云会计下基于COBIT 标准的AIS 审计实施研究

程平 李宁

一、引言

云计算、移动互联网、通讯等技术的迅猛发展催生了会计信息化领域的新变革——“云会计”。云会计“按需购买，集中管理”的服务模式让企业不需保留会计信息化基础设施，只需接入一根网线，便可享用云端实时更新的会计云服务。企业所购买的会计云服务“无缝对接”成适合自身财务、业务管理需求的会计信息系统（Accounting Information System，以下简称AIS）。AIS审计是针对AIS实施的IT审计，旨在采用客观的标准对AIS的策划、开发、使用和维护等相关活动进行完整的、有效的检查和评估。企业在享用云会计高效率、低成本、易更新维护、易与外部信息系统协同、为大数据决策提供支撑等优势的同时，也越来越关注云会计下AIS的效率性、有效性，数据与信息资产的安全性、完整性等方面，这就对云会计下的AIS审计提出了更高层次的要求。

对信息系统查防错弊的IT审计已经得到业界与学界的广泛关注。安广实等人从固有风险、控制风险、检查风险三个层面分析IT审计风险的构成因素，提出了应对IT审计风险的措施与建议。崔应留等人认为需要首先对IT外包中产生的项目选择风险、外包合同风险、交付与验收风险等方面分析之后才能进行IT审计，便于IT外包风险管控。张辉等人通过对我国商业银行IT审计不足的分析，结合国际上通用准则提出了以业务为中心、以准则为导向的IT审计改进措施。刘杰在分析我国IT审计准则建设与制定缺失的基础上，制定出了一个IT审计准则框架。

综观上述文献研究，有关IT审计的大部分研究还是限于较为笼统的理论论述，较少与实践应用结合，且针对云会计的AIS审计探讨更为鲜见。由于云会计服务模式与传统财务软件相比有很大变化，其AIS审计也不能照搬传统财务软件的审计方式，需将新情况下企业目标与IT目标结合考虑，制定出适合云会计的AIS审计模式，这也正是国际上通用的IT审计标准COBIT（Control Objectives for Information and related Technology，信息及相关技术控制目标）中的核心理念。鉴于此，本文通过对比云会计与传统财务软件，归纳出云会计下AIS审计面临的挑战，然后结合COBIT标准构建了一个云会计下的AIS审计实施框架，该框架可以指导和规范AIS审计在云会计中的实施。

二、云会计下AIS审计面临的挑战

（一）审计环境复杂多变

云会计环境不同于传统的财务软件环境，其“按需定制，集中管理”的动态部署服务模式增强了审计环境的动态性和复杂性。在传统的财务软件环境下，审计人员可以较为准确地判断各个应用系统的边界，以及每个系统使用的操作系统和数据库的类型及版本，然而云会计下企业按需定制若干会计云服务，这些云端的服务自动“无缝对接”成企业的AIS，并且随企业需求的变更动态调整，这就使得系统间划分不明显，系统内部之间各模块勾稽关系更复杂。此外，相应的操作系统和数据库由云会计供应商构建于云端，其运行情况、版本控制等对用户不透明，更增加了审计环境的复杂性。

（二）AIS内部控制有效性动态变化

AIS内部控制制度的合理设计及有效实施是AIS审计中衡量被审计单位AIS运行的有效性、数据处理的合法性、正确性的主要标准。会计云服务可以在云端自动定期维护与更新升级，减轻了管理层对AIS更新与维护的关注程度，但增大了由于自动更新对AIS内部控制未能及时对更新做出相应调整而造成的设计失效风险，使得AIS内部控制的有效性呈现动态变化。针对技术快速更新、版本迅速迭代的云会计下的AIS进行审计，审计人员如果仍然按照传统的IT审计标准评价AIS一般控制和应用控制，就难以及时查防错弊、合理评价和指导AIS内部控制的设计与执行。

（三）审计证据来源多样化

当前AIS审计证据主要从用户处获取，然而云会计服务模式较传统AIS具有本质性区别，使其AIS审计证据来源多样化，这就需要从用户、云会计供应商、第三方评估机构等多个来源获取审计证据。云会计服务模式下，用户享用购买的会计云服务而不需购买和保留提供这些服务的基础设施、技术架构、维护人员等，因此关于服务的基础设施等一般控制层面的审计证据主要从云会计供应商处获取，在用户处获取应用控制层面的审计证据。此外，云会计环境复杂多变，IT审计人员必要时还需借助第三方评估机构对云会计下AIS可信性评价得出的专业评价结果。审计证据来源的多样化无疑增加了云会计下AIS审计工作的复杂性。

