云計算環境下的云審計系統設計與風險控制*

魏祥健

【摘 要】 云計算作為新一代信息技術的重要發展方向，正在影響著互聯網以外的行業，并進一步影響會計、審計行業。因此，針對云計算環境下的審計研究是我們目前面臨的一個重要課題，而云審計系統搭建與風險控制是云審計研究與實施的基礎。基于云計算環境下IaaS、PaaS和SaaS云服務平臺基礎，從基礎設施層、平臺服務層、平臺應用層、客戶端服務層、安全審計平臺、外部應用接口六個方面搭建了云審計系統的基本架構，研究了云計算下的審計風險控制措施，并分析了未來云審計的研究方向。此研究結果為推動我國未來云審計的深入研究和實務發展提供了參考。

【關鍵詞】 云計算; 云審計; 云審計系統; 風險控制

中圖分類號：F239.1 ?文獻標識碼：A ?文章編號：1004-5937（2015）01-0101-05

傳統的審計模式為各審計機關分別采購應用服務器、數據庫服務器并安裝聯網審計系統，審計人員通過辦公局域網訪問系統開展審計工作。這種審計模式使每個審計機關都需要配置獨立的硬件資源和軟件資源，勢必造成IT成本居高不下，專業維護費用居高不下且需要大量的專業維護人員。隨著IT應用在各行業各部門的普及，云計算開發和利用成為了不可或缺的因素。隨著云計算的發展，云計算不斷影響互聯網以外的行業，并進一步影響會計、審計行業，給審計帶來新的挑戰（秦榮生，2013）。傳統的審計模式與審計系統已不能適應云計算技術的要求，現代審計迫切需要提供簡單、快捷的云計算服務來滿足國家審計（本文所論審計特指國家審計）需求，如何利用互聯網的云計算概念，通過數據的云存儲，使得各種審計資源通過云來協同，從而為審計人員提供更富有效率，更科學的審計過程，云計算服務模式讓這一希望變為了現實。云計算可以提供以下三個層次的服務（Iyer & Henderson，2010）：基礎設施即服務（IaaS），平臺即服務（PaaS）和軟件即服務（SaaS）。如何在云計算服務平臺基礎上，利用云計算技術，以審計業務需求為核心，最終實現各級審計機關硬件資源、軟件資源、服務共享的云審計系統，使審計資源得到充分優化利用，是未來我國國家審計亟待解決的問題。本文結合云計算服務模式的研究與應用現狀，構想云計算環境下云審計系統架構。

一、云計算與云審計研究現狀

云計算（Cloud Computing）是一種基于互聯網通過虛擬化方式共享信息資源的新型計算模式。正式的云計算概念是由Google原首席執行官Eric Schmidt在2006年搜索引擎大會（SES San Jose 2006）上提出。根據美國國家標準與技術研究院（NIST）的定義：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問，進入可配置的計算資源共享池（資源包括網絡、服務器、存儲、應用軟件、服務等），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。

從技術層面看，云計算最主要的核心技術是虛擬化技術、分布式數據存儲技術、海量數據處理技術。系統虛擬化是指將一臺物理計算機系統虛擬化為一臺或多臺虛擬計算機系統（杜建偉、顧斌，2007）。通過虛擬化層的模擬，虛擬機中的操作系統認為自己仍然是獨占一個系統在運行。在云計算數據中心，通過服務器虛擬化、網絡虛擬化、應用虛擬化等解決方案，不僅可以幫助企業減少硬件配置，優化資源利用，還可以實現動態IT基礎設施環境，從而降低成本，快速響應業務需求的變化。分布式數據存儲指的是利用多臺服務器的存儲資源來滿足單臺服務器所不能滿足的存儲需求。它要求存儲資源能夠被抽象表示和統一管理，并保證數據讀寫操作的安全、可靠和高性能。包括分布式文件存儲系統，如Google 提出的分布式文件系統（Google File System，GFS）;分布式對象存儲系統，如Amazon的S3就屬于對象存儲服務;分布式數據庫技術，如Google的BigTable是一個典型的分布式結構化數據存儲系統。海量數據處理指的是對TB甚至PB級規模數據的計算和分析。云計算下把海量數據分布到多個結點上，將計算并行化，利用多機的計算資源，加快數據處理的速度。如Google的MapReduce模型、微軟的Dryad模型。

