从计算机的出现到大数据、云计算的兴起,随着社会信息化程度的不断加深,信息技术的发展孕育了“按需定制,高效低成本”的云会计服务模式。企业可以因此而避免会计信息系统的基础设施以及设施运营投资,只需要按照使用的资源承担相应费用。IT审计(Information Technology Audit)是一个获取并评价证据,以判断计算机系统是否能够保证资产安全、数据完整以及有效地利用组织的资源实现组织目标的过程。云会计的应用虽然为企业带来了易于系统协同和大数据决策等优势,但是分布式的系统和广泛的网络访问等却给传统IT审计带来了新的挑战。同时,企业也对云会计下信息资产的安全性、信息系统的有效性以及数据的真实性提出了新的要求。 在会计信息化发展过程中,IT审计已成为企业会计信息化的重要组成部分,同时也是会计信息化的内在需要。IT审计在我国起步较晚,由最早的理论框架构建及对传统审计的影响分析逐步向具体行业适用性的研究过渡,多集中于银行体系内IT审计的应用和电力、地铁等大型企业IT审计的构建。史可山等人指出企业对IT依存度增高导致信息系统风险增大,IT治理的引入和IT审计的实施势在必行。 纵观上述文献,IT审计的研究还处于起步阶段,理论研究较为丰富,领域应用方面还有待开拓,尤其是在大数据、云会计时代到来之际,新的服务模式已经为IT审计提出了新的要求与挑战,亟须一种新的IT审计体系提供整体性的解决方案。自1996年COBIT(Control Objectives for Information and Related Technology)提出至今已更新至第五个版本,其已经逐步演变成为全球学者公认的最先进、最权威的安全与信息技术管理和控制的标准体系,同时也是国际通用的IT审计标准。通过对COBIT4.1的扩展和与ISACA Val、ITIL等其他重要框架的整合,COBIT5.0提供一种全面的框架,以支持组织实现其IT治理和管理的目标,其对各种机构的广泛适应性和对云计算等技术应用的综合考虑在面向云会计的IT审计中具有重要的指导意义与借鉴价值。但自COBIT5.0发布以来,其在理论比较分析和内部控制方面成果较多,对其如何在IT审计和其他领域的研究还有待填补。鉴于此,本文通过分析云会计对IT审计带来的挑战,结合COBIT5.0框架构建了一个面向云会计的IT审计体系框架,并在此基础上提出了云会计下IT审计实施步骤的关键环节,该框架和关键环节可以对IT审计在面向云会计的实施中提供指导与规范。 二、云会计对IT审计的挑战 云会计的应用使终端用户可以按需使用可扩展和弹性的会计服务资源,最小化管理成本和运营成本,同时,云供应商掌握了企业的数据和会计信息系统环境控制权。面对云会计下复杂的信息化环境,分布式的系统、云供应商的参与和数据的多样化为审计环境、审计方法和审计证据等方面带来不可忽视的挑战。 (一)审计环境的复杂性 传统的IT审计主要是利用企业型工具对企业系统进行集中处理。但是,在云会计环境下,分布式系统的出现虽然为企业解决了信息孤岛问题,却为IT审计提出了新的要求。不仅如此,云计算环境下广泛的网络访问,例如移动设备和虚拟环境的出现不仅使审计环境发生了变化,而且拓展了审计的范围与边界。此外,由于云会计“按需定制”和“可拓展”的特性,系统的弹性较强,易发生变化,且各子系统之间的协同性增加了勾稽关系的复杂性,这也增加了审计环境的复杂化和动态化。 (二)审计方法的局限性 云供应商对企业数据与会计信息系统控制权的掌握使对供应商的IT审计变得至关重要,这也意味着IT审计面临着来自供应商的压力。一方面,需要从云供应商那里获取多大程度的透明度缺乏有效的量化手段,例如云供应商系统的访问权限与企业内部流程访问权限不同。另一方面,传统的控制测试方法,例如询问、检查和穿行测试等,尤其是过多依靠人工的测试方法,在面对云会计下复杂的交易网络与海量数据时往往难以保证审计证据的真实完整性。因此,伴随着大数据、云会计时代的到来,传统审计方法的局限性要求更为系统性、技术性的方法来予以解决。 (三)审计数据的多样性 与传统的审计证据不同,云会计环境下的审计证据不仅来源更为广泛,而且种类更为多元。由于企业会计信息系统的基础设施和技术架构等均在云供应商处,因此,审计证据的来源既包括企业内部的业务系统等,也包括企业外部的云供应商以及第三方服务机构等。在证据的数据类型方面,传统单一的结构化数据已经难以满足审计的需求,结构化、半结构化和结构化的数据共同构成了云会计下审计证据的来源。此外,第三方机构的监督和评价等也为审计证据增添了新的关注内容。 三、云会计下基于COBIT5.0框架的IT审计体系框架构建 (一)COBIT5.0与云会计下IT审计的契合性 COBIT由IT治理协会(ITGL)通过来自行业、学界及政府等各领域翘楚组成的专家组开发而来,融合了所有适当的技术和专业标准的最佳思想。COBIT5.0在COBIT4.1的基础上汲取了多种国际先进的IT治理标准与框架,以五项关键原则为核心,倡导“原则为基础、目标为导向、评价为手段、促进因素为载体”的新思想。
