●黃燕飛何利輝

云服務在中小企業(yè)運用的風險管理研究

●黃燕飛何利輝

云計算時代已經(jīng)到來，眾多中小企業(yè)正抓住云計算帶來的機會拓展業(yè)務、者提升資源效率。使用云服務幫助中小企業(yè)提升投資回報率的同時，也帶來了新的風險。將數(shù)據(jù)或者服務放在云端的中小企業(yè)，失去了自己業(yè)務和數(shù)據(jù)的完整控制權，可能帶來泄密、丟失或者泄露客戶隱私等問題，甚至直接被網(wǎng)絡黑客勒索。同時，企業(yè)也面臨著合規(guī)性要求，因此，有必要研究中小企業(yè)運用云服務時應進行的風險管理。本文建議中小企業(yè)全面評估云服務帶來的危險和機遇，管理層自始至終參與云服務的決策過程，在企業(yè)風險評估體系中加入與云服務相關的內容，對云服務商進行審慎的盡職調查，明確約定雙方的法律責任義務和危機協(xié)調機制，培訓各層級員工與云計算相關的技術、法律法規(guī)和風險管理應對能力。

云計算云服務風險管理中小企業(yè)對策建議

一、云計算的定義和服務模式

信息技術特別是互聯(lián)網(wǎng)技術的發(fā)展，使得企業(yè)可以通過互聯(lián)網(wǎng)使用遠程的硬件或者軟件服務，但不需要在本地(特別是本企業(yè))安裝相應的軟件或者硬件，不需要對這些軟件和硬件進行維護和升級。云計算的概念首先由谷歌(Google)公司在2007年提出，但是沒有統(tǒng)一的定義，美國國家標準與技術研究院（NIST）對云計算的定義是“云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡訪問進入可配置的計算資源共享池（資源包括網(wǎng)絡、服務器、存儲、應用軟件、服務），它可以用最少的管理成本，與服務供應商在最少的交互前提下，完成計算資源的合理配置，使用戶能夠按需獲取CPU的處理能力、存儲空間和信息管理服務等資源”。云計算技術的發(fā)展幫助企業(yè)將信息處理從主機轉向個人電腦、從服務為中心轉向Web方式，云計算可以幫助企業(yè)改革自己的商業(yè)模式而不需要在基礎設施、培訓、人員和軟件上進行巨大的投資。計算資源可以由第三方提供，企業(yè)與其他組織分享使用這些資源。

提供云計算服務的方式主要有四種，即私有云、社區(qū)云、公有云和混合云。利用這四種方式提供服務的模式有三種：基礎設施即服務（IAAS-Infrastructure as a Service）、平臺即服務（PAAS-Platform as a Service）和軟件即服務（SAASSoftware as a Service）。

私有云是指該云設施專為某一組織（本文統(tǒng)稱為企業(yè)）服務，云設施可以本地部署，也可以異地部署，云設施可以由企業(yè)管理或者由第三方管理。社區(qū)云是指云設施由多個有共同利益的（例如行業(yè)內合作）企業(yè)組成的社區(qū)共享，可以本地或者異地部署。公有云向公眾開放或者行業(yè)內的企業(yè)開放，由某個組織所有并且出售云服務?；旌显剖侵冈圃O施由多種云組成、向特定企業(yè)開放但通過標準化或者專有技術來達成數(shù)據(jù)或者應用的可攜帶性。

基礎設施即服務（IAAS）是指云服務提供商提供整個虛擬數(shù)據(jù)中心的資源（例如網(wǎng)絡、計算資源和存儲資源）。典型的基礎設施即服務的提供商有亞馬遜公司、阿里巴巴公司等。例如亞馬遜的云平臺可以提供計算服務和存儲服務，著名的奈飛（Netflix）公司使用亞馬遜的云平臺存儲其為客戶提供的視頻，將自己的主動資源投放在生產和提供更好的視頻內容上，IBM公司利用Blue Cloud提供計算和存儲服務。

平臺即服務（PAAS）是指云服務提供商向其客戶提供專有工具以幫助其生成在其基礎設施基礎之上的各種應用系統(tǒng)和程序，即云服務提供商為其客戶提供了建立和分發(fā)應用的開發(fā)環(huán)境。例如谷歌公司的Google App Engine允許第三方以Google Engine為基礎架構開發(fā)應用，阿里釘釘是企業(yè)級的云服務平臺，允許第三方開發(fā)者分發(fā)其開發(fā)的應用程序。

