羅 婧，王 煒

一、引言

“十三五”審計規(guī)劃明確指出各級審計機關(guān)應(yīng)不斷優(yōu)化審計技術(shù)和方法，提高審計效率，滿足審計全覆蓋內(nèi)在要求。但是大數(shù)據(jù)時代產(chǎn)生的海量數(shù)據(jù)使得傳統(tǒng)審計技術(shù)難以滿足監(jiān)督需求，革新審計技術(shù)勢在必行。而云計算依靠虛擬化、分布式存儲等關(guān)鍵技術(shù)，實現(xiàn)了海量數(shù)據(jù)的采集、存儲、分析及報告等，有效迎合了大數(shù)據(jù)時代的審計新需求。利用云端提供的不同層次服務(wù)，審計終端和被審計端可以擺脫自建硬件設(shè)備和自行開發(fā)審計應(yīng)用軟件的成本支出，借力云端的智能化數(shù)據(jù)處理、分析功能，提高審計效率。同時，云審計能夠擺脫傳統(tǒng)審計技術(shù)強調(diào)的數(shù)據(jù)傳輸、轉(zhuǎn)換、匯總等繁雜程序并解決不同審計軟件兼容性問題，使審計人員聚焦于審計任務(wù)本身?？梢?，云審計的廣泛應(yīng)用不僅節(jié)約了審計成本，還能提高審計效率并保證審計質(zhì)量。

但是相較于傳統(tǒng)審計技術(shù)，云審計系統(tǒng)運作的復(fù)雜性也導(dǎo)致其背后隱藏的風(fēng)險和危害遠高于傳統(tǒng)審計技術(shù)，如何有效應(yīng)對新環(huán)境下云審計應(yīng)用可能產(chǎn)生的風(fēng)險，將成為大數(shù)據(jù)時代云審計能否廣泛應(yīng)用的關(guān)鍵。因此，本文從被審計端、云端和審計終端三個視角出發(fā)構(gòu)建云審計應(yīng)用系統(tǒng)，并分析其在具體應(yīng)用中可能存在的風(fēng)險，進而提出針對性的建議，以期為未來審計機關(guān)在大規(guī)模應(yīng)用云審計應(yīng)對可能發(fā)生的風(fēng)險時提供借鑒和參考。

二、云計算與云審計概述

（一）云計算

云計算是在大數(shù)據(jù)時代背景下產(chǎn)生的一種全新的領(lǐng)先信息技術(shù)，其依靠虛擬化、大規(guī)模數(shù)據(jù)處理及分布式存儲等核心技術(shù)，實現(xiàn)了海量數(shù)據(jù)的實時采集上傳、加工匯總、分析及存儲等，有效擺脫了本地和遠程計算機的限制，為用戶解決了數(shù)據(jù)中心管理、海量數(shù)據(jù)存儲空間、大規(guī)模數(shù)據(jù)處理分析以及應(yīng)用程序更新改造等現(xiàn)實性難題，用戶只要按需付費就可隨時隨地便捷訪問和利用云資源，在提高服務(wù)質(zhì)量的同時還能有效降低運行和維護成本。

從用戶體驗的角度出發(fā)，云計算主要提供三種服務(wù)模式：基礎(chǔ)設(shè)施服務(wù)（IAAS）、平臺及服務(wù)（PAAS）、軟件及服務(wù)（SAAS）。如圖1所示，IAAS層是云計算服務(wù)框架的基礎(chǔ)層，能夠為用戶提供服務(wù)器、防火墻、存儲設(shè)備和網(wǎng)絡(luò)設(shè)備等基礎(chǔ)設(shè)施服務(wù)，有效減少用戶軟硬件設(shè)備開發(fā)成本，最大限度地實現(xiàn)資源共享和數(shù)據(jù)存儲[1]。PAAS層是云計算服務(wù)框架的平臺層，主要為用戶提供集應(yīng)用程序設(shè)計、開發(fā)、測試、部署與托管為一體的完整系統(tǒng)應(yīng)用平臺，解決用戶自建系統(tǒng)應(yīng)用平臺的內(nèi)在需求。SAAS層是云計算服務(wù)框架的應(yīng)用層，為用戶提供應(yīng)用程序等軟件服務(wù)，用戶不需自行安裝軟件產(chǎn)品而是直接使用云端提供的軟件服務(wù)，有效降低了用戶的日常維護成本。

