“云审计”实现审计全覆盖路径探索  

——基于“云审计”平台的构建

作 者:

作者简介:
蒋立茹,南京审计学院审计与会计学院

原文出处:
商业会计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2015 年 09 期

关 键 词:

字号:

      随着“审计风暴”的爆发和国家“十二五”规划的进程,审计尤其是政府审计正面临着新的挑战。一方面信息的公开化,使公众对审计的需求不断增加,对审计的期望不断提高;另一方面,面对审计所发现的问题以及审计的覆盖程度,公众并不满意。审计机构如何能够更好地满足公众的需求,对公众的诉求做出快速的反应,成为当今政府审计机构研究的重要问题。随着云计算的出现,审计人员逐渐把目光由传统审计方式转向了拥有新生命力的云审计模式。

      一、云审计的概念

      关于云审计的概念定义与范围界定一直存在着很大的争议。有学者认为云审计就是联网审计的一种发展,是审计人员利用网络等信息化手段实现数据的传输、分析与合作。也有学者把云计算对于审计的影响比作一个世纪前的电力革命。云计算之于云审计就如同公共电厂之于用电个体。通过云计算、云存储来实现审计资源的优化配置,使得审计资源像电力资源一样公开流通,降低审计成本。也有学者简单地把云审计定义为“审计+云计算=云审计”。

      事实上,云审计一词自出现以来其具体含义也一直是业界摸索、规范的研究领域。究竟什么是云审计?现阶段很难做出一个明确的限定,因为云计算本就是不断丰富的概念,基于云计算的云审计会随着云计算概念深入、成熟而得到发展、丰富,甚至导致云审计方法与思想的变革。综合来看,被研究人员广泛接受的观点是云审计是利用互联网的云计算概念,进行审计资源的整合与协调。云审计是对未来审计模式的一种猜想,不仅仅是云计算在审计领域的运用,更包括了随着科技尤其是信息技术的发展,审计模式不断创新的一种理念,一种思考方向。

      二、云审计的实现模式

      (一)构建云审计平台

      云审计最常被学术界讨论的实现模式即搭建一个平台。数据的云储存的实施过程中,可以使各类审计信息数字化得以实现,充分调动审计人员、审计技术方法以及审计硬件设施的协调配合、统筹规划,真正做到在审计资源得到充分利用的同时促进信息交流与共享。云审计实现了时间、空间上的自由,打破了固有审计模式的局限。审计人员可以在云审计时代下按照自己的时间、习惯与审计方式合理、自由地安排自己的审计工作,同时充分享受云审计所带来的高效率,不再为数据的存储、共享或者工作的衔接而伤神,所需要关注的只是审计任务本身。“云审计”模型见下图。

      (二)云审计安全问题及应对措施

      提到云计算或者云审计,首先想到的就是安全建设问题。数据安全性是互联网时代首要考虑的问题。数据安全包括数据本身存储的安全以及向第三方泄露的可能性。一旦将“私有云”数据传送到“公共云”,就有可能使数据脱离审计人员的掌控,发生数据泄漏的可能性就会加大,并会带来一系列的审计风险与法律责任。云审计在实施过程中主要存在以下问题。

      1.数据存储与审查权限性问题。云审计在技术上依托于网络设备,无论是储存审计机构自己的数据还是被审计单位的数据,保密性和数据安全性问题都是首要考虑的问题。在没有查阅权限限制或者限制不足的情况下,传送至云端的相关数据可能会脱离审计人员的掌控,致使安全隐患的产生,使得数据安全性降低。非法入侵、越权操作或是存储介质故障等都直接威胁到云审计数据安全。

      针对数据安全与保密问题,通常选择与服务器供应商进行沟通洽谈的方式来规避风险。洽谈内容主要围绕供应商的自身权限与运行维护等方面的承诺,更多的是技术上的指导与权限的转移。就如同家用防盗门通常会有两种钥匙,B钥匙使用则会导致A钥匙失效。现在的服务器设计更多倾向于引入这样的思想,服务器一旦移交,触发机制则会启动,供应商自身权限则受到限制,数据使用权限由使用方进行管理、监督。

      

      2.云审计实施接口问题。实现传统审计与云审计顺利接口对于审计人员和被审计单位都是一次大的转变。因此,如何让审计人员更快地熟悉云审计以及如何让被审计单位理解这一转变是云审计平台建设必须解决的。审计机构与被审计单位的沟通是为了确保被审计单位清楚地了解审计机构将如何实现这一转变,以及为了成功地实现转变需要得到怎样的帮助。最重要的是,要让被审计单位了解这个转变对于他们有什么好处,以及审计机构是在尽最大可能选择了最佳的应用,以保证更好地完成审计监督。为此可以先找一些审计风险水平较低的被审计单位作为云审计的前期试验对象,以了解云审计的工作性能。这就可以在不损害被审计单位利益的同时让审计人员先熟悉云审计的审计过程、审计责任及要注意的问题。

      3.强迫审计公开问题。审计公开一直是被研究者广泛争论的问题,审计人员与被审计对象存储在云内的信息只要涉嫌民事或者刑事诉讼,很大可能会被要求强迫公开。对于社会审计来说,政府部门可以用相关法律来获取事务所存储在云服务器中的数据,这似乎给政府的相关工作提供了便利,但会计师事务所也会意识到,客户存储在云计算中的数据可能会被强制披露给政府或民事诉讼当事人。因此,会计师事务所必定会考虑向云服务器上传敏感信息的影响,最终的博弈结果将会是云审计平台的构建形同虚设。会计师事务所掌握的敏感信息并不会上传云服务器,这将违背建设云审计平台的初衷。

相关文章: