●黃燕飛何利輝

云服務(wù)在中小企業(yè)運用的風(fēng)險管理研究

●黃燕飛何利輝

云計算時代已經(jīng)到來，眾多中小企業(yè)正抓住云計算帶來的機會拓展業(yè)務(wù)、者提升資源效率。使用云服務(wù)幫助中小企業(yè)提升投資回報率的同時，也帶來了新的風(fēng)險。將數(shù)據(jù)或者服務(wù)放在云端的中小企業(yè)，失去了自己業(yè)務(wù)和數(shù)據(jù)的完整控制權(quán)，可能帶來泄密、丟失或者泄露客戶隱私等問題，甚至直接被網(wǎng)絡(luò)黑客勒索。同時，企業(yè)也面臨著合規(guī)性要求，因此，有必要研究中小企業(yè)運用云服務(wù)時應(yīng)進行的風(fēng)險管理。本文建議中小企業(yè)全面評估云服務(wù)帶來的危險和機遇，管理層自始至終參與云服務(wù)的決策過程，在企業(yè)風(fēng)險評估體系中加入與云服務(wù)相關(guān)的內(nèi)容，對云服務(wù)商進行審慎的盡職調(diào)查，明確約定雙方的法律責(zé)任義務(wù)和危機協(xié)調(diào)機制，培訓(xùn)各層級員工與云計算相關(guān)的技術(shù)、法律法規(guī)和風(fēng)險管理應(yīng)對能力。

云計算云服務(wù)風(fēng)險管理中小企業(yè)對策建議

一、云計算的定義和服務(wù)模式

信息技術(shù)特別是互聯(lián)網(wǎng)技術(shù)的發(fā)展，使得企業(yè)可以通過互聯(lián)網(wǎng)使用遠程的硬件或者軟件服務(wù)，但不需要在本地(特別是本企業(yè))安裝相應(yīng)的軟件或者硬件，不需要對這些軟件和硬件進行維護和升級。云計算的概念首先由谷歌(Google)公司在2007年提出，但是沒有統(tǒng)一的定義，美國國家標準與技術(shù)研究院（NIST）對云計算的定義是“云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問進入可配置的計算資源共享池（資源包括網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用軟件、服務(wù)），它可以用最少的管理成本，與服務(wù)供應(yīng)商在最少的交互前提下，完成計算資源的合理配置，使用戶能夠按需獲取CPU的處理能力、存儲空間和信息管理服務(wù)等資源”。云計算技術(shù)的發(fā)展幫助企業(yè)將信息處理從主機轉(zhuǎn)向個人電腦、從服務(wù)為中心轉(zhuǎn)向Web方式，云計算可以幫助企業(yè)改革自己的商業(yè)模式而不需要在基礎(chǔ)設(shè)施、培訓(xùn)、人員和軟件上進行巨大的投資。計算資源可以由第三方提供，企業(yè)與其他組織分享使用這些資源。

提供云計算服務(wù)的方式主要有四種，即私有云、社區(qū)云、公有云和混合云。利用這四種方式提供服務(wù)的模式有三種：基礎(chǔ)設(shè)施即服務(wù)（IAAS-Infrastructure as a Service）、平臺即服務(wù)（PAAS-Platform as a Service）和軟件即服務(wù)（SAASSoftware as a Service）。

私有云是指該云設(shè)施專為某一組織（本文統(tǒng)稱為企業(yè)）服務(wù)，云設(shè)施可以本地部署，也可以異地部署，云設(shè)施可以由企業(yè)管理或者由第三方管理。社區(qū)云是指云設(shè)施由多個有共同利益的（例如行業(yè)內(nèi)合作）企業(yè)組成的社區(qū)共享，可以本地或者異地部署。公有云向公眾開放或者行業(yè)內(nèi)的企業(yè)開放，由某個組織所有并且出售云服務(wù)?；旌显剖侵冈圃O(shè)施由多種云組成、向特定企業(yè)開放但通過標準化或者專有技術(shù)來達成數(shù)據(jù)或者應(yīng)用的可攜帶性。

