網絡審計實現方式

前言：本站為你精心整理了網絡審計實現方式范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：陳偉作者單位：南京審計學院

一、引言

審計作為一種獨立性的經濟監督活動，是國家經濟運行的免疫系統。隨著信息技術的發展，組織的運行越來越依賴于信息技術。信息化環境下信息技術不但成為審計的對象，同時也成為審計的工具。為了適應我國審計信息化建設的需要，審計署已經成功開展了“金審工程”一期和二期的建設工作。同時，為了更好地實現審計工作“從單一的事后審計變為事后審計與事中審計相結合，從單一的靜態審計變為靜態審計與動態審計相結合，從單一的現場審計變為現場審計與遠程審計相結合”這三個轉變，國家審計署還成功開展了相關課題研究，探索了適合我國國情的聯網審計實施方案。云計算技術的出現為今后開展聯網審計提供了機遇，因此，研究云計算環境下的聯網審計具有重要意義。本文結合云計算技術的研究與應用現狀，研究云計算環境下的聯網審計實現方法。

二、研究云計算環境下聯網審計的必要性

（一）聯網審計的特點

聯網審計是指審計機關與被審計單位進行網絡互連后，在對被審計單位財政財務管理相關信息系統進行測評和高效率的數據采集與分析的基礎上，對被審計單位財政財務收支的真實、合法、效益進行實時、遠程檢查監督的行為，是一種“全新的審計理念與審計模式”（王剛，2005）。聯網審計的原理如圖1所示（國家863計劃審計署課題組，2006；王智玉，2010）。從圖1可以看出，聯網審計在技術實現上主要分成四個部分：

1．數據采集：主要是完成對被審計單位電子數據的采集。目前，聯網審計數據采集的實現是通過在被審計單位數據庫服務器端放置一臺稱之為“數據采集前置機”的服務器，通過安裝在“數據采集前置機”中的審計數據采集軟件完成聯網審計的數據采集工作。

2．數據傳輸：把采集來的電子數據通過網絡傳輸到審計單位，以供審計分析使用。

3．數據存儲：對于采集到的電子數據采取一定的方式進行存儲。

4．數據分析處理：主要是對采集來的電子數據進行分析處理，發現審計線索。

基于以上分析，我國正在研究與實施的聯網審計也可以看成是面向數據的聯網審計，其原理可以看成是一個基于對采集來的審計數據進行分析，獲取審計證據的過程。概括來說，我國的聯網審計主要有以下特點：

1．聯網審計環境下，審計數據被采集過來集中存儲，數據量大，需要可擴展的數據存儲設施。

2．某一行業的數據集中，為數據的比較分析提供了基礎，數據信息全面，隱藏的或未知的信息較多，采集來的大量數據為審計數據分析提供了基礎。為了能做到事中審計，或者是實時審計，需要強大、高效的數據處理設施。

3．在聯網審計的各個環節，影響數據真實性和完整性的因素很多，為了能得到正確、可靠的審計證據，必須保證被采集來的數據是真實的和完整的，以減少審計風險。

（二）云計算的原理及特點

云計算是基于互聯網的相關服務的增加、使用和交付模式，通常涉及通過互聯網來提供動態、易擴展、且經常是虛擬化的資源。云計算包括的三個層次的服務模式如下：軟件服務（SoftwareasaService，SaaS）：為很多用戶提供應用軟件服務，用戶不需要日常的IT操作人員。平臺服務（PlatformasaService，PaaS）：為很多用戶提供運行應用軟件的環境，用戶需要維護自己的應用軟件。設施服務（InfrastructureasaService，IaaS）：為很多用戶提供運行應用軟件的環境，用戶需要有自己的技術人員，如系統管理員、數據庫人員、開發人員等。

概括來說，使用云計算主要具有以下優點（Armbrust等，2010）：

1．可提供動態變化的計算環境。云計算平臺能夠按需對服務進行配置和管理，可以支持多種不同類型不同需求的應用；云平臺能夠根據需要分配資源，具有可伸縮性，對業務具有靈活性。

2．數據存儲能力強大。云計算平臺可提供海量存儲環境，能夠按需進行數據存取，支持海量數據管理和存儲業務。

3．減少成本。使用云計算能夠極大地提高硬件利用率，并能夠在極短時間內升級到巨大容量，而不需要用戶自己頻繁地投資構建新的基礎設施、培訓新員工，不需要頻繁地升級軟件，從而減少成本。

