云计算环境下政府审计的机遇与挑战

钟玉林

(南京审计学院国际审计学院，江苏 南京 210000)

一、引言

2013年7月1日，基于云计算电子政务公共平台国家标准编制工作正式启动，这也拉开了我国电子政务云走向规范统一标准化模式的序幕。随着电子政务云的发展，审计人员如何进行审计也成了一个值得关注的话题，审计署也在尝试解决这个问题，在审计署金审工程第三期需求研讨会上对云计算在审计中的运用进行了探讨。

云计算是一个新兴的IT产物，它不仅是一种技术，更是一种服务模式，云系统不仅能够向用户提供硬件即服务(HaaS)、软件即服务(SaaS)、数据资源即服务(DaaS)，而且还能够向用户提供能够配置的平台即服务(PaaS)。因此，用户可以按需向计算平台提交自己的硬件配置、软件安装、数据访问需求(Wang L，Tao J，Kunze M，2008)，而不需要知道后台是如何运行的。云计算将成百上千台普通商用计算机汇聚成一个计算机集群，用户根据自己的需求，要求增加或减少节点来扩展或缩小存储容量和计算资源。云计算资源池能兼容不同硬件厂商的产品，其通用性使资源的利用率较之传统系统大幅提升，大多数用户都可以使用。云计算的这些特点都改变了原有的商业模式，对会计业务产生了重大影响，使得会计信息系统向基于云计算的会计信息系统发展，这给作为鉴证业务的审计提出了挑战。与此同时，基于云计算的云审计概念的提出能够减少工作中的简单劳动，提高审计效率，解决审计中的一些难题，给审计技术与方法的发展和创新提供了机遇。

二、云计算环境对审计的影响

1、对审计内容的影响

在云计算环境下，被审计单位采用的是基于云计算的会计信息系统，数据存储在供应商的服务器上。要想完全信任服务器上的数据就需要保证供应商提供的存储和计算的环境是安全可信赖的。但事实上由于存在内部人员失职、黑客攻击及系统故障导致安全机制失效等多种风险，云供应商没有充分的证据让审计人员相信其环境是可信赖的。因此审计人员还需要对云服务进行审计，评价云系统是否合法合规，是否准确完整，是否安全可靠等。虽然被审计单位的数据存储在供应商的服务器上，但也要符合其内部控制政策，审计人员还需识别、评价这些内部控制。

2、对审计证据的影响

在云计算环境下，分布在多个服务器上的文件如同位于网络上的一个位置一样，对外提供同一种服务。在云存储下，审计人员无法确切地知道被审计单位存储的数据以及计算过程发生在哪台服务器中，也无法区分被审计单位与其他用户的数据，审计人员获取充分适当的审计证据就会更加复杂。

3、对审计技术与方法的影响

随着信息技术的高速发展，被审计单位的数据量有不断增加的趋势，从海量数据中发现问题的难度也随之增加。数据挖掘的数据规模越来越大，数据挖掘的对象也越来越复杂，审计部门发展基于云的数据挖掘技术也是大势所趋。基于云计算的数据挖掘可以进行分布式并行数据挖掘，实现高效实时的挖掘。基于云计算的持续监控将促进持续审计的发展。审计人员将审计程序、技术与方法存储在云端，对被审计单位云中的数据进行持续的监控和审计，在发现异常时第一时间发出安全警报，告知审计人员。

4、对审计风险的影响

首先云计算本身的安全风险会带来审计风险。审计人员在传输被审计单位信息和审计信息的过程中有没有遗失、被截取，存储的电子信息有没有被攻击、删除、盗用、破坏。虽然存储于云端的用户信息应当归属于用户，但是“云服务”供应商具有控制权，供应商可能在没有得到用户允许的情况下有意或无意的删除或转让其信息，在服务结束时或者在用户删除数据时仍保留备份。其次是法律责任带来的审计风险，即存储于服务器中的电子记录是否可以作为有效的证据，在法庭上证明审计人员已遵守相关执业准则、规则确定的工作程序并保持了应有的职业谨慎，不存在过失。

5、对审计依据的影响

云计算环境下审计内容、审计证据、审计技术与方法、审计风险等都发生了变化，应建立与之相适应的审计准则，包括审计人员执业标准，云审计报告标准，审计人员相关责任认定标准等。同时法律法规也应该赋予审计人员进行云审计和对供应商进行审计的权利，合理划分审计人员、被审计单位和供应商关于信息安全的法律责任。

6、对审计人员的影响

为了做好云审计的工作，审计人员除了掌握必要的审计知识、熟悉相关法律法规、执业准则外，还应学会操作使用计算机，掌握一定的网络、云计算知识，了解支撑审计系统的软硬件系统，并能操作处理云环境下审计程序所必需的电子数据。