（四）审计测试方法有待改进

当前AIS审计测试方法仍然沿用财务审计的测试方法，如在控制测试中通过询问、观察、检查、穿行测试等方法测试控制设计的有效性，通过审计抽样配合检查测试控制执行的有效性。会计云服务可以根据用户需求“任意拼接”使得交易流程重构次数显著增加，不仅为审计人员了解交易流程、制定审计计划与策略增加了复杂度，还对当前的传统测试方法如仅依靠人工进行穿行测试的可行性和有效性提出了挑战。此外，仅仅依靠检查程序变更上线测试文件等方法难以获取动态的云会计下AIS有效运行的审计证据，还需要采用一套科学合理的方法对云会计下的AIS进行可信性评价。

三、云会计下基于COBIT标准的AIS审计框架

（一）云会计AIS审计标准的应用实施分析

COBIT是由国际信息系统审计与控制协会（Information System Audit and Control Association，简称ISACA）最早于1996年制定的基于控制、关注业务、面向过程、度量驱动的IT治理规范。经过数年的演进，该规范现已更新至5.0版本，它融合了ISO/IEC 38500、ISO/IEC 31000、ITIL、CMMI、PNBOK、COSO等国际标准，成为目前国际上公认的最为权威的IT管理与治理标准，同时也是国际通用的IT审计标准。

表1 云会计下AIS 一般控制应关注的风险点

相比国际上众多其他IT审计准则，COBIT的内容覆盖信息系统整个生命周期中的各个过程，可指导开展基于风险的过程导向的IT审计，涉及IT治理、内部控制、IT服务、信息安全等多方面。而且，COBIT能够与其他IT审计准则较好地融合，它在特定的领域显得更加完善。COBIT的国际认可度最高，已在全世界一百六十多个国家和地区的重要组织与企业中得到运用。

COBIT 5 融合了COBIT 4.1 中经典的流程参考模型，涵盖计划与组织、获取与实施、服务与支持、监控与评价四个管理流程域，并增加了评估、指导、监控的治理流程域，全面指导企业的IT治理。此外，从财务、顾客、内部、学习和成长4个维度设计IT平衡记分卡，每个维度下设计若干个企业目标和IT目标，构造出企业目标与IT目标的映射表，使得COBIT成为了沟通公司治理与IT治理的桥梁与纽带。COBIT 4.1 中提出的包含战略规划、技术解决方案、业绩衡量、成熟度模型、最佳案例、成功关键因素、审计指南等文档的经典框架体系已被企业及IT审计人员广泛沿用，然而COBIT相关流程和控制目标的通用性和普适性使得其在应用中缺乏针对性，需将其与特定应用领域的实际情况相结合之后改进，才能发挥出应有的效应。

基于以上理解和分析，本文借鉴COBIT为云会计下AIS审计的主要标准，考虑云会计的服务模式和技术特性，结合我国信息系统审计及其应用领域的《企业内部控制基本规范》及其配套指引、《中国注册会计师执业准则》、《内部审计具体准则第28号——信息系统审计》、《商业银行信息科技风险指引》等业务准则和相关行业规范，为云会计AIS审计的设计与实施提供理论指导与实践指引。

由于服务的基础设施处于云会计供应商的掌控之下，服务程序的设计等软件层面技术对用户来说往往是不透明的，仅仅依靠审计人员对会计云服务进行系统性了解以评估AIS 审计风险往往耗费大量时间与资源，并且IT 审计人员并不一定都熟悉云会计技术与理念，这样评估结果的可靠性也难以保证。因此，需要借助外部专家的工作——由专家或第三方评估机构对云会计的可信性进行评价。

（二）实施框架

借鉴COBIT 5 中的流程参考模型，结合云会计自身特点，本文构建了云会计下基于COBIT标准的AIS审计实施框架，如图1所示。

下面针对图1所示框架的每个流程中云会计下AIS审计应关注的要点进行详细描述。

1.制定审计目标

审计人员在接受业务委托后，在考虑企业目标、IT目标的基础上，根据业务的性质结合审计可以使用到的资源明确审计的目标、时间与范围，并拟定审计报告涉及内容的范围。不同性质的AIS审计，审计目标的侧重点不同，如财报审计中的AIS审计旨在发现重大账户余额、交易类型、披露事项或财务报表层次产生重大错报的风险而对AIS了解，更加关注AIS是否有效运行，处理与生成的财务业务数据是否真实完整，是否会影响财务报表。内部AIS审计更加关注AIS业务流程、信息资源与企业策略和目标的结合程度、实现程度。尽管不同性质的AIS审计目标不完全一致，评价AIS可信性水平是云会计下AIS审计的一个共同目标，以对会计信息的输入、处理和输出流程符合用户预期，以及AIS产生的会计信息所具有的相关性和可靠性等会计信息质量特征符合企业各级管理人员、审计人员、税务部门、投资者等会计信息使用者的预期获取合理保证。