4．具有強大、高效的數據處理能力。云計算在處理用戶需要的信息計算處理時可將龐大的計算處理程序拆分成無數個子程序，然后將這些子程序交給由多部服務器組成的龐大系統進行搜索及計算分析，最后直接將處理結果回傳給用戶，這一過程可在極短時間內完成，因此具有強大、高效的數據處理能力。

5．能夠提供專業、高效和相對安全的數據存儲。好的云計算供應商能夠提供專業、高效和相對安全的數據存儲，用戶運用云計算技術將數據存儲在云平臺中，相對于自己管理數據存儲，能在一定程度上消除因各種安全問題導致數據丟失的顧慮。

然而，由于云計算環境下，所有軟硬件以及電子數據都依托于云計算供應商，用戶對這些軟硬件以及數據失去控制。因此，不論什么樣的云計算模式，都具有可控制性差的缺點，本文第四部分將分析應用云計算技術存在的風險。

（三）云計算技術的發展為開展聯網審計提供了機遇

云計算技術的發展為開展聯網審計提供了機遇，主要表現為以下四個方面：

1．云計算技術在一定程度上可以降低聯網審計的實施與運行成本

針對目前聯網審計的實施方法，聯網審計的成本可分成一次性成本和經常性成本兩部分（陳偉和尹平，2007；尹平和陳偉，2008）。一次性成本是指聯網審計系統開發和執行的初始投資，主要包括：硬件成本、軟件成本、人員培訓費用、場地成本；經常性成本是指在聯網審計系統整個生命周期內反復出現的運行和維護成本，主要包括：人員成本、硬件維護成本、軟件維護成本、耗材成本、風險控制費用、其它費用等。現有的信息技術手段造成目前的聯網審計模式實施與運行成本較高，這影響了我國聯網審計的進一步發展。一般來說，采用云計算技術則沒有任何基建投資，沒有硬件購置成本、沒有需要管理的軟件許可證或升級、不需要雇傭新的員工或咨詢人員，也不用承擔機房空間、電力以及人力等成本。因此，采用云計算技術實現聯網審計在一定程度上可以降低聯網審計的實施與運行成本。

2．計算技術的應用使得研究云計算環境下的聯網審計成為必然

近年來，云計算的概念已經普遍被人們接受，越來越多的信息系統將運行在云計算平臺上，在我國“十二五”規劃中云計算技術是重點發展的新一代信息技術。將來會有更多的被審計單位開始采用云計算平臺運行自己的應用系統，這使得云計算平臺成為審計單位的審計對象，因此，研究云計算環境下的聯網審計將成為我國開展聯網審計的一個重要部分。

3．政府信息化建設為開展云計算環境下的聯網審計提供了機遇

近年來，各地政府投入了大量的資金用于信息化建設，有些政府已經建設了自己的云平臺，在我國“十二五”規劃中云計算技術是重點發展的新一代信息技術，這為開展云計算環境下的聯網審計提供了機遇。

4．用云計算技術能更好地滿足聯網審計環境下海量數據分析的需要

為了更好地滿足聯網審計環境下海量數據分析的需要，應該充分利用新的信息技術提高審計效率，而云計算的出現為解決這一問題提供了機遇。

（四）云計算環境下聯網審計方面的研究不多

云計算成為目前學術界研究的熱點問題，一些國際重要學術會議，如2011IEEEInternationalConferenceonSystems,Man,andCybernetics等，還專門設立了關于云計算研究的專題。Armbrust等（2010）對云計算的研究情況進行了綜述，國內學術界關于云計算方面的研究多集中在云技術本身的研究，如黃汝維等人（2011）針對云計算中的隱私保護問題，提出了支持隱私保護的云計算模型，并設計了一種支持隱私保護的基于矩陣和向量運算的可計算加密方案；李強等（2011）針對云計算基礎設施中大規模虛擬機的放置問題，提出了云計算中虛擬機放置的自適應管理框架，提出了帶應用服務級目標約束的虛擬機放置多目標優化遺傳算法，用于制定框架中的虛擬機放置策略。國內外關于云計算在審計領域的研究與應用較少，Ernst和Young（2009）和Luann（2009）分析了云計算給審計帶來的風險。盡管國內外已有較多的關于持續審計和聯網審計方面的研究（Rezaee等，2002；Debreceny，2005；Du和Roohani，2006；Chou等，2007；國家863計劃審計署課題組，2006；王智玉，2010；陳偉等，2008，2011；RutgersAccountingWeb，2012），但國內外尚缺少關于云計算環境下聯網審計方面的研究。

