集团化“审计（管理）云”构建设想

宫岩伟

摘 要：本文主要是从内部审计视角，结合日常工作实践，对审计主要职能的理解以及对云计算等信息技术的认知，分析集团化“审计（管理）云”的可实现性，设想其功能构建，针对信息安全风险、组织架构制约等构建风险与困难从法治、风险管理、技术等层面提出风险与困难的应对思路，实现优化审计资源使用与配置、提高审计项目管理效率、及时报告与分享审计成果等预期效果。

关键词：审计；（管理）云；功能；设想

中图分类号：F239；F239 文献标识码：A 文章编号：2095-9052（2020）04-0050-02

一、集团化审计（管理）云构建可实现性分析

（一）云计算的主要特点

第一，虚拟化。虚拟化是云计算的最基础前提，打破了传统客户需先投资建设有形IT设备实体，再获得服务的模式。用户只需要通过网络，在任何时间、任意位置，通过多样化终端设备均能获得服务，不需要了解数据在哪存储、如何存储。虚拟化既包括应用的虚拟化又包括资源的虚拟化[1]。

第二，规模化。为实现超级存储和计算能力，云计算中心需要整合和管理超级庞大的服务器群，且这些服务器可以通过网络分布在世界各地。例如，谷歌（Google）的云计算已拥有100多万台服务器[2]。

第三，超级计算。云计算原理是将用户提交的任务分割成小任务，分布到云数据中心的庞大服务器群上执行，因此能够实现超级计算机的计算能力。

第四，通用性。由于庞大的服务器群作支撑，云计算不需针对特定的应用环境，可根据各种需要构建出各种应用的运行环境。

第五，按需服务和扩展性。云计算的实质是提供信息技术服务，“云”中集成了各种软件和存储资源，客户可以根据需要定制各种软件环境，动态扩展存储规模、用户规模。

第六，低成本。由于“云”规模的庞大和特殊的容错措施，云服务商可以采用廉价的硬件，而“云”的自动化集成消除了企业独立承担数据中心的管理成本和资源使用成本，使企业以更小的投入获得了更大的数据处理能力。

（二）集团化内部审计发展的需求

第一，管理越来越多内审分支机构的需求。随着企业做大做强，终会向集团化方向发展，随之而来是集团管理越来越多的分支机构、各级公司，为满足企业监管需要和完善治理结构，各分支机构、各级公司又会设立各自的内部审计分支机构。如何统筹管理集团的内审体系，整合资源发挥更大效用，已成为集团化审计管理的重要课题。

第二，统筹部署集团审计战略的需求。从业务方面，各下属审计机构接受上级审计机构的指导，但组织机构、职能划分上又由各所属单位管理。实际情况是，上级传达战略部署、下级反馈意见信息，存在较高的沟通成本，往往形成集团及各审计分支的各自为战，各分支汇报的审计成果独立来看效果显著，但从全集团层面却难以勾勒出整体形态。

第三，信息化审计系统集成升级的需求。随着信息技术在内部审计中的应用，很多集团及下属单位都已搭建了信息化审计系统。但由于各种因素，多数的信息化审计系统并未统一集成、缺少接口、功能各异，且基于较早的信息技术，已难扩展，逐渐降低对审计的支撑作用。

（三）审计（管理）云提供了一种解决方案

虚拟化为审计工作实现提供了更灵活多样的开展方式，按需服务、高扩展性使集团化的审计（管理）云系统搭建或升级变得更容易实现。云的超级计算能力，使内部审计越来越高的数据分析需求得到满足，且能够提供更多选择的软件系统和数据环境。由于云的低成本特点，整合或重新构建集团化审计（管理）云将投入更少资金，而由于最终构建形成集团层面的审计（管理）云，集团审计的整体统筹、高效沟通、资源综合利用等需求能够更容易得到实现。云技术的应用，将审计的信息化建设引入无需IT基础设施投入，即可获取定制化服务的方向。

二、集团化审计（管理）云构建功能设想

（一）基础功能

第一，审计计划功能。此功能主要实现审计计划制定时既考虑集团战略的统筹，又考虑各分支机构现实风险的把握。集团、各分支机构在制定年度计划时，通过审计（管理）云及时共享。一方面可以避免审计计划的重复；另一方面，集团可以部署对某一业务模块各分支的同时审计，实现全集团该业务模块的横向比较和互相借鉴，取得更优的最佳实践案例。

第二，审计资源调配功能。此功能主要实现全集团审计体系资源的整体协调安排。集团、各分支机构年度计划制定后，都会对各项目時间进度、人员配置进行安排，但以往都只能对自有的审计资源进行分配。通过审计（管理）云，实现审计人员的调配和交流，如将其他机构的某些审计领域的专家调配到重要的审计项目中，请求某些地区的审计人员提供支援减少差旅等。通过整合审计资源调配，可实现一定的审计能力共享、审计资源共享，提高整体质量，降低成本。

第三，审计项目管理功能。此功能属于传统的审计项目管理职能，主要是将此功能集成到集团化审计（管理）云中，实现各个审计项目的进度、成本、质量管理。审计工作的主要流程一般包括审计通知书、审计调查、审计方案编制、审计实施、交换意见、审计报告等阶段。此功能可按各流程阶段在审计（管理）云中进行管理和展示，便于集团层面全面了解各分支机构目前的项目开展情况和项目当前状态。

