宮巖偉
摘 要:本文主要是從內(nèi)部審計(jì)視角,結(jié)合日常工作實(shí)踐,對審計(jì)主要職能的理解以及對云計(jì)算等信息技術(shù)的認(rèn)知,分析集團(tuán)化“審計(jì)(管理)云”的可實(shí)現(xiàn)性,設(shè)想其功能構(gòu)建,針對信息安全風(fēng)險(xiǎn)、組織架構(gòu)制約等構(gòu)建風(fēng)險(xiǎn)與困難從法治、風(fēng)險(xiǎn)管理、技術(shù)等層面提出風(fēng)險(xiǎn)與困難的應(yīng)對思路,實(shí)現(xiàn)優(yōu)化審計(jì)資源使用與配置、提高審計(jì)項(xiàng)目管理效率、及時報(bào)告與分享審計(jì)成果等預(yù)期效果。
關(guān)鍵詞:審計(jì);(管理)云;功能;設(shè)想
中圖分類號:F239;F239 文獻(xiàn)標(biāo)識碼:A 文章編號:2095-9052(2020)04-0050-02
一、集團(tuán)化審計(jì)(管理)云構(gòu)建可實(shí)現(xiàn)性分析
(一)云計(jì)算的主要特點(diǎn)
第一,虛擬化。虛擬化是云計(jì)算的最基礎(chǔ)前提,打破了傳統(tǒng)客戶需先投資建設(shè)有形IT設(shè)備實(shí)體,再獲得服務(wù)的模式。用戶只需要通過網(wǎng)絡(luò),在任何時間、任意位置,通過多樣化終端設(shè)備均能獲得服務(wù),不需要了解數(shù)據(jù)在哪存儲、如何存儲。虛擬化既包括應(yīng)用的虛擬化又包括資源的虛擬化[1]。
第二,規(guī)模化。為實(shí)現(xiàn)超級存儲和計(jì)算能力,云計(jì)算中心需要整合和管理超級龐大的服務(wù)器群,且這些服務(wù)器可以通過網(wǎng)絡(luò)分布在世界各地。例如,谷歌(Google)的云計(jì)算已擁有100多萬臺服務(wù)器[2]。
第三,超級計(jì)算。云計(jì)算原理是將用戶提交的任務(wù)分割成小任務(wù),分布到云數(shù)據(jù)中心的龐大服務(wù)器群上執(zhí)行,因此能夠?qū)崿F(xiàn)超級計(jì)算機(jī)的計(jì)算能力。
第四,通用性。由于龐大的服務(wù)器群作支撐,云計(jì)算不需針對特定的應(yīng)用環(huán)境,可根據(jù)各種需要構(gòu)建出各種應(yīng)用的運(yùn)行環(huán)境。
第五,按需服務(wù)和擴(kuò)展性。云計(jì)算的實(shí)質(zhì)是提供信息技術(shù)服務(wù),“云”中集成了各種軟件和存儲資源,客戶可以根據(jù)需要定制各種軟件環(huán)境,動態(tài)擴(kuò)展存儲規(guī)模、用戶規(guī)模。
第六,低成本。由于“云”規(guī)模的龐大和特殊的容錯措施,云服務(wù)商可以采用廉價(jià)的硬件,而“云”的自動化集成消除了企業(yè)獨(dú)立承擔(dān)數(shù)據(jù)中心的管理成本和資源使用成本,使企業(yè)以更小的投入獲得了更大的數(shù)據(jù)處理能力。
(二)集團(tuán)化內(nèi)部審計(jì)發(fā)展的需求
第一,管理越來越多內(nèi)審分支機(jī)構(gòu)的需求。隨著企業(yè)做大做強(qiáng),終會向集團(tuán)化方向發(fā)展,隨之而來是集團(tuán)管理越來越多的分支機(jī)構(gòu)、各級公司,為滿足企業(yè)監(jiān)管需要和完善治理結(jié)構(gòu),各分支機(jī)構(gòu)、各級公司又會設(shè)立各自的內(nèi)部審計(jì)分支機(jī)構(gòu)。如何統(tǒng)籌管理集團(tuán)的內(nèi)審體系,整合資源發(fā)揮更大效用,已成為集團(tuán)化審計(jì)管理的重要課題。
第二,統(tǒng)籌部署集團(tuán)審計(jì)戰(zhàn)略的需求。從業(yè)務(wù)方面,各下屬審計(jì)機(jī)構(gòu)接受上級審計(jì)機(jī)構(gòu)的指導(dǎo),但組織機(jī)構(gòu)、職能劃分上又由各所屬單位管理。實(shí)際情況是,上級傳達(dá)戰(zhàn)略部署、下級反饋意見信息,存在較高的溝通成本,往往形成集團(tuán)及各審計(jì)分支的各自為戰(zhàn),各分支匯報(bào)的審計(jì)成果獨(dú)立來看效果顯著,但從全集團(tuán)層面卻難以勾勒出整體形態(tài)。
