Dyskusje na temat chmury w środowisku księgowym mogły przesunąć się bardziej z «dlaczego» na «co ja tam wkładam/uzupełniam» i tak jak w przypadku każdego takiego posunięcia, nadal pojawiają się pytania o najdrobniejsze szczegóły pracy w środowisku chmury.
Oznacza to oczywiście, że bardzo niewiele zadań związanych z pracą i zarządzaniem plikami znajduje się w Twoim biurze lub na lokalnym serwerze. Podczas gdy zwiększa się komfort lub zrozumienie tego, czym jest chmura, nadal istnieje wiele obaw, od postępowania z dostawcami chmury do kwestii bezpieczeństwa i połączeń.
Podczas Sympozjum Praktyków AICPA i Konferencji TECH+ odbyła się dyskusja w gronie znanych ekspertów z zakresu cloud-computingu i użytkowania, którym zadawano wskazane pytania od innych księgowych o realia przebywania w chmurze. W skład panelu wchodzili również inni księgowi, którzy zadawali pytania dotyczące realiów przebywania w chmurze:
- Jim Bourke, CPA, CITP, partner w firmie WithumSmith+Brown, który nadzoruje większość decyzji technologicznych firmy.
- Jules Carman, starszy dyrektor ds. marketingu produktów, księgowości i konsultingu w Intapp.
- Steve Ursillo, CPA, partner i dyrektor ds. technologii i usług asekuracyjnych w Sparrow, Johnson & Ursillo Inc.
Poniżej znajdują się niektóre z najważniejszych pytań i odpowiedzi panelistów podczas 75-minutowej sesji konferencji:
Co radzisz pracownikom, którzy nadal mają problemy z dokumentami papierowymi?
Jim Bourkeâ: Miej proces, daj im możliwość przechowywania tych plików bez ograniczeń. W dzisiejszych czasach, realistycznie rzecz biorąc, wiemy, że to nie jest «bez papieru», tylko «mniej papieru». Upewnij się, że używasz czegoś w chmurze, co ułatwia skanowanie i znajdowanie plików. Dajcie wszystkim rzeczy, których potrzebują, aby przenieść pliki do chmury.
Jules Carmanâ: Istnieje tak wiele rozwiązań, więc jeśli zabierasz wszystkie swoje dane i może nie chcesz, aby niektórzy pracownicy mieli do nich dostęp, istnieje technologia, która ogranicza dostęp i zarządzanie tymi danymi, jak również. Sprzedawcy chmury, z których korzystasz, powinni współpracować z Tobą w celu opracowania najlepszych praktyk.Nie musisz się sam kształcić.
Jak możesz mieć pewność, że twoja firma jest właścicielem danych, które znajdują się w chmurze i gdzie się znajdują?
Steve Ursilloâ: Zawsze będzie istniało zarządzanie łańcuchem dostaw i będziesz miał proces, który identyfikuje ryzyko w ustrukturyzowanym formacie. Wszyscy dostawcy mają umowy SLA (Service Level Agreements), a niektórzy są bardziej elastyczni niż inni. W umowie SLA zazwyczaj wyszczególnia się prawa własności i inne kwestie, które mogą dotyczyć dostawcy usługi w chmurze. Należy wiedzieć, że jeżeli są to dane użytkownika i doszło do naruszenia, to nadal użytkownik jest odpowiedzialny za ujawnienie tego naruszenia wszystkim stronom.
Jules Carmanâ: Chcesz, żeby sprzedawca miał takie samo wyrównanie w ocenie ryzyka jak ty. Jeśli chodzi o naruszenie, musisz zapytać, jaka jest ich odpowiedź i jaki mają dostęp? To jest cała dyskusja na temat zarządzania danymi, którą prowadzisz ze sprzedawcami, zanim cokolwiek podpiszesz. Niezależnie od tego, jakie są Twoje obawy, zazwyczaj możesz je uzyskać w formie pisemnej.
Jim Bourkeâ: Nie zawsze możesz wprowadzić wiele zmian [do SLA], ale zazwyczaj możesz mieć pewność co do tego, co dzieje się z twoimi danymi. Czy dostęp sprzedawcy do twoich danych jest czymś złym? Niekoniecznie, ale powinieneś zająć się swoimi obawami na piśmie z wybranym przez siebie dostawcą.
Czy istnieje dokumentacja najlepszych praktyk dotyczących tego, jakie pytania należy zadać dostawcy usługi w chmurze?
Steve Ursilloâ: The Cloud Security Alliance ma kilka.Istnieją również wytyczne, które mamy na temat SOC, jak również. Jeśli rozmawiasz z kimkolwiek z działu zarządzania ryzykiem dostawcy usług w chmurze, jest on stale pytany o swoje zasady.
Jim Bourkeâ: Zajmujesz się podatkami, audytem i zgodnością. Zajmują się bezpieczeństwem, ale wychodzą na zewnątrz i rozumieją, o co pytać swoich kolegów.Odwiedź sam centrum danych, jeśli możesz.
Jules Carmanâ: Większość z was ma jakieś wyczucie programu zarządzania bezpieczeństwem z tym, czego już używacie. Zobaczcie, co jest na miejscu i co należy zmodyfikować, jeśli szukacie punktu wyjścia.
Ile bezpieczeństwa jest w tym, co dany dostawca zaleca?
Steve Ursilloâ: Możesz wybrać dostawcę A i może on nie być kompatybilny z dostawcą B. Dowiedz się, jakich łańcuchów dostaw używają, które zapewnią Ci poziom komfortu.
Jim Bourke: Podoba mi się podejście preferowanego dostawcy, ponieważ muszą już je sprawdzić, prawdopodobnie lepiej niż my moglibyśmy to zrobić.
Jules Carmanâ: Bardziej niż prawdopodobne jest, że [sprzedawcy] rozumieją Twój unikalny model operacyjny, więc wyrównanie będzie bardziej wartościowe.
Jakie są niektóre z wad przejścia do chmury?
Jim Bourkeâ: Minusem dla mnie, z firmami, jest to, że zmagają się z przepustowością i łącznością. Jeśli przeniesiesz tam więcej rzeczy, musisz się tam dostać i dobrze go używać. Potrzebujesz kopii zapasowej. Centra danych mają wiele kopii zapasowych, ale nie każde miejsce w Ameryce ma superszybkie kable światłowodowe. Nic nie jest gwarantowane.
Steve Ursilloâ: Upewniając się, że masz odpowiednią odporność i nadmiarowość. Będziesz miał przerwy w pracy z powodu pogody lub tego, co masz, więc wiedz, że masz trochę kopii zapasowych od swoich dostawców. To powiedziawszy, kiedy myślisz o bezpieczeństwie cyberprzestrzeni, pomyśl o ludziach i zasobach, które stoją za tym, aby dać ci dostęp do danych i zapewnić ich bezpieczeństwo. To więcej niż ty, ty sam lub ktokolwiek w twojej firmie może zrobić.