程平 李寧

一、引言

云計(jì)算、移動互聯(lián)網(wǎng)、通訊等技術(shù)的迅猛發(fā)展催生了會計(jì)信息化領(lǐng)域的新變革——“云會計(jì)”。云會計(jì)“按需購買，集中管理”的服務(wù)模式讓企業(yè)不需保留會計(jì)信息化基礎(chǔ)設(shè)施，只需接入一根網(wǎng)線，便可享用云端實(shí)時更新的會計(jì)云服務(wù)。企業(yè)所購買的會計(jì)云服務(wù)“無縫對接”成適合自身財(cái)務(wù)、業(yè)務(wù)管理需求的會計(jì)信息系統(tǒng)（Accounting Information System，以下簡稱AIS）。AIS審計(jì)是針對AIS實(shí)施的IT審計(jì)，旨在采用客觀的標(biāo)準(zhǔn)對AIS的策劃、開發(fā)、使用和維護(hù)等相關(guān)活動進(jìn)行完整的、有效的檢查和評估。企業(yè)在享用云會計(jì)高效率、低成本、易更新維護(hù)、易與外部信息系統(tǒng)協(xié)同、為大數(shù)據(jù)決策提供支撐等優(yōu)勢的同時，也越來越關(guān)注云會計(jì)下AIS的效率性、有效性，數(shù)據(jù)與信息資產(chǎn)的安全性、完整性等方面，這就對云會計(jì)下的AIS審計(jì)提出了更高層次的要求。

對信息系統(tǒng)查防錯弊的IT審計(jì)已經(jīng)得到業(yè)界與學(xué)界的廣泛關(guān)注。安廣實(shí)等人從固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、檢查風(fēng)險(xiǎn)三個層面分析IT審計(jì)風(fēng)險(xiǎn)的構(gòu)成因素，提出了應(yīng)對IT審計(jì)風(fēng)險(xiǎn)的措施與建議。崔應(yīng)留等人認(rèn)為需要首先對IT外包中產(chǎn)生的項(xiàng)目選擇風(fēng)險(xiǎn)、外包合同風(fēng)險(xiǎn)、交付與驗(yàn)收風(fēng)險(xiǎn)等方面分析之后才能進(jìn)行IT審計(jì)，便于IT外包風(fēng)險(xiǎn)管控。張輝等人通過對我國商業(yè)銀行IT審計(jì)不足的分析，結(jié)合國際上通用準(zhǔn)則提出了以業(yè)務(wù)為中心、以準(zhǔn)則為導(dǎo)向的IT審計(jì)改進(jìn)措施。劉杰在分析我國IT審計(jì)準(zhǔn)則建設(shè)與制定缺失的基礎(chǔ)上，制定出了一個IT審計(jì)準(zhǔn)則框架。

綜觀上述文獻(xiàn)研究，有關(guān)IT審計(jì)的大部分研究還是限于較為籠統(tǒng)的理論論述，較少與實(shí)踐應(yīng)用結(jié)合，且針對云會計(jì)的AIS審計(jì)探討更為鮮見。由于云會計(jì)服務(wù)模式與傳統(tǒng)財(cái)務(wù)軟件相比有很大變化，其AIS審計(jì)也不能照搬傳統(tǒng)財(cái)務(wù)軟件的審計(jì)方式，需將新情況下企業(yè)目標(biāo)與IT目標(biāo)結(jié)合考慮，制定出適合云會計(jì)的AIS審計(jì)模式，這也正是國際上通用的IT審計(jì)標(biāo)準(zhǔn)COBIT（Control Objectives for Information and related Technology，信息及相關(guān)技術(shù)控制目標(biāo)）中的核心理念。鑒于此，本文通過對比云會計(jì)與傳統(tǒng)財(cái)務(wù)軟件，歸納出云會計(jì)下AIS審計(jì)面臨的挑戰(zhàn)，然后結(jié)合COBIT標(biāo)準(zhǔn)構(gòu)建了一個云會計(jì)下的AIS審計(jì)實(shí)施框架，該框架可以指導(dǎo)和規(guī)范AIS審計(jì)在云會計(jì)中的實(shí)施。