圖1 云計算服務(wù)框架

（二）云審計

云審計是云計算技術(shù)與審計工作相結(jié)合的技術(shù)創(chuàng)新產(chǎn)物，即利用“云端”提供的云計算服務(wù)平臺，歸集和管理審計所需的各類資料和數(shù)據(jù)，對容納的數(shù)據(jù)進行實時更新和有機集合，能夠智能控制對審計模型的選擇和使用，從而實現(xiàn)審計信息的數(shù)字化與智能化處理，促進信息共享和溝通，保證審計質(zhì)量。隨著大數(shù)據(jù)時代的到來，云審計能夠依靠虛擬化、可動態(tài)擴展、大規(guī)模分布式計算模式等關(guān)鍵技術(shù)，將網(wǎng)絡(luò)上閑置存儲設(shè)備、計算能力、應(yīng)用軟件等資源集中起來[2]，為審計主體提供包括數(shù)據(jù)采集、加工、匯總、分析和存儲等多元化、智能化、數(shù)字化的數(shù)據(jù)服務(wù)，降低審計主體對自建軟硬件設(shè)備的依賴，實現(xiàn)低成本高效率的審計作業(yè)服務(wù)。

按照云計算服務(wù)框架，也可將云審計分為IAAS、PAAS和SAAS三個層次。其中：IAAS層主要通過租用基礎(chǔ)設(shè)備，使用云端提供的云儲存、虛擬計算機等基礎(chǔ)功能，降低硬件投入成本；PAAS層是審計軟件應(yīng)用平臺，為開發(fā)審計軟件、審計模型和審計工具提供共享環(huán)境；SAAS層主要通過云端web提供軟件應(yīng)用服務(wù)，審計主體只需支付資源使用費即可實現(xiàn)審計項目和資源的有效管理，降低自裝軟件的維護和更新成本。由此可見，云審計的廣泛應(yīng)用能夠有效解決審計軟硬件設(shè)備難題，以及審計數(shù)據(jù)存儲、加工、分析、共享和工作失效等問題，審計人員只需注重于審計任務(wù)本身，可最大限度地提高審計工作的效率和科學(xué)性。

三、云審計系統(tǒng)構(gòu)建

考慮到傳統(tǒng)審計技術(shù)難以適應(yīng)大數(shù)據(jù)時代產(chǎn)生的海量數(shù)據(jù)審計需求，本文借鑒云計算技術(shù)的數(shù)據(jù)存儲、分析、加工等優(yōu)勢，在兼顧審計成本、審計效率和數(shù)據(jù)安全的前提下，將云技術(shù)的數(shù)據(jù)處理優(yōu)勢融入審計實踐工作中，通過按需付費直接使用云端提供的SAAS、PAAS、IAAS等服務(wù)，對被審計端開展審計作業(yè)，可在提高審計效率的同時有效降低審計成本。構(gòu)建的云審計系統(tǒng)如圖2所示。

1.在被審計端和審計終端融入第三方云計算服務(wù)提供商（簡稱“云端”）。構(gòu)建一個由云端作為第三方服務(wù)中介、審計終端和被審計端作為用戶層的云審計應(yīng)用系統(tǒng)。其中，被審計端應(yīng)按期匯總財務(wù)收支數(shù)據(jù)，在此過程中應(yīng)重點關(guān)注原始數(shù)據(jù)的完整性和真實性，防止人為刪減和更替數(shù)據(jù)，以保證數(shù)據(jù)源頭的完整、準(zhǔn)確和真實。同時，按照審計端的審計要求，及時通過云端接口技術(shù)將原始財務(wù)收支數(shù)據(jù)上傳至云端，并對傳輸數(shù)據(jù)進行備份，防止數(shù)據(jù)上傳失敗或上傳不完整。

圖2 云審計系統(tǒng)

2.云端根據(jù)審計終端需求，為其提供數(shù)據(jù)采集、數(shù)據(jù)加工轉(zhuǎn)換、數(shù)據(jù)分析和存儲以及審計分析報告等服務(wù)。主要服務(wù)內(nèi)容包括：

