行業(yè)信息化專題

編者按

在信息化環(huán)境下，企業(yè)運用信息技術(shù)編制財務(wù)報表，設(shè)計和執(zhí)行內(nèi)部控制。注冊會計師在對企業(yè)的財務(wù)報表進(jìn)行審計時，必須考慮信息技術(shù)的影響。同時，信息化也對注冊會計師的審計技術(shù)和方法帶來革命性變化。為了幫助注冊會計師應(yīng)對信息化帶來的挑戰(zhàn)，中國注冊會計師協(xié)會資助普華永道中天會計師事務(wù)所研究編寫了《財務(wù)報表審計中對信息系統(tǒng)的考慮》一書，已由中國財政經(jīng)濟(jì)出版社出版。本刊約請作者加以摘編，分期連載，以饗讀者。

一、“互聯(lián)網(wǎng)+”時代的挑戰(zhàn)

（一）“互聯(lián)網(wǎng)+”時代的發(fā)展趨勢

通俗來說，“互聯(lián)網(wǎng)+”就是“互聯(lián)網(wǎng)+各個傳統(tǒng)行業(yè)”，但這并不是簡單的相加，而是利用信息通信技術(shù)以及互聯(lián)網(wǎng)平臺，讓互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)進(jìn)行深度融合，創(chuàng)造新的發(fā)展生態(tài)，從而推動互聯(lián)網(wǎng)由消費領(lǐng)域向生產(chǎn)領(lǐng)域拓展，加速提升產(chǎn)業(yè)發(fā)展水平，增強(qiáng)各行業(yè)創(chuàng)新能力，構(gòu)筑經(jīng)濟(jì)社會發(fā)展新優(yōu)勢和新動能。它代表一種新的經(jīng)濟(jì)增長形態(tài)，即充分發(fā)揮互聯(lián)網(wǎng)在生產(chǎn)要素配置中的優(yōu)化和集成作用，將互聯(lián)網(wǎng)的創(chuàng)新成果深度融合于經(jīng)濟(jì)社會各領(lǐng)域之中，提升實體經(jīng)濟(jì)的創(chuàng)新力和生產(chǎn)力，形成更廣泛的以互聯(lián)網(wǎng)為基礎(chǔ)設(shè)施和實現(xiàn)工具的經(jīng)濟(jì)發(fā)展模式。

蓬勃發(fā)展的信息通信技術(shù)及互聯(lián)網(wǎng)平臺的應(yīng)用，正在以前所未有的速度和方式挑戰(zhàn)、改造甚至顛覆傳統(tǒng)的商業(yè)經(jīng)營運作模式，為全社會信息共享和信息協(xié)作提供了無限空間。在信息科技浪潮的帶動下，傳統(tǒng)企業(yè)紛紛“觸網(wǎng)”、“觸電”，在線上開展業(yè)務(wù)，紛紛利用“互聯(lián)網(wǎng)+”時代的技術(shù)進(jìn)步成果探索各自所在領(lǐng)域的垂直應(yīng)用并實踐創(chuàng)新；與此同時，“互聯(lián)網(wǎng)+”時代還催生了一大批第三方服務(wù)企業(yè)，即各類平臺服務(wù)商；他們本身并不直接生產(chǎn)商品或提供服務(wù)，而是專注于線上與線下的協(xié)作，實現(xiàn)供需雙方的對接，并通過各類增值服務(wù)實現(xiàn)盈利。

區(qū)別于傳統(tǒng)的商業(yè)經(jīng)營運作模式，“互聯(lián)網(wǎng)+”時代的技術(shù)和應(yīng)用具有非常鮮明的特點，主要體現(xiàn)在以下幾點：

1.業(yè)務(wù)發(fā)展迅速且變化快。作為典型的受技術(shù)進(jìn)步驅(qū)動、引領(lǐng)的商業(yè)經(jīng)營運作模式，技術(shù)的進(jìn)步不僅創(chuàng)造了用戶需求，還在很大程度上確定了商業(yè)的規(guī)則。因此，業(yè)務(wù)模式的頻繁迭代試錯、顛覆性的變革，以及業(yè)務(wù)量的爆發(fā)式增長已成為常態(tài)。

2.線上業(yè)務(wù)交易量巨大。特別是零售類的在線電子商務(wù)平臺，具備一定性價比的標(biāo)準(zhǔn)化產(chǎn)品或服務(wù)是理想交易對象。因此，“觸網(wǎng)”的業(yè)務(wù)體量巨大，增長迅猛。

3.高度依賴信息技術(shù)，包括高度定制化的信息系統(tǒng)?！盎ヂ?lián)網(wǎng)+”時代業(yè)務(wù)的開展，完全無法離開信息技術(shù)和信息系統(tǒng)的支撐。對于眾多傳統(tǒng)企業(yè)而言，開展線上業(yè)務(wù)的嘗試往往需要對其現(xiàn)有的傳統(tǒng)信息系統(tǒng)（如ERP系統(tǒng)）進(jìn)行數(shù)據(jù)接口改造；如果來自線上業(yè)務(wù)的流量巨大，那么信息技術(shù)基礎(chǔ)設(shè)施也有必要進(jìn)行升級。對于互聯(lián)網(wǎng)行業(yè)企業(yè)而言，則意味著量身定制自己的信息系統(tǒng)。事實上，互聯(lián)網(wǎng)企業(yè)多數(shù)自行建設(shè)核心業(yè)務(wù)系統(tǒng)，而非從外部購買現(xiàn)成的套裝軟件。

