沈志云

摘 要：云計算的出現(xiàn)不僅給信息技術(shù)業(yè)帶來影響，同時還影響著包括審計在內(nèi)的各行各業(yè)。本文論述了云計算的定義和服務(wù)模式、審計信息化的發(fā)展歷程，并結(jié)合云計算技術(shù)給審計帶來的變革，提出云審計存在的風(fēng)險并給出相對應(yīng)的解決對策。

關(guān)鍵詞：云計算；云審計

一、引言

隨著信息技術(shù)的快速發(fā)展，云計算的出現(xiàn)，對于各行各業(yè)產(chǎn)生了影響。云計算技術(shù)以其高可靠性、便捷性和低成本獲得更多用戶的青睞。審計行業(yè)，作為獨立性監(jiān)督活動，依賴于信息技術(shù)發(fā)展，也必然受到云計算技術(shù)的影響。因此，研究云計算技術(shù)對于審計的影響是十分必要的。本文結(jié)合云計算技術(shù)給審計帶來的變革，提出云審計存在的風(fēng)險并給出相對應(yīng)的解決對策。

二、云計算定義及服務(wù)模式

云計算的概念產(chǎn)生于2006年8月9日的搜索引擎大會上，由Google首席執(zhí)行官Eric Schmidt提出。隨后Google與IBM在美國校園推廣云計算計劃，以降低分布式計算技術(shù)的研究成本和給予提供相關(guān)硬件設(shè)備和開放源代碼平臺的軟件技術(shù)支持。云計算的應(yīng)用范圍影響力逐漸擴大，前景巨大。

全世界對于云計算技術(shù)的定義很多，最權(quán)威的定義是美國國家標準與技術(shù)研究院提出的：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進入可配置的計算資源共享池（資源包括網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用軟件、服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進行很少的交互。云計算具有超大規(guī)模，Google已擁有具有數(shù)百萬臺服務(wù)器，將計算能力分布于分布式服務(wù)器之上。而用戶不再受到地理限制，在擁有互聯(lián)網(wǎng)的情況下隨時隨地獲取便捷服務(wù)。云計算具有超大的計算資源共享池，提供按需服務(wù)，用戶不再需要自行配置硬件設(shè)備降低成本。當(dāng)然，云計算技術(shù)的產(chǎn)生，帶來快捷方便的同時，也會帶來風(fēng)險。

云計算的服務(wù)模式分為三層：基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）?；A(chǔ)設(shè)施即服務(wù)（IaaS）處于三層架構(gòu)的最底層，包含云存儲技術(shù)和虛擬化技術(shù)。企業(yè)使用終端遠程訪問“云”的計算資源，獲取計算能力。企業(yè)只需按需付費，不需要配備與計算能力相關(guān)的硬件設(shè)備和維護人員，可有效節(jié)約成本。平臺即服務(wù)（PaaS）處于架構(gòu)的中層，將軟件研發(fā)平臺作為一種服務(wù)。云服務(wù)商開放平臺，用戶可以在平臺上定制開發(fā)適用于自身需求的個性化軟件。軟件即服務(wù)（SaaS），處于架構(gòu)的頂層，用戶無需在電腦上安裝軟件，只需通過互聯(lián)網(wǎng)訪問云平臺獲取軟件。