從服務層面看，云計算是一種新的商業模式。云計算是以虛擬化技術為基礎，以網絡為載體提供基礎架構、平臺、軟件等服務形式。其中，最主要的服務模式是IaaS（基礎設施即服務）、PaaS（平臺即服務）、SaaS（軟件即服務）服務模式（Iyer & Henderson，2010），為用戶提供超級云計算平臺。

在云計算平臺上，云計算技術必然能夠為審計提供源源不斷的技術創新支持，從而帶動審計技術的革新，云審計將成為未來審計發展的必然趨勢。那么，什么是云審計？目前還沒有一個統一的定論。云安全聯盟（CSA）主要發起者之一，思科公司云與虛擬化解決方案的首席專家Christofer Hoff是云審計（CloudAudit）的創建者，其目的在于規避風險，但沒有明確界定云審計的本質內涵。文峰（2011）認為云審計是利用互聯網的云計算概念，通過數據的云存儲，使得各種審計資源（參與審計的人員、程序和相關的硬件設備）通過云來協同，從而為審計人員提供更富有效率、更科學的審計過程。在這個過程中，審計人員無需關注使用何種計算機程序、也無需關注數據的存儲、共享和工作時效性問題，審計人員唯一需要關注的就是審計任務本身。鄧川、楊文鶯（2012）認為云審計是基于云計算的互聯網的超級計算模式，使審計人員協同運用各種存儲在“云”中的數據和審計資源，從而更有效率、更科學地進行審計的過程。

以上概念都認為云計算與審計的結合就構成了云審計，但需要指出的是，云審計除了數據安全、數據存儲、數據傳輸需要利用云計算技術來協同運作外，云環境下的責任認定、云中數據分析與評價、云中審計工作模式與流程等，都將依托云審計概念來展開。因此，本文認為，云審計是審計在云端的一個系統集合，它至少應包括三個方面的內容：一是依托第三方服務商提供的或專業建設的“云計算”基礎平臺，對審計數據進行采集、存儲、傳輸，并保障數據的安全;二是利用云計算專業技術對審計數據進行處理，實現審計手段智能化;三是審計資源通過云來協同，實現審計工作業務協同，促進信息共享及溝通，保證審計過程質量的一個審計信息系統。

要實施云審計，審計組織應建設云審計平臺（秦榮生，2013）。秦榮生認為云審計平臺主要包括云審計用戶服務平臺和云審計企業服務平臺，既可提供面向云計算服務提供商的信息審計服務，又可提供面向云計算服務用戶的信息監管服務。文峰（2011）認為云審計可以和行業信息化建設有機地結合起來，實現將注冊會計師、會計師事務所、審計程序、審計數據及報告甚至被審計單位都通過云審計平臺連接起來，形成“數據與服務的超級平臺”。國內學術界和產業界在云計算環境下如何搭建審計系統與平臺進行了一些技術研究和產品開發，如陳偉，Wally Smieliauskas（2012）從被審計單位使用云平臺、審計單位使用云平臺、審計單位和被審計單位都使用云平臺這三種情況出發，采用SaaS、PaaS或者IaaS服務模式，研究了云計算環境下適合我國聯網審計特點的聯網審計模式和實現方法。鮑偉民（2012）對云計算環境下的數據安全、風險控制、行為監控等方面研究了SaaS服務模式下安全審計系統的設計。產業界國都興業信息審計系統技術（北京）有限公司2011年推出的“企業云審計服務平臺”，實現對IaaS，PaaS和SaaS各個層面的審計，通過解決云計算環境下數據可視化與可審計的問題。以上研究為我國未來云審計的實施與開展提供了重要的思路。

二、云審計系統架構基礎——云服務平臺

要實施云審計，審計組織應建設云審計平臺（秦榮生，2013）。根據云計算技術特征，云審計系統平臺可以基于云服務平臺的基礎來構建。根據權威的NIST定義，云計算主要分為三種服務模式，而且這個三層的分法是從用戶體驗的角度出發的。這三種服務模式是基礎設施即服務IaaS （Infrastructure as a Service），平臺即服務PaaS（Platform as a Service）和軟件即服務SaaS（Software as a Service）。

