REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Warto wiedzieć » Jak chronić dane finansowe w środowisku informatycznym rachunkowości

Jak chronić dane finansowe w środowisku informatycznym rachunkowości

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
02 maja 2007, 05:00
Izabela Szczepankiewicz Elżbieta

REKLAMA

W informatycznych systemach prowadzenia ksiąg rachunkowych liczba elementów wywołujących zagrożenia jest znacznie większa niż w tradycyjnych, manualnych systemach rachunkowości. Zagrożenia te stają się coraz trudniejsze do przewidzenia i wykrycia, a ich skutki są trudne do usunięcia.

Audytorzy coraz większą uwagę zwracają na tzw. środowisko informatyczne rachunkowości i na kwestię prawidłowego zabezpieczenia danych finansowych.

 

Autopromocja
Rozliczanie dochodów zagranicznych za 2023 rok
Błędy w rozliczeniach VAT. Na czym polegają i jak ich uniknąć - Poradnik Gazety Prawnej
PIT-y i ulgi podatkowe 2023


W rozumieniu Międzynarodowych Standardów Rewizji Finansowej (MSRF) środowisko systemów informatycznych rachunkowości istnieje, gdy komputer określonego rodzaju i pojemności operacyjnej został przez firmę włączony w proces przetwarzania informacji finansowych o istotnym znaczeniu dla rewizji - niezależnie od tego, czy komputer ten działa w samym przedsiębiorstwie, czy też używa go strona trzecia (np. w warunkach zleconego prowadzenia ksiąg rachunkowych).


Audytor w szczególności zwróci uwagę na najczęściej występujące zagrożenia bezpieczeństwa danych, które wiążą się z:

l dostępem do systemu informatycznego przez osoby nieuprawnione

VAT 2024. Komentarz
Autopromocja

VAT 2024. Komentarz z programem INFORLEX Matryca stawek VAT w PREZENCIE

Sprawdź

l niewłaściwym postępowaniem z nośnikami danych, zarówno papierowymi, jak i elektronicznymi

Dalszy ciąg materiału pod wideo

l możliwością ujawnienia identyfikatora i hasła użytkownika innym osobom

l możliwością podglądu zawartości ekranu monitora przez osoby nieuprawnione

Komplet: VAT 2024 + PIT, CIT i Ryczałt ewidencjonowany 2024 + Ordynacja podatkowa, NIP 2024
Autopromocja

VAT 2024 + PIT, CIT i Ryczałt ewidencjonowany 2024 + Ordynacja podatkowa, NIP 2024

Sprawdź

l stosowaniem korupcji oraz szantażu wobec pracowników firmy w celu wydobycia informacji

l zagubieniem dokumentów lub nośników danych

Ordynacja podatkowa, NIP 2024
Autopromocja

Ordynacja podatkowa, NIP 2024

Sprawdź

l błędami podczas wprowadzania danych przez operatorów

l uszkodzeniem nośników magnetycznych

l błędami procedur przetwarzania, działaniem oprogramowania niezgodnym ze specyfikacją lub brakiem specyfikacji określającej algorytmy przetwarzania danych

l utratą integralności danych na skutek awarii sprzętu lub oprogramowania

VAT 2024. Komentarz
Autopromocja

VAT 2024. Komentarz z programem INFORLEX Matryca stawek VAT w PREZENCIE

Sprawdź

l możliwością dokonania fałszerstwa danych lub nadużycia danych

l działaniem wirusów, robaków i innego szkodliwego oprogramowania

hackingiem, podsłuchem linii transmisyjnych, podsłuchem akustycznym, działaniem oprogramowania szpiegowskiego (tzw. Spyware)

l utratą integralności danych podczas transmisji danych

l możliwością wystąpienia różnego typu awarii: zasilania elektrycznego, oprogramowania systemowego, oprogramowania użytkowego, sprzętu komputerowego, okablowania lub urządzeń sieci lokalnej lub rozległej

Rozliczamy najem. Przykłady, wypełnione druki
Autopromocja

Rozliczamy najem. Przykłady, wypełnione druki

Sprawdź

l kradzieżą sprzętu lub nośników

l niewłaściwym użytkowaniem sprzętu komputerowego

l niezachowaniem parametrów środowiskowych dla eksploatacji sprzętu komputerowego (awaria klimatyzacji, nadmierne nasłonecznienie, nadmierna wilgotność)

l uszkodzeniem łączy transmisyjnych

l usunięciem danych na skutek błędu użytkowników lub administratorów systemów

l celowym lub przypadkowym zniszczeniem danych na skutek impulsu elektromagnetycznego

l niedostosowaniem wydajności systemu lub pojemności systemu do potrzeb firmy

l zniszczeniem systemu na skutek powodzi, pożaru, zalania, zadymienia i innych zdarzeń losowych