第三,信息化審計(jì)系統(tǒng)集成升級的需求。隨著信息技術(shù)在內(nèi)部審計(jì)中的應(yīng)用,很多集團(tuán)及下屬單位都已搭建了信息化審計(jì)系統(tǒng)。但由于各種因素,多數(shù)的信息化審計(jì)系統(tǒng)并未統(tǒng)一集成、缺少接口、功能各異,且基于較早的信息技術(shù),已難擴(kuò)展,逐漸降低對審計(jì)的支撐作用。
(三)審計(jì)(管理)云提供了一種解決方案
虛擬化為審計(jì)工作實(shí)現(xiàn)提供了更靈活多樣的開展方式,按需服務(wù)、高擴(kuò)展性使集團(tuán)化的審計(jì)(管理)云系統(tǒng)搭建或升級變得更容易實(shí)現(xiàn)。云的超級計(jì)算能力,使內(nèi)部審計(jì)越來越高的數(shù)據(jù)分析需求得到滿足,且能夠提供更多選擇的軟件系統(tǒng)和數(shù)據(jù)環(huán)境。由于云的低成本特點(diǎn),整合或重新構(gòu)建集團(tuán)化審計(jì)(管理)云將投入更少資金,而由于最終構(gòu)建形成集團(tuán)層面的審計(jì)(管理)云,集團(tuán)審計(jì)的整體統(tǒng)籌、高效溝通、資源綜合利用等需求能夠更容易得到實(shí)現(xiàn)。云技術(shù)的應(yīng)用,將審計(jì)的信息化建設(shè)引入無需IT基礎(chǔ)設(shè)施投入,即可獲取定制化服務(wù)的方向。
二、集團(tuán)化審計(jì)(管理)云構(gòu)建功能設(shè)想
(一)基礎(chǔ)功能
第一,審計(jì)計(jì)劃功能。此功能主要實(shí)現(xiàn)審計(jì)計(jì)劃制定時既考慮集團(tuán)戰(zhàn)略的統(tǒng)籌,又考慮各分支機(jī)構(gòu)現(xiàn)實(shí)風(fēng)險(xiǎn)的把握。集團(tuán)、各分支機(jī)構(gòu)在制定年度計(jì)劃時,通過審計(jì)(管理)云及時共享。一方面可以避免審計(jì)計(jì)劃的重復(fù);另一方面,集團(tuán)可以部署對某一業(yè)務(wù)模塊各分支的同時審計(jì),實(shí)現(xiàn)全集團(tuán)該業(yè)務(wù)模塊的橫向比較和互相借鑒,取得更優(yōu)的最佳實(shí)踐案例。
第二,審計(jì)資源調(diào)配功能。此功能主要實(shí)現(xiàn)全集團(tuán)審計(jì)體系資源的整體協(xié)調(diào)安排。集團(tuán)、各分支機(jī)構(gòu)年度計(jì)劃制定后,都會對各項(xiàng)目時間進(jìn)度、人員配置進(jìn)行安排,但以往都只能對自有的審計(jì)資源進(jìn)行分配。通過審計(jì)(管理)云,實(shí)現(xiàn)審計(jì)人員的調(diào)配和交流,如將其他機(jī)構(gòu)的某些審計(jì)領(lǐng)域的專家調(diào)配到重要的審計(jì)項(xiàng)目中,請求某些地區(qū)的審計(jì)人員提供支援減少差旅等。通過整合審計(jì)資源調(diào)配,可實(shí)現(xiàn)一定的審計(jì)能力共享、審計(jì)資源共享,提高整體質(zhì)量,降低成本。
第三,審計(jì)項(xiàng)目管理功能。此功能屬于傳統(tǒng)的審計(jì)項(xiàng)目管理職能,主要是將此功能集成到集團(tuán)化審計(jì)(管理)云中,實(shí)現(xiàn)各個審計(jì)項(xiàng)目的進(jìn)度、成本、質(zhì)量管理。審計(jì)工作的主要流程一般包括審計(jì)通知書、審計(jì)調(diào)查、審計(jì)方案編制、審計(jì)實(shí)施、交換意見、審計(jì)報(bào)告等階段。此功能可按各流程階段在審計(jì)(管理)云中進(jìn)行管理和展示,便于集團(tuán)層面全面了解各分支機(jī)構(gòu)目前的項(xiàng)目開展情況和項(xiàng)目當(dāng)前狀態(tài)。
