چکیده
تسریع در استفاده از خدمات رایانش ابری رواج بسیاری یافته است زیرا سازمانها در جستجوی کاهش هزینهها، تخصصهای فنی، انعطافپذیری، و ساز و کارهایی قابل انطباق برای کسب مزیت رقابتی در محیطهای تجاری پویای امروزی هستند. به دلیل شتاب زیاد برای استفاده از این خدمات ممکن است ملاحظات مربوط به حاکمیت، حسابرسی، و امنیت خدمات رایانش ابری سهوا نادیده گرفته شوند. این مقاله با مطرح نمودن پرسشهای تحقیق که بر اساس تجربه و پژوهش بدست آمدهاند به بررسی موضوعات مربوط به حاکمیت و حسابرسی خدمات رایانش ابری میپردازد. به منظور ساختاردهی به پرسشهای تحقیق، یک زیستبوم رایانش ابری و یک چارچوب حاکمیت فنآوری اطلاعات مطرح شده است (ویلکین و چنهال، 2010). موضوعات کلیدی ریسک، امنیت، نظارت، کنترل، و رعایت باید در آغاز فرآیند تصمیمگیری خدمات رایانش ابری لحاظ شوند. رابطه تنگاتنگ بین مشتری خدمات رایانش ابری و فراهم کننده آن یک زیستبوم با وابستگی متقابل و عملیاتهای مشترک را تشکیل میدهند. برای دستیابی به یک محیط خدمات رایانش ابری با حاکمیت خوب، عملی، و ایمن به اِعمال حاکمیت برنامهریزی شده نیاز است. وقتی دادههای مالی یا نرمافزارهای حیاتی سازمان در جایی خارج از سازمان و توسط یک فراهم کننده خدمات رایانش ابری ذخیره شدهاند که ممکن است خود از فراهم کنندگان خدمات رایانش ابری دیگر استفاده کنند، نقش حسابرس پیچیده خواهد بود.
1. مقدمه
این مقاله مجموعهای از پرسشهای تحقیق کلیدی را در ارتباط با حاکمیت، حسابرسی، و اطمینان از خدمات رایانش ابری خارج از سازمان مطرح میکند. حوزههایی مورد تاکید قرار گرفتهاند که ظهور خدمات رایانش ابری در آنها نیازمند توجه هیئت مدیره و مدیران اجرایی است و تصمیمگیریهای مربوط به رایانش ابری ممکن نیازمند اقدامات حاکمیتی و حسابرسی بیشتر (یا اصلاحی) باشد. تشریح مباحث مربوط به رایانش ابری پیرامون دیدگاههای طرفهای مرتبط با زیستبوم رایانش ابری شکل گرفته است. یک زیستبوم رایانش ابری شامل این موارد است: (1) کاربران خدمات رایانش ابری به عنوان مشتریان قرارداد استفاده از خدمات رایانش ابری، (2) فراهمکنندگان خدمات نرمافزاری رایانش ابری (مثلا، نرمافزار به عنوان یک خدمت که به نام SaaS شناخته میشود) که ممکن است از خدمات نرمافزاری رایانش ابری فراهمکنندگان ”تو در توی“ دیگر استفاده کنند (مثلا، جایگاه به عنوان یک خدمت که با نام PaaS شناخته میشود، و زیرساخت به عنوان یک خدمت که با نام IaaS شناخته میشود)، (3) شریک فراهمکننده خدمات رایانش ابری (که میتواند محتوا، تولید نرمافزار کاربردی، و دیگر خدمات تخصصی را به فراهمکننده ارائه کند)، و (4) حسابرسان خارجی خدمات رایانش ابری. نقش حسابرس خارجی خدمات رایانش ابری هم شامل حسابرسی کاربران خدمات رایانش ابری و هم حسابرسی فراهمکنندگان خدمات رایانش ابری به این کاربران میشود.
4. نتیجهگیری
کانون توجه این مقاله پرسشهای تحقیق مرتبط با جنبههای حاکمیت و اطمینانبخشی شرکت در مورد خدمات رایانش ابری بوده است. تحقیقات رایانش ابری در ادامه پژوهشهای پیشین راجع به حاکمیت فنآوری اطلاعات و شرکت، حسابرسی خدمات، برونسپاری فنآوری اطلاعات، استفاده از چندین منبع خدمات، و زیرساخت فنآوری اطلاعات انجام شده است. با این حال، حرکت سازمانها به سمت استفاده از خدمات رایانش ابری آنان را به عرصهای وارد میکند که با ریسکهای احتمالی زیادی همراه است. ریسکهای رایانش ابری ممکن است هنوز به قدر کافی مورد توجه یا فهم هیئتهای حاکمیتی شرکتها قرار نگرفته باشد. ارزیابی ریسکها و خطمشیهای اِعمال حاکمیت باید چگونگی اشتراک مسئولیت حاکمیت را بین خود و فراهمکنندگان خدمات رایانش ابری به بهترین وجه در نظر بگیرند. به منظور کسب درک بهتر از پیامدهای فرامرزی زیرساخت فنآوری اطلاعات مبتنی بر رایانش ابری که شامل زیرساختهایی است که چندین لایه تو در تو از سیستمهای رایانش ابری را در بر میگیرند (و در آن کاربر خدمات رایانش ابری از امکانات چندین فراهمکننده خدمات رایانش ابری دیگر استفاده میکند) به تحقیقات بیشتری نیاز است.
