云計算環境下企業內部控制風險治理機制研究
——基于COBIT框架

陳若旸 黎 娜

（滁州學院，安徽 滁州239000）

一、引言

以物聯網、云計算等為代表的現代信息技術快速發展，企業在享受低成本、高效率、易拓展的云計算服務優勢的同時，也面臨著數據、信息與資產的安全性、完整性方面的各種挑戰（楊善林等，2015）[1]。云計算技術的應用，增加了企業內部控制系統的深度和廣度，改變了內部控制要素的核心特征，引發企業內部控制新的潛在風險源。王平，羅濟群等（2010）[2]運用模糊Petri網理論，以信息資產作業流程為基礎，探究企業引入云計算后各項資產所面臨的風險。盧霈（2013）[3]從內部控制的范圍、對象、側重點以及屬性四個方面，闡述了云計算環境下企業內部控制活動的新風險，提出了相應的風險應對措施。馮龍飛（2014）[4]從人才、內部控制審計、內部控制環境、協調與溝通以及法律等方面，提出了云計算環境下企業風險管控建議。陳昱安等（2015）[5]采用德爾菲法，研究了云計算環境下企業的風險問題及其治理措施。上述學者們從不同的視角出發，探討了云計算環境下企業的新風險及其管控措施，然而現有研究大多從內部控制五要素或者宏觀視角探討云計算環境下企業風險活動的新特征，缺乏對業務執行層及流程層面風險管控的研究。因此，如何將現代信息技術與企業業務流程進行有效整合，提高風險識別能力，強化防范能力對企業尤為重要。COBIT信息系統審計模型整合了IT過程、IT資源以及組織戰略與目標三個維度，為云計算環境下企業內部控制提供了集成性的理論框架。

為此，本研究在系統分析云計算對企業內部控制影響的基礎上，基于COBIT系統框架，從信息準則、IT資源、IT過程三個維度，剖析了云計算環境下內部控制的風險特征，并提出了相應的風險管控措施。

二、COBIT框架

COBIT是國際上通用的信息系統審計標準(Control Objectives for Information and Related Technology)，模型自1996年公布以來，先后經歷了6次大的整合，從原本單一的計算機審計工具逐步完善為全面的信息技術管理規范。2019年最新版本的COBIT模型銜接新技術，強調商業趨勢，針對網絡安全、數據存儲、隱私活動等焦點問題作出規范，為企業業務轉型及信息化提供指導。目前，2012年頒布的COBIT 5.0模型應用最為廣泛，它面向新的信息環境，制定了數字化環境下的信息系統審計新標準，革新了企業工作流程，探索了在新時代背景下，企業應如何調整人才結構，提升企業運用高新技術的能力，實現自我管理與自我監督，從而保障內部控制目標實現[6]。具體修訂過程見圖1。

圖1 COBIT框架的歷史演進

COBIT框架深受COSO框架的影響。COSO框架的全稱是《內部控制整合框架》，由美國反虛假財務報告委員會下屬的發起人委員會（簡稱COSO委員會）通過并發布，是內部控制發展進程中的一座里程碑。然而COSO框架主要側重于企業財務風險相關的問題。隨著IT技術、信息資源的不斷發展，COSO框架逐漸不能滿足信息使用者的需求。COBIT通過對信息系統環境的管控建立標準，是對COSO在信息技術領域的補充，能夠為企業引進云技術后的內部控制活動提供理論參考。

COBIT模型首先考慮企業的戰略規劃，并通過對企業戰略目標和經營環境的系統分析，層層分解企業戰略目標至各個執行層面，通過控制作業流程進行業務控制，實現內部控制目標。在信息準則和審計指南的指導下，企業分別各個信息資源和關鍵內部控制點進行全方位全過程的管理[7]。COBIT5.0框架目前應用最為廣泛，它涵蓋IT過程、IT資源和信息準則三個維度（具體見圖2表示）：

圖2 COBIT5.0系統框架

由COBIT框架圖我們可以看出，企業的信息準則主要包括信息質量、企業信譽兩個方面；企業每一個層次又包括的IT資源主要涵蓋人員、應用系統、數據及技術等方面；IT過程包括域、過程與活動三個層面，其中域又包括規劃和組織、獲得與實施、交付與支持、監控與評價四個層次。又包括若干子流程，企業的每一種活動都可以對應到這4個域。這樣，企業可以有效保證控制活動與內控目標的一致性，保證企業治理活動的順利進行。

