云计算时代的审计新挑战

1、云计算时代的审计新挑战“互联网 +”时代的到来，给会计行业带来了前所未有的冲击。云计算成为了 继互联网之后再次 “改变世界 ”的技术革命之一。 “构建于互联网上，利用云计算 技术和理念，为企业提供会计核算、会计管理和会计决策等内容的会计信息化 基础设施和服务 ”，这样的 “云会计 ”或将在未来成为会计领域中不可或缺的一 环。世界正在改变。 “云计算 ”这一新的概念正在因其极大的便捷性和低廉的成 本迅速获得企业和用户的青睐，并逐渐向其他各行各业乃至社会生活的各个领 域渗透。云计算创造的新商业模式，不断影响互联网以外的行业，并进一步影响会 计、审计行业。云计算的发展在使企业管理更加便利的同时，也带

2、来了许多新 的会计、审计问题。云计算对商业模式的颠覆性创新和对会计业务的重大影响，将催生大量的 审计业务。审计技术、审计方法的每一次重大改进，都是随着商业模式的重大 变革而催生的。当越来越多的企业提供云计算服务，越来越多的企业采用云计 算服务时，作为提供鉴证服务的审计方，面临着严峻的挑战。评审云计算内部控制所面临的挑战。对与云计算相关企业进行审计时，首 先要评审与云计算相关企业的内部控制，以决定实质性测试的时间和数量。目前，云计算中存在的数据丢失和泄露问题、云计算资源的滥用和非法使 用、不安全的服务接口和应用程序编程接口、恶意的内部用户、共享云设施带 来的安全隔离问题、账户和服务的劫持问题、不

3、能被用户感知的风险态势等， 都是内部控制缺乏或没有发挥作用的具体表现。云计算中的内部控制问题已经 成为制约其顺利发展的主要瓶颈问题，是用户质疑和担忧的主要原因。如果不 能解决云计算的内部控制问题，用户就不可能将重要业务和数据转移到云计算 和云存储平台上面。评审云计算内部控制的目标是对云计算内部控制的有效性进行评审，以确 认云计算内部控制的有效性。但是，云计算环境是一个多个用户共享云设施的 环境，它所面临的内部控制是一个综合系统，很难对云计算中单个企业进行内部控制评审。与云计算相关的企业很多，而审计组织是接受委托或委派进行审 计的，审计组织和审计人员不可能对云计算中的所有企业内部控制进行评审 后

4、，得出被审计企业内部控制的有效性。建设云审计平台所面临的挑战。要实施云审计，审计组织应建设云审计平 台。建设云审计平台是一项基础性的工程，对促进云计算的发展具有重要意 义。通过建设云审计平台，可以提供综合分析云计算服务的风险，客观评价云 计算服务平台的数据安全保护能力、业务持续性保证能力以及平台和服务合规 性建设水平，为云计算服务的参与者准确理解云服务的安全风险、持续风险以 及合规风险，合理调整云服务建设及应用提供决策支持。云审计平台主要包括 云审计用户服务平台和云审计企业服务平台，既可提供面向云计算服务提供商 的信息审计服务，提升云平台的安全保障能力；又可提供面向云计算服务用户 的信息监管服

5、务，消除用户对云计算服务平台安全性、可信性、合规性以及持 续性等方面能力的担忧，提升云计算的用户信任度。云审计平台应通过自主研究开发的一套云审计通用数据接口，提供针对云 服务平台和云数据中心的统一的接口规范和命名协议，建立一套开放、可扩展 和安全的接口和技术方法。云计算服务提供者在云审计平台中定义并加载这些 接口，就可以实现与云审计的无缝结合，云审计平台利用这些接口可以实时地 对云计算相关业务单位进行全面的审计，让用户了解在云平台上发生的一切， 可以有效控制数据在云中面临的风险。而在我国现实情况下，要在各个不同的审计组织中建设云审计平台，不仅 面临着审计经费不足而需要投入大量资金建设的挑战，而

