【作 者】
魏祥健(副教授)
【作者单位】
(重庆科技学院工商管理学院,重庆 401331)
【摘 要】
【摘要】随着云计算的产生和发展,云计算技术已在众多的行业进行了深入的研究和应用推广,并逐步影响到会计、审计行业。但我国目前尚缺少云计算在审计中的深入研究与实务应用。在风起“云”涌的未来云时代,如何结合云计算技术推动审计技术的创新与发展,是我们现在不可回避的问题。本文结合云计算技术的特点和应用现状,讨论了云审计概念、云审计平台、云审计工作模式、云安全、云责任等相关问题,并展望了未来云审计的研究方向。本研究结果可以为推动我国未来云审计的深入研究和实务发展提供借鉴。
【关键词】云计算;云审计平台;协同审计;云安全;云责任云计算是继个人电脑、互联网之后的“第三次互联网革命”的新技术。随着云计算的发展,云计算不断影响互联网以外的行业,并进一步影响会计、审计行业,给审计带来新的挑战(秦荣生,2013)。云计算技术的发展必然推动审计技术的革新,但从目前来看,与云计算技术结合的审计还是一个全新的概念,理论研究还处于初级阶段。在风起“云”涌的未来云时代,如何利用互联网的云计算概念,通过数据的云存储,使得各种审计资源通过云来协同,最终实现各级审计机关硬件资源、软件资源、服务共享的云审计平台,使审计资源得到充分优化利用,从而为审计人员提供更富有效率、更科学的审计过程,是我国云经济下国家审计亟待解决的问题。本文结合云计算的研究与应用现状,对云计算环境下的审计概念框架相关问题进行探讨。
一、云审计产生的背景
云计算(Cloud Computing)是近年才提出的一种计算模式,它是基于互联网平台,能够向各种互联网应用提供硬件服务、软件服务、基础架构服务、平台服务、存储服务的系统,是基于分布式计算、并行计算和网格计算的发展和应用。正式的云计算概念是由Google首席执行官Eric Schmidt在2006年搜索引擎大会(SES San Jose 2006)上提出的。云计算主要提供三种服务模式,从用户体验的角度出发,这三种服务模式是:基础设施即服务IaaS(Infrastructure as a service)、平台即服务PaaS(Platform as a service)和软件即服务SaaS(Software as a Service)。IaaS层处于服务架构的最底层,它的主要作用是为用户提供基础设施服务,包括计算机、服务器、防火墙、存储设备和网络设备等。PaaS层的主要作用是为用户提供应用程序开发、测试和部署平台,就是指将一个完整的系统平台,包括应用设计、应用开发、应用测试、应用部署和应用托管,都作为一种服务提供给用户。SaaS层的主要作用是为用户提供应用程序等软件,用户不需要将软件产品安装在自己的电脑或服务器上,而是按某种服务水平协议(SLA)直接通过网络向云计算提供商获取自己所需要的、带有相应软件功能的服务。SaaS云服务、PaaS 云服务、IaaS云服务为有效管理信息资源,充分利用硬件资源、软件资源和信息资源提供了新的思路,为研究实现各种资源云协同提供了新的机遇。
云计算的新颖之处在于它几乎可以提供无限的廉价存储和计算能力。由于云计算是多种技术混合演进的结果,其成熟度较高,又有大公司推动,发展极为迅速。Amazon、Google、IBM、微软和Yahoo等大公司是云计算的先行者。随着云计算技术和应用的日益成熟,我国更多的用户开始应用基于云的服务,更多的企业开始落地云计算。盛大云在国内起步很早,号称“中国最完整的公有云平台”。早在2009年盛大就已经将“虚拟化和云计算”立项进行研究开发。在2010年初盛大集团正式将云计算列为未来十年发展三大战略之首,并于2011年1月正式成立盛大云计算创新院,主导云计算业务。
此外,腾讯、百度、阿里巴巴、新浪、华为也是云计算应用的先驱者。
二、云审计概念的提出
