集團(tuán)化“審計(jì)（管理）云”構(gòu)建設(shè)想

宮巖偉

摘 要：本文主要是從內(nèi)部審計(jì)視角，結(jié)合日常工作實(shí)踐，對審計(jì)主要職能的理解以及對云計(jì)算等信息技術(shù)的認(rèn)知，分析集團(tuán)化“審計(jì)（管理）云”的可實(shí)現(xiàn)性，設(shè)想其功能構(gòu)建，針對信息安全風(fēng)險(xiǎn)、組織架構(gòu)制約等構(gòu)建風(fēng)險(xiǎn)與困難從法治、風(fēng)險(xiǎn)管理、技術(shù)等層面提出風(fēng)險(xiǎn)與困難的應(yīng)對思路，實(shí)現(xiàn)優(yōu)化審計(jì)資源使用與配置、提高審計(jì)項(xiàng)目管理效率、及時報(bào)告與分享審計(jì)成果等預(yù)期效果。

關(guān)鍵詞：審計(jì)；（管理）云；功能；設(shè)想

中圖分類號：F239；F239 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-9052（2020）04-0050-02

一、集團(tuán)化審計(jì)（管理）云構(gòu)建可實(shí)現(xiàn)性分析

（一）云計(jì)算的主要特點(diǎn)

第一，虛擬化。虛擬化是云計(jì)算的最基礎(chǔ)前提，打破了傳統(tǒng)客戶需先投資建設(shè)有形IT設(shè)備實(shí)體，再獲得服務(wù)的模式。用戶只需要通過網(wǎng)絡(luò)，在任何時間、任意位置，通過多樣化終端設(shè)備均能獲得服務(wù)，不需要了解數(shù)據(jù)在哪存儲、如何存儲。虛擬化既包括應(yīng)用的虛擬化又包括資源的虛擬化[1]。

第二，規(guī)模化。為實(shí)現(xiàn)超級存儲和計(jì)算能力，云計(jì)算中心需要整合和管理超級龐大的服務(wù)器群，且這些服務(wù)器可以通過網(wǎng)絡(luò)分布在世界各地。例如，谷歌（Google）的云計(jì)算已擁有100多萬臺服務(wù)器[2]。

第三，超級計(jì)算。云計(jì)算原理是將用戶提交的任務(wù)分割成小任務(wù)，分布到云數(shù)據(jù)中心的龐大服務(wù)器群上執(zhí)行，因此能夠?qū)崿F(xiàn)超級計(jì)算機(jī)的計(jì)算能力。

第四，通用性。由于龐大的服務(wù)器群作支撐，云計(jì)算不需針對特定的應(yīng)用環(huán)境，可根據(jù)各種需要構(gòu)建出各種應(yīng)用的運(yùn)行環(huán)境。

第五，按需服務(wù)和擴(kuò)展性。云計(jì)算的實(shí)質(zhì)是提供信息技術(shù)服務(wù)，“云”中集成了各種軟件和存儲資源，客戶可以根據(jù)需要定制各種軟件環(huán)境，動態(tài)擴(kuò)展存儲規(guī)模、用戶規(guī)模。

第六，低成本。由于“云”規(guī)模的龐大和特殊的容錯措施，云服務(wù)商可以采用廉價(jià)的硬件，而“云”的自動化集成消除了企業(yè)獨(dú)立承擔(dān)數(shù)據(jù)中心的管理成本和資源使用成本，使企業(yè)以更小的投入獲得了更大的數(shù)據(jù)處理能力。

（二）集團(tuán)化內(nèi)部審計(jì)發(fā)展的需求

第一，管理越來越多內(nèi)審分支機(jī)構(gòu)的需求。隨著企業(yè)做大做強(qiáng)，終會向集團(tuán)化方向發(fā)展，隨之而來是集團(tuán)管理越來越多的分支機(jī)構(gòu)、各級公司，為滿足企業(yè)監(jiān)管需要和完善治理結(jié)構(gòu)，各分支機(jī)構(gòu)、各級公司又會設(shè)立各自的內(nèi)部審計(jì)分支機(jī)構(gòu)。如何統(tǒng)籌管理集團(tuán)的內(nèi)審體系，整合資源發(fā)揮更大效用，已成為集團(tuán)化審計(jì)管理的重要課題。

第二，統(tǒng)籌部署集團(tuán)審計(jì)戰(zhàn)略的需求。從業(yè)務(wù)方面，各下屬審計(jì)機(jī)構(gòu)接受上級審計(jì)機(jī)構(gòu)的指導(dǎo)，但組織機(jī)構(gòu)、職能劃分上又由各所屬單位管理。實(shí)際情況是，上級傳達(dá)戰(zhàn)略部署、下級反饋意見信息，存在較高的溝通成本，往往形成集團(tuán)及各審計(jì)分支的各自為戰(zhàn)，各分支匯報(bào)的審計(jì)成果獨(dú)立來看效果顯著，但從全集團(tuán)層面卻難以勾勒出整體形態(tài)。

