基于云计算环境下的企业管理信息系统将成为下一代 ERP 系统的发展趋势,企业信息系统不再是信息孤岛,通过云计算供应商提供的信息服务,有利于审计数据的采集。ERP 系统的有效运行有助于企业实现规范化管理,也产生了一些内部控制审计问题。国外最早提供云计算平台服务的是弹性计算云,Google 是国外云计算应用比较成功的案例,国内主要有阿里云、百度云、新浪 SAE、盛大云等云计算供应商。2009 年中石化和 IBM合作研发云项目,开始着手于 ERP 系统的全面升级,与云计算平台衔接,跨越两个数据云端。云端 ERP 系统的审计手段与技术方法发生了翻天覆地的变化,风险导向控制显得尤为重要。大数据时代下的 ERP 系统虽然在云端服务器解决了数据共享和信息及时性问题,但数据存在安全威胁,仍会出现故障,如 AmazonS3 的 downtime 事件。云计算环境下的ERP 审计风险主要是重大错报风险,包括系统固有风险和内部控制风险。本文重点针对系统固有风险,研究云计算环境下的 ERP 审计应对措施。
一、云计算环境下的 ERP数据存储分析
云环境下采取内部数据外包的形式进行存储,将数据存放在云端“DBMS”加密数据库中。应用程序和操作系统中调用加 / 解密函数实现 DBMS 数据库加密功能,如实行PostgreSQl 表级存储数据库加密,采用 Gost 加密算法,由 64 位分组和 256 位密钥组成。内部数据外包存储主要思想是 ERP 系统内部发生经济业务时,形成文件代码或字段,经加密组件处理后实时存储在云端。实施审计工作时,审计人员通过企业授权对存储文件解密,解密成功则允许取数操作,否则拒绝。审计人员通过比对分析 ERP 内部存储数据与云端加密数据是否存在差异,一致则很大程度上说明经济业务情况属实;否则进一步取证或实施替代性程序验证哪一数据更可靠。根据不同企业的需求,在审计模块加入适用的预留审计线索,保存在固定的磁性介质中,将其存储在不同于 ERP 服务器的另一台云端审计服务器中,则审计人员可以直接从云审计服务器中调取审计线索,开展审计工作,此模式主要优点如下:
第一,提升了企业 ERP 系统中业务数据的安全性能。数据被篡改将影响整个 ERP 系统的信息真实性,且极不易被发现,直接加大了审计风险。云服务商提供的业务数据较为可靠,有助于审计人员实施针对性审计工作,既可避免黑客篡改 ERP 数据导致的审计风险,又可提高审计质量及效率。此模式下的审计业务是通过比对和分析企业ERP 系统和云计算服务器的数据,针对性审计差异经济业务,重点放在审计云中获取差异性证据上,通过顺查和逆查等方式寻求差异的根源,得出主体数据还是附体数据被篡改的结论,在此基础上开展审计后续工作,这样可降低系统固有风险,项目审计工作结束后,将相关证据材料提交被审计单位。
第二,保证了审计证据的获得。根据行业性质设置审计线索参数,加大 ERP 模式下审计线索的关注,使审计人员在查找审计线索时有据可依。目前有学者涉及 ERP 系统在线审计研究,如于洪波等,为 ERP 在线审计技术的实现提供了理论性指导,该理论可应用在云计算中。实施在线审计的原理是经济业务发生时,在 ERP 系统中预先留下审计线索,实时地通过授权码传输到云端审计线索存储的磁性介质中,不但可以在实施审计工作时取得可靠证据,还为审计人员随时实施在线审计创造了条件,提升了企业管理水平,保证了审计证据的有效性。
第三,降低了审计风险。内部数据外包存储模式提高了系统的安全可靠性,可以降低系统固有风险;预留审计线索保证了审计证据的有效性,可以提高审计证据质量,降低审计风险;审计过程中实施的实质性程序,则能降低抽查风险,抽查风险受人为因素影响,由审计人员的专业胜任能力和自身知识系统的综合业务素质决定。因此,在抽查风险一定的情况下,建设云计算环境下的审计系统可以降低固有风险和控制风险。
二、云计算环境下的 ERP审计应对措施
