Ustawa o rachunkowości a nowoczesna księgowość "w chmurze"
REKLAMA
REKLAMA
Polecamy: Samochód po zmianach od 1 kwietnia 2014 - multipakiet
REKLAMA
- Czy księgowy musi być informatykiem?
- Czy zdefiniowane pojęcia 20 lat temu oparły się próbie czasu?
- Czy szafa pancerna w dobie cloud computing ma rację bytu?
- O czym powinien wiedzieć księgowy, gdy chce pracować w „chmurze”
Rozmowa Jadwigi Wojtas, dyrektor do spraw produkcji i rozwoju systemu enova z Sonety sp. z o.o z dr Jerzym Hejnarem, pracownikiem naukowym i wykładowcą Katedry Rachunkowości Finansowej Uniwersytetu Ekonomicznego w Krakowie
Jadwiga Wojtas: Zasypię Pana pytaniami i problemami do naszej wspólnej dyskusji. Czy te wątki, które są na styku ustawy o rachunkowości i informatyzacji rodzą problemy? Czy księgowy, stojący głównie na straży ustawy o rachunkowości i ustaw podatkowych musi być także informatykiem, żeby poradzić sobie z tymi dodatkowymi problemami, które pojawiają się w zderzeniu już nieco wiekowej ustawy o rachunkowości, z coraz nowocześniejszymi technologiami informatycznymi?
W życiu księgowego pojawiają się zupełnie nowe pojęcia jak chmura, cloud computing. Jak zatem radzi sobie z tym ustawa o rachunkowości, czy reguluje ona trzymanie danych w chmurze, czy tylko w szafie pancernej? Jak się ma trwały zapis danych na nośniku CD, na serwerze lokalnym do sytuacji zapisania tych danych tak naprawdę „nie wiadomo gdzie”?
Od 2016 r. księgi podatkowe i dowody księgowe w standardzie XML
Czy ustawa o rachunkowości oparła się próbie czasu, czy jej zapisy są wystarczające na dzień dzisiejszy?
Jerzy Hejnar: Zacznę może od tego, że księgowy informatykiem być nie musi, natomiast użytkownikiem umiejącym wykorzystać możliwości systemu jak najbardziej. Połączenie umiejętności księgowych z informatycznymi byłoby oczywiście idealnym rozwiązaniem, natomiast pytanie ile takich osób wśród nas jest. Zatem podstawowy problem to kwestia umiejętności korzystania z systemu i jego dostosowania do potrzeb jednostki. Niekiedy jednostki dysponują systemami o rozbudowanej funkcjonalności,, których w pełni nie wykorzystują. Czy zapisy ustawy oparły się próbie czasu? Ustawodawca skromnie, aczkolwiek dość istotnie identyfikował problematykę zmian w zakresie technologii prowadzenia ksiąg rachunkowych. Zdarza się różne pojmowanie pewnych pojęć przez użytkowników i dostawców oprogramowania. Jeśli chodzi o szafę pancerną w dobie cloud computingu, powstają pytania przede wszystkim w kontekście przechowywania danych, dostępu do nich, ich zabezpieczenia i archiwizowania. Rodzi to problemy merytoryczne jak i organizacyjne. Pojawia się pytanie czy treści przepisów art. 71 i art.73 ustawy o rachunkowości są sformułowane precyzyjnie? Mówią one, między innymi, że „dowody księgowe i dokumenty z inwentaryzacji, księgi rachunkowe, a także sprawozdania finansowe jednostek należy odpowiednio przechowywać, chronić przed zakazanymi zmianami, rozpowszechnianiem, uszkodzeniem czy też zniszczeniem”. Zatem wydaje się, że zmiany mogłyby tu być tylko kosmetyczne. Chodzi o doprecyzowanie sposobu przechowywania wymienionych dokumentów z wykorzystaniem nowych technologii komputerowych.
