近日，美國反虛假財務(wù)報告委員會——COSO委員會發(fā)布了一份題為《針對云計算的企業(yè)風(fēng)險管理》的新指南，建議任何組織在與云計算服務(wù)商（CSP）簽訂合約之前，應(yīng)該先開展風(fēng)險管理活動。

上述指南提供了完整的核查方案，審視組織是如何遵循COSO的企業(yè)風(fēng)險管理（ERM）規(guī)定，通過整體框架來評估和管理因云計算而引發(fā)的風(fēng)險。

國富浩華會計公司（Crowe Horwath LLP）的風(fēng)險管理主管沃倫·陳（Warren Chan）、前任風(fēng)險管理顧問尤金·雷格（Eugene Leung）和海蒂·皮里（Heidi Pili）共同起草了這份指南。該指南認(rèn)為，在選擇CSP時，相關(guān)的風(fēng)險控管必須包括征詢方案和盡職調(diào)查。

此外，指南所要求的風(fēng)險管理還包括，在與每個CSP簽訂的協(xié)議中必須包括審計權(quán)條款。指南還建議，在選擇CSP之前，最好先進(jìn)行會晤，以便了解CSP是如何解決某些特定的風(fēng)險和事項的。”

指南表示，作為風(fēng)險管理的一部分，既可以由本組織的內(nèi)部審計師來評估CSP的內(nèi)部控制環(huán)境，也可以要求CSP提供獨立審計報告，如符合美國注冊會計師協(xié)會（AICPA）的規(guī)定、根據(jù)《鑒證業(yè)務(wù)準(zhǔn)則公告第16號》（SSAE 16）以及《服務(wù)型組織第2號控制準(zhǔn)則》（SOC 2）編制的、涉及安全性，有效性，傳輸完整性，保密性以及隱私性的審計報告。

指南稱，在適當(dāng)?shù)那闆r下，風(fēng)險管理還必須實施額外的控制，以便CSP所使用的格式能滿足組織的各種需求。

在一份聲明中，COSO的主席大衛(wèi)·蘭斯特爾（David Lansittel）表示，新鮮出爐的指南將有助于董事會成員發(fā)揮監(jiān)督作用，同時，指南也將有助于高級管理人員對云策略進(jìn)行風(fēng)險管理。

蘭斯特爾在新聞稿中說：“云計算給組織帶來的潛在好處是巨大的，但好處僅僅是一方面，并非云計算的全部。”指南列出了問題清單，需要董事會成員在進(jìn)行云計算風(fēng)險管理時予以考量，這些問題包括：

1、在整個管理中，由誰來負(fù)責(zé)了解和管理與云計算相關(guān)的企業(yè)風(fēng)險？

2、管理層是否制定了有效程序來監(jiān)管云計算？

3、對于云計算，競爭對手做了哪些工作？

即便管理層對云計算不感興趣，但為了防止和偵查雇員未經(jīng)授權(quán)使用云服務(wù)，指南仍然建議組織應(yīng)當(dāng)制定監(jiān)管措施。此外，啟動云服務(wù)相當(dāng)簡單且并不昂貴，其有限的支出可能都不足以引起管理層的注意。

與此同時，指南還建議對合同條款進(jìn)行審核，確保云計算遵守了數(shù)據(jù)保護(hù)法和司法管轄權(quán)。舉例來說，一家美國的CSP如果在德國管控數(shù)據(jù)，就必須遵守德國的數(shù)據(jù)保護(hù)法規(guī)、歐盟數(shù)據(jù)保護(hù)法規(guī)和通報法規(guī)、以及美國愛國者法案。

指南指出，數(shù)據(jù)分類政策必須確保組織上下充分理解數(shù)據(jù)的使用目的，所有權(quán)和敏感性，并且這些觀念得到了傳達(dá)。而上市公司的高管需認(rèn)識到，根據(jù)監(jiān)管要求和透明性義務(wù)，云計算的應(yīng)用可能會產(chǎn)生額外的財務(wù)報表披露。

指南表示，由一個單獨的CSP對多個組織的數(shù)據(jù)進(jìn)行整合會招致被網(wǎng)絡(luò)攻擊的額外風(fēng)險。一個小型企業(yè)也許會認(rèn)為自己不太可能會成為攻擊的目標(biāo)，但它若與另一個備受關(guān)注的組織共享云端基礎(chǔ)構(gòu)架時，它被網(wǎng)絡(luò)攻擊的可能性就會增加。

為了降低網(wǎng)絡(luò)攻擊的風(fēng)險，指南建議，只有在處理非基本或者非敏感數(shù)據(jù)時，才啟用第三方CSP。此外，云端數(shù)據(jù)必須進(jìn)行加密處理。

指南稱，若使用得當(dāng)，云計算能夠帶來的諸多好處還有待挖掘，但如管理不當(dāng)，云計算也會帶來諸多意想不到的麻煩。