焦 鈺 管亞梅

云計(jì)算環(huán)境下的云審計(jì)系統(tǒng)設(shè)計(jì)與風(fēng)險(xiǎn)控制

焦 鈺 管亞梅

云計(jì)算的產(chǎn)生，使更多形式的商業(yè)模式應(yīng)運(yùn)而生，同時(shí)也對(duì)傳統(tǒng)的會(huì)計(jì)審計(jì)行業(yè)產(chǎn)生了影響。將云計(jì)算技術(shù)運(yùn)用到審計(jì)行業(yè)當(dāng)中，則產(chǎn)生了云審計(jì)，通過數(shù)據(jù)的云存儲(chǔ)，使得各種審計(jì)資源通過“云”來協(xié)同。論文對(duì)云審計(jì)系統(tǒng)設(shè)計(jì)進(jìn)行研究和對(duì)其所產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行分析，并相應(yīng)的提出解決建議，并分析了未來云審計(jì)的研究方向。

云計(jì)算 云審計(jì) 系統(tǒng)設(shè)計(jì) 風(fēng)險(xiǎn)控制

一、研究背景的提出

云計(jì)算被認(rèn)為是繼大型計(jì)算機(jī)、個(gè)人計(jì)算機(jī)、互聯(lián)網(wǎng)之后，IT產(chǎn)業(yè)的第四次革命。隨著經(jīng)濟(jì)事業(yè)和IT技術(shù)的迅速發(fā)展，以及人們對(duì)資源管理的需要，云計(jì)算越來越深入人們的日常生活中。現(xiàn)在云計(jì)算已被運(yùn)用到各個(gè)領(lǐng)域，如云物聯(lián)、云安全、云存儲(chǔ)、云游戲等。由于我國(guó)審計(jì)開始逐步信息化，將云計(jì)算技術(shù)運(yùn)用到審計(jì)當(dāng)中，使得云審計(jì)的出現(xiàn)成為必要（周遲2015）。在云計(jì)算的基礎(chǔ)上搭建平臺(tái)，通過將數(shù)據(jù)存儲(chǔ)到云中，各種審計(jì)信息在云中呈現(xiàn)數(shù)字化狀態(tài)。審計(jì)人員可以通過云審計(jì)系統(tǒng)應(yīng)用，從“云”中了解審計(jì)信息，來實(shí)施相應(yīng)的審計(jì)程序，使審計(jì)資源利用率大大提升，審計(jì)信息在“云”中達(dá)到了交流和共享的目的。在云審計(jì)過程中，審計(jì)人員只需將審計(jì)證據(jù)、被審單位和審計(jì)問題關(guān)聯(lián)起來并進(jìn)行信息化處理，這樣縮短了審計(jì)時(shí)間和減少了審計(jì)工作量，提高了審計(jì)效率（秦榮生2014）。云審計(jì)提高了審計(jì)人員勞動(dòng)效率，審計(jì)軟件技術(shù)水平也得到了提高，有助于提高我國(guó)注冊(cè)會(huì)計(jì)師競(jìng)爭(zhēng)力，使我國(guó)注冊(cè)會(huì)計(jì)師行業(yè)處于國(guó)際前沿（文峰2011）。但是由于我們對(duì)云審計(jì)的認(rèn)識(shí)還存在著缺陷，在有些方面考慮不周到，所以出現(xiàn)了許多問題需要我們解決，如開發(fā)成本高、數(shù)據(jù)安全性以及在執(zhí)行審計(jì)任務(wù)過程中會(huì)產(chǎn)生的問題。為了能更好的利用云計(jì)算技術(shù)來為審計(jì)人員提供更科學(xué)、有效率的審計(jì)過程，需要設(shè)計(jì)更好的審計(jì)系統(tǒng)。以云計(jì)算環(huán)境下的基礎(chǔ)設(shè)施服務(wù)（IaaS），平臺(tái)服務(wù)（PaaS）和軟件服務(wù)（SaaS）為基礎(chǔ)，研究分析云計(jì)算環(huán)境下的審計(jì)風(fēng)險(xiǎn)，構(gòu)建云審計(jì)系統(tǒng)的基本框架，使云計(jì)算技術(shù)更好協(xié)助審計(jì)工作。美國(guó)執(zhí)業(yè)會(huì)計(jì)師協(xié)會(huì)和跨行業(yè)志愿者組成的云審計(jì)組織等正在努力開發(fā)統(tǒng)一界面，目的是為了能讓云計(jì)算供應(yīng)商實(shí)現(xiàn)關(guān)鍵功能的自動(dòng)化，這些功能主要包括審計(jì)、聲明、評(píng)估和擔(dān)保等。美國(guó)NIST主要為美國(guó)聯(lián)邦政府提供云架構(gòu)，并且對(duì)云計(jì)算提供相關(guān)的安全和部署策略，包括制定云標(biāo)準(zhǔn)、云接口、云集成和云應(yīng)用開發(fā)接口等。

