客服电话:400-875-0266

继续教育导航
  • 济南
  • 青岛
  • 淄博
  • 枣庄
  • 东营
  • 烟台
  • 潍坊
  • 济宁
  • 泰安
  • 威海
  • 日照
  • 临沂
  • 德州
  • 聊城
  • 滨州
  • 菏泽
当前位置:首页 >>审计资讯
审计资讯
云计算发展对审计的新挑战
  • 时间:2015-07-18
  • 浏览次数:16159 次

世界正在改变。“云计算”这一新的概念正在因其极大的便捷性和低廉的成本迅速获得企业和用户的青睐,并逐渐向其他各行各业乃至社会生活的各个领域渗透。云计算创造的新商业模式,不断影响互联网以外的行业,并进一步影响会计、审计行业。云计算的发展在使企业管理更加便利的同时,也带来了许多新的会计、审计问题。

云计算对商业模式的颠覆性创新和对会计业务的重大影响,将催生大量的审计业务。审计技术、审计方法的每一次重大改进,都是随着商业模式的重大变革而催生的。当越来越多的企业提供云计算服务,越来越多的企业采用云计算服务时,作为提供鉴证服务的审计方,面临着严峻的挑战。

评审云计算内部控制所面临的挑战。对与云计算相关企业进行审计时,首先要评审与云计算相关企业的内部控制,以决定实质性测试的时间和数量。

目前,云计算中存在的数据丢失和泄露问题、云计算资源的滥用和非法使用、不安全的服务接口和应用程序编程接口、恶意的内部用户、共享云设施带来的安全隔离问题、账户和服务的劫持问题、不能被用户感知的风险态势等,都是内部控制缺乏或没有发挥作用的具体表现。云计算中的内部控制问题已经成为制约其顺利发展的主要瓶颈问题,是用户质疑和担忧的主要原因。如果不能解决云计算的内部控制问题,用户就不可能将重要业务和数据转移到云计算和云存储平台上面。

评审云计算内部控制的目标是对云计算内部控制的有效性进行评审,以确认云计算内部控制的有效性。但是,云计算环境是一个多个用户共享云设施的环境,它所面临的内部控制是一个综合系统,很难对云计算中单个企业进行内部控制评审。与云计算相关的企业很多,而审计组织是接受委托或委派进行审计的,审计组织和审计人员不可能对云计算中的所有企业内部控制进行评审后,得出被审计企业内部控制的有效性。

建设云审计平台所面临的挑战。要实施云审计,审计组织应建设云审计平台。建设云审计平台是一项基础性的工程,对促进云计算的发展具有重要意义。通过建设云审计平台,可以提供综合分析云计算服务的风险,客观评价云计算服务平台的数据安全保护能力、业务持续性保证能力以及平台和服务合规性建设水平,为云计算服务的参与者准确理解云服务的安全风险、持续风险以及合规风险,合理调整云服务建设及应用提供决策支持。

云审计平台主要包括云审计用户服务平台和云审计企业服务平台,既可提供面向云计算服务提供商的信息审计服务,提升云平台的安全保障能力;又可提供面向云计算服务用户的信息监管服务,消除用户对云计算服务平台安全性、可信性、合规性以及持续性等方面能力的担忧,提升云计算的用户信任度。

云审计平台应通过自主研究开发的一套云审计通用数据接口,提供针对云服务平台和云数据中心的统一的接口规范和命名协议,建立一套开放、可扩展和安全的接口和技术方法。云计算服务提供者在云审计平台中定义并加载这些接口,就可以实现与云审计的无缝结合,云审计平台利用这些接口可以实时地对云计算相关业务单位进行全面的审计,让用户了解在云平台上发生的一切,可以有效控制数据在云中面临的风险。

而在我国现实情况下,要在各个不同的审计组织中建设云审计平台,不仅面临着审计经费不足而需要投入大量资金建设的挑战,而且还面临着审计人员知识水平不能满足要求和能力不能适应工作需要的挑战。

实施信息安全审计所面临的挑战。从云计算本身带来的风险来说,当前主要考虑两个层面:一个是云基础设施的安全性,一个是数据的安全性。因此,实施与云计算相关的信息安全审计应主要在这两个方面进行。

