高校计算机审计策略的WSR三维分析及安全控制,审计论文.docx

高校计算机审计策略的WSR三维分析及安全控制,审计论文管理信息系统是一个具有高度复杂性、多元性和综合性的人机系统,它全面使用当代计算机技术、网络通信技术、数据库技术,以及管理学、运筹学、统计学、模型论和各种最优化技术,为经营管理与组织决策服务1.高校是人才、知识、资产与技术等资源的集聚地,高校之所以设计并施行管理信息系统,其本质就是全面实现高校管理的数字化、信息化、网络化以及科学化,以便能够及时、快速地组织各项活动,准确做出决策.高校管理信息系统由一系列管理模块构成,如教务管理模块、人事管理模块、科研管理模块、资产管理模块、学生管理模块、财务管理模块、图书管理模块、后勤管理模块等,系统内模块与模块之间相互协同,共同构筑成一个有机整体.高校管理信息系统的构建是一项庞杂的系统工程,它牵涉高校运营的每一方面,且各方面之间存在着杂乱的勾稽关系.所谓高校管理信息系统审计是指 IT 审计师根据特定的审计规范,运用科学系统的程序方式方法,对高等院校管理信息系统的运行规程与应用对策所施行的一种监督活动,旨在加强高校管理信息系统整体及其各个模块的有效性、安全性、机密性与一致性.高校管理信息系统审计属于中观信息系统审计的范畴.与微观信息系统相比,中观信息系统所牵涉的范围广且对象繁多,同时,区域内纷乱的组成个体之间盘节着错综的契约关系,若中观信息系统出现问题,其危害程度远远甚于微观信息系统2.有鉴于此,高校应该重视管理信息系统的安全性审计问题,并能够对相应的审计风险做出合理的估计与控制,以便有效躲避管理信息系统所带来的各类风险,高效发挥系统各项功能. 一、相关理论追溯 ( 一) WSR 方式方法论 物理-事理-人理方式方法论( Wuli-Shili-Renli Approach) ,简称 WSR 方式方法论.该方式方法论是由顾基发与许志昌两位教授于 1994 年在英国 Hull 大学提出的一种东方系统方式方法论.WSR 方式方法论以为, 物理 指牵涉物质运动的机理,通常要用自然科学知识,主要回答 物 是什么, 物理 需要的是真实性,研究客观存在3. 物理 的本质是客观物质世界的规则,其回答的问题是 是什么 ,其涉列的原则是追求事物的真相,其解决问题的思路是需要对事物进行功能分析.WSR 方式方法论以为, 事理 指做事的道理,主要解决怎样去布置所有的设备、材料、人员等资源3. 事理 的本质是处理事情与施行管理的流程,其回答的问题是 如何做 ,其涉列的原则是保证做事的正确性,其解决问题的思路是需要对事物进行逻辑分析.WSR 方式方法论以为,实践中处理任何 事 和 物 ,以及评价 事 和 物 能否 应用得当 ,都必须由人来履行. 人理 指要用人文与社会科学的知识去回答 最好怎么做 的问题, 人理 的作用能够反映在世界观、文化和情感等方面,十分表如今人们处理一些 事 和 物 时的价值观上3.实践中的任何做事活动都是 物理 、 事理 和 人理 三者的动态统一.一味地强调 物理 和 事理 ,摒弃 人理 ,做事不免机械,缺少协调与变通,难有整合与创新.一味地关注 人理 而忽略 物理 和 事理 ,则不免偏离事物的本质,适得其反.多年来,WSR 方式方法论在实践中得到了广泛的应用.WSR 方式方法论的应用具体表现出在两个方面: ( 1) 资源管理方面.佟雪铭基于 WSR 方式方法论构建了人力资源管理 物理因素 、 事理因素 、 人理因素 的三维体系和绩效函数模型4.顾基发以 WSR 方式方法论为基础,建立了水资源决策支持系统 WSR 工作图,并设计了水资源管理决策方案5.高小慧等提出将 WSR 方式方法论应用于项目群管理中,构架完好的项目群管理系统,以协调项目群建设中各个方面的关系6.