程平　范珂

【摘 要】 云會(huì)計(jì)的廣泛應(yīng)用給企業(yè)帶來(lái)成本與資源效率優(yōu)勢(shì)的同時(shí)也為傳統(tǒng)IT審計(jì)的系統(tǒng)集中處理模式等帶來(lái)了挑戰(zhàn)。COBIT5.0作為支持和實(shí)現(xiàn)IT治理與管理的重要工具，為面向云會(huì)計(jì)的IT審計(jì)體系構(gòu)建提供了借鑒與參考。在闡述COBIT5.0相關(guān)理論的基礎(chǔ)上，通過(guò)分析云會(huì)計(jì)對(duì)IT審計(jì)造成的影響，構(gòu)建了IT審計(jì)體系框架，并提出了面向云會(huì)計(jì)的IT審計(jì)實(shí)施步驟的關(guān)鍵環(huán)節(jié)。

【關(guān)鍵詞】 云會(huì)計(jì)； IT審計(jì)； COBIT5.0； IT治理

【中圖分類號(hào)】 F233；F239 【文獻(xiàn)標(biāo)識(shí)碼】 A 【文章編號(hào)】 1004-5937（2016）18-0128-05

一、引言

從計(jì)算機(jī)的出現(xiàn)到大數(shù)據(jù)、云計(jì)算的興起，隨著社會(huì)信息化程度的不斷加深，信息技術(shù)的發(fā)展孕育了“按需定制，高效低成本”的云會(huì)計(jì)[ 1 ]服務(wù)模式。企業(yè)可以因此而避免會(huì)計(jì)信息系統(tǒng)的基礎(chǔ)設(shè)施以及設(shè)施運(yùn)營(yíng)投資，只需要按照使用的資源承擔(dān)相應(yīng)費(fèi)用。IT審計(jì)[ 2 ]（Information Technology Audit）是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)安全、數(shù)據(jù)完整以及有效地利用組織的資源實(shí)現(xiàn)組織目標(biāo)的過(guò)程。云會(huì)計(jì)的應(yīng)用雖然為企業(yè)帶來(lái)了易于系統(tǒng)協(xié)同和大數(shù)據(jù)決策等優(yōu)勢(shì)，但是分布式的系統(tǒng)和廣泛的網(wǎng)絡(luò)訪問等卻給傳統(tǒng)IT審計(jì)帶來(lái)了新的挑戰(zhàn)。同時(shí)，企業(yè)也對(duì)云會(huì)計(jì)下信息資產(chǎn)的安全性、信息系統(tǒng)的有效性以及數(shù)據(jù)的真實(shí)性提出了新的要求。

在會(huì)計(jì)信息化發(fā)展過(guò)程中，IT審計(jì)已成為企業(yè)會(huì)計(jì)信息化的重要組成部分，同時(shí)也是會(huì)計(jì)信息化的內(nèi)在需要[ 3 ]。IT審計(jì)在我國(guó)起步較晚，由最早的理論框架構(gòu)建[ 4 ]及對(duì)傳統(tǒng)審計(jì)的影響分析[ 5 ]逐步向具體行業(yè)適用性的研究過(guò)渡，多集中于銀行體系內(nèi)IT審計(jì)的應(yīng)用[ 6-7 ]和電力[ 8 ]、地鐵[ 9 ]等大型企業(yè)IT審計(jì)的構(gòu)建。史可山[ 10 ]等人指出企業(yè)對(duì)IT依存度增高導(dǎo)致信息系統(tǒng)風(fēng)險(xiǎn)增大，IT治理的引入和IT審計(jì)的實(shí)施勢(shì)在必行。