第三，信息化審計(jì)系統(tǒng)集成升級的需求。隨著信息技術(shù)在內(nèi)部審計(jì)中的應(yīng)用，很多集團(tuán)及下屬單位都已搭建了信息化審計(jì)系統(tǒng)。但由于各種因素，多數(shù)的信息化審計(jì)系統(tǒng)并未統(tǒng)一集成、缺少接口、功能各異，且基于較早的信息技術(shù)，已難擴(kuò)展，逐漸降低對審計(jì)的支撐作用。

（三）審計(jì)（管理）云提供了一種解決方案

虛擬化為審計(jì)工作實(shí)現(xiàn)提供了更靈活多樣的開展方式，按需服務(wù)、高擴(kuò)展性使集團(tuán)化的審計(jì)（管理）云系統(tǒng)搭建或升級變得更容易實(shí)現(xiàn)。云的超級計(jì)算能力，使內(nèi)部審計(jì)越來越高的數(shù)據(jù)分析需求得到滿足，且能夠提供更多選擇的軟件系統(tǒng)和數(shù)據(jù)環(huán)境。由于云的低成本特點(diǎn)，整合或重新構(gòu)建集團(tuán)化審計(jì)（管理）云將投入更少資金，而由于最終構(gòu)建形成集團(tuán)層面的審計(jì)（管理）云，集團(tuán)審計(jì)的整體統(tǒng)籌、高效溝通、資源綜合利用等需求能夠更容易得到實(shí)現(xiàn)。云技術(shù)的應(yīng)用，將審計(jì)的信息化建設(shè)引入無需IT基礎(chǔ)設(shè)施投入，即可獲取定制化服務(wù)的方向。

二、集團(tuán)化審計(jì)（管理）云構(gòu)建功能設(shè)想

（一）基礎(chǔ)功能

第一，審計(jì)計(jì)劃功能。此功能主要實(shí)現(xiàn)審計(jì)計(jì)劃制定時既考慮集團(tuán)戰(zhàn)略的統(tǒng)籌，又考慮各分支機(jī)構(gòu)現(xiàn)實(shí)風(fēng)險(xiǎn)的把握。集團(tuán)、各分支機(jī)構(gòu)在制定年度計(jì)劃時，通過審計(jì)（管理）云及時共享。一方面可以避免審計(jì)計(jì)劃的重復(fù)；另一方面，集團(tuán)可以部署對某一業(yè)務(wù)模塊各分支的同時審計(jì)，實(shí)現(xiàn)全集團(tuán)該業(yè)務(wù)模塊的橫向比較和互相借鑒，取得更優(yōu)的最佳實(shí)踐案例。

第二，審計(jì)資源調(diào)配功能。此功能主要實(shí)現(xiàn)全集團(tuán)審計(jì)體系資源的整體協(xié)調(diào)安排。集團(tuán)、各分支機(jī)構(gòu)年度計(jì)劃制定后，都會對各項(xiàng)目時間進(jìn)度、人員配置進(jìn)行安排，但以往都只能對自有的審計(jì)資源進(jìn)行分配。通過審計(jì)（管理）云，實(shí)現(xiàn)審計(jì)人員的調(diào)配和交流，如將其他機(jī)構(gòu)的某些審計(jì)領(lǐng)域的專家調(diào)配到重要的審計(jì)項(xiàng)目中，請求某些地區(qū)的審計(jì)人員提供支援減少差旅等。通過整合審計(jì)資源調(diào)配，可實(shí)現(xiàn)一定的審計(jì)能力共享、審計(jì)資源共享，提高整體質(zhì)量，降低成本。

第三，審計(jì)項(xiàng)目管理功能。此功能屬于傳統(tǒng)的審計(jì)項(xiàng)目管理職能，主要是將此功能集成到集團(tuán)化審計(jì)（管理）云中，實(shí)現(xiàn)各個審計(jì)項(xiàng)目的進(jìn)度、成本、質(zhì)量管理。審計(jì)工作的主要流程一般包括審計(jì)通知書、審計(jì)調(diào)查、審計(jì)方案編制、審計(jì)實(shí)施、交換意見、審計(jì)報(bào)告等階段。此功能可按各流程階段在審計(jì)（管理）云中進(jìn)行管理和展示，便于集團(tuán)層面全面了解各分支機(jī)構(gòu)目前的項(xiàng)目開展情況和項(xiàng)目當(dāng)前狀態(tài)。

