高校计算机审计策略的WSR三维分析及安全控制.docVIP

高校计算机审计策略的WSR三维分析及安全控制 　　管理信息系统是一个具有高度复杂性、多元性和综合性的人机系统,它全面使用现代计算机技术、网络通信技术、数据库技术,以及管理学、运筹学、统计学、模型论和各种最优化技术,为经营管理与组织决策服务[1].高校是人才、知识、资产与技术等资源的集聚地,高校之所以设计并实施管理信息系统,其实质就是全面实现高校管理的数字化、信息化、网络化以及科学化,以便能够及时、快捷地组织各项活动,准确做出决策.高校管理信息系统由一系列管理模块构成,如教务管理模块、人事管理模块、科研管理模块、资产管理模块、学生管理模块、财务管理模块、图书管理模块、后勤管理模块等,系统内模块与模块之间彼此协同,共同构筑成一个有机整体.高校管理信息系统的构建是一项庞杂的系统工程,它涉及高校运营的每一方面,且各方面之间存在着杂乱的勾稽关系.所谓高校管理信息系统审计是指 IT 审计师依据特定的审计规范,运用科学系统的程序方法,对高等院校管理信息系统的运行规程与应用对策所实施的一种监督活动,旨在增强高校管理信息系统整体及其各个模块的有效性、安全性、机密性与一致性.高校管理信息系统审计属于中观信息系统审计的范畴.与微观信息系统相比,中观信息系统所涉及的范围广且对象繁多,同时,区域内纷乱的组成个体之间盘节着错综的契约关系,若中观信息系统出现问题,其危害程度远远甚于微观信息系统[2].有鉴于此,高校应该重视管理信息系统的安全性审计问题,并能够对相应的审计风险做出合理的估计与控制,以便有效规避管理信息系统所带来的各类风险,高效发挥系统各项功能. 　　一、相关理论追溯 　　( 一) WSR 方法论 　　物理-事理-人理方法论( Wuli-Shili-Renli Approach) ,简称 WSR 方法论.该方法论是由顾基发与许志昌两位教授于 1994 年在英国 Hull 大学提出的一种东方系统方法论.WSR 方法论认为,”物理”指涉及物质运动的机理,通常要用自然科学知识,主要回答”物”是什么,”物理”需要的是真实性,研究客观存在[3].”物理”的实质是客观物质世界的规则,其回答的问题是”是什么”,其涉列的原则是追求事物的真相,其解决问题的思路是需要对事物进行功能分析.WSR 方法论认为,”事理”指做事的道理,主要解决如何去安排所有的设备、材料、人员等资源[3].”事理”的实质是处理事情与实施管理的流程,其回答的问题是”怎样做”,其涉列的原则是保证做事的正确性,其解决问题的思路是需要对事物进行逻辑分析.WSR 方法论认为,实践中处理任何”事”和”物”,以及评价”事”和”物”是否”应用得当”,都必须由人来履行.”人理”指要用人文与社会科学的知识去回答”最好怎么做”的问题,”人理”的作用可以反映在世界观、文化和情感等方面,特别表现在人们处理一些”事”和”物”时的价值观上[3].实践中的任何做事活动都是”物理”、”事理”和”人理”三者的动态统一.一味地强调”物理”和”事理”,摒弃”人理”,做事不免机械,缺少协调与变通,难有整合与创新.一味地关注”人理”而忽略”物理”和”事理”,则不免偏离事物的本质,适得其反.多年来,WSR 方法论在实践中得到了广泛的应用.WSR 方法论的应用体现在两个方面: ( 1) 资源管理方面.佟雪铭基于 WSR 方法论构建了人力资源管理”物理因素”、”事理因素”、”人理因素”的三维体系和绩效函数模型[4].顾基发以 WSR 方法论为基础,建立了水资源决策支持系统 WSR 工作图,并设计了水资源管理决策方案[5].高小慧等提出将 WSR 方法论应用于项目群管理中,构架完整的项目群管理系统,以协调项目群建设中各个方面的关系[6].( 2) 战略制定方面.李丰祥和宋杰基于 WSR 思想提出了设计社区体育空间优化战略的建设性思路[7].王沙骋、赵澄谋、姬鹏宏以 WSR 为视角,将军事情报分析方法体系划分为物理层、事理层和人理层分析方法,并将 WSR 思想融入军事情报分析流程[8].近年来,关于如何将 WSR 方法论有效应用于审计理论与审计实践的相关研究成果尚缺. 　　( 二) COBIT 理论 　　1996 年,COBIT 理论第一次由美国信息系统审计与控制协会( ISACA) 提出.2012 年 4 月,CO-BIT 模型已经拓展至第五版本.近年来,COBIT 模型已经逐步演变成为全球学者公认的最为先进、最为权威的安全与信息技术管理和控制的标准体系.经过多年的改进与优化,如今 ISACA 已经将 CO-BIT5. 0 版本打造成为一个治理和管理组织信息系统的成熟业务框架,这也将会更好地帮助企业实现治理和管理组织信息系统的目标.COBIT 模型由执行概要( Executive Summary) 、框架( Framework) 、执行工具