云計算環(huán)境下的云審計系統(tǒng)設計與風險控制*

魏祥健

【摘 要】 云計算作為新一代信息技術的重要發(fā)展方向，正在影響著互聯(lián)網(wǎng)以外的行業(yè)，并進一步影響會計、審計行業(yè)。因此，針對云計算環(huán)境下的審計研究是我們目前面臨的一個重要課題，而云審計系統(tǒng)搭建與風險控制是云審計研究與實施的基礎?；谠朴嬎悱h(huán)境下IaaS、PaaS和SaaS云服務平臺基礎，從基礎設施層、平臺服務層、平臺應用層、客戶端服務層、安全審計平臺、外部應用接口六個方面搭建了云審計系統(tǒng)的基本架構，研究了云計算下的審計風險控制措施，并分析了未來云審計的研究方向。此研究結果為推動我國未來云審計的深入研究和實務發(fā)展提供了參考。

【關鍵詞】 云計算; 云審計; 云審計系統(tǒng); 風險控制

中圖分類號：F239.1 ?文獻標識碼：A ?文章編號：1004-5937（2015）01-0101-05

傳統(tǒng)的審計模式為各審計機關分別采購應用服務器、數(shù)據(jù)庫服務器并安裝聯(lián)網(wǎng)審計系統(tǒng)，審計人員通過辦公局域網(wǎng)訪問系統(tǒng)開展審計工作。這種審計模式使每個審計機關都需要配置獨立的硬件資源和軟件資源，勢必造成IT成本居高不下，專業(yè)維護費用居高不下且需要大量的專業(yè)維護人員。隨著IT應用在各行業(yè)各部門的普及，云計算開發(fā)和利用成為了不可或缺的因素。隨著云計算的發(fā)展，云計算不斷影響互聯(lián)網(wǎng)以外的行業(yè)，并進一步影響會計、審計行業(yè)，給審計帶來新的挑戰(zhàn)（秦榮生，2013）。傳統(tǒng)的審計模式與審計系統(tǒng)已不能適應云計算技術的要求，現(xiàn)代審計迫切需要提供簡單、快捷的云計算服務來滿足國家審計（本文所論審計特指國家審計）需求，如何利用互聯(lián)網(wǎng)的云計算概念，通過數(shù)據(jù)的云存儲，使得各種審計資源通過云來協(xié)同，從而為審計人員提供更富有效率，更科學的審計過程，云計算服務模式讓這一希望變?yōu)榱爽F(xiàn)實。云計算可以提供以下三個層次的服務（Iyer & Henderson，2010）：基礎設施即服務（IaaS），平臺即服務（PaaS）和軟件即服務（SaaS）。如何在云計算服務平臺基礎上，利用云計算技術，以審計業(yè)務需求為核心，最終實現(xiàn)各級審計機關硬件資源、軟件資源、服務共享的云審計系統(tǒng)，使審計資源得到充分優(yōu)化利用，是未來我國國家審計亟待解決的問題。本文結合云計算服務模式的研究與應用現(xiàn)狀，構想云計算環(huán)境下云審計系統(tǒng)架構。

一、云計算與云審計研究現(xiàn)狀

云計算（Cloud Computing）是一種基于互聯(lián)網(wǎng)通過虛擬化方式共享信息資源的新型計算模式。正式的云計算概念是由Google原首席執(zhí)行官Eric Schmidt在2006年搜索引擎大會（SES San Jose 2006）上提出。根據(jù)美國國家標準與技術研究院（NIST）的定義：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡訪問，進入可配置的計算資源共享池（資源包括網(wǎng)絡、服務器、存儲、應用軟件、服務等），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。

