基于COBIT的央行信息技术审计标准研究,本文主要内容关键词为:信息技术论文,央行论文,标准论文,COBIT论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
信息技术审计作为帮助组织实现信息技术战略目标、有效利用信息资源并对信息技术风险有效管控的重要措施,越来越受到重视。一些国际组织和发达国家政府机构陆续制定和发布了一系列信息技术治理和审计方面的标准,有力地促进了信息系统使用单位改善信息技术治理结构,同时也有效地提高信息技术审计规范化水平。近年来,人民银行内审部门相继组织开展了机房管理、网络管理等多项审计项目,并于2010年开始将信息技术全面审计作为人民银行内审部门的常规审计项目。在实施信息技术审计过程中感到,人民银行内审部门应当建立一套完善的信息技术审计标准。信息技术审计标准既能够规范人民银行各级内审部门开展信息技术审计,提供审计评价指南;同时又能促使各信息系统相关部门据此改进信息系统的管理和控制。因此借鉴业界成熟的信息技术治理和审计标准构建人民银行的信息技术审计标准,具有十分重要的现实意义。
一、信息技术审计参考标准选择
构建人民银行信息技术审计标准可以选择借鉴一些国际组织或发达国家政府提出的业已成熟的标准。目前,得到公认比较成熟的信息技术治理和审计标准主要有ITIL(Information Technology Infrastructure Library,即信息技术基础架构库)、BS7799/ISO17799(信息安全管理体系)、COBIT(Control Objectives for Information and related Technology,即信息及相关技术控制目标)、PRINCE2(Projects IN Controlled Environments,受控环境中的项目管理)、CISR(Center for Information Systems Research,即信息系统研究中心)等。这些标准有其不同特点和适用范围,我们可以从中选择最适合人民银行现状的标准予以参考和借鉴。
通过以上比较(表1),并结合人民银行信息技术审计的实际,人民银行在构建IT审计标准中较为适合于借鉴COBIT。COBIT的主要特点可以总结为:一是以业务为中心。COBIT提供了一个业务目标、IT目标、信息标准之间的联系框架,有助于确保IT框架与业务需求保持一致。二是以流程为导向。COBIT在计划与组织、获取与实施、交付与支持,监控与评价四个领域内采用流程模型的方式来定义IT活动,归纳了34个常用IT流程。每一个流程均指明了业务目标与其所支持的IT目标之间的联系。三是以控制为基础。COBIT对34个IT流程均定义了高层控制目标,所有的高层控制目标又具体分为318个具体控制目标,还确定了每个高层控制目标所需的一般性控制要求。四是以测评为驱动。为了对组织自身IT流程的绩效进行客观测评,COBIT开发了成熟度模型,使用为每一个IT流程设计的成熟度模型,管理层可以通过组织的实际绩效确定当前所处的位置、通过比较确定行业的当前状况、通过期望达到的位置明确组织的改进目标,在“当前”和“获取”之间明确所需的成长路径。
由于COBIT具有上述特点,因此在构建人民银行信息技术审计标准时可以很好地借鉴和利用COBIT的内容体系。主要原因:一是COBIT拥有系统的体系结构,将IT流程、IT资源及信息、组织的策略与目标联系起来,分层次定义了控制目标,便于从纷繁的问题中明确目标、理清思路,指导审计人员开展信息技术审计工作;二是COBIT内容全面,覆盖信息及相关技术的所有方面,涉及IT治理、内部控制、IT服务、风险、项目管理、信息安全等多方面内容,正好包括了人民银行目前IT审计的所有领域,此外还提出了很多将来需要关注的内容;三是COBIT建立了广泛的评价指标,针对流程和活动定义了效果指标和绩效指标,采用成熟度模型实施流程基准管理以识别所需的能力改进,适合人民银行内审部门在IT审计过程中对信息技术的各个环节和方面进行全面的评价,提出改进建议,发挥内审的增值作用。
二、借鉴COBIT构建人民银行信息技术审计标准
借鉴COBIT来构建人民银行IT审计标准,一是可以从系统的角度,采用自上而下的方法,以风险为导向,全面规划审计领域和内容;二是可以以控制为主线,确定各项流程控制目标和控制措施,明确相应的审计方法;三是可以以治理为目标,建立成熟度模型指导IT审计评价,以此促进IT治理水平的提高。
根据上述思路,人民银行IT审计标准主要由控制流程、审计指南和评价指南三部分组成(图1)。其中,控制流程包括控制目标、关键控制点和控制活动;审计指南包括审计方法和参考依据;评价指南包括评价指标和成熟度模型。具体构建方法如下:
(一)规划审计领域和内容,设计控制流程,明确审计关注内容
