云應(yīng)用的IT風(fēng)險(xiǎn)審計(jì)清單

廣泛且迅速興起的云計(jì)算技術(shù)及其商業(yè)化應(yīng)用正在快速改變并重塑眾多企業(yè)關(guān)鍵內(nèi)部職能部門的運(yùn)作方式。這些職能包括采購(gòu)、信息技術(shù)、風(fēng)險(xiǎn)管理、企業(yè)治理結(jié)構(gòu)、合規(guī)遵循、審計(jì)以及其他等等。那些反對(duì)或消極應(yīng)付云應(yīng)用的部門正在面臨失去部門自主權(quán)和被企業(yè)管理核心邊緣化的風(fēng)險(xiǎn)。

公共云應(yīng)用的核心是信任。首先，企業(yè)必須確信在啟用云應(yīng)用時(shí)，對(duì)有關(guān)應(yīng)用成本、風(fēng)險(xiǎn)、其本身的管理以及潛在的不利之處已經(jīng)充分了解。其次，企業(yè)必須確信云服務(wù)的提供者做出了恰當(dāng)?shù)某兄Z，并確保服務(wù)承諾已經(jīng)包括在結(jié)構(gòu)周密和雙方責(zé)任義務(wù)相互平衡的商業(yè)合同中。如果在選擇和實(shí)施企業(yè)云應(yīng)用時(shí)仍有不足之處存在，作為企業(yè)的首席財(cái)務(wù)官必須掌握實(shí)際狀況并采取正確的行動(dòng)。如果在選擇和實(shí)施企業(yè)云應(yīng)用項(xiàng)目時(shí)，在有關(guān)風(fēng)險(xiǎn)、審計(jì)和治理結(jié)構(gòu)方面存在某些不足，首席財(cái)務(wù)官必須充分掌握實(shí)際狀況并采取糾正措施。

正如飛機(jī)的小裂縫會(huì)在壓力下快速蔓延并破裂，而富有經(jīng)驗(yàn)的飛行機(jī)械師知道如何發(fā)現(xiàn)這些小的裂縫和隱患。那么，作為首席財(cái)務(wù)官，你能發(fā)現(xiàn)云應(yīng)用中存在的類似隱患嗎？如今IT風(fēng)險(xiǎn)與新興技術(shù)已經(jīng)成為審計(jì)委員會(huì)的第二大關(guān)注點(diǎn)，第一則是企業(yè)治理過程、控制和風(fēng)險(xiǎn)管理，而信息保密與網(wǎng)絡(luò)安全、合規(guī)性排名緊隨其后。對(duì)云應(yīng)用而言，許多企業(yè)的云應(yīng)用項(xiàng)目就是飛行中滿載乘客的航班，然而起飛前的檢查卻漫不經(jīng)心，如何確?！捌髽I(yè)航班安全地飛行于云端“？以下是有關(guān)云應(yīng)用的七點(diǎn)關(guān)鍵審計(jì)清單：

1、確保企業(yè)高管能分清什么是云技術(shù)，什么不是

在提供IT服務(wù)的商業(yè)報(bào)價(jià)文件中，總有許多文字讀起來云山霧罩，市面上IT服務(wù)提供商常用的“按進(jìn)度付款”的服務(wù)方式就是這樣的一個(gè)“云團(tuán)”。與此相對(duì)，簡(jiǎn)單上線了網(wǎng)絡(luò)銷售或使用了GMAIL肯定不意味著組織已經(jīng)實(shí)現(xiàn)了云應(yīng)用。確保決策者掌握云應(yīng)用的本質(zhì)，并恰當(dāng)知悉了項(xiàng)目的可行性，是在已知成本、風(fēng)險(xiǎn)和合規(guī)性均有限制的情況下，提高云應(yīng)用項(xiàng)目成功機(jī)率和發(fā)現(xiàn)其價(jià)值的最佳方式。對(duì)于決策者而言，這才是頭等大事，遠(yuǎn)遠(yuǎn)勝過超過出席什么銷售商的商務(wù)宴會(huì)。

2、了解云審計(jì)的最新發(fā)展動(dòng)態(tài)

了解有關(guān)云的審計(jì)、管理與合規(guī)性信息的最新發(fā)展，建立一種健康的傾聽策略。獨(dú)立的第三方組織，如云安全聯(lián)盟（Cloud Security Alliance）、全美標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)（NIST）都是可供利用學(xué)習(xí)的最佳外部資源。