2.风险评估

云端的服务自动更新维护、用户需求不断变化等因素都使得云会计环境始终处于动态变化之中，相比于传统AIS，审计人员面临的审计环境更为复杂，因此风险评估是云会计下AIS审计中至关重要的环节。

由于服务的基础设施处于云会计供应商的掌控之下，服务程序的设计等软件层面技术对用户来说往往是不透明的，仅仅依靠审计人员对会计云服务进行系统性了解以评估AIS审计风险往往耗费大量时间与资源，并且IT审计人员并不一定都熟悉云会计技术与理念，这样评估结果的可靠性也难以保证。因此，需要借助外部专家的工作——由专家或第三方评估机构对云会计的可信性进行评价。通过了解客户的信息技术环境，包括审计客户实施的信息技术政策和程序，云会计供应商的资质、技术水平、服务协议的范围与标准、云会计基础设施构建等情况，考察诸如AIS对相关业务的财务处理与管理控制中遵照相关会计法律法规、规章制度以及会计信息化领域中诸如《会计核算软件基本功能规范》等法规的符合程度，即合规性等可信属性，借助业界和学界相对认可的可信性评价方法得到科学合理的可信性评价结论。

此外，审计人员应当结合审计客户具体情况详细了解当前使用的会计云服务及其可持续性、AIS内部控制与AIS的适应程度、AIS内部控制是否及时调整等等。在了解企业战略和业务目标，结合业务流程分析并考虑可信性评价结果的基础上，得出可能存在的威胁及威胁发生的可能性，根据风险因素及关键风险指标构建各个风险事项的二维风险矩阵对风险进行定性和定量的评估。

3.制定审计计划

根据风险评估的结果，考虑企业的IT管理框架、人力资源配置、对会计云服务的业务需求以及当前正在使用的会计云服务组合等因素，制定出较为详细的审计计划，规划出审计日程表，包括审计时间、范围、所需的人力物力资源。审计范围的确定应当将本期所有使用过的会计云服务都纳入审计范围，包括当前正在使用、审计期间内曾使用但当前未使用的会计云服务。在人力资源的分配方面，结合风险评估对供应商、企业业务流程的了解，应向高风险领域投入较多具有胜任能力的审计人员，如了解业务流程逻辑、对云会计技术背景熟悉的人员。

4.设计审计程序

将云会计下AIS控制划分为三个层级，分别为AIS一般控制、AIS应用控制以及管理层AIS控制，分别实施特定审计程序。

（1）AIS一般控制

由于云会计服务模式的特殊性，基础设施和服务均由云会计供应商提供，用户仅需接入互联网就可使用购买的会计云服务，因此，云会计下AIS一般控制需要从云会计供应商和用户两个角度考量控制设计和执行的有效性，这样不仅使得AIS审计过程和结论更加可靠，还能在很大程度上规范云会计供应商的行为，有利于云会计产业环境健康发展，从而使得用户最终受益。云会计下AIS一般控制关注的风险点主要有服务更新、基础设施变更（包括操作系统、服务器、数据库、网络设备等）、访问安全、数据安全、网络安全等5个方面，其中SaaS（软件即服务）涉及服务更新和访问安全2个方面，PaaS（平台即服务）和IaaS（基础设施即服务）涉及基础设施变更、访问安全、数据安全、网络安全4个方面，如表1所示。

区分云会计供应商与用户来考虑AIS一般控制给AIS审计增加了工作量与复杂度，但是，由于会计云服务的大规模性与一定程度上的公用性，使得对相同云会计供应商的一般控制测试流程与内容重复度极高，也相应的降低了审计负荷。

（2）AIS应用控制

相比一般控制能依据较为统一的标准规范进行AIS审计，应用控制则难以参照一致的规范，需根据审计客户的业务特点、管理流程设计特定的审计程序。会计云服务的普适性使得AIS审计更应关注AIS应用控制，尤其是业务流程相关的控制。COBIT的关键理念是将IT治理目标与企业目标相结合，在云会计下，这种结合更应体现为会计云服务的应用控制流程与企业业务流程控制、AIS内部控制的契合程度。企业选择适合自身财务业务管理需要的会计云服务，并将自身业务流程、AIS内部控制加以调整，以便与AIS业务流程相适应，促使云会计对企业的效用最大化。在遵循COBIT标准进行AIS审计时，先从企业的控制目标入手，分析实现相关控制目标的业务流程合理性，找出业务流程中的关键风险点，分析当前使用的会计云服务针对该关键风险点的AIS应用控制，设计出控制点检查表，依据控制点所在的业务流程制定穿行测试路径。

