首页 > 文章中心 > 正文

网络审计实现方式

网络审计实现方式

本文作者:陈伟作者单位:南京审计学院

一、引言

审计作为一种独立性的经济监督活动,是国家经济运行的免疫系统。随着信息技术的发展,组织的运行越来越依赖于信息技术。信息化环境下信息技术不但成为审计的对象,同时也成为审计的工具。为了适应我国审计信息化建设的需要,审计署已经成功开展了“金审工程”一期和二期的建设工作。同时,为了更好地实现审计工作“从单一的事后审计变为事后审计与事中审计相结合,从单一的静态审计变为静态审计与动态审计相结合,从单一的现场审计变为现场审计与远程审计相结合”这三个转变,国家审计署还成功开展了相关课题研究,探索了适合我国国情的联网审计实施方案。云计算技术的出现为今后开展联网审计提供了机遇,因此,研究云计算环境下的联网审计具有重要意义。本文结合云计算技术的研究与应用现状,研究云计算环境下的联网审计实现方法。

二、研究云计算环境下联网审计的必要性

(一)联网审计的特点

联网审计是指审计机关与被审计单位进行网络互连后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为,是一种“全新的审计理念与审计模式”(王刚,2005)。联网审计的原理如图1所示(国家863计划审计署课题组,2006;王智玉,2010)。从图1可以看出,联网审计在技术实现上主要分成四个部分:

1.数据采集:主要是完成对被审计单位电子数据的采集。目前,联网审计数据采集的实现是通过在被审计单位数据库服务器端放置一台称之为“数据采集前置机”的服务器,通过安装在“数据采集前置机”中的审计数据采集软件完成联网审计的数据采集工作。

2.数据传输:把采集来的电子数据通过网络传输到审计单位,以供审计分析使用。

3.数据存储:对于采集到的电子数据采取一定的方式进行存储。

4.数据分析处理:主要是对采集来的电子数据进行分析处理,发现审计线索。

基于以上分析,我国正在研究与实施的联网审计也可以看成是面向数据的联网审计,其原理可以看成是一个基于对采集来的审计数据进行分析,获取审计证据的过程。概括来说,我国的联网审计主要有以下特点:

1.联网审计环境下,审计数据被采集过来集中存储,数据量大,需要可扩展的数据存储设施。

2.某一行业的数据集中,为数据的比较分析提供了基础,数据信息全面,隐藏的或未知的信息较多,采集来的大量数据为审计数据分析提供了基础。为了能做到事中审计,或者是实时审计,需要强大、高效的数据处理设施。

3.在联网审计的各个环节,影响数据真实性和完整性的因素很多,为了能得到正确、可靠的审计证据,必须保证被采集来的数据是真实的和完整的,以减少审计风险。

(二)云计算的原理及特点

云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态、易扩展、且经常是虚拟化的资源。云计算包括的三个层次的服务模式如下:软件服务(SoftwareasaService,SaaS):为很多用户提供应用软件服务,用户不需要日常的IT操作人员。平台服务(PlatformasaService,PaaS):为很多用户提供运行应用软件的环境,用户需要维护自己的应用软件。设施服务(InfrastructureasaService,IaaS):为很多用户提供运行应用软件的环境,用户需要有自己的技术人员,如系统管理员、数据库人员、开发人员等。

概括来说,使用云计算主要具有以下优点(Armbrust等,2010):

1.可提供动态变化的计算环境。云计算平台能够按需对服务进行配置和管理,可以支持多种不同类型不同需求的应用;云平台能够根据需要分配资源,具有可伸缩性,对业务具有灵活性。

2.数据存储能力强大。云计算平台可提供海量存储环境,能够按需进行数据存取,支持海量数据管理和存储业务。

3.减少成本。使用云计算能够极大地提高硬件利用率,并能够在极短时间内升级到巨大容量,而不需要用户自己频繁地投资构建新的基础设施、培训新员工,不需要频繁地升级软件,从而减少成本。

4.具有强大、高效的数据处理能力。云计算在处理用户需要的信息计算处理时可将庞大的计算处理程序拆分成无数个子程序,然后将这些子程序交给由多部服务器组成的庞大系统进行搜索及计算分析,最后直接将处理结果回传给用户,这一过程可在极短时间内完成,因此具有强大、高效的数据处理能力。