軟件即服務（SAAS）即企業(yè)使用云服務來完成具體的職能或者處理，例如可以應用云服務來完成郵件服務、客戶管理系統(tǒng)、企業(yè)資源計劃系統(tǒng)（ERP）或者整個經(jīng)營管理流程。例如用友公司的偉庫將財務、營銷和辦公協(xié)同管理。金蝶公司友商網(wǎng)將財務和進銷存融為一體。微軟公司的Azure幫助企業(yè)可以直接使用其辦公軟件。

二、云計算服務給中小企業(yè)帶來的機遇

亞馬遜公有云的使用者以中小企業(yè)為主，金蝶友商網(wǎng)，SAP等公司都在利用云服務來為企業(yè)尤其是中小型企業(yè)服務。中小企業(yè)出于以下考慮，使用云服務，而不是直接建立自己的信息服務設施。

一是可以節(jié)約成本。使用云服務的企業(yè)不需要購買或者租賃昂貴的、不能完全利用的設備，也不需要租賃場地放置這些設備、支付維護數(shù)據(jù)中心或者硬件的電力成本。企業(yè)可以直接按需要租賃其所需的服務，按需服務，并且支付的租賃費用可以直接在企業(yè)所得稅稅前扣除，而不需要像固定資產一樣通過計提折舊或者軟件攤銷的方式在稅前扣除，因此，獲得企業(yè)所得稅稅前扣除的時間更早。

二是可加快獲取所需服務的速度。直接使用云服務供應商提供的計算資源可以幫助企業(yè)更快滿足其需求，企業(yè)所需的計算資源或者應用這類需求的滿足時間可以從月縮短到周，或者縮短到天，或者縮短到幾小時?，F(xiàn)在的消費者已經(jīng)沒有耐心等上數(shù)月或者數(shù)周，而是希望按需服務，即時獲得滿足感。

三是擴展性更佳。企業(yè)可以方便地在一個服務器或者多個服務器上提供服務而無需進行資本性投入，企業(yè)可使用云服務來滿足低頻率的高計算服務，或者高頻率的低計算服務。

四是降低在技術管理上的投入。投資建立自己的信息技術設施和團隊費時費力，使用云服務可以幫助企業(yè)將主要的時間和資源放在自己的核心業(yè)務上，企業(yè)可以直接使用云服務提供商的軟件和硬件升級，不需要考慮技術升級的需要。

五是社會成本的節(jié)約。如果企業(yè)都將自己的數(shù)據(jù)中心替換成云服務，從整個社會看，將大大降低需要的數(shù)據(jù)中心數(shù)量，可以節(jié)約電力消費、碳排放和土地的使用，這將給全社會帶來成本的節(jié)約。

但是凡事有利即有弊，使用云服務可以給企業(yè)和社會帶來各種機遇，但另一方面也會因使用云計算而帶來額外的風險。

三、使用云計算給中小企業(yè)帶來的風險

風險是因某一事件發(fā)生的不確定性給中小企業(yè)目標的達成帶來負面影響。中小企業(yè)使用計算服務可能帶來安全性、可獲得性和不能達成目標等風險，這些風險不論是使用云服務還是自己的計算服務都有可能發(fā)生，但是使用云服務來完成企業(yè)所需的信息服務會導致以下額外的風險。

一是去計算帶來的顛覆性力量。云計算帶來技術變化和成本節(jié)約可能會顛覆某些企業(yè)的業(yè)務、降低行業(yè)進入門檻、破壞某些企業(yè)的商業(yè)模式或者導致某些企業(yè)的業(yè)務過時。例如互聯(lián)網(wǎng)上流媒體的出現(xiàn)極大地降低了唱片的銷售量，奈飛的出現(xiàn)使得錄像帶出租行業(yè)過時。阿里巴巴這類電商平臺的出現(xiàn)使得開立小店鋪門檻很低，微信支付和支付寶的出現(xiàn)使得很多人利用現(xiàn)金支付的頻率大幅降低，很多人已經(jīng)可以不需要帶現(xiàn)金出門了。亞馬遜公有云業(yè)務的年增長率在40%以上，但是企業(yè)業(yè)務往云上遷移導致的硬件和軟件投資的減少使得象IBM這類傳統(tǒng)的存儲和服務器的企業(yè)營業(yè)收入持續(xù)十幾個季度下降。因此，云計算帶來的信息處理能力的變化對于某些企業(yè)來說，將是一個顛覆性力量，直接形成一個風險事件，需要企業(yè)做出應對。

