淺析云環(huán)境下企業(yè)內(nèi)部控制問題與防范

傅靜

摘要：云計算作為其中一種新型的計算模式，極大的改變了企業(yè)傳統(tǒng)的信息處理模式，使企業(yè)能夠以更低廉的成本獲取更高的計算能力，已經(jīng)被越來越多的企業(yè)所運用。但由于云計算尚處在起步階段，其推廣與應用還未成熟，也給企業(yè)的內(nèi)部控制帶來了風險與挑戰(zhàn)。本文分析了目前云計算環(huán)境下內(nèi)部控制存在的問題，總結(jié)出企業(yè)在內(nèi)部控制的制度、監(jiān)督、內(nèi)部環(huán)境的監(jiān)管、風險的管理水平以及信息的溝通等方面的應對策略，促進企業(yè)內(nèi)部控制機制的完善，實現(xiàn)企業(yè)的健康持續(xù)發(fā)展。

關(guān)鍵詞：云計算，內(nèi)部控制，問題與應對策略

云計算以其高效的信息處理模式和低廉的成本逐漸被人們熟知和應用，目前云計算模式在商業(yè)領(lǐng)域的運用越來越廣泛，為企業(yè)的發(fā)展帶來了空前的機遇，它的發(fā)展極大改變了互聯(lián)網(wǎng)產(chǎn)業(yè)的模式，衍生出一套新的商業(yè)理念，對企業(yè)信息模式的轉(zhuǎn)變、實現(xiàn)效益最大化的目標有著重大意義。云計算環(huán)境下的企業(yè)內(nèi)部控制，相對于傳統(tǒng)的手工及計算機操作的財務活動的監(jiān)管控制，變成對企業(yè)的會計信息系統(tǒng)、云計算服務提供商、“云”中存儲數(shù)據(jù)的隱私及安全在內(nèi)的大量內(nèi)容和業(yè)務環(huán)節(jié)進行控制，加大了企業(yè)的內(nèi)部控制范圍與控制難度。針對于云計算在企業(yè)應用中的風險，本文對企業(yè)內(nèi)部控制的應對措施進行了具體研究。

1云計算環(huán)境下企業(yè)內(nèi)部控制的發(fā)展

1.1云計算含義與特點

業(yè)界對于云計算定義的表述有很多，目前尚未出現(xiàn)一致的認識，但被大多數(shù)人接受的是美國國家標準與技術(shù)研究院（NIST）定義：“云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡訪問， 進入可配置的計算資源共享池（資源包括網(wǎng)絡，服務器，存儲，應用軟件，服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。”云計算具有按需服務、虛擬化、高可擴展性、可度量性、經(jīng)濟性。等貼點。

1.2云計算環(huán)境下企業(yè)內(nèi)部控制的發(fā)展

（1）提高內(nèi)部控制機制的效率。基于云計算模式，企業(yè)的財務處理更加分工明確，公司可以通過設置不同級別的“云”來存儲不同保密等級的信息，授予不同級別的操作人員進行相應的查看、修改、更新數(shù)據(jù)權(quán)利，將責任落實到個人。在云計算環(huán)境的支持下，企業(yè)的內(nèi)部控制系統(tǒng)職責明確，員工可以各司其職，大大提高了企業(yè)內(nèi)部控制機制的工作效率。

（2）降低內(nèi)部控制活動的成本。在云計算系統(tǒng)下，企業(yè)可以通過互聯(lián)網(wǎng)接入系統(tǒng)并登陸，在云計算服務商提供的服務器平臺上建立應用軟件并運行。而對于財務系統(tǒng)應用環(huán)境、服務器平臺、軟硬件資源都由云計算服務商提供并負責前期的實施和后期的維護，企業(yè)只要按使用資源多少或時間長短付費，即包括前期的系統(tǒng)實施費和之后的軟件租賃費，付費后便可通過互聯(lián)網(wǎng)使用會計信息系統(tǒng)，在管理過程中無需再額外進行購買軟硬件、維護機房、招聘技術(shù)人員等支出，降低了企業(yè)內(nèi)部控制活動的成本。

2云計算環(huán)境下企業(yè)內(nèi)部控制的風險

2.1用戶數(shù)據(jù)安全性風險

云計算作為一種嶄新的信息化服務模式正在深刻的影響著信息數(shù)據(jù)的安全性。由于企業(yè)在使用云計算服務的時候，需要將本企業(yè)的數(shù)據(jù)上傳并存儲在“云”端，而用戶一旦將數(shù)據(jù)傳輸給云計算服務商，就失去了對數(shù)據(jù)的完全控制，加大了企業(yè)對其信息數(shù)據(jù)管理的不可控性與不確定性，數(shù)據(jù)的丟失泄露、是否能夠被徹底刪除、進行有效隔離就成了信息化下的一系列新問題。

2.2用戶數(shù)據(jù)私密性的挑戰(zhàn)

云計算的服務是以分布式網(wǎng)絡為基礎(chǔ)，每位用戶是網(wǎng)絡中的一個節(jié)點，因此當連接網(wǎng)絡使用云計算的時候，各個節(jié)點都可以被云計算服務商訪問，用戶的各種數(shù)據(jù)信息都會被記錄并被云計算服務商獲取。而由于信息的不對等，云計算服務商有可能在用戶并不知情的情況下非法利用用戶的私密數(shù)據(jù)，以達到實現(xiàn)其私人利益的目的。

2.3云計算服務商選擇風險的挑戰(zhàn)

