基于COBIT5.0框架的云计费信息技术审计系统_会计论文

云会计下基于COBIT5.0框架的IT审计体系，本文主要内容关键词为：框架论文,体系论文,会计论文，此文献不代表本站观点，内容供学术参考，文章仅供参考阅读下载。

      从计算机的出现到大数据、云计算的兴起，随着社会信息化程度的不断加深，信息技术的发展孕育了“按需定制，高效低成本”的云会计服务模式。企业可以因此而避免会计信息系统的基础设施以及设施运营投资，只需要按照使用的资源承担相应费用。IT审计（Information Technology Audit）是一个获取并评价证据，以判断计算机系统是否能够保证资产安全、数据完整以及有效地利用组织的资源实现组织目标的过程。云会计的应用虽然为企业带来了易于系统协同和大数据决策等优势，但是分布式的系统和广泛的网络访问等却给传统IT审计带来了新的挑战。同时，企业也对云会计下信息资产的安全性、信息系统的有效性以及数据的真实性提出了新的要求。

      在会计信息化发展过程中，IT审计已成为企业会计信息化的重要组成部分，同时也是会计信息化的内在需要。IT审计在我国起步较晚，由最早的理论框架构建及对传统审计的影响分析逐步向具体行业适用性的研究过渡，多集中于银行体系内IT审计的应用和电力、地铁等大型企业IT审计的构建。史可山等人指出企业对IT依存度增高导致信息系统风险增大，IT治理的引入和IT审计的实施势在必行。

      纵观上述文献，IT审计的研究还处于起步阶段，理论研究较为丰富，领域应用方面还有待开拓，尤其是在大数据、云会计时代到来之际，新的服务模式已经为IT审计提出了新的要求与挑战，亟需一种新的IT审计体系提供整体性的解决方案。自1996年COBIT（Control Objectives for Information and Related Technology）提出至今已更新至第五个版本，其已经逐步演变成为全球学者公认的最先进、最权威的安全与信息技术管理和控制的标准体系，同时也是国际通用的IT审计标准。通过对COBIT4.1的扩展和与ISACA Val、ITIL等其他重要框架的整合，COBIT5.0提供一种全面的框架，以支持组织实现其IT治理和管理的目标，其对各种机构的广泛适应性和对云计算等技术应用的综合考虑在面向云会计的IT审计中具有重要的指导意义与借鉴价值。但自COBIT5.0发布以来，其在理论比较分析和内部控制方面成果较多，对其如何在IT审计和其他领域的研究还有待填补。鉴于此，本文通过分析云会计对IT审计带来的挑战，结合COBIT5.0框架构建了一个面向云会计的IT审计体系框架，并在此基础上提出了云会计下IT审计实施步骤的关键环节，该框架和关键环节可以对IT审计在面向云会计的实施中提供指导与规范。

      二、云会计对IT审计的挑战

      云会计的应用使终端用户可以按需使用可扩展和弹性的会计服务资源，最小化管理成本和运营成本，同时，云供应商掌握了企业的数据和会计信息系统环境控制权。面对云会计下复杂的信息化环境，分布式的系统、云供应商的参与和数据的多样化为审计环境、审计方法和审计证据等方面带来不可忽视的挑战。

      （一）审计环境的复杂性

      传统的IT审计主要是利用企业型工具对企业系统进行集中处理。但是，在云会计环境下，分布式系统的出现虽然为企业解决了信息孤岛问题，却为IT审计提出了新的要求。不仅如此，云计算环境下广泛的网络访问，例如移动设备和虚拟环境的出现不仅使审计环境发生了变化，而且拓展了审计的范围与边界。此外，由于云会计“按需定制”和“可拓展”的特性，系统的弹性较强，易发生变化，且各子系统之间的协同性增加了勾稽关系的复杂性，这也增加了审计环境的复杂化和动态化。

