彭啟發(fā)　艾如巧

【摘 要】 文章重點研究云端服務下的云會計和云審計。云會計的提出，推動了云審計的發(fā)展，云計算環(huán)境下的審計業(yè)務作為一種新興業(yè)務研究正在崛起，也促進了大數(shù)據(jù)環(huán)境下的云審計框架問題研究。審計具有基于第三方的受托責任，審計結果的真實可靠程度備受人們矚目，那么，云計算環(huán)境下的審計風險又面臨著怎樣的挑戰(zhàn)呢？目前的審計體系滿足不了大數(shù)據(jù)時代下的審計需求，因此，云計算環(huán)境下的ERP審計問題值得進一步探討。

【關鍵詞】 云計算； 審計風險； 云審計

中圖分類號：F239 文獻標識碼：A 文章編號：1004-5937（2015）10-0128-02

基于云計算環(huán)境下的企業(yè)管理信息系統(tǒng)將成為下一代ERP系統(tǒng)的發(fā)展趨勢，企業(yè)信息系統(tǒng)不再是信息孤島，通過云計算供應商提供的信息服務，有利于審計數(shù)據(jù)的采集。ERP系統(tǒng)的有效運行有助于企業(yè)實現(xiàn)規(guī)范化管理，也產生了一些內部控制審計問題。國外最早提供云計算平臺服務的是彈性計算云，Google是國外云計算應用比較成功的案例，國內主要有阿里云、百度云、新浪SAE、盛大云等云計算供應商。2009年中石化和IBM合作研發(fā)云項目，開始著手于ERP系統(tǒng)的全面升級，與云計算平臺銜接，跨越兩個數(shù)據(jù)云端。云端ERP系統(tǒng)的審計手段與技術方法發(fā)生了翻天覆地的變化，風險導向控制顯得尤為重要。大數(shù)據(jù)時代下的ERP系統(tǒng)雖然在云端服務器解決了數(shù)據(jù)共享和信息及時性問題，但數(shù)據(jù)存在安全威脅，仍會出現(xiàn)故障，如AmazonS3的downtime事件。云計算環(huán)境下的ERP審計風險主要是重大錯報風險，包括系統(tǒng)固有風險和內部控制風險。本文重點針對系統(tǒng)固有風險，研究云計算環(huán)境下的ERP審計應對措施。

一、云計算環(huán)境下的ERP數(shù)據(jù)存儲分析

云環(huán)境下采取內部數(shù)據(jù)外包的形式進行存儲，將數(shù)據(jù)存放在云端“DBMS”加密數(shù)據(jù)庫中。應用程序和操作系統(tǒng)中調用加/解密函數(shù)實現(xiàn)DBMS數(shù)據(jù)庫加密功能，如實行PostgreSQl表級存儲數(shù)據(jù)庫加密，采用Gost加密算法，由64位分組和256位密鑰組成。內部數(shù)據(jù)外包存儲主要思想是ERP系統(tǒng)內部發(fā)生經濟業(yè)務時，形成文件代碼或字段，經加密組件處理后實時存儲在云端。實施審計工作時，審計人員通過企業(yè)授權對存儲文件解密，解密成功則允許取數(shù)操作，否則拒絕。審計人員通過比對分析ERP內部存儲數(shù)據(jù)與云端加密數(shù)據(jù)是否存在差異，一致則很大程度上說明經濟業(yè)務情況屬實；否則進一步取證或實施替代性程序驗證哪一數(shù)據(jù)更可靠。根據(jù)不同企業(yè)的需求，在審計模塊加入適用的預留審計線索，保存在固定的磁性介質中，將其存儲在不同于ERP服務器的另一臺云端審計服務器中，則審計人員可以直接從云審計服務器中調取審計線索，開展審計工作，此模式主要優(yōu)點如下：