三、審計信息化發(fā)展歷程

審計信息化經(jīng)歷了從審計人員進駐被審計單位進行現(xiàn)場審計到通過互聯(lián)網(wǎng)獲得被審計單位實時數(shù)據(jù)的聯(lián)網(wǎng)審計到信息變革帶來的云審計方式。傳統(tǒng)的審計方式是審計人員進駐被審計單位，通過現(xiàn)場采集數(shù)據(jù)的方式通過u盤拷取被審計單位的經(jīng)營管理數(shù)據(jù)，然后通過計算機輔助審計的方式分析數(shù)據(jù)。傳統(tǒng)的審計方式具有地域限制和審計人員工作效率不高的缺點。審計人員進駐被審計單位，使審計的成本較高，并且具有地域限制。審計人員大部分時間花費在收集數(shù)據(jù)上面而不是在分析審計數(shù)據(jù)上面，效率較低。傳統(tǒng)的審計方式是單一的事后審計。聯(lián)網(wǎng)審計將事后審計轉(zhuǎn)變?yōu)槭轮?、事后的動態(tài)審計模式。聯(lián)網(wǎng)審計是通過互聯(lián)網(wǎng)將審計單位和被審計單位相連，被審計單位的數(shù)據(jù)通過互聯(lián)網(wǎng)實時傳輸數(shù)據(jù)到審計單位的數(shù)據(jù)庫服務(wù)器中，并在數(shù)據(jù)庫中存儲電子數(shù)據(jù)。審計單位可隨時調(diào)取數(shù)據(jù)庫中的電子數(shù)據(jù)供審計人員審計分析。聯(lián)網(wǎng)審計方式由靜態(tài)審計方式轉(zhuǎn)變?yōu)閯討B(tài)審計，使審計人員工作效率變高，數(shù)據(jù)信息完整全面，數(shù)據(jù)庫存儲的信息量與現(xiàn)場審計相比較大，突破了地域限制缺點。隨著信息技術(shù)的快速發(fā)展，云計算環(huán)境下影響審計方式并給審計帶來了變革。云審計，審計與云計算相結(jié)合，以降低運行成本、提高審計分析速度、滿足海量數(shù)據(jù)存儲等的優(yōu)勢成為審計信息化發(fā)展的必然趨勢。政府加大信息化建設(shè)同時為云審計模式提供了機遇。云審計雖然有諸多優(yōu)勢，但是，其帶來對審計的變革也存在許多風(fēng)險，如：數(shù)據(jù)安全問題、云服務(wù)商選擇問題、沒有適用于云審計的法律法規(guī)、審計證據(jù)隱蔽性問題等。

四、云計算對審計產(chǎn)生的變革

（一）審計證據(jù)：紙質(zhì)材料到電子數(shù)據(jù)

傳統(tǒng)的審計方式是審計人員進駐被審計單位進行現(xiàn)場審計，而審計的數(shù)據(jù)都是以紙質(zhì)材料呈現(xiàn)，包括財務(wù)報表等會計資料。從聯(lián)網(wǎng)審計到云計算環(huán)境下的云審計，審計證據(jù)為電子數(shù)據(jù)。在聯(lián)網(wǎng)審計階段，審計數(shù)據(jù)由被審計單位通過互聯(lián)網(wǎng)傳輸數(shù)據(jù)到審計單位并存儲到數(shù)據(jù)庫服務(wù)器中，使審計數(shù)據(jù)獲得更加便捷有效。在云計算環(huán)境下，被審計單位的數(shù)據(jù)存儲在“云”中，審計單位可以通過數(shù)據(jù)接口實時調(diào)取“云”中的數(shù)據(jù)。因為云計算具有計算資源共享池和云存儲設(shè)備，使海量的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)存儲于“云”中，數(shù)據(jù)并行處理具有較強的計算能力。

（二）審計方式：事后審計到事中、事后審計

傳統(tǒng)的審計方式，審計人員獲得數(shù)據(jù)具有滯后性。傳統(tǒng)審計方式受到業(yè)務(wù)條件等許多限制，使審計活動與經(jīng)濟結(jié)構(gòu)具有時差問題。然而，像金融等行業(yè)對于業(yè)務(wù)數(shù)據(jù)和風(fēng)險控制要求“實時性”。云審計的出現(xiàn)，無疑是解決了這些行業(yè)實時性的要求。通過數(shù)據(jù)的實時獲取，審計人員可以實時分析業(yè)務(wù)數(shù)據(jù)，并發(fā)現(xiàn)風(fēng)險，對風(fēng)險進行評估，編制審計計劃。審計方式由傳統(tǒng)的事后審計轉(zhuǎn)變?yōu)槭轮?、事后審計?/p>

（三）審計模式：抽樣審計到總體審計

傳統(tǒng)審計方式的數(shù)據(jù)獲取數(shù)量較少等諸多限制導(dǎo)致審計模式為抽樣審計。抽樣審計由局部推斷總體，通過有限的數(shù)據(jù)評價被審計單位的風(fēng)險。在云計算環(huán)境下，具有海量的數(shù)據(jù)存儲技術(shù)和分布式計算技術(shù)解決了海量數(shù)據(jù)存儲問題和數(shù)據(jù)處理問題。海量的數(shù)據(jù)存儲便于審計人員對于被審計單位采用總體審計的模式，通過總體的視角更加細致、精確、有效發(fā)現(xiàn)舞弊行為，規(guī)避抽樣審計的風(fēng)險。審計人員利用數(shù)據(jù)挖掘技術(shù)、并行數(shù)據(jù)處理技術(shù)、海量存儲技術(shù)等新型手段，從抽樣審計到總體審計，提高審計效率、降低成本、規(guī)避風(fēng)險。

