COBIT与商业银行的IT审计.pdfVIP

COBIT与商业银行的IT审计

来源：CIO时代网

伴随着我国商业银行信息化建设的不断深入和飞速发展，信息已经成为商业银行可持续

发展的重要基础性资源。信息技术已不再是单纯的业务实现手段和支持方式，而逐渐成为商

业银行战略规划、投资决策所必须考虑的重要因素之一。信息技术在为商业银行提供了大量

便利的同时，也带来了巨大的操作、法律和信誉风险。因此，如何管理好信息与信息资源，

如何充分利用信息技术保证银行在竞争日趋激烈的金融市场中占据优势，是摆在银行高级管

理人员面前的一个课题。

商业银行的ＩＴ审计是加强商业银行内部控制的有力手段，它不仅能有效促进商业银行

核心业务系统的安全平稳运行，而且通过对ＩＴ战略目标与商业银行总体发展目标的一致性

评估，可以最大限度地规避战略风险、投资风险和运行风险，保证商业银行的可持续发展。

一、ＩＴ审计的内涵

目前，国内外商业银行的数据集中已成为必然的发展趋势。数据的集中给商业银行的决

策层提供了及时、准确、全面的信息资源和有效的基础平台，实现了银行业务数据与营业机

构的分离，为银行的管理集中和科学运营奠定了坚实的基础。同时，数据的集中也带来了Ｉ

Ｔ决策风险、信息系统建设投资风险、信息系统运行维护风险的相对集中。如何有效地规避

上述风险，并对其内控措施的有效性进行评估，是商业银行每位高级管理人员都非常关心的

问题。商业银行ＩＴ审计不仅能够满足上述需要，而且还能对信息科技队伍的建设情况、运

行效率等诸多内容做出相应的评价，以确保信息发展与银行发展战略目标的一致性。

商业银行ＩＴ审计的范围覆盖了全行所有系统的应用领域，以及信息系统整个生命周期

中的所有活动和所有资源。与信息系统的建设不同，ＩＴ审计更关注风险的规避、管理和控

制。其主要内容包括银行ＩＴ战略规划审计、银行信息系统需求获取和开发过程审计、系统

交付后技术支持和运行维护审计、对整个系统生命周期中相关管理活动的审计、对相关过程

中文档管理的审计、对相关人员的审计、对外部委托业务的审计、对灾难恢复和业务持续性

计划的审计等内容。商业银行ＩＴ审计是以风险管理为基础，按重要性和成本效益性原则，

在信息系统生命周期的全过程中，通过实施一般控制审计和应用控制审计，对相关证据进行

采集和评价，用以判断信息系统的资产安全、数据完整以及资源的有效利用，并对ＩＴ战略

规划与银行总体规划的一致性进行评价。它综合运用ＩＴ技术与审计理论及方法，为商业银

行战略目标的实现提供合理的保障。

商业银行通过ＩＴ审计，可以实现以下目标：

１。促进商业银行公司治理战略目标与ＩＴ发展战略目标的高度一致。在金融业竞争非

常激烈的今天，商业银行的经营战略目标必须紧随市场的变化而变化，同时，ＩＴ技术和应

用也在日新月异地发展，通过ＩＴ审计能够评价两者之间总体目标的一致性，并能就两者之

间的差异给出相应的咨询建议。

２。优化资源配置，实现在银行内部的合理存储、共享和利用。通过正确的信息战略的

制定和实施，使商业银行获得比较优势，促进和保障各类资源、资本在银行内部各个环节上

的合理分配和利用。通过选择正确的技术架构和必要的手段，优化资源的有效配置，提高信

息系统效用，促进商业银行快速持久发展。

３。帮助董事会或高级管理层提高决策效率和决策的正确性。ＩＴ审计能够整体识别、

评价全行面临的ＩＴ风险以及这些风险在全行范围的分布、影响、危害等。根据这些风险的

具体情况，进行风险评估，为银行高级管理层提出客观、明确的建议和方案，督促相关部门

采取措施，确保银行核心业务系统的安全稳定运行，从而为全行业务的快速稳定发展提供保

证。

４。通过科学、规范、独立而实效的ＩＴ审计，在国内外银行界树立良好的风险控制形

象，增强国内外战略投资者和所有利益方的信心，进而推动国有商业银行股改上市的步伐。

二、ＣＯＢＩＴ简介

当前，国际普遍应用的ＩＴ相关标准众多，有ＩＴ硬件技术标准、软件实现标准、网络

通信标准、ＩＴ服务标准，还有涉及ＩＴ系统安全及安全工程的标准等，但有关信息系统管

理及如何对信息系统进行审计的标准相对较少，ＣＯＢＩＴ（ＣｏｎｔｒｏｌＯｂｊｅｃ

ｔｉｖｅｓｆｏｒＩｎｆｏｒｍａｔｉｏｎａｎｄｒｅｌａｔｅｄＴｅｃｈｎｏｌｏ

ｇｙ，信息及相关技术的控制目标）就是其中的一个多方面兼而有之的标准。ＣＯＢＩＴ是

信息技术安全与审计组织（ＩＳＡＣＡ）在１９９６年公布的信息系