第一，提升了企業(yè)ERP系統(tǒng)中業(yè)務數(shù)據(jù)的安全性能。數(shù)據(jù)被篡改將影響整個ERP系統(tǒng)的信息真實性，且極不易被發(fā)現(xiàn)，直接加大了審計風險。云服務商提供的業(yè)務數(shù)據(jù)較為可靠，有助于審計人員實施針對性審計工作，既可避免黑客篡改ERP數(shù)據(jù)導致的審計風險，又可提高審計質量及效率。此模式下的審計業(yè)務是通過比對和分析企業(yè)ERP系統(tǒng)和云計算服務器的數(shù)據(jù)，針對性審計差異經濟業(yè)務，重點放在審計云中獲取差異性證據(jù)上，通過順查和逆查等方式尋求差異的根源，得出主體數(shù)據(jù)還是附體數(shù)據(jù)被篡改的結論，在此基礎上開展審計后續(xù)工作，這樣可降低系統(tǒng)固有風險，項目審計工作結束后，將相關證據(jù)材料提交被審計單位。

第二，保證了審計證據(jù)的獲得。根據(jù)行業(yè)性質設置審計線索參數(shù)，加大ERP模式下審計線索的關注，使審計人員在查找審計線索時有據(jù)可依。目前有學者涉及ERP系統(tǒng)在線審計研究，如于洪波等，為ERP在線審計技術的實現(xiàn)提供了理論性指導，該理論可應用在云計算中。實施在線審計的原理是經濟業(yè)務發(fā)生時，在ERP系統(tǒng)中預先留下審計線索，實時地通過授權碼傳輸?shù)皆贫藢徲嬀€索存儲的磁性介質中，不但可以在實施審計工作時取得可靠證據(jù)，還為審計人員隨時實施在線審計創(chuàng)造了條件，提升了企業(yè)管理水平，保證了審計證據(jù)的有效性。

第三，降低了審計風險。內部數(shù)據(jù)外包存儲模式提高了系統(tǒng)的安全可靠性，可以降低系統(tǒng)固有風險；預留審計線索保證了審計證據(jù)的有效性，可以提高審計證據(jù)質量，降低審計風險；審計過程中實施的實質性程序，則能降低抽查風險，抽查風險受人為因素影響，由審計人員的專業(yè)勝任能力和自身知識系統(tǒng)的綜合業(yè)務素質決定。因此，在抽查風險一定的情況下，建設云計算環(huán)境下的審計系統(tǒng)可以降低固有風險和控制風險。

二、云計算環(huán)境下的ERP審計應對措施

國外的審計軟件主要有TeamMate、IDEA、Pentana等，我國審計軟件類型多樣化，常用審計軟件有EAS、審計數(shù)據(jù)采集與分析2.0等。TeamMate軟件系統(tǒng)實行集成式無紙策略，功能強大，集成的審計套件主要包括TeamRisk（風險評估系統(tǒng)）、TeamEWP（電子工作底稿）、TeamCentral（數(shù)據(jù)庫），消除了電子文件不連貫的相關障礙，提高了審計人員的工作效率。國內審計軟件基本滿足ERP系統(tǒng)下的審計業(yè)務要求，主要采用的審計方法有系統(tǒng)輔助法、流程追溯法、實時審計法和循環(huán)測試法。使用這些輔助審計技術方法時，還應結合檢查文件、記錄、詢問、函證、重新計算、程序分析等傳統(tǒng)審計技術方法，對財務和非財務數(shù)據(jù)進行審計，著重于財務相關的數(shù)據(jù)審查。云計算環(huán)境下的審計軟件功能應在風險控制方面加強固有風險和內部控制風險審計。云計算環(huán)境下的審計模式應是ISA模塊融入ERP系統(tǒng)中，通過授權直接在云端采集共享的實時數(shù)據(jù)實施審計工作。設計云計算環(huán)境下的審計體系時，把準則及變更數(shù)據(jù)等放在云端及時更新，將會計云和審計云實現(xiàn)對接，審計云按照審計準則設計，可以及時地調整財務信息，云計算環(huán)境下的審計信息將更為可靠。

首先，完善云審計下的軟件需求功能。研發(fā)審計軟件應借助社會或政府的力量征詢內部審計、社會審計及國家審計人員的意見，收集業(yè)務中獲取審計證據(jù)的建議，統(tǒng)計不同審計人員所提要求，將意見整理移交技術部分析可行性，最終融合現(xiàn)有的審計軟件納入云服務器中研發(fā)，從而降低審計軟件翻新成本。將所有審計工作流程實現(xiàn)自動化改革，云計算下是可行的。確保審計軟件數(shù)據(jù)處理功能的正確性，采用人機結合的方法實施審計工作，雖然電子底稿和審計報告都可以由云審計服務器自動生成，但計算機依據(jù)程序自動運行，可能出現(xiàn)代碼紊亂或意外情況，需要審計人員二次把關，根據(jù)分工權限審核相關業(yè)務的信息。

