COSO发布云计算风险管理指南

近日，美国反虚假财务报告委员会——COSO委员会发布了一份题为《针对云计算的企业风险管理》的新指南，建议任何组织在与云计算服务商（CSP）签订合约之前，应该先开展风险管理活动。

上述指南提供了完整的核查方案，审视组织是如何遵循COSO的企业风险管理（ERM）规定，通过整体框架来评估和管理因云计算而引发的风险。

国富浩华会计公司（Crowe Horwath LLP）的风险管理主管沃伦·陈（Warren Chan）、前任风险管理顾问尤金·雷格（Eugene Leung）和海蒂·皮里（Heidi Pili）共同起草了这份指南。该指南认为，在选择CSP时，相关的风险控管必须包括征询方案和尽职调查。

此外，指南所要求的风险管理还包括，在与每个CSP签订的协议中必须包括审计权条款。指南还建议，在选择CSP之前，最好先进行会晤，以便了解CSP是如何解决某些特定的风险和事项的。”

指南表示，作为风险管理的一部分，既可以由本组织的内部审计师来评估CSP的内部控制环境，也可以要求CSP提供独立审计报告，如符合美国注册会计师协会（AICPA）的规定、根据《鉴证业务准则公告第16号》（SSAE 16）以及《服务型组织第2号控制准则》（SOC 2）编制的、涉及安全性，有效性，传输完整性，保密性以及隐私性的审计报告。

指南称，在适当的情况下，风险管理还必须实施额外的控制，以便CSP所使用的格式能满足组织的各种需求。

在一份声明中，COSO的主席大卫·兰斯特尔（David Lansittel）表示，新鲜出炉的指南将有助于董事会成员发挥监督作用，同时，指南也将有助于高级管理人员对云策略进行风险管理。

兰斯特尔在新闻稿中说：“云计算给组织带来的潜在好处是巨大的，但好处仅仅是一方面，并非云计算的全部。”指南列出了问题清单，需要董事会成员在进行云计算风险管理时予以考量，这些问题包括：

1、在整个管理中，由谁来负责了解和管理与云计算相关的企业风险？

2、管理层是否制定了有效程序来监管云计算？

3、对于云计算，竞争对手做了哪些工作？

即便管理层对云计算不感兴趣，但为了防止和侦查雇员未经授权使用云服务，指南仍然建议组织应当制定监管措施。此外，启动云服务相当简单且并不昂贵，其有限的支出可能都不足以引起管理层的注意。

与此同时，指南还建议对合同条款进行审核，确保云计算遵守了数据保护法和司法管辖权。举例来说，一家美国的CSP如果在德国管控数据，就必须遵守德国的数据保护法规、欧盟数据保护法规和通报法规、以及美国爱国者法案。

指南指出，数据分类政策必须确保组织上下充分理解数据的使用目的，所有权和敏感性，并且这些观念得到了传达。而上市公司的高管需认识到，根据监管要求和透明性义务，云计算的应用可能会产生额外的财务报表披露。

指南表示，由一个单独的CSP对多个组织的数据进行整合会招致被网络攻击的额外风险。一个小型企业也许会认为自己不太可能会成为攻击的目标，但它若与另一个备受关注的组织共享云端基础构架时，它被网络攻击的可能性就会增加。

为了降低网络攻击的风险，指南建议，只有在处理非基本或者非敏感数据时，才启用第三方CSP。此外，云端数据必须进行加密处理。

指南称，若使用得当，云计算能够带来的诸多好处还有待挖掘，但如管理不当，云计算也会带来诸多意想不到的麻烦。