（1）利用IAAS層實現(xiàn)海量數(shù)據(jù)存儲。審計數(shù)據(jù)的爆炸性增長帶來了原始數(shù)據(jù)存儲空間不足的難題，傳統(tǒng)審計數(shù)據(jù)大多存儲在U盤、硬盤或依靠磁介質(zhì)傳送到指定的數(shù)據(jù)存儲中心，容易造成數(shù)據(jù)缺失，存在數(shù)據(jù)安全性不高、共享性差等問題。而云端提供的存儲器、網(wǎng)絡(luò)資源和安全機制等為審計機關(guān)存儲海量數(shù)據(jù)提供了有利的硬件條件，再加上虛擬化技術(shù)和數(shù)據(jù)集群能夠?qū)⒉煌愋?、不同格式的存儲資源整合起來以統(tǒng)一的形式實現(xiàn)存儲服務(wù)，因此審計終端無須單獨配置存儲器、服務(wù)器等硬件設(shè)備，只要借助云平臺即可實現(xiàn)海量數(shù)據(jù)存儲目標(biāo)。

（2）利用PAAS層實現(xiàn)數(shù)據(jù)共享與加工。通過平臺層提供的應(yīng)用開發(fā)與設(shè)計模塊、數(shù)據(jù)緩存等標(biāo)準(zhǔn)化服務(wù)，能夠使得開發(fā)設(shè)計的審計軟件具有較好的兼容性和一致性，可以自由切換并實現(xiàn)不同格式數(shù)據(jù)之間的共享和傳輸，集成的應(yīng)用開發(fā)環(huán)境有效提高了所獲數(shù)據(jù)的有效性和共享性。同時，數(shù)據(jù)庫等服務(wù)模塊能夠?qū)AAS層存儲的數(shù)據(jù)進行整合加工，并以統(tǒng)一化、標(biāo)準(zhǔn)化的形式傳輸?shù)胶笈_的數(shù)據(jù)處理中心，進而有助于提升審計數(shù)據(jù)處理效率。

（3）利用SAAS層實現(xiàn)數(shù)據(jù)智能分析及預(yù)警。數(shù)據(jù)管理中心是審計實施系統(tǒng)和審計管理系統(tǒng)交互管理的中轉(zhuǎn)站，作為數(shù)據(jù)智能分析處理的中心數(shù)據(jù)庫，其依靠綜合信息數(shù)據(jù)庫、專家經(jīng)驗數(shù)據(jù)庫和法律法規(guī)數(shù)據(jù)庫等，對被審計端上傳的數(shù)據(jù)進行智能化處理，通過數(shù)據(jù)分析平臺自帶的分析模型和審計模型，對原始數(shù)據(jù)進行智能加工以發(fā)現(xiàn)可疑數(shù)據(jù)和審計線索，并自動生成預(yù)警報告。

3.審計終端是審計結(jié)果的展現(xiàn)。審計終端無須自建軟硬件設(shè)備，只需要按期付費就能通過電腦、手機等網(wǎng)絡(luò)終端直接登錄云平臺，查看被審計端上傳的原始數(shù)據(jù)，下載云端對原始數(shù)據(jù)加工轉(zhuǎn)換后的備份數(shù)據(jù)，調(diào)取數(shù)據(jù)管理中心智能化識別的可疑數(shù)據(jù)和預(yù)警報告，并按照云端數(shù)據(jù)分析處理結(jié)果指導(dǎo)現(xiàn)場審計工作實踐。由此可見，借助云計算不僅能夠?qū)崿F(xiàn)審計終端對被審計端的有效審計作業(yè)，還能降低不必要的軟硬件開發(fā)及維護成本；不僅能夠提高審計效率，還能有效保障審計質(zhì)量。

