在云環(huán)境下開展審計(jì)工作的新思考

楊碩

【摘 要】文章概述了云服務(wù)，從審計(jì)視角列出組織在云服務(wù)規(guī)劃、實(shí)施和管理階段需要考慮和解決的問題。本文立足于人民銀行“數(shù)字央行”發(fā)展規(guī)劃，從云服務(wù)路徑選擇方向出發(fā)，提出對(duì)人民銀行信息技術(shù)審計(jì)的啟示建議。

【關(guān)鍵詞】云服務(wù);人民銀行;信息技術(shù)審計(jì)

一、引言

云服務(wù)是指使用互聯(lián)網(wǎng)訪問組織場所外部存儲(chǔ)的系統(tǒng)和數(shù)據(jù)，可以將其視為IT服務(wù)外包的發(fā)展方向。不同于傳統(tǒng)信息系統(tǒng)主要依賴組織內(nèi)部的軟、硬件設(shè)施，云服務(wù)主要提供虛擬化的資源，在效率、靈活性和安全性等方面的顯著優(yōu)勢可以通過云供應(yīng)商的規(guī)模經(jīng)濟(jì)和專業(yè)知識(shí)實(shí)現(xiàn)。

1.云服務(wù)模式。

目前，主要以IAAS、PAAS、SAAS三種方式提供服務(wù)，來滿足不同的需求和應(yīng)用場景。

（1）基礎(chǔ)設(shè)施即服務(wù)（IAAS）。提供的服務(wù)是對(duì)所有基礎(chǔ)設(shè)施的使用，如：CPU、內(nèi)存、存儲(chǔ)、網(wǎng)絡(luò)、防火墻等資源。支持任意操作系統(tǒng)和應(yīng)用軟件，最不可能導(dǎo)致供應(yīng)商鎖定，但是隨著業(yè)務(wù)數(shù)據(jù)累計(jì)增加需要花費(fèi)更高的費(fèi)用去升級(jí)服務(wù)器或者擴(kuò)容存儲(chǔ)空間。

（2）平臺(tái)即服務(wù)（PAAS）。提供的服務(wù)是應(yīng)用程序開發(fā)、測試和部署平臺(tái)，用戶需要具備較高的IT技術(shù)水平。

（3）軟件即服務(wù)（SAAS）。用戶直接通過網(wǎng)絡(luò)租用供應(yīng)商提供的應(yīng)用軟件服務(wù)，不需要安裝或維護(hù)軟件或擁有自己的硬件。但對(duì)更新的控制最少，會(huì)面臨軟件許可、軟件維護(hù)和技術(shù)支持等隱性成本不斷增加，也很難遷移到其他云服務(wù)平臺(tái)。圖1將本地系統(tǒng)架構(gòu)與三種服務(wù)模式進(jìn)行了對(duì)比。

2.“云”的類型。

上述云服務(wù)可以在以下類型的云上提供：

（1）公共云：多個(gè)客戶可共享相同的硬件、存儲(chǔ)和網(wǎng)絡(luò)設(shè)備等資源，不用架設(shè)任何設(shè)備或配備管理人員，便可享有專業(yè)的IT服務(wù)。

（2）私有云：云供應(yīng)商為單個(gè)客戶提供特定云系統(tǒng)的專用使用，在人員和設(shè)備方面所需投資最大。

（3）社區(qū)云：在有限的組織之間共享專用服務(wù)，這些組織對(duì)安全性、隱私、性能和合規(guī)性有共同要求。

（4）混合云：這是上述內(nèi)容的組合，其中某些應(yīng)用程序和服務(wù)在公共云中運(yùn)行，而其他應(yīng)用程序和服務(wù)在私有云中運(yùn)行。

二、云服務(wù)的評(píng)估

在選擇云解決方案之前，組織需要評(píng)估云是否適合他們的需求和目標(biāo)，清楚了解各種云服務(wù)的相對(duì)優(yōu)點(diǎn)和潛在缺陷。而管理層則需要制定明確的需求目標(biāo)并對(duì)備選方案作出恰當(dāng)評(píng)估，綜合考慮成本效益，從而選擇最適合的供應(yīng)商。