      （二）审计方法的局限性

      云供应商对企业数据与会计信息系统控制权的掌握使对供应商的IT审计变得至关重要，这也意味着IT审计面临着来自供应商的压力。一方面，需要从云供应商那里获取多大程度的透明度缺乏有效的量化手段，例如云供应商系统的访问权限与企业内部流程访问权限不同。另一方面，传统的控制测试方法，例如询问、检查和穿行测试等，尤其是过多依靠人工的测试方法，在面对云会计下复杂的交易网络与海量数据时往往难以保证审计证据的真实完整性。因此，伴随着大数据、云会计时代的到来，传统审计方法的局限性要求更为系统性、技术性的方法来予以解决。

      （三）审计数据的多样性

      与传统的审计证据不同，云会计环境下的审计证据不仅来源更为广泛，而且种类更为多元。由于企业会计信息系统的基础设施和技术架构等均在云供应商处，因此，审计证据的来源既包括企业内部的业务系统等，也包括企业外部的云供应商以及第三方服务机构等。在证据的数据类型方面，传统单一的结构化数据已经难以满足审计的需求，结构化、半结构化和结构化的数据共同构成了云会计下审计证据的来源。此外，第三方机构的监督和评价等也为审计证据增添了新的关注内容。

      三、云会计下基于COBIT5.0框架的IT审计体系框架构建

      （一）COBIT5.0与云会计下IT审计的契合性

      COBIT由IT治理协会（ITGL）通过来自行业、学界及政府等各领域翘楚组成的专家组开发而来，融合了所有适当的技术和专业标准的最佳思想。COBIT5.0在COBIT4.1的基础上汲取了多种国际先进的IT治理标准与框架，以五项关键原则为核心，倡导“原则为基础、目标为导向、评价为手段、促进因素为载体”的新思想。

      作为国际认可度最高的IT审计准则，COBIT5.0覆盖了企业组织内所有的职能和流程，将IT治理整合进了企业治理之中，满足了IT审计对IT环境的要求。同时，充分考虑了利益相关者需求，利于实现资源与风险收益间的平衡。而且，COBIT5.0采用了整体全面的方法和整合式框架，明确区分了治理与管理贯穿于信息系统生命周期的全过程，有助于制定IT审计的整体解决方案。COBIT5.0改进了COBIT4.1的流程参考模型，将企业IT治理和管理划分为两大流程领域，增加了包括五个治理流程的治理域，在每个流程中对评价、指导和监控予以描述，而管理域包括与计划、构建、运行和监控责任范围相一致的四大领域，并提供端到端的1T覆盖，全面指导企业的IT治理。再者，目标级联为了构建企业目标、IT目标与促成因素目标的相互映射，结合平衡计分卡的财务、顾客、内部、学习和成长四大维度创立了IT平衡计分卡，从而实现多重目标的关联性，为企业创造IT价值的同时兼顾企业内外部利益相关者的利益。此外，COBIT还提供了信息系统的实施指南，主要描述了如何创造或建立合适的环境和促成因素、典型的实施触发点和难点以及生命周期的实施和不断改善。

      通过对COBIT5.0与IT审计契合性的分析，一方面，COBIT5.0可以为面向云会计的IT审计提供流程参考与标准借鉴；另一方面，云会计的服务模式和技术环境为IT审计体系框架的构建提供支持，结合我国相关法规政策，可以为面向云会计的IT审计提供理论参照与实践指导。

      （二）体系框架构建

      基于以上分析，本文吸收了COBIT5.0框架过程管理的理论与框架，结合云会计的应用特征，构建了COBIT5.O视角下面向云会计的过程体系框架，如图1所示。下面将具体阐述各流程的具体内容。

      

      1.制定审计目标

      IT审计不仅包括第三方机构对企业IT审计业务委托的承接，还包括企业内部审计部门对企业本身IT架构的审计。虽然这两种IT审计的性质不同，但都要首先进行对审计目的、内容和范围等事项的确定，并在组织内的适当层次得到同意和通过。审计的目标从宏观层面上要与企业目标和IT目标相适应，在业务层面上要明确与促成因素目标的映射关系与范围。在云会计环境下，无论IT审计的性质如何，可行性水平都是衡量IT审计的重要标准。因此在审计目标的制定中，必须融入可行性水平的目标级联，同企业目标、IT目标与促成因素目标一同构成对会计信息在系统内外流转的真实性、安全性和可靠性的保障，以满足企业内外与IT相关的利益相关者的需求，包括企业管理人员、政府机构和投资者等。

