云會計環(huán)境下基于COBIT標準的大數(shù)據(jù)審計研究

程平　白沂　賀灝璁

【摘 要】 “互聯(lián)網(wǎng)+”、云會計環(huán)境下的大數(shù)據(jù)審計能夠為審計業(yè)務的高效開展提供重要支撐。在分析云會計環(huán)境下大數(shù)據(jù)審計需要關注要點的基礎上，構建了基于云會計的大數(shù)據(jù)審計框架體系，然后引入COBIT5.0標準建立了云會計下大數(shù)據(jù)審計的流程框架，為云會計下實施大數(shù)據(jù)審計提供了理論支持與實務指導。

【關鍵詞】 互聯(lián)網(wǎng)+； 云會計； COBIT標準； 大數(shù)據(jù)審計

中圖分類號：F232；C931 文獻標識碼：A 文章編號：1004-5937（2016）04-0125-04

一、引言

隨著移動互聯(lián)網(wǎng)、云計算等現(xiàn)代信息技術的快速發(fā)展與應用，成本更低、效率更高的“云會計”相較于傳統(tǒng)的會計信息化建設模式，其“按需購買”的服務模式不僅讓云會計具有易更新維護、易與外部信息系統(tǒng)協(xié)同以及為大數(shù)據(jù)決策提供支撐等優(yōu)勢（程平、何雪峰，2011），還有著極大的靈活性。數(shù)據(jù)審計是應對信息化時代背景下審計工作的審計覆蓋面和工作深度給審計人員帶來的雙重壓力的一種有效手段（高浩瑋，2010）?！盎ヂ?lián)網(wǎng)+”時代的到來，使得具有規(guī)模大、種類多、處理速度快、價值密度低等特征的大數(shù)據(jù)（劉智慧、張泉靈，2014）成為企業(yè)業(yè)務的重要呈現(xiàn)形式。云會計下的大數(shù)據(jù)審計是以云端數(shù)據(jù)庫中被審計業(yè)務的相關大數(shù)據(jù)為審計對象，在確保對云會計平臺信息系統(tǒng)內部控制測評的基礎上，收集審計證據(jù)，構建審計模型，最終實現(xiàn)審計目標的審計方式。

數(shù)據(jù)審計從誕生伊始就受到了業(yè)界的廣泛關注。秦志光等（2015）針對云存儲環(huán)境下的動態(tài)數(shù)據(jù)完整性問題，提出了行之有效的數(shù)據(jù)審計解決方案。秦榮生（2014）在大數(shù)據(jù)背景下探討了云計算技術對于審計的影響，并從各個方面對這種影響進行了詮釋。黃榮榮等（2009）從實際問題出發(fā)，采用多版本技術和數(shù)據(jù)審計來解決電子數(shù)據(jù)的審計跟蹤記錄問題。高浩瑋（2012）就數(shù)據(jù)審計的流程通過實例進行了解釋說明，明確指出了數(shù)據(jù)審計的優(yōu)點和現(xiàn)階段數(shù)據(jù)審計存在的問題。陳偉（2015）從數(shù)據(jù)審計原理出發(fā)，分析了電子數(shù)據(jù)審計模擬實驗室的重要性和主要功能。

從上述文獻可以發(fā)現(xiàn)，現(xiàn)有數(shù)據(jù)審計的大部分理論和實務研究還主要集中在大數(shù)據(jù)、云計算等信息技術對數(shù)據(jù)審計流程、電子證據(jù)、數(shù)據(jù)特征等方面的影響，現(xiàn)有文獻還較少涉及到大數(shù)據(jù)審計的框架與實施問題。有鑒于此，本文立足于“互聯(lián)網(wǎng)+”時代云會計下大數(shù)據(jù)審計的特點，引入國際通用的信息系統(tǒng)審計標準——信息及相關技術控制目標（Control Objectives for Information and related Technology，COBIT5.0）（金文、張金城，2005），建立了云會計下基于COBIT5.0的大數(shù)據(jù)審計框架體系，并對云會計下大數(shù)據(jù)審計的實施進行了深入的分析。