縱觀上述文獻(xiàn)，IT審計(jì)的研究還處于起步階段，理論研究較為豐富，領(lǐng)域應(yīng)用方面還有待開拓，尤其是在大數(shù)據(jù)、云會(huì)計(jì)時(shí)代到來(lái)之際，新的服務(wù)模式已經(jīng)為IT審計(jì)提出了新的要求與挑戰(zhàn)，亟需一種新的IT審計(jì)體系提供整體性的解決方案。自1996年COBIT（Control Objectivesfor Information and Related Technology）提出至今已更新至第五個(gè)版本，其已經(jīng)逐步演變成為全球?qū)W者公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)體系[ 11 ]，同時(shí)也是國(guó)際通用的IT審計(jì)標(biāo)準(zhǔn)。通過(guò)對(duì)COBIT4.1的擴(kuò)展和與ISACA Val、ITIL等其他重要框架的整合，COBIT5.0[ 12 ]提供一種全面的框架，以支持組織實(shí)現(xiàn)其IT治理和管理的目標(biāo)[ 13 ]，其對(duì)各種機(jī)構(gòu)的廣泛適應(yīng)性和對(duì)云計(jì)算等技術(shù)應(yīng)用的綜合考慮在面向云會(huì)計(jì)的IT審計(jì)中具有重要的指導(dǎo)意義與借鑒價(jià)值。但自COBIT5.0發(fā)布以來(lái)，其在理論比較分析[ 14 ]和內(nèi)部控制[ 15 ]方面成果較多，對(duì)其如何在IT審計(jì)和其他領(lǐng)域的研究還有待填補(bǔ)。鑒于此，本文通過(guò)分析云會(huì)計(jì)對(duì)IT審計(jì)帶來(lái)的挑戰(zhàn)，結(jié)合COBIT5.0框架構(gòu)建了一個(gè)面向云會(huì)計(jì)的IT審計(jì)體系框架，并在此基礎(chǔ)上提出了云會(huì)計(jì)下IT審計(jì)實(shí)施步驟的關(guān)鍵環(huán)節(jié)，該框架和關(guān)鍵環(huán)節(jié)可以對(duì)IT審計(jì)在面向云會(huì)計(jì)的實(shí)施中提供指導(dǎo)與規(guī)范。

二、云會(huì)計(jì)對(duì)IT審計(jì)的挑戰(zhàn)

云會(huì)計(jì)的應(yīng)用使終端用戶可以按需使用可擴(kuò)展和彈性的會(huì)計(jì)服務(wù)資源，最小化管理成本和運(yùn)營(yíng)成本，同時(shí)，云供應(yīng)商掌握了企業(yè)的數(shù)據(jù)和會(huì)計(jì)信息系統(tǒng)環(huán)境控制權(quán)。面對(duì)云會(huì)計(jì)下復(fù)雜的信息化環(huán)境，分布式的系統(tǒng)、云供應(yīng)商的參與和數(shù)據(jù)的多樣化為審計(jì)環(huán)境、審計(jì)方法和審計(jì)證據(jù)等方面帶來(lái)不可忽視的挑戰(zhàn)。

（一）審計(jì)環(huán)境的復(fù)雜性

傳統(tǒng)的IT審計(jì)主要是利用企業(yè)型工具對(duì)企業(yè)系統(tǒng)進(jìn)行集中處理。但是，在云會(huì)計(jì)環(huán)境下，分布式系統(tǒng)的出現(xiàn)雖然為企業(yè)解決了信息孤島問題，卻為IT審計(jì)提出了新的要求。不僅如此，云計(jì)算環(huán)境下廣泛的網(wǎng)絡(luò)訪問，例如移動(dòng)設(shè)備和虛擬環(huán)境的出現(xiàn)不僅使審計(jì)環(huán)境發(fā)生了變化，而且拓展了審計(jì)的范圍與邊界。此外，由于云會(huì)計(jì)“按需定制”和“可拓展”的特性，系統(tǒng)的彈性較強(qiáng)，易發(fā)生變化，且各子系統(tǒng)之間的協(xié)同性增加了勾稽關(guān)系的復(fù)雜性，這也增加了審計(jì)環(huán)境的復(fù)雜化和動(dòng)態(tài)化。

