高校計算機審計策略的WSR三維分析及安全控制-藏刊網

管理信息系統是一個具有高度復雜性、多元性和綜合性的人機系統,它全面使用現代計算機技術、網絡通信技術、數據庫技術,以及管理學、運籌學、統計學、模型論和各種最優化技術,為經營管理與組織決策服務[1].高校是人才、知識、資產與技術等資源的集聚地,高校之所以設計并實施管理信息系統,其實質就是全面實現高校管理的數字化、信息化、網絡化以及科學化,以便能夠及時、快捷地組織各項活動,準確做出決策.高校管理信息系統由一系列管理模塊構成,如教務管理模塊、人事管理模塊、科研管理模塊、資產管理模塊、學生管理模塊、財務管理模塊、圖書管理模塊、后勤管理模塊等,系統內模塊與模塊之間彼此協同,共同構筑成一個有機整體.高校管理信息系統的構建是一項龐雜的系統工程,它涉及高校運營的每一方面,且各方面之間存在著雜亂的勾稽關系.所謂高校管理信息系統審計是指 IT 審計師依據特定的審計規范,運用科學系統的程序方法,對高等院校管理信息系統的運行規程與應用對策所實施的一種監督活動,旨在增強高校管理信息系統整體及其各個模塊的有效性、安全性、機密性與一致性.高校管理信息系統審計屬于中觀信息系統審計的范疇.與微觀信息系統相比,中觀信息系統所涉及的范圍廣且對象繁多,同時,區域內紛亂的組成個體之間盤節著錯綜的契約關系,若中觀信息系統出現問題,其危害程度遠遠甚于微觀信息系統[2].有鑒于此,高校應該重視管理信息系統的安全性審計問題,并能夠對相應的審計風險做出合理的估計與控制,以便有效規避管理信息系統所帶來的各類風險,高效發揮系統各項功能.

一、相關理論追溯

\\( 一\\) WSR 方法論

物理-事理-人理方法論\\( Wuli-Shili-Renli Approach\\) ,簡稱 WSR 方法論.該方法論是由顧基發與許志昌兩位教授于 1994 年在英國 Hull 大學提出的一種東方系統方法論.WSR 方法論認為,"物理"指涉及物質運動的機理,通常要用自然科學知識,主要回答"物"是什么,"物理"需要的是真實性,研究客觀存在[3]."物理"的實質是客觀物質世界的規則,其回答的問題是"是什么",其涉列的原則是追求事物的真相,其解決問題的思路是需要對事物進行功能分析.WSR 方法論認為,"事理"指做事的道理,主要解決如何去安排所有的設備、材料、人員等資源[3]."事理"的實質是處理事情與實施管理的流程,其回答的問題是"怎樣做",其涉列的原則是保證做事的正確性,其解決問題的思路是需要對事物進行邏輯分析.WSR 方法論認為,實踐中處理任何"事"和"物",以及評價"事"和"物"是否"應用得當",都必須由人來履行."人理"指要用人文與社會科學的知識去回答"最好怎么做"的問題,"人理"的作用可以反映在世界觀、文化和情感等方面,特別表現在人們處理一些"事"和"物"時的價值觀上[3].實踐中的任何做事活動都是"物理"、"事理"和"人理"三者的動態統一.一味地強調"物理"和"事理",摒棄"人理",做事不免機械,缺少協調與變通,難有整合與創新.一味地關注"人理"而忽略"物理"和"事理",則不免偏離事物的本質,適得其反.多年來,WSR 方法論在實踐中得到了廣泛的應用.WSR 方法論的應用體現在兩個方面: \\( 1\\) 資源管理方面.佟雪銘基于 WSR 方法論構建了人力資源管理"物理因素"、"事理因素"、"人理因素"的三維體系和績效函數模型[4].顧基發以 WSR 方法論為基礎,建立了水資源決策支持系統 WSR 工作圖,并設計了水資源管理決策方案[5].高小慧等提出將 WSR 方法論應用于項目群管理中,構架完整的項目群管理系統,以協調項目群建設中各個方面的關系[6].\\( 2\\) 戰略制定方面.李豐祥和宋杰基于 WSR 思想提出了設計社區體育空間優化戰略的建設性思路[7].王沙騁、趙澄謀、姬鵬宏以 WSR 為視角,將軍事情報分析方法體系劃分為物理層、事理層和人理層分析方法,并將 WSR 思想融入軍事情報分析流程[8].近年來,關于如何將 WSR 方法論有效應用于審計理論與審計實踐的相關研究成果尚缺.