基礎(chǔ)設(shè)施即服務(wù)（IAAS）是指云服務(wù)提供商提供整個虛擬數(shù)據(jù)中心的資源（例如網(wǎng)絡(luò)、計算資源和存儲資源）。典型的基礎(chǔ)設(shè)施即服務(wù)的提供商有亞馬遜公司、阿里巴巴公司等。例如亞馬遜的云平臺可以提供計算服務(wù)和存儲服務(wù)，著名的奈飛（Netflix）公司使用亞馬遜的云平臺存儲其為客戶提供的視頻，將自己的主動資源投放在生產(chǎn)和提供更好的視頻內(nèi)容上，IBM公司利用Blue Cloud提供計算和存儲服務(wù)。

平臺即服務(wù)（PAAS）是指云服務(wù)提供商向其客戶提供專有工具以幫助其生成在其基礎(chǔ)設(shè)施基礎(chǔ)之上的各種應(yīng)用系統(tǒng)和程序，即云服務(wù)提供商為其客戶提供了建立和分發(fā)應(yīng)用的開發(fā)環(huán)境。例如谷歌公司的Google App Engine允許第三方以Google Engine為基礎(chǔ)架構(gòu)開發(fā)應(yīng)用，阿里釘釘是企業(yè)級的云服務(wù)平臺，允許第三方開發(fā)者分發(fā)其開發(fā)的應(yīng)用程序。

軟件即服務(wù)（SAAS）即企業(yè)使用云服務(wù)來完成具體的職能或者處理，例如可以應(yīng)用云服務(wù)來完成郵件服務(wù)、客戶管理系統(tǒng)、企業(yè)資源計劃系統(tǒng)（ERP）或者整個經(jīng)營管理流程。例如用友公司的偉庫將財務(wù)、營銷和辦公協(xié)同管理。金蝶公司友商網(wǎng)將財務(wù)和進銷存融為一體。微軟公司的Azure幫助企業(yè)可以直接使用其辦公軟件。

二、云計算服務(wù)給中小企業(yè)帶來的機遇

亞馬遜公有云的使用者以中小企業(yè)為主，金蝶友商網(wǎng)，SAP等公司都在利用云服務(wù)來為企業(yè)尤其是中小型企業(yè)服務(wù)。中小企業(yè)出于以下考慮，使用云服務(wù)，而不是直接建立自己的信息服務(wù)設(shè)施。

一是可以節(jié)約成本。使用云服務(wù)的企業(yè)不需要購買或者租賃昂貴的、不能完全利用的設(shè)備，也不需要租賃場地放置這些設(shè)備、支付維護數(shù)據(jù)中心或者硬件的電力成本。企業(yè)可以直接按需要租賃其所需的服務(wù)，按需服務(wù)，并且支付的租賃費用可以直接在企業(yè)所得稅稅前扣除，而不需要像固定資產(chǎn)一樣通過計提折舊或者軟件攤銷的方式在稅前扣除，因此，獲得企業(yè)所得稅稅前扣除的時間更早。

二是可加快獲取所需服務(wù)的速度。直接使用云服務(wù)供應(yīng)商提供的計算資源可以幫助企業(yè)更快滿足其需求，企業(yè)所需的計算資源或者應(yīng)用這類需求的滿足時間可以從月縮短到周，或者縮短到天，或者縮短到幾小時?，F(xiàn)在的消費者已經(jīng)沒有耐心等上數(shù)月或者數(shù)周，而是希望按需服務(wù)，即時獲得滿足感。

三是擴展性更佳。企業(yè)可以方便地在一個服務(wù)器或者多個服務(wù)器上提供服務(wù)而無需進行資本性投入，企業(yè)可使用云服務(wù)來滿足低頻率的高計算服務(wù)，或者高頻率的低計算服務(wù)。