二是依賴云服務帶來的生態(tài)風險。中小企業(yè)普遍沒有能力使用私有云業(yè)務，一般需要使用第三方提供和管理的云解決方案，因此中小企業(yè)與云服務供應商存在不對等的依賴關系。從法律上說，中小企業(yè)與云服務提供商是不同的法律主體，但是如果云服務商沒有盡責，可能會導致使用其服務的中小企業(yè)需要承擔相應的法律責任，反之卻并非如此，這使得兩者對風險的責任不對等。另一方面，中小企業(yè)與云服務商對同類事件的風險管理策略可能并不相同，只有簽訂合同的金額較大時，云服務商才可能與使用其服務的企業(yè)協(xié)同風險管理策略。此外，中小企業(yè)無法獲知云服務商提供服務的具體細節(jié)，例如其流程、具體運營和控制等，中小企業(yè)不能了解自己的數(shù)據(jù)存放在于何處、獲取何種安全措施的保護、計算架構和所使用的算法等等。

三是數(shù)據(jù)泄露和遷移風險。很多云服務商提供云服務和多種應用軟件開發(fā)工具，這些工具有的是專屬性質的，只在該服務商的應用架構內有效，新的應用可能在云外無法使用，并且這類專有工具越多，中小企業(yè)想把放在該云端的數(shù)據(jù)遷移出去越困難。云服務商因為其云端存儲了很多有價值的信息，比單個中小企業(yè)更容易成為黑客攻擊的目標，中小企業(yè)存儲在大型云服務商處的數(shù)據(jù)可能會遭受池魚之災，數(shù)據(jù)泄露的風險大增。同時由于訪問云端的客戶量很多，云端的存儲資源由眾多客戶分享，因此，客戶數(shù)據(jù)的隱私權遭到侵犯的可能性大增。

四是安全性和合規(guī)性風險。中小企業(yè)使用云端服務時，其數(shù)據(jù)的存放地與企業(yè)的經(jīng)營注冊地是分離的，如果跨越國境，需考慮這種分離是否符合相關法律法規(guī)的要求。各國有不同的法律來保護隱私，例如美國的愛國者法案，歐盟的數(shù)據(jù)保護指令，印度的信息技術修正案。中國的法律法規(guī)也有類似要求，這些要求導致微軟的Azure云服務需要與世紀互聯(lián)公司合作開展，亞馬遜的云服務也選擇網(wǎng)宿科技成為合作伙伴。云端服務提供商存儲數(shù)據(jù)的物理地點可能在國境之外，發(fā)生安全性事故時，中小型企業(yè)難以直接獲得和審查網(wǎng)絡運營和事故日志，云服務提供商可能出于主觀意愿或者法律限制不能向中小企業(yè)提供這些信息來幫助中小企業(yè)管理其數(shù)據(jù)和運營的安全性和合規(guī)性。

五是云服務可獲得性風險。如果某地的云服務基礎設施發(fā)達，那么企業(yè)不需要建立自己的信息技術團隊來進行信息技術基礎設施、跟蹤技術的發(fā)展和應用工具的開發(fā)和系統(tǒng)的維護等，但云服務是一個新生事物，很多云服務供應商運營歷史較短，持續(xù)經(jīng)營前景不明朗，對于有些業(yè)務，監(jiān)管政策也不明確，有些云服務商可能出于盈利前景的考慮，或者因為監(jiān)管政策的變化，終止某些服務，這些將對中小企業(yè)的運營帶來重大影響，要求企業(yè)尋找替代性資源或者自己投資設立相應的計算資源。例如近年來，不少提供網(wǎng)絡硬盤或者云存儲空間的企業(yè)終止其服務，導致客戶需要遷移其存儲的數(shù)據(jù)。