\\( 二\\) COBIT 理論

1996 年,COBIT 理論第一次由美國信息系統審計與控制協會\\( ISACA\\) 提出.2012 年 4 月,CO-BIT 模型已經拓展至第五版本.近年來,COBIT 模型已經逐步演變成為全球學者公認的最為先進、最為權威的安全與信息技術管理和控制的標準體系.經過多年的改進與優化,如今 ISACA 已經將 CO-BIT5. 0 版本打造成為一個治理和管理組織信息系統的成熟業務框架,這也將會更好地幫助企業實現治理和管理組織信息系統的目標.COBIT 模型由執行概要\\( Executive Summary\\) 、框架\\( Framework\\) 、執行工具集\\( Implementation Tool Set\\) 、管理指南\\( Management Guidelines\\) 、控制目標\\( Control Objec-tives\\) 和審計指南\\( Audit Guidelines\\) 六個部分構成[9].COBIT 5. 0 在優化以往版本的基礎上,吸收國際上其他先進的 IT 治理標準與技術規范,尤其吸收了 ITIL 標準.COBIT 4. 1 版本遵循的是"業務為中心、流程為導向、控制為基礎、計量為驅動"的理念,而 COBIT 5 版本則倡導"原則為基礎、目標為導向、評價為手段、促進因素為載體"的思想[10].COBIT 5. 0 新加入的促進因素具體涵蓋了關鍵流程、組織架構、文化內涵、信息基礎設施及應用、人力資源與能力等類項.近年來,COBIT 理論已經被應用在一百六十多個國家的重要組織中.在我國,學者也嘗試將 COBIT 理論應用于不同領域.如陳建軍結合 COBIT 理論建立了知識管理系統的有效評價模型[11].劉振海等嘗試如何將 COBIT 理論植入央行信息技術審計標準建設之中[12],等等.近年來,將 COBIT 1. 0 - COBIT 4. 1 版本應用于信息系統內控或審計的研究成果較多,但自 COBIT 5. 0 版本發布以來,針對新變化,如何將 COBIT 5. 0 應用于信息系統審計及其風險控制的研究成果較少,還有待于學界的繼續努力.

二、高校管理信息系統審計策略的 WSR 三維分析

\\( 一\\) 高校管理信息系統審計的"物理層"分析

高校管理信息系統屬于中觀信息系統范域,因此,高校管理信息系統秉承了中觀信息系統的特性及內涵.高校管理信息系統是由教務、學務、團務、人事、科研、財務、后勤等高校組成部門所屬的信息資源\\( 如硬件、軟件、傳輸設備、程序、數據以及經驗\\) 在高校的統一部署下,以 Internet 為依托,按照一定的契約規則實施、共享的系統.高校信息系統具有超越單個部門邊界、運行繁雜交錯、高度依賴網絡支持、安全程度要求相對較高等特征.鑒于上述特征,高校對自身管理信息系統審計的要求相對較高.高校管理信息系統審計"物理層"研究的是 IS 審計人員在高校管理信息系統審計全過程中所面對的"既定現實".這種"既定現實"是一種客觀存在,研究"目前的狀態是什么"的問題,它不以人的主觀意志為轉移.若想高質量地實施高校管理信息系統審計,無論是高校內部的 IS 審計人員還是外來的 IS 審計師,都必須能夠清晰透徹地認清高校管理信息系統審計的"物理層",即所面對的審計環境與審計客觀條件.當然,"物理層"涉列的因素不僅來自管理信息系統自身,還來自審計主體自身,二者缺一不可.我們對高校管理信息系統審計的"物理層"設計如圖 1 與圖 2 所示,主要包括: \\( 1\\) 高校管理信息系統審計的目標體系組成; \\( 2\\) 高校信息系統內部控制的基本情況,內部控制制度的設計是否科學全面,內部控制制度的執行是否正確有效; \\( 3\\) 高校管理信息系統最初的建設資料是否有所存儲,存儲是否全面,運行全過程執行材料是否完備; \\( 4\\) 高校管理信息系統在實時運營中自動生成的數據信息\\( 如日志數據\\) 保存是否完整; \\( 5\\) 當前的 IS 審計團隊的狀態,IS 審計人員中是否有現代計算機技術、網絡通信技術、數據庫技術,以及管理學、統計學等相關領域的專家,而且各領域相關專家的審計經驗如何,知識層次如何,針對特定 IS 審計項目相關專家在審計時間需求上的滿足程度如何.上述五方面是高校 IS 審計主體所必須面對的客觀實際,也是他們必須透徹把握的客觀物質世界.只有切實把握了客觀物質世界,IS 審計主體才能真正實現對高校管理信息系統運行規程與應用政策的有效監督.

