在云環境下開展審計工作的新思考

楊碩

【摘 要】文章概述了云服務，從審計視角列出組織在云服務規劃、實施和管理階段需要考慮和解決的問題。本文立足于人民銀行“數字央行”發展規劃，從云服務路徑選擇方向出發，提出對人民銀行信息技術審計的啟示建議。

【關鍵詞】云服務;人民銀行;信息技術審計

一、引言

云服務是指使用互聯網訪問組織場所外部存儲的系統和數據，可以將其視為IT服務外包的發展方向。不同于傳統信息系統主要依賴組織內部的軟、硬件設施，云服務主要提供虛擬化的資源，在效率、靈活性和安全性等方面的顯著優勢可以通過云供應商的規模經濟和專業知識實現。

1.云服務模式。

目前，主要以IAAS、PAAS、SAAS三種方式提供服務，來滿足不同的需求和應用場景。

（1）基礎設施即服務（IAAS）。提供的服務是對所有基礎設施的使用，如：CPU、內存、存儲、網絡、防火墻等資源。支持任意操作系統和應用軟件，最不可能導致供應商鎖定，但是隨著業務數據累計增加需要花費更高的費用去升級服務器或者擴容存儲空間。

（2）平臺即服務（PAAS）。提供的服務是應用程序開發、測試和部署平臺，用戶需要具備較高的IT技術水平。

（3）軟件即服務（SAAS）。用戶直接通過網絡租用供應商提供的應用軟件服務，不需要安裝或維護軟件或擁有自己的硬件。但對更新的控制最少，會面臨軟件許可、軟件維護和技術支持等隱性成本不斷增加，也很難遷移到其他云服務平臺。圖1將本地系統架構與三種服務模式進行了對比。

2.“云”的類型。

上述云服務可以在以下類型的云上提供：

（1）公共云：多個客戶可共享相同的硬件、存儲和網絡設備等資源，不用架設任何設備或配備管理人員，便可享有專業的IT服務。

（2）私有云：云供應商為單個客戶提供特定云系統的專用使用，在人員和設備方面所需投資最大。

（3）社區云：在有限的組織之間共享專用服務，這些組織對安全性、隱私、性能和合規性有共同要求。

（4）混合云：這是上述內容的組合，其中某些應用程序和服務在公共云中運行，而其他應用程序和服務在私有云中運行。

二、云服務的評估

在選擇云解決方案之前，組織需要評估云是否適合他們的需求和目標，清楚了解各種云服務的相對優點和潛在缺陷。而管理層則需要制定明確的需求目標并對備選方案作出恰當評估，綜合考慮成本效益，從而選擇最適合的供應商。

1.數字策略。

組織在部署“云戰略”時，應制定明確的數字戰略和清晰的技術要求，避免過度依賴于特定技術方案。審計應當關注：

（1）組織是否考慮過選用哪種類型的云解決方案？能否確保所有用戶都能訪問互聯網？

（2）是否了解本地系統向云平臺遷移的復雜性和相關配置？數字化策略是否對系統遷移進行風險評估？

（3）在安全方面是否遵循最佳做法？在承諾使用云服務之前，組織是否遵循了國家規定的云安全原則？對于云服務如何與現有的服務、系統和進程兼容是否有一個長遠的規劃？

2.盡職調查。

供應商可以提供一個安全的技術環境，但識別和處理數據泄露、黑客入侵等行為仍然是組織的責任。確定選擇標準前應明確組織的特定需求。組織應對備選供應商進行盡職調查，確保他們是否符合所有安全規定、相關標準及業務特定需要。審計應當關注：

（1）組織和云供應商之間是否有明確的責任關系？組織對云供應商有什么監督機制？云供應商是否簽訂分包合同，如何管理風險？

（2）服務條款是什么？云供應商保證的存儲空間和服務功能是否足以滿足組織的需求？業務連續性安排是什么？供應商的責任上限是否足以彌補組織遭受的任何損失？

（3）供應商的基礎設施部署在哪里，數據在哪個司法管轄區保存？對數據境內存放和跨境行為是否有法律法規保護？

（4）組織是否考慮過利用市場競爭優勢選擇其他供應商而終止當前合同的成本？合同終止過程是否有完整的文件記錄，當前合同中云供應商是否有協助傳輸和刪除數據的法律承諾？

三、云服務的實施

相較于傳統系統而言，云服務配置可能更為復雜。管理層需要確信他們已經充分了解并能夠接受云服務實現涉及到的相關風險。

1.系統配置。

云環境中的潛在變化和創新可能使配置比本地網絡更具挑戰性。正確的配置可以確保云服務系統和原有系統進行高效、安全地通信和互操作。審計應當關注：

（1）組織是否制定了項目管理計劃？供應商對系統配置方面的承諾是什么？

（2）是否為遷移準備了基礎設施、應用程序和數據？如果舊數據質量較差，是否應將其以現有狀態傳輸到新系統中？

（3）組織是否過度依賴第三方資源？實施完成后內部團隊是否全面了解系統的配置方式？

2.風險和安全。

云服務并不一定比現有的技術架構更安全，它們所面臨的安全風險大致相似。云解決方案雖然具有強大的網絡防御能力和多層安全性，但同樣存在大量默認配置的問題。審計應當關注：

