陳若旸 黎 娜

（滁州學(xué)院，安徽 滁州239000）

一、引言

以物聯(lián)網(wǎng)、云計算等為代表的現(xiàn)代信息技術(shù)快速發(fā)展，企業(yè)在享受低成本、高效率、易拓展的云計算服務(wù)優(yōu)勢的同時，也面臨著數(shù)據(jù)、信息與資產(chǎn)的安全性、完整性方面的各種挑戰(zhàn)（楊善林等，2015）[1]。云計算技術(shù)的應(yīng)用，增加了企業(yè)內(nèi)部控制系統(tǒng)的深度和廣度，改變了內(nèi)部控制要素的核心特征，引發(fā)企業(yè)內(nèi)部控制新的潛在風(fēng)險源。王平，羅濟群等（2010）[2]運用模糊Petri網(wǎng)理論，以信息資產(chǎn)作業(yè)流程為基礎(chǔ)，探究企業(yè)引入云計算后各項資產(chǎn)所面臨的風(fēng)險。盧霈（2013）[3]從內(nèi)部控制的范圍、對象、側(cè)重點以及屬性四個方面，闡述了云計算環(huán)境下企業(yè)內(nèi)部控制活動的新風(fēng)險，提出了相應(yīng)的風(fēng)險應(yīng)對措施。馮龍飛（2014）[4]從人才、內(nèi)部控制審計、內(nèi)部控制環(huán)境、協(xié)調(diào)與溝通以及法律等方面，提出了云計算環(huán)境下企業(yè)風(fēng)險管控建議。陳昱安等（2015）[5]采用德爾菲法，研究了云計算環(huán)境下企業(yè)的風(fēng)險問題及其治理措施。上述學(xué)者們從不同的視角出發(fā)，探討了云計算環(huán)境下企業(yè)的新風(fēng)險及其管控措施，然而現(xiàn)有研究大多從內(nèi)部控制五要素或者宏觀視角探討云計算環(huán)境下企業(yè)風(fēng)險活動的新特征，缺乏對業(yè)務(wù)執(zhí)行層及流程層面風(fēng)險管控的研究。因此，如何將現(xiàn)代信息技術(shù)與企業(yè)業(yè)務(wù)流程進行有效整合，提高風(fēng)險識別能力，強化防范能力對企業(yè)尤為重要。COBIT信息系統(tǒng)審計模型整合了IT過程、IT資源以及組織戰(zhàn)略與目標(biāo)三個維度，為云計算環(huán)境下企業(yè)內(nèi)部控制提供了集成性的理論框架。

為此，本研究在系統(tǒng)分析云計算對企業(yè)內(nèi)部控制影響的基礎(chǔ)上，基于COBIT系統(tǒng)框架，從信息準則、IT資源、IT過程三個維度，剖析了云計算環(huán)境下內(nèi)部控制的風(fēng)險特征，并提出了相應(yīng)的風(fēng)險管控措施。

二、COBIT框架

COBIT是國際上通用的信息系統(tǒng)審計標(biāo)準(Control Objectives for Information and Related Technology)，模型自1996年公布以來，先后經(jīng)歷了6次大的整合，從原本單一的計算機審計工具逐步完善為全面的信息技術(shù)管理規(guī)范。2019年最新版本的COBIT模型銜接新技術(shù)，強調(diào)商業(yè)趨勢，針對網(wǎng)絡(luò)安全、數(shù)據(jù)存儲、隱私活動等焦點問題作出規(guī)范，為企業(yè)業(yè)務(wù)轉(zhuǎn)型及信息化提供指導(dǎo)。目前，2012年頒布的COBIT 5.0模型應(yīng)用最為廣泛，它面向新的信息環(huán)境，制定了數(shù)字化環(huán)境下的信息系統(tǒng)審計新標(biāo)準，革新了企業(yè)工作流程，探索了在新時代背景下，企業(yè)應(yīng)如何調(diào)整人才結(jié)構(gòu)，提升企業(yè)運用高新技術(shù)的能力，實現(xiàn)自我管理與自我監(jiān)督，從而保障內(nèi)部控制目標(biāo)實現(xiàn)[6]。具體修訂過程見圖1。

