随着信息技术突飞猛进的发展与应用,云计算技术以其可扩展性、按用付费等独特的优势越来越受到企业和用户的青睐,在各个领域的应用也越来越广泛与深入。云计算技术是继80年代大型计算机到客户端/服务器的大转变之后的又一次信息技术革命,其独有的商业模式与运营理念必将对企业的各个方面产生极大的影响。本文将分析云技术应用环境下企业风险发生的变革,并立足风险导向审计分析面对云计算环境下企业风险的变革,审计风险评估应如何应对。 一、云计算环境下企业风险变革 云计算技术是一种计算资源部署和采购应用模式,使得企业可以在任何地点通过互联网获取其所需的计算资源和应用软件。依托云计算应用模式,企业可以进行少量的软硬件采购甚至没有必要进行软硬件的采购,同时,也无需再自行进行数据的存储,企业所有的资源都将存放在和其他企业共享的云技术中心里,由云服务提供商进行管理。云技术的这种应用模式以及解决问题的思路为企业带来机会和潜在收益,包括节约成本、及时灵活处理软硬件问题、具有更好的可扩展性与技术资源的协调性、减少技术管理相关的成本等。但同时,在企业采纳云技术作为解决方案时,企业的风险水平和状况也必然发生变化。 (一)风险范围扩大 当企业决定放弃传统软硬件应用模式而采取云技术应用模式时,企业需要与云技术服务商签订服务协议,协议需约定企业选择的云服务的部署方式是共有云、私有云还是混合云,并在确定的部署方式基础上约定服务模式,即软件即服务、平台即服务,或是基础设施即服务,以及利用约定的服务模式实现企业信息化管理的具体实施细则,本文将这一协议称为云计算解决方案,简称云解决方案。企业一旦采取了基于共有云、混合云的云解决方案,就意味着企业的风险范围由企业自身扩展到与云服务提供商和其他云租户所共处的风险系统。企业采用云技术服务之后,所有的资源将存放在和其他混合云或公用云用户共享的云技术中心里,并且这些资源主要由第三方服务提供商进行控制和管理。如此一来,无论是云服务提供商对云技术的驾驭能力还是其经营管理导致的生存风险,都必然使企业面临自身范围之外的风险。同时,其他租户成为黑客攻击目标的可能性大小等,也成为影响企业风险的一个方面。 (二)对云服务提供商依赖性强 企业在采用云服务(包括共有云、私有云和混合云)之后,云服务提供商会针对云技术使用者采用专用工具编写软件,并在特定的解决方案架构上运行,数据存储的结构等也与专用服务软件或架构等相适应,而企业经营管理过程中使用的其他相关软件中数据的存储结构等不一定与云技术中软件的数据存储结构一致,当企业需要将云端获取的数据与其他数据相结合进行加工时,必然使云解决方案中的软硬件及数据结构不便与其他软件等兼容。此外,云服务使用企业选定了云服务提供商之后,由于云服务提供商掌控着企业所需的软硬件及相关资源,并且云技术使用企业建立的组织机构与相关业务流程等也是在云解决方案的基础上进行的,企业更换云服务提供商的成本会非常高。因此,云技术使用者一旦选定了云技术服务,便对云服务提供商产生了一定的依赖性,这种依赖性越强,云服务使用者更换云服务提供商的可能性就越低,成本与风险就越高。 (三)企业对于云技术系统中的数据等资源缺乏主控能力 一方面,多租户云环境的本质决定了云数据存储会存在“地点盲区”,即如果云服务使用企业的数据是存放在私有云之外的云端,那么企业无法获取数据的现存地点或者是曾经存放的地点。另一方面,企业在采用云技术服务时,数据都是存储在不受企业自身直接控制的外部硬件上,而硬件都是云服务提供商控制的。因此无论云服务使用者采用哪种具体的云解决方案,他们可能都无法获取或检查系统的网络运行和安全事件日志。这些都使得企业对于云技术系统中的数据等资源缺乏主控能力,存在不同程度的风险。 (四)云技术系统中的数据安全性面临极大挑战 在云计算技术环境下,虽然企业可以随时凭借密码等方式查询相关数据,但是却无法直接有效地确认数据有没有被损坏、删除或修改,或者有没有被云服务提供商从一个服务器迁移到另一个服务器上。此外,在共有云与混合云的部署方式下,为了满足多租户应用操作的需求,各租户的敏感信息一般都是以明文的形式储存在云端,非完全可信的云服务提供商可能会监守自盗,租户的敏感数据面临极大的泄露风险。同时,当存储于同一云端的多用户数据中的其中任何一个用户的敏感数据成为黑客攻击对象时,云服务使用企业的数据极有可能会面临连带的泄露风险。 二、基于云计算的风险导向审计模式下的审计风险辨析 风险导向审计的基本思路是以审计风险的分析评估为基础制定审计程序,确定会计资料的审查重点和抽样规模,以验证财务报表是否真实公允。其最大的特点便是审计所面临的风险是注册会计师决策编制审计程序的依据,注册会计师通过对审计风险的量化和控制确定审计证据的充分性和适当性。因此,审计风险分析是风险导向审计实施的重要前提和保证。 (一)传统风险导向审计模式下的审计风险辨析 在风险导向审计的理念下,审计风险主要来源于几个方面。首先,审计风险会受到企业的固有风险因素的影响,即被审计单位经营过程中所固有的风险,比如管理人员的品行和能力、企业所处社会经济环境等导致的风险。其次,审计风险受到内部控制风险因素的影响,即账户余额或各类交易存在错误,但内部控制未能控制或发现而存在的风险。第三,审计风险受到注册会计师实施审计程序而仍未能发现账户余额或各类交易存在错报风险的影响。 (二)基于云计算的风险导向审计模式下的审计风险辨析 如上所述,接受云技术服务的企业所面临的风险产生了巨大的变化,审计对象相关风险的变化必将影响到注册会计师的审计风险。因此,作为审计人员应该能够识别云计算给企业带来的风险演化为审计风险的可能性,辨识不确定性因素以及隐藏其中的风险,在评估风险时采取针对性的措施。