4.企業(yè)的業(yè)務(wù)運營和經(jīng)營結(jié)果完全數(shù)字化，且未必具備實物形態(tài)。特別是對從事服務(wù)類業(yè)務(wù)的企業(yè)，例如網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)廣告投放等，其資產(chǎn)、負(fù)債、收入、成本等經(jīng)營結(jié)果等往往不存在與之對應(yīng)的實物形態(tài)，完全依賴信息系統(tǒng)中的記錄和輸出。

5.企業(yè)經(jīng)營突破時間和空間的束縛，開放程度更高?；ヂ?lián)網(wǎng)的便利性要求企業(yè)向消費者、合作伙伴開放更多的信息，營造生態(tài)體系。這勢必影響企業(yè)的管理、流程、系統(tǒng)架構(gòu)以及基礎(chǔ)設(shè)施。

（二）“互聯(lián)網(wǎng)+”時代的信息系統(tǒng)審計風(fēng)險

與傳統(tǒng)的商業(yè)經(jīng)營運作模式相比，“觸網(wǎng)”、“觸電”給企業(yè)帶來的影響是根本性的。注冊會計師有必要充分了解、評估這些“互聯(lián)網(wǎng)+”時代的特性對被審計單位自身業(yè)務(wù)開展和財務(wù)報告編制的影響，并思考“互聯(lián)網(wǎng)+”時代特有的信息系統(tǒng)審計風(fēng)險。

結(jié)合“互聯(lián)網(wǎng)+”時代的業(yè)務(wù)特點，其特有的信息系統(tǒng)審計風(fēng)險考慮可以概括為以下幾點：

1.業(yè)務(wù)發(fā)展快，變革調(diào)整大，信息系統(tǒng)迭代頻繁，其開發(fā)、變更、系統(tǒng)處理邏輯出現(xiàn)差錯等方面的固有風(fēng)險水平較高。例如各種折扣、會員積分、虛擬等價物、促銷方式、合作渠道，交易、核算場景豐富，邏輯復(fù)雜，內(nèi)外對接要求高。

2.與傳統(tǒng)經(jīng)營方式相比，“互聯(lián)網(wǎng)+”時代的業(yè)務(wù)交易產(chǎn)生的數(shù)據(jù)量極大。對于海量的業(yè)務(wù)運營數(shù)據(jù)，如果使用傳統(tǒng)的抽樣方法進(jìn)行審計，那么檢查風(fēng)險勢必顯著升高。

3.業(yè)務(wù)核算高度依賴信息系統(tǒng)，而信息系統(tǒng)處理邏輯往往非常復(fù)雜且具有不可見性。例如，網(wǎng)絡(luò)廣告的投放業(yè)務(wù)，通常根據(jù)用戶端的點擊或廣告曝光展現(xiàn)的數(shù)據(jù)進(jìn)行廣告投放收入的確認(rèn)。這些信息都由信息系統(tǒng)自動采集、記錄，并經(jīng)過反作弊引擎的分析、判定和修正，財務(wù)人員往往只是根據(jù)系統(tǒng)輸出的報表或記賬憑證進(jìn)行會計處理。這對注冊會計師的知識結(jié)構(gòu)、審計方法和審計工具構(gòu)成重大挑戰(zhàn)，檢查風(fēng)險顯著升高。

4.事務(wù)處理完全電子化，甚至不具備任何實物形態(tài)，這對交易真實性、存在性的驗證構(gòu)成重大挑戰(zhàn)。事實上，伴隨著“互聯(lián)網(wǎng)+”時代的蓬勃發(fā)展，形形色色的舞弊方式花樣翻新，“羊毛黨”橫行，各種刷單、刷流量、騙補(bǔ)貼等“薅羊毛”舞弊行為層出不窮，已然成為生態(tài)體系的頑疾。

5. 互聯(lián)網(wǎng)的開放性，使其威脅來源多樣化，更容易受到各類信息安全事故的沖擊和影響。敏感信息泄露、服務(wù)中斷、惡意網(wǎng)絡(luò)攻擊等事件高發(fā)，危及電子商務(wù)業(yè)務(wù)的正常開展。

（三）“互聯(lián)網(wǎng)+”時代的審計考慮

“互聯(lián)網(wǎng)+”時代的業(yè)務(wù)特點和審計風(fēng)險，對審計工作的主體、線索類型、程序都產(chǎn)生了很大的影響，審計工作更加專業(yè)化、系統(tǒng)化，注冊會計師需要具備充分的會計審計、業(yè)務(wù)流程與內(nèi)部控制，以及信息技術(shù)領(lǐng)域的知識和技能，成長為復(fù)合型人才。在執(zhí)行審計工作時，注冊會計師需要充分關(guān)注并考慮以下事項。

