行業(yè)信息化專題

編者按

在信息化環(huán)境下，企業(yè)運用信息技術(shù)編制財務(wù)報表，設(shè)計和執(zhí)行內(nèi)部控制。注冊會計師在對企業(yè)的財務(wù)報表進行審計時，必須考慮信息技術(shù)的影響。同時，信息化也對注冊會計師的審計技術(shù)和方法帶來革命性變化。為了幫助注冊會計師應(yīng)對信息化帶來的挑戰(zhàn)，中國注冊會計師協(xié)會資助普華永道中天會計師事務(wù)所研究編寫了《財務(wù)報表審計中對信息系統(tǒng)的考慮》一書，已由中國財政經(jīng)濟出版社出版。本刊約請作者加以摘編，分期連載，以饗讀者。

一、“互聯(lián)網(wǎng)+”時代的挑戰(zhàn)

（一）“互聯(lián)網(wǎng)+”時代的發(fā)展趨勢

通俗來說，“互聯(lián)網(wǎng)+”就是“互聯(lián)網(wǎng)+各個傳統(tǒng)行業(yè)”，但這并不是簡單的相加，而是利用信息通信技術(shù)以及互聯(lián)網(wǎng)平臺，讓互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)進行深度融合，創(chuàng)造新的發(fā)展生態(tài)，從而推動互聯(lián)網(wǎng)由消費領(lǐng)域向生產(chǎn)領(lǐng)域拓展，加速提升產(chǎn)業(yè)發(fā)展水平，增強各行業(yè)創(chuàng)新能力，構(gòu)筑經(jīng)濟社會發(fā)展新優(yōu)勢和新動能。它代表一種新的經(jīng)濟增長形態(tài)，即充分發(fā)揮互聯(lián)網(wǎng)在生產(chǎn)要素配置中的優(yōu)化和集成作用，將互聯(lián)網(wǎng)的創(chuàng)新成果深度融合于經(jīng)濟社會各領(lǐng)域之中，提升實體經(jīng)濟的創(chuàng)新力和生產(chǎn)力，形成更廣泛的以互聯(lián)網(wǎng)為基礎(chǔ)設(shè)施和實現(xiàn)工具的經(jīng)濟發(fā)展模式。

蓬勃發(fā)展的信息通信技術(shù)及互聯(lián)網(wǎng)平臺的應(yīng)用，正在以前所未有的速度和方式挑戰(zhàn)、改造甚至顛覆傳統(tǒng)的商業(yè)經(jīng)營運作模式，為全社會信息共享和信息協(xié)作提供了無限空間。在信息科技浪潮的帶動下，傳統(tǒng)企業(yè)紛紛“觸網(wǎng)”、“觸電”，在線上開展業(yè)務(wù)，紛紛利用“互聯(lián)網(wǎng)+”時代的技術(shù)進步成果探索各自所在領(lǐng)域的垂直應(yīng)用并實踐創(chuàng)新；與此同時，“互聯(lián)網(wǎng)+”時代還催生了一大批第三方服務(wù)企業(yè)，即各類平臺服務(wù)商；他們本身并不直接生產(chǎn)商品或提供服務(wù)，而是專注于線上與線下的協(xié)作，實現(xiàn)供需雙方的對接，并通過各類增值服務(wù)實現(xiàn)盈利。

區(qū)別于傳統(tǒng)的商業(yè)經(jīng)營運作模式，“互聯(lián)網(wǎng)+”時代的技術(shù)和應(yīng)用具有非常鮮明的特點，主要體現(xiàn)在以下幾點：

1.業(yè)務(wù)發(fā)展迅速且變化快。作為典型的受技術(shù)進步驅(qū)動、引領(lǐng)的商業(yè)經(jīng)營運作模式，技術(shù)的進步不僅創(chuàng)造了用戶需求，還在很大程度上確定了商業(yè)的規(guī)則。因此，業(yè)務(wù)模式的頻繁迭代試錯、顛覆性的變革，以及業(yè)務(wù)量的爆發(fā)式增長已成為常態(tài)。

2.線上業(yè)務(wù)交易量巨大。特別是零售類的在線電子商務(wù)平臺，具備一定性價比的標準化產(chǎn)品或服務(wù)是理想交易對象。因此，“觸網(wǎng)”的業(yè)務(wù)體量巨大，增長迅猛。

3.高度依賴信息技術(shù)，包括高度定制化的信息系統(tǒng)?！盎ヂ?lián)網(wǎng)+”時代業(yè)務(wù)的開展，完全無法離開信息技術(shù)和信息系統(tǒng)的支撐。對于眾多傳統(tǒng)企業(yè)而言，開展線上業(yè)務(wù)的嘗試往往需要對其現(xiàn)有的傳統(tǒng)信息系統(tǒng)（如ERP系統(tǒng)）進行數(shù)據(jù)接口改造；如果來自線上業(yè)務(wù)的流量巨大，那么信息技術(shù)基礎(chǔ)設(shè)施也有必要進行升級。對于互聯(lián)網(wǎng)行業(yè)企業(yè)而言，則意味著量身定制自己的信息系統(tǒng)。事實上，互聯(lián)網(wǎng)企業(yè)多數(shù)自行建設(shè)核心業(yè)務(wù)系統(tǒng)，而非從外部購買現(xiàn)成的套裝軟件。