3、規(guī)劃云應(yīng)用的合規(guī)性框架

辨明公司啟用云生態(tài)環(huán)境前后的合規(guī)、合法和遵從性的不同。充分識(shí)別了這種差距和不同之后，就可以著手改善現(xiàn)狀。哪些數(shù)據(jù)可以觸及，哪些不可以在法律法規(guī)中都有明文規(guī)定，尤其是涉及隱私的部分，更要倍加小心。比如公司的海外分支機(jī)構(gòu)使用部署于境內(nèi)的云服務(wù)器，或者使用境內(nèi)公司所有但部署于境外的服務(wù)器時(shí)，其數(shù)據(jù)的使用需要遵守不同國(guó)家的法定規(guī)定。而受《歐盟數(shù)據(jù)保護(hù)法》的影響，跨國(guó)云應(yīng)用的進(jìn)程也許會(huì)多次為法律所牽絆，不斷修正前行。啟用云技術(shù)的組織要確保自身或自己的受托方了解云計(jì)算運(yùn)營(yíng)相關(guān)的標(biāo)準(zhǔn)，以保證云應(yīng)用項(xiàng)目的順利實(shí)施。

4、完善的云項(xiàng)目管理

選擇合適的云服務(wù)提供商，準(zhǔn)確并公開授權(quán)其開展相關(guān)業(yè)務(wù)，同時(shí)確保雙方有關(guān)風(fēng)險(xiǎn)、成本和項(xiàng)目管理的責(zé)任得到合理明確地分配。沒有恰當(dāng)?shù)呢?zé)權(quán)利區(qū)分的云應(yīng)用方案對(duì)于供應(yīng)商而言不啻于天上掉餡餅，他們可能會(huì)僅僅滿足企業(yè)當(dāng)前關(guān)注的業(yè)務(wù)需求，而有損于企業(yè)的長(zhǎng)遠(yuǎn)利益，從而導(dǎo)致未來的審計(jì)變成一場(chǎng)無休無止的扯皮游戲。

5、主動(dòng)發(fā)現(xiàn)并披露企業(yè)在云應(yīng)用過程中的重大內(nèi)部分岐

審計(jì)師將會(huì)關(guān)注員工和管理層有關(guān)云應(yīng)用實(shí)施的意見分岐。這些不同意見恰是其開展深入調(diào)查的重要線索，有助于發(fā)現(xiàn)云應(yīng)用實(shí)施中的“弱點(diǎn)”所在。為避免內(nèi)部不同意見被無理忽視的情況發(fā)生，確保充分的盡職調(diào)查履行助于實(shí)現(xiàn)這一目標(biāo)。

6、定期檢查與更新信息安全政策

信息安全政策應(yīng)當(dāng)與組織運(yùn)營(yíng)的實(shí)際情況緊密相關(guān)。如果政策檢查與更新針對(duì)的是特定風(fēng)險(xiǎn)，并且最近的檢查與更新已經(jīng)有一段時(shí)間了，那就應(yīng)盡快實(shí)施新一輪的安全政策檢查與更新。

7、知道哪些云技術(shù)可以審計(jì)，哪些不可以

全球主要的云服務(wù)提供商都不允許其客戶委托第三方對(duì)其提供的云服務(wù)進(jìn)行審計(jì)。至少在目前的一段時(shí)間內(nèi)，客戶只能信賴服務(wù)提供商的審計(jì)程序和合規(guī)性表述。如果企業(yè)與當(dāng)?shù)匾?guī)模較小的云服務(wù)提供商合作，也許有可能允許他們自行委托第三方進(jìn)行審計(jì)。需要牢記的是信任是云應(yīng)用的一切，但信任卻是有待證現(xiàn)實(shí)驗(yàn)證的。組織必須讓自身、管理者、客戶、股東及其他利益相關(guān)者清楚地知道，組織是如何選擇、實(shí)施、安排和管理云應(yīng)用，是如何降低風(fēng)險(xiǎn)并消除未來的不確定因素的。

當(dāng)前的商業(yè)環(huán)境充滿了不確定因素。針對(duì)云應(yīng)用減少不確定的方法之一正是有效的審計(jì)程序，否則只能完全相信云應(yīng)用的服務(wù)供應(yīng)商。總之，站在買方的角度來看，至少應(yīng)該知道本組織的這筆云應(yīng)用投資是否物有所值。