康萍

中圖分類號：F233 文獻(xiàn)標(biāo)識碼：A 文章編號：1002-5812（2016）21-0042-03

摘要：云計算是一項新興技術(shù)，由于其低成本、高效率等獨(dú)特優(yōu)勢，逐漸被越來越多的企業(yè)所接納，其對會計信息系統(tǒng)的影響勢必將影響到企業(yè)內(nèi)部控制及審計，而內(nèi)部控制及審計對提高會計信息質(zhì)量、保護(hù)生產(chǎn)和經(jīng)營活動順利進(jìn)行以及創(chuàng)造企業(yè)價值至關(guān)重要。文章通過文獻(xiàn)分析法，梳理了云計算的概念及其特征，分析了云計算對信息化環(huán)境下企業(yè)內(nèi)部控制及審計的影響，并提出相關(guān)應(yīng)對策略，為企業(yè)在云環(huán)境下實施內(nèi)部控制及審計提供參考。

關(guān)鍵詞：云計算 內(nèi)部控制及審計 影響 應(yīng)對策略 文獻(xiàn)分析法

一、引言

云計算作為一項新興技術(shù)，近幾年在我國發(fā)展迅速，它正改變著世界的各個領(lǐng)域，會計、審計等也不例外?；谠朴嬎愕钠髽I(yè)管理信息系統(tǒng)、云審計等必將成為企業(yè)信息化及審計的未來發(fā)展趨勢，由此將帶來一場基于云計算的重大變革。雖然自云計算引進(jìn)后，云會計、云審計已被熟知，但目前的研究都集中在云會計、云審計的概念及云計算對會計信息化、審計業(yè)務(wù)模式等的影響方面，而對內(nèi)部控制及審計影響的研究卻很少。內(nèi)部控制作為企業(yè)內(nèi)部的一種管理制度，對企業(yè)提升自身管理水平、提高風(fēng)險防御能力及創(chuàng)造企業(yè)價值至關(guān)重要；內(nèi)部控制審計是通過系統(tǒng)規(guī)范的方法來保證內(nèi)部控制系統(tǒng)的高效及有效性。因此，正確認(rèn)識云計算對內(nèi)部控制及審計的影響，對企業(yè)設(shè)計有效的內(nèi)部控制系統(tǒng)至關(guān)重要。

二、云計算及其特征

目前，云計算還沒有一個統(tǒng)一的定義，在眾多定義中，美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）的定義得到大多數(shù)學(xué)者的認(rèn)可：“云計算是一種模式，它可以隨時隨地地、便捷地、隨需應(yīng)變地從可配置計算資源共享池中獲取所需的資源（如網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用及服務(wù)），這些資源能夠快速供應(yīng)與釋放，同時最大限度地減少資源管理的工作量和用戶與服務(wù)提供商間的互動。”

云計算具有以下特點(diǎn)：（1）可擴(kuò)展性和靈活性。企業(yè)可以隨著規(guī)模變動購買相應(yīng)資源，不會因為內(nèi)存不夠影響存儲導(dǎo)致數(shù)據(jù)丟失，也不會因為企業(yè)擴(kuò)大規(guī)模導(dǎo)致軟、硬件無法滿足需求，同時還能減少資源浪費(fèi)。（2）按需服務(wù)和計費(fèi)。企業(yè)可以根據(jù)自己的需求購買相應(yīng)的服務(wù)，即付即用。（3）低成本。購買云計算服務(wù)后，企業(yè)無需購買財務(wù)軟件，也無需配備設(shè)備、軟件維護(hù)人員。企業(yè)經(jīng)營規(guī)模、經(jīng)營內(nèi)容改變，無需重新購買財務(wù)處理軟件。（4）可靠性和通用性。云端通過“數(shù)據(jù)多副本容錯、計算節(jié)點(diǎn)同構(gòu)可互換”等措施，使其比本地計算機(jī)更可靠。同時，企業(yè)數(shù)據(jù)均存儲在云端，各部門人員可以隨時根據(jù)授權(quán)進(jìn)行查看、調(diào)用，不同人員錄入的相同信息可以在云端進(jìn)行比對，大大減少了因疏忽而犯錯的機(jī)會。（5）大規(guī)模。各大云服務(wù)提供商擁有大規(guī)模的服務(wù)器，大規(guī)模集中化數(shù)據(jù)中心提供服務(wù)成為趨勢。（6）高效率。各部門人員在各自終端直接錄入云端，再通過云核算進(jìn)行審核，無需層層上報、層層審批，決策人員、管理人員可以第一時間拿到一手?jǐn)?shù)據(jù)，節(jié)省時間，提高效率，避免因資料到手不及時而延誤投資決策機(jī)會。

