■/錢(qián) 瑞 王 帆

大數(shù)據(jù)時(shí)代下社保基金云審計(jì)風(fēng)險(xiǎn)控制研究

■/錢(qián) 瑞 王 帆

云審計(jì)不僅符合大數(shù)據(jù)時(shí)代下審計(jì)新需求，更為社?；饘徲?jì)監(jiān)督手段的創(chuàng)新提供了理論指導(dǎo)。因此，文章從被審計(jì)端、云端和審計(jì)終端三個(gè)視角出發(fā)，在梳理社保基金云審計(jì)系統(tǒng)流程的基礎(chǔ)上，分析了其在具體應(yīng)用中可能面臨的風(fēng)險(xiǎn)，并針對(duì)性的提出風(fēng)險(xiǎn)控制建議，以期通過(guò)社?；鹪茖徲?jì)的應(yīng)用和風(fēng)險(xiǎn)控制為后續(xù)大數(shù)據(jù)審計(jì)監(jiān)督提供經(jīng)驗(yàn)和啟示。

社?；?云審計(jì) 風(fēng)險(xiǎn)控制

據(jù)人社部官方統(tǒng)計(jì)數(shù)據(jù)顯示，截至2016年9月底，我國(guó)繳納基本養(yǎng)老保險(xiǎn)、基本醫(yī)療保險(xiǎn)、失業(yè)保險(xiǎn)、工傷保險(xiǎn)和生育保險(xiǎn)的參保人數(shù)分別為8.71億人、6.98億人、1.78億人、2.16億人、1.82億人，前三季度五項(xiàng)社?；鹂偸杖?.9萬(wàn)億元，總支出4.3萬(wàn)億元?？梢?jiàn)，依靠傳統(tǒng)的審計(jì)技術(shù)來(lái)監(jiān)督規(guī)范如此龐大的社?；鹭?cái)務(wù)數(shù)據(jù)已無(wú)法滿足要求，必須革新社保基金審計(jì)技術(shù)以適應(yīng)大數(shù)據(jù)時(shí)代的要求（王章禮，余魯，2016）。新興的云計(jì)算為處理大數(shù)據(jù)審計(jì)需求提供了契機(jī)，云計(jì)算可實(shí)現(xiàn)審計(jì)工作在云端的一個(gè)系統(tǒng)內(nèi)集中處理，審計(jì)人員無(wú)需進(jìn)行數(shù)據(jù)的匯總、分析測(cè)試，無(wú)需關(guān)注審計(jì)軟件的兼容性和使用何種計(jì)算機(jī)程序，只需將重心放在審計(jì)任務(wù)即可?？梢?jiàn)，借助云計(jì)算使得審計(jì)作業(yè)更加規(guī)范化、審計(jì)結(jié)果更加科學(xué)準(zhǔn)確、審計(jì)工作效率大幅提高，更加契合在大數(shù)據(jù)背景下有效開(kāi)展審計(jì)業(yè)務(wù)的先進(jìn)技術(shù)手段（魏祥健，2015）。

雖然云審計(jì)相比于傳統(tǒng)審計(jì)技術(shù)在數(shù)據(jù)采集、存儲(chǔ)、計(jì)算處理和安全方面存在顯著的優(yōu)越性，但系統(tǒng)運(yùn)作機(jī)制的復(fù)雜性也導(dǎo)致其背后隱藏的風(fēng)險(xiǎn)和影響遠(yuǎn)高于傳統(tǒng)審計(jì)技術(shù)。而國(guó)內(nèi)眾多學(xué)者都將研究的焦點(diǎn)放在云審計(jì)系統(tǒng)構(gòu)建和應(yīng)用研究方面（張永杰，2015；陳偉，2012；姜梅等，2007），對(duì)于云審計(jì)應(yīng)用過(guò)程中的風(fēng)險(xiǎn)控制關(guān)注甚少。因此本文以社保基金云審計(jì)應(yīng)用為例，對(duì)云審計(jì)應(yīng)用過(guò)程中的風(fēng)險(xiǎn)控制進(jìn)行深入探討，以期為未來(lái)審計(jì)機(jī)關(guān)大規(guī)模開(kāi)展云審計(jì)有效應(yīng)對(duì)可能發(fā)生的風(fēng)險(xiǎn)提供借鑒意義。