首先是審計范圍的確定。如前所述，支撐“互聯(lián)網(wǎng)+”時代業(yè)務(wù)的信息系統(tǒng)龐大而繁雜，且處于頻繁的迭代更新中。被審計單位究竟部署了哪些系統(tǒng)或模塊？這些系統(tǒng)或模塊的功能是什么？系統(tǒng)或模塊之間的關(guān)聯(lián)、配合、分工情況如何？系統(tǒng)或模塊與業(yè)務(wù)流程的映射關(guān)系是怎樣的？數(shù)據(jù)流在系統(tǒng)或模塊之間的走向如何？經(jīng)過哪些處理和加工，最終生成什么信息？這些信息與企業(yè)財務(wù)報告的關(guān)系是什么？清晰的企業(yè)應(yīng)用系統(tǒng)架構(gòu)是執(zhí)行“互聯(lián)網(wǎng)+”時代審計工作的基礎(chǔ)。只有基于對被審計單位應(yīng)用系統(tǒng)架構(gòu)的了解，注冊會計師才能做出適當(dāng)?shù)膶徲嫹秶袛?，杜絕遺漏重要的信息系統(tǒng)或模塊。

其次是收入確認(rèn)的認(rèn)定。由于信息系統(tǒng)的存在，“互聯(lián)網(wǎng)+”時代的業(yè)務(wù)運作已經(jīng)實現(xiàn)電子化，并且很可能并不具備任何實物形態(tài)。因此，會計人員往往只能依據(jù)信息系統(tǒng)輸出的報表或記賬憑證進(jìn)行會計核算，特別是收入確認(rèn)的核算。那么，系統(tǒng)生成報表或記賬憑證的邏輯是否符合會計準(zhǔn)則對收入確認(rèn)條件的認(rèn)定標(biāo)準(zhǔn)？系統(tǒng)邏輯是否根據(jù)相關(guān)會計準(zhǔn)則的發(fā)展及時作出了調(diào)整？報表運算結(jié)果是否準(zhǔn)確？報表記錄的輸出是否完整？這些都會直接對收入確認(rèn)的認(rèn)定產(chǎn)生直接影響，也應(yīng)當(dāng)是注冊會計師審計系統(tǒng)輸出報表或記賬憑證時的關(guān)注點。

再次，“互聯(lián)網(wǎng)+”時代業(yè)務(wù)相關(guān)的重要會計估計也依賴于系統(tǒng)的計算輸出。比如，用戶消費積分的兌換率或使用率、網(wǎng)絡(luò)游戲玩家的平均生命周期或存續(xù)時間、在線銷售商品的退貨率等等。注冊會計師的相關(guān)審計工作，同樣離不開對系統(tǒng)邏輯和系統(tǒng)平臺的驗證。

最后，在審計抽樣的方法論層面，對于“互聯(lián)網(wǎng)+”時代業(yè)務(wù)生成的海量數(shù)據(jù)，傳統(tǒng)審計方法已力不從心。充分利用計算機(jī)輔助審計的手段與方法，一方面可以對大量運營、財務(wù)數(shù)據(jù)進(jìn)行分析，識別潛在的錯報高發(fā)領(lǐng)域，甚至是舞弊線索，提高審計的針對性；另一方面，利用計算機(jī)輔助審計技術(shù)，直接對被審計單位的系統(tǒng)邏輯執(zhí)行驗算和驗證，獲取充分、適當(dāng)?shù)膶徲嬜C據(jù)。

在對“互聯(lián)網(wǎng)+”時代業(yè)務(wù)的系統(tǒng)平臺執(zhí)行審計工作時，數(shù)據(jù)庫及數(shù)據(jù)接口尤為重要。

1. 關(guān)注數(shù)據(jù)庫直接數(shù)據(jù)訪問?！盎ヂ?lián)網(wǎng)+”時代的事務(wù)處理已完全實現(xiàn)電子化，甚至不具備任何實物形態(tài)。因此，被審計單位對于數(shù)據(jù)庫的管控水平就尤為重要；其中，數(shù)據(jù)庫層面的直接數(shù)據(jù)訪問具有更高的固有風(fēng)險。一方面，對數(shù)據(jù)庫內(nèi)數(shù)據(jù)的直接操作，特別是更新操作，很可能直接影響被審計單位的經(jīng)營成果，并進(jìn)而影響財務(wù)報告編制；另一方面，支撐電子商務(wù)業(yè)務(wù)的信息系統(tǒng)迭代更新頻率高，更容易發(fā)生因為初始化或者程序修復(fù)而執(zhí)行的數(shù)據(jù)庫數(shù)據(jù)訂正操作。因此，注冊會計師需要特別關(guān)注數(shù)據(jù)庫層面的直接數(shù)據(jù)訪問相關(guān)管控機(jī)制的設(shè)計及其執(zhí)行情況。

