1 绪论
1.1 研究背景
随着信息技术不断发展,应用逐渐成熟,信息系统已经成为了银行能够高效处理业务的重要保障。信息科技技术能够帮助银行处理并妥善的存储每日发生的大量交易,利用互联网通信技术让银行在跨区域范围的情况下实现业务信息的互通互联,实时掌握自身运营情况。在信息系统技术带来的巨大优势引导下,自 1999 年以来,在银行业的信息系统经历了一系列的发展,我国银行业电子化的信息管理系统从无到有,经历了快速发展,目前银行业每年在信息系统技术上的投资已经超过了 1200 亿。因此,对信息管理系统经济性、效率性和效果性的评价需求也逐年递增,国内在银行信息系统审计评价体系建设方面经验不足,主要借鉴国际上的指导准则和应用标准。
COBIT 5 准则是为信息系统审计评价标准和建设指导的一套体系,目前已经有 100余个国家的企业和组织开始采用了 COBIT 5 准则来对自身的信息系统进行审计。最初,COBIT 控制框架由国际信息系统审计协会(ISACA)在 1996 年公布,目前已经历经多次革新,在 2012 年框架准则发展到了 COBIT 5 的阶段。其中整合了 COBIT 4.1、Val IT 2.0 和 RISK IT 框架,同时从 BMIS 和 ITAF 中汲取了部分内容。COBIT 5 框架准则利用其在灾难恢复计划和持续管理在随后的几年里开始被世界范围内的企业和组织广泛应用。从目前来看,国内一些内部改革较为积极的银行组织,已经开始了 COBIT 5 在内部审计中的应用,主要应用于 EDP 电子数据处理审计、信息系统安全审计和 IT 流程改善的咨询审计。本课题则是在 COBIT 5 准则应用逐渐成熟和银行信息系统不断发展基础上,以 COBIT 5 准则为评价框架,分析银行业信息系统审计评价框架的问题,对银行业的信息系统审计评价框架提出改进建议。截至 2019 年,COBIT 5.0 已经在部分有国内银行业的龙头企业中实现应用,效果也有目共睹,信息系统技术领先的银行企业能够驾驭遍布全国的网点间传递的海量业务,并维持系统稳定。而 COBIT 5.0 的不断发展扩充也使得其可应用性越来越强,逐渐成为了银行信息系统审计参考的主流。而事实上部分中小银行仍然没有自己的信息系统审计评价标准。
........................
1.2 研究目的与意义
1.2.1 研究目的
其通过对 DL 银行的案例分析,研究 DL 银行的信息系统审计评价体系,依照COBIT 5 框架的相关流程标准,发现 DL 银行在信息系统审计评价体系构建上的不足,促进审计评价体系完善。同时,加深 COBIT 5 框架在国内银行业的应用实践经验,推动信息系统审计评价框架建设方面的研究,结合传统审计评价和信息系统审计评价的交叉内容,为信息系统审计的发展做出正面影响。
1.2.2 研究意义
(1)理论意义
由于银行业务模式整合度较高,对于数据记录的完整性和准确性很大程度上依赖可靠的信息处理系统,系统运行的稳定性很大程度上影响着银行的运营风险水平。因此,对于银行信息系统的风险控制也显得尤为重要。对银行信息系统的审计,能够在一定程度上对数据的完整和准确做出合理保证,同时应用 COBIT 框架的应用方法对审计评价框架进行持续改进,可以在方法上获得与时俱进地更新。
(2)现实意义
文章应用的 DL 银行为案例进行研究,其规模水平以及运营水平均处于行业平均水平,能够反映出目前国内银行业的业态的一般水平。目前来看,中小型银行并没有普及信息系统审计及其相关标准,多数银行仅将信息系统审计水平保持在合规性阶段,忽视效益性等问题,信息系统审计改进研究就显得弥足重要。此外,该公司对于信息系统的审计未处于空白状态,有一定的研究意义。以 COBIT 5 框架对 DL 银行信息系统审计评价框架进行优化研究,可以为整体银行业的信息系统审计评价提供良好的经验基础.
............................
2 文献综述与相关理论 2.1 国内外研究文献综述
2.1.1 国外研究文献 (1)COBIT 框架研究
Steven De Haes (2013)等人在 COBIT 完成第五次修订后率先开始进行研究,将研究重点放在了 COBIT 5 如何更好地作为企业 IT 治理的基本框架,跳出以往研究时仅将 COBIT 视为执行工具或者单纯将 COBIT 标准与其他标准对比的研究方法。主要研究的方法是将 COBIT 5 框架相结合应用于企业日常的 IT 管理,期望通过此研究能够为以后的研究提供不同思路[1]。
Othman M (2013)在研究中认为 COBIT 原则本身是一种技术性的管理原则,IT控制本身也是治理手段,其可以应用于广泛的治理活动。COBIT 原则对于日常活动中的可能性风险能够进行有效地评级,关注点并非特定公司或特定行业的具体治理方法论,而重点关注的内容是公司或组织的抗风险能力发展[2]。
Montenegro C (2018)在研究中指出了应用 DSR 方法在 IT 治理软件设计的重要作用,论证了 COBIT 5 是 IT 治理中的最佳实践。其研究结果十分有助于正在建设现代企业体系的发展中国家,通过在 IT 治理领域的开发实现管理高效[3]。
Vernando Jarsa 和 Kevin Christianto (2018)在研究中表明了信息化已然普及的当下企业大环境下信息系统对企业的帮助是巨大的,但多数企业缺少对自身信息系统的维护能力,在信息系统遭遇安全威胁时企业将遭受巨大损失。研究将 COBIT 5 作为 IT 治理的基本框架,应用于企业 DSS 领域,为企业提升 IT 治理能力和 IT 审计提供方向[4]。
......................