圖1 COBIT框架的歷史演進

COBIT框架深受COSO框架的影響。COSO框架的全稱是《內(nèi)部控制整合框架》，由美國反虛假財務(wù)報告委員會下屬的發(fā)起人委員會（簡稱COSO委員會）通過并發(fā)布，是內(nèi)部控制發(fā)展進程中的一座里程碑。然而COSO框架主要側(cè)重于企業(yè)財務(wù)風(fēng)險相關(guān)的問題。隨著IT技術(shù)、信息資源的不斷發(fā)展，COSO框架逐漸不能滿足信息使用者的需求。COBIT通過對信息系統(tǒng)環(huán)境的管控建立標(biāo)準，是對COSO在信息技術(shù)領(lǐng)域的補充，能夠為企業(yè)引進云技術(shù)后的內(nèi)部控制活動提供理論參考。

COBIT模型首先考慮企業(yè)的戰(zhàn)略規(guī)劃，并通過對企業(yè)戰(zhàn)略目標(biāo)和經(jīng)營環(huán)境的系統(tǒng)分析，層層分解企業(yè)戰(zhàn)略目標(biāo)至各個執(zhí)行層面，通過控制作業(yè)流程進行業(yè)務(wù)控制，實現(xiàn)內(nèi)部控制目標(biāo)。在信息準則和審計指南的指導(dǎo)下，企業(yè)分別各個信息資源和關(guān)鍵內(nèi)部控制點進行全方位全過程的管理[7]。COBIT5.0框架目前應(yīng)用最為廣泛，它涵蓋IT過程、IT資源和信息準則三個維度（具體見圖2表示）：

圖2 COBIT5.0系統(tǒng)框架

由COBIT框架圖我們可以看出，企業(yè)的信息準則主要包括信息質(zhì)量、企業(yè)信譽兩個方面；企業(yè)每一個層次又包括的IT資源主要涵蓋人員、應(yīng)用系統(tǒng)、數(shù)據(jù)及技術(shù)等方面；IT過程包括域、過程與活動三個層面，其中域又包括規(guī)劃和組織、獲得與實施、交付與支持、監(jiān)控與評價四個層次。又包括若干子流程，企業(yè)的每一種活動都可以對應(yīng)到這4個域。這樣，企業(yè)可以有效保證控制活動與內(nèi)控目標(biāo)的一致性，保證企業(yè)治理活動的順利進行。

三、基于COBIT框架的云計算環(huán)境下企業(yè)內(nèi)部控制風(fēng)險識別

（一）信息準則維度

法律準則的不健全往往會給企業(yè)引進云技

術(shù)帶來新的管理難題。王平、柯文長等（2013）[8]

提出法律體系對企業(yè)引入云計算的沖擊主要有：1.當(dāng)?shù)胤ㄔ簳蹓汗緜髌保@會造成客戶信息所有權(quán)問題；2.企業(yè)管轄權(quán)變動存在風(fēng)險；3.云端應(yīng)用程序軟件授權(quán)也存在法律盲點。馮龍飛（2014）[4]、邱瑞科等（2014）[9]及陳昱安等（2015）[5]認為現(xiàn)有的法律體系在對云端技術(shù)這類新興技術(shù)的管控上存在較大漏洞。

（二）IT資源維度

1.人員

企業(yè)引入新興技術(shù)，勢必需要引進相應(yīng)的管理和技術(shù)人才以達到企業(yè)既定的戰(zhàn)略管理目標(biāo)。莊甫蕙等（2013）[10]認為云計算會對企業(yè)文化產(chǎn)生沖擊。云端的使用可能導(dǎo)致企業(yè)員工可能無法適應(yīng)新的工作，產(chǎn)生人力資源不足及誤用風(fēng)險。馮龍飛（2014）[4]認為相關(guān)技術(shù)人員的缺乏、企業(yè)內(nèi)部協(xié)調(diào)與溝通難度加大是企業(yè)引入云技術(shù)后面臨的一項重要的挑戰(zhàn)。邱瑞科等（2014）[9]認為云計算環(huán)境下企業(yè)可能存在云端人員登陸時身份驗證的安全隱患。沈遠江（2015）[11]提出企業(yè)的監(jiān)督力度不足，對涉及到云計算業(yè)務(wù)的所有崗位存在分工不明確的問題。

