云审计
出自 MBA智库百科(https://wiki.mbalib.com/)
目录 |
什么是云审计[1]
云审计是利用互联网的云计算概念,通过数据的云存储,使得各种审计资源(参与审计的人员、程序和相关的硬件设备)通过云来协同,从而为审计人员提供更富有效率,更科学的审计过程。在这个过程中,审计人员无需关注采用何种计算机程序、也无需关注数据的存储、共享和工作时效性问题,审计人员惟一需要关注的就是审计任务本身。因而,通过云审计,可以大大降低审计人员简单劳动的强度,降低审计软件的技术壁垒并实现在技术和硬件上具备同“四大”大致相同的水平。更进一步地,随着人们对云审计的不断深入认识,有可能从根本上改变审计的基本理论框架,建立基于信息社会基础上的全新的审计框架。
云审计的优点[2]
云计算被认为是继大型计算机、个人计算机、互联网之后,IT产业的第四次革命。云计算秉承“按需服务”的理念,是一种新近提出的计算模式。维基百科给云计算下的定义是:云计算将IT相关的能力以服务的方式提供给用户。允许用户在不了解提供服务的技术、没有相关知识以及设备操作能力的情况下.通过Internet获取需要服务。
通俗的理解,所谓云计算,就是要建立信息的公共电厂。它意味着计算能力也可以作为一种商品进行流通.像电一样,取用方便,费用低廉,无论企业还是消费者,只需要买其他人提供的服务.而不需要自己去“发电”。在云时代,不卖“计算机”,卖“计算”了;不卖“存储器”,卖“存储”了:不卖“服务器”,卖“服务”了。在未来,只需要一台笔记本或者一个手机,就可以通过云计算服务来实现我们需要的一切。几乎所有的IT资源都可以作为云服务来提供,例如应用程序、计算能力、存储容量、联网、编程工具以及通信服务和协作工具。
云计算技术运用到审计过程中,产生了“云审计”,则有可能促成审计技术的重大变革。不仅因为云计算实质上是计算机技术和互联网技术的结合,综合运用了到目前为止的所有重大技术进步和创新,而且由于云计算可以让用户完全专注于审计任务本身,摆脱对某一具体硬件或程序的依赖.从而能够将精力集中于审计信息的获取、分析与报告的系统工程上。云审计是指在云计算的基础上搭建一个平台,通过数据的云存储,实现各类审计信息的数字化,使各种审计资源,包括审计人员、程序和相关的硬件设备,通过云来协同工作,使审计资源得到充分优化利用,以促进信息的交流和共享。在云审计过程中,审计人员可以按照自己的时间、方式进行审计,无需关注使用何种计算机程序,也无需关注数据的存储、共享和工作时效性问题,惟一需要关注的就是审计任务本身,而云端看不见的繁琐技术全部留给技术后台来解决,并不需要知晓后台是如何运作的,关键是前台的使用是否便捷,是不是得心应手。这也是信息时代发展中的一种必然变化,也已经成为新时期下审计信息化的一种需求。
在云审计过程中,利用第三方提供的云计算基础平台、数据和程序都在“云”中,审计项目小组成员可以在地理上非常分散,甚至于不一定都要来自于同一个审计机关或者委托机构,所有的 作协同和数据共享通过云技术来实现。不仅可以归集和管理审计所需的各类资料和数据,对容纳的数据时时更新和有机集合,而且能够智能控制对审计模型的选择和使用,保证审计过程的质量。
通过以上描述,可以发现,云审计不同于传统审计,有着传统审计方式所无法比拟的优越性。
1.实现审计时间的节约。在现行审计过程中,被审计单位的信息系统缺乏应有的审计接口,使得审计人员将大量的时间花费在数据的采集、资料的收集上,甚至收集转换审计资料上花费的时间远远超过审计发现问题的时间。在云审计过程中,被审计单位相关数据存储在“云”中,审计人员无需再把数据导入自己的办公电脑.通过云服务,将大量原本应由本机进行的计算推送到服务器端,由服务器将计算任务分配到整个云网络的空闲计算机上,迅速得到结果并返还给本地计算机,可以大大节省等待时间。