( 2) 战略制定方面.李丰祥和宋杰基于 WSR 思想提出了设计社区体育空间优化战略的建设性思路7.王沙骋、赵澄谋、姬鹏宏以 WSR 为视角,将军事情报分析方式方法体系划分为物理层、事理层和人理层分析方式方法,并将 WSR 思想融入军事情报分析流程8.近年来,关于怎样将 WSR 方式方法论有效应用于审计理论与审计实践的相关研究成果尚缺. ( 二) COBIT 理论 1996 年,COBIT 理论第一次由美国信息系统审计与控制协会( ISACA) 提出.2020 年 4 月,CO-BIT 模型已经拓展至第五版本.近年来,COBIT 模型已经逐步演变成为全球学者公认的最为先进、最为权威的安全与信息技术管理和控制的标准体系.经太多年的改良与优化,如今 ISACA 已经将 CO-BIT5. 0 版本打造成为一个治理和管理组织信息系统的成熟业务框架,这也将会更好地帮助企业实现治理和管理组织信息系统的目的.COBIT 模型由执行概要( Executive Summary) 、框架( Framework) 、执行工具集( Implementation Tool Set) 、管理指南( Management Guidelines) 、控制目的( Control Objec-tives) 和审计指南( Audit Guidelines) 六个部分构成9.COBIT 5. 0 在优化以往版本的基础上,吸收国际上其他先进的 IT 治理标准与技术规范,尤其吸收了 ITIL 标准.COBIT 4. 1 版本遵循的是 业务为中心、流程为导向、控制为基础、计量为驱动 的理念,而 COBIT 5 版本则倡导 原则为基础、目的为导向、评价为手段、促进因素为载体 的思想10.COBIT 5. 0 新参加的促进因素详细涵盖了关键流程、组织架构、文化内涵、信息基础设施及应用、人力资源与能力等类项.近年来,COBIT 理论已经被应用在一百六十多个国家的重要组织中.在我们国家,学者也尝试将 COBIT 理论应用于不同领域.如陈建军结合 COBIT 理论建立了知识管理系统的有效评价模型11.刘振海等尝试怎样将 COBIT 理论植入央行信息技术审计标准建设之中12,等等.近年来,将 COBIT 1. 0 - COBIT 4. 1 版本应用于信息系统内控或审计的研究成果较多,但自 COBIT 5. 0 版本发布以来,针对新变化,怎样将 COBIT 5. 0 应用于信息系统审计及其风险控制的研究成果较少,还有待于学界的继续努力. 二、高校管理信息系统审计谋略的 WSR 三维分析 ( 一) 高校管理信息系统审计的 物理层 分析 高校管理信息系统属于中观信息系统范域,因而,高校管理信息系统秉承了中观信息系统的特性及内涵.高校管理信息系统是由教务、学务、团务、人事、科研、财务、后勤等高校组成部门所属的信息资源( 如硬件、软件、传输设备、程序、数据以及经历体验) 在高校的统一部署下,以 Internet 为依托,根据一定的契约规则施行、分享的系统.高校信息系统具有超越单个部门边界、运行冗杂交织、高度依靠网络支持、安全程度要求相对较高等特征.鉴于上述特征,高校对本身管理信息系统审计的要求相对较高.高校管理信息系统审计 物理层 研究的是 IS 审计人员在高校管理信息系统审计全经过中所面对的 既定现实 .这种 既定现实 是一种客观存在,研究 当前的状态是什么 的问题,它不以人的主观意志为转移.若想高质量地施行高校管理信息系统审计,无论是高校内部的 IS 审计人员还是外来的 IS 审计师,都必须能够清楚明晰透彻地认清高校管理信息系统审计的 物理层 ,即所面对的审计环境与审计客观条件.