Коли бізнес переходить на хмарні сервіси, внутрішній аудит повинен надати гарантії, що інфраструктура хмарного середовища надійна, безпечна та відповідає цілям організації й відповідатиме в майбутньому.

Хмарні сервіси ставлять перед компанією безліч нових викликів. Сама структура, швидкість і непрозорість хмарної інфраструктури унеможливлює застосування багатьох традиційних методів внутрішнього аудиту. Аудитори звикли мати можливість безпосередньо перевірити системи, що відповідають за захист даних і протидію кібератакам. Коли ж компанія працює у хмарному середовищі, то аудиторам доводиться мати справу з питаннями безпеки, що пов’язані з унікальною інфраструктурою того чи іншого хмарного середовища, недостатністю інформації про постачальників, які працюють із хмарним сервісом, а також співпрацювати з командою, що відповідає за IT-безпеку провайдера хмарних послуг.

Коли організація обирає великих провайдерів хмарних послуг, внутрішні аудитори нібито можуть бути спокійними – провайдер нестиме повну відповідальність за безпеку самого хмарного середовища, а компанія – за безпеку інформації, що міститься в ньому. Однак і тут не все так просто. Концентрація всіх хмарних послуг в одного провайдера несе додаткові ризики: якщо у провайдера станеться збій – буде паралізована робота всієї компанії. Тому рекомендується не покладатися на одного провайдера хмарних послуг, а натомість користуватися послугами кількох різних постачальників.

Коли компанія працює у хмарному середовищі, відбувається розподіл відповідальності за безпеку та операційну взаємодію між провайдером хмарних послуг і компанією. У такому разі дуже важливо завчасно чітко розподілити зони відповідальності. Необхідно узгодити порядок дій і відповідальних у випадку несанкціонованого доступу до даних, відключень, збоїв та інших можливих проблем, пов’язаних з ІТ-безпекою.

Отож, якщо організація працює у хмарному середовищі, внутрішнім аудиторам потрібно значну увагу зосереджувати на перевірці відповідних провайдерів. Водночас неважливо, це величезна корпорація чи маленька компанія, що пропонує онлайн-освіту. Якщо у хмарному середовищі зберігаються критичні дані, організація мусить достатню увагу приділити оцінці відповідних ризиків. Перевірка безпеки хмарних сервісів обов’язково повинна бути наявна в аудиторському плані, а всі критично важливі результати мають бути представлені аудиторському комітету.