云计算背景下“云审计”的框架构建及应用

　　摘　要：本文借鉴 COBIT5.0，基于实践、生命周期、利益相关者、目标四个维度，从审计实施流程、基础设施建设、信息资源、组织结构、人员要求、文化氛围、政策准则等多个方面进行分析，建立云审计的基本概念框架，并设计其实施的具体流程，以期促进云审计的进一步推广与发展。

　　关键词：信息化;大数据;云审计;云会计

　　一、选题背景

　　2020 年的新冠肺炎疫情让很多行业措手不及，由线下转为线上是一个必然选择。后疫情时代是一个全新的云上时代，审计工作也需要告别传统的审计模式，创新审计工作方式，提升审计的信息化水平。审计工作属于专业和技术性较强的工作，在“互联网 +”时代，审计工作要接触到非常多的数据，传统审计方法对数据进行处理难度较大，效率较低，容易诱发较多错误问题，且单一地对财务数据进行分析不能满足全面、透彻反映企业营运状况的需求。传统审计方法已经不能有效适应新时期审计工作的要求，云审计是未来审计的主要形式。

　　二、研究目的

　　随着信息技术的发展，审计系统越来越多地借助信息论、系统论的研究成果开展审计工作。与传统审计模式相比，“云审计”模式将虚拟会计信息系统与云审计平台进行了融合，具有跨时空作业、低成本、高质量、高效率等显著优势。随着云计算时代的来临，研究审计服务如何应用新的信息技术发展，对找到云计算时代下企业审计服务的最佳实践应用和创新发展管理理论体系，有着理论和实践的双重意义。本文旨在分析云审计平台的运行机理，构建云审计平台的框架，研究实施云审计需要的条件、云审计实施的流程及运用过程中需要进行的风险控制。

　　三、云审计平台的框架构建

　　根据权威的 NIST 定义，云计算是一种创新的服务模式，整合网络中零散的资源，将动态资源虚拟化，建立起共享资源池，顾客可按需付费获取所需硬件或软件的服务。云计算主要分为三种服务模式，而且这个三层的分法主要是从用户体验角度出发的。这三种服务模式是基础设施即服务 IaaS、平台即服务 PaaS 和软件即服务 SaaS。不同云服务模式应用价值突出，各类用户可以结合自身需求选取对应的云服务模式。IaaS 云服务模式，能为不同客户提供服务器、计算机等资源，用户只要接入相关接口便可调用资源综合处理、存储等功能。PssS云服务模型能为企业发展提供完整需求平台以及网站解决措施，其服务对象主要是企业，结合企业发展需求对云计算服务模式进行有计划性的开发应用。

　　SaaS 是当前大多数用户选取的云计算模式，因为在这种模式下，云平台为用户提供各种软件，用户只需要输入身份信息验证即可登录云审计系统，安全、快速地获取相关软件服务，能有效适应用户需求开发云服务模式。云审计平台是一项基础性的工程。它以审计大数据为中心，实现远程存储和移动计算，优点是能减少数据移动带来的损耗，降低审计机构整体的营运成本，提高审计效率。云审计平台可以通过云计算的 IaaS、PaaS和 SaaS 三大服务模式实现相应的功能，快速获取安全的数据储存和动态计算环境。审计机构和被审单位可以通过云审计平台实现电子数据的交互运行，审计机构通过构建恰当的审计模型，进行持续审计的监控，获取相应的审计证据，审计模式发生巨大变化。

　　该服务系统由基础设施层、系统服务层、系统应用层、客户端服务层、安全审计平台和外部应用接口构成。基础设施层相当于 IaaS 层，以服务的模式为国家审计、会计师事务所和内部审计机构提供各种硬件设施。系统服务层相当于PaaS，为审计机构提供各种资源开发、资源部署、软件运行的环境。系统应用层相当于 SaaS，为审计机构提供各种审计软件的服务，以支持审计人员进行数据分析、决策研究。客户端服务层提供用户管理、身份认证、权限管理等用户管理功能，审计人员登录后就可获得相应的云服务。

　　安全审计平台提供实时的云平台安全预警和监控，提高系统的安全性能。外部应用接口则是为审计机构提供向云平台共享数据或获取数据的渠道。在云审计模式下，国家审计、会计师事务所审计和内部审计机构可以实现实时的数据资源共享，大大提高了审计工作的效率。从图 1 我们可以看出建设云审计的资源平台是重中之重。那么如何建立有效的云审计平台?这需要国家审计、会计师事务所和内部审计机构和软件服务商的多方合力。本文建议借鉴 COBIT5.0 的实践、生命周期、利益相关者和目标四个维度，从审计实施流程、基础设施建设、信息资源、组织结构、人员要求、文化氛围和政策准则等多个方面进行分析，建立云审计的基本框架，并设计其实施的具体流程，以期促进云审计的进一步推广与发展。审计的标准工作流程为制定审计目标、评估审计风险、编制审计计划、实施审计程序、收集审计证据、最终出具审计报告。在建设云审计的实施框架时，我们可以按照标准审计流程来设计。

