REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Warto wiedzieć » Jak chronić dane finansowe w środowisku informatycznym rachunkowości

Jak chronić dane finansowe w środowisku informatycznym rachunkowości

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
02 maja 2007, 05:00
Izabela Szczepankiewicz Elżbieta

REKLAMA

W informatycznych systemach prowadzenia ksiąg rachunkowych liczba elementów wywołujących zagrożenia jest znacznie większa niż w tradycyjnych, manualnych systemach rachunkowości. Zagrożenia te stają się coraz trudniejsze do przewidzenia i wykrycia, a ich skutki są trudne do usunięcia.

Audytorzy coraz większą uwagę zwracają na tzw. środowisko informatyczne rachunkowości i na kwestię prawidłowego zabezpieczenia danych finansowych.

 

REKLAMA

REKLAMA

Autopromocja
Instrukcje KSeF
KSeF w biurze rachunkowym - Poradnik Gazety Prawnej
Szkolenie: Zmiany podatkowe 2026: VAT, CIT, PIT oraz nowe obowiązki w zakresie JPK i KSeF


W rozumieniu Międzynarodowych Standardów Rewizji Finansowej (MSRF) środowisko systemów informatycznych rachunkowości istnieje, gdy komputer określonego rodzaju i pojemności operacyjnej został przez firmę włączony w proces przetwarzania informacji finansowych o istotnym znaczeniu dla rewizji - niezależnie od tego, czy komputer ten działa w samym przedsiębiorstwie, czy też używa go strona trzecia (np. w warunkach zleconego prowadzenia ksiąg rachunkowych).


Audytor w szczególności zwróci uwagę na najczęściej występujące zagrożenia bezpieczeństwa danych, które wiążą się z:

l dostępem do systemu informatycznego przez osoby nieuprawnione

REKLAMA

Szkolenie: KSeF w biurze rachunkowym – wdrożenie, umowy, procedury i modele współpracy z klientem
Autopromocja

Szkolenie:
KSeF w biurze rachunkowym – wdrożenie, umowy, procedury i modele współpracy z klientem

Sprawdź

l niewłaściwym postępowaniem z nośnikami danych, zarówno papierowymi, jak i elektronicznymi

Dalszy ciąg materiału pod wideo

l możliwością ujawnienia identyfikatora i hasła użytkownika innym osobom

l możliwością podglądu zawartości ekranu monitora przez osoby nieuprawnione

l stosowaniem korupcji oraz szantażu wobec pracowników firmy w celu wydobycia informacji

l zagubieniem dokumentów lub nośników danych

l błędami podczas wprowadzania danych przez operatorów

l uszkodzeniem nośników magnetycznych

l błędami procedur przetwarzania, działaniem oprogramowania niezgodnym ze specyfikacją lub brakiem specyfikacji określającej algorytmy przetwarzania danych

l utratą integralności danych na skutek awarii sprzętu lub oprogramowania

l możliwością dokonania fałszerstwa danych lub nadużycia danych

l działaniem wirusów, robaków i innego szkodliwego oprogramowania

hackingiem, podsłuchem linii transmisyjnych, podsłuchem akustycznym, działaniem oprogramowania szpiegowskiego (tzw. Spyware)

l utratą integralności danych podczas transmisji danych

l możliwością wystąpienia różnego typu awarii: zasilania elektrycznego, oprogramowania systemowego, oprogramowania użytkowego, sprzętu komputerowego, okablowania lub urządzeń sieci lokalnej lub rozległej

l kradzieżą sprzętu lub nośników

l niewłaściwym użytkowaniem sprzętu komputerowego

l niezachowaniem parametrów środowiskowych dla eksploatacji sprzętu komputerowego (awaria klimatyzacji, nadmierne nasłonecznienie, nadmierna wilgotność)

l uszkodzeniem łączy transmisyjnych

l usunięciem danych na skutek błędu użytkowników lub administratorów systemów

l celowym lub przypadkowym zniszczeniem danych na skutek impulsu elektromagnetycznego

l niedostosowaniem wydajności systemu lub pojemności systemu do potrzeb firmy

l zniszczeniem systemu na skutek powodzi, pożaru, zalania, zadymienia i innych zdarzeń losowych


Cechą charakterystyczną zastosowania komputerów w rachunkowości jest koncentracja funkcji i wiedzy personelu. Polega ona na tym, że liczba osób zaangażowanych przy przetwarzaniu danych księgowych jest znacznie mniejsza niż w środowisku tradycyjnym. Może to nieść ze sobą zagrożenia (np. personel, znając dokładnie system, a także zdając sobie sprawę z niedoskonałości mechanizmów kontroli wewnętrznej, może zmieniać programy lub dane podczas ich przechowywania bądź przetwarzania). Niebezpieczeństwo takie istnieje zwłaszcza wtedy, gdy nie występuje kontrola oparta na podziale funkcji lub gdy nie jest ona dość skuteczna.


