曹翠珍 贾毛毛 姚昱杉

作者单位：西安邮电大学

一 、引言

“互联网+”环境下的大数据审计已经离不开信息系统审计，数据审计必须保证系统数据真实、可靠，这就要依靠信息系统来实现。目前，我国已经有越来越多的公司和会计师事务所在审计环节加入了AIS审计。

越来越多的企业因为云会计成本低和按需定制的特点而选择将会计信息系统向云端虚拟化转型，而企业在享用云会计高效率、低成本、易更新维护、易与外部信息系统协同、易为大数据决策提供支撑等优势的同时，越来越关注云会计下AIS的效率性及有效性、数据与信息资产的安全性及完整性等方面，这就对云会计下的AIS审计提出了更高层次的要求。

截止到目前，我国AIS审计发展仍然较为缓慢，基于云计算的AIS审计规范仍散落于各项审计规定之中，我国目前还没有制定出完整的AIS审计标准、审计技术以及审计制度等，理论研究以及实务操作同样滞后。因此，需要进一步深化AIS审计理论研究，为我国AIS审计的发展研究提供可行性建议及对策，为AIS审计实际操作问题夯实基础，同时为更多的学者关注AIS审计提供资料参考。

二 、基于云计算的AIS审计概述

（一）云计算理论概述

云计算是一种建立在网络上的能够将并行计算、效用计算、虚拟化等传统计算机和技术发展融合在一起的服务模式，以实现资源共享。云计算所具备的海量存储能力以及资源获取的便捷性使得云计算服务逐渐应用于各大领域，主要为用户提供基础设施服务（IaaS）、平台服务（PaaS）以及软件服务（SaaS）等。其中云物联、云安全等相关的云概念都是围绕云计算演变而来，在云计算发展成熟时，互联网相连性会更加密切，网络安全性也会全面提高。

目前，企业财务基于云会计的快速发展使得外部审计较为滞后，尤其对信息系统（AIS）的审计技术还不够完备，审计风险难以全面把控，需引入云计算才能更好地服务于企业审计。

（二）AIS审计内容

AIS( Accounting information system，会计信息系统)审计是利用计算机技术对 AIS 的研发、使用及后台维护等全流程活动进行全面有效地检查和评价。AIS的审计范围主要包括管理层控制审计、一般控制审计以及应用控制审计。基本内容如图1所示。

其中，管理层控制是指对AIS的决策支持系统的控制，如账套管理控制、权限管理控制等。一般控制是指对AIS运行环境的控制，如系统开发控制、系统维护控制及保密系统控制等，主要保证AIS的安全运行。

应用控制是指对运行过程的控制，主要包括输入控制、处理控制和输出控制。输入控制应保证“互联网 +”环境下对目标数据采集的正确性和完整性。例如不仅要求云会计 AIS 在数据采集的过程中所有数据都是真实有效的，还要求相关数据输入数据库后对存储在数据库中的数据进行处理时不会出现数据缺失，保证其完整性。而处理控制主要确保云会计AIS能够正确可靠地对会计数据进行处理，包括可审计性控制及数据一致性控制等。输出控制要求在“互联网 +”环境下，存储在云端的用户数据是安全可靠的，降低数据被挖掘的风险。

（三） AIS审计现状

由于各大企业信息化建设飞速发展，财务共享、云会计等信息化趋势广泛应用于企业中，网络安全以及系统数据库的相关问题也就成为各方关注的重点，各大会计师事务所也逐步开展信息系统审计。在传统审计方面，相关法律法规、审计流程规范、范围界定以及人员资质要求都已经发展成熟。但是对于起步较晚并滞后于企业会计信息化的信息系统审计，目前我国还未形成较为完备的国家层面的管理体系以及企业层面的审计流程标准及规范。

目前，外部审计如天健会计师事务所对被审计单位信息系统中的数据获取仍然是依靠人工通过服务器接口获取，对已经建立财务共享中心等云服务企业的IT审计仍然停留在基本的系统漏洞检查、安全检查等阶段。可见，外部审计滞后于开展并使用云会计的企业审计，云审计的应用与发展还丞待解决。另一方面，较少的已建立财务共享中心的企业其内部审计中会设有IT审计部门或人员，对于信息系统的漏洞检查、安全维护以及数据审计鉴别等问题还缺乏专门的人员来完成。例如，中粮集团的业管系统与其他系统如资金系统等存在不兼容情况，导致数据抓取和导出存在问题，且财务人员无法解决。