\\( 二\\) 高校管理信息系統審計的"事理層"分析

高校管理信息系統審計的"事理層"設計見上頁圖 1,具體內容包括以下幾個方面.\\( 1\\) 在"既有"的高校管理信息系統審計目標體系中,針對"某一次"或"某一階段"特定的審計活動,"怎樣去選擇"科學的信息系統審計總目標與所屬的分目標,如究竟是以審查"財務管理系統"的合規性與合法性為目標? 還是以審查"科研管理系統"文檔資料的完整性為目標? \\( 2\\) 在"現有"的審計人力資源條件下,針對特定的審計項目與具體的審計目標,"怎樣去配置"合理的 IS 審計團隊.如"學務管理系統"承載著大學生的教育管理、心理咨詢、成長資助、學習支持、招生就業等方面的實時網絡服務功能,因而,針對"學務管理系統"開發審計,IS 審計團隊在配置團隊成員時需要考慮是否應該增加本學校學務部門的專家? 是否需要再增加此方面成熟運轉的其他高校學務部門領域的專家? 對這些問題的選擇會從根本上彌補審計的不足,拓展審計策略與建議.\\( 3\\) 在"既有"的高校信息系統內外部審計依據體系中,"怎樣去選擇"適合的審計依據.審計依據是 IS 審計師衡量被審計高校管理信息系統是非優劣的準繩.IS 審計的依據可以是 IS 法律法規,可以是學校的規章制度,也可以是相關計劃與合同或相關業務規范.當前,我國有關于信息系統審計的法律法規較少,且不夠深入,高校針對自身所制定的具體的信息系統控制規范與審計標準也較為缺乏.在這樣的現實背景下,審計依據的"選擇"與"補充"至關重要.\\( 4\\) 在"既定"的高校管理信息系統內外部審計環境下,"怎樣去獲取"以及"怎樣去遴選"審計證據.IS 審計不同于傳統的審計,IS 審計證據更加具有隱蔽性、難以辨認性.因此,如何通過實地觀察、日志篩選、言辭陳述與環境事實,基于經驗判斷甄選審計證據,是出具 IS 審計結論的必要條件.\\( 5\\) 在"現有"的審計方法體系下,"怎樣去選定"科學的 IS 審計技術與方法.如針對高校的"辦公自動化系統"審計,可選擇的方法體系中需要考慮是否應該包含"核對法"、"函證法"、"觀察法"、"鑒定法"等諸多方法.高校管理信息系統審計的"事理層"回答的是"應該怎樣做"的問題,其精髓是通過經驗判斷尋找最為合理的做事原則,保證做事的正確與高效.

