張?zhí)嵎?/p>

云審計(jì)作為審計(jì)技術(shù)的優(yōu)化創(chuàng)新迎合了大數(shù)據(jù)時(shí)代的審計(jì)新需求。通過對(duì)云計(jì)算的分析，認(rèn)為云審計(jì)服務(wù)可按照云計(jì)算服務(wù)框架分為IAAS、PAAS 和SAAS。在云計(jì)算IAAS、PAAS 和SAAS 等服務(wù)模式的基礎(chǔ)上，首先從被審計(jì)端、云端和審計(jì)終端三個(gè)視角構(gòu)建云審計(jì)應(yīng)用系統(tǒng)，然后具體分析其在實(shí)際應(yīng)用中可能存在的潛在風(fēng)險(xiǎn)。最后，從被審計(jì)端風(fēng)險(xiǎn)控制、云端風(fēng)險(xiǎn)控制、審計(jì)終端風(fēng)險(xiǎn)控制三個(gè)方面提出針對(duì)性的建議。

一、云計(jì)算與云審計(jì)概述

（一）云計(jì)算

云計(jì)算是在大數(shù)據(jù)時(shí)代背景下產(chǎn)生的一種全新的領(lǐng)先信息技術(shù)，其依靠虛擬化、大規(guī)模數(shù)據(jù)處理及分布式存儲(chǔ)等核心技術(shù)，實(shí)現(xiàn)了海量數(shù)據(jù)的實(shí)時(shí)采集上傳、加工匯總、分析及存儲(chǔ)等，有效擺脫了本地和遠(yuǎn)程計(jì)算機(jī)的限制，為用戶解決了數(shù)據(jù)中心管理、海量數(shù)據(jù)存儲(chǔ)空間、大規(guī)模數(shù)據(jù)處理分析以及應(yīng)用程序更新改造等現(xiàn)實(shí)性難題，用戶只要按需付費(fèi)就可隨時(shí)隨地便捷訪問和利用云資源，在提高服務(wù)質(zhì)量的同時(shí)還能有效降低運(yùn)行和維護(hù)成本。

（二）云審計(jì)

云審計(jì)是云計(jì)算技術(shù)與審計(jì)工作相結(jié)合的技術(shù)創(chuàng)新產(chǎn)物，即利用“云端”提供的云計(jì)算服務(wù)平臺(tái)，歸集和管理審計(jì)所需的各類資料和數(shù)據(jù)，對(duì)容納的數(shù)據(jù)進(jìn)行實(shí)時(shí)更新和有機(jī)集合，能夠智能控制對(duì)審計(jì)模型的選擇和使用，從而實(shí)現(xiàn)審計(jì)信息的數(shù)字化與智能化處理，促進(jìn)信息共享和溝通，保證審計(jì)質(zhì)量。隨著大數(shù)據(jù)時(shí)代的到來，云審計(jì)能夠依靠虛擬化、可動(dòng)態(tài)擴(kuò)展、大規(guī)模分布式計(jì)算模式等關(guān)鍵技術(shù)，將網(wǎng)絡(luò)上閑置存儲(chǔ)設(shè)備、計(jì)算能力、應(yīng)用軟件等資源集中起來，為審計(jì)主體提供包括數(shù)據(jù)采集、加工、匯總、分析和存儲(chǔ)等多元化、智能化、數(shù)字化的數(shù)據(jù)服務(wù)，降低審計(jì)主體對(duì)自建軟硬件設(shè)備的依賴，實(shí)現(xiàn)低成本高效率的審計(jì)作業(yè)服務(wù)。

二、云審計(jì)系統(tǒng)構(gòu)建

考慮到傳統(tǒng)審計(jì)技術(shù)難以適應(yīng)大數(shù)據(jù)時(shí)代產(chǎn)生的海量數(shù)據(jù)審計(jì)需求，本文借鑒云計(jì)算技術(shù)的數(shù)據(jù)存儲(chǔ)、分析、加工等優(yōu)勢(shì)，在兼顧審計(jì)成本、審計(jì)效率和數(shù)據(jù)安全的前提下，將云技術(shù)的數(shù)據(jù)處理優(yōu)勢(shì)融入審計(jì)實(shí)踐工作中，通過按需付費(fèi)直接使用云端提供的SAAS、PAAS、IAAS 等服務(wù)，對(duì)被審計(jì)端開展審計(jì)作業(yè)，可在提高審計(jì)效率的同時(shí)有效降低審計(jì)成本。