JW: Jak zatem obecnie funkcjonująca ustawa o rachunkowości podchodzi do kwestii prowadzenia ksiąg? Czy to jest uniwersalne podejście zarówno do ksiąg rachunkowych prowadzonych w formie elektronicznej, jak i w sposób tradycyjny?
JH: Podstawowe podejście z punktu widzenia ustawodawcy było takie żeby określić elementy ksiąg rachunkowych i zasady ich funkcjonowania w sposób uniwersalny. Ustawodawca starał się przenieść rozwiązania wypracowane w praktyce tradycyjnego prowadzenia ksiąg rachunkowych na elektroniczne prowadzenie ksiąg.
Ustawodawca w okresie 20 lat drobnymi krokami uzupełniał rozwiązania, dostosowując je do zmieniających się możliwości technologicznych w zakresie komputerowego prowadzenia ksiąg rachunkowych. W ostatnim okresie technologia komputerowa bardzo się rozwinęła, systemy komputerowe nie są już takie jak kiedyś. Rozwój technologii powoduje, że regulacje stają się nieaktualne. Zresztą przepisy nie mogą ograniczać rozwoju danej dziedziny.
Odpowiedzialność prawna księgowych
Biorąc pod uwagę zasady funkcjonowania obecnych systemów komputerowych pojawia się szereg problemów związanych z prowadzeniem ksiąg rachunkowych oraz wątpliwości dotyczących konieczności prowadzenia wszystkich elementów ksiąg rachunkowych, jak np. dziennika. Księgowi wprowadzając operacje gospodarcze do ksiąg rachunkowych nie ujmują ich w dzienniku, dziennik tworzy się automatycznie. Zatem księgowy go nie widzi, ale to nie znaczy, że nie jest potrzebny. Takie rozumowanie nie jest poprawne i ma swoje uzasadnienie merytoryczne. Podstawowy problem wynika z konieczności kontroli trwałości zapisów księgowych wprowadzonych do ksiąg rachunkowych zgodnie z porządkiem chronologicznym.
Nie popadajmy w euforię, że program załatwi za nas wszystko. Mózgiem programu jest człowiek. Program jest narzędziem, który ma zapewniać pewne określone cele. Księgi muszą być prowadzone przede wszystkim zgodnie z ich warunkami jakościowymi tj. rzetelnie, bezbłędnie, sprawdzalnie i bieżąco. Musi istnieć możliwość weryfikacji kompletności ujęcia zdarzeń gospodarczych w okresie sprawozdawczym. Dziennik jest urządzeniem, które przyjmuje zapisy w sposób trwale wprowadzony, numerowane automatycznie w danym okresie sprawozdawczym.
Musimy też pamiętać, że samo wprowadzenie danych do systemu to jeszcze nie jest zapis trwały. Kwestia tzw. buforowania danych w systemie nie zapewnia trwałości zapisu. Zawsze można taką informację z bufora wyrzucić, natomiast, jeśli pojawi się informacja o trwałym ujęciu, o którym mówi ustawa to jest to ujęcie, którego już zmienić nie można a jeżeli zajdzie taka konieczność to tylko poprzez wykreowanie dokumentu korygującego i wprowadzenie go do systemu w postaci storna.
JW: Tak, 20 lat temu systemy były tak skonstruowane, że taką kontrolę przeprowadzał księgowy, sprawdzał zgodność zapisów dziennika z kontami księgi głównej i ksiąg pomocniczych. Teraz jesteśmy w dobie systemów zintegrowanych i zapisy księgowe wprowadzone raz do systemu implikują się automatycznie w różnych elementach ksiąg rachunkowych, które wymienia ustawa. To jest już w strukturze systemu, księgowy już tego nie sprawdza, to już robi system...