　　四、云审计实施的流程

　　关于云审计平台的构建及建设，我们可以在信息系统中设置 7 个模块，包括计划管理、作业管理、合并报表、风险内控、培训管理、资料管理和基础数据管理模块。从审计项目的全生命周期出发，建立 18 个标准化审计程序，包括存货的监盘、库存现金的监盘、应收账款的函证等共 34 项作业流程;从审计整改督办并建立长效机制的要求出发，实现审计发现问题汇总、分析、整改、消单闭环管理;从不断提升审计人员专业水平的需求出发，与“云培训平台”搭建接口，实现审计内控人员线上培训及能力测试。从需求拓展角度出发，可推广为系统单位经营管理人员合规培训和能力测试平台。

　　“建立审计信息系统，可以规范审计作业流程和程序，关键在于分类制定标准作业手册。”审计中心以制定不同类型审计项目标准化作业手册为起点，制定经济责任审计实务指南等 5 类标准作业手册，为审计信息系统的标准化流程设计奠定了坚实基础。下一步，在审计与内控部门的组织下，审计中心需要做好各类审计项目的实施、做好审计问题整改的跟踪、组织好对系统单位审计内控人员的培训工作。系统二期建设中，通过承接集团公司大数据辅助审计试点工作，将大数据审计模型与 ERP 等信息化系统对接，提升审计信息系统数据获取能力和处理能力;通过建立风险预警系统、实施远程审计和联网审计，推进以数字化驱动的智能化内审建设，提高审计的效率、质量和价值。

　　五、建设和实施云审计所面临的风险

　　(一)数据安全性难以保证审计人员进行云审计的基础便是有易获取的、可靠的、完整的数据。云审计借助云计算平台完成审计工作，而云计算是依托于互联网技术实现的一种新模式。因此，互联网能否提供具有真实性、完整性的数据，云计算平台能否确保数据的可用性、机密性，对审计工作能否顺利完成有重大影响。云审计所需要的数据一方面来自被审计单位提供的数据，被审计单位在上传数据的过程中可能发生上传数据不完全、因数据格式不匹配导致数据缺失、内部工作人员利用系统漏洞随意篡改数据等风险。数据上传至云服务供应商处，由供应商负责整合、保管、提供数据。

　　所有来源的数据都由供应商按照一定的格式和逻辑重修进行整合储存，此过程极易发生数据错误、工作人员删改或盗取数据等风险。特别是当有意外事故发生时，云服务商如何保证数据不被破坏，如何恢复已损坏丢失的数据尤为重要。审计人员在云审计平台上工作时，各相关人员均可接入云平台协同工作，难以保证数据的保密性，也增大了不正当访问的风险，使数据更易遭受入侵或转移，也使审计人员更难检验数据的真实性、完整性。

　　(二)审计人员素质良莠不齐在经济全球化和数据化的大背景下，许多会计师事务所的发展遇到了前所未有的障碍。究其原因主要是国内多数企业缺乏明确的发展定位，这直接导致了不同类型公司之间的不公平竞争日益加剧。企业之间的竞争导致了审计市场持续恶化，由于审计服务价格低廉，事务所的待遇普遍不高，很难留住高素质的审计专业人才，事务所的人员构成呈现出一种哑铃结构。云审计是融合了新兴互联网技术的一种全新的审计发展模式，目前现有的云计算平台的系统操作相对较难，对大部分审计人员来说还是全新的事物。

　　这就提高了对云审计人员素质的要求，仅具有财务会计方面的知识已不足以应对云审计日常操作的要求，相对于传统审计，高度智能化、自动化的云审计平台要求审计人员具有更高的计算机应用方面的能力，同时，在云计算平台的操作系统里进行审计工作也要求审计人员具有全新的云审计思维，要构建与被审计单位相适应的审计模型，审计人员对被审计单位的环境进行了解和评估时，在传统审计的基础上还应考虑云计算环境对被审计单位的影响，设计和实施审计程序时也需要根据云计算环境考虑程序的有效性和所得审计证据的可靠性。而部分审计人员虽然已经有丰富的审计经验，熟悉传统的审计工作方法，却难以接受新的审计方式和审计思维，也不愿意进行自我改变、自我提升，甚至对学习计算机相关知识也较为抵触，这给云审计的顺利进行带来了困难。

　　(三)与云审计相关的监管规范不完善云审计平台的构建与运行很大程度上依靠云服务供应商提供的信息技术服务，云服务供应商提供的信息技术平台服务审计人员和被审计单位。但目前没有相关的标准和制度规范云服务供应商、审计人员及被审计单位，导致云审计过程中出现权限不清、职责不明等相关情况。如员工对上传的数据不加甄别，随意上传过时甚至是错误的财务数据，或是无视数据的格式要求，将格式混乱的数据上传;审计人员不按审计的规范流程进行审计，不严格执行签字、书面报告等程序，审计人员之间也因为没有明确的制度要求和相关的惩罚措施而出现违规操作的情况;云服务供应商在传输、处理和储存数据时随意泄露信息，篡改数据资料，服务收费不透明，权责认定模糊，信息归属无法确认。这些问题都影响了云审计的效果和权威性，使得实施云审计不如实施传统审计有效，这种情况下，云审计的发展也得不到大力推动，审计的数字化进程也会受到阻碍。因此，如果不尽快制定相应的规范制度，规范审计人员、云服务供应商及被审计单位的行为，云审计的优势就得不到体现，会严重制约云审计的后续发展。

