论云计算的发展及会计审计的挑战

云计算发展对会计的新挑战

会计理论、会计技术的每一次重大变革，都是伴随着商业模式的重大变革而发生的。[5]在云计算商业模式下，终端用户将自己的数据、资源交给云计算服务提供商管理，这些数据或资源因此脱离了终端用户的控制进入了其他用户的系统。因而，就产生了数据或资源等资产的确认、收入区分与确认、成本计量与配比、会计凭证的合法性以及云会计应用等问题。1.云计算对数据或资源等资产确认的挑战。资产是指过去的交易、事项形成并由企业拥有或控制的资源，该资源预期会给企业带来经济效益。在云计算的商业模式下，终端用户的数据和资源离开用户的控制进入数据中心运营或云计算服务提供商的系统，改变了传统模式下数据或资源存在于终端用户的事实，这就动摇了资产确认的“存在性”认定。这使得提供数据或资源的公司在会计期末确认数据或资源等资产的价值时，在技术上增加了难度。此外，缺乏有效的确保用户数据或资源安全的网络框架体系，存储于云中的数据或资源完全依靠云计算服务提供商的保障，存在着资产安全的巨大的不确定性。例如，存储和处理数据或资源的服务提供商倒闭，那么存储于云中的数据或资源就有可能丢失。还有，云计算服务提供商迁移或删除旧数据或资源会导致用户的数据或资源遗失或被删除。另外，一旦发生因自然灾害导致服务提供商的服务器毁损，也有可能导致用户数据或资源丢失。因此，在云计算商业模式下，改变了传统上对数据或资源等资产的确认模式，使传统的资产确认、计量模式受到很大的冲击。2.云计算对收入区分与确认的挑战。云计算产业将会带动软件、信息服务、互联网、服务器、存储、网络设备、数据中心等行业的发展，可以说是对整个计算机、互联网产业链的重构。云计算改变了传统的商业模式，导致交易各个环节均须重构，因此必须进行新的交易安排。从事云计算业务的各种市场主体，如云（即数据资源）服务商、平台提供商、应用软件服务商乃至终端用户之间，随着商业模式的变化而发生各种交易关系，通常这些交易关系在现有的制度框架下难以进行，应根据交易的新特点，更新交易的内涵，并对交易制度进行新的设计。如苹果应用软件商店和软件开发者之间的SDK(SoftwareDevelopmentKit,即软件开发工具包)和分成模式，颠覆了传统收入模式。未来云计算的发展还将孕育出更多的模式，云计算产业的发展成熟将会更新很多会计概念。因此，如何区分云计算服务提供商与其相关产业的收入，如何确认云计算服务提供商的收入，这是急需研究和解决的问题。事实上，对于云计算服务提供商来说，要让其列示出业务中哪些是来自云计算的收入及其在收入中的比重，目前基本上没有哪个公司能理清楚，更不可能对云计算的收入进行及时、正确的确认与计量，其中的原因可能是多方面的。阿里巴巴集团云计算总裁王坚表示，云计算业务将在今年或者明年达到盈亏平衡，但他无法分清云计算业务的收入数额以及在整个阿里巴巴集团总营业收入中的比重。浪潮集团高级副总裁王恩东表示，很难把云计算收入与浪潮现在的业务收入分隔开来。微软全球高级副总裁张亚勤也表示，现在很难分离出云计算的业务收入，我们把云计算放在每一个部门里面，我们叫做云优化了一切，包括windows8、服务器、私有云、IaaS等等，现在很难把它分成是单独的云。2012年微软部署的战略就是要将所有东西云化，则公司所有的收入都可以认为是云收入。3.云计算对成本计量与配比的挑战。云计算服务提供商既难以对云计算的收入进行及时、正确的确认，又难以对云计算的成本进行及时、正确的计量与配比。云计算服务提供商普遍认为，云计算的成本包括的内容很多，而其中的一些成本可能是意想不到的。