云會計下基于COBIT 標準的AIS 審計實施研究

程平 李寧

一、引言

云計算、移動互聯(lián)網、通訊等技術的迅猛發(fā)展催生了會計信息化領域的新變革——“云會計”。云會計“按需購買，集中管理”的服務模式讓企業(yè)不需保留會計信息化基礎設施，只需接入一根網線，便可享用云端實時更新的會計云服務。企業(yè)所購買的會計云服務“無縫對接”成適合自身財務、業(yè)務管理需求的會計信息系統(tǒng)（Accounting Information System，以下簡稱AIS）。AIS審計是針對AIS實施的IT審計，旨在采用客觀的標準對AIS的策劃、開發(fā)、使用和維護等相關活動進行完整的、有效的檢查和評估。企業(yè)在享用云會計高效率、低成本、易更新維護、易與外部信息系統(tǒng)協(xié)同、為大數(shù)據(jù)決策提供支撐等優(yōu)勢的同時，也越來越關注云會計下AIS的效率性、有效性，數(shù)據(jù)與信息資產的安全性、完整性等方面，這就對云會計下的AIS審計提出了更高層次的要求。

對信息系統(tǒng)查防錯弊的IT審計已經得到業(yè)界與學界的廣泛關注。安廣實等人從固有風險、控制風險、檢查風險三個層面分析IT審計風險的構成因素，提出了應對IT審計風險的措施與建議。崔應留等人認為需要首先對IT外包中產生的項目選擇風險、外包合同風險、交付與驗收風險等方面分析之后才能進行IT審計，便于IT外包風險管控。張輝等人通過對我國商業(yè)銀行IT審計不足的分析，結合國際上通用準則提出了以業(yè)務為中心、以準則為導向的IT審計改進措施。劉杰在分析我國IT審計準則建設與制定缺失的基礎上，制定出了一個IT審計準則框架。

綜觀上述文獻研究，有關IT審計的大部分研究還是限于較為籠統(tǒng)的理論論述，較少與實踐應用結合，且針對云會計的AIS審計探討更為鮮見。由于云會計服務模式與傳統(tǒng)財務軟件相比有很大變化，其AIS審計也不能照搬傳統(tǒng)財務軟件的審計方式，需將新情況下企業(yè)目標與IT目標結合考慮，制定出適合云會計的AIS審計模式，這也正是國際上通用的IT審計標準COBIT（Control Objectives for Information and related Technology，信息及相關技術控制目標）中的核心理念。鑒于此，本文通過對比云會計與傳統(tǒng)財務軟件，歸納出云會計下AIS審計面臨的挑戰(zhàn)，然后結合COBIT標準構建了一個云會計下的AIS審計實施框架，該框架可以指導和規(guī)范AIS審計在云會計中的實施。

二、云會計下AIS審計面臨的挑戰(zhàn)

（一）審計環(huán)境復雜多變

云會計環(huán)境不同于傳統(tǒng)的財務軟件環(huán)境，其“按需定制，集中管理”的動態(tài)部署服務模式增強了審計環(huán)境的動態(tài)性和復雜性。在傳統(tǒng)的財務軟件環(huán)境下，審計人員可以較為準確地判斷各個應用系統(tǒng)的邊界，以及每個系統(tǒng)使用的操作系統(tǒng)和數(shù)據(jù)庫的類型及版本，然而云會計下企業(yè)按需定制若干會計云服務，這些云端的服務自動“無縫對接”成企業(yè)的AIS，并且隨企業(yè)需求的變更動態(tài)調整，這就使得系統(tǒng)間劃分不明顯，系統(tǒng)內部之間各模塊勾稽關系更復雜。此外，相應的操作系統(tǒng)和數(shù)據(jù)庫由云會計供應商構建于云端，其運行情況、版本控制等對用戶不透明，更增加了審計環(huán)境的復雜性。

（二）AIS內部控制有效性動態(tài)變化

AIS內部控制制度的合理設計及有效實施是AIS審計中衡量被審計單位AIS運行的有效性、數(shù)據(jù)處理的合法性、正確性的主要標準。會計云服務可以在云端自動定期維護與更新升級，減輕了管理層對AIS更新與維護的關注程度，但增大了由于自動更新對AIS內部控制未能及時對更新做出相應調整而造成的設計失效風險，使得AIS內部控制的有效性呈現(xiàn)動態(tài)變化。針對技術快速更新、版本迅速迭代的云會計下的AIS進行審計，審計人員如果仍然按照傳統(tǒng)的IT審計標準評價AIS一般控制和應用控制，就難以及時查防錯弊、合理評價和指導AIS內部控制的設計與執(zhí)行。

