| 标题 | 云计算对内部控制及审计的影响与应对策略 |
| 范文 | 康萍 中图分类号:F233 文献标识码:A 文章编号:1002-5812(2016)21-0042-03 摘要:云计算是一项新兴技术,由于其低成本、高效率等独特优势,逐渐被越来越多的企业所接纳,其对会计信息系统的影响势必将影响到企业内部控制及审计,而内部控制及审计对提高会计信息质量、保护生产和经营活动顺利进行以及创造企业价值至关重要。文章通过文献分析法,梳理了云计算的概念及其特征,分析了云计算对信息化环境下企业内部控制及审计的影响,并提出相关应对策略,为企业在云环境下实施内部控制及审计提供参考。 关键词:云计算 内部控制及审计 影响 应对策略 文献分析法 一、引言 云计算作为一项新兴技术,近几年在我国发展迅速,它正改变着世界的各个领域,会计、审计等也不例外。基于云计算的企业管理信息系统、云审计等必将成为企业信息化及审计的未来发展趋势,由此将带来一场基于云计算的重大变革。虽然自云计算引进后,云会计、云审计已被熟知,但目前的研究都集中在云会计、云审计的概念及云计算对会计信息化、审计业务模式等的影响方面,而对内部控制及审计影响的研究却很少。内部控制作为企业内部的一种管理制度,对企业提升自身管理水平、提高风险防御能力及创造企业价值至关重要;内部控制审计是通过系统规范的方法来保证内部控制系统的高效及有效性。因此,正确认识云计算对内部控制及审计的影响,对企业设计有效的内部控制系统至关重要。 二、云计算及其特征 目前,云计算还没有一个统一的定义,在众多定义中,美国国家标准技术研究所(NIST)的定义得到大多数学者的认可:“云计算是一种模式,它可以随时随地地、便捷地、随需应变地从可配置计算资源共享池中获取所需的资源(如网络、服务器、存储、应用及服务),这些资源能够快速供应与释放,同时最大限度地减少资源管理的工作量和用户与服务提供商间的互动。” 云计算具有以下特点:(1)可扩展性和灵活性。企业可以随着规模变动购买相应资源,不会因为内存不够影响存储导致数据丢失,也不会因为企业扩大规模导致软、硬件无法满足需求,同时还能减少资源浪费。(2)按需服务和计费。企业可以根据自己的需求购买相应的服务,即付即用。(3)低成本。购买云计算服务后,企业无需购买财务软件,也无需配备设备、软件维护人员。企业经营规模、经营内容改变,无需重新购买财务处理软件。(4)可靠性和通用性。云端通过“数据多副本容错、计算节点同构可互换”等措施,使其比本地计算机更可靠。同时,企业数据均存储在云端,各部门人员可以随时根据授权进行查看、调用,不同人员录入的相同信息可以在云端进行比对,大大减少了因疏忽而犯错的机会。(5)大规模。各大云服务提供商拥有大规模的服务器,大规模集中化数据中心提供服务成为趋势。(6)高效率。各部门人员在各自终端直接录入云端,再通过云核算进行审核,无需层层上报、层层审批,决策人员、管理人员可以第一时间拿到一手数据,节省时间,提高效率,避免因资料到手不及时而延误投资决策机会。 三、云计算对内部控制及审计的影响 (一)云计算为企业内部控制及审计带来的机遇 云计算可以为企业降低成本、节约时间、提高效率,为企业定量评估风险、持续监督提供可能,同时还能规避审计抽样风险、促进持续审计方式。 1.降低成本。在传统模式下,企业需要花费大量成本购买和定期维护软、硬件设备,配备专门的技术人员对系统流程设计进行优化,极大限制了中小企业的发展。而对于拥有众多子公司的大集团来说,各子公司系统相互独立,无法及时进行数据交换,资源不能交流共享,缺乏统一规划、控制及规范标准。