Poufne faktury w KSeF – jak skutecznie ograniczyć dostęp do danych wrażliwych w firmie?

W każdej firmie są faktury, które powinny trafić tylko do wybranych osób – choćby te z informacjami o wynagrodzeniach, poufnymi kosztami czy rozliczeniami handlowymi. Do tej pory ich obieg dało się łatwo zorganizować, nawet bez potrzeby korzystania ze specjalnych narzędzi. Wdrożenie KSeF zmienia jednak tę sytuację, bo wszystkie dokumenty trafiają do jednego worka, a co za tym idzie każda osoba upoważniona w firmie do pobierania faktur z KSeF będzie mieć do nich dostęp. Tu z pomocą przychodzi system elektronicznego obiegu faktur, który pozwala oddzielać poufne faktury, nadawać im osobne ścieżki obiegu i kontrolować dostępy. Przykładem takiego rozwiązania jest Symfonia eDokumenty.

Dlaczego poufne faktury w KSeF mogą być problemem organizacyjnym?

Wdrożenie KSeF niesie ze sobą nowe wyzwania organizacyjne – szczególnie w obiegu faktur poufnych, które zawierają wrażliwe dane. W rządowej aplikacji nie da się ich bowiem odfiltrować ani oddzielić od zwykłych dokumentów, dlatego każda osoba, która w firmie ma przyznany dostęp do KSeF, może zobaczyć znacznie więcej, niż powinna. To naturalnie rodzi pytanie: jak chronić poufność w nowym modelu e-fakturowania?

Specyfika rządowej Aplikacji Podatnika – problem „jednego worka” z dokumentami

Jednym z podstawowych celów KSeF jest centralizacja obiegu faktur, które po wdrożeniu systemu mają przechodzić przez jedną, rządową platformę. Z perspektywy administracji skarbowej to duże uproszczenie, ale dla przedsiębiorstw oznacza to całkiem nowe wyzwanie: na platformie Ministerstwa Finansów dokumentów nie da się bowiem podzielić na kategorie, poziomy poufności ani przypisać ich do konkretnych grup dostępu. Wszystko dlatego, że uprawnienia w KSeF mają charakter czysto techniczny – konkretnym osobom można nadać możliwość wystawiania lub pobierania faktur, ale nie da się określić, do których dokumentów mogą mieć wgląd, a których nie powinny widzieć. W praktyce każdy w firmie, kto otrzyma prawo do pobierania faktur z KSeF, zyskuje także dostęp do treści dokumentów wystawionych na rzecz danego podatnika – także tych zawierających informacje poufne.

Przeczytaj również: Elektroniczny obieg faktur w dobie KSeF – jak go zorganizować? – Symfonia

Faktury poufne w KSeF

Istnieje kilka kategorii faktur, których treść może ujawniać bardzo delikatne informacje. To między innymi:

• faktury z usługami prawnymi, dotyczące sporów, negocjacji lub planowanych przejęć,
• dokumenty związane z wynagrodzeniami, benefitami lub świadczeniami dla współpracowników,
• faktury za usługi headhunterskie czy doradcze, które mogą sugerować reorganizacje kadrowe,
• wydatki reprezentacyjne, zarządcze oraz koszty strategiczne,
• rozliczenia z kontrahentami, które mogą zdradzać ceny, rabaty, marże lub przewagi negocjacyjne.

Pełny wgląd w faktury najczęściej jest potrzebny zarządowi, dyrektorowi finansowemu, głównej księgowej oraz wąskiemu gronu osób nadzorujących kontroling lub audyt. Jednak pracownicy odpowiedzialni wyłącznie za wprowadzanie danych, rejestrowanie dokumentów czy obsługę bieżących płatności nie muszą – i nie powinni – widzieć zawartości wszystkich dokumentów.

Jak zaprojektować bezpieczny obieg poufnych faktur mimo ograniczeń KSeF?

KSeF nie daje możliwości rozdzielania dokumentów, ale odpowiednio skonfigurowany elektroniczny obieg faktur – już tak. Taki system może pełnić rolę bezpiecznego filtra, który:

• automatycznie pobierać dokumenty z KSeF,
• rozpoznawać wśród nich poufne faktury,
• ograniczyć widoczność dokumentów zależnie od ścieżki obiegu,
• kierować poszczególne grupy dokumentów do odrębnych ścieżek obiegu.