\\( 三\\) 高校管理信息系統審計的"人理層"分析

WSR 蘊含"物理層-事理層-人理層"三維層次,且后一層次是前面層次的延伸,基于此,高校管理信息系統審計的"人理層"也是以"物理層"與"事理層"為基礎所進行的延伸.人是"物"的執行者與"事"的運營者.由于"物"與"事"無生命,不附有任何運動屬性,因而"閱物"與"處事"都離不開人們之間的活動.所謂"人理"是指處事與處物的價值目標與價值尺度.人理的作用集中表現在利用已有的"物理"和"事理"去組織最佳的綜合動態實踐活動,從而產生最大的效益[13].高校管理信息系統審計"人理層"的指導思想是在一定的契約規則下,審計人員在同其他關聯主體的交往與協作中,持有良好的價值觀,和諧相處,匯聚各方智慧,協調各方關系,以促進高校管理信息系統審計目標的高效實現.依據圖 1,需要同高校管理信息系統的審計主體和諧協作的其他主體包括: \\( 1\\) 領導層.領導層一般是審計的委托人,IS 審計師需要協調好自身與委托人的受托關系,明確執行受托任務.\\( 2\\) 管理層.管理層一般是高校各個信息系統模塊所屬職能機構的管理者,如"科研管理系統"的管理層應該是科研部門的管理者.IS 審計師需要協調好與管理層的關系,這樣,審計過程才能平穩順暢.\\( 3\\) 設計層.設計層是信息系統的設計者,他們熟悉信息系統設計的流程與思路,甚至存儲著最初設計資料.IS 審計師需要協調好自身與設計層的關系,這樣在信息系統開發等審計中,IS 審計師將會借用設計層的經驗與數據,便捷開展審計活動.\\( 4\\) 執行層.執行層是信息系統運營的執行者,IS 審計師需要協調好自身與執行層的關系,關注他們實時處理數據,加強互動,全面搜集"第一手"審計證據.\\( 5\\) 用戶層.用戶層通過反復實踐實現了對信息系統的切身檢驗.用戶層匯集著對系統的真實評價以及更高的期待,IS 審計師需要協調好自身與用戶層的關系,收集系統功能的不足與改進建議,以出具科學的審計報告,提出完善的審計建議.

三、高校管理信息系統審計風險控制模型的建立與探索

高校管理信息系統審計風險屬于中觀信息系統審計風險的范疇.結合中觀信息系統審計風險的內涵[2],我們認為,高校管理信息系統審計風險是指 IS 審計師在對高校管理信息系統的整體或局部進行審計的過程中,由于受到某些不確定因素的影響,使得高校管理信息系統審計結論與客觀經濟事實產生差異,從而受到相關關系人指控并遭遇經濟損失以及聲望損失的可能性.IS 審計師在實施高校管理信息系統審計的過程中,應該加強對審計風險的控制.且審計風險控制不是例外行為,它是以審計活動的實施為載體,并寓于審計行為之中.COBIT 是 IT 治理框架,是一套成熟的信息技術管理與控制體系.基于 COBIT 的拓展,本文將 WSR 方法論與 COBIT 理論相結合,對高校管理信息系統審計風險的控制問題進行研究,并基于圖 3 作進一步分析.（圖3略）

\\( 一\\) 高校管理信息系統審計風險控制的 COBIT 式模型

COBIT 3. 0 版將 IT 控制分成了三維空間.第一維空間是 IT 標準,如質量、信用、安全、可靠與完整;第二維空間是 IT 資源,包括數據、設備、技術、應用系統以及人力資源; 第三維是 IT 過程,包括 4 個域、38項控制目標以及相關具體行動.針對高校管理信息系統審計風險控制的特點,圖 3 對 COBIT 的三維空間進行了延伸,具體分析如下.\\( 1\\) 第一維空間是高校管理信息系統審計目標.圖 3 將 COBIT 的五項標準演化為七個審計目標,即通過審計加強高校管理信息系統的有效性、效率性、機密性、完整性、可用性、一致性及可靠性.IT 標準、信息系統審計目標與信息系統審計風險控制原則三者之間一脈相承.

