大數據環境下基于云計算的信息系統審計實施研究

摘要：大數據時代、云計算技術的到來，給信息系統審計工作帶來了新的機遇和挑戰，在這種情況下，為了充分發揮大數據和云計算技術在信息系統審計應用中的優勢，如何將大數據、云計算與信息系統審計的工作進行有機的結合，是審計機構需要思考的問題。因此，本文在分析大數據環境下信息系統審計面臨審計內容、審計技術方法、審計思維和獲取審計線索等方面的挑戰的基礎上，構建了大數據環境下基于云計算的信息系統審計實施框架，并對該框架下信息系統審計的整個實施流程進行了闡述，為云計算下實施信息系統審計提供了理論支持。

關鍵詞：云計算 大數據 信息系統審計

2015年中共中央辦公廳、國務院辦公廳印發了《關于實行審計全覆蓋的實施意見》（以下簡稱《實施意見》），《實施意見》指出審計機關要建立健全數據定期報送制度，加大數據集中力度，對獲取的數據資料嚴格保密；適應大數據審計需要，構建國家審計數據系統和數字化審計平臺，積極運用大數據技術，加大業務數據與財務數據、單位數據與行業數據以及跨行業、跨領域數據的綜合比對和關聯分析力度，提高運用信息化技術查核問題、評價判斷、宏觀分析的能力；探索建立審計實時監督系統，實施聯網審計。大數據、云計算的快速發展與應用，在給審計行業帶來機遇的同時，也帶來了一系列的挑戰，并引起了業界學者的廣泛關注，如魏祥健（2014）在對云計算的研究與應用現狀分析的基礎上，提出了云審計的概念，并構建了云審計平臺的架構，研究了云審計平臺下的協同審計模式及協同審計模式的實現方式。程平等（2016）在對云會計環境下大數據審計關注要點進行分析的基礎上，構建了云會計環境下基于COBIT標準的大數據審計框架體系，然后對該框架下的大數據審計實施過程進行了深入的闡述。陳偉等（2012）在對聯網審計現狀研究的基礎上，從被審計單位使用云平臺、審計單位使用云平臺、審計單位和被審單位都使用云平臺研究了聯網審計實現方法，從云平臺整體控制與應用控制的視角、基于云平臺選擇的視角、基于云平臺服務的視角研究了實施聯網審計存在的風險。

縱觀現有的研究發現，目前關于大數據、云計算環境下的審計研究主要集中在數據審計的研究方面，而關于大數據、云計算環境下的信息系統審計的相關研究涉及的較少，鑒于此，本文在分析大數據對傳統信息系統審計產生影響的基礎上，構建了大數據時代基于云計算的信息系統審計實施框架，并對該框架下的信息系統審計實施流程進行了深入的闡述。

一、大數據對傳統信息系統審計產生的影響

隨著社會信息化和行業信息化的普及，特別是大數據、云計算技術的興起，越來越多的企事業單位（如醫療、交通、金融、零售、電力等行業內的單位）開始運用大數據、云計算為代表的信息技術去重構信息系統，這些信息系統是孕育數據的“母體”，它們產生了種類繁多、數量巨大的信息流和數據流，正是因為信息系統的大爆炸造就了大數據時代的到來，同時，大數據的爆發性增長又進一步催生了更加復雜、更加龐大的信息系統。信息系統審計是以信息系統為對象的審計，而企業中的信息系統是一個由人和計算機組成的產、供、銷及財務于一體的綜合性信息系統，因此，開展信息系統審計需要對信息系統的每個要素（包括人、信息、數據、各種設備、以及控制和服務等）進行審計。大數據對信息系統審計的實施提出了更高的要求，對信息系統審計的內容、審計技術方法、審計思維和審計線索等方面產生了較大的影響。

（一）大數據對信息系統審計內容產生的影響。大數據在給信息系統審計帶來方便的同時，也影響了信息系統審計，給信息系統審計的內容帶來了新的挑戰。根據審計署關于印發信息系統審計指南——計算機審計實務公告第34號的通知，信息系統審計的內容包括一般控制審計、應用控制審計和項目管理審計。

1.一般控制審計。一般控制審計是指對被審計單位信息系統正常運行的制度和工作程序進行審查，包括信息系統總體控制審計（主要指信息系統總體控制的戰略規劃、組織架構、崗位職責等）、信息安全技術控制審計（主要指物理安全控制、網絡安全控制、主機安全控制、應用安全控制等）和信息安全管理控制審計（主要指安全管理機構、安全管理制度、系統建設安全管理、系統運維安全管理等）。大數據時代，信息系統在運營的過程中，會有海量的結構化、半結構化和非結構的數據產生，為了保障這些種類繁多、結構復雜、數量龐大的數據的安全，必須要建立龐大的組織管理體系并采取相應的安全策略（如對網絡、信息系統硬件等采取相應的安全控制措施），這同時也對信息系統審計人員提出了更高的要求，要求信息系統審計人員在掌握審計知識的同時，還必須要了解各種現代化信息技術、信息安全管理體系、IT安全技術等有關知識。