二、云會計(jì)下AIS審計(jì)面臨的挑戰(zhàn)

（一）審計(jì)環(huán)境復(fù)雜多變

云會計(jì)環(huán)境不同于傳統(tǒng)的財(cái)務(wù)軟件環(huán)境，其“按需定制，集中管理”的動態(tài)部署服務(wù)模式增強(qiáng)了審計(jì)環(huán)境的動態(tài)性和復(fù)雜性。在傳統(tǒng)的財(cái)務(wù)軟件環(huán)境下，審計(jì)人員可以較為準(zhǔn)確地判斷各個應(yīng)用系統(tǒng)的邊界，以及每個系統(tǒng)使用的操作系統(tǒng)和數(shù)據(jù)庫的類型及版本，然而云會計(jì)下企業(yè)按需定制若干會計(jì)云服務(wù)，這些云端的服務(wù)自動“無縫對接”成企業(yè)的AIS，并且隨企業(yè)需求的變更動態(tài)調(diào)整，這就使得系統(tǒng)間劃分不明顯，系統(tǒng)內(nèi)部之間各模塊勾稽關(guān)系更復(fù)雜。此外，相應(yīng)的操作系統(tǒng)和數(shù)據(jù)庫由云會計(jì)供應(yīng)商構(gòu)建于云端，其運(yùn)行情況、版本控制等對用戶不透明，更增加了審計(jì)環(huán)境的復(fù)雜性。

（二）AIS內(nèi)部控制有效性動態(tài)變化

AIS內(nèi)部控制制度的合理設(shè)計(jì)及有效實(shí)施是AIS審計(jì)中衡量被審計(jì)單位AIS運(yùn)行的有效性、數(shù)據(jù)處理的合法性、正確性的主要標(biāo)準(zhǔn)。會計(jì)云服務(wù)可以在云端自動定期維護(hù)與更新升級，減輕了管理層對AIS更新與維護(hù)的關(guān)注程度，但增大了由于自動更新對AIS內(nèi)部控制未能及時對更新做出相應(yīng)調(diào)整而造成的設(shè)計(jì)失效風(fēng)險(xiǎn)，使得AIS內(nèi)部控制的有效性呈現(xiàn)動態(tài)變化。針對技術(shù)快速更新、版本迅速迭代的云會計(jì)下的AIS進(jìn)行審計(jì)，審計(jì)人員如果仍然按照傳統(tǒng)的IT審計(jì)標(biāo)準(zhǔn)評價AIS一般控制和應(yīng)用控制，就難以及時查防錯弊、合理評價和指導(dǎo)AIS內(nèi)部控制的設(shè)計(jì)與執(zhí)行。

（三）審計(jì)證據(jù)來源多樣化

當(dāng)前AIS審計(jì)證據(jù)主要從用戶處獲取，然而云會計(jì)服務(wù)模式較傳統(tǒng)AIS具有本質(zhì)性區(qū)別，使其AIS審計(jì)證據(jù)來源多樣化，這就需要從用戶、云會計(jì)供應(yīng)商、第三方評估機(jī)構(gòu)等多個來源獲取審計(jì)證據(jù)。云會計(jì)服務(wù)模式下，用戶享用購買的會計(jì)云服務(wù)而不需購買和保留提供這些服務(wù)的基礎(chǔ)設(shè)施、技術(shù)架構(gòu)、維護(hù)人員等，因此關(guān)于服務(wù)的基礎(chǔ)設(shè)施等一般控制層面的審計(jì)證據(jù)主要從云會計(jì)供應(yīng)商處獲取，在用戶處獲取應(yīng)用控制層面的審計(jì)證據(jù)。此外，云會計(jì)環(huán)境復(fù)雜多變，IT審計(jì)人員必要時還需借助第三方評估機(jī)構(gòu)對云會計(jì)下AIS可信性評價得出的專業(yè)評價結(jié)果。審計(jì)證據(jù)來源的多樣化無疑增加了云會計(jì)下AIS審計(jì)工作的復(fù)雜性。

