基于COBIT框架的商业银行信息系统审计研究_陈思懿.pdf

51SI LU JING JI YAN JIU 基于COBIT框架的商业银行信息系统审计研究文/陈思懿摘要：随着大数据时代的到来和计算机行业的迅猛发展，信息系统已逐渐成为商业银行健康运营和稳步发展的重要因素，其安全性、可靠性及有效性对于商业银行持续健康发展至关重要。本文基于 COBIT5.0框架对商业银行信息系统审计进行分析，具体探讨了商业银行信息系统的特征、审计风险点以及 COBIT5.0框架对信息系统审计工作的指导作用，以期能为商业银行信息系统审计实务工作开展及改进提供参考。关键词：信息系统；信息系统审计；商业银行；COBIT5.0一、引言毫无疑问，信息技术是一把“双刃剑”，其对于商业银行业务流程、经营方式和组织结构的深刻变革，为商业银行的发展带来竞争优势和经济效益的同时，也伴随着各种与信息系统休戚相关的风险，负面作用造成的经济损失和社会波动不容忽视。为有效遏制信息系统风险、避免信息技术的反作用，对于商业银行信息系统控制和管理，国内相关金融机构监管部门和国际组织均予以高度重视。为推动银行业信息科技风险管理高水平发展，2009 年 6 月，银监会发布商业银行信息科技风险管理指引；2014 年 12 月，中国注册会计师协会制定商业银行审计指引，明确将商业银行信息系统内部控制作为重要的审计内容；2016 年4 月，银监会印发商业银行内部审计指引，明确指出商业银行不应当缺少围绕信息系统持续性、可靠性和安全性三大目标的内部审计事项；国际信息系统审计与控制协会（ISACA）颁布 COBIT 框架。鉴于金融行业信息化进程先于其他行业，本文选择商业银行作为研究对象，探索当前商业银行信息系统控制薄弱点以及信息系统审计局限性，结合 COBIT框架确定信息系统审计事项的重点和实施要点，以期推进商业银行更好地开展信息系统审计工作。二、文献综述（一）信息系统审计相关研究1.信息系统审计定义。从信息系统审计演进历程来看，大致经历了开端、发展、成熟和普及四个阶段，从早期的会计电算化、EDP（电子数据处理）审计发展至现如今的信息系统审计，其世界范围内的演进历程已超过半个世纪。美国信息系统审计领域权威专家Ron Weber 将信息系统审计定义为通过评估已收集的与信息系统相关的证据，判断被审计单位信息系统能否实现维护资产安全、数据真实完整和实现组织目标的过程。国际权威组织 ISACA 对于其定义与学者 Ron Weber大致相同，都是当前相对具有代表性的概念界定。2.信息系统审计内容。随着研究的不断深入，信息审计系统内容逐渐由财务领域相关的信息系统扩展至与经营活动相关的所有信息系统。从现有研究成果来看，学者们大多从信息系统生命周期和信息系统管理两个视角划分信息系统审计内容，大致划分为系统开发审计、系统运营维护审计、内部控制系统审计及数据文件审计。此外，也有学者在系统过程控制审计框架上依照结构性原理，探究扩展构建信息系统结构控制框架，从而促进完整的信息系统控制审计框架建立。3.信息系统审计技术方法。尽管当前未建立起一整套完整、标准的信息系统审计技术方法，但经过理论界与实务界多年的探索，已经积累起了许多方法和技术以推动审计目标的实现，其中包括测试数据法、并行模拟法、控制流程图法、数据挖掘技术和信息安全测试技术等。（二）COBIT 框架研究Control Objectives for Information and Related Technology，一般将其简称为 COBIT，涉及对象包括企业高管、信息系统用户、审计人员、业务经理、内控及安全人员等，是以业务为核心、以流程为导向、以测量为驱动的，聚焦控制需求、技术问题和商业风52丝路经济研究险三者关系的 IT 控制框架，实现了企业战略目标和信息技术目标互联互通、相辅相成。COBIT 控制框架的优越性和普适性在于：首先，它并非对信息系统的独立测量，而是综合了企业自身的战略目标、总体业务计划以及相应的业务环境，IT准则的确定立足于以上要素的整体考量，作为 IT 工具应用的指导规范，利用控制目标模型，分别从定位、计划和组织，构建、购置和实施，交付、服务和支持，监控、评价和评估等过程环节管理和统筹信息资源；其次，COBIT 运用平衡记分卡的方式实现可持续追踪的信息系统业绩衡量，促进企业在资源管理、客户关系维护、内部网以及知识管理等方面取得动态平衡，并有针对性地评价相关目标的实现情况以及对应的信息系统的绩效，进而调整业务目标和 IT 战略，并进行持续的 IT 管理；最后，从内容上来看，COBIT 框架覆盖了信息系统生命周期的全过程。三、COBIT 框架下的商业银行信息系统审计分析（一）商业银行信息系统介绍目前，计算机信息系统在商业银行中被广泛使用，主要作用于业务处理、会计记录和一定的管理活动。金融行业信息化进程不断推进，银行业务形式和内容创新、管理组织模式创新、体制机制创新。在此背景下，商业银行信息系统伴随需求的提升而不断扩大，既包含核心业务系统、后台应用支持系统，也包括银行内部组织管理系统。由于商业银行业务的复杂性、特殊性和银行机构的多样性，每个商业银行的信息系统实际情况各不相同，审计前审计人员要做好充分的审前调查，了解各信息系统具体情况。（二）商业银行信息系统给审计业务开展带来的挑战与传统审计业务审查财务报表不同，信息系统带来的变革不仅是审计数据存储、处理方式的变化，其影响是大范围、多方面、深层次的。首先，数据基础发生了实质性变化，相应的技术手段、应对措施也应随之改变。