2. 關(guān)注企業(yè)內(nèi)外的數(shù)據(jù)接口?！盎ヂ?lián)網(wǎng)+”時代的企業(yè)，其信息系統(tǒng)往往與價值鏈上下游的外部合作方進(jìn)行對接、打通，例如各類第三方支付平臺、物流企業(yè)等等；企業(yè)內(nèi)部系統(tǒng)之間也存在眾多的數(shù)據(jù)接口，比如從運營系統(tǒng)到財務(wù)系統(tǒng)。相比傳統(tǒng)經(jīng)營模式，“互聯(lián)網(wǎng)+”時代企業(yè)的內(nèi)外的數(shù)據(jù)接口數(shù)量更多、數(shù)據(jù)時效性要求高、數(shù)據(jù)量大，這些都對系統(tǒng)間數(shù)據(jù)接口的設(shè)計、運行和管控提出了更高的要求。數(shù)據(jù)接口發(fā)生的異常，將直接導(dǎo)致不同數(shù)據(jù)源的數(shù)據(jù)產(chǎn)生不一致的情況，進(jìn)而影響運營和財務(wù)報告編制。

綜上可見，“互聯(lián)網(wǎng)+”時代的審計風(fēng)險是由其業(yè)務(wù)特點決定的。注冊會計師需要從其業(yè)務(wù)特點和審計風(fēng)險出發(fā)，制定有針對性的審計策略，并充分利用各類先進(jìn)的審計方法和工具，完成其審計工作。

二、業(yè)務(wù)外包

（一）業(yè)務(wù)外包的概念

IT業(yè)務(wù)外包就是企業(yè)將全部或部分的IT職能外包給第三方專業(yè)公司管理的一種業(yè)務(wù)模式。

由于外包業(yè)務(wù)的發(fā)展和專業(yè)機(jī)構(gòu)的日趨成熟，越來越多的企業(yè)將自身的IT相關(guān)職能部門外包給專業(yè)機(jī)構(gòu)去完成，讓專業(yè)的人做專業(yè)的事，而企業(yè)自身則集中力量發(fā)展核心業(yè)務(wù)和能力。目前存在的IT外包服務(wù)的范圍很多，例如，軟件的研發(fā)、運維、基礎(chǔ)設(shè)置管理包括存儲服務(wù)等。

（二）業(yè)務(wù)外包的優(yōu)缺點

業(yè)務(wù)外包給企業(yè)帶來的好處眾多，例如：

1.降低運營成本，實現(xiàn)資源共享、減少資源浪費；

2.得到專業(yè)公司的支持和服務(wù)，提升IT服務(wù)質(zhì)量和能力；

3.靈活敏捷的調(diào)整和應(yīng)對能力；

4.便于企業(yè)集中資源發(fā)展核心業(yè)務(wù)和能力。

業(yè)務(wù)外包也會給企業(yè)帶來一些潛在的風(fēng)險，例如：

1.缺乏對外包商的直接管理導(dǎo)致的質(zhì)量風(fēng)險；

2.信息安全問題和信息泄露風(fēng)險。

不管企業(yè)是否采用業(yè)務(wù)外包的方式進(jìn)行全部或者部分IT職能的運營，需要強(qiáng)調(diào)的是，和對企業(yè)非外包業(yè)務(wù)部分的內(nèi)部控制責(zé)任一樣，企業(yè)的管理層仍然需要對外包業(yè)務(wù)流程相關(guān)控制的有效性負(fù)責(zé)。

（三）對外包業(yè)務(wù)的審計考慮

根據(jù)《中國注冊會計師審計準(zhǔn)則第1241號——對被審計單位使用服務(wù)機(jī)構(gòu)的考慮》，服務(wù)機(jī)構(gòu)提供的很多服務(wù)構(gòu)成被審計單位業(yè)務(wù)運營不可或缺的一部分，但并非所有這些服務(wù)都與審計相關(guān)。如果服務(wù)機(jī)構(gòu)提供的服務(wù)和對服務(wù)的控制，構(gòu)成被審計單位與財務(wù)報告相關(guān)的信息系統(tǒng)（包括相關(guān)業(yè)務(wù)流程）的一部分，則服務(wù)機(jī)構(gòu)提供的服務(wù)與被審計單位財務(wù)報表審計相關(guān)。

如果被審計單位的外包業(yè)務(wù)與財務(wù)報表相關(guān)，則注冊會計師需要對外包業(yè)務(wù)的性質(zhì)和對被審計單位財務(wù)報表的重要性進(jìn)行了解和評估。如果評估規(guī)劃后確定外包業(yè)務(wù)相關(guān)的部分在系統(tǒng)審計范圍之內(nèi)，則注冊會計師需要執(zhí)行必要的審計程序，以獲取被審計單位與審計相關(guān)的外包業(yè)務(wù)的控制活動的有效性的審計信心。

與被審計單位自身運營部分的審計考慮一致，對于外包業(yè)務(wù)，注冊會計師也需要進(jìn)行相關(guān)的審計規(guī)劃和執(zhí)行相關(guān)的審計程序：

首先，在審計規(guī)劃階段，注冊會計師需要了解被審計單位在經(jīng)營中如何利用服務(wù)機(jī)構(gòu)提供的服務(wù)，包括：

1.服務(wù)機(jī)構(gòu)提供的服務(wù)的性質(zhì)，以及該服務(wù)對被審計單位的重要性，包括由此對被審計單位內(nèi)部控制產(chǎn)生的影響；