（一）在被審計(jì)端和審計(jì)終端融入第三方云計(jì)算服務(wù)提供商（簡稱“云端”）。

構(gòu)建一個(gè)由云端作為第三方服務(wù)中介、審計(jì)終端和被審計(jì)端作為用戶層的

云審計(jì)應(yīng)用系統(tǒng)。其中，被審計(jì)端應(yīng)按期匯總財(cái)務(wù)收支數(shù)據(jù)，在此過程中應(yīng)重點(diǎn)關(guān)注原始數(shù)據(jù)的完整性和真實(shí)性，防止人為刪減和更替數(shù)據(jù)，以保證數(shù)據(jù)源頭的完整、準(zhǔn)確和真實(shí)。同時(shí)，按照審計(jì)端的審計(jì)要求，及時(shí)通過云端接口技術(shù)將原始財(cái)務(wù)收支數(shù)據(jù)上傳至云端，并對(duì)傳輸數(shù)據(jù)進(jìn)行備份，防止數(shù)據(jù)上傳失敗或上傳不完整。

（二）云端根據(jù)審計(jì)終端需求，為其提供數(shù)據(jù)采集、數(shù)據(jù)加工轉(zhuǎn)換、數(shù)據(jù)分析和存儲(chǔ)以及審計(jì)分析報(bào)告等服務(wù)。主要服務(wù)內(nèi)容包括：

1.利用IAAS 層實(shí)現(xiàn)海量數(shù)據(jù)存儲(chǔ)。審計(jì)數(shù)據(jù)的爆炸性增長帶來了原始數(shù)據(jù)存儲(chǔ)空間不足的難題，傳統(tǒng)審計(jì)數(shù)據(jù)大多存儲(chǔ)在U 盤、硬盤或依靠磁介質(zhì)傳送到指定的數(shù)據(jù)存儲(chǔ)中心，容易造成數(shù)據(jù)缺失，存在數(shù)據(jù)安全性不高、共享性差等問題。而云端提供的存儲(chǔ)器、網(wǎng)絡(luò)資源和安全機(jī)制等為審計(jì)機(jī)關(guān)存儲(chǔ)海量數(shù)據(jù)提供了有利的硬件條件，再加上虛擬化技術(shù)和數(shù)據(jù)集群能夠?qū)⒉煌愋?、不同格式的存?chǔ)資源整合起來以統(tǒng)一的形式實(shí)現(xiàn)存儲(chǔ)服務(wù)，因此審計(jì)終端無須單獨(dú)配置存儲(chǔ)器、服務(wù)器等硬件設(shè)備，只要借助云平臺(tái)即可實(shí)現(xiàn)海量數(shù)據(jù)存儲(chǔ)目標(biāo)。

2.利用PAAS 層實(shí)現(xiàn)數(shù)據(jù)共享與加工。通過平臺(tái)層提供的應(yīng)用開發(fā)與設(shè)計(jì)模塊、數(shù)據(jù)緩存等標(biāo)準(zhǔn)化服務(wù)，能夠使得開發(fā)設(shè)計(jì)的審計(jì)軟件具有較好的兼容性和一致性，可以自由切換并實(shí)現(xiàn)不同格式數(shù)據(jù)之間的共享和傳輸，集成的應(yīng)用開發(fā)環(huán)境有效提高了所獲數(shù)據(jù)的有效性和共享性。同時(shí)，數(shù)據(jù)庫等服務(wù)模塊能夠?qū)AAS 層存儲(chǔ)的數(shù)據(jù)進(jìn)行整合加工，并以統(tǒng)一化、標(biāo)準(zhǔn)化的形式傳輸?shù)胶笈_(tái)的數(shù)據(jù)處理中心，進(jìn)而有助于提升審計(jì)數(shù)據(jù)處理效率。

