對(duì)專項(xiàng)領(lǐng)域的考慮

行業(yè)信息化專題

編者按

在信息化環(huán)境下，企業(yè)運(yùn)用信息技術(shù)編制財(cái)務(wù)報(bào)表，設(shè)計(jì)和執(zhí)行內(nèi)部控制。注冊會(huì)計(jì)師在對(duì)企業(yè)的財(cái)務(wù)報(bào)表進(jìn)行審計(jì)時(shí)，必須考慮信息技術(shù)的影響。同時(shí)，信息化也對(duì)注冊會(huì)計(jì)師的審計(jì)技術(shù)和方法帶來革命性變化。為了幫助注冊會(huì)計(jì)師應(yīng)對(duì)信息化帶來的挑戰(zhàn)，中國注冊會(huì)計(jì)師協(xié)會(huì)資助普華永道中天會(huì)計(jì)師事務(wù)所研究編寫了《財(cái)務(wù)報(bào)表審計(jì)中對(duì)信息系統(tǒng)的考慮》一書，已由中國財(cái)政經(jīng)濟(jì)出版社出版。本刊約請作者加以摘編，分期連載，以饗讀者。

一、“互聯(lián)網(wǎng)+”時(shí)代的挑戰(zhàn)

（一）“互聯(lián)網(wǎng)+”時(shí)代的發(fā)展趨勢

通俗來說，“互聯(lián)網(wǎng)+”就是“互聯(lián)網(wǎng)+各個(gè)傳統(tǒng)行業(yè)”，但這并不是簡單的相加，而是利用信息通信技術(shù)以及互聯(lián)網(wǎng)平臺(tái)，讓互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)進(jìn)行深度融合，創(chuàng)造新的發(fā)展生態(tài)，從而推動(dòng)互聯(lián)網(wǎng)由消費(fèi)領(lǐng)域向生產(chǎn)領(lǐng)域拓展，加速提升產(chǎn)業(yè)發(fā)展水平，增強(qiáng)各行業(yè)創(chuàng)新能力，構(gòu)筑經(jīng)濟(jì)社會(huì)發(fā)展新優(yōu)勢和新動(dòng)能。它代表一種新的經(jīng)濟(jì)增長形態(tài)，即充分發(fā)揮互聯(lián)網(wǎng)在生產(chǎn)要素配置中的優(yōu)化和集成作用，將互聯(lián)網(wǎng)的創(chuàng)新成果深度融合于經(jīng)濟(jì)社會(huì)各領(lǐng)域之中，提升實(shí)體經(jīng)濟(jì)的創(chuàng)新力和生產(chǎn)力，形成更廣泛的以互聯(lián)網(wǎng)為基礎(chǔ)設(shè)施和實(shí)現(xiàn)工具的經(jīng)濟(jì)發(fā)展模式。

蓬勃發(fā)展的信息通信技術(shù)及互聯(lián)網(wǎng)平臺(tái)的應(yīng)用，正在以前所未有的速度和方式挑戰(zhàn)、改造甚至顛覆傳統(tǒng)的商業(yè)經(jīng)營運(yùn)作模式，為全社會(huì)信息共享和信息協(xié)作提供了無限空間。在信息科技浪潮的帶動(dòng)下，傳統(tǒng)企業(yè)紛紛“觸網(wǎng)”、“觸電”，在線上開展業(yè)務(wù)，紛紛利用“互聯(lián)網(wǎng)+”時(shí)代的技術(shù)進(jìn)步成果探索各自所在領(lǐng)域的垂直應(yīng)用并實(shí)踐創(chuàng)新；與此同時(shí)，“互聯(lián)網(wǎng)+”時(shí)代還催生了一大批第三方服務(wù)企業(yè)，即各類平臺(tái)服務(wù)商；他們本身并不直接生產(chǎn)商品或提供服務(wù)，而是專注于線上與線下的協(xié)作，實(shí)現(xiàn)供需雙方的對(duì)接，并通過各類增值服務(wù)實(shí)現(xiàn)盈利。

區(qū)別于傳統(tǒng)的商業(yè)經(jīng)營運(yùn)作模式，“互聯(lián)網(wǎng)+”時(shí)代的技術(shù)和應(yīng)用具有非常鮮明的特點(diǎn)，主要體現(xiàn)在以下幾點(diǎn)：

1.業(yè)務(wù)發(fā)展迅速且變化快。作為典型的受技術(shù)進(jìn)步驅(qū)動(dòng)、引領(lǐng)的商業(yè)經(jīng)營運(yùn)作模式，技術(shù)的進(jìn)步不僅創(chuàng)造了用戶需求，還在很大程度上確定了商業(yè)的規(guī)則。因此，業(yè)務(wù)模式的頻繁迭代試錯(cuò)、顛覆性的變革，以及業(yè)務(wù)量的爆發(fā)式增長已成為常態(tài)。

2.線上業(yè)務(wù)交易量巨大。特別是零售類的在線電子商務(wù)平臺(tái)，具備一定性價(jià)比的標(biāo)準(zhǔn)化產(chǎn)品或服務(wù)是理想交易對(duì)象。因此，“觸網(wǎng)”的業(yè)務(wù)體量巨大，增長迅猛。

3.高度依賴信息技術(shù)，包括高度定制化的信息系統(tǒng)?！盎ヂ?lián)網(wǎng)+”時(shí)代業(yè)務(wù)的開展，完全無法離開信息技術(shù)和信息系統(tǒng)的支撐。對(duì)于眾多傳統(tǒng)企業(yè)而言，開展線上業(yè)務(wù)的嘗試往往需要對(duì)其現(xiàn)有的傳統(tǒng)信息系統(tǒng)（如ERP系統(tǒng)）進(jìn)行數(shù)據(jù)接口改造；如果來自線上業(yè)務(wù)的流量巨大，那么信息技術(shù)基礎(chǔ)設(shè)施也有必要進(jìn)行升級(jí)。對(duì)于互聯(lián)網(wǎng)行業(yè)企業(yè)而言，則意味著量身定制自己的信息系統(tǒng)。事實(shí)上，互聯(lián)網(wǎng)企業(yè)多數(shù)自行建設(shè)核心業(yè)務(wù)系統(tǒng)，而非從外部購買現(xiàn)成的套裝軟件。