JH: Tak, zgadzam się z tym, ale pamiętać trzeba, że ustawa zawiera wymagania skierowane nie tylko do prowadzących księgi rachunkowe, ale też pośrednio do dostawców oprogramowania. Producenci systemów informatycznych powinni je uwzględniać, ale oni nie są bezpośrednimi adresatami. Jak już wspomniałem, przepisy nie mogą ograniczać rozwoju technologii komputerowych, a producenci oprogramowania proponują nowe rozwiązania, które są coraz bardziej zaawansowane technologicznie. Od użytkownika zależy czy takie oprogramowanie zakupi i będzie stosował. Pamiętajmy, że użytkownik nie jest zmuszany do nabycia programu komputerowego, w którym zamierza prowadzić księgi rachunkowe. Jeżeli potrafi może księgi rachunkowe skonfigurować i prowadzić np. w Excelu na wzór typowej amerykanki. Takie księgi muszą jednak spełniać wymogi formalno-prawne. Z drugiej jednak strony pamiętajmy, że potrzeby użytkowników są coraz większe, a producenci oprogramowania wychodzą ku ich oczekiwaniom. Użytkownicy powinni jednak umiejętnie korzystać z technologii, a nie poddawać się jej wpływowi bezkrytycznie.
JW.: Czy przepisy powinny szczegółowo regulować zagadnienie prowadzenia ksiąg rachunkowych? Może należałoby zrezygnować z wielu zagadnień szczegółowych, a jedynie określić wymogi minimalne? Jeżeli nie - to w jaki sposób określić warunki prowadzenia ksiąg rachunkowych i czy w ogóle je określać, czy pozostawić do dyspozycji jednostki?
Rolą ustawodawcy jest, aby określić uniwersalne, minimalne wymogi jakie muszą spełniać księgi rachunkowe prowadzone przy użyciu komputera. Oczywiście, ustawodawca musi zwrócić uwagę i uwzględnić fakt, że bezpowrotnie odchodzimy od prowadzenia ksiąg rachunkowych w formie papierowej oraz od dokumentowania zdarzeń gospodarczych w takiej formie. W chwili obecnej na pierwszy plan wysunęła się forma elektroniczna.
Podyskutuj o tym na naszym FORUM
JW: Zatem wniosek taki, że nie przesadzajmy z technologiami i pamiętajmy, że to nie program nami rządzi tylko my programem. Ustawa wskazuje nam tylko obszary, które musimy kontrolować, natomiast w jaki sposób to robimy, wybór należy do nas. W to czy sprawdzamy kolejność wprowadzanych zapisów księgowych, czy analizujemy tradycyjnie zgodność sum kontrolnych czy robimy to w sposób bardziej zaawansowany „wciskając magiczny przycisk” ustawa już nie ingeruje.
JH: To takie błędne koło, bo wracamy do pytania czy księgowy musi być informatykiem. Księgowy nie jest w stanie zweryfikować według jakiej procedury system tworzy informacje, w jaki sposób ją przetwarza i w jaki sposób staje się ona widoczna dla użytkownika. Jednak księgowy powinien sprawdzić poprawność systemu z punktu widzenia tych wymogów, których istnienie zapewnia wymaganą ustawowo jakość prowadzonych ksiąg rachunkowych.
Wiedza wyróżnia dobrego księgowego
JW: Pojawiają się kolejne pytania związane z ustawą o rachunkowości i prowadzeniem ksiąg rachunkowych przy pomocy komputera. Czy zagadnienia dotyczące prowadzenia ksiąg rachunkowych powinny być regulowane ustawą? Czy może kwestie te powinny być uregulowane w rozporządzeniu?
JH: Dyskusja nad tym czy rozdział drugi powinien być w ustawie czy nie, rozpoczęła się już jakiś czas temu. Biorąc pod uwagę wpływ takich rozwiązań na praktykę ich stosowania nie ma to większego znaczenia czy przepisy dotyczące prowadzenia ksiąg rachunkowych będą w randze ustawy czy rozporządzenia. Jednak patrząc na zagadnienie z punktu widzenia prestiżu rachunkowości jako nauki stosowanej, zdecydowanie opowiadam się za formą ustawową. Druga istotna kwestia, przemawiająca za takim rozwiązaniem, to wspieranie i utrzymanie prestiżu zawodu księgowego na rynku pracy.
