(二)基于COBIT的商业银行信息系统控制框架设计及应用解析
在前文研究的基础上,笔者进一步构建我国商业银行信息系统控制整体框架,如图2所示。如图2所示,我国商业银行信息系统控制从商业银行组织的总体战略目标出发,先确定银行信息系统运行总体目标,对总目标进行分析、分解,具体确定与之相关的IT目标,实现系统总体目标对IT目标的需求指导,以及IT目标对总体目标的执行反馈,这就是图示框架的第一环节———目标导向。
在“流程分解”环节,需要根据“目标导向”环节确定的IT目标,对应选择目标实现所需要的IT流程。这些流程可能覆盖“系统规划”、“系统运行”、“环境支持”以及“监督评价”四个关键环节中的一个或几个,流程选择的基本原则就是将IT目标进一步细分,考虑该目标实现所需要的来自各环节的IT支持,再将这些技术支持要素转化为具体可执行的IT流程。针对每一个选定的流程,还需要进一步确定各流程的定义、范围、要素、主要目的、实现途径、关键测度指标等,同时考虑与之相关联流程,特别是前后相流程间的结果影响。
在对特定IT流程作出明确规划设计之后,信息系统控制进入“控制设计”环节,这里主要涉及三方面工作,一是针对某个既定IT流程,进一步细分确定该流程的若干个具体控制目标,这些目标应当能够完整可靠支持该流程的运行,进而支持流程执行所承担的相应IT目标的实现;二是根据这些控制目标导向要求,再将IT流程分解成为一系列具体的控制活动,这些控制活动不只是概念上的定义,而是直接可操作的具体工作或任务,它们是信息系统控制实施的最小工作单元;三是对这些具体控制活动作出明确的权责界定,分清各项活动由谁负责执行,由谁负责就活动详情作出解释,活动执行的结果由谁承担责任,以及执行情况应当向谁报告等,从而确保控制活动及整个IT流程实施的效力和效率。根据控制活动的执行情况,汇总得到IT流程的.整体运行结果,而后进入“系统评价”环节。该环节需要分别针对控制活动、IT流程和IT目标设定评价量化的指标体系,并根据系统具体情况,参照相关行业标准,设定指标评价的参考值。基于控制活动实施的结果进行测定,进行流程绩效评价,并根据绩效评价的结果,参照各流程成熟度分级评分标准,对流程进行成熟度评分考核,而后综合各流程评分结果及权重系数,得到对信息系统整体运行的考核结果,由此完成量化评价过程。最后综合所有定性、定量评价结果,逐一对控制活动、IT流程、IT运行环节的运行作出评定,进一步分析检验控制目标、IT目标,直至系统运行总体目标的实现情况。四、研究结论
本文基于IT治理视角研究信息系统控制问题,合理吸收借鉴了COBIT标准中有关信息系统控制目标体系构建的基本思路,结合对我国商业银行信息系统运行环境的基本特征和主要控制缺陷的分析研究,构建起一套符合我国商业银行信息系统控制框架。该控制框架涉及“目标导向”、“流程分解”、“控制设计”以及“系统评价”四个组成部分,它基于对商业银行信息系统“整体”的考虑,完整覆盖了本文提出的信息系统控制实施的五个核心域,揭示了信息系统控制从目标分析、分解,到流程选择、活动安排,再到系统绩效评价全过程的实践途径,对我国商业银行信息系统控制实践具有一定指导意义。
研究发现,我国商业银行信息系统控制的实施体现着一个“三维”结构的“整体”,具体表现为“系统———控制域———行业背景与组织战略”。它不仅包括信息系统的“整体性”、控制域的“整体性”,以及商业银行特定行业背景及组织战略规划的“整体性”,更包括三方面作为一个有机体的“整体性”。这三个“维度”相互影响、相互制约、相互促进,共同支撑起信息系统控制框架体系。以我国商业银行信息系统环境为背景的信息系统控制框架的构建和实施,也应当基于这一“三维整体性”概念的考虑。此外,这一概念也可推广至其他行业、企业、组织等不同环境下的信息系统控制研究和实践,具有广泛的适用性和后续研究价值。
【参考文献】
[1]胡晓明.基于信息时代的IS审计若
干问题探讨[J].当代财经,2006(2):125-128.
[2]胡晓明,林娟.COBIT4.0:解读与启示[J].科技管理研究,2007(11):243-245.
[3]金文,张金城.基于COBIT的信息系统管理、控制与审计的模型构建研究[J].审计研究,2005(4).
[4]唐志武.商业银行业IT建设与内部控制机制的研究[J].现代情报,2006(6):204-205.
[5]许莉.IT环境下商业银行内部控制思考[J].中国管理信息化,2005(8):52-55.
[6]ITGI.COBIT 4.1[M/OL].www.isaca.org.
【基于COBIT的银行IS控制构建论文】相关文章:
本文来源:http://www.010zaixian.com/shiyongwen/2146853.htm