二、云會計環(huán)境下大數(shù)據(jù)審計的關注要點

（一）數(shù)據(jù)獲取

傳統(tǒng)的數(shù)據(jù)審計在獲得業(yè)務相關數(shù)據(jù)時，會面臨被審計業(yè)務不同工作節(jié)點的會計系統(tǒng)、數(shù)據(jù)端口和軟件平臺的不兼容問題，無法將業(yè)務相關數(shù)據(jù)高效、完整地整合在一起，這就會對審計效率和審計質量產生較大的影響。在大數(shù)據(jù)時代，云會計平臺可以提供統(tǒng)一的數(shù)據(jù)接口，有效地解決數(shù)據(jù)獲取問題，使得作為大數(shù)據(jù)審計對象的被審計業(yè)務相關數(shù)據(jù)能夠得到有效梳理與整合。云會計還能使目標業(yè)務的財務數(shù)據(jù)和業(yè)務數(shù)據(jù)有效地融合起來，使得獲取的數(shù)據(jù)能夠更加準確和動態(tài)地反映目標業(yè)務，更容易建立財務與業(yè)務之間的勾稽關系。

（二）數(shù)據(jù)質量

會計數(shù)據(jù)作為AIS的輸出，其數(shù)據(jù)質量很大程度上受到AIS可信性的影響?；谠茣嬈脚_獲取的數(shù)據(jù)能夠較好地滿足大數(shù)據(jù)審計的要求，但是獲取數(shù)據(jù)的質量是否能夠滿足被目標業(yè)務的審計要求還要取決于云會計AIS的可信性?；诮⒌脑茣婣IS可信性評價標準（程平、李寧，2014），通過確定云會計AIS的可信水平，可以對數(shù)據(jù)質量有一個較為準確的評價和相對權威的反映。

（三）數(shù)據(jù)清洗

大數(shù)據(jù)具有規(guī)模大、種類多、處理速度快以及價值密度低的4V特點，因此大部分數(shù)據(jù)對于被審計業(yè)務而言無法作為審計證據(jù)。為了提高審計工作的有效性，數(shù)據(jù)清洗是其中重要的一環(huán)。對于數(shù)據(jù)清洗必須圍繞著被審計業(yè)務確定能夠作為審計證據(jù)的相關數(shù)據(jù)，通過抽取、轉換和加載三個步驟將大數(shù)據(jù)轉換為審計過程中有價值的數(shù)據(jù)。

三、基于云會計的大數(shù)據(jù)審計框架體系構建

（一）云會計與COBIT5.0標準分析

COBIT由信息系統(tǒng)審計與控制基金會（Information System Audit and Control Association，ISACA）于1996年制定，融合了ISO/IEC 38500、ISO/IEC 31000、ITIL、CMMI、PNBOK、COSO等國際標準，目前已經成為全球公認的最具有權威性的安全與信息技術管理和控制標準。COBIT立足于信息技術的控制目標，將IT準則維、IT資源維和IT過程維結合成三維一體的完整體系，滿足控制目標有效性、高效性、機密性、完整性、可用性、符合性以及信息可靠性的要求。目前，該標準已經從審計師的工具逐漸被業(yè)界人士所接受并成為了IT治理框架。

云會計作為基于互聯(lián)網(wǎng)的一種新型會計工作模式，也會涉及到IT治理，其控制目標和COBIT相一致。云會計AIS可信性相較于一般信息技術的控制目標具有更多內涵，COBIT在其應用過程中必須和具體實際相結合，才能較好地運用于云會計下的大數(shù)據(jù)審計過程。

（二）基于云會計的大數(shù)據(jù)審計框架體系

云會計下的大數(shù)據(jù)審計框架體系是一個包含數(shù)據(jù)審計目標維、數(shù)據(jù)審計制度維、數(shù)據(jù)業(yè)務流程維的三維框架體系，如圖1所示。其中審計目標維參照COBIT5.0中信息標準，主要反映了數(shù)據(jù)審計作為一種審計手段在不同性質審計運用過程中的不同側重點，包括有效性、效率性、保密性、完整性、可用性、符合性和可靠性等方面的具體目標。審計證據(jù)維主要包含云會計下大數(shù)據(jù)審計所獲取的財務數(shù)據(jù)和業(yè)務數(shù)據(jù)兩個方面的證據(jù)，兩者之間的勾稽關系是大數(shù)據(jù)審計中的重要內容之一。審計流程維表示云會計下大數(shù)據(jù)審計的4個基本流程。