（三）審計證據(jù)來源多樣化

當前AIS審計證據(jù)主要從用戶處獲取，然而云會計服務模式較傳統(tǒng)AIS具有本質性區(qū)別，使其AIS審計證據(jù)來源多樣化，這就需要從用戶、云會計供應商、第三方評估機構等多個來源獲取審計證據(jù)。云會計服務模式下，用戶享用購買的會計云服務而不需購買和保留提供這些服務的基礎設施、技術架構、維護人員等，因此關于服務的基礎設施等一般控制層面的審計證據(jù)主要從云會計供應商處獲取，在用戶處獲取應用控制層面的審計證據(jù)。此外，云會計環(huán)境復雜多變，IT審計人員必要時還需借助第三方評估機構對云會計下AIS可信性評價得出的專業(yè)評價結果。審計證據(jù)來源的多樣化無疑增加了云會計下AIS審計工作的復雜性。

（四）審計測試方法有待改進

當前AIS審計測試方法仍然沿用財務審計的測試方法，如在控制測試中通過詢問、觀察、檢查、穿行測試等方法測試控制設計的有效性，通過審計抽樣配合檢查測試控制執(zhí)行的有效性。會計云服務可以根據(jù)用戶需求“任意拼接”使得交易流程重構次數(shù)顯著增加，不僅為審計人員了解交易流程、制定審計計劃與策略增加了復雜度，還對當前的傳統(tǒng)測試方法如僅依靠人工進行穿行測試的可行性和有效性提出了挑戰(zhàn)。此外，僅僅依靠檢查程序變更上線測試文件等方法難以獲取動態(tài)的云會計下AIS有效運行的審計證據(jù)，還需要采用一套科學合理的方法對云會計下的AIS進行可信性評價。

三、云會計下基于COBIT標準的AIS審計框架

（一）云會計AIS審計標準的應用實施分析

COBIT是由國際信息系統(tǒng)審計與控制協(xié)會（Information System Audit and Control Association，簡稱ISACA）最早于1996年制定的基于控制、關注業(yè)務、面向過程、度量驅動的IT治理規(guī)范。經過數(shù)年的演進，該規(guī)范現(xiàn)已更新至5.0版本，它融合了ISO/IEC 38500、ISO/IEC 31000、ITIL、CMMI、PNBOK、COSO等國際標準，成為目前國際上公認的最為權威的IT管理與治理標準，同時也是國際通用的IT審計標準。

表1 云會計下AIS 一般控制應關注的風險點

相比國際上眾多其他IT審計準則，COBIT的內容覆蓋信息系統(tǒng)整個生命周期中的各個過程，可指導開展基于風險的過程導向的IT審計，涉及IT治理、內部控制、IT服務、信息安全等多方面。而且，COBIT能夠與其他IT審計準則較好地融合，它在特定的領域顯得更加完善。COBIT的國際認可度最高，已在全世界一百六十多個國家和地區(qū)的重要組織與企業(yè)中得到運用。

COBIT 5 融合了COBIT 4.1 中經典的流程參考模型，涵蓋計劃與組織、獲取與實施、服務與支持、監(jiān)控與評價四個管理流程域，并增加了評估、指導、監(jiān)控的治理流程域，全面指導企業(yè)的IT治理。此外，從財務、顧客、內部、學習和成長4個維度設計IT平衡記分卡，每個維度下設計若干個企業(yè)目標和IT目標，構造出企業(yè)目標與IT目標的映射表，使得COBIT成為了溝通公司治理與IT治理的橋梁與紐帶。COBIT 4.1 中提出的包含戰(zhàn)略規(guī)劃、技術解決方案、業(yè)績衡量、成熟度模型、最佳案例、成功關鍵因素、審計指南等文檔的經典框架體系已被企業(yè)及IT審計人員廣泛沿用，然而COBIT相關流程和控制目標的通用性和普適性使得其在應用中缺乏針對性，需將其與特定應用領域的實際情況相結合之后改進，才能發(fā)揮出應有的效應。