1.數(shù)字策略。

組織在部署“云戰(zhàn)略”時(shí)，應(yīng)制定明確的數(shù)字戰(zhàn)略和清晰的技術(shù)要求，避免過度依賴于特定技術(shù)方案。審計(jì)應(yīng)當(dāng)關(guān)注：

（1）組織是否考慮過選用哪種類型的云解決方案？能否確保所有用戶都能訪問互聯(lián)網(wǎng)？

（2）是否了解本地系統(tǒng)向云平臺(tái)遷移的復(fù)雜性和相關(guān)配置？數(shù)字化策略是否對(duì)系統(tǒng)遷移進(jìn)行風(fēng)險(xiǎn)評(píng)估？

（3）在安全方面是否遵循最佳做法？在承諾使用云服務(wù)之前，組織是否遵循了國家規(guī)定的云安全原則？對(duì)于云服務(wù)如何與現(xiàn)有的服務(wù)、系統(tǒng)和進(jìn)程兼容是否有一個(gè)長遠(yuǎn)的規(guī)劃？

2.盡職調(diào)查。

供應(yīng)商可以提供一個(gè)安全的技術(shù)環(huán)境，但識(shí)別和處理數(shù)據(jù)泄露、黑客入侵等行為仍然是組織的責(zé)任。確定選擇標(biāo)準(zhǔn)前應(yīng)明確組織的特定需求。組織應(yīng)對(duì)備選供應(yīng)商進(jìn)行盡職調(diào)查，確保他們是否符合所有安全規(guī)定、相關(guān)標(biāo)準(zhǔn)及業(yè)務(wù)特定需要。審計(jì)應(yīng)當(dāng)關(guān)注：

（1）組織和云供應(yīng)商之間是否有明確的責(zé)任關(guān)系？組織對(duì)云供應(yīng)商有什么監(jiān)督機(jī)制？云供應(yīng)商是否簽訂分包合同，如何管理風(fēng)險(xiǎn)？

（2）服務(wù)條款是什么？云供應(yīng)商保證的存儲(chǔ)空間和服務(wù)功能是否足以滿足組織的需求？業(yè)務(wù)連續(xù)性安排是什么？供應(yīng)商的責(zé)任上限是否足以彌補(bǔ)組織遭受的任何損失？

（3）供應(yīng)商的基礎(chǔ)設(shè)施部署在哪里，數(shù)據(jù)在哪個(gè)司法管轄區(qū)保存？對(duì)數(shù)據(jù)境內(nèi)存放和跨境行為是否有法律法規(guī)保護(hù)？

（4）組織是否考慮過利用市場競爭優(yōu)勢選擇其他供應(yīng)商而終止當(dāng)前合同的成本？合同終止過程是否有完整的文件記錄，當(dāng)前合同中云供應(yīng)商是否有協(xié)助傳輸和刪除數(shù)據(jù)的法律承諾？

三、云服務(wù)的實(shí)施

相較于傳統(tǒng)系統(tǒng)而言，云服務(wù)配置可能更為復(fù)雜。管理層需要確信他們已經(jīng)充分了解并能夠接受云服務(wù)實(shí)現(xiàn)涉及到的相關(guān)風(fēng)險(xiǎn)。

1.系統(tǒng)配置。

云環(huán)境中的潛在變化和創(chuàng)新可能使配置比本地網(wǎng)絡(luò)更具挑戰(zhàn)性。正確的配置可以確保云服務(wù)系統(tǒng)和原有系統(tǒng)進(jìn)行高效、安全地通信和互操作。審計(jì)應(yīng)當(dāng)關(guān)注：

（1）組織是否制定了項(xiàng)目管理計(jì)劃？供應(yīng)商對(duì)系統(tǒng)配置方面的承諾是什么？

（2）是否為遷移準(zhǔn)備了基礎(chǔ)設(shè)施、應(yīng)用程序和數(shù)據(jù)？如果舊數(shù)據(jù)質(zhì)量較差，是否應(yīng)將其以現(xiàn)有狀態(tài)傳輸?shù)叫孪到y(tǒng)中？

