Softwarepakketten.nl

Onderzoek

Assurance over de cloud: risico's en over assurance-producten

Plaatsingsdatum 31-08-2013
Berichtdatum juli/augustus 2013

Het verplaatsen van dataopslag en/of verwerking naar de cloud brengt altijd risico's met zich mee. Gelukkig zijn er al diverse 'assurance-producten' op de markt. Dit artikel gaat in op onder meer: IFAC-standaard ISAE3402, SOC1, SOC2, SOC3 en een goede exit-strategie.

Het artikel ‘Donkere wolk’ in het meinummer van Accountant, belichtte vooral de juridische aspecten van continuïteitsrisico’s in de cloud. Er zijn ook positieve zaken te melden over de risico’s van cloud-computing. Zo zijn er al ‘assurance-producten’ op de markt die zich onder meer richten op de volgende cloud-risico’s:
- Afhankelijkheid van een aanbieder (data portabiliteit);
- Ongeautoriseerde toegang tot gegevens (integriteit en vertrouwelijkheid);
- Gebrek aan bedrijfszekerheid van de gegevensverwerking (continuiteit).

ISAE3402
Veel outsourcing-(waaronder cloud-)leveranciers, ook de kleinere, leveren een assurance-rapport op basis van ISAE3402. Han Boer, zelfstandig adviseur op het gebied van Third Party Mededelingen , geeft de achtergrond weer: “Dit rapport is gebaseerd op IFAC-standaard ISAE 3402 en vervangt sinds medio 2011 het bekende SAS70-rapport. In Nederland is de IFAC-standaard door het NBA overgenomen onder de naam NV COS 3402. Het NOREA, de beroepsvereniging voor IT-auditors, heeft het omarmd met de naam richtlijn 3402.”

Volgens Boer is het uniek dat ook de AICPA (“de Amerikaanse NBA, zeg maar”)de standaard, inhoudelijk gezien, in vrijwel ongewijzigde vorm heeft overgenomen. “De formele naam van de standaard in Amerika is SSAE 16. De AICPA heeft de standaard met de werknaam SOC 1, (Service Organisation Control report ) in de markt gezet. De oude Amerikaanse SAS 70-standaard is hiermee vervangen door één internationale standaard die ongewijzigd wordt gevolgd of is overgenomen in de lokale set van audit- en assurance-standaarden.”

Exit Strategie
Vendor-lock-in, volledig afhankelijk zijn van een leverancier doordat deze “eigen” opslag of verwerkingssoftware gebruikt, is contractueel te ondervangen door te bepalen dat de leverancier open standaarden moet gebruiken, zo staat in het eerder genoemde artikel “Donkere wolk”. Hierover moet echter niet te licht gedacht worden: soms is het gewoon niet mogelijk om de beschikking te krijgen over alle data die moet worden meegenomen. Het werken met een open standaard als XBRL in online-boekhoudprogramma’s wil niet zeggen dat alle boekhouddata in XBRL aanwezig is. En die zijn natuurlijk wel nodig om een boekhouding te kunnen reproduceren.

Lees verder
Lees het complete artikel "Achter de wolken…..Assurance over de cloud" (PDF). 

Dit artikel is tevens verschenen in Accountant, maandblad van de Nederlandse Beroepsorganisatie van Accountants, nummer 7/8 juli/augustus 2013. Zie ook www.accountant.nl.

Categorie(n) Branche > Financials, Assuring (incl. certificeren en compliance), ICT & Recht, Branche > Accountantskantoren, SAAS, Cloud Computing, Branche > Juridisch, Standaardisatie, (open)standaarden
Bronvermelding Accountant, NBA en GBNED

Terug

1 november 2017
ICT Accountancy Jaarcongres
Met als hoofdthema Blockchain (3 ervaren sprekers). Maar ook de waarde van Big data, overview IT-recht (met AVG), Cyber risico management, Realtime accounting, PSD2, Instant Payments, actuele ontwikkelingen en ICT Accountancy award.
Meer info en aanmelden...


CreAim

Informer software

KING

Timewriter

MUIS Software


Onerzoeksbureau GBNED