鐘玉林

(南京審計學(xué)院國際審計學(xué)院，江蘇 南京 210000)

一、引言

2013年7月1日，基于云計算電子政務(wù)公共平臺國家標(biāo)準(zhǔn)編制工作正式啟動，這也拉開了我國電子政務(wù)云走向規(guī)范統(tǒng)一標(biāo)準(zhǔn)化模式的序幕。隨著電子政務(wù)云的發(fā)展，審計人員如何進(jìn)行審計也成了一個值得關(guān)注的話題，審計署也在嘗試解決這個問題，在審計署金審工程第三期需求研討會上對云計算在審計中的運用進(jìn)行了探討。

云計算是一個新興的IT產(chǎn)物，它不僅是一種技術(shù)，更是一種服務(wù)模式，云系統(tǒng)不僅能夠向用戶提供硬件即服務(wù)(HaaS)、軟件即服務(wù)(SaaS)、數(shù)據(jù)資源即服務(wù)(DaaS)，而且還能夠向用戶提供能夠配置的平臺即服務(wù)(PaaS)。因此，用戶可以按需向計算平臺提交自己的硬件配置、軟件安裝、數(shù)據(jù)訪問需求(Wang L，Tao J，Kunze M，2008)，而不需要知道后臺是如何運行的。云計算將成百上千臺普通商用計算機(jī)匯聚成一個計算機(jī)集群，用戶根據(jù)自己的需求，要求增加或減少節(jié)點來擴(kuò)展或縮小存儲容量和計算資源。云計算資源池能兼容不同硬件廠商的產(chǎn)品，其通用性使資源的利用率較之傳統(tǒng)系統(tǒng)大幅提升，大多數(shù)用戶都可以使用。云計算的這些特點都改變了原有的商業(yè)模式，對會計業(yè)務(wù)產(chǎn)生了重大影響，使得會計信息系統(tǒng)向基于云計算的會計信息系統(tǒng)發(fā)展，這給作為鑒證業(yè)務(wù)的審計提出了挑戰(zhàn)。與此同時，基于云計算的云審計概念的提出能夠減少工作中的簡單勞動，提高審計效率，解決審計中的一些難題，給審計技術(shù)與方法的發(fā)展和創(chuàng)新提供了機(jī)遇。

二、云計算環(huán)境對審計的影響

1、對審計內(nèi)容的影響

在云計算環(huán)境下，被審計單位采用的是基于云計算的會計信息系統(tǒng)，數(shù)據(jù)存儲在供應(yīng)商的服務(wù)器上。要想完全信任服務(wù)器上的數(shù)據(jù)就需要保證供應(yīng)商提供的存儲和計算的環(huán)境是安全可信賴的。但事實上由于存在內(nèi)部人員失職、黑客攻擊及系統(tǒng)故障導(dǎo)致安全機(jī)制失效等多種風(fēng)險，云供應(yīng)商沒有充分的證據(jù)讓審計人員相信其環(huán)境是可信賴的。因此審計人員還需要對云服務(wù)進(jìn)行審計，評價云系統(tǒng)是否合法合規(guī)，是否準(zhǔn)確完整，是否安全可靠等。雖然被審計單位的數(shù)據(jù)存儲在供應(yīng)商的服務(wù)器上，但也要符合其內(nèi)部控制政策，審計人員還需識別、評價這些內(nèi)部控制。

2、對審計證據(jù)的影響

在云計算環(huán)境下，分布在多個服務(wù)器上的文件如同位于網(wǎng)絡(luò)上的一個位置一樣，對外提供同一種服務(wù)。在云存儲下，審計人員無法確切地知道被審計單位存儲的數(shù)據(jù)以及計算過程發(fā)生在哪臺服務(wù)器中，也無法區(qū)分被審計單位與其他用戶的數(shù)據(jù)，審計人員獲取充分適當(dāng)?shù)膶徲嬜C據(jù)就會更加復(fù)雜。