四、基于COBIT5.0的大數(shù)據(jù)審計實施

大數(shù)據(jù)審計是針對某特定業(yè)務的相關大數(shù)據(jù)進行審計的一種技術手段。云會計下的大數(shù)據(jù)審計由于環(huán)境的變化，使得IT審計手段和IT治理有了緊密的聯(lián)系。COBIT的框架從整體上把企業(yè)對IT標準的要求和對IT資源的需求緊密地融入到各個IT過程中（王會金、劉國城，2009），而云會計下的大數(shù)據(jù)審計也要求將目標業(yè)務的財務大數(shù)據(jù)和業(yè)務大數(shù)據(jù)結合起來用于對審計目標進行審計，因此本文參考COBIT5.0標準中4個管理域32個控制項目的處理過程，針對大數(shù)據(jù)審計三維框架體系中的審計流程維，設計了基于COBIT5.0標準的大數(shù)據(jù)審計組成結構，如圖2所示。

在圖2中，審計指南是對大數(shù)據(jù)審計提供一整套審計標準，為大數(shù)據(jù)審計與業(yè)務的有效契合提供保障。流程能力模型是用來確定大數(shù)據(jù)審計過程中的每一個流程是否符合國際標準和審計準則，其流程能力是否能夠達成目標；關鍵審計因素表示大數(shù)據(jù)審計過程中最需要審計人員關注的、重要程度最高的審計證據(jù)，其中包含了財務數(shù)據(jù)與業(yè)務數(shù)據(jù)之間的勾稽關系等；風險控制模型是對大數(shù)據(jù)審計中出現(xiàn)的審計風險提供標準的控制流程；云會計AIS可信性評估是確保云會計下AIS輸出數(shù)據(jù)的質量符合審計要求；審計知識庫由每次審計后的知識積累形成，為未來的審計提供參考與決策支持。審計指南用于指導大數(shù)據(jù)審計的實施，強調大數(shù)據(jù)審計過程中財務與業(yè)務之間的協(xié)同，增強審計的合規(guī)性。云會計下的大數(shù)據(jù)審計流程主要包括數(shù)據(jù)獲取、數(shù)據(jù)清洗、實施審計程序、出具審計結果四個步驟，其流程框架如圖3所示。

（一）數(shù)據(jù)獲取

云會計下的大數(shù)據(jù)審計首先需要獲取相關數(shù)據(jù)。在云會計平臺下，被審計業(yè)務在數(shù)據(jù)獲取過程中可能牽涉到多個業(yè)務系統(tǒng)、多個關聯(lián)企業(yè)或者機構，但云會計的財務業(yè)務一體化設計和所提供的數(shù)據(jù)接口可以有效地獲取來自被審計業(yè)務不同業(yè)務節(jié)點的結構化數(shù)據(jù)、半結構化數(shù)據(jù)和非結構化數(shù)據(jù)。

（二）數(shù)據(jù)清洗

大數(shù)據(jù)審計的主要目的是通過數(shù)據(jù)審計發(fā)現(xiàn)業(yè)務中存在的問題。由于大數(shù)據(jù)具有的4V特點，使得大部分數(shù)據(jù)無法直接成為重要審計證據(jù)，因此需要對數(shù)據(jù)進行清洗。運用Hadoop、HPCC、Storm、Apache Drill、RapidMiner以及Pentaho BI等大數(shù)據(jù)處理技術，經過抽取、轉換和加載三個步驟，從大數(shù)據(jù)中找到與審計業(yè)務相關的數(shù)據(jù)，再經過后續(xù)審計程序得到審計證據(jù)，進而可以發(fā)現(xiàn)被審計業(yè)務中所存在的問題。

（三）實施審計程序

參照COBIT5.0控制項目的處理過程，在云會計下大數(shù)據(jù)審計過程中，通過流程能力模型、關鍵審計因素、風險控制模型、云會計AIS可信評估以及審計知識庫組成的審計指南將對審計的全過程進行監(jiān)控指導。云會計下的大數(shù)據(jù)審計包括制定審計目標、風險評估、制定審計計劃、設計審計程序、實施審計程序、執(zhí)行審計程序和出具審計結果等內容，其中實施審計程序是重點。實施審計程序主要包括數(shù)據(jù)分析、建立分析模型、建立中間表、平衡檢驗等四個方面的內容。

1.數(shù)據(jù)分析

數(shù)據(jù)分析是指根據(jù)相關政策和法律法規(guī)按照審計業(yè)務需求對清洗后的數(shù)據(jù)建立數(shù)據(jù)分析模型。首先套用標準表，然后按照需求對會計科目進行重新分類，并按照財務數(shù)據(jù)和業(yè)務數(shù)據(jù)之間的勾稽關系進行相關操作。數(shù)據(jù)分析過程可以通過日志文件或工具對操作過程進行有效的記錄。