Cechą charakterystyczną zastosowania komputerów w rachunkowości jest koncentracja funkcji i wiedzy personelu. Polega ona na tym, że liczba osób zaangażowanych przy przetwarzaniu danych księgowych jest znacznie mniejsza niż w środowisku tradycyjnym. Może to nieść ze sobą zagrożenia (np. personel, znając dokładnie system, a także zdając sobie sprawę z niedoskonałości mechanizmów kontroli wewnętrznej, może zmieniać programy lub dane podczas ich przechowywania bądź przetwarzania). Niebezpieczeństwo takie istnieje zwłaszcza wtedy, gdy nie występuje kontrola oparta na podziale funkcji lub gdy nie jest ona dość skuteczna.


Do grupy osób wpływających pośrednio na działanie omawianego systemu należą też wszyscy projektujący i konstruujący sprzęt, oprogramowanie systemowe i dokumentację systemu informatycznego. Ingerować w system, zarówno w sposób bezpośredni, jak i pośredni, przejmując nielegalnie funkcje osób uprawnionych, mogą również tzw. hakerzy.


Polityka bezpieczeństwa zasobów informatycznych w firmie powinna uwzględniać dwa aspekty:

1) zagrożenia związane z elementami środowiska informatycznego wewnątrz podmiotu,

2) ryzyko płynące z zewnątrz podmiotu, a związane np. z dostępem do sieci publicznych (Internet) czy przetwarzaniem rozproszonym.


Przy opracowywaniu zasad bezpieczeństwa zasobów informatycznych pierwszym aspektem analizy powinny być ryzyka wewnętrzne, które wiążą się z zasobami informatycznymi. Przede wszystkim przy braku stosowania odpowiednich zasad ochrony zasobów informatycznych podmiotu istnieje możliwość uszkodzenia lub zniszczenia komputerowych zbiorów danych, oprogramowania lub sprzętu komputerowego.

Niewłaściwie skonfigurowane lub źle zabezpieczone sieci lokalne (w których pracują podsystemy informatyczne rachunkowości), czy nawet jednostanowiskowy, niedopracowany system ewidencji księgowej mogą dawać pełną gamę możliwości przekłamań, błędów i nadużyć, a niekiedy prowadzić do przestępstw komputerowych.


Część procedur kontroli wewnętrznej w systemie informatycznym rachunkowości może być realizowana programowo. Jeśli przewidziano odpowiednie mechanizmy kontroli, w zbiorach danych zapisywane są operacje spełniające warunki kontroli, natomiast treści błędne są na ogół odrzucane przez system. Użytkownik systemu finansowo-księgowego spotyka się z programowymi kontrolami poprawności ujawniającymi się podczas ewidencji operacji gospodarczych w systemie.


Gdy program komputerowy nie został przetestowany na etapie wdrożenia, może konsekwentnie niewłaściwie przetwarzać dane w operacjach, dla których stworzono błędne algorytmy lub parametry przetwarzania.

Przetwarzanie danych w systemie może być wsadowe lub bieżące. Przetwarzanie wsadowe polega na tym, że zaewidencjonowane operacje zapisywane są w plikach, w których przechowywane są do momentu księgowania. Księgowanie wykonuje się okresowo (np. raz w miesiącu). Zaletą tej metody jest możliwość sprawdzenia i poprawienia danych przed księgowaniem. Natomiast wadą to, że aktualizowanie zbiorów danych następuje dopiero w momencie księgowania.


Podczas przetwarzania bieżącego zaletą jest to, że nie gromadzi się plików dokumentów oraz nie ogranicza się ich terminami przetwarzania. Każde zarejestrowane zdarzenie automatycznie aktualizuje wszystkie związane z nim zbiory w bazie danych - powiązane z nim salda kont, wykazy sald i obrotów, bilans oraz rachunek zysków i strat. Jednak w przypadku wprowadzenia błędnej danej mogą wystąpić błędy na różnych kontach i w różnych zbiorach.


