陈若旸 黎 娜

（滁州学院，安徽 滁州239000）

一、引言

以物联网、云计算等为代表的现代信息技术快速发展，企业在享受低成本、高效率、易拓展的云计算服务优势的同时，也面临着数据、信息与资产的安全性、完整性方面的各种挑战（杨善林等，2015）[1]。云计算技术的应用，增加了企业内部控制系统的深度和广度，改变了内部控制要素的核心特征，引发企业内部控制新的潜在风险源。王平，罗济群等（2010）[2]运用模糊Petri网理论，以信息资产作业流程为基础，探究企业引入云计算后各项资产所面临的风险。卢霈（2013）[3]从内部控制的范围、对象、侧重点以及属性四个方面，阐述了云计算环境下企业内部控制活动的新风险，提出了相应的风险应对措施。冯龙飞（2014）[4]从人才、内部控制审计、内部控制环境、协调与沟通以及法律等方面，提出了云计算环境下企业风险管控建议。陈昱安等（2015）[5]采用德尔菲法，研究了云计算环境下企业的风险问题及其治理措施。上述学者们从不同的视角出发，探讨了云计算环境下企业的新风险及其管控措施，然而现有研究大多从内部控制五要素或者宏观视角探讨云计算环境下企业风险活动的新特征，缺乏对业务执行层及流程层面风险管控的研究。因此，如何将现代信息技术与企业业务流程进行有效整合，提高风险识别能力，强化防范能力对企业尤为重要。COBIT信息系统审计模型整合了IT过程、IT资源以及组织战略与目标三个维度，为云计算环境下企业内部控制提供了集成性的理论框架。

为此，本研究在系统分析云计算对企业内部控制影响的基础上，基于COBIT系统框架，从信息准则、IT资源、IT过程三个维度，剖析了云计算环境下内部控制的风险特征，并提出了相应的风险管控措施。

二、COBIT框架

COBIT是国际上通用的信息系统审计标准(Control Objectives for Information and Related Technology)，模型自1996年公布以来，先后经历了6次大的整合，从原本单一的计算机审计工具逐步完善为全面的信息技术管理规范。2019年最新版本的COBIT模型衔接新技术，强调商业趋势，针对网络安全、数据存储、隐私活动等焦点问题作出规范，为企业业务转型及信息化提供指导。目前，2012年颁布的COBIT 5.0模型应用最为广泛，它面向新的信息环境，制定了数字化环境下的信息系统审计新标准，革新了企业工作流程，探索了在新时代背景下，企业应如何调整人才结构，提升企业运用高新技术的能力，实现自我管理与自我监督，从而保障内部控制目标实现[6]。具体修订过程见图1。

图1 COBIT框架的历史演进

COBIT框架深受COSO框架的影响。COSO框架的全称是《内部控制整合框架》，由美国反虚假财务报告委员会下属的发起人委员会（简称COSO委员会）通过并发布，是内部控制发展进程中的一座里程碑。然而COSO框架主要侧重于企业财务风险相关的问题。随着IT技术、信息资源的不断发展，COSO框架逐渐不能满足信息使用者的需求。COBIT通过对信息系统环境的管控建立标准，是对COSO在信息技术领域的补充，能够为企业引进云技术后的内部控制活动提供理论参考。

COBIT模型首先考虑企业的战略规划，并通过对企业战略目标和经营环境的系统分析，层层分解企业战略目标至各个执行层面，通过控制作业流程进行业务控制，实现内部控制目标。在信息准则和审计指南的指导下，企业分别各个信息资源和关键内部控制点进行全方位全过程的管理[7]。COBIT5.0框架目前应用最为广泛，它涵盖IT过程、IT资源和信息准则三个维度（具体见图2表示）：

图2 COBIT5.0系统框架

由COBIT框架图我们可以看出，企业的信息准则主要包括信息质量、企业信誉两个方面；企业每一个层次又包括的IT资源主要涵盖人员、应用系统、数据及技术等方面；IT过程包括域、过程与活动三个层面，其中域又包括规划和组织、获得与实施、交付与支持、监控与评价四个层次。又包括若干子流程，企业的每一种活动都可以对应到这4个域。这样，企业可以有效保证控制活动与内控目标的一致性，保证企业治理活动的顺利进行。

