一、企业风险管理视角下的云计算风险分析

（一）内部环境风险

内部环境指企业内的营运环境包括管理理念、风险意识、制度环境、人员胜任能力等，这些要素在一定程度上直接影响着企业的风险偏好以及对风险的关注程度，从而形成企业特有的风险与风险喜好、风险识别与评估方法。而云计算技术应用之后，整个社会的商业营运环境发生了变化，企业的风险因素也随之发生变化。例如，由于云计算技术本身具有低成本优势，管理层要在短期内追求较高的利润，就有可能冒险尝试低成本高收益的项目，却忽视对其潜在风险的识别和评估。而对于资金投入比较大的项目，管理层却通常加以重点关注并对其风险进行详细识别与评估。

（二）目标设定风险

在云计算技术环境下，不同的云计算交付模式、云部署模式适合企业不同的业务情况，会带来不同的风险。如果企业在设定云解决方案目标之前没有进行相关评估，即将云计算技术支持的业务流程、云部署模式及云服务交付模式与企业的实际情况进行对比与评估，企业就会面临目标无法实现的风险。此外，选定云解决方案之后，要将其预实现目标与企业的组织目标进行分析比较，保证两者一致，如果存在冲突，即使云解决方案目标设定的合理，方案实施取得成功，但最终与企业组织目标相悖，也必然将企业推至风险之端。

（三）事项识别风险

由于云计算技术本身具有数据安全不确定性等相对较高的事项，一旦企业采用了云服务提供商的云计算解决方案，便增加了事项识别的风险。首先，企业采用云解决方案后，其外部环境事项尤其是技术环境会发生非常大的变化，硬件设施的配置、软件的购置与维护等转变为由云技术服务商代为实施，这一事项的变化使得企业在软硬件方面的风险复杂化。比如企业虽无需自行购置软硬件，但同时也失去了对软硬件的管理与维护权限，而云服务提供商对企业应用的软硬件的管理与维护直接影响着企业的经营稳定性，企业却难以对该风险事项进行详尽的识别与分析，尤其是企业数据的安全性给企业带来更多事项识别的风险。其次，企业采用云解决方案后，企业IT部门的人员设置、组织机构尤其是IT部门的重组、信息沟通与传递等内部事项也都会因云计算技术的采用而重新构建，从而带来新的风险事项。比如，企业IT员工除针对企业内部软硬件进行管理与维护以外，还需经常与云服务提供商进行有效沟通，及时获取云端的相关信息。

（四）风险评估风险

（五）应对风险

风险应对是指企业在风险评估之后，针对评估获得的风险信息通过采取风险规避、风险降低、风险共担、风险承受等方式将企业面临的可能风险降低到可容忍范围内。一般而言，项目规模、投入资金金额是影响企业做出风险应对措施的重要影响因素。云计算的优势之一是其投入成本低，因此，企业容易因其投资资本较少而采取不恰当的风险应对措施，从而增加相应的风险。此外，云计算技术的风险潜在性特点使得企业极易忽视或难以发现其风险，导致企业风险规避等措施的有效性降低，风险应对风险提高。

（六）控制活动风险

控制活动是帮助确保管理当局的风险应对措施得以实施的政策和程序。在云计算解决方案中，有些控制活动由企业进行，还有些控制活动只能转给云服务提供商，比如对软硬件的管理与维护、对存储在云端的数据进行管理等，这使得企业控制活动更复杂，潜在风险更大。此外，由于云计算技术的实施使企业控制活动需同时在企业内部和外部（云服务提供商与混合云、公共云的公共租户）进行，其控制措施效果会更差。

（七）信息沟通风险

企业管理层要实现组织目标并进行有效的风险管理，必须及时、准确地从各种途径获取与风险事项相关的信息。而采用云计算技术后，由于信息沟通范围由企业内部扩展到企业外部，云服务提供商可能无法及时或一直不能传递相关信息，或者其提供的信息并非云技术应用企业所需信息。如此，信息沟通的通畅程度降低，通过信息沟通获取的有效信息质量也随之下降，从而增加了企业在信息沟通方面的风险。