六是云計算影響經(jīng)營環(huán)境帶來的風險。中小企業(yè)應用云服務相對來說，比自己投資建設相關的信息技術資源投入較小。對于中小企業(yè)來說，云服務所需的支出可能較小，按照傳統(tǒng)的采購程序，不需要太高的層級批準即可以實施，參與其中的人員也不需要太多，但其影響卻可能很大，屬于典型性的投入較少、影響深遠的事件，與通常意義的重大投入并有重大影響事件的決策機制截然不同。但是從前文的分析可知，云服務的應用需要考慮的因素很多，決不應僅是采購層面的一個決策。例如過去建立數(shù)據(jù)中心、購買財務軟件或者ERP軟件，雇傭IT人員需要企業(yè)的大額投入，初始的投資可能就很大，按照內部的審批流程和控制程序的要求，將自動觸發(fā)高級管理層參與進行決策。而使用云服務的成本較低，如果按照支出管理權限可能僅要職能部門的審批即可。高級管理層需要了解，使用云服務能夠節(jié)約成本，但也意味著企業(yè)交出了部分控制權，其中蘊含高風險。

COSO報告認為，從三種交付云服務的方式，即公有云、混合云和私有云看，公有云帶來的風險最高，混合云次之，私有云最低。從交付的三種服務看，軟件即服務（SAAS）面臨的風險最高，平臺即服務（PAAS）次之，軟件即服務（SAAS）最高。因此企業(yè)管理層需要從企業(yè)層面評估企業(yè)可以接受的風險水平，以決定利用何種云服務方式來接受何種服務。

四、某小型高新技術企業(yè)財務管理云計算服務案例分析

某個小型高新技術企業(yè)，其業(yè)務發(fā)展迅速，投資人（尤其是風險權益投資人）希望公司把主要的資源和精力放在業(yè)務經(jīng)營上。公司成立之初業(yè)務簡單，只在一地開展業(yè)務，因此，最初其財務處理采取外包形式，隨著業(yè)務發(fā)展，公司購置了單機版用友財務軟件，雇傭專職財務人員處理。隨著業(yè)務擴大并向多地發(fā)展，各地的單機版模式不適合業(yè)務的管理需要。企業(yè)需要上線統(tǒng)一的會計核算系統(tǒng)和資金管理系統(tǒng)，建立采購管理、庫存管理系統(tǒng)和銷售管理系統(tǒng)，實現(xiàn)采購、庫存和銷售的一體化管理，分析自身的需求后，企業(yè)決定采用云計算方式來實施其財務管理。在綜合評價了云服務商的經(jīng)營規(guī)模和應用行業(yè)、云服務商的質量和價格、云會計的安全性、與企業(yè)現(xiàn)有業(yè)務系統(tǒng)的集成和云服務商的咨詢與實施能力后，選擇采用金蝶友商網(wǎng)的“在線會計+進銷存”，這是基于公有云部署的軟件即服務（SAAS）模式，具有無需安裝軟件和鋪設各種設備，全部通過瀏覽器進行操作的優(yōu)點，以三年為周期來衡量，云計算模式下的貨幣資本成本投入僅為傳統(tǒng)模式下的2%，并且實施上線周期快，充分體現(xiàn)了云計算服務的優(yōu)點，很適合小型快速發(fā)展中的企業(yè)。

與傳統(tǒng)自建模式相比，云計算模式下，啟用前無需安裝維護，可以立即使用，云服務供應商提供專業(yè)安全服務，公司可隨時使用云服務商提供的最新功能，后期維護和數(shù)據(jù)備份等服務也由云服務商提供。

但是企業(yè)在應用過程中，也發(fā)現(xiàn)存在著一些風險隱患，主要有下面幾點：

一是信息安全問題。企業(yè)選擇的是公有云上部署的軟件即服務（SAAS）。用戶的數(shù)據(jù)傳遞通過公共網(wǎng)絡傳輸，存儲數(shù)據(jù)的服務器和存儲器與公共網(wǎng)絡連接，因此，需要云服務商構建堅實的防火墻和先進的加密技術，來保證公司信息傳遞和信息存儲過程中的安全性。二是公司的財務數(shù)據(jù)存儲在公有云上，財務數(shù)據(jù)屬于公司的核心機密數(shù)據(jù)，公司沒有能力控制和評價該數(shù)據(jù)是否對云服務商保密，目前國家還沒有相關的法律對此做出明確規(guī)定，數(shù)據(jù)的所有權應該在企業(yè)，但該數(shù)據(jù)卻完全處于云服務商的控制下，因此該數(shù)據(jù)的安全性、隱私權和完整性取決于云服務商是否遵守法律、合同約定和職業(yè)道德。同時，友商網(wǎng)作為公有云，主要提供財務軟件服務，積累了大量高價值數(shù)據(jù)，容易成為黑客攻擊目標，可能影響企業(yè)數(shù)據(jù)的安全性。

