商業銀行的ＩＴ審計是加強商業銀行內部控制的有力手段，它不僅能有效促進商業銀行核心業務系統的安全平穩運行，而且通過對ＩＴ戰略目標與商業銀行總體發展目標的一致性評估，可以最大限度地規避戰略風險、投資風險和運行風險，保證商業銀行的可持續發展。

　　一、ＩＴ審計的內涵

　　目前，國內外商業銀行的數據集中已成為必然的發展趨勢。數據的集中給商業銀行的決策層提供了及時、準確、全面的信息資源和有效的基礎平臺，實現了銀行業務數據與營業機構的分離，為銀行的管理集中和科學運營奠定了堅實的基礎。同時，數據的集中也帶來了ＩＴ決策風險、信息系統建設投資風險、信息系統運行維護風險的相對集中。如何有效地規避上述風險，并對其內控措施的有效性進行評估，是商業銀行每位高級管理人員都非常關心的問題。商業銀行ＩＴ審計不僅能夠滿足上述需要，而且還能對信息科技隊伍的建設情況、運行效率等諸多內容做出相應的評價，以確保信息發展與銀行發展戰略目標的一致性。

　　商業銀行ＩＴ審計的范圍覆蓋了全行所有系統的應用領域，以及信息系統整個生命周期中的所有活動和所有資源。與信息系統的建設不同，ＩＴ審計更關注風險的規避、管理和控制。其主要內容包括銀行ＩＴ戰略規劃審計、銀行信息系統需求獲取和開發過程審計、系統交付后技術支持和運行維護審計、對整個系統生命周期中相關管理活動的審計、對相關過程中文檔管理的審計、對相關人員的審計、對外部委托業務的審計、對災難恢復和業務持續性計劃的審計等內容。商業銀行ＩＴ審計是以風險管理為基礎，按重要性和成本效益性原則，在信息系統生命周期的全過程中，通過實施一般控制審計和應用控制審計，對相關證據進行采集和評價，用以判斷信息系統的資產安全、數據完整以及資源的有效利用，并對ＩＴ戰略規劃與銀行總體規劃的一致性進行評價。它綜合運用ＩＴ技術與審計理論及方法，為商業銀行戰略目標的實現提供合理的保障。

　　商業銀行通過ＩＴ審計，可以實現以下目標：

　　１。促進商業銀行公司治理戰略目標與ＩＴ發展戰略目標的高度一致。在金融業競爭非常激烈的今天，商業銀行的經營戰略目標必須緊隨市場的變化而變化，同時，ＩＴ技術和應用也在日新月異地發展，通過ＩＴ審計能夠評價兩者之間總體目標的一致性，并能就兩者之間的差異給出相應的咨詢建議。

　　２。優化資源配置，實現在銀行內部的合理存儲、共享和利用。通過正確的信息戰略的制定和實施，使商業銀行獲得比較優勢，促進和保障各類資源、資本在銀行內部各個環節上的合理分配和利用。通過選擇正確的技術架構和必要的手段，優化資源的有效配置，提高信息系統效用，促進商業銀行快速持久發展。

　　３。幫助董事會或高級管理層提高決策效率和決策的正確性。ＩＴ審計能夠整體識別、評價全行面臨的ＩＴ風險以及這些風險在全行范圍的分布、影響、危害等。根據這些風險的具體情況，進行風險評估，為銀行高級管理層提出客觀、明確的建議和方案，督促相關部門采取措施，確保銀行核心業務系統的安全穩定運行，從而為全行業務的快速穩定發展提供保證。

　　４。通過科學、規范、獨立而實效的ＩＴ審計，在國內外銀行界樹立良好的風險控制形象，增強國內外戰略投資者和所有利益方的信心，進而推動國有商業銀行股改上市的步伐。

　　二、ＣＯＢＩＴ簡介

　　當前，國際普遍應用的ＩＴ相關標準眾多，有ＩＴ硬件技術標準、軟件實現標準、網絡通信標準、ＩＴ服務標準，還有涉及ＩＴ系統安全及安全工程的標準等，但有關信息系統管理及如何對信息系統進行審計的標準相對較少，ＣＯＢＩＴ（Ｃｏｎｔｒｏｌ Ｏｂｊｅｃｔｉｖｅｓ ｆｏｒ Ｉｎｆｏｒｍａｔｉｏｎ ａｎｄ ｒｅｌａｔｅｄ Ｔｅｃｈｎｏｌｏｇｙ，信息及相關技術的控制目標）就是其中的一個多方面兼而有之的標準。ＣＯＢＩＴ是信息技術安全與審計組織（ＩＳＡＣＡ）在１９９６年公布的信息系統審計的框架體系標準，目前已更新到第三版。作為國際通用的、具有權威性的信息技術控制和審計標準，ＣＯＢＩＴ得到了業界的一致認同。