三、基于COBIT框架的云計算環境下企業內部控制風險識別

（一）信息準則維度

法律準則的不健全往往會給企業引進云技

術帶來新的管理難題。王平、柯文長等（2013）[8]

提出法律體系對企業引入云計算的沖擊主要有：1.當地法院會扣壓公司傳票，這會造成客戶信息所有權問題；2.企業管轄權變動存在風險；3.云端應用程序軟件授權也存在法律盲點。馮龍飛（2014）[4]、邱瑞科等（2014）[9]及陳昱安等（2015）[5]認為現有的法律體系在對云端技術這類新興技術的管控上存在較大漏洞。

（二）IT資源維度

1.人員

企業引入新興技術，勢必需要引進相應的管理和技術人才以達到企業既定的戰略管理目標。莊甫蕙等（2013）[10]認為云計算會對企業文化產生沖擊。云端的使用可能導致企業員工可能無法適應新的工作，產生人力資源不足及誤用風險。馮龍飛（2014）[4]認為相關技術人員的缺乏、企業內部協調與溝通難度加大是企業引入云技術后面臨的一項重要的挑戰。邱瑞科等（2014）[9]認為云計算環境下企業可能存在云端人員登陸時身份驗證的安全隱患。沈遠江（2015）[11]提出企業的監督力度不足，對涉及到云計算業務的所有崗位存在分工不明確的問題。

2.應用系統

王平、羅濟群等（2010）[2]認為企業引入云技術后其各個應用系統面臨的主要風險有（1）客戶端方面：使用者身份認證及隱私保護的風險；（2）服務器端方面：平臺對服務認證以及系統安全稽核風險；（3）應用程序方面：存取控制，信息傳輸安全風險；（4）作業平臺管理方面：作業系統漏洞管理風險；（5）基礎建設方面：資料加密，實體及閘道的管控風險。

3.技術

云計算環境下對企業技術更新水平提出了新的要求。王平、羅濟群等（2010）[2]認為云計算存在難以與企業內部IT整合的風險。陳昱安等（2015）[5]和王平、柯文長等（2013）[8]指出了企業引入云技術存在資源耗盡；客戶間信息隔離失敗；管理界面遭入侵；客戶信息遭攔截；信息在上傳或下載遭泄露；信息刪除不完整；程序的錯誤；作業系統瑕疵；阻斷式服務及其造成經濟損失；遺失加密金鑰；惡意的網絡窺探或掃瞄；云端服務引擎遭入侵；云端服務環境無法滿足客戶安全要求這十三種技術風險。許瑛（2019）[13]及楊欣哲等（2015）[12]均指出云計算的互通性以及資源統一接口的整合也存在風險。

（三）IT過程維度

1.規劃與組織

（1）管理企業架構

程平和張敏濟（2018）[15]強調了管理型財務向價值型財務體系架構的挑戰是企業運用云技術之后的必須解決的重要問題。陳昱安等（2015）[5]認為企業存在不受管束或未經授權的系統存取風險以及組織現有架構不能滿足云計算管理需要的問題。

（2）管理服務協議

邱瑞科等（2014）[9]認為企業在制定服務協議過程中存在的風險有：1）發生資料外泄時的合約保障風險；2）發生服務效能不佳時的合約保障風險；3）云計算服務中斷時的合約保障風險。朱輝（2014）[16]提出了基于云計算的企業的服務協議書存在服務連續性以及服務不透明的風險。除此之外，企業的云計算管理原則、服務協議也缺少風險等級的界定。

（3）管理供應商

朱輝（2014）[16]提出了云計算服務供應商存在提供服務不透明、數據殘留等問題。邱瑞科等（2014）[9]認為企業引入云計算后缺少具有信息安全相關認證的服務供應商，這給企業信息安全管理埋下隱患，加大企業了資料遭到竊取的風險。企業在選擇云端供應商時的風險主要包括：評估云服務供應商如何管理資料機制的風險；評估供應商是否取得信息安全認證（例如ISO27001）的風險；評估供應商是否提供相關資料存取記錄的風險；若發生系統運轉異常時（例如網絡線因道路施工挖斷）云服務供應商的快速響應風險；系統緊急處理的風險；服務供應商備份機制的了解程度風險。