虽然这些成本未必会降低云计算服务提供商从云计算中获得的实际商业价值，但它们会给云服务的总成本带来影响。从目前来看，云计算的成本主要包括：（1）迁移和存储数据的费用。把大量数据迁移到公共云上并长期存储它们，每年都需要花费资源，而目前许多企业可能还没有意识到这些费用。（2）数据在云端的存储费用。数据存储在云端，每个月仍要支付相应的费用。如果没有完全理解云计算的商业模式，那么，就根本想不到有这些成本。（3）集成多家提供商的应用程序的费用。云计算在集成方面存在着隐性成本，如果没有认识到这一点，最后对云计算的成本计量就可能是不全面的。（4）测试软件的费用。将软件迁移到云端之前先要测试软件，这也会带来不可预见的成本。（5）租金和水电设施的费用。如果使用云服务，像租金和水电设施这些基本的基础设施费用都会计入成本。（6）准备成本。在云计算服务普遍实施期间，应采取措施来管理固有风险和意想不到的成本。以上云计算的成本，有的费用是发生在基础设施建设时期，有的费用是发生在运行时期，有的费用则会发生在未来，这对成本与收入的配比带来了严峻的挑战。4.云计算对提供合法、有效会计凭证的挑战。在云计算的商业模式下，以在线服务为核心，依靠增值服务、功能应用或广告获利。在比较典型的云计算商业模式，如苹果的Appstore平台、谷歌的搜索引擎平台、腾讯的即时通讯平台上，软件或初始服务均以低价或免费向用户提供，真正的赢利点在于增值服务和广告。但是，由于网络环境的开放性、虚拟性、交互性、匿名性，使传统会计业务确认、计量和报告需要提供合法、有效的会计凭证的模式受到了严重的挑战。在云计算的商业模式下，终端用户的大量数据资源存储在“云”上，能够取得相关合法、有效的会计凭证的可能性很小，证据随时可能销声匿迹的风险客观存在。在云计算环境下，取得会计凭证的程序可能发生的问题也很多，表现最为突出的是会计凭证的取得和管辖问题。电子证据本身就非常复杂，云计算使会计凭证的取证更加困难。在云计算模式下，数据通过互联网存储和交付，并且在全球范围内进行流动，数据的拥有者不能控制数据的流动，也无法掌握数据的存储位置。同时，每个国家都拥有自己的法律及管理要求，在云计算环境下，必须取得会计凭证来确认、计量会计业务的模式受到了严峻的挑战，取得会计凭证和会计凭证管辖权问题不仅涉及到判断数据存储位置的问题，还会涉及到国际交流与合作的问题。5.云计算在会计领域的应用所面临的挑战。云计算在会计领域有着不容忽略的应用价值，如云报销、云存货管理等，但是云计算在会计领域的应用却十分缓慢。[6]云计算在会计领域广泛应用的最大挑战是云计算的安全问题。目前，我国自主研发的财务会计信息化云计算平台尚处于起步阶段。我国大约有85％的公司不敢将公司内的会计和经济数据放在公共云上，主要是考虑会计和经济数据的安全性。虽然从技术角度看，云计算服务提供商一般都能提供较高的数据安全机制，但这并不能保证公司的会计与经济数据绝对安全。公司的会计和经济数据的泄露，对公司的生存和发展来说无疑是一个致命打击。因此，如何进一步加强云计算的安全性和消除公司对云计算隐患的担忧，还有待于云计算系统的不断完善。此外，云平台建设的技术与资金起点较高，研发的风险较大，开发周期较长，也是制约云计算在会计领域广泛应用的原因所在。

云计算发展对审计的新挑战

