集團化“審計（管理）云”構建設想

宮巖偉

摘 要：本文主要是從內部審計視角，結合日常工作實踐，對審計主要職能的理解以及對云計算等信息技術的認知，分析集團化“審計（管理）云”的可實現性，設想其功能構建，針對信息安全風險、組織架構制約等構建風險與困難從法治、風險管理、技術等層面提出風險與困難的應對思路，實現優化審計資源使用與配置、提高審計項目管理效率、及時報告與分享審計成果等預期效果。

關鍵詞：審計；（管理）云；功能；設想

中圖分類號：F239；F239 文獻標識碼：A 文章編號：2095-9052（2020）04-0050-02

一、集團化審計（管理）云構建可實現性分析

（一）云計算的主要特點

第一，虛擬化。虛擬化是云計算的最基礎前提，打破了傳統客戶需先投資建設有形IT設備實體，再獲得服務的模式。用戶只需要通過網絡，在任何時間、任意位置，通過多樣化終端設備均能獲得服務，不需要了解數據在哪存儲、如何存儲。虛擬化既包括應用的虛擬化又包括資源的虛擬化[1]。

第二，規模化。為實現超級存儲和計算能力，云計算中心需要整合和管理超級龐大的服務器群，且這些服務器可以通過網絡分布在世界各地。例如，谷歌（Google）的云計算已擁有100多萬臺服務器[2]。

第三，超級計算。云計算原理是將用戶提交的任務分割成小任務，分布到云數據中心的龐大服務器群上執行，因此能夠實現超級計算機的計算能力。

第四，通用性。由于龐大的服務器群作支撐，云計算不需針對特定的應用環境，可根據各種需要構建出各種應用的運行環境。

第五，按需服務和擴展性。云計算的實質是提供信息技術服務，“云”中集成了各種軟件和存儲資源，客戶可以根據需要定制各種軟件環境，動態擴展存儲規模、用戶規模。

第六，低成本。由于“云”規模的龐大和特殊的容錯措施，云服務商可以采用廉價的硬件，而“云”的自動化集成消除了企業獨立承擔數據中心的管理成本和資源使用成本，使企業以更小的投入獲得了更大的數據處理能力。

（二）集團化內部審計發展的需求

第一，管理越來越多內審分支機構的需求。隨著企業做大做強，終會向集團化方向發展，隨之而來是集團管理越來越多的分支機構、各級公司，為滿足企業監管需要和完善治理結構，各分支機構、各級公司又會設立各自的內部審計分支機構。如何統籌管理集團的內審體系，整合資源發揮更大效用，已成為集團化審計管理的重要課題。

第二，統籌部署集團審計戰略的需求。從業務方面，各下屬審計機構接受上級審計機構的指導，但組織機構、職能劃分上又由各所屬單位管理。實際情況是，上級傳達戰略部署、下級反饋意見信息，存在較高的溝通成本，往往形成集團及各審計分支的各自為戰，各分支匯報的審計成果獨立來看效果顯著，但從全集團層面卻難以勾勒出整體形態。

第三，信息化審計系統集成升級的需求。隨著信息技術在內部審計中的應用，很多集團及下屬單位都已搭建了信息化審計系統。但由于各種因素，多數的信息化審計系統并未統一集成、缺少接口、功能各異，且基于較早的信息技術，已難擴展，逐漸降低對審計的支撐作用。

（三）審計（管理）云提供了一種解決方案

虛擬化為審計工作實現提供了更靈活多樣的開展方式，按需服務、高擴展性使集團化的審計（管理）云系統搭建或升級變得更容易實現。云的超級計算能力，使內部審計越來越高的數據分析需求得到滿足，且能夠提供更多選擇的軟件系統和數據環境。由于云的低成本特點，整合或重新構建集團化審計（管理）云將投入更少資金，而由于最終構建形成集團層面的審計（管理）云，集團審計的整體統籌、高效溝通、資源綜合利用等需求能夠更容易得到實現。云技術的應用，將審計的信息化建設引入無需IT基礎設施投入，即可獲取定制化服務的方向。

二、集團化審計（管理）云構建功能設想

（一）基礎功能

第一，審計計劃功能。此功能主要實現審計計劃制定時既考慮集團戰略的統籌，又考慮各分支機構現實風險的把握。集團、各分支機構在制定年度計劃時，通過審計（管理）云及時共享。一方面可以避免審計計劃的重復；另一方面，集團可以部署對某一業務模塊各分支的同時審計，實現全集團該業務模塊的橫向比較和互相借鑒，取得更優的最佳實踐案例。

第二，審計資源調配功能。此功能主要實現全集團審計體系資源的整體協調安排。集團、各分支機構年度計劃制定后，都會對各項目時間進度、人員配置進行安排，但以往都只能對自有的審計資源進行分配。通過審計（管理）云，實現審計人員的調配和交流，如將其他機構的某些審計領域的專家調配到重要的審計項目中，請求某些地區的審計人員提供支援減少差旅等。通過整合審計資源調配，可實現一定的審計能力共享、審計資源共享，提高整體質量，降低成本。

第三，審計項目管理功能。此功能屬于傳統的審計項目管理職能，主要是將此功能集成到集團化審計（管理）云中，實現各個審計項目的進度、成本、質量管理。審計工作的主要流程一般包括審計通知書、審計調查、審計方案編制、審計實施、交換意見、審計報告等階段。此功能可按各流程階段在審計（管理）云中進行管理和展示，便于集團層面全面了解各分支機構目前的項目開展情況和項目當前狀態。