6、且还面临着审计人员 知识水平不能满足要求和能力不能适应工作需要的挑战。实施信息安全审计所面临的挑战。从云计算本身带来的风险来说，当前主 要考虑两个层面：一个是云基础设施的安全性，一个是数据的安全性。因此， 实施与云计算相关的信息安全审计应主要在这两个方面进行。审计云基础设施的安全性，是基于把数据资源放在云中，用户会担心数据 的存储和使用的安全性。除了应审计数据的安全备份之外，还应审计云平台本 身的效率。审计数据的安全性，包括审计信息系统的安全性。云计算数据和信息系统 的安全性对于运行维护、安全事件追溯、取证调查等方面来说极为重要，云计 算系统应通过建立安全系统，进行统一、完整的分析，通过对操作

7、、维护等各 类云计算系统日志的安全，提高对违规事件的事后审查能力。第一，应建立完善的云计算系统日志记录及审核机制，日志的内容应包括 用户ID、操作日期及时间、操作内容、操作是否成功等。第二，应采取有效措施，确保云计算用户活动日志的准确性和完整性。云 计算所有重要系统时钟时间应保持同步，以真实记录系统访问及操作情况，及 时将云计算平台生成的各类日志备份到专用日志服务器或安全介质内，采用监 控软件保证用户活动日志的一致性与完整性。目前在我国，云审计还处于刚刚起步的阶段，云计算本身还比较飘渺，审 计人员要实施云计算信息安全审计，将面临着重大的挑战。同时，云审计只有 伴随着云基础设施的发展而不断发展，

8、如果云审计没有跟上云计算平台和云审 计平台的建设，会给云审计带来巨大的审计风险。搜集审计证据所面临的挑战。审计人员在审计过程中，应根据充分、适当 的审计证据发表审计意见，出具审计报告。但是，在云计算环境下，审计人员 面临难以搜集到充分、适当的审计证据的重大挑战。在云计算环境下，审计人 员能搜集到的审计证据大多是电子证据。电子证据本身就非常复杂，云计算使 取证更加困难。首先，在云计算环境下，数据通过互联网存储和交付，审计证 据也只能在互联网络中取得。一般情况下，数据在全球范围内进行流动，数据 的拥有者不能控制数据的流动，也无法掌握数据的存储位置。审计人员在进行云审计时，可能无法确切地知道作为审计

9、证据的数据到底 被托管在什么地方，甚至不知道这些作为审计证据的数据存放在哪个国家。其次，作为审计证据的数据在云中通常是处在云计算服务提供商和其他客 户的数据共享的环境中，云计算服务提供商提供的证据，有可能导致数据完全 无法使用，也可能使数据的可用性变得相当复杂。再次，审计人员常使用调查 方法搜集审计证据。但在云计算环境下，审计人员特别难于进行调查取证，因 为多个客户的日志记录和数据可能存放在同一地点，也可能遍布在不断变化的 一组主机和数据中心。如果不能得到合同的承诺，以支持特定形式的调查，那 么审计人员依靠调查方法搜集审计证据将是不可能的。最后，云计算同时为多 个企业提供服务，同时记录了多个企

10、业使用云计算的情况，当某一个企业需要 被审计时，这种多个企业使用云计算的日志被记录在一起的情况增加了审计调 查的难度，甚至有可能存在审计调查无法进行的风险。实施审计程序所面临的挑战。云计算应用的核心是信任，信任是云计算应 用的基础。但是，信任却是有待验证的。企业应该让自身、管理者、客户、股 东及其他利益相关者清楚地知道，其如何选择、实施、安排和管理云计算应 用，如何降低风险并消除未来的不确定因素。当前的云计算环境充满了不确定 因素，如不进行审计，则只能完全相信云计算的服务供应商提供的各类信息。 因此，针对云计算应用减少其不确定性的方法之一，就是实施有效的审计程 序。但是，在云计算现实环境下，全球主要的云计