JW: Księgowy obligowany jest przez kierownika jednostki do stworzenia dokumentacji polityki rachunkowości i zazwyczaj zwraca się on do producenta oprogramowania żeby mu taki wykaz przygotował. Często podczas badania sprawozdań finansowych biegli rewidenci odkrywają, że takiej dokumentacji nie ma i wówczas producenci oprogramowania proszeni są o taki wykaz. Odbywa się to na zasadzie spełnienia wymogu ustawowego. Natomiast księgowy nie umie się za bardzo w tym rozczytać, bo tam są informacje zrozumiałe dla informatyka. Producenci natomiast chroniąc swoje dobra nie uzewnętrzniają tam informacji związanych ze sposobem przetwarzania tych danych, ze sposobem tworzenia algorytmów, parametrów, funkcji oprogramowania, stanowiących ich myśl technologiczną.
JH: Kwestie dokumentacji polityki rachunkowości w zakresie dotyczącym m.in. sposobu prowadzenia ksiąg rachunkowych określa art. 10 ustawy o rachunkowości. Zgodnie z tym przepisem jednostka ma przedstawić wykaz ksiąg rachunkowych, a przy prowadzeniu ksiąg rachunkowych przy użyciu komputera - wykaz zbiorów danych tworzących księgi rachunkowe na komputerowych nośnikach danych z określeniem ich struktury, wzajemnych powiązań oraz ich funkcji w organizacji całości ksiąg rachunkowych i w procesach przetwarzania danych (...).
Wykaz zbiorów danych, ich struktura i funkcje jakie pełnią pozwalają użytkownikowi na identyfikację możliwości oprogramowania finansowo-księgowego. Producent oprogramowania chcąc sprzedać taki produkt musi opisać jego cechy. W praktyce wymóg, o którym mówimy jest spełniony w postaci podręcznika użytkownika, który przekazuje dostawca oprogramowania. Odrębną kwestią jest, czy użytkownik potrafi zweryfikować merytorycznie treści zawarte w takim podręczniku. Zastrzeżenia producentów oprogramowania dotyczące konieczności ujawniania informacji na temat funkcji jakie pełnią zbiory danych w architekturze oprogramowania są zasadne częściowo. Tylko w tym aspekcie, który dotyczy tych elementów systemu, które są autorskim rozwiązaniem producenta w zakresie technologicznego sposobu przetwarzania danych. Funkcje użytkowe systemu nie podlegają ochronie prawnej, ponieważ mają charakter pewnej przyjętej konwencji. Systemy finansowo-księgowe różnych producentów mają większość takich samych funkcji, co jest efektem ich dostosowania do regulacji, które mają wpływ na zawartość merytoryczną informacji wprowadzanych do takich systemów.
Niektóre przepisy dotyczące prowadzenia ksiąg rachunkowych przy użyciu komputera stoją jednak w pewnej sprzeczności z prawem autorskim. W dokumentacji rachunkowości jednostka powinna opisać system informatyczny wraz z opisem m.in. algorytmów i parametrów, według których system zabezpiecza dostęp do danych i je przetwarza. Producenci oprogramowania uważają, że pomysł na to jak funkcjonuje system, ma charakter wiedzy know how i objęty jest ochroną prawa autorskiego. W pewnym zakresie znowu mają rację. Tak sformułowany przepis będzie budził istotne zastrzeżenia. W tym miejscu należałoby zwrócić uwagę, że księgi rachunkowe to zbiory danych zawarte w systemie komputerowym, a nie całe oprogramowanie.
