COBIT在工商银行信息系统审计工作中应用的探讨.docx
《COBIT在工商银行信息系统审计工作中应用的探讨.docx》由会员分享,可在线阅读,更多相关《COBIT在工商银行信息系统审计工作中应用的探讨.docx(9页珍藏版)》请在冰豆网上搜索。
COBIT在工商银行信息系统审计工作中应用的探讨
COBIT在工商银行信息系统审计工作中应用的探讨
Hits:
1193
COBIT在工商银行信息系统审计工作中应用的探讨
在商业银行数据大集中的形势下,银行信息系统面临着两种威胁:
一是利用计算机舞弊,二是灾难性破坏。
计算机舞弊现象不仅存在于系统开发阶段,更容易发生在维护阶段。
总行数据中心一旦发生灾难性破坏,受到影响的将是全行范围的所有分支机构和所有业务,经济%信誉和法律的损失将无法估量。
为此,工商银行的行领导非常重视,除了进一步加强信息科技部门自身的内部控制和采取必要的措施之外,还于2021年在内审部门成立了专职的IT审计处,重点对IT风险进行检查和控制,在IT审计方面做了一些有益的探索,取得了一些经验。
商业银行在应用COBIT的具体过程中,要注意以下几点:
1.从审计目的看,IT审计不仅包含对信息系统安全运行的状况提出评价,规
避操作风险,更应该使组织中的IT战略符合企业的战略目标,规避由于信息技术发展给企业带来的战略风险。
在这一方面,COBIT的审计范围几乎涵盖了所有与IT相关的活动。
而其他几个国际标准则各有不同,BS7799侧重于与信息系统安全相关的活动,COSO则侧重于企业自身内部控制,ITIL则是着重IT系统的交付和支持。
更为重要的是,COBIT就如何进行IT审计,给出了详尽的指导性建议。
就其适用的对象而言,只有COBIT的适用用户包含审计师,是从审计人员的角度来全面阐述了如何对企业面临的IT战略风险和操作运行风险进行审计和规避。
因此,应该按照COBIT要求的控制目标,尽早对银行相关的IT过程进行审计。
2.在应用COBIT标准时,应以COBIT为主,还要参照其他国际标准。
COBIT
作为一个IT治理的通用标准和信息系统审计的框架体系,与其他的国际IT标准并不冲突。
审计师在以COBIT作为主要参照标准的同时,针对信息系统审计的不同方面,可以借鉴不同的国际标准。
如在对商业银行数据中心安全方面进行审计时,可以参照BS7799中的相应内容,也可以参照SSE―CMM的标准来进行;在涉及信息系统的交付和支持时,则可以采用
ITIL中的内容来对数据中心的相关活动进行评价和审计;在对数据中心内控机制的建设情况进行评价时,就可参照COSO中的相应条款来比照评估。
3.对COBIT标准的采用,应结合商业银行自身的实际情况有选择地实施。
COBIT作为一个国际标准,比较强调其通用性,而对企业的具体情况有所忽视。
在具体运用过程中,可依据自身特点,结合信息系统生命周期各个阶段的不同特点,有选择分阶段地来实施COBIT中所要求的内容。
4.在运用COBIT实施IT审计时,可从COBIT有关过程中的控制目标入手,
进行风险分析,得出与该过程相关的风险控制目标,再从风险控制目标中导出与该目标相关的风险控制点。
针对每个风险控制点,结合商业银行自身的技术特色,找出其所包含的风险检查点,风险检查点又可以组成对相关部分的检查表。
针对检查的结果,与COBIT相关部分中的要求相比照,找出相关的薄弱点,并就此提出相应的改进意见。
风险控制目标和风险检查点之间的推导方式主要有两种,一种是自下而上,即从具体的管理过程或技术实施措施入手,从中得出相应的风险控制点,对相应的风险控制点进行提炼,最后得到风险控制目标;一种是自上而下,从风险控制目标出发,将其进行分解,得到相应的风险控制点并对其进行细分,直到能够直接得出检查点为止。
最后将得到的风险控制目标与COBIT相关过程的控制目标相比较,以确保整个信息系统审计目标的完整性。
