云計算對內部控制及審計的影響與應對策略

康萍

中圖分類號：F233 文獻標識碼：A 文章編號：1002-5812（2016）21-0042-03

摘要：云計算是一項新興技術，由于其低成本、高效率等獨特優勢，逐漸被越來越多的企業所接納，其對會計信息系統的影響勢必將影響到企業內部控制及審計，而內部控制及審計對提高會計信息質量、保護生產和經營活動順利進行以及創造企業價值至關重要。文章通過文獻分析法，梳理了云計算的概念及其特征，分析了云計算對信息化環境下企業內部控制及審計的影響，并提出相關應對策略，為企業在云環境下實施內部控制及審計提供參考。

關鍵詞：云計算 內部控制及審計 影響 應對策略 文獻分析法

一、引言

云計算作為一項新興技術，近幾年在我國發展迅速，它正改變著世界的各個領域，會計、審計等也不例外。基于云計算的企業管理信息系統、云審計等必將成為企業信息化及審計的未來發展趨勢，由此將帶來一場基于云計算的重大變革。雖然自云計算引進后，云會計、云審計已被熟知，但目前的研究都集中在云會計、云審計的概念及云計算對會計信息化、審計業務模式等的影響方面，而對內部控制及審計影響的研究卻很少。內部控制作為企業內部的一種管理制度，對企業提升自身管理水平、提高風險防御能力及創造企業價值至關重要；內部控制審計是通過系統規范的方法來保證內部控制系統的高效及有效性。因此，正確認識云計算對內部控制及審計的影響，對企業設計有效的內部控制系統至關重要。

二、云計算及其特征

目前，云計算還沒有一個統一的定義，在眾多定義中，美國國家標準技術研究所（NIST）的定義得到大多數學者的認可：“云計算是一種模式，它可以隨時隨地地、便捷地、隨需應變地從可配置計算資源共享池中獲取所需的資源（如網絡、服務器、存儲、應用及服務），這些資源能夠快速供應與釋放，同時最大限度地減少資源管理的工作量和用戶與服務提供商間的互動。”

云計算具有以下特點：（1）可擴展性和靈活性。企業可以隨著規模變動購買相應資源，不會因為內存不夠影響存儲導致數據丟失，也不會因為企業擴大規模導致軟、硬件無法滿足需求，同時還能減少資源浪費。（2）按需服務和計費。企業可以根據自己的需求購買相應的服務，即付即用。（3）低成本。購買云計算服務后，企業無需購買財務軟件，也無需配備設備、軟件維護人員。企業經營規模、經營內容改變，無需重新購買財務處理軟件。（4）可靠性和通用性。云端通過“數據多副本容錯、計算節點同構可互換”等措施，使其比本地計算機更可靠。同時，企業數據均存儲在云端，各部門人員可以隨時根據授權進行查看、調用，不同人員錄入的相同信息可以在云端進行比對，大大減少了因疏忽而犯錯的機會。（5）大規模。各大云服務提供商擁有大規模的服務器，大規模集中化數據中心提供服務成為趨勢。（6）高效率。各部門人員在各自終端直接錄入云端，再通過云核算進行審核，無需層層上報、層層審批，決策人員、管理人員可以第一時間拿到一手數據，節省時間，提高效率，避免因資料到手不及時而延誤投資決策機會。

