云計算下的審計風險分析與防范

傅靜

云計算的產生以及不斷地蓬勃發展影響了審計技術和審計方法，巧妙地將云計算與審計相結合，在一定程度上擴大審計范圍，提高審計效率，但同時也會產生相應的云審計風險。

一、云計算及云審計概述

1.云計算的內涵。云計算是一種能夠將存儲、網絡、計算等資源抽象化和虛擬化，形成巨大資源庫，按需調度和資源供給的大規模分布式計算模式，用戶通過互聯網獲取想要的信息資源。現階段，美國國家標準與技術研究院（NIST）對此情況作出了為公眾所接受的較為綜合的定義：云計算是一種付費使用的計算模式，它供應可利用的、方便的、按需的網絡訪問渠道，靠裝配的計算資源共享庫（資源包括網絡，服務器，存儲，應用軟件，服務）快速提供被需求的資源，而與之相對的，無需繁瑣復雜的管理工作，也不用頻繁與供應商交互。

2.云審計的內涵。云計算技術與審計工作的結合創造了“云審計”的概念。審計通過“云”融合云計算概念和云存儲數據，并結合應用各種審計資源 （審計人員、基礎設施、應用軟件等），給審計機構提供科學、高效的審計業務流程，節省審計人員的精力，保證審計人員將更多的目光放在審計任務上，而不用把過度的時間浪費在處理審計信息、選擇應用程序等事情上。云審計是一種超級計算模式，它以云計算技術為基礎，以云技術做支持。從事審計工作的人員可以更方便地從“云”中調取需要的數據信息和其他的相關資料，從而更加高效率地完成審計工作。

二、云計算對審計的影響

1.云計算下運用總體審計模式可以有效規避由于抽樣審計模式導致的審計風險。傳統的審計模式主要依賴于審計抽樣，該方法下由于對非全樣本進行審計，無可避免地增加了審計風險，并且該風險與樣本規模的大小呈正比。此外，由于審計抽樣存在不確定性，這為被審計單位實施舞弊行為提供了條件。而采用云計算技術的總體審計模式是通過分析與審計對象相關的所有數據，使審計人員在審計業務的全過程建立總體審計的思維模式，對數據和資源進行全面化、深層次、多角度的分析，能夠發現傳統抽樣審計模式下由于非全面審計所帶來的問題，有效地規避由于抽樣審計模式帶來的審計風險。

2.云計算方便大量復雜數據的分析，提高審計工作效率。現代審計業務通常涉及對使用大數據分析技術，以在當今的商業環境中保持競爭力并保持相關性。客戶端系統現已與云計算、物聯網和外部數據源（例如社交媒體）集成為一體。此外，許多客戶現在正在將此大數據與新的復雜業務分析方法集成，通過云計算得出決策所需的信息。這為外部審計師進行審計業務時使用高級數據分析提供了條件。

3.云計算將優化審計資源，實現信息共享與數據可比性。從社會資源運營效率出發，通過云計算與審計相結合，搭建出云審計平臺，該平臺最大的優勢在于構建了行業審計數據庫，這是對包括審計資源在內的社會資源的優化利用。審計人員可以在數據庫內準確定位數據源頭、實現資源共享并對審計數據實時匯總更新;被審計單位可以在數據庫內對本行業內的競爭企業的審計數據進行深度分析，可以實現單位內部數據與行業數據乃至跨領域數據的對比分析，在大數據時代下充分利用數據間相互關系，從而實現對未來趨勢的預判。

三、云計算環境下審計風險的識別

1.審計數據的安全性風險。由于云審計的研究剛剛起步，云審計的概念還不夠明確，審計人員進行云計算信息安全審計時，難免要遇到許多挑戰。在云計算的環境下，審計對象有所擴充，不再單單是被審計單位的會計信息，還包括云計算平臺中的所有相關信息，因此審計過程中的不確定性也隨之增加。此外，審計單位和被審計單位電子數據的存儲、傳輸、處理都需要依靠云計算技術，并且它們都是由云服務供應商管理，這在一定程度上削弱了審計單位和被審計單位對數據的控制，增大了存在安全漏洞的風險。

2.云計算下的審計證據缺失風險。審計過程的實質是基于審計證據的判斷和決策過程。云系統無法獲取準確而完整的審計證據，這將導致審計風險產生。云計算的使用使被審計單位的所有電子數據都可以存儲在云中，并且它們的操作、計算和傳輸均可以通過Internet實現。審計單位在Internet上收集審計證據。審計證據以電子證據的形式呈現，收集存在一定的困難。數據存儲云環境不是唯一專屬的環境，允許多個人共同使用，這使得云服務提供商很難提供完整的數據。此外，Internet數據在全球范圍內流動，難以確定其具體存儲位置。因此，云計算環境中的審計證據難以跟蹤，并且在傳輸過程中容易被病毒感染。所有這些都會導致云計算下審計風險的增加。

