集團(tuán)化“審計（管理）云”構(gòu)建設(shè)想

宮巖偉

摘 要：本文主要是從內(nèi)部審計視角，結(jié)合日常工作實踐，對審計主要職能的理解以及對云計算等信息技術(shù)的認(rèn)知，分析集團(tuán)化“審計（管理）云”的可實現(xiàn)性，設(shè)想其功能構(gòu)建，針對信息安全風(fēng)險、組織架構(gòu)制約等構(gòu)建風(fēng)險與困難從法治、風(fēng)險管理、技術(shù)等層面提出風(fēng)險與困難的應(yīng)對思路，實現(xiàn)優(yōu)化審計資源使用與配置、提高審計項目管理效率、及時報告與分享審計成果等預(yù)期效果。

關(guān)鍵詞：審計；（管理）云；功能；設(shè)想

中圖分類號：F239；F239 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-9052（2020）04-0050-02

一、集團(tuán)化審計（管理）云構(gòu)建可實現(xiàn)性分析

（一）云計算的主要特點

第一，虛擬化。虛擬化是云計算的最基礎(chǔ)前提，打破了傳統(tǒng)客戶需先投資建設(shè)有形IT設(shè)備實體，再獲得服務(wù)的模式。用戶只需要通過網(wǎng)絡(luò)，在任何時間、任意位置，通過多樣化終端設(shè)備均能獲得服務(wù)，不需要了解數(shù)據(jù)在哪存儲、如何存儲。虛擬化既包括應(yīng)用的虛擬化又包括資源的虛擬化[1]。

第二，規(guī)模化。為實現(xiàn)超級存儲和計算能力，云計算中心需要整合和管理超級龐大的服務(wù)器群，且這些服務(wù)器可以通過網(wǎng)絡(luò)分布在世界各地。例如，谷歌（Google）的云計算已擁有100多萬臺服務(wù)器[2]。

第三，超級計算。云計算原理是將用戶提交的任務(wù)分割成小任務(wù)，分布到云數(shù)據(jù)中心的龐大服務(wù)器群上執(zhí)行，因此能夠?qū)崿F(xiàn)超級計算機的計算能力。

第四，通用性。由于龐大的服務(wù)器群作支撐，云計算不需針對特定的應(yīng)用環(huán)境，可根據(jù)各種需要構(gòu)建出各種應(yīng)用的運行環(huán)境。

第五，按需服務(wù)和擴展性。云計算的實質(zhì)是提供信息技術(shù)服務(wù)，“云”中集成了各種軟件和存儲資源，客戶可以根據(jù)需要定制各種軟件環(huán)境，動態(tài)擴展存儲規(guī)模、用戶規(guī)模。

第六，低成本。由于“云”規(guī)模的龐大和特殊的容錯措施，云服務(wù)商可以采用廉價的硬件，而“云”的自動化集成消除了企業(yè)獨立承擔(dān)數(shù)據(jù)中心的管理成本和資源使用成本，使企業(yè)以更小的投入獲得了更大的數(shù)據(jù)處理能力。

（二）集團(tuán)化內(nèi)部審計發(fā)展的需求

第一，管理越來越多內(nèi)審分支機構(gòu)的需求。隨著企業(yè)做大做強，終會向集團(tuán)化方向發(fā)展，隨之而來是集團(tuán)管理越來越多的分支機構(gòu)、各級公司，為滿足企業(yè)監(jiān)管需要和完善治理結(jié)構(gòu)，各分支機構(gòu)、各級公司又會設(shè)立各自的內(nèi)部審計分支機構(gòu)。如何統(tǒng)籌管理集團(tuán)的內(nèi)審體系，整合資源發(fā)揮更大效用，已成為集團(tuán)化審計管理的重要課題。