四、云審計系統(tǒng)應(yīng)用風(fēng)險分析

（一）被審計端風(fēng)險分析

被審計端作為財務(wù)原始數(shù)據(jù)采集的源頭，應(yīng)保證上傳云端原始數(shù)據(jù)的真實性和完整性。因為真實、完整、準(zhǔn)確的原始數(shù)據(jù)直接關(guān)系到云端數(shù)據(jù)管理中心對于審計數(shù)據(jù)分析報告和數(shù)據(jù)處理結(jié)果的科學(xué)性和可靠性的影響，進而影響審計終端利用云端審計數(shù)據(jù)分析報告和預(yù)警分析報告指導(dǎo)現(xiàn)場審計的成敗。具體而言，被審計端風(fēng)險主要如下：

第一，當(dāng)前被審計端數(shù)據(jù)采集和傳輸都建立在互聯(lián)網(wǎng)的基礎(chǔ)上，而網(wǎng)絡(luò)環(huán)境的開放性和共享性容易導(dǎo)致被審計端數(shù)據(jù)采集安全性和穩(wěn)定性不足的問題，網(wǎng)絡(luò)病毒和黑客的惡意攻擊加劇了被審計端網(wǎng)絡(luò)安全運行的風(fēng)險，難以有效保證被審計端原始數(shù)據(jù)采集的數(shù)量和質(zhì)量。

第二，當(dāng)前數(shù)據(jù)都以無紙化的電子數(shù)據(jù)進行采集和傳輸，數(shù)據(jù)存儲也主要依靠磁介質(zhì)，而電子數(shù)據(jù)的刪改無法留下痕跡，這為能夠接觸到原始數(shù)據(jù)的舞弊者更改數(shù)據(jù)提供了契機，舞弊行為的無處可尋增加了被審計端原始數(shù)據(jù)完整性和準(zhǔn)確性的風(fēng)險。

第三，原始數(shù)據(jù)的實時采集和連續(xù)更新對被審計端網(wǎng)絡(luò)硬件設(shè)施提出了更高的要求，計算機內(nèi)存不足、系統(tǒng)卡頓或癱瘓、網(wǎng)絡(luò)傳輸能力有限等現(xiàn)實性問題都可能影響數(shù)據(jù)采集端口的連續(xù)性和完整性。而系統(tǒng)區(qū)與數(shù)據(jù)區(qū)的混合使用也加劇了系統(tǒng)配置風(fēng)險，導(dǎo)致數(shù)據(jù)保存和備份面臨較大挑戰(zhàn)。

第四，在保證原始數(shù)據(jù)采集完整性和準(zhǔn)確性的基礎(chǔ)上，被審計端還要依靠網(wǎng)絡(luò)接口技術(shù)將數(shù)據(jù)傳輸?shù)皆贫?，在此過程中數(shù)據(jù)傳輸安全性和穩(wěn)定性則依賴于每個基礎(chǔ)API（應(yīng)用程序編程接口）內(nèi)置的安全性，而數(shù)據(jù)傳輸接口端API中的不安全因素可能會導(dǎo)致數(shù)據(jù)傳輸失敗，甚至是數(shù)據(jù)外泄[3]。

（二）云端風(fēng)險分析

云計算利用虛擬化、可動態(tài)擴展、分布式數(shù)據(jù)存儲等關(guān)鍵技術(shù)，將網(wǎng)絡(luò)資源集中整合起來，有效釋放了被審計端數(shù)據(jù)存儲和硬件設(shè)備的內(nèi)在壓力，也為審計終端提供數(shù)據(jù)加工、分析及預(yù)警等功能，顯著提高了原始數(shù)據(jù)處理效率。但云端產(chǎn)生的任何風(fēng)險都可能引發(fā)連鎖反應(yīng)波及被審計端和審計終端，因此云端風(fēng)險分析及控制直接關(guān)系到整個審計任務(wù)的效率和效果。