從技術層面看，云計算最主要的核心技術是虛擬化技術、分布式數(shù)據(jù)存儲技術、海量數(shù)據(jù)處理技術。系統(tǒng)虛擬化是指將一臺物理計算機系統(tǒng)虛擬化為一臺或多臺虛擬計算機系統(tǒng)（杜建偉、顧斌，2007）。通過虛擬化層的模擬，虛擬機中的操作系統(tǒng)認為自己仍然是獨占一個系統(tǒng)在運行。在云計算數(shù)據(jù)中心，通過服務器虛擬化、網(wǎng)絡虛擬化、應用虛擬化等解決方案，不僅可以幫助企業(yè)減少硬件配置，優(yōu)化資源利用，還可以實現(xiàn)動態(tài)IT基礎設施環(huán)境，從而降低成本，快速響應業(yè)務需求的變化。分布式數(shù)據(jù)存儲指的是利用多臺服務器的存儲資源來滿足單臺服務器所不能滿足的存儲需求。它要求存儲資源能夠被抽象表示和統(tǒng)一管理，并保證數(shù)據(jù)讀寫操作的安全、可靠和高性能。包括分布式文件存儲系統(tǒng)，如Google 提出的分布式文件系統(tǒng)（Google File System，GFS）;分布式對象存儲系統(tǒng)，如Amazon的S3就屬于對象存儲服務;分布式數(shù)據(jù)庫技術，如Google的BigTable是一個典型的分布式結構化數(shù)據(jù)存儲系統(tǒng)。海量數(shù)據(jù)處理指的是對TB甚至PB級規(guī)模數(shù)據(jù)的計算和分析。云計算下把海量數(shù)據(jù)分布到多個結點上，將計算并行化，利用多機的計算資源，加快數(shù)據(jù)處理的速度。如Google的MapReduce模型、微軟的Dryad模型。

從服務層面看，云計算是一種新的商業(yè)模式。云計算是以虛擬化技術為基礎，以網(wǎng)絡為載體提供基礎架構、平臺、軟件等服務形式。其中，最主要的服務模式是IaaS（基礎設施即服務）、PaaS（平臺即服務）、SaaS（軟件即服務）服務模式（Iyer & Henderson，2010），為用戶提供超級云計算平臺。

在云計算平臺上，云計算技術必然能夠為審計提供源源不斷的技術創(chuàng)新支持，從而帶動審計技術的革新，云審計將成為未來審計發(fā)展的必然趨勢。那么，什么是云審計？目前還沒有一個統(tǒng)一的定論。云安全聯(lián)盟（CSA）主要發(fā)起者之一，思科公司云與虛擬化解決方案的首席專家Christofer Hoff是云審計（CloudAudit）的創(chuàng)建者，其目的在于規(guī)避風險，但沒有明確界定云審計的本質內(nèi)涵。文峰（2011）認為云審計是利用互聯(lián)網(wǎng)的云計算概念，通過數(shù)據(jù)的云存儲，使得各種審計資源（參與審計的人員、程序和相關的硬件設備）通過云來協(xié)同，從而為審計人員提供更富有效率、更科學的審計過程。在這個過程中，審計人員無需關注使用何種計算機程序、也無需關注數(shù)據(jù)的存儲、共享和工作時效性問題，審計人員唯一需要關注的就是審計任務本身。鄧川、楊文鶯（2012）認為云審計是基于云計算的互聯(lián)網(wǎng)的超級計算模式，使審計人員協(xié)同運用各種存儲在“云”中的數(shù)據(jù)和審計資源，從而更有效率、更科學地進行審計的過程。

以上概念都認為云計算與審計的結合就構成了云審計，但需要指出的是，云審計除了數(shù)據(jù)安全、數(shù)據(jù)存儲、數(shù)據(jù)傳輸需要利用云計算技術來協(xié)同運作外，云環(huán)境下的責任認定、云中數(shù)據(jù)分析與評價、云中審計工作模式與流程等，都將依托云審計概念來展開。因此，本文認為，云審計是審計在云端的一個系統(tǒng)集合，它至少應包括三個方面的內(nèi)容：一是依托第三方服務商提供的或專業(yè)建設的“云計算”基礎平臺，對審計數(shù)據(jù)進行采集、存儲、傳輸，并保障數(shù)據(jù)的安全;二是利用云計算專業(yè)技術對審計數(shù)據(jù)進行處理，實現(xiàn)審計手段智能化;三是審計資源通過云來協(xié)同，實現(xiàn)審計工作業(yè)務協(xié)同，促進信息共享及溝通，保證審計過程質量的一個審計信息系統(tǒng)。