5.能够提供专业、高效和相对安全的数据存储。好的云计算供应商能够提供专业、高效和相对安全的数据存储,用户运用云计算技术将数据存储在云平台中,相对于自己管理数据存储,能在一定程度上消除因各种安全问题导致数据丢失的顾虑。

然而,由于云计算环境下,所有软硬件以及电子数据都依托于云计算供应商,用户对这些软硬件以及数据失去控制。因此,不论什么样的云计算模式,都具有可控制性差的缺点,本文第四部分将分析应用云计算技术存在的风险。

(三)云计算技术的发展为开展联网审计提供了机遇

云计算技术的发展为开展联网审计提供了机遇,主要表现为以下四个方面:

1.云计算技术在一定程度上可以降低联网审计的实施与运行成本

针对目前联网审计的实施方法,联网审计的成本可分成一次性成本和经常性成本两部分(陈伟和尹平,2007;尹平和陈伟,2008)。一次性成本是指联网审计系统开发和执行的初始投资,主要包括:硬件成本、软件成本、人员培训费用、场地成本;经常性成本是指在联网审计系统整个生命周期内反复出现的运行和维护成本,主要包括:人员成本、硬件维护成本、软件维护成本、耗材成本、风险控制费用、其它费用等。现有的信息技术手段造成目前的联网审计模式实施与运行成本较高,这影响了我国联网审计的进一步发展。一般来说,采用云计算技术则没有任何基建投资,没有硬件购置成本、没有需要管理的软件许可证或升级、不需要雇佣新的员工或咨询人员,也不用承担机房空间、电力以及人力等成本。因此,采用云计算技术实现联网审计在一定程度上可以降低联网审计的实施与运行成本。

2.计算技术的应用使得研究云计算环境下的联网审计成为必然

近年来,云计算的概念已经普遍被人们接受,越来越多的信息系统将运行在云计算平台上,在我国“十二五”规划中云计算技术是重点发展的新一代信息技术。将来会有更多的被审计单位开始采用云计算平台运行自己的应用系统,这使得云计算平台成为审计单位的审计对象,因此,研究云计算环境下的联网审计将成为我国开展联网审计的一个重要部分。

3.政府信息化建设为开展云计算环境下的联网审计提供了机遇

近年来,各地政府投入了大量的资金用于信息化建设,有些政府已经建设了自己的云平台,在我国“十二五”规划中云计算技术是重点发展的新一代信息技术,这为开展云计算环境下的联网审计提供了机遇。

4.用云计算技术能更好地满足联网审计环境下海量数据分析的需要

为了更好地满足联网审计环境下海量数据分析的需要,应该充分利用新的信息技术提高审计效率,而云计算的出现为解决这一问题提供了机遇。

(四)云计算环境下联网审计方面的研究不多

云计算成为目前学术界研究的热点问题,一些国际重要学术会议,如2011IEEEInternationalConferenceonSystems,Man,andCybernetics等,还专门设立了关于云计算研究的专题。Armbrust等(2010)对云计算的研究情况进行了综述,国内学术界关于云计算方面的研究多集中在云技术本身的研究,如黄汝维等人(2011)针对云计算中的隐私保护问题,提出了支持隐私保护的云计算模型,并设计了一种支持隐私保护的基于矩阵和向量运算的可计算加密方案;李强等(2011)针对云计算基础设施中大规模虚拟机的放置问题,提出了云计算中虚拟机放置的自适应管理框架,提出了带应用服务级目标约束的虚拟机放置多目标优化遗传算法,用于制定框架中的虚拟机放置策略。国内外关于云计算在审计领域的研究与应用较少,Ernst和Young(2009)和Luann(2009)分析了云计算给审计带来的风险。尽管国内外已有较多的关于持续审计和联网审计方面的研究(Rezaee等,2002;Debreceny,2005;Du和Roohani,2006;Chou等,2007;国家863计划审计署课题组,2006;王智玉,2010;陈伟等,2008,2011;RutgersAccountingWeb,2012),但国内外尚缺少关于云计算环境下联网审计方面的研究。

三、云计算环境下的联网审计实现方法

基于目前我国联网审计的实现原理,本节从被审计单位使用云平台、审计单位使用云平台、审计单位和被审计单位都使用云平台这三种情况出发,研究云计算环境下适合我国联网审计特点的联网审计实现方法。审计单位在应用云计算技术时,至于采用SaaS、PaaS还是IaaS,将由审计单位根据自己的实际情况和需要来决定。