　　１。ＣＯＢＩＴ系列所包含的內容

　　ＣＯＢＩＴ體系框架包括了實施簡介、實施工具集、高層控制目標框架、管理指南、具體控制目標、審計指南等一系列文檔（見圖１）。從ＣＯＢＩＴ文檔的組成成分來看，不僅有管理指南，更有審計指南和具體的控制目標。在管理指南中，ＣＯＢＩＴ為每個過程提供了關鍵成功因素、關鍵目標指標和關鍵績效指標等，并根據這些指標對每個過程進行了成熟度模型的劃分。在審計指南中，ＣＯＢＩＴ就審計的控制目標、調查對象、需要掌握的證據及如何進行測試和評估做出了詳細的說明。

　　２。ＣＯＢＩＴ參照標準

　　在ＣＯＢＩＴ的制定過程中，ＩＳＡＣＡ的專家參考了許多國際標準，其中包括銀行對新興業務的要求等。其主要參照標準有：

　　（１）相關的ＩＴ技術標準，包括ＩＳＯ系列標準和ＥＤＩＦＡＣＴ等。

　　（２）相關的審計行為準則，主要包括ＩＳＡＣＡ的相關準則及歐洲的ＯＥＣＤ等。

　　（３）與ＩＴ系統和過程相關的質量標準，主要包括ＩＴＳＥＣ、ＴＣＳＥＣ、ＩＳＯ－９０００、ＳＰＩＣＥ、ＣＣ、ＴｉｃｋＩＴ等。

　　（４）與內部控制和審計相關的職業或業務標準，如ＣＯＳＯ、ＩＦＡＣ、ＡＩＣＰＡ、ＣＩＣＡ、ＩＳＡＣＡ、ＩＩＡ、ＰＣＩＥ、ＧＡＯ等。

　　（５）來自銀行、電子商務和ＩＴ制造行業等新興行業的需求。

　　從以上ＣＯＢＩＴ參照的標準來看，它不僅參考了與ＩＴ相關的技術標準，而且還包括了與審計相關的行為準則及審計標準、內控標準和模型等內容。總之，ＣＯＢＩＴ是一個兼顧ＩＴ審計和ＩＴ系統管理的國際標準。

　　３。ＣＯＢＩＴ所體現的原則

　　ＣＯＢＩＴ所體現的原則包括質量、信用和安全三個方面的內容。在質量方面主要有品質、成本和交付三個原則；信用方面的內容主要取自ＣＯＳＯ模型，主要有業務運營的效力和效果、信息的可靠性、符合相關法律法規三個原則；在安全方面主要有機密性、完整性和可用性三個原則。從ＣＯＢＩＴ體現的原則可以看出，ＣＯＢＩＴ能夠滿足商業銀行對信息系統進行審計和管理的要求。

　　４。ＣＯＢＩＴ中的信息資產

　　在ＣＯＢＩＴ中，對信息系統所包含的資產進行了劃分，主要分為以下幾類：數據、應用、技術、設施和人力資源。它不僅包含ＩＴ技術，也包含了ＩＴ基礎設施等內容。尤其重要的是，它把使用技術的人也作為一種資源并對相關的情況進行審計。

　　５。ＣＯＢＩＴ的基本架構

　　ＣＯＢＩＴ將所有與信息系統相關的活動進行了劃分，主要包括３４個過程，分屬于４個域。具體關系見表１。

　　６。ＣＯＢＩＴ的適用用戶

　　ＣＯＢＩＴ的使用人員有銀行的高級管理者、審計師和系統用戶三類人員，目前最主要的使用者是ＩＴ審計師。

　　總的來看，ＣＯＢＩＴ將ＩＴ過程、ＩＴ資源信息與企業的策略和目標聯系起來，形成了一個三維的體系結構，保障了商業銀行的ＩＴ戰略目標和其業務發展戰略目標的一致性。同時，ＣＯＢＩＴ還在信息系統審計師、管理層和ＩＴ技術人員之間搭建橋梁，使ＩＴ管理工作簡單化。基于以上原因，ＣＯＢＩＴ不論從其適用范圍還是內容上，都具備了作為一個審計標準的條件。盡管如此，其自身也存在不足之處，那就是ＣＯＢＩＴ對相關過程中所涉及的控制目標太籠統，對過程的描述能力不強，在實際應用中需要ＩＴ審計師結合具體情況加以克服和完善。以上僅從審計的角度來探討ＣＯＢＩＴ的內容，實際上ＣＯＢＩＴ不僅是信息系統審計的國際標準，更是ＩＴ治理的相關標準。