要實施云審計，審計組織應建設云審計平臺（秦榮生，2013）。秦榮生認為云審計平臺主要包括云審計用戶服務平臺和云審計企業(yè)服務平臺，既可提供面向云計算服務提供商的信息審計服務，又可提供面向云計算服務用戶的信息監(jiān)管服務。文峰（2011）認為云審計可以和行業(yè)信息化建設有機地結合起來，實現(xiàn)將注冊會計師、會計師事務所、審計程序、審計數(shù)據(jù)及報告甚至被審計單位都通過云審計平臺連接起來，形成“數(shù)據(jù)與服務的超級平臺”。國內(nèi)學術界和產(chǎn)業(yè)界在云計算環(huán)境下如何搭建審計系統(tǒng)與平臺進行了一些技術研究和產(chǎn)品開發(fā)，如陳偉，Wally Smieliauskas（2012）從被審計單位使用云平臺、審計單位使用云平臺、審計單位和被審計單位都使用云平臺這三種情況出發(fā)，采用SaaS、PaaS或者IaaS服務模式，研究了云計算環(huán)境下適合我國聯(lián)網(wǎng)審計特點的聯(lián)網(wǎng)審計模式和實現(xiàn)方法。鮑偉民（2012）對云計算環(huán)境下的數(shù)據(jù)安全、風險控制、行為監(jiān)控等方面研究了SaaS服務模式下安全審計系統(tǒng)的設計。產(chǎn)業(yè)界國都興業(yè)信息審計系統(tǒng)技術（北京）有限公司2011年推出的“企業(yè)云審計服務平臺”，實現(xiàn)對IaaS，PaaS和SaaS各個層面的審計，通過解決云計算環(huán)境下數(shù)據(jù)可視化與可審計的問題。以上研究為我國未來云審計的實施與開展提供了重要的思路。

二、云審計系統(tǒng)架構基礎——云服務平臺

要實施云審計，審計組織應建設云審計平臺（秦榮生，2013）。根據(jù)云計算技術特征，云審計系統(tǒng)平臺可以基于云服務平臺的基礎來構建。根據(jù)權威的NIST定義，云計算主要分為三種服務模式，而且這個三層的分法是從用戶體驗的角度出發(fā)的。這三種服務模式是基礎設施即服務IaaS （Infrastructure as a Service），平臺即服務PaaS（Platform as a Service）和軟件即服務SaaS（Software as a Service）。

IaaS層的主要作用是以服務的形式提供服務器、存儲和網(wǎng)絡硬件以及相關軟件。它是三層架構的最底層，是指企業(yè)或個人可以使用云計算技術來遠程訪問計算資源，這包括計算、存儲以及應用虛擬化技術所提供的相關功能。無論是最終用戶、SaaS提供商還是PaaS提供商都可以從基礎設施服務中獲得應用所需的計算能力，但卻無需對支持這一計算能力的基礎IT軟硬件付出相應的原始投資成本。

優(yōu)勢：節(jié)省費用，可隨時擴展和收縮資源，安全可靠，專注核心業(yè)務。通過IaaS，用戶可以從服務供應商那里獲得他所需要的虛擬機或者存儲等資源來裝載相關的應用，同時卻不用擔心這些基礎設施繁瑣的維護管理工作，因為它們完全由IaaS供應商來處理。

PaaS層的主要作用是以服務的方式提供應用程序開發(fā)和部署平臺。就是指將一個完整的計算機平臺，包括應用設計、應用開發(fā)、應用測試和應用托管，都作為一種服務提供給客戶。在這種服務模式中，客戶不需要購買硬件和軟件，只需要利用PaaS平臺，就能夠創(chuàng)建、測試和部署應用和服務。

優(yōu)勢：開發(fā)簡單、部署簡單、維護簡單。通過PaaS，用戶可以在一個包括SDK、文檔和測試環(huán)境等在內(nèi)的開發(fā)平臺上非常方便地編寫應用，而且在部署或運行的時候，用戶無需為服務器、操作系統(tǒng)、網(wǎng)絡和存儲等資源的管理操心，因為這些繁瑣的工作全部由PaaS供應商負責處理。

SaaS層的主要作用是以服務的方式將應用程序提供給互聯(lián)網(wǎng)最終用戶。它是用戶獲取軟件服務的一種新形式，用戶無需購買軟件，不需要用戶將軟件產(chǎn)品安裝在自己的電腦或服務器上，而是按某種服務水平協(xié)議（SLA）直接通過網(wǎng)絡向專門的提供商獲取自己所需要的、帶有相應軟件功能的服務。

優(yōu)勢：初始成本低、簡單、無需管理與維護、部署使用快捷等。通過SaaS，用戶只要接上網(wǎng)絡，并通過瀏覽器，就可以隨時隨地安全地直接使用在云端上運行的應用，而不必考慮安裝、維護等各類瑣事。

SaaS云服務、PaaS云服務、IaaS云服務為有效管理信息資源、充分利用信息資源提供了新的思路，為搭建云審計平臺提供了新的機遇。

三、云計算環(huán)境下云審計系統(tǒng)設計

（一）云審計系統(tǒng)架構

前面所提云計算的三種服務模式運用于云審計系統(tǒng)，可以單獨采用，也可以混合采用，考慮到云計算環(huán)境下審計的大數(shù)據(jù)處理、成本與效益、高效、專業(yè)與系統(tǒng)性原則，結合目前國家審計中IT應用的實際情況，以省一級審計機關為單位，構建SaaS、PaaS、IaaS相結合的混合服務模式云審計服務系統(tǒng)，最終實現(xiàn)省、市、縣三級審計機關的硬件資源、軟件資源、服務共享。該服務系統(tǒng)由基礎設施層、平臺服務層、平臺應用層、客戶端服務層、安全審計平臺和外部應用接口構成，如圖1所示。