3、對審計技術(shù)與方法的影響

隨著信息技術(shù)的高速發(fā)展，被審計單位的數(shù)據(jù)量有不斷增加的趨勢，從海量數(shù)據(jù)中發(fā)現(xiàn)問題的難度也隨之增加。數(shù)據(jù)挖掘的數(shù)據(jù)規(guī)模越來越大，數(shù)據(jù)挖掘的對象也越來越復(fù)雜，審計部門發(fā)展基于云的數(shù)據(jù)挖掘技術(shù)也是大勢所趨。基于云計算的數(shù)據(jù)挖掘可以進(jìn)行分布式并行數(shù)據(jù)挖掘，實現(xiàn)高效實時的挖掘?；谠朴嬎愕某掷m(xù)監(jiān)控將促進(jìn)持續(xù)審計的發(fā)展。審計人員將審計程序、技術(shù)與方法存儲在云端，對被審計單位云中的數(shù)據(jù)進(jìn)行持續(xù)的監(jiān)控和審計，在發(fā)現(xiàn)異常時第一時間發(fā)出安全警報，告知審計人員。

4、對審計風(fēng)險的影響

首先云計算本身的安全風(fēng)險會帶來審計風(fēng)險。審計人員在傳輸被審計單位信息和審計信息的過程中有沒有遺失、被截取，存儲的電子信息有沒有被攻擊、刪除、盜用、破壞。雖然存儲于云端的用戶信息應(yīng)當(dāng)歸屬于用戶，但是“云服務(wù)”供應(yīng)商具有控制權(quán)，供應(yīng)商可能在沒有得到用戶允許的情況下有意或無意的刪除或轉(zhuǎn)讓其信息，在服務(wù)結(jié)束時或者在用戶刪除數(shù)據(jù)時仍保留備份。其次是法律責(zé)任帶來的審計風(fēng)險，即存儲于服務(wù)器中的電子記錄是否可以作為有效的證據(jù)，在法庭上證明審計人員已遵守相關(guān)執(zhí)業(yè)準(zhǔn)則、規(guī)則確定的工作程序并保持了應(yīng)有的職業(yè)謹(jǐn)慎，不存在過失。

5、對審計依據(jù)的影響

云計算環(huán)境下審計內(nèi)容、審計證據(jù)、審計技術(shù)與方法、審計風(fēng)險等都發(fā)生了變化，應(yīng)建立與之相適應(yīng)的審計準(zhǔn)則，包括審計人員執(zhí)業(yè)標(biāo)準(zhǔn)，云審計報告標(biāo)準(zhǔn)，審計人員相關(guān)責(zé)任認(rèn)定標(biāo)準(zhǔn)等。同時法律法規(guī)也應(yīng)該賦予審計人員進(jìn)行云審計和對供應(yīng)商進(jìn)行審計的權(quán)利，合理劃分審計人員、被審計單位和供應(yīng)商關(guān)于信息安全的法律責(zé)任。

6、對審計人員的影響

為了做好云審計的工作，審計人員除了掌握必要的審計知識、熟悉相關(guān)法律法規(guī)、執(zhí)業(yè)準(zhǔn)則外，還應(yīng)學(xué)會操作使用計算機(jī)，掌握一定的網(wǎng)絡(luò)、云計算知識，了解支撐審計系統(tǒng)的軟硬件系統(tǒng)，并能操作處理云環(huán)境下審計程序所必需的電子數(shù)據(jù)。

三、云計算環(huán)境下給政府審計帶來的機(jī)遇

云審計是中國注冊會計師率先提出的概念，到目前為止還沒有系統(tǒng)的闡述?？梢哉f，云審計就是在云計算的基礎(chǔ)上搭建一個平臺，將所有的審計信息上傳到云中，審計人員共享云中的所有數(shù)據(jù)和資源，使審計資源得到充分利用。這是信息技術(shù)發(fā)展中的一種必然變化，也是新時期下審計的一種需求。