（四）審計(jì)測試方法有待改進(jìn)

當(dāng)前AIS審計(jì)測試方法仍然沿用財(cái)務(wù)審計(jì)的測試方法，如在控制測試中通過詢問、觀察、檢查、穿行測試等方法測試控制設(shè)計(jì)的有效性，通過審計(jì)抽樣配合檢查測試控制執(zhí)行的有效性。會計(jì)云服務(wù)可以根據(jù)用戶需求“任意拼接”使得交易流程重構(gòu)次數(shù)顯著增加，不僅為審計(jì)人員了解交易流程、制定審計(jì)計(jì)劃與策略增加了復(fù)雜度，還對當(dāng)前的傳統(tǒng)測試方法如僅依靠人工進(jìn)行穿行測試的可行性和有效性提出了挑戰(zhàn)。此外，僅僅依靠檢查程序變更上線測試文件等方法難以獲取動態(tài)的云會計(jì)下AIS有效運(yùn)行的審計(jì)證據(jù)，還需要采用一套科學(xué)合理的方法對云會計(jì)下的AIS進(jìn)行可信性評價。

三、云會計(jì)下基于COBIT標(biāo)準(zhǔn)的AIS審計(jì)框架

（一）云會計(jì)AIS審計(jì)標(biāo)準(zhǔn)的應(yīng)用實(shí)施分析

COBIT是由國際信息系統(tǒng)審計(jì)與控制協(xié)會（Information System Audit and Control Association，簡稱ISACA）最早于1996年制定的基于控制、關(guān)注業(yè)務(wù)、面向過程、度量驅(qū)動的IT治理規(guī)范。經(jīng)過數(shù)年的演進(jìn)，該規(guī)范現(xiàn)已更新至5.0版本，它融合了ISO/IEC 38500、ISO/IEC 31000、ITIL、CMMI、PNBOK、COSO等國際標(biāo)準(zhǔn)，成為目前國際上公認(rèn)的最為權(quán)威的IT管理與治理標(biāo)準(zhǔn)，同時也是國際通用的IT審計(jì)標(biāo)準(zhǔn)。

表1 云會計(jì)下AIS 一般控制應(yīng)關(guān)注的風(fēng)險(xiǎn)點(diǎn)

相比國際上眾多其他IT審計(jì)準(zhǔn)則，COBIT的內(nèi)容覆蓋信息系統(tǒng)整個生命周期中的各個過程，可指導(dǎo)開展基于風(fēng)險(xiǎn)的過程導(dǎo)向的IT審計(jì)，涉及IT治理、內(nèi)部控制、IT服務(wù)、信息安全等多方面。而且，COBIT能夠與其他IT審計(jì)準(zhǔn)則較好地融合，它在特定的領(lǐng)域顯得更加完善。COBIT的國際認(rèn)可度最高，已在全世界一百六十多個國家和地區(qū)的重要組織與企業(yè)中得到運(yùn)用。

COBIT 5 融合了COBIT 4.1 中經(jīng)典的流程參考模型，涵蓋計(jì)劃與組織、獲取與實(shí)施、服務(wù)與支持、監(jiān)控與評價四個管理流程域，并增加了評估、指導(dǎo)、監(jiān)控的治理流程域，全面指導(dǎo)企業(yè)的IT治理。此外，從財(cái)務(wù)、顧客、內(nèi)部、學(xué)習(xí)和成長4個維度設(shè)計(jì)IT平衡記分卡，每個維度下設(shè)計(jì)若干個企業(yè)目標(biāo)和IT目標(biāo)，構(gòu)造出企業(yè)目標(biāo)與IT目標(biāo)的映射表，使得COBIT成為了溝通公司治理與IT治理的橋梁與紐帶。COBIT 4.1 中提出的包含戰(zhàn)略規(guī)劃、技術(shù)解決方案、業(yè)績衡量、成熟度模型、最佳案例、成功關(guān)鍵因素、審計(jì)指南等文檔的經(jīng)典框架體系已被企業(yè)及IT審計(jì)人員廣泛沿用，然而COBIT相關(guān)流程和控制目標(biāo)的通用性和普適性使得其在應(yīng)用中缺乏針對性，需將其與特定應(yīng)用領(lǐng)域的實(shí)際情況相結(jié)合之后改進(jìn)，才能發(fā)揮出應(yīng)有的效應(yīng)。