Do grupy osób wpływających pośrednio na działanie omawianego systemu należą też wszyscy projektujący i konstruujący sprzęt, oprogramowanie systemowe i dokumentację systemu informatycznego. Ingerować w system, zarówno w sposób bezpośredni, jak i pośredni, przejmując nielegalnie funkcje osób uprawnionych, mogą również tzw. hakerzy.


Polityka bezpieczeństwa zasobów informatycznych w firmie powinna uwzględniać dwa aspekty:

1) zagrożenia związane z elementami środowiska informatycznego wewnątrz podmiotu,

2) ryzyko płynące z zewnątrz podmiotu, a związane np. z dostępem do sieci publicznych (Internet) czy przetwarzaniem rozproszonym.


Przy opracowywaniu zasad bezpieczeństwa zasobów informatycznych pierwszym aspektem analizy powinny być ryzyka wewnętrzne, które wiążą się z zasobami informatycznymi. Przede wszystkim przy braku stosowania odpowiednich zasad ochrony zasobów informatycznych podmiotu istnieje możliwość uszkodzenia lub zniszczenia komputerowych zbiorów danych, oprogramowania lub sprzętu komputerowego.

Niewłaściwie skonfigurowane lub źle zabezpieczone sieci lokalne (w których pracują podsystemy informatyczne rachunkowości), czy nawet jednostanowiskowy, niedopracowany system ewidencji księgowej mogą dawać pełną gamę możliwości przekłamań, błędów i nadużyć, a niekiedy prowadzić do przestępstw komputerowych.


Część procedur kontroli wewnętrznej w systemie informatycznym rachunkowości może być realizowana programowo. Jeśli przewidziano odpowiednie mechanizmy kontroli, w zbiorach danych zapisywane są operacje spełniające warunki kontroli, natomiast treści błędne są na ogół odrzucane przez system. Użytkownik systemu finansowo-księgowego spotyka się z programowymi kontrolami poprawności ujawniającymi się podczas ewidencji operacji gospodarczych w systemie.


Gdy program komputerowy nie został przetestowany na etapie wdrożenia, może konsekwentnie niewłaściwie przetwarzać dane w operacjach, dla których stworzono błędne algorytmy lub parametry przetwarzania.

Przetwarzanie danych w systemie może być wsadowe lub bieżące. Przetwarzanie wsadowe polega na tym, że zaewidencjonowane operacje zapisywane są w plikach, w których przechowywane są do momentu księgowania. Księgowanie wykonuje się okresowo (np. raz w miesiącu). Zaletą tej metody jest możliwość sprawdzenia i poprawienia danych przed księgowaniem. Natomiast wadą to, że aktualizowanie zbiorów danych następuje dopiero w momencie księgowania.


Podczas przetwarzania bieżącego zaletą jest to, że nie gromadzi się plików dokumentów oraz nie ogranicza się ich terminami przetwarzania. Każde zarejestrowane zdarzenie automatycznie aktualizuje wszystkie związane z nim zbiory w bazie danych - powiązane z nim salda kont, wykazy sald i obrotów, bilans oraz rachunek zysków i strat. Jednak w przypadku wprowadzenia błędnej danej mogą wystąpić błędy na różnych kontach i w różnych zbiorach.


Praktyka wypracowała jeszcze jeden system przetwarzania danych (tzw. system aktualizacji w „tle”) łączący elementy przetwarzania wsadowego i bieżącego. Jest to proces aktualizacji bezpośredniej zbioru „memo” z odłożonym w czasie procesem przetwarzania. Łączy on zalety obydwóch systemów. Pojedyncze operacje (lub dowody zbiorcze) wprowadza się do dokumentów w tzw. buforze (pamięci tymczasowej), a następnie przechowuje się je do momentu zaksięgowania. W przypadku większości zintegrowanych systemów na tym etapie system pozwala tworzyć wydruki próbne sprawozdań czy obrotów na kontach księgi głównej, zaktualizowane o operacje niezaksięgowane (po zaznaczeniu opcji uwzględnienia danych z bufora). Po dokładnym sprawdzeniu, uzupełnieniu i poprawieniu błędów okresowo przeprowadza się księgowanie dokumentów (np. w końcu miesiąca). Wówczas ostatecznie aktualizuje się księga główna.


Następną cechą, która może mieć zarówno pozytywne, jak i negatywne skutki, jest możliwość generowania operacji księgowych przez system informatyczny (np. automatyczne naliczanie odsetek, amortyzacji czy rozliczanie kosztów). Operacja ta może być inicjowana przez system automatycznie na podstawie odpowiednich danych, parametrów i procedur programowych. Ze względu na brak „ścieżki rewizyjnej” obie te sytuacje utrudniają rewizję finansową.