我國(guó)國(guó)家審計(jì)署在2002年將金審工程列為國(guó)家電子政務(wù)重點(diǎn)啟動(dòng)的12個(gè)重要業(yè)務(wù)系統(tǒng)之一。金審工程實(shí)際上是審計(jì)信息化，通過運(yùn)用計(jì)算機(jī)技術(shù)全面檢查被審計(jì)單位的活動(dòng)。金審工程采用的審計(jì)模式主要是現(xiàn)場(chǎng)審計(jì)模式和聯(lián)網(wǎng)審計(jì)模式等，并取得了顯著的成效。在2014年國(guó)務(wù)院印發(fā)的《國(guó)務(wù)院關(guān)于加強(qiáng)審計(jì)工作的意見》提出要加快推進(jìn)審計(jì)信息化，創(chuàng)新電子審計(jì)技術(shù)，從而提高審計(jì)效率、節(jié)約審計(jì)時(shí)間，使得各部門、單位都能實(shí)施安全性、可靠性和經(jīng)濟(jì)性的審計(jì)。隨著《2015-2020年中國(guó)云計(jì)算產(chǎn)業(yè)發(fā)展前景與投資戰(zhàn)略規(guī)劃分析報(bào)告前瞻》的落實(shí)，云計(jì)應(yīng)算技術(shù)開始用于各行各業(yè)，云計(jì)算產(chǎn)業(yè)鏈、行業(yè)生態(tài)環(huán)境基本穩(wěn)定，在解決各行各業(yè)的方案當(dāng)中取得了很好的效果。

二、云審計(jì)系統(tǒng)的定義和組成

（一）云審計(jì)系統(tǒng)的定義

王帆，聶曼曼（2014）認(rèn)為云審計(jì)系統(tǒng)是審計(jì)人員通過所獲得的數(shù)據(jù)，依據(jù)審計(jì)對(duì)象的基本特征，如應(yīng)具備的性質(zhì)、數(shù)量、時(shí)間或空間狀態(tài)等，通過設(shè)定計(jì)算、判斷和限制條件建立起的數(shù)學(xué)或邏輯表達(dá)式，用于對(duì)被審單位的資產(chǎn)安全、數(shù)據(jù)完整、被審單位目標(biāo)的實(shí)現(xiàn)程度、組織資源使用的效率等進(jìn)行驗(yàn)證。魏祥?。?015）認(rèn)為云審計(jì)是審計(jì)在云端的一個(gè)系統(tǒng)集合。它至少應(yīng)包括三個(gè)方面的內(nèi)容：一是依托第三方服務(wù)商提供的或?qū)I(yè)建設(shè)的“云計(jì)算”基礎(chǔ)平臺(tái)，對(duì)審計(jì)數(shù)據(jù)進(jìn)行采集、存儲(chǔ)、傳輸，并保障數(shù)據(jù)的安全；二是利用云計(jì)算專業(yè)技術(shù)對(duì)審計(jì)數(shù)據(jù)進(jìn)行處理，實(shí)現(xiàn)審計(jì)手段智能化；三是審計(jì)資源通過云來協(xié)同，實(shí)現(xiàn)審計(jì)工作業(yè)務(wù)協(xié)同，促進(jìn)信息共享及溝通，保證審計(jì)過程質(zhì)量的一個(gè)審計(jì)信息系統(tǒng)。云審計(jì)系統(tǒng)簡(jiǎn)單的來講就是云計(jì)算和審計(jì)的構(gòu)成。