第四，審計(jì)成果匯報(bào)與數(shù)據(jù)統(tǒng)計(jì)功能。此功能主要是實(shí)現(xiàn)審計(jì)成果的及時匯報(bào)和按需從不同維度進(jìn)行數(shù)據(jù)統(tǒng)計(jì)。隨著國家及各級監(jiān)管機(jī)構(gòu)對內(nèi)部審計(jì)工作的重視和對內(nèi)部審計(jì)工作成果的認(rèn)可，審計(jì)成果匯報(bào)的及時性，對不同維度的數(shù)據(jù)統(tǒng)計(jì)與上報(bào)要求越來越多。通過集團(tuán)化審計(jì)（管理）云中的此項(xiàng)功能，在各階段根據(jù)管理需要，及時地將各種信息進(jìn)行匯總統(tǒng)計(jì)，展示并匯報(bào)。如當(dāng)前開展的審計(jì)項(xiàng)目數(shù)量，具體審計(jì)項(xiàng)目名稱，領(lǐng)域分布，已完成項(xiàng)目數(shù)量，已發(fā)現(xiàn)審計(jì)問題數(shù)量，涉及問題金額，審計(jì)問題效益等各類需求信息。

（二）擴(kuò)展功能

第一，數(shù)據(jù)分析環(huán)境。當(dāng)前內(nèi)部審計(jì)已越來越多地對全業(yè)務(wù)數(shù)據(jù)進(jìn)行分析以實(shí)現(xiàn)業(yè)務(wù)的全審計(jì)覆蓋，但更多的仍基于單機(jī)或服務(wù)器。而“云”可以提供各種數(shù)據(jù)結(jié)構(gòu)和軟件環(huán)境，提供超強(qiáng)的計(jì)算能力，在審計(jì)（管理）云上應(yīng)用云計(jì)算，能夠提供更高速度、更大規(guī)模的數(shù)據(jù)分析能力，同時由于數(shù)據(jù)存儲在“云”中，可以實(shí)現(xiàn)多個審計(jì)項(xiàng)目、審計(jì)人員的并行分析審計(jì)。

第二，審計(jì)項(xiàng)目畫像。在審計(jì)（管理）云中應(yīng)用AI技術(shù)，通過全集團(tuán)審計(jì)成果的積累以及導(dǎo)入收集到更多的審計(jì)案例，審計(jì)（管理）云在進(jìn)行機(jī)器學(xué)習(xí)和關(guān)鍵詞提取后，就可以對某一類審計(jì)項(xiàng)目提供畫像。如在編制審計(jì)方案時，輸入某一審計(jì)領(lǐng)域，審計(jì)（管理）云會自動推送相關(guān)的風(fēng)險(xiǎn)點(diǎn)、審計(jì)程序；編制審計(jì)報(bào)告時，輸入某些特定詞，審計(jì)（管理）云會自動提示可能的審計(jì)發(fā)現(xiàn)具體描述。

第三，實(shí)時審計(jì)監(jiān)控。目前已經(jīng)實(shí)現(xiàn)的在服務(wù)器上的實(shí)時審計(jì)監(jiān)控，也可以在審計(jì)（管理）云上進(jìn)行應(yīng)用，并且可以結(jié)合大數(shù)據(jù)分析技術(shù)，除建立定量指標(biāo)外，還可以建立定性指標(biāo)、趨勢指標(biāo)，提供大數(shù)據(jù)關(guān)聯(lián)的預(yù)測、預(yù)警。

三、集團(tuán)化“審計(jì)（管理）云”構(gòu)建風(fēng)險(xiǎn)與困難

（一）信息安全風(fēng)險(xiǎn)

對于私有云，由于完全由客戶控制，信息安全風(fēng)險(xiǎn)與傳統(tǒng)信息安全風(fēng)險(xiǎn)基本相同。

但由于成本考慮，構(gòu)建審計(jì)（管理）云更多還是基于公有云。由于公有云運(yùn)營完全由云服務(wù)商負(fù)責(zé)，硬件由服務(wù)商維護(hù)，軟件、信息全部存儲到云服務(wù)商的數(shù)據(jù)中心，信息完全脫離企業(yè)監(jiān)控。相對于傳統(tǒng)服務(wù)器模式，信息安全存在來自云服務(wù)商內(nèi)部（或自身）和云服務(wù)器外部的雙重威脅。特別是對于審計(jì)來說，存儲和產(chǎn)生的數(shù)據(jù)更加敏感和機(jī)密，一旦信息遭受破壞、丟失或泄露，可能為集團(tuán)帶來無法估計(jì)的影響和損失。

