（撰稿、摄影：肖振怡）什么是计算机审计？如果在之前，我可能会回答：计算机审计就是利用计算机作为辅助工具的审计，但在听完上海国家会计学院刘勤教授的《计算机审计》课程后，才懂得计算机审计内容竟如此之丰富。短短四个半天的课程，刘勤教授深入浅出地讲授了四个模块：信息系统与计算机审计概述、信息系统审计、计算机辅助审计、内部管理信息化。在刘勤教授的课堂上，与课程内容紧密相关的精彩案例不胜枚举。

     你相信有人拥有让ATM自动吐钱的魔法吗？这放以前我铁定不相信！但是现在我是真信！这源于刘勤教授课堂上的一个案例：黑客轻松让ATM机狂吐现金。

黑客轻松让ATM机狂吐现金

  2010年7月底在拉斯维加斯举行的黑帽大会上， IOActive的安全测试经理Barnaby Jack拉了两台ATM机上了黑帽大会的讲台，并向现场观众演示了令人目瞪口呆的一幕：只见他按动电脑上的一个按键，舞台另一端的两台ATM机便立刻吐出了大堆的钞票，撒满了一地。“我希望人们能够改变对这类看上去似乎牢不可破的银行设备的看法，” Jack说。

      什么？你以为刘勤教授讲这个案例单纯只是为了告诉你黑客独特的“生财之道”？那可就大错特错了！案例背后实际体现的是信息系统风险，也就是某些威胁将利用企业信息系统的薄弱点而造成的信息资产甚至其他相关资产损失或破坏的潜在可能性，而我们的信息系统时刻面临着巨大风险。那这和计算机审计又有什么关联呢？事实上，计算机审计与一般的审计相同，同样是执行经济监督、鉴证与评价职能，其特殊性主要表现为：对执行经济业务和会计信息的计算机信息系统进行审计，即计算机信息系统作为审计的对象；利用计算机辅助审计，即计算机作为审计的工具。那么，计算机审计的任务很重要的部分就是评价审查企业信息系统是否安全可靠。

     企业的信息系统如果有效，则可以达到企业经管目的，实现效益。反之，脆弱的信息系统则会因控制不力及相关内外部威胁因素而承受风险，造成损害，即负面效应。审计人员在对企业信息系统风险进行分析与评估时，可以从信息系统风险的四要素来考虑：资产、薄弱点、威胁、影响。信息系统风险评估指的是对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估，即利用适当的风险评估工具，以定性和定量的方法，确定资产风险等级和有限控制的程序。

    除了随手拈来的专业案例储备，刘勤教授学以致用的精神也深深影响着我们。在讲述知识管理内容时，刘勤教授给大家展示了自制的采访视频案例，课堂上同学们热情高涨地参与了案例讨论并踊跃发言，也对如何将隐性知识显性化等等方面有了更深刻的理解。之后，刘勤教授还和大家分享了他移动硬盘里储存的几十年来教学等相关资料进行知识管理后的成果，“我可以很快地找到几十年里具体的某个时点或内容的资料”，那一刻可以捕捉到刘勤教授嘴角浮现的一抹得意的微笑。想了下自己电脑里乱糟糟的资料管理，实在是汗颜！我想，知识管理，这个好习惯或者说技能值得我们去好好学习并应用。

    “我平时以为领导上课只会泛泛而谈，没想到刘勤教授如此学识渊博，尤其能感觉到在计算机以及信息化等领域里非常的专业啊！而且你有没有感觉到，老师虽然上了一整天的课有点疲惫，但是在和我们探讨学术知识的时候整个人精神抖擞，眉飞色舞的，还那么平易近人，感觉要被圈粉了！”——某位同学如是说。