Cloud is een fact of life geworden. Tijd dat de controller zich er ook mee gaat bemoeien. Hij is toch de aangewezen persoon om samen met ICTers, accountant en jurist op dit gebied richting te geven in organisaties zonder CFO.
Navraag bij diverse accountantskantoren leert dat een groot deel van de accountants er nog aan moet wennen wat zijn rol is in de keuze voor Cloud en auditing van Cloud-toepassingen bij klanten. Ook controllers lijken nog niet echt geïnteresseerd en dat is toch opmerkelijk. Alle spelers onder de loep.
De rol van de accountant
In principe zal de accountant op de hoogte moeten zijn of zich op de hoogte moeten stellen van de SAE 3402 of SSAE 16-standaard, waarvan type II een indicatie geeft omtrent de uitvoering en controle op de genomen beheersmaatregelen bij de Cloud-leveranciers. Dit is dus een minimum vereiste. De accountant kan een rol spelen bij de beoordeling van ISAE 3402/SSAE 16 als hij aan de klant adviseert. Ook moet hij in staat zijn om zijn klant te adviseren over de te initiëren eigen controls en over hoe de klant de verklaringen c.q. certificaten moet interpreteren. En hij moet, eventueel bijgestaan of gesouffleerd door een jurist, in staat zijn het verschil uit te leggen tussen databeveiliging van data in de Cloud en de toegang die bepaalde overheden zich door middel van wetten zoals de Patriot Act toe-eigenen.
ISAE staat voor International Standards for Assurance Engagements, SSAE voor Statement on Standards for Attestation Engagements (SSAE), en is een kwaliteitskeurmerk voor dienstverlenende organisaties. Deze standards verschaffen een waarborg voor de juistheid, volledigheid, tijdigheid en betrouwbaarheid van processen en controlemaatregelen.
De rol van ICT
Uiteraard is de ICTer dé deskundige op het gebied van de ICT on premise (in house). Maar is hij ook al de expert op het gebied van Cloud computing in jullie organisatie? De reden dat veel afdelingen van Amerikaanse organisaties rechtstreeks software uit de muur gebruiken, is gelegen in het feit dat ICT niet goed aansloot op de bedrijfswensen. Van vele toepassingen die op die wijze klein zijn begonnen in een organisatie is gebleken dat het toepassingen werden die later bedrijfsbreed zijn toegepast, zoals Salesforce.com en Office365. Je hebt als organisatie een probleem als ICT niet vanaf dag één erbij is betrokken. Het advies luidt dan ook om bij alles wat ICT gerelateerd is de mensen van ICT erbij te betrekken. Voor hen kan het tevens een leertraject zijn.
Wat is de rol van de Controller?
Controller, wat doe jij met je kritische vermogen als het om de Cloud gaat? We zien je (nog) niet in de discussies op LinkedIn, bij artikelen over Cloud zien we je mening niet. Hoe ga jij om met de risicos? Op dit moment kan iedereen buiten ICT om een contract voor een SaaS-dienst afsluiten. En dat gebeurt al zonder dat jij het weet. In de VS gebeurt dit op grote schaal. Daar waar de ICT-afdeling niet kan leveren, worden rechtstreeks contracten afgesloten waar de controller geen weet van heeft, zoals je hierboven hebt kunnen lezen. Door de eenvoudige scalibility kan een initiatief in jouw onderneming grote vormen aannemen en jij ziet het pas als je de rekening krijgt.
Wat ga jij daaraan doen?
Initiatief afbreken, braaf de rekening betalen. Of ga je mee en eis je je rol op in de Cloud-gedachte? De Cloud gaat echt niet meer weg. Dus controller, let op uw zaak en anticipeer!
Eigenlijk ben ik toch wel benieuwd hoe jullie je rol zien c.q. op gaan eisen. Of heb je nog nooit van SharePoint en SalesForce.com gehoord, terwijl ze in je organisatie al lang en uitgebreid worden gebruikt? Zeggen de termen EUROcloud, NeN, et cetera je al iets? Nou dan
Wil jij een Dwaas blijven die nog nooit van S-,I-, of PaaS heeft gehoord?
En dat de accountants zich ook bijscholen, lijkt mij evident.
(394)
Deze post is ook beschikbaar in/Also available in: Engels