2.建立分析模型

完成數(shù)據(jù)分析后，基于數(shù)據(jù)分析后整理出來的標準表，可以根據(jù)法律法規(guī)、業(yè)務邏輯關系、勾稽關系和審計師的職業(yè)經驗建立審計業(yè)務分析模型。

3.建立中間表

經過數(shù)據(jù)分析步驟處理過的數(shù)據(jù)往往是按照被審計業(yè)務的核算要求、財務數(shù)據(jù)與業(yè)務數(shù)據(jù)之間的勾稽關系以及業(yè)務流程進行處理后的標準表數(shù)據(jù)，該數(shù)據(jù)還需要進一步處理才能成為直接的審計證據(jù)。從標準數(shù)據(jù)中抽取有價值的數(shù)據(jù)，用以生成能夠滿足審計目的的數(shù)據(jù)表，然后對該表進行分析。在數(shù)據(jù)審計過程中，最終數(shù)據(jù)表的生成并不是一蹴而就的，期間可能會生成一個或者多個過渡性質的數(shù)據(jù)中間表。從審計流程上來看，首先是對清洗后數(shù)據(jù)的歸納整理，其次便是以達成審計目的為目標抽取標準表數(shù)據(jù)生成各種中間表，最后對中間表做進一步處理，生成用以完成最后分析的數(shù)據(jù)表。

4.平衡檢驗

中間表是通過對已整理數(shù)據(jù)按照需求的再選擇建立的，如果在這過程中出現(xiàn)了諸如關鍵字重復等問題導致對清洗后數(shù)據(jù)的分類整理工作或者對已整理數(shù)據(jù)的抽取工作出現(xiàn)了差錯，那么得出的后續(xù)數(shù)據(jù)表就不準確。平衡檢驗的作用就是解決數(shù)據(jù)分析過程當中所出現(xiàn)的此類差錯，其所檢驗的平衡關系包括“期間收支余平衡”“期間資金平衡”“期間分配平衡”（高浩瑋，2010）等。完成平衡檢驗之后，根據(jù)分析模型采用某種方式方法對最后生成的數(shù)據(jù)表進行具體分析，根據(jù)分析得出的結果發(fā)現(xiàn)相關的審計線索。

（四）出具審計結果

根據(jù)發(fā)現(xiàn)的審計證據(jù)，結合最初制定的審計目標、風險評估以及目標業(yè)務背景，出具最后的審計結果，并根據(jù)審計結果所發(fā)現(xiàn)的問題向被審計業(yè)務所屬單位管理層出具審計意見和提供建議，在與管理層進行溝通后取得其對管理建議的相關回復。

【參考文獻】

[1] 程平，何雪峰.“云會計”在中小企業(yè)會計信息化中的應用[J].重慶理工大學學報（社會科學），2011（1）：55-60.

[2] 高浩瑋.基于高校財務信息平臺的數(shù)據(jù)審計模式及實務探究[J].審計研究，2010（6）：59-65.

[3] 劉智慧，張泉靈.大數(shù)據(jù)技術研究綜述[J].浙江大學學報（工學版），2014，48（6）：957-972.

[4] 秦志光，王士雨，趙洋，等.云存儲服務的動態(tài)數(shù)據(jù)完整性審計方案[J].計算機研究與發(fā)展，2015，52（10）：2192-2199.

[5] 秦榮生.大數(shù)據(jù)、云計算技術對審計的影響研究[J].審計研究，2014（6）：23-28.

[6] 黃榮榮，舒繼武，陳康，等.基于連續(xù)多版本的可審計文件系統(tǒng)[J].計算機研究與發(fā)展，2009，46（11）：1830-1838.

[7] 陳偉. 電子數(shù)據(jù)審計模擬實驗室研究[J].中國注冊會計師，2015，7（11）：86-92.

[8] 金文，張金城.基于COBIT的信息系統(tǒng)管理、控制域審計的模型構建研究[J].審計研究，2005（4）：75-79.

[9] 程平，李寧.云會計產品可信性評價指標體系與等級模型[J].會計之友，2014（18）：123-126.

[10] 許金葉，許琳.大數(shù)據(jù)審計：物聯(lián)網(wǎng)建設的制度保障[J].會計之友，2013（11）：118-121.

[11] 王會金，劉國城.COBIT模型及其在中觀經濟主體信息系統(tǒng)審計中的運用[J]，審計研究，2009（1）：64-68.