其次，不局限于財務系統(tǒng)，實現(xiàn)全方位審計。云計算下的整個ERP系統(tǒng)納入審計軟件電子審核范圍，將審計軟件嫁接在云計算環(huán)境下的ERP系統(tǒng)上，實現(xiàn)云中ERP系統(tǒng)的在線審計。把云審計服務器和云計算服務器通過端口連接后，降低云端的控制風險，在經營過程中加強經濟業(yè)務的控制，進行審計線索追蹤，備注到云審計服務器作為預留審計線索，到年終審計時，審計人員根據(jù)審計計劃設置審計項目，操作整個業(yè)務流程。

最后，開發(fā)云審計環(huán)境下的內部控制測試功能——審計風險測評，設置固有風險、控制風險及抽查風險參數(shù)，對權限進行合理性分析；用程序對云計算環(huán)境下ERP系統(tǒng)的安全性和風險性進行評估。直接利用數(shù)據(jù)間的勾稽關系，把結果導入審計風險測評模塊，系統(tǒng)自動評價審計的固有風險、控制風險和抽查風險。針對系統(tǒng)分析指標形成初步的內部控制評價書，將書面證據(jù)打印，經審計人員審核完善后報項目負責人，負責人確認無誤后存檔，向被審單位提交年終審計報告和內部控制評價報告。

三、結束語

云計算下的ERP系統(tǒng)正在迅速發(fā)展。本文著重探討了降低審計風險的云審計對策，主要從國家審計準則體系的指引、企業(yè)的內控責任和審計人才的培養(yǎng)三個方面入手，探討還不夠完善，比如審計軟件的研發(fā)和審計準則的規(guī)范性文件還需要進一步的改進。審計質量和審計風險問題，主要從審計軟件功能、云計算環(huán)境下的ERP審計模式及審計人員專業(yè)知識的培訓三個方面進行討論，建議從云中ERP系統(tǒng)安全性、審計軟件的合理性以及審計程序的有效性三個方面進行改進設計，重點向國際審計準則靠攏。云計算環(huán)境下的ERP系統(tǒng)一旦成功上線，將是一把威力無窮的“雙刃劍”。它解決了繁瑣復雜的傳統(tǒng)手工操作問題，但也繼承了不少ERP系統(tǒng)的安全問題。我們有理由相信，隨著國家審計準則和理論的不斷完善，加上實務界云端服務器的應用指導，新的云審計革命即將來臨。未來大數(shù)據(jù)環(huán)境下的審計目標是值得研究的重點之一，應根據(jù)我國國情從審計準則體系的設計抓起，嚴格按照審計準則執(zhí)行審計工作，并將準則嵌入云審計服務器，同時，加強政府、社會和相關利益者對企業(yè)的監(jiān)督力度。

【主要參考文獻】

[1] 特別關注：會計+云計算=“云會計”[J].中國總會計師，2012（7）：26-28.

[2] 段吳瓊，劉錦芳.運用ERP系統(tǒng)進行銷售和收款流程審計[J].財會月刊，2005（11）：30-31.

[3] 景保玉.中外對比：國內云計算平臺的三大特點[DB/OL].http：//cloud.it168.com，2012-09-03.

[4] 百度百科.云計算平臺[DB/OL].http： //baike. baidu.com，2014-01-21.

[5] 梁彪.云計算下的數(shù)據(jù)存儲安全可證明性綜述[J].計算機應用研究，2012（7）：2416-2421.

[6] 王正飛，汪衛(wèi)，施伯樂，等.外包數(shù)據(jù)庫中數(shù)據(jù)加密的設計和實現(xiàn)[J].計算機工程與應用，2010（28）：141-145.

[7] 于洪波.ERP環(huán)境下在線審計方法探討[J].會計之友，2012（9）：83-88.

[8] 陳偉.審計軟件現(xiàn)狀及發(fā)展趨勢研究[J].計算機科學，2009（2）：1-4.

[9] 譚偉.油田企業(yè)內部控制審計存在的問題及對策[J].江漢石油職工大學學報，2011（24）：105-106.