（3）組織是否過度依賴第三方資源？實(shí)施完成后內(nèi)部團(tuán)隊(duì)是否全面了解系統(tǒng)的配置方式？

2.風(fēng)險(xiǎn)和安全。

云服務(wù)并不一定比現(xiàn)有的技術(shù)架構(gòu)更安全，它們所面臨的安全風(fēng)險(xiǎn)大致相似。云解決方案雖然具有強(qiáng)大的網(wǎng)絡(luò)防御能力和多層安全性，但同樣存在大量默認(rèn)配置的問題。審計(jì)應(yīng)當(dāng)關(guān)注：

（1）組織是否明確技術(shù)風(fēng)險(xiǎn)的責(zé)任歸屬和應(yīng)對(duì)措施？是否對(duì)系統(tǒng)資源枯竭、數(shù)據(jù)泄漏、誤操作等風(fēng)險(xiǎn)制定應(yīng)對(duì)方案？

（2）組織是否更新了業(yè)務(wù)連續(xù)性計(jì)劃？系統(tǒng)備份如何實(shí)現(xiàn)？

3.實(shí)施。

云服務(wù)的實(shí)施過程中，除了技術(shù)管理外，還必須關(guān)注變更管理對(duì)所有利益相關(guān)者和用戶的重要性。審計(jì)應(yīng)當(dāng)關(guān)注：

（1）主要利益相關(guān)者是否通過全面的變更管理策略參與實(shí)施？組織是否根據(jù)所選服務(wù)為用戶提供培訓(xùn)和指導(dǎo)？

（2）是否有應(yīng)急計(jì)劃？

（3）是否制定了測試規(guī)范？

四、云服務(wù)管理

云服務(wù)會(huì)減少組織維護(hù)內(nèi)部管理系統(tǒng)所需的人力物力，云服務(wù)供應(yīng)商可以負(fù)責(zé)管理和維護(hù)基礎(chǔ)設(shè)施，以及軟件更新。但組織不能將數(shù)據(jù)管理和業(yè)務(wù)流程控制的責(zé)任外包出去。

1.變更。

云服務(wù)上線后，可能會(huì)面臨一個(gè)短暫的問題高發(fā)期，在此過程中，持續(xù)的變更管理對(duì)于消除用戶疑慮、匹配系統(tǒng)接口或更新配置都非常重要。與內(nèi)部部署環(huán)境相比，云環(huán)境更具動(dòng)態(tài)性，更改和更新的頻率和數(shù)量會(huì)更大。審計(jì)應(yīng)當(dāng)關(guān)注：

（1）對(duì)云供應(yīng)商的計(jì)劃是否有明確的監(jiān)督？云供應(yīng)商是否公開發(fā)布新功能和系統(tǒng)升級(jí)計(jì)劃？組織是否評(píng)估計(jì)劃變更對(duì)業(yè)務(wù)的影響？

（2）系統(tǒng)變更和升級(jí)的責(zé)任是否明確？內(nèi)部團(tuán)隊(duì)是否具備管理變更的權(quán)限和知識(shí)？將更改發(fā)布到實(shí)施服務(wù)中之前，是否進(jìn)行模擬測試？

（3）是否已打開審計(jì)功能以提供跟蹤信息？

2.保障。

云供應(yīng)商通常以服務(wù)組織控制報(bào)告形式向客戶提供保證。云供應(yīng)商委托獨(dú)立審計(jì)師編寫這些報(bào)告，以確保其流程安全合規(guī)。管理層需要掌握這些報(bào)告提供的保證以及可能存在控制缺陷或需要進(jìn)一步保證的領(lǐng)域。審計(jì)應(yīng)當(dāng)關(guān)注：