4.企業(yè)的業(yè)務(wù)運(yùn)營和經(jīng)營結(jié)果完全數(shù)字化，且未必具備實(shí)物形態(tài)。特別是對(duì)從事服務(wù)類業(yè)務(wù)的企業(yè)，例如網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)廣告投放等，其資產(chǎn)、負(fù)債、收入、成本等經(jīng)營結(jié)果等往往不存在與之對(duì)應(yīng)的實(shí)物形態(tài)，完全依賴信息系統(tǒng)中的記錄和輸出。

5.企業(yè)經(jīng)營突破時(shí)間和空間的束縛，開放程度更高。互聯(lián)網(wǎng)的便利性要求企業(yè)向消費(fèi)者、合作伙伴開放更多的信息，營造生態(tài)體系。這勢必影響企業(yè)的管理、流程、系統(tǒng)架構(gòu)以及基礎(chǔ)設(shè)施。

（二）“互聯(lián)網(wǎng)+”時(shí)代的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)

與傳統(tǒng)的商業(yè)經(jīng)營運(yùn)作模式相比，“觸網(wǎng)”、“觸電”給企業(yè)帶來的影響是根本性的。注冊會(huì)計(jì)師有必要充分了解、評(píng)估這些“互聯(lián)網(wǎng)+”時(shí)代的特性對(duì)被審計(jì)單位自身業(yè)務(wù)開展和財(cái)務(wù)報(bào)告編制的影響，并思考“互聯(lián)網(wǎng)+”時(shí)代特有的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)。

結(jié)合“互聯(lián)網(wǎng)+”時(shí)代的業(yè)務(wù)特點(diǎn)，其特有的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)考慮可以概括為以下幾點(diǎn)：

1.業(yè)務(wù)發(fā)展快，變革調(diào)整大，信息系統(tǒng)迭代頻繁，其開發(fā)、變更、系統(tǒng)處理邏輯出現(xiàn)差錯(cuò)等方面的固有風(fēng)險(xiǎn)水平較高。例如各種折扣、會(huì)員積分、虛擬等價(jià)物、促銷方式、合作渠道，交易、核算場景豐富，邏輯復(fù)雜，內(nèi)外對(duì)接要求高。

2.與傳統(tǒng)經(jīng)營方式相比，“互聯(lián)網(wǎng)+”時(shí)代的業(yè)務(wù)交易產(chǎn)生的數(shù)據(jù)量極大。對(duì)于海量的業(yè)務(wù)運(yùn)營數(shù)據(jù)，如果使用傳統(tǒng)的抽樣方法進(jìn)行審計(jì)，那么檢查風(fēng)險(xiǎn)勢必顯著升高。

3.業(yè)務(wù)核算高度依賴信息系統(tǒng)，而信息系統(tǒng)處理邏輯往往非常復(fù)雜且具有不可見性。例如，網(wǎng)絡(luò)廣告的投放業(yè)務(wù)，通常根據(jù)用戶端的點(diǎn)擊或廣告曝光展現(xiàn)的數(shù)據(jù)進(jìn)行廣告投放收入的確認(rèn)。這些信息都由信息系統(tǒng)自動(dòng)采集、記錄，并經(jīng)過反作弊引擎的分析、判定和修正，財(cái)務(wù)人員往往只是根據(jù)系統(tǒng)輸出的報(bào)表或記賬憑證進(jìn)行會(huì)計(jì)處理。這對(duì)注冊會(huì)計(jì)師的知識(shí)結(jié)構(gòu)、審計(jì)方法和審計(jì)工具構(gòu)成重大挑戰(zhàn)，檢查風(fēng)險(xiǎn)顯著升高。

4.事務(wù)處理完全電子化，甚至不具備任何實(shí)物形態(tài)，這對(duì)交易真實(shí)性、存在性的驗(yàn)證構(gòu)成重大挑戰(zhàn)。事實(shí)上，伴隨著“互聯(lián)網(wǎng)+”時(shí)代的蓬勃發(fā)展，形形色色的舞弊方式花樣翻新，“羊毛黨”橫行，各種刷單、刷流量、騙補(bǔ)貼等“薅羊毛”舞弊行為層出不窮，已然成為生態(tài)體系的頑疾。

5. 互聯(lián)網(wǎng)的開放性，使其威脅來源多樣化，更容易受到各類信息安全事故的沖擊和影響。敏感信息泄露、服務(wù)中斷、惡意網(wǎng)絡(luò)攻擊等事件高發(fā)，危及電子商務(wù)業(yè)務(wù)的正常開展。

（三）“互聯(lián)網(wǎng)+”時(shí)代的審計(jì)考慮

“互聯(lián)網(wǎng)+”時(shí)代的業(yè)務(wù)特點(diǎn)和審計(jì)風(fēng)險(xiǎn)，對(duì)審計(jì)工作的主體、線索類型、程序都產(chǎn)生了很大的影響，審計(jì)工作更加專業(yè)化、系統(tǒng)化，注冊會(huì)計(jì)師需要具備充分的會(huì)計(jì)審計(jì)、業(yè)務(wù)流程與內(nèi)部控制，以及信息技術(shù)領(lǐng)域的知識(shí)和技能，成長為復(fù)合型人才。在執(zhí)行審計(jì)工作時(shí)，注冊會(huì)計(jì)師需要充分關(guān)注并考慮以下事項(xiàng)。