基于以上理解和分析，本文借鑒COBIT為云會計(jì)下AIS審計(jì)的主要標(biāo)準(zhǔn)，考慮云會計(jì)的服務(wù)模式和技術(shù)特性，結(jié)合我國信息系統(tǒng)審計(jì)及其應(yīng)用領(lǐng)域的《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引、《中國注冊會計(jì)師執(zhí)業(yè)準(zhǔn)則》、《內(nèi)部審計(jì)具體準(zhǔn)則第28號——信息系統(tǒng)審計(jì)》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)指引》等業(yè)務(wù)準(zhǔn)則和相關(guān)行業(yè)規(guī)范，為云會計(jì)AIS審計(jì)的設(shè)計(jì)與實(shí)施提供理論指導(dǎo)與實(shí)踐指引。

由于服務(wù)的基礎(chǔ)設(shè)施處于云會計(jì)供應(yīng)商的掌控之下，服務(wù)程序的設(shè)計(jì)等軟件層面技術(shù)對用戶來說往往是不透明的，僅僅依靠審計(jì)人員對會計(jì)云服務(wù)進(jìn)行系統(tǒng)性了解以評估AIS 審計(jì)風(fēng)險(xiǎn)往往耗費(fèi)大量時間與資源，并且IT 審計(jì)人員并不一定都熟悉云會計(jì)技術(shù)與理念，這樣評估結(jié)果的可靠性也難以保證。因此，需要借助外部專家的工作——由專家或第三方評估機(jī)構(gòu)對云會計(jì)的可信性進(jìn)行評價。

（二）實(shí)施框架

借鑒COBIT 5 中的流程參考模型，結(jié)合云會計(jì)自身特點(diǎn)，本文構(gòu)建了云會計(jì)下基于COBIT標(biāo)準(zhǔn)的AIS審計(jì)實(shí)施框架，如圖1所示。

下面針對圖1所示框架的每個流程中云會計(jì)下AIS審計(jì)應(yīng)關(guān)注的要點(diǎn)進(jìn)行詳細(xì)描述。

1.制定審計(jì)目標(biāo)

審計(jì)人員在接受業(yè)務(wù)委托后，在考慮企業(yè)目標(biāo)、IT目標(biāo)的基礎(chǔ)上，根據(jù)業(yè)務(wù)的性質(zhì)結(jié)合審計(jì)可以使用到的資源明確審計(jì)的目標(biāo)、時間與范圍，并擬定審計(jì)報(bào)告涉及內(nèi)容的范圍。不同性質(zhì)的AIS審計(jì)，審計(jì)目標(biāo)的側(cè)重點(diǎn)不同，如財(cái)報(bào)審計(jì)中的AIS審計(jì)旨在發(fā)現(xiàn)重大賬戶余額、交易類型、披露事項(xiàng)或財(cái)務(wù)報(bào)表層次產(chǎn)生重大錯報(bào)的風(fēng)險(xiǎn)而對AIS了解，更加關(guān)注AIS是否有效運(yùn)行，處理與生成的財(cái)務(wù)業(yè)務(wù)數(shù)據(jù)是否真實(shí)完整，是否會影響財(cái)務(wù)報(bào)表。內(nèi)部AIS審計(jì)更加關(guān)注AIS業(yè)務(wù)流程、信息資源與企業(yè)策略和目標(biāo)的結(jié)合程度、實(shí)現(xiàn)程度。盡管不同性質(zhì)的AIS審計(jì)目標(biāo)不完全一致，評價AIS可信性水平是云會計(jì)下AIS審計(jì)的一個共同目標(biāo)，以對會計(jì)信息的輸入、處理和輸出流程符合用戶預(yù)期，以及AIS產(chǎn)生的會計(jì)信息所具有的相關(guān)性和可靠性等會計(jì)信息質(zhì)量特征符合企業(yè)各級管理人員、審計(jì)人員、稅務(wù)部門、投資者等會計(jì)信息使用者的預(yù)期獲取合理保證。