IaaS層的主要作用是以服務的形式提供服務器、存儲和網絡硬件以及相關軟件。它是三層架構的最底層，是指企業或個人可以使用云計算技術來遠程訪問計算資源，這包括計算、存儲以及應用虛擬化技術所提供的相關功能。無論是最終用戶、SaaS提供商還是PaaS提供商都可以從基礎設施服務中獲得應用所需的計算能力，但卻無需對支持這一計算能力的基礎IT軟硬件付出相應的原始投資成本。

優勢：節省費用，可隨時擴展和收縮資源，安全可靠，專注核心業務。通過IaaS，用戶可以從服務供應商那里獲得他所需要的虛擬機或者存儲等資源來裝載相關的應用，同時卻不用擔心這些基礎設施繁瑣的維護管理工作，因為它們完全由IaaS供應商來處理。

PaaS層的主要作用是以服務的方式提供應用程序開發和部署平臺。就是指將一個完整的計算機平臺，包括應用設計、應用開發、應用測試和應用托管，都作為一種服務提供給客戶。在這種服務模式中，客戶不需要購買硬件和軟件，只需要利用PaaS平臺，就能夠創建、測試和部署應用和服務。

優勢：開發簡單、部署簡單、維護簡單。通過PaaS，用戶可以在一個包括SDK、文檔和測試環境等在內的開發平臺上非常方便地編寫應用，而且在部署或運行的時候，用戶無需為服務器、操作系統、網絡和存儲等資源的管理操心，因為這些繁瑣的工作全部由PaaS供應商負責處理。

SaaS層的主要作用是以服務的方式將應用程序提供給互聯網最終用戶。它是用戶獲取軟件服務的一種新形式，用戶無需購買軟件，不需要用戶將軟件產品安裝在自己的電腦或服務器上，而是按某種服務水平協議（SLA）直接通過網絡向專門的提供商獲取自己所需要的、帶有相應軟件功能的服務。

優勢：初始成本低、簡單、無需管理與維護、部署使用快捷等。通過SaaS，用戶只要接上網絡，并通過瀏覽器，就可以隨時隨地安全地直接使用在云端上運行的應用，而不必考慮安裝、維護等各類瑣事。

SaaS云服務、PaaS云服務、IaaS云服務為有效管理信息資源、充分利用信息資源提供了新的思路，為搭建云審計平臺提供了新的機遇。

三、云計算環境下云審計系統設計

（一）云審計系統架構

前面所提云計算的三種服務模式運用于云審計系統，可以單獨采用，也可以混合采用，考慮到云計算環境下審計的大數據處理、成本與效益、高效、專業與系統性原則，結合目前國家審計中IT應用的實際情況，以省一級審計機關為單位，構建SaaS、PaaS、IaaS相結合的混合服務模式云審計服務系統，最終實現省、市、縣三級審計機關的硬件資源、軟件資源、服務共享。該服務系統由基礎設施層、平臺服務層、平臺應用層、客戶端服務層、安全審計平臺和外部應用接口構成，如圖1所示。

基礎設施層IaaS為審計機關提供了統一的基礎設施服務，包括處理、存儲、網絡、安全防范和其他基本的計算資源。下級審計機關無需購買和建設服務器、網絡設備、操作系統、安全等基礎設施，不需要管理、控制和維護任何云審計基礎設施。基礎設施層IaaS服務是PaaS和SaaS服務的重要基礎，是實現PaaS和SaaS服務的基本保障。

系統服務層PaaS為下級審計機關提供審計與其他綜合服務，包括資源服務中的信息共享、專家經驗庫的上傳和下載審計案例經驗、對資源進行調度和安排，實現對各種資源的高效利用;管理服務平臺提供綜合管理、消息發布和接收，審計BBS論壇的交流和討論等;應用與維護平臺提供資源部署與分發、專業工具和程序段開發、系統應用與維護服務等功能，下級審計機關無需為缺乏維護的專業人員和高昂的維護費用發愁。