首先是審計(jì)范圍的確定。如前所述，支撐“互聯(lián)網(wǎng)+”時(shí)代業(yè)務(wù)的信息系統(tǒng)龐大而繁雜，且處于頻繁的迭代更新中。被審計(jì)單位究竟部署了哪些系統(tǒng)或模塊？這些系統(tǒng)或模塊的功能是什么？系統(tǒng)或模塊之間的關(guān)聯(lián)、配合、分工情況如何？系統(tǒng)或模塊與業(yè)務(wù)流程的映射關(guān)系是怎樣的？數(shù)據(jù)流在系統(tǒng)或模塊之間的走向如何？經(jīng)過哪些處理和加工，最終生成什么信息？這些信息與企業(yè)財(cái)務(wù)報(bào)告的關(guān)系是什么？清晰的企業(yè)應(yīng)用系統(tǒng)架構(gòu)是執(zhí)行“互聯(lián)網(wǎng)+”時(shí)代審計(jì)工作的基礎(chǔ)。只有基于對(duì)被審計(jì)單位應(yīng)用系統(tǒng)架構(gòu)的了解，注冊會(huì)計(jì)師才能做出適當(dāng)?shù)膶徲?jì)范圍判斷，杜絕遺漏重要的信息系統(tǒng)或模塊。

其次是收入確認(rèn)的認(rèn)定。由于信息系統(tǒng)的存在，“互聯(lián)網(wǎng)+”時(shí)代的業(yè)務(wù)運(yùn)作已經(jīng)實(shí)現(xiàn)電子化，并且很可能并不具備任何實(shí)物形態(tài)。因此，會(huì)計(jì)人員往往只能依據(jù)信息系統(tǒng)輸出的報(bào)表或記賬憑證進(jìn)行會(huì)計(jì)核算，特別是收入確認(rèn)的核算。那么，系統(tǒng)生成報(bào)表或記賬憑證的邏輯是否符合會(huì)計(jì)準(zhǔn)則對(duì)收入確認(rèn)條件的認(rèn)定標(biāo)準(zhǔn)？系統(tǒng)邏輯是否根據(jù)相關(guān)會(huì)計(jì)準(zhǔn)則的發(fā)展及時(shí)作出了調(diào)整？報(bào)表運(yùn)算結(jié)果是否準(zhǔn)確？報(bào)表記錄的輸出是否完整？這些都會(huì)直接對(duì)收入確認(rèn)的認(rèn)定產(chǎn)生直接影響，也應(yīng)當(dāng)是注冊會(huì)計(jì)師審計(jì)系統(tǒng)輸出報(bào)表或記賬憑證時(shí)的關(guān)注點(diǎn)。

再次，“互聯(lián)網(wǎng)+”時(shí)代業(yè)務(wù)相關(guān)的重要會(huì)計(jì)估計(jì)也依賴于系統(tǒng)的計(jì)算輸出。比如，用戶消費(fèi)積分的兌換率或使用率、網(wǎng)絡(luò)游戲玩家的平均生命周期或存續(xù)時(shí)間、在線銷售商品的退貨率等等。注冊會(huì)計(jì)師的相關(guān)審計(jì)工作，同樣離不開對(duì)系統(tǒng)邏輯和系統(tǒng)平臺(tái)的驗(yàn)證。

最后，在審計(jì)抽樣的方法論層面，對(duì)于“互聯(lián)網(wǎng)+”時(shí)代業(yè)務(wù)生成的海量數(shù)據(jù)，傳統(tǒng)審計(jì)方法已力不從心。充分利用計(jì)算機(jī)輔助審計(jì)的手段與方法，一方面可以對(duì)大量運(yùn)營、財(cái)務(wù)數(shù)據(jù)進(jìn)行分析，識(shí)別潛在的錯(cuò)報(bào)高發(fā)領(lǐng)域，甚至是舞弊線索，提高審計(jì)的針對(duì)性；另一方面，利用計(jì)算機(jī)輔助審計(jì)技術(shù)，直接對(duì)被審計(jì)單位的系統(tǒng)邏輯執(zhí)行驗(yàn)算和驗(yàn)證，獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)。

在對(duì)“互聯(lián)網(wǎng)+”時(shí)代業(yè)務(wù)的系統(tǒng)平臺(tái)執(zhí)行審計(jì)工作時(shí)，數(shù)據(jù)庫及數(shù)據(jù)接口尤為重要。

1. 關(guān)注數(shù)據(jù)庫直接數(shù)據(jù)訪問?！盎ヂ?lián)網(wǎng)+”時(shí)代的事務(wù)處理已完全實(shí)現(xiàn)電子化，甚至不具備任何實(shí)物形態(tài)。因此，被審計(jì)單位對(duì)于數(shù)據(jù)庫的管控水平就尤為重要；其中，數(shù)據(jù)庫層面的直接數(shù)據(jù)訪問具有更高的固有風(fēng)險(xiǎn)。一方面，對(duì)數(shù)據(jù)庫內(nèi)數(shù)據(jù)的直接操作，特別是更新操作，很可能直接影響被審計(jì)單位的經(jīng)營成果，并進(jìn)而影響財(cái)務(wù)報(bào)告編制；另一方面，支撐電子商務(wù)業(yè)務(wù)的信息系統(tǒng)迭代更新頻率高，更容易發(fā)生因?yàn)槌跏蓟蛘叱绦蛐迯?fù)而執(zhí)行的數(shù)據(jù)庫數(shù)據(jù)訂正操作。因此，注冊會(huì)計(jì)師需要特別關(guān)注數(shù)據(jù)庫層面的直接數(shù)據(jù)訪問相關(guān)管控機(jī)制的設(shè)計(jì)及其執(zhí)行情況。