1、推廣聯(lián)網(wǎng)審計

聯(lián)網(wǎng)審計是一個復(fù)雜的系統(tǒng)工程，據(jù)測算，開展以地稅、社會保障等部門和會計結(jié)算中心為重點的聯(lián)網(wǎng)審計，僅建設(shè)成本每項都在百萬元以上，這對于很多地方審計部門是難以承受的，這也是聯(lián)網(wǎng)審計無法推廣的重要原因之一。云審計不需要任何基建投資，不需要硬件購置成本、支付維護(hù)成本，不需要支付管理軟件升級費用，也不需要進(jìn)行專門的人才培訓(xùn)，只需要租用供應(yīng)商的服務(wù)器和軟件服務(wù)，根據(jù)使用的服務(wù)量付費。既可以滿足各種可能的計算數(shù)據(jù)量的需求，也不會產(chǎn)生購置成本。因此，云計算技術(shù)的運用在一定程度上可以降低聯(lián)網(wǎng)審計的成本，在市、縣級審計部門推廣。被審計單位不愿配合審計工作也是聯(lián)網(wǎng)審計難以展開的重要原因。在實務(wù)中，許多被審計單位會以保護(hù)信息安全、聯(lián)網(wǎng)影響日常工作等理由拒絕與審計部門聯(lián)網(wǎng)，這給聯(lián)網(wǎng)審計的展開帶來了很大的阻礙。電子政務(wù)云環(huán)境下，政府部門的數(shù)據(jù)都存儲在“云”上，審計人員可以不受限制的直接從云上獲取需要的信息，不受被審計單位的約束。

2、提高審計效率

由于云供應(yīng)商擁有龐大的服務(wù)器系統(tǒng)，在云上面的海量數(shù)據(jù)可以分解成無數(shù)個子程序，然后交給服務(wù)器處理，高效的實現(xiàn)對海量數(shù)據(jù)的分析處理，獲得超級計算機(jī)才擁有的強(qiáng)大處理能力、巨量數(shù)據(jù)存儲及復(fù)雜數(shù)據(jù)分析能力，這將大大提高審計的效率。同時，在有多個辦公地點的情況下，一個辦公地點的審計人員在云審計平臺輸入的審計證據(jù)、審計結(jié)論，另一辦公地點的審計人員可同步看到，節(jié)省了傳遞的時間，加強(qiáng)了審計的銜接性。同時，隨著移動設(shè)備的不斷普及，審計人員可以將文件傳送到云服務(wù)器，然后下載到移動設(shè)備上，需要時直接打開進(jìn)行修改，然后上傳至云端，工作的便利性得到大大地提高。

3、實現(xiàn)審計信息共享

由于審計部門設(shè)置的問題，重復(fù)審計的現(xiàn)象時有發(fā)生。審計部門擬審計項目可能已經(jīng)由內(nèi)部審計機(jī)構(gòu)、社會中介組織審計過，或者在本年度已經(jīng)有其他級別審計部門審計過，或者審計部門在同一年度內(nèi)對同一單位擬安排多個審計項目，項目內(nèi)容出現(xiàn)重疊，或者其他監(jiān)管單位也實施了相似的監(jiān)管活動，這都造成了審計資源的浪費。云審計平臺下，各級審計部門收集的資料，采集、生成的數(shù)據(jù)，不再分塊存儲在各個審計部門自己的服務(wù)器上，而是分類存儲在同一資源池里，各級審計部門共享信息，及時獲取其他部門審計信息。同時，由內(nèi)部審計機(jī)構(gòu)、社會中介組織、其他監(jiān)管機(jī)構(gòu)進(jìn)行的審計或監(jiān)管活動的信息也存儲在資源池中，審計部門可以在認(rèn)真審核的基礎(chǔ)上充分利用其結(jié)果，避免重復(fù)審計。

4、提高審計客觀性

客觀性除了同審計人員的專業(yè)判斷以及與被審計單位是否保持獨立有關(guān)外，還同選擇的審計程序有關(guān)。由于存儲在云上的審計軟件是在綜合考慮各方因素，聽取專家意見和建議的基礎(chǔ)上設(shè)計完成的，只允許審計人員從中篩選出合適的審計程序執(zhí)行，有些必要的審計程序如風(fēng)險評估不會因為審計人員的主觀判斷而被規(guī)避，從而提高了審計的客觀性。當(dāng)然，如果某個審計人員認(rèn)為增加新的審計程序或改進(jìn)云中原有的審計程序能更加有效地達(dá)到審計目的，可以在經(jīng)過討論后報相關(guān)部門批準(zhǔn)在云中進(jìn)行增加或修改。

四、云計算環(huán)境下給政府審計帶來的挑戰(zhàn)

無論在理論研究上還是產(chǎn)業(yè)界的實際運用上，云計算都展現(xiàn)了其特有的優(yōu)勢，被越來越多的單位所接受，但是在其發(fā)展還不夠完善，相應(yīng)標(biāo)準(zhǔn)還不健全的情況下，仍存在一定的風(fēng)險，對審計人員提出了挑戰(zhàn)。