四是降低在技術(shù)管理上的投入。投資建立自己的信息技術(shù)設(shè)施和團隊費時費力，使用云服務(wù)可以幫助企業(yè)將主要的時間和資源放在自己的核心業(yè)務(wù)上，企業(yè)可以直接使用云服務(wù)提供商的軟件和硬件升級，不需要考慮技術(shù)升級的需要。

五是社會成本的節(jié)約。如果企業(yè)都將自己的數(shù)據(jù)中心替換成云服務(wù)，從整個社會看，將大大降低需要的數(shù)據(jù)中心數(shù)量，可以節(jié)約電力消費、碳排放和土地的使用，這將給全社會帶來成本的節(jié)約。

但是凡事有利即有弊，使用云服務(wù)可以給企業(yè)和社會帶來各種機遇，但另一方面也會因使用云計算而帶來額外的風(fēng)險。

三、使用云計算給中小企業(yè)帶來的風(fēng)險

風(fēng)險是因某一事件發(fā)生的不確定性給中小企業(yè)目標的達成帶來負面影響。中小企業(yè)使用計算服務(wù)可能帶來安全性、可獲得性和不能達成目標等風(fēng)險，這些風(fēng)險不論是使用云服務(wù)還是自己的計算服務(wù)都有可能發(fā)生，但是使用云服務(wù)來完成企業(yè)所需的信息服務(wù)會導(dǎo)致以下額外的風(fēng)險。

一是去計算帶來的顛覆性力量。云計算帶來技術(shù)變化和成本節(jié)約可能會顛覆某些企業(yè)的業(yè)務(wù)、降低行業(yè)進入門檻、破壞某些企業(yè)的商業(yè)模式或者導(dǎo)致某些企業(yè)的業(yè)務(wù)過時。例如互聯(lián)網(wǎng)上流媒體的出現(xiàn)極大地降低了唱片的銷售量，奈飛的出現(xiàn)使得錄像帶出租行業(yè)過時。阿里巴巴這類電商平臺的出現(xiàn)使得開立小店鋪門檻很低，微信支付和支付寶的出現(xiàn)使得很多人利用現(xiàn)金支付的頻率大幅降低，很多人已經(jīng)可以不需要帶現(xiàn)金出門了。亞馬遜公有云業(yè)務(wù)的年增長率在40%以上，但是企業(yè)業(yè)務(wù)往云上遷移導(dǎo)致的硬件和軟件投資的減少使得象IBM這類傳統(tǒng)的存儲和服務(wù)器的企業(yè)營業(yè)收入持續(xù)十幾個季度下降。因此，云計算帶來的信息處理能力的變化對于某些企業(yè)來說，將是一個顛覆性力量，直接形成一個風(fēng)險事件，需要企業(yè)做出應(yīng)對。

二是依賴云服務(wù)帶來的生態(tài)風(fēng)險。中小企業(yè)普遍沒有能力使用私有云業(yè)務(wù)，一般需要使用第三方提供和管理的云解決方案，因此中小企業(yè)與云服務(wù)供應(yīng)商存在不對等的依賴關(guān)系。從法律上說，中小企業(yè)與云服務(wù)提供商是不同的法律主體，但是如果云服務(wù)商沒有盡責(zé)，可能會導(dǎo)致使用其服務(wù)的中小企業(yè)需要承擔(dān)相應(yīng)的法律責(zé)任，反之卻并非如此，這使得兩者對風(fēng)險的責(zé)任不對等。另一方面，中小企業(yè)與云服務(wù)商對同類事件的風(fēng)險管理策略可能并不相同，只有簽訂合同的金額較大時，云服務(wù)商才可能與使用其服務(wù)的企業(yè)協(xié)同風(fēng)險管理策略。此外，中小企業(yè)無法獲知云服務(wù)商提供服務(wù)的具體細節(jié)，例如其流程、具體運營和控制等，中小企業(yè)不能了解自己的數(shù)據(jù)存放在于何處、獲取何種安全措施的保護、計算架構(gòu)和所使用的算法等等。