一、社保基金云審計(jì)應(yīng)用系統(tǒng)分析

大數(shù)據(jù)時(shí)代下，需要借助先進(jìn)的技術(shù)支持才能對(duì)社?；鹫骼U、支出和管理產(chǎn)生的龐大數(shù)據(jù)的真實(shí)性、完整性和合法性進(jìn)行有效監(jiān)督規(guī)范，而云計(jì)算將是最佳選擇，依靠其強(qiáng)大的數(shù)據(jù)采集、存儲(chǔ)和分析功能，審計(jì)終端不需要購(gòu)買(mǎi)服務(wù)器、存儲(chǔ)器等硬件設(shè)備，而是通過(guò)網(wǎng)絡(luò)直接使用云端提供的SaaS、PaaS、IaaS等服務(wù)對(duì)被審計(jì)端開(kāi)展審計(jì)業(yè)務(wù)，提高審計(jì)工作效率的同時(shí)還可以有效降低工作成本（詳見(jiàn)圖1）。具體而言：

首先，被審計(jì)端需要及時(shí)將各地區(qū)社保基金征繳數(shù)據(jù)、支付數(shù)據(jù)、管理數(shù)據(jù)和其他文件資料等內(nèi)容進(jìn)行匯總采集。尤其關(guān)注參保人數(shù)及信息完整性、繳費(fèi)基數(shù)和繳費(fèi)比率、企業(yè)繳費(fèi)情況、是否存在欠繳、不繳或者選擇性參保等問(wèn)題。在原始數(shù)據(jù)采集過(guò)程中被審計(jì)單位也要對(duì)數(shù)據(jù)進(jìn)行備份處理，同

圖1 社?；鹪茖徲?jì)系統(tǒng)流程

圖1 社?；鹪茖徲?jì)系統(tǒng)流程時(shí)嚴(yán)禁人為刪減數(shù)據(jù)，以保證原始數(shù)據(jù)的完整性和準(zhǔn)確性。并通過(guò)云端接口技術(shù)，將采集數(shù)據(jù)按時(shí)上傳云端，以備審計(jì)機(jī)關(guān)進(jìn)行檢查監(jiān)督。

其次，云端負(fù)責(zé)對(duì)被審計(jì)端上傳的原始數(shù)據(jù)進(jìn)行加工處理并將處理結(jié)果傳輸給審計(jì)終端，這些操作均由云端完成，也稱為“云審計(jì)”。數(shù)據(jù)處理流程主要包括：第一，對(duì)原始數(shù)據(jù)進(jìn)行清理和加工。按照不同類型社?；鸬奶攸c(diǎn)和數(shù)據(jù)存儲(chǔ)格式轉(zhuǎn)換成符合審計(jì)終端要求的標(biāo)準(zhǔn)數(shù)據(jù)，再根據(jù)預(yù)先編制的審計(jì)計(jì)劃重新匯聚，以形成滿足審計(jì)分析使用的基礎(chǔ)表和分析表；第二，對(duì)海量數(shù)據(jù)進(jìn)行智能分析。借助云端自有的各類審計(jì)模型（審計(jì)對(duì)象模型、審計(jì)數(shù)據(jù)模型、審計(jì)疑點(diǎn)模型、審計(jì)底稿模型等）對(duì)社?；鹪紨?shù)據(jù)、基礎(chǔ)表和分析表之間的內(nèi)在邏輯關(guān)系進(jìn)行自動(dòng)化和智能化分析，以發(fā)現(xiàn)疑點(diǎn)數(shù)據(jù)、有效數(shù)據(jù)和無(wú)效數(shù)據(jù)，并實(shí)時(shí)保存和備份原始數(shù)據(jù)和分析報(bào)告；第三，海量數(shù)據(jù)存儲(chǔ)。被審計(jì)端將所有采集的社?；鹪紨?shù)據(jù)上傳云端后，云端都將會(huì)自動(dòng)保存并備份，使得原始數(shù)據(jù)保存有了“雙保險(xiǎn)”，更有效解決了被審計(jì)端對(duì)海量數(shù)據(jù)存儲(chǔ)的硬件設(shè)備難題。另外，通過(guò)云端存儲(chǔ)功能審計(jì)人員也可以隨時(shí)調(diào)用查看社保基金原始數(shù)據(jù)以開(kāi)展審計(jì)作業(yè)；第四，對(duì)可疑數(shù)據(jù)自動(dòng)生成預(yù)警報(bào)告?！皩徲?jì)云”將根據(jù)數(shù)據(jù)庫(kù)內(nèi)容和數(shù)據(jù)表的自動(dòng)分析生成的數(shù)據(jù)結(jié)構(gòu)變更分析報(bào)告，預(yù)警結(jié)果按不同分類提供給審計(jì)人員，以便其能夠及時(shí)把握審計(jì)線索，規(guī)避審計(jì)風(fēng)險(xiǎn)，提高審計(jì)效率?？梢?jiàn)，“云審計(jì)”實(shí)現(xiàn)了各類審計(jì)信息的數(shù)字化，有效促進(jìn)信息的交流和共享，使得審計(jì)資源得到充分利用。

