云會計下基于COBIT5.0框架的IT審計體系

程平　范珂

【摘 要】 云會計的廣泛應用給企業帶來成本與資源效率優勢的同時也為傳統IT審計的系統集中處理模式等帶來了挑戰。COBIT5.0作為支持和實現IT治理與管理的重要工具，為面向云會計的IT審計體系構建提供了借鑒與參考。在闡述COBIT5.0相關理論的基礎上，通過分析云會計對IT審計造成的影響，構建了IT審計體系框架，并提出了面向云會計的IT審計實施步驟的關鍵環節。

【關鍵詞】 云會計； IT審計； COBIT5.0； IT治理

【中圖分類號】 F233；F239 【文獻標識碼】 A 【文章編號】 1004-5937（2016）18-0128-05

一、引言

從計算機的出現到大數據、云計算的興起，隨著社會信息化程度的不斷加深，信息技術的發展孕育了“按需定制，高效低成本”的云會計[ 1 ]服務模式。企業可以因此而避免會計信息系統的基礎設施以及設施運營投資，只需要按照使用的資源承擔相應費用。IT審計[ 2 ]（Information Technology Audit）是一個獲取并評價證據，以判斷計算機系統是否能夠保證資產安全、數據完整以及有效地利用組織的資源實現組織目標的過程。云會計的應用雖然為企業帶來了易于系統協同和大數據決策等優勢，但是分布式的系統和廣泛的網絡訪問等卻給傳統IT審計帶來了新的挑戰。同時，企業也對云會計下信息資產的安全性、信息系統的有效性以及數據的真實性提出了新的要求。

在會計信息化發展過程中，IT審計已成為企業會計信息化的重要組成部分，同時也是會計信息化的內在需要[ 3 ]。IT審計在我國起步較晚，由最早的理論框架構建[ 4 ]及對傳統審計的影響分析[ 5 ]逐步向具體行業適用性的研究過渡，多集中于銀行體系內IT審計的應用[ 6-7 ]和電力[ 8 ]、地鐵[ 9 ]等大型企業IT審計的構建。史可山[ 10 ]等人指出企業對IT依存度增高導致信息系統風險增大，IT治理的引入和IT審計的實施勢在必行。

縱觀上述文獻，IT審計的研究還處于起步階段，理論研究較為豐富，領域應用方面還有待開拓，尤其是在大數據、云會計時代到來之際，新的服務模式已經為IT審計提出了新的要求與挑戰，亟需一種新的IT審計體系提供整體性的解決方案。自1996年COBIT（Control Objectivesfor Information and Related Technology）提出至今已更新至第五個版本，其已經逐步演變成為全球學者公認的最先進、最權威的安全與信息技術管理和控制的標準體系[ 11 ]，同時也是國際通用的IT審計標準。通過對COBIT4.1的擴展和與ISACA Val、ITIL等其他重要框架的整合，COBIT5.0[ 12 ]提供一種全面的框架，以支持組織實現其IT治理和管理的目標[ 13 ]，其對各種機構的廣泛適應性和對云計算等技術應用的綜合考慮在面向云會計的IT審計中具有重要的指導意義與借鑒價值。但自COBIT5.0發布以來，其在理論比較分析[ 14 ]和內部控制[ 15 ]方面成果較多，對其如何在IT審計和其他領域的研究還有待填補。鑒于此，本文通過分析云會計對IT審計帶來的挑戰，結合COBIT5.0框架構建了一個面向云會計的IT審計體系框架，并在此基礎上提出了云會計下IT審計實施步驟的關鍵環節，該框架和關鍵環節可以對IT審計在面向云會計的實施中提供指導與規范。

二、云會計對IT審計的挑戰

云會計的應用使終端用戶可以按需使用可擴展和彈性的會計服務資源，最小化管理成本和運營成本，同時，云供應商掌握了企業的數據和會計信息系統環境控制權。面對云會計下復雜的信息化環境，分布式的系統、云供應商的參與和數據的多樣化為審計環境、審計方法和審計證據等方面帶來不可忽視的挑戰。

（一）審計環境的復雜性

傳統的IT審計主要是利用企業型工具對企業系統進行集中處理。但是，在云會計環境下，分布式系統的出現雖然為企業解決了信息孤島問題，卻為IT審計提出了新的要求。不僅如此，云計算環境下廣泛的網絡訪問，例如移動設備和虛擬環境的出現不僅使審計環境發生了變化，而且拓展了審計的范圍與邊界。此外，由于云會計“按需定制”和“可拓展”的特性，系統的彈性較強，易發生變化，且各子系統之間的協同性增加了勾稽關系的復雜性，這也增加了審計環境的復雜化和動態化。