随着信息技术的发展,审计系统越来越多地借助信息论、系统论的研究成果开展审计工作。在云计算平台上,云计算技术必然能够为审计提供源源不断的技术创新支持,从而带动审计技术的革新,云审计将成为未来审计发展的必然趋势(文峰,2011)。
那么,什么是云审计?不同的人员有不同的立场和看法。在审计人员眼中,云审计是运用了云计算重大技术进步和创新,可以利用“第三方”提供的审计专业平台,让审计工作者完全专注于任务本身,摆脱对某一具体硬件或程序的依赖,从而实现审计的自动化和审计管理的智能化;在财务人员眼中,云审计就是利用第三方提供的“云计算”基础平台,实现审计信息的数字化,从而促进信息共享以及沟通,优化资源利用;在安全人员眼中,云审计是通过堆砌和组合安全审计技术产品,有效记录、分析和响应发生在“云”上的信息安全事件,保证“云”以及“云”中资源被安全访问和使用,从而实现保护用户数据安全的目标。
明确的“云审计”概念最先由产业界提出。CSA(云安全联盟)主要发起者之一,思科公司云与虚拟化解决方案的首席专家Christofer Hoff竭力主张提供商与用户之间加大透明度,他认为当用户把核心的业务应用程序托付给第三方时,简化证实云提供商声称的安全措施是否可靠,并且使之自动化,正是Cloud Audit(云审计)标准项目组织的首要目标(Christofer Hoff,2009)。学术界文峰(2011)是我国较早提出云审计概念的研究者之一,他认为云审计是利用互联网的云计算概念,通过数据的云存储,使得各种审计资源(参与审计的人员、程序和相关的硬件设备)通过云来协同,从而为审计人员提供更富有效率、更科学的审计过程。在这个过程中,审计人员无需关注使用何种计算机程序,也无需关注数据的存储、共享和工作时效性问题,审计人员唯一需要关注的就是审计任务本身。
以上概念都认为云计算与审计的结合就构成了云审计,但需要指出的是,云审计除了使各种审计资源都要通过云计算来协同运作,审计受托责任、云中心的数据安全、云平台开放性的风险控制、云环境下的责任认定等,都将依托云审计概念来展开,甚至一些原来约定俗成的概念和审计过程等也都会有较大变化和延伸。因此,本文认为:云审计是审计在云端的一个系统集合,它至少应包括三个方面的内容:一是依托第三方服务商提供的或专业建设的“云计算”基础平台,对审计数据进行采集、存储、传输,并保障数据的安全;二是利用云计算专业技术对审计数据进行处理,实现审计手段智能化;三是审计资源通过云来协同,实现审计工作业务协同,促进信息共享及沟通。
三、云审计平台
要实施云审计,审计组织应建设云审计平台(秦荣生,2013)。传统的审计方式下,各审计机关孤立地完成审计项目,审计的数据来源一般局限于具体被审计对象所拥有的电子数据,在利用这些数据开展审计时,一般会存在数据不完整、数据核实困难、数据关联性差、无法进行横向对比分析等弊端。在云计算环境下,云计算平台给我们带来了契机。云端审计依托系统云平台,将大量数字化的审计信息在一个平台上统一管理和调度,不仅可以归集和管理审计所需的各类资料和数据,对容纳的数据实时更新和有机集合,而且能够智能控制对审计模型的选择和使用,保证审计过程的质量,提高审计工作效率和效果。此外,公共云审计服务平台可以大幅度降低云服务用户购买和维护服务器设备及软件方面的开支,云服务提供方只需维护既定程序和软件,即可满足众多云服务用户的需求,从而降低全社会的平均审计成本。构建专业的、系统的云计算安全审计系统还可以避免目前现场审计携带笔记本电脑容易造成数据泄露的风险。