当然, 物理层 涉列的因素不仅来自管理信息系统本身,还来自审计主体本身,二者缺一不可.我们对高校管理信息系统审计的 物理层 设计如此图 1 与图 2 所示,主要包括: ( 1) 高校管理信息系统审计的目的体系组成; ( 2) 高校信息系统内部控制的基本情况,内部控制制度的设计能否科学全面,内部控制制度的执行能否正确有效; ( 3) 高校管理信息系统最初的建设资料能否有所存储,存储能否全面,运行全经过执行材料能否完备; ( 4) 高校管理信息系统在实时运营中自动生成的数据信息( 如日志数据) 保存能否完好; ( 5) 当下的 IS 审计团队的状态,IS 审计人员中能否有当代计算机技术、网络通信技术、数据库技术,以及管理学、统计学等相关领域的专家,而且各领域相关专家的审计经历体验怎样,知识层次怎样,针对特定 IS 审计项目相关专家在审计时间需求上的知足程度怎样.上述五方面是高校 IS 审计主体所必须面对的客观实际,也是他们必须透彻把握的客观物质世界.只要切实把握了客观物质世界,IS 审计主体才能真正实现对高校管理信息系统运行规程与应用政策的有效监督. ( 二) 高校管理信息系统审计的 事理层 分析 高校管理信息系统审计的 事理层 设计见上页图 1,详细内容包括下面几个方面.( 1) 在 既有 的高校管理信息系统审计目的体系中,针对 某一次 或 某个阶段 特定的审计活动, 如何去选择 科学的信息系统审计总目的与所属的分目的,如究竟是以审查 财务管理系统 的合规性与合法性为目的? 还是以审查 科研管理系统 文档资料的完好性为目的? ( 2) 在 现有 的审计人力资源条件下,针对特定的审计项目与详细的审计目的, 如何去配置 合理的 IS 审计团队.如 学务管理系统 承载着大学生的教育管理、心理咨询、成长赞助、学习支持、招募生源就业等方面的实时网络服务功能,因此,针对 学务管理系统 开发审计,IS 审计团队在配置团队成员时需要考虑能否应该增加本学校学务部门的专家? 能否需要再增加此方面成熟运转的其他高校学务部门领域的专家? 对这些问题的选择会从根本上弥补审计的缺乏,拓展审计谋略与建议.( 3) 在 既有 的高校信息系统内外部审计根据体系中, 如何去选择 合适的审计根据.审计根据是 IS 审计师衡量被审计高校管理信息系统是非优劣的准绳.IS 审计的根据能够是 IS 法律法规,能够是学校的规章制度,可以以是相关计划与合同或相关业务规范.当下,我们国家有关于信息系统审计的法律法规较少,且不够深切进入,高校针对本身所制定的详细的信息系统控制规范与审计标准也较为缺乏.在这样的现实背景下,审计根据的 选择 与 补充 至关重要.( 4) 在 既定 的高校管理信息系统内外部审计环境下, 如何去获取 以及 如何去遴选 审计证据.IS 审计不同于传统的审计,IS 审计证据愈加具有隐蔽性、难以分辨体认性.因而,怎样通过实地观察、日志挑选、言辞陈述与环境事实,基于经历体验判定甄选审计证据,是出具 IS 审计结论的必要条件.( 5) 在 现有 的审计方式方法体系下, 如何去选定 科学的 IS 审计技术与方式方法.如针对高校的 办公自动化系统 审计,可选择的方式方法体系中需要考虑能否应该包含 核对法 、 函证法 、 观察法 、 鉴定法 等众多方式方法.高校管理信息系统审计的 事理层 回答的是 应该如何做 的问题,其精华真髓是通过经历体验判定寻找最为合理的做事原则,保证做事的正确与高效. ( 三) 高校管理信息系统审计的 人理层 分析 WSR 蕴含 物理层-事理层-人理层 三维层次,且后一层次是前面层次的延伸,基于此,高校管理信息系统审计的 人理层 也是以 物理层 与 事理层 为基础所进行的延伸.人是 物 的执行者与 事 的运营者.