COSO发布云计算风险管理指南

近日,美国反虚假财务报告委员会——COSO委员会发布了一份题为《针对云计算的企业风险管理》的新指南,建议任何组织在与云计算服务商(CSP)签订合约之前,应该先开展风险管理活动。

上述指南提供了完整的核查方案,审视组织是如何遵循COSO的企业风险管理(ERM)规定,通过整体框架来评估和管理因云计算而引发的风险。

国富浩华会计公司(Crowe Horwath LLP)的风险管理主管沃伦·陈(Warren Chan)、前任风险管理顾问尤金·雷格(Eugene Leung)和海蒂·皮里(Heidi Pili)共同起草了这份指南。该指南认为,在选择CSP时,相关的风险控管必须包括征询方案和尽职调查。

此外,指南所要求的风险管理还包括,在与每个CSP签订的协议中必须包括审计权条款。指南还建议,在选择CSP之前,最好先进行会晤,以便了解CSP是如何解决某些特定的风险和事项的。”

指南表示,作为风险管理的一部分,既可以由本组织的内部审计师来评估CSP的内部控制环境,也可以要求CSP提供独立审计报告,如符合美国注册会计师协会(AICPA)的规定、根据《鉴证业务准则公告第16号》(SSAE 16)以及《服务型组织第2号控制准则》(SOC 2)编制的、涉及安全性,有效性,传输完整性,保密性以及隐私性的审计报告。

指南称,在适当的情况下,风险管理还必须实施额外的控制,以便CSP所使用的格式能满足组织的各种需求。

在一份声明中,COSO的主席大卫·兰斯特尔(David Lansittel)表示,新鲜出炉的指南将有助于董事会成员发挥监督作用,同时,指南也将有助于高级管理人员对云策略进行风险管理。

兰斯特尔在新闻稿中说:“云计算给组织带来的潜在好处是巨大的,但好处仅仅是一方面,并非云计算的全部。”指南列出了问题清单,需要董事会成员在进行云计算风险管理时予以考量,这些问题包括:

1、在整个管理中,由谁来负责了解和管理与云计算相关的企业风险?

2、管理层是否制定了有效程序来监管云计算?

3、对于云计算,竞争对手做了哪些工作?

即便管理层对云计算不感兴趣,但为了防止和侦查雇员未经授权使用云服务,指南仍然建议组织应当制定监管措施。此外,启动云服务相当简单且并不昂贵,其有限的支出可能都不足以引起管理层的注意。

与此同时,指南还建议对合同条款进行审核,确保云计算遵守了数据保护法和司法管辖权。举例来说,一家美国的CSP如果在德国管控数据,就必须遵守德国的数据保护法规、欧盟数据保护法规和通报法规、以及美国爱国者法案。

指南指出,数据分类政策必须确保组织上下充分理解数据的使用目的,所有权和敏感性,并且这些观念得到了传达。而上市公司的高管需认识到,根据监管要求和透明性义务,云计算的应用可能会产生额外的财务报表披露。

指南表示,由一个单独的CSP对多个组织的数据进行整合会招致被网络攻击的额外风险。一个小型企业也许会认为自己不太可能会成为攻击的目标,但它若与另一个备受关注的组织共享云端基础构架时,它被网络攻击的可能性就会增加。

为了降低网络攻击的风险,指南建议,只有在处理非基本或者非敏感数据时,才启用第三方CSP。此外,云端数据必须进行加密处理。

指南称,若使用得当,云计算能够带来的诸多好处还有待挖掘,但如管理不当,云计算也会带来诸多意想不到的麻烦。