第四，审计成果汇报与数据统计功能。此功能主要是实现审计成果的及时汇报和按需从不同维度进行数据统计。随着国家及各级监管机构对内部审计工作的重视和对内部审计工作成果的认可，审计成果汇报的及时性，对不同维度的数据统计与上报要求越来越多。通过集团化审计（管理）云中的此项功能，在各阶段根据管理需要，及时地将各种信息进行汇总统计，展示并汇报。如当前开展的审计项目数量，具体审计项目名称，领域分布，已完成项目数量，已发现审计问题数量，涉及问题金额，审计问题效益等各类需求信息。

（二）扩展功能

第一，数据分析环境。当前内部审计已越来越多地对全业务数据进行分析以实现业务的全审计覆盖，但更多的仍基于单机或服务器。而“云”可以提供各种数据结构和软件环境，提供超强的计算能力，在审计（管理）云上应用云计算，能够提供更高速度、更大规模的数据分析能力，同时由于数据存储在“云”中，可以实现多个审计项目、审计人员的并行分析审计。

第二，审计项目画像。在审计（管理）云中应用AI技术，通过全集团审计成果的积累以及导入收集到更多的审计案例，审计（管理）云在进行机器学习和关键词提取后，就可以对某一类审计项目提供画像。如在编制审计方案时，输入某一审计领域，审计（管理）云会自动推送相关的风险点、审计程序；编制审计报告时，输入某些特定词，审计（管理）云会自动提示可能的审计发现具体描述。

第三，实时审计监控。目前已经实现的在服务器上的实时审计监控，也可以在审计（管理）云上进行应用，并且可以结合大数据分析技术，除建立定量指标外，还可以建立定性指标、趋势指标，提供大数据关联的预测、预警。

三、集团化“审计（管理）云”构建风险与困难

（一）信息安全风险

对于私有云，由于完全由客户控制，信息安全风险与传统信息安全风险基本相同。

但由于成本考虑，构建审计（管理）云更多还是基于公有云。由于公有云运营完全由云服务商负责，硬件由服务商维护，软件、信息全部存储到云服务商的数据中心，信息完全脱离企业监控。相对于传统服务器模式，信息安全存在来自云服务商内部（或自身）和云服务器外部的双重威胁。特别是对于审计来说，存储和产生的数据更加敏感和机密，一旦信息遭受破坏、丢失或泄露，可能为集团带来无法估计的影响和损失。

（二）组织架構制约

理论上，虽然审计（管理）云可实现集团范围内审计资源（特别是审计人员）的统一调配，但当前现实情况是，集团及下属各单位的审计人员是与所属企业的有合同雇佣关系，而非分配给集团审计体系可统一调配的权力。集团与下属单位之间、下属单位相互之间的审计人员调配需要协商和授权。审计人员为集团内其他企业提供审计服务，是否存在报酬核算的问题，调配审计人员的绩效考核结果如何应用问题，也是对审计（管理）云发挥资源共享作用的重要制约。

（三）风险与困难的应对思路

上述提出的风险和困难，可以从多角度思考应对策略，本文仅从几个层面略作展开，提出一些思路供参考借鉴。

第一，法治层面。解决信息安全风险首先需要建立完善、有效的法律法规体系，使云上的数据能够依法得到尊重和保护，发生数据安全事件也有法可依追究责任，保证云使用方获得损失赔偿。

第二，风险管理层面。建立云数据安全的保险机制，可以使云数据信息安全风险得到分担。一方面，保险公司为风险可控，会从第三方角度加强对云服务商的监控，促使云安全性的持续提升；另一方面，保险分担了云信息安全事件的损失赔偿风险，云服务使用者能够得到更多的损失保障。

第三，技术层面。为云上的数据进行加密存储，在使用数据的终端进行解密，这样只有获得授权的终端才能够访问和使用云数据，能够实现技术层面的防范信息安全风险。

第四，实践层面。以德国大众集团的全球内审体系为例，已推出全球内审交流计划。每年德国大众集团在全世界的各内审分支会向集团报送审计计划和人员计划，并根据需要提出少量的交流项目，其他分支可根据人员、预算等安排，决定是否派出审计人员开展联合审计。目前联合审计项目能否成行，是通过邮件、电话等沟通方式，在不同分支间地不断确认和沟通后得以实现，存在较高的沟通成本和不确定性。但在该计划下，集团也已完成了多个跨分支的联合审计项目，一定程度上实现了经验交流、资源共享的作用。

四、结语

集团化审计（管理）云，从资源利用方面，能够调动全集团的审计资源，实现更大规模的综合利用、优势互补。从审计职能发挥方面，能够通过更高效的统一部署，对同类企业进行横向比较，对不同类企业进行纵向延伸，并能更好地结合集团战略与各企业战略。从审计质量提升方面，由扩展功能带来更大规模的数据分析、更准确的审计项目画像、大数据实时监控预警，从审计证据的准确性、多角度，审计方案和审计报告的标准化、完整性等实现审计的高质量完成。

参考文献：

[1]戴丽荣，戴舒.云计算综述[J].西安航空学院学报，2013（31）：68-71.

[2]赵一霈.浅谈云计算特点及其安全问题[J].信息科技探索，2019（4）：117-118.

（责任编辑：林丽华）