（八）监控风险

在云计算技术环境下，企业的风险事项来源于企业内部事项以及和云服务提供商、混合云、公用云的公共租户相关的事项，因此相应的监控也应同时针对企业内部风险事项与云服务提供商和公共租户的风险事项进行。但企业跨边界监控其他组织的相关事项的可行性较差，因此对企业外部风险事项的监控难度增大，监控风险相应提高。

二、云计算的风险管理视角下的内部控制措施

（一）控制环境方面

首先，应提高企业管理层的风险意识和对云计算技术风险的正确认识，包括对风险的理解以及由风险利益关系而产生的对信息技术（主要是云计算技术）风险的态度。具体来说，应在企业的高级人员会议如董事会中强调风险概念，并确定一个基本的风险基数；将企业管理层的业绩考核与风险挂钩，引起管理层对风险问题的重视，防止为追求业绩而忽视潜在技术风险；定期对企业管理层进行风险管理理论培训并组织召开风险管理实践研讨会。

其次，应使职员认同云计算技术的应用并积极配合，同时增强员工的云计算技术风险意识，培养员工云技术风险识别能力与应对能力。具体包括：将风险意识作为企业文化建设的一部分，大力塑造企业良好的风险管理文化，逐步将风险管理意识转化为员工的共同认识与自觉行动；结合企业实际情况开展风险特征指标的解读与应用指导培训，请管理层或专家解析风险特征与内部控制流程、员工行为等之间的内在规律性，指导员工提高风险识别与风险应对能力。

最后，通过合同的形式明确云计算技术应用企业与云服务提供商之间的权利与责任。企业应拥有享受云服务提供商提供合同约定的相应服务（软件服务、平台服务或基础设施服务）的权利，同时承担向云服务提供商支付服务费用的义务。而云服务提供商需定期向企业收取服务费，同时承担包括向企业提供合同约定的服务、保障企业数据安全与保密、对企业数据库相关数据变动或可能发生的风险提前或及时通知、对未及时履行其服务导致的损失进行赔偿等在内的一系列义务。

（二）风险评估方面

首先，在选择云解决方案之前，根据云计算技术的部署方式、交付模式进行风险识别（如表1所示）和判断，以估出合理的风险系数，进而评估出不同云解决方案的固有风险、确定剩余风险，然后结合企业的风险接受程度选出风险适中的方案。其次，针对具体事项的风险可能性及潜在影响进行分析，并做出相应的应对策略。企业应根据所处行业特点、业务特点以及其他企业实际情况设计风险事项评估表（如表2所示）。其中，在对风险事项进行风险评估时，对于无法获取的相关信息如云服务提供商的内部控制环境等，可做出相关假设并根据各假设合理估计可能性的系数以及风险系数，最后综合得出相应事项的可能风险。

（三）控制活动方面

（四）信息与沟通方面

一是要在企业内部建立通畅的信息获取、加工与传递流程，包括同一层次部门之间的横向信息沟通、上下层部门之间的纵向信息沟通。二是企业应配备专门技术人员负责与云服务提供商、其他共同云租户进行相关的信息沟通，以保障企业能及时获取来自两者的信息并传递到企业内部，其中包括定期或不定期了解云服务提供商的云系统及其对云系统的控制措施；实时关注云服务提供商服务器所在国关于数据隐私等方面的相关制度规定；关注与云服务提供商相关的外部信息如公开披露、其他声明、评价等。

（五）监控方面

对于企业内部的监控措施，笔者认为，监控云技术应用的相关人员应避免与云服务提供商合作，故意隐瞒不利于企业的信息或利用获取的信息进行其他交易，同时应由专业人员对企业的内部控制制度进行评价并实时进行风险事项的评估与监控。关于对外部云服务提供商的监控措施，首先可通过对其提供的相关报告分析云系统的技术指标、稳定程度、系统的定期维护等进行监控判断其可能的风险变化。其次可通过网络、新闻、人员交流等渠道及时对云服务提供商的技术服务能力、信誉、关键技术人员变动等方面引起的风险变化进行监控。第三可通过审计部门对云服务提供商内部控制的审计报告（包括内部控制的安全性、完整性、保密性与隐私权等）了解并监控云服务提供商的内部控制风险。

（本文系山东省高等学校人文社科研究项目“云计算环境下的企业风险识别与审计变革”的阶段性研究成果）

责任编辑 李卓