Kuidas maandada IT-ga seotud riske finantsarvestuses?

Sageli arvavad finantsjuhid ja raamatupidajad, et IT pole nende rida, ning seda enamasti seetõttu, et me ei tunne seda valdkonda. Me arvame, et see pole meile jõukohane. On inimlik, et me ei taha tegeleda teemaga, milles me pole eksperdid. Ja on ju palju lihtsam pöörduda oma IT-poisi poole ja usaldada teda. Mõnus on uskuda, et IT-osakond on taganud, et kõik on kindel ja turvaline.

Aga tegelikult on kõige targem ja pädevam finantsarvestuse IT kontrollide osas just finantsjuht või raamatupidaja. Mõtelgem siinkohal, kas IT-poiss oskab hinnata, kas raamatupidamisprogrammis antud ligipääsuõigused on asjakohased – kas tema teab, kes peavad nägema personaliarvestuse andmeid? Kas tema teab, mitu aastat peavad mingid algdokumendid säilima? Kas tema teab, millised seosed peavad igal juhul säilima, kui teha programmis näiteks mingi arendus? Ilmselt mitte – seda teate teie. Finantsjuht teab. Kellele peab mis moodulitele ligipääs olema või millised andmed peavad omavahel suhtlema, et saaks esitada TSD või käibemaksu deklaratsiooni.

Siinkohal meenuvad ka lood, kus pärast arendust genereeris programm käibemaksu andmeid teisiti ja enam ei olnud võimalik andmeid korrektselt maksuametile deklareerida, mis omakorda tõi kaasa käsitsi ümberarvestused, deklaratsioonide igakuised parandused ja tohutul hulgal ajakulu. Tavapärane on ka olukord, kus andmete varundamise sageduse määramisel ei ole IT-osakond finantsjuhiga läbi arutanud, kui suure intensiivsusega mingi moodul rakenduses on, ehk andmeid varundati kord kuus, aga iga päev tehti moodulites väga palju kandeid ja infosüsteemi rikke korral ei olnud võimalik taastada viimase kuu raamatupidamise kandeid.

Millele peaks siis finantsjuht või raamatupidaja seoses IT kontrollidega mõtlema? Et veenda finantsjuhti tema pädevuses ja oskustes oma IT spetsialistilt õigeid küsimusi küsida, on oluline, et ta teaks, milliseid küsimusi küsida ning reegleid, mida tuleks järgida. Toon siinkohal mõned näited.

Varundamine – kui sageli ja milliseid andmeid varundatakse? Kus varukoopia asub – kas samas serveris? Millised on varukoopiale esitatavad nõuded finantsarvestuse vaates?

Pääsuhaldus – kes saab millistele moodulitele finantsarvestuse tarkvaras ligi? Millised on IT-töötajate õigused? Kas töötajate tegevusest jääb logi ja milline see logi peab olema? Millised õigused on kliendihalduritel, müügiesindajatel – kas nad saavad luua uusi kliente ja koostada neile ka ise müügiarveid ja mõjutada seeläbi varude saldot? Samuti peab siinkohal küsima, millised on õigused teile raamatupidamistarkvara pakkuval ettevõttel, kasutajatoel. Kas teie lepingus on näiteks kajastatud personaliandmete väärkohtlemine teenuse osutaja poolt, mis võib olla üheks isikuandmete kaitse rikkumiseks ja tuua kaasa olulise suurusega sanktsiooni, rääkimata mainekahjust?

Paljud küsimused, mida saab lihtsal moel küsida, maandavad pettuse riske. Eestis on juba piisavalt palju lugusid, kus lihtsate protsessi ülesehituse ja ligipääsuõiguste valesti andmisega on tekitatud ettevõttele olulist kahju.

6.12 toimuval veebiseminaril räägimegi, milliseid IT kontrolle tuleb rakendada, et maandada finantsarvestustarkvaras manipuleerimise riske. Kas piisab õiguste maatriksist või tuleks teha ka midagi enamat? Kuidas ja mida saab finantsjuht IT-lahenduste osas kontrollida, et tagada riskide maandamine ehk milliseid küsimusi tuleks küsida oma IT-inimeselt? Räägime ka sellest, kuidas on tagatud isikuandmete turvalisus isikuandmete direktiivi osas finantsjuhtimises kasutatavates süsteemides.

Seminaril osaleja saab seminari tulemusel ka küsimustiku, et maandada elementaarseid IT kontrolle oma finantstarkvara osas.