4.企業(yè)的業(yè)務(wù)運營和經(jīng)營結(jié)果完全數(shù)字化，且未必具備實物形態(tài)。特別是對從事服務(wù)類業(yè)務(wù)的企業(yè)，例如網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)廣告投放等，其資產(chǎn)、負債、收入、成本等經(jīng)營結(jié)果等往往不存在與之對應(yīng)的實物形態(tài)，完全依賴信息系統(tǒng)中的記錄和輸出。

5.企業(yè)經(jīng)營突破時間和空間的束縛，開放程度更高。互聯(lián)網(wǎng)的便利性要求企業(yè)向消費者、合作伙伴開放更多的信息，營造生態(tài)體系。這勢必影響企業(yè)的管理、流程、系統(tǒng)架構(gòu)以及基礎(chǔ)設(shè)施。

（二）“互聯(lián)網(wǎng)+”時代的信息系統(tǒng)審計風險

與傳統(tǒng)的商業(yè)經(jīng)營運作模式相比，“觸網(wǎng)”、“觸電”給企業(yè)帶來的影響是根本性的。注冊會計師有必要充分了解、評估這些“互聯(lián)網(wǎng)+”時代的特性對被審計單位自身業(yè)務(wù)開展和財務(wù)報告編制的影響，并思考“互聯(lián)網(wǎng)+”時代特有的信息系統(tǒng)審計風險。

結(jié)合“互聯(lián)網(wǎng)+”時代的業(yè)務(wù)特點，其特有的信息系統(tǒng)審計風險考慮可以概括為以下幾點：

1.業(yè)務(wù)發(fā)展快，變革調(diào)整大，信息系統(tǒng)迭代頻繁，其開發(fā)、變更、系統(tǒng)處理邏輯出現(xiàn)差錯等方面的固有風險水平較高。例如各種折扣、會員積分、虛擬等價物、促銷方式、合作渠道，交易、核算場景豐富，邏輯復(fù)雜，內(nèi)外對接要求高。

2.與傳統(tǒng)經(jīng)營方式相比，“互聯(lián)網(wǎng)+”時代的業(yè)務(wù)交易產(chǎn)生的數(shù)據(jù)量極大。對于海量的業(yè)務(wù)運營數(shù)據(jù)，如果使用傳統(tǒng)的抽樣方法進行審計，那么檢查風險勢必顯著升高。

3.業(yè)務(wù)核算高度依賴信息系統(tǒng)，而信息系統(tǒng)處理邏輯往往非常復(fù)雜且具有不可見性。例如，網(wǎng)絡(luò)廣告的投放業(yè)務(wù)，通常根據(jù)用戶端的點擊或廣告曝光展現(xiàn)的數(shù)據(jù)進行廣告投放收入的確認。這些信息都由信息系統(tǒng)自動采集、記錄，并經(jīng)過反作弊引擎的分析、判定和修正，財務(wù)人員往往只是根據(jù)系統(tǒng)輸出的報表或記賬憑證進行會計處理。這對注冊會計師的知識結(jié)構(gòu)、審計方法和審計工具構(gòu)成重大挑戰(zhàn)，檢查風險顯著升高。

4.事務(wù)處理完全電子化，甚至不具備任何實物形態(tài)，這對交易真實性、存在性的驗證構(gòu)成重大挑戰(zhàn)。事實上，伴隨著“互聯(lián)網(wǎng)+”時代的蓬勃發(fā)展，形形色色的舞弊方式花樣翻新，“羊毛黨”橫行，各種刷單、刷流量、騙補貼等“薅羊毛”舞弊行為層出不窮，已然成為生態(tài)體系的頑疾。

5. 互聯(lián)網(wǎng)的開放性，使其威脅來源多樣化，更容易受到各類信息安全事故的沖擊和影響。敏感信息泄露、服務(wù)中斷、惡意網(wǎng)絡(luò)攻擊等事件高發(fā)，危及電子商務(wù)業(yè)務(wù)的正常開展。

（三）“互聯(lián)網(wǎng)+”時代的審計考慮

“互聯(lián)網(wǎng)+”時代的業(yè)務(wù)特點和審計風險，對審計工作的主體、線索類型、程序都產(chǎn)生了很大的影響，審計工作更加專業(yè)化、系統(tǒng)化，注冊會計師需要具備充分的會計審計、業(yè)務(wù)流程與內(nèi)部控制，以及信息技術(shù)領(lǐng)域的知識和技能，成長為復(fù)合型人才。在執(zhí)行審計工作時，注冊會計師需要充分關(guān)注并考慮以下事項。

