基于COBIT的央行信息技術(shù)審計(jì)標(biāo)準(zhǔn)研究

基于COBIT的央行信息技術(shù)審計(jì)標(biāo)準(zhǔn)研究

信息技術(shù)審計(jì)作為幫助組織實(shí)現(xiàn)信息技術(shù)戰(zhàn)略目標(biāo)、有效利用信息資源并對(duì)信息技術(shù)風(fēng)險(xiǎn)有效管控的重要措施，越來越受到重視。一些國際組織和發(fā)達(dá)國家政府機(jī)構(gòu)陸續(xù)制定和發(fā)布了一系列信息技術(shù)治理和審計(jì)方面的標(biāo)準(zhǔn)，有力地促進(jìn)了信息系統(tǒng)使用單位改善信息技術(shù)治理結(jié)構(gòu)，同時(shí)也有效地提高信息技術(shù)審計(jì)規(guī)范化水平。近年來，人民銀行內(nèi)審部門相繼組織開展了機(jī)房管理、網(wǎng)絡(luò)管理等多項(xiàng)審計(jì)項(xiàng)目，并于2010年開始將信息技術(shù)全面審計(jì)作為人民銀行內(nèi)審部門的常規(guī)審計(jì)項(xiàng)目。在實(shí)施信息技術(shù)審計(jì)過程中感到，人民銀行內(nèi)審部門應(yīng)當(dāng)建立一套完善的信息技術(shù)審計(jì)標(biāo)準(zhǔn)。信息技術(shù)審計(jì)標(biāo)準(zhǔn)既能夠規(guī)范人民銀行各級(jí)內(nèi)審部門開展信息技術(shù)審計(jì)，提供審計(jì)評(píng)價(jià)指南；同時(shí)又能促使各信息系統(tǒng)相關(guān)部門據(jù)此改進(jìn)信息系統(tǒng)的管理和控制。因此借鑒業(yè)界成熟的信息技術(shù)治理和審計(jì)標(biāo)準(zhǔn)構(gòu)建人民銀行的信息技術(shù)審計(jì)標(biāo)準(zhǔn)，具有十分重要的現(xiàn)實(shí)意義。一、信息技術(shù)審計(jì)參考標(biāo)準(zhǔn)選擇構(gòu)建人民銀行信息技術(shù)審計(jì)標(biāo)準(zhǔn)可以選擇借鑒一些國際組織或發(fā)達(dá)國家政府提出的業(yè)已成熟的標(biāo)準(zhǔn)。目前，得到公認(rèn)比較成熟的信息技術(shù)治理和審計(jì)標(biāo)準(zhǔn)主要有ITIL（InformationTechnologyInfrastructureLibrary，即信息技術(shù)基礎(chǔ)架構(gòu)庫）、BS7799/ISO17799（信息安全管理體系）、COBIT（ControlObjectivesforInformationandrelatedTechnology，即信息及相關(guān)技術(shù)控制目標(biāo)）、PRINCE2（ProjectsINControlledEnvironments，受控環(huán)境中的項(xiàng)目管理）、CISR（CenterforInformationSystemsResearch，即信息系統(tǒng)研究中心）等。這些標(biāo)準(zhǔn)有其不同特點(diǎn)和適用范圍，我們可以從中選擇最適合人民銀行現(xiàn)狀的標(biāo)準(zhǔn)予以參考和借鑒。通過以上比較（表1），并結(jié)合人民銀行信息技術(shù)審計(jì)的實(shí)際，人民銀行在構(gòu)建IT審計(jì)標(biāo)準(zhǔn)中較為適合于借鑒COBIT。COBIT的主要特點(diǎn)可以總結(jié)為：一是以業(yè)務(wù)為中心。COBIT提供了一個(gè)業(yè)務(wù)目標(biāo)、IT目標(biāo)、信息標(biāo)準(zhǔn)之間的聯(lián)系框架，有助于確保IT框架與業(yè)務(wù)需求保持一致。