基礎設施層IaaS為審計機關提供了統(tǒng)一的基礎設施服務，包括處理、存儲、網(wǎng)絡、安全防范和其他基本的計算資源。下級審計機關無需購買和建設服務器、網(wǎng)絡設備、操作系統(tǒng)、安全等基礎設施，不需要管理、控制和維護任何云審計基礎設施?；A設施層IaaS服務是PaaS和SaaS服務的重要基礎，是實現(xiàn)PaaS和SaaS服務的基本保障。

系統(tǒng)服務層PaaS為下級審計機關提供審計與其他綜合服務，包括資源服務中的信息共享、專家經(jīng)驗庫的上傳和下載審計案例經(jīng)驗、對資源進行調度和安排，實現(xiàn)對各種資源的高效利用;管理服務平臺提供綜合管理、消息發(fā)布和接收，審計BBS論壇的交流和討論等;應用與維護平臺提供資源部署與分發(fā)、專業(yè)工具和程序段開發(fā)、系統(tǒng)應用與維護服務等功能，下級審計機關無需為缺乏維護的專業(yè)人員和高昂的維護費用發(fā)愁。

系統(tǒng)應用層SaaS是云審計平臺的中心，主要部署審計實施系統(tǒng)、審計管理系統(tǒng)、審計決策支持系統(tǒng)和審計數(shù)據(jù)中心。其中，根據(jù)國家“金審工程”的要求，審計實施系統(tǒng)（AO）和審計管理系統(tǒng)（OA）要實行交互管理，審計數(shù)據(jù)中心是在云環(huán)境下對大數(shù)據(jù)信息進行集中采集、處理、存儲、傳輸、交換和管理的一個中心數(shù)據(jù)庫，中心數(shù)據(jù)庫除了包括被審財務業(yè)務數(shù)據(jù)，還包括審計綜合信息數(shù)據(jù)庫、審計專家經(jīng)驗數(shù)據(jù)庫、法律法規(guī)數(shù)據(jù)庫等。下級審計機關無需再建設審計實施和審計管理系統(tǒng)，只需要通過WEB瀏覽器進入云端應用系統(tǒng)，就能方便、快捷、安全、完整地從云審計數(shù)據(jù)中心獲取審計所需要的數(shù)據(jù)并進行審計作業(yè)。

客戶端服務層是各級審計機關用戶訪問云審計平臺的客戶端入口?？蛻舳朔諏油ㄟ^用戶管理、身份認證、權限管理為各級審計機關用戶提供審計資源云服務，包括上級審計機關和下級審計機關各種用戶都可以通過終端設施從中獲取相應的審計信息資源云服務。服務方式有根據(jù)自身的特點和要求定制的個性化云服務和根據(jù)身份匹配的規(guī)定審計服務。

安全審計平臺是立足于為云計算環(huán)境下各主體和客體提供全面的、可靠的統(tǒng)一監(jiān)測、監(jiān)督、預警的安全衛(wèi)士。審計監(jiān)控對云平臺提供全面的異常監(jiān)控和故障監(jiān)測，并把檢測到的異常信息發(fā)送到指定系統(tǒng)，對云平臺提供立體化安全策略;漏洞掃描為平臺提供安全漏洞掃描技術，定期掃描、評估和測試平臺安全水平，及時發(fā)現(xiàn)平臺的安全漏洞，給予漏洞修補意見和報警記錄;安全預警是對平臺的監(jiān)測信息進行分析、追蹤，并形成分析評價指標，當監(jiān)測到云環(huán)境中有未知訪問、非法篡改和復制、安全漏洞等情況發(fā)生時，及時提供預警，并定期形成預警事件報告和實時響應機制。

此外，為了與外界進行信息交換、數(shù)據(jù)傳遞、資源共享，系統(tǒng)還設計了對外應用接口與外部機構和其他部門掛接。通過外部接口使審計機關和各級部門共享基礎信息資源庫、共享主題資源、數(shù)據(jù)傳遞渠道暢通。同時還可提供公眾信息服務，開通網(wǎng)上公眾舉報、政務公開、審計結果公開、審計網(wǎng)上宣傳、新聞發(fā)布、審計工作開展情況與開展進程等，以此提高審計透明度，擴大審計影響力，樹立審計的公眾形象。