（二）審計(jì)方法的局限性

云供應(yīng)商對(duì)企業(yè)數(shù)據(jù)與會(huì)計(jì)信息系統(tǒng)控制權(quán)的掌握使對(duì)供應(yīng)商的IT審計(jì)變得至關(guān)重要，這也意味著IT審計(jì)面臨著來(lái)自供應(yīng)商的壓力。一方面，需要從云供應(yīng)商那里獲取多大程度的透明度缺乏有效的量化手段，例如云供應(yīng)商系統(tǒng)的訪問權(quán)限與企業(yè)內(nèi)部流程訪問權(quán)限不同。另一方面，傳統(tǒng)的控制測(cè)試方法，例如詢問、檢查和穿行測(cè)試等，尤其是過(guò)多依靠人工的測(cè)試方法，在面對(duì)云會(huì)計(jì)下復(fù)雜的交易網(wǎng)絡(luò)與海量數(shù)據(jù)時(shí)往往難以保證審計(jì)證據(jù)的真實(shí)完整性。因此，伴隨著大數(shù)據(jù)、云會(huì)計(jì)時(shí)代的到來(lái)，傳統(tǒng)審計(jì)方法的局限性要求更為系統(tǒng)性、技術(shù)性的方法來(lái)予以解決。

（三）審計(jì)數(shù)據(jù)的多樣性

與傳統(tǒng)的審計(jì)證據(jù)不同，云會(huì)計(jì)環(huán)境下的審計(jì)證據(jù)不僅來(lái)源更為廣泛，而且種類更為多元。由于企業(yè)會(huì)計(jì)信息系統(tǒng)的基礎(chǔ)設(shè)施和技術(shù)架構(gòu)等均在云供應(yīng)商處，因此，審計(jì)證據(jù)的來(lái)源既包括企業(yè)內(nèi)部的業(yè)務(wù)系統(tǒng)等，也包括企業(yè)外部的云供應(yīng)商以及第三方服務(wù)機(jī)構(gòu)等。在證據(jù)的數(shù)據(jù)類型方面，傳統(tǒng)單一的結(jié)構(gòu)化數(shù)據(jù)已經(jīng)難以滿足審計(jì)的需求，結(jié)構(gòu)化、半結(jié)構(gòu)化和結(jié)構(gòu)化的數(shù)據(jù)共同構(gòu)成了云會(huì)計(jì)下審計(jì)證據(jù)的來(lái)源。此外，第三方機(jī)構(gòu)的監(jiān)督和評(píng)價(jià)等也為審計(jì)證據(jù)增添了新的關(guān)注內(nèi)容。

三、云會(huì)計(jì)下基于COBIT5.0框架的IT審計(jì)體系框架構(gòu)建

（一）COBIT5.0與云會(huì)計(jì)下IT審計(jì)的契合性

COBIT由IT治理協(xié)會(huì)（ITGL）通過(guò)來(lái)自行業(yè)、學(xué)界及政府等各領(lǐng)域翹楚組成的專家組開發(fā)而來(lái)，融合了所有適當(dāng)?shù)募夹g(shù)和專業(yè)標(biāo)準(zhǔn)的最佳思想。COBIT5.0在COBIT4.1的基礎(chǔ)上汲取了多種國(guó)際先進(jìn)的IT治理標(biāo)準(zhǔn)與框架，以五項(xiàng)關(guān)鍵原則為核心，倡導(dǎo)“原則為基礎(chǔ)、目標(biāo)為導(dǎo)向、評(píng)價(jià)為手段、促進(jìn)因素為載體”的新思想[ 16 ]。

