“云审计”实现审计全覆盖路径探索
——基于“云审计”平台的构建

（南京审计学院审计与会计学院江苏南京211815）

随着“审计风暴”的爆发和国家“十二五”规划的进程，审计尤其是政府审计正面临着新的挑战。一方面信息的公开化，使公众对审计的需求不断增加，对审计的期望不断提高；另一方面，面对审计所发现的问题以及审计的覆盖程度，公众并不满意。审计机构如何能够更好地满足公众的需求，对公众的诉求做出快速的反应，成为当今政府审计机构研究的重要问题。随着云计算的出现，审计人员逐渐把目光由传统审计方式转向了拥有新生命力的云审计模式。

一、云审计的概念

关于云审计的概念定义与范围界定一直存在着很大的争议。有学者认为云审计就是联网审计的一种发展，是审计人员利用网络等信息化手段实现数据的传输、分析与合作。也有学者把云计算对于审计的影响比作一个世纪前的电力革命。云计算之于云审计就如同公共电厂之于用电个体。通过云计算、云存储来实现审计资源的优化配置，使得审计资源像电力资源一样公开流通，降低审计成本。也有学者简单地把云审计定义为 “审计+云计算=云审计”。

事实上，云审计一词自出现以来其具体含义也一直是业界摸索、规范的研究领域。究竟什么是云审计？现阶段很难做出一个明确的限定，因为云计算本就是不断丰富的概念，基于云计算的云审计会随着云计算概念深入、成熟而得到发展、丰富，甚至导致云审计方法与思想的变革。综合来看，被研究人员广泛接受的观点是云审计是利用互联网的云计算概念，进行审计资源的整合与协调。云审计是对未来审计模式的一种猜想，不仅仅是云计算在审计领域的运用，更包括了随着科技尤其是信息技术的发展，审计模式不断创新的一种理念，一种思考方向。

二、云审计的实现模式

（一）构建云审计平台

云审计最常被学术界讨论的实现模式即搭建一个平台。数据的云储存的实施过程中，可以使各类审计信息数字化得以实现，充分调动审计人员、审计技术方法以及审计硬件设施的协调配合、统筹规划，真正做到在审计资源得到充分利用的同时促进信息交流与共享。云审计实现了时间、空间上的自由，打破了固有审计模式的局限。审计人员可以在云审计时代下按照自己的时间、习惯与审计方式合理、自由地安排自己的审计工作，同时充分享受云审计所带来的高效率，不再为数据的存储、共享或者工作的衔接而伤神，所需要关注的只是审计任务本身。“云审计”模型见下图。

（二）云审计安全问题及应对措施

提到云计算或者云审计，首先想到的就是安全建设问题。数据安全性是互联网时代首要考虑的问题。数据安全包括数据本身存储的安全以及向第三方泄露的可能性。一旦将“私有云”数据传送到“公共云”，就有可能使数据脱离审计人员的掌控，发生数据泄漏的可能性就会加大，并会带来一系列的审计风险与法律责任。云审计在实施过程中主要存在以下问题。

1.数据存储与审查权限性问题。云审计在技术上依托于网络设备，无论是储存审计机构自己的数据还是被审计单位的数据，保密性和数据安全性问题都是首要考虑的问题。在没有查阅权限限制或者限制不足的情况下，传送至云端的相关数据可能会脱离审计人员的掌控，致使安全隐患的产生，使得数据安全性降低。非法入侵、越权操作或是存储介质故障等都直接威胁到云审计数据安全。

针对数据安全与保密问题，通常选择与服务器供应商进行沟通洽谈的方式来规避风险。洽谈内容主要围绕供应商的自身权限与运行维护等方面的承诺，更多的是技术上的指导与权限的转移。就如同家用防盗门通常会有两种钥匙，B钥匙使用则会导致A钥匙失效。现在的服务器设计更多倾向于引入这样的思想，服务器一旦移交，触发机制则会启动，供应商自身权限则受到限制，数据使用权限由使用方进行管理、监督。

“云审计”模型

2.云审计实施接口问题。实现传统审计与云审计顺利接口对于审计人员和被审计单位都是一次大的转变。因此，如何让审计人员更快地熟悉云审计以及如何让被审计单位理解这一转变是云审计平台建设必须解决的。审计机构与被审计单位的沟通是为了确保被审计单位清楚地了解审计机构将如何实现这一转变，以及为了成功地实现转变需要得到怎样的帮助。最重要的是，要让被审计单位了解这个转变对于他们有什么好处，以及审计机构是在尽最大可能选择了最佳的应用，以保证更好地完成审计监督。为此可以先找一些审计风险水平较低的被审计单位作为云审计的前期试验对象，以了解云审计的工作性能。这就可以在不损害被审计单位利益的同时让审计人员先熟悉云审计的审计过程、审计责任及要注意的问题。

3.强迫审计公开问题。审计公开一直是被研究者广泛争论的问题，审计人员与被审计对象存储在云内的信息只要涉嫌民事或者刑事诉讼，很大可能会被要求强迫公开。对于社会审计来说，政府部门可以用相关法律来获取事务所存储在云服务器中的数据，这似乎给政府的相关工作提供了便利，但会计师事务所也会意识到，客户存储在云计算中的数据可能会被强制披露给政府或民事诉讼当事人。因此，会计师事务所必定会考虑向云服务器上传敏感信息的影响，最终的博弈结果将会是云审计平台的构建形同虚设。会计师事务所掌握的敏感信息并不会上传云服务器，这将违背建设云审计平台的初衷。