最后，在審計(jì)終端審計(jì)人員可通過(guò)筆記本電腦、PDA、手機(jī)等便攜式設(shè)備直接登陸“云審計(jì)”平臺(tái)即可調(diào)用儲(chǔ)存在云端的原始數(shù)據(jù)和審計(jì)模型，無(wú)需掌握后臺(tái)技術(shù)，直接查看云端自動(dòng)生成的審計(jì)分析結(jié)果。借助于“云審計(jì)”平臺(tái)提供的強(qiáng)大數(shù)據(jù)計(jì)算處理能力顯著減少了審計(jì)終端的數(shù)據(jù)處理負(fù)擔(dān)，而web瀏覽器更讓審計(jì)終端簡(jiǎn)化成一個(gè)單純的輸入輸出設(shè)備，不需安裝、升級(jí)和維護(hù)軟件或硬件設(shè)備，審計(jì)人員一樣可以有效開(kāi)展審計(jì)作業(yè)，得出審計(jì)結(jié)果。

二、社?；鹪茖徲?jì)應(yīng)用風(fēng)險(xiǎn)分析

（一）被審計(jì)端風(fēng)險(xiǎn)分析

被審計(jì)端作為社保基金原始數(shù)據(jù)采集源頭，應(yīng)重點(diǎn)關(guān)注數(shù)據(jù)采集的數(shù)量和質(zhì)量，因?yàn)榍岸藢徲?jì)數(shù)據(jù)采集的完整性、準(zhǔn)確性直接影響后續(xù)云端的數(shù)據(jù)分析和審計(jì)疑點(diǎn)反饋的針對(duì)性和全面性，進(jìn)而增加了現(xiàn)場(chǎng)審計(jì)失敗的風(fēng)險(xiǎn)。由于社?；鹁哂袃?nèi)容廣、業(yè)務(wù)量大、多元化和異構(gòu)型等特征，易發(fā)生參保人數(shù)遺漏或信息不完整、參保企業(yè)欠繳、不繳或者選擇性參保、繳費(fèi)基數(shù)和繳費(fèi)率不合規(guī)等問(wèn)題，這都會(huì)影響前端審計(jì)數(shù)據(jù)采集的完整性和準(zhǔn)確性。

具體而言，當(dāng)前社保中心的數(shù)據(jù)采集都建立在連接外網(wǎng)的基礎(chǔ)上，而網(wǎng)絡(luò)資源的共享性和開(kāi)放性使得社保中心數(shù)據(jù)庫(kù)易遭受外圍病毒、黑客攻擊，網(wǎng)絡(luò)環(huán)境的不穩(wěn)定性加劇了社?；鹪紨?shù)據(jù)采集的難度，難以有效保證數(shù)據(jù)采集的質(zhì)量。此外，社?；鹪紨?shù)據(jù)都以無(wú)紙化的電子數(shù)據(jù)保存在磁介質(zhì)內(nèi)，這為無(wú)權(quán)訪問(wèn)或接觸數(shù)據(jù)的舞弊者刪減或修改社?；饠?shù)據(jù)提供了機(jī)會(huì)，且電子數(shù)據(jù)的更改不留痕跡，舞弊行為無(wú)處可尋。因此任何非法的訪問(wèn)或接觸行為都會(huì)影響社?；饠?shù)據(jù)的完整性和準(zhǔn)確性，進(jìn)而增加了審計(jì)失敗的風(fēng)險(xiǎn)。尤其是大數(shù)據(jù)群體對(duì)辦公設(shè)備的配置要求較高，內(nèi)存不足或系統(tǒng)癱瘓都會(huì)使得數(shù)據(jù)采集失去連續(xù)性，而系統(tǒng)區(qū)與數(shù)據(jù)區(qū)的混合使用也加劇了系統(tǒng)出錯(cuò)的風(fēng)險(xiǎn)，使得原始數(shù)據(jù)采集和保存工作面臨較大挑戰(zhàn)。另外，數(shù)據(jù)上傳過(guò)程中也面臨傳輸不完整、上傳失敗、甚至是數(shù)據(jù)外泄的風(fēng)險(xiǎn)。尤其是數(shù)據(jù)傳輸過(guò)程中的訪問(wèn)登陸、加密監(jiān)控、安全性和穩(wěn)定性等都依賴于每個(gè)基礎(chǔ)API內(nèi)置的安全性。如果云端服務(wù)商未能消除接口端API中的不安全因素，亦會(huì)增加社保基金數(shù)據(jù)在傳輸過(guò)程中遭受攻擊的風(fēng)險(xiǎn)（見(jiàn)圖2）。