W praktyce pozwala to odzyskać kontrolę nad wrażliwymi informacjami, których KSeF sam w sobie nie potrafi odseparować.

Jak wyodrębnić faktury poufne już na etapie wpływu dokumentu?

Podstawową rolę odgrywa tu automatyczna klasyfikacja dokumentów. System elektronicznego obiegu faktur może oznaczać faktury jako poufne już na etapie rejestracji, na podstawie reguł biznesowych opartych o dane kontrahenta, jednostkę rozliczeniową/odbiorcę (w tym oddziały w modelu wielooddziałowym oraz identyfikator wewnętrzny), a także typ dokumentu lub pracownika. Dzięki temu faktury od wybranych kontrahentów lub dla określonych jednostek/oddziałów mogą od razu trafiać do właściwej, ograniczonej ścieżki obiegu. Niektóre rozwiązania, jak Symfonia eDokumenty, pozwalają dodatkowo tworzyć własne reguły klasyfikacji, co daje pełną kontrolę nad tym, jak i kiedy dokument zostanie oznaczony jako poufny.

Ciekawą i bardzo przydatną funkcją jest również możliwość definiowania ról oraz nadawania uprawnień. Administrator może określić, kto widzi faktury poufne, kto ma dostęp wyłącznie do dokumentów operacyjnych, a kto może jedynie je ewidencjonować. Dzięki temu uprawnienia są dokładnie dopasowane do obowiązków pracowników, a dokumenty zawierające dane wrażliwe trafiają wyłącznie do osób, które faktycznie powinny je zobaczyć.

Przeczytaj również: W świecie KSeF niezbędny jest elektroniczny obieg dokumentów

Jak wygląda obieg poufnych faktur pobranych z KSeF w Symfonii eDokumenty?

Symfonia eDokumenty pozwala zbudować osobny, bezpieczny obieg dla faktur poufnych tak, aby od momentu pobrania z KSeF trafiały one wyłącznie do osób z odpowiednimi uprawnieniami. Dzięki konfiguracji procesów i ról taki obieg można oddzielić od standardowych ścieżek księgowych, nie zmieniając przy tym codziennej pracy reszty zespołu.

Odrębne ścieżki obiegu – automatyczna separacja faktur poufnych

W Symfonii eDokumenty obieg faktur pobranych z KSeF opiera się na zdefiniowanych wcześniej ścieżkach procesu. Dla dokumentów poufnych można przygotować osobny workflow, do którego trafią wyłącznie wybrane typy faktur. System pobiera dokumenty z KSeF, a następnie na podstawie reguł przypisuje je do odpowiedniej ścieżki.

W praktyce wygląda to tak, że faktura za usługi prawne lub rekrutacyjne od razu trafia na ścieżkę „poufne”, gdzie kolejne kroki realizują tylko wskazane osoby: np. dyrektor HR, członek zarządu i główna księgowa. Dla reszty pracowników taka faktura po prostu nie istnieje w standardowym obiegu – nie pojawia się na listach zadań ani w zwykłych przeglądach dokumentów.

Pełna kontrola uprawnień – kto dokładnie może zobaczyć faktury zawierające wrażliwe dane?

Dostęp do faktur w Symfonii eDokumenty opiera się na grupach uprawnień i rolach. Można osobno określić:

• kto ma w ogóle dostęp do aplikacji,
• kto widzi wszystkie faktury,
• kto pracuje na konkretnych etapach (np. weryfikacja formalna, akceptacja zarządu, akceptacja płatności).

Dla dokumentów poufnych zwykle tworzy się węższy zestaw grup i przypisuje do nich tylko wybrane osoby. Dodatkowo, na pojedynczym dokumencie można skorygować dostęp – np. włączyć lub odebrać wgląd konkretnemu użytkownikowi poprzez funkcję „Dostęp do dokumentu”.