信息系统环境下，大量数据以电子形式存储于计算机之中，审计工作使用传统的审计方法和技术手段无法实现预期审计目标，因此必须运用新手段、新技术、新方法以应对客观需要；其次，信息系统审计相较传统审计，审计难度显著提升。在计算机信息系统条件下，信息系统是否能够有效运行、数据文件是否真实可靠和完整，此类判断内容复杂、所需专业水平要求高，对审计人员的能力需求不仅局限于会计、审计领域，审计人员还需掌握一定的信息技术、计算机知识，以便作出更科学、合理的职业判断；再次，企业内部控制程序发生了变化。计算机信息系统环境下，数据处理方式、账务处理程序由计算机替代手工操作，原有的内部控制程序相应地也可能不再适用，因而需要更新内部控制系统，使用新的技术和衡量标准，对信息系统环境下的内部控制进行测试；最后，由于信息系统审计所需技术新、审计难度高，需组建专门的有专业水平的信息技术团队。（三）COBIT 框架下商业银行信息系统审计风险应对COBIT5.0 基本框架有三项值得重点关注：一是流程参考模型，该模型将企业的流程领域分为两个主要部分：IT 治理和管理。进行信息系统审计时根据银行需要，选择影响大、效果显著的流程，构建信息系统审计框架；二是五项关键原则，这些原则制约商业银行在进行 IT 治理和管理时需满足以下要求：实现利益相关者需求、采用综合的方法、运用单一集成框架、端到端覆盖和区分管理与治理；三是成熟度模型，COBIT5.0 使用该模型，对每一项流程进行评级，依照等级进行打分衡量，该项流程是否能实现既定目标、是否能够得到有效执行、是否能够提供预期可实现的成果是分数评级的重要依据，审计人员可以运用该方法对流程进行检查、分析和评估，探究是否存在影响信息系统运行的问题，并有针对性地提出相应的解决方案。具体而言，COBIT5.0 框架对商业银行信息系统审计的指引作用体现在以下几个方面：1.COBIT5.0 框架为商业银行信息系统审计提供明确的审计目标和审计范围。以提升商业银行信息系统业务处理能力、组织管理能力、实现价值增值为目标开展信息系统审计，实现对商业银行信息系统内部缺陷、风险隐患的深入挖掘，（下转 55 页）55SI LU JING JI YAN JIU 焕发生机，企业经营的规模及竞争力得到了极大的提升，企业整体的管理结构逐渐完善，经济效益不断提升，使得并购重组工作发挥出其应有的作用。面对并购重组中的税务风险问题，需要相关人员结合当前的政策方针，分析影响并购重组工作的因素，强化风险管控力度，减少企业的税务压力，实现企业良性、健康的发展。（作者单位：深圳市福荟新能源开发有限公司）参考文献1 罗怡琪.企业并购重组税务筹划的常见方法 J.经济研究导刊,2020(11):159-160.2 张威威.浅谈并购重组的企业所得税税务风险J.中国市场,2020(23):94-95.3 谢同海.企业并购重组过程存在的问题及解决对策分析 J.中国商论,2020(04):161-163.（上接52页）为更好地定义审计目标和范围，可以运用COBIT5.0框架下的治理和管理目标分层剖析商业银行信息系统情况，并以此设定审计目标。审计人员利用该框架下的流程域建立更加具体化、特殊化、有针对性的IT目标，根据这些目标进一步细化被审计银行的业务流程目标和相关治理、管理活动目标，并依照目标开展审计工作。2.依照 COBIT5.0 框架制定审计评价标准。商业信息系统审计可以参照 COBIT5.0 框架下的流程成熟度评估模型，判定银行相关流程能力的级别，按照 0级到 5 级的标准定义流程。明确的划分结果能够帮助商业银行自身确定业务流程水平和管理能力的高低，寻找特定流程改进的空间和方向，也便于不同时期的“能力”进行比较，推动其不断优化自身程序、提高治理和管理水平。依照上述从 0 级到 5 级的流程能力评定标准对商业银行信息系统进行评估，审计人员能够针对性地揭示不完善、有漏洞的流程。值得注意的是，不同流程对应的评价内容并不一致，整体上依照COBIT5.0 框架成熟度模型进行级别判定，但也要结合具体目标要求进行评价。3.优化当前商业银行信息系统审计流程。实际上，当前已有部分商业银行开始借鉴 COBIT 框架进行信息系统审计工作，利用该框架所描述的信息化建设、信息资源管理与控制的相关标准作为审计标准，构建起商业银行、利益相关者、信息系统审计三者勾稽关系，有效实现技术水平、控制管理需求和商业银行风险三方平衡，满足商业银行管理需求。行业内其他商业银行应当立足于金融行业信息化的大背景、大趋势，结合自身实际情况，参照 COBIT 框架优化其信息系统审计流程，确定关键性流程，并进行重点分析、细致评估。4.为信息系统审计提供先进技术和培育优秀人才。COBIT5.0 框架下的治理和管理流程实际上对于审计人员专业知识和技能需求很高。信息系统审计项目组需要包括信息技术、计算机方面的专家，运用其专业知识熟悉商业银行业务处理、管理活动流程，以高专业性、高技术性水平完成审计工作。（作者简介：陈思懿，南京审计大学，研究生。）参考文献1 吴沁红.信息系统审计内容分析 J.财会月刊，2008(30)：62-63.DOI:10.19641/ki.42-1290/f.2008.30.035.2 庄明来.计算机审计与信息系统审计之比较 J.会计之友(下旬刊),2010(05):82-85.3 张庆龙,内部审计学 M.中国人民大学出版社,2017.4 周德铭,曹洪泽.信息系统结构控制审计框架研究 J.审计研究,2014(05):32-37.