（二）審計方法的局限性

云供應商對企業數據與會計信息系統控制權的掌握使對供應商的IT審計變得至關重要，這也意味著IT審計面臨著來自供應商的壓力。一方面，需要從云供應商那里獲取多大程度的透明度缺乏有效的量化手段，例如云供應商系統的訪問權限與企業內部流程訪問權限不同。另一方面，傳統的控制測試方法，例如詢問、檢查和穿行測試等，尤其是過多依靠人工的測試方法，在面對云會計下復雜的交易網絡與海量數據時往往難以保證審計證據的真實完整性。因此，伴隨著大數據、云會計時代的到來，傳統審計方法的局限性要求更為系統性、技術性的方法來予以解決。

（三）審計數據的多樣性

與傳統的審計證據不同，云會計環境下的審計證據不僅來源更為廣泛，而且種類更為多元。由于企業會計信息系統的基礎設施和技術架構等均在云供應商處，因此，審計證據的來源既包括企業內部的業務系統等，也包括企業外部的云供應商以及第三方服務機構等。在證據的數據類型方面，傳統單一的結構化數據已經難以滿足審計的需求，結構化、半結構化和結構化的數據共同構成了云會計下審計證據的來源。此外，第三方機構的監督和評價等也為審計證據增添了新的關注內容。

三、云會計下基于COBIT5.0框架的IT審計體系框架構建

（一）COBIT5.0與云會計下IT審計的契合性

COBIT由IT治理協會（ITGL）通過來自行業、學界及政府等各領域翹楚組成的專家組開發而來，融合了所有適當的技術和專業標準的最佳思想。COBIT5.0在COBIT4.1的基礎上汲取了多種國際先進的IT治理標準與框架，以五項關鍵原則為核心，倡導“原則為基礎、目標為導向、評價為手段、促進因素為載體”的新思想[ 16 ]。

作為國際認可度最高的IT審計準則，COBIT5.0覆蓋了企業組織內所有的職能和流程，將IT治理整合進了企業治理之中，滿足了IT審計對IT環境的要求。同時，充分考慮了利益相關者需求，利于實現資源與風險收益間的平衡。而且，COBIT5.0采用了整體全面的方法和整合式框架，明確區分了治理與管理貫穿于信息系統生命周期的全過程，有助于制定IT審計的整體解決方案。COBIT5.0改進了COBIT4.1的流程參考模型，將企業IT治理和管理劃分為兩大流程領域，增加了包括五個治理流程的治理域，在每個流程中對評價、指導和監控予以描述，而管理域包括與計劃、構建、運行和監控責任范圍相一致的四大領域，并提供端到端的IT覆蓋，全面指導企業的IT治理。再者，目標級聯為了構建企業目標、IT目標與促成因素目標的相互映射，結合平衡計分卡的財務、顧客、內部、學習和成長四大維度創立了IT平衡計分卡，從而實現多重目標的關聯性，為企業創造IT價值的同時兼顧企業內外部利益相關者的利益。此外，COBIT還提供了信息系統的實施指南，主要描述了如何創造或建立合適的環境和促成因素、典型的實施觸發點和難點以及生命周期的實施和不斷改善。

通過對COBIT5.0與IT審計契合性的分析，一方面，COBIT5.0可以為面向云會計的IT審計提供流程參考與標準借鑒；另一方面，云會計的服務模式和技術環境為IT審計體系框架的構建提供支持，結合我國相關法規政策，可以為面向云會計的IT審計提供理論參照與實踐指導。

（二）體系框架構建

基于以上分析，本文吸收了COBIT5.0框架過程管理的理論與框架，結合云會計的應用特征，構建了COBIT5.0視角下面向云會計的過程體系框架，如圖1所示。下面將具體闡述各流程的具體內容。

1.制定審計目標

IT審計不僅包括第三方機構對企業IT審計業務委托的承接，還包括企業內部審計部門對企業本身IT架構的審計。雖然這兩種IT審計的性質不同，但都要首先進行對審計目的、內容和范圍等事項的確定，并在組織內的適當層次得到同意和通過。審計的目標從宏觀層面上要與企業目標和IT目標相適應，在業務層面上要明確與促成因素目標的映射關系與范圍。在云會計環境下，無論IT審計的性質如何，可行性水平都是衡量IT審計的重要標準。因此在審計目標的制定中，必須融入可行性水平的目標級聯，同企業目標、IT目標與促成因素目標一同構成對會計信息在系統內外流轉的真實性、安全性和可靠性的保障，以滿足企業內外與IT相關的利益相關者的需求，包括企業管理人員、政府機構和投資者等。