2.應用控制審計。應用控制審計主要包括信息系統業務流程控制審計（包括業務流程設計、業務流程處理以及業務流程功能）和信息系統數據控制審計（包括數據輸入控制審計、數據處理控制審計和數據輸出控制審計），大數據環境下，為了保證信息系統產生的類型繁多的、數量龐大的數據安全和有效，需要對信息系統的業務流程、數據輸入、數據處理以及處理輸出設置更多的、必要的控制環節，而且各個控制環節之間的邏輯關系更加復雜、聯系更加緊密，針對這樣的情況，如何使用有效的審計技術方法，對信息系統業務流程控制、數據輸入控制、數據輸出控制、接口控制以及數據庫管理系統控制等進行高效檢測，成為大數據時代信息系統審計人員必須面對的難題。

3.項目管理審計。項目管理審計主要包括信息系統建設經濟性審計（包括信息系統規劃經濟性審計、信息系統建設經濟性審計、信息系統運維經濟性審計等）、信息系統建設管理審計（包括項目審批管理審計、項目建設管理審計、項目資金管理審計、項目驗收管理審計等）和信息系統績效審計（包括信息系統總體績效、信息資源共享能力的績效、管理決策支持能力的績效等）。大數據環境下，信息系統各個模塊間的勾稽關系變更非常復雜，產生的數據流與信息流也呈現幾何級的增長，因此，相對傳統的信息系統審計來說，信息系統審計的各個環節變得紛繁復雜，信息系統審計人員需要調查和了解的事物也比傳統的信息系統審計多得多，這都給大數據時代信息系統審計人員提出了更高的要求和挑戰。

（二）大數據對信息系統審計技術方法產生的影響。隨著現代審計不斷發展，審計工作方法逐漸現代化，形成了許多行之有效的審計技術方法和工具，如系統調查方法、資料審查方法、檢查流程圖法、控制矩陣法、測試數據法、平行模擬法、受控處理法、嵌入審計程序法等方法。使用的工具如現場審計實施系統（AO）、通用審計軟件、數據庫審計工具、系統和網絡漏洞掃描、日志安全審計等。

大數據環境下，隨著結構化、半結構化和非結構化數據的持續增長，以及分析數據來源的多樣化，傳統的很多信息系統審計技術方法和工具已經無法適應信息系統審計的要求，這就需要更新審計的理念、優化審計應用模型、創新信息系統審計技術方法和工具，構建大數據時代信息系統審計技術方法體系。在實施信息系統審計過程中，必然要使用到云計算、大數據、分布式結構、云數據庫、聯網審計、數據挖掘等新型的技術手段和工具。

（三）大數據對信息系統審計的審計思維產生的影響。在傳統的小數據時代，由于審計人員力量和數據分析能力的雙重限制，不可能采集和分析所有的數據，因此往往采用抽樣審計的方法。由于抽取樣本的有限性，而忽視了大量的業務活動，無法完全發現和揭示被審計單位的重大舞弊行為，隱藏著嚴重的審計風險。大數據技術的產生，使得數據信息的采集與分析可以跨行業、跨企業，審計范圍不再受制于抽樣樣本，而是可以著眼于全部數據，審計人員可以建立“樣本=總體”的審計思維模式，這種基于總體審計的思維模式，轉變了信息系統審計的審計思維模式，給信息系統審計人員提供了一種從總體上把握審計對象的手段，更能發現問題的本質。

（四）大數據對信息系統審計發現審計線索產生的影響。審計信息化大力推行的進程中，審計人員逐漸習慣根據以往審計經驗設計分析思路，然后再收集數據來驗證不同數據之間的勾稽關系，從而發現審計疑點，獲取審計證據，這些數據體現的更多是因果關系。大數據技術的產生，使得信息系統審計有更多的途徑與方式發現審計線索，獲取審計證據，大數據分析將更多地運用相關關系進行審計證據的收集與獲取，而降低了對事物間因果關系的依賴。如將多種審計方法模型植入云服務中，海量的結構化、半結構化和非結構化數據自動根據模型尋找審計證據，這些審計模型體現的更多的是事物間的相關關系，而不是過分的依賴因果關系，信息系統審計人員在審計過程中要能夠掌握分析數據的方法，利用數據挖掘、統計分析等相關技術對這些相關關系進行分析，發現事物發展變化的趨勢，發現各種苗頭性、傾向性的問題，獲取審計證據。

