傅靜

云計(jì)算的產(chǎn)生以及不斷地蓬勃發(fā)展影響了審計(jì)技術(shù)和審計(jì)方法，巧妙地將云計(jì)算與審計(jì)相結(jié)合，在一定程度上擴(kuò)大審計(jì)范圍，提高審計(jì)效率，但同時(shí)也會(huì)產(chǎn)生相應(yīng)的云審計(jì)風(fēng)險(xiǎn)。

一、云計(jì)算及云審計(jì)概述

1.云計(jì)算的內(nèi)涵。云計(jì)算是一種能夠?qū)⒋鎯?chǔ)、網(wǎng)絡(luò)、計(jì)算等資源抽象化和虛擬化，形成巨大資源庫，按需調(diào)度和資源供給的大規(guī)模分布式計(jì)算模式，用戶通過互聯(lián)網(wǎng)獲取想要的信息資源?，F(xiàn)階段，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）對(duì)此情況作出了為公眾所接受的較為綜合的定義：云計(jì)算是一種付費(fèi)使用的計(jì)算模式，它供應(yīng)可利用的、方便的、按需的網(wǎng)絡(luò)訪問渠道，靠裝配的計(jì)算資源共享庫（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù)）快速提供被需求的資源，而與之相對(duì)的，無需繁瑣復(fù)雜的管理工作，也不用頻繁與供應(yīng)商交互。

2.云審計(jì)的內(nèi)涵。云計(jì)算技術(shù)與審計(jì)工作的結(jié)合創(chuàng)造了“云審計(jì)”的概念。審計(jì)通過“云”融合云計(jì)算概念和云存儲(chǔ)數(shù)據(jù)，并結(jié)合應(yīng)用各種審計(jì)資源 （審計(jì)人員、基礎(chǔ)設(shè)施、應(yīng)用軟件等），給審計(jì)機(jī)構(gòu)提供科學(xué)、高效的審計(jì)業(yè)務(wù)流程，節(jié)省審計(jì)人員的精力，保證審計(jì)人員將更多的目光放在審計(jì)任務(wù)上，而不用把過度的時(shí)間浪費(fèi)在處理審計(jì)信息、選擇應(yīng)用程序等事情上。云審計(jì)是一種超級(jí)計(jì)算模式，它以云計(jì)算技術(shù)為基礎(chǔ)，以云技術(shù)做支持。從事審計(jì)工作的人員可以更方便地從“云”中調(diào)取需要的數(shù)據(jù)信息和其他的相關(guān)資料，從而更加高效率地完成審計(jì)工作。

二、云計(jì)算對(duì)審計(jì)的影響

1.云計(jì)算下運(yùn)用總體審計(jì)模式可以有效規(guī)避由于抽樣審計(jì)模式導(dǎo)致的審計(jì)風(fēng)險(xiǎn)。傳統(tǒng)的審計(jì)模式主要依賴于審計(jì)抽樣，該方法下由于對(duì)非全樣本進(jìn)行審計(jì)，無可避免地增加了審計(jì)風(fēng)險(xiǎn)，并且該風(fēng)險(xiǎn)與樣本規(guī)模的大小呈正比。此外，由于審計(jì)抽樣存在不確定性，這為被審計(jì)單位實(shí)施舞弊行為提供了條件。而采用云計(jì)算技術(shù)的總體審計(jì)模式是通過分析與審計(jì)對(duì)象相關(guān)的所有數(shù)據(jù)，使審計(jì)人員在審計(jì)業(yè)務(wù)的全過程建立總體審計(jì)的思維模式，對(duì)數(shù)據(jù)和資源進(jìn)行全面化、深層次、多角度的分析，能夠發(fā)現(xiàn)傳統(tǒng)抽樣審計(jì)模式下由于非全面審計(jì)所帶來的問題，有效地規(guī)避由于抽樣審計(jì)模式帶來的審計(jì)風(fēng)險(xiǎn)。

2.云計(jì)算方便大量復(fù)雜數(shù)據(jù)的分析，提高審計(jì)工作效率?，F(xiàn)代審計(jì)業(yè)務(wù)通常涉及對(duì)使用大數(shù)據(jù)分析技術(shù)，以在當(dāng)今的商業(yè)環(huán)境中保持競爭力并保持相關(guān)性?？蛻舳讼到y(tǒng)現(xiàn)已與云計(jì)算、物聯(lián)網(wǎng)和外部數(shù)據(jù)源（例如社交媒體）集成為一體。此外，許多客戶現(xiàn)在正在將此大數(shù)據(jù)與新的復(fù)雜業(yè)務(wù)分析方法集成，通過云計(jì)算得出決策所需的信息。這為外部審計(jì)師進(jìn)行審計(jì)業(yè)務(wù)時(shí)使用高級(jí)數(shù)據(jù)分析提供了條件。