2. 關(guān)注企業(yè)內(nèi)外的數(shù)據(jù)接口。“互聯(lián)網(wǎng)+”時(shí)代的企業(yè)，其信息系統(tǒng)往往與價(jià)值鏈上下游的外部合作方進(jìn)行對(duì)接、打通，例如各類第三方支付平臺(tái)、物流企業(yè)等等；企業(yè)內(nèi)部系統(tǒng)之間也存在眾多的數(shù)據(jù)接口，比如從運(yùn)營系統(tǒng)到財(cái)務(wù)系統(tǒng)。相比傳統(tǒng)經(jīng)營模式，“互聯(lián)網(wǎng)+”時(shí)代企業(yè)的內(nèi)外的數(shù)據(jù)接口數(shù)量更多、數(shù)據(jù)時(shí)效性要求高、數(shù)據(jù)量大，這些都對(duì)系統(tǒng)間數(shù)據(jù)接口的設(shè)計(jì)、運(yùn)行和管控提出了更高的要求。數(shù)據(jù)接口發(fā)生的異常，將直接導(dǎo)致不同數(shù)據(jù)源的數(shù)據(jù)產(chǎn)生不一致的情況，進(jìn)而影響運(yùn)營和財(cái)務(wù)報(bào)告編制。

綜上可見，“互聯(lián)網(wǎng)+”時(shí)代的審計(jì)風(fēng)險(xiǎn)是由其業(yè)務(wù)特點(diǎn)決定的。注冊會(huì)計(jì)師需要從其業(yè)務(wù)特點(diǎn)和審計(jì)風(fēng)險(xiǎn)出發(fā)，制定有針對(duì)性的審計(jì)策略，并充分利用各類先進(jìn)的審計(jì)方法和工具，完成其審計(jì)工作。

二、業(yè)務(wù)外包

（一）業(yè)務(wù)外包的概念

IT業(yè)務(wù)外包就是企業(yè)將全部或部分的IT職能外包給第三方專業(yè)公司管理的一種業(yè)務(wù)模式。

由于外包業(yè)務(wù)的發(fā)展和專業(yè)機(jī)構(gòu)的日趨成熟，越來越多的企業(yè)將自身的IT相關(guān)職能部門外包給專業(yè)機(jī)構(gòu)去完成，讓專業(yè)的人做專業(yè)的事，而企業(yè)自身則集中力量發(fā)展核心業(yè)務(wù)和能力。目前存在的IT外包服務(wù)的范圍很多，例如，軟件的研發(fā)、運(yùn)維、基礎(chǔ)設(shè)置管理包括存儲(chǔ)服務(wù)等。

（二）業(yè)務(wù)外包的優(yōu)缺點(diǎn)

業(yè)務(wù)外包給企業(yè)帶來的好處眾多，例如：

1.降低運(yùn)營成本，實(shí)現(xiàn)資源共享、減少資源浪費(fèi)；

2.得到專業(yè)公司的支持和服務(wù)，提升IT服務(wù)質(zhì)量和能力；

3.靈活敏捷的調(diào)整和應(yīng)對(duì)能力；

4.便于企業(yè)集中資源發(fā)展核心業(yè)務(wù)和能力。

業(yè)務(wù)外包也會(huì)給企業(yè)帶來一些潛在的風(fēng)險(xiǎn)，例如：

1.缺乏對(duì)外包商的直接管理導(dǎo)致的質(zhì)量風(fēng)險(xiǎn)；

2.信息安全問題和信息泄露風(fēng)險(xiǎn)。

不管企業(yè)是否采用業(yè)務(wù)外包的方式進(jìn)行全部或者部分IT職能的運(yùn)營，需要強(qiáng)調(diào)的是，和對(duì)企業(yè)非外包業(yè)務(wù)部分的內(nèi)部控制責(zé)任一樣，企業(yè)的管理層仍然需要對(duì)外包業(yè)務(wù)流程相關(guān)控制的有效性負(fù)責(zé)。

（三）對(duì)外包業(yè)務(wù)的審計(jì)考慮

根據(jù)《中國注冊會(huì)計(jì)師審計(jì)準(zhǔn)則第1241號(hào)——對(duì)被審計(jì)單位使用服務(wù)機(jī)構(gòu)的考慮》，服務(wù)機(jī)構(gòu)提供的很多服務(wù)構(gòu)成被審計(jì)單位業(yè)務(wù)運(yùn)營不可或缺的一部分，但并非所有這些服務(wù)都與審計(jì)相關(guān)。如果服務(wù)機(jī)構(gòu)提供的服務(wù)和對(duì)服務(wù)的控制，構(gòu)成被審計(jì)單位與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)（包括相關(guān)業(yè)務(wù)流程）的一部分，則服務(wù)機(jī)構(gòu)提供的服務(wù)與被審計(jì)單位財(cái)務(wù)報(bào)表審計(jì)相關(guān)。

如果被審計(jì)單位的外包業(yè)務(wù)與財(cái)務(wù)報(bào)表相關(guān)，則注冊會(huì)計(jì)師需要對(duì)外包業(yè)務(wù)的性質(zhì)和對(duì)被審計(jì)單位財(cái)務(wù)報(bào)表的重要性進(jìn)行了解和評(píng)估。如果評(píng)估規(guī)劃后確定外包業(yè)務(wù)相關(guān)的部分在系統(tǒng)審計(jì)范圍之內(nèi)，則注冊會(huì)計(jì)師需要執(zhí)行必要的審計(jì)程序，以獲取被審計(jì)單位與審計(jì)相關(guān)的外包業(yè)務(wù)的控制活動(dòng)的有效性的審計(jì)信心。

與被審計(jì)單位自身運(yùn)營部分的審計(jì)考慮一致，對(duì)于外包業(yè)務(wù)，注冊會(huì)計(jì)師也需要進(jìn)行相關(guān)的審計(jì)規(guī)劃和執(zhí)行相關(guān)的審計(jì)程序：

