基于云计算环境下的企业内部控制应对策略探讨.docx

基于云计算环境下的企业内部控制应对策略探讨 摘要：信息时代，云计算在企业中的应用逐步扩大。企业使用云计算，可以通过先进的计算机网络技术，以低廉的成本获得高效、便捷、动态的虚拟化IT资源及相关服务。但与此同时，数据信息的安全、隐私保护也面临着新的风险，企业内部控制也发生了新的变化。本文就云计算的概念、对企业内部控制的影响、以及在云计算环境中如何实现内部控制进行探讨。 下载 关键词：云计算 企业内部控制 应对策略 随着信息化社会的到来，企业数据处理量与日俱增，云计算作为一种全新的信息管理模式，以其高效、便捷、动态、低成本的特点，正得到越来越广泛的应用与普及。但在这样的环境和模式下，企业传统的内部控制、风险管理也相应出现变化，我们需要寻找到新的办法加以应对，以保障企业的信息安全和运营效率。基于这样的背景，本文提出了云计算环境下，实现企业内部控制新的办法和策略。 一、“云计算”的概念 “云计算”是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。现阶段通常将其看作一种按使用量付费的模式，该模式中“云服务供应商”提供高效便捷的网络访问服务，以及可动态配置的IT资源如网络、服务器、存储设备、软件系统等，企业则根据自身所需，通过向云服务供应商支付适当费用以获得相应的服务与资源。 这种模式，使“云计算”具备了超大规模、超强计算能力、虚拟化、动态弹性、成本低廉等特点。云服务供应商往往能够集中数十万台甚至更多的服务器，其规模远超单一个体企业，计算能力大为提升。同时所提供的相关服务、资源来自“云”，对用户而言仅是虚拟化的存在，没有固定的物理位置、形态，企业可在任意位置、用任意终端获取服务、资源，并根据自身需求调整购买数量，具备很强的动态灵活性，在成本控制及工作效率上都更为有效。 二、云计算对企业内部控制的影响及带来的问题 云计算从根本上改变了企业信息处理的方式和习惯，进而对企业整个内部控制产生影响并带来新的问题，下面进行相应阐述。 （一）改变了企业内部控制的范围和要求，带来内控难度增加 传统的企业内部控制要素主要包括管理钱物、财务系统、计算机硬件设施及相应的审批、复核流程、制度等。而企业采用云计算后，其内部控制范围还将扩大到云资源的安全与隐私、云服务供应商资信、外部网络安全等方面。同时，对内部控制的要求上，也将从传统的静态控制、局部控制、事后评价转变为动态控制、整体控制、实时多线程控制，需要通过多方位、综合性管控，来确保信息资源的完整、真实、安全、有效。在这样的情况下，原有的内控体系难以满足和适应新的需求和变化，内控工作难度也相应增加。 （二）改变了数据处理、存储的模式，引起数据安全与隐私保护的风险和隐患 传统模式下，企业数据通过内部软件系统处理并保存在自有存储设备中，数据安全与隐私保护工作相对单一。而云计算模式下，相关数据信息通过开放网络，利用云应用加以处理并被集中存储在云端，这一过程中可能因为黑客攻击而导致信息泄露。此外，云服务供应商自身的安全防护水平、所在国家、地区对云计算管理的法律法规设计等因素，都将对企业信息安全造成影响。云数据从生命周期的开始到销毁，随时可能会出现各种风险。因此对于一些传统用户而言，云计算所额外产生的数据安全与隐私保护的风险，以及与传统的隐私保障机制之间的矛盾冲突，是他们不愿选择该应用模式的最主要原因。 （三）改变了传统的工作习惯，造成企业内部沟通和协同障碍 云计算环境下，企业员工需要学习和掌握云计算的相关特点、要求，熟悉和适应网络化的软硬件应用操作，同时企业自身也需要对原有的信息传递、处理、存储的流程、方式、权限等加以重新设计，并相应调整对应的内部控制体系，这对原有的工作习惯是巨大的改变和颠覆。而企业内部不同层级、不同部门对这一改变理解、适应上的差异，容易引起内部沟通、协同上的障碍。 三、在云计算环境中，企业内部控制的方法和策略 综上所述，云计算的应用在提升企业信息处理效率，降低处理成本的同时，也对企业内部控制产生了深刻影响并带来新的问题。企业可重点从完善内部控制体系，提升安全防护能力，强化员工培训和信息沟通三个方面入手加以应对和解决。 （一）完善内部控制体系 企业应与时俱进，根据内部控制范围的变化对其进行相应调整和完善。首先需重新设计企业组织架构和业务流程使其符合云计算环境的特点及要求。其次，针对新的架构与流程，重新界定内部控制的要点和关键环节，健全内部控制制度建设，扩大内部控制覆盖范围。再次，要强化监督力度，完善监督机制。对内部控制的执行要从事后评价前移到事前预防、事中监督，对员工操作的考核要提高频率，定期检查与不定期检查相结合，全面检查与局部抽查相结合，尤其应通过进一步强化企业内部审计职能，来确保内部控制执行的有效性。 （二）提升安全防护能力 云计算环境下，企业首先要充分认识和评估数据信息从产生、传递、处理、存储、销毁等全过程可能存在的风险，有针对性的对相关设备、软件及操作流程加以保护防范。包括硬件设备的防火、防尘、防潮，软件漏洞的修复，病毒的查杀，网络系统中用户登录采用双重认证，使用反间谍软件，及时进行数据备份等。 其次，要加强对云服务供应商资质、信誉、服务保障能力等相关情况的调查评估。在合作协议中对企业数据安全和隐私保护加以专项约定，明确双方权利义务及违约责任，避免事故发生后责权不清的风险，保障企业应有利益。 再次，要建立有效的风险管理机制。一方面确立风险管理责任体系，将企业最高决策层、中层管理者及一线员工全部纳入其中，明确各自风险管理岗位职责。另一方面，建立风险预警体系，不断强化风险防范意识，提升风险评估和识别能力，防患于未然。最后，要制定风险应急预案，明确风险发生后的处置流程和相应负责人，并对处理结果进行全面的追踪反馈，以此全面提升企业数据安全与隐私防护能力。 （三）加强员工培训和信息沟通 企业应设计有效的全员培训计划，针对不同层级、不同部门，就云计算、云安全、内部控制、风险管理等相关领域，进行专项的教育指导并在实践中追踪考核。同时保持与先进企业、同行的紧密联系，创造交流学习的机会，开拓员工视野，借鉴先进经验。通过强化培训，一方面从思想认识上提升全员的风险防控意识，营造良好的内控文化氛围。另一方面从业务能力上提升全员的实际操作水平和风险识别能力，加快熟悉和适应云计算环境下的工作模式和内部控制要求，明确自身新的岗位职责和风险管理责任。 与此同时，还应打通企业信息传导通道，建立全方位的信息沟通机制，加强不同层级、不同部门员工间的信息传递和交流，促进新环境下彼此间的了解、认知和行为同步，逐步化解内部沟通、协同上的障碍， 四、结束语 云计算的推广应用，在为企业带来高效、便捷、廉价的信息处理服务同时，也随之增加了企业信息安全的风险，加大了内部控制的难度。本文提出了云计算环境下有效规避风险，提高企业内部控制的应对策略，如完善内部控制体系