2.由服務(wù)機(jī)構(gòu)處理的交易、受服務(wù)機(jī)構(gòu)影響的賬戶或財務(wù)報告過程的性質(zhì)和重要性；

3.服務(wù)機(jī)構(gòu)與被審計單位之間活動的相互影響程度；

4.被審計單位與服務(wù)機(jī)構(gòu)關(guān)系的性質(zhì)，包括服務(wù)機(jī)構(gòu)與被審計單位就提供服務(wù)訂立的相關(guān)合同條款。

企業(yè)外包業(yè)務(wù)的性質(zhì)和范圍可能千差萬別，目前比較常見的外包方式如：

1.數(shù)據(jù)中心功能外包，如云存儲和云服務(wù)；

2.系統(tǒng)外包，如使用第三方公司統(tǒng)一開發(fā)和運維的平臺電子商務(wù)系統(tǒng)；

3.信息技術(shù)職能外包，如利用成熟軟件開發(fā)商進(jìn)行程序開發(fā)或變更服務(wù)等。

在審計規(guī)劃階段，注冊會計師需要明確企業(yè)外包的性質(zhì)和內(nèi)容，不同的外包方式和內(nèi)容所帶來的相關(guān)審計風(fēng)險也不盡相同。只有準(zhǔn)確了解外包服務(wù)本身，才能為正確制定和執(zhí)行審計程序提供基礎(chǔ)。

其次，注冊會計師需要評估被審計單位與審計相關(guān)的外包業(yè)務(wù)內(nèi)部控制的設(shè)計及執(zhí)行有效性以及數(shù)據(jù)的正確性。通常情況下，注冊會計師可以通過如下途徑和方法獲取相關(guān)的審計信心：

1.了解管理層如何確保相關(guān)外包業(yè)務(wù)的有效性；

2.獲得被審計單位授權(quán)，對審計范圍內(nèi)的外包對象和內(nèi)容執(zhí)行審計程序；

3.獲取并審閱外包業(yè)務(wù)的內(nèi)部審計報告或第三方鑒證報告。

（四）對第三方鑒證報告的審計考慮

目前國際上比較通用的第三方鑒證報告是依據(jù)國際審計與鑒證準(zhǔn)則理事會（IAASB）發(fā)布的國際鑒證業(yè)務(wù)標(biāo)準(zhǔn)（International Standard on Assurance Engagements No.3402）出具的鑒證報告。

鑒證報告一般分別兩種類型，第一類和第二類。簡單來說：

1.第一類報告：對被審計服務(wù)機(jī)構(gòu)的內(nèi)部控制的設(shè)計有效性發(fā)表鑒證意見；

2.第二類報告：對被審計服務(wù)機(jī)構(gòu)的內(nèi)部控制的設(shè)計及執(zhí)行有效性發(fā)表鑒證意見。

通常情況下，注冊會計師需要獲取第二類的鑒證報告才有可能獲得相關(guān)的足夠的審計信心。對于獲取的第三方鑒證報告，注冊會計師需要執(zhí)行以下工作以驗證相關(guān)外包業(yè)務(wù)控制的有效性和數(shù)據(jù)的正確性：

1.確認(rèn)鑒證報告的類型是否符合要求；

2.查看鑒證報告的測試范圍，確認(rèn)是否能滿足審計范圍的要求；

3.查看鑒證報告的測試程序，確定執(zhí)行的程序是否足夠；

4.查看審計報告的結(jié)果，評估影響。

在審計過程中，注冊會計師可能會發(fā)現(xiàn)，部分美國公司出具的是符合美國AICPA發(fā)布的SSAE16標(biāo)準(zhǔn)的SOC報告。注冊會計師也可以獲得SOC1報告的第二類報告，并根據(jù)以上的4步驟執(zhí)行相關(guān)的評估工作。需要說明的是，SOC1報告是對服務(wù)機(jī)構(gòu)的內(nèi)部控制發(fā)表的鑒證意見，這些內(nèi)部控制會對服務(wù)使用企業(yè)的財務(wù)報表內(nèi)部控制（ICFR）產(chǎn)生直接影響。SOC1不會對服務(wù)使用企業(yè)非財報相關(guān)控制發(fā)表意見。

總之，注冊會計師在執(zhí)行業(yè)務(wù)外包相關(guān)的審計工作時，需要充分了解外包服務(wù)的性質(zhì)和對被審計單位的財務(wù)報表的重要性，識別相關(guān)風(fēng)險，根據(jù)企業(yè)實際情況，作出準(zhǔn)確靈活應(yīng)對。

三、云計算

（一）云計算的概念

云計算作為一種獨特的IT服務(wù)模式，改變了傳統(tǒng)IT資源利用效率低下、擴(kuò)展性差、系統(tǒng)可靠性低等弊端。云計算安全聯(lián)盟（Cloud Security Alliance）對云計算進(jìn)行了如下定義：