2.实现审计软件相互兼容。在云审计过程中,数据和程序是存储在“云”中,审计程序的设计、维护和升级不再由各审计单位独自承担,而是完全交由专业的云软件服务商来进行,从而大大提高审计软件兼容性;同时,审计机关、委托事务所只是作为一个用户来使用软件,因此不同级别的审计机关、委托事务所可以无视基础设施的投入,获得同样先进、一致的审计软件操控体验,基于同一审计软件进行的审计过程的可比性也将大大提高。
3.实现审计资料充分共享。审计人员收集的各项资料,采集、生成的各种数据,不再分块存储在每位审计人员手中,而是分类存储在同一个资源平台上;审计人员通过云审计平台,可以随时查阅审计组收集到的各项数据和资料,及时分享审计信息,避免重复劳动。
4.实现审计信息实时交流。审计人员能够及时了解审计任务进展情况.并根据实际情况进行审计重点和人员调整;及时了解管理者的工作思路和要求,并将任务执行过程中遇到的问题及时向管理者反馈:及时地了解相互的工作情况,方便实现线索、方法的共享。
5.实现审计全过程质量控制。通过云审计,管理者能及时、完整地了解每个审计人员的工作,有的放矢的进行指挥,并实时监督每个人的工作情况;审计人员之问也能互相监督,确保审计质量的提高。
云审计与XBRL的关系[1]
审计是一种受托责任行为,也是典型的信息处理与判断的行为。目前,XML子集XBRL已经运用于财务报告了。按照Chades Ha仟man在《XBRL在财务报告中的应用》(2008)中的解释,XBRL“是一种电子交换商业信息的全球标准化方法,提供了一种全球认同的财务报告术语以及业务规则的语义 。了解XBRL的人应该都大概知道该语言的目的与价值,其实质是对数据和信息进行具有可比性、可重构性的统一的编码过程。XBRL的宗旨是解决商业信息交换的电子标准,这个特性对于云审计非常重要。没有该技术或类似的技术,我们不可能自由、快速的分析财务数据,并安全传递财务信息,并将此类技术运用到云计算之上。
我们不妨以会计准则的趋同为例子作一比较,在国际会计准则被普遍采用之前 全球存在着多个不同的会计准则体系,有的比较接近,有的则相差甚远。在这种情况下,全球企业财务状况的横向比较就面临财务报表按不同国家、不同资本市场会计准则要求进行转换,从而导致高昂的转换成本,这种转换成本其实就是信息交换成本。经济学基本原理告诉我们,一项经济行为的发生或不发生取决于该行为的边际收益,如果存在边际收益,经济行为就会发生。高昂的信息交换成本阻碍了资本的自由流动,同经济贸易全球化的潮流不符,因而才有了会计准则的趋同、等效。
类似地,XBRL的目的在于解决财务信息的电子交换成本,使财务信息能有序、便捷地在不同利益相关者之间进行交换。我们不难发现,如果大家都采用XBRL或类似技术,财务信息的交换成本将极大地降低。那么,从审计是一个信息获取、分析信息并报告信息是否存在偏差的系统过程来看,如果审计过程也能采用XBRL进行信息交换,无疑将使得财务信息交换、审计信息交换以及财务信息与审计信息之间的交换成本显著降低。只有实现了便捷的信息交换才能实现工作协同,才能实现云计算的功能。因此,不妨做一个大胆预言,未来云审计的技术实现将基于XBRL或类似语言基础之上。随着云审计的不断发展,XBRL也将获得更大的应用空间,成为未来审计的基本技术储备。
云审计与传统审计的比较[1]
云审计相比较于传统审计技术的优点目前看至少有两个:一个是大大提高审计工作底稿质量的可比性。在云审计过程中, 据和程序是存储在 云中,审计程序的设计、维护和升级不再由特定的会计师事务所独自承担,而是完全交由专业的云软件开发商来进行,从而大大提高审计软件兼容性:同时,会计师事务所只是作为一个用户来使用软件,因此,当众多的中小型会计师事务所通过支付一定的费用获得同四大一样先进的审计软件操控体验时,我们的广大中小型事务所的工作底稿质量也能得到大幅度提高;更进一步的是,基于同一审计软件进行的审计过程的可比性也将大大提高,为行业主管部门验证审计过程、检查审计底稿提供了强有力的技术支持。