2.應(yīng)用系統(tǒng)

王平、羅濟群等（2010）[2]認為企業(yè)引入云技術(shù)后其各個應(yīng)用系統(tǒng)面臨的主要風(fēng)險有（1）客戶端方面：使用者身份認證及隱私保護的風(fēng)險；（2）服務(wù)器端方面：平臺對服務(wù)認證以及系統(tǒng)安全稽核風(fēng)險；（3）應(yīng)用程序方面：存取控制，信息傳輸安全風(fēng)險；（4）作業(yè)平臺管理方面：作業(yè)系統(tǒng)漏洞管理風(fēng)險；（5）基礎(chǔ)建設(shè)方面：資料加密，實體及閘道的管控風(fēng)險。

3.技術(shù)

云計算環(huán)境下對企業(yè)技術(shù)更新水平提出了新的要求。王平、羅濟群等（2010）[2]認為云計算存在難以與企業(yè)內(nèi)部IT整合的風(fēng)險。陳昱安等（2015）[5]和王平、柯文長等（2013）[8]指出了企業(yè)引入云技術(shù)存在資源耗盡；客戶間信息隔離失??；管理界面遭入侵；客戶信息遭攔截；信息在上傳或下載遭泄露；信息刪除不完整；程序的錯誤；作業(yè)系統(tǒng)瑕疵；阻斷式服務(wù)及其造成經(jīng)濟損失；遺失加密金鑰；惡意的網(wǎng)絡(luò)窺探或掃瞄；云端服務(wù)引擎遭入侵；云端服務(wù)環(huán)境無法滿足客戶安全要求這十三種技術(shù)風(fēng)險。許瑛（2019）[13]及楊欣哲等（2015）[12]均指出云計算的互通性以及資源統(tǒng)一接口的整合也存在風(fēng)險。

（三）IT過程維度

1.規(guī)劃與組織

（1）管理企業(yè)架構(gòu)

程平和張敏濟（2018）[15]強調(diào)了管理型財務(wù)向價值型財務(wù)體系架構(gòu)的挑戰(zhàn)是企業(yè)運用云技術(shù)之后的必須解決的重要問題。陳昱安等（2015）[5]認為企業(yè)存在不受管束或未經(jīng)授權(quán)的系統(tǒng)存取風(fēng)險以及組織現(xiàn)有架構(gòu)不能滿足云計算管理需要的問題。

（2）管理服務(wù)協(xié)議

邱瑞科等（2014）[9]認為企業(yè)在制定服務(wù)協(xié)議過程中存在的風(fēng)險有：1）發(fā)生資料外泄時的合約保障風(fēng)險；2）發(fā)生服務(wù)效能不佳時的合約保障風(fēng)險；3）云計算服務(wù)中斷時的合約保障風(fēng)險。朱輝（2014）[16]提出了基于云計算的企業(yè)的服務(wù)協(xié)議書存在服務(wù)連續(xù)性以及服務(wù)不透明的風(fēng)險。除此之外，企業(yè)的云計算管理原則、服務(wù)協(xié)議也缺少風(fēng)險等級的界定。

（3）管理供應(yīng)商

朱輝（2014）[16]提出了云計算服務(wù)供應(yīng)商存在提供服務(wù)不透明、數(shù)據(jù)殘留等問題。邱瑞科等（2014）[9]認為企業(yè)引入云計算后缺少具有信息安全相關(guān)認證的服務(wù)供應(yīng)商，這給企業(yè)信息安全管理埋下隱患，加大企業(yè)了資料遭到竊取的風(fēng)險。企業(yè)在選擇云端供應(yīng)商時的風(fēng)險主要包括：評估云服務(wù)供應(yīng)商如何管理資料機制的風(fēng)險；評估供應(yīng)商是否取得信息安全認證（例如ISO27001）的風(fēng)險；評估供應(yīng)商是否提供相關(guān)資料存取記錄的風(fēng)險；若發(fā)生系統(tǒng)運轉(zhuǎn)異常時（例如網(wǎng)絡(luò)線因道路施工挖斷）云服務(wù)供應(yīng)商的快速響應(yīng)風(fēng)險；系統(tǒng)緊急處理的風(fēng)險；服務(wù)供應(yīng)商備份機制的了解程度風(fēng)險。