三、云計算對內(nèi)部控制及審計的影響

（一）云計算為企業(yè)內(nèi)部控制及審計帶來的機(jī)遇

云計算可以為企業(yè)降低成本、節(jié)約時間、提高效率，為企業(yè)定量評估風(fēng)險、持續(xù)監(jiān)督提供可能，同時還能規(guī)避審計抽樣風(fēng)險、促進(jìn)持續(xù)審計方式。

1.降低成本。在傳統(tǒng)模式下，企業(yè)需要花費(fèi)大量成本購買和定期維護(hù)軟、硬件設(shè)備，配備專門的技術(shù)人員對系統(tǒng)流程設(shè)計進(jìn)行優(yōu)化，極大限制了中小企業(yè)的發(fā)展。而對于擁有眾多子公司的大集團(tuán)來說，各子公司系統(tǒng)相互獨(dú)立，無法及時進(jìn)行數(shù)據(jù)交換，資源不能交流共享，缺乏統(tǒng)一規(guī)劃、控制及規(guī)范標(biāo)準(zhǔn)。而在云計算環(huán)境下，企業(yè)只需要向云服務(wù)提供商購買云服務(wù)，提供商自行開發(fā)內(nèi)部控制系統(tǒng)、審計系統(tǒng)，優(yōu)化系統(tǒng)流程，并且對服務(wù)進(jìn)行后期維護(hù)。對于大型集團(tuán)，企業(yè)只需購買同一內(nèi)部控制系統(tǒng)及審計系統(tǒng)，對系統(tǒng)的后期維護(hù)及修改完善只需對云服務(wù)器而非各子公司系統(tǒng)進(jìn)行相應(yīng)操作，大大降低了企業(yè)成本。隨著IT虛擬技術(shù)的發(fā)展，已經(jīng)實現(xiàn)虛擬桌面、虛擬應(yīng)用平臺等，因此在客戶端只需耗費(fèi)少量CPU和內(nèi)存，降低對硬件設(shè)備的要求，減少其購買及后期維護(hù)成本。此外，由于云計算按需購買、即付即用的特征，企業(yè)可以根據(jù)自身規(guī)模購買相應(yīng)的云服務(wù)，減少資源浪費(fèi)，后期如果企業(yè)擴(kuò)大經(jīng)營規(guī)?；蛘吒淖兘?jīng)營內(nèi)容，無需將軟、硬件設(shè)備全部更換，只需購買或更換云服務(wù)，不僅縮減成本，還降低了由于更換軟、硬件設(shè)備而影響企業(yè)正常運(yùn)營的風(fēng)險。同時，云計算環(huán)境下，數(shù)據(jù)均存儲在云端，大大減少內(nèi)部控制風(fēng)險評估及內(nèi)部審計人員獲取及分析數(shù)據(jù)的成本。

2.節(jié)約時間，提高效率。企業(yè)選擇云計算服務(wù)后，會計數(shù)據(jù)直接傳到云端，各人員經(jīng)過授權(quán)對數(shù)據(jù)進(jìn)行查看、校對、修改，數(shù)據(jù)無需從下到上層層上報，可以及時、準(zhǔn)確地收集、傳遞與內(nèi)部控制相關(guān)的信息，精簡財會人員，優(yōu)化組織結(jié)構(gòu)，節(jié)約成本，提高內(nèi)部控制效率。對于大型集團(tuán)，母公司可以及時掌握各子公司情況，各子公司間信息溝通更為方便及時。內(nèi)部控制體系優(yōu)化了控制手段，在一定程度上可以擺脫對實體控制方法、控制工具和控制崗位的依賴，原傳統(tǒng)措施可以被云服務(wù)提供的控制功能取代，由此可以減少很多傳統(tǒng)的控制點(diǎn)，使內(nèi)部控制流程更流暢，控制效率更高。此外，企業(yè)的董事、高層管理人員、投資者等利益相關(guān)者和外部監(jiān)管機(jī)構(gòu)均能登錄云端進(jìn)行數(shù)據(jù)查詢，確保信息在企業(yè)內(nèi)部與外部均能進(jìn)行有效的溝通，大大完善了對舞弊的控制，提高了內(nèi)部控制效率。

