基于COBIT的銀行IS控制構建論文

　　【摘要】隨著(zhù)我國金融業(yè)信息化程度的不斷提高，商業(yè)銀行信息系統安全性、穩定性以及效益性顯得尤為重要。文章基于IT治理視角，合理借鑒COBIT（信息及相關(guān)技術(shù)控制目標）標準中有關(guān)信息系統控制目標體系構建的基本思路，結合對我國商業(yè)銀行信息系統運行背景的分析，初步構建了符合我國實(shí)際的商業(yè)銀行信息系統控制框架，并進(jìn)一步提出信息系統控制實(shí)踐中的“三維整體性”概念。

　　【關(guān)鍵詞】COBIT；IT治理；IS控制

　　一、引言

　　隨著(zhù)我國金融信息化程度的不斷提高，銀行業(yè)逐漸成為國民經(jīng)濟中信息技術(shù)應用最密集、應用水平最高的行業(yè)之一。

　　國內外大量實(shí)踐表明，隨著(zhù)信息技術(shù)在銀行業(yè)的綜合應用，商業(yè)銀行信息系統的安全及運行效率等問(wèn)題將面臨更多挑戰，由于系統運行失效而導致的負面影響也不斷增加。與商業(yè)銀行信息化的迅速發(fā)展相反，我國至今尚未對信息化過(guò)程中出現的各類(lèi)問(wèn)題給予足夠重視并實(shí)施有效監管，對商業(yè)銀行信息系統運行的相關(guān)監管標準也基本上屬于空白。為此，有必要深入關(guān)注商業(yè)銀行的IT治理問(wèn)題，從商業(yè)銀行信息系統“整體”出發(fā)，構建一整套控制框架，一方面使商業(yè)銀行的IT治理戰略充分體現其商業(yè)戰略目標，另一方面有效地對商業(yè)銀行信息系統存在的風(fēng)險和運行質(zhì)量進(jìn)行量化預測和評價(jià)，從而盡可能降低信息系統風(fēng)險、提高系統安全水平與運行效率，并進(jìn)一步提升商業(yè)銀行的整體競爭力。

　　二、信息系統控制原理及COBIT標準解讀

　�。ㄒ唬┬畔⑾到y控制原理

　　信息系統控制涉及組織的IT運營(yíng)效率、風(fēng)險管理、系統安全、業(yè)務(wù)連續性、系統完整性、規章依從性以及價(jià)值創(chuàng )造等多方面的內容。如何最大限度地降低信息技術(shù)對業(yè)務(wù)的負面影響，信息系統如何充分為企業(yè)戰略目標服務(wù)，如何獲得IT價(jià)值最大化，是每個(gè)企業(yè)都必須要直接面對的信息系統安全與IT治理問(wèn)題。

　　基于IT治理的理論視角，筆者認為，信息系統控制應當是一系列管理、規劃、績(jì)效報告及流程審查過(guò)程的集合。企業(yè)信息化進(jìn)程中面臨的一個(gè)關(guān)鍵挑戰就是：組織對IT治理的需求達到了什么程度，什么情況下才算充分。信息系統控制目標的實(shí)現及相關(guān)控制實(shí)踐活動(dòng)的實(shí)施，更需要有專(zhuān)業(yè)而適用的標準指南進(jìn)行指導。目前國際上流行的信息系統控制相關(guān)標準/最佳實(shí)踐有十余種之多，如COBIT、COSO、ITIL、ISO/IEC17799、ISO/IEC TR13335、PRINCE2、PMBOK、Tic kIT、TOGAF8.1等，它們涉及的領(lǐng)域、范圍及深度各有不同。

　�。ǘ�）COBIT標準及其應用解讀

　　與其他控制標準相比，國際信息系統審計與控制協(xié)會(huì )（ISACA）面向全球公開(kāi)發(fā)布的COBIT（信息及相關(guān)技術(shù)控制目標）標準無(wú)論在應用范圍的廣度、技術(shù)深度、靈活性、適用性以及標準兼容性等方面都凸顯優(yōu)勢，它提供了一套權威的、全球通用的標準體系，旨在規范并提高IT治理水平、有效防范控制風(fēng)險以及增加信息技術(shù)價(jià)值等。