　　三、ＣＯＢＩＴ在商業銀行信息系統審計工作中的應用探討

　　在商業銀行數據大集中的形勢下，銀行信息系統面臨著兩種威脅：一是利用計算機舞弊，二是災難性破壞。計算機舞弊現象不僅存在于系統開發階段，更容易發生在維護階段。總行數據中心一旦發生災難性破壞，受到影響的將是全行范圍的所有分支機構和所有業務，經濟、信譽和法律的損失將無法估量。為此，工商銀行的行領導非常重視，除了進一步加強信息科技部門自身的內部控制和采取必要的措施之外，還于２００２年在內審部門成立了專職的ＩＴ審計處，重點對ＩＴ風險進行檢查和控制，在ＩＴ審計方面做了一些有益的探索，取得了一些經驗。

　　商業銀行在應用ＣＯＢＩＴ的具體過程中，要注意以下幾點：

　　１。從審計目的看，ＩＴ審計不僅包含對信息系統安全運行的狀況提出評價，規避操作風險，更應該使組織中的ＩＴ戰略符合企業的戰略目標，規避由于信息技術發展給企業帶來的戰略風險。在這一方面，ＣＯＢＩＴ的審計范圍幾乎涵蓋了所有與ＩＴ相關的活動。而其他幾個國際標準則各有不同，ＢＳ７７９９側重于與信息系統安全相關的活動，ＣＯＳＯ則側重于企業自身內部控制，ＩＴＩＬ則是著重ＩＴ系統的交付和支持。更為重要的是，ＣＯＢＩＴ就如何進行ＩＴ審計，給出了詳盡的指導性建議。就其適用的對象而言，只有ＣＯＢＩＴ的適用用戶包含審計師，是從審計人員的角度來全面闡述了如何對企業面臨的ＩＴ戰略風險和操作運行風險進行審計和規避。因此，應該按照ＣＯＢＩＴ要求的控制目標，盡早對銀行相關的ＩＴ過程進行審計。

　　２。在應用ＣＯＢＩＴ標準時，應以ＣＯＢＩＴ為主，還要參照其他國際標準。ＣＯＢＩＴ作為一個ＩＴ治理的通用標準和信息系統審計的框架體系，與其他的國際ＩＴ標準并不沖突。審計師在以ＣＯＢＩＴ作為主要參照標準的同時，針對信息系統審計的不同方面，可以借鑒不同的國際標準。如在對商業銀行數據中心安全方面進行審計時，可以參照ＢＳ７７９９中的相應內容，也可以參照ＳＳＥ－ＣＭＭ的標準來進行；在涉及信息系統的交付和支持時，則可以采用ＩＴＩＬ中的內容來對數據中心的相關活動進行評價和審計；在對數據中心內控機制的建設情況進行評價時，就可參照ＣＯＳＯ中的相應條款來比照評估。

　　３。對ＣＯＢＩＴ標準的采用，應結合商業銀行自身的實際情況有選擇地實施。ＣＯＢＩＴ作為一個國際標準，比較強調其通用性，而對企業的具體情況有所忽視。在具體運用過程中，可依據自身特點，結合信息系統生命周期各個階段的不同特點，有選擇、分階段地來實施ＣＯＢＩＴ中所要求的內容。

　　４。在運用ＣＯＢＩＴ實施ＩＴ審計時，可從ＣＯＢＩＴ有關過程中的控制目標入手，進行風險分析，得出與該過程相關的風險控制目標，再從風險控制目標中導出與該目標相關的風險控制點。針對每個風險控制點，結合商業銀行自身的技術特色，找出其所包含的風險檢查點，風險檢查點又可以組成對相關部分的檢查表。針對檢查的結果，與ＣＯＢＩＴ相關部分中的要求相比照，找出相關的薄弱點，并就此提出相應的改進意見。風險控制目標和風險檢查點之間的推導方式主要有兩種，一種是自下而上，即從具體的管理過程或技術實施措施入手，從中得出相應的風險控制點，對相應的風險控制點進行提煉，最后得到風險控制目標；一種是自上而下，從風險控制目標出發，將其進行分解，得到相應的風險控制點并對其進行細分，直到能夠直接得出檢查點為止。最后將得到的風險控制目標與ＣＯＢＩＴ相關過程的控制目標相比較，以確保整個信息系統審計目標的完整性。