二、大數據環境下基于云計算的信息系統審計實施框架

（一）架構基礎——云計算服務模式。云計算是一種基于Internet通過虛擬化的方式進行資源共享的服務模式，以網絡為載體提供基礎設施、平臺、軟件等服務形式，根據美國國家標準與技術研究院的權威定義，云計算的服務模式有SPI（即SaaS、PaaS和IaaS）這三個大類或層次，如下頁圖1所示。

1.軟件即服務（SaaS）。軟件即服務處于服務架構的最上層，是一種通過Internet提供軟件的模式，云服務提供商將應用軟件統一部署在自己的服務器上，用戶可以采用“按需租用”方式，按照某種服務水平協議（SLA）向云服務提供商租用所需的軟件，可以在各種設備上通過客戶端界面（如瀏覽器）訪問，云服務提供商采用“集中管理”的模式負責軟件的管理和維護。

2.平臺即服務（PaaS）。平臺即服務處于服務架構的中間層將軟件研發的平臺作為一種服務，在這種服務模式下，用戶可以根據業務的需要，利用PaaS平臺動態地開發和部署所需要的各種應用和服務，而無需自己搭建系統平臺。

3.基礎設施即服務（IaaS）。基礎設施即服務處于服務架構的最底層，是Paas和SaaS服務的基礎，通過虛擬化技術將服務器、存儲設備、網絡資源等基礎設施封裝成服務提供給用戶，用戶可以按某種服務水平協議（SLA）“按需租用”云服務提供商的基礎設施。

（二）基于云計算的信息系統審計實施框架的構建。云計算服務的SaaS、PaaS、IaaS利用虛擬化技術實現了硬件資源、軟件資源以及信息資源的虛擬化管理，實現了異構環境下的互操作性，為架構云計算環境下的信息系統審計實施框架帶來了契機。大數據時代云計算環境下的信息系統審計的主要任務是依托云計算SaaS、PaaS、IaaS服務模式，根據大數據時代信息系統審計的特點和要求，通過構建一個支撐平臺，實現對信息系統的審計，使信息系統審計的過程更加科學化、更富有效率性，如圖2所示。

1.IaaS與審計基礎設施資源。IaaS是信息系統審計實施框架的基礎，包括硬件資源和網絡信息資源兩部分，該層采用物理資源虛擬化技術，解決了異構環境下的互操作性，實現了資源的虛擬化管理。服務器、網絡設備、操作系統、數據庫為系統提供了網絡、計算和存儲等服務；審計信息資源、業務信息資源和共享數據資源等網絡信息資源為上層PaaS提供了網絡信息服務。

2.PaaS與審計業務平臺。PaaS信息系統審計實施框架的核心，可以為上層應用服務提供運行與維護，為下層基礎資源提供資源管理服務，本文按功能將其劃分為三大類：一是資源管理服務為審計基礎設施資源層提供目錄管理、元數據服務、資源管理等服務；二是管理服務，主要提供用戶管理、權限管理、訪問控制等服務；三是應用開發服務，主要實現審計業務功能的應用開發，如數據分析、數據可視化等服務，以支持審計業務的多樣性。PaaS提供了為完成具體審計工作所需的一些服務，通過這些服務的應用，可以更好地適應審計項目的需要。

3.SaaS與審計應用。SaaS云服務與信息系統審計應用結合，實現審計應用軟件的云部署，形成各項審計應用服務，主要包括審計應用控制、審計一般控制、審計項目管理、審計案例、審計方法與模型等服務。

三、基于云計算的信息系統審計實施流程分析

根據圖2，基于云計算的信息系統審計實施流程與傳統的信息系統審計實施流程一樣，分為審計準備階段、審計實施階段和審計終結階段三個階段，如下頁圖3所示。

1.審計準備階段。信息系統審計的準備階段是整個審計程序的重要環節，首先要明確審計的目的和范圍，并根據任務的繁重程度，配備信息系統審計人員，成立信息系統審計小組；然后對被審信息系統的的基本情況（如硬件設備、系統軟件、應用軟件和文檔資料等）進行詳細的調查和了解，如了解被審信息系統的信息技術環境，包括被審系統實施的信息技術政策和程序，云服務提供商的資質和技術水平、云服務提供商的服務協議范圍和標準、云服務基礎設施構建等情況；最后，制定信息系統審計方案，確定審計的范圍、審計的日程安排以及信息系統審計的方法。

