Gaat de accountant op de stoel van de Business controller zitten?
Of gaat het allemaal veel te snel voor de gemiddelde accountant? Is de accountant wel opgeleid om antwoorden te geven over Cloud security?
De onderliggende vraag is of de gezamenlijke securityverklaringen ervoor zorgen dat de data in de derde Cloud ook volledig en juist is, en dat de data ook tijdig is ontvangen om te zorgen dat de transacties, juist en correct zijn uitgevoerd en dat los van het feit of de derde Cloud ook een SAS 70 II type B heeft. De controller moet deze controles uitvoeren en de accountant moet daar dus iets over kunnen verklaren.
Is certificering het juiste middel om betrouwbaarheid van een Cloudprovider aan te tonen?
Een certificaat heeft een beperkte houdbaarheid en veroudert te snel. Een certificaat d.d. mei 2011 en beoordeelt in mei 2012 zegt niets meer. Want het heeft bij afgifte eigenlijk al geen waarde meer door de snelle veranderingen en aanpassingen. Het antwoord is dus nee. Alternatieven zijn nog niet voorhanden. Onder meer doordat stichtingen en organisaties als Zeker Online, EuroCloud, Cloud Security Alliance en Enisa hun normen op een te laag tempo vaststellen en naar de markt brengen.
Klanten hebben meer baat bij continue monitoring van hun processen. Heeft in dat geval de accountantsverklaring op de jaarrekening nog zin? De verklaring zegt iets over het verleden en niets over de huidige, misschien risicovolle, activiteiten.
Conclusie
Tot het stoppen van het geven van een oordeel zal het voorlopig niet komen, ook zal de accountant niet op de stoel van de Business controller kunnen gaan zitten. Wel kan hij met geavanceerde analysetools een proces van continuous monitoring organisaties helpen om de afwijkingen van integriteit tussen de diverse Clouds te signaleren en met de ondernemer sparren wat hij met die gegevens kan doen.
Dus als je als organisatie naar de Cloud gaat of wilt, laat je dan adviseren door een gespecialiseerde accountant. De doorsnee accountant is niet opgeleid om iets over de Cloud te weten en weet er op dit moment te weinig van. En de vraag is of hij je, zoals bij een huisarts, zal doorverwijzen naar die specialist.
Maar geldt het ook voor de controller, dat hij te weinig van Cloud security af weet en dat hij voor vragen op Cloud-gebied een specialist moet raadplegen?
(827)
Deze post is ook beschikbaar in/Also available in: Dutch