您现在的位置是:首页 > 行业 > 金融 >

落实风险导向的IT审计

2012-08-16 09:39:04作者:来源:

摘要作为商业银行信息科技风险管理的第三道防线——信息系统审计(简称“IT审计”)在银行内部控制建设过程中扮演了更为重要的角色。 ...

  近年来,因银行业务流程中对信息系统的依赖程度日益加大,这使得信息系统的固有风险随着系统的复杂而增加,高度集中化的银行信息化管理也面临着更加严峻的考验。因此,作为商业银行信息科技风险管理的第三道防线——信息系统审计(简称“IT审计”)在银行内部控制建设过程中扮演了更为重要的角色。

  银行IT审计意义

  目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。同时,国家相关部门对信息系统的管控也越来越重视,自2006年8月发布《银行业金融机构信息系统风险管理指引》开始,银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施(见表1),监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性,也成为银行业实施IT审计的重要目的之一。

  因此,银行业加强和规范IT审计,既是自身发展和获取竞争优势的内在需要,也是监管当局的外部要求。

  银行IT审计标准

  准确地运用标准和参照,成为顺利开展IT审计工作的重要前提之一。

  COBIT

  COBIT(Control Objectives for Information and related Technology) 是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,也是目前国际上通用的信息系统审计的标准之一。COBIT是一个基于控制的IT治理模型,其制定的宗旨是跨越业务控制和IT控制之间的鸿沟,从而建立一个面向业务目标的IT控制框架。

  COBIT本身并非针对IT审计的专门论述,其面向的使用者可以是企业中想通过改善IT过程实现经营目标的管理者,也可以是业务过程的所有者,即用户,也可以为IT审计师。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。在最新的COBIT5.0版本中,COBIT已经被称作“一个治理和管理企业IT的业务框架”。

  COBIT4.1版本中经典的体系框架一直为众多使用者参考使用,它包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档(见图1)。管理指南为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等,并根据这些指标对每个过程进行了成熟度模型的划分;而审计指南,则就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。

  COBIT4.1版本中的流程参考模型将所有与信息系统相关的活动进行了划分,主要包括34个流程,分属4个域。而COBIT 5.0的参考模型涵盖了治理和管理流程的完整集合,共分为37个流程。COBIT5.0流程参考模型是COBIT4.1流程参考模型的继承者,同时也融合了风险IT、价值IT流程模型。COBIT的广泛通用性也造就了它在应用上的弱点和难点,即COBIT中对相关流程和控制目标的描述过于笼统普适,需要使用者结合企业的实际情况和专业经验进行较大的定制化方可实施。

  因此,COBIT模型的最大作用是将IT过程、IT资源与企业的策略和目标联系了起来,保障了企业的IT战略目标和其业务发展目标的一致性,也在IT管理层、IT技术人员/用户和IT审计师之间搭建了桥梁。

  《商业银行信息科技风险管理指引》

  近年来,随着银监会信用风险、商业风险和操作风险管理指引的发布,以及“巴塞尔协议II”在银行业内的逐步实施,推动了银行内部风险管理机制的建立和健全。但是,在全面风险管理的框架下,目前银行的信息科技风险管理机制滞后于业务风险管理体系的发展,并未建立体系化的风险管控机制,成为了银行风险管理体系中的短板。这主要体现在,信息科技风险治理组织不健全、风险管理制度不完善、风险处理过程规划依据不充分以及风险监控指标不明确等方面。

  2009年发布的《商业银行信息科技风险管理指引》(以下简称《指引》),定义了商业银行信息科技风险的总体框架,即在当前商业银行普遍的信息科技现状下,可能存在的重大信息科技风险的范围,使商业银行的风险管理过程,能够集中精力在相关领域中。

  《指引》确定了九大管理领域,即:信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计。这些领域覆盖了信息科技管理的大多数重要活动,这些活动中存在的风险,可能会对业务产生重大影响,因此对这些领域的风险识别和管理,应当在信息科技风险管理中优先对待。

  在这九大领域中,IT审计占两个,分别是内部审计和外部审计。而《指引》本身,就是一个针对银行的框架完整的IT审计标准,银行可以参考这个标准,开展IT审计工作。

  IT审计标准选择

  实践中使用的标准远不止上述两个,而且,这两个标准建立本身就参照了很多IT相关的较为成熟的标准。如,COBIT制定时参照的标准就有ISO系列的相关IT技术标准、审计行为准则等等;《指引》其中“信息安全”管理领域的内容建立就是参照信息安全管理体系的国际标准ISO27001。

  另外,由于信息科技的细分领域众多,在进行某些细分领域的专项审计或单领域审计时,可以考虑单独使用某些国际或国内标准作为审计标准,从而达到更深入和专业的目的。比如,在进行信息安全方面的审计时,可参考ISO27001等国际标准或国内标准SSE-CMM;在审计IT运维、IT服务的交付和支持相关领域时,可以考虑采用ITIL作为审计标准;在审计IT内部控制建设相关领域时,还可以采用COSO模型中的描述来比照评估。

  银行应当依据自身特点,结合本行信息科技工作的特点以及每次IT审计的目的和范围,有选择地采用审计标准,同时,根据本行信息科技工作的水平分阶段地来实施标准中的要求。

  银行IT审计方法

  为了提升IT审计工作的效率和效能,实现有效的风险管理,笔者认为商业银行应当切实开展基于风险的IT审计工作。下面,笔者将介绍一个基于风险的银行IT审计的典型工作方法。

  一个基于风险的银行IT审计工作可以分为六个步骤进行,包括制定审计目标、确定风险领域、制定审计计划、设计审计程序、执行审计计划以及出具审计结果和管理建议(见图2)。其中,“确定风险领域”和“设计审计程序”是最为关键的环节。

  制定审计目标。银行IT审计委员会确定项目所采用的方法论、框架体系和审计目标,并对审计范围和资源配置进行说明,同时拟定最终的报告内容范围。
(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们