云计算环境下的云审计系统设计与风险控制
2017-11-06管亚梅
焦 钰 管亚梅
云计算环境下的云审计系统设计与风险控制
焦 钰 管亚梅
云计算的产生,使更多形式的商业模式应运而生,同时也对传统的会计审计行业产生了影响。将云计算技术运用到审计行业当中,则产生了云审计,通过数据的云存储,使得各种审计资源通过“云”来协同。论文对云审计系统设计进行研究和对其所产生的风险进行分析,并相应的提出解决建议,并分析了未来云审计的研究方向。
云计算 云审计 系统设计 风险控制
一、研究背景的提出
云计算被认为是继大型计算机、个人计算机、互联网之后,IT产业的第四次革命。随着经济事业和IT技术的迅速发展,以及人们对资源管理的需要,云计算越来越深入人们的日常生活中。现在云计算已被运用到各个领域,如云物联、云安全、云存储、云游戏等。由于我国审计开始逐步信息化,将云计算技术运用到审计当中,使得云审计的出现成为必要(周迟2015)。在云计算的基础上搭建平台,通过将数据存储到云中,各种审计信息在云中呈现数字化状态。审计人员可以通过云审计系统应用,从“云”中了解审计信息,来实施相应的审计程序,使审计资源利用率大大提升,审计信息在“云”中达到了交流和共享的目的。在云审计过程中,审计人员只需将审计证据、被审单位和审计问题关联起来并进行信息化处理,这样缩短了审计时间和减少了审计工作量,提高了审计效率(秦荣生2014)。云审计提高了审计人员劳动效率,审计软件技术水平也得到了提高,有助于提高我国注册会计师竞争力,使我国注册会计师行业处于国际前沿(文峰2011)。但是由于我们对云审计的认识还存在着缺陷,在有些方面考虑不周到,所以出现了许多问题需要我们解决,如开发成本高、数据安全性以及在执行审计任务过程中会产生的问题。为了能更好的利用云计算技术来为审计人员提供更科学、有效率的审计过程,需要设计更好的审计系统。以云计算环境下的基础设施服务(IaaS),平台服务(PaaS)和软件服务(SaaS)为基础,研究分析云计算环境下的审计风险,构建云审计系统的基本框架,使云计算技术更好协助审计工作。美国执业会计师协会和跨行业志愿者组成的云审计组织等正在努力开发统一界面,目的是为了能让云计算供应商实现关键功能的自动化,这些功能主要包括审计、声明、评估和担保等。美国NIST主要为美国联邦政府提供云架构,并且对云计算提供相关的安全和部署策略,包括制定云标准、云接口、云集成和云应用开发接口等。
我国国家审计署在2002年将金审工程列为国家电子政务重点启动的12个重要业务系统之一。金审工程实际上是审计信息化,通过运用计算机技术全面检查被审计单位的活动。金审工程采用的审计模式主要是现场审计模式和联网审计模式等,并取得了显著的成效。在2014年国务院印发的《国务院关于加强审计工作的意见》提出要加快推进审计信息化,创新电子审计技术,从而提高审计效率、节约审计时间,使得各部门、单位都能实施安全性、可靠性和经济性的审计。随着《2015-2020年中国云计算产业发展前景与投资战略规划分析报告前瞻》的落实,云计应算技术开始用于各行各业,云计算产业链、行业生态环境基本稳定,在解决各行各业的方案当中取得了很好的效果。
二、云审计系统的定义和组成
(一)云审计系统的定义
王帆,聂曼曼(2014)认为云审计系统是审计人员通过所获得的数据,依据审计对象的基本特征,如应具备的性质、数量、时间或空间状态等,通过设定计算、判断和限制条件建立起的数学或逻辑表达式,用于对被审单位的资产安全、数据完整、被审单位目标的实现程度、组织资源使用的效率等进行验证。魏祥健(2015)认为云审计是审计在云端的一个系统集合。它至少应包括三个方面的内容:一是依托第三方服务商提供的或专业建设的“云计算”基础平台,对审计数据进行采集、存储、传输,并保障数据的安全;二是利用云计算专业技术对审计数据进行处理,实现审计手段智能化;三是审计资源通过云来协同,实现审计工作业务协同,促进信息共享及沟通,保证审计过程质量的一个审计信息系统。云审计系统简单的来讲就是云计算和审计的构成。
图1 云审计系统定义
(二)云审计系统的组成
解决信息系统审计风险已经成为当前审计工作的重心,然而构建更先进的审计系统模型能够帮助准确评估信息系统风险并有利于审计质量的提高(李向前,康燕,张宏2013)。云计算的服务模式为基础设施服务(IaaS)、平台服务(PaaS)和软件服务(SaaS)(B Iyer,JC Henderson2010),由于云审计是由于云计算技术运用到审计当中,云计算技术可以为云审计提供计算能力、存储空间和各种软件服务,所以云审计系统的构成与云计算服务模式差不多,并以此为基础来建立。
1、基础设施服务(IaaS)