Praktyka wypracowała jeszcze jeden system przetwarzania danych (tzw. system aktualizacji w „tle”) łączący elementy przetwarzania wsadowego i bieżącego. Jest to proces aktualizacji bezpośredniej zbioru „memo” z odłożonym w czasie procesem przetwarzania. Łączy on zalety obydwóch systemów. Pojedyncze operacje (lub dowody zbiorcze) wprowadza się do dokumentów w tzw. buforze (pamięci tymczasowej), a następnie przechowuje się je do momentu zaksięgowania. W przypadku większości zintegrowanych systemów na tym etapie system pozwala tworzyć wydruki próbne sprawozdań czy obrotów na kontach księgi głównej, zaktualizowane o operacje niezaksięgowane (po zaznaczeniu opcji uwzględnienia danych z bufora). Po dokładnym sprawdzeniu, uzupełnieniu i poprawieniu błędów okresowo przeprowadza się księgowanie dokumentów (np. w końcu miesiąca). Wówczas ostatecznie aktualizuje się księga główna.


Następną cechą, która może mieć zarówno pozytywne, jak i negatywne skutki, jest możliwość generowania operacji księgowych przez system informatyczny (np. automatyczne naliczanie odsetek, amortyzacji czy rozliczanie kosztów). Operacja ta może być inicjowana przez system automatycznie na podstawie odpowiednich danych, parametrów i procedur programowych. Ze względu na brak „ścieżki rewizyjnej” obie te sytuacje utrudniają rewizję finansową.


Coraz częściej mamy także do czynienia z wprowadzaniem do systemu informatycznego rachunkowości danych bez towarzyszących im dokumentów księgowych. W takiej sytuacji oprócz trudności związanych z badaniem śladu rewizyjnego można napotkać problem niemożności zweryfikowania wyników procedur dokonywanych w systemie (szczególnie w przetwarzaniu wielofazowym), jeśli nie są w nim sporządzane na papierze wydruki kontrolne.


Wraz z rozwojem technologii i wiedzy oraz dostępem do sieci publicznych (Internet, poczta elektroniczna, usługi bankowe itp.) pojawiają się nowe zagrożenia dotyczące bezpieczeństwa komunikacji, sieci i danych.

Audytor zwróci uwagę w szczególności na ryzyko pozyskiwania i wykorzystania informacji wewnętrznych podmiotu i wykorzystania ich przez szpiegów przemysłowych czy inne nieupoważnione osoby.


Zwiększenie bezpieczeństwa zasobów informatycznych powinno być jedną z głównych dziedzin zainteresowania kierownictwa firmy. Wymaga prowadzenia ciągłej analizy ryzyka systemów informatycznych i systemu zabezpieczeń. Kierownictwo powinno identyfikować te informacje i drogi ich obiegu, których utrata lub ujawnienie mogą być szkodliwe dla firmy, powodować naruszenie zaufania inwestorów, skutki prawne, utratę wizerunku firmy na rynku i pogłębić trudności finansowe.


W 2005 r. pojawiły się dwa nowe zagrożenia dla bezpieczeństwa informacji, określane jako „phishing” i „pharming”, polegające na nakłanianiu ludzi do ujawniania poufnych informacji przy użyciu fałszywej poczty elektronicznej i fałszywych stron internetowych. Te dwie formy ataków są ukierunkowane na pracowników firm. Istotną rolę w zmniejszeniu tego ryzyka może odegrać ścisła weryfikacja klientów, szkolenia pracowników i wiedza o potencjalnych zagrożeniach. Tymczasem, jak wykazało badanie przeprowadzone przez Deloitte, szkolenia i wiedza w zakresie bezpieczeństwa nie są uznawane przez zarządy za zagadnienia kluczowe. Szkolenia lub inne przedsięwzięcia poszerzające wiedzę w tym zakresie planuje na najbliższe 12 miesięcy mniej niż połowa (46%) respondentów. Niepokojący jest także fakt, że szkolenia i poszerzanie wiedzy o potencjalnych zagrożeniach znalazły się na końcu listy priorytetowych zagadnień związanych z bezpieczeństwem informacji. Respondenci cenią wyżej przestrzeganie procedur (74%), raportowanie i pomiary (61%). Te wyniki znalazły też odzwierciedlenie w planach inwestycyjnych instytucji finansowych w zakresie bezpieczeństwa: najwięcej pieniędzy ma zostać przeznaczonych na narzędzia zabezpieczające (64%), podczas gdy jedynie 15% - na szkolenia i zwiększanie wiedzy pracowników.