（二）系統(tǒng)架構的特點和優(yōu)勢

1.以省級審計機關為單位開展建設，實現(xiàn)省、市、縣三級審計機關共享的公共云審計服務系統(tǒng)，使審計服務集約化、專門化，強化了審計監(jiān)督，優(yōu)化了資源配置，最終實現(xiàn)全國審計機關的“審計云”匯聚，形成“審計云?！?。

2.公共云審計服務系統(tǒng)可以大幅度降低云服務用戶購買和維護服務器設備及軟件方面的開支，云服務提供方只需維護既定程序和軟件，即可滿足眾多云服務用戶的需求，以此大大減少云服務提供方的生產(chǎn)成本和維護成本。

3.可以向建設資源匱乏、軟硬件基礎薄弱、計算機技術人才匱乏的下級審計機關提供審計信息化基礎設施服務和海量審計數(shù)據(jù)采集、分析與存儲服務。

4.構建專業(yè)的、系統(tǒng)的云計算安全審計系統(tǒng)可以避免目前現(xiàn)場審計攜帶筆記本電腦容易造成數(shù)據(jù)泄露失竊的風險。云審計安全系統(tǒng)能夠有效加強云計算的審計監(jiān)控能力，能夠提供專業(yè)、高效和相對安全的數(shù)據(jù)存儲。用戶運用云計算技術將數(shù)據(jù)存儲在云平臺中，相對于自己管理數(shù)據(jù)存儲，能在一定程度上消除因各種安全問題導致數(shù)據(jù)丟失的顧慮。

四、云審計系統(tǒng)風險控制

雖然云的應用和推廣已經(jīng)勢在必行，但是從誕生開始，它的安全就一直為人們所詬病。隨著云審計的產(chǎn)生與應用，審計云端化使數(shù)據(jù)安全風險加大。安全審計是確保審計信息系統(tǒng)運行安全、管理安全的有效技術途徑，是審計參與國家治理，強化審計監(jiān)督效能的內(nèi)在要求。

從云計算本身帶來的風險來說，云安全主要面臨：身份隱私與訪問控制安全、虛擬運行環(huán)境安全、數(shù)據(jù)安全與數(shù)據(jù)隱私、云容災與數(shù)據(jù)備份安全。結合云審計系統(tǒng)，云審計安全又延伸到數(shù)據(jù)接口安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)使用安全以及安全責任認定。

云安全是未來網(wǎng)絡安全的一種發(fā)展趨勢，也是云計算模式中一個比較活躍的領域。網(wǎng)絡病毒、惡意程序、黑客入侵等都威脅著云端審計的安全。因此，研究“云”中審計一定要把安全放在首要的位置，聯(lián)合專業(yè)的安全廠商和第三方服務商，加強云審計平臺和應用端的“云安全”技術研發(fā)，采取有效措施加強云審計系統(tǒng)下的風險控制。

一是采用新技術、新方法構建云審計安全防御系統(tǒng)。在云計算環(huán)境下，為了保證數(shù)據(jù)安全，應該采取最優(yōu)的方法和最新的技術手段，研究構建云審計安全防御系統(tǒng)。安全防御系統(tǒng)至少應包括異常監(jiān)控、故障監(jiān)測、漏洞掃描、風險預警等功能（如圖1所示）。為了提高系統(tǒng)的可靠性和穩(wěn)定性應采用應用層面的檢查點、重啟技術、并行計算，增強系統(tǒng)安全性。

二是建立統(tǒng)一身份認證基礎上的單點登錄技術。統(tǒng)一身份認證是通過一個適合于所有應用系統(tǒng)的、唯一的認證服務系統(tǒng)為認證接口提供唯一訪問點的認證模塊，各應用系統(tǒng)只需要遵循統(tǒng)一認證服務調用接口，即可實現(xiàn)用戶身份的認證過程。為了解決同一網(wǎng)絡中多應用系統(tǒng)之間的復雜登錄問題，可以建立在統(tǒng)一身份認證基礎上的單點登錄技術。同一用戶只需要強制認證一次，就可以在不同的授權系統(tǒng)之間進行轉換而不必重新登錄，而系統(tǒng)的身份認證操作則在后臺自動執(zhí)行。這樣可以提高用戶的訪問效率，避免了系統(tǒng)開銷。