主要为审计机关提供了统一的基础设施服务,其中包括存储、网络、安全等其他资源。基础设施层IaaS服务是PaaS和SaaS服务的重要基础,是实现PaaS和SaaS服务的基本保障(魏祥健2015)。利用IaaS服务可以将全国各地的数据中心统一管理,审计人员只需通过严格的审计流程就可以对“云”中的数据进行采集、交换和存储。这种服务可以节省费用,提高审计资源利用率并且安全可靠。依靠这种服务模式构建出“国家审计云中心+省级审计云中心”两级模式(图二)(牛艳芳,薛岩,孟祥雨2014)。
2、平台服务(PaaS)
是指将软件研发的平台作为一种服务,以SaaS模式提交给用户。因此,PaaS也是SaaS模式的一种应用。PaaS对数据进行存储和管理并提供业务开发服务。客户可以通过PaaS平台来创建、测试和部署应用和服务。
3、软件服务(SaaS)
主要提供应用软件,例如审计实施软件、审计管理系统和审计决策系统等,将所有的软件安放在云平台上,审计人员可以通过网络来使用这些软件。将SaaS服务和审计业务相结合,数据中心会提供审计业务数据,还应提供审计综合信息、审计专家经验以及相关法律法规等。这样审计人员只需要通过网络就可以很方便的拥有更多的数据信息来进行审计作业。
图2 “国家审计云中心+省级审计云中心”两级模式
这三种服务模式对于云审计系统来说是必不可少的部分,通过对数据的收集、存储、处理和管理,并提供软件让审计人员能搜集到更多的审计资源来进行审计作业,缩短了审计人员执行审计业务的时间并提高了审计工作质量。除此之外,我们对于云审计系统还应加强信息安全服务,对云审计系统进行定期的检查,查找其是否存在漏洞及其是否存在安全隐患,对于所出现的安全问题要及时解决。对于云审计平台中的数据也要定期检查,例如时效性的数据要及时更新,检查是否出现对数据的篡改等情况。这样有利于对审计人员提供更可靠、更安全的数据。
三、云计算环境下的云审计风险
审计风险是由固有风险,控制风险和检查风险构成,那么显而易见,云审计也有云审计的各种风险,构成了云审计风险。什么叫云审计风险,简单来说,这个风险更多着重落在了“云”上,由于这是互联网和审计结合的产物,它一定会拥有互联网和审计的多重风险,一般来看,具体是数据的安全风险、云计算环境的控制风险以及程序风险。。
(一)数据的安全风险
数据是一种资源,为人所用,从而产生价值,对于云计算环境下的审计工作,数据的安全性是要放在首位的,不单单只是审计项目的一些财务信息,还有各个审计单位的审计方法都会被存储在云中,因此对于云计算环境下的数据保密工作一定能够要做好。因为这些数据的采集,加工处理,传输使用都借助了云服务,这实际上削弱了各单位对数据的控制,安全隐患也变大了。而第三方那个供应商违背职业道德甚至违背法律利用这些数据来牟利的可能性也大大增加,不当的审计信息披露会给企业和审计单位造成无法挽回的恶劣影响。另外,涉及互联网的数据,很大程度上会遭受莫名的黑客攻击,造成数据全部流失,这种情况下,数据的再恢复工作将会十分艰难,更是阻碍了审计工作的进度,降低了审计效率。以上都是这几点都是潜在的风险。
(二)内部控制风险
随着云计算环境的成熟,它逐渐走入各大单位,很多大企业都开始运用云审计系统,这种转变也改革了企业内部控制形式。在固有风险、控制风险、检查风险这三种风险中,企业能够通过自己的内部控制系统来降低控制风险,一个好的审计项目,是能够拥有优秀的内控系统来把控制风险降到最低。同理,在运用云审计系统的过程中,有效把控内部风险,对发展云审计系统在企业内的运用大有裨益。当然企业运用云审计系统存在以下问题,太注重把控互联网风险,从而忘记了企业内部的控制风险也是非常重要的一环,忽略内控建设,意味着企业的审计漏洞会非常多并且很难完善,大大降低了云审计系统的使用效率。当然,一方面,由于云审计系统的固有特性,企业很难在短时间内,以最少的成本来有效把控内部风险,比如员工职责分离,监督的有效运用等,是比较困难的,而另一方面,审计单位对企业云审计的内控也需要耗费大量人力物力来进行评估,这些都增加了云审计风险。
(三)审计程序固有风险
在审计人员进行审计的时候,他们会通过各种审计程序来进行判断,通过自己获得的审计证据来判断,在实施审计程序的时候,审计风险就无法避免的产生了。因为云审计依附于互联网,因此实施审计程序获取审计证据也要通过互联网进行,因为审计数据在互联网上的流动性很强,并且整个数据都存储在云上,一时半会难以迅速有效的定位审计数据,致使获取审计证据的时间变长,也由于审计证据储存的环境是共享的云环境,第三方供应商也无法确保提供的审计数据是全面完整的,数据的难以追踪或许就是云审计过程中审计数据欠缺说服力而产生的云审计风险。
四、云审计系统运用的案例分析