Sam schemat obiegu faktur w Symfonii eDokumenty można skonfigurować pod konkretną organizację wybierając jeden z przykładowych procesów lub tworząc własny. Administrator systemu może przy tym określić, czy w ramach danej ścieżki ma odbywać się weryfikacja formalna, opis merytoryczny, dodatkowa akceptacja zarządu czy dodatkowa akceptacja płatności. Każdy etap da się przypisać do innych grup użytkowników, a w razie potrzeby dodać własne poziomy akceptacji.

Dzięki temu obieg poufnych faktur nie jest „narzucony z góry”, tylko odzwierciedla podział odpowiedzialności w firmie – i może być rozwijany wraz ze zmianami w strukturze czy skali działalności.

Audyt bezpieczeństwa – wgląd w historię dostępu do każdego dokumentu

Każda faktura w Symfonii eDokumenty ma swoją „historię życia” w systemie. Widać, przez jakie etapy przeszła, kto ją rejestrował, opisywał merytorycznie, akceptował koszty, zatwierdzał płatność i kiedy dokładnie to zrobił. Dodatkowo statusy dokumentów oraz informacja, kto aktualnie wykonuje dany krok, ułatwiają bieżącą kontrolę procesu. Dla faktur poufnych oznacza to dwie rzeczy: po pierwsze – zawsze wiadomo, kto miał z nimi kontakt, a po drugie – można szybko wykryć potencjalne nadużycia lub nieprawidłowe przekierowanie dokumentu. Przy audycie wewnętrznym lub zewnętrznym taka pełna ścieżka dostępu jest jednym z najmocniejszych argumentów na rzecz właściwego zabezpieczenia danych.

Jakie procedury bezpieczeństwa wdrożyć przy obsłudze faktur poufnych poza samym systemem obiegu?

Nawet najlepiej ustawiony system elektronicznego obiegu faktur nie zastąpi procedur organizacyjnych. Przy dokumentach poufnych warto więc zadbać nie tylko o konfigurację narzędzia, ale też o bardzo jasne zasady: kto ma prawo pobierać pliki z KSeF, jak często przeglądane są uprawnienia i co dzieje się z dostępami po zmianie stanowiska czy odejściu pracownika.

Uprawnienia do pobierania faktur z KSeF oraz certyfikaty powinny być przyznawane jak najmniejszej liczbie osób – zwykle są to:

• główna księgowa lub dyrektor finansowy,
• 1–2 osoby techniczne odpowiedzialne za integrację (np. administrator systemu),
• ewentualnie zaufany przedstawiciel biura rachunkowego, jeśli to ono obsługuje KSeF w imieniu firmy.

Najlepiej, by inni pracownicy w ogólne nie logowali się do KSeF, tylko pracowali na fakturach po ich pobraniu przez dedykowany moduł.

Dobrym standardem jest wprowadzenie regularnego przeglądu uprawnień – np. raz na kwartał lub przynajmniej raz na pół roku. W ramach takiego przeglądu warto:

• sprawdzić listę osób z dostępem do KSeF, systemu obiegu i ERP,
• zweryfikować, czy ich zakres obowiązków nadal uzasadnia posiadane uprawnienia,
• natychmiast odebrać dostęp osobom, które zmieniły dział, stanowisko lub zakończyły współpracę,
• udokumentować zmiany (krótki protokół/raport z przeglądu).

Faktury często zawierają zarówno dane osobowe (np. pracowników, jednoosobowych działalności), jak i informacje stanowiące tajemnicę przedsiębiorstwa (ceny, rabaty, warunki umów). Dlatego procedury obiegu faktur powinny być opisane w politykach bezpieczeństwa i RODO – jako odrębny proces, z jasno wskazanymi rolami, zakresem odpowiedzialności i rodzajami danych. W praktyce oznacza to m.in.:

• ograniczenie pobierania faktur na prywatne urządzenia i przechowywania ich poza systemem (np. na „domowych” dyskach),
• zakaz przesyłania poufnych faktur zwykłym mailem bez szyfrowania,
• obowiązek korzystania z bezpiecznego systemu obiegu dokumentów.

Chcesz dowiedzieć się więcej na temat Symfonii eDokumenty? Skontaktuj się z naszym doradcą!