　　COBIT標準體系的構建最初出發(fā)點(diǎn)來(lái)源于公司治理與內部控制視角，它接受并遵循COSO報告關(guān)于內部控制框架的指導思想，實(shí)現了企業(yè)目標與IT治理目標的有機統一，同時(shí)借鑒CMM的'能力成熟度模型，并以此為“基準”來(lái)衡量IT控制和績(jì)效水平�；�于實(shí)踐過(guò)程的需要，COBIT控制目標體系從組織的商業(yè)需求出發(fā)，整合IT資源，通過(guò)執行一系列IT流程及相關(guān)測評活動(dòng)來(lái)傳遞企業(yè)信息，以滿(mǎn)足商業(yè)需求�？紤]到COBIT標準應用中的靈活性和可操作性，本文將標準原有的“立方體”式理論模型重新整合劃分為三大功能模塊，即“控制活動(dòng)、流程設計模塊”、“系統評價(jià)模塊”和“信息系統審計模塊”，如圖1所示，從而更進(jìn)一步突出反映COBIT控制目標體系的功能性和實(shí)踐路徑。

　　考慮到COBIT標準在國內商業(yè)銀行特定信息系統運行環(huán)境下的適用性和實(shí)用性，本文對我國商業(yè)銀行信息系統控制存在的主要問(wèn)題和特定要求進(jìn)行逐一分析，據以提出銀行信息系統控制目標，進(jìn)而初步構建我國商業(yè)銀行信息系統控制框架體系。

　　三、商業(yè)銀行信息系統控制框架初建

　�。ㄒ唬┪覈�商業(yè)銀行信息系統控制缺陷分析及控制目標設定

　　商業(yè)銀行信息技術(shù)和信息系統控制主要是指對商業(yè)銀行通過(guò)實(shí)施信息技術(shù)工作過(guò)程的控制目標和相關(guān)控制活動(dòng)，對信息技術(shù)和系統風(fēng)險進(jìn)行有效識別和實(shí)時(shí)監控，保證系統的安全高效運行和過(guò)程改進(jìn)，從而為商業(yè)銀行各項業(yè)務(wù)活動(dòng)、管理活動(dòng)和支持活動(dòng)提供有效、安全、可靠的信息技術(shù)服務(wù)。目前，我國商業(yè)銀行信息系統控制主要存在以下幾方面問(wèn)題：首先是IT監管風(fēng)險問(wèn)題。商業(yè)銀行信息系統自身的安全性、可靠性及有效性等直接關(guān)系到整個(gè)銀行業(yè)的安全，乃至整個(gè)金融系統的穩定性，應當執行一整套信息系統評估機制，提升并完善IT組織職能，加強IT審計的實(shí)施效力和效果，健全IT治理架構等。

　　其次是IT決策效率低下問(wèn)題。效率低下是IT決策風(fēng)險的集中體現，具體表現在以下三個(gè)方面：一是對項目建設、軟件費用等大多采用一事一議，缺乏全局考慮和控制；二是缺乏授權機制。三是IT基礎資源的分配缺乏決策流程，精細化管理程度不高。

　　再次是IT規劃與框架的不完善，甚至缺失。目前各大商業(yè)銀行通常由總行科技部門(mén)負責全行的IT規劃和IT架構制定，而對事業(yè)部門(mén)自身的IT規劃和IT架構如何與總行實(shí)現有機對接，并無(wú)合理的制度性安排，從而存在IT失控的危險。

　　最后是IT評價(jià)機制的無(wú)規性和無(wú)序性�，F階段，我國商業(yè)銀行系統雖然已經(jīng)開(kāi)始逐步認識到IT治理結構的制度建設，但仍然忽略了IT評價(jià)機制的構建，甚至尚未認識到信息系統評價(jià)、監督的重要作用。