圖1 云審計(jì)系統(tǒng)定義

（二）云審計(jì)系統(tǒng)的組成

解決信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)已經(jīng)成為當(dāng)前審計(jì)工作的重心，然而構(gòu)建更先進(jìn)的審計(jì)系統(tǒng)模型能夠幫助準(zhǔn)確評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)并有利于審計(jì)質(zhì)量的提高（李向前，康燕，張宏2013）。云計(jì)算的服務(wù)模式為基礎(chǔ)設(shè)施服務(wù)（IaaS）、平臺(tái)服務(wù)（PaaS）和軟件服務(wù)（SaaS）（B Iyer，JC Henderson2010），由于云審計(jì)是由于云計(jì)算技術(shù)運(yùn)用到審計(jì)當(dāng)中，云計(jì)算技術(shù)可以為云審計(jì)提供計(jì)算能力、存儲(chǔ)空間和各種軟件服務(wù)，所以云審計(jì)系統(tǒng)的構(gòu)成與云計(jì)算服務(wù)模式差不多，并以此為基礎(chǔ)來建立。

1、基礎(chǔ)設(shè)施服務(wù)（IaaS）

主要為審計(jì)機(jī)關(guān)提供了統(tǒng)一的基礎(chǔ)設(shè)施服務(wù)，其中包括存儲(chǔ)、網(wǎng)絡(luò)、安全等其他資源?；A(chǔ)設(shè)施層IaaS服務(wù)是PaaS和SaaS服務(wù)的重要基礎(chǔ)，是實(shí)現(xiàn)PaaS和SaaS服務(wù)的基本保障（魏祥健2015）。利用IaaS服務(wù)可以將全國(guó)各地的數(shù)據(jù)中心統(tǒng)一管理，審計(jì)人員只需通過嚴(yán)格的審計(jì)流程就可以對(duì)“云”中的數(shù)據(jù)進(jìn)行采集、交換和存儲(chǔ)。這種服務(wù)可以節(jié)省費(fèi)用，提高審計(jì)資源利用率并且安全可靠。依靠這種服務(wù)模式構(gòu)建出“國(guó)家審計(jì)云中心+省級(jí)審計(jì)云中心”兩級(jí)模式（圖二）（牛艷芳，薛巖，孟祥雨2014）。

2、平臺(tái)服務(wù)（PaaS）

是指將軟件研發(fā)的平臺(tái)作為一種服務(wù)，以SaaS模式提交給用戶。因此，PaaS也是SaaS模式的一種應(yīng)用。PaaS對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)和管理并提供業(yè)務(wù)開發(fā)服務(wù)?？蛻艨梢酝ㄟ^PaaS平臺(tái)來創(chuàng)建、測(cè)試和部署應(yīng)用和服務(wù)。

3、軟件服務(wù)（SaaS）

主要提供應(yīng)用軟件，例如審計(jì)實(shí)施軟件、審計(jì)管理系統(tǒng)和審計(jì)決策系統(tǒng)等，將所有的軟件安放在云平臺(tái)上，審計(jì)人員可以通過網(wǎng)絡(luò)來使用這些軟件。將SaaS服務(wù)和審計(jì)業(yè)務(wù)相結(jié)合，數(shù)據(jù)中心會(huì)提供審計(jì)業(yè)務(wù)數(shù)據(jù)，還應(yīng)提供審計(jì)綜合信息、審計(jì)專家經(jīng)驗(yàn)以及相關(guān)法律法規(guī)等。這樣審計(jì)人員只需要通過網(wǎng)絡(luò)就可以很方便的擁有更多的數(shù)據(jù)信息來進(jìn)行審計(jì)作業(yè)。

圖2 “國(guó)家審計(jì)云中心+省級(jí)審計(jì)云中心”兩級(jí)模式

這三種服務(wù)模式對(duì)于云審計(jì)系統(tǒng)來說是必不可少的部分，通過對(duì)數(shù)據(jù)的收集、存儲(chǔ)、處理和管理，并提供軟件讓審計(jì)人員能搜集到更多的審計(jì)資源來進(jìn)行審計(jì)作業(yè)，縮短了審計(jì)人員執(zhí)行審計(jì)業(yè)務(wù)的時(shí)間并提高了審計(jì)工作質(zhì)量。除此之外，我們對(duì)于云審計(jì)系統(tǒng)還應(yīng)加強(qiáng)信息安全服務(wù)，對(duì)云審計(jì)系統(tǒng)進(jìn)行定期的檢查，查找其是否存在漏洞及其是否存在安全隱患，對(duì)于所出現(xiàn)的安全問題要及時(shí)解決。對(duì)于云審計(jì)平臺(tái)中的數(shù)據(jù)也要定期檢查，例如時(shí)效性的數(shù)據(jù)要及時(shí)更新，檢查是否出現(xiàn)對(duì)數(shù)據(jù)的篡改等情況。這樣有利于對(duì)審計(jì)人員提供更可靠、更安全的數(shù)據(jù)。