五、云審計存在的風(fēng)險

（一）數(shù)據(jù)存儲安全性

在云計算環(huán)境下，被審計單位將數(shù)據(jù)存儲在云平臺的數(shù)據(jù)庫服務(wù)器中，然而數(shù)據(jù)的存儲、傳輸和處理都是由云服務(wù)商提供服務(wù)。如果云服務(wù)商出現(xiàn)經(jīng)營不善而倒閉，那么存儲在云服務(wù)器中的數(shù)據(jù)有可能出現(xiàn)丟失的現(xiàn)象。云服務(wù)商的內(nèi)部人員如果惡意泄露數(shù)據(jù)或者黑客惡意攻擊云服務(wù)器，有可能造成企業(yè)的損失。因此需要制定相關(guān)法律法規(guī)明確云服務(wù)商的責(zé)任。另外，云服務(wù)器如果遭受不可避免的自然災(zāi)害，如地震等，數(shù)據(jù)庫服務(wù)器可能會損毀，數(shù)據(jù)丟失。因此，需要在數(shù)據(jù)庫存儲數(shù)據(jù)的同時進行數(shù)據(jù)備份以避免遭受損失。

（二）審計人員知識儲備不充足

傳統(tǒng)的審計人員只需要掌握審計的相關(guān)知識即可。然而云審計的出現(xiàn)，要求審計人員不但需要掌握審計知識，并且需要掌握一定的計算機知識。審計人員因為不掌握計算機知識而對于計算機操作生疏，不會運用軟件對數(shù)據(jù)分析以提高工作效率。即掌握審計知識又掌握計算機知識的審計復(fù)合型人才在當(dāng)今社會中是十分缺乏的。因此需要企業(yè)對于審計人員進行計算機基礎(chǔ)知識培訓(xùn)以適應(yīng)云審計帶來的變革。

（三）審計標準和相關(guān)準則不適用

因為云審計的產(chǎn)生，審計標準與相關(guān)準則較傳統(tǒng)的審計方式已經(jīng)不適合于云審計方式。相關(guān)部門缺乏對云審計制定審計標準和相關(guān)準則。云審計標準是實施云審計的基本依據(jù)。制定規(guī)范化的云審計標準，有助于推動云審計規(guī)范和健康化發(fā)展，有利于明確審計單位、被審計單位和云服務(wù)商之間的責(zé)任。

（四）數(shù)據(jù)傳輸?shù)纳矸菡J證問題

在云計算環(huán)境下，審計數(shù)據(jù)被存儲于被審計單位的云數(shù)據(jù)庫中。當(dāng)審計單位需要調(diào)取數(shù)據(jù)時，需要訪問云數(shù)據(jù)服務(wù)器，通過互聯(lián)網(wǎng)傳輸?shù)綄徲媶挝坏臄?shù)據(jù)庫服務(wù)器或者審計單位云存儲服務(wù)器中。在數(shù)據(jù)傳輸?shù)倪^程中存在身份認證和數(shù)據(jù)加密的問題。如果不合法身份者通過云平臺接口訪問了被審計單位數(shù)據(jù)，那么被審計單位的數(shù)據(jù)泄露可能性將會加大。在數(shù)據(jù)傳輸?shù)倪^程中，需要對傳輸?shù)臄?shù)據(jù)加密，以防止黑客通過不當(dāng)手段截取數(shù)據(jù)。

六、解決對策

（一）數(shù)據(jù)防御系統(tǒng)及災(zāi)難恢復(fù)