首先，在審計(jì)規(guī)劃階段，注冊會(huì)計(jì)師需要了解被審計(jì)單位在經(jīng)營中如何利用服務(wù)機(jī)構(gòu)提供的服務(wù)，包括：

1.服務(wù)機(jī)構(gòu)提供的服務(wù)的性質(zhì)，以及該服務(wù)對(duì)被審計(jì)單位的重要性，包括由此對(duì)被審計(jì)單位內(nèi)部控制產(chǎn)生的影響；

2.由服務(wù)機(jī)構(gòu)處理的交易、受服務(wù)機(jī)構(gòu)影響的賬戶或財(cái)務(wù)報(bào)告過程的性質(zhì)和重要性；

3.服務(wù)機(jī)構(gòu)與被審計(jì)單位之間活動(dòng)的相互影響程度；

4.被審計(jì)單位與服務(wù)機(jī)構(gòu)關(guān)系的性質(zhì)，包括服務(wù)機(jī)構(gòu)與被審計(jì)單位就提供服務(wù)訂立的相關(guān)合同條款。

企業(yè)外包業(yè)務(wù)的性質(zhì)和范圍可能千差萬別，目前比較常見的外包方式如：

1.數(shù)據(jù)中心功能外包，如云存儲(chǔ)和云服務(wù)；

2.系統(tǒng)外包，如使用第三方公司統(tǒng)一開發(fā)和運(yùn)維的平臺(tái)電子商務(wù)系統(tǒng)；

3.信息技術(shù)職能外包，如利用成熟軟件開發(fā)商進(jìn)行程序開發(fā)或變更服務(wù)等。

在審計(jì)規(guī)劃階段，注冊會(huì)計(jì)師需要明確企業(yè)外包的性質(zhì)和內(nèi)容，不同的外包方式和內(nèi)容所帶來的相關(guān)審計(jì)風(fēng)險(xiǎn)也不盡相同。只有準(zhǔn)確了解外包服務(wù)本身，才能為正確制定和執(zhí)行審計(jì)程序提供基礎(chǔ)。

其次，注冊會(huì)計(jì)師需要評(píng)估被審計(jì)單位與審計(jì)相關(guān)的外包業(yè)務(wù)內(nèi)部控制的設(shè)計(jì)及執(zhí)行有效性以及數(shù)據(jù)的正確性。通常情況下，注冊會(huì)計(jì)師可以通過如下途徑和方法獲取相關(guān)的審計(jì)信心：

1.了解管理層如何確保相關(guān)外包業(yè)務(wù)的有效性；

2.獲得被審計(jì)單位授權(quán)，對(duì)審計(jì)范圍內(nèi)的外包對(duì)象和內(nèi)容執(zhí)行審計(jì)程序；

3.獲取并審閱外包業(yè)務(wù)的內(nèi)部審計(jì)報(bào)告或第三方鑒證報(bào)告。

（四）對(duì)第三方鑒證報(bào)告的審計(jì)考慮

目前國際上比較通用的第三方鑒證報(bào)告是依據(jù)國際審計(jì)與鑒證準(zhǔn)則理事會(huì)（IAASB）發(fā)布的國際鑒證業(yè)務(wù)標(biāo)準(zhǔn)（International Standard on Assurance Engagements No.3402）出具的鑒證報(bào)告。

鑒證報(bào)告一般分別兩種類型，第一類和第二類。簡單來說：

1.第一類報(bào)告：對(duì)被審計(jì)服務(wù)機(jī)構(gòu)的內(nèi)部控制的設(shè)計(jì)有效性發(fā)表鑒證意見；

2.第二類報(bào)告：對(duì)被審計(jì)服務(wù)機(jī)構(gòu)的內(nèi)部控制的設(shè)計(jì)及執(zhí)行有效性發(fā)表鑒證意見。

通常情況下，注冊會(huì)計(jì)師需要獲取第二類的鑒證報(bào)告才有可能獲得相關(guān)的足夠的審計(jì)信心。對(duì)于獲取的第三方鑒證報(bào)告，注冊會(huì)計(jì)師需要執(zhí)行以下工作以驗(yàn)證相關(guān)外包業(yè)務(wù)控制的有效性和數(shù)據(jù)的正確性：

1.確認(rèn)鑒證報(bào)告的類型是否符合要求；

2.查看鑒證報(bào)告的測試范圍，確認(rèn)是否能滿足審計(jì)范圍的要求；

3.查看鑒證報(bào)告的測試程序，確定執(zhí)行的程序是否足夠；

4.查看審計(jì)報(bào)告的結(jié)果，評(píng)估影響。

在審計(jì)過程中，注冊會(huì)計(jì)師可能會(huì)發(fā)現(xiàn)，部分美國公司出具的是符合美國AICPA發(fā)布的SSAE16標(biāo)準(zhǔn)的SOC報(bào)告。注冊會(huì)計(jì)師也可以獲得SOC1報(bào)告的第二類報(bào)告，并根據(jù)以上的4步驟執(zhí)行相關(guān)的評(píng)估工作。需要說明的是，SOC1報(bào)告是對(duì)服務(wù)機(jī)構(gòu)的內(nèi)部控制發(fā)表的鑒證意見，這些內(nèi)部控制會(huì)對(duì)服務(wù)使用企業(yè)的財(cái)務(wù)報(bào)表內(nèi)部控制（ICFR）產(chǎn)生直接影響。SOC1不會(huì)對(duì)服務(wù)使用企業(yè)非財(cái)報(bào)相關(guān)控制發(fā)表意見。

總之，注冊會(huì)計(jì)師在執(zhí)行業(yè)務(wù)外包相關(guān)的審計(jì)工作時(shí)，需要充分了解外包服務(wù)的性質(zhì)和對(duì)被審計(jì)單位的財(cái)務(wù)報(bào)表的重要性，識(shí)別相關(guān)風(fēng)險(xiǎn)，根據(jù)企業(yè)實(shí)際情況，作出準(zhǔn)確靈活應(yīng)對(duì)。

