Der er ingen tvivl om, at tanken om, at al it er standard, og at det bare kommer ud af et stik i væggen, er meget besnærende. Men er en sådan løsning forbundet med andre risici end dem, der er ved traditionel outsourcing?
Mange taler meget om cloud computing for tiden. Tidligere talte man meget om outsourcing. Sådan skifter det lidt inden for it-branchen; der er jævnligt nye ord, som alle taler om.
Med hensyn til cloud og outsourcing (1) kan disse to begreber godt synes at være meget lig hinanden (og det er derfor, at nogle taler om gammel vin på nye flasker), men der er dog den forskel, at cloud-tankegangen går på, at man som bruger er en af mange på samme serverpark (naturligvis separeret til en vis grad), og man er fordelt på en række servere, som sagtens kan stå rundt om i verden. Herudover er cloud-løsninger typisk billigere end traditionel outsourcing, idet man som bruger må indrette sig på en standardvare, hvilket betyder, at man som kunde typisk ikke har adgang til at bede om specielle faciliteter i forhold til, hvad udbyderen giver mulighed for. Altså modsat en traditionel, outsourcet løsning.
Er cloud så en discount-løsning i forhold til outsourcing, hvor man betaler en it-leverandør for at have dedikerede servere og programmer? Nej, her er det lidt som at sammenligne æbler og pærer, for selv om både en cloud-leverandør og en outsourcing-leverandør typisk har datacentre flere steder, så er det med cloud-tankegangen sådan, at der leveres en ydelse, som man må leve med, for det er ikke muligt at påvirke løsningen væsentligt. Data er "derude", uden at man helt ved hvor.
Når vi som it-revisorer går op i cloud-løsninger, er det fordi vi tænker personfølsomme data, safe harbour, revisionserklæringer osv. Når vi erklærer os om de generelle it-kontroller og persondataloven hos traditionelle hosting-virksomheder, der leverer outsourcede løsninger, ser vi ofte på de fysiske forhold, personafhængighed, hvem hos leverandøren, der har adgang til kundernes data osv. Ved en cloud-løsning kan vi ikke på samme måde erklære os efter revisionsstandard 3411 (snart RS3402!) og ISO 27001, idet vi jo ikke helt kan overskue, hvor data er. Forestil jer Google App. Det er almindeligt kendt, at Google har et temmelig stort antal datacentre rundt om i verden. Det er selvfølgelig smart, at data, der arkiveres i Google App, placeres mange forskellige steder, men skal vi som it-revisorer så rundt i hele verden og påse den fysiske sikkerhed hos alle datacentre? Hvem hos Google har adgang til jeres data? Er data placeret i lande, hvor myndighederne kan læse med? Har Danmark (EU) en safe habour-aftale med det pågældende land? Der er mange spørgsmål, og de fleste kan selvfølgelig besvares, men de er ikke lige så nemme at besvare, som hvis man som potentiel kunde sidder over for en sælger fra en virksomhed i Odense, der vil sælge outsourcede løsninger. I så fald står den pågældende server jo typisk placeret, så man har styr på, hvor den er.
Hvis man som virksomhed opbevarer personfølsomme data (jf. Persondataloven), er man - også moralsk - forpligtet til løbende at overveje, om ens it-løsning er sikker nok. Denne forpligtelse har man selvfølgelig, uanset om man har outsourcet, om man benytter en cloud-løsning eller om serverne står hjemme underskrivebordet. Vælger man imidlertid en cloud-løsning, er det bestemt ikke irrelevant, om filerne med personfølsomme data er opbevaret i Kina, USA eller Danmark.
Et helt andet forhold er Bogføringsloven. Paragraf 12, stk. 1 i Bogføringsloven siger, at regnskabsmateriale skal opbevares i Danmark. Dette vil typisk ikke kunne hænge sammen med en cloud-løsning.
Vi skal ikke gøre os til dommere over, om en cloud-løsning er bedre eller værre end så meget andet. Alle typer af løsninger har uden tvivl deres eksistensberettigelse. Efter vores opfattelse bør virksomheder, der overvejer cloud-løsninger, blot overveje, hvorvidt der vil være forretningsmæssige risici forbundet med at vælge en cloud-løsning. Vores råd er, at man som minimum vurderer, om de data, som virksomheden råder over, er hemmelige eller ekstremt hemmelige. Er de ekstremt hemmelige, bør man måske overveje cloud-løsningen en ekstra gang, inden man kaster sig ud i den. Husk endvidere at spørge leverandøren – og her er det lige meget, om der er tale om cloud eller outsourcing – om der er udarbejdet en revisorerklæring efter RS3411 (snart RS3402) eller SAS70. En sådan erklæring vil dokumentere, at en ekstern og uafhængig revisor (altså typer som os) har foretaget en gennemgang af leverandørens løsninger.
Note 1. I denne artikel er outsourcing-begrebet stærkt forenklet, idet der eksisterer en lang række varianter af outsourcing, lige fra leje af plads til egne servere, til drift af egne servere i et datacenter, og til leje af programmer og dataplads i et stort afgrænset it-system hos en it-leverandør. Forenklingen er foretaget for at kunne foretage et forsøg på sammenligning med en typisk cloud-løsning (så som Google og Office 365 m.fl.).
Note 2. Udgangspunktet er, at regnskabsmateriale (altså bogføringsdata, bilag mv.) skal opbevares i Danmark. Der er dog undtagelser ved opbevaring inden for de nordiske lande, og herudover kan SKAT ansøges om undtagelse.
Denne artikel er skrevet af Martin Brogaard Nielsen, der er it-revisor, CISA, CRISC, samt adm. direktør i REVI-IT A/S. REVI-IT er en statsautoriseret revisionsvirksomhed, der udelukkende arbejder med it-revision og it-ledelsesrådgivning, herunder gennemgang af generelle it-kontroller, erklæringsafgivelse ifm. revisionsstandard RS 315, 330, 3000 og 3411, rådgivning ifm. risikoanalyser, beredskabsplanlægning og it-sikkerhedspolitikker.
For yderligere information og henvendelse: www.revi-it.dk