国外的审计软件主要有 TeamMate、IDEA、Pentana等,我国审计软件类型多样化,常用审计软件有 EAS、审计数据采集与分析 2.0 等。TeamMate 软件系统实行集成式无纸策略,功能强大,集成的审计套件主要包括 TeamRisk(风险评估系统)、TeamEWP(电子工作底稿)、TeamCentral(数据库),消除了电子文件不连贯的相关障碍,提高了审计人员的工作效率。国内审计软件基本满足 ERP 系统下的审计业务要求,主要采用的审计方法有系统辅助法、流程追溯法、实时审计法和循环测试法。使用这些辅助审计技术方法时,还应结合检查文件、记录、询问、函证、重新计算、程序分析等传统审计技术方法,对财务和非财务数据进行审计,着重于财务相关的数据审查。云计算环境下的审计软件功能应在风险控制方面加强固有风险和内部控制风险审计。云计算环境下的审计模式应是 ISA 模块融入ERP 系统中,通过授权直接在云端采集共享的实时数据实施审计工作。设计云计算环境下的审计体系时,把准则及变更数据等放在云端及时更新,将会计云和审计云实现对接,审计云按照审计准则设计,可以及时地调整财务信息,云计算环境下的审计信息将更为可靠。
首先,完善云审计下的软件需求功能。研发审计软件应借助社会或政府的力量征询内部审计、社会审计及国家审计人员的意见,收集业务中获取审计证据的建议,统计不同审计人员所提要求,将意见整理移交技术部分析可行性,最终融合现有的审计软件纳入云服务器中研发,从而降低审计软件翻新成本。将所有审计工作流程实现自动化改革,云计算下是可行的。确保审计软件数据处理功能的正确性,采用人机结合的方法实施审计工作,虽然电子底稿和审计报告都可以由云审计服务器自动生成,但计算机依据程序自动运行,可能出现代码紊乱或意外情况,需要审计人员二次把关,根据分工权限审核相关业务的信息。
其次,不局限于财务系统,实现全方位审计。云计算下的整个 ERP 系统纳入审计软件电子审核范围,将审计软件嫁接在云计算环境下的 ERP 系统上,实现云中 ERP 系统的在线审计。把云审计服务器和云计算服务器通过端口连接后,降低云端的控制风险,在经营过程中加强经济业务的控制,进行审计线索追踪,备注到云审计服务器作为预留审计线索,到年终审计时,审计人员根据审计计划设置审计项目,操作整个业务流程。
最后,开发云审计环境下的内部控制测试功能---审计风险测评,设置固有风险、控制风险及抽查风险参数,对权限进行合理性分析;用程序对云计算环境下 ERP 系统的安全性和风险性进行评估。直接利用数据间的勾稽关系,把结果导入审计风险测评模块,系统自动评价审计的固有风险、控制风险和抽查风险。针对系统分析指标形成初步的内部控制评价书,将书面证据打印,经审计人员审核完善后报项目负责人,负责人确认无误后存档,向被审单位提交年终审计报告和内部控制评价报告。
三、结束语
云计算下的 ERP 系统正在迅速发展。本文着重探讨了降低审计风险的云审计对策,主要从国家审计准则体系的指引、企业的内控责任和审计人才的培养三个方面入手,探讨还不够完善,比如审计软件的研发和审计准则的规范性文件还需要进一步的改进。审计质量和审计风险问题,主要从审计软件功能、云计算环境下的 ERP 审计模式及审计人员专业知识的培训三个方面进行讨论,建议从云中 ERP 系统安全性、审计软件的合理性以及审计程序的有效性三个方面进行改进设计,重点向国际审计准则靠拢。云计算环境下的 ERP 系统一旦成功上线,将是一把威力无穷的“双刃剑”.它解决了繁琐复杂的传统手工操作问题,但也继承了不少 ERP 系统的安全问题。我们有理由相信,随着国家审计准则和理论的不断完善,加上实务界云端服务器的应用指导,新的云审计革命即将来临。未来大数据环境下的审计目标是值得研究的重点之一,应根据我国国情从审计准则体系的设计抓起,严格按照审计准则执行审计工作,并将准则嵌入云审计服务器,同时,加强政府、社会和相关利益者对企业的监督力度。
【主要参考文献】
[1]特别关注:会计 + 云计算 =“云会计”[J].中国总会计师,2012(7):26-28.
[2]段吴琼,刘锦芳。运用 ERP 系统进行销售和收款流程审计[J].财会月刊,2005(11):30-31.
[3]景保玉。中外对比:国内云计算平台的三大特点[DB/OL].
[4]百度百科。云计算平台[DB/OL].
[5]梁彪。云计算下的数据存储安全可证明性综述[J].计算机应用研究,2012(7):2416-2421.
[6]王正飞,汪卫,施伯乐,等。外包数据库中数据加密的设计和实现[J].计算机工程与应用,2010(28):141-145.
[7]于洪波。ERP 环境下在线审计方法探讨[J].会计之友,2012(9):83-88.