作為國(guó)際認(rèn)可度最高的IT審計(jì)準(zhǔn)則，COBIT5.0覆蓋了企業(yè)組織內(nèi)所有的職能和流程，將IT治理整合進(jìn)了企業(yè)治理之中，滿足了IT審計(jì)對(duì)IT環(huán)境的要求。同時(shí)，充分考慮了利益相關(guān)者需求，利于實(shí)現(xiàn)資源與風(fēng)險(xiǎn)收益間的平衡。而且，COBIT5.0采用了整體全面的方法和整合式框架，明確區(qū)分了治理與管理貫穿于信息系統(tǒng)生命周期的全過(guò)程，有助于制定IT審計(jì)的整體解決方案。COBIT5.0改進(jìn)了COBIT4.1的流程參考模型，將企業(yè)IT治理和管理劃分為兩大流程領(lǐng)域，增加了包括五個(gè)治理流程的治理域，在每個(gè)流程中對(duì)評(píng)價(jià)、指導(dǎo)和監(jiān)控予以描述，而管理域包括與計(jì)劃、構(gòu)建、運(yùn)行和監(jiān)控責(zé)任范圍相一致的四大領(lǐng)域，并提供端到端的IT覆蓋，全面指導(dǎo)企業(yè)的IT治理。再者，目標(biāo)級(jí)聯(lián)為了構(gòu)建企業(yè)目標(biāo)、IT目標(biāo)與促成因素目標(biāo)的相互映射，結(jié)合平衡計(jì)分卡的財(cái)務(wù)、顧客、內(nèi)部、學(xué)習(xí)和成長(zhǎng)四大維度創(chuàng)立了IT平衡計(jì)分卡，從而實(shí)現(xiàn)多重目標(biāo)的關(guān)聯(lián)性，為企業(yè)創(chuàng)造IT價(jià)值的同時(shí)兼顧企業(yè)內(nèi)外部利益相關(guān)者的利益。此外，COBIT還提供了信息系統(tǒng)的實(shí)施指南，主要描述了如何創(chuàng)造或建立合適的環(huán)境和促成因素、典型的實(shí)施觸發(fā)點(diǎn)和難點(diǎn)以及生命周期的實(shí)施和不斷改善。

通過(guò)對(duì)COBIT5.0與IT審計(jì)契合性的分析，一方面，COBIT5.0可以為面向云會(huì)計(jì)的IT審計(jì)提供流程參考與標(biāo)準(zhǔn)借鑒；另一方面，云會(huì)計(jì)的服務(wù)模式和技術(shù)環(huán)境為IT審計(jì)體系框架的構(gòu)建提供支持，結(jié)合我國(guó)相關(guān)法規(guī)政策，可以為面向云會(huì)計(jì)的IT審計(jì)提供理論參照與實(shí)踐指導(dǎo)。

（二）體系框架構(gòu)建

基于以上分析，本文吸收了COBIT5.0框架過(guò)程管理的理論與框架，結(jié)合云會(huì)計(jì)的應(yīng)用特征，構(gòu)建了COBIT5.0視角下面向云會(huì)計(jì)的過(guò)程體系框架，如圖1所示。下面將具體闡述各流程的具體內(nèi)容。

1.制定審計(jì)目標(biāo)

IT審計(jì)不僅包括第三方機(jī)構(gòu)對(duì)企業(yè)IT審計(jì)業(yè)務(wù)委托的承接，還包括企業(yè)內(nèi)部審計(jì)部門對(duì)企業(yè)本身IT架構(gòu)的審計(jì)。雖然這兩種IT審計(jì)的性質(zhì)不同，但都要首先進(jìn)行對(duì)審計(jì)目的、內(nèi)容和范圍等事項(xiàng)的確定，并在組織內(nèi)的適當(dāng)層次得到同意和通過(guò)。審計(jì)的目標(biāo)從宏觀層面上要與企業(yè)目標(biāo)和IT目標(biāo)相適應(yīng)，在業(yè)務(wù)層面上要明確與促成因素目標(biāo)的映射關(guān)系與范圍。在云會(huì)計(jì)環(huán)境下，無(wú)論IT審計(jì)的性質(zhì)如何，可行性水平都是衡量IT審計(jì)的重要標(biāo)準(zhǔn)。因此在審計(jì)目標(biāo)的制定中，必須融入可行性水平的目標(biāo)級(jí)聯(lián)，同企業(yè)目標(biāo)、IT目標(biāo)與促成因素目標(biāo)一同構(gòu)成對(duì)會(huì)計(jì)信息在系統(tǒng)內(nèi)外流轉(zhuǎn)的真實(shí)性、安全性和可靠性的保障，以滿足企業(yè)內(nèi)外與IT相關(guān)的利益相關(guān)者的需求，包括企業(yè)管理人員、政府機(jī)構(gòu)和投資者等。

2.評(píng)估審計(jì)風(fēng)險(xiǎn)