3.利用SAAS 層實(shí)現(xiàn)數(shù)據(jù)智能分析及預(yù)警。數(shù)據(jù)管理中心是審計(jì)實(shí)施系統(tǒng)和審計(jì)管理系統(tǒng)交互管理的中轉(zhuǎn)站，作為數(shù)據(jù)智能分析處理的中心數(shù)據(jù)庫，其依靠綜合信息數(shù)據(jù)庫、專家經(jīng)驗(yàn)數(shù)據(jù)庫和法律法規(guī)數(shù)據(jù)庫等，對(duì)被審計(jì)端上傳的數(shù)據(jù)進(jìn)行智能化處理，通過數(shù)據(jù)分析平臺(tái)自帶的分析模型和審計(jì)模型，對(duì)原始數(shù)據(jù)進(jìn)行智能加工以發(fā)現(xiàn)可疑數(shù)據(jù)和審計(jì)線索，并自動(dòng)生成預(yù)警報(bào)告。

（三）審計(jì)終端是審計(jì)結(jié)果的展現(xiàn)。

審審計(jì)終端無須自建軟硬件設(shè)備，只需要按期付費(fèi)就能通過電腦、手機(jī)等網(wǎng)絡(luò)終端直接登錄云平臺(tái)，查看被審計(jì)端上傳的原始數(shù)據(jù)，下載云端對(duì)原始數(shù)據(jù)加工轉(zhuǎn)換后的備份數(shù)據(jù)，調(diào)取數(shù)據(jù)管理中心智能化識(shí)別的可疑數(shù)據(jù)和預(yù)警報(bào)告，并按照云端數(shù)據(jù)分析處理結(jié)果指導(dǎo)現(xiàn)場(chǎng)審計(jì)工作實(shí)踐。由此可見，借助云計(jì)算不僅能夠?qū)崿F(xiàn)審計(jì)終端對(duì)被審計(jì)端的有效審計(jì)作業(yè)，還能降低不必要的軟硬件開發(fā)及維護(hù)成本；不僅能夠提高審計(jì)效率，還能有效保障審計(jì)質(zhì)量。

三、云審計(jì)系統(tǒng)相關(guān)風(fēng)險(xiǎn)控制

（一）被審計(jì)端風(fēng)險(xiǎn)控制

1.優(yōu)化網(wǎng)絡(luò)運(yùn)行環(huán)境。被審計(jì)端網(wǎng)絡(luò)運(yùn)行環(huán)境的安全性和穩(wěn)定性是保證原始數(shù)據(jù)采集完整性和準(zhǔn)確性的第一道“防火墻”。為此，應(yīng)先搭建完備的安全監(jiān)控體系（如非法入侵、病毒防護(hù)、防火墻等技術(shù)），對(duì)被審計(jì)端網(wǎng)絡(luò)運(yùn)行環(huán)境進(jìn)行周期性防御，以防止黑客或病毒產(chǎn)生的威脅。同時(shí)，引入互聯(lián)網(wǎng)物理隔離技術(shù)，當(dāng)被審計(jì)端網(wǎng)絡(luò)安全遭受威脅時(shí)，能夠通過加密驗(yàn)證對(duì)訪問者身份進(jìn)行有效識(shí)別，并構(gòu)建隔離模型對(duì)不同安全級(jí)別網(wǎng)絡(luò)進(jìn)行有效分離，以保證數(shù)據(jù)采集源頭不受外圍網(wǎng)絡(luò)的威脅和干擾。

2.建立遠(yuǎn)程訪問監(jiān)控系統(tǒng)。被審計(jì)端系統(tǒng)自帶的操作日志能夠準(zhǔn)確記錄登錄者身份、登錄時(shí)間和登錄地點(diǎn)等事項(xiàng)，這為遠(yuǎn)程訪問監(jiān)控系統(tǒng)、準(zhǔn)確定位登錄人員具體操作行為和權(quán)限提供了基礎(chǔ)。

3.做好基礎(chǔ)設(shè)施定期維護(hù)檢測(cè)工作。海量數(shù)據(jù)的實(shí)時(shí)采集與頻繁更新對(duì)被審計(jì)端基礎(chǔ)設(shè)施的穩(wěn)定性提出了更高的要求，尤其是內(nèi)存設(shè)備和系統(tǒng)異常清除方面。被審計(jì)端應(yīng)統(tǒng)一管理不同存儲(chǔ)設(shè)備并利用虛擬化技術(shù)保證內(nèi)存設(shè)備容量的充足性，同時(shí)通過漏洞檢測(cè)技術(shù)、訪問控制保障網(wǎng)絡(luò)服務(wù)器運(yùn)行的穩(wěn)定性。