由于 物 与 事 无生命,不附有任何运动属性,因此 阅物 与 处事 都离不开人们之间的活动.所谓 人理 是指处事与处物的价值目的与价值尺度.人理的作用集中表如今利用已有的 物理 和 事理 去组织最佳的综合动态实践活动,进而产生最大的效益13.高校管理信息系统审计 人理层 的指导思想是在一定的契约规则下,审计人员在同其他关联主体的交往与协作中,持有良好的价值观,和谐相处,会聚各方智慧,协调各方关系,以促进高校管理信息系统审计目的的高效实现.根据图 1,需要同高校管理信息系统的审计主体和谐协作的其他主体包括: ( 1) 领导层.领导层一般是审计的委托人,IS 审计师需要协调好本身与委托人的受托关系,明确执行受托任务.( 2) 管理层.管理层一般是高校各个信息系统模块所属职能机构的管理者,如 科研管理系统 的管理层应该是科研部门的管理者.IS 审计师需要协调好与管理层的关系,这样,审计经过才能平稳顺畅.( 3) 设计层.设计层是信息系统的设计者,他们熟悉信息系统设计的流程与思路,甚至存储着最初设计资料.IS 审计师需要协调好本身与设计层的关系,这样在信息系统开发等审计中,IS 审计师将会借用设计层的经历体验与数据,便捷开展审计活动.( 4) 执行层.执行层是信息系统运营的执行者,IS 审计师需要协调好本身与执行层的关系,关注他们实时处理数据,加强互动,全面搜集 第一手 审计证据.( 5) 用户层.用户层通过反复实践实现了对信息系统的亲身检验.用户层聚集着对系统的真实评价以及更高层次的等待,IS 审计师需要协调好本身与用户层的关系,收集系统功能的缺乏与改良建议,以出具科学的审计报告,提出完善的审计建议. 三、高校管理信息系统审计风险控制模型的建立与探寻求索 高校管理信息系统审计风险属于中观信息系统审计风险的范畴.结合中观信息系统审计风险的内涵2,我们以为,高校管理信息系统审计风险是指 IS 审计师在对高校管理信息系统的整体或局部进行审计的经过中,由于遭到某些不确定因素的影响,使得高校管理信息系统审计结论与客观经济事实产生差异,进而遭到相关关系人指控并遭遇经济损失以及声望损失的可能性.IS 审计师在施行高校管理信息系统审计的经过中,应该加强对审计风险的控制.且审计风险控制不是例外行为,它是以审计活动的施行为载体,并寓于审计行为之中.COBIT 是 IT 治理框架,是一套成熟的信息技术管理与控制体系.基于 COBIT 的拓展,本文将 WSR 方式方法论与 COBIT 理论相结合,对高校管理信息系统审计风险的控制问题进行研究,并基于图 3 作进一步分析.图3略 ( 一) 高校管理信息系统审计风险控制的 COBIT 式模型 COBIT 3. 0 版将 IT 控制分成了三维空间.第一维空间是 IT 标准,如质量、信誉、安全、可靠与完好;第二维空间是 IT 资源,包括数据、设备、技术、应用系统以及人力资源; 第三维是 IT 经过,包括 4 个域、38项控制目的以及相关详细行动.针对高校管理信息系统审计风险控制的特点,图 3 对 COBIT 的三维空间进行了延伸,详细分析如下.( 1) 第一维空间是高校管理信息系统审计目的.图 3 将 COBIT 的五项标准演化为七个审计目的,即通过审计加强高校管理信息系统的有效性、效率性、机密性、完好性、可用性、一致性及可靠性.IT 标准、信息系统审计目的与信息系统审计风险控制原则三者之间一脉相承. COBIT 的 IT 标准阐释了衡量 IT 控制的准则,信息系统审计目的阐述了怎样根据 IT 标准获取所期望的成果,信息系统审计风险控制原则说明了为实现信息系统审计目的所根据的 IT 准则.