基于COBIT的銀行IS控制構建論文
【摘要】隨著我國金融業信息化程度的不斷提高,商業銀行信息系統安全性、穩定性以及效益性顯得尤為重要。文章基于IT治理視角,合理借鑒COBIT(信息及相關技術控制目標)標準中有關信息系統控制目標體系構建的基本思路,結合對我國商業銀行信息系統運行背景的分析,初步構建了符合我國實際的商業銀行信息系統控制框架,并進一步提出信息系統控制實踐中的“三維整體性”概念。
【關鍵詞】COBIT;IT治理;IS控制
一、引言
隨著我國金融信息化程度的不斷提高,銀行業逐漸成為國民經濟中信息技術應用最密集、應用水平最高的行業之一。
國內外大量實踐表明,隨著信息技術在銀行業的綜合應用,商業銀行信息系統的安全及運行效率等問題將面臨更多挑戰,由于系統運行失效而導致的負面影響也不斷增加。與商業銀行信息化的迅速發展相反,我國至今尚未對信息化過程中出現的各類問題給予足夠重視并實施有效監管,對商業銀行信息系統運行的相關監管標準也基本上屬于空白。為此,有必要深入關注商業銀行的IT治理問題,從商業銀行信息系統“整體”出發,構建一整套控制框架,一方面使商業銀行的IT治理戰略充分體現其商業戰略目標,另一方面有效地對商業銀行信息系統存在的風險和運行質量進行量化預測和評價,從而盡可能降低信息系統風險、提高系統安全水平與運行效率,并進一步提升商業銀行的整體競爭力。
二、信息系統控制原理及COBIT標準解讀
(一)信息系統控制原理
信息系統控制涉及組織的IT運營效率、風險管理、系統安全、業務連續性、系統完整性、規章依從性以及價值創造等多方面的內容。如何最大限度地降低信息技術對業務的負面影響,信息系統如何充分為企業戰略目標服務,如何獲得IT價值最大化,是每個企業都必須要直接面對的信息系統安全與IT治理問題。
基于IT治理的理論視角,筆者認為,信息系統控制應當是一系列管理、規劃、績效報告及流程審查過程的集合。企業信息化進程中面臨的一個關鍵挑戰就是:組織對IT治理的需求達到了什么程度,什么情況下才算充分。信息系統控制目標的實現及相關控制實踐活動的實施,更需要有專業而適用的標準指南進行指導。目前國際上流行的信息系統控制相關標準/最佳實踐有十余種之多,如COBIT、COSO、ITIL、ISO/IEC17799、ISO/IEC TR13335、PRINCE2、PMBOK、Tic kIT、TOGAF8.1等,它們涉及的領域、范圍及深度各有不同。
(二)COBIT標準及其應用解讀
與其他控制標準相比,國際信息系統審計與控制協會(ISACA)面向全球公開發布的COBIT(信息及相關技術控制目標)標準無論在應用范圍的廣度、技術深度、靈活性、適用性以及標準兼容性等方面都凸顯優勢,它提供了一套權威的、全球通用的標準體系,旨在規范并提高IT治理水平、有效防范控制風險以及增加信息技術價值等。
COBIT標準體系的構建最初出發點來源于公司治理與內部控制視角,它接受并遵循COSO報告關于內部控制框架的指導思想,實現了企業目標與IT治理目標的有機統一,同時借鑒CMM的'能力成熟度模型,并以此為“基準”來衡量IT控制和績效水平。基于實踐過程的需要,COBIT控制目標體系從組織的商業需求出發,整合IT資源,通過執行一系列IT流程及相關測評活動來傳遞企業信息,以滿足商業需求。考慮到COBIT標準應用中的靈活性和可操作性,本文將標準原有的“立方體”式理論模型重新整合劃分為三大功能模塊,即“控制活動、流程設計模塊”、“系統評價模塊”和“信息系統審計模塊”,如圖1所示,從而更進一步突出反映COBIT控制目標體系的功能性和實踐路徑。