审计技术、审计方法的每一次重大改进，都是随着商业模式的重大变革而催生的。当越来越多的企业提供云计算服务，越来越多的企业采用云计算服务时，作为提供鉴证服务的审计，面临着严峻的挑战。1.评审云计算内部控制所面临的挑战。云计算数据处理与计算机处理有许多不同，从而产生了新的内部控制内容和方式，研究云计算环境下内部控制的评审内容及其方法，无疑对开展云审计和审计质量的控制都具有重要意义。在实施完对云计算内部控制评审后，审计人员要对内部控制作出评价，以确定内部控制是否真正发挥作用。如果认为内部控制没有得到执行，或执行结果表明内部控制存在重大隐患，此时，审计人员应指出审计中是否依赖已有的内部控制。另外，审计人员应当提出一个概括反映信息系统内部控制弱点的属性和程度的总结报告，并将报告列入审计工作底稿。目前，在云计算建设过程中，存在着重视硬件和业务流程建设，而忽视内部控制建设的现象。其结果是导致数据的丢失和泄露、云计算资源的滥用和非法使用、不安全的服务接口和API、恶意的内部用户、共享云设施带来的安全隔离问题、账户和服务的劫持问题、不能被用户感知的风险态势等问题的发生。云计算中的内部控制问题已经成为制约其顺利发展的主要瓶颈问题，是用户质疑和担忧的主要原因。评审云计算内部控制的目标是对云计算内部控制的有效性进行评审，即对IaaS、PaaS和SaaS各个层面的内部控制有效性进行评审，以确认云计算内部控制的有效性。但是，云计算环境是一个多个用户共享云设施的环境，它所面临的内部控制是一个综合系统，很难对云计算中单个企业进行内部控制评审。与云计算相关的企业很多，而审计组织是接受委托或委派进行审计的，审计组织和审计人员不可能对云计算中的所有企业内部控制进行评审后得出被审计企业内部控制的有效性。在云计算环境下，对职责分离的要求可能很难适应。在一般的信息处理环境下，通过职责分离控制程序将不同责任分派给不同的人，如将活动划分为一定的交易授权、在会计记录中记录交易、维护和保管资产，这些控制是可行和有用的。但随着云计算的介入，许多由计算机来做的工作可以由云计算代替，云计算可使多个企业同时由一个公共云在执行业务事件时实时地记录业务数据。这对职责分离概念提出了挑战：此时企业如何保持有效的内部控制制度？审计人员又如何评审内部控制的有效性？2.建设云审计平台所面临的挑战。要实施云审计，审计组织应建设云审计平台。建设云审计平台是一项基础性的工程，对促进云计算的发展具有重要意义。通过建设云审计平台，可以提供综合分析云计算服务的风险，客观评价云计算服务平台的数据安全保护能力、业务持续性保证能力以及平台与服务合规性建设水平，为云计算服务的参与者准确理解云服务的安全风险、持续风险以及合规风险，合理调整云服务建设及应用提供决策支持。云审计平台主要包括云审计用户服务平台和云审计企业服务平台，既可提供面向云计算服务提供商的信息审计服务，提升云平台的安全保障能力；又可提供面向云计算服务用户的信息监管服务，消除用户对云计算服务平台安全性、可信性、合规性以及持续性等方面能力的担忧，提升云计算用户的信任度。云审计平台应通过自主研究开发的一套云审计通用数据接口，提供针对云服务平台和云数据中心的统一的接口规范和命名协议，建立一套开放、可扩展和安全的接口与技术方法。云计算服务提供者在云审计平台中定义并加载这些接口，就可以实现与云审计的无缝结合，云审计平台利用这些接口可以实时地对云计算相关业务单位进行全面的审计，让用户了解在云平台上发生的一切，可以有效地控制数据在云中面临的风险。而在我国的现实情况下，要在各个不同的审计组织中建设云审计平台，不仅面临着因审计经费不足而需要投入大量资金建设的严峻挑战，而且还面临着审计人员的知识水平不能满足要求和能力不能适应工作需要的严峻挑战。3.实施信息安全审计所面临的挑战。从云计算本身带来的风险来说，当前主要考虑两个层面：一是云基础设施的安全性，二是数据的安全性。因此，实施与云计算相关的信息安全审计应主要从这两个方面加以审计。