Jeżeli ustawodawcy chodzi o wszystkie algorytmy i parametry, które zapewniają użytkowanie systemu informatycznego, a nie tylko prawidłowe prowadzenie ksiąg rachunkowych, to jednostki nie są w stanie spełnić tego wymogu, a producenci oprogramowania chroniąc swój know-how nie są zainteresowani udzieleniem pomocy w tym zakresie. Dodatkowo, zarówno użytkownicy, jak i osoby przeprowadzające przegląd, atestację czy kontrole ksiąg rachunkowych nie są w stanie, bez pomocy producenta, zweryfikować algorytmów i parametrów, ani pod względem merytorycznym, ani pod względem ich kompletności i wpływu na prawidłowość działania systemu informatycznego. Praktyka pokazuje, że w celu spełnienia warunku ustawowego użytkownik zwraca się o wydanie przez producenta oprogramowania finansowo-księgowego, pisemnego oświadczenia o zgodności systemu z wymogami ustawy o rachunkowości, bez podawania szczegółów w tym zakresie.Takie rozwiązanie jednoznacznie wskazuje na niedoskonałość obowiązujących przepisów.
II część wywiadu:
JW: To jest właśnie ta kwestia, która nie jest uregulowana ani od strony producentów oprogramowania ani przeciętnego przedsiębiorcy i jego księgowego. Producenci oprogramowania dostarczają pewnych informacji, uważając, że są one zgodne z oczekiwaniami i spełniają wymóg ustawowy, natomiast księgowi czy biegli rewidenci uznają otrzymane informacje za wystarczające do spełnienia wymogu ustawowego.
Chciałabym jeszcze odnieść się do Pana słów w kwestii algorytmów, że te bardziej informatyczne algorytmy podlegają ochronie know how producenta, zatem w tej dokumentacji, którą dostarcza producent powinny być zawarte sposoby wyliczania takich wartości jak: sposób liczenia wynagrodzeń, wyliczania danych do deklaracji, odsetek, amortyzacji, czyli te tabele, algorytmy informatyczne są bardzo trudne do zweryfikowania przez księgowego, ale może się on posłużyć niektórymi algorytmami do opisania polityki rachunkowości.
JH: Tak, jednostka spełniając wymóg dokumentacji polityki rachunkowości powinna opisać te algorytmy i parametry, które mają wpływ na prowadzenie ksiąg rachunkowych, a nie całego systemu informatycznego. Przykładowe algorytmy, które wymagają opisu mogą dotyczyć sposobów wyznaczania amortyzacji bilansowej i podatkowej, rozliczania podatku VAT, identyfikacji przychodów i kosztów podatkowych i neutralnych podatkowo, naliczania odsetek, przeliczania operacji gospodarczych wyrażonych w walutach obcych na walutę krajową, sporządzania sprawozdań, automatycznego ujmowania i rozliczania w księgach rachunkowych wybranych operacji gospodarczych, tworzenia informacji szczegółowych zgodnie z ustalonymi kryteriami. Zatem, w tym zakresie, o którym rozmawiamy, przepisy powinny zostać doprecyzowane.
JW.:Porozmawiajmy teraz o prowadzeniu ksiąg rachunkowych z wykorzystaniem serwerów zewnętrznych. Jednostka może prowadzić księgi rachunkowe za pomocą serwerów znajdujących się poza jednostką. Czy ustawa określa warunki ich prowadzenia? Czy to wpisuje się w nową usługę jaką jest cloud computing?
W kontekście problemów, związanych z usługą cloud computing oraz wykorzystaniem serwerów zewnętrznych istotny jest art. 13 ust. 2, zgodnie z którym przy prowadzeniu ksiąg rachunkowych przy użyciu komputera za równoważne z nimi uważa się odpowiednio zasoby informacyjne rachunkowości zorganizowane w formie:
•oddzielnych komputerowych zbiorów danych,
•bazy danych,
•wyodrębnionych części baz danych. Mogą być one tworzone niezależnie od sposobu i miejsca
Warunkiem utrzymywania zasobów informacyjnych systemu rachunkowości w formie określonej w jest posiadanie przez jednostkę oprogramowania umożliwiającego uzyskiwanie czytelnych informacji w odniesieniu do zapisów dokonanych w księgach rachunkowych, poprzez ich wydrukowanie lub przeniesienie na informatyczny nośnik danych.