三、基于COBIT框架的云计算环境下企业内部控制风险识别

（一）信息准则维度

法律准则的不健全往往会给企业引进云技

术带来新的管理难题。王平、柯文长等（2013）[8]

提出法律体系对企业引入云计算的冲击主要有：1.当地法院会扣压公司传票，这会造成客户信息所有权问题；2.企业管辖权变动存在风险；3.云端应用程序软件授权也存在法律盲点。冯龙飞（2014）[4]、邱瑞科等（2014）[9]及陈昱安等（2015）[5]认为现有的法律体系在对云端技术这类新兴技术的管控上存在较大漏洞。

（二）IT资源维度

1.人员

企业引入新兴技术，势必需要引进相应的管理和技术人才以达到企业既定的战略管理目标。庄甫蕙等（2013）[10]认为云计算会对企业文化产生冲击。云端的使用可能导致企业员工可能无法适应新的工作，产生人力资源不足及误用风险。冯龙飞（2014）[4]认为相关技术人员的缺乏、企业内部协调与沟通难度加大是企业引入云技术后面临的一项重要的挑战。邱瑞科等（2014）[9]认为云计算环境下企业可能存在云端人员登陆时身份验证的安全隐患。沈远江（2015）[11]提出企业的监督力度不足，对涉及到云计算业务的所有岗位存在分工不明确的问题。

2.应用系统

王平、罗济群等（2010）[2]认为企业引入云技术后其各个应用系统面临的主要风险有（1）客户端方面：使用者身份认证及隐私保护的风险；（2）服务器端方面：平台对服务认证以及系统安全稽核风险；（3）应用程序方面：存取控制，信息传输安全风险；（4）作业平台管理方面：作业系统漏洞管理风险；（5）基础建设方面：资料加密，实体及闸道的管控风险。

3.技术

云计算环境下对企业技术更新水平提出了新的要求。王平、罗济群等（2010）[2]认为云计算存在难以与企业内部IT整合的风险。陈昱安等（2015）[5]和王平、柯文长等（2013）[8]指出了企业引入云技术存在资源耗尽；客户间信息隔离失败；管理界面遭入侵；客户信息遭拦截；信息在上传或下载遭泄露；信息删除不完整；程序的错误；作业系统瑕疵；阻断式服务及其造成经济损失；遗失加密金钥；恶意的网络窥探或扫瞄；云端服务引擎遭入侵；云端服务环境无法满足客户安全要求这十三种技术风险。许瑛（2019）[13]及杨欣哲等（2015）[12]均指出云计算的互通性以及资源统一接口的整合也存在风险。

（三）IT过程维度

1.规划与组织

（1）管理企业架构

程平和张敏济（2018）[15]强调了管理型财务向价值型财务体系架构的挑战是企业运用云技术之后的必须解决的重要问题。陈昱安等（2015）[5]认为企业存在不受管束或未经授权的系统存取风险以及组织现有架构不能满足云计算管理需要的问题。

（2）管理服务协议

邱瑞科等（2014）[9]认为企业在制定服务协议过程中存在的风险有：1）发生资料外泄时的合约保障风险；2）发生服务效能不佳时的合约保障风险；3）云计算服务中断时的合约保障风险。朱辉（2014）[16]提出了基于云计算的企业的服务协议书存在服务连续性以及服务不透明的风险。除此之外，企业的云计算管理原则、服务协议也缺少风险等级的界定。

（3）管理供应商

朱辉（2014）[16]提出了云计算服务供应商存在提供服务不透明、数据残留等问题。邱瑞科等（2014）[9]认为企业引入云计算后缺少具有信息安全相关认证的服务供应商，这给企业信息安全管理埋下隐患，加大企业了资料遭到窃取的风险。企业在选择云端供应商时的风险主要包括：评估云服务供应商如何管理资料机制的风险；评估供应商是否取得信息安全认证（例如ISO27001）的风险；评估供应商是否提供相关资料存取记录的风险；若发生系统运转异常时（例如网络线因道路施工挖断）云服务供应商的快速响应风险；系统紧急处理的风险；服务供应商备份机制的了解程度风险。