云計算環(huán)境下企業(yè)的內(nèi)部控制對象將不僅是企業(yè)內(nèi)部的信息系統(tǒng)，還包括了云計算服務提供商及其相關(guān)的數(shù)據(jù)安全。而目前云計算的發(fā)展并不完善，尚缺乏統(tǒng)一的行業(yè)規(guī)范，導致云計算服務提供商的水平不一，很多企業(yè)由于缺乏云計算的相關(guān)知識，對于云計算服務提供商的服務水平與能力認識不足，無法準確的衡量云計算服務模式下將會產(chǎn)生的一系列問題。在這樣的情況下，企業(yè)對于云計算服務提供商的選擇和管理將面臨很大的風險。

2.4企業(yè)人員知識技術(shù)風險的挑戰(zhàn)

企業(yè)云計算系統(tǒng)的運行離不開專業(yè)技術(shù)人員的管理和維護，在內(nèi)部控制的監(jiān)管上，必須要有相關(guān)技術(shù)人員的技術(shù)支持和指導。目前企業(yè)中很多從事內(nèi)部控制的人員只掌握了財務方面的知識，懂得信息管理知識的人較少，對于云計算的了解明顯不足，企業(yè)缺乏擅長云計算應用的專門人才。這將使企業(yè)的內(nèi)部控制管理人員無法把握云計算服務模式的關(guān)鍵問題，對于云計算服務的運行方式認識不足，進而導致企業(yè)無法發(fā)揮內(nèi)部控制的制約和監(jiān)督功能。

3云計算環(huán)境下內(nèi)部控制的應對措施

3.1關(guān)注云計算應用流程的重點

在云計算的具體應用流程中，應注重與云計算服務商簽訂合同的重點條款和關(guān)鍵細節(jié)的規(guī)定。對于合同中自己訴求的內(nèi)容應有明確規(guī)定，例如對云計算服務商數(shù)據(jù)運行和控制的知情權(quán)、對于云計算服務提供商的收費標準和收費方式、對于發(fā)生數(shù)據(jù)丟失泄露等情況應承擔的責任、云計算服務商對于數(shù)據(jù)安全和運行控制的義務、對于意外情況的應對措施等等方面。云計算服務的提供受到已簽訂合同的約束，因此，企業(yè)要重視合同中對云計算運行的規(guī)定，加大對云計算應用流程重點的把握，確保云計算服務系統(tǒng)能夠合理運行。

3.2對信息數(shù)據(jù)實施分層次管理

在信息數(shù)據(jù)的參與管理上，對數(shù)據(jù)進行分層次管理可以使企業(yè)云計算模式的運行更為合理有序。企業(yè)需要將數(shù)據(jù)按不同要求分類，然后分別對其進行監(jiān)管。例如企業(yè)可以根據(jù)數(shù)據(jù)的私密性分為可完全公開、部分對外公開、不可公開三種類型，之后根據(jù)數(shù)據(jù)不同的性質(zhì)制定不同的控制措施，使企業(yè)的管理人員可以了解不同數(shù)據(jù)的審查權(quán)限，避免員工越權(quán)處理，有利于企業(yè)數(shù)據(jù)的安全性保護。

3.3云計算服務提供商的選擇

在云計算服務提供商的選擇方面，企業(yè)要了解所選擇的云計算服務提供商的基本情況，請專業(yè)人員評估待選擇的云計算服務提供商，評估內(nèi)容要包括該提供商的能力水平、持續(xù)提供服務的經(jīng)驗、人才環(huán)境、內(nèi)部控制、財務狀況等，通過對不同服務商的綜合能力比較，進而選擇出與本企業(yè)風險偏好最接近的云計算服務提供商。

3.4提高員工對風險的識別和控制能力

在提高企業(yè)員工對風險的識別和控制能力上，企業(yè)不僅要加強相關(guān)技術(shù)人員的技術(shù)培訓，更要注重對管理人員應對信息化風險能力的培養(yǎng)，管理人員對于云計算風險的把握程度將極大影響整個企業(yè)內(nèi)部控制效能的發(fā)揮。因此企業(yè)要多組織云計算應用方面的培訓，使員工在不斷學習交流中提高云計算服務模式下的風險控制能力，降低企業(yè)內(nèi)部控制在云計算環(huán)境下的不利風險。

3.5加強內(nèi)部環(huán)境監(jiān)管

內(nèi)部環(huán)境是企業(yè)內(nèi)部的物質(zhì)環(huán)境和文化環(huán)境的總和，包括企業(yè)資源、企業(yè)能力、企業(yè)文化等因素，加強內(nèi)部環(huán)境的監(jiān)管有利于企業(yè)管理層結(jié)合實際制定長遠戰(zhàn)略，發(fā)揮自身長處，有效整合資源，同時避免自己的劣勢和不足，或采取有效的措施改進不足，揚長避短，促進企業(yè)的穩(wěn)定發(fā)展。內(nèi)部環(huán)境是企業(yè)進行內(nèi)部控制的基礎(chǔ)和前提。在云計算環(huán)境下，企業(yè)對內(nèi)部環(huán)境的管理主要包括提高對云計算活動的控制能力、加強內(nèi)部審計、將云計算融入企業(yè)文化中。

參考文獻

[1]林少煌.云計算技術(shù)應用下的企業(yè)風險應對探析 —— 從企業(yè)內(nèi)部控制角度[J].財務與會計，2013（12）：52～54

[2]張詩敏，王瑞雪.云計算對跨國公司內(nèi)部控制效果的提升研究[J].廣西電業(yè)，2013（3）：48～50

[3]陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J].會計研究，2007（1）

[4]王海林.IT環(huán)境下企業(yè)內(nèi)部控制模式探討[J].會計研究，2008（11）：63～68

[5]王春朝.云計算時代的企業(yè)內(nèi)控[J].經(jīng)管空間，2014（10）：52～53