云应用的IT风险审计分析

    广泛且迅速兴起的云计算技术及其商业化应用正在快速改变并重塑众多企业关键内部职能部门的运作方式。这些职能包括采购、信息技术、风险管理、企业治理结构、合规遵循、审计以及其他等等。那些反对或消极应付云应用的部门正在面临失去部门自主权和被企业管理核心边缘化的风险。

 

 

    公共云应用的核心是信任。首先，企业必须确信在启用云应用时，对有关应用成本、风险、其本身的管理以及潜在的不利之处已经充分了解。其次，企业必须确信云服务的提供者做出了恰当的承诺，并确保服务承诺已经包括在结构周密和双方责任义务相互平衡的商业合同中。如果在选择和实施企业云应用时仍有不足之处存在，作为企业的首席财务官必须掌握实际状况并采取正确的行动。如果在选择和实施企业云应用项目时，在有关风险、审计和治理结构方面存在某些不足，首席财务官必须充分掌握实际状况并采取纠正措施。正如飞机的小裂缝会在压力下快速蔓延并破裂，而富有经验的飞行机械师知道如何发现这些小的裂缝和隐患。那么，作为首席财务官，你能发现云应用中存在的类似隐患吗？

 

 

    毕马威在其《2012审计业务报告》中，将IT风险与新兴技术列为审计委员会的第二关注点，第一则是企业治理过程、控制和风险管理（IT风险项在上年度关注点排列中仅列第六）。信息保密与网络安全排名第四，合法合规性则由2011年的第三降至2012年的第七。（以上排名由140名审计委员会成员投票提出）

 

 

    对于企业的首席财务官和董事会成员来说，上述业务排名的变化更应视为一种警报----为什么审计师们把IT风险和新兴技术列为关注重点？在管理者推动企业云应用进程时，影响决策的是否首先是降低成本、缩短IT项目实施时间和推动革新的优势，而审计已经被置之脑后了？云应用的优势已经消除了项目实施本身的风险了吗？

 

 

    回到飞机隐患的例子：每个航班起飞之前，都有专门人员进行全面检查，这就像是由机械维护人员、飞行机组和地勤人员进行的一种形式的审计。对云应用而言，许多企业的云应用项目就是飞行中满载乘客的航班，然而起飞前的检查却漫不经心。

 

 

    作为对审计和合规性负有被问责责任的首席财务官，将如何确保“企业航班安全地飞行于云端“？以下是有关云应用的七点关键审计清单：

 

 

    1、确保企业高管能分清什么是云技术，什么不是

 

 

    在提供IT服务的商业报价文件中，总有许多文字读起来云山雾罩，市面上IT服务提供商常用的“按进度付款”的服务方式就是这样的一个“云团”。与此相对，简单如上线了网络销售或使用了GMAIL肯定不意味着组织已经实现了云应用。

 

 

    确保决策者掌握云应用的本质，并恰当知悉了项目的可行性，是在已知成本、风险和合规性均有限制的情况下，提高云应用项目成功机率和发现其价值的最佳方式。对于决策者而言，这才是头等大事，远远胜过超过出席什么销售商的商务宴会。

 

 

    2、了解云审计的最新发展动态

 

 

    了解有关云的审计、管理与合规性信息的最新发展，建立一种健康的倾听策略。独立的第三方组织，如云安全联盟（Cloud Security Alliance）、全美标准与技术协会（National Institute of Standards and Technology）都是可供利用学习的最佳外部资源。

 

 

    3、规划云应用的合规性框架

 

 

    辨明公司启用云生态环境前后的合规、合法和遵从性的不同。充分识别了这种差距和不同之后，就可以着手改善现状。

 

 

    哪些数据可以触及，哪些不可以在法律法规中都有明文规定，尤其是涉及隐私的部分，更要倍加小心。比如美国公司的海外分支机构使用部署于美国的云服务器，或者使用美国母公司所有但部署于美国境外的服务器时，其数据的使用需要遵守不同国家的法定规定。而受《欧盟数据保护法》的影响，跨国云应用的进程也许会多次为法律所牵绊，不断修正前行。

 

 

 [page]   目前最广为人知的合规性法规包括萨班斯法案404条款（SOX 404）和美国注册会计师协会审计准则公告第70号审计标准（SAS70），以及其后续的美国注册会计师协会鉴证业务准则第16号认证（SSAE16）和国际会计师委员会下属的国际审计和质量标准委员会第3402号认证（ISAE3402），均已为首席财务官们所熟知。

 

 

    其他个人信息保护的指导条款还有国际标准化组织的ISO/IEC WD TS 27000信息安全管理体系，其ISO/IEC WD TS 27017条款是专门针对云服务的信息安全控制，目前该条款内容仍在完善与发展之中。

 

 

    另有一些专门针对运营与更好进行云环境管治的新兴技术标准，比如ISO/IEC DIS 17826之云数据管理接口标准（Cloud Data Management Interface，CDMI）。

 

 

    启用云技术的组织要确保自身或自己的受托方了解这些与组织运营相关的标准，以保证云应用项目的顺利实施。

 

 

    4、完善的云项目管理

 

 

    选择合适的云服务提供商，准确并公开授权其开展相关业务，同时确保双方有关风险、成本和项目管理的责任得到合理明确地分配。没有恰当的责权利区分的云应用方案对于供应商而言不啻于天上掉馅饼，他们可能会仅仅满足企业当前关注的业务需求，而有损于企业的长远利益，从而导致未来的审计变成一场无休无止的“猫和老鼠“游戏。

 

 

    5、主动发现并披露企业在云应用过程中的重大内部分岐

 

 

    审计师将会关注员工和管理层有关云应用实施的意见分岐。这些不同意见恰是其开展深入调查的重要线索，有助于发现云应用实施中的“弱点”所在。为避免内部不同意见被无理忽视的情况发生，确保充分的尽职调查履行助于实现这一目标。

 

 

    6、定期检查与更新信息安全政策

 

 

    信息安全政策应当与组织运营的实际情况紧密相关。如果政策检查与更新针对的是特定风险，并且最近的检查与更新已经有一段时间了，那就应尽快实施新一轮的安全政策检查与更新。

 

 

    7、知道哪些云技术可以审计，哪些不可以

 

 

    全球主要的云服务提供商都不允许其客户委托第三方对其提供的云服务进行审计。至少在目前的一段时间内，客户只能信赖服务提供商的审计程序和合规性表述。如果企业与当地规模较小的云服务提供商合作，也许有可能允许他们自行委托第三方进行审计。

 

 

    需要牢记的是信任是云应用的一切，但信任却是有待证现实验证的。组织必须让自身、管理者、客户、股东及其他利益相关者清楚地知道，组织是如何选择、实施、安排和管理云应用，是如何降低风险并消除未来的不确定因素的。

 

 

    当前的商业环境充满了不确定因素。针对云应用减少不确定的方法之一正是有效的审计程序，否则只能完全相信云应用的服务供应商。总之，站在买房的角度来看，至少应该知道本组织的这笔云应用投资是否物有所值。