三、云計算環境下的聯網審計實現方法

基于目前我國聯網審計的實現原理，本節從被審計單位使用云平臺、審計單位使用云平臺、審計單位和被審計單位都使用云平臺這三種情況出發，研究云計算環境下適合我國聯網審計特點的聯網審計實現方法。審計單位在應用云計算技術時，至于采用SaaS、PaaS還是IaaS，將由審計單位根據自己的實際情況和需要來決定。

（一）被審計單位使用云平臺

在這種情況下，由于被審計單位在云平臺上運行自己的應用系統，存儲自己的電子數據，審計單位在對被審計單位實施聯網審計時，將被迫開展云計算環境下的聯網審計。在這種情況下審計單位可采用的兩種可行的聯網審計實現方法如下。

1．審計部門可以借助被審計單位使用的云平臺安裝審計數據采集軟件，完成聯網審計的數據采集工作，然后把采集到的被審計數據傳輸到審計單位的數據存儲系統中去，供審計人員分析處理，從而發現審計線索，獲得審計證據。其原理如圖2所示。審計單位也可以在自己的數據庫服務器端安裝運行數據采集軟件，通過網絡遠程采集被審計單位云平臺中的電子數據。

2．在條件許可的情況下，審計單位也可以借助被審計單位使用的云平臺，運行審計數據分析軟件，根據審計單位的審計請求，直接利用云平臺強大的計算能力完成對被審計單位的審計數據分析，發現審計線索，獲得審計證據，并把審計證據返回給審計端，從而完成聯網審計的審計工作。其原理如圖3所示。

（二）審計單位使用云平臺

目前一些地方已建成用于電子政務的云計算平臺，這為審計單位應用云計算技術提供了機遇。在這種情況下，審計單位利用云平臺提供的平臺服務和設施服務，把從被審計單位采集來的電子數據存儲在云平臺中，然后可以借助云平臺提供的軟件服務對采集來的電子數據進行分析取證。其原理如圖4和圖5所示。

（三）審計單位和被審計單位都采用云平臺

在這種情況下，審計單位和被審計單位都采用云平臺完成自己的工作。審計單位和被審計單位可能采用同一個云平臺供應商，也可能采用不同的云平臺供應商。其原理如圖6和圖7所示。

四、云計算環境下實施聯網審計存在的風險

云計算環境下的聯網審計可以充分利用云計算的優勢，但在實際的應用中，應充分認識云計算給聯網審計帶來的風險，本節從基于云平臺整體控制與應用控制的視角、基于云平臺選擇的視角、基于云平臺服務的視角這三個方面出發，分析云計算環境下實施聯網審計存在的風險。

（一）基于云平臺整體控制與應用控制的視角

云計算環境下，審計單位和被審計單位所有軟硬件以及電子數據都依托于云計算供應商，審計單位和被審計單位對這些軟硬件以及數據失去控制。因此，云平臺的整體控制與應用控制是風險控制的關鍵。基于云平臺的整體控制與應用控制的視角，存在的主要風險包括：

1．災難恢復與業務持續

云計算環境下，云計算供應商的災難恢復與業務持續策略對聯網審計有著重要的影響，主要表現為：云計算供應商如何考慮災難恢復計劃（DisasterRecoveryPlan）與業務持續計劃（BusinessContinuityPlan）？審計單位和被審計單位的數據是否有備份？當發生災難事故時，審計單位和被審計單位如何訪問自己的備份數據？數據恢復的時間有多長？

2．數據安全問題

云計算環境下，審計單位和被審計單位的數據存儲、傳輸和處理都由云供應商管理。所使用信息系統的物理控制和邏輯控制取決于云計算供應商，審計單位和被審計單位缺少對數據的物理控制。另外，審計單位和被審計單位對云計算供應商的工作人員情況缺少了解，有時候云計算供應商內部惡意或者是善意的工作人員可能會濫用權力訪問審計單位和被審計單位的數據及應用系統。這會產生以下風險：在云計算供應方，誰可以訪問你的數據？云計算供應商對自己的工作人員采取了哪些控制措施？云計算供應商如何管理自己的工作人員？云計算供應商是否具有職責分離控制措施？

3．數據隔離問題

云計算環境下，多個用戶之間共享計算環境，缺少隔離，特別是公用云，一個應用系統可能會影響其他應用系統。云計算供應商如何保證審計單位和被審計單位的數據不被其他用戶看到？數據如何加密？密鑰如何管理？

4．數據完整性問題

云計算環境下，特別是公共云時，所有軟硬件以及數據都依托于云計算供應商，有可能缺少防范數據修改的控制措施，不正確的訪問控制或弱加密會導致各種數據風險，不能有效檢測數據的修改。另外，云計算供應商采取的不正確的加密方法也會造成對審計單位和被審計單位數據的破壞，這都會影響審計單位和被審計單位數據的完整性。