三是數(shù)據(jù)泄露和遷移風(fēng)險。很多云服務(wù)商提供云服務(wù)和多種應(yīng)用軟件開發(fā)工具，這些工具有的是專屬性質(zhì)的，只在該服務(wù)商的應(yīng)用架構(gòu)內(nèi)有效，新的應(yīng)用可能在云外無法使用，并且這類專有工具越多，中小企業(yè)想把放在該云端的數(shù)據(jù)遷移出去越困難。云服務(wù)商因為其云端存儲了很多有價值的信息，比單個中小企業(yè)更容易成為黑客攻擊的目標，中小企業(yè)存儲在大型云服務(wù)商處的數(shù)據(jù)可能會遭受池魚之災(zāi)，數(shù)據(jù)泄露的風(fēng)險大增。同時由于訪問云端的客戶量很多，云端的存儲資源由眾多客戶分享，因此，客戶數(shù)據(jù)的隱私權(quán)遭到侵犯的可能性大增。

四是安全性和合規(guī)性風(fēng)險。中小企業(yè)使用云端服務(wù)時，其數(shù)據(jù)的存放地與企業(yè)的經(jīng)營注冊地是分離的，如果跨越國境，需考慮這種分離是否符合相關(guān)法律法規(guī)的要求。各國有不同的法律來保護隱私，例如美國的愛國者法案，歐盟的數(shù)據(jù)保護指令，印度的信息技術(shù)修正案。中國的法律法規(guī)也有類似要求，這些要求導(dǎo)致微軟的Azure云服務(wù)需要與世紀互聯(lián)公司合作開展，亞馬遜的云服務(wù)也選擇網(wǎng)宿科技成為合作伙伴。云端服務(wù)提供商存儲數(shù)據(jù)的物理地點可能在國境之外，發(fā)生安全性事故時，中小型企業(yè)難以直接獲得和審查網(wǎng)絡(luò)運營和事故日志，云服務(wù)提供商可能出于主觀意愿或者法律限制不能向中小企業(yè)提供這些信息來幫助中小企業(yè)管理其數(shù)據(jù)和運營的安全性和合規(guī)性。

五是云服務(wù)可獲得性風(fēng)險。如果某地的云服務(wù)基礎(chǔ)設(shè)施發(fā)達，那么企業(yè)不需要建立自己的信息技術(shù)團隊來進行信息技術(shù)基礎(chǔ)設(shè)施、跟蹤技術(shù)的發(fā)展和應(yīng)用工具的開發(fā)和系統(tǒng)的維護等，但云服務(wù)是一個新生事物，很多云服務(wù)供應(yīng)商運營歷史較短，持續(xù)經(jīng)營前景不明朗，對于有些業(yè)務(wù)，監(jiān)管政策也不明確，有些云服務(wù)商可能出于盈利前景的考慮，或者因為監(jiān)管政策的變化，終止某些服務(wù)，這些將對中小企業(yè)的運營帶來重大影響，要求企業(yè)尋找替代性資源或者自己投資設(shè)立相應(yīng)的計算資源。例如近年來，不少提供網(wǎng)絡(luò)硬盤或者云存儲空間的企業(yè)終止其服務(wù)，導(dǎo)致客戶需要遷移其存儲的數(shù)據(jù)。

