（二）云端风险分析

　　1。从云端本身来看，其面临的主要风险有：第一，虚拟环境运行安全风险。即作为一种IT技术也会遭受网络病毒、恶意程序、黑客等的攻击，一旦云端遭受“外围攻击”，产生的危害可能远大于被审计端原始数据采集网络运行威胁产生的危害，因为云端既承担数据保存，也负责数据的加工处理和预警分析，如果云端在数据分析过程遭遇恶意程序，可能会得出无效或错误的分析报告，加重审计负担；第二，内部操作风险。反映了云端后台人员对于被审计端传输过来的数据未进行有效管理致使数据外泄，或内部人员对原始数据进行了修改或删减，影响了原始数据的完整性和准确性。

　　2。从数据安全角度来看，云端主要面临的风险有：第一，数据存储风险。社保基金数据作为敏感数据，应严格保证数据的保密性、完整性和可控性。但由于云端通过虚拟化技术将被审计端的数据存储在不同服务器上，使其无法准确定位存储数据的位置并提供针对性的保密措施，从而加大了敏感数据外泄或被窃取的风险。另外，数据存储的物理控制和逻辑控制全部由云端服务商控制，被审计端和审计终端缺乏对数据存储的必要控制，一旦云端服务商出现系统故障或遭受“外围攻击”致使系统瘫痪，如何有效保证存储数据的快速恢复和数据备份安全成为云端不得不面临的难题；第二，数据隔离风险。云端服务商可能为多个用户提供不同等级或特性的数据存储服务，出现了多个用户共享计算环境，特别是在公用云环境下，如果不能对重要数据进行有效隔离，易引发云端在数据管理和分配用户数据时出现混乱，加剧了存储数据的安全隐患。

　　3。从云审计系统安全来看，云端面临的风险有：第一，访问控制无效风险。在多用户运行环境下，云端服务商通过远程端口访问技术同时向多用户提供不同的数据服务，该种情况下如果云端服务商在用户访问控制和身份识别方面存在漏洞则可能导致非法登陆等问题。因此如何对审计终端和被审计端用户的身份识别进行有效控制成为云端保证审计数据安全的关键屏障；第二，平台共享风险。云端服务商通过提供统一的基础设施服务（IaaS）让多用户共享平台的应用系统和运算资源，而底层组件却未提供强大的隔离措施以保证不同用户间应用程序运行环境和数据处理资源的隔离，易引发不同用户间应用程序的相互干扰，并为非法用户干扰破坏合法用户运行应用系统以窃取、篡改原始数据埋下了隐患；第三，平台传输风险。云端提供的强大数据传输、加工和处理服务都以高速、安全的网络传输平台为基础。尤其针对于社保基金等大数据存取、处理和频繁性信息交换都严重依赖于平台网络宽带传输的负荷能力，一旦平台网络传输超负荷运行将会导致审计终端无法正常开展审计作业，影响作业计划的顺利实施。

　　（三）审计终端风险分析

　　1。审计人员方面。社保基金云审计的应用效果取决于审计人员的专业素质和技能，一旦审计人员的专业能力无法匹配社保基金云审计的要求将严重影响审计监督的质量。具体而言，社保基金云审计对审计人员的胜任能力要求很高，不仅体现在审计业务知识方面，还要求其具备丰富的计算机技术并对云端的网络技术和软硬件系统有充分的了解。而在实务中很多审计人员的思维方式和操作方式还停留在传统审计技术层面，再加上缺乏系统的计算机技术和网络知识增加了因个人违规操作而导致的审计失败。如：擅自修改系统设置、数据处理不当等问题。此外，社保基金云审计是审计技术的优化创新，而传统的社保基金法规、准则体系已不能有效指导和规范新环境下社保基金云审计的实践操作及实务中出现的新问题。因此亟需一套标准的审计技术规范体系以供审计人员采用统一的标准对社保基金展开审计监督。而标准技术规范体系的缺乏也在一定程度上加剧了审计人员违规操作的风险，增大了审计失败的隐患。

　　2。现场审计方面。审计人员通过云端提供的预警分析报告和审计分析报告确定现场审计的重点，但这种“借力”第三方的审计模式致使审计终端在未对被审计端的内部控制有效性进行评估时就依赖于其上传的原始数据进行预警分析，如果被审计端的内部控制存在重大缺陷使其数据采集存在完整性缺失或准确性不够导致云端数据处理与分析报告错误或无效，从而误导了现场审计致使审计程序无效或审计失败。此外，在传统审计技术中审计证据都以纸质形式保存容易获取审计证据，而在云审计模式下财务与业务信息都以电子数据存储在磁介质中，现场审计时审计人员只能通过网络查询获取无纸化审计线索，而一些传统的审计方式无法有效开展（如观察法、盘点法），从而影响了审计证据的适当性和充分性，增加了审计失败的风险。