云計(jì)算環(huán)境下企業(yè)審計(jì)風(fēng)險(xiǎn)論文范文
本站小編為你精心準(zhǔn)備了云計(jì)算環(huán)境下企業(yè)審計(jì)風(fēng)險(xiǎn)論文參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
一、云計(jì)算環(huán)境下企業(yè)風(fēng)險(xiǎn)變革
(一)對(duì)云服務(wù)提供商依賴性強(qiáng)企業(yè)在采用云服務(wù)(包括共有云、私有云和混合云)之后,云服務(wù)提供商會(huì)針對(duì)云技術(shù)使用者采用專用工具編寫軟件,并在特定的解決方案架構(gòu)上運(yùn)行,數(shù)據(jù)存儲(chǔ)的結(jié)構(gòu)等也與專用服務(wù)軟件或架構(gòu)等相適應(yīng),而企業(yè)經(jīng)營管理過程中使用的其他相關(guān)軟件中數(shù)據(jù)的存儲(chǔ)結(jié)構(gòu)等不一定與云技術(shù)中軟件的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)一致,當(dāng)企業(yè)需要將云端獲取的數(shù)據(jù)與其他數(shù)據(jù)相結(jié)合進(jìn)行加工時(shí),必然使云解決方案中的軟硬件及數(shù)據(jù)結(jié)構(gòu)不便與其他軟件等兼容。此外,云服務(wù)使用企業(yè)選定了云服務(wù)提供商之后,由于云服務(wù)提供商掌控著企業(yè)所需的軟硬件及相關(guān)資源,并且云技術(shù)使用企業(yè)建立的組織機(jī)構(gòu)與相關(guān)業(yè)務(wù)流程等也是在云解決方案的基礎(chǔ)上進(jìn)行的,企業(yè)更換云服務(wù)提供商的成本會(huì)非常高。因此,云技術(shù)使用者一旦選定了云技術(shù)服務(wù),便對(duì)云服務(wù)提供商產(chǎn)生了一定的依賴性,這種依賴性越強(qiáng),云服務(wù)使用者更換云服務(wù)提供商的可能性就越低,成本與風(fēng)險(xiǎn)就越高。
(二)企業(yè)對(duì)于云技術(shù)系統(tǒng)中的數(shù)據(jù)等資源缺乏主控能力一方面,多租戶云環(huán)境的本質(zhì)決定了云數(shù)據(jù)存儲(chǔ)會(huì)存在“地點(diǎn)盲區(qū)”,即如果云服務(wù)使用企業(yè)的數(shù)據(jù)是存放在私有云之外的云端,那么企業(yè)無法獲取數(shù)據(jù)的現(xiàn)存地點(diǎn)或者是曾經(jīng)存放的地點(diǎn)。另一方面,企業(yè)在采用云技術(shù)服務(wù)時(shí),數(shù)據(jù)都是存儲(chǔ)在不受企業(yè)自身直接控制的外部硬件上,而硬件都是云服務(wù)提供商控制的。因此無論云服務(wù)使用者采用哪種具體的云解決方案,他們可能都無法獲取或檢查系統(tǒng)的網(wǎng)絡(luò)運(yùn)行和安全事件日志。這些都使得企業(yè)對(duì)于云技術(shù)系統(tǒng)中的數(shù)據(jù)等資源缺乏主控能力,存在不同程度的風(fēng)險(xiǎn)。
(三)云技術(shù)系統(tǒng)中的數(shù)據(jù)安全性面臨極大挑戰(zhàn)在云計(jì)算技術(shù)環(huán)境下,雖然企業(yè)可以隨時(shí)憑借密碼等方式查詢相關(guān)數(shù)據(jù),但是卻無法直接有效地確認(rèn)數(shù)據(jù)有沒有被損壞、刪除或修改,或者有沒有被云服務(wù)提供商從一個(gè)服務(wù)器遷移到另一個(gè)服務(wù)器上。此外,在共有云與混合云的部署方式下,為了滿足多租戶應(yīng)用操作的需求,各租戶的敏感信息一般都是以明文的形式儲(chǔ)存在云端,非完全可信的云服務(wù)提供商可能會(huì)監(jiān)守自盜,租戶的敏感數(shù)據(jù)面臨極大的泄露風(fēng)險(xiǎn)。同時(shí),當(dāng)存儲(chǔ)于同一云端的多用戶數(shù)據(jù)中的其中任何一個(gè)用戶的敏感數(shù)據(jù)成為黑客攻擊對(duì)象時(shí),云服務(wù)使用企業(yè)的數(shù)據(jù)極有可能會(huì)面臨連帶的泄露風(fēng)險(xiǎn)。