三、云計(jì)算

（一）云計(jì)算的概念

云計(jì)算作為一種獨(dú)特的IT服務(wù)模式，改變了傳統(tǒng)IT資源利用效率低下、擴(kuò)展性差、系統(tǒng)可靠性低等弊端。云計(jì)算安全聯(lián)盟（Cloud Security Alliance）對(duì)云計(jì)算進(jìn)行了如下定義：

“云計(jì)算的本質(zhì)是一種服務(wù)提供模型，通過這種模型可以隨時(shí)、隨地、按需地通過網(wǎng)絡(luò)訪問共享資源池的資源，這個(gè)資源池的內(nèi)容包括計(jì)算資源、網(wǎng)絡(luò)資源、存儲(chǔ)資源等，這些資源能夠被動(dòng)態(tài)地分配和調(diào)整，在不同用戶之間靈活地劃分。凡是符合這些特征的IT服務(wù)都可以稱為云計(jì)算服務(wù)。”

（二）云計(jì)算的分類

云計(jì)算按照部署模式可以分為公有云、私有云、和社區(qū)云。這些云計(jì)算部署模式的區(qū)別在于服務(wù)的對(duì)象和目標(biāo)不同。

1.公有云一般由云服務(wù)提供商搭建，主要的服務(wù)對(duì)象是公眾。

2.私有云部署在企業(yè)數(shù)據(jù)中心的防火墻內(nèi)或者一個(gè)安全的主機(jī)托管場所，不對(duì)企業(yè)外部的用戶提供服務(wù)，私有云的核心屬性是專屬資源。

3.混合云則是上述兩種的綜合。

云計(jì)算按照服務(wù)的提供方式，可以劃分為基礎(chǔ)架構(gòu)即服務(wù)（Infrastructure as a Service,IaaS）、平臺(tái)即服務(wù)（Platform as a Service, PaaS）和軟件即服務(wù)（Software as a Service, SaaS）。

1.IaaS：通過虛擬化技術(shù)將計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源提供給用戶，用戶無需再自行購置、維護(hù)這些硬件設(shè)施。

2.PaaS：除了基礎(chǔ)架構(gòu)以外，還包括了運(yùn)行環(huán)境的搭建，并通過網(wǎng)絡(luò)提供給用戶。用戶只需專注業(yè)務(wù)系統(tǒng)的開發(fā)和運(yùn)營，而無需分心運(yùn)行環(huán)境的維護(hù)。

3.SaaS：從基礎(chǔ)架構(gòu)到軟件應(yīng)用打包提供給用戶，用戶只需通過Web瀏覽器即可使用云計(jì)算平臺(tái)上的軟件服務(wù)，產(chǎn)生的數(shù)據(jù)直接存儲(chǔ)在云端。

（三）云計(jì)算的特性

與傳統(tǒng)IT系統(tǒng)相比，云計(jì)算具有5大特性：

1.通過網(wǎng)絡(luò)提供服務(wù)：云計(jì)算的服務(wù)提供方式即是通過網(wǎng)絡(luò)（無論是公共網(wǎng)絡(luò)還是企業(yè)私有網(wǎng)絡(luò)）。與傳統(tǒng)IT受到地理位置的約束相比，云計(jì)算打破了這種限制，只要有網(wǎng)絡(luò)就可訪問。

2.資源池：計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源不再以傳統(tǒng)的IT硬件形式提供，而是集中起來作為一個(gè)統(tǒng)一的資源池進(jìn)行調(diào)度和分配給多個(gè)用戶。用戶在使用資源時(shí)，無需關(guān)心資源實(shí)際的物理位置，只需要請求所需要的資源規(guī)格即可。

3.資源的彈性調(diào)度：各類資源可根據(jù)用戶的實(shí)際需要隨時(shí)進(jìn)行迅速的擴(kuò)展或縮減，而這種資源的伸縮并不會(huì)中斷業(yè)務(wù)，也不會(huì)導(dǎo)致數(shù)據(jù)的丟失。與傳統(tǒng)IT在進(jìn)行資源擴(kuò)容時(shí)動(dòng)輒需要進(jìn)行復(fù)雜的測試和遷移相比，利用云計(jì)算技術(shù)用戶完全可以根據(jù)業(yè)務(wù)的實(shí)際負(fù)載進(jìn)行靈活地調(diào)配。

4.自助式服務(wù)：用戶通過自助方式獲取期望的服務(wù)內(nèi)容，包括服務(wù)種類、規(guī)格、數(shù)量、服務(wù)時(shí)間等，無需和云服務(wù)提供商交互。而傳統(tǒng)IT則需要一個(gè)漫長的需求討論和確認(rèn)過程，溝通成本較高。

5.可計(jì)價(jià)的服務(wù)：在云計(jì)算模式下，用戶使用的云計(jì)算服務(wù)可以通過量化指標(biāo)計(jì)算出來。在公有云模式下，云服務(wù)提供商以此作為計(jì)費(fèi)的依據(jù)。在私有云模式下，云管理者可以根據(jù)監(jiān)控指標(biāo)對(duì)后臺(tái)資源進(jìn)行調(diào)整和優(yōu)化。

（四）云計(jì)算的安全威脅

由于上述云計(jì)算的特點(diǎn)，企業(yè)如果使用了云計(jì)算技術(shù)，在享受成本降低、業(yè)務(wù)擴(kuò)展性提升的同時(shí)，也需要從安全控制方面思考如何更好地管控云計(jì)算給企業(yè)業(yè)務(wù)流程帶來的變革。云計(jì)算客戶的注冊會(huì)計(jì)師在進(jìn)行系統(tǒng)審計(jì)時(shí)，不僅要關(guān)注傳統(tǒng)的系統(tǒng)審計(jì)風(fēng)險(xiǎn)，還需要重點(diǎn)關(guān)注以下幾類云計(jì)算特有的風(fēng)險(xiǎn)點(diǎn)。