3.云計(jì)算將優(yōu)化審計(jì)資源，實(shí)現(xiàn)信息共享與數(shù)據(jù)可比性。從社會(huì)資源運(yùn)營效率出發(fā)，通過云計(jì)算與審計(jì)相結(jié)合，搭建出云審計(jì)平臺(tái)，該平臺(tái)最大的優(yōu)勢在于構(gòu)建了行業(yè)審計(jì)數(shù)據(jù)庫，這是對(duì)包括審計(jì)資源在內(nèi)的社會(huì)資源的優(yōu)化利用。審計(jì)人員可以在數(shù)據(jù)庫內(nèi)準(zhǔn)確定位數(shù)據(jù)源頭、實(shí)現(xiàn)資源共享并對(duì)審計(jì)數(shù)據(jù)實(shí)時(shí)匯總更新;被審計(jì)單位可以在數(shù)據(jù)庫內(nèi)對(duì)本行業(yè)內(nèi)的競爭企業(yè)的審計(jì)數(shù)據(jù)進(jìn)行深度分析，可以實(shí)現(xiàn)單位內(nèi)部數(shù)據(jù)與行業(yè)數(shù)據(jù)乃至跨領(lǐng)域數(shù)據(jù)的對(duì)比分析，在大數(shù)據(jù)時(shí)代下充分利用數(shù)據(jù)間相互關(guān)系，從而實(shí)現(xiàn)對(duì)未來趨勢的預(yù)判。

三、云計(jì)算環(huán)境下審計(jì)風(fēng)險(xiǎn)的識(shí)別

1.審計(jì)數(shù)據(jù)的安全性風(fēng)險(xiǎn)。由于云審計(jì)的研究剛剛起步，云審計(jì)的概念還不夠明確，審計(jì)人員進(jìn)行云計(jì)算信息安全審計(jì)時(shí)，難免要遇到許多挑戰(zhàn)。在云計(jì)算的環(huán)境下，審計(jì)對(duì)象有所擴(kuò)充，不再單單是被審計(jì)單位的會(huì)計(jì)信息，還包括云計(jì)算平臺(tái)中的所有相關(guān)信息，因此審計(jì)過程中的不確定性也隨之增加。此外，審計(jì)單位和被審計(jì)單位電子數(shù)據(jù)的存儲(chǔ)、傳輸、處理都需要依靠云計(jì)算技術(shù)，并且它們都是由云服務(wù)供應(yīng)商管理，這在一定程度上削弱了審計(jì)單位和被審計(jì)單位對(duì)數(shù)據(jù)的控制，增大了存在安全漏洞的風(fēng)險(xiǎn)。

2.云計(jì)算下的審計(jì)證據(jù)缺失風(fēng)險(xiǎn)。審計(jì)過程的實(shí)質(zhì)是基于審計(jì)證據(jù)的判斷和決策過程。云系統(tǒng)無法獲取準(zhǔn)確而完整的審計(jì)證據(jù)，這將導(dǎo)致審計(jì)風(fēng)險(xiǎn)產(chǎn)生。云計(jì)算的使用使被審計(jì)單位的所有電子數(shù)據(jù)都可以存儲(chǔ)在云中，并且它們的操作、計(jì)算和傳輸均可以通過Internet實(shí)現(xiàn)。審計(jì)單位在Internet上收集審計(jì)證據(jù)。審計(jì)證據(jù)以電子證據(jù)的形式呈現(xiàn)，收集存在一定的困難。數(shù)據(jù)存儲(chǔ)云環(huán)境不是唯一專屬的環(huán)境，允許多個(gè)人共同使用，這使得云服務(wù)提供商很難提供完整的數(shù)據(jù)。此外，Internet數(shù)據(jù)在全球范圍內(nèi)流動(dòng)，難以確定其具體存儲(chǔ)位置。因此，云計(jì)算環(huán)境中的審計(jì)證據(jù)難以跟蹤，并且在傳輸過程中容易被病毒感染。所有這些都會(huì)導(dǎo)致云計(jì)算下審計(jì)風(fēng)險(xiǎn)的增加。

