Bezpieczeństwo i governance w outsourcingu księgowości
Jak chronimy dane finansowe klientów?
Outsourcing wymaga zaufania
Klienci powierzają nam nie tylko dokumenty księgowe i poufne informacje finansowe. Powierzają także dostęp do danych o wynagrodzeniach, danych pracowników, danych osobowych podlegających RODO, rozliczeniach podatkowych, raportach zarządczych, a często również do procesów płatniczych i systemów finansowych.
Dlatego bezpieczeństwo nie jest dla nas osobnym obszarem działalności. Jest fundamentem całego modelu współpracy.
Procesy weryfikowane przez wymagających klientów
Przez ponad dwadzieścia lat pracowaliśmy zarówno z rozwijającymi się przedsiębiorstwami, jak i dużymi grupami kapitałowymi, organizacjami międzynarodowymi oraz firmami funkcjonującymi w środowiskach podlegających szczególnie wysokim wymaganiom kontrolnym i audytowym.
Nasze procesy bezpieczeństwa były wielokrotnie weryfikowane przez klientów współpracujących na co dzień z największymi międzynarodowymi firmami audytorskimi i doradczymi. To nie deklaracja – to wynik konkretnych przeglądów i audytów.
Bezpieczeństwo zaczyna się od procesów
W naszej ocenie największym źródłem ryzyka nie są systemy informatyczne – są nim źle zaprojektowane procesy.
Dlatego rozwijamy model pracy oparty na jasno określonych odpowiedzialnościach, wielopoziomowych kontrolach (m.in. kontroli dostępu, zasadach segregation of duties oraz audytowalności działań) i procedurach obejmujących wszystkie kluczowe obszary działalności: księgowość, podatki, raportowanie, płatności, obieg dokumentów i dostęp do danych.
Procesowe podejście pozwala ograniczać ryzyko błędów, zapewniać ciągłość działania i utrzymywać jednolite standardy jakości niezależnie od skali współpracy.
Bezpieczeństwo danych i systemów
Na co dzień przetwarzamy duże ilości poufnych informacji finansowych, kadrowych i podatkowych. Ochrona tych danych jest jednym z naszych podstawowych obowiązków.
Budując środowisko technologiczne, świadomie dobieramy partnerów. Wszyscy kluczowi dostawcy infrastruktury i oprogramowania, na których opieramy naszą działalność, posiadają certyfikaty ISO/IEC 27001 – międzynarodowy standard zarządzania bezpieczeństwem informacji. To nie jest przypadek – to efekt świadomej polityki doboru partnerów.
- Comarch (Comarch ERP Optima) – certyfikat ISO/IEC 27001:2023
- WEBCON (platforma WEBCON BPS, elektroniczny obieg dokumentów) – certyfikat ISO 9001:2015 oraz ISO/IEC 27001:2023
- Soneta (enova365) – certyfikat ISO/IEC 27001:2023
- Netia (centrum danych TIER III, usługi sieciowe MPLS) – certyfikat ISO/IEC 27001:2022 potwierdzony w ramach audytu recertyfikacyjnego, obejmujący usługi kolokacyjne, chmurowe i cyberbezpieczeństwo. Netia posiada dodatkowo certyfikaty ISO/IEC 27017 (bezpieczeństwo w chmurze) i ISO/IEC 27018 (ochrona danych osobowych w chmurze). Centrum danych działa w standardzie TIER III z redundantnymi systemami zasilania i chłodzenia.
- Support Online (administracja infrastrukturą IT, helpdesk) – firma posiada certyfikat ISO 27001
- Microsoft (Microsoft 365, EntraID, Intune – zarządzanie tożsamością, dostępem i urządzeniami) – certyfikat ISO/IEC 27001:2022 dla Microsoft 365 i usług online, audytowany corocznie przez niezależną jednostkę certyfikującą.
Dobór certyfikowanych partnerów to nie zabieg marketingowy – to element świadomej polityki bezpieczeństwa. Certyfikat ISO 27001 oznacza, że dostawca wdrożył i regularnie audytuje system zarządzania bezpieczeństwem informacji, obejmujący m.in. ochronę danych, kontrolę dostępu, zarządzanie incydentami i ciągłość działania. W naszym przypadku standard ten jest zachowany na każdym poziomie ekosystemu – od oprogramowania ERP, przez obieg dokumentów i administrację IT, po infrastrukturę sieciową i centrum danych.