2.風(fēng)險(xiǎn)評估

云端的服務(wù)自動更新維護(hù)、用戶需求不斷變化等因素都使得云會計(jì)環(huán)境始終處于動態(tài)變化之中，相比于傳統(tǒng)AIS，審計(jì)人員面臨的審計(jì)環(huán)境更為復(fù)雜，因此風(fēng)險(xiǎn)評估是云會計(jì)下AIS審計(jì)中至關(guān)重要的環(huán)節(jié)。

由于服務(wù)的基礎(chǔ)設(shè)施處于云會計(jì)供應(yīng)商的掌控之下，服務(wù)程序的設(shè)計(jì)等軟件層面技術(shù)對用戶來說往往是不透明的，僅僅依靠審計(jì)人員對會計(jì)云服務(wù)進(jìn)行系統(tǒng)性了解以評估AIS審計(jì)風(fēng)險(xiǎn)往往耗費(fèi)大量時間與資源，并且IT審計(jì)人員并不一定都熟悉云會計(jì)技術(shù)與理念，這樣評估結(jié)果的可靠性也難以保證。因此，需要借助外部專家的工作——由專家或第三方評估機(jī)構(gòu)對云會計(jì)的可信性進(jìn)行評價。通過了解客戶的信息技術(shù)環(huán)境，包括審計(jì)客戶實(shí)施的信息技術(shù)政策和程序，云會計(jì)供應(yīng)商的資質(zhì)、技術(shù)水平、服務(wù)協(xié)議的范圍與標(biāo)準(zhǔn)、云會計(jì)基礎(chǔ)設(shè)施構(gòu)建等情況，考察諸如AIS對相關(guān)業(yè)務(wù)的財(cái)務(wù)處理與管理控制中遵照相關(guān)會計(jì)法律法規(guī)、規(guī)章制度以及會計(jì)信息化領(lǐng)域中諸如《會計(jì)核算軟件基本功能規(guī)范》等法規(guī)的符合程度，即合規(guī)性等可信屬性，借助業(yè)界和學(xué)界相對認(rèn)可的可信性評價方法得到科學(xué)合理的可信性評價結(jié)論。

此外，審計(jì)人員應(yīng)當(dāng)結(jié)合審計(jì)客戶具體情況詳細(xì)了解當(dāng)前使用的會計(jì)云服務(wù)及其可持續(xù)性、AIS內(nèi)部控制與AIS的適應(yīng)程度、AIS內(nèi)部控制是否及時調(diào)整等等。在了解企業(yè)戰(zhàn)略和業(yè)務(wù)目標(biāo)，結(jié)合業(yè)務(wù)流程分析并考慮可信性評價結(jié)果的基礎(chǔ)上，得出可能存在的威脅及威脅發(fā)生的可能性，根據(jù)風(fēng)險(xiǎn)因素及關(guān)鍵風(fēng)險(xiǎn)指標(biāo)構(gòu)建各個風(fēng)險(xiǎn)事項(xiàng)的二維風(fēng)險(xiǎn)矩陣對風(fēng)險(xiǎn)進(jìn)行定性和定量的評估。

3.制定審計(jì)計(jì)劃

根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，考慮企業(yè)的IT管理框架、人力資源配置、對會計(jì)云服務(wù)的業(yè)務(wù)需求以及當(dāng)前正在使用的會計(jì)云服務(wù)組合等因素，制定出較為詳細(xì)的審計(jì)計(jì)劃，規(guī)劃出審計(jì)日程表，包括審計(jì)時間、范圍、所需的人力物力資源。審計(jì)范圍的確定應(yīng)當(dāng)將本期所有使用過的會計(jì)云服務(wù)都納入審計(jì)范圍，包括當(dāng)前正在使用、審計(jì)期間內(nèi)曾使用但當(dāng)前未使用的會計(jì)云服務(wù)。在人力資源的分配方面，結(jié)合風(fēng)險(xiǎn)評估對供應(yīng)商、企業(yè)業(yè)務(wù)流程的了解，應(yīng)向高風(fēng)險(xiǎn)領(lǐng)域投入較多具有勝任能力的審計(jì)人員，如了解業(yè)務(wù)流程邏輯、對云會計(jì)技術(shù)背景熟悉的人員。

