【摘要】隨著我國金融業信息化程度的不斷提高，商業銀行信息系統安全性、穩定性以及效益性顯得尤為重要。文章基于IT治理視角，合理借鑒COBIT（信息及相關技術控制目標）標準中有關信息系統控制目標體系構建的基本思路，結合對我國商業銀行信息系統運行背景的分析，初步構建了符合我國實際的商業銀行信息系統控制框架，并進一步提出信息系統控制實踐中的“三維整體性”概念。

【關鍵詞】COBIT；IT治理；IS控制

一、引言

　　隨著我國金融信息化程度的不斷提高，銀行業逐漸成為國民經濟中信息技術應用最密集、應用水平最高的行業之一。

　　國內外大量實踐表明，隨著信息技術在銀行業的綜合應用，商業銀行信息系統的安全及運行效率等問題將面臨更多挑戰，由于系統運行失效而導致的負面影響也不斷增加。與商業銀行信息化的迅速發展相反，我國至今尚未對信息化過程中出現的各類問題給予足夠重視并實施有效監管，對商業銀行信息系統運行的相關監管標準也基本上屬于空白。為此，有必要深入關注商業銀行的IT治理問題，從商業銀行信息系統“整體”出發，構建一整套控制框架，一方面使商業銀行的IT治理戰略充分體現其商業戰略目標，另一方面有效地對商業銀行信息系統存在的風險和運行質量進行量化預測和評價，從而盡可能降低信息系統風險、提高系統安全水平與運行效率，并進一步提升商業銀行的整體競爭力。

二、信息系統控制原理及COBIT標準解讀

　　（一）信息系統控制原理

　　信息系統控制涉及組織的IT運營效率、風險管理、系統安全、業務連續性、系統完整性、規章依從性以及價值創造等多方面的內容。如何最大限度地降低信息技術對業務的負面影響，信息系統如何充分為企業戰略目標服務，如何獲得IT價值最大化，是每個企業都必須要直接面對的信息系統安全與IT治理問題。

　　基于IT治理的理論視角，筆者認為，信息系統控制應當是一系列管理、規劃、績效報告及流程審查過程的集合。企業信息化進程中面臨的一個關鍵挑戰就是：組織對IT治理的需求達到了什么程度，什么情況下才算充分。信息系統控制目標的實現及相關控制實踐活動的實施，更需要有專業而適用的標準指南進行指導。目前國際上流行的信息系統控制相關標準/最佳實踐有十余種之多，如COBIT、COSO、ITIL、ISO/IEC17799、ISO/IEC TR13335、PRINCE2、PMBOK、Tic kIT、TOGAF8.1等，它們涉及的領域、范圍及深度各有不同。

　　（二）COBIT標準及其應用解讀

　　與其他控制標準相比，國際信息系統審計與控制協會（ISACA）面向全球公開發布的COBIT（信息及相關技術控制目標）標準無論在應用范圍的廣度、技術深度、靈活性、適用性以及標準兼容性等方面都凸顯優勢，它提供了一套權威的、全球通用的標準體系，旨在規范并提高IT治理水平、有效防范控制風險以及增加信息技術價值等。

　　COBIT標準體系的構建最初出發點來源于公司治理與內部控制視角，它接受并遵循COSO報告關于內部控制框架的指導思想，實現了企業目標與IT治理目標的有機統一，同時借鑒CMM的能力成熟度模型，并以此為“基準”來衡量IT控制和績效水平。基于實踐過程的需要，COBIT控制目標體系從組織的商業需求出發，整合IT資源，通過執行一系列IT流程及相關測評活動來傳遞企業信息，以滿足商業需求。考慮到COBIT標準應用中的靈活性和可操作性，本文將標準原有的“立方體”式理論模型重新整合劃分為三大功能模塊，即“控制活動、流程設計模塊”、“系統評價模塊”和“信息系統審計模塊”，如圖1所示，從而更進一步突出反映COBIT控制目標體系的功能性和實踐路徑。

　　考慮到COBIT標準在國內商業銀行特定信息系統運行環境下的適用性和實用性，本文對我國商業銀行信息系統控制存在的主要問題和特定要求進行逐一分析，據以提出銀行信息系統控制目標，進而初步構建我國商業銀行信息系統控制框架體系。

三、商業銀行信息系統控制框架初建

　　（一）我國商業銀行信息系統控制缺陷分析及控制目標設定

　　商業銀行信息技術和信息系統控制主要是指對商業銀行通過實施信息技術工作過程的控制目標和相關控制活動，對信息技術和系統風險進行有效識別和實時監控，保證系統的安全高效運行和過程改進，從而為商業銀行各項業務活動、管理活動和支持活動提供有效、安全、可靠的信息技術服務。目前，我國商業銀行信息系統控制主要存在以下幾方面問題：首先是IT監管風險問題。商業銀行信息系統自身的安全性、可靠性及有效性等直接關系到整個銀行業的安全，乃至整個金融系統的穩定性，應當執行一整套信息系統評估機制，提升并完善IT組織職能，加強IT審計的實施效力和效果，健全IT治理架構等。

　　其次是IT決策效率低下問題。效率低下是IT決策風險的集中體現，具體表現在以下三個方面：一是對項目建設、軟件費用等大多采用一事一議，缺乏全局考慮和控制；二是缺乏授權機制。三是IT基礎資源的分配缺乏決策流程，精細化管理程度不高。

　　再次是IT規劃與框架的不完善，甚至缺失。目前各大商業銀行通常由總行科技部門負責全行的IT規劃和IT架構制定，而對事業部門自身的IT規劃和IT架構如何與總行實現有機對接，并無合理的制度性安排，從而存在IT失控的危險。

　　最后是IT評價機制的無規性和無序性。現階段，我國商業銀行系統雖然已經開始逐步認識到IT治理結構的制度建設，但仍然忽略了IT評價機制的構建，甚至尚未認識到信息系統評價、監督的重要作用。

　　綜合以上分析，當前我國商業銀行信息系統運行總體目標主要應當關注以下四個方面：在財務系統控制方面，應特別關注信息技術相關風險的管理，盡可能避免因系統缺陷或是人為操縱所致的系統風險、差錯甚至災難；在銀行業務系統控制方面，首先應當確保實現各類金融服務的連續性和可獲得性，并密切關注金融市場環境和經濟法律環境的變化，對其作出靈敏反應，在實現相關金融服務目標的同時，還應考慮成本最優化原則；在銀行內部管理系統控制方面，除了要確保制度設計、政策制定符合內部、外部合規性，還要不斷提高銀行的運營效率和職員的工作績效；在商業銀行組織自身的學習與成長性方面，主要應當關注對技術型、進取型人才的獲得和留用。由此初步確定了我國商業銀行信息系統控制目標體系整體框架構建的第一步———確定商業銀行信息系統總體運行目標，并據以確定相應的IT目標。