“大智移云”時代云審計系統(tǒng)的構建及風險控制研究

張?zhí)嵎?/p>

云審計作為審計技術的優(yōu)化創(chuàng)新迎合了大數據時代的審計新需求。通過對云計算的分析，認為云審計服務可按照云計算服務框架分為IAAS、PAAS 和SAAS。在云計算IAAS、PAAS 和SAAS 等服務模式的基礎上，首先從被審計端、云端和審計終端三個視角構建云審計應用系統(tǒng)，然后具體分析其在實際應用中可能存在的潛在風險。最后，從被審計端風險控制、云端風險控制、審計終端風險控制三個方面提出針對性的建議。

一、云計算與云審計概述

（一）云計算

云計算是在大數據時代背景下產生的一種全新的領先信息技術，其依靠虛擬化、大規(guī)模數據處理及分布式存儲等核心技術，實現(xiàn)了海量數據的實時采集上傳、加工匯總、分析及存儲等，有效擺脫了本地和遠程計算機的限制，為用戶解決了數據中心管理、海量數據存儲空間、大規(guī)模數據處理分析以及應用程序更新改造等現(xiàn)實性難題，用戶只要按需付費就可隨時隨地便捷訪問和利用云資源，在提高服務質量的同時還能有效降低運行和維護成本。

（二）云審計

云審計是云計算技術與審計工作相結合的技術創(chuàng)新產物，即利用“云端”提供的云計算服務平臺，歸集和管理審計所需的各類資料和數據，對容納的數據進行實時更新和有機集合，能夠智能控制對審計模型的選擇和使用，從而實現(xiàn)審計信息的數字化與智能化處理，促進信息共享和溝通，保證審計質量。隨著大數據時代的到來，云審計能夠依靠虛擬化、可動態(tài)擴展、大規(guī)模分布式計算模式等關鍵技術，將網絡上閑置存儲設備、計算能力、應用軟件等資源集中起來，為審計主體提供包括數據采集、加工、匯總、分析和存儲等多元化、智能化、數字化的數據服務，降低審計主體對自建軟硬件設備的依賴，實現(xiàn)低成本高效率的審計作業(yè)服務。

二、云審計系統(tǒng)構建

考慮到傳統(tǒng)審計技術難以適應大數據時代產生的海量數據審計需求，本文借鑒云計算技術的數據存儲、分析、加工等優(yōu)勢，在兼顧審計成本、審計效率和數據安全的前提下，將云技術的數據處理優(yōu)勢融入審計實踐工作中，通過按需付費直接使用云端提供的SAAS、PAAS、IAAS 等服務，對被審計端開展審計作業(yè)，可在提高審計效率的同時有效降低審計成本。

（一）在被審計端和審計終端融入第三方云計算服務提供商（簡稱“云端”）。

構建一個由云端作為第三方服務中介、審計終端和被審計端作為用戶層的

云審計應用系統(tǒng)。其中，被審計端應按期匯總財務收支數據，在此過程中應重點關注原始數據的完整性和真實性，防止人為刪減和更替數據，以保證數據源頭的完整、準確和真實。同時，按照審計端的審計要求，及時通過云端接口技術將原始財務收支數據上傳至云端，并對傳輸數據進行備份，防止數據上傳失敗或上傳不完整。

（二）云端根據審計終端需求，為其提供數據采集、數據加工轉換、數據分析和存儲以及審計分析報告等服務。主要服務內容包括：

1.利用IAAS 層實現(xiàn)海量數據存儲。審計數據的爆炸性增長帶來了原始數據存儲空間不足的難題，傳統(tǒng)審計數據大多存儲在U 盤、硬盤或依靠磁介質傳送到指定的數據存儲中心，容易造成數據缺失，存在數據安全性不高、共享性差等問題。而云端提供的存儲器、網絡資源和安全機制等為審計機關存儲海量數據提供了有利的硬件條件，再加上虛擬化技術和數據集群能夠將不同類型、不同格式的存儲資源整合起來以統(tǒng)一的形式實現(xiàn)存儲服務，因此審計終端無須單獨配置存儲器、服務器等硬件設備，只要借助云平臺即可實現(xiàn)海量數據存儲目標。

2.利用PAAS 層實現(xiàn)數據共享與加工。通過平臺層提供的應用開發(fā)與設計模塊、數據緩存等標準化服務，能夠使得開發(fā)設計的審計軟件具有較好的兼容性和一致性，可以自由切換并實現(xiàn)不同格式數據之間的共享和傳輸，集成的應用開發(fā)環(huán)境有效提高了所獲數據的有效性和共享性。同時，數據庫等服務模塊能夠將IAAS 層存儲的數據進行整合加工，并以統(tǒng)一化、標準化的形式傳輸到后臺的數據處理中心，進而有助于提升審計數據處理效率。