那么,如何构建云审计平台?为满足各级审计机关云计算下信息化审计平台建设需要,平台应是一个完整、全面的审计信息化网络,达到实现政府审计信息化的综合目标。基于国家审计的特殊性,云审计平台只能由行业主管部门(审计署统一部署)负责设立,并聘请独立第三方软件商做技术开发和维护。省、市、县审计机关均建有自身完善的信息系统和基础数据库;通过业务系统向被审计单位进行数据采集、审计;通过决策系统进行政务公开、接受监督、向政府汇报工作。其中包括:省、市、县三级审计机关各自建立局域网或者直接以客户端的形式,并通过审计专用网络与平台连接。上级审计机关对下级机关直接发出业务指令,下级审计机关对上级机关直接做工作汇报。根据云计算的IaaS、PaaS、SaaS的有效管理信息资源服务模式,结合目前国家审计中IT应用的实际情况,云审计平台应由审计署统一部署,以省一级审计机关为单位,构建IaaS、PaaS、SaaS相结合的,最终实现省、市、县三级审计机关的硬件资源、软件资源、服务共享的混合服务模式公共服务平台。
四、云审计工作模式
在云计算环境下,手工账本被电子账所代替;储存数据的介质由传统的账本变成了云服务器;审计数据的方式由手工翻阅账本变成了云计算平台检索和分析;审计的工具由算盘、计算器变成了计算机;数据传输的方式由手工变成了网络。这些变化对传统的审计模式提出了严峻的挑战。那么,云计算环境下需要一个什么样的审计模式?通过对云审计的特征梳理我们发现:
首先,云审计平台运用 Internet 高效、可信及统一的虚拟计算环境,使计算机审计系统从封闭、静态、可控的运行模式逐步发展为开放、动态、具有柔性及适应性的计算机审计运行环境,在开放、动态和多变的网络环境下实现企业信息系统与计算机审计系统的共享和集成。
其次,被审计单位在云计算环境下也作为一个开放的系统,单位治理、内部控制、内部审计与其他子系统之间相互作用,并为了实现同一个企业目标而相互支持、帮助,由此产生了内部的协同效应。再次,国家审计是在审计署领导下的全国“一盘棋”工作,并不能由一个人独立完成,需要多人甚至多个单位共同协作,本身就具有协同效应。
审计需要协同作战(李金华,2005),在云计算的协同效应下,协同审计模式是云计算环境下审计工作方式发展的必然。在云计算下,协同审计模式应是以业务协同为基础,以提升审计效能为目标,依托云审计平台的资源协同,建立以服务国家治理目标为导向,在审计署的统一指挥下,省、市、县各级审计机关积极参与,以协作为特征,协调多元的审计监督协同结构,形成一个综合利用国家和市场手段的国家审计监督“行动网络”,包括管理协同、资源协同、业务协同。
1. 管理协同。审计机关管理协同是审计机关通过组织协调各种管理程序、措施,实现管理最佳效率状态和资源最优配置状态的程度,包括政务管理协同、项目管理协同、信息管理协同。
政务管理协同是指在信息化背景下,省、市、县三级审计机关之间利用信息技术手段进行跨部门业务协作,最终通过改变行政管理方式、方法达到审计资源最充分利用的新型政府审计工作模式。通过政务管理协同,依托云审计平台的协同效应,使得省、市、县三级审计机关之间实现一体化的审计管理,共享机关文化建设、制度规范建设、业务政策和审计动态,加强信息交流,降低政府审计系统内部交易费用,使内部审计资源在审计治理过程中实现绩效最大化,从而推动政府审计系统整体绩效的提升。
项目管理协同是指在存在多项目任务的环境下,通过系统调配内外部资源、信息共享,权衡和协调项目开展,以达到审计项目管理的有序状态。项目协同审计模式强调协同治理审计目标的实现,通过实施审计行为,进一步实现审计功能,建立协同治理审计机制,促使利益相关方进行充分的信息交流和沟通,在合理的协同治理结构框架范围内能够充分利用各自的资源和信息优势,以项目利益为核心协同工作,完成各自任务,最大限度地发挥协同效应,最终的目标是在各利益相关方相对满意的基础上,实现项目整体目标。
信息管理协同是指在政府审计治理中,通过信息传递、交流等形成的一种审计信息有效共享的机制。依托审计公共云平台,建立信息共享平台,促进国家审计信息共享,不仅实现审计信息在审计系统内部的沟通与共享,不同监督服务主体的监督信息如财政监督、 税务监督等部门信息也应当实现共享,以统筹各种公共资金监督、公共权力监督制约机制和资源信息,充分发挥监督制约功能。充分、有效的信息沟通能够及时传递决策信息,使得各主体能够清晰地理解、认同和接受协同管理主题,这是国家审计协同顺利实施的保障。