3.云審計(jì)程序風(fēng)險(xiǎn)。在云計(jì)算模型中，被審計(jì)單位的數(shù)據(jù)存儲(chǔ)在云平臺(tái)上，其操作、計(jì)算和交付需要通過Internet進(jìn)行。審計(jì)證據(jù)只能在Internet上收集，且獲得的證據(jù)是電子證據(jù)。由于存儲(chǔ)在云中的數(shù)據(jù)流動(dòng)性很高，通常無法確定其特定的存儲(chǔ)位置，并且由于數(shù)據(jù)存儲(chǔ)云環(huán)境是多租戶共享的云環(huán)境，因此云服務(wù)提供商無法提供完整的數(shù)據(jù)。同時(shí)，由于數(shù)據(jù)流動(dòng)的全球性，很難跟蹤經(jīng)濟(jì)業(yè)務(wù)流程。在云審計(jì)過程中，注冊(cè)會(huì)計(jì)師能否在平臺(tái)上執(zhí)行有效的審計(jì)程序并獲得足夠、適當(dāng)?shù)膶徲?jì)證據(jù)，是導(dǎo)致云審計(jì)風(fēng)險(xiǎn)的重要因素。因此，由于云計(jì)算模型中審計(jì)證據(jù)的網(wǎng)絡(luò)性、不透明性和流動(dòng)性，難以在云計(jì)算環(huán)境中收集電子審計(jì)證據(jù)，審計(jì)程序設(shè)計(jì)的不合理性將大大增加證據(jù)收集的難度。

4.云計(jì)算內(nèi)部控制風(fēng)險(xiǎn)。近年來，云計(jì)算在企業(yè)的廣泛運(yùn)用，使得企業(yè)內(nèi)部控制內(nèi)容和方式也隨之發(fā)生了重大變化。云計(jì)算模式下企業(yè)有效的內(nèi)部控制，有助于企業(yè)開展云審計(jì)及控制云審計(jì)風(fēng)險(xiǎn)、提高云審計(jì)治理。然而，就目前的云平臺(tái)運(yùn)用過程中，企業(yè)普遍存在重視軟硬件和業(yè)務(wù)流程構(gòu)建而忽視內(nèi)部控制建設(shè)的問題，導(dǎo)致數(shù)據(jù)丟失與泄露、資源的濫用和非法使用、云租戶間的安全隔離等具有高風(fēng)險(xiǎn)的事件發(fā)生，從而造成云審計(jì)風(fēng)險(xiǎn)。

5.云計(jì)算下專業(yè)審計(jì)人員缺失的風(fēng)險(xiǎn)。近幾年云計(jì)算蓬勃發(fā)展，成為中國商業(yè)模式中的流行并加以采用，因而深入理解并能夠準(zhǔn)確把握云計(jì)算環(huán)境下的審計(jì)知識(shí)的人員并不多。由于云計(jì)算具有規(guī)模大、虛擬化等特點(diǎn)，審計(jì)人員必須盡可能確保從云計(jì)算平臺(tái)上收集的審計(jì)證據(jù)真實(shí)、完整、準(zhǔn)確，以便發(fā)布公允、準(zhǔn)確的財(cái)務(wù)報(bào)告，有效減少甚至避免審計(jì)風(fēng)險(xiǎn)。目前，我們國家在利用云計(jì)算平臺(tái)獲取審計(jì)證據(jù)方面缺乏人才，大大增加了審計(jì)人員在審計(jì)后發(fā)表不恰當(dāng)審計(jì)意見的可能性，從而增加了云計(jì)算環(huán)境下的審計(jì)風(fēng)險(xiǎn)。

四、云計(jì)算環(huán)境下審計(jì)風(fēng)險(xiǎn)的防范

1.建設(shè)云審計(jì)安全性平臺(tái)。一個(gè)安全的云審計(jì)平臺(tái)有利于確保數(shù)據(jù)安全并防止審計(jì)風(fēng)險(xiǎn)，可以依靠三種主要的云服務(wù)模型和高級(jí)云計(jì)算技術(shù)來構(gòu)建將硬件，軟件和服務(wù)統(tǒng)一起來的安全云審計(jì)平臺(tái)。為了進(jìn)一步增強(qiáng)云審計(jì)平臺(tái)的安全性，可以構(gòu)建一個(gè)特殊的安全層，該安全層的任務(wù)要求是有效地收集有關(guān)各種云服務(wù)提供商的信息。首先，測試供應(yīng)商掌握的技術(shù)的準(zhǔn)確性、操作環(huán)境的穩(wěn)定性、存儲(chǔ)模塊的安全性以及規(guī)格的匹配性。其次，在使用該技術(shù)時(shí)測試每個(gè)租戶的穩(wěn)定性，不僅要追求當(dāng)前數(shù)據(jù)的安全性，而且要長期保證連續(xù)的安全性。再其次，對(duì)使用云服務(wù)的用戶進(jìn)行一定程度的信息監(jiān)管，最大程度地防止數(shù)據(jù)在存儲(chǔ)和使用過程中泄漏，避免客戶的安全性，合規(guī)性，穩(wěn)定性和持久性存在擔(dān)憂和質(zhì)疑，從而取得客戶的信賴。最后，在平臺(tái)上建立服務(wù)系統(tǒng)，該服務(wù)系統(tǒng)分為三個(gè)模塊，分別是專家問答、資源調(diào)度和信息查詢。即使是單個(gè)審計(jì)任務(wù)，它也可以完全匹配資源數(shù)據(jù)庫并找到相同或相似的案例，從專家那里獲得最專業(yè)的答案，從而提高了審計(jì)效率，并確保審計(jì)的安全性。