三、云計(jì)算環(huán)境下的云審計(jì)風(fēng)險(xiǎn)

審計(jì)風(fēng)險(xiǎn)是由固有風(fēng)險(xiǎn)，控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)構(gòu)成，那么顯而易見，云審計(jì)也有云審計(jì)的各種風(fēng)險(xiǎn)，構(gòu)成了云審計(jì)風(fēng)險(xiǎn)。什么叫云審計(jì)風(fēng)險(xiǎn)，簡(jiǎn)單來說，這個(gè)風(fēng)險(xiǎn)更多著重落在了“云”上，由于這是互聯(lián)網(wǎng)和審計(jì)結(jié)合的產(chǎn)物，它一定會(huì)擁有互聯(lián)網(wǎng)和審計(jì)的多重風(fēng)險(xiǎn)，一般來看，具體是數(shù)據(jù)的安全風(fēng)險(xiǎn)、云計(jì)算環(huán)境的控制風(fēng)險(xiǎn)以及程序風(fēng)險(xiǎn)。。

（一）數(shù)據(jù)的安全風(fēng)險(xiǎn)

數(shù)據(jù)是一種資源，為人所用，從而產(chǎn)生價(jià)值，對(duì)于云計(jì)算環(huán)境下的審計(jì)工作，數(shù)據(jù)的安全性是要放在首位的，不單單只是審計(jì)項(xiàng)目的一些財(cái)務(wù)信息，還有各個(gè)審計(jì)單位的審計(jì)方法都會(huì)被存儲(chǔ)在云中，因此對(duì)于云計(jì)算環(huán)境下的數(shù)據(jù)保密工作一定能夠要做好。因?yàn)檫@些數(shù)據(jù)的采集，加工處理，傳輸使用都借助了云服務(wù)，這實(shí)際上削弱了各單位對(duì)數(shù)據(jù)的控制，安全隱患也變大了。而第三方那個(gè)供應(yīng)商違背職業(yè)道德甚至違背法律利用這些數(shù)據(jù)來牟利的可能性也大大增加，不當(dāng)?shù)膶徲?jì)信息披露會(huì)給企業(yè)和審計(jì)單位造成無法挽回的惡劣影響。另外，涉及互聯(lián)網(wǎng)的數(shù)據(jù)，很大程度上會(huì)遭受莫名的黑客攻擊，造成數(shù)據(jù)全部流失，這種情況下，數(shù)據(jù)的再恢復(fù)工作將會(huì)十分艱難，更是阻礙了審計(jì)工作的進(jìn)度，降低了審計(jì)效率。以上都是這幾點(diǎn)都是潛在的風(fēng)險(xiǎn)。

（二）內(nèi)部控制風(fēng)險(xiǎn)

隨著云計(jì)算環(huán)境的成熟，它逐漸走入各大單位，很多大企業(yè)都開始運(yùn)用云審計(jì)系統(tǒng)，這種轉(zhuǎn)變也改革了企業(yè)內(nèi)部控制形式。在固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、檢查風(fēng)險(xiǎn)這三種風(fēng)險(xiǎn)中，企業(yè)能夠通過自己的內(nèi)部控制系統(tǒng)來降低控制風(fēng)險(xiǎn)，一個(gè)好的審計(jì)項(xiàng)目，是能夠擁有優(yōu)秀的內(nèi)控系統(tǒng)來把控制風(fēng)險(xiǎn)降到最低。同理，在運(yùn)用云審計(jì)系統(tǒng)的過程中，有效把控內(nèi)部風(fēng)險(xiǎn)，對(duì)發(fā)展云審計(jì)系統(tǒng)在企業(yè)內(nèi)的運(yùn)用大有裨益。當(dāng)然企業(yè)運(yùn)用云審計(jì)系統(tǒng)存在以下問題，太注重把控互聯(lián)網(wǎng)風(fēng)險(xiǎn)，從而忘記了企業(yè)內(nèi)部的控制風(fēng)險(xiǎn)也是非常重要的一環(huán)，忽略內(nèi)控建設(shè)，意味著企業(yè)的審計(jì)漏洞會(huì)非常多并且很難完善，大大降低了云審計(jì)系統(tǒng)的使用效率。當(dāng)然，一方面，由于云審計(jì)系統(tǒng)的固有特性，企業(yè)很難在短時(shí)間內(nèi)，以最少的成本來有效把控內(nèi)部風(fēng)險(xiǎn)，比如員工職責(zé)分離，監(jiān)督的有效運(yùn)用等，是比較困難的，而另一方面，審計(jì)單位對(duì)企業(yè)云審計(jì)的內(nèi)控也需要耗費(fèi)大量人力物力來進(jìn)行評(píng)估，這些都增加了云審計(jì)風(fēng)險(xiǎn)。