六是云計算影響經(jīng)營環(huán)境帶來的風(fēng)險。中小企業(yè)應(yīng)用云服務(wù)相對來說，比自己投資建設(shè)相關(guān)的信息技術(shù)資源投入較小。對于中小企業(yè)來說，云服務(wù)所需的支出可能較小，按照傳統(tǒng)的采購程序，不需要太高的層級批準即可以實施，參與其中的人員也不需要太多，但其影響卻可能很大，屬于典型性的投入較少、影響深遠的事件，與通常意義的重大投入并有重大影響事件的決策機制截然不同。但是從前文的分析可知，云服務(wù)的應(yīng)用需要考慮的因素很多，決不應(yīng)僅是采購層面的一個決策。例如過去建立數(shù)據(jù)中心、購買財務(wù)軟件或者ERP軟件，雇傭IT人員需要企業(yè)的大額投入，初始的投資可能就很大，按照內(nèi)部的審批流程和控制程序的要求，將自動觸發(fā)高級管理層參與進行決策。而使用云服務(wù)的成本較低，如果按照支出管理權(quán)限可能僅要職能部門的審批即可。高級管理層需要了解，使用云服務(wù)能夠節(jié)約成本，但也意味著企業(yè)交出了部分控制權(quán)，其中蘊含高風(fēng)險。

COSO報告認為，從三種交付云服務(wù)的方式，即公有云、混合云和私有云看，公有云帶來的風(fēng)險最高，混合云次之，私有云最低。從交付的三種服務(wù)看，軟件即服務(wù)（SAAS）面臨的風(fēng)險最高，平臺即服務(wù)（PAAS）次之，軟件即服務(wù)（SAAS）最高。因此企業(yè)管理層需要從企業(yè)層面評估企業(yè)可以接受的風(fēng)險水平，以決定利用何種云服務(wù)方式來接受何種服務(wù)。

四、某小型高新技術(shù)企業(yè)財務(wù)管理云計算服務(wù)案例分析

某個小型高新技術(shù)企業(yè)，其業(yè)務(wù)發(fā)展迅速，投資人（尤其是風(fēng)險權(quán)益投資人）希望公司把主要的資源和精力放在業(yè)務(wù)經(jīng)營上。公司成立之初業(yè)務(wù)簡單，只在一地開展業(yè)務(wù)，因此，最初其財務(wù)處理采取外包形式，隨著業(yè)務(wù)發(fā)展，公司購置了單機版用友財務(wù)軟件，雇傭?qū)Ｂ氊攧?wù)人員處理。隨著業(yè)務(wù)擴大并向多地發(fā)展，各地的單機版模式不適合業(yè)務(wù)的管理需要。企業(yè)需要上線統(tǒng)一的會計核算系統(tǒng)和資金管理系統(tǒng)，建立采購管理、庫存管理系統(tǒng)和銷售管理系統(tǒng)，實現(xiàn)采購、庫存和銷售的一體化管理，分析自身的需求后，企業(yè)決定采用云計算方式來實施其財務(wù)管理。在綜合評價了云服務(wù)商的經(jīng)營規(guī)模和應(yīng)用行業(yè)、云服務(wù)商的質(zhì)量和價格、云會計的安全性、與企業(yè)現(xiàn)有業(yè)務(wù)系統(tǒng)的集成和云服務(wù)商的咨詢與實施能力后，選擇采用金蝶友商網(wǎng)的“在線會計+進銷存”，這是基于公有云部署的軟件即服務(wù)（SAAS）模式，具有無需安裝軟件和鋪設(shè)各種設(shè)備，全部通過瀏覽器進行操作的優(yōu)點，以三年為周期來衡量，云計算模式下的貨幣資本成本投入僅為傳統(tǒng)模式下的2%，并且實施上線周期快，充分體現(xiàn)了云計算服務(wù)的優(yōu)點，很適合小型快速發(fā)展中的企業(yè)。

與傳統(tǒng)自建模式相比，云計算模式下，啟用前無需安裝維護，可以立即使用，云服務(wù)供應(yīng)商提供專業(yè)安全服務(wù)，公司可隨時使用云服務(wù)商提供的最新功能，后期維護和數(shù)據(jù)備份等服務(wù)也由云服務(wù)商提供。

