传统的审计模式为各审计机关分别采购应用服务器、数据库服务器并安装联网审计系统,审计人员通过办公局域网访问系统开展审计工作。这种审计模式使每个审计机关都需要配置独立的硬件资源和软件资源,势必造成IT成本居高不下,专业维护费用居高不下且需要大量的专业维护人员。随着IT应用在各行业各部门的普及,云计算开发和利用成为了不可或缺的因素。随着云计算的发展,云计算不断影响互联网以外的行业,并进一步影响会计、审计行业,给审计带来新的挑战(秦荣生,2013)。传统的审计模式与审计系统已不能适应云计算技术的要求,现代审计迫切需要提供简单、快捷的云计算服务来满足国家审计(本文所论审计特指国家审计)需求,如何利用互联网的云计算概念,通过数据的云存储,使得各种审计资源通过云来协同,从而为审计人员提供更富有效率,更科学的审计过程,云计算服务模式让这一希望变为了现实。云计算可以提供以下三个层次的服务(lyer&Henderson,2010):基础设施即服务(laaS),平台即服务(PaaS)和软件即服务(SaaS)。如何在云计算服务平台基础上,利用云计算技术,以审计业务需求为核心,最终实现各级审计机关硬件资源、软件资源、服务共享的云审计系统,使审计资源得到充分优化利用,是未来我国国家审计亟待解决的问题。本文结合云计算服务模式的研究与应用现状,构想云计算环境下云审计系统架构。 一、云计算与云审计研究现状 云计算(Cloud Computing)是一种基于互联网通过虚拟化方式共享信息资源的新型计算模式。正式的云计算概念是由Google原首席执行官Eric Schmidt在2006年搜索引擎大会(SES San Jose 2006)上提出。根据美国国家标准与技术研究院(NIST)的定义:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务等),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。 从技术层面看,云计算最主要的核心技术是虚拟化技术、分布式数据存储技术、海量数据处理技术。系统虚拟化是指将一台物理计算机系统虚拟化为一台或多台虚拟计算机系统(杜建伟、顾斌,2007)。通过虚拟化层的模拟,虚拟机中的操作系统认为自己仍然是独占一个系统在运行。在云计算数据中心,通过服务器虚拟化、网络虚拟化、应用虚拟化等解决方案,不仅可以帮助企业减少硬件配置,优化资源利用,还可以实现动态IT基础设施环境,从而降低成本,快速响应业务需求的变化。分布式数据存储指的是利用多台服务器的存储资源来满足单台服务器所不能满足的存储需求。它要求存储资源能够被抽象表示和统一管理,并保证数据读写操作的安全、可靠和高性能。包括分布式文件存储系统,如Google提出的分布式文件系统(Google File System,GFS);分布式对象存储系统,如Amazon的S3就属于对象存储服务;分布式数据库技术,如Google的BigTable是一个典型的分布式结构化数据存储系统。海量数据处理指的是对TB甚至PB级规模数据的计算和分析。云计算下把海量数据分布到多个结点上,将计算并行化,利用多机的计算资源,加快数据处理的速度。如Google的MapReduce模型、微软的Dryad模型。 从服务层面看,云计算是一种新的商业模式。云计算是以虚拟化技术为基础,以网络为载体提供基础架构、平台、软件等服务形式。其中,最主要的服务模式是laaS(基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务)服务模式(lyer & Henderson,2010),为用户提供超级云计算平台。 在云计算平台上,云计算技术必然能够为审计提供源源不断的技术创新支持,从而带动审计技术的革新,云审计将成为未来审计发展的必然趋势。那么,什么是云审计?目前还没有一个统一的定论。云安全联盟(CSA)主要发起者之一,思科公司云与虚拟化解决方案的首席专家Christofer Hoff是云审计(CloudAudit)的创建者,其目的在于规避风险,但没有明确界定云审计的本质内涵。文峰(2011)认为云审计是利用互联网的云计算概念,通过数据的云存储,使得各种审计资源(参与审计的人员、程序和相关的硬件设备)通过云来协同,从而为审计人员提供更富有效率、更科学的审计过程。在这个过程中,审计人员无需关注使用何种计算机程序、也无需关注数据的存储、共享和工作时效性问题,审计人员唯一需要关注的就是审计任务本身。邓川、杨文莺(2012)认为云审计是基于云计算的互联网的超级计算模式,使审计人员协同运用各种存储在“云”中的数据和审计资源,从而更有效率、更科学地进行审计的过程。 以上概念都认为云计算与审计的结合就构成了云审计,但需要指出的是,云审计除了数据安全、数据存储、数据传输需要利用云计算技术来协同运作外,云环境下的责任认定、云中数据分析与评价、云中审计工作模式与流程等,都将依托云审计概念来展开。因此,本文认为,云审计是审计在云端的一个系统集合,它至少应包括三个方面的内容:一是依托第三方服务商提供的或专业建设的“云计算”基础平台,对审计数据进行采集、存储、传输,并保障数据的安全;二是利用云计算专业技术对审计数据进行处理,实现审计手段智能化;三是审计资源通过云来协同,实现审计工作业务协同,促进信息共享及沟通,保证审计过程质量的一个审计信息系统。 要实施云审计,审计组织应建设云审计平台(秦荣生,2013)。秦荣生认为云审计平台主要包括云审计用户服务平台和云审计企业服务平台,既可提供面向云计算服务提供商的信息审计服务,又可提供面向云计算服务用户的信息监管服务。文峰(2011)认为云审计可以和行业信息化建设有机地结合起来,实现将注册会计师、会计师事务所、审计程序、审计数据及报告甚至被审计单位都通过云审计平台连接起来,形成“数据与服务的超级平台”。国内学术界和产业界在云计算环境下如何搭建审计系统与平台进行了一些技术研究和产品开发,如陈伟,Wally Smieliauskas(2012)从被审计单位使用云平台、审计单位使用云平台、审计单位和被审计单位都使用云平台这三种情况出发,采用SaaS、PaaS或者laaS服务模式,研究了云计算环境下适合我国联网审计特点的联网审计模式和实现方法。鲍伟民(2012)对云计算环境下的数据安全、风险控制、行为监控等方面研究了SaaS服务模式下安全审计系统的设计。产业界国都兴业信息审计系统技术(北京)有限公司2011年推出的“企业云审计服务平台”,实现对laaS,PaaS和SaaS各个层面的审计,通过解决云计算环境下数据可视化与可审计的问题。以上研究为我国未来云审计的实施与开展提供了重要的思路。