在云會(huì)計(jì)環(huán)境下進(jìn)行IT審計(jì)時(shí)，首先需要考慮企業(yè)未采用云會(huì)計(jì)之前可能面臨的風(fēng)險(xiǎn)，例如業(yè)務(wù)應(yīng)用程序通過(guò)云會(huì)計(jì)的軟件即服務(wù)模式被托管在云中，其原有的風(fēng)險(xiǎn)并不會(huì)因?yàn)椴捎迷茣?huì)計(jì)模式而消失。其次，審計(jì)風(fēng)險(xiǎn)的來(lái)源隨著云端的虛擬化向企業(yè)外部的云供應(yīng)商轉(zhuǎn)移，審計(jì)人員不但要針對(duì)企業(yè)進(jìn)行審計(jì)，例如了解企業(yè)如何確保云供應(yīng)商已經(jīng)提供了必要的控制措施，還要對(duì)云供應(yīng)商的資質(zhì)、服務(wù)安全等方面進(jìn)行評(píng)估和審核。因此，審計(jì)風(fēng)險(xiǎn)的評(píng)估必須一分為二。一方面針對(duì)企業(yè)的管理戰(zhàn)略、IT管理框架、組織架構(gòu)和內(nèi)部控制等進(jìn)行了解和評(píng)價(jià)，另一方面針對(duì)云供應(yīng)商的信息系統(tǒng)構(gòu)建、云服務(wù)安全和云服務(wù)水平協(xié)議等進(jìn)行關(guān)注和評(píng)估。通過(guò)定量和定性分析相結(jié)合的方法，確定來(lái)自企業(yè)本身和云供應(yīng)商的威脅，并進(jìn)行進(jìn)一步的脆弱性評(píng)估，如圖2所示。

3.編制審計(jì)計(jì)劃

根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，審計(jì)人員也需要從企業(yè)自身和云供應(yīng)商兩個(gè)方面編制審計(jì)計(jì)劃。從對(duì)企業(yè)審計(jì)的角度，主要考慮企業(yè)對(duì)云會(huì)計(jì)服務(wù)的業(yè)務(wù)需求和當(dāng)前采用的云會(huì)計(jì)模式，以及企業(yè)自身IT治理架構(gòu)、組織機(jī)制和人力資源等情況；從對(duì)云供應(yīng)商審計(jì)的角度，需要考慮云供應(yīng)商的云服務(wù)水平協(xié)議，包括可用性、性能、響應(yīng)時(shí)間和問題解決時(shí)間，以及安全方面的控制措施等，如業(yè)務(wù)連續(xù)性的保障措施、災(zāi)難恢復(fù)和數(shù)據(jù)存儲(chǔ)與隔離等。通過(guò)對(duì)雙方的調(diào)查與了解，制定總體審計(jì)計(jì)劃和具體審計(jì)計(jì)劃，并通過(guò)編制審計(jì)程序表確定審計(jì)計(jì)劃所需要的審計(jì)程序性質(zhì)、審計(jì)實(shí)施時(shí)間和范圍，并做詳細(xì)的梳理與說(shuō)明，對(duì)所需的人力物力資源等方面進(jìn)行詳細(xì)規(guī)劃。

4.實(shí)施審計(jì)程序

按照信息系統(tǒng)控制的例行劃分，本文將云會(huì)計(jì)下的信息系統(tǒng)控制分為一般控制和應(yīng)用控制，并分別設(shè)計(jì)了具體的審計(jì)程序。

對(duì)一般控制而言，由于云會(huì)計(jì)模式下企業(yè)的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用程序都有可能從云供應(yīng)商處租賃，因此一般控制的審計(jì)程序和實(shí)施必須從企業(yè)和云供應(yīng)商兩方面考慮。一般控制的關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)主要涉及信息系統(tǒng)安全、IT組織與職責(zé)劃分、系統(tǒng)開發(fā)與變更管理、IT運(yùn)營(yíng)控制、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施變更等。針對(duì)云供應(yīng)商而言，控制活動(dòng)主要包括系統(tǒng)安全設(shè)置和訪問管理、物理訪問和安全監(jiān)控、定期備份與容災(zāi)演練，以及云會(huì)計(jì)邊界劃分與網(wǎng)絡(luò)配置等。針對(duì)企業(yè)用戶而言，控制活動(dòng)主要包括信息安全技術(shù)如防火墻的使用、服務(wù)與測(cè)試審批、新服務(wù)評(píng)估與審批以及賬號(hào)的權(quán)限授權(quán)等。

