云计算环境下基于企业风险变革的审计风险辨析,本文主要内容关键词为:风险论文,环境论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着信息技术突飞猛进的发展与应用,云计算技术以其可扩展性、按用付费等独特的优势越来越受到企业和用户的青睐,在各个领域的应用也越来越广泛与深入。云计算技术是继80年代大型计算机到客户端/服务器的大转变之后的又一次信息技术革命,其独有的商业模式与运营理念必将对企业的各个方面产生极大的影响。本文将分析云技术应用环境下企业风险发生的变革,并立足风险导向审计分析面对云计算环境下企业风险的变革,审计风险评估应如何应对。 一、云计算环境下企业风险变革 云计算技术是一种计算资源部署和采购应用模式,使得企业可以在任何地点通过互联网获取其所需的计算资源和应用软件。依托云计算应用模式,企业可以进行少量的软硬件采购甚至没有必要进行软硬件的采购,同时,也无需再自行进行数据的存储,企业所有的资源都将存放在和其他企业共享的云技术中心里,由云服务提供商进行管理。云技术的这种应用模式以及解决问题的思路为企业带来机会和潜在收益,包括节约成本、及时灵活处理软硬件问题、具有更好的可扩展性与技术资源的协调性、减少技术管理相关的成本等。但同时,在企业采纳云技术作为解决方案时,企业的风险水平和状况也必然发生变化。 (一)风险范围扩大 当企业决定放弃传统软硬件应用模式而采取云技术应用模式时,企业需要与云技术服务商签订服务协议,协议需约定企业选择的云服务的部署方式是共有云、私有云还是混合云,并在确定的部署方式基础上约定服务模式,即软件即服务、平台即服务,或是基础设施即服务,以及利用约定的服务模式实现企业信息化管理的具体实施细则,本文将这一协议称为云计算解决方案,简称云解决方案。企业一旦采取了基于共有云、混合云的云解决方案,就意味着企业的风险范围由企业自身扩展到与云服务提供商和其他云租户所共处的风险系统。企业采用云技术服务之后,所有的资源将存放在和其他混合云或公用云用户共享的云技术中心里,并且这些资源主要由第三方服务提供商进行控制和管理。如此一来,无论是云服务提供商对云技术的驾驭能力还是其经营管理导致的生存风险,都必然使企业面临自身范围之外的风险。同时,其他租户成为黑客攻击目标的可能性大小等,也成为影响企业风险的一个方面。 (二)对云服务提供商依赖性强 企业在采用云服务(包括共有云、私有云和混合云)之后,云服务提供商会针对云技术使用者采用专用工具编写软件,并在特定的解决方案架构上运行,数据存储的结构等也与专用服务软件或架构等相适应,而企业经营管理过程中使用的其他相关软件中数据的存储结构等不一定与云技术中软件的数据存储结构一致,当企业需要将云端获取的数据与其他数据相结合进行加工时,必然使云解决方案中的软硬件及数据结构不便与其他软件等兼容。此外,云服务使用企业选定了云服务提供商之后,由于云服务提供商掌控着企业所需的软硬件及相关资源,并且云技术使用企业建立的组织机构与相关业务流程等也是在云解决方案的基础上进行的,企业更换云服务提供商的成本会非常高。因此,云技术使用者一旦选定了云技术服务,便对云服务提供商产生了一定的依赖性,这种依赖性越强,云服务使用者更换云服务提供商的可能性就越低,成本与风险就越高。 (三)企业对于云技术系统中的数据等资源缺乏主控能力 一方面,多租户云环境的本质决定了云数据存储会存在“地点盲区”,即如果云服务使用企业的数据是存放在私有云之外的云端,那么企业无法获取数据的现存地点或者是曾经存放的地点。另一方面,企业在采用云技术服务时,数据都是存储在不受企业自身直接控制的外部硬件上,而硬件都是云服务提供商控制的。因此无论云服务使用者采用哪种具体的云解决方案,他们可能都无法获取或检查系统的网络运行和安全事件日志。这些都使得企业对于云技术系统中的数据等资源缺乏主控能力,存在不同程度的风险。 (四)云技术系统中的数据安全性面临极大挑战 在云计算技术环境下,虽然企业可以随时凭借密码等方式查询相关数据,但是却无法直接有效地确认数据有没有被损坏、删除或修改,或者有没有被云服务提供商从一个服务器迁移到另一个服务器上。