第二，統(tǒng)籌部署集團(tuán)審計戰(zhàn)略的需求。從業(yè)務(wù)方面，各下屬審計機構(gòu)接受上級審計機構(gòu)的指導(dǎo)，但組織機構(gòu)、職能劃分上又由各所屬單位管理。實際情況是，上級傳達(dá)戰(zhàn)略部署、下級反饋意見信息，存在較高的溝通成本，往往形成集團(tuán)及各審計分支的各自為戰(zhàn)，各分支匯報的審計成果獨立來看效果顯著，但從全集團(tuán)層面卻難以勾勒出整體形態(tài)。

第三，信息化審計系統(tǒng)集成升級的需求。隨著信息技術(shù)在內(nèi)部審計中的應(yīng)用，很多集團(tuán)及下屬單位都已搭建了信息化審計系統(tǒng)。但由于各種因素，多數(shù)的信息化審計系統(tǒng)并未統(tǒng)一集成、缺少接口、功能各異，且基于較早的信息技術(shù)，已難擴展，逐漸降低對審計的支撐作用。

（三）審計（管理）云提供了一種解決方案

虛擬化為審計工作實現(xiàn)提供了更靈活多樣的開展方式，按需服務(wù)、高擴展性使集團(tuán)化的審計（管理）云系統(tǒng)搭建或升級變得更容易實現(xiàn)。云的超級計算能力，使內(nèi)部審計越來越高的數(shù)據(jù)分析需求得到滿足，且能夠提供更多選擇的軟件系統(tǒng)和數(shù)據(jù)環(huán)境。由于云的低成本特點，整合或重新構(gòu)建集團(tuán)化審計（管理）云將投入更少資金，而由于最終構(gòu)建形成集團(tuán)層面的審計（管理）云，集團(tuán)審計的整體統(tǒng)籌、高效溝通、資源綜合利用等需求能夠更容易得到實現(xiàn)。云技術(shù)的應(yīng)用，將審計的信息化建設(shè)引入無需IT基礎(chǔ)設(shè)施投入，即可獲取定制化服務(wù)的方向。

二、集團(tuán)化審計（管理）云構(gòu)建功能設(shè)想

（一）基礎(chǔ)功能

第一，審計計劃功能。此功能主要實現(xiàn)審計計劃制定時既考慮集團(tuán)戰(zhàn)略的統(tǒng)籌，又考慮各分支機構(gòu)現(xiàn)實風(fēng)險的把握。集團(tuán)、各分支機構(gòu)在制定年度計劃時，通過審計（管理）云及時共享。一方面可以避免審計計劃的重復(fù)；另一方面，集團(tuán)可以部署對某一業(yè)務(wù)模塊各分支的同時審計，實現(xiàn)全集團(tuán)該業(yè)務(wù)模塊的橫向比較和互相借鑒，取得更優(yōu)的最佳實踐案例。

第二，審計資源調(diào)配功能。此功能主要實現(xiàn)全集團(tuán)審計體系資源的整體協(xié)調(diào)安排。集團(tuán)、各分支機構(gòu)年度計劃制定后，都會對各項目時間進(jìn)度、人員配置進(jìn)行安排，但以往都只能對自有的審計資源進(jìn)行分配。通過審計（管理）云，實現(xiàn)審計人員的調(diào)配和交流，如將其他機構(gòu)的某些審計領(lǐng)域的專家調(diào)配到重要的審計項目中，請求某些地區(qū)的審計人員提供支援減少差旅等。通過整合審計資源調(diào)配，可實現(xiàn)一定的審計能力共享、審計資源共享，提高整體質(zhì)量，降低成本。

第三，審計項目管理功能。此功能屬于傳統(tǒng)的審計項目管理職能，主要是將此功能集成到集團(tuán)化審計（管理）云中，實現(xiàn)各個審計項目的進(jìn)度、成本、質(zhì)量管理。審計工作的主要流程一般包括審計通知書、審計調(diào)查、審計方案編制、審計實施、交換意見、審計報告等階段。此功能可按各流程階段在審計（管理）云中進(jìn)行管理和展示，便于集團(tuán)層面全面了解各分支機構(gòu)目前的項目開展情況和項目當(dāng)前狀態(tài)。