三是采用加密技術。加密技術包括兩個元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一串數(shù)字（密鑰）的結合，產(chǎn)生不可理解的密文步驟，密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。在云審計數(shù)據(jù)傳輸和存儲過程中，可通過適當?shù)拿荑€加密技術和管理機制來對審計數(shù)據(jù)進行加密保護，即使數(shù)據(jù)誤傳到別人的數(shù)據(jù)中心，沒有解密密碼也不能打開和使用數(shù)據(jù)。

四是制定統(tǒng)一的云審計標準。云審計標準是實施云端審計的基本準則和實施依據(jù)。制定權威的、公認的云審計標準，是實現(xiàn)云端審計工作規(guī)范化、明確云端審計責任、保證云端審計質量的可靠保障。沒有標準，云審計的發(fā)展就難以得到規(guī)范健康的發(fā)展，難以推動國家審計的一體化協(xié)同發(fā)展。

但云審計研究尚處于起步階段，業(yè)界尚未形成相關標準。本文認為，云審計標準至少應包括認證標準、數(shù)據(jù)接口標準、數(shù)據(jù)安全標準、風險評估標準等。通過認證技術、加密技術、授權技術保證數(shù)據(jù)接口安全，確保接口的強用戶認證、加密和訪問控制的有效性，避免利用接口對內(nèi)和對外的攻擊，避免利用接口進行云服務的濫用。通過發(fā)展數(shù)據(jù)安全與隱私保護、多租戶身份管理、數(shù)據(jù)丟失防護等安全產(chǎn)品及在線電子證據(jù)保全、第三方安全審計、云計算安全等級劃分與測評、安全監(jiān)控與運維和安全應急響應等安全服務能力，同時建立安全等級評價指標，對云計算服務環(huán)境中的數(shù)據(jù)傳輸安全、存儲安全、審計安全提供量化評價，將有助提升用戶對云計算服務的信任度。

五是明確云責任。云責任可以簡單地理解為“同一云過程下的審計機關和審計人員的總體責任”。標準化云審計過程使傳統(tǒng)審計中的主客體二者的關系變成了主體、客體和中間商三者之間的關系。相應地，審計的具體責任也發(fā)生了變化。與傳統(tǒng)審計相比，在標準化云審計下，審計人員的數(shù)據(jù)信息來源于中間的第三方，所以與數(shù)據(jù)采集存儲相關的問題也就不再由審計人員負責，進而增強了第三方云審計平臺商的責任。同時，審計的主體也由隸屬于同一審計機關的項目小組成員變?yōu)閬碜远鄠€審計機關的多名審計人員。在這種多方協(xié)作進行審計的過程中，各方的責任更應該明確。

基于此原則，應當考慮：負責牽頭的審計機關的責任;參與云過程的其他審計機關對客戶和牽頭的審計機關的責任;云過程下所有參與審計的審計機關和審計人員對客戶的總體責任。由于云過程允許不同的審計機關參與同一個審計過程，在多對一的審計模式下，信息交換、信息處理及報告一定比一對一的審計要相對公開、透明，特別是在風險充分博弈的條件下，各參與審計的審計機關將最終承擔與其所擔任審計過程相對應的審計責任，以達到風險均衡。

六是出臺相應的政策法規(guī)。因為云計算服務涉及到個人、企業(yè)，國家的重要敏感信息安全，所以需要政府相關監(jiān)管部門的參與，通過統(tǒng)一行業(yè)標準和協(xié)議、制定完善相應的法律法規(guī)，對數(shù)據(jù)隱私保護、數(shù)據(jù)主權歸屬、服務協(xié)議保障、風險責任認定進行法規(guī)界定，對云計算服務提供商、云計算服務進行規(guī)范、監(jiān)督、審計，保障云計算應用服務和數(shù)據(jù)信息的安全。

五、結語

本文根據(jù)云計算服務模式的特點和應用現(xiàn)狀，構建了云審計系統(tǒng)的基本框架。但云計算環(huán)境下的云審計建設是一個系統(tǒng)工程，除了平臺架構外，還有諸如信息安全、云標準、云責任等標準體系和安全審計的法律法規(guī)建設。如果在實施云審計項目時盲目應用云計算技術，而忽視標準體系和法律法規(guī)建設，將會產(chǎn)生嚴重的潛在審計風險。因此，進行云計算環(huán)境下審計安全技術標準、技術規(guī)范研究和相關產(chǎn)品開發(fā)，是推動未來我國云審計發(fā)展的關鍵。

【參考文獻】

[1] 秦榮生.云計算的發(fā)展及其對會計、審計的挑戰(zhàn)[J].當代財經(jīng)，2013（1）：111-117.