內(nèi)部審計人員可以隨時登錄系統(tǒng)進(jìn)行審計，無需花費(fèi)大量時間在收集數(shù)據(jù)上，也無需關(guān)注數(shù)據(jù)的存儲，可以更加專注于分析數(shù)據(jù)、發(fā)現(xiàn)問題，有利于形成良好的審計氛圍，降低審計風(fēng)險。同時，針對不同方面的審計，內(nèi)部審計系統(tǒng)篩選降低數(shù)據(jù)重復(fù)率，避免審計人員面對一大堆原始數(shù)據(jù)無從下手的尷尬，從而節(jié)約大量時間，提高審計效率。在云服務(wù)提供商對各行業(yè)提供的內(nèi)部審計程序中選擇適合本企業(yè)的審計程序，并根據(jù)企業(yè)自身特點(diǎn)與提供商溝通進(jìn)行細(xì)微調(diào)整，相比企業(yè)自行研究、開發(fā)審計系統(tǒng)，不僅節(jié)約了時間、成本，而且審計程序的分析也將更加全面，還可能分析到企業(yè)原本忽視的重要問題，除此之外，還能避免企業(yè)自身主觀上刪減審計程序，使審計程序更加客觀，提高審計證據(jù)質(zhì)量和審計客觀性。

3.定量評估，持續(xù)監(jiān)督風(fēng)險成為可能。識別風(fēng)險不僅要通過感性認(rèn)識和經(jīng)驗判斷，更要借助統(tǒng)計資料，通過風(fēng)險記錄進(jìn)行歸納、整理、總結(jié)；風(fēng)險分析也需將定量方法與定性方法相結(jié)合，定量方法可以提高分析精確度。云計算環(huán)境使得獲取統(tǒng)計資料、風(fēng)險記錄并對其進(jìn)行歸納、定量分析等成為可能，降低了信息不對稱帶來的風(fēng)險，提高了效率。同時，云計算授權(quán)登錄，進(jìn)行權(quán)責(zé)分配，能夠減少管理層凌駕于控制之上的風(fēng)險。監(jiān)督是實施內(nèi)部控制的重要保證，有助于及時發(fā)現(xiàn)內(nèi)部控制缺陷并加以改進(jìn)。云計算環(huán)境下，更容易獲得內(nèi)部控制執(zhí)行的證據(jù)，通過查看日志文件，可以獲得誰登陸了系統(tǒng)，增加、刪除、修改了哪些數(shù)據(jù)，進(jìn)行了怎樣的活動等詳細(xì)信息。內(nèi)部控制記錄和資料也便于保存和查看，為持續(xù)監(jiān)督提供了可能。

4.規(guī)避審計抽樣風(fēng)險，方便持續(xù)審計。傳統(tǒng)審計方式下，審計百分之百的總體太過于浪費(fèi)時間與成本，通常情況下，企業(yè)均需要使用審計抽樣技術(shù)來降低時間和成本上的耗費(fèi)，但也因此必須承擔(dān)用樣本推斷總體帶來的巨大風(fēng)險。使用云服務(wù)后，審計系統(tǒng)會進(jìn)行審計分析，而這種分析的高效率，使全面審計成為可能，從而有效規(guī)避了審計抽樣帶來的風(fēng)險。

由于各部門人員將數(shù)據(jù)實時傳輸在云端，內(nèi)部審計人員可以及時對數(shù)據(jù)進(jìn)行查看、分析，進(jìn)行持續(xù)審計，可以對內(nèi)部控制的適當(dāng)性、有效性及時作出評價，發(fā)現(xiàn)問題時，也可以及時向企業(yè)高層人員及內(nèi)部控制制定、實施人員進(jìn)行溝通，提出整改意見，保證內(nèi)部控制系統(tǒng)適當(dāng)、有效運(yùn)行。