2.獲得與實施

企業(yè)引入云計算，儲存在云端的客戶資料即成為企業(yè)需要維護的一項重要資產(chǎn)。云資料的完整、私密、安全等問題引起了學(xué)者們的廣泛關(guān)注。莊甫蕙等（2013）[10]指出客戶資料的完整性、安全、竊取、備份和私密性問題是最重要的課題。邱瑞科等（2014）[9]認為企業(yè)資料的機密性，如：是否提供資料傳輸加密，是否提供諸如加密存檔內(nèi)部等保護措施，是企業(yè)實施云計算技術(shù)后必須考慮的方面。楊欣哲等（2015）[12]指出云服務(wù)必須保證不會泄漏企業(yè)隱私、保障交易過程中的財務(wù)安全，確保云端資料的完整與機密安全。此外，資料的轉(zhuǎn)移及跨國提取、轉(zhuǎn)移，黑客攻擊等也都是企業(yè)需要考量的新風(fēng)險。陳昱安等（2015）[5]還指出企業(yè)采用云計算可能存在機密信息被內(nèi)部人員私自竊取以及重要資料檔案被私自售賣給第三方的風(fēng)險。Farber（2009）[17]指出資料轉(zhuǎn)移到云端之后，企業(yè)還會喪失對資料的控制權(quán)，使得云端資料的使用權(quán)與控制權(quán)分離，造成新的管理維護風(fēng)險，且整合資源、統(tǒng)一接口亦存在多重風(fēng)險。

3.交付與支持

企業(yè)管理的連續(xù)性問題對引入云技術(shù)之后企業(yè)的運轉(zhuǎn)起著基礎(chǔ)與支持作用。王平、羅濟群等（2010）[2]指出，企業(yè)進入云計算后可能會存在執(zhí)行效能不足的問題。楊欣哲等（2015）[12]則指出企業(yè)的持續(xù)經(jīng)營是企業(yè)風(fēng)險與管理中的一個關(guān)鍵成功因素，如遇意外，企業(yè)就有遭遇云端突然終止服務(wù)的風(fēng)險。王平、柯文長等（2013）[8]認為云計算的特性可能存在云端更新裝備造成服務(wù)不穩(wěn)定或終止的風(fēng)險以及供應(yīng)鏈無法運作的風(fēng)險。程平和尹赤（2018）[18]以重慶海事局的收支管理內(nèi)部控制為例，指出云計算給企業(yè)內(nèi)部控制的范圍和要求帶來了沖擊，使得內(nèi)部控制難度增加，造成了企業(yè)內(nèi)部溝通困難和協(xié)同障礙。

4.監(jiān)測與評估

邱瑞科等（2014）[9]認為企業(yè)在評估云端在資料傳輸問題、效能保證問題以及設(shè)置儲存空間上限問題方面存在評估困難的風(fēng)險，且由于信息的不對稱性，企業(yè)對云端的監(jiān)控有很大的難度。

四、基于COBIT框架的云計算環(huán)境下企業(yè)風(fēng)險治理機制

云計算環(huán)境下，企業(yè)的商業(yè)模式和戰(zhàn)略目標(biāo)會有所調(diào)整，使得企業(yè)的內(nèi)部控制面臨新的風(fēng)險源。本節(jié)基于COBIT系統(tǒng)框架，從信息準則、IT資源和IT過程三個維度，提出了云計算環(huán)境下企業(yè)風(fēng)險治理的管控措施。

（一）信息準則方面

面對無法避免的法律風(fēng)險，程慧平等（2018）[19]認為企業(yè)應(yīng)當(dāng)借鑒循環(huán)管理思想，合理與第三方接洽，實時治理云風(fēng)險。企業(yè)可以建立法律風(fēng)險分層管理制度，第一層為小型風(fēng)險，會計部門及有關(guān)業(yè)務(wù)單位應(yīng)當(dāng)及時處理。對于重大、疑難的風(fēng)險，應(yīng)當(dāng)建立第二、三層的中型、大型防線，并且嚴格風(fēng)險的事前與事中控制。企業(yè)應(yīng)根據(jù)自身風(fēng)險承受能力，明確不相容崗位及其權(quán)限與范圍，在法律允許的范圍內(nèi)建立合適的內(nèi)部控制制度以及風(fēng)險預(yù)警管理制度，從而對信息準則風(fēng)險進行嚴格管理，努力使信息透明化，準則規(guī)范化。