首先是審計范圍的確定。如前所述，支撐“互聯(lián)網(wǎng)+”時代業(yè)務(wù)的信息系統(tǒng)龐大而繁雜，且處于頻繁的迭代更新中。被審計單位究竟部署了哪些系統(tǒng)或模塊？這些系統(tǒng)或模塊的功能是什么？系統(tǒng)或模塊之間的關(guān)聯(lián)、配合、分工情況如何？系統(tǒng)或模塊與業(yè)務(wù)流程的映射關(guān)系是怎樣的？數(shù)據(jù)流在系統(tǒng)或模塊之間的走向如何？經(jīng)過哪些處理和加工，最終生成什么信息？這些信息與企業(yè)財務(wù)報告的關(guān)系是什么？清晰的企業(yè)應(yīng)用系統(tǒng)架構(gòu)是執(zhí)行“互聯(lián)網(wǎng)+”時代審計工作的基礎(chǔ)。只有基于對被審計單位應(yīng)用系統(tǒng)架構(gòu)的了解，注冊會計師才能做出適當?shù)膶徲嫹秶袛啵沤^遺漏重要的信息系統(tǒng)或模塊。

其次是收入確認的認定。由于信息系統(tǒng)的存在，“互聯(lián)網(wǎng)+”時代的業(yè)務(wù)運作已經(jīng)實現(xiàn)電子化，并且很可能并不具備任何實物形態(tài)。因此，會計人員往往只能依據(jù)信息系統(tǒng)輸出的報表或記賬憑證進行會計核算，特別是收入確認的核算。那么，系統(tǒng)生成報表或記賬憑證的邏輯是否符合會計準則對收入確認條件的認定標準？系統(tǒng)邏輯是否根據(jù)相關(guān)會計準則的發(fā)展及時作出了調(diào)整？報表運算結(jié)果是否準確？報表記錄的輸出是否完整？這些都會直接對收入確認的認定產(chǎn)生直接影響，也應(yīng)當是注冊會計師審計系統(tǒng)輸出報表或記賬憑證時的關(guān)注點。

再次，“互聯(lián)網(wǎng)+”時代業(yè)務(wù)相關(guān)的重要會計估計也依賴于系統(tǒng)的計算輸出。比如，用戶消費積分的兌換率或使用率、網(wǎng)絡(luò)游戲玩家的平均生命周期或存續(xù)時間、在線銷售商品的退貨率等等。注冊會計師的相關(guān)審計工作，同樣離不開對系統(tǒng)邏輯和系統(tǒng)平臺的驗證。

最后，在審計抽樣的方法論層面，對于“互聯(lián)網(wǎng)+”時代業(yè)務(wù)生成的海量數(shù)據(jù)，傳統(tǒng)審計方法已力不從心。充分利用計算機輔助審計的手段與方法，一方面可以對大量運營、財務(wù)數(shù)據(jù)進行分析，識別潛在的錯報高發(fā)領(lǐng)域，甚至是舞弊線索，提高審計的針對性；另一方面，利用計算機輔助審計技術(shù)，直接對被審計單位的系統(tǒng)邏輯執(zhí)行驗算和驗證，獲取充分、適當?shù)膶徲嬜C據(jù)。

在對“互聯(lián)網(wǎng)+”時代業(yè)務(wù)的系統(tǒng)平臺執(zhí)行審計工作時，數(shù)據(jù)庫及數(shù)據(jù)接口尤為重要。

1. 關(guān)注數(shù)據(jù)庫直接數(shù)據(jù)訪問?！盎ヂ?lián)網(wǎng)+”時代的事務(wù)處理已完全實現(xiàn)電子化，甚至不具備任何實物形態(tài)。因此，被審計單位對于數(shù)據(jù)庫的管控水平就尤為重要；其中，數(shù)據(jù)庫層面的直接數(shù)據(jù)訪問具有更高的固有風險。一方面，對數(shù)據(jù)庫內(nèi)數(shù)據(jù)的直接操作，特別是更新操作，很可能直接影響被審計單位的經(jīng)營成果，并進而影響財務(wù)報告編制；另一方面，支撐電子商務(wù)業(yè)務(wù)的信息系統(tǒng)迭代更新頻率高，更容易發(fā)生因為初始化或者程序修復(fù)而執(zhí)行的數(shù)據(jù)庫數(shù)據(jù)訂正操作。因此，注冊會計師需要特別關(guān)注數(shù)據(jù)庫層面的直接數(shù)據(jù)訪問相關(guān)管控機制的設(shè)計及其執(zhí)行情況。