因而,高校信息系统审计风险控制的原则与其审计的目的是一致的,最终都是为了实现高校管理信息系统的安全、可用、完好与一致,只要遵循了这样的 IT 标准,IS 审计师的审计结论才不会偏离客观事实,进而才不会遭到相关关系人的追控.( 2) 第二维空间是高校管理信息系统审计详细模块所属相关业务下的资源.图3 将 COBIT 的五项 IT 资源放入了特定对象之下,这个特定对象就是高校管理信息系统某一详细模块之下的相关业务活动.假定对高校学生 助学贷款 系统的审计风险进行控制,则应该相应地选定 学务管理系统 模块下的 助学贷款 业务活动,且在这个特定对象下分析 IT 审计及其风险控制所牵涉的数据、设备、技术等五项资源.一般而言,IT 审计与 IT 审计风险控制所需的 IT 资源是一致的,由于两者都是在同一活动中同步施行的.( 3) 第三维空间是高校管理信息系统审计风险控制的五项要素.图 3 的第三维空间并未遵从 COBIT 理论所提出的 域、经过、任务活动 ,而是从另一个角度引入了审计风险控制的 五项要素 ,这些要素表现了高校管理信息系统审计风险控制的五个重要经过. ( 二) 高校管理信息系统审计风险控制的 五项要素 分析 图 3 模型中第三维度 五项要素 的详细内涵解释如下.( 1) 控制环境.高校管理信息系统审计风险控制的 控制环境 要素是指围绕 高校管理信息系统审计风险 ,并对其控制产生影响的所有外界事物,详细包括: IS 审计及其风险控制所必须遵照的关于信息系统安全的标准、规范与相关制度; IS 审计委托人委托的各项任务; 被审计系统的软硬件条件与应用环境; IS 审计主体的本身条件,如经历体验、规模、构造等. 控制环境 要素属于 WSR 方式方法论中的 物理层 ,是 IS 审计主体在风险控制中所必须面对的客观现实.IS 审计师必须全面明晰 审计环境 ,这是控制风险的前提.( 2)信息和沟通.这一要素属于 WSR 方式方法论中的 人理层 ,IS 审计师有效施行 信息和沟通 经过的关键在于处理好与审计风险控制相关联的其他主体之间的关系,建立良好的内外部沟通机制与顺畅的信息采集机制.( 3) 风险评估.高校管理信息系统审计风险控制的 风险评估 是指在审计风险事件发生之前或之中,IS 审计师通过调查法、决策树法等定量与定性分析方式方法,对该风险事件的影响或产生损失的可能性进行系列量化评估的经过.这一经过主要包含对审计风险事先的辨别、分析、测量与应对等环节.( 4) 控制活动. 控制活动 是 五项要素 中最为重要的一项要素.高校管理信息系统审计风险控制的 控制活动 贯穿于 IS 审计的全经过,而且寓于审计之中,审计经过严格、规范、科学必然会大幅度降低审计风险.为降低信息系统审计风险,IS 审计师应关注的 控制活动 因素有: 遵守审计 独立性 原则; 执行审计任务时严格遵循各项信息系统安全管理标准与审计规范; 科学规划审计经过; 正确选择审计技术与方式方法; 建立审计风险的实时预警机制; 完善审计风险的即时处理机制.( 5) 监控.高校管理信息系统审计风险控制的 监控 是指对 IS 审计进行全方位、全经过的监督与检查,并通过对以往风险事件经历体验的总结,完善审计风险的控制制度.上述五项要素中, 风险评估 、 控制活动 与 监控 属于 WSR 方式方法论中的 事理层 ,三项要素的执行需要 IS 审计师的逻辑分析,这就要求 IS 审计师审时度势,通过缜密的分析找出正确的做事方式方法.图 3 中的第三维度是高校管理信息系统审计风险控制的重心,其与第一维度的审计目的、第二维度特定对象业务下的审计资源有机交融,共同构筑了高校管理信息系统审计风险的防御屏障. 四、高校管理信息系统审计及其风险控制的启示与建议 ( 一) 组建健全的高校管理信息系统审计部门与团队 高校管理信息系统属于中观信息系统的范畴,涵盖办公、教学等若干模块,构造庞杂,功能繁多.