（二）云端風(fēng)險(xiǎn)分析

1.從云端本身來(lái)看，其面臨的主要風(fēng)險(xiǎn)有：第一，虛擬環(huán)境運(yùn)行安全風(fēng)險(xiǎn)。即作為一種IT技術(shù)也會(huì)遭受網(wǎng)絡(luò)病毒、惡意程序、黑客等的攻擊，一旦云端遭受“外圍攻擊”，產(chǎn)生的危害可能遠(yuǎn)大于被審計(jì)端原始數(shù)據(jù)采集網(wǎng)絡(luò)運(yùn)行威脅產(chǎn)生的危害，因?yàn)樵贫思瘸袚?dān)數(shù)據(jù)保存，也負(fù)責(zé)數(shù)據(jù)的加工處理和預(yù)警分析，如果云端在數(shù)據(jù)分析過(guò)程遭遇惡意程序，可能會(huì)得出無(wú)效或錯(cuò)誤的分析報(bào)告，加重審計(jì)負(fù)擔(dān)；第二，內(nèi)部操作風(fēng)險(xiǎn)。反映了云端后臺(tái)人員對(duì)于被審計(jì)端傳輸過(guò)來(lái)的數(shù)據(jù)未進(jìn)行有效管理致使數(shù)據(jù)外泄，或內(nèi)部人員對(duì)原始數(shù)據(jù)進(jìn)行了修改或刪減，影響了原始數(shù)據(jù)的完整性和準(zhǔn)確性。

2.從數(shù)據(jù)安全角度來(lái)看，云端主要面臨的風(fēng)險(xiǎn)有：第一，數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)。社保基金數(shù)據(jù)作為敏感數(shù)據(jù)，應(yīng)嚴(yán)格保證數(shù)據(jù)的保密性、完整性和可控性。但由于云端通過(guò)虛擬化技術(shù)將被審計(jì)端的數(shù)據(jù)存儲(chǔ)在不同服務(wù)器上，使其無(wú)法準(zhǔn)確定位存儲(chǔ)數(shù)據(jù)的位置并提供針對(duì)性的保密措施，從而加大了敏感數(shù)據(jù)外泄或被竊取的風(fēng)險(xiǎn)。另外，數(shù)據(jù)存儲(chǔ)的物理控制和邏輯控制全部由云端服務(wù)商控制，被審計(jì)端和審計(jì)終端缺乏對(duì)數(shù)據(jù)存儲(chǔ)的必要控制，一旦云端服務(wù)商出現(xiàn)系統(tǒng)故障或遭受“外圍攻擊”致使系統(tǒng)癱瘓，如何有效保證存儲(chǔ)數(shù)據(jù)的快速恢復(fù)和數(shù)據(jù)備份安全成為云端不得不面臨的難題；第二，數(shù)據(jù)隔離風(fēng)險(xiǎn)。云端服務(wù)商可能為多個(gè)用戶提供不同等級(jí)或特性的數(shù)據(jù)存儲(chǔ)服務(wù)，出現(xiàn)了多個(gè)用戶共享計(jì)算環(huán)境，特別是在公用云環(huán)境下，如果不能對(duì)重要數(shù)據(jù)進(jìn)行有效隔離，易引發(fā)云端在數(shù)據(jù)管理和分配用戶數(shù)據(jù)時(shí)出現(xiàn)混亂，加劇了存儲(chǔ)數(shù)據(jù)的安全隱患。

3.從云審計(jì)系統(tǒng)安全來(lái)看，云端面臨的風(fēng)險(xiǎn)有：第一，訪問(wèn)控制無(wú)效風(fēng)險(xiǎn)。在多用戶運(yùn)行環(huán)境下，云端服務(wù)商通過(guò)遠(yuǎn)程端口訪問(wèn)技術(shù)同時(shí)向多用戶提供不同的數(shù)據(jù)服務(wù)，該種情況下如果云端服務(wù)商在用戶訪問(wèn)控制和身份識(shí)別方面存在漏洞則可能導(dǎo)致非法登陸等問(wèn)題。因此如何對(duì)審計(jì)終端和被審計(jì)端用戶的身份識(shí)別進(jìn)行有效控制成為云端保證審計(jì)數(shù)據(jù)安全的關(guān)鍵屏障；第二，平臺(tái)共享風(fēng)險(xiǎn)。云端服務(wù)商通過(guò)提供統(tǒng)一的基礎(chǔ)設(shè)施服務(wù)（IaaS）讓多用戶共享平臺(tái)的應(yīng)用系統(tǒng)和運(yùn)算資源，而底層組件卻未提供強(qiáng)大的隔離措施以保證不同用戶間應(yīng)用程序運(yùn)行環(huán)境和數(shù)據(jù)處理資源的隔離，易引發(fā)不同用戶間應(yīng)用程序的相互干擾，并為非法用戶干擾破壞合法用戶運(yùn)行應(yīng)用系統(tǒng)以竊取、篡改原始數(shù)據(jù)埋下了隱患；第三，平臺(tái)傳輸風(fēng)險(xiǎn)。云端提供的強(qiáng)大數(shù)據(jù)傳輸、加工和處理服務(wù)都以高速、安全的網(wǎng)絡(luò)傳輸平臺(tái)為基礎(chǔ)。尤其針對(duì)于社?；鸬却髷?shù)據(jù)存取、處理和頻繁性信息交換都嚴(yán)重依賴于平臺(tái)網(wǎng)絡(luò)寬帶傳輸?shù)呢?fù)荷能力，一旦平臺(tái)網(wǎng)絡(luò)傳輸超負(fù)荷運(yùn)行將會(huì)導(dǎo)致審計(jì)終端無(wú)法正常開(kāi)展審計(jì)作業(yè)，影響作業(yè)計(jì)劃的順利實(shí)施（見(jiàn)圖2）。

