基于COBIT的银行IS控制构建论文

时间:2021-08-31

  【摘要】随着我国金融业信息化程度的不断提高,商业银行信息系统安全性、稳定性以及效益性显得尤为重要。文章基于IT治理视角,合理借鉴COBIT(信息及相关技术控制目标)标准中有关信息系统控制目标体系构建的基本思路,结合对我国商业银行信息系统运行背景的分析,初步构建了符合我国实际的商业银行信息系统控制框架,并进一步提出信息系统控制实践中的“三维整体性”概念。

【关键词】COBIT;IT治理;IS控制

一、引言

  随着我国金融信息化程度的不断提高,银行业逐渐成为国民经济中信息技术应用最密集、应用水平最高的行业之一。

  国内外大量实践表明,随着信息技术在银行业的综合应用,商业银行信息系统的安全及运行效率等问题将面临更多挑战,由于系统运行失效而导致的负面影响也不断增加。与商业银行信息化的迅速发展相反,我国至今尚未对信息化过程中出现的各类问题给予足够重视并实施有效监管,对商业银行信息系统运行的相关监管标准也基本上属于空白。为此,有必要深入关注商业银行的IT治理问题,从商业银行信息系统“整体”出发,构建一整套控制框架,一方面使商业银行的IT治理战略充分体现其商业战略目标,另一方面有效地对商业银行信息系统存在的风险和运行质量进行量化预测和评价,从而尽可能降低信息系统风险、提高系统安全水平与运行效率,并进一步提升商业银行的整体竞争力。

二、信息系统控制原理及COBIT标准解读

  (一)信息系统控制原理

  信息系统控制涉及组织的IT运营效率、风险管理、系统安全、业务连续性、系统完整性、规章依从性以及价值创造等多方面的内容。如何最大限度地降低信息技术对业务的负面影响,信息系统如何充分为企业战略目标服务,如何获得IT价值最大化,是每个企业都必须要直接面对的信息系统安全与IT治理问题。

  基于IT治理的理论视角,笔者认为,信息系统控制应当是一系列管理、规划、绩效报告及流程审查过程的集合。企业信息化进程中面临的一个关键挑战就是:组织对IT治理的需求达到了什么程度,什么情况下才算充分。信息系统控制目标的实现及相关控制实践活动的实施,更需要有专业而适用的标准指南进行指导。目前国际上流行的信息系统控制相关标准/最佳实践有十余种之多,如COBIT、COSO、ITIL、ISO/IEC17799、ISO/IEC TR13335、PRINCE2、PMBOK、Tic kIT、TOGAF8.1等,它们涉及的领域、范围及深度各有不同。

  (二)COBIT标准及其应用解读

  与其他控制标准相比,国际信息系统审计与控制协会(ISACA)面向全球公开发布的COBIT(信息及相关技术控制目标)标准无论在应用范围的广度、技术深度、灵活性、适用性以及标准兼容性等方面都凸显优势,它提供了一套权威的、全球通用的标准体系,旨在规范并提高IT治理水平、有效防范控制风险以及增加信息技术价值等。

  COBIT标准体系的构建最初出发点来源于公司治理与内部控制视角,它接受并遵循COSO报告关于内部控制框架的指导思想,实现了企业目标与IT治理目标的有机统一,同时借鉴CMM的能力成熟度模型,并以此为“基准”来衡量IT控制和绩效水平。基于实践过程的需要,COBIT控制目标体系从组织的商业需求出发,整合IT资源,通过执行一系列IT流程及相关测评活动来传递企业信息,以满足商业需求。考虑到COBIT标准应用中的灵活性和可操作性,本文将标准原有的“立方体”式理论模型重新整合划分为三大功能模块,即“控制活动、流程设计模块”、“系统评价模块”和“信息系统审计模块”,如图1所示,从而更进一步突出反映COBIT控制目标体系的功能性和实践路径。

  考虑到COBIT标准在国内商业银行特定信息系统运行环境下的适用性和实用性,本文对我国商业银行信息系统控制存在的主要问题和特定要求进行逐一分析,据以提出银行信息系统控制目标,进而初步构建我国商业银行信息系统控制框架体系。

三、商业银行信息系统控制框架初建

  (一)我国商业银行信息系统控制缺陷分析及控制目标设定

  商业银行信息技术和信息系统控制主要是指对商业银行通过实施信息技术工作过程的控制目标和相关控制活动,对信息技术和系统风险进行有效识别和实时监控,保证系统的安全高效运行和过程改进,从而为商业银行各项业务活动、管理活动和支持活动提供有效、安全、可靠的信息技术服务。目前,我国商业银行信息系统控制主要存在以下几方面问题:首先是IT监管风险问题。商业银行信息系统自身的安全性、可靠性及有效性等直接关系到整个银行业的安全,乃至整个金融系统的稳定性,应当执行一整套信息系统评估机制,提升并完善IT组织职能,加强IT审计的实施效力和效果,健全IT治理架构等。

  其次是IT决策效率低下问题。效率低下是IT决策风险的集中体现,具体表现在以下三个方面:一是对项目建设、软件费用等大多采用一事一议,缺乏全局考虑和控制;二是缺乏授权机制。三是IT基础资源的分配缺乏决策流程,精细化管理程度不高。

  再次是IT规划与框架的不完善,甚至缺失。目前各大商业银行通常由总行科技部门负责全行的IT规划和IT架构制定,而对事业部门自身的IT规划和IT架构如何与总行实现有机对接,并无合理的制度性安排,从而存在IT失控的危险。

  最后是IT评价机制的无规性和无序性。现阶段,我国商业银行系统虽然已经开始逐步认识到IT治理结构的制度建设,但仍然忽略了IT评价机制的构建,甚至尚未认识到信息系统评价、监督的重要作用。

  综合以上分析,当前我国商业银行信息系统运行总体目标主要应当关注以下四个方面:在财务系统控制方面,应特别关注信息技术相关风险的管理,尽可能避免因系统缺陷或是人为操纵所致的系统风险、差错甚至灾难;在银行业务系统控制方面,首先应当确保实现各类金融服务的连续性和可获得性,并密切关注金融市场环境和经济法律环境的变化,对其作出灵敏反应,在实现相关金融服务目标的同时,还应考虑成本最优化原则;在银行内部管理系统控制方面,除了要确保制度设计、政策制定符合内部、外部合规性,还要不断提高银行的运营效率和职员的工作绩效;在商业银行组织自身的学习与成长性方面,主要应当关注对技术型、进取型人才的获得和留用。由此初步确定了我国商业银行信息系统控制目标体系整体框架构建的第一步———确定商业银行信息系统总体运行目标,并据以确定相应的IT目标。