二、基于云計(jì)算的風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式下的審計(jì)風(fēng)險(xiǎn)辨析
風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的基本思路是以審計(jì)風(fēng)險(xiǎn)的分析評(píng)估為基礎(chǔ)制定審計(jì)程序,確定會(huì)計(jì)資料的審點(diǎn)和抽樣規(guī)模,以驗(yàn)證財(cái)務(wù)報(bào)表是否真實(shí)公允。其最大的特點(diǎn)便是審計(jì)所面臨的風(fēng)險(xiǎn)是注冊會(huì)計(jì)師決策編制審計(jì)程序的依據(jù),注冊會(huì)計(jì)師通過對(duì)審計(jì)風(fēng)險(xiǎn)的量化和控制確定審計(jì)證據(jù)的充分性和適當(dāng)性。因此,審計(jì)風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)實(shí)施的重要前提和保證。
(一)傳統(tǒng)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式下的審計(jì)風(fēng)險(xiǎn)辨析在風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的理念下,審計(jì)風(fēng)險(xiǎn)主要來源于幾個(gè)方面。首先,審計(jì)風(fēng)險(xiǎn)會(huì)受到企業(yè)的固有風(fēng)險(xiǎn)因素的影響,即被審計(jì)單位經(jīng)營過程中所固有的風(fēng)險(xiǎn),比如管理人員的品行和能力、企業(yè)所處社會(huì)經(jīng)濟(jì)環(huán)境等導(dǎo)致的風(fēng)險(xiǎn)。其次,審計(jì)風(fēng)險(xiǎn)受到內(nèi)部控制風(fēng)險(xiǎn)因素的影響,即賬戶余額或各類交易存在錯(cuò)誤,但內(nèi)部控制未能控制或發(fā)現(xiàn)而存在的風(fēng)險(xiǎn)。第三,審計(jì)風(fēng)險(xiǎn)受到注冊會(huì)計(jì)師實(shí)施審計(jì)程序而仍未能發(fā)現(xiàn)賬戶余額或各類交易存在錯(cuò)報(bào)風(fēng)險(xiǎn)的影響。
(二)基于云計(jì)算的風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式下的審計(jì)風(fēng)險(xiǎn)辨析如上所述,接受云技術(shù)服務(wù)的企業(yè)所面臨的風(fēng)險(xiǎn)產(chǎn)生了巨大的變化,審計(jì)對(duì)象相關(guān)風(fēng)險(xiǎn)的變化必將影響到注冊會(huì)計(jì)師的審計(jì)風(fēng)險(xiǎn)。因此,作為審計(jì)人員應(yīng)該能夠識(shí)別云計(jì)算給企業(yè)帶來的風(fēng)險(xiǎn)演化為審計(jì)風(fēng)險(xiǎn)的可能性,辨識(shí)不確定性因素以及隱藏其中的風(fēng)險(xiǎn),在評(píng)估風(fēng)險(xiǎn)時(shí)采取針對(duì)性的措施。1.在評(píng)估審計(jì)風(fēng)險(xiǎn)時(shí),應(yīng)擴(kuò)大固有風(fēng)險(xiǎn)評(píng)估的范圍在云計(jì)算的商業(yè)應(yīng)用中,除了部分的私有云之外,其他絕大多數(shù)云解決方案都使得企業(yè)對(duì)云解決方案中涉及的軟硬件以及數(shù)據(jù)缺乏直接的管控。因此,在評(píng)估審計(jì)風(fēng)險(xiǎn)的固有風(fēng)險(xiǎn)時(shí),除了要針對(duì)傳統(tǒng)的固有風(fēng)險(xiǎn)的影響因素進(jìn)行評(píng)估之外,必須要將云技術(shù)服務(wù)引發(fā)的風(fēng)險(xiǎn)作為評(píng)估的固有風(fēng)險(xiǎn)之一。首先,對(duì)企業(yè)所采用的云服務(wù)交付模式進(jìn)行風(fēng)險(xiǎn)評(píng)估。一般來講,企業(yè)采用的云服務(wù)模式不同,其自身的控制權(quán)就不同,從而企業(yè)的固有風(fēng)險(xiǎn)也不同,它們之間的關(guān)系如圖1所示。