三、云計算對內部控制及審計的影響

（一）云計算為企業內部控制及審計帶來的機遇

云計算可以為企業降低成本、節約時間、提高效率，為企業定量評估風險、持續監督提供可能，同時還能規避審計抽樣風險、促進持續審計方式。

1.降低成本。在傳統模式下，企業需要花費大量成本購買和定期維護軟、硬件設備，配備專門的技術人員對系統流程設計進行優化，極大限制了中小企業的發展。而對于擁有眾多子公司的大集團來說，各子公司系統相互獨立，無法及時進行數據交換，資源不能交流共享，缺乏統一規劃、控制及規范標準。而在云計算環境下，企業只需要向云服務提供商購買云服務，提供商自行開發內部控制系統、審計系統，優化系統流程，并且對服務進行后期維護。對于大型集團，企業只需購買同一內部控制系統及審計系統，對系統的后期維護及修改完善只需對云服務器而非各子公司系統進行相應操作，大大降低了企業成本。隨著IT虛擬技術的發展，已經實現虛擬桌面、虛擬應用平臺等，因此在客戶端只需耗費少量CPU和內存，降低對硬件設備的要求，減少其購買及后期維護成本。此外，由于云計算按需購買、即付即用的特征，企業可以根據自身規模購買相應的云服務，減少資源浪費，后期如果企業擴大經營規模或者改變經營內容，無需將軟、硬件設備全部更換，只需購買或更換云服務，不僅縮減成本，還降低了由于更換軟、硬件設備而影響企業正常運營的風險。同時，云計算環境下，數據均存儲在云端，大大減少內部控制風險評估及內部審計人員獲取及分析數據的成本。

2.節約時間，提高效率。企業選擇云計算服務后，會計數據直接傳到云端，各人員經過授權對數據進行查看、校對、修改，數據無需從下到上層層上報，可以及時、準確地收集、傳遞與內部控制相關的信息，精簡財會人員，優化組織結構，節約成本，提高內部控制效率。對于大型集團，母公司可以及時掌握各子公司情況，各子公司間信息溝通更為方便及時。內部控制體系優化了控制手段，在一定程度上可以擺脫對實體控制方法、控制工具和控制崗位的依賴，原傳統措施可以被云服務提供的控制功能取代，由此可以減少很多傳統的控制點，使內部控制流程更流暢，控制效率更高。此外，企業的董事、高層管理人員、投資者等利益相關者和外部監管機構均能登錄云端進行數據查詢，確保信息在企業內部與外部均能進行有效的溝通，大大完善了對舞弊的控制，提高了內部控制效率。

內部審計人員可以隨時登錄系統進行審計，無需花費大量時間在收集數據上，也無需關注數據的存儲，可以更加專注于分析數據、發現問題，有利于形成良好的審計氛圍，降低審計風險。同時，針對不同方面的審計，內部審計系統篩選降低數據重復率，避免審計人員面對一大堆原始數據無從下手的尷尬，從而節約大量時間，提高審計效率。在云服務提供商對各行業提供的內部審計程序中選擇適合本企業的審計程序，并根據企業自身特點與提供商溝通進行細微調整，相比企業自行研究、開發審計系統，不僅節約了時間、成本，而且審計程序的分析也將更加全面，還可能分析到企業原本忽視的重要問題，除此之外，還能避免企業自身主觀上刪減審計程序，使審計程序更加客觀，提高審計證據質量和審計客觀性。

3.定量評估，持續監督風險成為可能。識別風險不僅要通過感性認識和經驗判斷，更要借助統計資料，通過風險記錄進行歸納、整理、總結；風險分析也需將定量方法與定性方法相結合，定量方法可以提高分析精確度。云計算環境使得獲取統計資料、風險記錄并對其進行歸納、定量分析等成為可能，降低了信息不對稱帶來的風險，提高了效率。同時，云計算授權登錄，進行權責分配，能夠減少管理層凌駕于控制之上的風險。監督是實施內部控制的重要保證，有助于及時發現內部控制缺陷并加以改進。云計算環境下，更容易獲得內部控制執行的證據，通過查看日志文件，可以獲得誰登陸了系統，增加、刪除、修改了哪些數據，進行了怎樣的活動等詳細信息。內部控制記錄和資料也便于保存和查看，為持續監督提供了可能。

4.規避審計抽樣風險，方便持續審計。傳統審計方式下，審計百分之百的總體太過于浪費時間與成本，通常情況下，企業均需要使用審計抽樣技術來降低時間和成本上的耗費，但也因此必須承擔用樣本推斷總體帶來的巨大風險。使用云服務后，審計系統會進行審計分析，而這種分析的高效率，使全面審計成為可能，從而有效規避了審計抽樣帶來的風險。