基于此,高校管理信息系统审计与传统的审计相比,所面临的挑战更大,所牵涉的学科已经过传统的审计学拓展成为集计算机科学与技术、网络通信技术、数据库技术、管理学、审计学、统计学、应用数学于一体的穿插学科.由此,高校作为本身管理信息系统审计的委托人,需要从实际出发,统筹规划,成立以信息系统安全、有效、机密、完好、一致为目的的管理信息系统审计专业部门,并组建成熟的 IS 审计团队.建立部门应该关注的问题如下.( 1) 部门归属.高校管理信息系统审计应该从属于高校的内审部门.当下,高校基本上都设置了 审计处( 部) ,负责全校的内审工作.我们以为, 审计处( 部) 应该专设一个分支机构,负责全校管理信息系统的审计业务.( 2) 成员构成.高校管理信息系统的审计团队应该遵循多样化原则,建立复合型审计队伍.成员中应该有来自校外实务界的专家,有来自校内各个信息系统模块所属职能机构的资深从业人员,还有来自 审计处( 部) 多年从事 IS 审计实务的审计师,以及最初开发信息系统的专业技术人员等.总之,成员需要保证多学科专业人士有机融合以及系统不同运行阶段介入人的共同配合.( 3) 团队建设.高校管理信息系统审计团队的建设是一个长期的经过,成员间专业经历不同,有专兼职的差异和校内外的差异,不便于管理,因此,高校在审计团队建设中必须做好五点内容,即正确的组织领导、共同的事业愿景、清楚明晰的团队目的、科学的鼓励机制与系统的学习提升,仅有如此,审计团队才能真正发挥信息系统审计的作用,进而为审计风险的控制打下基础. ( 二) 构架良好的高校管理信息系统审计运行机制 近年来,我们国家在传统审计上已经构成了成熟的体系标准,然而,在高校管理信息系统审计的准则与规范方面,相关成果相对较少.面对如此现在状况,尽管高校建立了健全的机构与团队,但由于 IS 审计师缺少衡量审计质量的尺度,缺乏确定和解脱审计责任的根据,高校管理信息系统的审计及风险控制仍无从谈起.基于此,高校需要引入 WSR 方式方法论与 COBIT 理论等外部理论来构架管理信息系统审计的相关规范与运营流程( 图4) ,通过借助外来理论强化对高校管理信息系统审计的建设.前文所述,COBIT 模型由执行概要、框架、执行工具集、管理指南、控制目的与审计指南六部分组成,图 4 截取了后三部分来对高校管理信息系统的审计运行机制进行研究,并作如下解释.( 1) 引入 COBIT 的管理指南.COBIT 的管理指南提供了信息系统管理的工具,给出了包括成熟度模型、关键成功因素、关键目的指标、关键绩效指标在内的度量信息系统的指标体系以及评估准则在内的度量模型.IS 审计师能够借用相关指标体系与度量模型判定系统的开发能否符合行业标准、判定详细审计业务处理的复杂性、充分关注被审计系统固定风险的详细业务处理事项.( 2) 引入 COBIT 的控制目的.COBIT 的控制目的包括 4 个高层域、38项中层控制目的、318 项详细活动控制.多方位、多层次的 COBIT 控制目的弥补了当下高校管理信息系统审计规范的极度匮乏,为 IS 审计师 如何评价内控 以及 根据什么审计 提供了绝佳的系列参考样板.( 3) 引入 COBIT 的审计指南.COBIT 的审计指南涵盖了信息系统审计的基本准则、详细准则与执业指南.审计指南为 IS 审计师审计高校信息系统规定了审计行为必须到达的基本要求,规定了审计业务施行的详细规范、操作规程与详细方式方法.