Το Υπολογιστικό Νέφος (cloud computing – «ΥΝ») έχει πλέον καθιερωθεί ως ο βασικός τρόπος διαχείρισης και λειτουργίας πληροφοριακών συστημάτων για πολλούς οργανισμούς παγκοσμίως. Η υιοθέτησή του προσφέρει σημαντικά πλεονεκτήματα, όπως ευελιξία, επεκτασιμότητα, αποδοτικότητα κόστους και δυνατότητα ταχύτερης προσαρμογής στις τεχνολογικές εξελίξεις.
Πολλά συστήματα χρηματοοικονομικής αναφοράς, περιλαμβανομένων εφαρμογών ERP και άλλων επιχειρησιακών εργαλείων, πλέον φιλοξενούνται από παρόχους υπηρεσιών υπολογιστικού νέφους («ΠΥΥΝ»), όπως οι Amazon Web Services («AWS»), Microsoft Azure και Google Cloud Platform («GCP»).
Ωστόσο, η μετάβαση στο ΥΝ δεν είναι χωρίς προκλήσεις, ιδιαίτερα όσον αφορά τη διαδικασία του ελέγχου. Οι ελεγκτές δεν αρκεί πλέον να κατανοούν μόνο τις εσωτερικές επιχειρησιακές διαδικασίες ενός οργανισμού. Πρέπει επίσης να κατανοούν σε βάθος τον τρόπο λειτουργίας των πληροφοριακών περιβαλλόντων που βασίζονται στο ΥΝ και πώς αυτά επηρεάζουν τη χρηματοοικονομική αναφορά και την προσέγγιση του ελέγχου.
Η σημασία των ΠΥΥΝ για τους ελεγκτές
Το Διεθνές Πρότυπο Ελέγχου 315 «ISA 315» (αναθεωρημένο) απαιτεί από τους ελεγκτές να κατανοήσουν το σύστημα πληροφορικής μιας οντότητας, σε σχέση με τις διαδικασίες χρηματοοικονομικής αναφοράς.
Όταν αυτά τα συστήματα μεταφέρονται στο ΥΝ, η φυσική και λογική κυριότητα της υποδομής περνά σε τρίτους, καθιστώντας πιο σύνθετη την αξιολόγηση των ελέγχων. Αυτό εγείρει κρίσιμα ερωτήματα για τον ελεγκτή:
⦁ Πού ακριβώς αποθηκεύονται τα οικονομικά δεδομένα;
⦁ Ποιος έχει τον έλεγχο πρόσβασης στα πληροφοριακά συστήματα;
⦁ Πώς διαχειρίζονται οι αλλαγές λογισμικού και οι ενημερώσεις;
⦁ Είναι οι υπάρχοντες έλεγχοι επαρκείς και αξιόπιστοι;
Η αδυναμία απάντησης στα παραπάνω ερωτήματα μπορεί να οδηγήσει σε παραλείψεις στην αξιολόγηση κινδύνων.
Κύριοι άξονες ελέγχου σε περιβάλλοντα ΥΝ
- Κατανόηση του μοντέλου ΠΥΥΝ
Οι ΠΥΥΝ παρέχουν υπηρεσίες βάσει διαφορετικών μοντέλων:
⦁ SaaS (Software-as-a-Service): Ο πάροχος διαχειρίζεται σχεδόν όλη την υποδομή, συμπεριλαμβανομένων των εφαρμογών.
⦁ PaaS (Platform-as-a-Service) και IaaS (Infrastructure-as-a-Service): Η οντότητα διατηρεί ευθύνη για τις εφαρμογές και εν μέρει για τα δεδομένα.
Οι ελεγκτές πρέπει να εντοπίζουν ποιο μοντέλο εφαρμόζεται, ώστε να αξιολογήσουν ποιες ευθύνες αναλαμβάνει ο ΠΥΥΝ και ποιες παραμένουν στον οργανισμό.