圖2 社?；鹪茖徲?jì)應(yīng)用風(fēng)險(xiǎn)分析

（三）審計(jì)終端風(fēng)險(xiǎn)分析

1.審計(jì)人員方面。社?；鹪茖徲?jì)的應(yīng)用效果取決于審計(jì)人員的專業(yè)素質(zhì)和技能，一旦審計(jì)人員的專業(yè)能力無(wú)法匹配社?；鹪茖徲?jì)的要求將嚴(yán)重影響審計(jì)監(jiān)督的質(zhì)量。具體而言，社?；鹪茖徲?jì)對(duì)審計(jì)人員的勝任能力要求很高，不僅體現(xiàn)在審計(jì)業(yè)務(wù)知識(shí)方面，還要求其具備豐富的計(jì)算機(jī)技術(shù)并對(duì)云端的網(wǎng)絡(luò)技術(shù)和軟硬件系統(tǒng)有充分的了解。而在實(shí)務(wù)中很多審計(jì)人員的思維方式和操作方式還停留在傳統(tǒng)審計(jì)技術(shù)層面，再加上缺乏系統(tǒng)的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)知識(shí)增加了因個(gè)人違規(guī)操作而導(dǎo)致的審計(jì)失敗。如：擅自修改系統(tǒng)設(shè)置、數(shù)據(jù)處理不當(dāng)?shù)葐?wèn)題。此外，社保基金云審計(jì)是審計(jì)技術(shù)的優(yōu)化創(chuàng)新，而傳統(tǒng)的社保基金法規(guī)、準(zhǔn)則體系已不能有效指導(dǎo)和規(guī)范新環(huán)境下社?；鹪茖徲?jì)的實(shí)踐操作及實(shí)務(wù)中出現(xiàn)的新問(wèn)題。因此亟需一套標(biāo)準(zhǔn)的審計(jì)技術(shù)規(guī)范體系以供審計(jì)人員采用統(tǒng)一的標(biāo)準(zhǔn)對(duì)社?；鹫归_(kāi)審計(jì)監(jiān)督。而標(biāo)準(zhǔn)技術(shù)規(guī)范體系的缺乏也在一定程度上加劇了審計(jì)人員違規(guī)操作的風(fēng)險(xiǎn)，增大了審計(jì)失敗的隱患。

2.現(xiàn)場(chǎng)審計(jì)方面。審計(jì)人員通過(guò)云端提供的預(yù)警分析報(bào)告和審計(jì)分析報(bào)告確定現(xiàn)場(chǎng)審計(jì)的重點(diǎn)，但這種“借力”第三方的審計(jì)模式致使審計(jì)終端在未對(duì)被審計(jì)端的內(nèi)部控制有效性進(jìn)行評(píng)估時(shí)就依賴于其上傳的原始數(shù)據(jù)進(jìn)行預(yù)警分析，如果被審計(jì)端的內(nèi)部控制存在重大缺陷使其數(shù)據(jù)采集存在完整性缺失或準(zhǔn)確性不夠?qū)е略贫藬?shù)據(jù)處理與分析報(bào)告錯(cuò)誤或無(wú)效，從而誤導(dǎo)了現(xiàn)場(chǎng)審計(jì)致使審計(jì)程序無(wú)效或?qū)徲?jì)失敗。此外，在傳統(tǒng)審計(jì)技術(shù)中審計(jì)證據(jù)都以紙質(zhì)形式保存容易獲取審計(jì)證據(jù)，而在云審計(jì)模式下財(cái)務(wù)與業(yè)務(wù)信息都以電子數(shù)據(jù)存儲(chǔ)在磁介質(zhì)中，現(xiàn)場(chǎng)審計(jì)時(shí)審計(jì)人員只能通過(guò)網(wǎng)絡(luò)查詢獲取無(wú)紙化審計(jì)線索，而一些傳統(tǒng)的審計(jì)方式無(wú)法有效開(kāi)展（如觀察法、盤(pán)點(diǎn)法），從而影響了審計(jì)證據(jù)的適當(dāng)性和充分性，增加了審計(jì)失敗的風(fēng)險(xiǎn)（見(jiàn)圖2）。