Szczególna odpowiedzialność przy procesach płatniczych
W wielu projektach wspieramy klientów w realizacji płatności. Dlatego ogromną wagę przywiązujemy do odpowiedniej organizacji tych procesów, kontroli uprawnień i eliminowania ryzyk związanych z nadużyciami (w tym fraud prevention, autoryzację wielopoziomową i separację uprawnień) i błędami operacyjnymi.
Każdy proces płatniczy powinien być nie tylko sprawny, ale przede wszystkim bezpieczny.
Governance to coś więcej niż zgodność z przepisami
Dobra organizacja usług finansowych nie polega wyłącznie na przestrzeganiu regulacji. Równie ważne jest stworzenie środowiska, w którym odpowiedzialności są jasno określone, decyzje mogą zostać odtworzone, a procesy są przejrzyste i możliwe do zweryfikowania podczas audytu wewnętrznego, zewnętrznego lub due diligence.
Dlatego dużą wagę przywiązujemy do dokumentowania procesów, definiowania odpowiedzialności i budowania rozwiązań umożliwiających pełną identyfikowalność wykonywanych działań.
Nasze atuty
Jasne zasady współpracy
Każda współpraca opiera się na precyzyjnie zdefiniowanym zakresie odpowiedzialności, terminach realizacji i parametrach SLA. Klient od początku wie, jakie zadania realizujemy, jakie informacje są potrzebne po jego stronie i jakie standardy jakości zobowiązujemy się utrzymywać.
Stabilność organizacji jako element bezpieczeństwa
Bezpieczeństwo to nie tylko procedury i systemy – to też ludzie. Wiele osób zarządzających dziś Aider Polska buduje tę organizację od kilkunastu lub ponad dwudziestu lat. Stabilność zespołów i doświadczenie gromadzone przez lata stanowią ważny element bezpieczeństwa, które oferujemy klientom.
Wybrane dane
- Ponad 20 lat działalności
- 10 mln zł ubezpieczenia OC
- Dodatkowa polisa cyber
- Wieloskładnikowe uwierzytelnianie (MFA) dla kluczowych systemów
- Wszyscy kluczowi partnerzy technologiczni posiadają certyfikat ISO/IEC 27001 (Comarch, WEBCON, Soneta/enova365, Netia, Support Online, Microsoft)
- Coroczne szkolenia z cyberbezpieczeństwa dla wszystkich pracowników
- Procedury Business Continuity i Disaster Recovery
- Wielokrotne audyty bezpieczeństwa przeprowadzane przez klientów
- Obsługa spółek raportujących do grup międzynarodowych
- Jasno zdefiniowane SLA i zakresy odpowiedzialności
FAQ
-
-
Dostęp do danych powinien być nadawany zgodnie z zakresem obowiązków i zasadą minimalnych uprawnień. W praktyce oznacza to, że dostęp mają wyłącznie osoby odpowiedzialne za konkretne procesy, takie jak księgowość, payroll, raportowanie czy płatności. Uprawnienia są kontrolowane i regularnie weryfikowane.
-
Dane kadrowo-płacowe należą do najbardziej wrażliwych informacji w organizacji, dlatego wymagają szczególnej ochrony. Stosujemy kontrolę dostępu, wieloskładnikowe uwierzytelnianie (MFA), bezpieczne środowiska systemowe oraz procedury zgodne z wymaganiami bezpieczeństwa informacji i ochrony danych.
-
Bezpieczeństwo płatności opiera się na wielopoziomowej kontroli, odpowiednim podziale uprawnień, separacji obowiązków oraz mechanizmach autoryzacji. Celem jest ograniczenie ryzyka błędów operacyjnych, nieautoryzowanych zmian oraz potencjalnych nadużyć.
-
Kluczowe znaczenie mają procedury Business Continuity i Disaster Recovery, które pozwalają ograniczyć wpływ incydentów na ciągłość operacyjną. Obejmują one m.in. backup danych, plany odtworzeniowe, redundancję infrastruktury i procedury reagowania na incydenty.
-
Warto sprawdzić doświadczenie partnera, standardy bezpieczeństwa, certyfikacje technologiczne, procedury kontroli dostępu, poziom cyberzabezpieczeń, zakres ubezpieczenia OC oraz to, czy procesy były audytowane przez wymagających klientów.
-