1.從數(shù)據(jù)安全性來看，云端主要面臨數(shù)據(jù)存儲風(fēng)險和數(shù)據(jù)隔離風(fēng)險。數(shù)據(jù)存儲風(fēng)險主要是指被審計端上傳的原始數(shù)據(jù)外泄以及云端遭受外圍黑客或病毒攻擊，對原始數(shù)據(jù)的完整性、真實性、準(zhǔn)確性產(chǎn)生的負面影響。由于被審計端通過網(wǎng)絡(luò)接口技術(shù)按期將原始數(shù)據(jù)上傳至云端，云端利用虛擬化技術(shù)將數(shù)據(jù)存儲在不同服務(wù)器上，導(dǎo)致原始數(shù)據(jù)準(zhǔn)確存儲位置無法定位，對于部分敏感性和重要性原始數(shù)據(jù)無法針對性地實施加密保存，進而加大了某些重要性原始數(shù)據(jù)外泄的風(fēng)險。同時，被審計端的數(shù)據(jù)存儲和審計終端的數(shù)據(jù)處理相關(guān)的邏輯控制和物理控制都嚴(yán)重依賴于云端，而云端外圍網(wǎng)絡(luò)環(huán)境的不穩(wěn)定性（如遭受黑客或病毒惡意攻擊）會對原始數(shù)據(jù)的完整性、真實性、準(zhǔn)確性產(chǎn)生負面影響，進而加大云端的數(shù)據(jù)存儲風(fēng)險。

數(shù)據(jù)隔離風(fēng)險主要是在云服務(wù)共享環(huán)境下，云端在數(shù)據(jù)管理和用戶數(shù)據(jù)分配過程中出現(xiàn)混亂可能產(chǎn)生的風(fēng)險。特別是在公共云下，審計終端和被審計端只是云端客戶群體之一，云端也可能為其他用戶提供數(shù)據(jù)存儲和計算資源，這就導(dǎo)致云端同時為多個用戶提供不同類型數(shù)據(jù)存儲和分析服務(wù)，如果各用戶存儲數(shù)據(jù)不能實現(xiàn)有效隔離，可能會給審計原始數(shù)據(jù)帶來安全隱患。

2.從云審計系統(tǒng)應(yīng)用來看，云端主要面臨訪問控制無效風(fēng)險、平臺共享風(fēng)險及平臺傳輸風(fēng)險。首先，就訪問控制無效風(fēng)險而言，在共享環(huán)境下不同用戶可以通過訪問控制和身份識別登錄云端，享受相關(guān)云計算服務(wù)，而常用的訪問控制和身份識別大多采用賬號密碼等傳統(tǒng)登錄設(shè)置，這容易引發(fā)由于登錄賬號及密碼被盜、因密碼等級低而被破解等產(chǎn)生的非法登錄風(fēng)險，一旦被審計端或?qū)徲嫿K端訪問控制被非法侵犯，就會對云端審計數(shù)據(jù)的安全性、完整性和準(zhǔn)確性產(chǎn)生重大影響。因此，如何對云端實施審計作業(yè)的訪問者進行有效身份識別，已成為云端保證審計數(shù)據(jù)安全的關(guān)鍵屏障[3]。

其次，雖然云端服務(wù)商能夠同時為多個用戶提供基礎(chǔ)設(shè)施、應(yīng)用軟件及計算資源等服務(wù)，但是云計算資源的共享也導(dǎo)致了平臺共享風(fēng)險的增加。尤其是云端基礎(chǔ)設(shè)施服務(wù)底層組件未能采取有效的隔離措施對不同用戶間應(yīng)用程序運行及數(shù)據(jù)運算資源進行有效分離，可能會引發(fā)不同用戶間應(yīng)用程序的相互干擾，也為不法分子惡意干擾、破壞審計終端審計作業(yè)提供了機會。

最后，云端提供的強大數(shù)據(jù)處理服務(wù)及應(yīng)用程序的快速運行都需要高速、穩(wěn)定、便捷的網(wǎng)絡(luò)寬帶傳輸平臺作為前提條件。尤其是審計端對原始數(shù)據(jù)頻繁的調(diào)取、信息交換以及數(shù)據(jù)存儲，都對云端寬帶傳輸負荷提出了更高的要求。一旦云端網(wǎng)絡(luò)傳輸超負荷運行，將引發(fā)傳輸風(fēng)險，進而導(dǎo)致審計終端無法正常開展審計作業(yè)，影響審計計劃的順利實施[3]。

（三）審計終端風(fēng)險分析

云端為審計終端提供的智能化數(shù)據(jù)處理能有效實現(xiàn)對被審計端的遠程監(jiān)督，相比于傳統(tǒng)的審計技術(shù)與方法，云審計為審計終端提供原始數(shù)據(jù)分析報告及預(yù)警結(jié)果報告，能夠為現(xiàn)場審計指明審計重點和審計方向，有效提高了審計效率和審計質(zhì)量。但審計終端對云端數(shù)據(jù)處理的過分依賴，也使其面臨著諸多風(fēng)險。