對(duì)應(yīng)用控制而言，在云會(huì)計(jì)環(huán)境下，依托COBIT5.0中IT治理與企業(yè)目標(biāo)相結(jié)合的理念，在IT審計(jì)中主要體現(xiàn)為業(yè)務(wù)流程與應(yīng)用控制流程的融合。具體而言，主要包括管理業(yè)務(wù)流程的控制、業(yè)務(wù)處理授權(quán)和不相容職責(zé)分離的控制、會(huì)計(jì)相關(guān)信息的輸入控制、系統(tǒng)處理控制和輸出過(guò)程的控制。

5.收集審計(jì)證據(jù)

收集審計(jì)證據(jù)是執(zhí)行IT審計(jì)的重要組成部分，在云會(huì)計(jì)環(huán)境下，模塊結(jié)構(gòu)進(jìn)行多重組合給審計(jì)證據(jù)的收集帶來(lái)了一定阻礙，同時(shí)，多租戶模式更導(dǎo)致云供應(yīng)商處的審計(jì)線索錯(cuò)綜復(fù)雜，如果依靠人力或傳統(tǒng)的集中式系統(tǒng)審計(jì)模式很難保障審計(jì)證據(jù)的有效性。因此，審計(jì)人員可以在詢問、檢查、查詢和函證等傳統(tǒng)方法的基礎(chǔ)上，引入白盒測(cè)試、黑盒測(cè)試、聚類抽樣和數(shù)據(jù)挖掘等計(jì)算機(jī)取證方法，建立分布式審計(jì)系統(tǒng)，充分運(yùn)用云計(jì)算、大數(shù)據(jù)等技術(shù)，使審計(jì)大數(shù)據(jù)化和智能化，減少人力資源的運(yùn)用，使審計(jì)人員更好地投入到審計(jì)決策與分析中。同時(shí)，保障審計(jì)證據(jù)具有可信性、充分性、適當(dāng)性和相關(guān)性以及審計(jì)線索的可追溯性。

6.出具審計(jì)報(bào)告

在對(duì)獲取的審計(jì)證據(jù)進(jìn)行整理、分析和評(píng)價(jià)的基礎(chǔ)上，結(jié)合企業(yè)目標(biāo)、IT治理框架，在保障云會(huì)計(jì)可行性需求和風(fēng)險(xiǎn)度量的基礎(chǔ)上，形成相應(yīng)的審計(jì)結(jié)論，并出具審計(jì)報(bào)告，同時(shí)向被審計(jì)單位發(fā)出審計(jì)建議。最后，通過(guò)與被審計(jì)單位的交流與溝通，在考慮被審計(jì)單位回復(fù)的基礎(chǔ)上對(duì)改進(jìn)效果進(jìn)行追蹤。

四、云會(huì)計(jì)下IT審計(jì)實(shí)施步驟的關(guān)鍵環(huán)節(jié)

在云會(huì)計(jì)時(shí)代，無(wú)論是對(duì)于企業(yè)內(nèi)部審計(jì)還是第三方外部審計(jì)而言，業(yè)務(wù)的組成部分和相關(guān)職能都與企業(yè)自建信息系統(tǒng)類似，只是由不同的實(shí)體負(fù)責(zé)，導(dǎo)致風(fēng)險(xiǎn)和數(shù)據(jù)來(lái)源發(fā)生了改變。因此，審計(jì)人員仍然需要了解業(yè)務(wù)程序所采用的數(shù)據(jù)輸入措施、軟件變更控制和業(yè)務(wù)連續(xù)性保障措施等?？紤]云會(huì)計(jì)環(huán)境的特殊性，在IT審計(jì)實(shí)施過(guò)程中仍需注意以下關(guān)鍵環(huán)節(jié)，以保障審計(jì)結(jié)果的可信性。

（一）移動(dòng)互聯(lián)