会计云服务选择的多样性使得业务流程跟随企业的服务需求变化而不断重构，同时导致应用控制测试程序的设计复杂度提高。在企业交易业务流程极其复杂的情况下，审计人员可以借助专业的自动化测试软件结合大数据分析进行大量的穿行测试，然而通常情况下，最重要的风险只能通过熟悉行业、企业业务的专业人员手动分析发现，如业务交易撤销记录漏洞等逻辑错误。因此，要求审计人员不仅需具备IT、财务、企业管理等方面的知识，还需具备较强的业务流程、业务逻辑分析能力。如果审计人员难以胜任，就应当在一定程度上利用外部专家的工作，例如利用外部专家或第三方评价机构对云会计下AIS可信性评价结论，或针对某个特定目标如数据控制（输入输出控制）、接口控制等评估AIS的可信性程度。

（3）管理层AIS控制

管理层AIS控制通常涉及日常AIS管理、IT战略规划层面。在云会计下，AIS审计需关注IT战略规划与设计是否与企业目标相契合，会计云服务需求制定与变更是否经由IT管理层会同财务部门、业务部门共同分析制定，云会计供应商的选择与管理，是否结合企业与供应商双方因素进行服务可持续性管理，并签订服务水平协议管理等。

5.执行审计程序，获取审计证据

根据设计的审计程序执行现场工作，利用与管理层及相关人员访谈、观察、检查记录与文件、穿行测试和计算机辅助审计技术等测试方法执行审计程序，结合专家或第三方评估机构给出的可信性评价结论及辅助获取的可信性证据，从客户和供应商处获取有关一般控制、应用控制、管理层AIS控制等层面充分适当的审计证据，并将发现的控制缺陷与相关人员沟通，记录测试及沟通的结果，并及时进行缺陷的复核与评估。

6.形成审计意见，出具管理层建议

汇总执行审计程序得到的审计结果，结合审计目标、企业IT战略、可信性与风险度量结果形成审计意见，并向审计客户出具审计中发现缺陷形成的管理层建议，与管理层充分沟通，取得其对管理层建议的答复及计划改进措施。于COBIT的AIS审计实施框架，并较为详细的给出了云会计下AIS审计每个流程应当关注要点，以规范、指导云会计下AIS审计的合理有效实施，实现企业管理层与第三方对云会计的及时监管，尽可能规避云会计带来的IT风险，促使云会计发挥最大优势协助企业经营管理目标的实现。

四、结束语

云会计下AIS审计的设计与实施对云会计的应用推广与发展具有重要意义。本文在分析云会计下AIS审计面临的挑战之后，构建出云会计下基

1.程平,何雪峰.“云会计”在中小企业会计信息化中的应用.重庆理工大学学报(社会科学).2011（1）

2.孙立辉.会计信息系统的审计策略.中国注册会计师.2009（7）

3.程平,李宁.云会计产品可信性评价指标体系与等级模型.会计之友.2014（18）

4.安广实,陶芸辉.IT 审计风险成因及其防范对策思考.中国乡镇企业会计.2012（8）

5.崔应留,冯国富,庄玉良.基于风险导向的IT 外包审计研究.财政监督.2014（2）

6.张辉,冀慎华.商业银行IT 审计的国际经验及借鉴.银行家.2010（8）

7.刘杰.我国信息系统审计准则构建研究.财会月刊.2014（17）

8.ISACA.(COBIT 5), http://www.isaca.org.

9.孙立辉.会计信息系统审计中内部控制评价的步骤.中国注册会计师.2010（11）

10.程平,李宁.云会计环境下基于ANP 的AIS 可信性评估.计算机工程.2014（11）

11.张文秀,齐兴利,黄溶冰.基于COBIT 的信息系统审计框架研究.南京审计学院学报.2010（4）

12.中国注册会计师协会拟定中华人民共和国财政部发布.中国注册会计师执业准则(2010).经济科学出版社.2010

13.程平,温艳好.基于云会计的AIS 可信性层次结构模型.重庆理工大学学报(社会科学).2014（2）

14.王会金.中观信息系统审计风险控制体系研究——以COBIT 框架与数据挖掘技术相结合为视角.审计与经济研究.2012（1）

15.周明.IT 审计与业务审计的融合.审计月刊.2010（12）

16.陈伟,牛艳芳,Smieliauskas Wally.国内外IT 审计教育比较及其对我国的启示.中国注册会计师.2013（11）

17.程平,李宁.云会计环境下AIS 内部控制问题探析.中国注册会计师.2015（4）