第四，審計成果匯報與數(shù)據(jù)統(tǒng)計功能。此功能主要是實現(xiàn)審計成果的及時匯報和按需從不同維度進(jìn)行數(shù)據(jù)統(tǒng)計。隨著國家及各級監(jiān)管機構(gòu)對內(nèi)部審計工作的重視和對內(nèi)部審計工作成果的認(rèn)可，審計成果匯報的及時性，對不同維度的數(shù)據(jù)統(tǒng)計與上報要求越來越多。通過集團(tuán)化審計（管理）云中的此項功能，在各階段根據(jù)管理需要，及時地將各種信息進(jìn)行匯總統(tǒng)計，展示并匯報。如當(dāng)前開展的審計項目數(shù)量，具體審計項目名稱，領(lǐng)域分布，已完成項目數(shù)量，已發(fā)現(xiàn)審計問題數(shù)量，涉及問題金額，審計問題效益等各類需求信息。

（二）擴展功能

第一，數(shù)據(jù)分析環(huán)境。當(dāng)前內(nèi)部審計已越來越多地對全業(yè)務(wù)數(shù)據(jù)進(jìn)行分析以實現(xiàn)業(yè)務(wù)的全審計覆蓋，但更多的仍基于單機或服務(wù)器。而“云”可以提供各種數(shù)據(jù)結(jié)構(gòu)和軟件環(huán)境，提供超強的計算能力，在審計（管理）云上應(yīng)用云計算，能夠提供更高速度、更大規(guī)模的數(shù)據(jù)分析能力，同時由于數(shù)據(jù)存儲在“云”中，可以實現(xiàn)多個審計項目、審計人員的并行分析審計。

第二，審計項目畫像。在審計（管理）云中應(yīng)用AI技術(shù)，通過全集團(tuán)審計成果的積累以及導(dǎo)入收集到更多的審計案例，審計（管理）云在進(jìn)行機器學(xué)習(xí)和關(guān)鍵詞提取后，就可以對某一類審計項目提供畫像。如在編制審計方案時，輸入某一審計領(lǐng)域，審計（管理）云會自動推送相關(guān)的風(fēng)險點、審計程序；編制審計報告時，輸入某些特定詞，審計（管理）云會自動提示可能的審計發(fā)現(xiàn)具體描述。

第三，實時審計監(jiān)控。目前已經(jīng)實現(xiàn)的在服務(wù)器上的實時審計監(jiān)控，也可以在審計（管理）云上進(jìn)行應(yīng)用，并且可以結(jié)合大數(shù)據(jù)分析技術(shù)，除建立定量指標(biāo)外，還可以建立定性指標(biāo)、趨勢指標(biāo)，提供大數(shù)據(jù)關(guān)聯(lián)的預(yù)測、預(yù)警。

三、集團(tuán)化“審計（管理）云”構(gòu)建風(fēng)險與困難

（一）信息安全風(fēng)險

對于私有云，由于完全由客戶控制，信息安全風(fēng)險與傳統(tǒng)信息安全風(fēng)險基本相同。

但由于成本考慮，構(gòu)建審計（管理）云更多還是基于公有云。由于公有云運營完全由云服務(wù)商負(fù)責(zé)，硬件由服務(wù)商維護(hù)，軟件、信息全部存儲到云服務(wù)商的數(shù)據(jù)中心，信息完全脫離企業(yè)監(jiān)控。相對于傳統(tǒng)服務(wù)器模式，信息安全存在來自云服務(wù)商內(nèi)部（或自身）和云服務(wù)器外部的雙重威脅。特別是對于審計來說，存儲和產(chǎn)生的數(shù)據(jù)更加敏感和機密，一旦信息遭受破壞、丟失或泄露，可能為集團(tuán)帶來無法估計的影響和損失。