系統應用層SaaS是云審計平臺的中心，主要部署審計實施系統、審計管理系統、審計決策支持系統和審計數據中心。其中，根據國家“金審工程”的要求，審計實施系統（AO）和審計管理系統（OA）要實行交互管理，審計數據中心是在云環境下對大數據信息進行集中采集、處理、存儲、傳輸、交換和管理的一個中心數據庫，中心數據庫除了包括被審財務業務數據，還包括審計綜合信息數據庫、審計專家經驗數據庫、法律法規數據庫等。下級審計機關無需再建設審計實施和審計管理系統，只需要通過WEB瀏覽器進入云端應用系統，就能方便、快捷、安全、完整地從云審計數據中心獲取審計所需要的數據并進行審計作業。

客戶端服務層是各級審計機關用戶訪問云審計平臺的客戶端入口。客戶端服務層通過用戶管理、身份認證、權限管理為各級審計機關用戶提供審計資源云服務，包括上級審計機關和下級審計機關各種用戶都可以通過終端設施從中獲取相應的審計信息資源云服務。服務方式有根據自身的特點和要求定制的個性化云服務和根據身份匹配的規定審計服務。

安全審計平臺是立足于為云計算環境下各主體和客體提供全面的、可靠的統一監測、監督、預警的安全衛士。審計監控對云平臺提供全面的異常監控和故障監測，并把檢測到的異常信息發送到指定系統，對云平臺提供立體化安全策略;漏洞掃描為平臺提供安全漏洞掃描技術，定期掃描、評估和測試平臺安全水平，及時發現平臺的安全漏洞，給予漏洞修補意見和報警記錄;安全預警是對平臺的監測信息進行分析、追蹤，并形成分析評價指標，當監測到云環境中有未知訪問、非法篡改和復制、安全漏洞等情況發生時，及時提供預警，并定期形成預警事件報告和實時響應機制。

此外，為了與外界進行信息交換、數據傳遞、資源共享，系統還設計了對外應用接口與外部機構和其他部門掛接。通過外部接口使審計機關和各級部門共享基礎信息資源庫、共享主題資源、數據傳遞渠道暢通。同時還可提供公眾信息服務，開通網上公眾舉報、政務公開、審計結果公開、審計網上宣傳、新聞發布、審計工作開展情況與開展進程等，以此提高審計透明度，擴大審計影響力，樹立審計的公眾形象。

（二）系統架構的特點和優勢

1.以省級審計機關為單位開展建設，實現省、市、縣三級審計機關共享的公共云審計服務系統，使審計服務集約化、專門化，強化了審計監督，優化了資源配置，最終實現全國審計機關的“審計云”匯聚，形成“審計云海”。

2.公共云審計服務系統可以大幅度降低云服務用戶購買和維護服務器設備及軟件方面的開支，云服務提供方只需維護既定程序和軟件，即可滿足眾多云服務用戶的需求，以此大大減少云服務提供方的生產成本和維護成本。

3.可以向建設資源匱乏、軟硬件基礎薄弱、計算機技術人才匱乏的下級審計機關提供審計信息化基礎設施服務和海量審計數據采集、分析與存儲服務。

4.構建專業的、系統的云計算安全審計系統可以避免目前現場審計攜帶筆記本電腦容易造成數據泄露失竊的風險。云審計安全系統能夠有效加強云計算的審計監控能力，能夠提供專業、高效和相對安全的數據存儲。用戶運用云計算技術將數據存儲在云平臺中，相對于自己管理數據存儲，能在一定程度上消除因各種安全問題導致數據丟失的顧慮。

四、云審計系統風險控制

雖然云的應用和推廣已經勢在必行，但是從誕生開始，它的安全就一直為人們所詬病。隨著云審計的產生與應用，審計云端化使數據安全風險加大。安全審計是確保審計信息系統運行安全、管理安全的有效技術途徑，是審計參與國家治理，強化審計監督效能的內在要求。

從云計算本身帶來的風險來說，云安全主要面臨：身份隱私與訪問控制安全、虛擬運行環境安全、數據安全與數據隱私、云容災與數據備份安全。結合云審計系統，云審計安全又延伸到數據接口安全、數據傳輸安全、數據存儲安全、數據使用安全以及安全責任認定。

云安全是未來網絡安全的一種發展趨勢，也是云計算模式中一個比較活躍的領域。網絡病毒、惡意程序、黑客入侵等都威脅著云端審計的安全。因此，研究“云”中審計一定要把安全放在首要的位置，聯合專業的安全廠商和第三方服務商，加強云審計平臺和應用端的“云安全”技術研發，采取有效措施加強云審計系統下的風險控制。