在基于私有云的IaaS模式下,企業(yè)自身保留的控制程度相對(duì)較高,其固有風(fēng)險(xiǎn)相對(duì)較小。反之,在基于公共云的SaaS模式下,企業(yè)自身的控制程度較低,從而其固有風(fēng)險(xiǎn)較高。因此,注冊會(huì)計(jì)師在對(duì)企業(yè)的固有風(fēng)險(xiǎn)進(jìn)行評(píng)估時(shí),需要對(duì)企業(yè)采用的云服務(wù)交付模式進(jìn)行風(fēng)險(xiǎn)評(píng)估,確定固有風(fēng)險(xiǎn)。其次,增加對(duì)簽約云服務(wù)提供商以及共同租戶的風(fēng)險(xiǎn)評(píng)估。一是要對(duì)簽約云服務(wù)提供商可能引發(fā)的對(duì)企業(yè)的連帶風(fēng)險(xiǎn)進(jìn)行評(píng)估,包括簽約云服務(wù)提供商對(duì)云技術(shù)的掌控程度、其控制環(huán)境的穩(wěn)定性、對(duì)數(shù)據(jù)存儲(chǔ)控制的安全性和合規(guī)性等方面。二是要對(duì)處于同一云計(jì)算技術(shù)系統(tǒng)中的其他租戶隱含的可能會(huì)關(guān)聯(lián)本企業(yè)的風(fēng)險(xiǎn)進(jìn)行評(píng)估,包括其他租戶云技術(shù)使用的穩(wěn)定性、敏感數(shù)據(jù)被攻擊的可能性等。第三,對(duì)采用云技術(shù)服務(wù)的企業(yè)管理人員及相關(guān)人員的云技術(shù)相關(guān)知識(shí)與能力進(jìn)行風(fēng)險(xiǎn)評(píng)估。企業(yè)管理人員及相關(guān)人員在整個(gè)云計(jì)算技術(shù)的營運(yùn)過程中起著關(guān)鍵性的主導(dǎo)作用,如果企業(yè)管理人員及相關(guān)實(shí)施人員對(duì)云技術(shù)毫無所知或者對(duì)云技術(shù)的使用非常抵觸,那么云技術(shù)使用企業(yè)的固有風(fēng)險(xiǎn)必然隨之增加。因此,在評(píng)估采用云技術(shù)服務(wù)企業(yè)的固有風(fēng)險(xiǎn)時(shí),應(yīng)增加對(duì)管理人員評(píng)估的內(nèi)容,采取問卷調(diào)查法、座談法等對(duì)管理人員及相關(guān)實(shí)施人員對(duì)采用云計(jì)算技術(shù)的態(tài)度以及對(duì)云技術(shù)相關(guān)知識(shí)的掌握,尤其是云技術(shù)產(chǎn)生的風(fēng)險(xiǎn)及對(duì)風(fēng)險(xiǎn)的識(shí)別與控制能力進(jìn)行詳細(xì)了解,確定其人員方面的固有風(fēng)險(xiǎn)。2.對(duì)被審計(jì)單位基于云計(jì)算環(huán)境的內(nèi)部控制風(fēng)險(xiǎn)進(jìn)行評(píng)估筆者認(rèn)為,云技術(shù)的使用會(huì)影響到注冊會(huì)計(jì)師在對(duì)被審計(jì)單位內(nèi)部控制風(fēng)險(xiǎn)的評(píng)估,包括內(nèi)部控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息溝通和監(jiān)督五個(gè)方面。(1)云技術(shù)的使用使得企業(yè)的內(nèi)部控制環(huán)境發(fā)生了變化。傳統(tǒng)的內(nèi)部控制環(huán)境風(fēng)險(xiǎn)評(píng)估一般包括對(duì)員工職業(yè)道德和勝任能力、董事會(huì)及監(jiān)事會(huì)的參與、管理理念與經(jīng)營作風(fēng)、組織機(jī)構(gòu)、權(quán)力和責(zé)任的規(guī)定等方面的評(píng)估,企業(yè)采用云技術(shù)之后,注冊會(huì)計(jì)師評(píng)估被審計(jì)單位的內(nèi)部控制環(huán)境時(shí)需要增加對(duì)云技術(shù)應(yīng)用引起的內(nèi)部控制環(huán)境新變化可能帶來的風(fēng)險(xiǎn)進(jìn)行評(píng)估。