（二）組織架構(gòu)制約

理論上，雖然審計（管理）云可實現(xiàn)集團(tuán)范圍內(nèi)審計資源（特別是審計人員）的統(tǒng)一調(diào)配，但當(dāng)前現(xiàn)實情況是，集團(tuán)及下屬各單位的審計人員是與所屬企業(yè)的有合同雇傭關(guān)系，而非分配給集團(tuán)審計體系可統(tǒng)一調(diào)配的權(quán)力。集團(tuán)與下屬單位之間、下屬單位相互之間的審計人員調(diào)配需要協(xié)商和授權(quán)。審計人員為集團(tuán)內(nèi)其他企業(yè)提供審計服務(wù)，是否存在報酬核算的問題，調(diào)配審計人員的績效考核結(jié)果如何應(yīng)用問題，也是對審計（管理）云發(fā)揮資源共享作用的重要制約。

（三）風(fēng)險與困難的應(yīng)對思路

上述提出的風(fēng)險和困難，可以從多角度思考應(yīng)對策略，本文僅從幾個層面略作展開，提出一些思路供參考借鑒。

第一，法治層面。解決信息安全風(fēng)險首先需要建立完善、有效的法律法規(guī)體系，使云上的數(shù)據(jù)能夠依法得到尊重和保護(hù)，發(fā)生數(shù)據(jù)安全事件也有法可依追究責(zé)任，保證云使用方獲得損失賠償。

第二，風(fēng)險管理層面。建立云數(shù)據(jù)安全的保險機制，可以使云數(shù)據(jù)信息安全風(fēng)險得到分擔(dān)。一方面，保險公司為風(fēng)險可控，會從第三方角度加強對云服務(wù)商的監(jiān)控，促使云安全性的持續(xù)提升；另一方面，保險分擔(dān)了云信息安全事件的損失賠償風(fēng)險，云服務(wù)使用者能夠得到更多的損失保障。

第三，技術(shù)層面。為云上的數(shù)據(jù)進(jìn)行加密存儲，在使用數(shù)據(jù)的終端進(jìn)行解密，這樣只有獲得授權(quán)的終端才能夠訪問和使用云數(shù)據(jù)，能夠?qū)崿F(xiàn)技術(shù)層面的防范信息安全風(fēng)險。

第四，實踐層面。以德國大眾集團(tuán)的全球內(nèi)審體系為例，已推出全球內(nèi)審交流計劃。每年德國大眾集團(tuán)在全世界的各內(nèi)審分支會向集團(tuán)報送審計計劃和人員計劃，并根據(jù)需要提出少量的交流項目，其他分支可根據(jù)人員、預(yù)算等安排，決定是否派出審計人員開展聯(lián)合審計。目前聯(lián)合審計項目能否成行，是通過郵件、電話等溝通方式，在不同分支間地不斷確認(rèn)和溝通后得以實現(xiàn)，存在較高的溝通成本和不確定性。但在該計劃下，集團(tuán)也已完成了多個跨分支的聯(lián)合審計項目，一定程度上實現(xiàn)了經(jīng)驗交流、資源共享的作用。

四、結(jié)語

集團(tuán)化審計（管理）云，從資源利用方面，能夠調(diào)動全集團(tuán)的審計資源，實現(xiàn)更大規(guī)模的綜合利用、優(yōu)勢互補。從審計職能發(fā)揮方面，能夠通過更高效的統(tǒng)一部署，對同類企業(yè)進(jìn)行橫向比較，對不同類企業(yè)進(jìn)行縱向延伸，并能更好地結(jié)合集團(tuán)戰(zhàn)略與各企業(yè)戰(zhàn)略。從審計質(zhì)量提升方面，由擴展功能帶來更大規(guī)模的數(shù)據(jù)分析、更準(zhǔn)確的審計項目畫像、大數(shù)據(jù)實時監(jiān)控預(yù)警，從審計證據(jù)的準(zhǔn)確性、多角度，審計方案和審計報告的標(biāo)準(zhǔn)化、完整性等實現(xiàn)審計的高質(zhì)量完成。

參考文獻(xiàn)：

[1]戴麗榮，戴舒.云計算綜述[J].西安航空學(xué)院學(xué)報，2013（31）：68-71.

[2]趙一霈.淺談云計算特點及其安全問題[J].信息科技探索，2019（4）：117-118.

（責(zé)任編輯：林麗華）