淺析云環境下企業內部控制問題與防范

傅靜

摘要：云計算作為其中一種新型的計算模式，極大的改變了企業傳統的信息處理模式，使企業能夠以更低廉的成本獲取更高的計算能力，已經被越來越多的企業所運用。但由于云計算尚處在起步階段，其推廣與應用還未成熟，也給企業的內部控制帶來了風險與挑戰。本文分析了目前云計算環境下內部控制存在的問題，總結出企業在內部控制的制度、監督、內部環境的監管、風險的管理水平以及信息的溝通等方面的應對策略，促進企業內部控制機制的完善，實現企業的健康持續發展。

關鍵詞：云計算，內部控制，問題與應對策略

云計算以其高效的信息處理模式和低廉的成本逐漸被人們熟知和應用，目前云計算模式在商業領域的運用越來越廣泛，為企業的發展帶來了空前的機遇，它的發展極大改變了互聯網產業的模式，衍生出一套新的商業理念，對企業信息模式的轉變、實現效益最大化的目標有著重大意義。云計算環境下的企業內部控制，相對于傳統的手工及計算機操作的財務活動的監管控制，變成對企業的會計信息系統、云計算服務提供商、“云”中存儲數據的隱私及安全在內的大量內容和業務環節進行控制，加大了企業的內部控制范圍與控制難度。針對于云計算在企業應用中的風險，本文對企業內部控制的應對措施進行了具體研究。

1云計算環境下企業內部控制的發展

1.1云計算含義與特點

業界對于云計算定義的表述有很多，目前尚未出現一致的認識，但被大多數人接受的是美國國家標準與技術研究院（NIST）定義：“云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問， 進入可配置的計算資源共享池（資源包括網絡，服務器，存儲，應用軟件，服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。”云計算具有按需服務、虛擬化、高可擴展性、可度量性、經濟性。等貼點。

1.2云計算環境下企業內部控制的發展

（1）提高內部控制機制的效率。基于云計算模式，企業的財務處理更加分工明確，公司可以通過設置不同級別的“云”來存儲不同保密等級的信息，授予不同級別的操作人員進行相應的查看、修改、更新數據權利，將責任落實到個人。在云計算環境的支持下，企業的內部控制系統職責明確，員工可以各司其職，大大提高了企業內部控制機制的工作效率。

（2）降低內部控制活動的成本。在云計算系統下，企業可以通過互聯網接入系統并登陸，在云計算服務商提供的服務器平臺上建立應用軟件并運行。而對于財務系統應用環境、服務器平臺、軟硬件資源都由云計算服務商提供并負責前期的實施和后期的維護，企業只要按使用資源多少或時間長短付費，即包括前期的系統實施費和之后的軟件租賃費，付費后便可通過互聯網使用會計信息系統，在管理過程中無需再額外進行購買軟硬件、維護機房、招聘技術人員等支出，降低了企業內部控制活動的成本。

2云計算環境下企業內部控制的風險

2.1用戶數據安全性風險

云計算作為一種嶄新的信息化服務模式正在深刻的影響著信息數據的安全性。由于企業在使用云計算服務的時候，需要將本企業的數據上傳并存儲在“云”端，而用戶一旦將數據傳輸給云計算服務商，就失去了對數據的完全控制，加大了企業對其信息數據管理的不可控性與不確定性，數據的丟失泄露、是否能夠被徹底刪除、進行有效隔離就成了信息化下的一系列新問題。

2.2用戶數據私密性的挑戰

云計算的服務是以分布式網絡為基礎，每位用戶是網絡中的一個節點，因此當連接網絡使用云計算的時候，各個節點都可以被云計算服務商訪問，用戶的各種數據信息都會被記錄并被云計算服務商獲取。而由于信息的不對等，云計算服務商有可能在用戶并不知情的情況下非法利用用戶的私密數據，以達到實現其私人利益的目的。