2.獲得與實施

企業引入云計算，儲存在云端的客戶資料即成為企業需要維護的一項重要資產。云資料的完整、私密、安全等問題引起了學者們的廣泛關注。莊甫蕙等（2013）[10]指出客戶資料的完整性、安全、竊取、備份和私密性問題是最重要的課題。邱瑞科等（2014）[9]認為企業資料的機密性，如：是否提供資料傳輸加密，是否提供諸如加密存檔內部等保護措施，是企業實施云計算技術后必須考慮的方面。楊欣哲等（2015）[12]指出云服務必須保證不會泄漏企業隱私、保障交易過程中的財務安全，確保云端資料的完整與機密安全。此外，資料的轉移及跨國提取、轉移，黑客攻擊等也都是企業需要考量的新風險。陳昱安等（2015）[5]還指出企業采用云計算可能存在機密信息被內部人員私自竊取以及重要資料檔案被私自售賣給第三方的風險。Farber（2009）[17]指出資料轉移到云端之后，企業還會喪失對資料的控制權，使得云端資料的使用權與控制權分離，造成新的管理維護風險，且整合資源、統一接口亦存在多重風險。

3.交付與支持

企業管理的連續性問題對引入云技術之后企業的運轉起著基礎與支持作用。王平、羅濟群等（2010）[2]指出，企業進入云計算后可能會存在執行效能不足的問題。楊欣哲等（2015）[12]則指出企業的持續經營是企業風險與管理中的一個關鍵成功因素，如遇意外，企業就有遭遇云端突然終止服務的風險。王平、柯文長等（2013）[8]認為云計算的特性可能存在云端更新裝備造成服務不穩定或終止的風險以及供應鏈無法運作的風險。程平和尹赤（2018）[18]以重慶海事局的收支管理內部控制為例，指出云計算給企業內部控制的范圍和要求帶來了沖擊，使得內部控制難度增加，造成了企業內部溝通困難和協同障礙。

4.監測與評估

邱瑞科等（2014）[9]認為企業在評估云端在資料傳輸問題、效能保證問題以及設置儲存空間上限問題方面存在評估困難的風險，且由于信息的不對稱性，企業對云端的監控有很大的難度。

四、基于COBIT框架的云計算環境下企業風險治理機制

云計算環境下，企業的商業模式和戰略目標會有所調整，使得企業的內部控制面臨新的風險源。本節基于COBIT系統框架，從信息準則、IT資源和IT過程三個維度，提出了云計算環境下企業風險治理的管控措施。

（一）信息準則方面

面對無法避免的法律風險，程慧平等（2018）[19]認為企業應當借鑒循環管理思想，合理與第三方接洽，實時治理云風險。企業可以建立法律風險分層管理制度，第一層為小型風險，會計部門及有關業務單位應當及時處理。對于重大、疑難的風險，應當建立第二、三層的中型、大型防線，并且嚴格風險的事前與事中控制。企業應根據自身風險承受能力，明確不相容崗位及其權限與范圍，在法律允許的范圍內建立合適的內部控制制度以及風險預警管理制度，從而對信息準則風險進行嚴格管理，努力使信息透明化，準則規范化。

（二）IT資源

1.人員

丁淑芹（2015）[20]和沈遠江（2015）[11]認為企業應首先提高各個部門的管理人員對云計算技術風險的防范意識，提高對風險的理解。其次，一定要注重對業務人員的培訓，培養企業員工的風險意識，提升員工對新技術給企業管理帶來變革風險的識別能力與應對能力。盧霈（2013）[3]指出企業應系統深入分析云計算對企業經營管理造成的影響，借鑒其他企業的成功經驗，科學設定崗位職責分工，進一步完善內部控制制度，并加強對內部控制制度實施效果的持續監督。

2.應用系統

企業應當加強自身各個應用系統的密鑰管理，設立密碼安全等級。此外，企業亦可通過定期更換密鑰以保證作業平臺、服務端、應用程序等的安全。

3.技術

企業可以在信息化基礎上通過多學科相互滲透，再造會計流程，轉變內控職能，使資源協同、關系協同、技術協同，使云端可以及時接入。企業各部門資源可以與云端配置整合，以豐富和完善公司內部控制。此外，企業必須定期檢查云端剩余儲存空間，其資料與技術轉移至云端過程中必須加密，以秘鑰機制降低傳輸過程中產生的風險。