(一)被审计单位使用云平台

在这种情况下,由于被审计单位在云平台上运行自己的应用系统,存储自己的电子数据,审计单位在对被审计单位实施联网审计时,将被迫开展云计算环境下的联网审计。在这种情况下审计单位可采用的两种可行的联网审计实现方法如下。

1.审计部门可以借助被审计单位使用的云平台安装审计数据采集软件,完成联网审计的数据采集工作,然后把采集到的被审计数据传输到审计单位的数据存储系统中去,供审计人员分析处理,从而发现审计线索,获得审计证据。其原理如图2所示。审计单位也可以在自己的数据库服务器端安装运行数据采集软件,通过网络远程采集被审计单位云平台中的电子数据。

2.在条件许可的情况下,审计单位也可以借助被审计单位使用的云平台,运行审计数据分析软件,根据审计单位的审计请求,直接利用云平台强大的计算能力完成对被审计单位的审计数据分析,发现审计线索,获得审计证据,并把审计证据返回给审计端,从而完成联网审计的审计工作。其原理如图3所示。

(二)审计单位使用云平台

目前一些地方已建成用于电子政务的云计算平台,这为审计单位应用云计算技术提供了机遇。在这种情况下,审计单位利用云平台提供的平台服务和设施服务,把从被审计单位采集来的电子数据存储在云平台中,然后可以借助云平台提供的软件服务对采集来的电子数据进行分析取证。其原理如图4和图5所示。

(三)审计单位和被审计单位都采用云平台

在这种情况下,审计单位和被审计单位都采用云平台完成自己的工作。审计单位和被审计单位可能采用同一个云平台供应商,也可能采用不同的云平台供应商。其原理如图6和图7所示。

四、云计算环境下实施联网审计存在的风险

云计算环境下的联网审计可以充分利用云计算的优势,但在实际的应用中,应充分认识云计算给联网审计带来的风险,本节从基于云平台整体控制与应用控制的视角、基于云平台选择的视角、基于云平台服务的视角这三个方面出发,分析云计算环境下实施联网审计存在的风险。

(一)基于云平台整体控制与应用控制的视角

云计算环境下,审计单位和被审计单位所有软硬件以及电子数据都依托于云计算供应商,审计单位和被审计单位对这些软硬件以及数据失去控制。因此,云平台的整体控制与应用控制是风险控制的关键。基于云平台的整体控制与应用控制的视角,存在的主要风险包括:

1.灾难恢复与业务持续

云计算环境下,云计算供应商的灾难恢复与业务持续策略对联网审计有着重要的影响,主要表现为:云计算供应商如何考虑灾难恢复计划(DisasterRecoveryPlan)与业务持续计划(BusinessContinuityPlan)?审计单位和被审计单位的数据是否有备份?当发生灾难事故时,审计单位和被审计单位如何访问自己的备份数据?数据恢复的时间有多长?

2.数据安全问题

云计算环境下,审计单位和被审计单位的数据存储、传输和处理都由云供应商管理。所使用信息系统的物理控制和逻辑控制取决于云计算供应商,审计单位和被审计单位缺少对数据的物理控制。另外,审计单位和被审计单位对云计算供应商的工作人员情况缺少了解,有时候云计算供应商内部恶意或者是善意的工作人员可能会滥用权力访问审计单位和被审计单位的数据及应用系统。这会产生以下风险:在云计算供应方,谁可以访问你的数据?云计算供应商对自己的工作人员采取了哪些控制措施?云计算供应商如何管理自己的工作人员?云计算供应商是否具有职责分离控制措施?

3.数据隔离问题

云计算环境下,多个用户之间共享计算环境,缺少隔离,特别是公用云,一个应用系统可能会影响其他应用系统。云计算供应商如何保证审计单位和被审计单位的数据不被其他用户看到?数据如何加密?密钥如何管理?