1、審計部門云計算的安全性

云計算在復(fù)雜的網(wǎng)絡(luò)環(huán)境中形成了龐大的數(shù)據(jù)中心，在為用戶帶來方便的同時也面臨著巨大的安全挑戰(zhàn)。審計部門將被審計單位的數(shù)據(jù)、審計程序等信息存儲在云上，其安全性受到很大的挑戰(zhàn):

(1)受到第三方的惡意攻擊。只要在供應(yīng)商處進(jìn)行注冊，任何人或單位都可以享受云計算提供的服務(wù)，低門檻的準(zhǔn)入制度，增加了除審計人員和供應(yīng)商以外第三方對信息進(jìn)行篡改、刪除等惡意攻擊的可能性，這都給審計部門信息安全帶來了很大的威脅。

(2)供應(yīng)商內(nèi)部人員的惡意攻擊。除了外部第三方的惡意攻擊外，供應(yīng)商內(nèi)部人員也有惡意攻擊的可能性，并且因員工授權(quán)或者熟悉相關(guān)程序等原因比外部人員更容易接觸到機(jī)密數(shù)據(jù)，進(jìn)行篡改、刪除，且不容易被發(fā)現(xiàn)。內(nèi)部人員惡意攻擊造成的安全性威脅比外部人員的更大。

(3)數(shù)據(jù)丟失或泄露。云計算給用戶和云供應(yīng)商帶來了數(shù)據(jù)保護(hù)的風(fēng)險。在某些情況下，審計部門很難清楚的了解云供應(yīng)商對審計數(shù)據(jù)處理的過程，以確保審計數(shù)據(jù)是真實完整，沒有丟失或泄露的。特別是當(dāng)數(shù)據(jù)在多個不同的云之間傳送時，這個問題更加嚴(yán)重，數(shù)據(jù)很可能丟失，或者泄露給其他方。這將不利于審計人員對信息的保密，也會給被審計單位造成損失。

(4)網(wǎng)絡(luò)的可靠性和穩(wěn)定性。云服務(wù)是通過互聯(lián)網(wǎng)來提供的，因此網(wǎng)絡(luò)的可靠性和穩(wěn)定性是必要的。數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)倪^程中很可能受到攻擊，進(jìn)而影響審計人員獲取數(shù)據(jù)的真實完整。雖然在云計算中，當(dāng)一個節(jié)點無法工作的時候可以將數(shù)據(jù)傳輸?shù)搅硪粋€節(jié)點進(jìn)行工作，但是也不能完全避免所有節(jié)點都不能工作的情況，如果網(wǎng)絡(luò)傳輸中斷，審計工作就無法繼續(xù)展開。

2、被審計單位責(zé)任劃分

相關(guān)審計單位應(yīng)避免重復(fù)發(fā)布政策法規(guī)、通知文件，應(yīng)實現(xiàn)信息共享。如果政策法規(guī)存在錯誤，給國家造成浪費損失時，對追責(zé)對象的認(rèn)定就會很困難，在我國政府部門職責(zé)設(shè)置不清晰的情況下，資源整合后各部門間更可能會互相推諉，審計處理處罰權(quán)的落實就更加難上加難了。

3、被審計單位內(nèi)部控制測試

電子政務(wù)云下由于許多資源實現(xiàn)了整合，很多政府部門都可以從云上獲取資源，如何劃分訪問、下載、分析資源的權(quán)限是一個難題。在我國現(xiàn)有政治體制下，存在嚴(yán)重的部門混亂，管理重疊的問題，要劃分權(quán)限，首先要明確相應(yīng)的管理職責(zé)，所以審計人員很難評價內(nèi)部控制權(quán)限設(shè)置是否合理。

電子政務(wù)云的“云”需要由第三方供應(yīng)商提供，政府單位的資源存儲在供應(yīng)商處，要測試內(nèi)部控制就需要得到供應(yīng)商的允許，但目前還沒有相關(guān)的法律法規(guī)授予審計人員測試“云”上內(nèi)部控制的權(quán)限。要對被審計單位內(nèi)部控制進(jìn)行測試就必須準(zhǔn)確劃分相應(yīng)單位的內(nèi)部控制，但云中的內(nèi)部控制系統(tǒng)是一個綜合系統(tǒng)，審計人員很難對單個用戶內(nèi)部控制測試，也不可能對云計算中的所有用戶內(nèi)部控制進(jìn)行評審后得出被審計企業(yè)內(nèi)部控制是否有效的結(jié)論。