基于以上理解和分析，本文借鑒COBIT為云會計下AIS審計的主要標準，考慮云會計的服務模式和技術特性，結合我國信息系統(tǒng)審計及其應用領域的《企業(yè)內部控制基本規(guī)范》及其配套指引、《中國注冊會計師執(zhí)業(yè)準則》、《內部審計具體準則第28號——信息系統(tǒng)審計》、《商業(yè)銀行信息科技風險指引》等業(yè)務準則和相關行業(yè)規(guī)范，為云會計AIS審計的設計與實施提供理論指導與實踐指引。

由于服務的基礎設施處于云會計供應商的掌控之下，服務程序的設計等軟件層面技術對用戶來說往往是不透明的，僅僅依靠審計人員對會計云服務進行系統(tǒng)性了解以評估AIS 審計風險往往耗費大量時間與資源，并且IT 審計人員并不一定都熟悉云會計技術與理念，這樣評估結果的可靠性也難以保證。因此，需要借助外部專家的工作——由專家或第三方評估機構對云會計的可信性進行評價。

（二）實施框架

借鑒COBIT 5 中的流程參考模型，結合云會計自身特點，本文構建了云會計下基于COBIT標準的AIS審計實施框架，如圖1所示。

下面針對圖1所示框架的每個流程中云會計下AIS審計應關注的要點進行詳細描述。

1.制定審計目標

審計人員在接受業(yè)務委托后，在考慮企業(yè)目標、IT目標的基礎上，根據(jù)業(yè)務的性質結合審計可以使用到的資源明確審計的目標、時間與范圍，并擬定審計報告涉及內容的范圍。不同性質的AIS審計，審計目標的側重點不同，如財報審計中的AIS審計旨在發(fā)現(xiàn)重大賬戶余額、交易類型、披露事項或財務報表層次產生重大錯報的風險而對AIS了解，更加關注AIS是否有效運行，處理與生成的財務業(yè)務數(shù)據(jù)是否真實完整，是否會影響財務報表。內部AIS審計更加關注AIS業(yè)務流程、信息資源與企業(yè)策略和目標的結合程度、實現(xiàn)程度。盡管不同性質的AIS審計目標不完全一致，評價AIS可信性水平是云會計下AIS審計的一個共同目標，以對會計信息的輸入、處理和輸出流程符合用戶預期，以及AIS產生的會計信息所具有的相關性和可靠性等會計信息質量特征符合企業(yè)各級管理人員、審計人員、稅務部門、投資者等會計信息使用者的預期獲取合理保證。

2.風險評估

云端的服務自動更新維護、用戶需求不斷變化等因素都使得云會計環(huán)境始終處于動態(tài)變化之中，相比于傳統(tǒng)AIS，審計人員面臨的審計環(huán)境更為復雜，因此風險評估是云會計下AIS審計中至關重要的環(huán)節(jié)。

由于服務的基礎設施處于云會計供應商的掌控之下，服務程序的設計等軟件層面技術對用戶來說往往是不透明的，僅僅依靠審計人員對會計云服務進行系統(tǒng)性了解以評估AIS審計風險往往耗費大量時間與資源，并且IT審計人員并不一定都熟悉云會計技術與理念，這樣評估結果的可靠性也難以保證。因此，需要借助外部專家的工作——由專家或第三方評估機構對云會計的可信性進行評價。通過了解客戶的信息技術環(huán)境，包括審計客戶實施的信息技術政策和程序，云會計供應商的資質、技術水平、服務協(xié)議的范圍與標準、云會計基礎設施構建等情況，考察諸如AIS對相關業(yè)務的財務處理與管理控制中遵照相關會計法律法規(guī)、規(guī)章制度以及會計信息化領域中諸如《會計核算軟件基本功能規(guī)范》等法規(guī)的符合程度，即合規(guī)性等可信屬性，借助業(yè)界和學界相對認可的可信性評價方法得到科學合理的可信性評價結論。

此外，審計人員應當結合審計客戶具體情況詳細了解當前使用的會計云服務及其可持續(xù)性、AIS內部控制與AIS的適應程度、AIS內部控制是否及時調整等等。在了解企業(yè)戰(zhàn)略和業(yè)務目標，結合業(yè)務流程分析并考慮可信性評價結果的基礎上，得出可能存在的威脅及威脅發(fā)生的可能性，根據(jù)風險因素及關鍵風險指標構建各個風險事項的二維風險矩陣對風險進行定性和定量的評估。