第四,審計(jì)成果匯報(bào)與數(shù)據(jù)統(tǒng)計(jì)功能。此功能主要是實(shí)現(xiàn)審計(jì)成果的及時匯報(bào)和按需從不同維度進(jìn)行數(shù)據(jù)統(tǒng)計(jì)。隨著國家及各級監(jiān)管機(jī)構(gòu)對內(nèi)部審計(jì)工作的重視和對內(nèi)部審計(jì)工作成果的認(rèn)可,審計(jì)成果匯報(bào)的及時性,對不同維度的數(shù)據(jù)統(tǒng)計(jì)與上報(bào)要求越來越多。通過集團(tuán)化審計(jì)(管理)云中的此項(xiàng)功能,在各階段根據(jù)管理需要,及時地將各種信息進(jìn)行匯總統(tǒng)計(jì),展示并匯報(bào)。如當(dāng)前開展的審計(jì)項(xiàng)目數(shù)量,具體審計(jì)項(xiàng)目名稱,領(lǐng)域分布,已完成項(xiàng)目數(shù)量,已發(fā)現(xiàn)審計(jì)問題數(shù)量,涉及問題金額,審計(jì)問題效益等各類需求信息。
(二)擴(kuò)展功能
第一,數(shù)據(jù)分析環(huán)境。當(dāng)前內(nèi)部審計(jì)已越來越多地對全業(yè)務(wù)數(shù)據(jù)進(jìn)行分析以實(shí)現(xiàn)業(yè)務(wù)的全審計(jì)覆蓋,但更多的仍基于單機(jī)或服務(wù)器。而“云”可以提供各種數(shù)據(jù)結(jié)構(gòu)和軟件環(huán)境,提供超強(qiáng)的計(jì)算能力,在審計(jì)(管理)云上應(yīng)用云計(jì)算,能夠提供更高速度、更大規(guī)模的數(shù)據(jù)分析能力,同時由于數(shù)據(jù)存儲在“云”中,可以實(shí)現(xiàn)多個審計(jì)項(xiàng)目、審計(jì)人員的并行分析審計(jì)。
第二,審計(jì)項(xiàng)目畫像。在審計(jì)(管理)云中應(yīng)用AI技術(shù),通過全集團(tuán)審計(jì)成果的積累以及導(dǎo)入收集到更多的審計(jì)案例,審計(jì)(管理)云在進(jìn)行機(jī)器學(xué)習(xí)和關(guān)鍵詞提取后,就可以對某一類審計(jì)項(xiàng)目提供畫像。如在編制審計(jì)方案時,輸入某一審計(jì)領(lǐng)域,審計(jì)(管理)云會自動推送相關(guān)的風(fēng)險(xiǎn)點(diǎn)、審計(jì)程序;編制審計(jì)報(bào)告時,輸入某些特定詞,審計(jì)(管理)云會自動提示可能的審計(jì)發(fā)現(xiàn)具體描述。
第三,實(shí)時審計(jì)監(jiān)控。目前已經(jīng)實(shí)現(xiàn)的在服務(wù)器上的實(shí)時審計(jì)監(jiān)控,也可以在審計(jì)(管理)云上進(jìn)行應(yīng)用,并且可以結(jié)合大數(shù)據(jù)分析技術(shù),除建立定量指標(biāo)外,還可以建立定性指標(biāo)、趨勢指標(biāo),提供大數(shù)據(jù)關(guān)聯(lián)的預(yù)測、預(yù)警。
三、集團(tuán)化“審計(jì)(管理)云”構(gòu)建風(fēng)險(xiǎn)與困難
(一)信息安全風(fēng)險(xiǎn)
對于私有云,由于完全由客戶控制,信息安全風(fēng)險(xiǎn)與傳統(tǒng)信息安全風(fēng)險(xiǎn)基本相同。
但由于成本考慮,構(gòu)建審計(jì)(管理)云更多還是基于公有云。由于公有云運(yùn)營完全由云服務(wù)商負(fù)責(zé),硬件由服務(wù)商維護(hù),軟件、信息全部存儲到云服務(wù)商的數(shù)據(jù)中心,信息完全脫離企業(yè)監(jiān)控。相對于傳統(tǒng)服務(wù)器模式,信息安全存在來自云服務(wù)商內(nèi)部(或自身)和云服務(wù)器外部的雙重威脅。特別是對于審計(jì)來說,存儲和產(chǎn)生的數(shù)據(jù)更加敏感和機(jī)密,一旦信息遭受破壞、丟失或泄露,可能為集團(tuán)帶來無法估計(jì)的影響和損失。
(二)組織架構(gòu)制約