Kilkanaście miesięcy temu autorka przeprowadziła badania na próbie 107 dużych, średnich i małych polskich podmiotów. Z badań wynika, że 53% urzędów, 40% firm oraz 63% banków doświadczyło niespodziewanej przerwy w działaniu systemów rachunkowości w ciągu 12 ostatnich miesięcy. Z tego tylko 61% przedsiębiorstw i urzędów oprócz usuwania skutków bada także przyczyny niedostępności systemów informatycznych.


Respondenci podali, że przyczyną 43% przypadków niedostępności systemów informatycznych rachunkowości są wirusy i inne szkodliwe programy, 33% jest wynikiem awarii oprogramowania, 33% - awarii sprzętu komputerowego, w 27% przyczyną jest niedostateczna wydajność systemów, 10% stanowią błędy obsługi powodowane przez użytkowników, aż 10% to celowe działania pracowników, a tylko 2% to ataki hakerów.

Aż w 42% podmiotów nie opracowano dokumentów (procedur, instrukcji, szczegółowych polityk) opisujących system bezpieczeństwa danych informatycznych, a 51% podmiotów nie posiada procedur awaryjnych dla systemów informatycznych rachunkowości.


Spośród badanych podmiotów 43% z nich nie organizuje żadnych szkoleń dla pracowników w zakresie bezpieczeństwa danych informatycznych, a 32% podmiotów organizuje szkolenia jednorazowe. Nowo zatrudnionych użytkowników systemów w zakresie bezpieczeństwa danych informatycznych szkoli tylko 37% podmiotów.


Podstawa prawna:
- MSRF Nr 401 w: Międzynarodowe Standardy Rewizji Finansowej 2001, International Federation of Accountants, Stowarzyszenie Księgowych w Polsce, Warszawa 2001.


dr Elżbieta Izabela Szczepankiewicz

audytor wewnętrzny, wykładowca WSHiR w Poznaniu

 
 
Autopromocja

REKLAMA

Źródło: Biuletyn Rachunkowości
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
QR Code
Podatek PIT - część 2
certificate
Jak zdobyć Certyfikat:
  • Czytaj artykuły
  • Rozwiązuj testy
  • Zdobądź certyfikat
1/10
Zeznanie PIT-37 za 2022 r. można złożyć w terminie do:
30 kwietnia 2023 r. (niedziela)
2 maja 2023 r. (wtorek)
4 maja 2023 r. (czwartek)
29 kwietnia 2023 r. (sobota)
Następne
Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Legalna praca w Niemczech - rozliczenie podatkowe. Średni zwrot podatku z Niemiec to ok. 4 tys. zł. Czy trzeba złożyć PIT-a w Polsce?
23 kwi 2024

Na złożenie deklaracji podatkowej w Polsce został zaledwie tydzień. Termin mija 30 kwietnia 2024 r. Jeśli więc w 2023 roku pracowałeś w Niemczech i wciąż zastanawiasz się czy masz obowiązek złożyć zeznanie podatkowe w Polsce i wykazać dochód zarobiony u naszego zachodniego sąsiada, to ten artykuł jest dla Ciebie. 
Fundacja rodzinna wynajmuje mieszkania - kwestie podatkowe
23 kwi 2024

Fundacja rodzinna może wykonywać działalność gospodarczą jedynie w ustalonym ustawowo zakresie. Na podstawie art. 5 ustawy o fundacjach rodzinnych – fundacja rodzinna może prowadzić działalność z zakresu najmu, dzierżawy lub udostępniania mienia do korzystania na innej podstawie. Co za tym, idzie może np. wynajmować lokale mieszkalne.
Jak przenieść aktywa telekomunikacyjne? [3 modele] Aspekty prawne i podatkowe
23 kwi 2024

Jednoosobowa działalność gospodarcza pozostaje jedną z najpowszechniejszych form prowadzenia biznesu, a branża przedsiębiorców telekomunikacyjnych nie jest w tym zakresie wyjątkiem. Z czasem ten model może okazać się niewystarczający ze względów biznesowych lub nieefektywny z organizacyjnego, prawnego i podatkowego punktu widzenia. Wielu przedsiębiorców na pewnym etapie zaczyna dostrzegać potrzebę reorganizacji swojego biznesu, dywersyfikacji ryzyka, uporządkowania struktur i realizacji długofalowej polityki zarządzania firmą oraz majątkiem.

