REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Warto wiedzieć » Jak chronić dane finansowe w środowisku informatycznym rachunkowości

Jak chronić dane finansowe w środowisku informatycznym rachunkowości

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
02 maja 2007, 05:00
Izabela Szczepankiewicz Elżbieta

REKLAMA

W informatycznych systemach prowadzenia ksiąg rachunkowych liczba elementów wywołujących zagrożenia jest znacznie większa niż w tradycyjnych, manualnych systemach rachunkowości. Zagrożenia te stają się coraz trudniejsze do przewidzenia i wykrycia, a ich skutki są trudne do usunięcia.

Audytorzy coraz większą uwagę zwracają na tzw. środowisko informatyczne rachunkowości i na kwestię prawidłowego zabezpieczenia danych finansowych.

 

Autopromocja
Rozliczanie dochodów zagranicznych za 2023 rok
Błędy w rozliczeniach VAT. Na czym polegają i jak ich uniknąć - Poradnik Gazety Prawnej
PIT-y i ulgi podatkowe 2023


W rozumieniu Międzynarodowych Standardów Rewizji Finansowej (MSRF) środowisko systemów informatycznych rachunkowości istnieje, gdy komputer określonego rodzaju i pojemności operacyjnej został przez firmę włączony w proces przetwarzania informacji finansowych o istotnym znaczeniu dla rewizji - niezależnie od tego, czy komputer ten działa w samym przedsiębiorstwie, czy też używa go strona trzecia (np. w warunkach zleconego prowadzenia ksiąg rachunkowych).


Audytor w szczególności zwróci uwagę na najczęściej występujące zagrożenia bezpieczeństwa danych, które wiążą się z:

l dostępem do systemu informatycznego przez osoby nieuprawnione

VAT 2024. Komentarz
Autopromocja

VAT 2024. Komentarz z programem INFORLEX Matryca stawek VAT w PREZENCIE

Sprawdź

l niewłaściwym postępowaniem z nośnikami danych, zarówno papierowymi, jak i elektronicznymi

Dalszy ciąg materiału pod wideo

l możliwością ujawnienia identyfikatora i hasła użytkownika innym osobom

l możliwością podglądu zawartości ekranu monitora przez osoby nieuprawnione

Komplet: VAT 2024 + PIT, CIT i Ryczałt ewidencjonowany 2024 + Ordynacja podatkowa, NIP 2024
Autopromocja

VAT 2024 + PIT, CIT i Ryczałt ewidencjonowany 2024 + Ordynacja podatkowa, NIP 2024

Sprawdź

l stosowaniem korupcji oraz szantażu wobec pracowników firmy w celu wydobycia informacji

l zagubieniem dokumentów lub nośników danych

Ordynacja podatkowa, NIP 2024
Autopromocja

Ordynacja podatkowa, NIP 2024

Sprawdź

l błędami podczas wprowadzania danych przez operatorów

l uszkodzeniem nośników magnetycznych

l błędami procedur przetwarzania, działaniem oprogramowania niezgodnym ze specyfikacją lub brakiem specyfikacji określającej algorytmy przetwarzania danych

l utratą integralności danych na skutek awarii sprzętu lub oprogramowania

VAT 2024. Komentarz
Autopromocja

VAT 2024. Komentarz z programem INFORLEX Matryca stawek VAT w PREZENCIE

Sprawdź

l możliwością dokonania fałszerstwa danych lub nadużycia danych

l działaniem wirusów, robaków i innego szkodliwego oprogramowania

hackingiem, podsłuchem linii transmisyjnych, podsłuchem akustycznym, działaniem oprogramowania szpiegowskiego (tzw. Spyware)

l utratą integralności danych podczas transmisji danych

l możliwością wystąpienia różnego typu awarii: zasilania elektrycznego, oprogramowania systemowego, oprogramowania użytkowego, sprzętu komputerowego, okablowania lub urządzeń sieci lokalnej lub rozległej

Rozliczamy najem. Przykłady, wypełnione druki
Autopromocja

Rozliczamy najem. Przykłady, wypełnione druki

Sprawdź

l kradzieżą sprzętu lub nośników

l niewłaściwym użytkowaniem sprzętu komputerowego

l niezachowaniem parametrów środowiskowych dla eksploatacji sprzętu komputerowego (awaria klimatyzacji, nadmierne nasłonecznienie, nadmierna wilgotność)

l uszkodzeniem łączy transmisyjnych

l usunięciem danych na skutek błędu użytkowników lub administratorów systemów

l celowym lub przypadkowym zniszczeniem danych na skutek impulsu elektromagnetycznego

l niedostosowaniem wydajności systemu lub pojemności systemu do potrzeb firmy

l zniszczeniem systemu na skutek powodzi, pożaru, zalania, zadymienia i innych zdarzeń losowych