（三）審計(jì)程序固有風(fēng)險(xiǎn)

在審計(jì)人員進(jìn)行審計(jì)的時(shí)候，他們會(huì)通過各種審計(jì)程序來進(jìn)行判斷，通過自己獲得的審計(jì)證據(jù)來判斷，在實(shí)施審計(jì)程序的時(shí)候，審計(jì)風(fēng)險(xiǎn)就無法避免的產(chǎn)生了。因?yàn)樵茖徲?jì)依附于互聯(lián)網(wǎng)，因此實(shí)施審計(jì)程序獲取審計(jì)證據(jù)也要通過互聯(lián)網(wǎng)進(jìn)行，因?yàn)閷徲?jì)數(shù)據(jù)在互聯(lián)網(wǎng)上的流動(dòng)性很強(qiáng)，并且整個(gè)數(shù)據(jù)都存儲(chǔ)在云上，一時(shí)半會(huì)難以迅速有效的定位審計(jì)數(shù)據(jù)，致使獲取審計(jì)證據(jù)的時(shí)間變長(zhǎng)，也由于審計(jì)證據(jù)儲(chǔ)存的環(huán)境是共享的云環(huán)境，第三方供應(yīng)商也無法確保提供的審計(jì)數(shù)據(jù)是全面完整的，數(shù)據(jù)的難以追蹤或許就是云審計(jì)過程中審計(jì)數(shù)據(jù)欠缺說服力而產(chǎn)生的云審計(jì)風(fēng)險(xiǎn)。

四、云審計(jì)系統(tǒng)運(yùn)用的案例分析

云審計(jì)依賴于網(wǎng)絡(luò)技術(shù)，將所有需要的審計(jì)信息都存儲(chǔ)在“云”中，審計(jì)人員只可以通過網(wǎng)絡(luò)來了解審計(jì)信息，其中也包括了審計(jì)人員的賬號(hào)信息，所以網(wǎng)上的信息安全非常重要。CSDN擁有全球最大中文IT社區(qū)，也是國(guó)內(nèi)最大的程序員網(wǎng)站，為用戶提供交流學(xué)習(xí)等服務(wù)。在2011年12月份，CSDN的用戶數(shù)據(jù)庫遭到黑客攻擊，有600余萬用戶的賬號(hào)信息及郵箱密碼被黑客在網(wǎng)上公開。經(jīng)排查，金山毒霸員工疑為隱私泄露源頭，金山深陷“泄密門”。隨后，CSDN"密碼外泄門"持續(xù)發(fā)酵，天涯、世紀(jì)佳緣等網(wǎng)站相繼被曝用戶數(shù)據(jù)遭泄密。天涯網(wǎng)于12月25日發(fā)布致歉信，稱天涯4000萬用戶隱私遭到黑客泄露。后有專家進(jìn)行分析指出該事件的發(fā)生是由于SQL注入漏洞，黑客通過對(duì)網(wǎng)站系統(tǒng)中出現(xiàn)的漏洞進(jìn)行SQL注入攻擊，從而獲得數(shù)據(jù)庫的訪問權(quán)限，獲得賬號(hào)及密碼。SQL注入漏洞普遍存在于互聯(lián)網(wǎng)中，是由于程序開發(fā)員的疏忽或在對(duì)產(chǎn)品測(cè)試時(shí)未發(fā)現(xiàn)的隱藏的問題。所以云審計(jì)系統(tǒng)的程序員應(yīng)提高自身技術(shù)，減少技術(shù)漏洞，對(duì)于系統(tǒng)中的潛在漏洞也應(yīng)該及時(shí)發(fā)現(xiàn)和解決?？梢栽O(shè)計(jì)新的加密法使得數(shù)據(jù)遭到泄露時(shí)依然能夠保證安全，如密鑰加密法、二次加密法和分組混合加密法（郭平，但光祥2012）。沒有無漏洞的系統(tǒng)，也沒有無漏洞的網(wǎng)絡(luò)，正因?yàn)槿绱吮ＷC信息安全很重要，如果審計(jì)信息遭到泄露可能會(huì)遭到不法分子的利用，并且會(huì)威脅到審計(jì)人員的人身安全，審計(jì)人員和程序人員需要尋找最佳的解決方案將危險(xiǎn)降到最低，甚至杜絕這種危險(xiǎn)。