2.審計實施階段。在信息系統審計實施階段，大數據、云計算對審計思維模式、審計技術手段、審計線索的發現等都產生了影響，充分利用大數據、云計算技術，能有效增強信息系統審計的效果。

審計署關于印發信息系統審計指南——計算機審計實務公告第34號的通知將信息系統審計的內容分為一般控制審計、應用控制審計和項目管理審計三個層次，因此，在云計算環境下，分別實施這三個層次的審計程序。

一般控制審計。云服務模式下，信息系統的基礎設施和服務均由云服務提供商提供，用戶通過Internet即可“按需購買”和“按需租用”云服務提供商提供的服務，因此，一般控制審計需要從云服務提供商和被審單位兩個進行，這樣可以使得審計結論更加真實、更加可靠。云環境下的信息系統一般控制主要關注信息系統基礎設施（包括信息系統環境、信息系統硬件、系統軟件、數據庫等）、系統訪問（包括邏輯訪和物理訪問）、網絡安全、災難恢復、信息安全管理等方面。其中IaaS和PaaS涉及到信息系統基礎設施、系統訪問、網絡安全、災難恢復和信息安全管理，SaaS涉及系統訪問。

應用控制審計。云服務模式下，信息系統的應用控制審計包括業務流程控制審計與數據控制審計。不同的企業其信息系統的業務流程也不同，同時云服務選擇的多樣性也使得企業的業務流程能夠隨著企業服務的需求不斷進行重構，在進行信息系統業務流程控制審計和數據控制審計時，應根據被審單位的特點，從被審單位的企業控制目標入手，分析相關控制目標的業務流程設計、業務流程功能的合理性，找出業務流程中相關的關鍵控制點，并對相關關鍵控制點進行測試，但在云服務模式下，對關鍵控制點進行測試的測試程序復雜度較傳統的測試程序提高了，這也對信息系統審計人員提出了更高的要求。

項目管理審計。云服務模式下，信息系統的項目管理審計主要關注項目建設的經濟性、項目建設的管理與項目的績效方面是否與企業的目標相契合，如云服務提供商的選擇與管理是否結合企業與供應商雙方的因素進行，并簽訂服務水平協議管理等。

在執行了信息系統一般控制審計程序、應用控制審計程序和項目管理審計程序之后，審計人員就可以從被審單位和云服務提供商獲取有關一般控制、應用控制和項目管理等方面的審計證據。

3.審計終結階段。審計終結階段是對審計工作的總結，首先對審計實施階段形成的審計證據進行歸類和整理，撰寫出審計報告；然后向被審單位出具審計報告，并提出審計意見，被審單位按審計決定的要求，作出改進處理；最后對各種審計資料進行整理歸檔和管理。

四、結語

大數據時代、云計算技術的到來，給信息系統審計工作帶來了新的機遇和挑戰，在這種情況下，為了充分發揮大數據和云計算技術在信息系統審計應用中的優勢，如何將大數據、云計算與信息系統審計的工作進行有機的結合，是審計機構需要思考的問題。本文在對大數據對傳統信息系統審計產生的影響分析的基礎上，構建了大數據時代基于云計算的信息系統審計實施框架，并對該框架下的信息系統審計實施流程進行了闡述。借助大數據的結構復雜、海量信息和云計算技術，信息系統審計的過程更加注重不同事物間的相關關系，而不再主要依賴于事物間的因果關系，根據事物間的相關關系，通過數據挖掘、統計分析等技術方法可以發現容易被忽視但存在風險的審計項目，從而提高了審計工作的效率、降低了審計風險。J

參考文獻：

[1]魏祥健.云平臺架構下的協同審計模式研究[J].審計研究，2014，（6）：29-35.

[2]程平，白沂，賀灝璁.云會計環境下基于COBIT標準的大數據審計研究[J].會計之友，2016，（4）：125-128.

[3]陳偉，Wally Smieliauskas.云計算環境下的聯網審計實現方法探析[J].審計研究，2012，（3）：37-44.

[4]秦榮生.大數據、云計算技術對審計的影響研究[J].審計研究，2014，（6）：23-28.

[5]牛艷芳，薛巖，孟祥雨.云計算環境下的審計業務模式變革研究[J].南京審計學院學報，2014，（4）：95-103.

[6]張艷玲.云審計——審計信息化的發展趨勢[J].商業會計，2013，（10）.

作者簡介：

張金城，男，南京審計大學，教授；主要從事管理信息系統、信息系統審計的教學與研究。

柳巧玲，女，南京審計大學，副教授；主要從事管理信息系統的教學和研究。