2.获得与实施

企业引入云计算，储存在云端的客户资料即成为企业需要维护的一项重要资产。云资料的完整、私密、安全等问题引起了学者们的广泛关注。庄甫蕙等（2013）[10]指出客户资料的完整性、安全、窃取、备份和私密性问题是最重要的课题。邱瑞科等（2014）[9]认为企业资料的机密性，如：是否提供资料传输加密，是否提供诸如加密存档内部等保护措施，是企业实施云计算技术后必须考虑的方面。杨欣哲等（2015）[12]指出云服务必须保证不会泄漏企业隐私、保障交易过程中的财务安全，确保云端资料的完整与机密安全。此外，资料的转移及跨国提取、转移，黑客攻击等也都是企业需要考量的新风险。陈昱安等（2015）[5]还指出企业采用云计算可能存在机密信息被内部人员私自窃取以及重要资料档案被私自售卖给第三方的风险。Farber（2009）[17]指出资料转移到云端之后，企业还会丧失对资料的控制权，使得云端资料的使用权与控制权分离，造成新的管理维护风险，且整合资源、统一接口亦存在多重风险。

3.交付与支持

企业管理的连续性问题对引入云技术之后企业的运转起着基础与支持作用。王平、罗济群等（2010）[2]指出，企业进入云计算后可能会存在执行效能不足的问题。杨欣哲等（2015）[12]则指出企业的持续经营是企业风险与管理中的一个关键成功因素，如遇意外，企业就有遭遇云端突然终止服务的风险。王平、柯文长等（2013）[8]认为云计算的特性可能存在云端更新装备造成服务不稳定或终止的风险以及供应链无法运作的风险。程平和尹赤（2018）[18]以重庆海事局的收支管理内部控制为例，指出云计算给企业内部控制的范围和要求带来了冲击，使得内部控制难度增加，造成了企业内部沟通困难和协同障碍。

4.监测与评估

邱瑞科等（2014）[9]认为企业在评估云端在资料传输问题、效能保证问题以及设置储存空间上限问题方面存在评估困难的风险，且由于信息的不对称性，企业对云端的监控有很大的难度。

四、基于COBIT框架的云计算环境下企业风险治理机制

云计算环境下，企业的商业模式和战略目标会有所调整，使得企业的内部控制面临新的风险源。本节基于COBIT系统框架，从信息准则、IT资源和IT过程三个维度，提出了云计算环境下企业风险治理的管控措施。

（一）信息准则方面

面对无法避免的法律风险，程慧平等（2018）[19]认为企业应当借鉴循环管理思想，合理与第三方接洽，实时治理云风险。企业可以建立法律风险分层管理制度，第一层为小型风险，会计部门及有关业务单位应当及时处理。对于重大、疑难的风险，应当建立第二、三层的中型、大型防线，并且严格风险的事前与事中控制。企业应根据自身风险承受能力，明确不相容岗位及其权限与范围，在法律允许的范围内建立合适的内部控制制度以及风险预警管理制度，从而对信息准则风险进行严格管理，努力使信息透明化，准则规范化。

（二）IT资源

1.人员

丁淑芹（2015）[20]和沈远江（2015）[11]认为企业应首先提高各个部门的管理人员对云计算技术风险的防范意识，提高对风险的理解。其次，一定要注重对业务人员的培训，培养企业员工的风险意识，提升员工对新技术给企业管理带来变革风险的识别能力与应对能力。卢霈（2013）[3]指出企业应系统深入分析云计算对企业经营管理造成的影响，借鉴其他企业的成功经验，科学设定岗位职责分工，进一步完善内部控制制度，并加强对内部控制制度实施效果的持续监督。

2.应用系统

企业应当加强自身各个应用系统的密钥管理，设立密码安全等级。此外，企业亦可通过定期更换密钥以保证作业平台、服务端、应用程序等的安全。

3.技术

企业可以在信息化基础上通过多学科相互渗透，再造会计流程，转变内控职能，使资源协同、关系协同、技术协同，使云端可以及时接入。企业各部门资源可以与云端配置整合，以丰富和完善公司内部控制。此外，企业必须定期检查云端剩余储存空间，其资料与技术转移至云端过程中必须加密，以秘钥机制降低传输过程中产生的风险。