在2016年5月份，Salesforce.com遭到電力故障導(dǎo)致宕機(jī)，恢復(fù)時(shí)丟失了4小時(shí)數(shù)據(jù)。此次宕機(jī)影響了北美的14個(gè)站點(diǎn)，影響了灣區(qū)的大量用戶，灣區(qū)歷來被稱為Salesforce.com的后院，同時(shí)，部分北美的用戶也受到影響。據(jù)了解Salesforce客戶數(shù)據(jù)的丟失并不是因?yàn)閿?shù)據(jù)中心停電造成的，而是由于宕機(jī)后工作人員試圖恢復(fù)停電時(shí)候4個(gè)小時(shí)的數(shù)據(jù)，但是由于操作失誤，使得這4小時(shí)的數(shù)據(jù)沒有被恢復(fù)，反而丟失了。Salesforce沒有容災(zāi)，而是采用數(shù)據(jù)備份來恢復(fù)數(shù)據(jù)，但是居然還失敗了。Salesforce其實(shí)在解決方案上有很多，但為何還是導(dǎo)致數(shù)據(jù)丟失，這值得思考。在云審計(jì)系統(tǒng)上也應(yīng)該采取應(yīng)災(zāi)措施，審計(jì)信息都是存儲(chǔ)在“云”中，萬一發(fā)生由于突發(fā)狀況導(dǎo)致的審計(jì)數(shù)據(jù)丟失，在恢復(fù)數(shù)據(jù)時(shí)應(yīng)該有多種方案可供選擇，定期檢查災(zāi)備，使災(zāi)備可用、可靠，而不是使其成為擺設(shè)。設(shè)計(jì)好容災(zāi)方案，使得云審計(jì)系統(tǒng)在應(yīng)對(duì)突發(fā)狀況時(shí)也能很好的解決，保證了審計(jì)業(yè)務(wù)的連續(xù)性。

五、云審計(jì)系統(tǒng)風(fēng)險(xiǎn)的防范

云審計(jì)系統(tǒng)既存在優(yōu)勢(shì)又存在風(fēng)險(xiǎn)，對(duì)于云審計(jì)系統(tǒng)存在的風(fēng)險(xiǎn)有以下幾點(diǎn)建議：

（一）采用新技術(shù)構(gòu)建云審計(jì)系統(tǒng)安全體系

對(duì)云審計(jì)系統(tǒng)要定期檢查，找出漏洞和其所存在的安全隱患，并對(duì)其進(jìn)行修復(fù)。對(duì)系統(tǒng)中的審計(jì)資料采用加密技術(shù)，以防止第三方惡意篡改數(shù)據(jù)。設(shè)計(jì)好應(yīng)災(zāi)方案，并且保證方案有效可行，以應(yīng)對(duì)云審計(jì)系統(tǒng)的突發(fā)狀況。在安全功能、性能等方面進(jìn)行強(qiáng)化，滿足個(gè)性化和層次化的需求，吸引更多的用戶使用（林闖等 2013）。

（二）加快對(duì)云審計(jì)方面的法律法規(guī)的建設(shè)

保證審計(jì)數(shù)據(jù)的嚴(yán)謹(jǐn)性，對(duì)于惡意篡改審計(jì)數(shù)據(jù)的人員要嚴(yán)懲不貸，增加審計(jì)人員和程序員的法律知識(shí)，提高審計(jì)人員和程序員的法律意識(shí)。為了方便數(shù)據(jù)的收集與存儲(chǔ)，也要制定相應(yīng)的云審計(jì)標(biāo)準(zhǔn)，要使其制度化、規(guī)范化，讓審計(jì)證據(jù)更加安全可靠。