COBIT 的 IT 標準闡釋了衡量 IT 控制的準則,信息系統審計目標闡述了如何依據 IT 標準獲取所期望的成果,信息系統審計風險控制原則闡明了為實現信息系統審計目標所依據的 IT 準則.因此,高校信息系統審計風險控制的原則與其審計的目標是一致的,最終都是為了實現高校管理信息系統的安全、可用、完整與一致,只有遵循了這樣的 IT 標準,IS 審計師的審計結論才不會偏離客觀事實,進而才不會受到相關關系人的追控.\\( 2\\) 第二維空間是高校管理信息系統審計具體模塊所屬相關業務下的資源.圖3 將 COBIT 的五項 IT 資源放入了特定對象之下,這個特定對象就是高校管理信息系統某一具體模塊之下的相關業務活動.假定對高校學生"助學貸款"系統的審計風險進行控制,則應該相應地選定"學務管理系統"模塊下的"助學貸款"業務活動,且在這個特定對象下分析 IT 審計及其風險控制所涉及的數據、設備、技術等五項資源.一般而言,IT 審計與 IT 審計風險控制所需的 IT 資源是一致的,因為兩者都是在同一活動中同步實施的.\\( 3\\) 第三維空間是高校管理信息系統審計風險控制的五項要素.圖 3 的第三維空間并未遵從 COBIT 理論所提出的"域、過程、任務活動",而是從另一個角度引入了審計風險控制的"五項要素",這些要素表現了高校管理信息系統審計風險控制的五個重要過程.

\\( 二\\) 高校管理信息系統審計風險控制的"五項要素"分析

圖 3 模型中第三維度"五項要素"的具體內涵解釋如下.\\( 1\\) 控制環境.高校管理信息系統審計風險控制的"控制環境"要素是指圍繞"高校管理信息系統審計風險",并對其控制產生影響的所有外界事物,具體包括: ①IS 審計及其風險控制所必須遵照的關于信息系統安全的標準、規范與相關制度; ②IS 審計委托人委托的各項任務; ③被審計系統的軟硬件條件與應用環境; ④IS 審計主體的自身條件,如經驗、規模、結構等."控制環境"要素屬于 WSR 方法論中的"物理層",是 IS 審計主體在風險控制中所必須面對的客觀現實.IS 審計師必須全面明晰"審計環境",這是控制風險的前提.\\( 2\\)信息和溝通.這一要素屬于 WSR 方法論中的"人理層",IS 審計師有效實施"信息和溝通"過程的關鍵在于處理好與審計風險控制相關聯的其他主體之間的關系,建立良好的內外部溝通機制與順暢的信息采集機制.\\( 3\\) 風險評估.高校管理信息系統審計風險控制的"風險評估"是指在審計風險事件發生之前或之中,IS 審計師通過調查法、決策樹法等定量與定性分析方法,對該風險事件的影響或產生損失的可能性進行系列量化評估的過程.這一過程主要包含對審計風險事先的識別、分析、測量與應對等環節.\\( 4\\) 控制活動."控制活動"是"五項要素"中最為重要的一項要素.高校管理信息系統審計風險控制的"控制活動"貫穿于 IS 審計的全過程,而且寓于審計之中,審計過程嚴格、規范、科學必然會大幅度降低審計風險.為降低信息系統審計風險,IS 審計師應關注的"控制活動"因素有:

①恪守審計"獨立性"原則; ②執行審計任務時嚴格遵循各項信息系統安全管理標準與審計規范; ③科學規劃審計過程; ④正確選擇審計技術與方法; ⑤建立審計風險的實時預警機制; ⑥完善審計風險的即時處理機制.\\( 5\\) 監控.高校管理信息系統審計風險控制的"監控"是指對 IS 審計進行全方位、全過程的監督與檢查,并通過對以往風險事件經驗的總結,完善審計風險的控制制度.上述五項要素中,"風險評估"、"控制活動"與"監控"屬于 WSR 方法論中的"事理層",三項要素的執行需要 IS 審計師的邏輯分析,這就要求 IS 審計師審時度勢,通過縝密的分析找出正確的做事方法.圖 3 中的第三維度是高校管理信息系統審計風險控制的重心,其與第一維度的審計目標、第二維度特定對象業務下的審計資源有機交融,共同構筑了高校管理信息系統審計風險的防御屏障.