三、社?；鹪茖徲?jì)應(yīng)用風(fēng)險(xiǎn)控制

（一）被審計(jì)端風(fēng)險(xiǎn)控制

1.創(chuàng)建安全的網(wǎng)絡(luò)運(yùn)行環(huán)境。被審計(jì)端網(wǎng)絡(luò)運(yùn)行安全直接影響到社?；鹪紨?shù)據(jù)采集的完整性和準(zhǔn)確性，因此安全的網(wǎng)絡(luò)運(yùn)行環(huán)境是社?；鹪茖徲?jì)順利開(kāi)展的第一道“防火墻”。具體安全措施包括：采用物理隔離技術(shù)、搭建完善的安全監(jiān)控體系等。物理隔離技術(shù)是指當(dāng)社?；鹣到y(tǒng)網(wǎng)絡(luò)安全遭受外界網(wǎng)絡(luò)威脅時(shí)，即采用專有的安全協(xié)議、加密驗(yàn)證等措施對(duì)網(wǎng)絡(luò)訪問(wèn)請(qǐng)求進(jìn)行嚴(yán)格的身份認(rèn)證，并在不同安全級(jí)別的網(wǎng)絡(luò)之間構(gòu)建隔離模型以有效遏制外圍隱患對(duì)系統(tǒng)產(chǎn)生的威脅。而完善的安全監(jiān)控體系包括防火墻技術(shù)、非法入侵技術(shù)和病毒防護(hù)技術(shù)，以有效防止黑客入侵和網(wǎng)絡(luò)病毒產(chǎn)生的危害（張宏等，2014）。

2.建立系統(tǒng)操作日志和遠(yuǎn)程訪問(wèn)監(jiān)控系統(tǒng)。系統(tǒng)操作日志能夠記錄所有對(duì)社保基金系統(tǒng)操作程序，具體包括訪問(wèn)者身份、訪問(wèn)時(shí)間、登陸次數(shù)和地點(diǎn)及操作事項(xiàng)等。通過(guò)完整記錄被審計(jì)端系統(tǒng)操作日志能夠有效識(shí)別訪問(wèn)人員的非法操作，為日后現(xiàn)場(chǎng)審計(jì)獲取審計(jì)證據(jù)提供了便利。遠(yuǎn)程訪問(wèn)監(jiān)控是通過(guò)對(duì)特定權(quán)限的訪問(wèn)人員的身份、訪問(wèn)時(shí)間和登陸次數(shù)以及操作權(quán)限進(jìn)行實(shí)時(shí)監(jiān)控，以保證被審計(jì)端訪問(wèn)人員在合理權(quán)限內(nèi)進(jìn)行合規(guī)操作。

3.定期檢測(cè)并維護(hù)基礎(chǔ)設(shè)施安全?；A(chǔ)設(shè)施安全檢測(cè)和維護(hù)具體包括內(nèi)存設(shè)備和系統(tǒng)運(yùn)行異常清除工作。在內(nèi)存設(shè)備方面可利用虛擬技術(shù)并統(tǒng)一管理不同型號(hào)存儲(chǔ)設(shè)備，通過(guò)漏洞檢測(cè)技術(shù)、訪問(wèn)控制策略增強(qiáng)內(nèi)存設(shè)備和網(wǎng)絡(luò)服務(wù)器的穩(wěn)定性，以保證社?；饠?shù)據(jù)采集系統(tǒng)良好的運(yùn)行狀態(tài)。系統(tǒng)運(yùn)行異常清除是指在系統(tǒng)運(yùn)行過(guò)程中及時(shí)清除由于死機(jī)、系統(tǒng)不兼容等問(wèn)題導(dǎo)致的系統(tǒng)異常，以有效釋放系統(tǒng)資源、擴(kuò)充系統(tǒng)運(yùn)行空間。

4.采用數(shù)據(jù)專網(wǎng)傳輸和數(shù)據(jù)加密控制。數(shù)據(jù)專網(wǎng)傳輸控制能夠?qū)?shù)據(jù)傳輸全過(guò)程進(jìn)行有效監(jiān)控，防止數(shù)據(jù)傳輸過(guò)程出現(xiàn)的泄露和外圍威脅，即通過(guò)被審計(jì)端樓宇內(nèi)現(xiàn)有局域網(wǎng)資源，對(duì)原始數(shù)據(jù)進(jìn)行轉(zhuǎn)化和傳輸，并在數(shù)據(jù)轉(zhuǎn)化過(guò)程中加入數(shù)據(jù)加密技術(shù)，對(duì)普通文本和數(shù)據(jù)進(jìn)行編碼以產(chǎn)生不可理解的密文步驟，只有通過(guò)密碼才能解密并獲取數(shù)據(jù)原始格式和文本，即使在上傳云端過(guò)程出現(xiàn)數(shù)據(jù)泄露，沒(méi)有正確的解密密碼也無(wú)法打開(kāi)原始數(shù)據(jù)，該舉措也能有效防止云端后臺(tái)人員對(duì)原始數(shù)據(jù)進(jìn)行刪改，保證數(shù)據(jù)的完整性和準(zhǔn)確性（秦榮生，2014）（見(jiàn)圖3）。