从注册会计师针对上市公司的财务报表合法、公允进行审计来看，目前更多的上市公司为了使得股票价值得以体现，为公司争取更多的股民，更加乐于接受信息公开。只要被审计对象可以了解并理解云审计平台的作用并接受，审计单位与被审计方的双赢最终是会实现的。

4.网络宽带与运营费用问题。云审计依托于云计算，而云计算依托于网络建设。被审计单位数据与审计人员数据的传输都依赖于网络进行上传下载，带宽就会在很大程度上影响到审计的效率，频繁的数据存取及海量的信息交换都会影响网络的通畅和数据传递的及时性。因此，网络宽带的负载能力以及运营费用是制约云审计的一大瓶颈。带宽问题解决的困难在于审计的成本。建立云审计平台是一个长期的、深远的项目，资金的投入直接决定了云审计平台的效率，带宽可以由网络运营商负责保证。虽然国内的网络运营商垄断现象严重，但是从目前情况来看，电信的市场已被移动和联通以低价抢占了一部分，未来出现寡头的可能性相对很大。在寡头市场上，寻求相对的合理价格、平稳带宽是可以实现的。

三、云审计实现审计全覆盖

（一）审计全覆盖的概念

审计全覆盖是刘家义审计长在全国审计工作会议上首次指出的，并高度评价审计全覆盖是提高审计监督层次和水平的重要途径。审计全覆盖是指在一定期间内，通过科学安排审计计划，合理选择审计方式，使所有监督对象在一定时间内都能接受审计监督，形成周期性的动态审计全覆盖。除同级财政预算的每年审计外，审计署对审计覆盖给出了指导性意见，如5年轮审一次和重点预算单位每年必审等。然而由于审计人员数量等制约了审计力量，使得审计覆盖率仍然难以达到公共所期望的水平。从郑石桥2012年《审计频度、审计处罚和审计效果》一文的统计数据来看，江苏省审计覆盖率仅为7.37%，审计周期为6.5年。这与我们一直倡导的加大审计力度、提高审计效果相悖。如果按照现行的审计力度或者审计手段，要想达到这样的要求仍是一项艰巨的任务。

（二）云审计实现审计全覆盖

1.创新理念。推行云审计中数据中心的审计理念，即破除传统审计模式下审计信息化仅是审计工作辅助手段的固有思想，通过云审计平台的便捷，把数据分析范围从单一部门或行业拓展至关联单位或行业，将工作重点从侧重于数据筛选和分析拓展至系统审计和多维分析，将审计目标从异常线索检索拓展至系统安全检测。云审计数据中心要义是以云审计平台为依托构建审计信息库，对信息库实行数据库管理。审计过程不再实行单一项目审计，而是通过云审计平台的数据库分类进行数据加工。以某一专项审计目标为出发点，在专项审计伊始首先采集数据、研究数据，并利用云审计平台中各部门、各行业信息数据之间的横向关联特性和不同年度信息数据之间的纵向追溯特性，通过系统分析、多维对比，实现对被审计单位业务内容的全面把握、对权力控制薄弱环节的重点监控、对资金或物资分配过程中舞弊行为多发环节的精确定位，实现对整个行业资源的全面检测与自动预警，推动审计全覆盖的目标顺利实施。

2.建设云审计平台，突破“信息孤岛”的局限。虽然信息化审计能够有效拓展审计范围，精确定位审计疑点，但也经常遭遇“信息孤岛”的限制。当前，金融系统、大型国企以及政府各部门汇集了关系国计民生和社会发展等多方面的数据，但很多数据以“信息孤岛”形式散存在行业、企业或部门内部，相互之间缺乏共享和互联。云审计平台的构建充分发挥主观能动性，实现了大数据平台建设，并可以通过多专业数据比对、多视角分析、持续性跟踪，突破现有审计项目经常面临的行业和部门限制，加大对隐蔽型犯罪案件线索的追查力度，提高审计的战斗力。

3.系统性关联审计。加强系统审计，揭示关键行业、关键部门的系统性风险隐患。信息化管理在提高社会管理现代化、精细化程度的同时，也带来了整个行业的系统性风险。审计部门应加大对金融、大型国企等行业或单位信息系统安全性的审计力度，重点关注系统设计的完整性和合规性、系统运行的安全性、系统风险的可控性、系统运算程序的科学性和严谨性等问题，从顶层设计的角度，揭示可能存在的行业风险、防范部门利益固化导致的管理弊端，维护社会公众利益，充分发挥审计“免疫系统”功能。

4.电子政务、电子商务接轨。云审计平台建设中预留了电子政务、电子商务接口，便于商界、政府及时上传自身数据，加强数据库构建，推动政务公开、企业管理数据公开，提升行政管理效率。政府审计在信息系统审计和绩效审计方面均进行了有效尝试，但是尚未全面开展针对信息系统建设项目的绩效审计工作。各个政府部门大力建设的信息系统工程，如税务系统的“金税”工程、公安系统的“金盾”工程等，均使用了大量公共资金，且各部门之间由于缺乏统筹协调，重复投入和共享不足问题并存。在云审计平台构建后，通过电子政务、电子商务接轨，可通过平台直接评价政府各项平台的绩效，进行财政资金的实施监督。关注项目立项的科学性、合规性，评价项目绩效，维护公共资金使用效益。此外，可以关注系统功能实现状况，推动已投建项目规范运行，减少“建而不用”、“应用效能不足”等问题的发生，进一步推进政务公开和社会管理现代化进程。