一是采用新技術、新方法構建云審計安全防御系統。在云計算環境下，為了保證數據安全，應該采取最優的方法和最新的技術手段，研究構建云審計安全防御系統。安全防御系統至少應包括異常監控、故障監測、漏洞掃描、風險預警等功能（如圖1所示）。為了提高系統的可靠性和穩定性應采用應用層面的檢查點、重啟技術、并行計算，增強系統安全性。

二是建立統一身份認證基礎上的單點登錄技術。統一身份認證是通過一個適合于所有應用系統的、唯一的認證服務系統為認證接口提供唯一訪問點的認證模塊，各應用系統只需要遵循統一認證服務調用接口，即可實現用戶身份的認證過程。為了解決同一網絡中多應用系統之間的復雜登錄問題，可以建立在統一身份認證基礎上的單點登錄技術。同一用戶只需要強制認證一次，就可以在不同的授權系統之間進行轉換而不必重新登錄，而系統的身份認證操作則在后臺自動執行。這樣可以提高用戶的訪問效率，避免了系統開銷。

三是采用加密技術。加密技術包括兩個元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一串數字（密鑰）的結合，產生不可理解的密文步驟，密鑰是用來對數據進行編碼和解碼的一種算法。在云審計數據傳輸和存儲過程中，可通過適當的密鑰加密技術和管理機制來對審計數據進行加密保護，即使數據誤傳到別人的數據中心，沒有解密密碼也不能打開和使用數據。

四是制定統一的云審計標準。云審計標準是實施云端審計的基本準則和實施依據。制定權威的、公認的云審計標準，是實現云端審計工作規范化、明確云端審計責任、保證云端審計質量的可靠保障。沒有標準，云審計的發展就難以得到規范健康的發展，難以推動國家審計的一體化協同發展。

但云審計研究尚處于起步階段，業界尚未形成相關標準。本文認為，云審計標準至少應包括認證標準、數據接口標準、數據安全標準、風險評估標準等。通過認證技術、加密技術、授權技術保證數據接口安全，確保接口的強用戶認證、加密和訪問控制的有效性，避免利用接口對內和對外的攻擊，避免利用接口進行云服務的濫用。通過發展數據安全與隱私保護、多租戶身份管理、數據丟失防護等安全產品及在線電子證據保全、第三方安全審計、云計算安全等級劃分與測評、安全監控與運維和安全應急響應等安全服務能力，同時建立安全等級評價指標，對云計算服務環境中的數據傳輸安全、存儲安全、審計安全提供量化評價，將有助提升用戶對云計算服務的信任度。

五是明確云責任。云責任可以簡單地理解為“同一云過程下的審計機關和審計人員的總體責任”。標準化云審計過程使傳統審計中的主客體二者的關系變成了主體、客體和中間商三者之間的關系。相應地，審計的具體責任也發生了變化。與傳統審計相比，在標準化云審計下，審計人員的數據信息來源于中間的第三方，所以與數據采集存儲相關的問題也就不再由審計人員負責，進而增強了第三方云審計平臺商的責任。同時，審計的主體也由隸屬于同一審計機關的項目小組成員變為來自多個審計機關的多名審計人員。在這種多方協作進行審計的過程中，各方的責任更應該明確。

基于此原則，應當考慮：負責牽頭的審計機關的責任;參與云過程的其他審計機關對客戶和牽頭的審計機關的責任;云過程下所有參與審計的審計機關和審計人員對客戶的總體責任。由于云過程允許不同的審計機關參與同一個審計過程，在多對一的審計模式下，信息交換、信息處理及報告一定比一對一的審計要相對公開、透明，特別是在風險充分博弈的條件下，各參與審計的審計機關將最終承擔與其所擔任審計過程相對應的審計責任，以達到風險均衡。

六是出臺相應的政策法規。因為云計算服務涉及到個人、企業，國家的重要敏感信息安全，所以需要政府相關監管部門的參與，通過統一行業標準和協議、制定完善相應的法律法規，對數據隱私保護、數據主權歸屬、服務協議保障、風險責任認定進行法規界定，對云計算服務提供商、云計算服務進行規范、監督、審計，保障云計算應用服務和數據信息的安全。