三、云计算环境下给政府审计带来的机遇

云审计是中国注册会计师率先提出的概念，到目前为止还没有系统的阐述。可以说，云审计就是在云计算的基础上搭建一个平台，将所有的审计信息上传到云中，审计人员共享云中的所有数据和资源，使审计资源得到充分利用。这是信息技术发展中的一种必然变化，也是新时期下审计的一种需求。

1、推广联网审计

联网审计是一个复杂的系统工程，据测算，开展以地税、社会保障等部门和会计结算中心为重点的联网审计，仅建设成本每项都在百万元以上，这对于很多地方审计部门是难以承受的，这也是联网审计无法推广的重要原因之一。云审计不需要任何基建投资，不需要硬件购置成本、支付维护成本，不需要支付管理软件升级费用，也不需要进行专门的人才培训，只需要租用供应商的服务器和软件服务，根据使用的服务量付费。既可以满足各种可能的计算数据量的需求，也不会产生购置成本。因此，云计算技术的运用在一定程度上可以降低联网审计的成本，在市、县级审计部门推广。被审计单位不愿配合审计工作也是联网审计难以展开的重要原因。在实务中，许多被审计单位会以保护信息安全、联网影响日常工作等理由拒绝与审计部门联网，这给联网审计的展开带来了很大的阻碍。电子政务云环境下，政府部门的数据都存储在“云”上，审计人员可以不受限制的直接从云上获取需要的信息，不受被审计单位的约束。

2、提高审计效率

由于云供应商拥有庞大的服务器系统，在云上面的海量数据可以分解成无数个子程序，然后交给服务器处理，高效的实现对海量数据的分析处理，获得超级计算机才拥有的强大处理能力、巨量数据存储及复杂数据分析能力，这将大大提高审计的效率。同时，在有多个办公地点的情况下，一个办公地点的审计人员在云审计平台输入的审计证据、审计结论，另一办公地点的审计人员可同步看到，节省了传递的时间，加强了审计的衔接性。同时，随着移动设备的不断普及，审计人员可以将文件传送到云服务器，然后下载到移动设备上，需要时直接打开进行修改，然后上传至云端，工作的便利性得到大大地提高。

3、实现审计信息共享

由于审计部门设置的问题，重复审计的现象时有发生。审计部门拟审计项目可能已经由内部审计机构、社会中介组织审计过，或者在本年度已经有其他级别审计部门审计过，或者审计部门在同一年度内对同一单位拟安排多个审计项目，项目内容出现重叠，或者其他监管单位也实施了相似的监管活动，这都造成了审计资源的浪费。云审计平台下，各级审计部门收集的资料，采集、生成的数据，不再分块存储在各个审计部门自己的服务器上，而是分类存储在同一资源池里，各级审计部门共享信息，及时获取其他部门审计信息。同时，由内部审计机构、社会中介组织、其他监管机构进行的审计或监管活动的信息也存储在资源池中，审计部门可以在认真审核的基础上充分利用其结果，避免重复审计。

4、提高审计客观性

客观性除了同审计人员的专业判断以及与被审计单位是否保持独立有关外，还同选择的审计程序有关。由于存储在云上的审计软件是在综合考虑各方因素，听取专家意见和建议的基础上设计完成的，只允许审计人员从中筛选出合适的审计程序执行，有些必要的审计程序如风险评估不会因为审计人员的主观判断而被规避，从而提高了审计的客观性。当然，如果某个审计人员认为增加新的审计程序或改进云中原有的审计程序能更加有效地达到审计目的，可以在经过讨论后报相关部门批准在云中进行增加或修改。

四、云计算环境下给政府审计带来的挑战

无论在理论研究上还是产业界的实际运用上，云计算都展现了其特有的优势，被越来越多的单位所接受，但是在其发展还不够完善，相应标准还不健全的情况下，仍存在一定的风险，对审计人员提出了挑战。

1、审计部门云计算的安全性

云计算在复杂的网络环境中形成了庞大的数据中心，在为用户带来方便的同时也面临着巨大的安全挑战。审计部门将被审计单位的数据、审计程序等信息存储在云上，其安全性受到很大的挑战:

(1)受到第三方的恶意攻击。只要在供应商处进行注册，任何人或单位都可以享受云计算提供的服务，低门槛的准入制度，增加了除审计人员和供应商以外第三方对信息进行篡改、删除等恶意攻击的可能性，这都给审计部门信息安全带来了很大的威胁。

(2)供应商内部人员的恶意攻击。除了外部第三方的恶意攻击外，供应商内部人员也有恶意攻击的可能性，并且因员工授权或者熟悉相关程序等原因比外部人员更容易接触到机密数据，进行篡改、删除，且不容易被发现。内部人员恶意攻击造成的安全性威胁比外部人员的更大。