2. 资源协同。根据上述审计云平台PaaS层的资源管理系统,负责整个资源池的管理和调度,通过资源管理、资源监控、资源统计分析实现资源共享、按需分配、动态扩展、标准服务等运营。具体做法是:在云审计平台的基础上,按平台部署多个用户,资源协同管理平台根据各级审计机关和应用系统对不同资源的运用需求,将资源划分为不同的子集合,并在安全、网络等方面进行必要的物理或逻辑隔离,形成资源分区,不同资源分区间的资源可灵活调整。资源协同管理平台负责对各种审计资源进行部署、操作、回收、监控、统计分析,对资源池系统内部的各类物理设备进行运维管理。同时负责与资源池外部实体的交互以及资源池系统内部各资源系统之间的控制与交互,还负责用户的资源监控与虚拟机访问实现,获得资源的合理利用,提高资源利用率。
3. 业务协同。云计算环境下的审计业务协同是借助云审计平台以及云计算技术建立一个协同工作的环境,将分布在不同地点的审计人员召集起来,共同完成一项审计任务,可以消除或减少项目组成员在时间和空间上相互分隔的障碍,节省审计成员的时间和精力,提高群体工作质量和效率。根据协同审计工作的特点,云审计平台要采用同步协同模式,各个审计机关终端用户的操作要更加注重响应时间的设定,从而保证群体操作的有序性。业务协同审计的程序为:数据采集→协同数据预处理→数据协同分析→协同经验交流→协同审计评价→得出审计结论。
五、云审计标准
云审计标准是指实施云端审计的基本准则和实施依据。制定权威的、公认的云审计标准,是实现云端审计工作规范化、明确云端审计责任、保证云端审计质量的可靠保障。没有标准,云审计的发展就难以得到规范健康的发展,难以推动国家审计的一体化协同发展。目前,各国政府、标准组织等正在积极着手云计算标准的研究 、制定工作。
2010 年 11 月,美国国家标准技术研究院(NIST)云计算计划正式启动,该计划旨在支持联邦政府采用云计算来替代或加强传统信息系统和应用模式。由美国联邦政府支持,NIST 进行了大量的标准化工作,它提出的云计算定义被许多人当成云计算的标准定义。NIST 专注于为美国联邦政府提供云架构以及相关的安全和部署策略,包括制定云标准、云接口、云集成和云应用开发接口等,目前已经发布了多份出版物。
但云审计研究尚处于起步阶段,业界尚未形成相关标准。笔者认为,云审计标准至少应包括认证标准、数据接口标准、数据安全标准、风险评估标准等。通过认证技术、加密技术、授权技术保证数据接口安全,确保接口的强用户认证、加密和访问控制的有效性,避免利用接口对内和对外的攻击,避免利用接口进行云服务的滥用。通过发展数据安全与隐私保护、多租户身份管理、数据丢失防护等安全产品及在线电子证据保全、第三方安全审计、云计算安全等级划分与测评、安全监控与运维和安全应急响应等安全服务能力,同时建立安全等级评价指标,对云计算服务环境中的数据传输安全、存储安全、审计安全提供量化评价,将有助于提升用户对云计算服务的信任度。
六、云安全
虽然云的应用和推广已经势在必行,但是从诞生开始,它的安全就一直为人们所诟病。随着云审计的产生与应用,使得审计安全云端化。安全审计是确保信息系统运行安全、管理安全的有效技术途径,是审计参与国家治理、强化审计监督效能的内在要求。因此,研究云审计一定要把安全放在首要的位置,联合专业的安全厂商和第三方服务商,加强云审计平台和应用端的云安全技术研发,采取有效措施加强云审计系统下的风险控制。
1. 采用新技术、新方法构建云审计安全防御系统。在云计算环境下,为了保证数据安全,应该采取最优的方法和最新的技术手段,研究构建云审计安全防御系统。安全防御系统至少应包括异常监控、故障监测、漏洞扫描、风险预警等功能。为了提高系统的可靠性和稳定性,应采用应用层面的检查点、重启技术、并行计算,增强系统安全性。
