基于COBIT银行IS控制构建.docVIP

基于COBIT的银行IS控制构建 　　【摘要】 随着我国金融业信息化程度的不断提高，商业银行信息系统安全性、稳定性以及效益性显得尤为重要。文章基于IT治理视角，合理借鉴COBIT（信息及相关技术控制目标）标准中有关信息系统控制目标体系构建的基本思路，结合对我国商业银行信息系统运行背景的分析，初步构建了符合我国实际的商业银行信息系统控制框架，并进一步提出信息系统控制实践中的“三维整体性”概念。 　　【关键词】 COBIT； IT治理； IS控制 　　 　　一、引言 　　 　　随着我国金融信息化程度的不断提高，银行业逐渐成为国民经济中信息技术应用最密集、应用水平最高的行业之一。国内外大量实践表明，随着信息技术在银行业的综合应用，商业银行信息系统的安全及运行效率等问题将面临更多挑战，由于系统运行失效而导致的负面影响也不断增加。与商业银行信息化的迅速发展相反，我国至今尚未对信息化过程中出现的各类问题给予足够重视并实施有效监管，对商业银行信息系统运行的相关监管标准也基本上属于空白。为此，有必要深入关注商业银行的IT治理问题，从商业银行信息系统“整体”出发，构建一整套控制框架，一方面使商业银行的IT治理战略充分体现其商业战略目标，另一方面有效地对商业银行信息系统存在的风险和运行质量进行量化预测和评价，从而尽可能降低信息系统风险、提高系统安全水平与运行效率，并进一步提升商业银行的整体竞争力。 　　 　　二、信息系统控制原理及COBIT标准解读 　　 　　（一）信息系统控制原理 　　信息系统控制涉及组织的IT运营效率、风险管理、系统安全、业务连续性、系统完整性、规章依从性以及价值创造等多方面的内容。如何最大限度地降低信息技术对业务的负面影响，信息系统如何充分为企业战略目标服务，如何获得IT价值最大化，是每个企业都必须要直接面对的信息系统安全与IT治理问题。 　　基于IT治理的理论视角，笔者认为，信息系统控制应当是一系列管理、规划、绩效报告及流程审查过程的集合。企业信息化进程中面临的一个关键挑战就是：组织对IT治理的需求达到了什么程度，什么情况下才算充??。信息系统控制目标的实现及相关控制实践活动的实施，更需要有专业而适用的标准指南进行指导。目前国际上流行的信息系统控制相关标准/最佳实践有十余种之多，如COBIT、COSO、ITIL、ISO/IEC 17799、ISO/IEC TR 13335、PRINCE2、PMBOK、TickIT、TOGAF8.1等，它们涉及的领域、范围及深度各有不同。 　　（二）COBIT标准及其应用解读 　　与其他控制标准相比，国际信息系统审计与控制协会（ISACA）面向全球公开发布的COBIT（信息及相关技术控制目标）标准无论在应用范围的广度、技术深度、灵活性、适用性以及标准兼容性等方面都凸显优势，它提供了一套权威的、全球通用的标准体系，旨在规范并提高IT治理水平、有效防范控制风险以及增加信息技术价值等。 　　 　　COBIT标准体系的构建最初出发点来源于公司治理与内部控制视角，它接受并遵循COSO报告关于内部控制框架的指导思想，实现了企业目标与IT治理目标的有机统一，同时借鉴CMM的能力成熟度模型，并以此为“基准”来衡量IT控制和绩效水平。基于实践过程的需要，COBIT控制目标体系从组织的商业需求出发，整合IT资源，通过执行一系列IT流程及相关测评活动来传递企业信息，以满足商业需求。考虑到COBIT标准应用中的灵活性和可操作性，本文将标准原有的“立方体”式理论模型重新整合划分为三大功能模块，即“控制活动、流程设计模块”、“系统评价模块”和“信息系统审计模块”，如图1所示，从而更进一步突出反映COBIT控制目标体系的功能性和实践路径。 　　考虑到COBIT标准在国内商业银行特定信息系统运行环境下的适用性和实用性，本文对我国商业银行信息系统控制存在的主要问题和特定要求进行逐一分析，据以提出银行信息系统控制目标，进而初步构建我国商业银行信息系统控制框架体系。 　　 　　三、商业银行信息系统控制框架初建 　　 　　（一）我国商业银行信息系统控制缺陷分析及控制目标设定 　　商业银行信息技术和信息系统控制主要是指对商业银行通过实施信息技术工作过程的控制目标和相关控制活动，对信息技术和系统风险进行有效识别和实时监控，保证系统的安全高效运行和过程改进，从而为商业银行各项业务活动、管理活动和支持活动提供有效、安全、可靠的信息技术服务。目前，我国商业银行信息系统控制主要存在以下几方面问题： 　　首先是IT监管风险问题。商业银行信息系统自身的安全性、可靠性及有效性等直接关系到整个银行业的安全，乃至整个金融系统的稳定性，应当执行一整套信息系统评估机制，提升并完善IT组织职能，加强IT审计的实