4、信息轉(zhuǎn)移風(fēng)險

電子政務(wù)云的實施需要被審計單位現(xiàn)有的業(yè)務(wù)盡可能遷移到云平臺上，在這個過程中存在以下風(fēng)險:一是安全性風(fēng)險。業(yè)務(wù)遷移過程中可能受到黑客攻擊，刪除、篡改數(shù)據(jù)或者程序。二是內(nèi)容連貫性和完整性風(fēng)險。業(yè)務(wù)遷移過程中被審計單位有意或無意的遺漏或刪除部分信息，破壞原有的連貫性和完整性。三是功能風(fēng)險。新文件格式對原文件格式可能不兼容，需要對檢索界面進(jìn)行修改，原文件格式的一些信息增值在遷移過程中丟失等。另外還可能存在有些信息暫時不能遷移，需要做好云平臺與現(xiàn)有平臺銜接工作，或者遷移的信息在云平臺上無法穩(wěn)定運行需要回退等風(fēng)險。在信息轉(zhuǎn)移過程中審計人員需要獲取信息是否被準(zhǔn)確完整轉(zhuǎn)移，未被轉(zhuǎn)移的信息是否適當(dāng)?shù)茸C據(jù)，由于之前沒有該類審計經(jīng)驗，這對審計人員的工作提出了挑戰(zhàn)。

5、對供應(yīng)商的審計

由于供應(yīng)商提供的服務(wù)安全性對審計證據(jù)的真實完整有很大的影響，而云計算本身又存在一些安全問題，審計人員還需要對供應(yīng)商提供的云計算服務(wù)進(jìn)行審計。然而在目前實際工作中，云計算供應(yīng)商都不允許審計人員對其提供的服務(wù)進(jìn)行審計，因此審計人員只能相信供應(yīng)商提供的信息，增加了審計的風(fēng)險。

云計算是信息技術(shù)領(lǐng)域的新生事物，它的發(fā)展時間并不長，其理念及技術(shù)還一直在不斷地完善，在運用過程中也存在一些安全問題，但是隨著新技術(shù)的不斷出現(xiàn)和原有技術(shù)的不斷改進(jìn)，其在包括審計部門在內(nèi)的政府部門中推廣已經(jīng)成為不可避免的趨勢。相信在不久的將來，政府審計將依托于云審計平臺獲得更廣闊的發(fā)展和創(chuàng)新。

［1］鄧川，楊文鶯.基于云審計的會計師事務(wù)所機(jī)遇、挑戰(zhàn)及對策［J］.財會通訊，2012，(10):83－84.

［2］鄧見光，潘曉衡，袁華強(qiáng).云存儲及其分布式文件系統(tǒng)研究［J］.東莞理工學(xué)院學(xué)報，2012，(10):41－46.

［3］馮登國，張敏，張妍，徐震.云計算安全研究［J］.軟件學(xué)報，2011，(1):71－83.

［4］高富平.“云計算”的法律問題及其對策［J］.法學(xué)雜志，2012，(6):7－11.

［5］賀瑤，王文慶，薛飛.基于云計算的海量數(shù)據(jù)挖掘研究［J］.計算機(jī)技術(shù)與發(fā)展，2013，(2):69－72.

［6］秦榮生.云計算的發(fā)展及其對會計、審計的挑戰(zhàn)［J］.當(dāng)代財經(jīng)，2013，(1):111－117.

［7］王德政，申山宏，周寧寧.云計算環(huán)境下的數(shù)據(jù)存儲［J］.計算機(jī)技術(shù)與發(fā)展，2011，(4):81－84.

［8］文峰.云計算與云審計——關(guān)于未來審計的概念與框架的一些思考［J］.中國注冊會計師，2011，(2):98－103.

［9］Wang L，Tao J，Kunze M，et al.Scientific cloud computing:Early definition and experience［C］//Proceedings of the 10th IEEE Inter－national Conference on High Performance Computing and Communications，2008:825－830.