2.評估審計風險

在云會計環境下進行IT審計時，首先需要考慮企業未采用云會計之前可能面臨的風險，例如業務應用程序通過云會計的軟件即服務模式被托管在云中，其原有的風險并不會因為采用云會計模式而消失。其次，審計風險的來源隨著云端的虛擬化向企業外部的云供應商轉移，審計人員不但要針對企業進行審計，例如了解企業如何確保云供應商已經提供了必要的控制措施，還要對云供應商的資質、服務安全等方面進行評估和審核。因此，審計風險的評估必須一分為二。一方面針對企業的管理戰略、IT管理框架、組織架構和內部控制等進行了解和評價，另一方面針對云供應商的信息系統構建、云服務安全和云服務水平協議等進行關注和評估。通過定量和定性分析相結合的方法，確定來自企業本身和云供應商的威脅，并進行進一步的脆弱性評估，如圖2所示。

3.編制審計計劃

根據風險評估的結果，審計人員也需要從企業自身和云供應商兩個方面編制審計計劃。從對企業審計的角度，主要考慮企業對云會計服務的業務需求和當前采用的云會計模式，以及企業自身IT治理架構、組織機制和人力資源等情況；從對云供應商審計的角度，需要考慮云供應商的云服務水平協議，包括可用性、性能、響應時間和問題解決時間，以及安全方面的控制措施等，如業務連續性的保障措施、災難恢復和數據存儲與隔離等。通過對雙方的調查與了解，制定總體審計計劃和具體審計計劃，并通過編制審計程序表確定審計計劃所需要的審計程序性質、審計實施時間和范圍，并做詳細的梳理與說明，對所需的人力物力資源等方面進行詳細規劃。

4.實施審計程序

按照信息系統控制的例行劃分，本文將云會計下的信息系統控制分為一般控制和應用控制，并分別設計了具體的審計程序。

對一般控制而言，由于云會計模式下企業的基礎設施、網絡、操作系統、中間件、數據庫管理系統和應用程序都有可能從云供應商處租賃，因此一般控制的審計程序和實施必須從企業和云供應商兩方面考慮。一般控制的關鍵風險控制點主要涉及信息系統安全、IT組織與職責劃分、系統開發與變更管理、IT運營控制、網絡安全和基礎設施變更等。針對云供應商而言，控制活動主要包括系統安全設置和訪問管理、物理訪問和安全監控、定期備份與容災演練，以及云會計邊界劃分與網絡配置等。針對企業用戶而言，控制活動主要包括信息安全技術如防火墻的使用、服務與測試審批、新服務評估與審批以及賬號的權限授權等。

對應用控制而言，在云會計環境下，依托COBIT5.0中IT治理與企業目標相結合的理念，在IT審計中主要體現為業務流程與應用控制流程的融合。具體而言，主要包括管理業務流程的控制、業務處理授權和不相容職責分離的控制、會計相關信息的輸入控制、系統處理控制和輸出過程的控制。

5.收集審計證據

收集審計證據是執行IT審計的重要組成部分，在云會計環境下，模塊結構進行多重組合給審計證據的收集帶來了一定阻礙，同時，多租戶模式更導致云供應商處的審計線索錯綜復雜，如果依靠人力或傳統的集中式系統審計模式很難保障審計證據的有效性。因此，審計人員可以在詢問、檢查、查詢和函證等傳統方法的基礎上，引入白盒測試、黑盒測試、聚類抽樣和數據挖掘等計算機取證方法，建立分布式審計系統，充分運用云計算、大數據等技術，使審計大數據化和智能化，減少人力資源的運用，使審計人員更好地投入到審計決策與分析中。同時，保障審計證據具有可信性、充分性、適當性和相關性以及審計線索的可追溯性。

6.出具審計報告

在對獲取的審計證據進行整理、分析和評價的基礎上，結合企業目標、IT治理框架，在保障云會計可行性需求和風險度量的基礎上，形成相應的審計結論，并出具審計報告，同時向被審計單位發出審計建議。最后，通過與被審計單位的交流與溝通，在考慮被審計單位回復的基礎上對改進效果進行追蹤。

四、云會計下IT審計實施步驟的關鍵環節

在云會計時代，無論是對于企業內部審計還是第三方外部審計而言，業務的組成部分和相關職能都與企業自建信息系統類似，只是由不同的實體負責，導致風險和數據來源發生了改變。因此，審計人員仍然需要了解業務程序所采用的數據輸入措施、軟件變更控制和業務連續性保障措施等。考慮云會計環境的特殊性，在IT審計實施過程中仍需注意以下關鍵環節，以保障審計結果的可信性。

（一）移動互聯

移動互聯的蓬勃發展成為了“互聯網+”時代的一個重要標志，并推動了云會計的進步與應用。無線局域網和智能移動設備的廣泛使用對企業信息資產安全帶來了威脅，因此對其的審計也成為面向云會計的IT審計的重點關注環節。無線局域網和智能移動設備具有四個核心要素，包括無線網絡網關、客戶端、管理軟件以及有線網絡網關與無線客戶端之間的無線通信方式。因此，審計重點就在于對無線局域網和移動設備網關、客戶端、管理和通信的審核。具體測試步驟包括技術審計和運行審計，例如代碼版本變更流程管理、密碼驗證周期管理和無線點訪問探測等，也包括終端問題跟蹤、無線系統監控和災難回復流程評估。

