云计算下的审计风险分析与防范

傅静

云计算的产生以及不断地蓬勃发展影响了审计技术和审计方法，巧妙地将云计算与审计相结合，在一定程度上扩大审计范围，提高审计效率，但同时也会产生相应的云审计风险。

一、云计算及云审计概述

1.云计算的内涵。云计算是一种能够将存储、网络、计算等资源抽象化和虚拟化，形成巨大资源库，按需调度和资源供给的大规模分布式计算模式，用户通过互联网获取想要的信息资源。现阶段，美国国家标准与技术研究院（NIST）对此情况作出了为公众所接受的较为综合的定义：云计算是一种付费使用的计算模式，它供应可利用的、方便的、按需的网络访问渠道，靠装配的计算资源共享库（资源包括网络，服务器，存储，应用软件，服务）快速提供被需求的资源，而与之相对的，无需繁琐复杂的管理工作，也不用频繁与供应商交互。

2.云审计的内涵。云计算技术与审计工作的结合创造了“云审计”的概念。审计通过“云”融合云计算概念和云存储数据，并结合应用各种审计资源 （审计人员、基础设施、应用软件等），给审计机构提供科学、高效的审计业务流程，节省审计人员的精力，保证审计人员将更多的目光放在审计任务上，而不用把过度的时间浪费在处理审计信息、选择应用程序等事情上。云审计是一种超级计算模式，它以云计算技术为基础，以云技术做支持。从事审计工作的人员可以更方便地从“云”中调取需要的数据信息和其他的相关资料，从而更加高效率地完成审计工作。

二、云计算对审计的影响

1.云计算下运用总体审计模式可以有效规避由于抽样审计模式导致的审计风险。传统的审计模式主要依赖于审计抽样，该方法下由于对非全样本进行审计，无可避免地增加了审计风险，并且该风险与样本规模的大小呈正比。此外，由于审计抽样存在不确定性，这为被审计单位实施舞弊行为提供了条件。而采用云计算技术的总体审计模式是通过分析与审计对象相关的所有数据，使审计人员在审计业务的全过程建立总体审计的思维模式，对数据和资源进行全面化、深层次、多角度的分析，能够发现传统抽样审计模式下由于非全面审计所带来的问题，有效地规避由于抽样审计模式带来的审计风险。

2.云计算方便大量复杂数据的分析，提高审计工作效率。现代审计业务通常涉及对使用大数据分析技术，以在当今的商业环境中保持竞争力并保持相关性。客户端系统现已与云计算、物联网和外部数据源（例如社交媒体）集成为一体。此外，许多客户现在正在将此大数据与新的复杂业务分析方法集成，通过云计算得出决策所需的信息。这为外部审计师进行审计业务时使用高级数据分析提供了条件。

3.云计算将优化审计资源，实现信息共享与数据可比性。从社会资源运营效率出发，通过云计算与审计相结合，搭建出云審计平台，该平台最大的优势在于构建了行业审计数据库，这是对包括审计资源在内的社会资源的优化利用。审计人员可以在数据库内准确定位数据源头、实现资源共享并对审计数据实时汇总更新;被审计单位可以在数据库内对本行业内的竞争企业的审计数据进行深度分析，可以实现单位内部数据与行业数据乃至跨领域数据的对比分析，在大数据时代下充分利用数据间相互关系，从而实现对未来趋势的预判。

三、云计算环境下审计风险的识别

1.审计数据的安全性风险。由于云审计的研究刚刚起步，云审计的概念还不够明确，审计人员进行云计算信息安全审计时，难免要遇到许多挑战。在云计算的环境下，审计对象有所扩充，不再单单是被审计单位的会计信息，还包括云计算平台中的所有相关信息，因此审计过程中的不确定性也随之增加。此外，审计单位和被审计单位电子数据的存储、传输、处理都需要依靠云计算技术，并且它们都是由云服务供应商管理，这在一定程度上削弱了审计单位和被审计单位对数据的控制，增大了存在安全漏洞的风险。

2.云计算下的审计证据缺失风险。审计过程的实质是基于审计证据的判断和决策过程。云系统无法获取准确而完整的审计证据，这将导致审计风险产生。云计算的使用使被审计单位的所有电子数据都可以存储在云中，并且它们的操作、计算和传输均可以通过Internet实现。审计单位在Internet上收集审计证据。审计证据以电子证据的形式呈现，收集存在一定的困难。数据存储云环境不是唯一专属的环境，允许多个人共同使用，这使得云服务提供商很难提供完整的数据。此外，Internet数据在全球范围内流动，难以确定其具体存储位置。因此，云计算环境中的审计证据难以跟踪，并且在传输过程中容易被病毒感染。所有这些都会导致云计算下审计风险的增加。

