I forbindelse med Finanstilsynets skjema KRT-1175 IKT-Risiko, som alle autoriserte regnskapsførerselskaper skal fylle ut (ref. http://www.finanstilsynet.no/no/Artikkelarkiv/Brev/2015/Tematilsyn-2015---IKT-risiko-i-regnskapsfore...) har Visma Mamut AS utarbeidet denne artikkelen for hjelp til utfylling.
Vær oppmerksom på veiledningens punkt om dette her:
http://www.finanstilsynet.no/Global/Ekstern%20regnskapsf%C3%B8ring/Tilsyn%20og%20overv%C3%A5king/Til...
Vi har valg å berøre/kommentere kun de punkter som har med utkontraktering av IKT-virksomhet å gjøre: Punkt 4 og 7 med utvalgte underpunkter (de underpunkter som ikke er beskrevet er utenfor Mamut Application Hosting).
4.2 Gjelder utkontrakteringsavtalen(e)
4.2.1 lagring av regnskapsførerselskapets oppdragsdokumentasjon?
Svar: Nei.
Begrunnelse: Regnskapsfører velger selv om oppdragsdokumentasjon med sine klienter skal lagres på Mamut Application Hosting eller ikke. Avtalen mellom Visma Mamut AS og kunden/regnskapsfører omfatter ikke denne oppdragsdokumentasjonen.
4.2.2 lagring av oppdragsgivers regnskapsmateriale?
Svar: Ja, men når det kommer til fysisk regnskapsmateriale (scannede filer etc) er dette opptil hver enkelt regnskapsfører å velge (som punkt 4.2.1)
Referanse til avtale: Punkt 1 avsnitt 4 under Tjenesteavtale Internettløsninger.
4.2.2.1 Hvilke(n) leverandør(er) benyttes: Visma Mamut AS.
4.2.3 drift av IKT-systemer?
Svar: Ja.
4.2.3.1 Hvilke(n) leverandør(er) benyttes: Visma Mamut AS.
4.3 Innebærer utkontrakteringen at eksterne får tilgang til:
4.3.1 taushetsbelagt informasjon?
Svar: Ja/Nei
Begrunnelse: Dette avhenger av om regnskapsfører/kunde blir lagt taushetsbelagt informasjon på serverne.
Referanse til avtale: Punkt 1 Personvern avsnitt 4 under Generelle bestemmelser.
4.3.1 personopplysninger?
Svar: Ja
Begrunnelse: Opplysninger om brukerne av tjenesten samt ansattregister i Mamut innebærer personopplysninger.
4.4 Foreligger det skriftlig avtale med leverandøren(e)
Svar: Ja.
Referanse til avtale.
4.5 Har regnskapsførerselskapet tilstrekkelig kompetanse til å vurdere sikkerhetsmessige, lovmessige og driftsmessige krav ved inngåelse og oppfølging av utkontrakteringsavtalen?
Dette er regnskapsførerens vurderinger.
4.6 Inkluderer beslutningen om utkontraktering en vurdering av om leverandøren har:
Dette er regnskapsførerens vurderinger.
4.7 Gir utkontrakteringsavtalen(e) regnskapsførerselskapet rett til:
4.7.1 innsyn i den utkontrakterte virksomheten?
Svar: Nei.
4.7.2 - kontroll med den utkontrakterte virksomheten?
Svar: Nei.
4.7.3 å kreve at det iverksettes tiltak for å sikre at systemet ivaretar sikkerhetsmessige, lovmessige og driftsmessige krav som gjelder for regnskapsførerselskapet?
Svar: Ja.
Referanse til avtale: Punkt 2.1 avsnitt 2 samt 2.3.2 under Tjenesteavtale Internettløsninger.
4.8 Sikrer utkontrakteringsavtalen(e) at Finanstilsynet kan gis tilgang til alle opplysninger som er nødvendig for tilsynet med regnskapsførerselskapet?:
Svar: Ja.
Referanse til avtale: Punkt 1 Personvern avsnitt 3 siste setning under Generelle bestemmelser.
4.9 Avtaleklausuler om taushetsplikt
4.9.2 - Gir utkontrakteringsavtalen(e) regnskapsførerselskapet rett til:
4.9.2.1 - bekreftelse, minst årlig, på at taushetsbelagt informasjon er behandlet i samsvar med avtalen?
Svar: Nei.
4.9.2.2 - løpende informasjon om hvilket land opplysningene oppbevares i?
Svar: Ja.
Referanse til avtale: Punkt 2.3.3 under Tjenesteavtale Internettløsninger.
4.9.2.3 - taushetspliktlovgivningen i det aktuelle landet?
Svar: Nei.
4.9.2.4 - avtaleparten benytter underleverandører og opplysninger som er underlagt regnskapsførerselskapets taushetsplikt overlates til disse?
Svar: Ja.
Referanse til avtale: Punkt 2.3.2 under Tjenesteavtale Internettløsninger.
4.9.2.5 - oppsigelsesrett dersom avtaleparten benytter underleverandører og opplysninger som er underlagt regnskapsførerselskapets taushetsplikt overlates til disse?
Svar: Ja.
Merknad: Generell oppsigelsesrett.
