COSO修改草案给我们带来的启示与思考(2)

　　最后，集团企业利用信息技术进行集中管理的第三种形式是集团企业为了提高效率，降低运营成本，优化了组织结构，去掉组织的中间层次。以财务核算共享为例，这种形式可能会带来了如下的风险：一是在传统的会计核算模式下，会计人员靠近业务前端，对业务的熟悉程度高，因此能够较好地发挥他们审核的职责。实行财务共享后，所有的会计人员集中到财务共享中心，远离业务前端，对经济事项是否真实、是否合规的管控程度降低。二是财务共享服务本身需要依赖信息技术，会计数据集中存储在一起，因此，系统一旦瘫痪或者出现漏洞，将给企业带来巨大的损失。三是财务共享中心会计人员分工非常精细，但工作量大，会使会计人员感觉麻木，缺乏激情，思维容易形成定式，增加出错风险。
　　二、信息技术基础设施变化带来的新风险
　　COSO的NO.309指出，技术的一般控制包括：对信息技术基础设施的控制、对安全管理的控制和对技术获得、开发和维护的控制。NO.310指出技术需要在一个基础设施中运行，这种基础设施包括连接各部分的网络、各种计算资源和电力。这些基础设施可能由企业中不同的业务单元来共享，也可能外包给第三方服务企业来管理，如：“云计算”的服务商提供的服务。
　　COSO的NO.310中提出了一个新的概念，利用“云计算”技术将基础设施外包给第三方企业。这意味着企业自身将无法控制由基础设施带来的风险。那么，企业如何利用“云计算”？它又会带来哪些新的风险呢？
　　云计算是网络计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统，并借助SaaS（SoftwareasaService，软件即服务）、IaaS（InfrastructureasaService，基础设施即服务）等先进的商业模式，把强大的计算能力分布到终端用户手中。
　　软件即服务（SaaS）的服务模式为：SaaS服务提供商将应用软件统一部署在自己的服务器上，用户根据自身需求，通过互联网向提供商订购应用软件服务，服务提供商根据客户所定应用软件的数量、使用时间的长短等因素收费，并且通过浏览器向客户提供应用软件服务。我国最大的财务软件提供商——用友软件正在尝试以这种方式给用户提供服务。
　　基础设施即服务（IaaS）的服务模式为：把厂商由多台服务器组成的“云端”基础设施作为计量服务提供给客户。IaaS将内存、I/O设备、存储和计算能力整合成一个虚拟的资源池，为整个业界提供所需要的存储资源和虚拟化服务器等服务，用户付费使用厂商的硬件设施。IaaS的优点是用户仅仅需要低成本硬件，按自身需求租用相应计算能力和存储能力，大大降低了用户在硬件上的开销，同时有利于用户的规模扩充和发展。
　　“云计算”在给用户提供低成本、方便服务的同时，也带来了新的风险。如：某些滥用和恶意使用云计算的风险；不安全应用程序接口的风险；“云计算”提供商不怀好意的内部人员，从组织内部发起攻击的风险；基础设施共享带来的风险；数据可能丢失或泄漏的风险；账户或服务被窃听或劫持的风险。
　　三、注重来自企业外部与内部的风险
　　COSO的NO.313指出，安全的威胁来自内部与外部两个方面。外部威胁对那些依赖网络进行运营的企业尤其重要。企业、客户与怀有恶意的人可能在世界的另一侧，也可能同在一个房间。信息技术的一些隐藏应用方式和访问通道可能忽视了安全管理的重要性。在今天高度互联的商业环境中，外部的威胁已经变得无与伦比的重要，应该继续努力去应对它。NO.314指出，来自于前任或对企业不满员工的内部威胁具有与众不同的特点，因为他们既有动力来反对企业，同时又装备得更好，为了取得破坏的成功，他们更了解企业的安全管理系统和过程。
　　在我国，越来越多的企业正在依赖互联网从事经营活动，如：各大银行都有网上银行、销售商品的网站越来越多。可以说，在互联网上我们可以买到任何我们需要的商品。与传统企业不同，这些企业经营活动直接受互联网的影响，网络上不怀好意的黑客，很可能通过各种我们意想不到的手段攻击这些企业的网站，这样的例子在国外有很多。因此，不论是通过技术手段，还是通过管理制度，防范来自外部的风险是这些企业必然的选择。除了外部的威胁以外，内部的威胁也同样存在，内部不怀好意的人由于对企业内部使用的技术、管理的方式、方法都很熟悉，能够发现企业管理中的漏洞，从而趁虚而入，借机破坏。因此，合理进行人员分工，建立各种保密制度，以最大程度防止来自内部的风险。
　　四、信息技术下内控方式细节的改变