云审计依赖于网络技术,将所有需要的审计信息都存储在“云”中,审计人员只可以通过网络来了解审计信息,其中也包括了审计人员的账号信息,所以网上的信息安全非常重要。CSDN拥有全球最大中文IT社区,也是国内最大的程序员网站,为用户提供交流学习等服务。在2011年12月份,CSDN的用户数据库遭到黑客攻击,有600余万用户的账号信息及邮箱密码被黑客在网上公开。经排查,金山毒霸员工疑为隐私泄露源头,金山深陷“泄密门”。随后,CSDN"密码外泄门"持续发酵,天涯、世纪佳缘等网站相继被曝用户数据遭泄密。天涯网于12月25日发布致歉信,称天涯4000万用户隐私遭到黑客泄露。后有专家进行分析指出该事件的发生是由于SQL注入漏洞,黑客通过对网站系统中出现的漏洞进行SQL注入攻击,从而获得数据库的访问权限,获得账号及密码。SQL注入漏洞普遍存在于互联网中,是由于程序开发员的疏忽或在对产品测试时未发现的隐藏的问题。所以云审计系统的程序员应提高自身技术,减少技术漏洞,对于系统中的潜在漏洞也应该及时发现和解决。可以设计新的加密法使得数据遭到泄露时依然能够保证安全,如密钥加密法、二次加密法和分组混合加密法(郭平,但光祥2012)。没有无漏洞的系统,也没有无漏洞的网络,正因为如此保证信息安全很重要,如果审计信息遭到泄露可能会遭到不法分子的利用,并且会威胁到审计人员的人身安全,审计人员和程序人员需要寻找最佳的解决方案将危险降到最低,甚至杜绝这种危险。
在2016年5月份,Salesforce.com遭到电力故障导致宕机,恢复时丢失了4小时数据。此次宕机影响了北美的14个站点,影响了湾区的大量用户,湾区历来被称为Salesforce.com的后院,同时,部分北美的用户也受到影响。据了解Salesforce客户数据的丢失并不是因为数据中心停电造成的,而是由于宕机后工作人员试图恢复停电时候4个小时的数据,但是由于操作失误,使得这4小时的数据没有被恢复,反而丢失了。Salesforce没有容灾,而是采用数据备份来恢复数据,但是居然还失败了。Salesforce其实在解决方案上有很多,但为何还是导致数据丢失,这值得思考。在云审计系统上也应该采取应灾措施,审计信息都是存储在“云”中,万一发生由于突发状况导致的审计数据丢失,在恢复数据时应该有多种方案可供选择,定期检查灾备,使灾备可用、可靠,而不是使其成为摆设。设计好容灾方案,使得云审计系统在应对突发状况时也能很好的解决,保证了审计业务的连续性。
五、云审计系统风险的防范
云审计系统既存在优势又存在风险,对于云审计系统存在的风险有以下几点建议:
(一)采用新技术构建云审计系统安全体系
对云审计系统要定期检查,找出漏洞和其所存在的安全隐患,并对其进行修复。对系统中的审计资料采用加密技术,以防止第三方恶意篡改数据。设计好应灾方案,并且保证方案有效可行,以应对云审计系统的突发状况。在安全功能、性能等方面进行强化,满足个性化和层次化的需求,吸引更多的用户使用(林闯等 2013)。
(二)加快对云审计方面的法律法规的建设
保证审计数据的严谨性,对于恶意篡改审计数据的人员要严惩不贷,增加审计人员和程序员的法律知识,提高审计人员和程序员的法律意识。为了方便数据的收集与存储,也要制定相应的云审计标准,要使其制度化、规范化,让审计证据更加安全可靠。
(三)谨慎选择云供应商
对于审计人员要采用统一的身份认证登录,使用加密法以保证审计人员账号信息的安全,要采用新技术加强对云审计系统的安全风险管理。被审单位传输的“云”中的审计数据要保证其及时性、有效性和完整性,使审计人员按时进行审计任务。
(四)建设风险导向型的云审计模式
向传统审计模式取经,设计建设互联网上风险导向型的审计模式。各行各业在互联网发展的大趋势下,都争先恐后的投入使用云计算技术,这中间行业内容千差万别,行业准则不尽相同,面对相比于传统审计行业更加复杂的审计现状,这要求审计人员能够对云审计风险进行多角度深层次的分析和规避。这要求审计人员面对审计数据不能马虎了事,要秉承正确的职业道德深入分析审计数据,对云审计风向进行更加全面的分析的评估。从而有提高防范与控制云审计风险的效率,增强控制云审计风险的效果。进行云审计风险评估的过程中,审计人员要分析并确定高风险的地方,对这个范围内的审计数据进行分析和判断,注重数据的有效性和及时性,对数据进行多方面的分析,包括时间空间上的分析。
(五)进行云审计的创新