二是選擇的云服務的拓展性有限。企業(yè)選擇了金蝶友商網(wǎng)的在線會計和進銷存應用來滿足其基礎的會計核算和財務管理要求，但隨著企業(yè)的發(fā)展，需要加入預算、決策分析、績效評價、供應商管理、客戶管理系統(tǒng)等模塊。但是這些服務個性化要求更多一些，云服務商還不具備在云端提供這些服務的能力。

三是云計算服務的標準化程度不夠。目前各供應商提供的云計算服務的標準化程度不夠，不能像鼠標、U盤一樣隨插隨用，云服務商的可比性還有待提高，這提高了企業(yè)的遷移成本。

四是管理層和職能部門對云計算的認知不足。在實施云服務前，公司了解云計算服務、職能部門待完成的需求的人基本沒有，不了解哪些功能云服務可以滿足，哪些需要企業(yè)內部改革流程來適應云服務的要求，云服務實施過程中對云服務商的依賴程度很高，對實施過程的把控性不夠，這些影響了企業(yè)使用云計算服務。

下面我們采取COSO和ISACA的分析框架，結合應用實際情況，為我國中小企業(yè)應用云服務過程中的風險管理提供一些對策建議。

五、中小企業(yè)云服務風險管理的建議

對于很多中小企業(yè)來說，使用云服務是個良好的商業(yè)選項，不僅能夠節(jié)約有形的成本，減少軟件、硬件、人員等基礎設施的投入，還可以節(jié)約業(yè)務實現(xiàn)的時間，提高數(shù)據(jù)和網(wǎng)絡的安全性。但是使用云服務也會帶來一些風險。針對以上的風險我們提出以下建議。

一是識別風險事件時，同時考慮事件帶來的財務影響和業(yè)務影響。云服務的初始使用，需花費的財務成本可能很低，如果以財務權限來衡量，需要的審批層級很低，但是使用云服務其帶來的影響范圍廣、后果重大。例如上文案例分析的企業(yè)，利用云服務進行會計核算和進銷存核算，起始成本較低，如果按采購金額來審計，財務部部門內部的授權就足夠。但實施此方案，對企業(yè)的整體影響很大，管理層不知曉、不參與，后果嚴重。因此，我們建議在涉及是否使用云服務時，不僅考慮其財務支出的授權，還要從公司層面衡量使用云服務帶來的其他影響后進行決策。

二是使用專家團隊，全面評估使用云服務的合規(guī)性風險和安全性風險。一般說來，中小企業(yè)內部的資源有限，云服務的特征是其使用者與云服務提供商的物理距離是分離的，可能還需要跨越不同的法律管轄區(qū)。這會帶來兩個問題，一是如果出現(xiàn)爭端，中小企業(yè)可能維權不易。其次，因為異地數(shù)據(jù)存儲和操作，中小企業(yè)可能需要遵守不同的經(jīng)濟體的法律法規(guī)，企業(yè)有必要事先咨詢專業(yè)的律師了解相關的要求，避免合規(guī)性風險。其次，雖然數(shù)據(jù)保持在云端，但是中小企業(yè)對在業(yè)務經(jīng)營中取得的數(shù)據(jù)的安全性、完整性負責，如果發(fā)生數(shù)據(jù)泄密或者違規(guī)使用客戶數(shù)據(jù)的事件，中小企業(yè)需要首先承擔責任。

三是進行盡職調查，審慎選擇云服務商。使用云服務的中小企業(yè)與云服務商之間存在信息不對稱，云服務商的透明度不夠等問題。一般說來，中小企業(yè)使用云服務商提供的通用功能，對于云服務商的內部控制環(huán)境、功能設置、工具開發(fā)、出現(xiàn)問題后的危機解決機制沒有影響力，按需付費獲取所需的服務。但是中小企業(yè)是后果的最終承擔者，因此，有必要全面了解云服務商的技術水平、危機處理能力、安全性管理和可持續(xù)經(jīng)營能力等因素，同時，由于數(shù)據(jù)等的遷移性較為困難，意味著中小企業(yè)對云服務商的使用時間越長，則依賴性越高，在選定云服務商后再更換的成本極高，有必要在選擇前，做好盡職調查，審慎選擇適合的云服務商。