1.租戶隔離：除了少數(shù)云計(jì)算產(chǎn)品外，在大多數(shù)情況下各個(gè)云租戶是共享計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源的。如果沒有有效的租戶間隔離控制，很有可能會(huì)發(fā)生一個(gè)租戶非法訪問其他租戶的資源，造成租戶重要數(shù)據(jù)的泄露或者服務(wù)的中斷等后果。

2.權(quán)限控制：與傳統(tǒng)系統(tǒng)的控制權(quán)完全由企業(yè)掌握不同，在云計(jì)算環(huán)境下，運(yùn)營商擁有超級(jí)用戶權(quán)限，因此理論上運(yùn)營商有權(quán)限可以訪問用戶數(shù)據(jù)（盡管運(yùn)營商一般都會(huì)嚴(yán)格限制運(yùn)維人員訪問用戶數(shù)據(jù)）。如果企業(yè)需要在云計(jì)算平臺(tái)上存放敏感程度較高的數(shù)據(jù)，可以在衡量安全和性能的影響以后，在業(yè)務(wù)系統(tǒng)側(cè)進(jìn)行數(shù)據(jù)加密以后再上傳至云平臺(tái)。

3.殘留數(shù)據(jù)：由于云租戶的數(shù)據(jù)大量存放在云平臺(tái)上，當(dāng)用戶退出云服務(wù)時(shí)（即下云），如果殘留數(shù)據(jù)（包括云上的生產(chǎn)數(shù)據(jù)、備份數(shù)據(jù)、日志等）沒有得到徹底的清除，那么存儲(chǔ)空間經(jīng)回收再分配給其他租戶時(shí)，就會(huì)存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

4.網(wǎng)絡(luò)安全：在公有云環(huán)境下，用戶與云平臺(tái)的交互通過公有網(wǎng)絡(luò)實(shí)現(xiàn)。與傳統(tǒng)系統(tǒng)在企業(yè)內(nèi)部局域網(wǎng)內(nèi)提供服務(wù)不同，公有網(wǎng)絡(luò)的安全性較低，企業(yè)時(shí)刻需要關(guān)注網(wǎng)絡(luò)傳輸過程的保密性和完整性。

5. 可用性：云計(jì)算系統(tǒng)的可用性主要依賴云服務(wù)提供商自身的可用性能力。如果云服務(wù)提供商受到DDOS等攻擊造成服務(wù)中斷，或是機(jī)房、網(wǎng)絡(luò)等關(guān)鍵節(jié)點(diǎn)出現(xiàn)意外事故，可能會(huì)導(dǎo)致服務(wù)的中斷，影響企業(yè)用戶的正常運(yùn)行。近年來層出不窮的云服務(wù)提供商服務(wù)中斷新聞更是給所有用戶敲響了警鐘。

（五）云計(jì)算對(duì)注冊會(huì)計(jì)師的影響

隨著使用云計(jì)算技術(shù)的企業(yè)越來越普遍，云計(jì)算已經(jīng)成為系統(tǒng)審計(jì)師需要經(jīng)常面對(duì)的一個(gè)事物了。云計(jì)算對(duì)于注冊會(huì)計(jì)師的影響主要體現(xiàn)在兩個(gè)方面：

1.審計(jì)范圍：企業(yè)如果使用了云計(jì)算技術(shù)，意味著必然有一部分IT職能“外包”給了云服務(wù)提供商。如何確定企業(yè)和云服務(wù)提供商之間的責(zé)任界限，以及是否需要對(duì)云服務(wù)提供商的內(nèi)部控制進(jìn)行延伸審計(jì)，成為了注冊會(huì)計(jì)師在制定審計(jì)計(jì)劃、確定審計(jì)范圍時(shí)需要考慮的問題。

2.知識(shí)技能：IT始終是變化演進(jìn)最為迅速的一個(gè)產(chǎn)業(yè)，注冊會(huì)計(jì)師也需要時(shí)刻保持知識(shí)技能的豐富和更新，才能與時(shí)俱進(jìn)，提供優(yōu)秀的服務(wù)質(zhì)量。

表1 傳統(tǒng)IT系統(tǒng)與應(yīng)用區(qū)塊鏈技術(shù)的系統(tǒng)對(duì)比

表2 三種區(qū)塊鏈類型的特點(diǎn)

四、區(qū)塊鏈

（一）區(qū)塊鏈的概念和特點(diǎn)

區(qū)塊鏈?zhǔn)且环N綜合了分布式數(shù)據(jù)存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、加密算法等IT技術(shù)的應(yīng)用模式。從設(shè)計(jì)思想上區(qū)塊鏈技術(shù)（特別是公有鏈）期望實(shí)現(xiàn)以下特點(diǎn)：

1.信息不可篡改，永久留下記錄，有效保證了數(shù)據(jù)的真實(shí)性和完整性。

2.去中心化體系，通過共識(shí)機(jī)制每個(gè)節(jié)點(diǎn)會(huì)驗(yàn)證和更新交易數(shù)據(jù)，替代了傳統(tǒng)IT依賴中心化機(jī)構(gòu)進(jìn)行記賬的模式。

3.數(shù)據(jù)可靠性較高，少數(shù)節(jié)點(diǎn)故障不會(huì)影響系統(tǒng)的正常運(yùn)行，且所有節(jié)點(diǎn)通過共識(shí)算法保證數(shù)據(jù)的一致性。

表1匯總了傳統(tǒng)IT系統(tǒng)與應(yīng)用區(qū)塊鏈技術(shù)后的系統(tǒng)的對(duì)比。

（二）區(qū)塊鏈在企業(yè)中的應(yīng)用

目前企業(yè)對(duì)于區(qū)塊鏈技術(shù)的應(yīng)用很難完全做到像公有鏈那樣完全去中心化，更多的是考慮采用私有鏈或者聯(lián)盟鏈的形式。與公有鏈相比，私有鏈和聯(lián)盟鏈將區(qū)塊鏈的部分技術(shù)特性和商業(yè)應(yīng)用場景相結(jié)合，成為一種新型的應(yīng)用系統(tǒng)模式。