七、我国商业银行IT审计发展的几点思考
商业银行IT审计应审时度势,紧密联系经营的新形势、新特点,遵循先进的国际审计标准,突出技术特色和风险导向,大力开展非现场IT审计。
1.紧密围绕银行的经营需求,推动银行的公司治理及IT治理。
目前金融市场的竞争进一步加剧,需要进行全面的风险管理,对内部控制和内部治理也应进行彻底性的变革。
IT审计在这场变革中,要把握方向,加快体系建设,提高审计层次,促进IT治理,推动公司治理。
因此,一方面,商业银行要切实落实《金融机构计算机安全保护工作暂行规定》要求,合理安排基础设施和安全防范措施。
要充分重视IT内部审计的作用,发挥审计对安全管理的内控作用,在引入IT审计后,加快完善公司治理机制,并保证内审的独立性。
成立信息系统
风险控制委员会,定期对信息系统风险管理情况进行研究,推进IT审计中的故障发现、评估和风险控制措施的落实,督促指导IT审计组的工作。
另一方面,监管部门应加强对金融企业的IT审计的监管,将IT安全作为监管的重要内容,将IT审计作为评价其安全性的重要因素,通过现场及非现场检查对商业银行等金融企业进行督促。
同时,国家审计在金融计算机审计方面发展迅速,电子数据的采集分析等方面已有相当高的水平,但在对针对金融企业信息技术本身的审计方面,还应予以加强。
2.建立商业银行IT审计规划。
恰当的IT审计方案与规划是IT审计工作的核心基础,是保证审计目标实现,以及达到相关审计效果的关键。
商业银行在引入IT审计后,应对全系统信息系统建设设计整体的专业审计规划,制定工作目标及三年、五年风险控制目标,并与信息化建设发展相适应,形成IT审计标准方案和计划。
商业银行IT审计方案与计划应包括:
商业银行的信息系统现状分析、商业银行的内部控制现状初步评价、IT审计的性质与范围、审计工作的组织安排、审计风险评估、审计费用与成本、实施时间计划、IT审计方法、审计协调与沟通机制等。
IT审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容,进行取证、测试与评价,最终形成IT审计报告。
3.遵循国际通行准则,建立国际标准框架下具有各行特色的标准和规范体系。
从国际同业的实践看,国际大型商业银行大多都在自己的IT审计体系下,遵循国际标准或规范,按照国际通行的做法,结合实际情况,确立自己的IT审计标准和规范。
因而,我国商业银行也可应把目前国际上公认的最先进、最权威的IT审计标准―――COBIT作为核心标准,同时借鉴《巴塞尔协议》、BS779
9、COSO(CommitteeofSponsoringOrganizationsoftheTreadwayCommision)、《萨班斯―奥克斯利法案》等其他国际标准和原则,进而确立适合各行的IT审计目标、对象、范围、方法、流程等,具体指导IT审计工作。
同时,应进一步明确IT审计的技术角色,突出IT审计的技术特色,根据商业银行信息系统的技术架构和特点,结合审计资源条件,确立IT审计对应的技术角色架构。
可以考虑将IT审计的技术角色划分为应用、系统、网络及硬件三个大类。
不同的技术角色分别负责信息系统生命周期中不同阶段的不同技术领域的控
制、分析和评价,确立控制风险分布和控制重点,建立相应的风险评估指标,制定有效的控制检查表和检查点,提高商业银行IT审计的专业化水平。
4.建立合理的IT审计管理模式。
现阶段,商业银行开展IT审计应将现场审计与非现场审计有效结合,并利用好不同审计模式下取得的成果,形成互补。
通过考察国际银行业界的IT审计技术和手段,可以断定,借助先进技术实施非现场审计已是大势所趋。
IT审计可以通过采用灵活的、可配置的审计模型及数据分析探测工具,构筑起科学、有效的风险分析、监测、评价体系,进一步加强商业银行IT审计的非现场审计,推动商业银行的审计信息化建设。