[2] Iyer， B. Henderson， J. Preparing for the future Understanding the seven capabilities of cloud computing[J].MIS Quarterly Executive， 2010，9（2）：117-131.

[3] Mell p， Grance t. The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology，2011.

[4] 文峰.云計算與云審計——關于未來審計的概念與框架的一些思考[J].中國注冊會計師，2011（2）：98-102.

[5] 鄧川，楊文鶯.基于云審計的會計師事務所機遇、挑戰(zhàn)及對策[J].財會通訊，2012（10）：83-84.

[6] 陳偉，Wally Smieliauskas.云計算環(huán)境下的聯(lián)網(wǎng)審計實現(xiàn)方法探析[J].審計研究，2012（3）：37-44.

[7] 鮑偉民.基于云計算的安全審計系統(tǒng)研究與設計[J].軟件產(chǎn)業(yè)與工程，2012（6）：41-45.

[8] 張劍，陳劍鋒，王強.云計算安全審計服務研究[J].信息安全與通信保密，2013（6）：62-64.

[9] 馮秀珍，郝鵬.云計算環(huán)境下的信息資源云服務模式研究[J].計算機科學，2012（S2）：110-114.

五是明確云責任。云責任可以簡單地理解為“同一云過程下的審計機關和審計人員的總體責任”。標準化云審計過程使傳統(tǒng)審計中的主客體二者的關系變成了主體、客體和中間商三者之間的關系。相應地，審計的具體責任也發(fā)生了變化。與傳統(tǒng)審計相比，在標準化云審計下，審計人員的數(shù)據(jù)信息來源于中間的第三方，所以與數(shù)據(jù)采集存儲相關的問題也就不再由審計人員負責，進而增強了第三方云審計平臺商的責任。同時，審計的主體也由隸屬于同一審計機關的項目小組成員變?yōu)閬碜远鄠€審計機關的多名審計人員。在這種多方協(xié)作進行審計的過程中，各方的責任更應該明確。

基于此原則，應當考慮：負責牽頭的審計機關的責任;參與云過程的其他審計機關對客戶和牽頭的審計機關的責任;云過程下所有參與審計的審計機關和審計人員對客戶的總體責任。由于云過程允許不同的審計機關參與同一個審計過程，在多對一的審計模式下，信息交換、信息處理及報告一定比一對一的審計要相對公開、透明，特別是在風險充分博弈的條件下，各參與審計的審計機關將最終承擔與其所擔任審計過程相對應的審計責任，以達到風險均衡。

六是出臺相應的政策法規(guī)。因為云計算服務涉及到個人、企業(yè)，國家的重要敏感信息安全，所以需要政府相關監(jiān)管部門的參與，通過統(tǒng)一行業(yè)標準和協(xié)議、制定完善相應的法律法規(guī)，對數(shù)據(jù)隱私保護、數(shù)據(jù)主權歸屬、服務協(xié)議保障、風險責任認定進行法規(guī)界定，對云計算服務提供商、云計算服務進行規(guī)范、監(jiān)督、審計，保障云計算應用服務和數(shù)據(jù)信息的安全。

五、結語

本文根據(jù)云計算服務模式的特點和應用現(xiàn)狀，構建了云審計系統(tǒng)的基本框架。但云計算環(huán)境下的云審計建設是一個系統(tǒng)工程，除了平臺架構外，還有諸如信息安全、云標準、云責任等標準體系和安全審計的法律法規(guī)建設。如果在實施云審計項目時盲目應用云計算技術，而忽視標準體系和法律法規(guī)建設，將會產(chǎn)生嚴重的潛在審計風險。因此，進行云計算環(huán)境下審計安全技術標準、技術規(guī)范研究和相關產(chǎn)品開發(fā)，是推動未來我國云審計發(fā)展的關鍵。

【參考文獻】

[1] 秦榮生.云計算的發(fā)展及其對會計、審計的挑戰(zhàn)[J].當代財經(jīng)，2013（1）：111-117.

[2] Iyer， B. Henderson， J. Preparing for the future Understanding the seven capabilities of cloud computing[J].MIS Quarterly Executive， 2010，9（2）：117-131.

[3] Mell p， Grance t. The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology，2011.

[4] 文峰.云計算與云審計——關于未來審計的概念與框架的一些思考[J].中國注冊會計師，2011（2）：98-102.

[5] 鄧川，楊文鶯.基于云審計的會計師事務所機遇、挑戰(zhàn)及對策[J].財會通訊，2012（10）：83-84.