2.構(gòu)建風(fēng)險(xiǎn)導(dǎo)向云審計(jì)模型。伴隨云計(jì)算技術(shù)在各行業(yè)的廣泛傳播與使用，由于各行業(yè)的經(jīng)營狀態(tài)與模式多樣化趨勢，云審計(jì)風(fēng)險(xiǎn)比傳統(tǒng)審計(jì)風(fēng)險(xiǎn)范圍更廣、更復(fù)雜，這要求注冊(cè)會(huì)計(jì)師從多角度、深層次、大范圍對(duì)云審計(jì)風(fēng)險(xiǎn)進(jìn)行分析和防范?，F(xiàn)在審計(jì)越來越強(qiáng)調(diào)風(fēng)險(xiǎn)導(dǎo)向，而若將其同樣運(yùn)用于云審計(jì)之中，構(gòu)建基于云計(jì)算的風(fēng)險(xiǎn)導(dǎo)向云審計(jì)模型，對(duì)海量數(shù)據(jù)進(jìn)行持續(xù)分析、深入挖掘，同時(shí)兼顧事前、事中、事后，從更高層面、更廣范圍和綜合視角對(duì)云審計(jì)風(fēng)險(xiǎn)進(jìn)行全方位評(píng)估，對(duì)可能產(chǎn)生云審計(jì)風(fēng)險(xiǎn)的各個(gè)因素進(jìn)行系統(tǒng)分析整理，使云審計(jì)風(fēng)險(xiǎn)和整個(gè)云審計(jì)過程聯(lián)系起來，進(jìn)而有效防范與控制云審計(jì)風(fēng)險(xiǎn)。

3.創(chuàng)新審計(jì)方法，提高審計(jì)人員的綜合素質(zhì)和專業(yè)水平。在審計(jì)過程中，云計(jì)算環(huán)境中的每個(gè)審計(jì)人員將統(tǒng)一進(jìn)入指定的團(tuán)隊(duì)參與審計(jì)，并針對(duì)每個(gè)階段發(fā)生的審計(jì)問題安排不同的審計(jì)任務(wù)。這樣，審計(jì)活動(dòng)將具有獨(dú)立性和針對(duì)性。隨著云計(jì)算的不斷應(yīng)用，對(duì)審計(jì)人員的業(yè)務(wù)能力提出了更高要求。企業(yè)應(yīng)定期組織云計(jì)算審計(jì)業(yè)務(wù)培訓(xùn)課程，不斷提高審計(jì)人員的業(yè)務(wù)能力，理論與實(shí)踐相結(jié)合，將學(xué)習(xí)內(nèi)容投入實(shí)際操作中，以滿足有效降低企業(yè)審計(jì)風(fēng)險(xiǎn)的要求。同時(shí)，對(duì)于無法掌握云計(jì)算方法進(jìn)行審計(jì)工作的員工，公司將根據(jù)擇優(yōu)而選的原則，采用選擇性淘汰的方法。

4.健全云審計(jì)的法律法規(guī)，完善云計(jì)算的審計(jì)準(zhǔn)則。任何新事物的出現(xiàn)和發(fā)展都可能帶來某些風(fēng)險(xiǎn)。為了減少相應(yīng)的風(fēng)險(xiǎn)，我們需要科學(xué)的指導(dǎo)。應(yīng)當(dāng)制定適當(dāng)?shù)脑茖徲?jì)標(biāo)準(zhǔn)和準(zhǔn)則以規(guī)范數(shù)據(jù)的存儲(chǔ)、傳輸和處理并使之制度化，以使數(shù)據(jù)分析結(jié)果和電子審計(jì)證據(jù)更加合理和合法。為明確劃分職責(zé)，審計(jì)人員應(yīng)對(duì)云審計(jì)流程中的每個(gè)步驟負(fù)責(zé)。如果沒有明確定義云審計(jì)責(zé)任，則可能會(huì)導(dǎo)致某些審計(jì)人員鉆了云審計(jì)流程中的法律漏洞。

（作者單位：浙江中國小商品城集團(tuán)股份有限公司）