由于各部門人員將數據實時傳輸在云端，內部審計人員可以及時對數據進行查看、分析，進行持續審計，可以對內部控制的適當性、有效性及時作出評價，發現問題時，也可以及時向企業高層人員及內部控制制定、實施人員進行溝通，提出整改意見，保證內部控制系統適當、有效運行。

（二）云計算為企業內部控制及審計帶來的風險

1.數據保密及信息安全風險。云計算環境下，數據均存儲在云端，企業自身喪失對數據的控制。云計算將企業會計信息分為三層：云端、管道、客戶端，雖然客戶端對數據的控制權降低使得客戶端層面信息泄露可能性降低，但在云端服務器及數據傳輸過程中遭到黑客入侵的可能性大大增強。若云端服務器被攻擊或受到自然災害影響，會計數據的丟失及其恢復均會給企業帶來巨大損失。信息與溝通是實施內部控制的重要條件，對于提高企業經營活動效率至關重要，對于實現企業目標不可或缺。云服務系統中，各模塊間有大量數據進行傳遞，各母子公司間也有大量信息溝通，不僅降低了信息溝通的效率，還增加了傳輸過程中的信息安全風險。云服務提供商如果由于利益驅使，為獲取利益出賣企業核心數據，同樣會給企業帶來不可估量的災難。

2.增加風險評估及控制活動的難度。由于IT人員不懂內部控制，而內部控制人員又不懂IT，若雙方交流出現理解偏差，將直接導致內部控制系統失效，增加內部控制系統的可信性風險。若系統是動態定制模式，服務提供商可能無法根據內部控制出現的問題及時進行修訂，使得監督活動相對滯后。現如今是大數據時代，各種數據充斥于網絡中，判斷收集的數據的可靠性、可用性及對數據進行篩選、整理、加工是一項很龐大的工作。云計算為企業內部控制帶來新型風險，但內部控制人員對新型風險不了解，也沒有防范意識。除了傳統的職責分工控制、授權審批控制等，云計算增加了系統中各模塊的數據傳輸及業務處理的復雜性，企業獲得數據的可靠性、可用性等都需要內部控制進行相關控制。同時，云服務作為企業的無形資產易被轉移，其價值的評估、折舊的計算等也為財產控制活動帶來挑戰。

3.審計證據及審計程序風險。在云計算環境下，審計證據絕大多數都被電子化，而電子證據具有不可見性、網絡性和可遷移性，為內部審計人員獲取證據增加了難度。由于內部控制系統針對云環境做出了相應的改變，內部審計需要著重關注新型內部控制系統的適當性和有效性，由于缺乏相關方面的經驗，也沒有歷史數據可供參考，為內部審計人員設計、實施審計程序帶來極大挑戰。

4.新型人才缺乏風險。由傳統內部控制向云計算環境下內部控制的轉變，也突出了我國既懂云計算又懂內部控制及審計的復合型人才的缺失。目前，企業財會人員對云計算環境及其帶來的風險不甚了解，削弱了內部控制系統的有效性。由于云計算還是新興事物，對內部控制及審計人員相關云計算知識的培訓還沒引起應有的重視，云計算相關專業技能不能滿足云環境內部控制及審計的要求。更為重要的是，由于這種新型人才的缺乏，使得與云服務提供商進行溝通，設計合理、有效、個性化的內部控制系統和內部審計系統這一關鍵活動被阻礙，大大增加了系統不合理的風險。

四、云計算下企業內部控制及審計的應對策略

企業應該抓住云計算為內部控制及審計帶來的機遇，充分利用云計算的優勢發展企業。同時，更要在識別風險的基礎上，積極應對云計算帶來的風險，盡可能降低風險，提高內部控制及審計的有效性，促進企業價值的實現。

