高校管理信息系统审计及其风险控制问题研究——以WSR方法论与COBIT理论相结合为视角.pdfVIP

审计理论研究 高校管理信息系统审计及其风险控制问题研究 ———以ＷＳＲ方法论与ＣＯＢＩＴ理论相结合为视角 王会金 （南京审计学院，江苏 南京　 ２１１８１５） ［摘 要］当前，我国高校管理信息系统涉及教务、人事、科研等一系列管理模块，规模相对庞杂，系统安全性、　 机密性受到挑战，也因此相应地对高校管理信息系统的审计及其风险防范提出了更高的要求。在阐述ＷＳＲ 方法 论与ＣＯＢＩＴ理论的基础上，首先，基于ＷＳＲ方法论有效设计高校管理信息系统审计的思路与策略；其次，将ＷＳＲ 与ＣＯＢＩＴ理念融合于一体，构架高校管理信息系统审计风险控制模型；最后，结合前两步，提出高校在管理信息系 统审计及其风险控制中应该注意的问题，力求促进高校管理信息系统在功能实施中更为安全和高效。 ［关键词］高校管理信息系统；信息系统审计；ＷＳＲ方法论；ＣＯＢＩＴ理论；审计风险控制；内部审计 ［中图分类号］Ｆ２３９．１　 　 ［文献标识码］Ａ　 　 ［文章编号］１００４ ４８３３（２０１４）０５ ００２３ ０８ 管理信息系统是一个具有高度复杂性、多元性和综合性的人机系统，它全面使用现代计算机技 术、网络通信技术、数据库技术，以及管理学、运筹学、统计学、模型论和各种最优化技术，为经营管理 ［］ 与组织决策服务 。高校是人才、知识、资产与技术等资源的集聚地，高校之所以设计并实施管理信１ 息系统，其实质就是全面实现高校管理的数字化、信息化、网络化以及科学化，以便能够及时、快捷地 组织各项活动，准确做出决策。高校管理信息系统由一系列管理模块构成，如教务管理模块、人事管 理模块、科研管理模块、资产管理模块、学生管理模块、财务管理模块、图书管理模块、后勤管理模块 等，系统内模块与模块之间彼此协同，共同构筑成一个有机整体。高校管理信息系统的构建是一项庞 杂的系统工程，它涉及高校运营的每一方面，且各方面之间存在着杂乱的勾稽关系。所谓高校管理信 息系统审计是指ＩＴ审计师依据特定的审计规范，运用科学系统的程序方法，对高等院校管理信息系 统的运行规程与应用对策所实施的一种监督活动，旨在增强高校管理信息系统整体及其各个模块的 有效性、安全性、机密性与一致性。高校管理信息系统审计属于中观信息系统审计的范畴。与微观信 息系统相比，中观信息系统所涉及的范围广且对象繁多，同时，区域内纷乱的组成个体之间盘节着错 综的契约关系，若中观信息系统出现问题，其危害程度远远甚于微观信息系统［２］。有鉴于此，高校应 该重视管理信息系统的安全性审计问题，并能够对相应的审计风险做出合理的估计与控制，以便有效 规避管理信息系统所带来的各类风险，高效发挥系统各项功能。 一、相关理论追溯 （一）ＷＳＲ方法论 物理—事理—人理方法论（ＷｕｌｉＳｈｉｌｉＲｅｎｌｉ Ａｐｐｒｏａｃｈ），简称ＷＳＲ方法论。该方法论是由顾基发 与许志昌两位教授于１９９４年在英国Ｈｕｌｌ 大学提出的一种东方系统方法论。ＷＳＲ方法论认为，“物 ［收稿日期］ ２０１４ ０３ １１ ［基金项 目］江苏高校哲学社会科学重点研究基地重大项 目（２０１２ＪＤＸＭ０１０）；教育部人文社科研究规划基金项 目 （１４ＹＪＡ７９００３２）；江苏高校优势学科建设工程二期项目 ［作者简介］王会金（１９６２— ），男，浙江东阳人，南京审计学院副校长，教授，博士，从事审计理论与实务研究。 ·２３ · 王会金：高校管理信息系统审计及其风险控制问题研究 理”指涉及物质运动的机理，通常要用自然科学知识，主要回答“物”是什么，“物理”需要的是真实性， ［３］ 研究客观存在 。“物理”的实质是客观物质世界的规则，其回答的问题是“是什么”，其涉列的原则 是追求事物的真相，其解决问题的思路是需要对事物进行功能分析。ＷＳＲ方法论认为，“事理”指做 ［３］ 事的道理，主要解决如何去安排所有的设备、材料、人员等资源 。“事理”的实质是处理事情与实施 管理的流程，其回答的问题是“怎样做”，其涉列的原则是保证做事的正确性，其解决问题的思路是需 要对事物进行逻辑分析。ＷＳＲ方法论认为，