1.在審計人員方面，存在專業(yè)勝任能力不足與違規(guī)操作風(fēng)險。就專業(yè)勝任能力而言，云審計是將云計算提供的諸多服務(wù)應(yīng)用到審計工作實踐中，預(yù)期審計效果的實現(xiàn)取決于審計人員的專業(yè)勝任能力，一旦審計人員的專業(yè)素質(zhì)和技能無法適應(yīng)云審計工作要求，將對審計效率和審計質(zhì)量產(chǎn)生負面影響。因此，想要有效應(yīng)用云審計工作成果，不僅要求審計人員掌握審計業(yè)務(wù)專業(yè)知識，還要對計算機技術(shù)、網(wǎng)絡(luò)應(yīng)用技術(shù)以及軟硬件系統(tǒng)具有充分了解。但受制于傳統(tǒng)審計思維和操作方式，審計人員缺乏對云計算技術(shù)、計算機審計等知識的了解，在實際應(yīng)用過程中可能因勝任能力不足而導(dǎo)致擅自修改系統(tǒng)設(shè)置、數(shù)據(jù)處理不當(dāng)?shù)葐栴}。同時，云審計作為審計技術(shù)的優(yōu)化創(chuàng)新，應(yīng)針對性地提供相應(yīng)的應(yīng)用指南和準(zhǔn)則體系加以引導(dǎo)。而傳統(tǒng)的準(zhǔn)則體系及應(yīng)用指南仍局限于傳統(tǒng)審計技術(shù)，難以解決新環(huán)境下云審計實踐應(yīng)用過程中遇到的問題。這使得審計人員在專業(yè)勝任能力上本就存在瑕疵的前提下，仍然面臨缺乏標(biāo)準(zhǔn)技術(shù)規(guī)范體系和應(yīng)用指導(dǎo)的困境，進而導(dǎo)致審計人員違規(guī)操作風(fēng)險增加，審計失敗風(fēng)險驟增。

2.現(xiàn)場審計面臨著審計證據(jù)缺失和審計程序無效兩種風(fēng)險。傳統(tǒng)審計技術(shù)能夠通過現(xiàn)場查閱、盤點等方法獲取適當(dāng)?shù)膶徲嬜C據(jù)，但是在云審計應(yīng)用過程中，審計終端通過登錄云端直接查閱被審計端上傳的電子數(shù)據(jù)，審計數(shù)據(jù)分析報告和預(yù)警結(jié)果報告也是依靠云端智能化處理得出，審計終端只能以此指導(dǎo)現(xiàn)場審計，難以將其作為充分、適當(dāng)?shù)膶徲嬜C據(jù)。因此，審計證據(jù)的缺失在一定程度上增加了現(xiàn)場審計失敗的風(fēng)險。此外，雖然云端能夠高效處理海量數(shù)據(jù)并得出數(shù)據(jù)分析報告與疑點預(yù)警報告，為現(xiàn)場審計指明方向和重點，但是該結(jié)果僅是基于原始數(shù)據(jù)分析得出的，審計終端無法通過云端對被審計端內(nèi)部控制設(shè)計及執(zhí)行的有效性進行充分評估。如果被審計端內(nèi)部控制存在重大缺陷導(dǎo)致其原始數(shù)據(jù)采集的完整性和準(zhǔn)確性存在問題，將會直接影響云端上傳的數(shù)據(jù)分析報告和預(yù)警結(jié)果報告的可靠性和科學(xué)性，最終誤導(dǎo)現(xiàn)場審計，致使審計程序無效或?qū)徲嬍　?/p>

