In de wolken
donderdag 28 juli 2011 | 
5 reacties
Trendwatchers, softwareleveranciers, IT-auditors en inmiddels ook accountants hebben hun mond er van vol: cloud computing. Ik moet eerlijk zeggen dat ik tot voor kort nog onbekend was met die term, maar uit nieuwsgierigheid heb ik me nader georiënteerd.
Volgens Wikipedia maakt cloud computing 'het mogelijk om door middel van een computernetwerk gedeelde configureerbare computer middelen (zoals netwerken, servers, opslag, applicaties en diensten) op aanvraag beschikbaar te stellen op een snelle, gemakkelijke en alomtegenwoordige manier met minimale beheermoeite of interactie van een service provider'.
Deze ontwikkeling past in een al langere trend van globalisering en digitalisering: bedrijven besteden in toenemende mate (delen van) bedrijfsprocessen uit aan externe partijen. In het vertrouwen dat deze processen bedrijfszekerder en dus goedkoper worden uitgevoerd. Uitbesteding kan op van alles betrekking hebben. Van salarisadministratie tot aan de hele financiële administratie, van de bedrijfswebsite tot hosting van de complete IT-infrastructuur van de primaire processen. Ook cloud computing valt hieronder.
Bedrijven en instellingen worden dus in toenemende mate aan elkaar geknoopt en zijn daarmee gevoeliger geworden voor calamiteiten in de hele keten.
Wat betekenen deze ontwikkelingen voor de accountant? ‘Mijn klant heeft een SAS 70 geregeld' hoor ik de willekeurige accountant roepen. Te vaak heb ik gemerkt dat accountants zich onvoldoende verdiepen in wat de werkelijke waarde is en kan zijn van een rapportage van de accountant van de service provider. Zo kan het zijn dat de accountant van de service provider alleen een uitspraak doet over het bestaan van de interne beheersing en niet over de effectieve werking ervan. Of dat de periode waarover verslag wordt gedaan een significant deel van het gehele controlejaar niet afdekt. En heeft de accountant van de service provider wel voldoende rekening gehouden met de specifieke behoeften van de gebruikende klanten?
De kern van uitbesteding is dat de ondernemer bepaalde processen buiten de deur zet, maar wel de zekerheid wil hebben dat de beheersingsmaatregelen aanwezig blijven die hij zelf ook had. Dus ligt het voor de hand dat zowel de ondernemer als de accountant antwoord willen hebben op de vraag of de key controls van de uitbestede processen adequaat zijn ingeregeld, maar ook effectief werken en dat daarover verantwoording wordt afgelegd.
Voor degenen voor wie SAS 70 een merknaam was geworden als ware het de iPod onder de mp3-spelers, is er slecht nieuws: SAS 70 bestaat niet meer. Het goede nieuws: er is een nieuwe wereldwijde standaard (in Nederland Standaard 3402) gekomen die beter dan voorheen recht doet aan de risico's en de bijbehorende beheersingsmaatregelen van uitbesteding. Maar die nieuwe standaard wordt niet vanzelf de nieuwe iPod: accountants, hun kantoren en de NBA moeten aan de weg timmeren om dit nieuwe merk in de markt te zetten.
Kortom, werk aan de winkel voor de accountant. Cloud computing is geen roze wolk, maar geeft aanleiding voor de accountant om na te gaan wat dit betekent voor de beheersingsmaatregelen bij de ondernemer. Om zo te voorkomen dat de wolk ontaardt in een heftige onweersbui van geschaad vertrouwen.
Peter Eimers
Deze bijdrage is ook verschenen in Accountant van juli/augustus 2011. Accountant bevat maandelijks een column van het Adviescollege.
Reacties (5) | Reageer
Geplaatst door Jan Weezenberg - 6-9-2011 10:30:04
Geachte Redactie,
Citaat uit persbericht van van BZK over de inbraak bij de websites van de Overheid:
"De recente ontwikkelingen worden ook meegenomen in de verdere vormgeving van de nationale Cybersecurity Strategie.
De Cyber Security Raad is 30 juni jl. geïnstalleerd.
Het Nationaal Cybersecurity Centrum zal per 1 januari 2012 in werking treden" .
Gaat deze club zich ook bezig houden met het verschijnsel "Cloud Computing " ?
Kunnen we straks met behulp van de aanbevelingen van deze club PE-punten verdienen ?
Vriendelijke groet,
Jan Weezenberg
Geplaatst door Jan Weezenberg - 26-8-2011 14:42:30
Geachte Redactie,
Onderstaand bericht gelezen in de nieuwsbrief Controllers Magazine van 26 augustus 2011
"Onzekerheden
Bijna 90 procent van de CFO’s ziet risico’s rondom databeveiliging als het grootste probleem van cloud computing. Ook mist de CFO een zogenaamde assurance standaard (64 procent) en zijn onzekerheden rondom compliance en eigendomsrechten van data voor hem redenen om niet over te stappen op cloud computing "
Wat gaan de NBA-leden doen als deze CFO's t.z.t. advies komen vragen ?