考慮到COBIT標準在國內商業銀行特定信息系統運行環境下的適用性和實用性,本文對我國商業銀行信息系統控制存在的主要問題和特定要求進行逐一分析,據以提出銀行信息系統控制目標,進而初步構建我國商業銀行信息系統控制框架體系。
三、商業銀行信息系統控制框架初建
(一)我國商業銀行信息系統控制缺陷分析及控制目標設定
商業銀行信息技術和信息系統控制主要是指對商業銀行通過實施信息技術工作過程的控制目標和相關控制活動,對信息技術和系統風險進行有效識別和實時監控,保證系統的安全高效運行和過程改進,從而為商業銀行各項業務活動、管理活動和支持活動提供有效、安全、可靠的信息技術服務。目前,我國商業銀行信息系統控制主要存在以下幾方面問題:首先是IT監管風險問題。商業銀行信息系統自身的安全性、可靠性及有效性等直接關系到整個銀行業的安全,乃至整個金融系統的穩定性,應當執行一整套信息系統評估機制,提升并完善IT組織職能,加強IT審計的實施效力和效果,健全IT治理架構等。
其次是IT決策效率低下問題。效率低下是IT決策風險的集中體現,具體表現在以下三個方面:一是對項目建設、軟件費用等大多采用一事一議,缺乏全局考慮和控制;二是缺乏授權機制。三是IT基礎資源的分配缺乏決策流程,精細化管理程度不高。
再次是IT規劃與框架的不完善,甚至缺失。目前各大商業銀行通常由總行科技部門負責全行的IT規劃和IT架構制定,而對事業部門自身的IT規劃和IT架構如何與總行實現有機對接,并無合理的制度性安排,從而存在IT失控的危險。
最后是IT評價機制的無規性和無序性。現階段,我國商業銀行系統雖然已經開始逐步認識到IT治理結構的制度建設,但仍然忽略了IT評價機制的構建,甚至尚未認識到信息系統評價、監督的重要作用。
綜合以上分析,當前我國商業銀行信息系統運行總體目標主要應當關注以下四個方面:在財務系統控制方面,應特別關注信息技術相關風險的管理,盡可能避免因系統缺陷或是人為操縱所致的系統風險、差錯甚至災難;在銀行業務系統控制方面,首先應當確保實現各類金融服務的連續性和可獲得性,并密切關注金融市場環境和經濟法律環境的變化,對其作出靈敏反應,在實現相關金融服務目標的同時,還應考慮成本最優化原則;在銀行內部管理系統控制方面,除了要確保制度設計、政策制定符合內部、外部合規性,還要不斷提高銀行的運營效率和職員的工作績效;在商業銀行組織自身的學習與成長性方面,主要應當關注對技術型、進取型人才的獲得和留用。由此初步確定了我國商業銀行信息系統控制目標體系整體框架構建的第一步———確定商業銀行信息系統總體運行目標,并據以確定相應的IT目標。
(二)基于COBIT的商業銀行信息系統控制框架設計及應用解析
在前文研究的基礎上,筆者進一步構建我國商業銀行信息系統控制整體框架,如圖2所示。如圖2所示,我國商業銀行信息系統控制從商業銀行組織的總體戰略目標出發,先確定銀行信息系統運行總體目標,對總目標進行分析、分解,具體確定與之相關的IT目標,實現系統總體目標對IT目標的需求指導,以及IT目標對總體目標的執行反饋,這就是圖示框架的第一環節———目標導向。
在“流程分解”環節,需要根據“目標導向”環節確定的IT目標,對應選擇目標實現所需要的IT流程。這些流程可能覆蓋“系統規劃”、“系統運行”、“環境支持”以及“監督評價”四個關鍵環節中的一個或幾個,流程選擇的基本原則就是將IT目標進一步細分,考慮該目標實現所需要的來自各環節的IT支持,再將這些技術支持要素轉化為具體可執行的IT流程。針對每一個選定的流程,還需要進一步確定各流程的定義、范圍、要素、主要目的、實現途徑、關鍵測度指標等,同時考慮與之相關聯流程,特別是前后相流程間的結果影響。
