近日，美國反虛假財務報告委員會——COSO委員會發布了一份題為《針對云計算的企業風險管理》的新指南，建議任何組織在與云計算服務商（CSP）簽訂合約之前，應該先開展風險管理活動。

上述指南提供了完整的核查方案，審視組織是如何遵循COSO的企業風險管理（ERM）規定，通過整體框架來評估和管理因云計算而引發的風險。

國富浩華會計公司（Crowe Horwath LLP）的風險管理主管沃倫。陳（Warren Chan）、前任風險管理顧問尤金。雷格（Eugene Leung）和海蒂。皮里（Heidi Pili）共同起草了這份指南。該指南認為，在選擇CSP時，相關的風險控管必須包括征詢方案和盡職調查。

此外，指南所要求的風險管理還包括，在與每個CSP簽訂的協議中必須包括審計權條款。指南還建議，在選擇CSP之前，最好先進行會晤，以便了解CSP是如何解決某些特定的風險和事項的。“

指南表示，作為風險管理的一部分，既可以由本組織的內部審計師來評估CSP的內部控制環境，也可以要求CSP提供獨立審計報告，如符合美國注冊會計師協會（AICPA）的規定、根據《鑒證業務準則公告第16號》（SSAE 16）以及《服務型組織第2號控制準則》（SOC 2）編制的、涉及安全性，有效性，傳輸完整性，保密性以及隱私性的審計報告。

指南稱，在適當的情況下，風險管理還必須實施額外的控制，以便CSP所使用的格式能滿足組織的各種需求。

在一份聲明中，COSO的主席大衛。蘭斯特爾（David Lansittel）表示，新鮮出爐的指南將有助于董事會成員發揮監督作用，同時，指南也將有助于高級管理人員對云策略進行風險管理。

蘭斯特爾在新聞稿中說：“云計算給組織帶來的潛在好處是巨大的，但好處僅僅是一方面，并非云計算的全部。”指南列出了問題清單，需要董事會成員在進行云計算風險管理時予以考量，這些問題包括：

1、在整個管理中，由誰來負責了解和管理與云計算相關的企業風險？

2、管理層是否制定了有效程序來監管云計算？

3、對于云計算，競爭對手做了哪些工作？

即便管理層對云計算不感興趣，但為了防止和偵查雇員未經授權使用云服務，指南仍然建議組織應當制定監管措施。此外，啟動云服務相當簡單且并不昂貴，其有限的支出可能都不足以引起管理層的注意。

與此同時，指南還建議對合同條款進行審核，確保云計算遵守了數據保護法和司法管轄權。舉例來說，一家美國的CSP如果在德國管控數據，就必須遵守德國的數據保護法規、歐盟數據保護法規和通報法規、以及美國愛國者法案。

指南指出，數據分類政策必須確保組織上下充分理解數據的使用目的，所有權和敏感性，并且這些觀念得到了傳達。而上市公司的高管需認識到，根據監管要求和透明性義務，云計算的應用可能會產生額外的財務報表披露。

指南表示，由一個單獨的CSP對多個組織的數據進行整合會招致被網絡攻擊的額外風險。一個小型企業也許會認為自己不太可能會成為攻擊的目標，但它若與另一個備受關注的組織共享云端基礎構架時，它被網絡攻擊的可能性就會增加。

為了降低網絡攻擊的風險，指南建議，只有在處理非基本或者非敏感數據時，才啟用第三方CSP.此外，云端數據必須進行加密處理。

指南稱，若使用得當，云計算能夠帶來的諸多好處還有待挖掘，但如管理不當，云計算也會帶來諸多意想不到的麻煩。