（二）云計算為企業(yè)內(nèi)部控制及審計帶來的風(fēng)險

1.數(shù)據(jù)保密及信息安全風(fēng)險。云計算環(huán)境下，數(shù)據(jù)均存儲在云端，企業(yè)自身喪失對數(shù)據(jù)的控制。云計算將企業(yè)會計信息分為三層：云端、管道、客戶端，雖然客戶端對數(shù)據(jù)的控制權(quán)降低使得客戶端層面信息泄露可能性降低，但在云端服務(wù)器及數(shù)據(jù)傳輸過程中遭到黑客入侵的可能性大大增強(qiáng)。若云端服務(wù)器被攻擊或受到自然災(zāi)害影響，會計數(shù)據(jù)的丟失及其恢復(fù)均會給企業(yè)帶來巨大損失。信息與溝通是實施內(nèi)部控制的重要條件，對于提高企業(yè)經(jīng)營活動效率至關(guān)重要，對于實現(xiàn)企業(yè)目標(biāo)不可或缺。云服務(wù)系統(tǒng)中，各模塊間有大量數(shù)據(jù)進(jìn)行傳遞，各母子公司間也有大量信息溝通，不僅降低了信息溝通的效率，還增加了傳輸過程中的信息安全風(fēng)險。云服務(wù)提供商如果由于利益驅(qū)使，為獲取利益出賣企業(yè)核心數(shù)據(jù)，同樣會給企業(yè)帶來不可估量的災(zāi)難。

2.增加風(fēng)險評估及控制活動的難度。由于IT人員不懂內(nèi)部控制，而內(nèi)部控制人員又不懂IT，若雙方交流出現(xiàn)理解偏差，將直接導(dǎo)致內(nèi)部控制系統(tǒng)失效，增加內(nèi)部控制系統(tǒng)的可信性風(fēng)險。若系統(tǒng)是動態(tài)定制模式，服務(wù)提供商可能無法根據(jù)內(nèi)部控制出現(xiàn)的問題及時進(jìn)行修訂，使得監(jiān)督活動相對滯后?，F(xiàn)如今是大數(shù)據(jù)時代，各種數(shù)據(jù)充斥于網(wǎng)絡(luò)中，判斷收集的數(shù)據(jù)的可靠性、可用性及對數(shù)據(jù)進(jìn)行篩選、整理、加工是一項很龐大的工作。云計算為企業(yè)內(nèi)部控制帶來新型風(fēng)險，但內(nèi)部控制人員對新型風(fēng)險不了解，也沒有防范意識。除了傳統(tǒng)的職責(zé)分工控制、授權(quán)審批控制等，云計算增加了系統(tǒng)中各模塊的數(shù)據(jù)傳輸及業(yè)務(wù)處理的復(fù)雜性，企業(yè)獲得數(shù)據(jù)的可靠性、可用性等都需要內(nèi)部控制進(jìn)行相關(guān)控制。同時，云服務(wù)作為企業(yè)的無形資產(chǎn)易被轉(zhuǎn)移，其價值的評估、折舊的計算等也為財產(chǎn)控制活動帶來挑戰(zhàn)。

3.審計證據(jù)及審計程序風(fēng)險。在云計算環(huán)境下，審計證據(jù)絕大多數(shù)都被電子化，而電子證據(jù)具有不可見性、網(wǎng)絡(luò)性和可遷移性，為內(nèi)部審計人員獲取證據(jù)增加了難度。由于內(nèi)部控制系統(tǒng)針對云環(huán)境做出了相應(yīng)的改變，內(nèi)部審計需要著重關(guān)注新型內(nèi)部控制系統(tǒng)的適當(dāng)性和有效性，由于缺乏相關(guān)方面的經(jīng)驗，也沒有歷史數(shù)據(jù)可供參考，為內(nèi)部審計人員設(shè)計、實施審計程序帶來極大挑戰(zhàn)。

