COSO发布云计算风险管理指南
近日,美国反虚假财务报告委员会——COSO委员会发布了一份题为《针对云计算的企业风险管理》的新指南,建议任何组织在与云计算服务商(CSP)签订合约之前,应该先开展风险管理活动。
上述指南提供了完整的核查方案,审视组织是如何遵循COSO的企业风险管理(ERM)规定,通过整体框架来评估和管理因云计算而引发的风险。
国富浩华会计公司(Crowe Horwath LLP)的风险管理主管沃伦·陈(Warren Chan)、前任风险管理顾问尤金·雷格(Eugene Leung)和海蒂·皮里(Heidi Pili)共同起草了这份指南。该指南认为,在选择CSP时,相关的风险控管必须包括征询方案和尽职调查。
此外,指南所要求的风险管理还包括,在与每个CSP签订的协议中必须包括审计权条款。指南还建议,在选择CSP之前,最好先进行会晤,以便了解CSP是如何解决某些特定的风险和事项的。”
指南表示,作为风险管理的一部分,既可以由本组织的内部审计师来评估CSP的内部控制环境,也可以要求CSP提供独立审计报告,如符合美国注册会计师协会(AICPA)的规定、根据《鉴证业务准则公告第16号》(SSAE 16)以及《服务型组织第2号控制准则》(SOC 2)编制的、涉及安全性,有效性,传输完整性,保密性以及隐私性的审计报告。
指南称,在适当的情况下,风险管理还必须实施额外的控制,以便CSP所使用的格式能满足组织的各种需求。
在一份声明中,COSO的主席大卫·兰斯特尔(David Lansittel)表示,新鲜出炉的指南将有助于董事会成员发挥监督作用,同时,指南也将有助于高级管理人员对云策略进行风险管理。
兰斯特尔在新闻稿中说:“云计算给组织带来的潜在好处是巨大的,但好处仅仅是一方面,并非云计算的全部。”指南列出了问题清单,需要董事会成员在进行云计算风险管理时予以考量,这些问题包括:
1、在整个管理中,由谁来负责了解和管理与云计算相关的企业风险?
2、管理层是否制定了有效程序来监管云计算?
3、对于云计算,竞争对手做了哪些工作?
即便管理层对云计算不感兴趣,但为了防止和侦查雇员未经授权使用云服务,指南仍然建议组织应当制定监管措施。此外,启动云服务相当简单且并不昂贵,其有限的支出可能都不足以引起管理层的注意。
与此同时,指南还建议对合同条款进行审核,确保云计算遵守了数据保护法和司法管辖权。举例来说,一家美国的CSP如果在德国管控数据,就必须遵守德国的数据保护法规、欧盟数据保护法规和通报法规、以及美国爱国者法案。
指南指出,数据分类政策必须确保组织上下充分理解数据的使用目的,所有权和敏感性,并且这些观念得到了传达。而上市公司的高管需认识到,根据监管要求和透明性义务,云计算的应用可能会产生额外的财务报表披露。
指南表示,由一个单独的CSP对多个组织的数据进行整合会招致被网络攻击的额外风险。一个小型企业也许会认为自己不太可能会成为攻击的目标,但它若与另一个备受关注的组织共享云端基础构架时,它被网络攻击的可能性就会增加。
为了降低网络攻击的风险,指南建议,只有在处理非基本或者非敏感数据时,才启用第三方CSP。此外,云端数据必须进行加密处理。
指南称,若使用得当,云计算能够带来的诸多好处还有待挖掘,但如管理不当,云计算也会带来诸多意想不到的麻烦。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。