Cechą charakterystyczną zastosowania komputerów w rachunkowości jest koncentracja funkcji i wiedzy personelu. Polega ona na tym, że liczba osób zaangażowanych przy przetwarzaniu danych księgowych jest znacznie mniejsza niż w środowisku tradycyjnym. Może to nieść ze sobą zagrożenia (np. personel, znając dokładnie system, a także zdając sobie sprawę z niedoskonałości mechanizmów kontroli wewnętrznej, może zmieniać programy lub dane podczas ich przechowywania bądź przetwarzania). Niebezpieczeństwo takie istnieje zwłaszcza wtedy, gdy nie występuje kontrola oparta na podziale funkcji lub gdy nie jest ona dość skuteczna.


Do grupy osób wpływających pośrednio na działanie omawianego systemu należą też wszyscy projektujący i konstruujący sprzęt, oprogramowanie systemowe i dokumentację systemu informatycznego. Ingerować w system, zarówno w sposób bezpośredni, jak i pośredni, przejmując nielegalnie funkcje osób uprawnionych, mogą również tzw. hakerzy.


Polityka bezpieczeństwa zasobów informatycznych w firmie powinna uwzględniać dwa aspekty:

1) zagrożenia związane z elementami środowiska informatycznego wewnątrz podmiotu,

2) ryzyko płynące z zewnątrz podmiotu, a związane np. z dostępem do sieci publicznych (Internet) czy przetwarzaniem rozproszonym.


Przy opracowywaniu zasad bezpieczeństwa zasobów informatycznych pierwszym aspektem analizy powinny być ryzyka wewnętrzne, które wiążą się z zasobami informatycznymi. Przede wszystkim przy braku stosowania odpowiednich zasad ochrony zasobów informatycznych podmiotu istnieje możliwość uszkodzenia lub zniszczenia komputerowych zbiorów danych, oprogramowania lub sprzętu komputerowego.

Niewłaściwie skonfigurowane lub źle zabezpieczone sieci lokalne (w których pracują podsystemy informatyczne rachunkowości), czy nawet jednostanowiskowy, niedopracowany system ewidencji księgowej mogą dawać pełną gamę możliwości przekłamań, błędów i nadużyć, a niekiedy prowadzić do przestępstw komputerowych.


Część procedur kontroli wewnętrznej w systemie informatycznym rachunkowości może być realizowana programowo. Jeśli przewidziano odpowiednie mechanizmy kontroli, w zbiorach danych zapisywane są operacje spełniające warunki kontroli, natomiast treści błędne są na ogół odrzucane przez system. Użytkownik systemu finansowo-księgowego spotyka się z programowymi kontrolami poprawności ujawniającymi się podczas ewidencji operacji gospodarczych w systemie.


Gdy program komputerowy nie został przetestowany na etapie wdrożenia, może konsekwentnie niewłaściwie przetwarzać dane w operacjach, dla których stworzono błędne algorytmy lub parametry przetwarzania.

Przetwarzanie danych w systemie może być wsadowe lub bieżące. Przetwarzanie wsadowe polega na tym, że zaewidencjonowane operacje zapisywane są w plikach, w których przechowywane są do momentu księgowania. Księgowanie wykonuje się okresowo (np. raz w miesiącu). Zaletą tej metody jest możliwość sprawdzenia i poprawienia danych przed księgowaniem. Natomiast wadą to, że aktualizowanie zbiorów danych następuje dopiero w momencie księgowania.


Podczas przetwarzania bieżącego zaletą jest to, że nie gromadzi się plików dokumentów oraz nie ogranicza się ich terminami przetwarzania. Każde zarejestrowane zdarzenie automatycznie aktualizuje wszystkie związane z nim zbiory w bazie danych - powiązane z nim salda kont, wykazy sald i obrotów, bilans oraz rachunek zysków i strat. Jednak w przypadku wprowadzenia błędnej danej mogą wystąpić błędy na różnych kontach i w różnych zbiorach.