四、高校管理信息系統審計及其風險控制的啟示與建議

\\( 一\\) 組建健全的高校管理信息系統審計部門與團隊

高校管理信息系統屬于中觀信息系統的范疇,涵蓋辦公、教學等若干模塊,構造龐雜,功能繁多.基于此,高校管理信息系統審計與傳統的審計相比,所面臨的挑戰更大,所涉及的學科已經由傳統的審計學拓展成為集計算機科學與技術、網絡通信技術、數據庫技術、管理學、審計學、統計學、應用數學于一體的交叉學科.由此,高校作為自身管理信息系統審計的委托人,需要從實際出發,統籌規劃,成立以信息系統安全、有效、機密、完整、一致為目標的管理信息系統審計專業部門,并組建成熟的 IS 審計團隊.建立部門應該關注的問題如下.\\( 1\\) 部門歸屬.高校管理信息系統審計應該隸屬于高校的內審部門.當前,高?；旧隙荚O置了"審計處\\( 部\\) ",負責全校的內審工作.我們認為,"審計處\\( 部\\) "應該專設一個分支機構,負責全校管理信息系統的審計業務.\\( 2\\) 成員構成.高校管理信息系統的審計團隊應該遵循多樣化原則,建立復合型審計隊伍.成員中應該有來自校外實務界的專家,有來自校內各個信息系統模塊所屬職能機構的資深從業人員,還有來自"審計處\\( 部\\) "多年從事 IS 審計實務的審計師,以及最初開發信息系統的專業技術人員等.總之,成員需要保證多學科專業人士有機融合以及系統不同運行階段參與人的共同配合.\\( 3\\) 團隊建設.高校管理信息系統審計團隊的建設是一個長期的過程,成員間專業經歷不同,有專兼職的差異和校內外的差異,不便于管理,因而,高校在審計團隊建設中必須做好五點內容,即正確的組織領導、共同的事業愿景、清晰的團隊目標、科學的激勵機制與系統的學習提升,僅有如此,審計團隊才能真正發揮信息系統審計的作用,進而為審計風險的控制打下基礎.

\\( 二\\) 構架良好的高校管理信息系統審計運行機制

近年來,我國在傳統審計上已經形成了成熟的體系標準,然而,在高校管理信息系統審計的準則與規范方面,相關成果相對較少.面對如此現狀,盡管高校建立了健全的機構與團隊,但因為 IS 審計師缺少衡量審計質量的尺度,缺乏確定和解脫審計責任的依據,高校管理信息系統的審計及風險控制仍無從談起.基于此,高校需要引入 WSR 方法論與 COBIT 理論等外部理論來構架管理信息系統審計的相關規范與運營流程\\( 圖4\\) ,通過借助外來理論強化對高校管理信息系統審計的建設.前文所述,COBIT 模型由執行概要、框架、執行工具集、管理指南、控制目標與審計指南六部分組成,圖 4 截取了后三部分來對高校管理信息系統的審計運行機制進行研究,并作如下解釋.\\( 1\\) 引入 COBIT 的管理指南.COBIT 的管理指南提供了信息系統管理的工具,給出了包括成熟度模型、關鍵成功因素、關鍵目標指標、關鍵績效指標在內的度量信息系統的指標體系以及評估準則在內的度量模型.IS 審計師可以借用相關指標體系與度量模型判斷系統的開發是否符合行業標準、判斷具體審計業務處理的復雜性、充分關注被審計系統固定風險的具體業務處理事項.\\( 2\\) 引入 COBIT 的控制目標.COBIT 的控制目標包括 4 個高層域、38項中層控制目標、318 項具體活動控制.多方位、多層次的 COBIT 控制目標彌補了當前高校管理信息系統審計規范的極度匱乏,為 IS 審計師"怎樣評價內控"以及"依據什么審計"提供了絕佳的系列參考樣板.\\( 3\\) 引入 COBIT 的審計指南.COBIT 的審計指南涵蓋了信息系統審計的基本準則、具體準則與執業指南.審計指南為 IS 審計師審計高校信息系統規定了審計行為必須達到的基本要求,規定了審計業務實施的具體規范、操作規程與具體方法.依據 WSR 方法論,高校管理信息系統審計對 COBIT 模型后三部分的"引入"屬于"物理層",COBIT 模型中的具體內容是"客觀存在",是 IT 治理的通用性標準,但是,對于 COBIT 模型后三部分的"吸收"卻屬于"事理層",它要求審計部門實事求是、去粗取精,采用邏輯分析方法,處好"事",選好"物",實現"事物"的最佳均衡狀態.