2. 關(guān)注企業(yè)內(nèi)外的數(shù)據(jù)接口。“互聯(lián)網(wǎng)+”時代的企業(yè)，其信息系統(tǒng)往往與價值鏈上下游的外部合作方進行對接、打通，例如各類第三方支付平臺、物流企業(yè)等等；企業(yè)內(nèi)部系統(tǒng)之間也存在眾多的數(shù)據(jù)接口，比如從運營系統(tǒng)到財務(wù)系統(tǒng)。相比傳統(tǒng)經(jīng)營模式，“互聯(lián)網(wǎng)+”時代企業(yè)的內(nèi)外的數(shù)據(jù)接口數(shù)量更多、數(shù)據(jù)時效性要求高、數(shù)據(jù)量大，這些都對系統(tǒng)間數(shù)據(jù)接口的設(shè)計、運行和管控提出了更高的要求。數(shù)據(jù)接口發(fā)生的異常，將直接導(dǎo)致不同數(shù)據(jù)源的數(shù)據(jù)產(chǎn)生不一致的情況，進而影響運營和財務(wù)報告編制。

綜上可見，“互聯(lián)網(wǎng)+”時代的審計風險是由其業(yè)務(wù)特點決定的。注冊會計師需要從其業(yè)務(wù)特點和審計風險出發(fā)，制定有針對性的審計策略，并充分利用各類先進的審計方法和工具，完成其審計工作。

二、業(yè)務(wù)外包

（一）業(yè)務(wù)外包的概念

IT業(yè)務(wù)外包就是企業(yè)將全部或部分的IT職能外包給第三方專業(yè)公司管理的一種業(yè)務(wù)模式。

由于外包業(yè)務(wù)的發(fā)展和專業(yè)機構(gòu)的日趨成熟，越來越多的企業(yè)將自身的IT相關(guān)職能部門外包給專業(yè)機構(gòu)去完成，讓專業(yè)的人做專業(yè)的事，而企業(yè)自身則集中力量發(fā)展核心業(yè)務(wù)和能力。目前存在的IT外包服務(wù)的范圍很多，例如，軟件的研發(fā)、運維、基礎(chǔ)設(shè)置管理包括存儲服務(wù)等。

（二）業(yè)務(wù)外包的優(yōu)缺點

業(yè)務(wù)外包給企業(yè)帶來的好處眾多，例如：

1.降低運營成本，實現(xiàn)資源共享、減少資源浪費；

2.得到專業(yè)公司的支持和服務(wù)，提升IT服務(wù)質(zhì)量和能力；

3.靈活敏捷的調(diào)整和應(yīng)對能力；

4.便于企業(yè)集中資源發(fā)展核心業(yè)務(wù)和能力。

業(yè)務(wù)外包也會給企業(yè)帶來一些潛在的風險，例如：

1.缺乏對外包商的直接管理導(dǎo)致的質(zhì)量風險；

2.信息安全問題和信息泄露風險。

不管企業(yè)是否采用業(yè)務(wù)外包的方式進行全部或者部分IT職能的運營，需要強調(diào)的是，和對企業(yè)非外包業(yè)務(wù)部分的內(nèi)部控制責任一樣，企業(yè)的管理層仍然需要對外包業(yè)務(wù)流程相關(guān)控制的有效性負責。

（三）對外包業(yè)務(wù)的審計考慮

根據(jù)《中國注冊會計師審計準則第1241號——對被審計單位使用服務(wù)機構(gòu)的考慮》，服務(wù)機構(gòu)提供的很多服務(wù)構(gòu)成被審計單位業(yè)務(wù)運營不可或缺的一部分，但并非所有這些服務(wù)都與審計相關(guān)。如果服務(wù)機構(gòu)提供的服務(wù)和對服務(wù)的控制，構(gòu)成被審計單位與財務(wù)報告相關(guān)的信息系統(tǒng)（包括相關(guān)業(yè)務(wù)流程）的一部分，則服務(wù)機構(gòu)提供的服務(wù)與被審計單位財務(wù)報表審計相關(guān)。

如果被審計單位的外包業(yè)務(wù)與財務(wù)報表相關(guān)，則注冊會計師需要對外包業(yè)務(wù)的性質(zhì)和對被審計單位財務(wù)報表的重要性進行了解和評估。如果評估規(guī)劃后確定外包業(yè)務(wù)相關(guān)的部分在系統(tǒng)審計范圍之內(nèi)，則注冊會計師需要執(zhí)行必要的審計程序，以獲取被審計單位與審計相關(guān)的外包業(yè)務(wù)的控制活動的有效性的審計信心。

與被審計單位自身運營部分的審計考慮一致，對于外包業(yè)務(wù)，注冊會計師也需要進行相關(guān)的審計規(guī)劃和執(zhí)行相關(guān)的審計程序：