Praktyka wypracowała jeszcze jeden system przetwarzania danych (tzw. system aktualizacji w „tle”) łączący elementy przetwarzania wsadowego i bieżącego. Jest to proces aktualizacji bezpośredniej zbioru „memo” z odłożonym w czasie procesem przetwarzania. Łączy on zalety obydwóch systemów. Pojedyncze operacje (lub dowody zbiorcze) wprowadza się do dokumentów w tzw. buforze (pamięci tymczasowej), a następnie przechowuje się je do momentu zaksięgowania. W przypadku większości zintegrowanych systemów na tym etapie system pozwala tworzyć wydruki próbne sprawozdań czy obrotów na kontach księgi głównej, zaktualizowane o operacje niezaksięgowane (po zaznaczeniu opcji uwzględnienia danych z bufora). Po dokładnym sprawdzeniu, uzupełnieniu i poprawieniu błędów okresowo przeprowadza się księgowanie dokumentów (np. w końcu miesiąca). Wówczas ostatecznie aktualizuje się księga główna.


Następną cechą, która może mieć zarówno pozytywne, jak i negatywne skutki, jest możliwość generowania operacji księgowych przez system informatyczny (np. automatyczne naliczanie odsetek, amortyzacji czy rozliczanie kosztów). Operacja ta może być inicjowana przez system automatycznie na podstawie odpowiednich danych, parametrów i procedur programowych. Ze względu na brak „ścieżki rewizyjnej” obie te sytuacje utrudniają rewizję finansową.


Coraz częściej mamy także do czynienia z wprowadzaniem do systemu informatycznego rachunkowości danych bez towarzyszących im dokumentów księgowych. W takiej sytuacji oprócz trudności związanych z badaniem śladu rewizyjnego można napotkać problem niemożności zweryfikowania wyników procedur dokonywanych w systemie (szczególnie w przetwarzaniu wielofazowym), jeśli nie są w nim sporządzane na papierze wydruki kontrolne.


Wraz z rozwojem technologii i wiedzy oraz dostępem do sieci publicznych (Internet, poczta elektroniczna, usługi bankowe itp.) pojawiają się nowe zagrożenia dotyczące bezpieczeństwa komunikacji, sieci i danych.

Audytor zwróci uwagę w szczególności na ryzyko pozyskiwania i wykorzystania informacji wewnętrznych podmiotu i wykorzystania ich przez szpiegów przemysłowych czy inne nieupoważnione osoby.


Zwiększenie bezpieczeństwa zasobów informatycznych powinno być jedną z głównych dziedzin zainteresowania kierownictwa firmy. Wymaga prowadzenia ciągłej analizy ryzyka systemów informatycznych i systemu zabezpieczeń. Kierownictwo powinno identyfikować te informacje i drogi ich obiegu, których utrata lub ujawnienie mogą być szkodliwe dla firmy, powodować naruszenie zaufania inwestorów, skutki prawne, utratę wizerunku firmy na rynku i pogłębić trudności finansowe.


W 2005 r. pojawiły się dwa nowe zagrożenia dla bezpieczeństwa informacji, określane jako „phishing” i „pharming”, polegające na nakłanianiu ludzi do ujawniania poufnych informacji przy użyciu fałszywej poczty elektronicznej i fałszywych stron internetowych. Te dwie formy ataków są ukierunkowane na pracowników firm. Istotną rolę w zmniejszeniu tego ryzyka może odegrać ścisła weryfikacja klientów, szkolenia pracowników i wiedza o potencjalnych zagrożeniach. Tymczasem, jak wykazało badanie przeprowadzone przez Deloitte, szkolenia i wiedza w zakresie bezpieczeństwa nie są uznawane przez zarządy za zagadnienia kluczowe. Szkolenia lub inne przedsięwzięcia poszerzające wiedzę w tym zakresie planuje na najbliższe 12 miesięcy mniej niż połowa (46%) respondentów. Niepokojący jest także fakt, że szkolenia i poszerzanie wiedzy o potencjalnych zagrożeniach znalazły się na końcu listy priorytetowych zagadnień związanych z bezpieczeństwem informacji. Respondenci cenią wyżej przestrzeganie procedur (74%), raportowanie i pomiary (61%). Te wyniki znalazły też odzwierciedlenie w planach inwestycyjnych instytucji finansowych w zakresie bezpieczeństwa: najwięcej pieniędzy ma zostać przeznaczonych na narzędzia zabezpieczające (64%), podczas gdy jedynie 15% - na szkolenia i zwiększanie wiedzy pracowników.