但是企業(yè)在應(yīng)用過程中，也發(fā)現(xiàn)存在著一些風(fēng)險隱患，主要有下面幾點：

一是信息安全問題。企業(yè)選擇的是公有云上部署的軟件即服務(wù)（SAAS）。用戶的數(shù)據(jù)傳遞通過公共網(wǎng)絡(luò)傳輸，存儲數(shù)據(jù)的服務(wù)器和存儲器與公共網(wǎng)絡(luò)連接，因此，需要云服務(wù)商構(gòu)建堅實的防火墻和先進的加密技術(shù)，來保證公司信息傳遞和信息存儲過程中的安全性。二是公司的財務(wù)數(shù)據(jù)存儲在公有云上，財務(wù)數(shù)據(jù)屬于公司的核心機密數(shù)據(jù)，公司沒有能力控制和評價該數(shù)據(jù)是否對云服務(wù)商保密，目前國家還沒有相關(guān)的法律對此做出明確規(guī)定，數(shù)據(jù)的所有權(quán)應(yīng)該在企業(yè)，但該數(shù)據(jù)卻完全處于云服務(wù)商的控制下，因此該數(shù)據(jù)的安全性、隱私權(quán)和完整性取決于云服務(wù)商是否遵守法律、合同約定和職業(yè)道德。同時，友商網(wǎng)作為公有云，主要提供財務(wù)軟件服務(wù)，積累了大量高價值數(shù)據(jù)，容易成為黑客攻擊目標，可能影響企業(yè)數(shù)據(jù)的安全性。

二是選擇的云服務(wù)的拓展性有限。企業(yè)選擇了金蝶友商網(wǎng)的在線會計和進銷存應(yīng)用來滿足其基礎(chǔ)的會計核算和財務(wù)管理要求，但隨著企業(yè)的發(fā)展，需要加入預(yù)算、決策分析、績效評價、供應(yīng)商管理、客戶管理系統(tǒng)等模塊。但是這些服務(wù)個性化要求更多一些，云服務(wù)商還不具備在云端提供這些服務(wù)的能力。

三是云計算服務(wù)的標準化程度不夠。目前各供應(yīng)商提供的云計算服務(wù)的標準化程度不夠，不能像鼠標、U盤一樣隨插隨用，云服務(wù)商的可比性還有待提高，這提高了企業(yè)的遷移成本。

四是管理層和職能部門對云計算的認知不足。在實施云服務(wù)前，公司了解云計算服務(wù)、職能部門待完成的需求的人基本沒有，不了解哪些功能云服務(wù)可以滿足，哪些需要企業(yè)內(nèi)部改革流程來適應(yīng)云服務(wù)的要求，云服務(wù)實施過程中對云服務(wù)商的依賴程度很高，對實施過程的把控性不夠，這些影響了企業(yè)使用云計算服務(wù)。

下面我們采取COSO和ISACA的分析框架，結(jié)合應(yīng)用實際情況，為我國中小企業(yè)應(yīng)用云服務(wù)過程中的風(fēng)險管理提供一些對策建議。

五、中小企業(yè)云服務(wù)風(fēng)險管理的建議

對于很多中小企業(yè)來說，使用云服務(wù)是個良好的商業(yè)選項，不僅能夠節(jié)約有形的成本，減少軟件、硬件、人員等基礎(chǔ)設(shè)施的投入，還可以節(jié)約業(yè)務(wù)實現(xiàn)的時間，提高數(shù)據(jù)和網(wǎng)絡(luò)的安全性。但是使用云服務(wù)也會帶來一些風(fēng)險。針對以上的風(fēng)險我們提出以下建議。

一是識別風(fēng)險事件時，同時考慮事件帶來的財務(wù)影響和業(yè)務(wù)影響。云服務(wù)的初始使用，需花費的財務(wù)成本可能很低，如果以財務(wù)權(quán)限來衡量，需要的審批層級很低，但是使用云服務(wù)其帶來的影響范圍廣、后果重大。例如上文案例分析的企業(yè)，利用云服務(wù)進行會計核算和進銷存核算，起始成本較低，如果按采購金額來審計，財務(wù)部部門內(nèi)部的授權(quán)就足夠。但實施此方案，對企業(yè)的整體影響很大，管理層不知曉、不參與，后果嚴重。因此，我們建議在涉及是否使用云服務(wù)時，不僅考慮其財務(wù)支出的授權(quán)，還要從公司層面衡量使用云服務(wù)帶來的其他影響后進行決策。