4.設(shè)計(jì)審計(jì)程序

將云會計(jì)下AIS控制劃分為三個層級，分別為AIS一般控制、AIS應(yīng)用控制以及管理層AIS控制，分別實(shí)施特定審計(jì)程序。

（1）AIS一般控制

由于云會計(jì)服務(wù)模式的特殊性，基礎(chǔ)設(shè)施和服務(wù)均由云會計(jì)供應(yīng)商提供，用戶僅需接入互聯(lián)網(wǎng)就可使用購買的會計(jì)云服務(wù)，因此，云會計(jì)下AIS一般控制需要從云會計(jì)供應(yīng)商和用戶兩個角度考量控制設(shè)計(jì)和執(zhí)行的有效性，這樣不僅使得AIS審計(jì)過程和結(jié)論更加可靠，還能在很大程度上規(guī)范云會計(jì)供應(yīng)商的行為，有利于云會計(jì)產(chǎn)業(yè)環(huán)境健康發(fā)展，從而使得用戶最終受益。云會計(jì)下AIS一般控制關(guān)注的風(fēng)險(xiǎn)點(diǎn)主要有服務(wù)更新、基礎(chǔ)設(shè)施變更（包括操作系統(tǒng)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等）、訪問安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等5個方面，其中SaaS（軟件即服務(wù)）涉及服務(wù)更新和訪問安全2個方面，PaaS（平臺即服務(wù)）和IaaS（基礎(chǔ)設(shè)施即服務(wù)）涉及基礎(chǔ)設(shè)施變更、訪問安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全4個方面，如表1所示。

區(qū)分云會計(jì)供應(yīng)商與用戶來考慮AIS一般控制給AIS審計(jì)增加了工作量與復(fù)雜度，但是，由于會計(jì)云服務(wù)的大規(guī)模性與一定程度上的公用性，使得對相同云會計(jì)供應(yīng)商的一般控制測試流程與內(nèi)容重復(fù)度極高，也相應(yīng)的降低了審計(jì)負(fù)荷。

（2）AIS應(yīng)用控制

相比一般控制能依據(jù)較為統(tǒng)一的標(biāo)準(zhǔn)規(guī)范進(jìn)行AIS審計(jì)，應(yīng)用控制則難以參照一致的規(guī)范，需根據(jù)審計(jì)客戶的業(yè)務(wù)特點(diǎn)、管理流程設(shè)計(jì)特定的審計(jì)程序。會計(jì)云服務(wù)的普適性使得AIS審計(jì)更應(yīng)關(guān)注AIS應(yīng)用控制，尤其是業(yè)務(wù)流程相關(guān)的控制。COBIT的關(guān)鍵理念是將IT治理目標(biāo)與企業(yè)目標(biāo)相結(jié)合，在云會計(jì)下，這種結(jié)合更應(yīng)體現(xiàn)為會計(jì)云服務(wù)的應(yīng)用控制流程與企業(yè)業(yè)務(wù)流程控制、AIS內(nèi)部控制的契合程度。企業(yè)選擇適合自身財(cái)務(wù)業(yè)務(wù)管理需要的會計(jì)云服務(wù)，并將自身業(yè)務(wù)流程、AIS內(nèi)部控制加以調(diào)整，以便與AIS業(yè)務(wù)流程相適應(yīng)，促使云會計(jì)對企業(yè)的效用最大化。在遵循COBIT標(biāo)準(zhǔn)進(jìn)行AIS審計(jì)時，先從企業(yè)的控制目標(biāo)入手，分析實(shí)現(xiàn)相關(guān)控制目標(biāo)的業(yè)務(wù)流程合理性，找出業(yè)務(wù)流程中的關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，分析當(dāng)前使用的會計(jì)云服務(wù)針對該關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的AIS應(yīng)用控制，設(shè)計(jì)出控制點(diǎn)檢查表，依據(jù)控制點(diǎn)所在的業(yè)務(wù)流程制定穿行測試路徑。