ABSTRACT
Cloud computing services are finding rapid adoption as organizations seek cost reduction, technical expertise, flexibility, and adaptable mechanisms to attain advantages in fast-moving business environments. The related considerations of governance, audit, and assurance of cloud computing services might be inadvertently overlooked in a rush to adopt these cloud services. This paper focuses on cloud computing governance and audit issues by presenting research questions informed by both practice and research. A cloud computing ecosystem is presented and an IT Governance framework (Wilkin and Chenhall 2010) is referenced as a means to structure research questions. Key issues of risk, security, monitoring, control, and compliance should be considered early in the cloud services decision process. The tight coupling of intercompany operations between the cloud client and cloud provider(s) forms an interdependent, operationally coupled ecosystem. Planned governance is needed to achieve a well-governed, functional, and secure cloud computing environment. The audit role is complicated when the organization’s financial data and/or critical applications are hosted externally with a cloud service provider that may use other cloud service providers.
I. INTRODUCTION
This paper offers a set of key research questions related to governance, audit, and assurance of external cloud computing services. Emphasis is placed on areas where the emergence of cloud computing services requires the attention of board and executive levels, and where cloud computing decisions can result in the need for additional (or modified) governance and audit activities. This cloud research discussion is organized around the perspectives of cooperating parties involved in the cloud computing ecosystem.1 Included in a cloud computing ecosystem are the (1) cloud service users (CSUs) as contracting clients of cloud computing, (2) the cloud service providers (CSPs) of the cloud computing software services (e.g., Software as a Service known as SaaS) that may have contracted with other ‘‘nested’’ CSPs for services (e.g., Platform as a Service, known as PaaS, and Infrastructure as a Service, known as IaaS), (3) the cloud service partner (CSN) to the cloud service providers (CSNs may provide content, application development, or other specialized services), and (4) the external auditors of the cloud computing services. The external auditor role includes the auditors of the CSU and the external auditors of the CSP that offer cloud services to clients.
IV. CONCLUSION
This paper focuses attention on pressing research questions related to the governance and assurance aspects of cloud computing. The topic of cloud computing research builds directly on prior work in corporate and IT governance, services auditing, IT outsourcing, multi-sourcing, and IT infrastructure. Yet, this movement into cloud computing takes the CSU into new governance territory of possible elevated risk. Cloud computing risk may not yet have the sufficient understanding or attention of corporate governance bodies. Risk assessments and governance policies must consider how best to share governance responsibilities with cloud providers. Research is needed to better understand the implications of the boundaryspanning nature of the new cloud-based IT infrastructure, an infrastructure that likely involves multiple layers (whereby the primary CSP is utilizing other CSPs).
چکیده
1. مقدمه
2. زیستبوم رایانش ابری
کاربر خدمات رایانش ابری
حسابرس رایانش ابری
فراهمکننده خدمات رایانش ابری
ذینفعان کاربران خدمات رایانش ابری
سرمایهگذاران سازمانهایی که از خدمات رایانش ابری استفاده میکنند
مشتریان و شرکاء تجاری
خلاصهای از مطالب مطرح شده در مورد زیستبوم رایانش ابری
3. پرسشهای تحقیق در مورد رایانش ابری
اِعمال حاکمیت شرکتها در رایانش ابری در ارتباط با همسویی راهبردی و مدیریت ریسک
انعقاد قرارداد برای استفاده از خدمات رایانش ابری
اِعمال حاکمیت بر رایانش ابری در ارتباط با عملیاتها
اِعمال حاکمیت بر رایانش ابری در ارتباط با حسابرسی
کل هزینههای مالکیت رایانش ابری
عوامل حیاتی موفقیت برای موفقیت رایانش ابری
نگرانیها و منافع ذینفعان
4. نتیجهگیری
ABSTRACT
I. INTRODUCTION
II. CLOUD ECOSYSTEM
The Cloud Service User (CSU )
The Cloud Auditor
The Cloud Provider
The Cloud Service User Stakeholders
Investors in Organizations Using Cloud Services
Customers and Trading Partners
Summary Thoughts about the Cloud Ecosystem
III. CLOUD COMPUTING RESEARCH QUESTIONS
Cloud Computing Governance Related to Strategic Alignment and Risk Management
Contracting for Cloud Computing Services
Governance of Cloud Computing as It Relates to Operations
Governance of Cloud Computing as It Relates to Audit
Total Cost of Cloud Operations (TCCO)
Critical Success Factors for Cloud Computing Success
Cloud Stakeholder’s Concerns
IV. CONCLUSION