首先，在審計規(guī)劃階段，注冊會計師需要了解被審計單位在經(jīng)營中如何利用服務(wù)機構(gòu)提供的服務(wù)，包括：

1.服務(wù)機構(gòu)提供的服務(wù)的性質(zhì)，以及該服務(wù)對被審計單位的重要性，包括由此對被審計單位內(nèi)部控制產(chǎn)生的影響；

2.由服務(wù)機構(gòu)處理的交易、受服務(wù)機構(gòu)影響的賬戶或財務(wù)報告過程的性質(zhì)和重要性；

3.服務(wù)機構(gòu)與被審計單位之間活動的相互影響程度；

4.被審計單位與服務(wù)機構(gòu)關(guān)系的性質(zhì)，包括服務(wù)機構(gòu)與被審計單位就提供服務(wù)訂立的相關(guān)合同條款。

企業(yè)外包業(yè)務(wù)的性質(zhì)和范圍可能千差萬別，目前比較常見的外包方式如：

1.數(shù)據(jù)中心功能外包，如云存儲和云服務(wù)；

2.系統(tǒng)外包，如使用第三方公司統(tǒng)一開發(fā)和運維的平臺電子商務(wù)系統(tǒng)；

3.信息技術(shù)職能外包，如利用成熟軟件開發(fā)商進行程序開發(fā)或變更服務(wù)等。

在審計規(guī)劃階段，注冊會計師需要明確企業(yè)外包的性質(zhì)和內(nèi)容，不同的外包方式和內(nèi)容所帶來的相關(guān)審計風險也不盡相同。只有準確了解外包服務(wù)本身，才能為正確制定和執(zhí)行審計程序提供基礎(chǔ)。

其次，注冊會計師需要評估被審計單位與審計相關(guān)的外包業(yè)務(wù)內(nèi)部控制的設(shè)計及執(zhí)行有效性以及數(shù)據(jù)的正確性。通常情況下，注冊會計師可以通過如下途徑和方法獲取相關(guān)的審計信心：

1.了解管理層如何確保相關(guān)外包業(yè)務(wù)的有效性；

2.獲得被審計單位授權(quán)，對審計范圍內(nèi)的外包對象和內(nèi)容執(zhí)行審計程序；

3.獲取并審閱外包業(yè)務(wù)的內(nèi)部審計報告或第三方鑒證報告。

（四）對第三方鑒證報告的審計考慮

目前國際上比較通用的第三方鑒證報告是依據(jù)國際審計與鑒證準則理事會（IAASB）發(fā)布的國際鑒證業(yè)務(wù)標準（International Standard on Assurance Engagements No.3402）出具的鑒證報告。

鑒證報告一般分別兩種類型，第一類和第二類。簡單來說：

1.第一類報告：對被審計服務(wù)機構(gòu)的內(nèi)部控制的設(shè)計有效性發(fā)表鑒證意見；

2.第二類報告：對被審計服務(wù)機構(gòu)的內(nèi)部控制的設(shè)計及執(zhí)行有效性發(fā)表鑒證意見。

通常情況下，注冊會計師需要獲取第二類的鑒證報告才有可能獲得相關(guān)的足夠的審計信心。對于獲取的第三方鑒證報告，注冊會計師需要執(zhí)行以下工作以驗證相關(guān)外包業(yè)務(wù)控制的有效性和數(shù)據(jù)的正確性：

1.確認鑒證報告的類型是否符合要求；

2.查看鑒證報告的測試范圍，確認是否能滿足審計范圍的要求；

3.查看鑒證報告的測試程序，確定執(zhí)行的程序是否足夠；

4.查看審計報告的結(jié)果，評估影響。

在審計過程中，注冊會計師可能會發(fā)現(xiàn)，部分美國公司出具的是符合美國AICPA發(fā)布的SSAE16標準的SOC報告。注冊會計師也可以獲得SOC1報告的第二類報告，并根據(jù)以上的4步驟執(zhí)行相關(guān)的評估工作。需要說明的是，SOC1報告是對服務(wù)機構(gòu)的內(nèi)部控制發(fā)表的鑒證意見，這些內(nèi)部控制會對服務(wù)使用企業(yè)的財務(wù)報表內(nèi)部控制（ICFR）產(chǎn)生直接影響。SOC1不會對服務(wù)使用企業(yè)非財報相關(guān)控制發(fā)表意見。

總之，注冊會計師在執(zhí)行業(yè)務(wù)外包相關(guān)的審計工作時，需要充分了解外包服務(wù)的性質(zhì)和對被審計單位的財務(wù)報表的重要性，識別相關(guān)風險，根據(jù)企業(yè)實際情況，作出準確靈活應(yīng)對。

三、云計算

（一）云計算的概念

云計算作為一種獨特的IT服務(wù)模式，改變了傳統(tǒng)IT資源利用效率低下、擴展性差、系統(tǒng)可靠性低等弊端。云計算安全聯(lián)盟（Cloud Security Alliance）對云計算進行了如下定義：