另一个优点是客观性的大大提高。客观性除了同注册会计师的专业判断以及与被审计单位是否保持独立有关外,还同审计程序的选用有关。由于第三方针对全体会计师事务所开发的独立审计软件需要考虑很多方面的因素,从逻辑上讲,应当比单靠一个会计师事务所自行开发(包括商业审计软件二次开发)所能考虑的要更加全面,而且,云审计中的审计软件对客户不会开放软件二次开发与修改权限(这种权限应当是省级以上注协拥有),由此,会计师事务所只能选择合适的审计程序,主观删减审计程序(步骤)的可能性大为降低,从而提高了审计的客观性。当然,如果某个事务所认为增加新的审计程序或改进云中原有的审计程序能更加有效地达到审计目的,可以在云中进行增加或修改,并报省级以上注协备案。
目前,云审计主要的问题是数据安全性和使用成本的降低。数据安全性包括数据本身存储的安全性,以及被审计单位信息是否可能被泄露给外界。云服务提供商应当采用类似金融系统的数据安全保护措施,才能使会计9币事务所放心地使用云审计服务。由行业主管部门参加云审计数据监管可能会是选择之一。
构造云审计的基本框架[1]
通过有关云审计基本概念和应用的初步描述以及分析比较,我们对云审计有了一个比较粗略的认识。当然,光靠一个概念原型和某些简单分析并不能真正发现云审计的价值。我们将进一步深入探讨,并试图提出几个创新的概念,以此为基础来构造云审计的基本框架。目前的审计建立在受托责任的假设之上,这一点不是现在需要考虑改变的,但也许将来有可能改变,因为现在的审计是建立在与当前社会结构相适应的概念框架上,未来社会架构如何发展,审计(如果届时还有审计的话)也将随之而发展变化。但对现阶段的云审计来说,首先,审计过程和受托责任的概念将会得到进一步的延伸。目前的审计主要基于某一特定的审计者承担全部的审计工作(过程)并承担全部的审计责任,而云审计将有所突破,会有一个笔者称之为云过程和云责任的概念来描述。其次,技术层面上,审计数据的存储和分析是基于特定的程序和特定的物理介质,云审计的数据都会通过云来实现,因而数据安全必须得到保障。第三,云审计面向所有的会计师事务所,也就是说云审计是一种公共云计算。
云审计,为是了一使个各更种为审严计格资的源系(人、信息、硬件及程序等)都能通过云计算来协同运作,我们在构造云审计之前,首先得有一个行业性的准则和技术规范来明确云审计的相关规则,比如云过程,数据安全准则,风险控制与云责任。这些概念到目前为止,尚处于原型阶段,准确的定义有待今后的研究进一步确定。由于数据安全(可参考C0S0相关内容以及fCAEW 于1994年发布的FRAG21/94号报告中的相关内容)、风险控制(可参考COSO的“企业风险管理” 2003)等概念我们已经有一定的认知,因此在这里,我们简单引入云过程(审计过程的延伸)和云责任(受托责任的延伸)的概念。这是云审计同传统审计理念的重大区别,也可以说是一个概念创新。同时,从实施层面来讲,这也是云审计同很多大所(包括四大)正在或已经实现的网络协同审计的一个本质区别,尽管两者都采用了类似的群组协作和网络技术。
(一)如何理解云过程
一个审计过程系由指定的会计师事务所承担全部审计程序并出具报告的过程。从法律的角度来看,注册会计师在审计过程的各个阶段都会有相应的法律责任。特别是当我们在云审计中有意地将审计过程这个概念加以延伸的情况下,我们需要行业主管部门能给审计过程一个比较权威的定义,以便界定云审计过程可能的法律问题。