2. 建立统一身份认证基础上的单点登录技术。统一身份认证是通过一个适合于所有应用系统的、唯一的认证服务系统为认证接口提供唯一访问点的认证模块,各应用系统只需要遵循统一认证服务调用接口,即可实现用户身份的认证。为了解决同一网络中多应用系统之间的复杂登录问题,可以建立在统一身份认证基础上的单点登录技术。同一用户只需要强制认证一次,就可以在不同的授权系统之间进行转换而不必重新登录,而系统的身份认证操作则在后台自动执行。这样可以提高用户的访问效率,避免了系统开销。
3. 采用加密技术。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一串数字(密钥)结合,产生不可理解的密文步骤;密钥是用来对数据进行编码和解码的一种算法。在云审计数据传输和存储过程中,可通过适当的密钥加密技术和管理机制来对审计数据进行加密保护,即使数据误传到别人的数据中心,没有解密密码也不能打开和使用数据。
4. 统一行业标准,制定相关政策法规。因为云计算服务涉及个人、企业、国家的重要敏感信息安全,所以需要政府相关监管部门的参与,通过统一行业标准和协议、制定完善相应的法律法规,对数据隐私保护、数据主权归属、服务协议保障、风险责任认定进行法规界定,对云计算服务提供商、云计算服务进行规范、监督、审计,保障云计算应用服务和数据信息的安全。
七、云责任
云责任可以简单地理解为“同一云过程下的审计机关和审计人员的总体责任”。标准化云审计过程使传统审计中的主客体二者的关系变成了主体、客体和中间商三者之间的关系。相应地,审计的具体责任也发生了变化。与传统审计相比,在标准化云审计下,审计人员的数据信息来源于中间的第三方,所以与数据采集存储相关的问题也就不再由审计人员负责,进而增加了第三方云审计平台商的责任。同时,审计的主体也由隶属于同一审计机关的项目小组成员变为来自多个审计机关的多名审计人员。在这种多方协作进行审计的过程中,各方的责任更应该明确。
基于此原则,我们应当考虑:负责牵头的审计机关的责任;参与云过程的其他审计机关对客户和牵头的审计机关的责任;云过程下所有参与审计的审计机关和审计人员对客户的总体责任。由于云过程允许不同的审计机关参与同一个审计过程,在多对一的审计模式下,信息交换、信息处理及报告一定比一对一的审计要相对公开、透明,特别是在风险充分博弈的条件下,参与审计的各审计机关将最终承担与其所负责审计过程相对应的审计责任,以达到风险均衡。
八、未来展望
云审计是未来云经济社会下审计发展的必然结果。对云审计的研究属于国家审计实务工作的一种开创性探索研究,是推动完善国家治理的内在要求。云审计本身就是一项复杂的系统工程,本文只是对其框架进行了初步的架构,还缺乏深入细致的分析。目前,我国“金审工程”正处于第三期建设之中,如何把“金审工程”与云计算技术结合起来,深入细致地研究云审计架构技术与实现方式,是未来云审计实现的关键。
主要参考文献
秦荣生.云计算的发展及其对会计、审计的挑战[J].当代财经,2013(1).
解鹏里,胡友良,王开一.云计算技术对审计组织管理模式的影响[J].审计月刊,2014(2).
邓川,杨文莺.基于云审计的会计师事务所机遇、挑战及对策[J].财会通讯,2012(10).
鲍伟民.基于云计算的安全审计系统研究与设计[J].软件产业与工程,2012(6).
张文宗,谢慕廷,彭拥军.大数据背景下的国家审计发展路径[J].审计月刊,2014(9).
李冬.基于协同治理理论的政府投资项目审计模式研究[J].会计研究,2012(9).
【基金项目】重庆市社会科学规划项目(项目编号:2014PY11);重庆市教委人文社科重点项目(项目编号:14SK001)
2015年 第 13 期
财会月刊(13期)
审计园地