\\( 三\\) 建立完善的高校管理信息系統審計風險控制體系

傳統審計風險模型下,審計風險涵蓋固有風險、控制風險與檢查風險.面對高校管理信息系統的固有風險、控制風險以及 IS 審計師的檢查風險等,高校有必要建立完善的管理信息系統審計風險控制體系.結合圖3 與圖4,我們可以發現審計風險控制體系的建立并非難事.圖3 的COBIT 式三維框架為我們提供了 IS 審計風險控制的思路,即針對某一"信息系統模塊具體業務活動及其所屬的相關資源",按照"7 項 IT 目標",在"五項要素"下結合 WSR 方法論實現對審計風險的控制.圖4 中 COBIT 理論下"管理指南"、"控制目標"為 IS 審計師挖掘高校信息系統自身的固有風險與控制風險提供了參照樣板.如"管理指南"所屬的"關鍵目標指標"闡釋了信息技術處理中最關鍵環節應實現"什么樣"的目標,當 IS審計師發現"關鍵理想目標"與"實際處理結果"之間出現嚴重差異時,IS 審計師可以基于相關原理,進一步考查其固有風險及控制風險,并評價這一"有害事件"的重要程度.另外,圖 4"審計指南"中的系列準則對規范 IS 審計師自身的審計行為,以進一步防范檢查風險提供了可操作性指導.需要說明的是,當前有部分高校自身并未建立信息系統審計平臺,而是采用信息系統審計項目外包的方式[14].對于這種情形,高校與外來 IS 審計部門都存在著風險,高校的風險是存在重要信息泄露的可能,而外來 IS 審計部門的風險是因缺少高校相關職能部門專業人士的參與而導致不能全面、深入地挖掘被審計系統的固有風險與控制風險.在此,我們建議高校與外包審計部門關注自身風險,并希望外包審計部門盡可能合理融合高校專業人士,組建復合型團隊,提高 IS 審計質量,有效防范 IS 審計風險.（圖4略）

參考文獻:

[1]張金城. 管理信息系統[M].1 版. 北京: 北京大學出版社,2001.

[2]劉國城,王會金. 中觀信息系統審計風險管理的理論探索與體系構架[J]. 審計研究,2011\\( 2\\) : 21-28.

[3]顧基發,唐錫晉. 物理-事理-人理系統方法論: 理論與應用[M]. 1 版. 上海: 上?？萍冀逃霭嫔?2006.

[4]佟雪銘. WSR 方法論在人力資源開發研究中的應用[J]. 軟科學,2008\\( 1\\) : 135-138.

[5]顧基發. 物理事理人理系統方法論的實踐[J]. 管理學報,2011\\( 3\\) : 317-355.

[6]高小慧,顧基發. 基于 WSR 系統方法論的項目群管理研究[J]. 項目管理技術,2012\\( 10\\) : 65-69.

[7]李豐祥,宋杰. 基于 WSR 思想的城市社區體育空間建設研究[J]. 體育科學,2006\\( 6\\) : 43-46.

[8]王沙騁,趙澄謀,姬鵬宏. 基于 WSR 的軍事情報分析[J]. 情報雜志,2007\\( 4\\) : 22-23.

[9]ISACA. About isaca[EB/OL].

[10]魯清仿. COBIT5 與 COBIT4. 1 的比較與啟示[J]. 財會月刊,2014\\( 1\\) : 89-92.

[11]陳建軍. 知識管理系統績效評價研究[J]. 情報雜志,2007\\( 10\\) : 18-21.

[12]劉振海,劉晶,劉海林. 基于 COBIT 的央行信息技術審計標準研究[J]. 金融理論與實踐,2012\\( 12\\) : 35-38.