Kilkanaście miesięcy temu autorka przeprowadziła badania na próbie 107 dużych, średnich i małych polskich podmiotów. Z badań wynika, że 53% urzędów, 40% firm oraz 63% banków doświadczyło niespodziewanej przerwy w działaniu systemów rachunkowości w ciągu 12 ostatnich miesięcy. Z tego tylko 61% przedsiębiorstw i urzędów oprócz usuwania skutków bada także przyczyny niedostępności systemów informatycznych.


Respondenci podali, że przyczyną 43% przypadków niedostępności systemów informatycznych rachunkowości są wirusy i inne szkodliwe programy, 33% jest wynikiem awarii oprogramowania, 33% - awarii sprzętu komputerowego, w 27% przyczyną jest niedostateczna wydajność systemów, 10% stanowią błędy obsługi powodowane przez użytkowników, aż 10% to celowe działania pracowników, a tylko 2% to ataki hakerów.

Aż w 42% podmiotów nie opracowano dokumentów (procedur, instrukcji, szczegółowych polityk) opisujących system bezpieczeństwa danych informatycznych, a 51% podmiotów nie posiada procedur awaryjnych dla systemów informatycznych rachunkowości.


Spośród badanych podmiotów 43% z nich nie organizuje żadnych szkoleń dla pracowników w zakresie bezpieczeństwa danych informatycznych, a 32% podmiotów organizuje szkolenia jednorazowe. Nowo zatrudnionych użytkowników systemów w zakresie bezpieczeństwa danych informatycznych szkoli tylko 37% podmiotów.


Podstawa prawna:
- MSRF Nr 401 w: Międzynarodowe Standardy Rewizji Finansowej 2001, International Federation of Accountants, Stowarzyszenie Księgowych w Polsce, Warszawa 2001.


dr Elżbieta Izabela Szczepankiewicz

audytor wewnętrzny, wykładowca WSHiR w Poznaniu

 
 
Autopromocja

REKLAMA

Źródło: Biuletyn Rachunkowości
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
QR Code
Podatek PIT - część 2
certificate
Jak zdobyć Certyfikat:
  • Czytaj artykuły
  • Rozwiązuj testy
  • Zdobądź certyfikat
1/10
Zeznanie PIT-37 za 2022 r. można złożyć w terminie do:
30 kwietnia 2023 r. (niedziela)
2 maja 2023 r. (wtorek)
4 maja 2023 r. (czwartek)
29 kwietnia 2023 r. (sobota)
Następne
Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Czy przepis podatkowy napisany w złej wierze nie rodzi normy prawnej? Dlaczego podatnicy unikają stosowania takich przepisów?
23 kwi 2024

Podatnicy prowadzący działalność gospodarczą często kontestują obowiązki nakładane na podstawie przepisów podatkowych. Nigdy wcześniej nie spotkałem się z tym w takim natężeniu – może na przełomie lat osiemdziesiątych i dziewięćdziesiątych XX wieku, gdy wprowadzono drakońskie przepisy tzw. popiwku – pisze prof. Witold Modzelewski. Dlaczego tak się dzieje?
Szef KAS: Fundacje rodzinne nie są środkiem do unikania opodatkowania
23 kwi 2024

Szef Krajowej Administracji skarbowej wydał opinię zabezpieczającą w której potwierdził, że utworzenie fundacji, wniesienie do niej akcji i następnie ich sprzedaż nie będzie tzw. „unikaniem opodatkowania”, mimo wysokich korzyści podatkowych. Opinię zabezpieczające wydaje się właśnie w celu rozstrzygnięcia, czy proponowana czynność tym unikaniem by była.
Przedmiotowa opinia została wydana na wniosek przedsiębiorcy, który planuje utworzenie rodzinnej platformy inwestycyjnej przy wykorzystaniu Fundacji poprzez wniesienie do niej m.in. akcji spółki. Natomiast spółka jest właścicielem spółek zależnych, które uzyskują przychody prowadząc działalność operacyjną w różnych krajach świata. 
Laptopy otrzymane przez uczniów i nauczycieli zwolnione z PIT - rozporządzenie MF
23 kwi 2024

Laptopy oraz bony na laptopy, otrzymane w 2023 r. przez uczniów i nauczycieli, są zwolnione z PIT – wynika z rozporządzenia MF, które weszło w życie we wtorek 23 kwietnia 2024 r.
Kontyngent możliwym lekarstwem na cła
23 kwi 2024