3.制定審計計劃

根據(jù)風險評估的結果，考慮企業(yè)的IT管理框架、人力資源配置、對會計云服務的業(yè)務需求以及當前正在使用的會計云服務組合等因素，制定出較為詳細的審計計劃，規(guī)劃出審計日程表，包括審計時間、范圍、所需的人力物力資源。審計范圍的確定應當將本期所有使用過的會計云服務都納入審計范圍，包括當前正在使用、審計期間內曾使用但當前未使用的會計云服務。在人力資源的分配方面，結合風險評估對供應商、企業(yè)業(yè)務流程的了解，應向高風險領域投入較多具有勝任能力的審計人員，如了解業(yè)務流程邏輯、對云會計技術背景熟悉的人員。

4.設計審計程序

將云會計下AIS控制劃分為三個層級，分別為AIS一般控制、AIS應用控制以及管理層AIS控制，分別實施特定審計程序。

（1）AIS一般控制

由于云會計服務模式的特殊性，基礎設施和服務均由云會計供應商提供，用戶僅需接入互聯(lián)網就可使用購買的會計云服務，因此，云會計下AIS一般控制需要從云會計供應商和用戶兩個角度考量控制設計和執(zhí)行的有效性，這樣不僅使得AIS審計過程和結論更加可靠，還能在很大程度上規(guī)范云會計供應商的行為，有利于云會計產業(yè)環(huán)境健康發(fā)展，從而使得用戶最終受益。云會計下AIS一般控制關注的風險點主要有服務更新、基礎設施變更（包括操作系統(tǒng)、服務器、數(shù)據(jù)庫、網絡設備等）、訪問安全、數(shù)據(jù)安全、網絡安全等5個方面，其中SaaS（軟件即服務）涉及服務更新和訪問安全2個方面，PaaS（平臺即服務）和IaaS（基礎設施即服務）涉及基礎設施變更、訪問安全、數(shù)據(jù)安全、網絡安全4個方面，如表1所示。

區(qū)分云會計供應商與用戶來考慮AIS一般控制給AIS審計增加了工作量與復雜度，但是，由于會計云服務的大規(guī)模性與一定程度上的公用性，使得對相同云會計供應商的一般控制測試流程與內容重復度極高，也相應的降低了審計負荷。

（2）AIS應用控制

相比一般控制能依據(jù)較為統(tǒng)一的標準規(guī)范進行AIS審計，應用控制則難以參照一致的規(guī)范，需根據(jù)審計客戶的業(yè)務特點、管理流程設計特定的審計程序。會計云服務的普適性使得AIS審計更應關注AIS應用控制，尤其是業(yè)務流程相關的控制。COBIT的關鍵理念是將IT治理目標與企業(yè)目標相結合，在云會計下，這種結合更應體現(xiàn)為會計云服務的應用控制流程與企業(yè)業(yè)務流程控制、AIS內部控制的契合程度。企業(yè)選擇適合自身財務業(yè)務管理需要的會計云服務，并將自身業(yè)務流程、AIS內部控制加以調整，以便與AIS業(yè)務流程相適應，促使云會計對企業(yè)的效用最大化。在遵循COBIT標準進行AIS審計時，先從企業(yè)的控制目標入手，分析實現(xiàn)相關控制目標的業(yè)務流程合理性，找出業(yè)務流程中的關鍵風險點，分析當前使用的會計云服務針對該關鍵風險點的AIS應用控制，設計出控制點檢查表，依據(jù)控制點所在的業(yè)務流程制定穿行測試路徑。

會計云服務選擇的多樣性使得業(yè)務流程跟隨企業(yè)的服務需求變化而不斷重構，同時導致應用控制測試程序的設計復雜度提高。在企業(yè)交易業(yè)務流程極其復雜的情況下，審計人員可以借助專業(yè)的自動化測試軟件結合大數(shù)據(jù)分析進行大量的穿行測試，然而通常情況下，最重要的風險只能通過熟悉行業(yè)、企業(yè)業(yè)務的專業(yè)人員手動分析發(fā)現(xiàn)，如業(yè)務交易撤銷記錄漏洞等邏輯錯誤。因此，要求審計人員不僅需具備IT、財務、企業(yè)管理等方面的知識，還需具備較強的業(yè)務流程、業(yè)務邏輯分析能力。如果審計人員難以勝任，就應當在一定程度上利用外部專家的工作，例如利用外部專家或第三方評價機構對云會計下AIS可信性評價結論，或針對某個特定目標如數(shù)據(jù)控制（輸入輸出控制）、接口控制等評估AIS的可信性程度。