“云計算的本質(zhì)是一種服務(wù)提供模型，通過這種模型可以隨時、隨地、按需地通過網(wǎng)絡(luò)訪問共享資源池的資源，這個資源池的內(nèi)容包括計算資源、網(wǎng)絡(luò)資源、存儲資源等，這些資源能夠被動態(tài)地分配和調(diào)整，在不同用戶之間靈活地劃分。凡是符合這些特征的IT服務(wù)都可以稱為云計算服務(wù)。”

（二）云計算的分類

云計算按照部署模式可以分為公有云、私有云、和社區(qū)云。這些云計算部署模式的區(qū)別在于服務(wù)的對象和目標(biāo)不同。

1.公有云一般由云服務(wù)提供商搭建，主要的服務(wù)對象是公眾。

2.私有云部署在企業(yè)數(shù)據(jù)中心的防火墻內(nèi)或者一個安全的主機(jī)托管場所，不對企業(yè)外部的用戶提供服務(wù)，私有云的核心屬性是專屬資源。

3.混合云則是上述兩種的綜合。

云計算按照服務(wù)的提供方式，可以劃分為基礎(chǔ)架構(gòu)即服務(wù)（Infrastructure as a Service,IaaS）、平臺即服務(wù)（Platform as a Service, PaaS）和軟件即服務(wù)（Software as a Service, SaaS）。

1.IaaS：通過虛擬化技術(shù)將計算、存儲、網(wǎng)絡(luò)資源提供給用戶，用戶無需再自行購置、維護(hù)這些硬件設(shè)施。

2.PaaS：除了基礎(chǔ)架構(gòu)以外，還包括了運行環(huán)境的搭建，并通過網(wǎng)絡(luò)提供給用戶。用戶只需專注業(yè)務(wù)系統(tǒng)的開發(fā)和運營，而無需分心運行環(huán)境的維護(hù)。

3.SaaS：從基礎(chǔ)架構(gòu)到軟件應(yīng)用打包提供給用戶，用戶只需通過Web瀏覽器即可使用云計算平臺上的軟件服務(wù)，產(chǎn)生的數(shù)據(jù)直接存儲在云端。

（三）云計算的特性

與傳統(tǒng)IT系統(tǒng)相比，云計算具有5大特性：

1.通過網(wǎng)絡(luò)提供服務(wù)：云計算的服務(wù)提供方式即是通過網(wǎng)絡(luò)（無論是公共網(wǎng)絡(luò)還是企業(yè)私有網(wǎng)絡(luò)）。與傳統(tǒng)IT受到地理位置的約束相比，云計算打破了這種限制，只要有網(wǎng)絡(luò)就可訪問。

2.資源池：計算、存儲、網(wǎng)絡(luò)資源不再以傳統(tǒng)的IT硬件形式提供，而是集中起來作為一個統(tǒng)一的資源池進(jìn)行調(diào)度和分配給多個用戶。用戶在使用資源時，無需關(guān)心資源實際的物理位置，只需要請求所需要的資源規(guī)格即可。

3.資源的彈性調(diào)度：各類資源可根據(jù)用戶的實際需要隨時進(jìn)行迅速的擴(kuò)展或縮減，而這種資源的伸縮并不會中斷業(yè)務(wù)，也不會導(dǎo)致數(shù)據(jù)的丟失。與傳統(tǒng)IT在進(jìn)行資源擴(kuò)容時動輒需要進(jìn)行復(fù)雜的測試和遷移相比，利用云計算技術(shù)用戶完全可以根據(jù)業(yè)務(wù)的實際負(fù)載進(jìn)行靈活地調(diào)配。

4.自助式服務(wù)：用戶通過自助方式獲取期望的服務(wù)內(nèi)容，包括服務(wù)種類、規(guī)格、數(shù)量、服務(wù)時間等，無需和云服務(wù)提供商交互。而傳統(tǒng)IT則需要一個漫長的需求討論和確認(rèn)過程，溝通成本較高。

5.可計價的服務(wù)：在云計算模式下，用戶使用的云計算服務(wù)可以通過量化指標(biāo)計算出來。在公有云模式下，云服務(wù)提供商以此作為計費的依據(jù)。在私有云模式下，云管理者可以根據(jù)監(jiān)控指標(biāo)對后臺資源進(jìn)行調(diào)整和優(yōu)化。

（四）云計算的安全威脅

由于上述云計算的特點，企業(yè)如果使用了云計算技術(shù)，在享受成本降低、業(yè)務(wù)擴(kuò)展性提升的同時，也需要從安全控制方面思考如何更好地管控云計算給企業(yè)業(yè)務(wù)流程帶來的變革。云計算客戶的注冊會計師在進(jìn)行系統(tǒng)審計時，不僅要關(guān)注傳統(tǒng)的系統(tǒng)審計風(fēng)險，還需要重點關(guān)注以下幾類云計算特有的風(fēng)險點。

1.租戶隔離：除了少數(shù)云計算產(chǎn)品外，在大多數(shù)情況下各個云租戶是共享計算、存儲、網(wǎng)絡(luò)資源的。如果沒有有效的租戶間隔離控制，很有可能會發(fā)生一個租戶非法訪問其他租戶的資源，造成租戶重要數(shù)據(jù)的泄露或者服務(wù)的中斷等后果。