2.2 信息系统审计相关理论
2.2.1 信息系统的相关概念
(1)信息系统的定义
信息系统是由一系列电子信息技术的软件和硬件配置组成的、能够按照使用者要求对产生的信息进行储存、识别、分析和应用的组织系统。从结构上来看,信息系统包括有硬件基础设施层、能够储存并查询信息的资源管理层、实现相关功能的业务逻辑层和实现人机交互的应用表现层。
(2)信息系统的类型
电子数据处理系统:电子数据处理系统利用计算机代替人工处理过程,通过对系统的权限设定规定哪些人员能够处理何种信息。这种电子数据处理系统主要包括有计算机处理工资单、财务报表和账单等开始。管理信息系统:管理信息系统在电子数据处理系统基础上发展起来,区别于电子数据处理系统是其具有处理和获取数据的功能。决策支持系统:决策支持系统作为辅助决策工作的一种信息系统,改变了以往信息系统只负责记录和储存的功能,决策支持系统通过一定的运算功能,根据使用者需求进行数据展示,为组织的战略部署提供数据支持。
(3)信息系统安全
信息系统安全是指其硬件、软件和数据受到保护地情况,安全包括物理环境的安全稳定和系统环境的稳定。物理环境的安全主要涉及人员责任的分配,在应急计划中,由信息系统管理人员制定的灾难恢复能力系统保证信息系统数据不受摧毁。安全的第二点概念是在信息系统内的逻辑性控制安全,保证信息系统不受逻辑炸弹、木马和病毒等手段攻击[29]。
.......................
3.1 DL银行概况介绍 ........................ 14
3.2 DL银行信息系统及信息系统审计概况 ......................... 14
4 基于COBIT 5框架完善DL银行信息系统审计评价体系 ......................... 25
4.1 依据COBIT 5框架改进DL银行审计评价标准 ............................... 25
4.1.1 采用COBIT 5框架下的企业IT目标分层 ............................25
4.1.2 结合流程能力模型制定DL银行审计评价标准 .............27
5 针对DL银行信息系统审计评价改善意见的保障措施 .....................40
5.1 寻求行业审计框架标杆 ............................ 40
5.1.1 参与制定行业相关审计评价标准 ..................................... 40
5.1.2 强化银行信息系统审计业务交流机制 ........................40
5 针对 DL 银行信息系统审计评价改善意见的保障措施
5.1 寻求行业审计框架标杆
5.1.1 参与制定行业相关审计评价标准
DL 银行信息系统审计工作存在一定随意性,其源头主要在于缺少与其他银行的标准对比,没有统一的行业标准,对外包审计工作成果的评价也缺少了标杆。要保障 DL银行提高往后的信息系统审计质量,需要统一的标准来评价外包服务机构,可以应用《商业银行科技风险指引》、《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等相关规定,对审计流程进行标准化设计,让审计成果有一定的评判标准。
DL 银行在行业审计评价标准的制定过程中,必须要注意与行业中各环节的利益相关者建立长效沟通机制。在同业者层面,对业内信息系统审计发展程度较好的银行机构进行学习,了解同业者的实际操作,结合 COBIT 5 框架和 DL 银行自身的实际情况进行可对比的审计标准制定;在审计供应商层面,建立统一的竞标标准,使审计供应商也有相关的审计标准进行参考。在实现过程中,DL 银行必须在同业者间充分发声,交流先进的审计策略和思想,促进沟通回馈机制的建立。
..............................
结论与展望
研究结论: 随着时代的发展,一些信息流价值较高的企业,诸如银行业等越来越需要信息系统审计来审查自己的信息系统水平,为企业的日常经营提供一定的确定性。论文以 DL 银行作为案例,分析 COBIT 5 框架如何在中小型银行进行应用,研究得出以下结论:
(1)COBIT 5 框架中为组织提供的手段具有较好的可行性,目前来看,中小型银行亟待获得低成本且在过去具有一定成功经验的手段来维护自身信息系统,以便在符合成本效益的条件下减低银行经营风险,
COBIT 5 框架能够提供与中小型银行需求相符合的审计评价手段。
(2)信息系统审计评价应同时注重信息系统与组织业务需求的符合性和成本效益性,对信息系统过大的投入也会在财务层面降低组织的抗风险能力,多维度的评价方法能够让组织更加客观地看待自身对信息系统的真实需求,并且重视信息系统建设的成本问题,立足组织的长远发展。
(3)在中小型银行贯彻落实具体的信息系统审计评价方法需要改变其内部的管理机制,改变管理层对信息系统审计评价的认识,不断为信息系统审计评价在同业内的发展做出积极反馈。同时在内部推动对员工的职业素养教育,更好地认识信息系统审计评价,最终为银行在信息系统审计评价作出实质性提升提供保障措施。
参考文献(略)