审计云基础设施的安全性，是基于把数据资源放在云中，用户会担心数据的存储和使用的安全性。[7]除了应审计数据的安全备份之外，还应审计云平台自身的效率。审计数据的安全性，包括审计信息系统的安全性。云计算数据和信息系统的安全性对于运行维护、安全事件追溯、取证调查等方面来说极为重要，云计算系统应通过建立安全系统，进行统一、完整的分析，通过对操作、维护等各类云计算系统日志的安全检查，提高对违规事件的事后审查能力。首先，应建立完善的云计算系统日志记录及审核机制，日志的内容应包括用户ID、操作日期及时间、操作内容、操作是否成功等。其次，应采取有效措施，确保云计算用户活动日志的准确性和完整性。云计算所有重要系统的时钟时间应保持同步，以真实记录系统访问及操作情况，及时将云计算平台生成的各类日志备份到专用日志服务器或安全介质内，采用监控软件保证用户活动日志的一致性与完整性。目前在我国，云审计还处于刚刚起步的阶段，云计算本身还比较飘渺，审计人员要实施云计算信息安全审计，将面临着重大的挑战。同时，云审计只有伴随着云基础设施的发展而不断发展，如果云审计没有跟上云计算平台和云审计平台的建设，会给云审计带来巨大的审计风险。4.搜集审计证据所面临的挑战。审计人员在审计过程中，应根据充分、适当的审计证据发表审计意见，出具审计报告。但是，在云计算环境下，审计人员面临难以搜集到充分、适当的审计证据的重大挑战。在云计算环境下，审计人员能搜集到的审计证据大多是电子证据。电子证据本身就非常复杂，云计算使取证更加困难。[8]首先，在云计算环境下，数据通过互联网存储和交付，审计证据也只能在互联网络中取得。在一般情况下，数据在全球范围内进行流动，数据的拥有者不能控制数据的流动，也无法掌握数据的存储位置。审计人员在进行云审计时，可能无法确切地知道作为审计证据的数据到底被托管在什么地方，甚至不知道这些作为审计证据的数据存放在哪个国家。其次，作为审计证据的数据在云中通常是处在云计算服务提供商和其他客户的数据共享的环境中，云计算服务提供商提供的证据，有可能导致数据完全无法使用，也可能使数据的可用性变得相当复杂。再次，审计人员常使用调查方法搜集审计证据。但在云计算环境下，审计人员特别难以进行调查取证，因为多个客户的日志记录和数据可能存放在同一地点，也可能遍布在不断变化的一组主机和数据中心。如果不能得到合同的承诺，以支持特定形式的调查，那么审计人员依靠调查方法搜集审计证据将是不可能的。云计算同时为多个企业提供服务，同时记录了多个企业使用云计算的情况，当某一个企业需要被审计时，这种多个企业使用云计算的日志被记录在一起的情况增加了审计调查的难度，甚至有可能存在审计调查无法进行的风险。5.实施审计程序所面临的挑战。云计算应用的核心是信任，信任是云计算应用的基础。但是，信任却是有待验证的。企业应该让自身、管理者、客户、股东及其他利益相关者清楚地知道，其如何选择、实施、安排和管理云计算应用，如何降低风险并消除未来的不确定因素的。当前的云计算环境充满了不确定因素，如不进行审计，则只能完全相信云计算的服务供应商提供的各类信息。因此，针对云计算应用减少其不确定性的方法之一，就是实施有效的审计程序。但是，在云计算现实环境下，全球主要的云计算服务提供商都不允许其客户委托第三方对其提供的云服务进行审计。至少在未来相对长的一段时间内，客户只能信赖云计算服务提供商的合规性表述。只有企业与当地规模较小的云计算服务提供商合作，也许有可能允许他们自行委托第三方进行审计。因此，审计组织实施客观、公正的审计还存在障碍，实施有效的审计程序还面临巨大的挑战。

本文作者：秦荣生工作单位：北京国家会计学院