會計(jì)云服務(wù)選擇的多樣性使得業(yè)務(wù)流程跟隨企業(yè)的服務(wù)需求變化而不斷重構(gòu)，同時導(dǎo)致應(yīng)用控制測試程序的設(shè)計(jì)復(fù)雜度提高。在企業(yè)交易業(yè)務(wù)流程極其復(fù)雜的情況下，審計(jì)人員可以借助專業(yè)的自動化測試軟件結(jié)合大數(shù)據(jù)分析進(jìn)行大量的穿行測試，然而通常情況下，最重要的風(fēng)險(xiǎn)只能通過熟悉行業(yè)、企業(yè)業(yè)務(wù)的專業(yè)人員手動分析發(fā)現(xiàn)，如業(yè)務(wù)交易撤銷記錄漏洞等邏輯錯誤。因此，要求審計(jì)人員不僅需具備IT、財(cái)務(wù)、企業(yè)管理等方面的知識，還需具備較強(qiáng)的業(yè)務(wù)流程、業(yè)務(wù)邏輯分析能力。如果審計(jì)人員難以勝任，就應(yīng)當(dāng)在一定程度上利用外部專家的工作，例如利用外部專家或第三方評價機(jī)構(gòu)對云會計(jì)下AIS可信性評價結(jié)論，或針對某個特定目標(biāo)如數(shù)據(jù)控制（輸入輸出控制）、接口控制等評估AIS的可信性程度。

（3）管理層AIS控制

管理層AIS控制通常涉及日常AIS管理、IT戰(zhàn)略規(guī)劃層面。在云會計(jì)下，AIS審計(jì)需關(guān)注IT戰(zhàn)略規(guī)劃與設(shè)計(jì)是否與企業(yè)目標(biāo)相契合，會計(jì)云服務(wù)需求制定與變更是否經(jīng)由IT管理層會同財(cái)務(wù)部門、業(yè)務(wù)部門共同分析制定，云會計(jì)供應(yīng)商的選擇與管理，是否結(jié)合企業(yè)與供應(yīng)商雙方因素進(jìn)行服務(wù)可持續(xù)性管理，并簽訂服務(wù)水平協(xié)議管理等。

5.執(zhí)行審計(jì)程序，獲取審計(jì)證據(jù)

根據(jù)設(shè)計(jì)的審計(jì)程序執(zhí)行現(xiàn)場工作，利用與管理層及相關(guān)人員訪談、觀察、檢查記錄與文件、穿行測試和計(jì)算機(jī)輔助審計(jì)技術(shù)等測試方法執(zhí)行審計(jì)程序，結(jié)合專家或第三方評估機(jī)構(gòu)給出的可信性評價結(jié)論及輔助獲取的可信性證據(jù)，從客戶和供應(yīng)商處獲取有關(guān)一般控制、應(yīng)用控制、管理層AIS控制等層面充分適當(dāng)?shù)膶徲?jì)證據(jù)，并將發(fā)現(xiàn)的控制缺陷與相關(guān)人員溝通，記錄測試及溝通的結(jié)果，并及時進(jìn)行缺陷的復(fù)核與評估。