Coraz częściej mamy także do czynienia z wprowadzaniem do systemu informatycznego rachunkowości danych bez towarzyszących im dokumentów księgowych. W takiej sytuacji oprócz trudności związanych z badaniem śladu rewizyjnego można napotkać problem niemożności zweryfikowania wyników procedur dokonywanych w systemie (szczególnie w przetwarzaniu wielofazowym), jeśli nie są w nim sporządzane na papierze wydruki kontrolne.


Wraz z rozwojem technologii i wiedzy oraz dostępem do sieci publicznych (Internet, poczta elektroniczna, usługi bankowe itp.) pojawiają się nowe zagrożenia dotyczące bezpieczeństwa komunikacji, sieci i danych.

Audytor zwróci uwagę w szczególności na ryzyko pozyskiwania i wykorzystania informacji wewnętrznych podmiotu i wykorzystania ich przez szpiegów przemysłowych czy inne nieupoważnione osoby.


Zwiększenie bezpieczeństwa zasobów informatycznych powinno być jedną z głównych dziedzin zainteresowania kierownictwa firmy. Wymaga prowadzenia ciągłej analizy ryzyka systemów informatycznych i systemu zabezpieczeń. Kierownictwo powinno identyfikować te informacje i drogi ich obiegu, których utrata lub ujawnienie mogą być szkodliwe dla firmy, powodować naruszenie zaufania inwestorów, skutki prawne, utratę wizerunku firmy na rynku i pogłębić trudności finansowe.


W 2005 r. pojawiły się dwa nowe zagrożenia dla bezpieczeństwa informacji, określane jako „phishing” i „pharming”, polegające na nakłanianiu ludzi do ujawniania poufnych informacji przy użyciu fałszywej poczty elektronicznej i fałszywych stron internetowych. Te dwie formy ataków są ukierunkowane na pracowników firm. Istotną rolę w zmniejszeniu tego ryzyka może odegrać ścisła weryfikacja klientów, szkolenia pracowników i wiedza o potencjalnych zagrożeniach. Tymczasem, jak wykazało badanie przeprowadzone przez Deloitte, szkolenia i wiedza w zakresie bezpieczeństwa nie są uznawane przez zarządy za zagadnienia kluczowe. Szkolenia lub inne przedsięwzięcia poszerzające wiedzę w tym zakresie planuje na najbliższe 12 miesięcy mniej niż połowa (46%) respondentów. Niepokojący jest także fakt, że szkolenia i poszerzanie wiedzy o potencjalnych zagrożeniach znalazły się na końcu listy priorytetowych zagadnień związanych z bezpieczeństwem informacji. Respondenci cenią wyżej przestrzeganie procedur (74%), raportowanie i pomiary (61%). Te wyniki znalazły też odzwierciedlenie w planach inwestycyjnych instytucji finansowych w zakresie bezpieczeństwa: najwięcej pieniędzy ma zostać przeznaczonych na narzędzia zabezpieczające (64%), podczas gdy jedynie 15% - na szkolenia i zwiększanie wiedzy pracowników.


Kilkanaście miesięcy temu autorka przeprowadziła badania na próbie 107 dużych, średnich i małych polskich podmiotów. Z badań wynika, że 53% urzędów, 40% firm oraz 63% banków doświadczyło niespodziewanej przerwy w działaniu systemów rachunkowości w ciągu 12 ostatnich miesięcy. Z tego tylko 61% przedsiębiorstw i urzędów oprócz usuwania skutków bada także przyczyny niedostępności systemów informatycznych.


Respondenci podali, że przyczyną 43% przypadków niedostępności systemów informatycznych rachunkowości są wirusy i inne szkodliwe programy, 33% jest wynikiem awarii oprogramowania, 33% - awarii sprzętu komputerowego, w 27% przyczyną jest niedostateczna wydajność systemów, 10% stanowią błędy obsługi powodowane przez użytkowników, aż 10% to celowe działania pracowników, a tylko 2% to ataki hakerów.

Aż w 42% podmiotów nie opracowano dokumentów (procedur, instrukcji, szczegółowych polityk) opisujących system bezpieczeństwa danych informatycznych, a 51% podmiotów nie posiada procedur awaryjnych dla systemów informatycznych rachunkowości.


Spośród badanych podmiotów 43% z nich nie organizuje żadnych szkoleń dla pracowników w zakresie bezpieczeństwa danych informatycznych, a 32% podmiotów organizuje szkolenia jednorazowe. Nowo zatrudnionych użytkowników systemów w zakresie bezpieczeństwa danych informatycznych szkoli tylko 37% podmiotów.