“云計算的本質(zhì)是一種服務(wù)提供模型，通過這種模型可以隨時、隨地、按需地通過網(wǎng)絡(luò)訪問共享資源池的資源，這個資源池的內(nèi)容包括計算資源、網(wǎng)絡(luò)資源、存儲資源等，這些資源能夠被動態(tài)地分配和調(diào)整，在不同用戶之間靈活地劃分。凡是符合這些特征的IT服務(wù)都可以稱為云計算服務(wù)?！?/p>

（二）云計算的分類

云計算按照部署模式可以分為公有云、私有云、和社區(qū)云。這些云計算部署模式的區(qū)別在于服務(wù)的對象和目標不同。

1.公有云一般由云服務(wù)提供商搭建，主要的服務(wù)對象是公眾。

2.私有云部署在企業(yè)數(shù)據(jù)中心的防火墻內(nèi)或者一個安全的主機托管場所，不對企業(yè)外部的用戶提供服務(wù)，私有云的核心屬性是專屬資源。

3.混合云則是上述兩種的綜合。

云計算按照服務(wù)的提供方式，可以劃分為基礎(chǔ)架構(gòu)即服務(wù)（Infrastructure as a Service,IaaS）、平臺即服務(wù)（Platform as a Service, PaaS）和軟件即服務(wù)（Software as a Service, SaaS）。

1.IaaS：通過虛擬化技術(shù)將計算、存儲、網(wǎng)絡(luò)資源提供給用戶，用戶無需再自行購置、維護這些硬件設(shè)施。

2.PaaS：除了基礎(chǔ)架構(gòu)以外，還包括了運行環(huán)境的搭建，并通過網(wǎng)絡(luò)提供給用戶。用戶只需專注業(yè)務(wù)系統(tǒng)的開發(fā)和運營，而無需分心運行環(huán)境的維護。

3.SaaS：從基礎(chǔ)架構(gòu)到軟件應(yīng)用打包提供給用戶，用戶只需通過Web瀏覽器即可使用云計算平臺上的軟件服務(wù)，產(chǎn)生的數(shù)據(jù)直接存儲在云端。

（三）云計算的特性

與傳統(tǒng)IT系統(tǒng)相比，云計算具有5大特性：

1.通過網(wǎng)絡(luò)提供服務(wù)：云計算的服務(wù)提供方式即是通過網(wǎng)絡(luò)（無論是公共網(wǎng)絡(luò)還是企業(yè)私有網(wǎng)絡(luò)）。與傳統(tǒng)IT受到地理位置的約束相比，云計算打破了這種限制，只要有網(wǎng)絡(luò)就可訪問。

2.資源池：計算、存儲、網(wǎng)絡(luò)資源不再以傳統(tǒng)的IT硬件形式提供，而是集中起來作為一個統(tǒng)一的資源池進行調(diào)度和分配給多個用戶。用戶在使用資源時，無需關(guān)心資源實際的物理位置，只需要請求所需要的資源規(guī)格即可。

3.資源的彈性調(diào)度：各類資源可根據(jù)用戶的實際需要隨時進行迅速的擴展或縮減，而這種資源的伸縮并不會中斷業(yè)務(wù)，也不會導(dǎo)致數(shù)據(jù)的丟失。與傳統(tǒng)IT在進行資源擴容時動輒需要進行復(fù)雜的測試和遷移相比，利用云計算技術(shù)用戶完全可以根據(jù)業(yè)務(wù)的實際負載進行靈活地調(diào)配。

4.自助式服務(wù)：用戶通過自助方式獲取期望的服務(wù)內(nèi)容，包括服務(wù)種類、規(guī)格、數(shù)量、服務(wù)時間等，無需和云服務(wù)提供商交互。而傳統(tǒng)IT則需要一個漫長的需求討論和確認過程，溝通成本較高。

5.可計價的服務(wù)：在云計算模式下，用戶使用的云計算服務(wù)可以通過量化指標計算出來。在公有云模式下，云服務(wù)提供商以此作為計費的依據(jù)。在私有云模式下，云管理者可以根據(jù)監(jiān)控指標對后臺資源進行調(diào)整和優(yōu)化。

（四）云計算的安全威脅

由于上述云計算的特點，企業(yè)如果使用了云計算技術(shù)，在享受成本降低、業(yè)務(wù)擴展性提升的同時，也需要從安全控制方面思考如何更好地管控云計算給企業(yè)業(yè)務(wù)流程帶來的變革。云計算客戶的注冊會計師在進行系統(tǒng)審計時，不僅要關(guān)注傳統(tǒng)的系統(tǒng)審計風險，還需要重點關(guān)注以下幾類云計算特有的風險點。

1.租戶隔離：除了少數(shù)云計算產(chǎn)品外，在大多數(shù)情況下各個云租戶是共享計算、存儲、網(wǎng)絡(luò)資源的。如果沒有有效的租戶間隔離控制，很有可能會發(fā)生一個租戶非法訪問其他租戶的資源，造成租戶重要數(shù)據(jù)的泄露或者服務(wù)的中斷等后果。