第四，審計成果匯報與數據統計功能。此功能主要是實現審計成果的及時匯報和按需從不同維度進行數據統計。隨著國家及各級監管機構對內部審計工作的重視和對內部審計工作成果的認可，審計成果匯報的及時性，對不同維度的數據統計與上報要求越來越多。通過集團化審計（管理）云中的此項功能，在各階段根據管理需要，及時地將各種信息進行匯總統計，展示并匯報。如當前開展的審計項目數量，具體審計項目名稱，領域分布，已完成項目數量，已發現審計問題數量，涉及問題金額，審計問題效益等各類需求信息。

（二）擴展功能

第一，數據分析環境。當前內部審計已越來越多地對全業務數據進行分析以實現業務的全審計覆蓋，但更多的仍基于單機或服務器。而“云”可以提供各種數據結構和軟件環境，提供超強的計算能力，在審計（管理）云上應用云計算，能夠提供更高速度、更大規模的數據分析能力，同時由于數據存儲在“云”中，可以實現多個審計項目、審計人員的并行分析審計。

第二，審計項目畫像。在審計（管理）云中應用AI技術，通過全集團審計成果的積累以及導入收集到更多的審計案例，審計（管理）云在進行機器學習和關鍵詞提取后，就可以對某一類審計項目提供畫像。如在編制審計方案時，輸入某一審計領域，審計（管理）云會自動推送相關的風險點、審計程序；編制審計報告時，輸入某些特定詞，審計（管理）云會自動提示可能的審計發現具體描述。

第三，實時審計監控。目前已經實現的在服務器上的實時審計監控，也可以在審計（管理）云上進行應用，并且可以結合大數據分析技術，除建立定量指標外，還可以建立定性指標、趨勢指標，提供大數據關聯的預測、預警。

三、集團化“審計（管理）云”構建風險與困難

（一）信息安全風險

對于私有云，由于完全由客戶控制，信息安全風險與傳統信息安全風險基本相同。

但由于成本考慮，構建審計（管理）云更多還是基于公有云。由于公有云運營完全由云服務商負責，硬件由服務商維護，軟件、信息全部存儲到云服務商的數據中心，信息完全脫離企業監控。相對于傳統服務器模式，信息安全存在來自云服務商內部（或自身）和云服務器外部的雙重威脅。特別是對于審計來說，存儲和產生的數據更加敏感和機密，一旦信息遭受破壞、丟失或泄露，可能為集團帶來無法估計的影響和損失。

（二）組織架構制約

理論上，雖然審計（管理）云可實現集團范圍內審計資源（特別是審計人員）的統一調配，但當前現實情況是，集團及下屬各單位的審計人員是與所屬企業的有合同雇傭關系，而非分配給集團審計體系可統一調配的權力。集團與下屬單位之間、下屬單位相互之間的審計人員調配需要協商和授權。審計人員為集團內其他企業提供審計服務，是否存在報酬核算的問題，調配審計人員的績效考核結果如何應用問題，也是對審計（管理）云發揮資源共享作用的重要制約。

（三）風險與困難的應對思路

上述提出的風險和困難，可以從多角度思考應對策略，本文僅從幾個層面略作展開，提出一些思路供參考借鑒。

第一，法治層面。解決信息安全風險首先需要建立完善、有效的法律法規體系，使云上的數據能夠依法得到尊重和保護，發生數據安全事件也有法可依追究責任，保證云使用方獲得損失賠償。

第二，風險管理層面。建立云數據安全的保險機制，可以使云數據信息安全風險得到分擔。一方面，保險公司為風險可控，會從第三方角度加強對云服務商的監控，促使云安全性的持續提升；另一方面，保險分擔了云信息安全事件的損失賠償風險，云服務使用者能夠得到更多的損失保障。

第三，技術層面。為云上的數據進行加密存儲，在使用數據的終端進行解密，這樣只有獲得授權的終端才能夠訪問和使用云數據，能夠實現技術層面的防范信息安全風險。

第四，實踐層面。以德國大眾集團的全球內審體系為例，已推出全球內審交流計劃。每年德國大眾集團在全世界的各內審分支會向集團報送審計計劃和人員計劃，并根據需要提出少量的交流項目，其他分支可根據人員、預算等安排，決定是否派出審計人員開展聯合審計。目前聯合審計項目能否成行，是通過郵件、電話等溝通方式，在不同分支間地不斷確認和溝通后得以實現，存在較高的溝通成本和不確定性。但在該計劃下，集團也已完成了多個跨分支的聯合審計項目，一定程度上實現了經驗交流、資源共享的作用。

四、結語

集團化審計（管理）云，從資源利用方面，能夠調動全集團的審計資源，實現更大規模的綜合利用、優勢互補。從審計職能發揮方面，能夠通過更高效的統一部署，對同類企業進行橫向比較，對不同類企業進行縱向延伸，并能更好地結合集團戰略與各企業戰略。從審計質量提升方面，由擴展功能帶來更大規模的數據分析、更準確的審計項目畫像、大數據實時監控預警，從審計證據的準確性、多角度，審計方案和審計報告的標準化、完整性等實現審計的高質量完成。

參考文獻：

[1]戴麗榮，戴舒.云計算綜述[J].西安航空學院學報，2013（31）：68-71.

[2]趙一霈.淺談云計算特點及其安全問題[J].信息科技探索，2019（4）：117-118.

（責任編輯：林麗華）