it审计论文第八篇:针对金融创新的IT审计方法
摘要:随着金融创新的不断发展,IT审计已经成为金融机构日常审计工作中的重要组成部分。本文首先阐述里在金融创新形势下IT审计工作的重要性。随后详细论述了COBIT框架为基础的IT审计方法,COBIT将IT过程、IT资源与信息准则联系起来形成一个三维的体系结构,使得信息技术目标和企业战略目标之间实现了互动。利用COBIT框架提供的过程控制目标可以有效的定制针对金融机构的IT审计方案。
关键词:金融创新;IT审计;COBIT;
一、金融创新的发展形势与IT审计的重要性
近年来,金融业务和模式不断创新,一方面,以网上银行、手机银行、电子银行以及多种第三方支付方式为代表的新金融业务和模式快速发展,另一方面,金融机构将信息技术与金融业务紧密结合,也推出了一系列富有特色的金融服务。信息科技对金融创新作用已经不仅仅是支撑,而是开始发挥一定的引领作用。可以说,随着金融创新不断地发展,金融体制和金融工具都发生着深刻而有意义的变化,伴随着这种变化而来的是无限的潜在利润。然而,快速发展的金融创新对信息科技的高度依赖带来的一系列风险也渐渐凸显出来,也就是金融行业的信息科技风险。
IT审计作为信息科技风险的一道防线,其是对以计算机为核心的信息系统进行的审计,具体而言就是指IT审计人员从独立的第三方的角度,对信息系统从规划、开发、测试、实施到运行维护的过程进行审查与评价的活动。IT审计活动的范围跨越信息系统整个生命周期,要求IT审计人员具备计算机专业知识、审计知识与管理学知识,同时需要对信息安全有较高的敏感性,对管理和内部控制有深刻的理解。
随着金融创新的快速发展,切实做好金融机构的IT审计工作是金融机构降低运营风险,获得可持续发展的重要保证。加强对金融IT策略、安全、效益的审查与评估,为管理层战略规划、投资决策、化解风险提供重要依据,就显得尤为迫切和重要。IT审计工作在金融行业风险管理中的必要性和重要性也随之不断提升。
二、针对金融创新的IT审计方法
(一)金融创新大环境下IT审计的工作内容
现代金融行业的IT审计,是基于风险的审计。一般而言,信息科技在金融领域的广泛应用所带来的风险至少有投资风险、管理风险、信息系统基础运维风险三个方面,这也是IT审计的三个领域:
1、IT治理和管理领域。此领域主要是针对投资风险,在近两年迅猛发展的金融业务创新的强大需求下,信息技术应用的投入是非常巨大的,但是大的投入是否恰当、及时、有效,能否真正带来相应的效益或实现相应的目标,失败也并不鲜见。而作为IT审计部门,会关注金融业的IT治理、合规、IT战略和规划,应当并且可以在其中发挥积极作用。
2、应用控制领域。运用信息技术进行管理和管理信息技术,是一个组织机构的决策部门、管理部门和运营部门的共同任务。应用控制领域关注业务流程中内嵌的信息系统相关控制,以保证信息处理的完整性、准确性、有效性和访问控制。应用系统控制包括数据控制、业务流程控制、接口控制、系统外控制等。如何让不断的创新金融业务与IT相互促进,做好业务应用系统的开发和维护是不可回避的,这同时也对IT运维人员提出了更高的业务要求。
3、一般控制领域。此领域针对的是信息科技基础运维风险。在这个领域,IT审计人员关注整个计算机环境,包括IT物理环境、IT基础设施、信息安全和业务连续性管理等方面,为金融创新打好科技基础。
(二)基于COBIT审计框架的审计方法