2.權(quán)限控制：與傳統(tǒng)系統(tǒng)的控制權(quán)完全由企業(yè)掌握不同，在云計算環(huán)境下，運營商擁有超級用戶權(quán)限，因此理論上運營商有權(quán)限可以訪問用戶數(shù)據(jù)（盡管運營商一般都會嚴格限制運維人員訪問用戶數(shù)據(jù)）。如果企業(yè)需要在云計算平臺上存放敏感程度較高的數(shù)據(jù)，可以在衡量安全和性能的影響以后，在業(yè)務(wù)系統(tǒng)側(cè)進行數(shù)據(jù)加密以后再上傳至云平臺。

3.殘留數(shù)據(jù)：由于云租戶的數(shù)據(jù)大量存放在云平臺上，當用戶退出云服務(wù)時（即下云），如果殘留數(shù)據(jù)（包括云上的生產(chǎn)數(shù)據(jù)、備份數(shù)據(jù)、日志等）沒有得到徹底的清除，那么存儲空間經(jīng)回收再分配給其他租戶時，就會存在數(shù)據(jù)泄露的風險。

4.網(wǎng)絡(luò)安全：在公有云環(huán)境下，用戶與云平臺的交互通過公有網(wǎng)絡(luò)實現(xiàn)。與傳統(tǒng)系統(tǒng)在企業(yè)內(nèi)部局域網(wǎng)內(nèi)提供服務(wù)不同，公有網(wǎng)絡(luò)的安全性較低，企業(yè)時刻需要關(guān)注網(wǎng)絡(luò)傳輸過程的保密性和完整性。

5. 可用性：云計算系統(tǒng)的可用性主要依賴云服務(wù)提供商自身的可用性能力。如果云服務(wù)提供商受到DDOS等攻擊造成服務(wù)中斷，或是機房、網(wǎng)絡(luò)等關(guān)鍵節(jié)點出現(xiàn)意外事故，可能會導(dǎo)致服務(wù)的中斷，影響企業(yè)用戶的正常運行。近年來層出不窮的云服務(wù)提供商服務(wù)中斷新聞更是給所有用戶敲響了警鐘。

（五）云計算對注冊會計師的影響

隨著使用云計算技術(shù)的企業(yè)越來越普遍，云計算已經(jīng)成為系統(tǒng)審計師需要經(jīng)常面對的一個事物了。云計算對于注冊會計師的影響主要體現(xiàn)在兩個方面：

1.審計范圍：企業(yè)如果使用了云計算技術(shù)，意味著必然有一部分IT職能“外包”給了云服務(wù)提供商。如何確定企業(yè)和云服務(wù)提供商之間的責任界限，以及是否需要對云服務(wù)提供商的內(nèi)部控制進行延伸審計，成為了注冊會計師在制定審計計劃、確定審計范圍時需要考慮的問題。

2.知識技能：IT始終是變化演進最為迅速的一個產(chǎn)業(yè)，注冊會計師也需要時刻保持知識技能的豐富和更新，才能與時俱進，提供優(yōu)秀的服務(wù)質(zhì)量。

表1 傳統(tǒng)IT系統(tǒng)與應(yīng)用區(qū)塊鏈技術(shù)的系統(tǒng)對比

表2 三種區(qū)塊鏈類型的特點

四、區(qū)塊鏈

（一）區(qū)塊鏈的概念和特點

區(qū)塊鏈是一種綜合了分布式數(shù)據(jù)存儲、點對點傳輸、共識機制、加密算法等IT技術(shù)的應(yīng)用模式。從設(shè)計思想上區(qū)塊鏈技術(shù)（特別是公有鏈）期望實現(xiàn)以下特點：

1.信息不可篡改，永久留下記錄，有效保證了數(shù)據(jù)的真實性和完整性。

2.去中心化體系，通過共識機制每個節(jié)點會驗證和更新交易數(shù)據(jù)，替代了傳統(tǒng)IT依賴中心化機構(gòu)進行記賬的模式。

3.數(shù)據(jù)可靠性較高，少數(shù)節(jié)點故障不會影響系統(tǒng)的正常運行，且所有節(jié)點通過共識算法保證數(shù)據(jù)的一致性。

表1匯總了傳統(tǒng)IT系統(tǒng)與應(yīng)用區(qū)塊鏈技術(shù)后的系統(tǒng)的對比。

（二）區(qū)塊鏈在企業(yè)中的應(yīng)用

目前企業(yè)對于區(qū)塊鏈技術(shù)的應(yīng)用很難完全做到像公有鏈那樣完全去中心化，更多的是考慮采用私有鏈或者聯(lián)盟鏈的形式。與公有鏈相比，私有鏈和聯(lián)盟鏈將區(qū)塊鏈的部分技術(shù)特性和商業(yè)應(yīng)用場景相結(jié)合，成為一種新型的應(yīng)用系統(tǒng)模式。