此外，基于虚拟云端服务的云会计信息系统为用户提供“按需定制”服务，所以会导致用户定制并使用的AIS 产品存在差异性，审计人员需要对每家云会计环境下的AIS进行有针对性的全流程审计，这不仅会导致工作量剧增，更会因为技术手段受限的原因而无法完成AIS审计。

三 、企业AIS审计存在的问题

（一） AIS外部审计体系不完善

1 .相关立法和规范不够完善

现阶段大多数的企业因为追求经济利益，进而把经济利益当作企业运营的主要任务，虽然利益和企业的运作有着一定的联系，不过不可以过度追求利益，不然就会严重影响到社会的金融管理工作。总的来说，无论是个人还是社会，金融管理都可以保障社会保持一个良好的发展状态，而且为了确保这种发展状态能够持续保持下去，就需要高度重视金融管理，这样可以显著提升国家社会的整体实力。

图1 AIS审计的基本内容

由于我国信息系统审计尤其是AIS审计的理论和实务起步较晚，相关研究也历时较短，所以我国的相关立法和规范体系都不够完善，行业标准也没有建立。具体表现为相关立法部门未对此形成足够的重视，没有提出相应的立法措施；另一方面由于大数据时代来临，各种新兴技术如云计算、“互联网+”的快速发展使得审计部门未能及时出台有效的规章制度对AIS审计进行合理规范。

2 .审计机构人员体系不够全面

基于云计算的AIS审计相对于传统审计而言，主要依托于先进的计算机技术，在此基础上实施审计程序，例如审计人员不仅要对含有财务数据的AIS的内部控制有效性、AIS的数据加密技术以及各信息系统接口对接的安全性等方面进行审计，还需要懂得使用数据挖掘、联机分析等先进技术在企业繁多复杂的数据中方便快捷地筛选出所需的数据，以确保审计证据的完整性及准确性。所以这就对审计从业人员提出了更高要求，不仅要懂财务、审计，更要懂计算机知识。结合我国的人才培养体系，很少有既传授计算机知识又传授审计理论与实务的专业存在，这就导致审计行业对复合型人才的需求急剧增加。

其次，部分审计人员对AIS审计的认识还不够深刻，相较于传统的审计方法而言，认为AIS审计仅仅是起到相当于计算机搜集数据的辅助作用。在AIS审计过程中，主要内容仍然集中在会计核算的技巧上，大多都是事后审计，没有将对AIS本身的检测和相关的控制测试加入到审计工作中。审计人员没有意识到AIS审计是一种全方位的审计方法，应该贯穿于被审计单位整个流程中，并且AIS审计能够更好地进行系统控制，从源头上降低被审计单位的风险。

3. 审计机构技术支持不足

审计机构要对企业AIS进行审计，必须获得一定的技术支持，例如相关的硬件设备、系统软件和应用程序等。而目前我国计算机技术的发展没有赶上AIS审计的步伐，当前水平与AIS审计所要求达到的水平还存在一定的差距。目前已有的AIS审计方法还较为浅显，仍然是依靠传统的审计程序实施事后审计，例如通过询问、观察和检查等方法实施控制测试，检查控制设计、控制执行的有效性。云会计较高的虚拟化程度对当前的传统测试方法提出了挑战，仅仅依靠检查程序变更等方法难以获取动态的、有效的审计证据，理想化的在线审计与实时审计还不能够实现。因此，审计机构必须具备一定的技术支持，与云端对接，有效提取并分析审计证据，达到与不同被审计单位相适应和匹配的能力。