在新型的审计模式,即云审计的发展下,审计的客观公正正进一步的提高,审计人员慢慢从用自身知识经验进行判断向依靠真实的审计数据来进行决断。如果能够开发新型的云审计技术,那么审计人员从流动性较强的审计数据中分析审计情况,获得审计证据的过程将方便许多。加强云审计创新,首先要创新云审计模型和方法,通过对以往经验的总结与反思,创造更适合审计行业的审计模式,同时,也要密切关注互联网动态,开发研制云审计软件,提高审计软件的运行效率,多方面分析审计数据。加强数据分析的层次性和复杂性,方便审计人员或许审计结果和审计证据。提高审计质量。进行云审计创新,不仅仅需要前线创新人员的钻研,也需要国家的大力支持,巨大的研发创新成本呢都需要国家有关部门的相助,此外,国家有关部门也应提供人才支持,更好的推动云审计的创新。
[1]周迟.云审计在社会审计中的运用研究——基于风险导向审计的视角.中国内部审计.2015(1)86-90
[2]秦荣生.大数据、云计算技术对审计的影响研究.审计研究.2014(6)23-28
[3]文峰.云计算与云审计——关于未来审计的概念与框架的一些思考.中国注册会计师.2011(2)98-103
[4]王帆,聂曼曼.互联网云审计系统运行机理与评价体系.中国注册会计师.2014(7)119-124
[5]魏祥健.云审计—概念与系统框架.财会月刊.2015(13)62-65
[6].李向前,康燕,张宏.固定资产投资计算机审计实施系统设计与运用探讨.审计研究.2013(3)34-41
[7]魏祥健.云计算环境下的云审计系统设计与风险控制.会计之友.2015(1)101-105
[8]牛艳芳,薛岩,孟祥雨.云计算环境下的审计业务模式变革研究.审计与经济研究.2014(4)95-103
[9]侯炳辉等.信息系统评价体系及评价方法.中国管理科学.1993(3)26-35
[10]姜梅.社会保障基金联网审计的应用研究.审计研究.2007(4)33-37
[11]李璐.信息化条件下大型审计项目的实施.审计月刊.2009(8)4-6
[12]励景源.专家审计系统的基本框架.上海立信会计学院学报.2006(2)53-58
[13]刘荣.浅析“大数据”时代的内部审计应对策略.中国内部审计.201(55)42-46
[14]罗忠莲.社保基金联网审计的应用困境及对策研究.会计之友.2012(5)22-27
[15]牛艳芳,薛岩,孟祥雨.云计算环境下的审计业务模式变革研究.南京审计学院学报.2014(4)95-103
[16]秦荣生.大数据、云计算技术对审计的影响研究.审计研究.2014(11)23-28
System Construction and Risk Control of Cloud Auditing based on the Cloud Calculation Environment
JIAO Yu,GUAN Ya-mei
Accounting School,Nanjing University of Finance&Economics,Nanjing 210023
The emergence of cloud computing has created more forms of business models,at the same time,it also has an impact on the traditional accounting and auditing industry.The use of cloud computing technology in the audit industry results cloud audit,through the cloud storage of data,so that a variety of audit resources could coordinate through the"cloud".This paper studies the design of cloud audit system and analyzes its risks,and puts forward corresponding solutions,and analyzes the future research direction of cloud audit.
Cloud Calculation,Cloud Auditing,System Construction,Risk Control
F239
A
本文受国家社会科学基金《基于雾霾治理视角的碳减排优化模式与碳审计研究》(15BGL060);本文受江苏高校优势学科建设工程资助项目(工商管理学科)(PAPD);江苏高校品牌专业建设工程资助项目(会计学)基金资助
管亚梅,女,南京财经大学会计学院教授,博士,硕士生导师,研究方向:会计审计理论与实务;江苏南京,210023
焦钰,女,上海财经大学会计学院硕士研究生,研究方向:会计审计理论与实务;上海,200433
