2014年末和2015年初，澳大利亚审慎监管局（APRA）观察到，许多以前外包其信通技术能力部分的受监管实体越来越多地采用云战略。该组织发布了一份信息文件，其中涉及共享计算服务（包括云服务）的外包，旨在为银行和金融部门提供指导。对此，我发表了一篇管理云中操作风险的文章，分析了论文的重点，并对其在金融行业的实际应用提出了建议。金融监管机构为任何考虑云服务的组织提供合理、可行的建议，或审查其现有云协议，以了解和管理与外包信通技术能力相关的风险和合规性方面。不过，监管部门在审视这些实体云之旅的过程中，也遇到了许多安全和隐私风险和控制弱点。澳大利亚审慎监管局正确地看到，它需要为授权存款机构（ADIs）制定一些指导方针，以供参考。2015年4月，澳大利亚隐私法根据个人信息处理全球标准进行了修订，隐私专员启动了新的澳大利亚隐私原则，确定澳大利亚组织必须如何存储、托管和提供个人数据的访问。我在上面所联系的文件中提到了其中一些原则，包括数据主权和个人可识别客户信息必须留在澳大利亚岸上的概念。过去一年，数据存储的位置一直是一个主要重点，许多全球云提供商现在提供服务，使所有数据都能存储在澳大利亚数据中心内。因此，澳大利亚政府和商业企业即使在与全球云提供商托管数据时，也能够遵守数据主权要求。能力驱动法规遵从性在分析澳大利亚审慎监管局的指导信时，我特别突出的是，它的建议都可以通过运用健全的管理能力来满足。受管制的实体，甚至大多数组织，已经将这些机构与相关的管理机构相一致。因此，在想要采用云解决方案时，不必做更多的法规遵从性工作，而是利用现有的功能，并调整这些功能，以专门处理与云相关的风险和未知。这些管理领域包括风险、供应商管理、业务连续性、转型、公司治理、战略和保证。无论贵公司是否在金融服务部门内运作，都应该具备这些能力。当然，风险影响、特定供应商及其服务以及您的业务策略在不同行业之间会有所不同。然而，确定评估管理评审的同样原则仍然适用。因此，大多数组织将能够满足亚太审慎监管局提供的管理外包信通技术能力风险的指导，并进行相对较小的与合规相关的工作。底线APRA的信息文件为如何最好地管理云的过渡和使用提供了实用和合理的指导。它建立在拥有足够的管理纪律来支持组织的整体风险和保证能力的原则之上。这些管理纪律适用于全方位，而不仅仅适用于银行、保险公司和其他金融实体。这是其他行业采用的一个很好的指南，不管它们是否是ADIs。最终，这取决于你的组织愿意并且能够接受的风险标准。无论您的行业如何，您都必须确定您的特定风险因素—然后在考虑您向云中推送哪些服务和数据以及使用谁时，构建适当的策略和基础规则。Catherine de Ruyter de Wildt领导DXC在澳大利亚和新西兰的治理、风险与合规咨询实践，与业务领导合作，制定和实施风险和合规管理框架，并支持战略计划的执行。凯瑟琳既有咨询和银行业背景，曾为全球四大咨询机构之一工作，也曾为澳大利亚四大银行之一工作。