一是應(yīng)增加對(duì)員工在云技術(shù)應(yīng)用與風(fēng)險(xiǎn)控制方面的勝任能力的風(fēng)險(xiǎn)評(píng)估;二是增加對(duì)云技術(shù)應(yīng)用引起的組織機(jī)構(gòu)變化方面的風(fēng)險(xiǎn)評(píng)估,比如企業(yè)不需要單獨(dú)的IT部門與相關(guān)的運(yùn)行軟硬件,數(shù)據(jù)計(jì)算與存儲(chǔ)的軟硬件以及數(shù)據(jù)集中在云端由云服務(wù)提供商進(jìn)行維護(hù)、管理;三是權(quán)力和責(zé)任的規(guī)定方面應(yīng)增加對(duì)企業(yè)與云服務(wù)提供商之間在云服務(wù)協(xié)議中規(guī)定的各種權(quán)力和責(zé)任可能引起的風(fēng)險(xiǎn)進(jìn)行評(píng)估。(2)注冊會(huì)計(jì)師應(yīng)針對(duì)云計(jì)算環(huán)境下企業(yè)對(duì)內(nèi)部控制的風(fēng)險(xiǎn)評(píng)估進(jìn)行再評(píng)估。風(fēng)險(xiǎn)評(píng)估即確定什么地方可能出錯(cuò),會(huì)有什么影響。通常認(rèn)為風(fēng)險(xiǎn)來自經(jīng)營環(huán)境的變化、采用新的信息系統(tǒng)、新技術(shù)的應(yīng)用等。云計(jì)算技術(shù)的應(yīng)用帶來了企業(yè)經(jīng)營環(huán)境的重大變化,并且對(duì)企業(yè)的組織機(jī)構(gòu)設(shè)置、業(yè)務(wù)流程、人員的權(quán)責(zé)分工等多個(gè)方面都產(chǎn)生了深刻的影響。因此,注冊會(huì)計(jì)師應(yīng)合理評(píng)估企業(yè)在采用云計(jì)算新技術(shù)后有無合理針對(duì)云計(jì)算技術(shù)帶來的變化進(jìn)行有效的內(nèi)部控制,并基于云技術(shù)風(fēng)險(xiǎn)對(duì)這些內(nèi)部控制措施的全面性、有效性等進(jìn)行風(fēng)險(xiǎn)評(píng)估。(3)在控制活動(dòng)方面,應(yīng)增加對(duì)企業(yè)針對(duì)云技術(shù)應(yīng)用引起的風(fēng)險(xiǎn)所采取的措施和行動(dòng)方面的風(fēng)險(xiǎn)評(píng)估。包括針對(duì)云技術(shù)應(yīng)用加強(qiáng)人員對(duì)于云技術(shù)知識(shí)的培訓(xùn)與風(fēng)險(xiǎn)識(shí)別能力的培訓(xùn);針對(duì)云技術(shù)應(yīng)用的新模式重組業(yè)務(wù)流程以控制云技術(shù)應(yīng)用流程中可能存在的風(fēng)險(xiǎn);對(duì)于存儲(chǔ)在云端的數(shù)據(jù)有合理有效的保密、安全措施;與云服務(wù)提供商之間責(zé)權(quán)明確,能有效控制云服務(wù)提供商對(duì)本企業(yè)數(shù)據(jù)計(jì)算與存儲(chǔ)的安全。(4)加強(qiáng)對(duì)企業(yè)人員與云技術(shù)服務(wù)提供商之間的信息溝通的風(fēng)險(xiǎn)評(píng)估。在云計(jì)算環(huán)境下,企業(yè)所處的信息化環(huán)境有別于傳統(tǒng)的信息化環(huán)境,即企業(yè)的軟硬件以及數(shù)據(jù)都存儲(chǔ)在云系統(tǒng)中,由云技術(shù)服務(wù)提供商管理,因此,企業(yè)人員能夠及時(shí)與云技術(shù)服務(wù)提供商進(jìn)行有效的信息溝通,并將獲取的信息及時(shí)與企業(yè)內(nèi)部其他部門和人員進(jìn)行溝通將是影響云技術(shù)應(yīng)用企業(yè)內(nèi)部控制風(fēng)險(xiǎn)的一個(gè)重要因素,從而注冊會(huì)計(jì)師能否正確評(píng)估被審計(jì)單位在云技術(shù)服務(wù)過程中的信息溝通風(fēng)險(xiǎn)成為影響審計(jì)風(fēng)險(xiǎn)評(píng)估的重要因素。(5)加強(qiáng)對(duì)企業(yè)云計(jì)算環(huán)境下內(nèi)部控制監(jiān)督措施的風(fēng)險(xiǎn)評(píng)估。