Een oude spreuk uit de consultants praktijk zegt:
ADVIES ZONDER INZICHT LEIDT TOT WERKELIJKHEID ZONDER UITZICHT.
Vriendelijke groet,
Jan Weezenberg
Geplaatst door Jan Weezenberg - 24-8-2011 16:21:49
Geachte Redactie,
Onderstaande reactie plaatste ik bij de bijdrage van Marc van Hilvoorde.
"Een scherpe analyse van Marc van Hilvoorde !
Hij signaleert een mogelijke fragmentarische wildgroei, waarbij een duidelijk onderscheid tussen hoofdzaken en bijzaken ontbreekt, omvan de individuele uitwerking van de " populaire vakken" nog maar niet te spreken.
In het kader van de fusie-voorbereiding van NIVRA en NOVAA zijn strategische doelstellingen geformuleerd (zie aldaar !).
Het Bestuur zou naar mijn mening systematisch leiding kunnen geven aan het vaststellen (samen met de Commissie Eindtermen) wat in de opleiding erbij moet, weat kan worden verminderd of worden weggelaten, enz.
Na conclusies hierover kan worden gestart met de ontwikkeling van de definitieve eindtermen, de omvang en de examinering, het ontwikkelen van opleidingsmateriaaql in ruime zin, etc.
Niet te vergeten: innovatie in de reguliere opleidingen kan aanleiding zijn tot nieuwe aanbevelingen voor PE- zaken.
Bij dit alles kan naar mijn mening een forse inbreng van experts op het gebied van didaktiek niet worden gemist. "
Mijn tekst sluit naadloos aan bij de reactie van Jurgen van der Vlugt.
Zowel bij de bijdrage van Marc van Hilvoorde als bij de reactie van Jurgen van der Vlugt beluister ik een duidelijke roep om aandacht van het strategisch nivo van onze NBA.
Ik heb een eerste aanzet voor een stappenplan (met een kleine p) neergeschreven.
Jurgen vcan der Vlugt benadrukt zeer terecht dat snelheid en kwaliteit van de inbreng van NBA van essentieel belang zijn.
De nodige know how is o.a. binnen NBA en de universiteiten die de accoutantsopleiding verzorgen ruim aanwezig.
We wachten nu slechts op het startschot (en niet geschoten is altijd mis.
Ofwel: te laat beslist, de boot gemist)
Vriendelijke groet,
Jan Weezenberg
Geplaatst door Jurgen van der Vlugt - 24-8-2011 13:51:17
Als het op PE aankomt, is het wellicht verstandig zo veel mogelijk actuele ontwikkelingen mee te nemen. Er is al een aantal maanden (en dat is gezien de ontwikkelsnelheid in IT-land heel lang) sprake van meer dan drie soorten 'cloud', en een verwijzing naar de ENISA- en CSA-stukken voor ontwikkeling van beheersings- en toezicht/controle-frameworks zou toch niet mogen ontbreken.
Het belang van de in het algemeen hoogstaande stukken uit Compact onderschrijf ik, maar laten we (...?) de discussies over beheersing en beveiliging in de algemene IT-vakliteratuur ook niet vergeten.
En 'cloud' past in een breder kader waarin ook 3402 en Privacy horen ... is de VERA al bezig een cursus te ontwikkelen ..? En wat gaat de spreker over Integrated Audit er op de Update 15-16 november over zeggen ..? Nota bene, daar wemelt het vaak van de RE's, maar RA's... heel wat te weinig ...
Met vriendelijke groet,
Jurgen (RE etc.)
Geplaatst door jan Weezenberg - 23-8-2011 15:19:17
Geachte Redactie,
Wie wat meer elementaire kennis van het verschijnsel cloud computing zoekt kan ik aanbevelen:
Cloud Computing, Business Case en risico's door Theo Tiadens in Finance & Control, augustus 2011 nr. 4, Uitgave Kluwer, pag. 10 t/m 15
In dit artikel wordt o.a. ingegaan op het National Institute of Standards and Technology framework, de drie typen cloud computing, de belangrijkste aanbieders, definities, etc.
Bij het artikel hoort een online cursus Cloud computing waarmee PE punten kunnen worden gescoord.
Meer spercifiek voor controleproblemen verwijs ik naar het bekende blad Compact, jaargang 2011 met diverse artikelen.
Met vriendelijke groet,
Jan Weezenberg