COSO, internal control over internal reporting, SOx 404, ITIL, SAP, SharePoint, Twitter, blogs, social media, zomaar een aantal termen van vandaag, die niets met elkaar te maken hebben. Maar is dat zo? Zijn dit termen waarvan je als controller vindt dat de CFO, als je die hebt, zich maar mee bezig moet houden? In dit artikel zal ik wat helderheid proberen te verschaffen over hoe je voor jezelf grenzen zou kunnen stellen aan de controles die jij zou moeten uitvoeren.
Steeds maar weer nieuwe software, zelfs zonder dat de controller het weet
Het is mij opgevallen in gesprekken met beroepsgenoten dat het vaak voorkomt dat er software in organisaties wordt aangeschaft, waar gevoelige bedrijfsinformatie wordt gedeeld, financiële data worden gecommuniceerd en meer vertrouwelijke informatie wordt opgeslagen, waarvan je als controller kunt vinden, dat je er op zijn minst bij betrokken zou moeten zijn.
Neem nou SharePoint, wereldwijd honderden miljoenen gebruikers, maar soms in organisaties neergezet door IT’ers, zonder dat de controller weet wat er in gecommuniceerd wordt. Echt, het komt voor en zelfs op grote schaal. Ik zal er hier verder op ingaan.
Is het als controller bijvoorbeeld nodig om controle uit te oefenen op SharePoint?
Sinds een aantal jaren biedt Microsoft het samenwerkingsplatform SharePoint aan. Met SP 2010 voor de deur is het misschien goed dat je jezelf een aantal vragen stelt als je organisatie al met SharePoint werkt, of dat van plan is.
SharePoint biedt de mogelijkheid om groepen samen te laten werken. Aanmaken van deelnemers kan eenvoudig door een site administrator plaatsvinden, dit hoeft geen IT er te zijn. Heel laagdrempelig dus er zijn hele goede voorbeelden van SharePoint samenwerking te vinden. Veel voorkomende vormen zijn projecten en social networking. Ideeën kunnen goed worden uitgewisseld en documenten kunnen eenvoudig worden gedeeld.
Er bestaat ook een risico. Bij gebruik voor research doeleinden en het delen van gevoelige informatie is het essentieel dat er controle uitgeoefend wordt of er ledenbeheer op deze SharePoint sites plaatsvindt om te voorkomen dat onbevoegden er met gegevens vandoor gaan. Het kan ook zijn dat je vindt dat de data encrypted moet zijn. Je zou misschien wel controle willen uitoefenen op de inhoud.
Geldt dat ook voor twitter en blogs?
In zekere mate wel, als controller zou je m.i. een rol moeten spelen in de bewustwording van je collega’s dat ze wel enthousiast mogen zijn, maar nooit zover mogen gaan dat ze ondernemingsgeheimen (die liggen vaak dichter bij dan de meesten denken) in hun blogs of twitter mogen prijsgeven. Denk bijvoorbeeld aan de speler van het Nederlands elftal die nu via zijn twitter geheimen onthuld die het elftal in Zuid Afrika kwetsbaar maakt..Jij zou de scheidsrechter moeten zijn, die aangeeft wat wel en wat niet kan.
Wissel eens gedachten uit met je collega’s op dit blog
Heb je voor jezelf al een grens gesteld hoe ver jij gaat? Zou je in dat geval misschien de moeite willen nemen om op dit blog te reageren, zodat je collega’s hierdoor ook ideeën kunnen genereren over de software waar zij op moeten letten zodat het hen misschien ook verder kan helpen in hun besluitvorming. We hebben al heel veel informatie te verwerken en kunnen echt niet alles in 1 keer verwerken, dus die hulp kunnen we allemaal wel gebruiken. Reageer kort met de naam van de software en de controle(s) die je uitvoert, het hoeft niet veel tijd te kosten. Voorbeeld van een reactie, software, controle, reden:
SharePoint: controle op SharePoint websites met namen van gebruikers, reden de naam Jansen kwam 2 keer voor en de verkeerde persoon werd geselecteerd om toegang te geven.
(477)
Deze post is ook beschikbaar in/Also available in: Engels