4.9.3 - Pålegger utkontrakteringsavtalen leverandøren en plikt til å varsle regnskapsførerselskapet dersom taushetsbelagt informasjon kommer på avveie?
Svar: Ja.
Referanse til avtale: Punkt 1 Personvern avsnitt 5 under Generelle bestemmelser.
4.10 Behandling av personopplysninger
4.10.1 - Har regnskapsførerselskapet inngått databehandleravtale med leverandøren?
Svar: Ja.
Referanse til avtale: Punkt 1 Personvern avsnitt 5 under Generelle bestemmelser.
4.11 Avtaleklausuler om endringer
4.11.1 - Sikrer utkontrakteringsavtalen(e) at regnskapsførerselskapet på forhånd gjøres kjent med endringer som leverandøren gjør?
Svar: Nei/Ikke alle.
Referanse til avtale: Punkt 12 under Generelle bestemmelser.
4.11.2 - Kan regnskapsførerselskapet si opp utkontrakteringsavtalen(e) før utløp dersom endringene gjør at regnskapsførerselskapet ikke kan ivareta sine plikter etter lov eller oppdragsavtaler?
Svar: Ja.
Merknad: generell oppsigelsesrett.
4.12 Avtaleklausuler om oppbevaring og tilgang
4.12.1 - Dersom det følger av oppdragsavtalen at regnskapsførerselskapet skal oppbevare oppdragsgivers regnskapsopplysninger med kontrollspor, og oppbevaringen utkontrakteres, sikrer da utkontrakteringsavtalen tilgang til opplysningene i hele oppbevaringsperioden?
Svar: Ja.
Begrunnelse: Frem til oppsigelse av kontrakt. Da er regnskapsfører selv ansvarlig for å kopiere disse dataene for videre oppbevaring.
Referanse til avtale: Punkt 3.4 under Tjenesteavtale Internettløsninger.
4.12.2 - Dersom det følger av oppdragsavtalen at regnskapsførerselskapet skal oppbevare oppdragsgivers bilag, og oppbevaringen utkontrakteres, sikrer da utkontrakteringsavtalen tilgang til bilagene i hele oppbevaringsperioden?
Svar: Ja.
Merknad: Dersom bilag lagres på server frem til oppsigelse av kontrakt. Da er regnskapsfører selv ansvarlig for å kopiere disse dataene for videre oppbevaring.
Referanse til avtale: Punkt 3.4 under Tjenesteavtale Internettløsninger.
4.12.3 - Sikrer utkontrakteringsavtalen(e) tilgang til regnskapsførerselskapets oppdragsdokumentasjon i hele oppbevaringsperioden?
Svar: Ja.
Merknad: Dersom oppdragsdokumentasjon lagres på server frem til oppsigelse av kontrakt. Da er regnskapsfører selv ansvarlig for å kopiere disse dataene for videre oppbevaring.
Referanse til avtale: Punkt 3.4 under Tjenesteavtale Internettløsninger.
4.12.4 - Inneholder utkontrakteringsavtalen(e) opphørsklausuler som særlig regulerer:
4.12.4.1 - urettmessig endring, herunder sletting?
Svar: Nei.
4.12.4.2 - urettmessig tilgang?
Svar: Nei.
4.12.4.3 - mulighet for enkel gjenfinning?
Svar: Nei.
4.12.4.4 - lesbarhet og mulighet for etterkontroll?
Svar: Nei.
4.12.4.5 - mulighet for utskrift på papir ved elektronisk oppbevaring?
Svar: Nei.
7. Drift og vedlikehold av IKT-systemer
7.2 - Dekker retningslinjene eller eventuell utkontrakteringsavtale:
7.2.1 - sikkerhetskopiering?
Svar: Ja.
Referanse til avtale: Punkt 3.4 under Tjenesteavtale Internettløsninger.
7.2.2 - tilbakelegging av data?
Svar: Ja.
Referanse til avtale: Punkt 3.4 under Tjenesteavtale Internettløsninger.
7.2.3 - oppdatering av programvare?
Svar: Ja.
Referanse til avtale: Punkt 3.4 under Mamut Serviceavtale.
7.2.4 - oppdatering av virusprogramvare?
Svar: Ja.
Se egen supportartikkel som skal lages.
7.2.5 - sletting av tilgang til IKT-systemene ved opphør av ansettelsesforhold?
Svar: Ja/Nei.
Begrunnelse: Dette gjennomføres selv i myMamut hvor man legger til og fjerner brukere.
7.2.6 - at IKT-systemene til enhver tid ivaretar sikkerhetsmessige, lovmessige og driftsmessige krav?
Svar: Ja.
Referanse til avtale: Punkt 2.3.2 under Tjenesteavtale Internettløsninger.
7.2.7 - at eventuelle utkontrakteringsavtaler til enhver tid ivaretar sikkerhetsmessige, lovmessige og driftsmessige krav?
Svar: Ja.
Referanse til avtale: Punkt 2.3.2 under Tjenesteavtale Internettløsninger.
Visma Danmark
Visma Finland
Visma Latvia
Visma Nederland
Visma Norge
Visma Sverige
Visma Developers & Partners
Visma Latin-Amerika