（三）謹(jǐn)慎選擇云供應(yīng)商

對(duì)于審計(jì)人員要采用統(tǒng)一的身份認(rèn)證登錄，使用加密法以保證審計(jì)人員賬號(hào)信息的安全，要采用新技術(shù)加強(qiáng)對(duì)云審計(jì)系統(tǒng)的安全風(fēng)險(xiǎn)管理。被審單位傳輸?shù)摹霸啤敝械膶徲?jì)數(shù)據(jù)要保證其及時(shí)性、有效性和完整性，使審計(jì)人員按時(shí)進(jìn)行審計(jì)任務(wù)。

（四）建設(shè)風(fēng)險(xiǎn)導(dǎo)向型的云審計(jì)模式

向傳統(tǒng)審計(jì)模式取經(jīng)，設(shè)計(jì)建設(shè)互聯(lián)網(wǎng)上風(fēng)險(xiǎn)導(dǎo)向型的審計(jì)模式。各行各業(yè)在互聯(lián)網(wǎng)發(fā)展的大趨勢(shì)下，都爭(zhēng)先恐后的投入使用云計(jì)算技術(shù)，這中間行業(yè)內(nèi)容千差萬別，行業(yè)準(zhǔn)則不盡相同，面對(duì)相比于傳統(tǒng)審計(jì)行業(yè)更加復(fù)雜的審計(jì)現(xiàn)狀，這要求審計(jì)人員能夠?qū)υ茖徲?jì)風(fēng)險(xiǎn)進(jìn)行多角度深層次的分析和規(guī)避。這要求審計(jì)人員面對(duì)審計(jì)數(shù)據(jù)不能馬虎了事，要秉承正確的職業(yè)道德深入分析審計(jì)數(shù)據(jù)，對(duì)云審計(jì)風(fēng)向進(jìn)行更加全面的分析的評(píng)估。從而有提高防范與控制云審計(jì)風(fēng)險(xiǎn)的效率，增強(qiáng)控制云審計(jì)風(fēng)險(xiǎn)的效果。進(jìn)行云審計(jì)風(fēng)險(xiǎn)評(píng)估的過程中，審計(jì)人員要分析并確定高風(fēng)險(xiǎn)的地方，對(duì)這個(gè)范圍內(nèi)的審計(jì)數(shù)據(jù)進(jìn)行分析和判斷，注重?cái)?shù)據(jù)的有效性和及時(shí)性，對(duì)數(shù)據(jù)進(jìn)行多方面的分析，包括時(shí)間空間上的分析。

（五）進(jìn)行云審計(jì)的創(chuàng)新

在新型的審計(jì)模式，即云審計(jì)的發(fā)展下，審計(jì)的客觀公正正進(jìn)一步的提高，審計(jì)人員慢慢從用自身知識(shí)經(jīng)驗(yàn)進(jìn)行判斷向依靠真實(shí)的審計(jì)數(shù)據(jù)來進(jìn)行決斷。如果能夠開發(fā)新型的云審計(jì)技術(shù)，那么審計(jì)人員從流動(dòng)性較強(qiáng)的審計(jì)數(shù)據(jù)中分析審計(jì)情況，獲得審計(jì)證據(jù)的過程將方便許多。加強(qiáng)云審計(jì)創(chuàng)新，首先要?jiǎng)?chuàng)新云審計(jì)模型和方法，通過對(duì)以往經(jīng)驗(yàn)的總結(jié)與反思，創(chuàng)造更適合審計(jì)行業(yè)的審計(jì)模式，同時(shí)，也要密切關(guān)注互聯(lián)網(wǎng)動(dòng)態(tài)，開發(fā)研制云審計(jì)軟件，提高審計(jì)軟件的運(yùn)行效率，多方面分析審計(jì)數(shù)據(jù)。加強(qiáng)數(shù)據(jù)分析的層次性和復(fù)雜性，方便審計(jì)人員或許審計(jì)結(jié)果和審計(jì)證據(jù)。提高審計(jì)質(zhì)量。進(jìn)行云審計(jì)創(chuàng)新，不僅僅需要前線創(chuàng)新人員的鉆研，也需要國(guó)家的大力支持，巨大的研發(fā)創(chuàng)新成本呢都需要國(guó)家有關(guān)部門的相助，此外，國(guó)家有關(guān)部門也應(yīng)提供人才支持，更好的推動(dòng)云審計(jì)的創(chuàng)新。

［1］周遲.云審計(jì)在社會(huì)審計(jì)中的運(yùn)用研究——基于風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的視角.中國(guó)內(nèi)部審計(jì).2015（1）86-90