二是使用專家團隊，全面評估使用云服務(wù)的合規(guī)性風(fēng)險和安全性風(fēng)險。一般說來，中小企業(yè)內(nèi)部的資源有限，云服務(wù)的特征是其使用者與云服務(wù)提供商的物理距離是分離的，可能還需要跨越不同的法律管轄區(qū)。這會帶來兩個問題，一是如果出現(xiàn)爭端，中小企業(yè)可能維權(quán)不易。其次，因為異地數(shù)據(jù)存儲和操作，中小企業(yè)可能需要遵守不同的經(jīng)濟體的法律法規(guī)，企業(yè)有必要事先咨詢專業(yè)的律師了解相關(guān)的要求，避免合規(guī)性風(fēng)險。其次，雖然數(shù)據(jù)保持在云端，但是中小企業(yè)對在業(yè)務(wù)經(jīng)營中取得的數(shù)據(jù)的安全性、完整性負責(zé)，如果發(fā)生數(shù)據(jù)泄密或者違規(guī)使用客戶數(shù)據(jù)的事件，中小企業(yè)需要首先承擔(dān)責(zé)任。

三是進行盡職調(diào)查，審慎選擇云服務(wù)商。使用云服務(wù)的中小企業(yè)與云服務(wù)商之間存在信息不對稱，云服務(wù)商的透明度不夠等問題。一般說來，中小企業(yè)使用云服務(wù)商提供的通用功能，對于云服務(wù)商的內(nèi)部控制環(huán)境、功能設(shè)置、工具開發(fā)、出現(xiàn)問題后的危機解決機制沒有影響力，按需付費獲取所需的服務(wù)。但是中小企業(yè)是后果的最終承擔(dān)者，因此，有必要全面了解云服務(wù)商的技術(shù)水平、危機處理能力、安全性管理和可持續(xù)經(jīng)營能力等因素，同時，由于數(shù)據(jù)等的遷移性較為困難，意味著中小企業(yè)對云服務(wù)商的使用時間越長，則依賴性越高，在選定云服務(wù)商后再更換的成本極高，有必要在選擇前，做好盡職調(diào)查，審慎選擇適合的云服務(wù)商。

四是管理層需全面參與云服務(wù)決策使用的全過程。管理層需要事先了解云服務(wù)的特點、競爭對手的使用情況，是否會因為云計算等的出現(xiàn)，給企業(yè)的經(jīng)營帶來危險或者機遇，顛覆本企業(yè)原有的商業(yè)模式還是企業(yè)可以利用云計算的機會踏上發(fā)展的快車道。有人說，云計算是一個可以媲美互聯(lián)網(wǎng)的大變革，因此中小企業(yè)的管理層有必要了解云計算帶來的危險和機遇，利用好這次技術(shù)變化。從企業(yè)場面定義企業(yè)的遠景、云計算能給企業(yè)帶來什么、誰應(yīng)該主導(dǎo)全面評價衡量云計算、督促各級員工了解云計算的使用、監(jiān)督云計算使用過程中的風(fēng)險，制定云計算使用過程中風(fēng)險應(yīng)對策略。