因此，如果企業(yè)采用聯(lián)盟鏈或者私有鏈的方式搭建IT系統(tǒng)環(huán)境，可能會(huì)存在如下風(fēng)險(xiǎn)：

1.相比公有鏈，聯(lián)盟鏈或者私有鏈的節(jié)點(diǎn)數(shù)量有限，無法做到完全的去中心化，因此依然存在大多數(shù)節(jié)點(diǎn)被一方控制的可能性，影響鏈上數(shù)據(jù)的可信性。

2.不同的鏈上用戶具有不同的系統(tǒng)訪問權(quán)限，可能存在像傳統(tǒng)IT系統(tǒng)類似的因權(quán)限管控不當(dāng)而導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

圖1 區(qū)塊鏈對(duì)審計(jì)職能的影響

3.在聯(lián)盟鏈環(huán)境下，鏈上成員可能會(huì)擔(dān)心上傳到鏈上的數(shù)據(jù)的機(jī)密性。

由于上述區(qū)塊鏈技術(shù)特征，從系統(tǒng)安全和控制的角度，企業(yè)使用區(qū)塊鏈技術(shù)后需要考慮以下幾點(diǎn)：

1.權(quán)限管理，由于區(qū)塊鏈技術(shù)是公開透明且匿名，所有參與方在區(qū)塊鏈中通過加密ID進(jìn)行標(biāo)識(shí)，因此對(duì)鏈上不同參與方應(yīng)當(dāng)進(jìn)行不同的訪問權(quán)限的設(shè)置，保證信息的安全不泄露；

2.智能合約審計(jì)，智能合約是應(yīng)用區(qū)塊鏈技術(shù)的一種程序，一旦條件符合，就會(huì)自動(dòng)運(yùn)行智能合約，因此智能合約在生成之前，應(yīng)當(dāng)進(jìn)行代碼審計(jì)和功能性驗(yàn)證，加強(qiáng)區(qū)塊鏈可編程應(yīng)用的代碼質(zhì)量管控，定期進(jìn)行安全審計(jì)和漏洞檢測，保證程序代碼健壯性；

3.區(qū)塊鏈性能監(jiān)控，區(qū)塊鏈由多節(jié)點(diǎn)組成，同一區(qū)塊可能在不同時(shí)間到達(dá)不同節(jié)點(diǎn)，不同節(jié)點(diǎn)的共識(shí)算法版本難以保持一致，在達(dá)成交易共識(shí)過程中易發(fā)生區(qū)塊鏈分叉，導(dǎo)致交易回滾風(fēng)險(xiǎn)，因此需要監(jiān)控區(qū)塊鏈性能以確保整個(gè)系統(tǒng)的運(yùn)行平穩(wěn)；

當(dāng)然區(qū)塊鏈技術(shù)并非顛覆傳統(tǒng)系統(tǒng)，而是優(yōu)化傳統(tǒng)系統(tǒng)；對(duì)于企業(yè)而言，可以通過在傳統(tǒng)的系統(tǒng)上增加區(qū)塊鏈相關(guān)接口，加強(qiáng)去中心化、安全、可信的數(shù)據(jù)環(huán)境；也可以進(jìn)行企業(yè)流程改造，直接使用基于區(qū)塊鏈的系統(tǒng)。

（三）區(qū)塊鏈對(duì)企業(yè)業(yè)務(wù)流程的改變

區(qū)塊鏈技術(shù)能夠提供完整且無需第三方的驗(yàn)證，建立了一個(gè)去中心化的生態(tài)圈，在企業(yè)之間、企業(yè)與政府機(jī)構(gòu)之間、企業(yè)與審計(jì)機(jī)構(gòu)之間節(jié)省大量的驗(yàn)證成本，共享信息，既能保證信息的完整不可篡改，也不必?fù)?dān)心數(shù)據(jù)丟失。

例如，對(duì)于海關(guān)和質(zhì)檢機(jī)構(gòu)，原本在貨物入關(guān)和質(zhì)檢的每個(gè)環(huán)節(jié)都需要提供運(yùn)單、合同、商業(yè)發(fā)票、訂單明細(xì)、原產(chǎn)地證明、合格證、標(biāo)簽申檢編號(hào)、報(bào)關(guān)單等各種報(bào)關(guān)文檔，但是各個(gè)系統(tǒng)之間不兼容，也不關(guān)聯(lián)，因此數(shù)據(jù)的流轉(zhuǎn)成為一個(gè)障礙。利用基于區(qū)塊鏈的系統(tǒng)之后，每一相關(guān)方通過授權(quán)獲取相應(yīng)的數(shù)據(jù)文檔，通過接口將各自系統(tǒng)與區(qū)塊鏈系統(tǒng)服務(wù)器相連，保證每一個(gè)相關(guān)方獲取的都是相同的信息，還原原始數(shù)據(jù)。

（四）區(qū)塊鏈對(duì)審計(jì)機(jī)構(gòu)帶來的影響

區(qū)塊鏈在增加社會(huì)協(xié)同效應(yīng)的同時(shí)，也悄然改變了不同機(jī)構(gòu)的職能作用和工作方式，幫助建立了信任機(jī)制。例如，在審計(jì)職能方面，可能發(fā)生的變化如圖1所示。

審計(jì)機(jī)構(gòu)也可以通過建立區(qū)塊鏈審計(jì)模型，例如數(shù)據(jù)收集、校驗(yàn)記錄、記賬或者提供異常報(bào)告，改變傳統(tǒng)的審計(jì)模式。