因此，如果企業(yè)采用聯(lián)盟鏈或者私有鏈的方式搭建IT系統(tǒng)環(huán)境，可能會存在如下風險：

1.相比公有鏈，聯(lián)盟鏈或者私有鏈的節(jié)點數(shù)量有限，無法做到完全的去中心化，因此依然存在大多數(shù)節(jié)點被一方控制的可能性，影響鏈上數(shù)據(jù)的可信性。

2.不同的鏈上用戶具有不同的系統(tǒng)訪問權(quán)限，可能存在像傳統(tǒng)IT系統(tǒng)類似的因權(quán)限管控不當而導(dǎo)致數(shù)據(jù)泄露的風險。

圖1 區(qū)塊鏈對審計職能的影響

3.在聯(lián)盟鏈環(huán)境下，鏈上成員可能會擔心上傳到鏈上的數(shù)據(jù)的機密性。

由于上述區(qū)塊鏈技術(shù)特征，從系統(tǒng)安全和控制的角度，企業(yè)使用區(qū)塊鏈技術(shù)后需要考慮以下幾點：

1.權(quán)限管理，由于區(qū)塊鏈技術(shù)是公開透明且匿名，所有參與方在區(qū)塊鏈中通過加密ID進行標識，因此對鏈上不同參與方應(yīng)當進行不同的訪問權(quán)限的設(shè)置，保證信息的安全不泄露；

2.智能合約審計，智能合約是應(yīng)用區(qū)塊鏈技術(shù)的一種程序，一旦條件符合，就會自動運行智能合約，因此智能合約在生成之前，應(yīng)當進行代碼審計和功能性驗證，加強區(qū)塊鏈可編程應(yīng)用的代碼質(zhì)量管控，定期進行安全審計和漏洞檢測，保證程序代碼健壯性；

3.區(qū)塊鏈性能監(jiān)控，區(qū)塊鏈由多節(jié)點組成，同一區(qū)塊可能在不同時間到達不同節(jié)點，不同節(jié)點的共識算法版本難以保持一致，在達成交易共識過程中易發(fā)生區(qū)塊鏈分叉，導(dǎo)致交易回滾風險，因此需要監(jiān)控區(qū)塊鏈性能以確保整個系統(tǒng)的運行平穩(wěn)；

當然區(qū)塊鏈技術(shù)并非顛覆傳統(tǒng)系統(tǒng)，而是優(yōu)化傳統(tǒng)系統(tǒng)；對于企業(yè)而言，可以通過在傳統(tǒng)的系統(tǒng)上增加區(qū)塊鏈相關(guān)接口，加強去中心化、安全、可信的數(shù)據(jù)環(huán)境；也可以進行企業(yè)流程改造，直接使用基于區(qū)塊鏈的系統(tǒng)。

（三）區(qū)塊鏈對企業(yè)業(yè)務(wù)流程的改變

區(qū)塊鏈技術(shù)能夠提供完整且無需第三方的驗證，建立了一個去中心化的生態(tài)圈，在企業(yè)之間、企業(yè)與政府機構(gòu)之間、企業(yè)與審計機構(gòu)之間節(jié)省大量的驗證成本，共享信息，既能保證信息的完整不可篡改，也不必擔心數(shù)據(jù)丟失。

例如，對于海關(guān)和質(zhì)檢機構(gòu)，原本在貨物入關(guān)和質(zhì)檢的每個環(huán)節(jié)都需要提供運單、合同、商業(yè)發(fā)票、訂單明細、原產(chǎn)地證明、合格證、標簽申檢編號、報關(guān)單等各種報關(guān)文檔，但是各個系統(tǒng)之間不兼容，也不關(guān)聯(lián)，因此數(shù)據(jù)的流轉(zhuǎn)成為一個障礙。利用基于區(qū)塊鏈的系統(tǒng)之后，每一相關(guān)方通過授權(quán)獲取相應(yīng)的數(shù)據(jù)文檔，通過接口將各自系統(tǒng)與區(qū)塊鏈系統(tǒng)服務(wù)器相連，保證每一個相關(guān)方獲取的都是相同的信息，還原原始數(shù)據(jù)。

（四）區(qū)塊鏈對審計機構(gòu)帶來的影響

區(qū)塊鏈在增加社會協(xié)同效應(yīng)的同時，也悄然改變了不同機構(gòu)的職能作用和工作方式，幫助建立了信任機制。例如，在審計職能方面，可能發(fā)生的變化如圖1所示。

審計機構(gòu)也可以通過建立區(qū)塊鏈審計模型，例如數(shù)據(jù)收集、校驗記錄、記賬或者提供異常報告，改變傳統(tǒng)的審計模式。