二是以流程為導(dǎo)向。COBIT在計(jì)劃與組織、獲取與實(shí)施、交付與支持，監(jiān)控與評(píng)價(jià)四個(gè)領(lǐng)域內(nèi)采用流程模型的方式來定義IT活動(dòng)，歸納了34個(gè)常用IT流程。每一個(gè)流程均指明了業(yè)務(wù)目標(biāo)與其所支持的IT目標(biāo)之間的聯(lián)系。三是以控制為基礎(chǔ)。COBIT對(duì)34個(gè)IT流程均定義了高層控制目標(biāo)，所有的高層控制目標(biāo)又具體分為318個(gè)具體控制目標(biāo)，還確定了每個(gè)高層控制目標(biāo)所需的一般性控制要求。四是以測(cè)評(píng)為驅(qū)動(dòng)。為了對(duì)組織自身IT流程的績效進(jìn)行客觀測(cè)評(píng)，COBIT開發(fā)了成熟度模型，使用為每一個(gè)IT流程設(shè)計(jì)的成熟度模型，管理層可以通過組織的實(shí)際績效確定當(dāng)前所處的位置、通過比較確定行業(yè)的當(dāng)前狀況、通過期望達(dá)到的位置明確組織的改進(jìn)目標(biāo)，在“當(dāng)前”和“獲取”之間明確所需的成長路徑。由于COBIT具有上述特點(diǎn)，因此在構(gòu)建人民銀行信息技術(shù)審計(jì)標(biāo)準(zhǔn)時(shí)可以很好地借鑒和利用COBIT的內(nèi)容體系。主要原因：一是COBIT擁有系統(tǒng)的體系結(jié)構(gòu)，將IT流程、IT資源及信息、組織的策略與目標(biāo)聯(lián)系起來，分層次定義了控制目標(biāo)，便于從紛繁的問題中明確目標(biāo)、理清思路，指導(dǎo)審計(jì)人員開展信息技術(shù)審計(jì)工作；二是COBIT內(nèi)容全面，覆蓋信息及相關(guān)技術(shù)的所有方面，涉及IT治理、內(nèi)部控制、IT服務(wù)、風(fēng)險(xiǎn)、項(xiàng)目管理、信息安全等多方面內(nèi)容，正好包括了人民銀行目前IT審計(jì)的所有領(lǐng)域，此外還提出了很多將來需要關(guān)注的內(nèi)容；三是COBIT建立了廣泛的評(píng)價(jià)指標(biāo)，針對(duì)流程和活動(dòng)定義了效果指標(biāo)和績效指標(biāo)，采用成熟度模型實(shí)施流程基準(zhǔn)管理以識(shí)別所需的能力改進(jìn)，適合人民銀行內(nèi)審部門在IT審計(jì)過程中對(duì)信息技術(shù)的各個(gè)環(huán)節(jié)和方面進(jìn)行全面的評(píng)價(jià)，提出改進(jìn)建議，發(fā)揮內(nèi)審的增值作用。二、借鑒COBIT構(gòu)建人民銀行信息技術(shù)審計(jì)標(biāo)準(zhǔn)借鑒COBIT來構(gòu)建人民銀行IT審計(jì)標(biāo)準(zhǔn)，一是可以從系統(tǒng)的角度，采用自上而下的方法，以風(fēng)險(xiǎn)為導(dǎo)向，全面規(guī)劃審計(jì)領(lǐng)域和內(nèi)容；二是可以以控制為主線，確定各項(xiàng)流程控制目標(biāo)和控制措施，明確相應(yīng)的審計(jì)方法；三是可以以治理為目標(biāo)，建立成熟度模型指導(dǎo)IT審計(jì)評(píng)價(jià)，以此促進(jìn)IT治理水平的提高。根據(jù)上述思路，人民銀行IT審計(jì)標(biāo)準(zhǔn)主要由控制流程、審計(jì)指南和評(píng)價(jià)指南三部分組成（圖1）。其中，控制流程包括控制目標(biāo)、關(guān)鍵控制點(diǎn)和控制活動(dòng)；審計(jì)指南包括審計(jì)方法和參考依據(jù)；評(píng)價(jià)指南包括評(píng)價(jià)指標(biāo)和成熟度模型。