6.形成審計(jì)意見，出具管理層建議

匯總執(zhí)行審計(jì)程序得到的審計(jì)結(jié)果，結(jié)合審計(jì)目標(biāo)、企業(yè)IT戰(zhàn)略、可信性與風(fēng)險(xiǎn)度量結(jié)果形成審計(jì)意見，并向?qū)徲?jì)客戶出具審計(jì)中發(fā)現(xiàn)缺陷形成的管理層建議，與管理層充分溝通，取得其對管理層建議的答復(fù)及計(jì)劃改進(jìn)措施。于COBIT的AIS審計(jì)實(shí)施框架，并較為詳細(xì)的給出了云會計(jì)下AIS審計(jì)每個流程應(yīng)當(dāng)關(guān)注要點(diǎn)，以規(guī)范、指導(dǎo)云會計(jì)下AIS審計(jì)的合理有效實(shí)施，實(shí)現(xiàn)企業(yè)管理層與第三方對云會計(jì)的及時監(jiān)管，盡可能規(guī)避云會計(jì)帶來的IT風(fēng)險(xiǎn)，促使云會計(jì)發(fā)揮最大優(yōu)勢協(xié)助企業(yè)經(jīng)營管理目標(biāo)的實(shí)現(xiàn)。

四、結(jié)束語

云會計(jì)下AIS審計(jì)的設(shè)計(jì)與實(shí)施對云會計(jì)的應(yīng)用推廣與發(fā)展具有重要意義。本文在分析云會計(jì)下AIS審計(jì)面臨的挑戰(zhàn)之后，構(gòu)建出云會計(jì)下基

1.程平,何雪峰.“云會計(jì)”在中小企業(yè)會計(jì)信息化中的應(yīng)用.重慶理工大學(xué)學(xué)報(bào)(社會科學(xué)).2011（1）

2.孫立輝.會計(jì)信息系統(tǒng)的審計(jì)策略.中國注冊會計(jì)師.2009（7）

3.程平,李寧.云會計(jì)產(chǎn)品可信性評價指標(biāo)體系與等級模型.會計(jì)之友.2014（18）

4.安廣實(shí),陶蕓輝.IT 審計(jì)風(fēng)險(xiǎn)成因及其防范對策思考.中國鄉(xiāng)鎮(zhèn)企業(yè)會計(jì).2012（8）

5.崔應(yīng)留,馮國富,莊玉良.基于風(fēng)險(xiǎn)導(dǎo)向的IT 外包審計(jì)研究.財(cái)政監(jiān)督.2014（2）

6.張輝,冀慎華.商業(yè)銀行IT 審計(jì)的國際經(jīng)驗(yàn)及借鑒.銀行家.2010（8）

7.劉杰.我國信息系統(tǒng)審計(jì)準(zhǔn)則構(gòu)建研究.財(cái)會月刊.2014（17）

8.ISACA.(COBIT 5), http://www.isaca.org.

9.孫立輝.會計(jì)信息系統(tǒng)審計(jì)中內(nèi)部控制評價的步驟.中國注冊會計(jì)師.2010（11）

10.程平,李寧.云會計(jì)環(huán)境下基于ANP 的AIS 可信性評估.計(jì)算機(jī)工程.2014（11）

11.張文秀,齊興利,黃溶冰.基于COBIT 的信息系統(tǒng)審計(jì)框架研究.南京審計(jì)學(xué)院學(xué)報(bào).2010（4）

12.中國注冊會計(jì)師協(xié)會擬定中華人民共和國財(cái)政部發(fā)布.中國注冊會計(jì)師執(zhí)業(yè)準(zhǔn)則(2010).經(jīng)濟(jì)科學(xué)出版社.2010

13.程平,溫艷好.基于云會計(jì)的AIS 可信性層次結(jié)構(gòu)模型.重慶理工大學(xué)學(xué)報(bào)(社會科學(xué)).2014（2）

14.王會金.中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系研究——以COBIT 框架與數(shù)據(jù)挖掘技術(shù)相結(jié)合為視角.審計(jì)與經(jīng)濟(jì)研究.2012（1）

15.周明.IT 審計(jì)與業(yè)務(wù)審計(jì)的融合.審計(jì)月刊.2010（12）

16.陳偉,牛艷芳,Smieliauskas Wally.國內(nèi)外IT 審計(jì)教育比較及其對我國的啟示.中國注冊會計(jì)師.2013（11）

17.程平,李寧.云會計(jì)環(huán)境下AIS 內(nèi)部控制問題探析.中國注冊會計(jì)師.2015（4）