但在审计开展过程中,要注意加强风险管理,规避IT审计风险。
在关注重要性的同时,要力求效益性,防止因审计不当导致银行新的风险发生。
5.加强注册信息系统审计师(CertifiedInformationSystemAuditor,简称CISA)和IT审计专业人才的培养。
从当前商业银行审计人员素质来看,还不大适应IT审计的要求。
这主要归结于在IT环境下商业银行内部审计人员工作发生的一系列重大变化,对内部审计人员素质要求进一步提高。
首先,内部审计人员需要以内部控制专家的身份参与开发小组并监督计算机信息系统开发过程中的各项活动。
其次,内部审计人员应及早参与到计算机系统的实施过程,提出宝贵意见和建议。
因此,内部审计人员必须不断地注视信息技术的发展,掌握新方法与新技能,了解现代信息技术的用途及其对企业管理与信息处理的影响,使信息技术成为实施审计监督和加强控制的有力工具,并在现有的基础上掌握经营方面的重要知识和技能,以增强在经营领域的运作。
目前虽然外包IT内审的条件不成熟,但IT业务外包是社会化分工的趋势,从长远来看,商业银行应增加IT技术尤其是通用技术的外包,将各系统行大批内部IT开发人员适当转化为固定的IT内部审计人员,从而进一步提高内审质量。
6.进行IT审计人员的技术角色划分,突出IT审计的技术特色。
根据各商业银行自己的信息系统技术体系及IT审计资源,划分不同的IT审计技术角色,突出IT审计的技术特色,提升IT审计层次。
首先应分析掌握信息系统的技术和管理架构的特点,然后结合现有的审计资源,根据一般控制、应用控制和信息安全审计的要求,确立IT审计对应的技术角色架构。
可以初步将技术角色划分
为三个大类,即应用类技术角色、系统类技术角色、信息和网络安全类技术角色。
不同角色审计人员负责对信息系统中不同技术领域进行审计,建立各自的控制风险分布和重点的模型,并制定相应的风险评估指标,确定有效的风险控制检查表和检查点。
形成以三大技术分类为主线,全面覆盖全行信息系统各个部门和信息系统发展生命周期全过程的IT审计的技术体系。
7.推行风险管理,突出IT审计的风险导向。
现阶段,在复杂的信息系统技术和管理环境下的IT审计无疑是有一定审计风险的。
因此,IT审计更要重视风险管理,规避审计风险,在注重重要性的同时,要讲究效益性,这也是在今后相当长的时间里要充分重视的。
在目前商业银行的环境下,信息系统的审计应该是以风险管理为基础,按照重要性原则,对信息系统进行的一般控制审计和应用控制审计,并且贯穿了信息系统生命周期的全过程。
商业银行IT审计工作应该按照先进的国际标准的要求,本着科学、独立、审慎的精神,依据各商业银行的实际情况来进行,只有这样,才能达到IT审计真正目的。
通过信息系统审计(IT审计),及时识别风险,完善控制措施,是商业银行构建全面风险管理体系的现实需求.实施IT审计有力于商业银行信息系统项目的风险控制。
加强对商业银行业务运营风险的防范。
促进商业银行业务流程再造BPR(BusinessProcessReengineering,)。
总之,在银行系统开展信息系统审计工作,是银行控制风险的的重要手段,在新形势下,银行要健康发展,就要积极迎接挑战、应对不断出现的新风险,防患于未然,才能抓住网络经济时代给银行带来的新机遇,迎来银行业的新发展。
第三篇:
风险导向审计理论在人民银行内部审计中的应用探讨
风险导向审计理论在人民银行内部审计中的应用探讨
风险导向审计是在账项基础审计和制度基础审计上发展起来的一种审计模式,是指审计人员在对被审计单位的内部控制充分了解和评价的基础上,分析、判断被审计单位的风险所在及其风险程度,把审计资源集中于高风险的审计领域,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到最低水平。