具體構(gòu)建方法如下：（一）規(guī)劃審計(jì)領(lǐng)域和內(nèi)容，設(shè)計(jì)控制流程，明確審計(jì)關(guān)注內(nèi)容按照人民銀行IT發(fā)展現(xiàn)狀和規(guī)劃，審計(jì)領(lǐng)域有計(jì)劃、建設(shè)、運(yùn)行和監(jiān)控四個(gè)方面，涵蓋了人民銀行IT管理的所有內(nèi)容。近年來人民銀行IT審計(jì)也是緊緊圍繞這四個(gè)領(lǐng)域開展的。通過對(duì)人民銀行IT審計(jì)內(nèi)容進(jìn)行歸類，并參考COBIT流程設(shè)置，確定了四個(gè)領(lǐng)域中的32個(gè)控制流程，形成了人民銀行IT審計(jì)詳細(xì)控制流程一覽表（表2）。（二）細(xì)化控制流程，明確審計(jì)方法和參考依據(jù)在確定了32個(gè)控制流程之后，為提高審計(jì)標(biāo)準(zhǔn)的指導(dǎo)性和操作性，對(duì)每個(gè)控制流程自上而下進(jìn)行層層細(xì)化。一是將控制流程分解為若干子流程，并為其設(shè)置詳細(xì)的控制目標(biāo)；二是梳理了各控制目標(biāo)的關(guān)鍵控制點(diǎn)；三是進(jìn)一步將控制點(diǎn)分解為更細(xì)的控制活動(dòng)?？刂苹顒?dòng)就是IT管理各方面的具體操作，審計(jì)人員可以通過對(duì)控制活動(dòng)的檢查來確認(rèn)控制目標(biāo)是否實(shí)現(xiàn)，進(jìn)而自下而上對(duì)整個(gè)流程控制情況進(jìn)行確認(rèn)。通過對(duì)控制流程進(jìn)行細(xì)分確定了控制活動(dòng)，針對(duì)這些控制活動(dòng)編制詳細(xì)的審計(jì)方法，并列示審計(jì)依據(jù)予以參考，形成IT審計(jì)指南，從而對(duì)IT審計(jì)自計(jì)劃、方案制定，到現(xiàn)場實(shí)施提供全面的指導(dǎo)。在開展IT審計(jì)項(xiàng)目時(shí)可選擇全部流程開展IT全面審計(jì)，也可以選擇相關(guān)流程開展各類專項(xiàng)IT審計(jì)，流程的選擇以審計(jì)范圍和目標(biāo)為指導(dǎo)。（三）建立評(píng)價(jià)指標(biāo)和成熟度模型，明確評(píng)價(jià)方法經(jīng)過上述步驟，完成了審計(jì)標(biāo)準(zhǔn)的控制流程和審計(jì)指南兩個(gè)部分，對(duì)IT審計(jì)的開展已經(jīng)具有很強(qiáng)的指導(dǎo)性。但根據(jù)人民銀行IT審計(jì)需要，審計(jì)評(píng)價(jià)已成為不可或缺的重要部分。使用成熟度模型對(duì)被審計(jì)對(duì)象IT控制和管理情況進(jìn)行評(píng)價(jià)，能夠確定被審計(jì)對(duì)象IT管理所處階段和水平，明確其存在的不足、差距和改進(jìn)方向，幫助IT管理者采取措施提升IT整體治理水平。1.建立評(píng)價(jià)指標(biāo)在建立控制流程和審計(jì)指南的基礎(chǔ)上，針對(duì)每個(gè)控制活動(dòng)，結(jié)合相關(guān)制度規(guī)定，參考COBIT的效果指標(biāo)和績效指標(biāo)，從效果、效率、保密性、完整性、可用性、符合性和可靠性七個(gè)維度入手，建立評(píng)價(jià)指標(biāo)。評(píng)價(jià)指標(biāo)包括定量指標(biāo)和定性指標(biāo)兩類。