3.云審計程序風險。在云計算模型中，被審計單位的數據存儲在云平臺上，其操作、計算和交付需要通過Internet進行。審計證據只能在Internet上收集，且獲得的證據是電子證據。由于存儲在云中的數據流動性很高，通常無法確定其特定的存儲位置，并且由于數據存儲云環境是多租戶共享的云環境，因此云服務提供商無法提供完整的數據。同時，由于數據流動的全球性，很難跟蹤經濟業務流程。在云審計過程中，注冊會計師能否在平臺上執行有效的審計程序并獲得足夠、適當的審計證據，是導致云審計風險的重要因素。因此，由于云計算模型中審計證據的網絡性、不透明性和流動性，難以在云計算環境中收集電子審計證據，審計程序設計的不合理性將大大增加證據收集的難度。

4.云計算內部控制風險。近年來，云計算在企業的廣泛運用，使得企業內部控制內容和方式也隨之發生了重大變化。云計算模式下企業有效的內部控制，有助于企業開展云審計及控制云審計風險、提高云審計治理。然而，就目前的云平臺運用過程中，企業普遍存在重視軟硬件和業務流程構建而忽視內部控制建設的問題，導致數據丟失與泄露、資源的濫用和非法使用、云租戶間的安全隔離等具有高風險的事件發生，從而造成云審計風險。

5.云計算下專業審計人員缺失的風險。近幾年云計算蓬勃發展，成為中國商業模式中的流行并加以采用，因而深入理解并能夠準確把握云計算環境下的審計知識的人員并不多。由于云計算具有規模大、虛擬化等特點，審計人員必須盡可能確保從云計算平臺上收集的審計證據真實、完整、準確，以便發布公允、準確的財務報告，有效減少甚至避免審計風險。目前，我們國家在利用云計算平臺獲取審計證據方面缺乏人才，大大增加了審計人員在審計后發表不恰當審計意見的可能性，從而增加了云計算環境下的審計風險。

四、云計算環境下審計風險的防范

1.建設云審計安全性平臺。一個安全的云審計平臺有利于確保數據安全并防止審計風險，可以依靠三種主要的云服務模型和高級云計算技術來構建將硬件，軟件和服務統一起來的安全云審計平臺。為了進一步增強云審計平臺的安全性，可以構建一個特殊的安全層，該安全層的任務要求是有效地收集有關各種云服務提供商的信息。首先，測試供應商掌握的技術的準確性、操作環境的穩定性、存儲模塊的安全性以及規格的匹配性。其次，在使用該技術時測試每個租戶的穩定性，不僅要追求當前數據的安全性，而且要長期保證連續的安全性。再其次，對使用云服務的用戶進行一定程度的信息監管，最大程度地防止數據在存儲和使用過程中泄漏，避免客戶的安全性，合規性，穩定性和持久性存在擔憂和質疑，從而取得客戶的信賴。最后，在平臺上建立服務系統，該服務系統分為三個模塊，分別是專家問答、資源調度和信息查詢。即使是單個審計任務，它也可以完全匹配資源數據庫并找到相同或相似的案例，從專家那里獲得最專業的答案，從而提高了審計效率，并確保審計的安全性。

2.構建風險導向云審計模型。伴隨云計算技術在各行業的廣泛傳播與使用，由于各行業的經營狀態與模式多樣化趨勢，云審計風險比傳統審計風險范圍更廣、更復雜，這要求注冊會計師從多角度、深層次、大范圍對云審計風險進行分析和防范。現在審計越來越強調風險導向，而若將其同樣運用于云審計之中，構建基于云計算的風險導向云審計模型，對海量數據進行持續分析、深入挖掘，同時兼顧事前、事中、事后，從更高層面、更廣范圍和綜合視角對云審計風險進行全方位評估，對可能產生云審計風險的各個因素進行系統分析整理，使云審計風險和整個云審計過程聯系起來，進而有效防范與控制云審計風險。

3.創新審計方法，提高審計人員的綜合素質和專業水平。在審計過程中，云計算環境中的每個審計人員將統一進入指定的團隊參與審計，并針對每個階段發生的審計問題安排不同的審計任務。這樣，審計活動將具有獨立性和針對性。隨著云計算的不斷應用，對審計人員的業務能力提出了更高要求。企業應定期組織云計算審計業務培訓課程，不斷提高審計人員的業務能力，理論與實踐相結合，將學習內容投入實際操作中，以滿足有效降低企業審計風險的要求。同時，對于無法掌握云計算方法進行審計工作的員工，公司將根據擇優而選的原則，采用選擇性淘汰的方法。

4.健全云審計的法律法規，完善云計算的審計準則。任何新事物的出現和發展都可能帶來某些風險。為了減少相應的風險，我們需要科學的指導。應當制定適當的云審計標準和準則以規范數據的存儲、傳輸和處理并使之制度化，以使數據分析結果和電子審計證據更加合理和合法。為明確劃分職責，審計人員應對云審計流程中的每個步驟負責。如果沒有明確定義云審計責任，則可能會導致某些審計人員鉆了云審計流程中的法律漏洞。

（作者單位：浙江中國小商品城集團股份有限公司）