（二）IT資源

1.人員

丁淑芹（2015）[20]和沈遠江（2015）[11]認為企業(yè)應(yīng)首先提高各個部門的管理人員對云計算技術(shù)風(fēng)險的防范意識，提高對風(fēng)險的理解。其次，一定要注重對業(yè)務(wù)人員的培訓(xùn)，培養(yǎng)企業(yè)員工的風(fēng)險意識，提升員工對新技術(shù)給企業(yè)管理帶來變革風(fēng)險的識別能力與應(yīng)對能力。盧霈（2013）[3]指出企業(yè)應(yīng)系統(tǒng)深入分析云計算對企業(yè)經(jīng)營管理造成的影響，借鑒其他企業(yè)的成功經(jīng)驗，科學(xué)設(shè)定崗位職責(zé)分工，進一步完善內(nèi)部控制制度，并加強對內(nèi)部控制制度實施效果的持續(xù)監(jiān)督。

2.應(yīng)用系統(tǒng)

企業(yè)應(yīng)當(dāng)加強自身各個應(yīng)用系統(tǒng)的密鑰管理，設(shè)立密碼安全等級。此外，企業(yè)亦可通過定期更換密鑰以保證作業(yè)平臺、服務(wù)端、應(yīng)用程序等的安全。

3.技術(shù)

企業(yè)可以在信息化基礎(chǔ)上通過多學(xué)科相互滲透，再造會計流程，轉(zhuǎn)變內(nèi)控職能，使資源協(xié)同、關(guān)系協(xié)同、技術(shù)協(xié)同，使云端可以及時接入。企業(yè)各部門資源可以與云端配置整合，以豐富和完善公司內(nèi)部控制。此外，企業(yè)必須定期檢查云端剩余儲存空間，其資料與技術(shù)轉(zhuǎn)移至云端過程中必須加密，以秘鑰機制降低傳輸過程中產(chǎn)生的風(fēng)險。

（三）IT過程方面

1.規(guī)劃與組織

（1）管理企業(yè)架構(gòu)

從企業(yè)內(nèi)部來看，管理層應(yīng)將管理的重點放在引進云技術(shù)后管理組織的變動控制方案的重新之否定上來；從企業(yè)外部來看，企業(yè)控制活動的焦點主要聚集在云端。企業(yè)應(yīng)在制定本企業(yè)風(fēng)險管理框架時充分考慮公共云中其他租戶的數(shù)據(jù)敏感性、云端儲存軟件以及成為網(wǎng)絡(luò)攻擊目標(biāo)的可能性。沈遠江（2015）[11]提出企業(yè)應(yīng)當(dāng)強化信息溝通，可以通過架構(gòu)信息系統(tǒng)，對信息重新歸集、分類與重新聚焦。此外，企業(yè)應(yīng)當(dāng)架構(gòu)橫向傳遞與縱向傳達機制，加強各個部門內(nèi)部以及部門之間的信息溝通。

（2）管理服務(wù)協(xié)議

企業(yè)應(yīng)當(dāng)在簽訂協(xié)議前充分考慮可能存在的資料外泄、服務(wù)中斷的風(fēng)險，并在協(xié)議合約中對這些突發(fā)狀況提出明確責(zé)任規(guī)定與風(fēng)險處理方法，以減少突發(fā)狀況給企業(yè)帶來的損失。企業(yè)還應(yīng)當(dāng)對服務(wù)協(xié)議設(shè)立等級界定。

（3）管理供應(yīng)商

丁淑芹（2015）[20]認為企業(yè)應(yīng)當(dāng)與云服務(wù)提供商及時溝通，以排除公有云中其他租戶可能帶來的潛在的風(fēng)險。企業(yè)應(yīng)當(dāng)定期分析云端供應(yīng)商所提供得云系統(tǒng)的技術(shù)指標(biāo)、穩(wěn)定程度等，從網(wǎng)絡(luò)、人員交流等多個角度廣泛了解供應(yīng)商，建立完善遴選云服務(wù)供應(yīng)商指標(biāo)體系。企業(yè)還可以通過第三方（如審計部門）提供的報告了解并監(jiān)控云服務(wù)提供商的內(nèi)部控制風(fēng)險，努力將供應(yīng)商給企業(yè)帶來的風(fēng)險降到最低。

