信息技术审计作为帮助组织实现信息技术战略目标、有效利用信息资源并对信息技术风险有效管控的重要措施,越来越受到重视。一些国际组织和发达国家政府机构陆续制定和发布了一系列信息技术治理和审计方面的标准,有力地促进了信息系统使用单位改善信息技术治理结构,同时也有效地提高信息技术审计规范化水平。近年来,人民银行内审部门相继组织开展了机房管理、网络管理等多项审计项目,并于2010年开始将信息技术全面审计作为人民银行内审部门的常规审计项目。在实施信息技术审计过程中感到,人民银行内审部门应当建立一套完善的信息技术审计标准。信息技术审计标准既能够规范人民银行各级内审部门开展信息技术审计,提供审计评价指南;同时又能促使各信息系统相关部门据此改进信息系统的管理和控制。因此借鉴业界成熟的信息技术治理和审计标准构建人民银行的信息技术审计标准,具有十分重要的现实意义。 一、信息技术审计参考标准选择 构建人民银行信息技术审计标准可以选择借鉴一些国际组织或发达国家政府提出的业已成熟的标准。目前,得到公认比较成熟的信息技术治理和审计标准主要有ITIL(Information Technology Infrastructure Library,即信息技术基础架构库)、BS7799/ISO17799(信息安全管理体系)、COBIT(Control Objectives for Information and related Technology,即信息及相关技术控制目标)、PRINCE2(Projects IN Controlled Environments,受控环境中的项目管理)、CISR(Center for Information Systems Research,即信息系统研究中心)等。这些标准有其不同特点和适用范围,我们可以从中选择最适合人民银行现状的标准予以参考和借鉴。 通过以上比较(表1),并结合人民银行信息技术审计的实际,人民银行在构建IT审计标准中较为适合于借鉴COBIT。COBIT的主要特点可以总结为:一是以业务为中心。COBIT提供了一个业务目标、IT目标、信息标准之间的联系框架,有助于确保IT框架与业务需求保持一致。二是以流程为导向。COBIT在计划与组织、获取与实施、交付与支持,监控与评价四个领域内采用流程模型的方式来定义IT活动,归纳了34个常用IT流程。每一个流程均指明了业务目标与其所支持的IT目标之间的联系。三是以控制为基础。COBIT对34个IT流程均定义了高层控制目标,所有的高层控制目标又具体分为318个具体控制目标,还确定了每个高层控制目标所需的一般性控制要求。四是以测评为驱动。为了对组织自身IT流程的绩效进行客观测评,COBIT开发了成熟度模型,使用为每一个IT流程设计的成熟度模型,管理层可以通过组织的实际绩效确定当前所处的位置、通过比较确定行业的当前状况、通过期望达到的位置明确组织的改进目标,在“当前”和“获取”之间明确所需的成长路径。
由于COBIT具有上述特点,因此在构建人民银行信息技术审计标准时可以很好地借鉴和利用COBIT的内容体系。主要原因:一是COBIT拥有系统的体系结构,将IT流程、IT资源及信息、组织的策略与目标联系起来,分层次定义了控制目标,便于从纷繁的问题中明确目标、理清思路,指导审计人员开展信息技术审计工作;二是COBIT内容全面,覆盖信息及相关技术的所有方面,涉及IT治理、内部控制、IT服务、风险、项目管理、信息安全等多方面内容,正好包括了人民银行目前IT审计的所有领域,此外还提出了很多将来需要关注的内容;三是COBIT建立了广泛的评价指标,针对流程和活动定义了效果指标和绩效指标,采用成熟度模型实施流程基准管理以识别所需的能力改进,适合人民银行内审部门在IT审计过程中对信息技术的各个环节和方面进行全面的评价,提出改进建议,发挥内审的增值作用。 二、借鉴COBIT构建人民银行信息技术审计标准 借鉴COBIT来构建人民银行IT审计标准,一是可以从系统的角度,采用自上而下的方法,以风险为导向,全面规划审计领域和内容;二是可以以控制为主线,确定各项流程控制目标和控制措施,明确相应的审计方法;三是可以以治理为目标,建立成熟度模型指导IT审计评价,以此促进IT治理水平的提高。 根据上述思路,人民银行IT审计标准主要由控制流程、审计指南和评价指南三部分组成(图1)。其中,控制流程包括控制目标、关键控制点和控制活动;审计指南包括审计方法和参考依据;评价指南包括评价指标和成熟度模型。具体构建方法如下:
(一)规划审计领域和内容,设计控制流程,明确审计关注内容 按照人民银行IT发展现状和规划,审计领域有计划、建设、运行和监控四个方面,涵盖了人民银行IT管理的所有内容。近年来人民银行IT审计也是紧紧围绕这四个领域开展的。通过对人民银行IT审计内容进行归类,并参考COBIT流程设置,确定了四个领域中的32个控制流程,形成了人民银行IT审计详细控制流程一览表(表2)。