5．監管規范問題

審計單位和被審計單位所采用的云計算平臺是否有政府監管？是否符合相應的監管規范？是否有第三方審計或認正？被審計單位應用云平臺是否會影響執行SOX（Sarbanes-OxleyAct）等。

（二）基于云平臺選擇的視角

目前，云計算供應商的數目繁多，許多傳統的服務供應商也更名為云計算供應商。因此，審計單位和被審計單位在采用云計算開展聯網審計時如何選擇合適的云平臺非常重要，審計單位和被審計單位應該根據自己的服務需求，嘗試多個云供應商的基礎設施，測試應用程序，選擇最佳云供應商。關于云平臺的選擇，存在的主要風險分析如下：

1．經營狀況

云計算供應商持續發展能力不確定。審計單位和被審計單位選擇云計算供應商時應該考慮：云計算供應商的經營狀況如何？如果云計算供應商破產，可能會造成數據的丟失，因此，如果云計算供應商破產，審計單位和被審計單位如何收回自己的數據？

2．服務水平協議（SLA）

服務水平協議（SLA）是一種衡量云供應商服務平臺舒適度的方法。審計單位采用云計算技術開展聯網審計時，要確保自己的服務水平協議（SLA）有一些保護條款。萬一出現服務中斷，云供應商能提供優厚的回報補償。

3．性能

由于地理位置和云平臺架構的不同，云供應商供應的應用程序性能結果也不同，因此，審計單位在選擇云供應商時應該考慮云平臺的地理位置和實際架構。

4．安全與保障

在選擇云供應商時有沒有考慮這些云供應商采取什么保障措施來保護客戶的數據。

5．數據的存儲與歸屬

云計算環境下，所有軟硬件以及數據都依托于云計算供應商，審計單位和被審計單位不清楚自己的數據會被存儲在什么地方，甚至都不知道數據位于哪個國家，也許會被存儲在國外。因此，審計單位和被審計單位采用云計算開展聯網審計時有沒有考慮：自己的數據是如何被保護的？這些數據的存放地點在哪里？數據的歸屬問題？如果審計單位或被審計單位需要更換云計算供應商時，自己的數據是否可以轉移到另一家云計算供應商。因此，審計單位和被審計單位采用云計算開展聯網審計時，如果缺少數據存儲與歸屬方面的考慮，將會給將來的聯網審計運行造成潛在風險。

（三）基于云平臺服務的視角

關于云平臺的服務，存在的主要風險主要有：

1．服務支持

審計單位和被審計單位在使用云平臺時，有沒有考慮遇到了問題應該如何聯系云供應商？聯系哪些人？

2．服務可靠性

審計單位和被審計單位使用的云平臺網絡連接是否可靠？數據傳輸是否可靠？當網絡出現故障時，云計算服務會出現中斷，這會影響服務的可靠性。特別是對于一些規模小的審計單位和被審計單位在使用云平臺時，由于采用較慢的因特網接口，相比于使用自己內部的軟件平臺，使用云計算平臺速度會較慢。另外，審計單位和被審計單位對云計算供應商的災難恢復過程依賴性強。

3．云平臺的友好性

云平臺的友好性是指審計單位和被審計單位選擇的云平臺的操作界面容易使用，人機交互性好，審計單位和被審計單位在使用云平臺時，有沒有考慮：云平臺界面操作起來是否方便？云平臺操作是否容易學習？云平臺是否能防止審計單位和被審計單位用戶的輸入錯誤？審計單位和被審計單位用戶的輸入錯誤是否會對聯網審計系統造成破壞？

五、總結

本文根據云計算技術的發展與應用現狀，針對我國開展聯網審計的特點和需要，探討了云計算環境下如何實現聯網審計，并分析了云計算環境下實施聯網審計可能存在的主要風險。通過本文的研究可知，云計算環境下實施聯網審計具有眾多的優點，但同時云計算環境下實施聯網審計又具有一定的缺點，比如：相對于非云計算環境下的聯網審計，云計算環境下的聯網審計具有較多的審計風險，如果在實施聯網審計項目時盲目應用云計算技術，不能合理地處理云計算帶來的風險，將會產生嚴重的潛在審計風險；云計算環境下，審計人員檢測被審計單位所采用云平臺的整體控制和應用控制情況將會變得相對困難，因此不能很好地確定采集來的電子數據是否可靠。綜合以上分析，云計算環境下在實施聯網審計時，應該充分利用云計算帶來的優勢，回避云計算帶來的風險，根據需要和實際情況選擇最佳實施方案。