4.数据完整性问题

云计算环境下,特别是公共云时,所有软硬件以及数据都依托于云计算供应商,有可能缺少防范数据修改的控制措施,不正确的访问控制或弱加密会导致各种数据风险,不能有效检测数据的修改。另外,云计算供应商采取的不正确的加密方法也会造成对审计单位和被审计单位数据的破坏,这都会影响审计单位和被审计单位数据的完整性。

5.监管规范问题

审计单位和被审计单位所采用的云计算平台是否有政府监管?是否符合相应的监管规范?是否有第三方审计或认正?被审计单位应用云平台是否会影响执行SOX(Sarbanes-OxleyAct)等。

(二)基于云平台选择的视角

目前,云计算供应商的数目繁多,许多传统的服务供应商也更名为云计算供应商。因此,审计单位和被审计单位在采用云计算开展联网审计时如何选择合适的云平台非常重要,审计单位和被审计单位应该根据自己的服务需求,尝试多个云供应商的基础设施,测试应用程序,选择最佳云供应商。关于云平台的选择,存在的主要风险分析如下:

1.经营状况

云计算供应商持续发展能力不确定。审计单位和被审计单位选择云计算供应商时应该考虑:云计算供应商的经营状况如何?如果云计算供应商破产,可能会造成数据的丢失,因此,如果云计算供应商破产,审计单位和被审计单位如何收回自己的数据?

2.服务水平协议(SLA)

服务水平协议(SLA)是一种衡量云供应商服务平台舒适度的方法。审计单位采用云计算技术开展联网审计时,要确保自己的服务水平协议(SLA)有一些保护条款。万一出现服务中断,云供应商能提供优厚的回报补偿。

3.性能

由于地理位置和云平台架构的不同,云供应商供应的应用程序性能结果也不同,因此,审计单位在选择云供应商时应该考虑云平台的地理位置和实际架构。

4.安全与保障

在选择云供应商时有没有考虑这些云供应商采取什么保障措施来保护客户的数据。

5.数据的存储与归属

云计算环境下,所有软硬件以及数据都依托于云计算供应商,审计单位和被审计单位不清楚自己的数据会被存储在什么地方,甚至都不知道数据位于哪个国家,也许会被存储在国外。因此,审计单位和被审计单位采用云计算开展联网审计时有没有考虑:自己的数据是如何被保护的?这些数据的存放地点在哪里?数据的归属问题?如果审计单位或被审计单位需要更换云计算供应商时,自己的数据是否可以转移到另一家云计算供应商。因此,审计单位和被审计单位采用云计算开展联网审计时,如果缺少数据存储与归属方面的考虑,将会给将来的联网审计运行造成潜在风险。

(三)基于云平台服务的视角

关于云平台的服务,存在的主要风险主要有:

1.服务支持

审计单位和被审计单位在使用云平台时,有没有考虑遇到了问题应该如何联系云供应商?联系哪些人?

2.服务可靠性

审计单位和被审计单位使用的云平台网络连接是否可靠?数据传输是否可靠?当网络出现故障时,云计算服务会出现中断,这会影响服务的可靠性。特别是对于一些规模小的审计单位和被审计单位在使用云平台时,由于采用较慢的因特网接口,相比于使用自己内部的软件平台,使用云计算平台速度会较慢。另外,审计单位和被审计单位对云计算供应商的灾难恢复过程依赖性强。

3.云平台的友好性

云平台的友好性是指审计单位和被审计单位选择的云平台的操作界面容易使用,人机交互性好,审计单位和被审计单位在使用云平台时,有没有考虑:云平台界面操作起来是否方便?云平台操作是否容易学习?云平台是否能防止审计单位和被审计单位用户的输入错误?审计单位和被审计单位用户的输入错误是否会对联网审计系统造成破坏?

五、总结

本文根据云计算技术的发展与应用现状,针对我国开展联网审计的特点和需要,探讨了云计算环境下如何实现联网审计,并分析了云计算环境下实施联网审计可能存在的主要风险。通过本文的研究可知,云计算环境下实施联网审计具有众多的优点,但同时云计算环境下实施联网审计又具有一定的缺点,比如:相对于非云计算环境下的联网审计,云计算环境下的联网审计具有较多的审计风险,如果在实施联网审计项目时盲目应用云计算技术,不能合理地处理云计算带来的风险,将会产生严重的潜在审计风险;云计算环境下,审计人员检测被审计单位所采用云平台的整体控制和应用控制情况将会变得相对困难,因此不能很好地确定采集来的电子数据是否可靠。综合以上分析,云计算环境下在实施联网审计时,应该充分利用云计算带来的优势,回避云计算带来的风险,根据需要和实际情况选择最佳实施方案。