Zwróćmy uwagę, że nie ma ograniczenia dotyczącego sposobu użytkowania serwerów zewnętrznych. Takie serwery mogą być użytkowane np. na podstawie umowy dzierżawy. Ustawodawca nie określił jednak warunków, jakie powinny spełniać księgi rachunkowe prowadzone w taki sposób. Zatem, jednostkę obowiązują warunki uniwersalne wynikające z ustawy. W tym miejscu warto zwrócić uwagę na stanowisko Komitetu Standardów Rachunkowości w sprawie niektórych zasad prowadzenia ksiąg rachunkowych. Nie jest to co prawda ustawowy przepis, ale głos środowiska zawodowego profesjonalnie zajmującego się tym tematem. Wynika z niego, że księgi rachunkowe prowadzone przy wykorzystaniu serwera, który znajduje się poza miejscem prowadzenia ksiąg rachunkowych, uznaje się za prowadzone w sposób prawidłowy, jeżeli spełnione są co najmniej następujące warunki:
•jednostka sprawuje kontrolę nad księgami rachunkowymi oraz dokonanymi w nich zapisami;
•jednostka zapewnia identyczność ksiąg rachunkowych z kopią raportów otrzymanych przez łącze teletransmisyjne (przewodowe) oraz bezprzewodowe;
•księgi rachunkowe są prowadzone rzetelnie, bezbłędnie, sprawdzalnie i bieżąco,
•zapewnione jest jednoznaczne powiązanie zapisów w księgach rachunkowych z dowodami księgowymi;
•dane ksiąg rachunkowych są skutecznie chronione przed niedozwolonymi zmianami, nieupoważnionym dostępem, uszkodzeniem lub zniszczeniem;
•księgi rachunkowe są przez cały czas dostępne w miejscu prowadzenia ksiąg rachunkowych przez jednostkę;
•jednostka dysponuje wydrukiem ksiąg rachunkowych za okresy zamknięte lub ma zapisaną ich treść na innym trwałym nośniku komputerowym dostępnym i możliwym do odczytu w miejscu prowadzenia ksiąg rachunkowych przez jednostkę, przez czas nie krótszy od wymaganego na przechowanie ksiąg rachunkowych”.
Trzeba dodać, że wymienione warunki wskazują co należy wziąć pod uwagę korzystając z usługi Cloud komputing, a więc prowadzenia ksiąg rachunkowych w „chmurze” . W tym zakresie pojawiają się inne ważne problemy, chociażby związane z odpowiednim zawarciem umowy z usługodawcą na takich warunkach, aby spełnić wymagania związane z ciągłością ksiąg rachunkowych. Szczególny problem będzie się pojawiał przy zmianie dostawcy takiej usługi. Jednostka musi zapewnić sobie możliwość migracji danych pomiędzy systemami, zarówno danych bieżących, jak i archiwalnych. Trzeba będzie stworzyć procedurę umożliwiającą zamknięcie ksiąg rachunkowych u jednego usługodawcy i ich otwarcie zgodnie z wymaganymi regulacjami u drugiego usługodawcy. Szczególnego znaczenia nabiera w takiej sytuacji także ochrona systemu finansowo-księgowego oraz ochrona danych, w tym danych osobowych.