简单地说,云过程是指由出具报告的会计师事务所承担数据信息封装(即报告),在这个过程中,允许不同的会计师事务所按照准.m.USEl法律责任的界定参与数据信息封装子过程(即某一特定的资产负债项目或分部报告)。因此,云过程是传统意义上的审计过程的概念延伸,而传统意义上的审计过程是云过程的一个子集。
客户委托一个具名的会计师事务所进行审计,这是目前通常的做法。在云审计下,一个云过程将允许客户委托一组会计师事务所对其年报进行审计(因此还要具体研究在多对一审计时如何同客户签订审计委托书,以及相应的法律责任如何界定),从而,根据约定的法律责任和实际承担的审计项目(数据信息子过程床确定对客户的集体责任。因此,云过程可以直观地理解为多对一的审计(相对应的是目前的一对一审计)过程。由于云过程基于云审计的平台,无论被审计单位规模多大,都可以在云审计平台下集合为数众多的审计人员和技术支持来应对。在云审计平台上,中小规模会计师事务所既能对当前四大的垄断构成实质性的挑战,又能为被审计单位提供更高质量的审计报告,同时还可为报告的使用者提供更高的审计信用(多个会计师事务所参与审计使得赔偿能力大大提高了,投资人的实际损失将会大大降低。由于有了云计算技术支持,多对一的审计过程将很可能取代目前一对一的审计过程,因为比起一对一的过程.云审计将更独立、更可靠,因而也更为客户所信赖。
(二)如何理解云责任
在云审计下,审计程序是由第三方维护的,相关的数据可以由第三方维护,也可以由云过程下的所有事务所共同维护。因此,必须考虑审计责任在云审计的平台下如何体现。这里无法提出一个非常精准的概念,但总的原则是,参与审计的会计 币事务所不得因审计方式的变更而减轻或规避应承担的审计责任,包括违保证金制度和强制性项目质量保险值得进一步考虑,需要对此进行专门研究,以准确定义云责任及是否可行。这也是云审计能否成功实现的关键之一。
由于云过程允许不同的会计师事务所参与同一个审计过程,按照经济学的解释,相当于风险外部 眭,风险外部性会使得执业质量高的会计师事务所有可能承担本应由执业质量较低的其他会计师事务所在审计过程中所产生的风险。由此,有关云责任下的风险博弈问题产生了,我们需要深入研究才能给出比较明确的结论,而且这种研究可能更多地要运用经济学、博弈论以及其他数量分析的手段,而不能仅仅依靠审计准则的规范约束。但我们至少可以确信,在多对一的审计模式下,信息交换、信息处理及报告一定比一对一的审计要相对公开、透明,特别是在风险充分博弈的条件下,各参与审计的事务所将最终承担与其所担任审计过程相对应的审计责任,以达到风险均衡。
综合以上对云过程和云责任的粗略描述,云审计同网络审计(通过互联网实现审计项目协同)有着本质区别,多对~ 的审计模式将有助于真正实现审计的社会责任属性,即基于公众利益的独立审计。
当然,一个长期以来困扰着执业界的难题便是如何在审计中保持足够的独立性,无论这种独立是形式上的还是实质性的。一对一的审计过程往往会由于利益驱动导致审计人员过于倾向与被审计单位相一致的立场。面对激烈的市场竞争,“购买会计原则”已经成为执业界难以回避的尴尬,而且“只要会计师的工作与客户管理当局密切相关并且由客户支付公费,完全的独立就只能被认为是一种理想”(现代审计原理与实务,沈小南,1993)因此,尽管在现阶段我们不寄希望于通过云过程与云责任的约束来达到真正的超然独立 但相比较一对一的审计而言,云审计可以达到更高的独立性是毫无疑问的。由此,笔者认为,云审计的基本框架应当至少包括以下三部分:(1)制定云审计的相关准则和技术标准;(2)定义具体的云过程;(3)定义具体的与云过程对应的云责任。
在不同的商业环境下,云审计可能有不同的属性,可以是纯商业化的私有云审计平台,也可以是由行业主管部门牵头组建的公共云审计平台,但无论哪种属性,云审计的基本框架应当主要包括上面总结的三部分,当然,这里的标准是开放性的,如果有足够的理论和事实证明需要更多的组成部分,那也是完全可能的。
