管理信息系统是一个具有高度复杂性、多元性和综合性的人机系统,它全面使用现代计算机技术、网络通信技术、数据库技术,以及管理学、运筹学、统计学、模型论和各种最优化技术,为经营管理与组织决策服务。高校是人才、知识、资产与技术等资源的集聚地,高校之所以设计并实施管理信息系统,其实质就是全面实现高校管理的数字化、信息化、网络化以及科学化,以便能够及时、快捷地组织各项活动,准确做出决策。高校管理信息系统由一系列管理模块构成,如教务管理模块、人事管理模块、科研管理模块、资产管理模块、学生管理模块、财务管理模块、图书管理模块、后勤管理模块等,系统内模块与模块之间彼此协同,共同构筑成一个有机整体。高校管理信息系统的构建是一项庞杂的系统工程,它涉及高校运营的每一方面,且各方面之间存在着杂乱的勾稽关系。所谓高校管理信息系统审计是指IT审计师依据特定的审计规范,运用科学系统的程序方法,对高等院校管理信息系统的运行规程与应用对策所实施的一种监督活动,旨在增强高校管理信息系统整体及其各个模块的有效性、安全性、机密性与一致性。高校管理信息系统审计属于中观信息系统审计的范畴。与微观信息系统相比,中观信息系统所涉及的范围广且对象繁多,同时,区域内纷乱的组成个体之间盘节着错综的契约关系,若中观信息系统出现问题,其危害程度远远甚于微观信息系统。有鉴于此,高校应该重视管理信息系统的安全性审计问题,并能够对相应的审计风险做出合理的估计与控制,以便有效规避管理信息系统所带来的各类风险,高效发挥系统各项功能。 一、相关理论追溯 (一)WSR方法论 物理—事理—人理方法论(Wuli-Shili-Renli Approach),简称WSR方法论。该方法论是由顾基发与许志昌两位教授于1994年在英国Hull大学提出的一种东方系统方法论。WSR方法论认为,“物理”指涉及物质运动的机理,通常要用自然科学知识,主要回答“物”是什么,“物理”需要的是真实性,研究客观存在。“物理”的实质是客观物质世界的规则,其回答的问题是“是什么”,其涉列的原则是追求事物的真相,其解决问题的思路是需要对事物进行功能分析。WSR方法论认为,“事理”指做事的道理,主要解决如何去安排所有的设备、材料、人员等资源。“事理”的实质是处理事情与实施管理的流程,其回答的问题是“怎样做”,其涉列的原则是保证做事的正确性,其解决问题的思路是需要对事物进行逻辑分析。WSR方法论认为,实践中处理任何“事”和“物”,以及评价“事”和“物”是否“应用得当”,都必须由人来履行。“人理”指要用人文与社会科学的知识去回答“最好怎么做”的问题,“人理”的作用可以反映在世界观、文化和情感等方面,特别表现在人们处理一些“事”和“物”时的价值观上。实践中的任何做事活动都是“物理”、“事理”和“人理”三者的动态统一。一味地强调“物理”和“事理”,摒弃“人理”,做事不免机械,缺少协调与变通,难有整合与创新。一味地关注“人理”而忽略“物理”和“事理”,则不免偏离事物的本质,适得其反。多年来,WSR方法论在实践中得到了广泛的应用。WSR方法论的应用体现在两个方面:(1)资源管理方面。佟雪铭基于WSR方法论构建了人力资源管理“物理因素”、“事理因素”、“人理因素”的三维体系和绩效函数模型。顾基发以WSR方法论为基础,建立了水资源决策支持系统WSR工作图,并设计了水资源管理决策方案。高小慧等提出将WSR方法论应用于项目群管理中,构架完整的项目群管理系统,以协调项目群建设中各个方面的关系。(2)战略制定方面。李丰祥和宋杰基于WSR思想提出了设计社区体育空间优化战略的建设性思路。王沙骋、赵澄谋、姬鹏宏以WSR为视角,将军事情报分析方法体系划分为物理层、事理层和人理层分析方法,并将WSR思想融入军事情报分析流程。近年来,关于如何将WSR方法论有效应用于审计理论与审计实践的相关研究成果尚缺。 (二)COBIT理论 1996年,COBIT理论第一次由美国信息系统审计与控制协会(ISACA)提出。2012年4月,COBIT模型已经拓展至第五版本。近年来,COBIT模型已经逐步演变成为全球学者公认的最为先进、最为权威的安全与信息技术管理和控制的标准体系。经过多年的改进与优化,如今ISACA已经将COBIT 5.0版本打造成为一个治理和管理组织信息系统的成熟业务框架,这也将会更好地帮助企业实现治理和管理组织信息系统的目标。COBIT模型由执行概要(Executive Summary)、框架(Framework)、执行工具集(Implementation Tool Set)、管理指南(Management Guidelines)、控制目标(Control Objectives)和审计指南(Audit Guidelines)六个部分构成。COBIT 5.0在优化以往版本的基础上,吸收国际上其他先进的IT治理标准与技术规范,尤其吸收了ITIL标准。COBIT 4.1版本遵循的是“业务为中心、流程为导向、控制为基础、计量为驱动”的理念,而COBIT 5版本则倡导“原则为基础、目标为导向、评价为手段、促进因素为载体”的思想。COBIT 5.0新加入的促进因素具体涵盖了关键流程、组织架构、文化内涵、信息基础设施及应用、人力资源与能力等类项。近年来,COBIT理论已经被应用在一百六十多个国家的重要组织中。在我国,学者也尝试将COBIT理论应用于不同领域。如陈建军结合COBIT理论建立了知识管理系统的有效评价模型。刘振海等尝试如何将COBIT理论植入央行信息技术审计标准建设之中,等等。近年来,将COBIT 1.0-COBIT 4.1版本应用于信息系统内控或审计的研究成果较多,但自COBIT 5.0版本发布以来,针对新变化,如何将COBIT 5.0应用于信息系统审计及其风险控制的研究成果较少,还有待于学界的继续努力。 二、高校管理信息系统审计策略的WSR三维分析 (一)高校管理信息系统审计的“物理层”分析