（一）數據保密及信息安全風險的應對策略

內部控制人員在選擇云服務提供商時，應特別關注提供商的信譽并對其信譽進行評價，從第三方評估機構獲取其可信性評價報告，進行風險評估；與其簽訂保密協議，不可以將關鍵數據在未經允許的情況下透露給第三方。同時，評價其服務在數據資源、基礎設施、軟件程序、云端服務、安全管理等方面的處理及保證效果。例如，云服務提供商是否使用數據分塊技術對數據進行存儲，將數據備份到不同地理位置以提供更好的容錯機制，從而提高數據存儲的高可用性及持久性；謹慎判斷所購買云服務各模塊網絡結構的優良程度、聯通效果及傳輸效率，是否為企業數據的上傳、下載提供持續穩定保護。在授權方面，內部控制要著重監督被黑客攻擊及密鑰加密、管理等方面的問題；新增控制點，及時評估數據安全性和隱私性等企業外部風險。內部審計不僅要審計內部控制系統，還要審計云計算的服務提供商、云資源的安全及隱私等問題。增加專項審計，不定期評估數據存儲的安全性、各模塊數據傳輸的準確性等。及時備份內控及審計數據，減小云服務遭到黑客攻擊或自然災害時對內部控制及審計的不利影響。

（二）風險評估及控制活動風險的應對策略

企業需要及時優化內部控制環境，經過多家云計算提供商的對比及服務試用，選擇與本企業相契合的云服務，設計相適應的內部控制系統。評價云服務提供商是否提供了軟件個性化設計，是否可以根據企業獨特特點進行相應更改。企業應特別重視新增的控制活動風險點，著重評估新增的控制點，評估內部控制系統設計是否合理，其運行是否有效。針對云服務，企業應當在日常監督外再設置專項監督，不定期地、針對性地評估云計算相關風險。此外，還需強化內部稽核，發揮內部審計作用，對管理中存在的薄弱環節和內部控制缺陷進行及時反饋并進行整改，加強內部審計，拓展內部審計范圍。對于云服務本身的評估和財產保護，尋求行之有效的方法進行控制，如：嚴格控制購買云服務的過程，與企業使用云服務的人員簽訂保密協議，不能泄露本公司使用的會計處理各系統及上傳的企業原始數據等。

（三）審計證據及審計程序風險的應對策略

審計人員要想獲得充分、適當的審計證據，就需要重點關注會計信息系統、內部控制系統的數據源，查看系統日志數據，跟蹤審計證據，以防數據被不恰當的人為修改和破壞。內部審計人員還應根據內部控制系統的相應改變調整審計程序，使其與內部控制系統相適應。內部審計人員要與服務提供商及時溝通，根據企業內部控制系統特點添加專項審計，并進行測驗，保證審計程序有效性。

（四）新型人才缺乏風險的應對策略

企業應重點培訓內部控制人員及內部審計人員有關云計算的相關知識和潛在風險，必要時及時引進和開發懂云計算技術的新型人力資源，評估人力資源的勝任能力，保證內部控制及審計工作正常運行，推動云環境下內部控制及審計的健康發展。企業文化也需要根據云計算環境做出相應變更，積極培育新型企業文化，引導職工適應云計算對企業帶來的改變及影響，規范新型環境下職工的道德準則及行為，并及時對企業文化進行評估。

五、結束語

云計算的發展、應用在為企業內部控制及審計帶來機遇的同時，也增加了諸多風險，識別這些風險并積極應對，對企業實施內部控制及審計至關重要。本文針對數據保密、信息安全，風險評估、控制活動，審計證據、審計程序及人才缺乏方面的風險提出應對策略，為企業在云計算環境下內部控制及審計的實施提供了有價值的參考作用。X

參考文獻：

[1]羊斌.基于云計算的虛擬技術在工商信息系統中的應用[J].信息化研究，2014，（2）.

[2]趙婧.基于云計算的企業會計信息化分層數據安全問題與防范[J].中國注冊會計師，2013，（4）.

[3]張文峰.談全面風險管理與內部控制[J].商業會計，2005，（6）.

[4]程平，溫艷好.云會計對審計的影響及對策[J].中國注冊會計師，2013，（11）.

[5]秦榮生.大數據、云計算技術對審計的影響研究[J].審計研究，2014，（6）.