JW: Panie Doktorze, zatem ta stara już ustawa przygotowała się jednak na Cloud computing
JH: Tak. Narzekamy często na ustawodawcę w zakresie różnych przepisów, ale tej ustawy będę bronił, ponieważ ustawodawca nie pozostaje w tyle za pewnymi problemami, które zgłasza środowisko. Podstawa dostosowania określonych rozwiązań technologicznych jest stworzona, natomiast „diabeł tkwi w szczegółach” i te szczegóły musimy odpowiednio diagnozować i o nich rozmawiać. Ta dyskusja jest tym bardziej konstruktywna, jeśli odbywa się na styku ustawodawca, środowisko księgowych, biegłych rewidentów, dostawców i użytkownicy producentów oprogramowania finansowo-księgowego. I to jest najlepszy proces, który tworzy podstawę do nowelizacji przepisów. Zatem cloud computing możemy stosować, tylko musimy skonfigurować odpowiednio relacje cywilnoprawne z dostawcą, tak, aby zapewnić ciągłość prowadzenia ksiąg rachunkowych i ich jakość, o czym mówiłem wcześniej. Niezbędne są też zmiany innych przepisów, szczególnie tych, które dotyczą świadczenia usług w zakresie przechowywania dokumentacji pracowniczej sporządzonej w formie elektronicznej. Praca w „chmurze” staje się coraz bardziej powszechna zarówno w przypadku pojedynczych jednostek, jak i grupach kapitałowych.
JW: Ponadto pamiętać należy o kwestii ochrony systemu i danych...
JH: Zwróćmy uwagę na art. 71, który mówi o konieczności nie tylko zabezpieczenia dowodów księgowych, ksiąg rachunkowych, sprawozdań finansowych, ale także o zabezpieczeniu programów komputerowych i innych danych systemu informatycznego rachunkowości, poprzez stosowanie odpowiednich rozwiązań programowych i organizacyjnych.
JW: Tak, ale musimy jeszcze podkreślić, że prawo bilansowe wzmocnione jest w omawianym przez nas zakresie przez ustawę o ochronie danych osobowych. Jak zatem ten obszar systemów informatycznych regulowany jest w kontekście ustawy o rachunkowości na styku z ustawą o ochronie danych osobowych? Bo to jest taka fuzja tego co powinno zaegzystować u konkretnego przedsiębiorcy, użytkownika. Ustawa o ochronie danych osobowych stworzyła procedurę, w której domaga się konkretnych szczegółowych informacji, podaje wytyczne do instrukcji jaka powinna zaistnieć w danej jednostce i również obszar systemu, w którym przechowywane są dane informatyczne, w tym dane osobowe. Zatem jeśli chcemy zbudować szeroką instrukcję ochrony danych osobowych w firmie, która obejmuje wszystkie procedury to jest taki rozdział poświęcony właśnie danym informatycznym i są konkretne wytyczne w tym zakresie i producenci oprogramowania według tych instrukcji mają przygotować dane dla swojego klienta.
JH: Jest tu parę obowiązków: obowiązek opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych; obowiązek zatwierdzenia instrukcji i jej przyjęcia do stosowania przez administratora danych; obowiązek przekazania zawartych w instrukcji procedur i wytycznych osobom odpowiedzialnym za ich realizację stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności.
Instrukcja, o której mówimy powinna zawierać:
•informacje o systemach informatycznych, których ona dotyczy;
•lokalizacje systemów informatycznych;
•stosowane metody dostępu do systemów informatycznych (bezpośrednio z komputera, na którym system jest zainstalowany, poprzez sieć telekomunikacyjną np. łącze dzierżawione, Internet);
•zagadnienia dotyczące bezpieczeństwa informacji;
W zakres zagadnień dotyczących bezpieczeństwa informacji wchodzą:
•procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym;
•wskazanie osoby odpowiedzialnej za procedury nadawania uprawnień;
•stosowane środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem;
•procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
•procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
•sposób, miejsce i okres przechowywania - elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych,
•inne
Warto zwrócić uwagę, że jednostki podlegające badaniu przez biegłego rewidenta muszą wykazać, że ich system F-K spełnia warunki ochrony danych osobowych w pełnym zakresie
- jest to element pośredniego badania wiarygodności.
Dziękuję za rozmowę:
Jadwiga Wojtas
REKLAMA
REKLAMA
- Czytaj artykuły
- Rozwiązuj testy
- Zdobądź certyfikat