教你銀行IT審計方法

2014-11-08 22:45:18 大云網　點擊量：評論 (0)

近年來，因銀行業務流程中對信息系統的依賴程度日益加大，這使得信息系統的固有風險隨著系統的復雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此，作為商業銀行信息科技風險管理的第三道防線

COBIT（Control Objectives for Information and related Technology）是由信息系統審計與控制基金會最早在1996年制定的IT治理模型。這是一個在國際上公認的、權威的安全與信息技術管理和控制的標準，也是目前國際上通用的信息系統審計的標準之一。COBIT是一個基于控制的IT治理模型，其制定的宗旨是跨越業務控制和IT控制之間的鴻溝，從而建立一個面向業務目標的IT控制框架。

COBIT本身并非針對IT審計的專門論述，其面向的使用者可以是企業中想通過改善IT過程實現經營目標的管理者，也可以是業務過程的所有者，即用戶，也可以為IT審計師。它在商業風險、控制需要和技術問題之間架起了一座橋梁，以滿足管理的多方面需要。在最新的COBIT5.0版本中，COBIT已經被稱作“一個治理和管理企業IT的業務框架”。

COBIT4.1版本中經典的體系框架一直為眾多使用者參考使用，它包括了實施簡介、實施工具集、高層控制目標框架、管理指南、具體控制目標、審計指南等一系列文檔（見圖1）。管理指南為每個過程提供了關鍵成功因素、關鍵目標指標和關鍵績效指標等，并根據這些指標對每個過程進行了成熟度模型的劃分；而審計指南，則就審計的控制目標、調查對象、需要掌握的證據及如何進行測試和評估做出了詳細的說明。

COBIT4.1版本中的流程參考模型將所有與信息系統相關的活動進行了劃分，主要包括34個流程，分屬4個域。而COBIT 5.0的參考模型涵蓋了治理和管理流程的完整集合，共分為37個流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者，同時也融合了風險IT、價值IT流程模型。COBIT的廣泛通用性也造就了它在應用上的弱點