采用云技術(shù)服務(wù)的企業(yè)由于其對(duì)云技術(shù)服務(wù)商的依賴以及云計(jì)算技術(shù)自身存在諸多潛在的不易發(fā)現(xiàn)的風(fēng)險(xiǎn),企業(yè)對(duì)云計(jì)算環(huán)境下的內(nèi)部控制措施的有效監(jiān)督是內(nèi)部控制實(shí)施的必要條件,是影響內(nèi)部控制風(fēng)險(xiǎn)的重要因素。因此,注冊會(huì)計(jì)師必須對(duì)企業(yè)云計(jì)算環(huán)境下內(nèi)部控制監(jiān)督措施的合理性、有效性進(jìn)行風(fēng)險(xiǎn)評(píng)估。包括企業(yè)對(duì)基于云計(jì)算技術(shù)應(yīng)用風(fēng)險(xiǎn)的內(nèi)部控制有沒有合理有效的監(jiān)督措施,這些措施是否得到有效實(shí)施。3.對(duì)被審計(jì)單位在云計(jì)算環(huán)境下實(shí)施的審計(jì)程序進(jìn)行風(fēng)險(xiǎn)評(píng)估審計(jì)程序是指注冊會(huì)計(jì)師在審計(jì)工作中可能采用的,用以獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)從而用以發(fā)表恰當(dāng)?shù)膶徲?jì)意見的程序,而云計(jì)算技術(shù)的應(yīng)用使得傳統(tǒng)的審計(jì)程序無法充分、適當(dāng)?shù)卦谠朴?jì)算環(huán)境中獲取審計(jì)證據(jù)。因此,在云計(jì)算環(huán)境下,注冊會(huì)計(jì)師能否針對(duì)云技術(shù)實(shí)施有效的審計(jì)程序,以及從云技術(shù)服務(wù)提供商的云系統(tǒng)中獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)是影響審計(jì)風(fēng)險(xiǎn)的新生因素。注冊會(huì)計(jì)師必須針對(duì)云計(jì)算應(yīng)用技術(shù)構(gòu)建或是改進(jìn)審計(jì)程序:一是基于云技術(shù)調(diào)整審計(jì)程序的具體實(shí)施步驟;二是針對(duì)云計(jì)算技術(shù)環(huán)境改進(jìn)審計(jì)程序中的個(gè)別環(huán)節(jié),比如內(nèi)部控制測評(píng)、運(yùn)用審計(jì)方法獲取審計(jì)證據(jù)、實(shí)質(zhì)性測試所需的審計(jì)技術(shù)與方法等。
三、結(jié)束語
如上所述,云技術(shù)的應(yīng)用改變了企業(yè)的商業(yè)營運(yùn)環(huán)境,為其帶來巨大的變革,在給企業(yè)帶來機(jī)會(huì)與潛在收益的同時(shí)也帶來了風(fēng)險(xiǎn)。而對(duì)被審計(jì)企業(yè)的風(fēng)險(xiǎn)識(shí)別與評(píng)估是影響審計(jì)風(fēng)險(xiǎn)的重要因素。因此,云技術(shù)帶來的風(fēng)險(xiǎn)不僅影響著云技術(shù)應(yīng)用企業(yè),而且也對(duì)審計(jì)風(fēng)險(xiǎn)產(chǎn)生了極大的影響。上文基于云技術(shù)服務(wù)應(yīng)用企業(yè)風(fēng)險(xiǎn)變化的審計(jì)風(fēng)險(xiǎn)辨析的討論繼承了風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式的基本理念,即在審計(jì)過程中以風(fēng)險(xiǎn)為入手點(diǎn),對(duì)產(chǎn)生風(fēng)險(xiǎn)的各個(gè)環(huán)節(jié)進(jìn)行詳細(xì)的分析,對(duì)產(chǎn)生風(fēng)險(xiǎn)的各個(gè)環(huán)節(jié)進(jìn)行評(píng)價(jià),分析了云計(jì)算環(huán)境下審計(jì)風(fēng)險(xiǎn)評(píng)估的三個(gè)方面的變化,引導(dǎo)審計(jì)資源關(guān)注云技術(shù)服務(wù)的使用給企業(yè)以及注冊會(huì)計(jì)師帶來的風(fēng)險(xiǎn)變化,使得注冊會(huì)計(jì)師對(duì)于風(fēng)險(xiǎn)評(píng)估結(jié)果更為全面、正確,從而更有效地實(shí)現(xiàn)審計(jì)目標(biāo)。
作者:丁淑芹單位:青島理工大學(xué)商學(xué)院