人民银行自成立内审部门以来所开展的各项审计,已经延用了风险导向审计理论,但是在实际应用中,仍以合规性审计为主,风险导向性审计没有形成系统的理论和操作程序。
随着金融业的不断发展,实行风险管理,防范和化解金融风险已成为人民银行的指导思想,人民银行内部审计部门如何将审计方法由传统的合规性审计向以加强和改善组织风险管理为目标的风险导向审计转变,已成为一个亟须解决的问题。
一、风险导向审计在人民银行审计工作中应用的必要性
(一)金融风险的存在,要求将风险导向审计方法应用在人民银行审计工作中
随着金融全球化趋势的逐步加深,金融风险也不断加剧和分散,如何制定正确的货币政策和管理决策,防范和化解金融风险,保证金融业健康稳定发展,传统的审计理论与方法已不能完全适应形式发展需要。
人民银行内部审计工作必须适应金融形势的发展和变化,应用风险导向审计方法,在深入分析判断不同层面和业务领域风险状况的基础上,确定审计重点。
并使内部审计能够通过风险评估的结果、建议,直接影响人民银行管理政策的制定,确保人民银行风险管理目标与业务发展目标的一致性,力求从源头上忧咳嗣褚行的风险管理?
SPANlang=EN-USstyle="COLOR:
red"
(二)实施风险导向审计是完善人民银行内部控制机制的需要
在人民银行现行管理模式中,风险的管理与控制是人民银行内部控制的重要组成部分,若要建立健全风险管理机制并使之有效运行,则需要内审部门通过对风险适当性和有效性的审计评价,来改善风险管理机制及运行中不完善部分,促进各职能部门更好履行职能,实现人民银行的各项目标。
近期出台的《中国人民银行分支机构内部控制指引》指出:
“内部控制是指中国人民银行上海总部、各分支行通过制定和执行一系列具体的制度程序和方法,对相关风险进行识别、分析和应对的机制和动态过程”。
因此,实施风险导向审计是完善人民银行内部控制机制的需要。
(三)央行个案危害的具大性,使风险导向审计在审计实务中越来越重要
人民银行担负着制定和执行货币政策、发行人民币、经理国库和联行资金清算等到职责。
每个职责领域发生了舞弊案件,都会给国家造成了具大损失,如2021年人民银行建湖县支行沈建等人挪用联行资金6350万元案、2021年人民银行西宁中心支行陈志清贪污国库款1549万余元等。
这些案件的发生,反映了人民银行内部控制存在着重大缺陷,要求内审部门关口前移,从以合规审计为主到以风险评估和控制为主,加强风险评估程序,及时发现控制弱点和舞弊苗头,实施风险控制。
二、风险导向审计在人民银行内部审计中应用的设想
(一)以《中国人民银行分支机构内部控制指引》、《中国人民银行内审工作制度》和风险预警制度等为指导,运用风险导向审计的模式,建立人民银行审计操作程序。
《中国人民银行分支机构内部控制指引》指出:
“风险评估指识别和分析相关风险并确定应对策略,是选择恰当的控制活动的关键。
分支机构应通过科学、有效、可行的风险识别、分析和应对,对相关风险进行持续监控和有效管理,将相关风险控制在合理的范围内”。
一是在编制审计计划时,应该在对可能影响被审计单位的风险进行评估的基础上,制定审计计划,确定审计项目。
二是确定审计范围时,要考虑并反映辖区人民银行整体性工作目标,并每年对审计范围进行一次评估,确定高风险范围。
三是编制审计方案时,应突出风险评估的内容,不仅要注重现实的风险,更要注重风险隐患。
四是在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节。
五是以风险大小作为确定追踪审计范围的重要因素,风险越大,追踪审计的范围就越广。
六是在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。