（二） AIS内控审计职能缺失

“互联网+”环境下基于云计算的 AIS 具有开放性、共享性、多元性以及敏捷性等特征，能够优化企业的内部控制，但同时也会加大AIS 内部控制中存在的风险。AIS审计需要衡量被审计单位AIS运行的有效性、处理数据的效率及安全性，而AIS内控制度的建立、实施及规范是其衡量的主要标准。面对目前云计算下AIS技术发展迅速、版本更新频繁等特点，审计人员不能再按照以往的IT审计标准对被审计单位AIS的一般控制和应用控制进行评价，容易导致错漏舞弊，无法有效评价和指导其内控的设计与执行。

作为企业管理信息系统核心组成部分的AIS，内部控制也可分为AIS的一般控制和AIS的应用控制两部分。在AIS应用控制中的输入控制与输出控制过程中，企业内部数据资料的安全与保密问题不仅是内部控制环节需要密切重视的，更是内审人员实施审计程序时需要关注的重要问题。一方面，会计人员输入到AIS中的所有数据，其真实性和完整性都是需要审核及控制的，在数据的处理过程中容易造成会计信息的失真或缺失，这些意外一旦发生，将对企业内部的数据决策、数据分析造成严重后果。另一方面，在开放的“互联网+”环境下，会计人员将数据文件、账目报表等内部资料通过AIS上传到云计算服务器上，云计算存储器会存在受到黑客破坏与病毒攻击的可能性，造成信息泄露或数据缺失。一旦公司的关键数据被泄露或者被挖掘，尤其是客户资料、产品成本数据等资料一旦被竞争对手掌握，造成的损失将会是不可挽回的。

（三）AIS云供应商可信性不足

当前，审计机构进行AIS审计时，主要从被审单位及其关联商处获取审计证据，而云计算服务模式下的AIS审计，其审计证据来源众多，其中包括被审计单位、AIS云供应商以及第三方评估机构等多个来源。随着基于云计算的财务软件的广泛应用，越来越多的大型公司开始搭建财务共享中心平台，促使国内的财务软件供应商快速开展云服务业务，相继推出满足云计算要求的新版AIS产品，这种服务模式在促进企业会计信息化的同时也为用户提供了更多选择。

一方面，AIS云供应商为用户提供AIS云服务，对用户而言，只需为AIS服务付费，却不用为提供服务的基础设施、技术架构、维护人员等付费。供应商在设计、编写及组装AIS的过程中存在诸多隐患，对网络传输的速度、质量以及安全性都会产生影响，所以审计机构需要从AIS云供应商一方获得关于一般控制层面的审计证据，例如服务的基础设施以及技术架构等，再从被审计单位处获得应用控制层面的审计证据。然而，审计证据来源的多样化无疑会增加审计机构对企业AIS实施审计程序的复杂性。

另一方面，企业基于AIS的云会计环境下的服务模式是呈动态部署的，供应商按企业特定需求定制AIS产品，这一点不同于传统的财务软件环境，审计人员在传统财务软件的操作环境下，对各个应用系统的边界、数据库的类型及版本都有所认识，基于云计算的AIS“按需定制”会产生动态调整，导致系统内部之间各模块划分不明显、勾稽关系更复杂，而构建于云端的操作系统和数据库的运行情况、版本控制等对用户不透明等特点，无疑增加了审计环境的复杂性及审计难度。

因此，这些存在于云供应商的问题都使得企业及审计机构对其可信性存在质疑，由于还没有较为科学合理的评价方法对云供应商的AIS可信性进行评价，所以企业只能根据供应商的品牌效应以及他们提供的产品信息、产品使用评价等数据来选择判断购买何种AIS产品。这样较为盲目地选择AIS产品会存在一定的风险，比如难以满足用户对系统可靠性、安全性、可维护性、可审计性等的需求，最终导致内控环境基础薄弱，易发生故障。用户在选择云会计产品时难以获得充分的可信性证据，审计机构也没有对其可信性进行评价的专业体系，这无疑增加了云会计下审计工作的复杂性。

