COBIT在工商银行信息系统审计工作中应用的探讨 - 管理文章.docxVIP

全面风险管理体系的现实需求.实施IT审计有力于商业银行信息系统项目的风险控制。加强对商业银行业务运营，取得了一些经验。商业银行在应用COBIT

全面风险管理体系的现实需求.实施IT审计有力于商业银行信息系统项目的风险控制。加强对商业银行业务运营

，取得了一些经验。商业银行在应用COBIT的具体过程中，要注意以下几点：1．从审计目的看，IT审计不

关过程中的控制目标入手，进行风险分析，得出与该过程相关的风险控制目标，再从风险控制目标中导出与该目标

际通行的做法,结合实际情况,确立自己的IT审计标准和规范。因而,我国商业银行也可应把目前国际上公认的

在商业银行数据大集中的形势下，银行信息系统面临着两种威胁：一是利用计算机舞弊，二是灾难性破坏。计算机舞弊现象不仅存在于系统开发阶段，更容易发生在维护阶段。总行数据中心一旦发生灾难性破坏，受到影响的将是全行范围的所有分支机构和所有业务，经济%信誉和法律的损失将无法估量。为此，工商银行的行领导非常重视，除了进一步加强信息科技部门自身的内部控制和采取必要的措施之外，还于2002年在内审部门成立了专职的IT审计处，重点对IT风险进行检查和控制，在IT审计方面做了一些有益的探索，取得了一些经验。

商业银行在应用COBIT的具体过程中，要注意以下几点：

1．从审计目的看，IT审计不仅包含对信息系统安全运行的状况提出评价，规避操作风险，更应该使组织中的IT战略符合企业的战略目标，规避由于信息技术发展给企业带来的战略风险。在这一方面，COBIT的审计范围几乎涵盖了所有与IT相关的活动。而其他几个国际标准则各有不同，BS7799侧重于与信息系统安全相关的活动，COSO则侧重于企业自身内部控制，ITIL则是着重IT系统的交付和支持。更为重要的是，COBIT就如何进行IT审计，给出了详尽的指导性建议。就其适用的对象而言，只有COBIT的适用用户包含审计师，是从审计人员的角度来全面阐述了如何对企业面临的IT战略风险和操作运行风险进行审计和规避。因此，应该按照COBIT要求的控制目标，尽早对银行相关的IT过程进行审计。

2．在应用COBIT标准时，应以COBIT为主，还要参照其他国际标准。COBIT作为一个IT治理的通用标准和信息系统审计的框架体系，与其他的国际IT标准并不冲突。审计师在以COBIT作为主要参照标准的同时，针对信息系统审计的不同方面，可以借鉴不同的国际标准。如在对商业银行数据中心安全方面进行审计时，可以参照BS7799中的相应内容，也可以参照SSE—CMM的标准来进行;在涉及信息系统的交付和支持时，则可以采用ITIL中的内容来对数据中心的相关活动进行评价和审计;在对数据中心内控机制的建设情况进行评价时，就可参照COSO中的相应条款来比照评估。

3．对COBIT标准的采用，应结合商业银行自身的实际情况有选择地实施。COBIT作为一个国际标准，比较强调其通用性，而对企业的具体情况有所忽视。在具体运用过程中，可依据自身特点，结合信息系统生命周期各个阶段的不同特点，有选择分阶段地来实施COBIT中所要求的内容。

4．在运用COBIT实施IT审计时，可从COBIT有关过程中的控制目标入手，进行风险分析，得出与该过程相关的风险控制目标，再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点，结合商业银行自身的技术特色，找出其所包含的风险检查点，风险检查点又可以组成对相关部分的检查表。针对检查的结果，与COBIT相关部分中的要求相比照，找出相关的薄弱点，并就此提出相应的改进意见。风险控制目标和风险检查点之间的推导方式主要有两种，一种是自下而上，即从具体的管理过程或技术实施措施入手，从中得出相应的风险控制点，对相应的风险控制点进行提炼，最后得到风险控制目标;一种是自上而下，从风险控制目标出发，将其进行分解，得到相应的风险控制点并对其进行细分，直到能够直接得出检查点为止。最后将得到的风险控制目标与COBIT相关过程的控制目标相比较，以确保整个信息系统审计目标的完整性。

标准。COBIT作为一个IT

标准。COBIT作为一个IT治理的通用标准和信息系统审计的框架体系，与其他的国际IT标准并不冲突。审

身内部控制，ITIL则是着重IT系统的交付和支持。更为重要的是，COBIT就如何进行IT审计，给出了

专业审计规划，制定年度工作目标及三年、五年风险控制目标，并与信息化建设发展相适应，形成IT审计标准方

，并就此提出相应的改进意见。风险控制目标和风险检查