而在云计算环境下,企业只需要向云服务提供商购买云服务,提供商自行开发内部控制系统、审计系统,优化系统流程,并且对服务进行后期维护。对于大型集团,企业只需购买同一内部控制系统及审计系统,对系统的后期维护及修改完善只需对云服务器而非各子公司系统进行相应操作,大大降低了企业成本。随着IT虚拟技术的发展,已经实现虚拟桌面、虚拟应用平台等,因此在客户端只需耗费少量CPU和内存,降低对硬件设备的要求,减少其购买及后期维护成本。此外,由于云计算按需购买、即付即用的特征,企业可以根据自身规模购买相应的云服务,减少资源浪费,后期如果企业扩大经营规模或者改变经营内容,无需将软、硬件设备全部更换,只需购买或更换云服务,不仅缩减成本,还降低了由于更换软、硬件设备而影响企业正常运营的风险。同时,云计算环境下,数据均存储在云端,大大减少内部控制风险评估及内部审计人员获取及分析数据的成本。 2.节约时间,提高效率。企业选择云计算服务后,会计数据直接传到云端,各人员经过授权对数据进行查看、校对、修改,数据无需从下到上层层上报,可以及时、准确地收集、传递与内部控制相关的信息,精简财会人员,优化组织结构,节约成本,提高内部控制效率。对于大型集团,母公司可以及时掌握各子公司情况,各子公司间信息沟通更为方便及时。内部控制体系优化了控制手段,在一定程度上可以摆脱对实体控制方法、控制工具和控制岗位的依赖,原传统措施可以被云服务提供的控制功能取代,由此可以减少很多传统的控制点,使内部控制流程更流畅,控制效率更高。此外,企业的董事、高层管理人员、投资者等利益相关者和外部监管机构均能登录云端进行数据查询,确保信息在企业内部与外部均能进行有效的沟通,大大完善了对舞弊的控制,提高了内部控制效率。 内部审计人员可以随时登录系统进行审计,无需花费大量时间在收集数据上,也无需关注数据的存储,可以更加专注于分析数据、发现问题,有利于形成良好的審计氛围,降低审计风险。同时,针对不同方面的审计,内部审计系统筛选降低数据重复率,避免审计人员面对一大堆原始数据无从下手的尴尬,从而节约大量时间,提高审计效率。在云服务提供商对各行业提供的内部审计程序中选择适合本企业的审计程序,并根据企业自身特点与提供商沟通进行细微调整,相比企业自行研究、开发审计系统,不仅节约了时间、成本,而且审计程序的分析也将更加全面,还可能分析到企业原本忽视的重要问题,除此之外,还能避免企业自身主观上删减审计程序,使审计程序更加客观,提高审计证据质量和审计客观性。 3.定量评估,持续监督风险成为可能。识别风险不仅要通过感性认识和经验判断,更要借助统计资料,通过风险记录进行归纳、整理、总结;风险分析也需将定量方法与定性方法相结合,定量方法可以提高分析精确度。云计算环境使得获取统计资料、风险记录并对其进行归纳、定量分析等成为可能,降低了信息不对称带来的风险,提高了效率。同时,云计算授权登录,进行权责分配,能够减少管理层凌驾于控制之上的风险。监督是实施内部控制的重要保证,有助于及时发现内部控制缺陷并加以改进。云计算环境下,更容易获得内部控制执行的证据,通过查看日志文件,可以获得谁登陆了系统,增加、删除、修改了哪些数据,进行了怎样的活动等详细信息。内部控制记录和资料也便于保存和查看,为持续监督提供了可能。 4.规避审计抽样风险,方便持续审计。传统审计方式下,审计百分之百的总体太过于浪费时间与成本,通常情况下,企业均需要使用审计抽样技术来降低时间和成本上的耗费,但也因此必须承担用样本推断总体带来的巨大风险。使用云服务后,审计系统会进行审计分析,而这种分析的高效率,使全面审计成为可能,从而有效规避了审计抽样带来的风险。 