　　綜合以上分析，當前我國商業(yè)銀行信息系統運行總體目標主要應當關(guān)注以下四個(gè)方面：在財務(wù)系統控制方面，應特別關(guān)注信息技術(shù)相關(guān)風(fēng)險的管理，盡可能避免因系統缺陷或是人為操縱所致的系統風(fēng)險、差錯甚至災難；在銀行業(yè)務(wù)系統控制方面，首先應當確保實(shí)現各類(lèi)金融服務(wù)的連續性和可獲得性，并密切關(guān)注金融市場(chǎng)環(huán)境和經(jīng)濟法律環(huán)境的變化，對其作出靈敏反應，在實(shí)現相關(guān)金融服務(wù)目標的同時(shí)，還應考慮成本最優(yōu)化原則；在銀行內部管理系統控制方面，除了要確保制度設計、政策制定符合內部、外部合規性，還要不斷提高銀行的運營(yíng)效率和職員的工作績(jì)效；在商業(yè)銀行組織自身的學(xué)習與成長(cháng)性方面，主要應當關(guān)注對技術(shù)型、進(jìn)取型人才的獲得和留用。由此初步確定了我國商業(yè)銀行信息系統控制目標體系整體框架構建的第一步———確定商業(yè)銀行信息系統總體運行目標，并據以確定相應的IT目標。

　�。ǘ�）基于COBIT的商業(yè)銀行信息系統控制框架設計及應用解析

　　在前文研究的基礎上，筆者進(jìn)一步構建我國商業(yè)銀行信息系統控制整體框架，如圖2所示。如圖2所示，我國商業(yè)銀行信息系統控制從商業(yè)銀行組織的總體戰略目標出發(fā)，先確定銀行信息系統運行總體目標，對總目標進(jìn)行分析、分解，具體確定與之相關(guān)的IT目標，實(shí)現系統總體目標對IT目標的需求指導，以及IT目標對總體目標的執行反饋，這就是圖示框架的第一環(huán)節———目標導向。

　　在“流程分解”環(huán)節，需要根據“目標導向”環(huán)節確定的IT目標，對應選擇目標實(shí)現所需要的IT流程。這些流程可能覆蓋“系統規劃”、“系統運行”、“環(huán)境支持”以及“監督評價(jià)”四個(gè)關(guān)鍵環(huán)節中的一個(gè)或幾個(gè)，流程選擇的基本原則就是將IT目標進(jìn)一步細分，考慮該目標實(shí)現所需要的來(lái)自各環(huán)節的IT支持，再將這些技術(shù)支持要素轉化為具體可執行的IT流程。針對每一個(gè)選定的流程，還需要進(jìn)一步確定各流程的定義、范圍、要素、主要目的、實(shí)現途徑、關(guān)鍵測度指標等，同時(shí)考慮與之相關(guān)聯(lián)流程，特別是前后相流程間的結果影響。

　　在對特定IT流程作出明確規劃設計之后，信息系統控制進(jìn)入“控制設計”環(huán)節，這里主要涉及三方面工作，一是針對某個(gè)既定IT流程，進(jìn)一步細分確定該流程的若干個(gè)具體控制目標，這些目標應當能夠完整可靠支持該流程的運行，進(jìn)而支持流程執行所承擔的相應IT目標的實(shí)現；二是根據這些控制目標導向要求，再將IT流程分解成為一系列具體的控制活動(dòng)，這些控制活動(dòng)不只是概念上的定義，而是直接可操作的具體工作或任務(wù)，它們是信息系統控制實(shí)施的最小工作單元；三是對這些具體控制活動(dòng)作出明確的權責界定，分清各項活動(dòng)由誰(shuí)負責執行，由誰(shuí)負責就活動(dòng)詳情作出解釋?zhuān)�活�?dòng)執行的結果由誰(shuí)承擔責任，以及執行情況應當向誰(shuí)報告等，從而確�？刂苹顒�(dòng)及整個(gè)IT流程實(shí)施的效力和效率。根據控制活動(dòng)的執行情況，匯總得到IT流程的整體運行結果，而后進(jìn)入“系統評價(jià)”環(huán)節。該環(huán)節需要分別針對控制活動(dòng)、IT流程和IT目標設定評價(jià)量化的指標體系，并根據系統具體情況，參照相關(guān)行業(yè)標準，設定指標評價(jià)的參考值�；�于控制活動(dòng)實(shí)施的結果進(jìn)行測定，進(jìn)行流程績(jì)效評價(jià)，并根據績(jì)效評價(jià)的結果，參照各流程成熟度分級評分標準，對流程進(jìn)行成熟度評分考核，而后綜合各流程評分結果及權重系數，得到對信息系統整體運行的考核結果，由此完成量化評價(jià)過(guò)程。最后綜合所有定性、定量評價(jià)結果，逐一對控制活動(dòng)、IT流程、IT運行環(huán)節的運行作出評定，進(jìn)一步分析檢驗控制目標、IT目標，直至系統運行總體目標的實(shí)現情況。