理論上,雖然審計(jì)(管理)云可實(shí)現(xiàn)集團(tuán)范圍內(nèi)審計(jì)資源(特別是審計(jì)人員)的統(tǒng)一調(diào)配,但當(dāng)前現(xiàn)實(shí)情況是,集團(tuán)及下屬各單位的審計(jì)人員是與所屬企業(yè)的有合同雇傭關(guān)系,而非分配給集團(tuán)審計(jì)體系可統(tǒng)一調(diào)配的權(quán)力。集團(tuán)與下屬單位之間、下屬單位相互之間的審計(jì)人員調(diào)配需要協(xié)商和授權(quán)。審計(jì)人員為集團(tuán)內(nèi)其他企業(yè)提供審計(jì)服務(wù),是否存在報(bào)酬核算的問題,調(diào)配審計(jì)人員的績效考核結(jié)果如何應(yīng)用問題,也是對審計(jì)(管理)云發(fā)揮資源共享作用的重要制約。
(三)風(fēng)險(xiǎn)與困難的應(yīng)對思路
上述提出的風(fēng)險(xiǎn)和困難,可以從多角度思考應(yīng)對策略,本文僅從幾個層面略作展開,提出一些思路供參考借鑒。
第一,法治層面。解決信息安全風(fēng)險(xiǎn)首先需要建立完善、有效的法律法規(guī)體系,使云上的數(shù)據(jù)能夠依法得到尊重和保護(hù),發(fā)生數(shù)據(jù)安全事件也有法可依追究責(zé)任,保證云使用方獲得損失賠償。
第二,風(fēng)險(xiǎn)管理層面。建立云數(shù)據(jù)安全的保險(xiǎn)機(jī)制,可以使云數(shù)據(jù)信息安全風(fēng)險(xiǎn)得到分擔(dān)。一方面,保險(xiǎn)公司為風(fēng)險(xiǎn)可控,會從第三方角度加強(qiáng)對云服務(wù)商的監(jiān)控,促使云安全性的持續(xù)提升;另一方面,保險(xiǎn)分擔(dān)了云信息安全事件的損失賠償風(fēng)險(xiǎn),云服務(wù)使用者能夠得到更多的損失保障。
第三,技術(shù)層面。為云上的數(shù)據(jù)進(jìn)行加密存儲,在使用數(shù)據(jù)的終端進(jìn)行解密,這樣只有獲得授權(quán)的終端才能夠訪問和使用云數(shù)據(jù),能夠?qū)崿F(xiàn)技術(shù)層面的防范信息安全風(fēng)險(xiǎn)。
第四,實(shí)踐層面。以德國大眾集團(tuán)的全球內(nèi)審體系為例,已推出全球內(nèi)審交流計(jì)劃。每年德國大眾集團(tuán)在全世界的各內(nèi)審分支會向集團(tuán)報(bào)送審計(jì)計(jì)劃和人員計(jì)劃,并根據(jù)需要提出少量的交流項(xiàng)目,其他分支可根據(jù)人員、預(yù)算等安排,決定是否派出審計(jì)人員開展聯(lián)合審計(jì)。目前聯(lián)合審計(jì)項(xiàng)目能否成行,是通過郵件、電話等溝通方式,在不同分支間地不斷確認(rèn)和溝通后得以實(shí)現(xiàn),存在較高的溝通成本和不確定性。但在該計(jì)劃下,集團(tuán)也已完成了多個跨分支的聯(lián)合審計(jì)項(xiàng)目,一定程度上實(shí)現(xiàn)了經(jīng)驗(yàn)交流、資源共享的作用。
四、結(jié)語
集團(tuán)化審計(jì)(管理)云,從資源利用方面,能夠調(diào)動全集團(tuán)的審計(jì)資源,實(shí)現(xiàn)更大規(guī)模的綜合利用、優(yōu)勢互補(bǔ)。從審計(jì)職能發(fā)揮方面,能夠通過更高效的統(tǒng)一部署,對同類企業(yè)進(jìn)行橫向比較,對不同類企業(yè)進(jìn)行縱向延伸,并能更好地結(jié)合集團(tuán)戰(zhàn)略與各企業(yè)戰(zhàn)略。從審計(jì)質(zhì)量提升方面,由擴(kuò)展功能帶來更大規(guī)模的數(shù)據(jù)分析、更準(zhǔn)確的審計(jì)項(xiàng)目畫像、大數(shù)據(jù)實(shí)時監(jiān)控預(yù)警,從審計(jì)證據(jù)的準(zhǔn)確性、多角度,審計(jì)方案和審計(jì)報(bào)告的標(biāo)準(zhǔn)化、完整性等實(shí)現(xiàn)審計(jì)的高質(zhì)量完成。
參考文獻(xiàn):
[1]戴麗榮,戴舒.云計(jì)算綜述[J].西安航空學(xué)院學(xué)報(bào),2013(31):68-71.
[2]趙一霈.淺談云計(jì)算特點(diǎn)及其安全問題[J].信息科技探索,2019(4):117-118.
(責(zé)任編輯:林麗華)