2.獲得與實施

（1）管理資產(chǎn)

沈遠江（2015）[11]提出企業(yè)應(yīng)當(dāng)保證存在云端的信息安全，對云端數(shù)據(jù)流運用密鑰技術(shù)加密，并定期更換秘鑰，以防止云端信息被篡改、泄露，威脅企業(yè)信息安全。另外，企業(yè)還可以建立資產(chǎn)風(fēng)險等級制度以應(yīng)對風(fēng)險。

（2）管理配置

盧霈（2013）[3]提出企業(yè)一方面要保證信息系統(tǒng)控制目標(biāo)與企業(yè)戰(zhàn)略目標(biāo)一致，建立合適的信息系統(tǒng)控制制度，對經(jīng)營活動全過程全方位產(chǎn)生的各種信息信息進行歸集、分類和二次整合；另外一方面要建立權(quán)責(zé)分明的信息傳遞機制，確保信息橫向縱向均可以有效傳遞。

3.交付與支持

企業(yè)持續(xù)經(jīng)營管理是引入云計算的基礎(chǔ)。丁淑芹（2015）[20]提出企業(yè)引用云技術(shù)之后要在內(nèi)部建立信息獲取、加工與傳遞機制，防止企業(yè)出現(xiàn)執(zhí)行效能不足、服務(wù)不穩(wěn)定、上下級部門管理困難，各部門信息溝通不暢的情況，以達到企業(yè)管理持續(xù)性的目的，為企業(yè)引入云端技術(shù)后的一系列運作提供支持。

4.監(jiān)測與評估

盧霈（2013）[3]提出企業(yè)對云端的監(jiān)控應(yīng)當(dāng)貫穿整個過程，從引入新技術(shù)前的評估，到服務(wù)協(xié)議的制定、供應(yīng)商的選擇以及之后企業(yè)各部門間的組織協(xié)調(diào)，都應(yīng)當(dāng)有獨立的監(jiān)督部門監(jiān)督反饋。

云計算環(huán)境下基于COBIT5.0框架的企業(yè)內(nèi)部控制風(fēng)險治理機制見圖3。

圖3 云計算環(huán)境下基于COBIT5.0框架的企業(yè)風(fēng)險治理機制

五、總結(jié)

第三次信息化浪潮為云計算技術(shù)的廣泛應(yīng)用奠定了技術(shù)與實踐基礎(chǔ)。低成本、高效率、易拓展、跨地域等特點，使得企業(yè)可以享受多元信息服務(wù)，提高了信息分享的便利性。然而對云端的使用拓展了企業(yè)的治理邊界，增加了企業(yè)內(nèi)部控制制度的深度與廣度，云端供應(yīng)商也掌握了對企業(yè)至關(guān)重要的經(jīng)營管理信息。如何規(guī)范云端使用準則，保證云端使用者合法權(quán)益，在便捷信息溝通的同時保證保證傳輸儲存的完整、安全至關(guān)重要。未來，新技術(shù)將進一步滲透到各行各業(yè)，使用云端的企業(yè)將在各自的細分領(lǐng)域分享信息，彰顯特色，抓住機遇，完善安全管理制度，擬定安全備份方案，從云終端的基礎(chǔ)設(shè)施、硬件芯片可信技術(shù)、操作系統(tǒng)安全機制、應(yīng)用安全更新機制加強自我防護意識，加強云終端數(shù)據(jù)的安全管理。虛擬服務(wù)器方面，包含敏感數(shù)據(jù)的應(yīng)用程序及服務(wù)器加秘并更新需要加強。本文基于COBIT5.0框架，系統(tǒng)總結(jié)了以往的文獻中企業(yè)引入云技術(shù)給內(nèi)部控制活動帶來的新風(fēng)險以及企業(yè)應(yīng)對新風(fēng)險應(yīng)的管控措施，為企業(yè)引入云計算后開展內(nèi)部控制活動提供參考。