每個(gè)控制活動(dòng)對(duì)應(yīng)若干評(píng)價(jià)指標(biāo)，可能既有定量指標(biāo)，又有定性指標(biāo)；有些指標(biāo)需要根據(jù)現(xiàn)場查證結(jié)果進(jìn)行計(jì)算或確定，有些指標(biāo)則需要利用調(diào)查、訪談等方式進(jìn)行確定。2.建立成熟度模型評(píng)價(jià)模型的構(gòu)建采用COBIT提出的成熟度模型的思想。按照COBIT4.1，成熟度可劃分為0～5六個(gè)等級(jí)，本文所采用的成熟度等級(jí)（表3①）即按照這六個(gè)等級(jí)來確定。我們認(rèn)為，成熟度等級(jí)可以通過計(jì)算流程、域和整個(gè)IT控制的成熟度分值來確定，下面將詳細(xì)說明我們所設(shè)計(jì)的計(jì)算方法及模型。（1）計(jì)算流程的成熟度具體到每個(gè)流程，其成熟度判定方法是：一是將該流程所涉及的評(píng)價(jià)指標(biāo)按照效果、效率、保密性、完整性、可用性、符合性和可靠性七個(gè)維度歸類，每個(gè)指標(biāo)可能對(duì)應(yīng)多個(gè)維度。二是計(jì)算維度分值。根據(jù)審計(jì)情況對(duì)每個(gè)指標(biāo)打分，分值為0～5之間的整數(shù)，從0～5分別表示活動(dòng)的控制級(jí)別從完全無控制到控制完備。各維度的分值通過計(jì)算該維度所有指標(biāo)分值的算術(shù)平均來獲得，表示為：維度分值=該維度各指標(biāo)控制分值之和/指標(biāo)個(gè)數(shù)。三是根據(jù)各維度分值計(jì)算流程的成熟度分值。由于每個(gè)流程的評(píng)價(jià)指標(biāo)涉及的維度不盡相同，我們按照相關(guān)程度分為主要指標(biāo)維度和次要指標(biāo)維度，對(duì)于主要指標(biāo)維度，其權(quán)重設(shè)為3，次要指標(biāo)維度權(quán)重設(shè)為1，未涉及的維度權(quán)重均為0。這樣通過計(jì)算各維度分值加權(quán)平均來確定流程的成熟度分值，表示為：根據(jù)計(jì)算出的流程成熟度分值，我們可以確定控制流程的成熟度級(jí)別，如一個(gè)流程的成熟度分值為3.6，則表明該流程處于成熟度3級(jí)與4級(jí)之間。（2）計(jì)算域及整個(gè)IT控制的成熟度計(jì)算得出IT審計(jì)涉及的每個(gè)流程的成熟度分值后，我們進(jìn)一步確定流程所在域的成熟度。與流程成熟度計(jì)算方法一樣，采用加權(quán)平均方法計(jì)算域的成熟度分值。每個(gè)域內(nèi)各流程的權(quán)重采用層次分析法確定，下面以計(jì)劃域?yàn)槔f明各流程權(quán)重的確定方法。計(jì)劃域包含9個(gè)流程，我們對(duì)這些流程分別進(jìn)行兩兩比較，記錄其相對(duì)重要程度為其取值方法見表4：如流程1.1IT規(guī)劃與流程1.6信息交流與溝通相比，IT規(guī)劃稍微重要，相應(yīng)的重要程度取值，則信息交流與溝通相對(duì)于IT規(guī)劃的重要程度取值。這樣對(duì)9個(gè)流程進(jìn)行兩兩比較得出各流程權(quán)重判斷矩陣，如表5所示。由于我們立足于人民銀行分支機(jī)構(gòu)，所以主要影響人民銀行總行的IT管理架構(gòu)、IT財(cái)務(wù)管理、信息和技術(shù)架構(gòu)等流程重要程度相對(duì)較低。各流程的相對(duì)重要程度會(huì)根據(jù)機(jī)構(gòu)層級(jí)不同而有所差別，也會(huì)隨著人民銀行的IT發(fā)展而不斷改變。每個(gè)流程在計(jì)劃域中的權(quán)重計(jì)算公式為：通過層層計(jì)算，我們最終得到被審計(jì)對(duì)象IT控制的成熟度分值，根據(jù)該分值可以確