由于各部门人员将数据实时传输在云端,内部审计人员可以及时对数据进行查看、分析,进行持续审计,可以对内部控制的适当性、有效性及时作出评价,发现问题时,也可以及时向企业高层人员及内部控制制定、实施人员进行沟通,提出整改意见,保证内部控制系统适当、有效运行。 (二)云计算为企业内部控制及审计带来的风险 1.数据保密及信息安全风险。云计算环境下,数据均存储在云端,企业自身丧失对数据的控制。云计算将企业会计信息分为三层:云端、管道、客户端,虽然客户端对数据的控制权降低使得客户端层面信息泄露可能性降低,但在云端服务器及数据传输过程中遭到黑客入侵的可能性大大增强。若云端服务器被攻击或受到自然灾害影响,会计数据的丢失及其恢复均会给企业带来巨大损失。信息与沟通是实施内部控制的重要条件,对于提高企业经营活动效率至关重要,对于实现企业目标不可或缺。云服务系统中,各模块间有大量数据进行传递,各母子公司间也有大量信息沟通,不仅降低了信息沟通的效率,还增加了传输过程中的信息安全风险。云服务提供商如果由于利益驱使,为获取利益出卖企业核心数据,同样会给企业带来不可估量的灾难。 2.增加风险评估及控制活动的难度。由于IT人员不懂内部控制,而内部控制人员又不懂IT,若双方交流出现理解偏差,将直接导致内部控制系统失效,增加内部控制系统的可信性风险。若系统是动态定制模式,服务提供商可能无法根据内部控制出现的问题及时进行修订,使得监督活动相对滞后。现如今是大数据时代,各种数据充斥于网络中,判断收集的数据的可靠性、可用性及对数据进行筛选、整理、加工是一项很庞大的工作。云计算为企业内部控制带来新型风险,但内部控制人员对新型风险不了解,也没有防范意识。除了传统的职责分工控制、授权审批控制等,云计算增加了系统中各模块的数据传输及业务处理的复杂性,企业获得数据的可靠性、可用性等都需要内部控制进行相关控制。同时,云服务作为企业的无形资产易被转移,其价值的评估、折旧的计算等也为财产控制活动带来挑战。 3.审计证据及审计程序风险。在云计算环境下,审计证据绝大多数都被电子化,而电子证据具有不可见性、网络性和可迁移性,为内部审计人员获取证据增加了难度。由于内部控制系统针对云环境做出了相应的改变,内部审计需要着重关注新型内部控制系统的适当性和有效性,由于缺乏相关方面的经验,也没有历史数据可供参考,为内部审计人员设计、实施审计程序带来极大挑战。 4.新型人才缺乏风险。由传统内部控制向云计算环境下内部控制的转变,也突出了我国既懂云计算又懂内部控制及审计的复合型人才的缺失。目前,企业财会人员对云计算环境及其带来的风险不甚了解,削弱了内部控制系统的有效性。由于云计算还是新兴事物,对内部控制及审计人员相关云计算知识的培训还没引起应有的重视,云计算相关专业技能不能满足云环境内部控制及审计的要求。更为重要的是,由于这种新型人才的缺乏,使得与云服务提供商进行沟通,设计合理、有效、个性化的內部控制系统和内部审计系统这一关键活动被阻碍,大大增加了系统不合理的风险。 四、云计算下企业内部控制及审计的应对策略 企业应该抓住云计算为内部控制及审计带来的机遇,充分利用云计算的优势发展企业。同时,更要在识别风险的基础上,积极应对云计算带来的风险,尽可能降低风险,提高内部控制及审计的有效性,促进企业价值的实现。 (一)数据保密及信息安全风险的应对策略 内部控制人员在选择云服务提供商时,应特别关注提供商的信誉并对其信誉进行评价,从第三方评估机构获取其可信性评价报告,进行风险评估;与其签订保密协议,不可以将关键数据在未经允许的情况下透露给第三方。同时,评价其服务在数据资源、基础设施、软件程序、云端服务、安全管理等方面的处理及保证效果。