审计云基础设施的安全性,是基于把数据资源放在云中,用户会担心数据的存储和使用的安全性。除了应审计数据的安全备份之外,还应审计云平台本身的效率。审计数据的安全性,包括审计信息系统的安全性。云计算数据和信息系统的安全性对于运行维护、安全事件追溯、取证调查等方面来说极为重要,云计算系统应通过建立安全系统,进行统一、完整的分析,通过对操作、维护等各类云计算系统日志的安全,提高对违规事件的事后审查能力。

第一,应建立完善的云计算系统日志记录及审核机制,日志的内容应包括用户ID、操作日期及时间、操作内容、操作是否成功等。

第二,应采取有效措施,确保云计算用户活动日志的准确性和完整性。云计算所有重要系统时钟时间应保持同步,以真实记录系统访问及操作情况,及时将云计算平台生成的各类日志备份到专用日志服务器或安全介质内,采用监控软件保证用户活动日志的一致性与完整性。

目前在我国,云审计还处于刚刚起步的阶段,云计算本身还比较飘渺,审计人员要实施云计算信息安全审计,将面临着重大的挑战。同时,云审计只有伴随着云基础设施的发展而不断发展,如果云审计没有跟上云计算平台和云审计平台的建设,会给云审计带来巨大的审计风险。

搜集审计证据所面临的挑战。审计人员在审计过程中,应根据充分、适当的审计证据发表审计意见,出具审计报告。但是,在云计算环境下,审计人员面临难以搜集到充分、适当的审计证据的重大挑战。

在云计算环境下,审计人员能搜集到的审计证据大多是电子证据。电子证据本身就非常复杂,云计算使取证更加困难。

首先,在云计算环境下,数据通过互联网存储和交付,审计证据也只能在互联网络中取得。一般情况下,数据在全球范围内进行流动,数据的拥有者不能控制数据的流动,也无法掌握数据的存储位置。审计人员在进行云审计时,可能无法确切地知道作为审计证据的数据到底被托管在什么地方,甚至不知道这些作为审计证据的数据存放在哪个国家。

其次,作为审计证据的数据在云中通常是处在云计算服务提供商和其他客户的数据共享的环境中,云计算服务提供商提供的证据,有可能导致数据完全无法使用,也可能使数据的可用性变得相当复杂。

再次,审计人员常使用调查方法搜集审计证据。但在云计算环境下,审计人员特别难于进行调查取证,因为多个客户的日志记录和数据可能存放在同一地点,也可能遍布在不断变化的一组主机和数据中心。如果不能得到合同的承诺,以支持特定形式的调查,那么审计人员依靠调查方法搜集审计证据将是不可能的。

最后,云计算同时为多个企业提供服务,同时记录了多个企业使用云计算的情况,当某一个企业需要被审计时,这种多个企业使用云计算的日志被记录在一起的情况增加了审计调查的难度,甚至有可能存在审计调查无法进行的风险。

实施审计程序所面临的挑战。云计算应用的核心是信任,信任是云计算应用的基础。但是,信任却是有待验证的。企业应该让自身、管理者、客户、股东及其他利益相关者清楚地知道,其如何选择、实施、安排和管理云计算应用,如何降低风险并消除未来的不确定因素。当前的云计算环境充满了不确定因素,如不进行审计,则只能完全相信云计算的服务供应商提供的各类信息。因此,针对云计算应用减少其不确定性的方法之一,就是实施有效的审计程序。

但是,在云计算现实环境下,全球主要的云计算服务提供商都不允许其客户委托第三方对其提供的云服务进行审计。至少在今后相对长的一段时间内,客户只能信赖云计算服务提供商的合规性表述。只有企业与当地规模较小的云计算服务提供商合作,也许有可能允许他们自行委托第三方进行审计。因此,审计组织实施客观、公正的审计还存在障碍,实施有效的审计程序还面临挑战。

 

 

 

山财培训网,您身边的会计专家!

 

编辑推荐:

我们最新推出的会计实训课程,采用3D虚拟动画界面,让您足不出户30天便可学习3年工作经验。

实训课程链接:http://scsx.1k100.com/

显示全部
分享到:

山东省财政厅山东省人力资源和社会保障厅山东省税务局山东财经大学山东省会计信息网

客服电话:400-875-0266(全国) 投诉电话:15589983869 鲁ICP备16002512号-8

版权所有 : 山东财经大学继续教育学院          技术支持: 山东鲁财教育科技有限公司