五、結語

本文根據云計算服務模式的特點和應用現狀，構建了云審計系統的基本框架。但云計算環境下的云審計建設是一個系統工程，除了平臺架構外，還有諸如信息安全、云標準、云責任等標準體系和安全審計的法律法規建設。如果在實施云審計項目時盲目應用云計算技術，而忽視標準體系和法律法規建設，將會產生嚴重的潛在審計風險。因此，進行云計算環境下審計安全技術標準、技術規范研究和相關產品開發，是推動未來我國云審計發展的關鍵。

【參考文獻】

[1] 秦榮生.云計算的發展及其對會計、審計的挑戰[J].當代財經，2013（1）：111-117.

[2] Iyer， B. Henderson， J. Preparing for the future Understanding the seven capabilities of cloud computing[J].MIS Quarterly Executive， 2010，9（2）：117-131.

[3] Mell p， Grance t. The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology，2011.

[4] 文峰.云計算與云審計——關于未來審計的概念與框架的一些思考[J].中國注冊會計師，2011（2）：98-102.

[5] 鄧川，楊文鶯.基于云審計的會計師事務所機遇、挑戰及對策[J].財會通訊，2012（10）：83-84.

[6] 陳偉，Wally Smieliauskas.云計算環境下的聯網審計實現方法探析[J].審計研究，2012（3）：37-44.

[7] 鮑偉民.基于云計算的安全審計系統研究與設計[J].軟件產業與工程，2012（6）：41-45.

[8] 張劍，陳劍鋒，王強.云計算安全審計服務研究[J].信息安全與通信保密，2013（6）：62-64.

[9] 馮秀珍，郝鵬.云計算環境下的信息資源云服務模式研究[J].計算機科學，2012（S2）：110-114.

五是明確云責任。云責任可以簡單地理解為“同一云過程下的審計機關和審計人員的總體責任”。標準化云審計過程使傳統審計中的主客體二者的關系變成了主體、客體和中間商三者之間的關系。相應地，審計的具體責任也發生了變化。與傳統審計相比，在標準化云審計下，審計人員的數據信息來源于中間的第三方，所以與數據采集存儲相關的問題也就不再由審計人員負責，進而增強了第三方云審計平臺商的責任。同時，審計的主體也由隸屬于同一審計機關的項目小組成員變為來自多個審計機關的多名審計人員。在這種多方協作進行審計的過程中，各方的責任更應該明確。

基于此原則，應當考慮：負責牽頭的審計機關的責任;參與云過程的其他審計機關對客戶和牽頭的審計機關的責任;云過程下所有參與審計的審計機關和審計人員對客戶的總體責任。由于云過程允許不同的審計機關參與同一個審計過程，在多對一的審計模式下，信息交換、信息處理及報告一定比一對一的審計要相對公開、透明，特別是在風險充分博弈的條件下，各參與審計的審計機關將最終承擔與其所擔任審計過程相對應的審計責任，以達到風險均衡。

六是出臺相應的政策法規。因為云計算服務涉及到個人、企業，國家的重要敏感信息安全，所以需要政府相關監管部門的參與，通過統一行業標準和協議、制定完善相應的法律法規，對數據隱私保護、數據主權歸屬、服務協議保障、風險責任認定進行法規界定，對云計算服務提供商、云計算服務進行規范、監督、審計，保障云計算應用服務和數據信息的安全。

五、結語

本文根據云計算服務模式的特點和應用現狀，構建了云審計系統的基本框架。但云計算環境下的云審計建設是一個系統工程，除了平臺架構外，還有諸如信息安全、云標準、云責任等標準體系和安全審計的法律法規建設。如果在實施云審計項目時盲目應用云計算技術，而忽視標準體系和法律法規建設，將會產生嚴重的潛在審計風險。因此，進行云計算環境下審計安全技術標準、技術規范研究和相關產品開發，是推動未來我國云審計發展的關鍵。

【參考文獻】

[1] 秦榮生.云計算的發展及其對會計、審計的挑戰[J].當代財經，2013（1）：111-117.

[2] Iyer， B. Henderson， J. Preparing for the future Understanding the seven capabilities of cloud computing[J].MIS Quarterly Executive， 2010，9（2）：117-131.