四、 企业AIS审计对策及建议

（一）优化AIS外部审计体系

首先，相关部门应该根据行业需求对AIS审计建立专门的规范体系，这不仅是AIS审计的基础，也是AIS审计发展的推动要素。目前在“互联网+”环境下，AIS审计的规范体系不仅要包括实施标准体系、安全标准体系以及审计人员从业资格体系等，网络环境下的AIS审计相关立法也必须加强。多数审计证据例如合同台账、凭证扫描等都是电子版，网络规范体系保障了工作人员在审计时有法可依、有章可循。信息系统也是依附于网络环境的，电子政务、电子商务、ERP等组成了一个全局系统，目前的共享系统已经将业务与财务融合在一起，所以AIS审计不仅是审计系统本身，而是涉及到全部内容，所以审计规范体系不应只局限于系统审计，而应该与互联网环境、制度体系以及行业发展相适应。

其次，建立完整的AIS审计人才培养模式。促进审计发展、保证审计质量需要高素质的综合性审计人才，信息系统审计不仅涉及到会计及审计等知识，更是涵盖了互联网技术、安全管理、数据存储等诸多方面，所以需要审计人员不仅掌握审计理论，还要精通信息系统等技术性理论。建议我国的部分高校开设信息系统审计课程，将审计理论与计算机技术有效结合，培养学生AIS审计认知及思维；建议相关机构与协会设立信息系统审计师执业认证资格与考试，形成完整的信息系统审计体系；建议以政府为主导，从国家层面和行业层面推动我国信息系统审计人才的培养与考核，构建从理论到实践的完整的信息系统审计知识结构与人才培养体系。

最后，开发先进的AIS审计技术。随着会计信息化的快速发展，审计信息化也需要与时俱进，先进的审计技术是保证审计质量、获取可靠证据以及提高审计效率的前提，从而有效执行审计，实现审计目标。首先可以构建一体化的审计云平台。通过建立开发基于网络的通用性信息系统审计平台，实现AIS审计的通用化、一体化，将不同类型的信息系统数据标准化、集中化，按照相同的审计标准、审计方法以及审计程序进行统一审计。其次，建立丰富的结构化的审计知识库。通过将权威专业的审计事务所及审计师的审计知识、经验及审计规则录入系统，建立一套完整高标准的审计分析流程，做出相应的审计建议和结论。

（二）完善AIS内控审计建设

为保证企业AIS的安全有效运行，AIS内控审计也必不可少，需对信息系统各模块的可靠性以及各项内部控制措施的健全性进行考核与评价。尤其在网络环境下，信息系统的相关人员涉及较广，包括应用开发者、使用者等，因此企业需要建立全员参与的信息系统内部控制审计体系。

虽然云供应商已经在AIS的设计层面以及技术层面等方面做了性能提升，但还远不能满足企业经营管理的需要，企业自身应当根据云计算环境的安全水平以及自身财务、业务及管理层面的需求，在考虑AIS的组织形式、技术特点、业务处理与控制流程设计等因素的基础上，充分发挥其信息技术优势，有效规避AIS内部控制不利风险，建立与AIS相适应、符合自身特点的AIS内部控制制度，促进企业信息安全、资产保全和经营管理目标的实现，保证AIS的有效执行。在完善企业内部控制制度的基础上，再进一步建设并加强企业的内控审计体系。

一是要提高内部控制质量，主要对操作系统的运行环境、会计类的相关数据资源以及AIS的开发与维护等内控质量进行全面提升，使内控制度得到具体落实，并做到有据可查，使内审人员能对其实施效果进行有效的监督、评价与反馈。除此之外，还需要保证会计政策、会计科目、会计信息系统、数据标准以及核算流程等基本设置的五个统一。

二是要加强技术应用，提高AIS的安全性，降低内部审计的风险。其中包括日志应用、监控系统设置、以及防火墙的建立等，除此之外，系统中也要设置先进的关于入侵检测、权限管理以及身份验证等相关技术应用，保障会计数据资料的安全性及完整性，内审人员也能基于云计算技术对其进行严格把控。

三是要加强风险评估和流程管理，为了进一步保障AIS以及数据信息的安全，除了系统自身的内部监控防范之外，内审人员还应该建立一套完整的风险防范机制以及预警应急机制，例如可以采取加密技术保护数据；此外企业应该严格控制数据的接入及备份，完善数据备份系统，防止数据资料在未经授权的情况下被使用、接触或备份；并且要提前制定好数据资料在受到灾难性破坏时的解决方案。

