Dlaczego przechowywanie nagrań w chmurze może być bezpieczne

Do tej pory większość firm CPA w pełni rozumiała, w jaki sposób przenoszenie swoich podstawowych funkcji biznesowych do chmury może usprawnić działania, jednak wiele z nich nadal powoli dokonuje takiego przeniesienia.

Oprócz kosztów przechowywania, nowych aplikacji i czasu szkolenia, na pierwszym miejscu stawiamy troskę o bezpieczeństwo danych klienta i zatrzymywanie dokumentów. Wszystko, począwszy od skradzionego laptopa pozostawionego z tyłu samochodu podczas szczęśliwych godzin pracy, aż po dysk z kciukiem wysłany pod niewłaściwym adresem może stanowić potencjalne naruszenie danych dla firm CPA w erze cyfrowej, a prawdopodobieństwo, że każda firma stanie w obliczu jednego z tych naruszeń w pewnym momencie jest bardzo prawdopodobne – aż 70-80 procent według Billa Thompsona, CPA, RPLU, prezesa ds. zarządzania ryzykiem i zawodowej firmy ubezpieczeniowej CPA Mutual.

“W przypadku naruszenia przepisów odpowiedzialność za utratę danych prawdopodobnie spadnie w dużo większym stopniu na profesjonalistę niż na dostawcę oprogramowania, ponieważ CPA jest postrzegana jako ostatecznie odpowiedzialna za ochronę danych klientów”, mówi Thompson. “Bezpieczne operacje i przechowywanie danych w chmurze można jednak rozsądnie realizować przy pomocy sprawdzonych i prawdziwych zasad, praktyk operacyjnych i świadomości pracowników”.

Większość klientów zakłada, że firmy CPA bezpiecznie przechowują swoje dokumenty i dane na zawsze – chyba że zostanie im powiedziane inaczej. Chociaż przechowywanie dokumentów jest łatwiejsze do zarządzania w formie elektronicznej niż w rzędach szafek na dokumenty, nadal podlega tym samym zasadom prawnym dotyczącym ujawniania, przechowywania i spójności. Zasady te pomagają firmom zarządzać ryzykiem, informując swoich klientów i pracowników o tym, jak długo należy przechowywać informacje i w jakiej formie.

Ponieważ firmy migrują podstawowe funkcje do chmury lub za pomocą innych środków elektronicznych, będą musiały regularnie przeglądać i aktualizować swoje polityki i praktyki w zakresie przechowywania dokumentów oraz niezwłocznie informować klientów o wszelkich zmianach. Będą również musiały zrozumieć i egzekwować praktyki dostawcy usługi w chmurze w zakresie ochrony i zatrzymywania informacji, a także utrzymać własność i kontrolę nad danymi firmowymi znajdującymi się w chmurze.

Należy pamiętać o tych trzech zasadach w miarę przyjmowania nowych sposobów zarządzania i przechowywania danych klientów:

1. Ujawnienie

1.

Aktualne lub nowe protokoły prowadzenia ewidencji powinny być ujawniane klientom w listach motywacyjnych, organizatorach podatkowych, broszurach firmowych lub innych komunikatach wysyłanych do klientów.Wyjaśnia to i dokumentuje protokoły, a także określa odpowiednie oczekiwania klientów co do czasu prowadzenia dokumentacji. Pozwala to na uniknięcie nierealistycznych założeń dotyczących przechowywania dokumentacji przez całą wieczność.

W przypadku zmiany polityki przechowywania dokumentów, należy przesłać klientowi kolejną rundę ujawnień wraz ze zmienioną polityką przechowywania dokumentów oraz okresem karencji, aby umożliwić klientowi odebranie dokumentów, które mogą znajdować się na liście zniszczeń. Porozmawiaj ze sprzedawcą lub działem IT o bezpiecznym i trwałym usunięciu lub zniszczeniu danych klienta, gdy przestaną być one istotne.

2. Retencja

Zapisy powinny być przechowywane tylko tak długo, jak długo są istotne.Zalecenia dotyczące składania zeznań podatkowych i zatrzymywania papierów wartościowych w zeznaniu podatkowym to maksymalnie sześcioletni okres przedawnienia dla federalnego wymiaru podatku (IRC 6501 [e]), plus okres przedawnienia dla pozwu o nadużycia w stanie, w którym mieszkają Państwo lub praktykują.

Wiele firm przyjmuje siedmioletni standard, który jest połączeniem federalnych i stanowych ustaw o przedawnieniu. Istnieją jednak pewne wyjątki od tej zasady, takie jak zyski, które generują NOL, straty bierne, straty kapitałowe lub kredyty, które mogą być przenoszone na wiele lat w przyszłość, zanim zostaną wykorzystane.

Chociaż rok ten może zostać zamknięty do celów oceny, organy podatkowe mogą nadal kontrolować zamknięte lata i korygować przeniesienie, ponieważ ma ono wpływ na rok otwarty. Konieczne może być przechowywanie tych deklaracji przez dłuższy okres.

Podobnie jak w przypadku przeniesienia, również inne ewidencje podatkowe mogą mieć istotny okres przedawnienia, wykraczający poza okres naliczania podatku.Rejestry kontroli podatkowych, rejestry podstawy własności, 338 rejestrów wyborczych, rejestry reorganizacji podatkowej, korespondencja podatkowa, sprawozdania agentów podatkowych i 1031 rejestrów wymiany, by wymienić tylko kilka, mogą być istotne przez wiele lat po wygaśnięciu sześcioletniego federalnego okresu przedawnienia.W rzeczywistości powinny one być prowadzone na stałe.

