Nu cloud-omgevingen en -toepassingen snel ingeburgerd raken in bedrijven, kunnen de raden van bestuur van deze laatsten maar beter wat vragen hierrond stellen, aldus de internationale vereniging Isaca.

Een beroep doen op clouddiensten lijkt vandaag zo eenvoudig als even een leverancier bellen, een kredietkaart bij de hand houden en draaien maar, althans wat ‘publieke’ clouds betreft. Maar ook ‘private’ clouds, al dan niet in het eigen bedrijfsdatacenter, zijn in opmars. Het lijkt wel een ‘vrijheid, blijheid’ voor iedereen, met nu ook managers in lagere echelons en afdelingen met voordien geen eigen ict-bevoegdheid die blijkbaar ongebreideld actief worden in de cloud. Als het al niet een individuele werknemer is die op eigen houtje bedrijfsdata opslaat bij een publieke cloud leverancier.

Of dat alles optimaal mapt op de bedrijfsstrategie, of zo nog een logische structuur in de ict-diensten van het bedrijf blijft behouden, of budgettaire beperkingen en controles worden geëerbiedigd, en of geen inbreuk wordt gemaakt op wettelijke of industriegebonden verplichtingen, zijn aspecten die hierbij helaas wat makkelijk uit het oog worden verloren. Tot scha en schande van het bedrijf, maar ook van de raad van bestuur van het bedrijf. Die raad is immers het ultieme legale beslissingsorgaan, dat verantwoording moet afleggen aan de aandeelhouders… en aansprakelijk is voor de overheid.

Stel vragen!

Isaca – de internationale vereniging van auditors en securityspecialisten – adviseert in zijn publicatie ‘Cloud Governance: questions boards of director need to ask’ de bestuurders dan ook hoe en welke vragen te stellen aan het management van het bedrijf. Ook als de bestuurders zich wellicht niet zo zeker voelen waar het ict betreft, maar ze dragen nu eenmaal een stevige verantwoordelijkhied en dus moet het wel. Het document suggereert welke ‘vijf juiste vragen’ de bestuurders moeten stellen. Zo moeten ze vragen naar een afgewogen cloud-plan en de uitvoering ervan, of het bedrijf er organisatorisch klaar voor is, over welke investeringen het gaat en of het rendement ervan wordt gemeten. Het document biedt tevens een bondige uitleg over het hoe en waarom van deze vragen, precies met het oog op bestuurders die minder in ict onderlegd zijn. Zo moet een cloudplan van het management worden getoetst aan een aantal verwachtingen, zoals hoe het helpt om de concurrentiepositie van het bedrijf te verbeteren. Belangrijk is dat uit de antwoorden moet blijken of (en hoe) de algemene bedrijfsleiding een greep heeft op het cloud gebeuren. Dit Isaca-document focust hierbij wel vooral op het publiek cloudgebeuren, maar de vragen moeten ook bij ‘private cloud’ initiatieven worden gesteld (onder meer omdat steeds vaker een hybride model opgeld maakt – een combinatie van cloud op eigen informatica-infrastructuur met externe ‘software as a service’ diensten). Het gaat erom cloud als onderwerp op de agenda van de raad van bestuur te plaatsen.

Allicht is het niet de bedoeling om vragen te stellen aan elke manager die vandaag wat met ict te maken heeft of al eens een clouddienst heeft besteld, want zou allicht op een kakofonie uitdraaien. In het beste geval zetelt hiervoor de cio in het managementteam dat met de bestuurders praat, vooropgesteld dat hij of zij (nog) een kijk heeft op het cloudgebeuren en in staat is antwoorden te geven die niet bulken van ict- jargon. Vaker zal wellicht de manager waaraan de cio rapporteert met de bestuurders praten, en dan is het belangrijk dat de beide partijen echt wel de impact van de antwoorden kunnen inschatten. Eventueel moeten de bestuurders maar hulp inwinnen om de antwoorden van het management naar behoren te interpreteren en eventuele gevolgen voor het bedrijf in te schatten.

Cobit5

Het Isaca-document eindigt overigens met een verwijzing naar Cobit5 – een Isaca-framework voor het beheer van informatietechnologie en ict governance (control objectives for information and related technology). Dat kan een hulp zijn voor bestuurders om de antwoorden van het management te beoordelen, maar Cobit5 is niet meteen lichte lectuur. “Dat valt best mee, als referentiekader en inspiratiebron,” countert Marc Vael, voorzitter van Isaca België en leider van de wereldwijde Isaca ‘cloud working group’. “Het is een bijzonder handig kader, en kan als goede basis worden aangewend, zodat je niet van nul moet vertrekken.” Overigens publiceert Isaca nog andere – bondige -documenten over cloud, zoals de ‘guiding principles for cloud computing adoption and use’ (februari 2012), met een overzicht van de punten waar aandacht moet worden aan besteed bij het starten van cloud-initiatieven.

Kortom, de leden van de raden van bestuur in bedrijven – groot en klein – kunnen best wel wat meer aandacht aan het cloudgebeuren in hun bedrijven besteden, om te voorkomen dat op een kwalijke dag een ongecontroleerd cloudgebeuren hen als bestuurders in problemen brengt…

Guy Kindermans