（1）組織是否明確技術風險的責任歸屬和應對措施？是否對系統資源枯竭、數據泄漏、誤操作等風險制定應對方案？

（2）組織是否更新了業務連續性計劃？系統備份如何實現？

3.實施。

云服務的實施過程中，除了技術管理外，還必須關注變更管理對所有利益相關者和用戶的重要性。審計應當關注：

（1）主要利益相關者是否通過全面的變更管理策略參與實施？組織是否根據所選服務為用戶提供培訓和指導？

（2）是否有應急計劃？

（3）是否制定了測試規范？

四、云服務管理

云服務會減少組織維護內部管理系統所需的人力物力，云服務供應商可以負責管理和維護基礎設施，以及軟件更新。但組織不能將數據管理和業務流程控制的責任外包出去。

1.變更。

云服務上線后，可能會面臨一個短暫的問題高發期，在此過程中，持續的變更管理對于消除用戶疑慮、匹配系統接口或更新配置都非常重要。與內部部署環境相比，云環境更具動態性，更改和更新的頻率和數量會更大。審計應當關注：

（1）對云供應商的計劃是否有明確的監督？云供應商是否公開發布新功能和系統升級計劃？組織是否評估計劃變更對業務的影響？

（2）系統變更和升級的責任是否明確？內部團隊是否具備管理變更的權限和知識？將更改發布到實施服務中之前，是否進行模擬測試？

（3）是否已打開審計功能以提供跟蹤信息？

2.保障。

云供應商通常以服務組織控制報告形式向客戶提供保證。云供應商委托獨立審計師編寫這些報告，以確保其流程安全合規。管理層需要掌握這些報告提供的保證以及可能存在控制缺陷或需要進一步保證的領域。審計應當關注：

（1）管理層是否了解不同服務組織控制報告的一般范圍和局限性？

（2）服務組織控制報告的頻率是否足以跟上持續改進的步伐？如果云供應商對其系統進行重大更改，是否有相關合同條款要求獲取最新報告？

（3）管理層是否仔細審查服務組織控制報告的結果？

五、對央行內部審計工作的啟示

隨著我國金融改革的不斷深入和信息技術的快速發展，人民銀行提出建設“數字央行”的發展戰略，充分利用大數據、云計算技術，實施IT架構轉型升級，對內部管理和各項業務進行重構，實現金融服務與監管職能“數字化”。云計算的不斷滲透，在以虛擬化為基礎的IAAS私有云之上，基于容器技術和分布式中間件構建適用于人民銀行分支機構的云服務平臺，形成分布式服務型系統架構，已經成為一種可行的解決路徑，很可能會成為未來人民銀行“數字化”進程中的一種備選方案。

在云服務不可逆轉的發展趨勢下，云環境的開放性和商業性、特有的數據和服務外包、虛擬化和跨業務領域共享等特征使其面臨的安全威脅相比傳統IT環境更復雜多樣，給信息技術審計帶來新的挑戰。云租戶對云環境資源的非法訪問、惡意云管理員的越權操作和誤操作、云端數據泄漏、被破壞或丟失、云基礎設施資源枯竭、配置不當、網絡遭受攻擊等風險將會成為信息技術審計重點關注內容。人民銀行各級內審部門需要持續從關注風險的角度出發，在推動央行科技工作改革升級過程中，始終緊跟技術發展趨勢，圍繞信息系統重大風險、重要業務應用系統和科技領域重點工作開展信息技術審計，靠前一步，主動學習了解云服務在金融行業領域的場景應用和安全保障，主動加強與科技和業務部門的溝通協調，及時掌握業務需求變化和技術路徑選擇，做好知識儲備，更新審計技術和工具，為高質量發揮審計監督職能奠定堅實的基礎。

參考文獻

[1]范煜.云環境下的數據審計技術研究[D].電子科技大學，2020.

[2]李慧芳.云計算環境下云審計的系統設計與實施[D].江西財經大學，2017.

[3]陳希凡.基于“云計算”的政府金融審計方法與技術探索[D].南京審計大學，2017.

（作者單位：中國人民銀行銀川中心支行）