在云環(huán)境下開展審計工作的新思考

楊碩

【摘 要】文章概述了云服務，從審計視角列出組織在云服務規(guī)劃、實施和管理階段需要考慮和解決的問題。本文立足于人民銀行“數(shù)字央行”發(fā)展規(guī)劃，從云服務路徑選擇方向出發(fā)，提出對人民銀行信息技術審計的啟示建議。

【關鍵詞】云服務;人民銀行;信息技術審計

一、引言

云服務是指使用互聯(lián)網(wǎng)訪問組織場所外部存儲的系統(tǒng)和數(shù)據(jù)，可以將其視為IT服務外包的發(fā)展方向。不同于傳統(tǒng)信息系統(tǒng)主要依賴組織內部的軟、硬件設施，云服務主要提供虛擬化的資源，在效率、靈活性和安全性等方面的顯著優(yōu)勢可以通過云供應商的規(guī)模經(jīng)濟和專業(yè)知識實現(xiàn)。

1.云服務模式。

目前，主要以IAAS、PAAS、SAAS三種方式提供服務，來滿足不同的需求和應用場景。

（1）基礎設施即服務（IAAS）。提供的服務是對所有基礎設施的使用，如：CPU、內存、存儲、網(wǎng)絡、防火墻等資源。支持任意操作系統(tǒng)和應用軟件，最不可能導致供應商鎖定，但是隨著業(yè)務數(shù)據(jù)累計增加需要花費更高的費用去升級服務器或者擴容存儲空間。

（2）平臺即服務（PAAS）。提供的服務是應用程序開發(fā)、測試和部署平臺，用戶需要具備較高的IT技術水平。

（3）軟件即服務（SAAS）。用戶直接通過網(wǎng)絡租用供應商提供的應用軟件服務，不需要安裝或維護軟件或擁有自己的硬件。但對更新的控制最少，會面臨軟件許可、軟件維護和技術支持等隱性成本不斷增加，也很難遷移到其他云服務平臺。圖1將本地系統(tǒng)架構與三種服務模式進行了對比。

2.“云”的類型。

上述云服務可以在以下類型的云上提供：

（1）公共云：多個客戶可共享相同的硬件、存儲和網(wǎng)絡設備等資源，不用架設任何設備或配備管理人員，便可享有專業(yè)的IT服務。

（2）私有云：云供應商為單個客戶提供特定云系統(tǒng)的專用使用，在人員和設備方面所需投資最大。

（3）社區(qū)云：在有限的組織之間共享專用服務，這些組織對安全性、隱私、性能和合規(guī)性有共同要求。

（4）混合云：這是上述內容的組合，其中某些應用程序和服務在公共云中運行，而其他應用程序和服務在私有云中運行。

二、云服務的評估

在選擇云解決方案之前，組織需要評估云是否適合他們的需求和目標，清楚了解各種云服務的相對優(yōu)點和潛在缺陷。而管理層則需要制定明確的需求目標并對備選方案作出恰當評估，綜合考慮成本效益，從而選擇最適合的供應商。

1.數(shù)字策略。

組織在部署“云戰(zhàn)略”時，應制定明確的數(shù)字戰(zhàn)略和清晰的技術要求，避免過度依賴于特定技術方案。審計應當關注：

（1）組織是否考慮過選用哪種類型的云解決方案？能否確保所有用戶都能訪問互聯(lián)網(wǎng)？

（2）是否了解本地系統(tǒng)向云平臺遷移的復雜性和相關配置？數(shù)字化策略是否對系統(tǒng)遷移進行風險評估？

（3）在安全方面是否遵循最佳做法？在承諾使用云服務之前，組織是否遵循了國家規(guī)定的云安全原則？對于云服務如何與現(xiàn)有的服務、系統(tǒng)和進程兼容是否有一個長遠的規(guī)劃？

2.盡職調查。

供應商可以提供一個安全的技術環(huán)境，但識別和處理數(shù)據(jù)泄露、黑客入侵等行為仍然是組織的責任。確定選擇標準前應明確組織的特定需求。組織應對備選供應商進行盡職調查，確保他們是否符合所有安全規(guī)定、相關標準及業(yè)務特定需要。審計應當關注：

（1）組織和云供應商之間是否有明確的責任關系？組織對云供應商有什么監(jiān)督機制？云供應商是否簽訂分包合同，如何管理風險？

（2）服務條款是什么？云供應商保證的存儲空間和服務功能是否足以滿足組織的需求？業(yè)務連續(xù)性安排是什么？供應商的責任上限是否足以彌補組織遭受的任何損失？

（3）供應商的基礎設施部署在哪里，數(shù)據(jù)在哪個司法管轄區(qū)保存？對數(shù)據(jù)境內存放和跨境行為是否有法律法規(guī)保護？

（4）組織是否考慮過利用市場競爭優(yōu)勢選擇其他供應商而終止當前合同的成本？合同終止過程是否有完整的文件記錄，當前合同中云供應商是否有協(xié)助傳輸和刪除數(shù)據(jù)的法律承諾？

三、云服務的實施

相較于傳統(tǒng)系統(tǒng)而言，云服務配置可能更為復雜。管理層需要確信他們已經(jīng)充分了解并能夠接受云服務實現(xiàn)涉及到的相關風險。

1.系統(tǒng)配置。

云環(huán)境中的潛在變化和創(chuàng)新可能使配置比本地網(wǎng)絡更具挑戰(zhàn)性。正確的配置可以確保云服務系統(tǒng)和原有系統(tǒng)進行高效、安全地通信和互操作。審計應當關注：