（二）數據安全

云會計自誕生以來，數據安全一直是企業擔心的首要問題，因此，面向云會計的IT審計實施過程中對數據安全的關注也是其關鍵環節。由于云供應商擁有對多個企業的數據控制權，因此很可能存在多用戶數據混合存儲的現象。對云供應商數據隔離的審計是保障數據安全的首要控制措施。其次，數據在傳輸和存儲時的安全需要對云供應商使用加密方法，如算法或密匙進行審核和評估。人為因素也是導致數據安全風險的重要原因，因而確定和評價云供應商處的人員對數據的訪問權限和對用戶內部網絡及系統的邏輯訪問流程至關重要。最后，企業制定相關的數據保密政策等是否在云供應商處得到執行也是需要審計人員關注的問題。此外，針對攻擊的控制措施，物理安全和身份管理，包括入侵檢測、日志管理和分布式系統的賬戶管理也是IT審計實施的關鍵。

（三）運營過程

在云會計環境下，IT審計除了技術審計外，還包括企業和云供應商運營過程的審計。一方面，監測服務水平協議等有利于保障云會計服務的質量；另一方面，確保云供應商具有足夠的容災能力才能保障云會計運行的持續性。

（四）法律問題

如果企業因自身決策需求或其他需要而實施相關調查時，存儲在云供應商處的日志數據等就尤為重要，因此審計人員需要評估企業從云供應商處獲取數據的權力和能力。不僅如此，數據存儲是否遵循隱私法或應用系統是否持續受到跟蹤，且使用符合安全協議規定也是需要注意的。

五、結語

目前，云會計和IT審計在我國都處于發展階段，面向云會計的IT審計體系框架的構建既對云會計的推廣與應用具有促進作用，又對IT審計的發展和實踐具有指導意義。本文在剖析了云會計的出現給IT審計帶來的挑戰后，通過分析COBIT5.0與IT審計的契合性，構建了云會計下基于COBIT5.0框架的IT審計框架，并分析了IT審計實施過程中的重點關注環節，有利于從理論與實踐兩方面共同保障面向云會計的IT審計實施的有效性，幫助企業實現IT價值，推動云會計與IT審計的協同發展。

【參考文獻】

[1] 程平，何雪峰.“云會計”在中小企業會計信息化中的應用[J].重慶理工大學學報（社會科學），2011（1）：55-60.

[2] 陳耿.信息系統審計、控制與管理[M].清華大學出版社，2014.

[3] 曹立明.論IT審計與會計信息化[J].中國注冊會計師，2012（12）：108-113.

[4] 鄧少靈.企業IT審計的框架[J].中國審計，2002（1）：58-60.

[5] 李會太.從IT審計師看審計學科發展與技術審計時代的到來[J].審計與經濟研究，2001（6）：7-9.

[6] 方國志，蘇黃兵，雷海.央行IT審計評價指標體系研究[J].區域金融研究，2013（4）：4-8.

[7] 閆涵.金融創新形勢下的IT審計[J].金融會計，2015（4）：52-55.

[8] 趙東來，郝立濤，燕超源.電網企業IT治理模型探討[J].現代工業經濟和信息化，2014（2）：83-85.

[9] 覃憲姬，陳瑜，佟柱.信息系統審計的透視與思考：基于廣州地鐵IT審計案例的分析[J].中國內部審計，2014（8）：21.

[10] 中國人民銀行武夷山支行課題組，史可山，陳崇躍，朱燕濤.我國央行IT審計和IT治理的現狀與思考[J].上海金融，2007（12）：88-89.

[11] 王會金.高校管理信息系統審計及其風險控制問題研究：以WSR方法論與COBIT理論相結合為視角[J].審計與經濟研究，2014（5）：23-30.

[12] ISACA.Control objectives for information and related technology（COBIT 5）[A/OL].http：//www.isaca.org.

[13] 克里斯·戴維斯，麥克·席勒，凱文·惠勒.IT審計：管好信息資產[M].中國經濟出版社，2015.

[14] 魯清仿.COBIT5.0與COBIT4.1的比較與啟示[J].新智慧（財經版），2014（1）：89-92.

[15] 喬鵬程，朱衛東.COBIT5.0下中小企業管理信息系統內部控制研究：以西藏地區為例[J].財會通訊（綜合），2015（7）：102-105.

[16] 程平，溫艷好.基于云會計的AIS可信性層次結構模型[J].重慶理工大學學報（社會科學），2014（2）：24-31.