2.權(quán)限控制：與傳統(tǒng)系統(tǒng)的控制權(quán)完全由企業(yè)掌握不同，在云計算環(huán)境下，運營商擁有超級用戶權(quán)限，因此理論上運營商有權(quán)限可以訪問用戶數(shù)據(jù)（盡管運營商一般都會嚴(yán)格限制運維人員訪問用戶數(shù)據(jù)）。如果企業(yè)需要在云計算平臺上存放敏感程度較高的數(shù)據(jù)，可以在衡量安全和性能的影響以后，在業(yè)務(wù)系統(tǒng)側(cè)進(jìn)行數(shù)據(jù)加密以后再上傳至云平臺。

3.殘留數(shù)據(jù)：由于云租戶的數(shù)據(jù)大量存放在云平臺上，當(dāng)用戶退出云服務(wù)時（即下云），如果殘留數(shù)據(jù)（包括云上的生產(chǎn)數(shù)據(jù)、備份數(shù)據(jù)、日志等）沒有得到徹底的清除，那么存儲空間經(jīng)回收再分配給其他租戶時，就會存在數(shù)據(jù)泄露的風(fēng)險。

4.網(wǎng)絡(luò)安全：在公有云環(huán)境下，用戶與云平臺的交互通過公有網(wǎng)絡(luò)實現(xiàn)。與傳統(tǒng)系統(tǒng)在企業(yè)內(nèi)部局域網(wǎng)內(nèi)提供服務(wù)不同，公有網(wǎng)絡(luò)的安全性較低，企業(yè)時刻需要關(guān)注網(wǎng)絡(luò)傳輸過程的保密性和完整性。

5. 可用性：云計算系統(tǒng)的可用性主要依賴云服務(wù)提供商自身的可用性能力。如果云服務(wù)提供商受到DDOS等攻擊造成服務(wù)中斷，或是機(jī)房、網(wǎng)絡(luò)等關(guān)鍵節(jié)點出現(xiàn)意外事故，可能會導(dǎo)致服務(wù)的中斷，影響企業(yè)用戶的正常運行。近年來層出不窮的云服務(wù)提供商服務(wù)中斷新聞更是給所有用戶敲響了警鐘。

（五）云計算對注冊會計師的影響

隨著使用云計算技術(shù)的企業(yè)越來越普遍，云計算已經(jīng)成為系統(tǒng)審計師需要經(jīng)常面對的一個事物了。云計算對于注冊會計師的影響主要體現(xiàn)在兩個方面：

1.審計范圍：企業(yè)如果使用了云計算技術(shù)，意味著必然有一部分IT職能“外包”給了云服務(wù)提供商。如何確定企業(yè)和云服務(wù)提供商之間的責(zé)任界限，以及是否需要對云服務(wù)提供商的內(nèi)部控制進(jìn)行延伸審計，成為了注冊會計師在制定審計計劃、確定審計范圍時需要考慮的問題。

2.知識技能：IT始終是變化演進(jìn)最為迅速的一個產(chǎn)業(yè)，注冊會計師也需要時刻保持知識技能的豐富和更新，才能與時俱進(jìn)，提供優(yōu)秀的服務(wù)質(zhì)量。

表1 傳統(tǒng)IT系統(tǒng)與應(yīng)用區(qū)塊鏈技術(shù)的系統(tǒng)對比

表2 三種區(qū)塊鏈類型的特點

四、區(qū)塊鏈

（一）區(qū)塊鏈的概念和特點

區(qū)塊鏈?zhǔn)且环N綜合了分布式數(shù)據(jù)存儲、點對點傳輸、共識機(jī)制、加密算法等IT技術(shù)的應(yīng)用模式。從設(shè)計思想上區(qū)塊鏈技術(shù)（特別是公有鏈）期望實現(xiàn)以下特點：

1.信息不可篡改，永久留下記錄，有效保證了數(shù)據(jù)的真實性和完整性。

2.去中心化體系，通過共識機(jī)制每個節(jié)點會驗證和更新交易數(shù)據(jù)，替代了傳統(tǒng)IT依賴中心化機(jī)構(gòu)進(jìn)行記賬的模式。

3.數(shù)據(jù)可靠性較高，少數(shù)節(jié)點故障不會影響系統(tǒng)的正常運行，且所有節(jié)點通過共識算法保證數(shù)據(jù)的一致性。

表1匯總了傳統(tǒng)IT系統(tǒng)與應(yīng)用區(qū)塊鏈技術(shù)后的系統(tǒng)的對比。

（二）區(qū)塊鏈在企業(yè)中的應(yīng)用

目前企業(yè)對于區(qū)塊鏈技術(shù)的應(yīng)用很難完全做到像公有鏈那樣完全去中心化，更多的是考慮采用私有鏈或者聯(lián)盟鏈的形式。與公有鏈相比，私有鏈和聯(lián)盟鏈將區(qū)塊鏈的部分技術(shù)特性和商業(yè)應(yīng)用場景相結(jié)合，成為一種新型的應(yīng)用系統(tǒng)模式。