（二）組織架構(gòu)制約

理論上，雖然審計(jì)（管理）云可實(shí)現(xiàn)集團(tuán)范圍內(nèi)審計(jì)資源（特別是審計(jì)人員）的統(tǒng)一調(diào)配，但當(dāng)前現(xiàn)實(shí)情況是，集團(tuán)及下屬各單位的審計(jì)人員是與所屬企業(yè)的有合同雇傭關(guān)系，而非分配給集團(tuán)審計(jì)體系可統(tǒng)一調(diào)配的權(quán)力。集團(tuán)與下屬單位之間、下屬單位相互之間的審計(jì)人員調(diào)配需要協(xié)商和授權(quán)。審計(jì)人員為集團(tuán)內(nèi)其他企業(yè)提供審計(jì)服務(wù)，是否存在報(bào)酬核算的問題，調(diào)配審計(jì)人員的績效考核結(jié)果如何應(yīng)用問題，也是對審計(jì)（管理）云發(fā)揮資源共享作用的重要制約。

（三）風(fēng)險(xiǎn)與困難的應(yīng)對思路

上述提出的風(fēng)險(xiǎn)和困難，可以從多角度思考應(yīng)對策略，本文僅從幾個層面略作展開，提出一些思路供參考借鑒。

第一，法治層面。解決信息安全風(fēng)險(xiǎn)首先需要建立完善、有效的法律法規(guī)體系，使云上的數(shù)據(jù)能夠依法得到尊重和保護(hù)，發(fā)生數(shù)據(jù)安全事件也有法可依追究責(zé)任，保證云使用方獲得損失賠償。

第二，風(fēng)險(xiǎn)管理層面。建立云數(shù)據(jù)安全的保險(xiǎn)機(jī)制，可以使云數(shù)據(jù)信息安全風(fēng)險(xiǎn)得到分擔(dān)。一方面，保險(xiǎn)公司為風(fēng)險(xiǎn)可控，會從第三方角度加強(qiáng)對云服務(wù)商的監(jiān)控，促使云安全性的持續(xù)提升；另一方面，保險(xiǎn)分擔(dān)了云信息安全事件的損失賠償風(fēng)險(xiǎn)，云服務(wù)使用者能夠得到更多的損失保障。

第三，技術(shù)層面。為云上的數(shù)據(jù)進(jìn)行加密存儲，在使用數(shù)據(jù)的終端進(jìn)行解密，這樣只有獲得授權(quán)的終端才能夠訪問和使用云數(shù)據(jù)，能夠?qū)崿F(xiàn)技術(shù)層面的防范信息安全風(fēng)險(xiǎn)。

第四，實(shí)踐層面。以德國大眾集團(tuán)的全球內(nèi)審體系為例，已推出全球內(nèi)審交流計(jì)劃。每年德國大眾集團(tuán)在全世界的各內(nèi)審分支會向集團(tuán)報(bào)送審計(jì)計(jì)劃和人員計(jì)劃，并根據(jù)需要提出少量的交流項(xiàng)目，其他分支可根據(jù)人員、預(yù)算等安排，決定是否派出審計(jì)人員開展聯(lián)合審計(jì)。目前聯(lián)合審計(jì)項(xiàng)目能否成行，是通過郵件、電話等溝通方式，在不同分支間地不斷確認(rèn)和溝通后得以實(shí)現(xiàn)，存在較高的溝通成本和不確定性。但在該計(jì)劃下，集團(tuán)也已完成了多個跨分支的聯(lián)合審計(jì)項(xiàng)目，一定程度上實(shí)現(xiàn)了經(jīng)驗(yàn)交流、資源共享的作用。

四、結(jié)語

集團(tuán)化審計(jì)（管理）云，從資源利用方面，能夠調(diào)動全集團(tuán)的審計(jì)資源，實(shí)現(xiàn)更大規(guī)模的綜合利用、優(yōu)勢互補(bǔ)。從審計(jì)職能發(fā)揮方面，能夠通過更高效的統(tǒng)一部署，對同類企業(yè)進(jìn)行橫向比較，對不同類企業(yè)進(jìn)行縱向延伸，并能更好地結(jié)合集團(tuán)戰(zhàn)略與各企業(yè)戰(zhàn)略。從審計(jì)質(zhì)量提升方面，由擴(kuò)展功能帶來更大規(guī)模的數(shù)據(jù)分析、更準(zhǔn)確的審計(jì)項(xiàng)目畫像、大數(shù)據(jù)實(shí)時監(jiān)控預(yù)警，從審計(jì)證據(jù)的準(zhǔn)確性、多角度，審計(jì)方案和審計(jì)報(bào)告的標(biāo)準(zhǔn)化、完整性等實(shí)現(xiàn)審計(jì)的高質(zhì)量完成。

參考文獻(xiàn)：

[1]戴麗榮，戴舒.云計(jì)算綜述[J].西安航空學(xué)院學(xué)報(bào)，2013（31）：68-71.

[2]趙一霈.淺談云計(jì)算特點(diǎn)及其安全問題[J].信息科技探索，2019（4）：117-118.

（責(zé)任編輯：林麗華）