目前,COBIT是国际上最为广泛接受的IT审计标准,美国信息系统审计与控制协会(ISACA)于2012年6月发行了COBIT 5,COBIT 5巩固并集合了COBIT 4.1,Val IT 2.0和RISK IT框架,同时从BMIS和ITAF中汲取了部分内容。COBIT将IT过程、IT资源与信息准则联系起来,形成一个三维的体系结构,使得信息技术目标和企业战略目标之间实现了互动。因此鉴于COBTI的通用性、简易性及所出具审计报告的明确性,利用COBIT框架针对金融系统开展审计工作是极为合适的。
COBIT将信息系统的业务过程按照生命周期划分为计划组织(PO)、获取实施(AI)、交付支持(DS)及监控(M)四个域。以某第三方支付机构为例,根据其业务流程,该第三方支付机构的IT管控体系可以划分为IT规划阶段、IT实施阶段、运行阶段和后评估阶段,如图1所示。
图1 下载原图
COBIT框架中的四个域下定义了34个过程控制目标,例如PO1,每个过程控制目标又定义了若干过程控制子目标,例如PO11,过程控制子目标为318个。同时COBIT框架把信息标准定义为7种:有效性、效率性、机密性、完整性、可用性、一致性和可靠性;将IT资源定义为5类:人员、应用、技术、设备和数据。金融机构IT评价指标的选择可以借鉴COBIT的过程控制目标,由于COBIT的普遍适用性,不管哪类企业的信息化评价,都可以从中找出可以参考的指南,但也注定了它广泛但缺乏针对性。由于金融机构的IT状况以及IT需求不同,所以评价的重点也有所不同。IT工作人员应能够根据金融机构自身的实际情况,对照COBIT过程,选取适合自身的基本控制指标。在选取控制指标时,IT审计人员可以通过行业与管理环境的比较,或对照正在发展的国际标准和规章,确定金融机构本身的信息化过程,这些过程可以作为金融机构快速自我评定的参考指标。首先参考COBIT控制目标选择基本的评价指标体系并根据金融机构的实际需要选取扩展其他评价指标,然后将金融机构选取的指标与COBIT控制目标形成映射关系。这样,既能够满足评价在基本的标准体系中进行,保证评价指标的科学合理性,同时又能够满足信息化评价的个性化需求,保证评价的灵活性。例如,某第三方支付机构的评价指标体系可以设计为如图2所示。
图2 下载原图
在上述控制目标的基础上,结合金融机构的IT管理工作,确定每个阶段的分等级成熟度指标;各阶段关键成功要素;各阶段关键目标指标;各阶段关键绩效指标。在此基础上形成各阶段的管控流程,明确流程之间的接口,并进一步进行角色的划分,确定IT部门以及相关职能部门的工作范围和职责。这里仅以规划阶段的IT战略规划为例,建立管控模型,如下页表1所示。
三、IT审计工作发展的探索
在金融业务创新的需求导向下,IT审计工作面临很多挑战,同时也具有很大的发展空间。在大数据时代,随着数据分析和数据挖掘技术的应用,敏感信息界定已经十分困难了,多种非敏感信息的有效组合也可以得出高度敏感的商业数据,这种情况下,到底什么是真正敏感的信息,如何去保护它,这是信息安全面临的新挑战,同时也需要IT审计工作者进行进一步的深度思考。
而计算机 辅助审计 技术(CAATs)的应用也越来越向深层发展。一方面,数据分析技术对金融行业的持续监控与审计的支持,用于持续探索与深入了解以往业务过程,通过程序或软件构建一个持续的、实时的审计证据收集系统,以获取和提取有价值的信息并推进业务的发展。另一方面,通过广泛地使用数据、统计与定量分析、解释与预测模型,并通过基于事实的管理,可以推动整体的决策。结论是,计算机辅助审计技术的深层次应用将为金融行业IT审计工作带来新的发展空间。
参考文献
[1] .戴荣,引入IT审计提高央行内审工作水平,华南金融电脑[J],2008年第10期。
[2] .王光石,网上银行审计指引,金融电子化[J],2011年第3期。
[3] .刘亚莉,基于风险的IT审计的研究,中国外资[J],2013年第6期。
