基于COBIT的银行IS控制构建论文

　　【摘要】随着我国金融业信息化程度的不断提高，商业银行信息系统安全性、稳定性以及效益性显得尤为重要。文章基于IT治理视角，合理借鉴COBIT（信息及相关技术控制目标）标准中有关信息系统控制目标体系构建的基本思路，结合对我国商业银行信息系统运行背景的分析，初步构建了符合我国实际的商业银行信息系统控制框架，并进一步提出信息系统控制实践中的＂三维整体性＂概念。
　　【关键词】COBIT；IT治理；IS控制
　　一、引言
　　随着我国金融信息化程度的不断提高，银行业逐渐成为国民经济中信息技术应用最密集、应用水平最高的行业之一。
　　国内外大量实践表明，随着信息技术在银行业的综合应用，商业银行信息系统的安全及运行效率等问题将面临更多挑战，由于系统运行失效而导致的负面影响也不断增加。与商业银行信息化的迅速发展相反，我国至今尚未对信息化过程中出现的各类问题给予足够重视并实施有效监管，对商业银行信息系统运行的相关监管标准也基本上属于空白。为此，有必要深入关注商业银行的IT治理问题，从商业银行信息系统＂整体＂出发，构建一整套控制框架，一方面使商业银行的IT治理战略充分体现其商业战略目标，另一方面有效地对商业银行信息系统存在的风险和运行质量进行量化预测和评价，从而尽可能降低信息系统风险、提高系统安全水平与运行效率，并进一步提升商业银行的整体竞争力。
　　二、信息系统控制原理及COBIT标准解读
　　（一）信息系统控制原理
　　信息系统控制涉及组织的IT运营效率、风险管理、系统安全、业务连续性、系统完整性、规章依从性以及价值创造等多方面的内容。如何最大限度地降低信息技术对业务的负面影响，信息系统如何充分为企业战略目标服务，如何获得IT价值最大化，是每个企业都必须要直接面对的信息系统安全与IT治理问题。
　　基于IT治理的理论视角，笔者认为，信息系统控制应当是一系列管理、规划、绩效报告及流程审查过程的集合。企业信息化进程中面临的一个关键挑战就是：组织对IT治理的需求达到了什么程度，什么情况下才算充分。信息系统控制目标的实现及相关控制实践活动的实施，更需要有专业而适用的标准指南进行指导。目前国际上流行的信息系统控制相关标准/最佳实践有十余种之多，如COBIT、COSO、ITIL、ISO/IEC17799、ISO/IEC TR13335、PRINCE2、PMBOK、Tic kIT、TOGAF8.1等，它们涉及的领域、范围及深度各有不同。
　　（二）COBIT标准及其应用解读
　　与其他控制标准相比，国际信息系统审计与控制协会（ISACA）面向全球公开发布的COBIT（信息及相关技术控制目标）标准无论在应用范围的广度、技术深度、灵活性、适用性以及标准兼容性等方面都凸显优势，它提供了一套权威的、全球通用的标准体系，旨在规范并提高IT治理水平、有效防范控制风险以及增加信息技术价值等。
　　COBIT标准体系的构建最初出发点来源于公司治理与内部控制视角，它接受并遵循COSO报告关于内部控制框架的指导思想，实现了企业目标与IT治理目标的有机统一，同时借鉴CMM的能力成熟度模型，并以此为＂基准＂来衡量IT控制和绩效水平。基于实践过程的需要，COBIT控制目标体系从组织的商业需求出发，整合IT资源，通过执行一系列IT流程及相关测评活动来传递企业信息，以满足商业需求。考虑到COBIT标准应用中的灵活性和可操作性，本文将标准原有的＂立方体＂式理论模型重新整合划分为三大功能模块，即＂控制活动、流程设计模块＂、＂系统评价模块＂和＂信息系统审计模块＂，如图1所示，从而更进一步突出反映COBIT控制目标体系的功能性和实践路径。