（二）云端風(fēng)險(xiǎn)控制

圖3 社保基金云審計(jì)應(yīng)用風(fēng)險(xiǎn)控制

1.構(gòu)建完善的云端安全防御系統(tǒng)。云端的虛擬化技術(shù)面臨著黑客惡意攻擊、病毒代碼篡改數(shù)據(jù)等隱患。所以針對(duì)虛擬環(huán)境的安全訴求，云端應(yīng)構(gòu)建完善的安全防御系統(tǒng)，至少包含虛擬化安全檢測(cè)引擎、故障檢測(cè)、漏洞掃描和風(fēng)險(xiǎn)預(yù)警等功能，以對(duì)云端虛擬環(huán)境由內(nèi)向外、自下而上進(jìn)行實(shí)時(shí)監(jiān)控和漏洞掃描，并設(shè)置異常情況預(yù)警以及時(shí)排除故障，提高云計(jì)算系統(tǒng)的穩(wěn)定性和可靠性。

2.加強(qiáng)訪問(wèn)控制技術(shù)。審計(jì)終端和被審計(jì)端借力云端實(shí)現(xiàn)審計(jì)連環(huán)作業(yè)時(shí)，通過(guò)統(tǒng)一身份認(rèn)證以控制用戶登錄和訪問(wèn)權(quán)限，身份認(rèn)證可采用“雙密碼”管理，既有固定登陸密碼，也要設(shè)置動(dòng)態(tài)提醒或特有標(biāo)識(shí)密碼（如指紋），即可有效防止非法用戶或冒名盜用他人用戶名進(jìn)入云端非法下載或修改數(shù)據(jù)的風(fēng)險(xiǎn)。

3.采用智能探針與分析提取技術(shù)，保證數(shù)據(jù)安全。智能探針技術(shù)可以對(duì)被審計(jì)端上傳數(shù)據(jù)打上污點(diǎn)標(biāo)簽進(jìn)行分類管理和存儲(chǔ)，還可以持續(xù)跟蹤任何對(duì)打上污點(diǎn)標(biāo)簽數(shù)據(jù)的操作行為。云端可利用該項(xiàng)技術(shù)對(duì)被審計(jì)端上傳的數(shù)據(jù)進(jìn)行智能保存并持續(xù)監(jiān)控以保證數(shù)據(jù)的完整性。另外鑒于云端包含的數(shù)據(jù)量大但相對(duì)價(jià)值密度較低，且多用戶共享數(shù)據(jù)可能產(chǎn)生的共享風(fēng)險(xiǎn)，云端可借鑒大數(shù)據(jù)分析提取技術(shù)與智能探針相結(jié)合，識(shí)別不同數(shù)據(jù)的使用頻率和應(yīng)用價(jià)值，對(duì)數(shù)據(jù)進(jìn)行職能隔離的同時(shí)也可以為審計(jì)終端調(diào)取、共享數(shù)據(jù)提供便利（曹洪澤，劉強(qiáng)，2006）。

4.加強(qiáng)設(shè)備安全配置管理。系統(tǒng)安全配置管理主要用于檢測(cè)復(fù)雜環(huán)境下云端性能問(wèn)題以提高云平臺(tái)的實(shí)際處理能力?？赏ㄟ^(guò)遠(yuǎn)程Web管理（https協(xié)議傳輸）與命令行方式對(duì)設(shè)備進(jìn)行安全管理，當(dāng)設(shè)備遭遇突發(fā)事件時(shí)可實(shí)現(xiàn)自動(dòng)保存、備份和恢復(fù)，同時(shí)也可實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)穩(wěn)定性、網(wǎng)絡(luò)狀態(tài)和設(shè)備運(yùn)行狀態(tài)，并定期生成記錄日志以供備查（見(jiàn)圖3）。

