时间:2020-03-20 作者:林少煌 (作者单位:厦门市财政局)
[大]
[中]
[小]
摘要:
对于企业而言,云计算技术的应用不仅可以降低企业成本,提高企业IT资源的可扩展性,同时也可以促进企业管理模式的创新。而与此同时,云计算技术的应用使企业的运营环境尤其是IT运营环境发生了很大的变化,产生了相应的风险。本文就此进行分析,并从企业内部控制的角度提出应对措施。
一、云计算技术给企业IT运营环境带来的风险
(一)企业对IT监管职能缺失
云计算技术分为私有云和公共云。若企业全部使用私有云,则相关IT数据均存储于自有服务器中,均会处于企业的监管之下。但此类IT项目在建设阶段需投入大量的资源,耗费较长的时间,而且建成之后,还需有相应的IT部门对其进行更新和维护,因此企业一般较少采用。而若企业如果部署公共云,相应的IT管理职责则从企业内部转移至云计算服务提供商,企业将很难对相关的IT控制实施监管。
(二)数据的安全性风险
企业部署公共云意味着企业IT数据将被转移到用户主权掌控范围外的机器上,即云计算服务提供商的手中,企业IT数据的安全性风险将大大增加,具体包括:企业无法采取措施防范云计算服务供应商偷窥、窃用其数据和程序,即使可通过签订合同时增加相关条款加以约束,也仅能起到“防君子不...
对于企业而言,云计算技术的应用不仅可以降低企业成本,提高企业IT资源的可扩展性,同时也可以促进企业管理模式的创新。而与此同时,云计算技术的应用使企业的运营环境尤其是IT运营环境发生了很大的变化,产生了相应的风险。本文就此进行分析,并从企业内部控制的角度提出应对措施。
一、云计算技术给企业IT运营环境带来的风险
(一)企业对IT监管职能缺失
云计算技术分为私有云和公共云。若企业全部使用私有云,则相关IT数据均存储于自有服务器中,均会处于企业的监管之下。但此类IT项目在建设阶段需投入大量的资源,耗费较长的时间,而且建成之后,还需有相应的IT部门对其进行更新和维护,因此企业一般较少采用。而若企业如果部署公共云,相应的IT管理职责则从企业内部转移至云计算服务提供商,企业将很难对相关的IT控制实施监管。
(二)数据的安全性风险
企业部署公共云意味着企业IT数据将被转移到用户主权掌控范围外的机器上,即云计算服务提供商的手中,企业IT数据的安全性风险将大大增加,具体包括:企业无法采取措施防范云计算服务供应商偷窥、窃用其数据和程序,即使可通过签订合同时增加相关条款加以约束,也仅能起到“防君子不防小人”的效果;企业难以采取措施来防范共享云计算平台的其他客户偷窥或窃用其数据和程序。
(三)成本费用失控风险
企业采用云计算服务,降低了IT项目的建设成本,但许多云计算服务提供商随云解决方案一并提供了应用软件开发工具,这些工具往往具有专用性,使用此类工具开发出来的软件只能在云服务提供商特定的解决方案架构上运行。此外,企业使用专用开发工具开发的软件越多,使用云计算服务提供商所提供的服务时间越长,在该云计算服务提供商处存储的各类数据也就越多,进而使企业对云计算服务提供商的依赖程度就越高,其更换云计算服务提供商的成本将更高、难度更大。因此,一旦云计算服务提供商提高提供云计算服务的费用,企业将缺乏足够的谈判筹码进行应对,很可能不得不接受提价。
(四)云计算服务的稳定性风险
云计算服务稳定性的风险主要来自于两个方面:一是云计算服务提供商提供服务过程中出现故障而无法提供服务;二是网速过低和网络不稳定导致企业无法使用云计算服务。据统计,我国的互联网用户中,有94.3%使用宽带接入,但大多数用户的下载速度仅4Mbps(兆/秒)左右,远低于发达国家17.4Mbps的速度,难以在全国范围内稳定支撑云计算服务。
(五)云计算服务提供商的固有风险
目前,云计算服务业还属于一个新兴行业,尚缺乏统一的行业标准和相关法律法规的规范,许多云计算服务提供商成立时间不长,其盈利能力和持续经营能力尚不确定,故而云计算服务行业未趋稳定。若应用云计算的企业对云计算服务提供商存在较为严重的依赖,一旦云计算服务提供商无法再提供相应服务时,将会对企业的正常运营造成严重影响。
二、从内部控制五要素角度提出的应对措施
(一)内部环境
一是要实现对云计算活动的监管。企业应从董事会、监事会、管理层中确定能够理解并管理云计算相关业务及其所带来风险的人选,定期关注云计算的发展情况,分析可能对企业及企业所处行业产生的影响,包括经营环境、商业模式等方面,必要时还要在董事会、监事会上进行汇报。同时,董事会、监事会应明确本企业应用云计算服务的风险偏好。
二是董事会、监事会、管理层在制定公司发展战略时,应将云计算因素加以考虑。例如:企业业务未来的发展情况如何,是否会对云计算服务产生需求;企业可以在哪些业务环节采用哪种方式应用云计算服务;应用云计算服务是否有助于降低企业运营成本、提高企业核心竞争力等。
三是在作出应用云计算等相关重大决定时,应当按照规定的权限和程序实行集体决策审批或者联签制度,避免出现个人单独进行决策或擅自改变集体决策意见的情况。
(二)风险评估