4.加強(qiáng)數(shù)據(jù)加密控制。為有效防止被審計(jì)端原始數(shù)據(jù)上傳產(chǎn)生的傳輸風(fēng)險(xiǎn)，可以采用被審計(jì)端內(nèi)部局域網(wǎng)將數(shù)據(jù)傳輸至云端，并在數(shù)據(jù)傳輸轉(zhuǎn)化過程中加強(qiáng)數(shù)據(jù)加密與保護(hù)，對(duì)匯總后準(zhǔn)備上傳至云端的原始數(shù)據(jù)進(jìn)行編碼，以產(chǎn)生不可理解的密文，只有通過密碼驗(yàn)證才能查閱原始數(shù)據(jù)。

（二）云端風(fēng)險(xiǎn)控制

1.加強(qiáng)設(shè)備安全配置管理，以控制數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)。系統(tǒng)安全配置管理能夠有效提高云端在復(fù)雜環(huán)境下的數(shù)據(jù)存儲(chǔ)、備份和恢復(fù)能力。

2.利用智能探針與分析提取技術(shù)實(shí)現(xiàn)數(shù)據(jù)隔離并控制平臺(tái)共享風(fēng)險(xiǎn)。智能探針是將不同類型數(shù)據(jù)打上差異化污點(diǎn)標(biāo)簽以進(jìn)行分類管理，能夠?qū)崿F(xiàn)不同等級(jí)和性質(zhì)數(shù)據(jù)的分離存儲(chǔ)。同時(shí)，污點(diǎn)標(biāo)簽的存在不僅能夠準(zhǔn)確定位指定數(shù)據(jù)的存儲(chǔ)位置和動(dòng)態(tài)，還能記錄和保存針對(duì)該數(shù)據(jù)相關(guān)的操作日志，有助于提高數(shù)據(jù)分離存儲(chǔ)的安全性。此外，對(duì)于云端存儲(chǔ)的數(shù)據(jù)規(guī)模和使用價(jià)值而言，有效識(shí)別使用頻率較高和價(jià)值密度較高的數(shù)據(jù)顯得尤為重要。

3.加強(qiáng)登錄訪問控制。在云審計(jì)系統(tǒng)中，審審計(jì)終端和被審計(jì)端均通過訪問登錄實(shí)現(xiàn)審計(jì)作業(yè)，如何保證兩個(gè)端口訪問者身份的合法性，成為云端訪問風(fēng)險(xiǎn)控制的關(guān)鍵環(huán)節(jié)。

（三）審計(jì)終端風(fēng)險(xiǎn)控制

1.不斷提高審計(jì)人員專業(yè)勝任能力。云審計(jì)的廣泛應(yīng)用對(duì)審計(jì)人員專業(yè)勝任能力提出了更高要求，為更好地利用云審計(jì)開展審計(jì)相關(guān)作業(yè)，應(yīng)重點(diǎn)加強(qiáng)對(duì)審計(jì)人員的素質(zhì)培訓(xùn)。

2.采取遠(yuǎn)程審計(jì)與現(xiàn)場(chǎng)審計(jì)相結(jié)合的循環(huán)審計(jì)模式。云端不僅有效釋放了被審計(jì)端數(shù)據(jù)存儲(chǔ)空間，還為審計(jì)終端直接利用云端智能化數(shù)據(jù)處理服務(wù)提供了有利條件，但是云端針對(duì)原始數(shù)據(jù)分析得出的結(jié)果以及預(yù)警報(bào)告的可靠性和科學(xué)仍需要現(xiàn)場(chǎng)審計(jì)加以檢驗(yàn)。（作者單位為西安財(cái)經(jīng)學(xué)院行知學(xué)院）

項(xiàng)目名稱：財(cái)務(wù)管理特色專業(yè)，項(xiàng)目編號(hào)：TSZY201601