3.云审计程序风险。在云计算模型中，被审计单位的数据存储在云平台上，其操作、计算和交付需要通过Internet进行。审计证据只能在Internet上收集，且获得的证据是电子证据。由于存储在云中的数据流动性很高，通常无法确定其特定的存储位置，并且由于数据存储云环境是多租户共享的云环境，因此云服务提供商无法提供完整的数据。同时，由于数据流动的全球性，很难跟踪经济业务流程。在云审计过程中，注册会计师能否在平台上执行有效的审计程序并获得足够、适当的审计证据，是导致云审计风险的重要因素。因此，由于云计算模型中审计证据的网络性、不透明性和流动性，难以在云计算环境中收集电子审计证据，审计程序设计的不合理性将大大增加证据收集的难度。

4.云计算内部控制风险。近年来，云计算在企业的广泛运用，使得企业内部控制内容和方式也随之发生了重大变化。云计算模式下企业有效的内部控制，有助于企业开展云审计及控制云审计风险、提高云审计治理。然而，就目前的云平台运用过程中，企业普遍存在重视软硬件和业务流程构建而忽视内部控制建设的问题，导致数据丢失与泄露、资源的滥用和非法使用、云租户间的安全隔离等具有高风险的事件发生，从而造成云审计风险。

5.云计算下专业审计人员缺失的风险。近几年云计算蓬勃发展，成为中国商业模式中的流行并加以采用，因而深入理解并能够准确把握云计算环境下的审计知识的人员并不多。由于云计算具有规模大、虚拟化等特点，审计人员必须尽可能确保从云计算平台上收集的审计证据真实、完整、准确，以便发布公允、准确的财务报告，有效减少甚至避免审计风险。目前，我们国家在利用云计算平台获取审计证据方面缺乏人才，大大增加了审计人员在审计后发表不恰当审计意见的可能性，从而增加了云计算环境下的审计风险。

四、云计算环境下审计风险的防范

1.建设云审计安全性平台。一个安全的云审计平台有利于确保数据安全并防止审计风险，可以依靠三种主要的云服务模型和高级云计算技术来构建将硬件，软件和服务统一起来的安全云审计平台。为了进一步增强云审计平台的安全性，可以构建一个特殊的安全层，该安全层的任务要求是有效地收集有关各种云服务提供商的信息。首先，测试供应商掌握的技术的准确性、操作环境的稳定性、存储模块的安全性以及规格的匹配性。其次，在使用该技术时测试每个租户的稳定性，不仅要追求当前数据的安全性，而且要长期保证连续的安全性。再其次，对使用云服务的用户进行一定程度的信息监管，最大程度地防止数据在存储和使用过程中泄漏，避免客户的安全性，合规性，稳定性和持久性存在担忧和质疑，从而取得客户的信赖。最后，在平台上建立服务系统，该服务系统分为三个模块，分别是专家问答、资源调度和信息查询。即使是单个审计任务，它也可以完全匹配资源数据库并找到相同或相似的案例，从专家那里获得最专业的答案，从而提高了审计效率，并确保审计的安全性。

2.构建风险导向云审计模型。伴随云计算技术在各行业的广泛传播与使用，由于各行业的经营状态与模式多样化趋势，云审计风险比传统审计风险范围更广、更复雜，这要求注册会计师从多角度、深层次、大范围对云审计风险进行分析和防范。现在审计越来越强调风险导向，而若将其同样运用于云审计之中，构建基于云计算的风险导向云审计模型，对海量数据进行持续分析、深入挖掘，同时兼顾事前、事中、事后，从更高层面、更广范围和综合视角对云审计风险进行全方位评估，对可能产生云审计风险的各个因素进行系统分析整理，使云审计风险和整个云审计过程联系起来，进而有效防范与控制云审计风险。

3.创新审计方法，提高审计人员的综合素质和专业水平。在审计过程中，云计算环境中的每个审计人员将统一进入指定的团队参与审计，并针对每个阶段发生的审计问题安排不同的审计任务。这样，审计活动将具有独立性和针对性。随着云计算的不断应用，对审计人员的业务能力提出了更高要求。企业应定期组织云计算审计业务培训课程，不断提高审计人员的业务能力，理论与实践相结合，将学习内容投入实际操作中，以满足有效降低企业审计风险的要求。同时，对于无法掌握云计算方法进行审计工作的员工，公司将根据择优而选的原则，采用选择性淘汰的方法。

4.健全云审计的法律法规，完善云计算的审计准则。任何新事物的出现和发展都可能带来某些风险。为了减少相应的风险，我们需要科学的指导。应当制定适当的云审计标准和准则以规范数据的存储、传输和处理并使之制度化，以使数据分析结果和电子审计证据更加合理和合法。为明确划分职责，审计人员应对云审计流程中的每个步骤负责。如果没有明确定义云审计责任，则可能会导致某些审计人员钻了云审计流程中的法律漏洞。

（作者单位：浙江中国小商品城集团股份有限公司）