（三）IT过程方面

1.规划与组织

（1）管理企业架构

从企业内部来看，管理层应将管理的重点放在引进云技术后管理组织的变动控制方案的重新之否定上来；从企业外部来看，企业控制活动的焦点主要聚集在云端。企业应在制定本企业风险管理框架时充分考虑公共云中其他租户的数据敏感性、云端储存软件以及成为网络攻击目标的可能性。沈远江（2015）[11]提出企业应当强化信息沟通，可以通过架构信息系统，对信息重新归集、分类与重新聚焦。此外，企业应当架构横向传递与纵向传达机制，加强各个部门内部以及部门之间的信息沟通。

（2）管理服务协议

企业应当在签订协议前充分考虑可能存在的资料外泄、服务中断的风险，并在协议合约中对这些突发状况提出明确责任规定与风险处理方法，以减少突发状况给企业带来的损失。企业还应当对服务协议设立等级界定。

（3）管理供应商

丁淑芹（2015）[20]认为企业应当与云服务提供商及时沟通，以排除公有云中其他租户可能带来的潜在的风险。企业应当定期分析云端供应商所提供得云系统的技术指标、稳定程度等，从网络、人员交流等多个角度广泛了解供应商，建立完善遴选云服务供应商指标体系。企业还可以通过第三方（如审计部门）提供的报告了解并监控云服务提供商的内部控制风险，努力将供应商给企业带来的风险降到最低。

2.获得与实施

（1）管理资产

沈远江（2015）[11]提出企业应当保证存在云端的信息安全，对云端数据流运用密钥技术加密，并定期更换秘钥，以防止云端信息被篡改、泄露，威胁企业信息安全。另外，企业还可以建立资产风险等级制度以应对风险。

（2）管理配置

卢霈（2013）[3]提出企业一方面要保证信息系统控制目标与企业战略目标一致，建立合适的信息系统控制制度，对经营活动全过程全方位产生的各种信息信息进行归集、分类和二次整合；另外一方面要建立权责分明的信息传递机制，确保信息横向纵向均可以有效传递。

3.交付与支持

企业持续经营管理是引入云计算的基础。丁淑芹（2015）[20]提出企业引用云技术之后要在内部建立信息获取、加工与传递机制，防止企业出现执行效能不足、服务不稳定、上下级部门管理困难，各部门信息沟通不畅的情况，以达到企业管理持续性的目的，为企业引入云端技术后的一系列运作提供支持。

4.监测与评估

卢霈（2013）[3]提出企业对云端的监控应当贯穿整个过程，从引入新技术前的评估，到服务协议的制定、供应商的选择以及之后企业各部门间的组织协调，都应当有独立的监督部门监督反馈。

云计算环境下基于COBIT5.0框架的企业内部控制风险治理机制见图3。

图3 云计算环境下基于COBIT5.0框架的企业风险治理机制

五、总结

第三次信息化浪潮为云计算技术的广泛应用奠定了技术与实践基础。低成本、高效率、易拓展、跨地域等特点，使得企业可以享受多元信息服务，提高了信息分享的便利性。然而对云端的使用拓展了企业的治理边界，增加了企业内部控制制度的深度与广度，云端供应商也掌握了对企业至关重要的经营管理信息。如何规范云端使用准则，保证云端使用者合法权益，在便捷信息沟通的同时保证保证传输储存的完整、安全至关重要。未来，新技术将进一步渗透到各行各业，使用云端的企业将在各自的细分领域分享信息，彰显特色，抓住机遇，完善安全管理制度，拟定安全备份方案，从云终端的基础设施、硬件芯片可信技术、操作系统安全机制、应用安全更新机制加强自我防护意识，加强云终端数据的安全管理。虚拟服务器方面，包含敏感数据的应用程序及服务器加秘并更新需要加强。本文基于COBIT5.0框架，系统总结了以往的文献中企业引入云技术给内部控制活动带来的新风险以及企业应对新风险应的管控措施，为企业引入云计算后开展内部控制活动提供参考。