      2.评估审计风险

      在云会计环境下进行IT审计时，首先需要考虑企业未采用云会计之前可能面临的风险，例如业务应用程序通过云会计的软件即服务模式被托管在云中，其原有的风险并不会因为采用云会计模式而消失。其次，审计风险的来源随着云端的虚拟化向企业外部的云供应商转移，审计人员不但要针对企业进行审计，例如了解企业如何确保云供应商已经提供了必要的控制措施，还要对云供应商的资质、服务安全等方面进行评估和审核。因此，审计风险的评估必须一分为二。一方面针对企业的管理战略、IT管理框架、组织架构和内部控制等进行了解和评价，另一方面针对云供应商的信息系统构建、云服务安全和云服务水平协议等进行关注和评估。通过定量和定性分析相结合的方法，确定来自企业本身和云供应商的威胁，并进行进一步的脆弱性评估，如图2所示。

      

      3.编制审计计划

      根据风险评估的结果，审计人员也需要从企业自身和云供应商两个方面编制审计计划。从对企业审计的角度，主要考虑企业对云会计服务的业务需求和当前采用的云会计模式，以及企业自身IT治理架构、组织机制和人力资源等情况；从对云供应商审计的角度，需要考虑云供应商的云服务水平协议，包括可用性、性能、响应时间和问题解决时间，以及安全方面的控制措施等，如业务连续性的保障措施、灾难恢复和数据存储与隔离等。通过对双方的调查与了解，制定总体审计计划和具体审计计划，并通过编制审计程序表确定审计计划所需要的审计程序性质、审计实施时间和范围，并做详细的梳理与说明，对所需的人力物力资源等方面进行详细规划。

      4.实施审计程序

      按照信息系统控制的例行划分，本文将云会计下的信息系统控制分为一般控制和应用控制，并分别设计了具体的审计程序。

      对一般控制而言，由于云会计模式下企业的基础设施、网络、操作系统、中间件、数据库管理系统和应用程序都有可能从云供应商处租赁，因此一般控制的审计程序和实施必须从企业和云供应商两方面考虑。一般控制的关键风险控制点主要涉及信息系统安全、IT组织与职责划分、系统开发与变更管理、IT运营控制、网络安全和基础设施变更等。针对云供应商而言，控制活动主要包括系统安全设置和访问管理、物理访问和安全监控、定期备份与容灾演练，以及云会计边界划分与网络配置等。针对企业用户而言，控制活动主要包括信息安全技术如防火墙的使用、服务与测试审批、新服务评估与审批以及账号的权限授权等。

      对应用控制而言，在云会计环境下，依托COBIT5.0中IT治理与企业目标相结合的理念，在IT审计中主要体现为业务流程与应用控制流程的融合。具体而言，主要包括管理业务流程的控制、业务处理授权和不相容职责分离的控制、会计相关信息的输入控制、系统处理控制和输出过程的控制。

      5.收集审计证据

      收集审计证据是执行IT审计的重要组成部分，在云会计环境下，模块结构进行多重组合给审计证据的收集带来了一定阻碍，同时，多租户模式更导致云供应商处的审计线索错综复杂，如果依靠人力或传统的集中式系统审计模式很难保障审计证据的有效性。因此，审计人员可以在询问、检查、查询和函证等传统方法的基础上，引入白盒测试、黑盒测试、聚类抽样和数据挖掘等计算机取证方法，建立分布式审计系统，充分运用云计算、大数据等技术，使审计大数据化和智能化，减少人力资源的运用，使审计人员更好地投入到审计决策与分析中。同时，保障审计证据具有可信性、充分性、适当性和相关性以及审计线索的可追溯性。