(二)准确确定审计的重点和范围,提高审计效率,有效地降低审计风险
从人民银行的现状来看,经济犯罪案件和重大违法违规问题是危害严重、影响广泛的金融风险,近年来暴露的系统内多起经济犯罪案件都证实了这一点。
因此,审计重点一是要对内部控制制度的健全性和有效性进行评审。
针对人民银行规模大、地域分布广、分支机构众多、潜在操作风险较高的情况,应以检查内部控制和风险管理作为审计的切入点,对内部控制制度的健全性和有效性进行测评,以揭露问题,堵塞漏洞,促进人民银行完善内部控制机制,加强内部管理,防范风险。
二是将财务会计、支付结算、发行、国库业务等高风险领域列为审计重点。
对上述业务的政策、制度、操作程序;重要凭证、印章、密押(钥);内外对账,及定期查库、查账情况进行严格规范,保证内部控制制度覆盖所有风险点,及时发现潜在的风险,迅速采取措施予以消除。
(三)实现审计手段电子化,提高审计工作水平
人民银行电子化、网络化发展迅速,数据集中程度较高,基本形成了以计算机网络为中心的业务处理系统,因此,内部审计应提高电子化运用范围及运用水平。
一是要在业务处理系统和管理信息系统中设Z审计接口,并建立包括有关金融法律法规、业务处理、市场信息的数据资料库,使审计人员在对固有风险的评估时,能够及时获得必要的审计线索。
二是运用计算机技术,进行内部控制风险的评估,确定标准内控的模型,并经常调整、完善,以提高内部控制风险的评估效率及其准确性,加强分析性测试,提高分析的速度和准确性,扩展分析的范围。
三是构架完整的审计信息系统,推进风险导向审计与非现场审计有机结合,提高内部审计的质量和效率。
三、人民银行全面实施风险导向审计的制约因素
(一)缺乏专门的审计理论和比较标准、规范的审计方法风险导向审计的应用,要求审计人员通过了解测试,形成对被审计单位管理经营风险、财务风险整体评价,在此基础上,确认发生重大错报可能的领域与方向,评估预期的审计风险水平。
然而,我国目前还没有专门的理论框架或指南为确定期望的审计风险提供科学的依据,审计人员很难对审计风险进行合理恰当的估测,同时风险导向审计还没有一套比较标准、规范的审计方法,所以风险导向审计的正常实施效果会大打折扣。
(二)制度局限性
风险导向审计模式允许审计人员在其认为能承受的风险水平下,省略部分常规的实质性测试程序。
当前上级人民银行考核下级内部审计部门审计质量的一个重要方面,就是看在项目审计过程中是否严格执行了内审操作程序。
这种只注重审计程序形式上完整性的检查思路和方法,势必制约风险导向审计模式的推行。
因此,要推行风险导向审计模式,内审制度必须要进行适当的改革。
(三)人员素质障碍
实行风险导向审计,在实质性测试阶段,运用分析性测试程序作为主要的获取审计证据的手段,它要求审计人员具有较高的素质,要运用分析性测试程序,根据被审计单位的具体情况,寻求数据间的内在关系来构建模型。
按照国际会计师事务所的经验,为了使其运用分析性测试程序具有合理和可验证性,大多数程序是以数理统计的广泛运用为前提的,在要求依据数理统计估算出可接受的风险水平时,应具有相应规模的审计证据。
目前人民银行相当多的审计人员不具备运用数理统计方法的能力,对风险的预测尤其是对有关信息、证据的判断多是凭工作经验作出的推理,具有较强的主观臆断性,不具数理性。
这必然妨碍分析性程序成为实质性测试的重要手段。
(四)程序软件的限制在欧美发达国家具有大量运用分析性程序的有利条件,大量审计程序软件的开发和运用为审计人员实施风险导向审计提供了条件。
西方各国财务数据的电子化已经非常普遍,因此,在审计中可以直接对数据库进行加工分析,依据软件构建模型并由电脑自行检验和核对;而我国不具有财务数据库及软件构建模型,人民银行也尚未建立完整的科学体系,对风险的管理与控制尚没有完整可行的软件程序,因此实施风险导向审计受到了限制。
(五)审计人员信息
升级会员 