（3）管理層AIS控制

管理層AIS控制通常涉及日常AIS管理、IT戰(zhàn)略規(guī)劃層面。在云會計下，AIS審計需關注IT戰(zhàn)略規(guī)劃與設計是否與企業(yè)目標相契合，會計云服務需求制定與變更是否經由IT管理層會同財務部門、業(yè)務部門共同分析制定，云會計供應商的選擇與管理，是否結合企業(yè)與供應商雙方因素進行服務可持續(xù)性管理，并簽訂服務水平協(xié)議管理等。

5.執(zhí)行審計程序，獲取審計證據(jù)

根據(jù)設計的審計程序執(zhí)行現(xiàn)場工作，利用與管理層及相關人員訪談、觀察、檢查記錄與文件、穿行測試和計算機輔助審計技術等測試方法執(zhí)行審計程序，結合專家或第三方評估機構給出的可信性評價結論及輔助獲取的可信性證據(jù)，從客戶和供應商處獲取有關一般控制、應用控制、管理層AIS控制等層面充分適當?shù)膶徲嬜C據(jù)，并將發(fā)現(xiàn)的控制缺陷與相關人員溝通，記錄測試及溝通的結果，并及時進行缺陷的復核與評估。

6.形成審計意見，出具管理層建議

匯總執(zhí)行審計程序得到的審計結果，結合審計目標、企業(yè)IT戰(zhàn)略、可信性與風險度量結果形成審計意見，并向審計客戶出具審計中發(fā)現(xiàn)缺陷形成的管理層建議，與管理層充分溝通，取得其對管理層建議的答復及計劃改進措施。于COBIT的AIS審計實施框架，并較為詳細的給出了云會計下AIS審計每個流程應當關注要點，以規(guī)范、指導云會計下AIS審計的合理有效實施，實現(xiàn)企業(yè)管理層與第三方對云會計的及時監(jiān)管，盡可能規(guī)避云會計帶來的IT風險，促使云會計發(fā)揮最大優(yōu)勢協(xié)助企業(yè)經營管理目標的實現(xiàn)。

四、結束語

云會計下AIS審計的設計與實施對云會計的應用推廣與發(fā)展具有重要意義。本文在分析云會計下AIS審計面臨的挑戰(zhàn)之后，構建出云會計下基

1.程平,何雪峰.“云會計”在中小企業(yè)會計信息化中的應用.重慶理工大學學報(社會科學).2011（1）

2.孫立輝.會計信息系統(tǒng)的審計策略.中國注冊會計師.2009（7）

3.程平,李寧.云會計產品可信性評價指標體系與等級模型.會計之友.2014（18）

4.安廣實,陶蕓輝.IT 審計風險成因及其防范對策思考.中國鄉(xiāng)鎮(zhèn)企業(yè)會計.2012（8）

5.崔應留,馮國富,莊玉良.基于風險導向的IT 外包審計研究.財政監(jiān)督.2014（2）

6.張輝,冀慎華.商業(yè)銀行IT 審計的國際經驗及借鑒.銀行家.2010（8）

7.劉杰.我國信息系統(tǒng)審計準則構建研究.財會月刊.2014（17）

8.ISACA.(COBIT 5), http://www.isaca.org.

9.孫立輝.會計信息系統(tǒng)審計中內部控制評價的步驟.中國注冊會計師.2010（11）

10.程平,李寧.云會計環(huán)境下基于ANP 的AIS 可信性評估.計算機工程.2014（11）

11.張文秀,齊興利,黃溶冰.基于COBIT 的信息系統(tǒng)審計框架研究.南京審計學院學報.2010（4）

12.中國注冊會計師協(xié)會擬定中華人民共和國財政部發(fā)布.中國注冊會計師執(zhí)業(yè)準則(2010).經濟科學出版社.2010

13.程平,溫艷好.基于云會計的AIS 可信性層次結構模型.重慶理工大學學報(社會科學).2014（2）

14.王會金.中觀信息系統(tǒng)審計風險控制體系研究——以COBIT 框架與數(shù)據(jù)挖掘技術相結合為視角.審計與經濟研究.2012（1）

15.周明.IT 審計與業(yè)務審計的融合.審計月刊.2010（12）

16.陳偉,牛艷芳,Smieliauskas Wally.國內外IT 審計教育比較及其對我國的啟示.中國注冊會計師.2013（11）

17.程平,李寧.云會計環(huán)境下AIS 內部控制問題探析.中國注冊會計師.2015（4）