[3] Mell p， Grance t. The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology，2011.

[4] 文峰.云計算與云審計——關于未來審計的概念與框架的一些思考[J].中國注冊會計師，2011（2）：98-102.

[5] 鄧川，楊文鶯.基于云審計的會計師事務所機遇、挑戰及對策[J].財會通訊，2012（10）：83-84.

[6] 陳偉，Wally Smieliauskas.云計算環境下的聯網審計實現方法探析[J].審計研究，2012（3）：37-44.

[7] 鮑偉民.基于云計算的安全審計系統研究與設計[J].軟件產業與工程，2012（6）：41-45.

[8] 張劍，陳劍鋒，王強.云計算安全審計服務研究[J].信息安全與通信保密，2013（6）：62-64.

[9] 馮秀珍，郝鵬.云計算環境下的信息資源云服務模式研究[J].計算機科學，2012（S2）：110-114.

五是明確云責任。云責任可以簡單地理解為“同一云過程下的審計機關和審計人員的總體責任”。標準化云審計過程使傳統審計中的主客體二者的關系變成了主體、客體和中間商三者之間的關系。相應地，審計的具體責任也發生了變化。與傳統審計相比，在標準化云審計下，審計人員的數據信息來源于中間的第三方，所以與數據采集存儲相關的問題也就不再由審計人員負責，進而增強了第三方云審計平臺商的責任。同時，審計的主體也由隸屬于同一審計機關的項目小組成員變為來自多個審計機關的多名審計人員。在這種多方協作進行審計的過程中，各方的責任更應該明確。

基于此原則，應當考慮：負責牽頭的審計機關的責任;參與云過程的其他審計機關對客戶和牽頭的審計機關的責任;云過程下所有參與審計的審計機關和審計人員對客戶的總體責任。由于云過程允許不同的審計機關參與同一個審計過程，在多對一的審計模式下，信息交換、信息處理及報告一定比一對一的審計要相對公開、透明，特別是在風險充分博弈的條件下，各參與審計的審計機關將最終承擔與其所擔任審計過程相對應的審計責任，以達到風險均衡。

六是出臺相應的政策法規。因為云計算服務涉及到個人、企業，國家的重要敏感信息安全，所以需要政府相關監管部門的參與，通過統一行業標準和協議、制定完善相應的法律法規，對數據隱私保護、數據主權歸屬、服務協議保障、風險責任認定進行法規界定，對云計算服務提供商、云計算服務進行規范、監督、審計，保障云計算應用服務和數據信息的安全。

五、結語

本文根據云計算服務模式的特點和應用現狀，構建了云審計系統的基本框架。但云計算環境下的云審計建設是一個系統工程，除了平臺架構外，還有諸如信息安全、云標準、云責任等標準體系和安全審計的法律法規建設。如果在實施云審計項目時盲目應用云計算技術，而忽視標準體系和法律法規建設，將會產生嚴重的潛在審計風險。因此，進行云計算環境下審計安全技術標準、技術規范研究和相關產品開發，是推動未來我國云審計發展的關鍵。

【參考文獻】

[1] 秦榮生.云計算的發展及其對會計、審計的挑戰[J].當代財經，2013（1）：111-117.

[2] Iyer， B. Henderson， J. Preparing for the future Understanding the seven capabilities of cloud computing[J].MIS Quarterly Executive， 2010，9（2）：117-131.

[3] Mell p， Grance t. The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology，2011.

[4] 文峰.云計算與云審計——關于未來審計的概念與框架的一些思考[J].中國注冊會計師，2011（2）：98-102.

[5] 鄧川，楊文鶯.基于云審計的會計師事務所機遇、挑戰及對策[J].財會通訊，2012（10）：83-84.

[6] 陳偉，Wally Smieliauskas.云計算環境下的聯網審計實現方法探析[J].審計研究，2012（3）：37-44.

[7] 鮑偉民.基于云計算的安全審計系統研究與設計[J].軟件產業與工程，2012（6）：41-45.

[8] 張劍，陳劍鋒，王強.云計算安全審計服務研究[J].信息安全與通信保密，2013（6）：62-64.

[9] 馮秀珍，郝鵬.云計算環境下的信息資源云服務模式研究[J].計算機科學，2012（S2）：110-114.