員。如今，尤其是在高校，對(duì)學(xué)生的綜合素質(zhì)十分重視，對(duì)復(fù)合型人才的培養(yǎng)是高校培養(yǎng)人才的重點(diǎn)，銀行可以向高?；蚴巧鐣?huì)尋求幫助，不管是招聘員工或是邀請(qǐng)專業(yè)老師來(lái)對(duì)員工進(jìn)行培訓(xùn)，相較而言成本都不是很高。