　　考虑到COBIT标准在国内商业银行特定信息系统运行环境下的适用性和实用性，本文对我国商业银行信息系统控制存在的主要问题和特定要求进行逐一分析，据以提出银行信息系统控制目标，进而初步构建我国商业银行信息系统控制框架体系。
　　三、商业银行信息系统控制框架初建
　　（一）我国商业银行信息系统控制缺陷分析及控制目标设定
　　商业银行信息技术和信息系统控制主要是指对商业银行通过实施信息技术工作过程的控制目标和相关控制活动，对信息技术和系统风险进行有效识别和实时监控，保证系统的安全高效运行和过程改进，从而为商业银行各项业务活动、管理活动和支持活动提供有效、安全、可靠的信息技术服务。目前，我国商业银行信息系统控制主要存在以下几方面问题：首先是IT监管风险问题。商业银行信息系统自身的安全性、可靠性及有效性等直接关系到整个银行业的安全，乃至整个金融系统的稳定性，应当执行一整套信息系统评估机制，提升并完善IT组织职能，加强IT审计的实施效力和效果，健全IT治理架构等。
　　其次是IT决策效率低下问题。效率低下是IT决策风险的集中体现，具体表现在以下三个方面：一是对项目建设、软件费用等大多采用一事一议，缺乏全局考虑和控制；二是缺乏授权机制。三是IT基础资源的分配缺乏决策流程，精细化管理程度不高。
　　再次是IT规划与框架的不完善，甚至缺失。目前各大商业银行通常由总行科技部门负责全行的IT规划和IT架构制定，而对事业部门自身的IT规划和IT架构如何与总行实现有机对接，并无合理的制度性安排，从而存在IT失控的危险。
　　最后是IT评价机制的无规性和无序性。现阶段，我国商业银行系统虽然已经开始逐步认识到IT治理结构的制度建设，但仍然忽略了IT评价机制的构建，甚至尚未认识到信息系统评价、监督的重要作用。
　　综合以上分析，当前我国商业银行信息系统运行总体目标主要应当关注以下四个方面：在财务系统控制方面，应特别关注信息技术相关风险的管理，尽可能避免因系统缺陷或是人为操纵所致的系统风险、差错甚至灾难；在银行业务系统控制方面，首先应当确保实现各类金融服务的连续性和可获得性，并密切关注金融市场环境和经济法律环境的变化，对其作出灵敏反应，在实现相关金融服务目标的同时，还应考虑成本最优化原则；在银行内部管理系统控制方面，除了要确保制度设计、政策制定符合内部、外部合规性，还要不断提高银行的运营效率和职员的工作绩效；在商业银行组织自身的学习与成长性方面，主要应当关注对技术型、进取型人才的获得和留用。由此初步确定了我国商业银行信息系统控制目标体系整体框架构建的第一步———确定商业银行信息系统总体运行目标，并据以确定相应的IT目标。
　　（二）基于COBIT的商业银行信息系统控制框架设计及应用解析
　　在前文研究的基础上，笔者进一步构建我国商业银行信息系统控制整体框架，如图2所示。如图2所示，我国商业银行信息系统控制从商业银行组织的总体战略目标出发，先确定银行信息系统运行总体目标，对总目标进行分析、分解，具体确定与之相关的IT目标，实现系统总体目标对IT目标的需求指导，以及IT目标对总体目标的执行反馈，这就是图示框架的第一环节———目标导向。
　　在＂流程分解＂环节，需要根据＂目标导向＂环节确定的IT目标，对应选择目标实现所需要的IT流程。这些流程可能覆盖＂系统规划＂、＂系统运行＂、＂环境支持＂以及＂监督评价＂四个关键环节中的一个或几个，流程选择的基本原则就是将IT目标进一步细分，考虑该目标实现所需要的.来自各环节的IT支持，再将这些技术支持要素转化为具体可执行的IT流程。针对每一个选定的流程，还需要进一步确定各流程的定义、范围、要素、主要目的、实现途径、关键测度指标等，同时考虑与之相关联流程，特别是前后相流程间的结果影响。