此外,在共有云与混合云的部署方式下,为了满足多租户应用操作的需求,各租户的敏感信息一般都是以明文的形式储存在云端,非完全可信的云服务提供商可能会监守自盗,租户的敏感数据面临极大的泄露风险。同时,当存储于同一云端的多用户数据中的其中任何一个用户的敏感数据成为黑客攻击对象时,云服务使用企业的数据极有可能会面临连带的泄露风险。 二、基于云计算的风险导向审计模式下的审计风险辨析 风险导向审计的基本思路是以审计风险的分析评估为基础制定审计程序,确定会计资料的审查重点和抽样规模,以验证财务报表是否真实公允。其最大的特点便是审计所面临的风险是注册会计师决策编制审计程序的依据,注册会计师通过对审计风险的量化和控制确定审计证据的充分性和适当性。因此,审计风险分析是风险导向审计实施的重要前提和保证。 (一)传统风险导向审计模式下的审计风险辨析 在风险导向审计的理念下,审计风险主要来源于几个方面。首先,审计风险会受到企业的固有风险因素的影响,即被审计单位经营过程中所固有的风险,比如管理人员的品行和能力、企业所处社会经济环境等导致的风险。其次,审计风险受到内部控制风险因素的影响,即账户余额或各类交易存在错误,但内部控制未能控制或发现而存在的风险。第三,审计风险受到注册会计师实施审计程序而仍未能发现账户余额或各类交易存在错报风险的影响。 (二)基于云计算的风险导向审计模式下的审计风险辨析 如上所述,接受云技术服务的企业所面临的风险产生了巨大的变化,审计对象相关风险的变化必将影响到注册会计师的审计风险。因此,作为审计人员应该能够识别云计算给企业带来的风险演化为审计风险的可能性,辨识不确定性因素以及隐藏其中的风险,在评估风险时采取针对性的措施。 1.在评估审计风险时,应扩大固有风险评估的范围 在云计算的商业应用中,除了部分的私有云之外,其他绝大多数云解决方案都使得企业对云解决方案中涉及的软硬件以及数据缺乏直接的管控。因此,在评估审计风险的固有风险时,除了要针对传统的固有风险的影响因素进行评估之外,必须要将云技术服务引发的风险作为评估的固有风险之一。 首先,对企业所采用的云服务交付模式进行风险评估。一般来讲,企业采用的云服务模式不同,其自身的控制权就不同,从而企业的固有风险也不同,它们之间的关系如图1所示。在基于私有云的IaaS模式下,企业自身保留的控制程度相对较高,其固有风险相对较小。反之,在基于公共云的SaaS模式下,企业自身的控制程度较低,从而其固有风险较高。因此,注册会计师在对企业的固有风险进行评估时,需要对企业采用的云服务交付模式进行风险评估,确定固有风险。 图1 企业云服务模式与固有风险的关系 其次,增加对签约云服务提供商以及共同租户的风险评估。一是要对签约云服务提供商可能引发的对企业的连带风险进行评估,包括签约云服务提供商对云技术的掌控程度、其控制环境的稳定性、对数据存储控制的安全性和合规性等方面。二是要对处于同一云计算技术系统中的其他租户隐含的可能会关联本企业的风险进行评估,包括其他租户云技术使用的稳定性、敏感数据被攻击的可能性等。 第三,对采用云技术服务的企业管理人员及相关人员的云技术相关知识与能力进行风险评估。企业管理人员及相关人员在整个云计算技术的营运过程中起着关键性的主导作用,如果企业管理人员及相关实施人员对云技术毫无所知或者对云技术的使用非常抵触,那么云技术使用企业的固有风险必然随之增加。因此,在评估采用云技术服务企业的固有风险时,应增加对管理人员评估的内容,采取问卷调查法、座谈法等对管理人员及相关实施人员对采用云计算技术的态度以及对云技术相关知识的掌握,尤其是云技术产生的风险及对风险的识别与控制能力进行详细了解,确定其人员方面的固有风险。 2.对被审计单位基于云计算环境的内部控制风险进行评估 笔者认为,云技术的使用会影响到注册会计师在对被审计单位内部控制风险的评估,包括内部控制环境、风险评估、控制活动、信息沟通和监督五个方面。 (1)云技术的使用使得企业的内部控制环境发生了变化。传统的内部控制环境风险评估一般包括对员工职业道德和胜任能力、董事会及监事会的参与、管理理念与经营作风、组织机构、权力和责任的规定等方面的评估,企业采用云技术之后,注册会计师评估被审计单位的内部控制环境时需要增加对云技术应用引起的内部控制环境新变化可能带来的风险进行评估。