在开展风险评估前,企业需确定自身的风险偏好,即确定企业为了实现目标,在承担风险的种类、大小等方面的基本态度。对于风险回避型企业,可以选择全部部署私有云以避免潜在的风险;对于风险追求型企业,为了获取云计算带来的优势,可以选择绝大多数部署公共云;对于风险中立型企业,则一般采取折中的方法,即部署混合云。确定风险偏好后,企业可根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估,准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。在识别内部风险时,企业应当关注人力资源、管理、财务等因素,包括董事、监事、经理及其他高级管理人员的职责履行情况,员工专业胜任能力,组织机构,商业模式,业务流程,财务状况,现金流量等。在识别外部风险时,企业应当关注经济、法律、科学技术等方面的因素,包括经济形势、产业政策、经营环境、云计算服务对所处行业的影响、相关法律法规监管要求以及企业若放弃应用云计算服务可能对企业竞争力产生的影响等。
企业识别完风险后,应当对识别的风险进行分析和排序,确定关注重点和优先控制的风险,再根据风险分析的结果,结合风险承受度权衡风险与收益,确定风险应对策略,具体包括:风险规避,即对超出风险承受度的风险,通过放弃或停止与该风险相关的业务活动以避免和减轻损失;风险降低,即在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内;风险分担,即借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内;风险承受,即对于风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失。此外需要注意的是,风险评估不是一次性的工作,而是一个持续的过程。企业在不同发展阶段、面对不同的业务时,需持续收集相关信息,开展风险评估工作。
(三)控制活动
一是制定相关制度,并切实执行。企业制度应涵盖应用云计算服务的各个环节。在云计算部署方面,应明确云计算服务的定义,规范应用各类云计算服务的审批权限,以避免在企业管理层、IT部门不知情的情况下应用云计算;在云计算服务提供商管理方面,应明确所选择云计算服务提供商至少应达到的标准,在确定云计算服务提供商之前应进行的评估,包括该提供商的规模、资质、既往服务提供情况、内部控制环境、财务状况等,以确保云计算服务提供商具备持续提供服务能力并与企业的风险偏好一致;在数据管理方面,应对数据进行分类,针对不同的数据明确法律、监管、知识产权及信息安全等要求,如可根据数据的敏感度将数据分为可对外公开、受限的、高度敏感的,并制定数据传输规定;在云计算服务更新方面,应明确云计算服务的更新程序,确定能够处理云计算服务更新事宜的责任人;在突发事件应对方面,应就云服务提供商的系统瘫痪、数据失窃等突发事件制定相应措施,例如,在主要云计算服务提供商之外寻找后备提供商,并定期于后备提供商处备份数据、加强与云计算服务提供商的联系,争取第一时间获知故障或漏洞情况,确保企业能够及时应对。此外,企业需要注意的是制定制度仅完成了控制活动的少部分工作,更重要的是制度的切实执行。
二是企业在与云计算服务提供商磋商合同内容和条款时,应关注合同核心内容、条款和关键细节。具体包括:云计算服务提供商提供服务的收费方式对企业是否有利,且条款还应确保该收费方式能够维持较长的一个期间;企业对云计算服务提供商所提供服务的部分运行细节的知情权,如数据传输、数据存储、运行控制等,企业应拥有与其获取IT服务相关的审计权利;合同应明确规定云计算服务提供商对其所提供服务在合法合规、遵从监管规定等相关方面的责任;合同中应明确出现系统性故障、数据泄密等突发事件时云计算服务提供商应采取的应对措施,包括其对企业所提出的支持请求进行响应的优先等级;合同应明确要求云计算服务提供商给予企业专门渠道,就其所提供云计算服务的可用状态进行监控;合同应就云计算服务提供商与企业之间的信息传递进行明确的规范,要求云计算服务提供商及时将云计算服务的新动态、已出现或将出现的故障或漏洞情况等信息传递至企业,以便企业及时加以应对。合同拟定完毕之后,企业还需组织法律、技术、财务等专业人员共同审核,必要时还需聘请外部专家或法律顾问参与合同签订审核工作。
(四)信息与沟通
企业的内部控制活动离不开信息的沟通和传递。针对应用云计算服务风险控制,企业应构建一个自上而下、自下而上的信息传递渠道。自上而下是指公司管理层应明确全体员工各自在应用云计算服务中的控制职责;自下而上是指全体员工在履行各自的控制职责过程中将遇到的相关问题或意识到的相关问题及时反馈至管理层。在信息传递渠道中,除关注云计算服务日常应用中存在的问题以外,还需有相关人员负责与云计算服务提供商相关的外部信息的收集与整理,如公开披露信息、提交给监管机构的报告、行业期刊及其他使用云计算服务企业发布的消息等,以便企业管理层综合判断与决策。
(五)内部监督
企业的内部监督可以分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。企业应当将云计算服务纳入日常监督的范畴,同时定期就部分控制细节展开专项监督。■
责任编辑 李卓
相关推荐