　　在对特定IT流程作出明确规划设计之后，信息系统控制进入＂控制设计＂环节，这里主要涉及三方面工作，一是针对某个既定IT流程，进一步细分确定该流程的若干个具体控制目标，这些目标应当能够完整可靠支持该流程的运行，进而支持流程执行所承担的相应IT目标的实现；二是根据这些控制目标导向要求，再将IT流程分解成为一系列具体的控制活动，这些控制活动不只是概念上的定义，而是直接可操作的具体工作或任务，它们是信息系统控制实施的最小工作单元；三是对这些具体控制活动作出明确的权责界定，分清各项活动由谁负责执行，由谁负责就活动详情作出解释，活动执行的结果由谁承担责任，以及执行情况应当向谁报告等，从而确保控制活动及整个IT流程实施的效力和效率。根据控制活动的执行情况，汇总得到IT流程的整体运行结果，而后进入＂系统评价＂环节。该环节需要分别针对控制活动、IT流程和IT目标设定评价量化的指标体系，并根据系统具体情况，参照相关行业标准，设定指标评价的参考值。基于控制活动实施的结果进行测定，进行流程绩效评价，并根据绩效评价的结果，参照各流程成熟度分级评分标准，对流程进行成熟度评分考核，而后综合各流程评分结果及权重系数，得到对信息系统整体运行的考核结果，由此完成量化评价过程。最后综合所有定性、定量评价结果，逐一对控制活动、IT流程、IT运行环节的运行作出评定，进一步分析检验控制目标、IT目标，直至系统运行总体目标的实现情况。
　　四、研究结论
　　本文基于IT治理视角研究信息系统控制问题，合理吸收借鉴了COBIT标准中有关信息系统控制目标体系构建的基本思路，结合对我国商业银行信息系统运行环境的基本特征和主要控制缺陷的分析研究，构建起一套符合我国商业银行信息系统控制框架。该控制框架涉及＂目标导向＂、＂流程分解＂、＂控制设计＂以及＂系统评价＂四个组成部分，它基于对商业银行信息系统＂整体＂的考虑，完整覆盖了本文提出的信息系统控制实施的五个核心域，揭示了信息系统控制从目标分析、分解，到流程选择、活动安排，再到系统绩效评价全过程的实践途径，对我国商业银行信息系统控制实践具有一定指导意义。
　　研究发现，我国商业银行信息系统控制的实施体现着一个＂三维＂结构的＂整体＂，具体表现为＂系统———控制域———行业背景与组织战略＂。它不仅包括信息系统的＂整体性＂、控制域的＂整体性＂，以及商业银行特定行业背景及组织战略规划的＂整体性＂，更包括三方面作为一个有机体的＂整体性＂。这三个＂维度＂相互影响、相互制约、相互促进，共同支撑起信息系统控制框架体系。以我国商业银行信息系统环境为背景的信息系统控制框架的构建和实施，也应当基于这一＂三维整体性＂概念的考虑。此外，这一概念也可推广至其他行业、企业、组织等不同环境下的信息系统控制研究和实践，具有广泛的适用性和后续研究价值。
　　【参考文献】
　　［1］胡晓明.基于信息时代的IS审计若
　　干问题探讨［J］.当代财经，2006（2）：125-128.
　　［2］胡晓明，林娟.COBIT4.0：解读与启示［J］.科技管理研究，2007（11）：243-245.
　　［3］金文，张金城.基于COBIT的信息系统管理、控制与审计的模型构建研究［J］.审计研究，2005（4）.
　　［4］唐志武.商业银行业IT建设与内部控制机制的研究［J］.现代情报，2006（6）：204-205.
　　［5］许莉.IT环境下商业银行内部控制思考［J］.中国管理信息化，2005（8）：52-55.
　　［6］ITGI.COBIT 4.1［M/OL］.www.isaca.org.