3.利用SAAS 層實現(xiàn)數據智能分析及預警。數據管理中心是審計實施系統(tǒng)和審計管理系統(tǒng)交互管理的中轉站，作為數據智能分析處理的中心數據庫，其依靠綜合信息數據庫、專家經驗數據庫和法律法規(guī)數據庫等，對被審計端上傳的數據進行智能化處理，通過數據分析平臺自帶的分析模型和審計模型，對原始數據進行智能加工以發(fā)現(xiàn)可疑數據和審計線索，并自動生成預警報告。

（三）審計終端是審計結果的展現(xiàn)。

審審計終端無須自建軟硬件設備，只需要按期付費就能通過電腦、手機等網絡終端直接登錄云平臺，查看被審計端上傳的原始數據，下載云端對原始數據加工轉換后的備份數據，調取數據管理中心智能化識別的可疑數據和預警報告，并按照云端數據分析處理結果指導現(xiàn)場審計工作實踐。由此可見，借助云計算不僅能夠實現(xiàn)審計終端對被審計端的有效審計作業(yè)，還能降低不必要的軟硬件開發(fā)及維護成本；不僅能夠提高審計效率，還能有效保障審計質量。

三、云審計系統(tǒng)相關風險控制

（一）被審計端風險控制

1.優(yōu)化網絡運行環(huán)境。被審計端網絡運行環(huán)境的安全性和穩(wěn)定性是保證原始數據采集完整性和準確性的第一道“防火墻”。為此，應先搭建完備的安全監(jiān)控體系（如非法入侵、病毒防護、防火墻等技術），對被審計端網絡運行環(huán)境進行周期性防御，以防止黑客或病毒產生的威脅。同時，引入互聯(lián)網物理隔離技術，當被審計端網絡安全遭受威脅時，能夠通過加密驗證對訪問者身份進行有效識別，并構建隔離模型對不同安全級別網絡進行有效分離，以保證數據采集源頭不受外圍網絡的威脅和干擾。

2.建立遠程訪問監(jiān)控系統(tǒng)。被審計端系統(tǒng)自帶的操作日志能夠準確記錄登錄者身份、登錄時間和登錄地點等事項，這為遠程訪問監(jiān)控系統(tǒng)、準確定位登錄人員具體操作行為和權限提供了基礎。

3.做好基礎設施定期維護檢測工作。海量數據的實時采集與頻繁更新對被審計端基礎設施的穩(wěn)定性提出了更高的要求，尤其是內存設備和系統(tǒng)異常清除方面。被審計端應統(tǒng)一管理不同存儲設備并利用虛擬化技術保證內存設備容量的充足性，同時通過漏洞檢測技術、訪問控制保障網絡服務器運行的穩(wěn)定性。

4.加強數據加密控制。為有效防止被審計端原始數據上傳產生的傳輸風險，可以采用被審計端內部局域網將數據傳輸至云端，并在數據傳輸轉化過程中加強數據加密與保護，對匯總后準備上傳至云端的原始數據進行編碼，以產生不可理解的密文，只有通過密碼驗證才能查閱原始數據。

（二）云端風險控制

1.加強設備安全配置管理，以控制數據存儲風險。系統(tǒng)安全配置管理能夠有效提高云端在復雜環(huán)境下的數據存儲、備份和恢復能力。

2.利用智能探針與分析提取技術實現(xiàn)數據隔離并控制平臺共享風險。智能探針是將不同類型數據打上差異化污點標簽以進行分類管理，能夠實現(xiàn)不同等級和性質數據的分離存儲。同時，污點標簽的存在不僅能夠準確定位指定數據的存儲位置和動態(tài)，還能記錄和保存針對該數據相關的操作日志，有助于提高數據分離存儲的安全性。此外，對于云端存儲的數據規(guī)模和使用價值而言，有效識別使用頻率較高和價值密度較高的數據顯得尤為重要。

3.加強登錄訪問控制。在云審計系統(tǒng)中，審審計終端和被審計端均通過訪問登錄實現(xiàn)審計作業(yè)，如何保證兩個端口訪問者身份的合法性，成為云端訪問風險控制的關鍵環(huán)節(jié)。

（三）審計終端風險控制

1.不斷提高審計人員專業(yè)勝任能力。云審計的廣泛應用對審計人員專業(yè)勝任能力提出了更高要求，為更好地利用云審計開展審計相關作業(yè)，應重點加強對審計人員的素質培訓。

2.采取遠程審計與現(xiàn)場審計相結合的循環(huán)審計模式。云端不僅有效釋放了被審計端數據存儲空間，還為審計終端直接利用云端智能化數據處理服務提供了有利條件，但是云端針對原始數據分析得出的結果以及預警報告的可靠性和科學仍需要現(xiàn)場審計加以檢驗。（作者單位為西安財經學院行知學院）

項目名稱：財務管理特色專業(yè)，項目編號：TSZY201601