[6] 陳偉，Wally Smieliauskas.云計算環(huán)境下的聯(lián)網(wǎng)審計實現(xiàn)方法探析[J].審計研究，2012（3）：37-44.

[7] 鮑偉民.基于云計算的安全審計系統(tǒng)研究與設計[J].軟件產(chǎn)業(yè)與工程，2012（6）：41-45.

[8] 張劍，陳劍鋒，王強.云計算安全審計服務研究[J].信息安全與通信保密，2013（6）：62-64.

[9] 馮秀珍，郝鵬.云計算環(huán)境下的信息資源云服務模式研究[J].計算機科學，2012（S2）：110-114.

五是明確云責任。云責任可以簡單地理解為“同一云過程下的審計機關和審計人員的總體責任”。標準化云審計過程使傳統(tǒng)審計中的主客體二者的關系變成了主體、客體和中間商三者之間的關系。相應地，審計的具體責任也發(fā)生了變化。與傳統(tǒng)審計相比，在標準化云審計下，審計人員的數(shù)據(jù)信息來源于中間的第三方，所以與數(shù)據(jù)采集存儲相關的問題也就不再由審計人員負責，進而增強了第三方云審計平臺商的責任。同時，審計的主體也由隸屬于同一審計機關的項目小組成員變?yōu)閬碜远鄠€審計機關的多名審計人員。在這種多方協(xié)作進行審計的過程中，各方的責任更應該明確。

基于此原則，應當考慮：負責牽頭的審計機關的責任;參與云過程的其他審計機關對客戶和牽頭的審計機關的責任;云過程下所有參與審計的審計機關和審計人員對客戶的總體責任。由于云過程允許不同的審計機關參與同一個審計過程，在多對一的審計模式下，信息交換、信息處理及報告一定比一對一的審計要相對公開、透明，特別是在風險充分博弈的條件下，各參與審計的審計機關將最終承擔與其所擔任審計過程相對應的審計責任，以達到風險均衡。

六是出臺相應的政策法規(guī)。因為云計算服務涉及到個人、企業(yè)，國家的重要敏感信息安全，所以需要政府相關監(jiān)管部門的參與，通過統(tǒng)一行業(yè)標準和協(xié)議、制定完善相應的法律法規(guī)，對數(shù)據(jù)隱私保護、數(shù)據(jù)主權歸屬、服務協(xié)議保障、風險責任認定進行法規(guī)界定，對云計算服務提供商、云計算服務進行規(guī)范、監(jiān)督、審計，保障云計算應用服務和數(shù)據(jù)信息的安全。

五、結語

本文根據(jù)云計算服務模式的特點和應用現(xiàn)狀，構建了云審計系統(tǒng)的基本框架。但云計算環(huán)境下的云審計建設是一個系統(tǒng)工程，除了平臺架構外，還有諸如信息安全、云標準、云責任等標準體系和安全審計的法律法規(guī)建設。如果在實施云審計項目時盲目應用云計算技術，而忽視標準體系和法律法規(guī)建設，將會產(chǎn)生嚴重的潛在審計風險。因此，進行云計算環(huán)境下審計安全技術標準、技術規(guī)范研究和相關產(chǎn)品開發(fā)，是推動未來我國云審計發(fā)展的關鍵。

【參考文獻】

[1] 秦榮生.云計算的發(fā)展及其對會計、審計的挑戰(zhàn)[J].當代財經(jīng)，2013（1）：111-117.

[2] Iyer， B. Henderson， J. Preparing for the future Understanding the seven capabilities of cloud computing[J].MIS Quarterly Executive， 2010，9（2）：117-131.

[3] Mell p， Grance t. The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology，2011.

[4] 文峰.云計算與云審計——關于未來審計的概念與框架的一些思考[J].中國注冊會計師，2011（2）：98-102.

[5] 鄧川，楊文鶯.基于云審計的會計師事務所機遇、挑戰(zhàn)及對策[J].財會通訊，2012（10）：83-84.

[6] 陳偉，Wally Smieliauskas.云計算環(huán)境下的聯(lián)網(wǎng)審計實現(xiàn)方法探析[J].審計研究，2012（3）：37-44.

[7] 鮑偉民.基于云計算的安全審計系統(tǒng)研究與設計[J].軟件產(chǎn)業(yè)與工程，2012（6）：41-45.

[8] 張劍，陳劍鋒，王強.云計算安全審計服務研究[J].信息安全與通信保密，2013（6）：62-64.

[9] 馮秀珍，郝鵬.云計算環(huán)境下的信息資源云服務模式研究[J].計算機科學，2012（S2）：110-114.