4.新型人才缺乏風(fēng)險。由傳統(tǒng)內(nèi)部控制向云計算環(huán)境下內(nèi)部控制的轉(zhuǎn)變，也突出了我國既懂云計算又懂內(nèi)部控制及審計的復(fù)合型人才的缺失。目前，企業(yè)財會人員對云計算環(huán)境及其帶來的風(fēng)險不甚了解，削弱了內(nèi)部控制系統(tǒng)的有效性。由于云計算還是新興事物，對內(nèi)部控制及審計人員相關(guān)云計算知識的培訓(xùn)還沒引起應(yīng)有的重視，云計算相關(guān)專業(yè)技能不能滿足云環(huán)境內(nèi)部控制及審計的要求。更為重要的是，由于這種新型人才的缺乏，使得與云服務(wù)提供商進(jìn)行溝通，設(shè)計合理、有效、個性化的內(nèi)部控制系統(tǒng)和內(nèi)部審計系統(tǒng)這一關(guān)鍵活動被阻礙，大大增加了系統(tǒng)不合理的風(fēng)險。

四、云計算下企業(yè)內(nèi)部控制及審計的應(yīng)對策略

企業(yè)應(yīng)該抓住云計算為內(nèi)部控制及審計帶來的機(jī)遇，充分利用云計算的優(yōu)勢發(fā)展企業(yè)。同時，更要在識別風(fēng)險的基礎(chǔ)上，積極應(yīng)對云計算帶來的風(fēng)險，盡可能降低風(fēng)險，提高內(nèi)部控制及審計的有效性，促進(jìn)企業(yè)價值的實現(xiàn)。

（一）數(shù)據(jù)保密及信息安全風(fēng)險的應(yīng)對策略

內(nèi)部控制人員在選擇云服務(wù)提供商時，應(yīng)特別關(guān)注提供商的信譽(yù)并對其信譽(yù)進(jìn)行評價，從第三方評估機(jī)構(gòu)獲取其可信性評價報告，進(jìn)行風(fēng)險評估；與其簽訂保密協(xié)議，不可以將關(guān)鍵數(shù)據(jù)在未經(jīng)允許的情況下透露給第三方。同時，評價其服務(wù)在數(shù)據(jù)資源、基礎(chǔ)設(shè)施、軟件程序、云端服務(wù)、安全管理等方面的處理及保證效果。例如，云服務(wù)提供商是否使用數(shù)據(jù)分塊技術(shù)對數(shù)據(jù)進(jìn)行存儲，將數(shù)據(jù)備份到不同地理位置以提供更好的容錯機(jī)制，從而提高數(shù)據(jù)存儲的高可用性及持久性；謹(jǐn)慎判斷所購買云服務(wù)各模塊網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)良程度、聯(lián)通效果及傳輸效率，是否為企業(yè)數(shù)據(jù)的上傳、下載提供持續(xù)穩(wěn)定保護(hù)。在授權(quán)方面，內(nèi)部控制要著重監(jiān)督被黑客攻擊及密鑰加密、管理等方面的問題；新增控制點(diǎn)，及時評估數(shù)據(jù)安全性和隱私性等企業(yè)外部風(fēng)險。內(nèi)部審計不僅要審計內(nèi)部控制系統(tǒng)，還要審計云計算的服務(wù)提供商、云資源的安全及隱私等問題。增加專項審計，不定期評估數(shù)據(jù)存儲的安全性、各模塊數(shù)據(jù)傳輸?shù)臏?zhǔn)確性等。及時備份內(nèi)控及審計數(shù)據(jù)，減小云服務(wù)遭到黑客攻擊或自然災(zāi)害時對內(nèi)部控制及審計的不利影響。