Z perspektywy operatorów kluczowym aktywem jest posiadana przez nich sieć. Szczególne znaczenie dla optymalizacji biznesu powinna mieć więc kwestia prawidłowego jej ulokowania. Realia gospodarcze pokazują niesłabnącą popularność spółek z ograniczoną odpowiedzialnością. Ta forma prawna może okazać się korzystnym rozwiązaniem dla identyfikowanych powyżej potrzeb, dlatego niniejsze opracowanie skupi się na analizie wybranych metod wprowadzenia sieci telekomunikacyjnej do spółki z ograniczoną odpowiedzialnością.
Umowa ubezpieczenia na życie będzie mniej ryzykowna. Zmieni się stopień ochrony ubezpieczonych
23 kwi 2024

Umowa ubezpieczenia na życie. Podniesienie stopnia ochrony ubezpieczonych na życie zakłada projekt rozporządzenia Ministra Finansów ws. szczególnych zasad związanych z lokowaniem przez zakład ubezpieczeń aktywów z umów ubezpieczenia na życie, w których ryzyko lokaty ponosi ubezpieczający.
Automatyczny zwrot podatku PIT w 2024 roku. Dla nadpłat do 10 tys. zł krócej niż w ciągu 45 dni
22 kwi 2024

Z przepisów wynika zasada, że urzędy skarbowe mają obowiązek zwrócić nadpłatę podatku PIT w ciągu 45 dni od dnia złożenia zeznania podatkowego za pomocą środków komunikacji elektronicznej (np. w usłudze Twój e-PIT) oraz 3 miesięcy od dnia złożenia zeznania podatkowego w tradycyjnej, papierowej formie. Ale w Krajowej Administracji Skarbowej funkcjonuje od 2 lat system AUTOZWROT, który pozwala na szybszy zwrot podatku.
Fiskus kontroluje mniej, ale za to skuteczniej. Kto może spodziewać się kontroli?
22 kwi 2024

Ministerstwo Finansów podało, że w 2023 roku wszczęto prawie 29 proc. mniej kontroli podatkowych niż rok wcześniej. Jednak wciąż są one bardzo skuteczne, w 97,6 proc. stwierdzono nieprawidłowości. Czy w tym roku będzie podobnie? Na pewno w związku z tzw. dyrektywą DAC7, fiskus będzie sprawdzać, czy firmy korzystające z internetowych platform sprzedażowych nie uchylają się od płacenia podatków.
Ulga na złe długi w VAT w 2024 r. Czy może z niej skorzystać podatnik stosujący metodę kasową?
19 kwi 2024

Podatnik prowadzi przedsiębiorstwo rzemieślnicze, ma status małego podatnika i rozlicza VAT według metody kasowej. Czy w takiej sytuacji mały podatnik rozliczający VAT metodą kasową może skorzystać z ulgi na złe długi, gdy ma nieopłacone faktury?
11,532 mln uncji złota w skarbcu NBP. Ich wartość rośnie
19 kwi 2024

W marcu 2024 r. wartość złota w posiadaniu Narodowego Banku Polskiego wzrosła o ponad 8,5 mld zł, choć same zasoby złota pozostały niezmienione w stosunku do lutego. Tak wynika z opublikowanych 19 kwietnia 2024 r. danych NBP o płynnych aktywach i pasywach w walutach obcych.
MF: awaria na e-Urząd Skarbowy. Twój e-PIT działa poprawnie ale trzeba się logować przez epit.podatki.gov.pl
19 kwi 2024

W dniu 19 kwietnia 2024 r. w godzinach przedpołudniowych nastąpiła przerwa w działaniu witryny urzadskarbowy.gov.pl, spowodowana najprawdopodobniej jakąś awarią. Ministerstwo Finansów poinformowało, że usługa Twój e-PIT działa poprawnie tylko, że trzeba się logować wchodząc z linka epit.podatki.gov.pl.
MF przygotowało ustawę o obowiązkowym raportowaniu ESG, implementującą dyrektywę UE
19 kwi 2024

Ministerstwo Finansów przygotowało projekt ustawy implementujący dyrektywę UE o obowiązkowym raportowaniu ESG. MF szacuje, że koszty dla przedsiębiorstw objętych obowiązkiem raportowania w ciągu 10 lat wyniosą 8,7 mld zł.

REKLAMA