四是管理層需全面參與云服務決策使用的全過程。管理層需要事先了解云服務的特點、競爭對手的使用情況，是否會因為云計算等的出現(xiàn)，給企業(yè)的經(jīng)營帶來危險或者機遇，顛覆本企業(yè)原有的商業(yè)模式還是企業(yè)可以利用云計算的機會踏上發(fā)展的快車道。有人說，云計算是一個可以媲美互聯(lián)網(wǎng)的大變革，因此中小企業(yè)的管理層有必要了解云計算帶來的危險和機遇，利用好這次技術變化。從企業(yè)場面定義企業(yè)的遠景、云計算能給企業(yè)帶來什么、誰應該主導全面評價衡量云計算、督促各級員工了解云計算的使用、監(jiān)督云計算使用過程中的風險，制定云計算使用過程中風險應對策略。

五是簽訂清楚的服務合同，與云服務商約定雙方的權利責任和義務。中小企業(yè)使用云服務，得到便利和成本節(jié)約的同時，也意味著交出了部分控制權。需要約定清楚云服務商應承擔的責任，例如保持服務的持續(xù)性，發(fā)生服務中斷，數(shù)據(jù)泄露或者黑客攻擊時，云服務商應該承擔什么樣的責任并提供何種溝通協(xié)調機制。從云服務提供的三種方式看，如果是使用基礎設施即服務（IAAS），對企業(yè)的風險相對較低，企業(yè)做好數(shù)據(jù)備份防止數(shù)據(jù)丟失即可。如果是使用軟件即服務（PAAS）則企業(yè)對云服務商的依賴度更高，需要做好的防備更多。

六是保持企業(yè)對信息技術的跟蹤評估，了解監(jiān)管者要求和信息技術對企業(yè)業(yè)務的影響。中小企業(yè)資源相對有限，使用云服務后，企業(yè)內部沒有跟蹤了解信息技術的專業(yè)人員，這可能導致企業(yè)不能了解監(jiān)管層對數(shù)據(jù)管理的新要求，不能持續(xù)評估云服務商的服務能力，導致出現(xiàn)未知風險，這些風險也許對中小企業(yè)來說將構成不能承受后果的黑天鵝事件。因此，在企業(yè)的風險管理框架中，應該始終保持企業(yè)對云計算的風險評估能力。

對于中小企業(yè)來說，云計算能帶來顯而易見的好處，例如更快的應用部署、更低的建設成本和時間成本，更高的安全性和更低的項目風險，并且可能利用云計算更新改革自己的商業(yè)模式。但是對于中小企來說，也意味著會有一定的風險，例如企業(yè)放在云端的數(shù)據(jù)可能遭受黑客攻擊，企業(yè)不能完全控制自己的數(shù)據(jù)和應用，這些有可能會導致企業(yè)承受重大的經(jīng)營和合規(guī)風險。因此，中小企業(yè)有必要了解在使用云服務過程中的風險，并積極應對，用好云服務這個利器?！?/p>

（作者單位：中國財政科學研究院）

[1]陳偉，SmielliauskasW..云計算環(huán)境下的聯(lián)網(wǎng)審計實現(xiàn)方法探析[J].審計研究，2012,（03）.

[2]姜政偉，劉寶旭.云計算安全威脅與風險分析[J].信息安全與技術，2012,（11）.

[3]林莉莉，我國中小含糊不清會計信息化的云計算應用模式研究[D].北京：財政部財政科學研究所.

[4]牛艷芳，薛巖，孟祥雨.云計算環(huán)境下的審計業(yè)務模式變革研究[J].南京：南京審計學院學報，2014,（04）.

[5]錢大偉.云計算環(huán)境下我國中小企業(yè)會計信息化建設研究[D].南京：南京大學.

[6]秦榮生.大數(shù)據(jù)、云計算對審計的影響研究[J].審計研究，2014,（06）.

[7]汪鴻昌，肖靜華，謝永勤.基于企業(yè)視角的云計算研究述評與未來展望[J].外國經(jīng)濟與管理，2013,（06）.

[8]楊周南.會計信息系統(tǒng)-面向財務業(yè)務一體化[M].電子工業(yè)出版社，2010.

[9]張為民.云計算深刻改革未來[M].科學出版社，2009. [10]COSO.Enterprise R isk Management for Cloud Computing[EB/OL].（2014-03-09）.

（本欄目責任編輯：鄭潔）

本欄目由山東中煙工業(yè)有限責任公司協(xié)辦