(3)数据丢失或泄露。云计算给用户和云供应商带来了数据保护的风险。在某些情况下，审计部门很难清楚的了解云供应商对审计数据处理的过程，以确保审计数据是真实完整，没有丢失或泄露的。特别是当数据在多个不同的云之间传送时，这个问题更加严重，数据很可能丢失，或者泄露给其他方。这将不利于审计人员对信息的保密，也会给被审计单位造成损失。

(4)网络的可靠性和稳定性。云服务是通过互联网来提供的，因此网络的可靠性和稳定性是必要的。数据在网络传输的过程中很可能受到攻击，进而影响审计人员获取数据的真实完整。虽然在云计算中，当一个节点无法工作的时候可以将数据传输到另一个节点进行工作，但是也不能完全避免所有节点都不能工作的情况，如果网络传输中断，审计工作就无法继续展开。

2、被审计单位责任划分

相关审计单位应避免重复发布政策法规、通知文件，应实现信息共享。如果政策法规存在错误，给国家造成浪费损失时，对追责对象的认定就会很困难，在我国政府部门职责设置不清晰的情况下，资源整合后各部门间更可能会互相推诿，审计处理处罚权的落实就更加难上加难了。

3、被审计单位内部控制测试

电子政务云下由于许多资源实现了整合，很多政府部门都可以从云上获取资源，如何划分访问、下载、分析资源的权限是一个难题。在我国现有政治体制下，存在严重的部门混乱，管理重叠的问题，要划分权限，首先要明确相应的管理职责，所以审计人员很难评价内部控制权限设置是否合理。

电子政务云的“云”需要由第三方供应商提供，政府单位的资源存储在供应商处，要测试内部控制就需要得到供应商的允许，但目前还没有相关的法律法规授予审计人员测试“云”上内部控制的权限。要对被审计单位内部控制进行测试就必须准确划分相应单位的内部控制，但云中的内部控制系统是一个综合系统，审计人员很难对单个用户内部控制测试，也不可能对云计算中的所有用户内部控制进行评审后得出被审计企业内部控制是否有效的结论。

4、信息转移风险

电子政务云的实施需要被审计单位现有的业务尽可能迁移到云平台上，在这个过程中存在以下风险:一是安全性风险。业务迁移过程中可能受到黑客攻击，删除、篡改数据或者程序。二是内容连贯性和完整性风险。业务迁移过程中被审计单位有意或无意的遗漏或删除部分信息，破坏原有的连贯性和完整性。三是功能风险。新文件格式对原文件格式可能不兼容，需要对检索界面进行修改，原文件格式的一些信息增值在迁移过程中丢失等。另外还可能存在有些信息暂时不能迁移，需要做好云平台与现有平台衔接工作，或者迁移的信息在云平台上无法稳定运行需要回退等风险。在信息转移过程中审计人员需要获取信息是否被准确完整转移，未被转移的信息是否适当等证据，由于之前没有该类审计经验，这对审计人员的工作提出了挑战。

5、对供应商的审计

由于供应商提供的服务安全性对审计证据的真实完整有很大的影响，而云计算本身又存在一些安全问题，审计人员还需要对供应商提供的云计算服务进行审计。然而在目前实际工作中，云计算供应商都不允许审计人员对其提供的服务进行审计，因此审计人员只能相信供应商提供的信息，增加了审计的风险。

云计算是信息技术领域的新生事物，它的发展时间并不长，其理念及技术还一直在不断地完善，在运用过程中也存在一些安全问题，但是随着新技术的不断出现和原有技术的不断改进，其在包括审计部门在内的政府部门中推广已经成为不可避免的趋势。相信在不久的将来，政府审计将依托于云审计平台获得更广阔的发展和创新。

［1］邓川，杨文莺.基于云审计的会计师事务所机遇、挑战及对策［J］.财会通讯，2012，(10):83－84.

［2］邓见光，潘晓衡，袁华强.云存储及其分布式文件系统研究［J］.东莞理工学院学报，2012，(10):41－46.

［3］冯登国，张敏，张妍，徐震.云计算安全研究［J］.软件学报，2011，(1):71－83.

［4］高富平.“云计算”的法律问题及其对策［J］.法学杂志，2012，(6):7－11.

［5］贺瑶，王文庆，薛飞.基于云计算的海量数据挖掘研究［J］.计算机技术与发展，2013，(2):69－72.

［6］秦荣生.云计算的发展及其对会计、审计的挑战［J］.当代财经，2013，(1):111－117.

［7］王德政，申山宏，周宁宁.云计算环境下的数据存储［J］.计算机技术与发展，2011，(4):81－84.

［8］文峰.云计算与云审计——关于未来审计的概念与框架的一些思考［J］.中国注册会计师，2011，(2):98－103.

［9］Wang L，Tao J，Kunze M，et al.Scientific cloud computing:Early definition and experience［C］//Proceedings of the 10th IEEE Inter－national Conference on High Performance Computing and Communications，2008:825－830.