      6.出具审计报告

      在对获取的审计证据进行整理、分析和评价的基础上，结合企业目标、IT治理框架，在保障云会计可行性需求和风险度量的基础上，形成相应的审计结论，并出具审计报告，同时向被审计单位发出审计建议。最后，通过与被审计单位的交流与沟通，在考虑被审计单位回复的基础上对改进效果进行追踪。

      四、云会计下IT审计实施步骤的关键环节

      在云会计时代，无论是对于企业内部审计还是第三方外部审计而言，业务的组成部分和相关职能都与企业自建信息系统类似，只是由不同的实体负责，导致风险和数据来源发生了改变。因此，审计人员仍然需要了解业务程序所采用的数据输入措施、软件变更控制和业务连续性保障措施等。考虑云会计环境的特殊性，在IT审计实施过程中仍需注意以下关键环节，以保障审计结果的可信性。

      （一）移动互联

      移动互联的蓬勃发展成为了“互联网+”时代的一个重要标志，并推动了云会计的进步与应用。无线局域网和智能移动设备的广泛使用对企业信息资产安全带来了威胁，因此对其的审计也成为面向云会计的IT审计的重点关注环节。无线局域网和智能移动设备具有四个核心要素，包括无线网络网关、客户端、管理软件以及有线网络网关与无线客户端之间的无线通信方式。因此，审计重点就在于对无线局域网和移动设备网关、客户端、管理和通信的审核。具体测试步骤包括技术审计和运行审计，例如代码版本变更流程管理、密码验证周期管理和无线点访问探测等，也包括终端问题跟踪、无线系统监控和灾难回复流程评估。

      （二）数据安全

      云会计自诞生以来，数据安全一直是企业担心的首要问题，因此，面向云会计的IT审计实施过程中对数据安全的关注也是其关键环节。由于云供应商拥有对多个企业的数据控制权，因此很可能存在多用户数据混合存储的现象。对云供应商数据隔离的审计是保障数据安全的首要控制措施。其次，数据在传输和存储时的安全需要对云供应商使用加密方法，如算法或密匙进行审核和评估。人为因素也是导致数据安全风险的重要原因，因而确定和评价云供应商处的人员对数据的访问权限和对用户内部网络及系统的逻辑访问流程至关重要。最后，企业制定相关的数据保密政策等是否在云供应商处得到执行也是需要审计人员关注的问题。此外，针对攻击的控制措施，物理安全和身份管理，包括入侵检测、日志管理和分布式系统的账户管理也是IT审计实施的关键。

      （三）运营过程

      在云会计环境下，IT审计除了技术审计外，还包括企业和云供应商运营过程的审计。一方面，监测服务水平协议等有利于保障云会计服务的质量；另一方面，确保云供应商具有足够的容灾能力才能保障云会计运行的持续性。

      （四）法律问题

      如果企业因自身决策需求或其他需要而实施相关调查时，存储在云供应商处的日志数据等就尤为重要，因此审计人员需要评估企业从云供应商处获取数据的权力和能力。不仅如此，数据存储是否遵循隐私法或应用系统是否持续受到跟踪，且使用符合安全协议规定也是需要注意的。

      目前，云会计和IT审计在我国都处于发展阶段，面向云会计的IT审计体系框架的构建既对云会计的推广与应用具有促进作用，又对IT审计的发展和实践具有指导意义。本文在剖析了云会计的出现给IT审计带来的挑战后，通过分析COBIT5.0与IT审计的契合性，构建了云会计下基于COBIT5.0框架的IT审计框架，并分析了IT审计实施过程中的重点关注环节，有利于从理论与实践两方面共同保障面向云会计的IT审计实施的有效性，帮助企业实现IT价值，推动云会计与IT审计的协同发展。

标签：会计论文;  审计证据论文;  大数据论文;  审计计划论文;  审计软件论文;  会计与审计论文;  安全审计论文;  审计目标论文;  控制环境论文;  审计质量论文;  审计流程论文;  管理审计论文;  审计准则论文;  框架论文;  it审计论文;  it治理论文;