　　六、建设和实施云审计需要具备的条件

　　(一)注重系统的安全性，建立安全的云审计平台云审计为审计人员创造了诸多发展机遇的同时，也带来了审计风险。因此，当务之急审计行业要制定针对性的发展措施，顺应云计算发展趋势。在云计算数据环境方面，要保障各类审计数据在传递中具有较高的安全性;提升云审计平台安全性能、保障电子数据安全性得到有效控制，分析各个审计风险基本载体，发挥出云服务模式基本应用价值。比如平台即服务模式，搭配专业化云计算技术建立更为专业的云审计平台，对各类硬件、软件、服务模式进行全面共享，这将是提升云审计平台安全性的重要保障。在云服务供应商方面，还要注重对其提供的审计程序进行调查，分析云技术应用现状，对环境数据的稳定性、存储安全性进行综合分析，对各个云租户应用技术稳定性展开全面升级，保障云系统数据安全并确保审计业务全面开展。在信息数据获取方面，对云服务用户进行规范化的信息监督管理与全面升级，保障各类数据安全性与隐私性得到有效控制，提升用户信任度。在平台资源建设方面，对平台中多项信息服务与资源调度要求进行分析，对于不同审计任务的执行，要从协同资源库与专家资源中获取针对性案例，全面提升审计工作质量与综合发展成效，对审计风险进行调控。

　　(二)全面提升审计人员素质每个审计人员均要开展独立化的审计操作。针对具体的审计任务，结合行业的发展趋势、企业的发展规模、基础设施配置情况等对审计活动进行调节，云计算审计人员要具备在特定云计算环境中对各项工作进行调控的能力。随着云计算环境的变化，各类数据发展规模不断扩大，要对审计方法进行及时的调整。例如，各类社会企业、政府部门审计工作中，要选取不同技术、数据存储方式、信息传播媒体等作为审计手段。全面提升审计人员综合素质、道德素养也能对审计风险进行控制。对审计人员进行专业化培训，能全面补充审计人员专业化业务知识与提高计算机操作能力。引导技术人员对云审计各类应用软件规范化使用，在明确规范化计算业务流程的基础上进行各项操作，这样能对审计中的风险问题进行有效控制。

　　(三)完善云审计法规与准则云环境下的审计是审计方法与现代信息技术相结合的产物，目前没有完善的云审计法规与准则，只能用相似法规和准则做参考。例如，将云计算采取外包做法，把各类数据、软件、硬件相互组合，通过互联网能进行连接访问。各个企业在云计算服务应用中，要重点选取对应的服务提供部门，之后确立服务水平协议，对各类安全合同积极履行，其中信息保证系统以及信息数据存储系统要在协议中进行全面确定。为了保障审计工作整体服务质量能全面提升，技术人员要注重对云计算风险环境进行综合评价，要基于企业内外部环境完成各项审计工作。因而政府层面要逐步建立并完善云审计对应的法律法规，对审计准则进行全面完善。促使云服务提供商补充更多真实、可靠、完整的审计信息，在审计信息存储、传递、处理中要设定针对性准则，保障审计证据以及数据分析结果有对应法律可以参照，进而能对审计风险进行全面控制。

　　七、结语

　　总而言之，在信息技术快速发展的今天，云计算的应用范围会不断扩大，云计算会在云审计领域得到更多的应用和发展，显然云技术的发展已经是现代审计工作创新的驱动力。我们通过对云审计进行分析发现云审计能节约技术的应用成本，提高技术的可扩展性和灵活性，但也发现其存在众多问题亟待解决，比如：难以确保客户资料的安全性、审计人员的素质亟待提高、相关的法律规范亟待完善，为了解决这些问题，更好地促进云技术在审计工作中的运用，审计人员应结合风险要素，把握风险关键点，拟定针对性控制措施，对审计风险进行控制，拓展云审计发展前景。在大数据时代，应结合现代信息科技，加强企业审计工作的信息化建设，使企业审计工作结构化、科学化、规范化、质量化、长效化。

　　参考文献：

　　[1] 秦荣生 . 云计算的发展及其对会计、审计的挑战 [J]. 当代财经，2013(1)：111-117.

　　[2] 魏祥健 . 云计算环境下云审计平台架构与实现[J]. 财会通讯，2015(4)：107-109.

　　[3] 陈伟，Wally Smieliauskas. 云计算环境下的联网审计实现方法探析 [J]. 审计研究，2012(3)：37-44.

　　[4] 吴娅婷 . 大智移云背景下政府审计质量评价指标体系研究 [J]. 生产力研究，2019(2)：147-151。

　　[5] 审计：怎样直面“大智移云”? [N]. 中国会计报，2015-04-10(3).

　　作者：刘　媛　李　熙