移動(dòng)互聯(lián)的蓬勃發(fā)展成為了“互聯(lián)網(wǎng)+”時(shí)代的一個(gè)重要標(biāo)志，并推動(dòng)了云會(huì)計(jì)的進(jìn)步與應(yīng)用。無(wú)線局域網(wǎng)和智能移動(dòng)設(shè)備的廣泛使用對(duì)企業(yè)信息資產(chǎn)安全帶來(lái)了威脅，因此對(duì)其的審計(jì)也成為面向云會(huì)計(jì)的IT審計(jì)的重點(diǎn)關(guān)注環(huán)節(jié)。無(wú)線局域網(wǎng)和智能移動(dòng)設(shè)備具有四個(gè)核心要素，包括無(wú)線網(wǎng)絡(luò)網(wǎng)關(guān)、客戶端、管理軟件以及有線網(wǎng)絡(luò)網(wǎng)關(guān)與無(wú)線客戶端之間的無(wú)線通信方式。因此，審計(jì)重點(diǎn)就在于對(duì)無(wú)線局域網(wǎng)和移動(dòng)設(shè)備網(wǎng)關(guān)、客戶端、管理和通信的審核。具體測(cè)試步驟包括技術(shù)審計(jì)和運(yùn)行審計(jì)，例如代碼版本變更流程管理、密碼驗(yàn)證周期管理和無(wú)線點(diǎn)訪問探測(cè)等，也包括終端問題跟蹤、無(wú)線系統(tǒng)監(jiān)控和災(zāi)難回復(fù)流程評(píng)估。

（二）數(shù)據(jù)安全

云會(huì)計(jì)自誕生以來(lái)，數(shù)據(jù)安全一直是企業(yè)擔(dān)心的首要問題，因此，面向云會(huì)計(jì)的IT審計(jì)實(shí)施過(guò)程中對(duì)數(shù)據(jù)安全的關(guān)注也是其關(guān)鍵環(huán)節(jié)。由于云供應(yīng)商擁有對(duì)多個(gè)企業(yè)的數(shù)據(jù)控制權(quán)，因此很可能存在多用戶數(shù)據(jù)混合存儲(chǔ)的現(xiàn)象。對(duì)云供應(yīng)商數(shù)據(jù)隔離的審計(jì)是保障數(shù)據(jù)安全的首要控制措施。其次，數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)的安全需要對(duì)云供應(yīng)商使用加密方法，如算法或密匙進(jìn)行審核和評(píng)估。人為因素也是導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)的重要原因，因而確定和評(píng)價(jià)云供應(yīng)商處的人員對(duì)數(shù)據(jù)的訪問權(quán)限和對(duì)用戶內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的邏輯訪問流程至關(guān)重要。最后，企業(yè)制定相關(guān)的數(shù)據(jù)保密政策等是否在云供應(yīng)商處得到執(zhí)行也是需要審計(jì)人員關(guān)注的問題。此外，針對(duì)攻擊的控制措施，物理安全和身份管理，包括入侵檢測(cè)、日志管理和分布式系統(tǒng)的賬戶管理也是IT審計(jì)實(shí)施的關(guān)鍵。

（三）運(yùn)營(yíng)過(guò)程

在云會(huì)計(jì)環(huán)境下，IT審計(jì)除了技術(shù)審計(jì)外，還包括企業(yè)和云供應(yīng)商運(yùn)營(yíng)過(guò)程的審計(jì)。一方面，監(jiān)測(cè)服務(wù)水平協(xié)議等有利于保障云會(huì)計(jì)服務(wù)的質(zhì)量；另一方面，確保云供應(yīng)商具有足夠的容災(zāi)能力才能保障云會(huì)計(jì)運(yùn)行的持續(xù)性。

（四）法律問題

如果企業(yè)因自身決策需求或其他需要而實(shí)施相關(guān)調(diào)查時(shí)，存儲(chǔ)在云供應(yīng)商處的日志數(shù)據(jù)等就尤為重要，因此審計(jì)人員需要評(píng)估企業(yè)從云供應(yīng)商處獲取數(shù)據(jù)的權(quán)力和能力。不僅如此，數(shù)據(jù)存儲(chǔ)是否遵循隱私法或應(yīng)用系統(tǒng)是否持續(xù)受到跟蹤，且使用符合安全協(xié)議規(guī)定也是需要注意的。

五、結(jié)語(yǔ)