因此，如果企業(yè)采用聯(lián)盟鏈或者私有鏈的方式搭建IT系統(tǒng)環(huán)境，可能會存在如下風(fēng)險：

1.相比公有鏈，聯(lián)盟鏈或者私有鏈的節(jié)點數(shù)量有限，無法做到完全的去中心化，因此依然存在大多數(shù)節(jié)點被一方控制的可能性，影響鏈上數(shù)據(jù)的可信性。

2.不同的鏈上用戶具有不同的系統(tǒng)訪問權(quán)限，可能存在像傳統(tǒng)IT系統(tǒng)類似的因權(quán)限管控不當(dāng)而導(dǎo)致數(shù)據(jù)泄露的風(fēng)險。

圖1 區(qū)塊鏈對審計職能的影響

3.在聯(lián)盟鏈環(huán)境下，鏈上成員可能會擔(dān)心上傳到鏈上的數(shù)據(jù)的機(jī)密性。

由于上述區(qū)塊鏈技術(shù)特征，從系統(tǒng)安全和控制的角度，企業(yè)使用區(qū)塊鏈技術(shù)后需要考慮以下幾點：

1.權(quán)限管理，由于區(qū)塊鏈技術(shù)是公開透明且匿名，所有參與方在區(qū)塊鏈中通過加密ID進(jìn)行標(biāo)識，因此對鏈上不同參與方應(yīng)當(dāng)進(jìn)行不同的訪問權(quán)限的設(shè)置，保證信息的安全不泄露；

2.智能合約審計，智能合約是應(yīng)用區(qū)塊鏈技術(shù)的一種程序，一旦條件符合，就會自動運行智能合約，因此智能合約在生成之前，應(yīng)當(dāng)進(jìn)行代碼審計和功能性驗證，加強(qiáng)區(qū)塊鏈可編程應(yīng)用的代碼質(zhì)量管控，定期進(jìn)行安全審計和漏洞檢測，保證程序代碼健壯性；

3.區(qū)塊鏈性能監(jiān)控，區(qū)塊鏈由多節(jié)點組成，同一區(qū)塊可能在不同時間到達(dá)不同節(jié)點，不同節(jié)點的共識算法版本難以保持一致，在達(dá)成交易共識過程中易發(fā)生區(qū)塊鏈分叉，導(dǎo)致交易回滾風(fēng)險，因此需要監(jiān)控區(qū)塊鏈性能以確保整個系統(tǒng)的運行平穩(wěn)；

當(dāng)然區(qū)塊鏈技術(shù)并非顛覆傳統(tǒng)系統(tǒng)，而是優(yōu)化傳統(tǒng)系統(tǒng)；對于企業(yè)而言，可以通過在傳統(tǒng)的系統(tǒng)上增加區(qū)塊鏈相關(guān)接口，加強(qiáng)去中心化、安全、可信的數(shù)據(jù)環(huán)境；也可以進(jìn)行企業(yè)流程改造，直接使用基于區(qū)塊鏈的系統(tǒng)。

（三）區(qū)塊鏈對企業(yè)業(yè)務(wù)流程的改變

區(qū)塊鏈技術(shù)能夠提供完整且無需第三方的驗證，建立了一個去中心化的生態(tài)圈，在企業(yè)之間、企業(yè)與政府機(jī)構(gòu)之間、企業(yè)與審計機(jī)構(gòu)之間節(jié)省大量的驗證成本，共享信息，既能保證信息的完整不可篡改，也不必?fù)?dān)心數(shù)據(jù)丟失。

例如，對于海關(guān)和質(zhì)檢機(jī)構(gòu)，原本在貨物入關(guān)和質(zhì)檢的每個環(huán)節(jié)都需要提供運單、合同、商業(yè)發(fā)票、訂單明細(xì)、原產(chǎn)地證明、合格證、標(biāo)簽申檢編號、報關(guān)單等各種報關(guān)文檔，但是各個系統(tǒng)之間不兼容，也不關(guān)聯(lián)，因此數(shù)據(jù)的流轉(zhuǎn)成為一個障礙。利用基于區(qū)塊鏈的系統(tǒng)之后，每一相關(guān)方通過授權(quán)獲取相應(yīng)的數(shù)據(jù)文檔，通過接口將各自系統(tǒng)與區(qū)塊鏈系統(tǒng)服務(wù)器相連，保證每一個相關(guān)方獲取的都是相同的信息，還原原始數(shù)據(jù)。

（四）區(qū)塊鏈對審計機(jī)構(gòu)帶來的影響

區(qū)塊鏈在增加社會協(xié)同效應(yīng)的同時，也悄然改變了不同機(jī)構(gòu)的職能作用和工作方式，幫助建立了信任機(jī)制。例如，在審計職能方面，可能發(fā)生的變化如圖1所示。

審計機(jī)構(gòu)也可以通過建立區(qū)塊鏈審計模型，例如數(shù)據(jù)收集、校驗記錄、記賬或者提供異常報告，改變傳統(tǒng)的審計模式。