- Κοινό μοντέλο ευθυνών
Στα περιβάλλοντα ΥΝ, οι ευθύνες ελέγχου και ασφάλειας μοιράζονται μεταξύ του οργανισμού και του ΠΥΥΝ. Ενώ ο ΠΥΥΝ μπορεί να είναι υπεύθυνος για ελέγχους σε επίπεδο υποδομής, ο οργανισμός διατηρεί την ευθύνη για την πρόσβαση, την παρακολούθηση και τη διαμόρφωση των χρηστών. Ο ελεγκτής πρέπει να αξιολογήσει εάν αυτές οι ευθύνες είναι σαφώς καθορισμένες και τεκμηριωμένες, πώς ο οργανισμός παρακολουθεί την απόδοση του ΠΥΥΝ και εάν εφαρμόζονται αποτελεσματικά βασικοί έλεγχοι όπως η πρόσβαση, η δημιουργία αντιγράφων ασφαλείας και η διαχείριση αλλαγών. - Εκθέσεις διασφάλισης – SOC 1
Οι ελεγκτές μπορούν να βασίζονται σε εκθέσεις SOC 1 Τύπου 2 για την αξιολόγηση των ελέγχων ΠΥΥΝ. Ωστόσο, πρέπει να διασφαλίζουν ότι η περίοδος αναφοράς ευθυγραμμίζεται με την περίοδο ελέγχου, να επαληθεύουν ότι εφαρμόζονται και τεκμηριώνονται συμπληρωματικοί έλεγχοι οντοτήτων χρήστη (CUEC) και να εκτελούν πρόσθετες διαδικασίες όπου η κάλυψη ελέγχων είναι ανεπαρκής ή εντοπίζονται κενά. - Ακεραιότητα και διαθεσιμότητα δεδομένων
Η μετάβαση σε ένα περιβάλλον ΥΝ εγκυμονεί κινδύνους για τη συνέπεια και τη διαθεσιμότητα των οικονομικών δεδομένων, ιδιαίτερα όπου ενσωματώνονται πολλαπλά συστήματα. Οι ελεγκτές πρέπει να αξιολογούν την ακεραιότητα των ροών δεδομένων και των σχετικών ελέγχων, την επάρκεια των σχεδίων ανάκτησης και επιχειρησιακής συνέχειας, καθώς και τους ισχύοντες μηχανισμούς για τη διατήρηση της ακεραιότητας των δεδομένων σε περίπτωση διακοπής.
Προκλήσεις και προσδοκίες
Ορισμένοι ελεγκτές αντιμετωπίζουν ακόμη το ΥΝ ως «μαύρο κουτί», με περιορισμένη διαφάνεια και έλεγχο. Παράλληλα, πολλές επιχειρήσεις θεωρούν λανθασμένα ότι η μεταφορά στο ΥΝ μεταβιβάζει ολόκληρη την ευθύνη για ελέγχους στον πάροχο, κάτι που δεν ισχύει.
Η λύση βρίσκεται σε μία συνεργατική και τεκμηριωμένη προσέγγιση. Οι ελεγκτές πρέπει να αποκτήσουν βαθύτερη τεχνική κατανόηση των υποδομών ΥΝ, να συνεργάζονται με επαγγελματίες πληροφορικής και να αξιοποιούν τις διαθέσιμες εκθέσεις με κριτική σκέψη. Οι οργανισμοί, με τη σειρά τους, πρέπει να αναγνωρίζουν και να αναλαμβάνουν τις ευθύνες τους στη διαχείριση του κινδύνου.
Συμπέρασμα
Το υπολογιστικό νέφος είναι αναπόσπαστο μέρος της σύγχρονης επιχειρηματικής πραγματικότητας. Για τους ελεγκτές, αυτό συνεπάγεται την ανάγκη επανεκτίμησης των μεθόδων τους, ώστε να ανταποκριθούν αποτελεσματικά στο δυναμικό περιβάλλον του ΥΝ. Η συμμόρφωση με το ISA 315 (αναθεωρημένο) απαιτεί όχι μόνο τεχνική γνώση, αλλά και στρατηγική προσέγγιση στην αξιολόγηση κινδύνου και ελέγχου. Με την κατάλληλη κατανόηση και συνεργασία, είναι εφικτή η διατήρηση υψηλών προτύπων ελέγχου και στη νέα ψηφιακή εποχή.
*Principal, IT Audit Services, KPMG Limited