（三）引入AIS可信性度量模型

随着会计信息化的推进，云供应商数据供应的可信性、安全性以及数据如何隔离等问题成为审计工作的新挑战。由于财务共享服务的基础设施处于云会计供应商的掌控之下，用户无法了解到系统程序开发及设计等软件层面上的内容，仅依靠审计人员对会计云服务的了解难以评估AIS的审计风险，并且会耗费大量的时间与资源，IT审计人员不一定了解云会计的技术与理念，无法保证抽样评估结果的可靠性。因此，需要由外部专家或第三方评估机构对AIS的可信性进行度量与评价。通过了解客户的信息技术环境以及云会计供应商的资质、技术水平、云会计基础设施构建等情况，精确量化用户对AIS的使用，例如数据输入、数据处理等过程的熟悉程度及预期程度，建立AIS可信性度量模型，科学有效地度量其可信性，定性定量地反映出不同产品的差异，使用户在不具备专业知识的情况下能够直观地对AIS产品进行选择比较，对其进行综合评价。

国内外学者已经对软件的可信性度量进行了研究分析，但对AIS可信性度量的研究还较少。程平教授通过研究分析，提出了云会计环境下的AIS可信性度量模型，由于AIS模块间的业务数据是相互勾稽、相互连接的，无法单一度量，所以程平教授在考虑云会计AIS可信属性相互作用、功能模块之间影响的基础上，引入设计结构矩阵等相关知识来反映各属性间的关联关系，通过精确计算各属性对AIS整体可信性的贡献度，建立了考虑相互影响的云会计AIS可信性度量模型。他以设计结构矩阵为分析工具，将AIS的各个功能模块看作是可以复用的构件，每个模块中都有侧重的可信属性，利用AIS可信属性间的相互关系及这种关系的传递，建立云会计AIS可信性度量模型。例如云会计AIS可信属性包含可用性、安全性、可靠性、可生存性等，其中安全性与可用性、风险可控性等呈正相关关系，通过对这些可信属性间的相关性进行分析与度量，支撑模型的可靠性，审计人员通过模型结果的精确数据对提供信息系统的供应商进行有效审计，降低审计风险。

五、 基于云计算的AIS审计发展趋势

云计算技术可以将先进的计算机技术与管理工作相结合，为审计信息化建设提供基础，保证“互联网+”下审计工作的高效及准确，简化人力、提高效率。在信息技术快速发展的将来，审计私有云和审计分析云的建立和发展都是云计算技术应用于审计工作的合理体现。

审计私有云的建立基于审计工作信息量大，其数据的准确性和安全性无法得到保证，工作人员通过云计算技术建立审计私有云，可将审计数据、计算方法、计划方案、计算流程等相关信息综合整理构建为一个系统平台，在之后的工作中可以根据客户的具体需求进行针对性的处理，简化数据收集、凭证抽查等基础性工作，提高工作效率。

而审计分析云的建立则是根据客户的不同需求，对某一部分数据进行分析总结，以模型的形式为客户的分析请求提供审计结果，因为其计算方法的严格规范，可以有效防止审计结果的不准确性。后期也会实现对任务量较大、计算方式较复杂的综合性项目进行分析与提出建议。

虽然云计算技术在我国还处于发展阶段，但是其潜力无穷，不仅推动了我国审计信息化的大趋势，为我国审计工作新方式指明了方向，更对信息系统审计产生较大的影响。随着审计数据多样化、审计理念前沿化以及数据应用模型升级化，大数据时代下的信息系统审计体系也将快速建立。信息系统审计中会有更多的途径与方式发现审计线索、获取审计证据，利用数据分析也能获取数据间的相关关系，建立模型，发现数据变化的趋势，找到问题，完成事前审计。

与此同时，大数据、云计算对信息系统审计人员的审计思维也影响深远，传统审计模式中大多采用抽样审计方法，在忽略舞弊问题的同时会增加审计风险。云计算技术适用于各行各业，令审计人员的审计范围覆盖全部数据，改变传统的审计程序，从总体上把握审计对象，发现问题的本质。