例如,云服务提供商是否使用数据分块技术对数据进行存储,将数据备份到不同地理位置以提供更好的容错机制,从而提高数据存储的高可用性及持久性;谨慎判断所购买云服务各模块网络结构的优良程度、联通效果及传输效率,是否为企业数据的上传、下载提供持续稳定保护。在授权方面,内部控制要着重监督被黑客攻击及密钥加密、管理等方面的问题;新增控制点,及时评估数据安全性和隐私性等企业外部风险。内部审计不仅要审计内部控制系统,还要审计云计算的服务提供商、云资源的安全及隐私等问题。增加专项审计,不定期评估数据存储的安全性、各模块数据传输的准确性等。及时备份内控及审计数据,减小云服务遭到黑客攻击或自然灾害时对内部控制及审计的不利影响。 (二)风险评估及控制活动风险的应对策略 企业需要及时优化内部控制环境,经过多家云计算提供商的对比及服务试用,选择与本企业相契合的云服务,设计相适应的内部控制系统。评价云服务提供商是否提供了软件个性化设计,是否可以根据企业独特特点进行相应更改。企业应特别重视新增的控制活动风险点,着重评估新增的控制点,评估内部控制系统设计是否合理,其运行是否有效。针对云服务,企业应当在日常监督外再设置专项监督,不定期地、针对性地评估云计算相关风险。此外,还需强化内部稽核,发挥内部审计作用,对管理中存在的薄弱环节和内部控制缺陷进行及时反馈并进行整改,加强内部审计,拓展内部审计范围。对于云服务本身的评估和财产保护,寻求行之有效的方法进行控制,如:严格控制购买云服务的过程,与企业使用云服务的人员签订保密协议,不能泄露本公司使用的会计处理各系统及上传的企业原始数据等。 (三)审计证据及审计程序风险的应对策略 审计人员要想获得充分、适当的审计证据,就需要重点关注会计信息系统、内部控制系统的数据源,查看系统日志数据,跟踪审计证据,以防数据被不恰当的人为修改和破坏。内部审计人员还应根据内部控制系统的相应改变调整审计程序,使其与内部控制系统相适应。内部审计人员要与服务提供商及时沟通,根据企业内部控制系统特点添加专项审计,并进行测验,保证审计程序有效性。 (四)新型人才缺乏风险的应对策略 企业应重点培训内部控制人员及内部审计人员有关云计算的相关知识和潜在风险,必要时及时引进和开发懂云计算技术的新型人力资源,评估人力资源的胜任能力,保证内部控制及审计工作正常运行,推动云环境下内部控制及审计的健康发展。企业文化也需要根据云计算环境做出相应变更,积极培育新型企业文化,引导职工适应云计算对企业带来的改变及影响,规范新型环境下职工的道德准则及行为,并及时对企业文化进行评估。 五、结束语 云计算的发展、应用在为企业内部控制及审计带来机遇的同时,也增加了诸多风险,识别这些风险并积极应对,对企业实施内部控制及审计至关重要。本文针对数据保密、信息安全,风险评估、控制活动,审计证据、审计程序及人才缺乏方面的风险提出应对策略,为企业在云计算环境下内部控制及审计的实施提供了有价值的参考作用。X 参考文献: [1]羊斌.基于云计算的虚拟技术在工商信息系统中的应用[J].信息化研究,2014,(2). [2]赵婧.基于云计算的企业会计信息化分层数据安全问题与防范[J].中国注册会计师,2013,(4). [3]张文峰.谈全面风险管理与内部控制[J].商业会计,2005,(6). [4]程平,温艳好.云会计对审计的影响及对策[J].中国注册会计师,2013,(11). [5]秦荣生.大数据、云计算技术对审计的影响研究[J].审计研究,2014,(6). |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。