（1）管理層是否了解不同服務(wù)組織控制報(bào)告的一般范圍和局限性？

（2）服務(wù)組織控制報(bào)告的頻率是否足以跟上持續(xù)改進(jìn)的步伐？如果云供應(yīng)商對(duì)其系統(tǒng)進(jìn)行重大更改，是否有相關(guān)合同條款要求獲取最新報(bào)告？

（3）管理層是否仔細(xì)審查服務(wù)組織控制報(bào)告的結(jié)果？

五、對(duì)央行內(nèi)部審計(jì)工作的啟示

隨著我國金融改革的不斷深入和信息技術(shù)的快速發(fā)展，人民銀行提出建設(shè)“數(shù)字央行”的發(fā)展戰(zhàn)略，充分利用大數(shù)據(jù)、云計(jì)算技術(shù)，實(shí)施IT架構(gòu)轉(zhuǎn)型升級(jí)，對(duì)內(nèi)部管理和各項(xiàng)業(yè)務(wù)進(jìn)行重構(gòu)，實(shí)現(xiàn)金融服務(wù)與監(jiān)管職能“數(shù)字化”。云計(jì)算的不斷滲透，在以虛擬化為基礎(chǔ)的IAAS私有云之上，基于容器技術(shù)和分布式中間件構(gòu)建適用于人民銀行分支機(jī)構(gòu)的云服務(wù)平臺(tái)，形成分布式服務(wù)型系統(tǒng)架構(gòu)，已經(jīng)成為一種可行的解決路徑，很可能會(huì)成為未來人民銀行“數(shù)字化”進(jìn)程中的一種備選方案。

在云服務(wù)不可逆轉(zhuǎn)的發(fā)展趨勢下，云環(huán)境的開放性和商業(yè)性、特有的數(shù)據(jù)和服務(wù)外包、虛擬化和跨業(yè)務(wù)領(lǐng)域共享等特征使其面臨的安全威脅相比傳統(tǒng)IT環(huán)境更復(fù)雜多樣，給信息技術(shù)審計(jì)帶來新的挑戰(zhàn)。云租戶對(duì)云環(huán)境資源的非法訪問、惡意云管理員的越權(quán)操作和誤操作、云端數(shù)據(jù)泄漏、被破壞或丟失、云基礎(chǔ)設(shè)施資源枯竭、配置不當(dāng)、網(wǎng)絡(luò)遭受攻擊等風(fēng)險(xiǎn)將會(huì)成為信息技術(shù)審計(jì)重點(diǎn)關(guān)注內(nèi)容。人民銀行各級(jí)內(nèi)審部門需要持續(xù)從關(guān)注風(fēng)險(xiǎn)的角度出發(fā)，在推動(dòng)央行科技工作改革升級(jí)過程中，始終緊跟技術(shù)發(fā)展趨勢，圍繞信息系統(tǒng)重大風(fēng)險(xiǎn)、重要業(yè)務(wù)應(yīng)用系統(tǒng)和科技領(lǐng)域重點(diǎn)工作開展信息技術(shù)審計(jì)，靠前一步，主動(dòng)學(xué)習(xí)了解云服務(wù)在金融行業(yè)領(lǐng)域的場景應(yīng)用和安全保障，主動(dòng)加強(qiáng)與科技和業(yè)務(wù)部門的溝通協(xié)調(diào)，及時(shí)掌握業(yè)務(wù)需求變化和技術(shù)路徑選擇，做好知識(shí)儲(chǔ)備，更新審計(jì)技術(shù)和工具，為高質(zhì)量發(fā)揮審計(jì)監(jiān)督職能奠定堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)

[1]范煜.云環(huán)境下的數(shù)據(jù)審計(jì)技術(shù)研究[D].電子科技大學(xué)，2020.

[2]李慧芳.云計(jì)算環(huán)境下云審計(jì)的系統(tǒng)設(shè)計(jì)與實(shí)施[D].江西財(cái)經(jīng)大學(xué)，2017.

[3]陳希凡.基于“云計(jì)算”的政府金融審計(jì)方法與技術(shù)探索[D].南京審計(jì)大學(xué)，2017.

（作者單位：中國人民銀行銀川中心支行）