五是簽訂清楚的服務(wù)合同，與云服務(wù)商約定雙方的權(quán)利責(zé)任和義務(wù)。中小企業(yè)使用云服務(wù)，得到便利和成本節(jié)約的同時，也意味著交出了部分控制權(quán)。需要約定清楚云服務(wù)商應(yīng)承擔(dān)的責(zé)任，例如保持服務(wù)的持續(xù)性，發(fā)生服務(wù)中斷，數(shù)據(jù)泄露或者黑客攻擊時，云服務(wù)商應(yīng)該承擔(dān)什么樣的責(zé)任并提供何種溝通協(xié)調(diào)機制。從云服務(wù)提供的三種方式看，如果是使用基礎(chǔ)設(shè)施即服務(wù)（IAAS），對企業(yè)的風(fēng)險相對較低，企業(yè)做好數(shù)據(jù)備份防止數(shù)據(jù)丟失即可。如果是使用軟件即服務(wù)（PAAS）則企業(yè)對云服務(wù)商的依賴度更高，需要做好的防備更多。

六是保持企業(yè)對信息技術(shù)的跟蹤評估，了解監(jiān)管者要求和信息技術(shù)對企業(yè)業(yè)務(wù)的影響。中小企業(yè)資源相對有限，使用云服務(wù)后，企業(yè)內(nèi)部沒有跟蹤了解信息技術(shù)的專業(yè)人員，這可能導(dǎo)致企業(yè)不能了解監(jiān)管層對數(shù)據(jù)管理的新要求，不能持續(xù)評估云服務(wù)商的服務(wù)能力，導(dǎo)致出現(xiàn)未知風(fēng)險，這些風(fēng)險也許對中小企業(yè)來說將構(gòu)成不能承受后果的黑天鵝事件。因此，在企業(yè)的風(fēng)險管理框架中，應(yīng)該始終保持企業(yè)對云計算的風(fēng)險評估能力。

對于中小企業(yè)來說，云計算能帶來顯而易見的好處，例如更快的應(yīng)用部署、更低的建設(shè)成本和時間成本，更高的安全性和更低的項目風(fēng)險，并且可能利用云計算更新改革自己的商業(yè)模式。但是對于中小企來說，也意味著會有一定的風(fēng)險，例如企業(yè)放在云端的數(shù)據(jù)可能遭受黑客攻擊，企業(yè)不能完全控制自己的數(shù)據(jù)和應(yīng)用，這些有可能會導(dǎo)致企業(yè)承受重大的經(jīng)營和合規(guī)風(fēng)險。因此，中小企業(yè)有必要了解在使用云服務(wù)過程中的風(fēng)險，并積極應(yīng)對，用好云服務(wù)這個利器?！?/p>

（作者單位：中國財政科學(xué)研究院）

[1]陳偉，SmielliauskasW..云計算環(huán)境下的聯(lián)網(wǎng)審計實現(xiàn)方法探析[J].審計研究，2012,（03）.

[2]姜政偉，劉寶旭.云計算安全威脅與風(fēng)險分析[J].信息安全與技術(shù)，2012,（11）.

[3]林莉莉，我國中小含糊不清會計信息化的云計算應(yīng)用模式研究[D].北京：財政部財政科學(xué)研究所.

[4]牛艷芳，薛巖，孟祥雨.云計算環(huán)境下的審計業(yè)務(wù)模式變革研究[J].南京：南京審計學(xué)院學(xué)報，2014,（04）.

[5]錢大偉.云計算環(huán)境下我國中小企業(yè)會計信息化建設(shè)研究[D].南京：南京大學(xué).

[6]秦榮生.大數(shù)據(jù)、云計算對審計的影響研究[J].審計研究，2014,（06）.

[7]汪鴻昌，肖靜華，謝永勤.基于企業(yè)視角的云計算研究述評與未來展望[J].外國經(jīng)濟與管理，2013,（06）.

[8]楊周南.會計信息系統(tǒng)-面向財務(wù)業(yè)務(wù)一體化[M].電子工業(yè)出版社，2010.

[9]張為民.云計算深刻改革未來[M].科學(xué)出版社，2009. [10]COSO.Enterprise R isk Management for Cloud Computing[EB/OL].（2014-03-09）.

（本欄目責(zé)任編輯：鄭潔）

本欄目由山東中煙工業(yè)有限責(zé)任公司協(xié)辦