綜上所述，云審計系統(tǒng)的應(yīng)用風(fēng)險及其傳導(dǎo)過程如圖3所示。

圖3 云審計系統(tǒng)應(yīng)用風(fēng)險

五、云審計系統(tǒng)應(yīng)用風(fēng)險控制

（一）被審計端風(fēng)險控制

1.優(yōu)化網(wǎng)絡(luò)運行環(huán)境。被審計端網(wǎng)絡(luò)運行環(huán)境的安全性和穩(wěn)定性是保證原始數(shù)據(jù)采集完整性和準(zhǔn)確性的第一道“防火墻”。為此，應(yīng)先搭建完備的安全監(jiān)控體系（如非法入侵、病毒防護、防火墻等技術(shù)），對被審計端網(wǎng)絡(luò)運行環(huán)境進行周期性防御，以防止黑客或病毒產(chǎn)生的威脅。同時，引入互聯(lián)網(wǎng)物理隔離技術(shù)，當(dāng)被審計端網(wǎng)絡(luò)安全遭受威脅時，能夠通過加密驗證對訪問者身份進行有效識別，并構(gòu)建隔離模型對不同安全級別網(wǎng)絡(luò)進行有效分離，以保證數(shù)據(jù)采集源頭不受外圍網(wǎng)絡(luò)的威脅和干擾。

2.建立遠程訪問監(jiān)控系統(tǒng)。被審計端系統(tǒng)自帶的操作日志能夠準(zhǔn)確記錄登錄者身份、登錄時間和登錄地點等事項，這為遠程訪問監(jiān)控系統(tǒng)、準(zhǔn)確定位登錄人員具體操作行為和權(quán)限提供了基礎(chǔ)。通過將系統(tǒng)操作日志記錄的操作事項與遠程訪問監(jiān)控系統(tǒng)對特定訪問主體設(shè)定的操作權(quán)限對比，能夠有效識別并實時監(jiān)控非法訪問和非法操作，防止被審計端數(shù)據(jù)采集過程中可能存在的數(shù)據(jù)舞弊風(fēng)險。

3.做好基礎(chǔ)設(shè)施定期維護檢測工作。海量數(shù)據(jù)的實時采集與頻繁更新對被審計端基礎(chǔ)設(shè)施的穩(wěn)定性提出了更高的要求，尤其是內(nèi)存設(shè)備和系統(tǒng)異常清除方面。被審計端應(yīng)統(tǒng)一管理不同存儲設(shè)備并利用虛擬化技術(shù)保證內(nèi)存設(shè)備容量的充足性，同時通過漏洞檢測技術(shù)、訪問控制保障網(wǎng)絡(luò)服務(wù)器運行的穩(wěn)定性。如若因為內(nèi)存不足或服務(wù)器穩(wěn)定性不佳導(dǎo)致死機、系統(tǒng)癱瘓、系統(tǒng)不兼容等問題，應(yīng)及時采取系統(tǒng)運行異常清除技術(shù)，以釋放系統(tǒng)資源、擴充系統(tǒng)運行空間。

4.加強數(shù)據(jù)加密控制。為有效防止被審計端原始數(shù)據(jù)上傳產(chǎn)生的傳輸風(fēng)險，可以采用被審計端內(nèi)部局域網(wǎng)將數(shù)據(jù)傳輸至云端，并在數(shù)據(jù)傳輸轉(zhuǎn)化過程中加強數(shù)據(jù)加密與保護，對匯總后準(zhǔn)備上傳至云端的原始數(shù)據(jù)進行編碼，以產(chǎn)生不可理解的密文，只有通過密碼驗證才能查閱原始數(shù)據(jù)。該舉措不僅能夠防止原始數(shù)據(jù)外泄，還能防止云端后臺人員對數(shù)據(jù)進行人為刪減，有效保證了數(shù)據(jù)的完整性和安全性。

（二）云端風(fēng)險控制

1.加強設(shè)備安全配置管理，以控制數(shù)據(jù)存儲風(fēng)險。系統(tǒng)安全配置管理能夠有效提高云端在復(fù)雜環(huán)境下的數(shù)據(jù)存儲、備份和恢復(fù)能力。遠程https協(xié)議傳輸與命令行相結(jié)合，顯著加強了設(shè)備安全保障，不僅能夠監(jiān)控云端網(wǎng)絡(luò)環(huán)境穩(wěn)定性以及軟硬件設(shè)備運行狀態(tài)，還能夠在外界威脅、干擾環(huán)境的情況下自動保持、備份原始數(shù)據(jù)，即使遭遇病毒或黑客攻擊，也能在指定端口實現(xiàn)數(shù)據(jù)恢復(fù)。