（1）組織是否制定了項目管理計劃？供應商對系統(tǒng)配置方面的承諾是什么？

（2）是否為遷移準備了基礎設施、應用程序和數(shù)據(jù)？如果舊數(shù)據(jù)質量較差，是否應將其以現(xiàn)有狀態(tài)傳輸?shù)叫孪到y(tǒng)中？

（3）組織是否過度依賴第三方資源？實施完成后內部團隊是否全面了解系統(tǒng)的配置方式？

2.風險和安全。

云服務并不一定比現(xiàn)有的技術架構更安全，它們所面臨的安全風險大致相似。云解決方案雖然具有強大的網(wǎng)絡防御能力和多層安全性，但同樣存在大量默認配置的問題。審計應當關注：

（1）組織是否明確技術風險的責任歸屬和應對措施？是否對系統(tǒng)資源枯竭、數(shù)據(jù)泄漏、誤操作等風險制定應對方案？

（2）組織是否更新了業(yè)務連續(xù)性計劃？系統(tǒng)備份如何實現(xiàn)？

3.實施。

云服務的實施過程中，除了技術管理外，還必須關注變更管理對所有利益相關者和用戶的重要性。審計應當關注：

（1）主要利益相關者是否通過全面的變更管理策略參與實施？組織是否根據(jù)所選服務為用戶提供培訓和指導？

（2）是否有應急計劃？

（3）是否制定了測試規(guī)范？

四、云服務管理

云服務會減少組織維護內部管理系統(tǒng)所需的人力物力，云服務供應商可以負責管理和維護基礎設施，以及軟件更新。但組織不能將數(shù)據(jù)管理和業(yè)務流程控制的責任外包出去。

1.變更。

云服務上線后，可能會面臨一個短暫的問題高發(fā)期，在此過程中，持續(xù)的變更管理對于消除用戶疑慮、匹配系統(tǒng)接口或更新配置都非常重要。與內部部署環(huán)境相比，云環(huán)境更具動態(tài)性，更改和更新的頻率和數(shù)量會更大。審計應當關注：

（1）對云供應商的計劃是否有明確的監(jiān)督？云供應商是否公開發(fā)布新功能和系統(tǒng)升級計劃？組織是否評估計劃變更對業(yè)務的影響？

（2）系統(tǒng)變更和升級的責任是否明確？內部團隊是否具備管理變更的權限和知識？將更改發(fā)布到實施服務中之前，是否進行模擬測試？

（3）是否已打開審計功能以提供跟蹤信息？

2.保障。

云供應商通常以服務組織控制報告形式向客戶提供保證。云供應商委托獨立審計師編寫這些報告，以確保其流程安全合規(guī)。管理層需要掌握這些報告提供的保證以及可能存在控制缺陷或需要進一步保證的領域。審計應當關注：

（1）管理層是否了解不同服務組織控制報告的一般范圍和局限性？

（2）服務組織控制報告的頻率是否足以跟上持續(xù)改進的步伐？如果云供應商對其系統(tǒng)進行重大更改，是否有相關合同條款要求獲取最新報告？

（3）管理層是否仔細審查服務組織控制報告的結果？

五、對央行內部審計工作的啟示

隨著我國金融改革的不斷深入和信息技術的快速發(fā)展，人民銀行提出建設“數(shù)字央行”的發(fā)展戰(zhàn)略，充分利用大數(shù)據(jù)、云計算技術，實施IT架構轉型升級，對內部管理和各項業(yè)務進行重構，實現(xiàn)金融服務與監(jiān)管職能“數(shù)字化”。云計算的不斷滲透，在以虛擬化為基礎的IAAS私有云之上，基于容器技術和分布式中間件構建適用于人民銀行分支機構的云服務平臺，形成分布式服務型系統(tǒng)架構，已經(jīng)成為一種可行的解決路徑，很可能會成為未來人民銀行“數(shù)字化”進程中的一種備選方案。

在云服務不可逆轉的發(fā)展趨勢下，云環(huán)境的開放性和商業(yè)性、特有的數(shù)據(jù)和服務外包、虛擬化和跨業(yè)務領域共享等特征使其面臨的安全威脅相比傳統(tǒng)IT環(huán)境更復雜多樣，給信息技術審計帶來新的挑戰(zhàn)。云租戶對云環(huán)境資源的非法訪問、惡意云管理員的越權操作和誤操作、云端數(shù)據(jù)泄漏、被破壞或丟失、云基礎設施資源枯竭、配置不當、網(wǎng)絡遭受攻擊等風險將會成為信息技術審計重點關注內容。人民銀行各級內審部門需要持續(xù)從關注風險的角度出發(fā)，在推動央行科技工作改革升級過程中，始終緊跟技術發(fā)展趨勢，圍繞信息系統(tǒng)重大風險、重要業(yè)務應用系統(tǒng)和科技領域重點工作開展信息技術審計，靠前一步，主動學習了解云服務在金融行業(yè)領域的場景應用和安全保障，主動加強與科技和業(yè)務部門的溝通協(xié)調，及時掌握業(yè)務需求變化和技術路徑選擇，做好知識儲備，更新審計技術和工具，為高質量發(fā)揮審計監(jiān)督職能奠定堅實的基礎。

參考文獻

[1]范煜.云環(huán)境下的數(shù)據(jù)審計技術研究[D].電子科技大學，2020.

[2]李慧芳.云計算環(huán)境下云審計的系統(tǒng)設計與實施[D].江西財經(jīng)大學，2017.

[3]陳希凡.基于“云計算”的政府金融審計方法與技術探索[D].南京審計大學，2017.

（作者單位：中國人民銀行銀川中心支行）