建立有效的數(shù)據(jù)防御系統(tǒng)機制有助于云服務(wù)器抵抗黑客的入侵盜取數(shù)據(jù)。對于云服務(wù)商，應(yīng)注重硬件設(shè)備維護，采用專職技術(shù)人員實時觀測云平臺，以免黑客侵入。建立有效的應(yīng)對機制，對于數(shù)據(jù)采取加密技術(shù)，以免黑客獲取數(shù)據(jù)。另外，對于不可避免的自然災(zāi)害，企業(yè)應(yīng)采取有效措施保障數(shù)據(jù)安全以免丟失，在數(shù)據(jù)庫中對于數(shù)據(jù)及時備份，建立日志文件，在災(zāi)難后對數(shù)據(jù)恢復(fù)，保障數(shù)據(jù)安全性。

（一）復(fù)合型審計人才培養(yǎng)

隨著計算機技術(shù)的快速發(fā)展，云計算的產(chǎn)生，審計人員也應(yīng)迎合云計算產(chǎn)生所帶來的變化。傳統(tǒng)的審計人員對于計算機技術(shù)掌握不夠熟練，以至于面對云審計而手足無措，無法有效利用云計算技術(shù)分析數(shù)據(jù)，識別風(fēng)險。因此，審計單位在招聘審計人員時，應(yīng)將計算機技術(shù)同審計知識一同考核。對于已入職的人員應(yīng)定期對審計人員培訓(xùn)并考核，培養(yǎng)復(fù)合型審計人員。

（二）由政府部門牽頭制定相關(guān)準則和選擇云服務(wù)商構(gòu)建云平臺

云服務(wù)商的選擇，不僅涉及對于審計單位和被審計提供的服務(wù)，而且還涉及數(shù)據(jù)安全性問題。審計單位或者被審計單位將數(shù)據(jù)存儲于云服務(wù)商的數(shù)據(jù)庫之中，數(shù)據(jù)安全性對于企業(yè)至關(guān)重要。若機密數(shù)據(jù)泄露，必然對企業(yè)產(chǎn)生危害。因此，需要政府部門牽頭制定審計準則和法律規(guī)范，明確審計單位、被審計單位和云服務(wù)商之間的責(zé)任。并且，需要政府與高校和云服務(wù)商合作，共同構(gòu)建云平臺，以便保證云計算環(huán)境下云審計規(guī)范化發(fā)展。

（三）身份認證及數(shù)據(jù)加密技術(shù)

在數(shù)據(jù)的訪問和傳輸過程中，涉及用戶的身份認證和傳輸中的數(shù)據(jù)加密技術(shù)以保證數(shù)據(jù)的安全性和完整性。對于用戶訪問云平臺，需要對用戶進行身份認證以保證其合法性。因為，在云端存儲的數(shù)據(jù)庫不是私有云，而是公共云，多家單位會共享一個數(shù)據(jù)庫。那么就涉及用戶的權(quán)限問題。不同的用戶訪問的數(shù)據(jù)不同，因此需要身份認證以保持數(shù)據(jù)的安全性。在數(shù)據(jù)傳輸過程中，數(shù)據(jù)如果不加密若被黑客竊取則會造成數(shù)據(jù)泄露。因此在傳輸過程中，云平臺應(yīng)對數(shù)據(jù)加密，當(dāng)傳輸?shù)娇蛻舳说臅r候采用相應(yīng)的密鑰解密。（作者單位：陜西師范大學(xué)國際商學(xué)院）

參考文獻：

[1] 陳偉 Wally Smieliauskas.云計算環(huán)境下的聯(lián)網(wǎng)審計實現(xiàn)方法探析[J].審計研究，2012（03）：37-44.

[2] 秦榮生.云計算的發(fā)展及其對會計、審計的挑戰(zhàn)[J].當(dāng)代財經(jīng)，2013（01）：111-117.

[3] 牛艷芳 薛巖 孟祥雨.云計算環(huán)境下的審計業(yè)務(wù)模式變革研究[J].南京審計學(xué)院學(xué)報，2014（04）：95-103.

[4] 秦榮生.大數(shù)據(jù)、云計算技術(shù)對審計的影響研究[J].審計研究，2014（06）：23-28.

[5] 文峰.云計算與云審計——關(guān)于未來審計的概念與框架的一些思考[J].中國注冊會計師，2011（02）：98-103.

[6] 魏祥健.云平臺架構(gòu)下的協(xié)同審計模式研究[J].審計研究，2014（06）：29-35.

[7] 徐貴麗.云審計：機遇、挑戰(zhàn)與發(fā)展趨勢[J].中國注冊會計師，2014（03）：109-112.