［2］秦榮生.大數(shù)據(jù)、云計(jì)算技術(shù)對(duì)審計(jì)的影響研究.審計(jì)研究.2014（6）23-28

［3］文峰.云計(jì)算與云審計(jì)——關(guān)于未來審計(jì)的概念與框架的一些思考.中國(guó)注冊(cè)會(huì)計(jì)師.2011（2）98-103

［4］王帆，聶曼曼.互聯(lián)網(wǎng)云審計(jì)系統(tǒng)運(yùn)行機(jī)理與評(píng)價(jià)體系.中國(guó)注冊(cè)會(huì)計(jì)師.2014（7）119-124

［5］魏祥健.云審計(jì)—概念與系統(tǒng)框架.財(cái)會(huì)月刊.2015（13）62-65

［6］.李向前，康燕，張宏．固定資產(chǎn)投資計(jì)算機(jī)審計(jì)實(shí)施系統(tǒng)設(shè)計(jì)與運(yùn)用探討.審計(jì)研究.2013（3）34-41

［7］魏祥健.云計(jì)算環(huán)境下的云審計(jì)系統(tǒng)設(shè)計(jì)與風(fēng)險(xiǎn)控制.會(huì)計(jì)之友.2015（1）101-105

［8］牛艷芳，薛巖，孟祥雨.云計(jì)算環(huán)境下的審計(jì)業(yè)務(wù)模式變革研究.審計(jì)與經(jīng)濟(jì)研究.2014（4）95-103

［9］侯炳輝等.信息系統(tǒng)評(píng)價(jià)體系及評(píng)價(jià)方法.中國(guó)管理科學(xué).1993（3）26-35

［10］姜梅.社會(huì)保障基金聯(lián)網(wǎng)審計(jì)的應(yīng)用研究.審計(jì)研究.2007（4）33-37

［11］李璐.信息化條件下大型審計(jì)項(xiàng)目的實(shí)施.審計(jì)月刊.2009（8）4-6

［12］勵(lì)景源.專家審計(jì)系統(tǒng)的基本框架.上海立信會(huì)計(jì)學(xué)院學(xué)報(bào).2006（2）53-58

［13］劉榮.淺析“大數(shù)據(jù)”時(shí)代的內(nèi)部審計(jì)應(yīng)對(duì)策略.中國(guó)內(nèi)部審計(jì).201（55）42-46

［14］羅忠蓮.社?；鹇?lián)網(wǎng)審計(jì)的應(yīng)用困境及對(duì)策研究.會(huì)計(jì)之友.2012（5）22-27

［15］牛艷芳，薛巖，孟祥雨.云計(jì)算環(huán)境下的審計(jì)業(yè)務(wù)模式變革研究.南京審計(jì)學(xué)院學(xué)報(bào).2014（4）95-103

［16］秦榮生.大數(shù)據(jù)、云計(jì)算技術(shù)對(duì)審計(jì)的影響研究.審計(jì)研究.2014（11）23-28

System Construction and Risk Control of Cloud Auditing based on the Cloud Calculation Environment

JIAO Yu,GUAN Ya-mei
Accounting School,Nanjing University of Finance&Economics,Nanjing 210023

The emergence of cloud computing has created more forms of business models,at the same time,it also has an impact on the traditional accounting and auditing industry.The use of cloud computing technology in the audit industry results cloud audit,through the cloud storage of data,so that a variety of audit resources could coordinate through the"cloud".This paper studies the design of cloud audit system and analyzes its risks,and puts forward corresponding solutions,and analyzes the future research direction of cloud audit.

Cloud Calculation,Cloud Auditing,System Construction,Risk Control

F239

A

本文受國(guó)家社會(huì)科學(xué)基金《基于霧霾治理視角的碳減排優(yōu)化模式與碳審計(jì)研究》（15BGL060）；本文受江蘇高校優(yōu)勢(shì)學(xué)科建設(shè)工程資助項(xiàng)目（工商管理學(xué)科）（PAPD）；江蘇高校品牌專業(yè)建設(shè)工程資助項(xiàng)目（會(huì)計(jì)學(xué)）基金資助

管亞梅，女，南京財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院教授，博士，碩士生導(dǎo)師，研究方向：會(huì)計(jì)審計(jì)理論與實(shí)務(wù)；江蘇南京，210023

焦鈺，女，上海財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院碩士研究生，研究方向：會(huì)計(jì)審計(jì)理論與實(shí)務(wù)；上海，200433