Sprawozdania finansowe mają na ogół krótszy okres ważności niż deklaracje podatkowe i niewiele jest dla nich twardych i szybkich zasad. Okres ten powinien być podyktowany sytuacją klienta, wszelkimi obowiązującymi ramami regulacyjnymi, którym podlega klient, liczbą posiadaczy akcji itp. Dokumentacja dotycząca programów świadczeń pracowniczych, taka jak raporty aktuarialne, testy alokacji i zgodności, oświadczenia maklerskie, formularze 5500 i sprawozdania finansowe, powinna być prowadzona w sposób ciągły.

Firmy księgowe cieszą się złą sławą, ponieważ przechowują dokumentację, która jest nieistotna. Zużywa to nie tylko kosztowną przestrzeń magazynową, ale, co ważniejsze, jeśli zostanie zmuszone do sporządzenia dokumentacji, koszty jej gromadzenia i przesiewania przez nieistotne dokumenty mogą być znaczne. W niektórych przypadkach, nieistotne dokumenty, takie jak bezpłatne e-maile, mogą być szkodliwe.

Firmy powinny przyjąć zasady lub elektroniczne środki usuwania dokumentów, które nie są formalnie i koniecznie częścią dokumentacji klienta. Podczas przenoszenia plików do chmury, jest to dobry moment na uporządkowanie i właściwe wyrzucenie nieistotnych zapisów.

Jedno z największych roszczeń CPA Mutual doświadczył – jest to roszczenie, którego można bronić – mówi Thompson, rozpadło się z powodu bezinteresownej notatki pozostawionej w dokumentacji z audytu dotyczącej przeglądu i "cleaning" up the workpapers.

"The file actually had a header on it entitled ‘items to be removed from workpapers’. Nie było to nic innego jak poprzednia firma (nasz członek) przygotowująca akta, aby mogły zostać przekazane następcy audytora, " Thompson mówi. "Ale ponieważ byliśmy w trakcie procesu o niewykrycie defalmacji, ta notatka dała wrażenie, że firma mogła być świadoma tych problemów, ale po prostu nie spełniała standardów zawodowych, a teraz starali się to zatuszować. Ono szybko zostać powód wystawa i my zostawać z mały opcja ale dla polisa limit.& cytat;

3. Konsystencja

Wytyczne dotyczące przechowywania zapisów w firmie CPA muszą być konsekwentnie przestrzegane do czasu ich formalnej zmiany. Dokumentacja jest przechowywana w oparciu o zasady, które mają uzasadnienie. Ogólnie rzecz biorąc, przechowywanie dokumentacji podatkowej ma trzy cele:

  • zapewnienie kopii zapasowej i szczegółowych informacji dotyczących zwrotu w przypadku audytu lub dochodzenia
  • zapewnienie kopii zapasowej i szczegółowych informacji w przypadku roszczenia klienta dotyczącego niewłaściwego postępowania związanego z poradą zwrotną; oraz
  • dostarczenie kopii zapasowych i szczegółowych danych za kolejne lata podatkowe, które mają związek ze starym zeznaniem (zwykle z przeniesieniem na następne lata, kredytami i tym podobnymi).

Patrząc przez te soczewki na różnice pomiędzy aktywnymi i nieaktywnymi klientami, nie wydaje się, aby było wiele powodów, aby inaczej traktować ich historyczne powroty.Jedyną różnicą jest to, że okres retencji aktywnych klientów wciąż wypycha się w przyszłość, podczas gdy nieaktywne zachowanie dokumentów klienta w końcu się kończy.

Chociaż firmy CPA mogą opracować najlepsze w branży zasady i procedury przechowywania dokumentów, nie będą one działać, jeśli pracownicy nie zostaną odpowiednio przeszkoleni w tym zakresie, a ich zgodność z przepisami będzie monitorowana, podkreśla Thompson.

Aby upewnić się, że wszyscy pracownicy w pełni rozumieją i konsekwentnie przestrzegają tych procedur, Thompson mówi, że firmy powinny zapoznać się z zasadami przechowywania dokumentów ze wszystkimi pracownikami – oczywiście raz w trakcie nowej orientacji zatrudnienia, a następnie co najmniej raz w roku podczas spotkań zespołu wraz z innymi zasadami firmy.

Liderzy firm mogą również na bieżąco wzmacniać politykę przechowywania dokumentów. Thompson twierdzi, że podczas przeglądu końcowego produktu pracy, niezależnie od tego, czy jest to zeznanie podatkowe, czy poświadczenie zaangażowania, partner odpowiedzialny za zaangażowanie powinien przejrzeć dokumenty robocze zawarte w dokumentacji. Większość firm korzysta obecnie z elektronicznego systemu zarządzania dokumentami, więc nie powinno być żadnych dokumentów roboczych, które nie są wymagane przez profesjonalne standardy lub nie stanowią podstawy do wydania jakiejkolwiek opinii. W aktach nie należy zamieszczać żadnych zewnętrznych komentarzy lub odniesień do obaw, które zostały zauważone, ale nie zostały uwzględnione w trakcie zatrudnienia.

“Pracownicy muszą rozumieć i konsekwentnie przestrzegać protokołów bezpieczeństwa, przechowywania i ujawniania danych, aby zapewnić bezpieczeństwo odpowiednich danych klientów tak długo, jak wymagają tego przepisy prawa lub uzasadnione powody biznesowe. W ramach zdrowego zarządzania ryzykiem Thompson co roku dokonuje przeglądu zasad zatrzymywania danych” – mówi Thompson.