2.利用智能探針與分析提取技術(shù)實現(xiàn)數(shù)據(jù)隔離并控制平臺共享風(fēng)險。智能探針是將不同類型數(shù)據(jù)打上差異化污點標(biāo)簽以進行分類管理，能夠?qū)崿F(xiàn)不同等級和性質(zhì)數(shù)據(jù)的分離存儲。同時，污點標(biāo)簽的存在不僅能夠準(zhǔn)確定位指定數(shù)據(jù)的存儲位置和動態(tài)，還能記錄和保存針對該數(shù)據(jù)相關(guān)的操作日志，有助于提高數(shù)據(jù)分離存儲的安全性。此外，對于云端存儲的數(shù)據(jù)規(guī)模和使用價值而言，有效識別使用頻率較高和價值密度較高的數(shù)據(jù)顯得尤為重要。為此，可以采用大數(shù)據(jù)分析提取技術(shù)識別不同數(shù)據(jù)使用價值，針對性地減小高價值數(shù)據(jù)共享應(yīng)用程序和資源之間的相互影響，以有效控制平臺共享風(fēng)險。

3.加強登錄訪問控制。在云審計系統(tǒng)中，審計終端和被審計端均通過訪問登錄實現(xiàn)審計作業(yè)，如何保證兩個端口訪問者身份的合法性，成為云端訪問風(fēng)險控制的關(guān)鍵環(huán)節(jié)。為此，云端可利用雙密碼管理與同一身份認(rèn)證相結(jié)合，以有效控制非法登錄風(fēng)險，即采用固定賬號密碼登錄設(shè)置與特有標(biāo)識碼設(shè)置（如短信提醒、指紋識別或特殊標(biāo)識等）相結(jié)合的雙密碼管理，對同一身份認(rèn)證進行雙向檢驗。

（三）審計終端風(fēng)險控制

1.不斷提高審計人員專業(yè)勝任能力。云審計的廣泛應(yīng)用對審計人員專業(yè)勝任能力提出了更高要求，為更好地利用云審計開展審計相關(guān)作業(yè)，應(yīng)重點加強對審計人員的素質(zhì)培訓(xùn)。培訓(xùn)內(nèi)容既包括審計專業(yè)技能，還應(yīng)包括計算機技術(shù)、網(wǎng)絡(luò)應(yīng)用技術(shù)以及軟硬件設(shè)備等內(nèi)容，通過持續(xù)的素質(zhì)培訓(xùn)與云審計實踐相結(jié)合，不斷提高審計人員駕馭云審計的實踐能力和勝任能力。同時，還應(yīng)在實務(wù)中成立專門的指導(dǎo)小組，幫助其解決云審計實際應(yīng)用過程中遇到的難題，使得更多審計人員能夠盡快適應(yīng)云審計發(fā)展要求。

2.采取遠程審計與現(xiàn)場審計相結(jié)合的循環(huán)審計模式。云端不僅有效釋放了被審計端數(shù)據(jù)存儲空間，還為審計終端直接利用云端智能化數(shù)據(jù)處理服務(wù)提供了有利條件，但是云端針對原始數(shù)據(jù)分析得出的結(jié)果以及預(yù)警報告的可靠性和科學(xué)性仍需要現(xiàn)場審計加以檢驗。通過遠程與現(xiàn)場循環(huán)審計，了解被審計端原始數(shù)據(jù)采集內(nèi)部控制設(shè)計與執(zhí)行情況，以此判斷云端數(shù)據(jù)分析報告和預(yù)警結(jié)果的可靠性。同時，利用編程技術(shù)和建模思路將遠程審計與現(xiàn)場審計所得經(jīng)驗固化成相應(yīng)數(shù)據(jù)庫，為審計人員后續(xù)開展連續(xù)審計提供參考經(jīng)驗。

綜合以上分析，云審計系統(tǒng)應(yīng)用風(fēng)險控制對策整理如圖4所示。

圖4 云審計系統(tǒng)應(yīng)用風(fēng)險控制對策