　　四、研究結論

　　本文基于IT治理視角研究信息系統控制問(wèn)題，合理吸收借鑒了COBIT標準中有關(guān)信息系統控制目標體系構建的基本思路，結合對我國商業(yè)銀行信息系統運行環(huán)境的基本特征和主要控制缺陷的分析研究，構建起一套符合我國商業(yè)銀行信息系統控制框架。該控制框架涉及“目標導向”、“流程分解”、“控制設計”以及“系統評價(jià)”四個(gè)組成部分，它基于對商業(yè)銀行信息系統“整體”的考慮，完整覆蓋了本文提出的信息系統控制實(shí)施的五個(gè)核心域，揭示了信息系統控制從目標分析、分解，到流程選擇、活動(dòng)安排，再到系統績(jì)效評價(jià)全過(guò)程的實(shí)踐途徑，對我國商業(yè)銀行信息系統控制實(shí)踐具有一定指導意義。

　　研究發(fā)現，我國商業(yè)銀行信息系統控制的實(shí)施體現著(zhù)一個(gè)“三維”結構的“整體”，具體表現為“系統———控制域———行業(yè)背景與組織戰略”。它不僅包括信息系統的“整體性”、控制域的“整體性”，以及商業(yè)銀行特定行業(yè)背景及組織戰略規劃的“整體性”，更包括三方面作為一個(gè)有機體的“整體性”。這三個(gè)“維度”相互影響、相互制約、相互促進(jìn)，共同支撐起信息系統控制框架體系。以我國商業(yè)銀行信息系統環(huán)境為背景的信息系統控制框架的構建和實(shí)施，也應當基于這一“三維整體性”概念的考慮。此外，這一概念也可推廣至其他行業(yè)、企業(yè)、組織等不同環(huán)境下的信息系統控制研究和實(shí)踐，具有廣泛的適用性和后續研究?jì)r(jià)值。

　　【參考文獻】

　�。�1］胡曉明.基于信息時(shí)代的IS審計若

　　干問(wèn)題探討［J］.當代財經(jīng)，2006（2）：125-128.

　�。�2］胡曉明，林娟.COBIT4.0：解讀與啟示［J］.科技管理研究，2007（11）：243-245.

　�。�3］金文，張金城.基于COBIT的信息系統管理、控制與審計的模型構建研究［J］.審計研究，2005（4）.

　�。�4］唐志武.商業(yè)銀行業(yè)IT建設與內部控制機制的研究［J］.現代情報，2006（6）：204-205.

　�。�5］許莉.IT環(huán)境下商業(yè)銀行內部控制思考［J］.中國管理信息化，2005（8）：52-55.

　�。�6］ITGI.COBIT 4.1［M/OL］.www.isaca.org.

【基于COBIT的銀行IS控制構建論文】相關(guān)文章：

構建和諧課堂，打造多彩語(yǔ)文（教學(xué)論文）12-06

談?wù)勅绾螛嫿ㄕZ(yǔ)文新課堂(蘇教版教學(xué)論文)12-06

鑄造德育品牌構建和諧校園 德育論文12-05

構建高效語(yǔ)文課堂(蘇教版必修教學(xué)論文)12-06

構建活動(dòng)德育模式實(shí)現德育中人的回歸 德育論文12-05

構建和諧課堂,提高課堂效率(蘇教版必修教學(xué)論文)12-06

構建主題模式，打造有效閱讀(魯教版選修教學(xué)論文)12-06

建設特色班級構建和諧學(xué)校---說(shuō)說(shuō)我的班級管理(教學(xué)論文)12-06

構建和諧的師生關(guān)系 (高三班主任工作論文)12-05

如何構建和諧班集體 (高一班主任工作論文)12-05