在對特定IT流程作出明確規劃設計之后,信息系統控制進入“控制設計”環節,這里主要涉及三方面工作,一是針對某個既定IT流程,進一步細分確定該流程的若干個具體控制目標,這些目標應當能夠完整可靠支持該流程的運行,進而支持流程執行所承擔的相應IT目標的實現;二是根據這些控制目標導向要求,再將IT流程分解成為一系列具體的控制活動,這些控制活動不只是概念上的定義,而是直接可操作的具體工作或任務,它們是信息系統控制實施的最小工作單元;三是對這些具體控制活動作出明確的權責界定,分清各項活動由誰負責執行,由誰負責就活動詳情作出解釋,活動執行的結果由誰承擔責任,以及執行情況應當向誰報告等,從而確保控制活動及整個IT流程實施的效力和效率。根據控制活動的執行情況,匯總得到IT流程的整體運行結果,而后進入“系統評價”環節。該環節需要分別針對控制活動、IT流程和IT目標設定評價量化的指標體系,并根據系統具體情況,參照相關行業標準,設定指標評價的參考值。基于控制活動實施的結果進行測定,進行流程績效評價,并根據績效評價的結果,參照各流程成熟度分級評分標準,對流程進行成熟度評分考核,而后綜合各流程評分結果及權重系數,得到對信息系統整體運行的考核結果,由此完成量化評價過程。最后綜合所有定性、定量評價結果,逐一對控制活動、IT流程、IT運行環節的運行作出評定,進一步分析檢驗控制目標、IT目標,直至系統運行總體目標的實現情況。
四、研究結論
本文基于IT治理視角研究信息系統控制問題,合理吸收借鑒了COBIT標準中有關信息系統控制目標體系構建的基本思路,結合對我國商業銀行信息系統運行環境的基本特征和主要控制缺陷的分析研究,構建起一套符合我國商業銀行信息系統控制框架。該控制框架涉及“目標導向”、“流程分解”、“控制設計”以及“系統評價”四個組成部分,它基于對商業銀行信息系統“整體”的考慮,完整覆蓋了本文提出的信息系統控制實施的五個核心域,揭示了信息系統控制從目標分析、分解,到流程選擇、活動安排,再到系統績效評價全過程的實踐途徑,對我國商業銀行信息系統控制實踐具有一定指導意義。
研究發現,我國商業銀行信息系統控制的實施體現著一個“三維”結構的“整體”,具體表現為“系統———控制域———行業背景與組織戰略”。它不僅包括信息系統的“整體性”、控制域的“整體性”,以及商業銀行特定行業背景及組織戰略規劃的“整體性”,更包括三方面作為一個有機體的“整體性”。這三個“維度”相互影響、相互制約、相互促進,共同支撐起信息系統控制框架體系。以我國商業銀行信息系統環境為背景的信息系統控制框架的構建和實施,也應當基于這一“三維整體性”概念的考慮。此外,這一概念也可推廣至其他行業、企業、組織等不同環境下的信息系統控制研究和實踐,具有廣泛的適用性和后續研究價值。
【參考文獻】
[1]胡曉明.基于信息時代的IS審計若
干問題探討[J].當代財經,2006(2):125-128.
[2]胡曉明,林娟.COBIT4.0:解讀與啟示[J].科技管理研究,2007(11):243-245.
[3]金文,張金城.基于COBIT的信息系統管理、控制與審計的模型構建研究[J].審計研究,2005(4).
[4]唐志武.商業銀行業IT建設與內部控制機制的研究[J].現代情報,2006(6):204-205.
[5]許莉.IT環境下商業銀行內部控制思考[J].中國管理信息化,2005(8):52-55.
[6]ITGI.COBIT 4.1[M/OL].www.isaca.org.
【基于COBIT的銀行IS控制構建論文】相關文章:
構建和諧課堂,打造多彩語文(教學論文)12-06
談談如何構建語文新課堂(蘇教版教學論文)12-06
鑄造德育品牌構建和諧校園 德育論文12-05
構建高效語文課堂(蘇教版必修教學論文)12-06