2.3云計算服務商選擇風險的挑戰

云計算環境下企業的內部控制對象將不僅是企業內部的信息系統，還包括了云計算服務提供商及其相關的數據安全。而目前云計算的發展并不完善，尚缺乏統一的行業規范，導致云計算服務提供商的水平不一，很多企業由于缺乏云計算的相關知識，對于云計算服務提供商的服務水平與能力認識不足，無法準確的衡量云計算服務模式下將會產生的一系列問題。在這樣的情況下，企業對于云計算服務提供商的選擇和管理將面臨很大的風險。

2.4企業人員知識技術風險的挑戰

企業云計算系統的運行離不開專業技術人員的管理和維護，在內部控制的監管上，必須要有相關技術人員的技術支持和指導。目前企業中很多從事內部控制的人員只掌握了財務方面的知識，懂得信息管理知識的人較少，對于云計算的了解明顯不足，企業缺乏擅長云計算應用的專門人才。這將使企業的內部控制管理人員無法把握云計算服務模式的關鍵問題，對于云計算服務的運行方式認識不足，進而導致企業無法發揮內部控制的制約和監督功能。

3云計算環境下內部控制的應對措施

3.1關注云計算應用流程的重點

在云計算的具體應用流程中，應注重與云計算服務商簽訂合同的重點條款和關鍵細節的規定。對于合同中自己訴求的內容應有明確規定，例如對云計算服務商數據運行和控制的知情權、對于云計算服務提供商的收費標準和收費方式、對于發生數據丟失泄露等情況應承擔的責任、云計算服務商對于數據安全和運行控制的義務、對于意外情況的應對措施等等方面。云計算服務的提供受到已簽訂合同的約束，因此，企業要重視合同中對云計算運行的規定，加大對云計算應用流程重點的把握，確保云計算服務系統能夠合理運行。

3.2對信息數據實施分層次管理

在信息數據的參與管理上，對數據進行分層次管理可以使企業云計算模式的運行更為合理有序。企業需要將數據按不同要求分類，然后分別對其進行監管。例如企業可以根據數據的私密性分為可完全公開、部分對外公開、不可公開三種類型，之后根據數據不同的性質制定不同的控制措施，使企業的管理人員可以了解不同數據的審查權限，避免員工越權處理，有利于企業數據的安全性保護。

3.3云計算服務提供商的選擇

在云計算服務提供商的選擇方面，企業要了解所選擇的云計算服務提供商的基本情況，請專業人員評估待選擇的云計算服務提供商，評估內容要包括該提供商的能力水平、持續提供服務的經驗、人才環境、內部控制、財務狀況等，通過對不同服務商的綜合能力比較，進而選擇出與本企業風險偏好最接近的云計算服務提供商。

3.4提高員工對風險的識別和控制能力

在提高企業員工對風險的識別和控制能力上，企業不僅要加強相關技術人員的技術培訓，更要注重對管理人員應對信息化風險能力的培養，管理人員對于云計算風險的把握程度將極大影響整個企業內部控制效能的發揮。因此企業要多組織云計算應用方面的培訓，使員工在不斷學習交流中提高云計算服務模式下的風險控制能力，降低企業內部控制在云計算環境下的不利風險。

3.5加強內部環境監管

內部環境是企業內部的物質環境和文化環境的總和，包括企業資源、企業能力、企業文化等因素，加強內部環境的監管有利于企業管理層結合實際制定長遠戰略，發揮自身長處，有效整合資源，同時避免自己的劣勢和不足，或采取有效的措施改進不足，揚長避短，促進企業的穩定發展。內部環境是企業進行內部控制的基礎和前提。在云計算環境下，企業對內部環境的管理主要包括提高對云計算活動的控制能力、加強內部審計、將云計算融入企業文化中。

參考文獻

[1]林少煌.云計算技術應用下的企業風險應對探析 —— 從企業內部控制角度[J].財務與會計，2013（12）：52～54

[2]張詩敏，王瑞雪.云計算對跨國公司內部控制效果的提升研究[J].廣西電業，2013（3）：48～50

[3]陳志斌.信息化生態環境下企業內部控制框架研究[J].會計研究，2007（1）

[4]王海林.IT環境下企業內部控制模式探討[J].會計研究，2008（11）：63～68

[5]王春朝.云計算時代的企業內控[J].經管空間，2014（10）：52～53