目前，云會(huì)計(jì)和IT審計(jì)在我國(guó)都處于發(fā)展階段，面向云會(huì)計(jì)的IT審計(jì)體系框架的構(gòu)建既對(duì)云會(huì)計(jì)的推廣與應(yīng)用具有促進(jìn)作用，又對(duì)IT審計(jì)的發(fā)展和實(shí)踐具有指導(dǎo)意義。本文在剖析了云會(huì)計(jì)的出現(xiàn)給IT審計(jì)帶來(lái)的挑戰(zhàn)后，通過(guò)分析COBIT5.0與IT審計(jì)的契合性，構(gòu)建了云會(huì)計(jì)下基于COBIT5.0框架的IT審計(jì)框架，并分析了IT審計(jì)實(shí)施過(guò)程中的重點(diǎn)關(guān)注環(huán)節(jié)，有利于從理論與實(shí)踐兩方面共同保障面向云會(huì)計(jì)的IT審計(jì)實(shí)施的有效性，幫助企業(yè)實(shí)現(xiàn)IT價(jià)值，推動(dòng)云會(huì)計(jì)與IT審計(jì)的協(xié)同發(fā)展。

【參考文獻(xiàn)】

[1] 程平，何雪峰.“云會(huì)計(jì)”在中小企業(yè)會(huì)計(jì)信息化中的應(yīng)用[J].重慶理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)），2011（1）：55-60.

[2] 陳耿.信息系統(tǒng)審計(jì)、控制與管理[M].清華大學(xué)出版社，2014.

[3] 曹立明.論IT審計(jì)與會(huì)計(jì)信息化[J].中國(guó)注冊(cè)會(huì)計(jì)師，2012（12）：108-113.

[4] 鄧少靈.企業(yè)IT審計(jì)的框架[J].中國(guó)審計(jì)，2002（1）：58-60.

[5] 李會(huì)太.從IT審計(jì)師看審計(jì)學(xué)科發(fā)展與技術(shù)審計(jì)時(shí)代的到來(lái)[J].審計(jì)與經(jīng)濟(jì)研究，2001（6）：7-9.

[6] 方國(guó)志，蘇黃兵，雷海.央行IT審計(jì)評(píng)價(jià)指標(biāo)體系研究[J].區(qū)域金融研究，2013（4）：4-8.

[7] 閆涵.金融創(chuàng)新形勢(shì)下的IT審計(jì)[J].金融會(huì)計(jì)，2015（4）：52-55.

[8] 趙東來(lái)，郝立濤，燕超源.電網(wǎng)企業(yè)IT治理模型探討[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2014（2）：83-85.

[9] 覃憲姬，陳瑜，佟柱.信息系統(tǒng)審計(jì)的透視與思考：基于廣州地鐵IT審計(jì)案例的分析[J].中國(guó)內(nèi)部審計(jì)，2014（8）：21.

[10] 中國(guó)人民銀行武夷山支行課題組，史可山，陳崇躍，朱燕濤.我國(guó)央行IT審計(jì)和IT治理的現(xiàn)狀與思考[J].上海金融，2007（12）：88-89.

[11] 王會(huì)金.高校管理信息系統(tǒng)審計(jì)及其風(fēng)險(xiǎn)控制問題研究：以WSR方法論與COBIT理論相結(jié)合為視角[J].審計(jì)與經(jīng)濟(jì)研究，2014（5）：23-30.

[12] ISACA.Control objectives for information and related technology（COBIT 5）[A/OL].http：//www.isaca.org.

[13] 克里斯·戴維斯，麥克·席勒，凱文·惠勒.IT審計(jì)：管好信息資產(chǎn)[M].中國(guó)經(jīng)濟(jì)出版社，2015.

[14] 魯清仿.COBIT5.0與COBIT4.1的比較與啟示[J].新智慧（財(cái)經(jīng)版），2014（1）：89-92.

[15] 喬鵬程，朱衛(wèi)東.COBIT5.0下中小企業(yè)管理信息系統(tǒng)內(nèi)部控制研究：以西藏地區(qū)為例[J].財(cái)會(huì)通訊（綜合），2015（7）：102-105.

[16] 程平，溫艷好.基于云會(huì)計(jì)的AIS可信性層次結(jié)構(gòu)模型[J].重慶理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)），2014（2）：24-31.