Każdy towar o statusie celnym nieunijnym w momencie wjazdu na terytorium UE obciążony jest długiem celnym. Dług ten wynika z unijnych przepisów prawa. Uzależniony jest od kodu taryfy celnej, wartości celnej towaru, pochodzenia oraz zastosowanej waluty dla danej transakcji. Unia Europejska stoi na straży konkurencyjności swoich rodzimych przedsiębiorstw, a to oznacza, że ma wielorakie narzędzia do swojej dyspozycji, aby zapewnić bezpieczne funkcjonowanie naszym przedsiębiorcom. Jednym z takich narzędzi jest cło ochronne (odwetowe), którego celem jest ochrona produkcji unijnej przed konkurencją z krajów trzecich. Często cło to występuje z cłem antydumpingowym, którego z kolei celem jest wyrównanie cen rynkowych towaru sprowadzanego z krajów trzecich z towarem produkowanym w UE.
Rozliczenie składki zdrowotnej za 2023 rok - termin w 2024 roku, zasady [komunikat ZUS]. Jak wypełnić i do kiedy złożyć ZUS DRA lub ZUS RCA?
23 kwi 2024

Zakład Ubezpieczeń Społecznych przypomina, że część płatników składek - osób prowadzących pozarolniczą działalność - musi przekazać do ZUS roczne rozliczenie składki na ubezpieczenie zdrowotne za rok 2023. W dniu 20 maja 2024 r. mija termin na złożenie ZUS DRA lub ZUS RCA za kwiecień 2024 r., w którym uwzględnione będzie to rozliczenie.
Nowe zwolnienia z PIT za 2023 r. Jeszcze tydzień na złożenie zeznania albo korekty [Rzut na taśmę rządu]
23 kwi 2024

Skorzystają osoby, które otrzymały możliwość kupna laptopów na preferencyjnych warunkach. Przede wszystkim nauczyciele. Nie muszą płacić podatku od bonu 2500 zł na komputer. Podobnie rodzice uczniów IV klas, którzy otrzymali darmowe komputery dla swoich dzieci. 
Transformacja ESG w polskich firmach. Jak sfinansować?
23 kwi 2024

Większość firm deklaruje, że zrównoważony rozwój jest dla nich ważny a nawet kluczowy. Ale jedynie 65% z nich jest gotowych inwestować w działania z nim związane. Największym wyzwaniem dla firm pozostaje pozyskanie finansowania na inwestycje zrównoważone - określonego przez większość firm jako główne wyzwanie w procesie transformacji ESG. Przedsiębiorstwa w Polsce, pomimo, że korzystają z części dostępnych narzędzi wsparcia, to jednak nie wykorzystują w pełni ich potencjału. Tak wynika z najnowszego raportu Ayming Polska. W związku z wejściem w życie dyrektywy CSRD, autorzy raportu postanowili zapytać organizacje 250+ m.in. o to, jak przygotowują się na zmiany, jakie wyzwania w związku z nimi identyfikują oraz w jaki sposób zamierzają finansować transformację ESG.
Bon energetyczny - czy trzeba będzie zapłacić podatek od jego wartości?
23 kwi 2024

W uwagach do projektu ustawy o bonie energetycznym Ministerstwo Finansów sugeruje, aby beneficjentów bonu energetycznego zwolnić z podatku, inaczej będą musieli zapłacić PIT.
Legalna praca w Niemczech - rozliczenie podatkowe. Średni zwrot podatku z Niemiec to ok. 4 tys. zł. Czy trzeba złożyć PIT-a w Polsce?
23 kwi 2024

Na złożenie deklaracji podatkowej w Polsce został zaledwie tydzień. Termin mija 30 kwietnia 2024 r. Jeśli więc w 2023 roku pracowałeś w Niemczech i wciąż zastanawiasz się czy masz obowiązek złożyć zeznanie podatkowe w Polsce i wykazać dochód zarobiony u naszego zachodniego sąsiada, to ten artykuł jest dla Ciebie. 
Fundacja rodzinna wynajmuje mieszkania - kwestie podatkowe
23 kwi 2024

Fundacja rodzinna może wykonywać działalność gospodarczą jedynie w ustalonym ustawowo zakresie. Na podstawie art. 5 ustawy o fundacjach rodzinnych – fundacja rodzinna może prowadzić działalność z zakresu najmu, dzierżawy lub udostępniania mienia do korzystania na innej podstawie. Co za tym, idzie może np. wynajmować lokale mieszkalne.

REKLAMA