一是应增加对员工在云技术应用与风险控制方面的胜任能力的风险评估;二是增加对云技术应用引起的组织机构变化方面的风险评估,比如企业不需要单独的IT部门与相关的运行软硬件,数据计算与存储的软硬件以及数据集中在云端由云服务提供商进行维护、管理;三是权力和责任的规定方面应增加对企业与云服务提供商之间在云服务协议中规定的各种权力和责任可能引起的风险进行评估。 (2)注册会计师应针对云计算环境下企业对内部控制的风险评估进行再评估。风险评估即确定什么地方可能出错,会有什么影响。通常认为风险来自经营环境的变化、采用新的信息系统、新技术的应用等。云计算技术的应用带来了企业经营环境的重大变化,并且对企业的组织机构设置、业务流程、人员的权责分工等多个方面都产生了深刻的影响。因此,注册会计师应合理评估企业在采用云计算新技术后有无合理针对云计算技术带来的变化进行有效的内部控制,并基于云技术风险对这些内部控制措施的全面性、有效性等进行风险评估。 (3)在控制活动方面,应增加对企业针对云技术应用引起的风险所采取的措施和行动方面的风险评估。包括针对云技术应用加强人员对于云技术知识的培训与风险识别能力的培训;针对云技术应用的新模式重组业务流程以控制云技术应用流程中可能存在的风险;对于存储在云端的数据有合理有效的保密、安全措施;与云服务提供商之间责权明确,能有效控制云服务提供商对本企业数据计算与存储的安全。 (4)加强对企业人员与云技术服务提供商之间的信息沟通的风险评估。在云计算环境下,企业所处的信息化环境有别于传统的信息化环境,即企业的软硬件以及数据都存储在云系统中,由云技术服务提供商管理,因此,企业人员能够及时与云技术服务提供商进行有效的信息沟通,并将获取的信息及时与企业内部其他部门和人员进行沟通将是影响云技术应用企业内部控制风险的一个重要因素,从而注册会计师能否正确评估被审计单位在云技术服务过程中的信息沟通风险成为影响审计风险评估的重要因素。 (5)加强对企业云计算环境下内部控制监督措施的风险评估。采用云技术服务的企业由于其对云技术服务商的依赖以及云计算技术自身存在诸多潜在的不易发现的风险,企业对云计算环境下的内部控制措施的有效监督是内部控制实施的必要条件,是影响内部控制风险的重要因素。因此,注册会计师必须对企业云计算环境下内部控制监督措施的合理性、有效性进行风险评估。包括企业对基于云计算技术应用风险的内部控制有没有合理有效的监督措施,这些措施是否得到有效实施。 3.对被审计单位在云计算环境下实施的审计程序进行风险评估 审计程序是指注册会计师在审计工作中可能采用的,用以获取充分、适当的审计证据从而用以发表恰当的审计意见的程序,而云计算技术的应用使得传统的审计程序无法充分、适当地在云计算环境中获取审计证据。因此,在云计算环境下,注册会计师能否针对云技术实施有效的审计程序,以及从云技术服务提供商的云系统中获取充分、适当的审计证据是影响审计风险的新生因素。注册会计师必须针对云计算应用技术构建或是改进审计程序:一是基于云技术调整审计程序的具体实施步骤;二是针对云计算技术环境改进审计程序中的个别环节,比如内部控制测评、运用审计方法获取审计证据、实质性测试所需的审计技术与方法等。 三、结束语 如上所述,云技术的应用改变了企业的商业营运环境,为其带来巨大的变革,在给企业带来机会与潜在收益的同时也带来了风险。而对被审计企业的风险识别与评估是影响审计风险的重要因素。因此,云技术带来的风险不仅影响着云技术应用企业,而且也对审计风险产生了极大的影响。上文基于云技术服务应用企业风险变化的审计风险辨析的讨论继承了风险导向审计模式的基本理念,即在审计过程中以风险为入手点,对产生风险的各个环节进行详细的分析,对产生风险的各个环节进行评价,分析了云计算环境下审计风险评估的三个方面的变化,引导审计资源关注云技术服务的使用给企业以及注册会计师带来的风险变化,使得注册会计师对于风险评估结果更为全面、正确,从而更有效地实现审计目标。标签:云计算论文; 审计风险论文; 注册会计师论文; 内部控制论文; 风险评估论文; 固有风险论文; 云技术论文; 控制环境论文; 审计软件论文; 技术风险论文; 变革管理论文; 审计方法论文; 审计流程论文; 审计目标论文;