（二）風(fēng)險評估及控制活動風(fēng)險的應(yīng)對策略

企業(yè)需要及時優(yōu)化內(nèi)部控制環(huán)境，經(jīng)過多家云計算提供商的對比及服務(wù)試用，選擇與本企業(yè)相契合的云服務(wù)，設(shè)計相適應(yīng)的內(nèi)部控制系統(tǒng)。評價云服務(wù)提供商是否提供了軟件個性化設(shè)計，是否可以根據(jù)企業(yè)獨(dú)特特點(diǎn)進(jìn)行相應(yīng)更改。企業(yè)應(yīng)特別重視新增的控制活動風(fēng)險點(diǎn)，著重評估新增的控制點(diǎn)，評估內(nèi)部控制系統(tǒng)設(shè)計是否合理，其運(yùn)行是否有效。針對云服務(wù)，企業(yè)應(yīng)當(dāng)在日常監(jiān)督外再設(shè)置專項監(jiān)督，不定期地、針對性地評估云計算相關(guān)風(fēng)險。此外，還需強(qiáng)化內(nèi)部稽核，發(fā)揮內(nèi)部審計作用，對管理中存在的薄弱環(huán)節(jié)和內(nèi)部控制缺陷進(jìn)行及時反饋并進(jìn)行整改，加強(qiáng)內(nèi)部審計，拓展內(nèi)部審計范圍。對于云服務(wù)本身的評估和財產(chǎn)保護(hù)，尋求行之有效的方法進(jìn)行控制，如：嚴(yán)格控制購買云服務(wù)的過程，與企業(yè)使用云服務(wù)的人員簽訂保密協(xié)議，不能泄露本公司使用的會計處理各系統(tǒng)及上傳的企業(yè)原始數(shù)據(jù)等。

（三）審計證據(jù)及審計程序風(fēng)險的應(yīng)對策略

審計人員要想獲得充分、適當(dāng)?shù)膶徲嬜C據(jù)，就需要重點(diǎn)關(guān)注會計信息系統(tǒng)、內(nèi)部控制系統(tǒng)的數(shù)據(jù)源，查看系統(tǒng)日志數(shù)據(jù)，跟蹤審計證據(jù)，以防數(shù)據(jù)被不恰當(dāng)?shù)娜藶樾薷暮推茐摹?nèi)部審計人員還應(yīng)根據(jù)內(nèi)部控制系統(tǒng)的相應(yīng)改變調(diào)整審計程序，使其與內(nèi)部控制系統(tǒng)相適應(yīng)。內(nèi)部審計人員要與服務(wù)提供商及時溝通，根據(jù)企業(yè)內(nèi)部控制系統(tǒng)特點(diǎn)添加專項審計，并進(jìn)行測驗，保證審計程序有效性。

（四）新型人才缺乏風(fēng)險的應(yīng)對策略

企業(yè)應(yīng)重點(diǎn)培訓(xùn)內(nèi)部控制人員及內(nèi)部審計人員有關(guān)云計算的相關(guān)知識和潛在風(fēng)險，必要時及時引進(jìn)和開發(fā)懂云計算技術(shù)的新型人力資源，評估人力資源的勝任能力，保證內(nèi)部控制及審計工作正常運(yùn)行，推動云環(huán)境下內(nèi)部控制及審計的健康發(fā)展。企業(yè)文化也需要根據(jù)云計算環(huán)境做出相應(yīng)變更，積極培育新型企業(yè)文化，引導(dǎo)職工適應(yīng)云計算對企業(yè)帶來的改變及影響，規(guī)范新型環(huán)境下職工的道德準(zhǔn)則及行為，并及時對企業(yè)文化進(jìn)行評估。

五、結(jié)束語

云計算的發(fā)展、應(yīng)用在為企業(yè)內(nèi)部控制及審計帶來機(jī)遇的同時，也增加了諸多風(fēng)險，識別這些風(fēng)險并積極應(yīng)對，對企業(yè)實施內(nèi)部控制及審計至關(guān)重要。本文針對數(shù)據(jù)保密、信息安全，風(fēng)險評估、控制活動，審計證據(jù)、審計程序及人才缺乏方面的風(fēng)險提出應(yīng)對策略，為企業(yè)在云計算環(huán)境下內(nèi)部控制及審計的實施提供了有價值的參考作用。X

參考文獻(xiàn)：

[1]羊斌.基于云計算的虛擬技術(shù)在工商信息系統(tǒng)中的應(yīng)用[J].信息化研究，2014，（2）.

[2]趙婧.基于云計算的企業(yè)會計信息化分層數(shù)據(jù)安全問題與防范[J].中國注冊會計師，2013，（4）.

[3]張文峰.談全面風(fēng)險管理與內(nèi)部控制[J].商業(yè)會計，2005，（6）.

[4]程平，溫艷好.云會計對審計的影響及對策[J].中國注冊會計師，2013，（11）.

[5]秦榮生.大數(shù)據(jù)、云計算技術(shù)對審計的影響研究[J].審計研究，2014，（6）.