（三）審計(jì)終端風(fēng)險(xiǎn)控制

1.應(yīng)加強(qiáng)審計(jì)人員的綜合培訓(xùn)。為了更好適應(yīng)社保基金云審計(jì)的發(fā)展要求，當(dāng)務(wù)之急是加強(qiáng)對(duì)審計(jì)人員的綜合培訓(xùn)，培訓(xùn)內(nèi)容不僅包括審計(jì)業(yè)務(wù)，還要涵蓋計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)等方面，增強(qiáng)其計(jì)算機(jī)實(shí)戰(zhàn)技能和云審計(jì)信息化技術(shù)，提高審計(jì)人員“借力”云平臺(tái)的應(yīng)用能力。將定期的學(xué)習(xí)培訓(xùn)規(guī)劃與實(shí)務(wù)應(yīng)用相結(jié)合，使更多的審計(jì)人員成為崗位上的專才和實(shí)踐中的專家。另外，建立專門(mén)的技術(shù)攻關(guān)與指導(dǎo)小組，為審計(jì)人員解決實(shí)踐應(yīng)用過(guò)程中的技術(shù)難題提供技術(shù)指導(dǎo)和專家咨詢，幫助其更快的適應(yīng)云審計(jì)的發(fā)展要求。

2.應(yīng)實(shí)施遠(yuǎn)程與現(xiàn)場(chǎng)循環(huán)審計(jì)。云計(jì)算為審計(jì)終端實(shí)施遠(yuǎn)程審計(jì)提供了便利，借助云端提供的數(shù)據(jù)處理和存儲(chǔ)能力有效緩解了被審計(jì)端的數(shù)據(jù)存儲(chǔ)和審計(jì)終端的數(shù)據(jù)處理需求，但云端的數(shù)據(jù)處理與分析報(bào)告的準(zhǔn)確性仍有待于現(xiàn)場(chǎng)審計(jì)的檢驗(yàn)。為此實(shí)施遠(yuǎn)程與現(xiàn)場(chǎng)循環(huán)審計(jì)，通過(guò)聯(lián)機(jī)分析與數(shù)據(jù)查詢了解被審計(jì)端原始數(shù)據(jù)采集和上傳的內(nèi)部控制及具體執(zhí)行情況，以判斷云端數(shù)據(jù)處理結(jié)果的可信賴程度并確定審計(jì)重點(diǎn)。采用遠(yuǎn)程審計(jì)與現(xiàn)場(chǎng)審計(jì)相結(jié)合以固化審計(jì)經(jīng)驗(yàn)，并將編程技術(shù)與建模思路相融合為審計(jì)人員后續(xù)開(kāi)展審計(jì)工作提供技術(shù)指導(dǎo)（徐貴麗，2014）（見(jiàn)圖3）。

[1]王章禮，余魯.大數(shù)據(jù)時(shí)代我國(guó)社會(huì)審計(jì)模式創(chuàng)新研究〔J〕.中國(guó)注冊(cè)會(huì)計(jì)師，2016（11）.

[2]魏祥健.云計(jì)算環(huán)境下的云審計(jì)系統(tǒng)設(shè)計(jì)與風(fēng)險(xiǎn)控制〔J〕.會(huì)計(jì)之友，2015（01）.

[3]張永杰.云計(jì)算視域下養(yǎng)老保險(xiǎn)基金聯(lián)網(wǎng)審計(jì)系統(tǒng)建構(gòu)分析〔J〕.審計(jì)研究，2015（05）.

[4]陳偉，Wally Smieliauskas.云計(jì)算環(huán)境聯(lián)網(wǎng)審計(jì)實(shí)現(xiàn)方法探析〔J〕.審計(jì)研究，2012（03）.

[5]姜梅，吳萬(wàn)春，邢金榮，田德新，孫可君.社會(huì)保障基金聯(lián)網(wǎng)審計(jì)的應(yīng)用研究〔J〕.審計(jì)研究，2007（04）.

[6]張宏，徐士元，趙芳芳，王志.移動(dòng)互聯(lián)網(wǎng)安全審計(jì)云〔J〕.信息安全與通信保密，2014（02）.

[7]秦榮生.大數(shù)據(jù)、云計(jì)算技術(shù)對(duì)審計(jì)的影響研究〔J〕.審計(jì)研究，2014（06）.

[8]曹洪澤，劉強(qiáng).聯(lián)網(wǎng)審計(jì)及其關(guān)鍵技術(shù)研究〔J〕.北京理工大學(xué)學(xué)報(bào)，2006（07）.

[9]徐貴麗.云審計(jì)：機(jī)遇、挑戰(zhàn)與發(fā)展趨勢(shì)〔J〕.中國(guó)注冊(cè)會(huì)計(jì)師，2014（03）.

◇作者信息：浙江工商大學(xué)財(cái)務(wù)與會(huì)計(jì)學(xué)院

◇責(zé)任編輯：張力恒

◇責(zé)任校對(duì)：張力恒

F239.44

：A

：1004-6070（2017）04-0059-06

本文系浙江省軟科學(xué)項(xiàng)目“政策跟蹤審計(jì)維護(hù)信息經(jīng)濟(jì)發(fā)展的作用機(jī)理及實(shí)現(xiàn)方式研究”（2016C35038）的階段性成果。