根据 WSR 方式方法论,高校管理信息系统审计对 COBIT 模型后三部分的 引入 属于 物理层 ,COBIT 模型中的详细内容是 客观存在 ,是 IT 治理的通用性标准,但是,对于 COBIT 模型后三部分的 吸收 却属于 事理层 ,它要求审计部门实事求是、去粗取精,采用逻辑分析方式方法,处好 事 ,选好 物 ,实现 事物 的最佳平衡状态. ( 三) 建立完善的高校管理信息系统审计风险控制体系 传统审计风险模型下,审计风险涵盖固有风险、控制风险与检查风险.面对高校管理信息系统的固有风险、控制风险以及 IS 审计师的检查风险等,高校有必要建立完善的管理信息系统审计风险控制体系.结合图3 与图4,我们能够发现审计风险控制体系的建立并非难事.图3 的COBIT 式三维框架为我们提供了 IS 审计风险控制的思路,即针对某一 信息系统模块详细业务活动及其所属的相关资源 ,根据 7 项 IT 目的 ,在 五项要素 下结合 WSR 方式方法论实现对审计风险的控制.图4 中 COBIT 理论下 管理指南 、 控制目的 为 IS 审计师挖掘高校信息系统本身的固有风险与控制风险提供了参照样板.如 管理指南 所属的 关键目的指标 阐释了信息技术处理中最关键环节应实现 什么样 的目的,当 IS审计师发现 关键理想目的 与 实际处理结果 之间出现严重差异时,IS 审计师能够基于相关原理,进一步考察其固有风险及控制风险,并评价这一 有害事件 的重要程度.另外,图 4 审计指南 中的系列准则对规范 IS 审计师本身的审计行为,以进一步防备检查风险提供了可操作性指导.需要讲明的是,当下有部分高校本身并未建立信息系统审计平台,而是采用信息系统审计项目外包的方式14.对于这种情形,高校与外来 IS 审计部门都存在着风险,高校的风险是存在重要信息泄露的可能,而外来 IS 审计部门的风险是因缺少高校相关职能部门专业人士的介入而导致不能全面、深切进入地挖掘被审计系统的固有风险与控制风险.在这里,我们建议高校与外包审计部门关注本身风险,并希望外包审计部门尽可能合理融合高校专业人士,组建复合型团队,提高 IS 审计质量,有效防备 IS 审计风险.图4略 以下为参考文献: 1张金城. 管理信息系统M.1 版. 北京: 北京大学出版社,2001. 2刘国城,王会金. 中观信息系统审计风险管理的理论探寻求索与体系构架J. 审计研究,2018( 2) : 21-28. 3顾基发,唐锡晋. 物理-事理-人理系统方式方法论: 理论与应用M. 1 版. 上海: 上海科技教育出版社,2006. 4佟雪铭. WSR 方式方法论在人力资源开发研究中的应用J. 软科学,2008( 1) : 135-138. 5顾基发. 物理事理人理系统方式方法论的实践J. 管理学报,2018( 3) : 317-355. 6高小慧,顾基发. 基于 WSR 系统方式方法论的项目群管理研究J. 项目管理技术,2020( 10) : 65-69. 7李丰祥,宋杰. 基于 WSR 思想的城市社区体育空间建设研究J. 体育科学,2006( 6) : 43-46. 8王沙骋,赵澄谋,姬鹏宏. 基于 WSR 的军事情报分析J. 情报杂志,2007( 4) : 22-23. 9ISACA. About isacaEB/OL. 10鲁清仿. COBIT5 与 COBIT4. 1 的比拟与启示J. 财会月刊,2020( 1) : 89-92. 11陈建军. 知识管理系统绩效评价研究J. 情报杂志,2007( 10) : 18-21. 12刘振海,刘晶,刘海林. 基于 COBIT 的央行信息技术审计标准研究J. 金融理论与实践,2020( 12) : 35-38. 13马轶群. 基于 WSR 的审计应对非常规事件的管理系统研究J. 审计月刊,2018( 7) : 7-10. 14唐文杰. 高校信息系统审计谋略讨论J. 财会月刊,2020( 5) : 71-73.