按照人民银行IT发展现状和规划,审计领域有计划、建设、运行和监控四个方面,涵盖了人民银行IT管理的所有内容。近年来人民银行IT审计也是紧紧围绕这四个领域开展的。通过对人民银行IT审计内容进行归类,并参考COBIT流程设置,确定了四个领域中的32个控制流程,形成了人民银行IT审计详细控制流程一览表(表2)。
(二)细化控制流程,明确审计方法和参考依据
在确定了32个控制流程之后,为提高审计标准的指导性和操作性,对每个控制流程自上而下进行层层细化。一是将控制流程分解为若干子流程,并为其设置详细的控制目标;二是梳理了各控制目标的关键控制点;三是进一步将控制点分解为更细的控制活动。控制活动就是IT管理各方面的具体操作,审计人员可以通过对控制活动的检查来确认控制目标是否实现,进而自下而上对整个流程控制情况进行确认。
通过对控制流程进行细分确定了控制活动,针对这些控制活动编制详细的审计方法,并列示审计依据予以参考,形成IT审计指南,从而对IT审计自计划、方案制定,到现场实施提供全面的指导。在开展IT审计项目时可选择全部流程开展IT全面审计,也可以选择相关流程开展各类专项IT审计,流程的选择以审计范围和目标为指导。
(三)建立评价指标和成熟度模型,明确评价方法
经过上述步骤,完成了审计标准的控制流程和审计指南两个部分,对IT审计的开展已经具有很强的指导性。但根据人民银行IT审计需要,审计评价已成为不可或缺的重要部分。使用成熟度模型对被审计对象IT控制和管理情况进行评价,能够确定被审计对象IT管理所处阶段和水平,明确其存在的不足、差距和改进方向,帮助IT管理者采取措施提升IT整体治理水平。
1.建立评价指标
在建立控制流程和审计指南的基础上,针对每个控制活动,结合相关制度规定,参考COBIT的效果指标和绩效指标,从效果、效率、保密性、完整性、可用性、符合性和可靠性七个维度入手,建立评价指标。评价指标包括定量指标和定性指标两类。每个控制活动对应若干评价指标,可能既有定量指标,又有定性指标;有些指标需要根据现场查证结果进行计算或确定,有些指标则需要利用调查、访谈等方式进行确定。
2.建立成熟度模型
评价模型的构建采用COBIT提出的成熟度模型的思想。按照COBIT4.1,成熟度可划分为0~5六个等级,本文所采用的成熟度等级(表3①)即按照这六个等级来确定。我们认为,成熟度等级可以通过计算流程、域和整个IT控制的成熟度分值来确定,下面将详细说明我们所设计的计算方法及模型。
(1)计算流程的成熟度
具体到每个流程,其成熟度判定方法是:
一是将该流程所涉及的评价指标按照效果、效率、保密性、完整性、可用性、符合性和可靠性七个维度归类,每个指标可能对应多个维度。
二是计算维度分值。根据审计情况对每个指标打分,分值为0~5之间的整数,从0~5分别表示活动的控制级别从完全无控制到控制完备。各维度的分值通过计算该维度所有指标分值的算术平均来获得,表示为:维度分值=该维度各指标控制分值之和/指标个数。
三是根据各维度分值计算流程的成熟度分值。由于每个流程的评价指标涉及的维度不尽相同,我们按照相关程度分为主要指标维度和次要指标维度,对于主要指标维度,其权重设为3,次要指标维度权重设为1,未涉及的维度权重均为0。这样通过计算各维度分值加权平均来确定流程的成熟度分值,表示为:
根据计算出的流程成熟度分值,我们可以确定控制流程的成熟度级别,如一个流程的成熟度分值为3.6,则表明该流程处于成熟度3级与4级之间。
(2)计算域及整个IT控制的成熟度
计算得出IT审计涉及的每个流程的成熟度分值后,我们进一步确定流程所在域的成熟度。与流程成熟度计算方法一样,采用加权平均方法计算域的成熟度分值。每个域内各流程的权重采用层次分析法确定,下面以计划域为例说明各流程权重的确定方法。
计划域包含9个流程,我们对这些流程分别进行两两比较,记录其相对重要程度为
其取值方法见表4:
如流程1.1IT规划与流程1.6信息交流与沟通相比,IT规划稍微重要,相应的重要程度取值
,则信息交流与沟通相对于IT规划的重要程度取值
。这样对9个流程进行两两比较得出各流程权重判断矩阵,如表5所示。
由于我们立足于人民银行分支机构,所以主要影响人民银行总行的IT管理架构、IT财务管理、信息和技术架构等流程重要程度相对较低。各流程的相对重要程度会根据机构层级不同而有所差别,也会随着人民银行的IT发展而不断改变。
每个流程在计划域中的权重计算公式为:
通过层层计算,我们最终得到被审计对象IT控制的成熟度分值,根据该分值可以确定所处的成熟度水平,便于同等级被审计对象之间的横向对比,以及和历史审计情况的纵向对比。不管是审计实施者还是被审计对象均能比较全面、客观地掌握IT控制的整体状况。而且在计算过程中产生的中间结果(各流程成熟度分值)还可以帮助被审计对象明确主要问题出现在哪里、主要风险隐藏在哪里,进而采取有针对性的改进和应对措施。
注释:
①根据COBIT V4.1第2.2.4节图13-通用的成熟度模型确定。
标签:cobit论文; 中国人民银行论文; 信息技术论文; 审计计划论文; 流程管理论文; 审计方法论文; 审计流程论文; 审计目标论文; it审计论文; it治理论文;