（三）IT過程方面

1.規劃與組織

（1）管理企業架構

從企業內部來看，管理層應將管理的重點放在引進云技術后管理組織的變動控制方案的重新之否定上來；從企業外部來看，企業控制活動的焦點主要聚集在云端。企業應在制定本企業風險管理框架時充分考慮公共云中其他租戶的數據敏感性、云端儲存軟件以及成為網絡攻擊目標的可能性。沈遠江（2015）[11]提出企業應當強化信息溝通，可以通過架構信息系統，對信息重新歸集、分類與重新聚焦。此外，企業應當架構橫向傳遞與縱向傳達機制，加強各個部門內部以及部門之間的信息溝通。

（2）管理服務協議

企業應當在簽訂協議前充分考慮可能存在的資料外泄、服務中斷的風險，并在協議合約中對這些突發狀況提出明確責任規定與風險處理方法，以減少突發狀況給企業帶來的損失。企業還應當對服務協議設立等級界定。

（3）管理供應商

丁淑芹（2015）[20]認為企業應當與云服務提供商及時溝通，以排除公有云中其他租戶可能帶來的潛在的風險。企業應當定期分析云端供應商所提供得云系統的技術指標、穩定程度等，從網絡、人員交流等多個角度廣泛了解供應商，建立完善遴選云服務供應商指標體系。企業還可以通過第三方（如審計部門）提供的報告了解并監控云服務提供商的內部控制風險，努力將供應商給企業帶來的風險降到最低。

2.獲得與實施

（1）管理資產

沈遠江（2015）[11]提出企業應當保證存在云端的信息安全，對云端數據流運用密鑰技術加密，并定期更換秘鑰，以防止云端信息被篡改、泄露，威脅企業信息安全。另外，企業還可以建立資產風險等級制度以應對風險。

（2）管理配置

盧霈（2013）[3]提出企業一方面要保證信息系統控制目標與企業戰略目標一致，建立合適的信息系統控制制度，對經營活動全過程全方位產生的各種信息信息進行歸集、分類和二次整合；另外一方面要建立權責分明的信息傳遞機制，確保信息橫向縱向均可以有效傳遞。

3.交付與支持

企業持續經營管理是引入云計算的基礎。丁淑芹（2015）[20]提出企業引用云技術之后要在內部建立信息獲取、加工與傳遞機制，防止企業出現執行效能不足、服務不穩定、上下級部門管理困難，各部門信息溝通不暢的情況，以達到企業管理持續性的目的，為企業引入云端技術后的一系列運作提供支持。

4.監測與評估

盧霈（2013）[3]提出企業對云端的監控應當貫穿整個過程，從引入新技術前的評估，到服務協議的制定、供應商的選擇以及之后企業各部門間的組織協調，都應當有獨立的監督部門監督反饋。

云計算環境下基于COBIT5.0框架的企業內部控制風險治理機制見圖3。

圖3 云計算環境下基于COBIT5.0框架的企業風險治理機制

五、總結

第三次信息化浪潮為云計算技術的廣泛應用奠定了技術與實踐基礎。低成本、高效率、易拓展、跨地域等特點，使得企業可以享受多元信息服務，提高了信息分享的便利性。然而對云端的使用拓展了企業的治理邊界，增加了企業內部控制制度的深度與廣度，云端供應商也掌握了對企業至關重要的經營管理信息。如何規范云端使用準則，保證云端使用者合法權益，在便捷信息溝通的同時保證保證傳輸儲存的完整、安全至關重要。未來，新技術將進一步滲透到各行各業，使用云端的企業將在各自的細分領域分享信息，彰顯特色，抓住機遇，完善安全管理制度，擬定安全備份方案，從云終端的基礎設施、硬件芯片可信技術、操作系統安全機制、應用安全更新機制加強自我防護意識，加強云終端數據的安全管理。虛擬服務器方面，包含敏感數據的應用程序及服務器加秘并更新需要加強。本文基于COBIT5.0框架，系統總結了以往的文獻中企業引入云技術給內部控制活動帶來的新風險以及企業應對新風險應的管控措施，為企業引入云計算后開展內部控制活動提供參考。