Podstawa prawna:
- MSRF Nr 401 w: Międzynarodowe Standardy Rewizji Finansowej 2001, International Federation of Accountants, Stowarzyszenie Księgowych w Polsce, Warszawa 2001.


dr Elżbieta Izabela Szczepankiewicz

audytor wewnętrzny, wykładowca WSHiR w Poznaniu

 
 
Źródło: Biuletyn Rachunkowości
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Księgowość
Zewnętrzne finansowanie filmu bez VAT? Przełomowy wyrok WSA wyznacza granice opodatkowania
16 gru 2025

Nie każdy przepływ pieniędzy musi oznaczać VAT. Wojewódzki Sąd Administracyjny w Gdańsku uznał, że zewnętrzne finansowanie produkcji filmu z udziałem w zyskach nie stanowi usługi opodatkowanej VAT. Wyrok ma znaczenie nie tylko dla branży filmowej, ale także dla wszystkich projektów finansowanych partnersko, gdzie strony wspólnie ponoszą ryzyko, a środki nie są zapłatą za konkretne świadczenie.
AliExpress, Temu i inne chińskie internetowe platformy handlowe wygrywają konkurencję w Polsce i Europie. e-Izba: bo nie muszą przestrzegać prawa UE
16 gru 2025

Chińskie internetowe platformy handlowe zwiększają udziały w polskim rynku; przewagę zapewnia im w szczególności to, że nie muszą przestrzegać przepisów Unii Europejskiej - informuje Izba Gospodarki Elektronicznej (e-Izba). W jej ocenie, aby polski e-commerce mógł się rozwijać, konieczne są zmiany przepisów.
Zmiany w PIT i CIT od 2026 roku: tylko jeden warunek przyspieszonej amortyzacja środków trwałych (budynków i budowli) w gminach o wysokim bezrobociu
16 gru 2025

W dniu 15 grudnia 2025 r. Prezydent Karol Nawrocki podpisał nowelizację ustawy o PIT i ustawy o CIT, która ma ułatwić stosowanie przez przedsiębiorców przyspieszonej amortyzacji budynków i budowli w gminach o podwyższonym wskaźniku bezrobocia.
Obowiązkowy KSeF: faktury z załącznikami już od stycznia 2026 roku
16 gru 2025

KSeF wchodzi w kolejny etap rozwoju. Już 1 stycznia 2026 roku w e-Urzędzie Skarbowym (eUS) ruszy moduł zgłoszeń umożliwiający przedsiębiorcom deklarowanie chęci wystawiania faktur z załącznikami. To ważna nowość dla firm, które pracują na rozbudowanych danych i potrzebują uzupełniać e-faktury o dodatkowe informacje.

REKLAMA

Procedury specjalne na wypadek awarii KSeF lub braku dostępu (tryb offline w 3 wariantach). MFiG: nie będzie przesunięcia terminów wdrożenia systemu
13 gru 2025

Ministerstwo Finansów nie rozważa przesunięcia terminu obowiązkowego uruchomienia KSeF, poinformował 11 grudnia 2025 r. przedstawiciel resortu w odpowiedzi na interpelację poselską. Zdaniem Ministerstwa KSeF w wersji demonstracyjnej jest stabilny i pewny w działaniu. Ponadto poinformowano, że nie są planowane zmiany odnośnie zasad uwierzytelnienia w KSeF. Jednocześnie Zastępca Szefa KAS przekazał kilka ważnych informacji, m.in. dot. funkcjonowania procedur specjalnych na wypadek awarii KSeF.
Młody influencer nie zawsze skorzysta z preferencji podatkowych. Trzeba o tym wiedzieć, by nie narazić się na problemy podatkowe
15 gru 2025

Przychody osób poniżej 26 roku życia mogą korzystać na gruncie podatku dochodowego od osób fizycznych ze zwolnienia przedmiotowego. Chodzi jednak tylko o przychody z określonych źródeł. Aby nie narazić się na problemy podatkowe, trzeba umieć je odróżnić.
Do tych transakcji nie będzie obowiązku wystawiania faktur ustrukturyzowanych w KSeF w 2026 r. MFiG wydał nowe rozporządzenie
16 gru 2025

Minister Finansów i Gospodarki (MFiG) w rozporządzeniu z 7 grudnia 2025 r. określił przypadki odpowiednio udokumentowanych dostaw towarów lub świadczenia usług, w których nie ma obowiązku wystawiania faktur ustrukturyzowanych, oraz przypadki, w których mimo braku obowiązku można wystawiać faktury ustrukturyzowane. Rozporządzenie to wejdzie w życie 1 lutego 2026 r.
Rząd potwierdził podstawę składek ZUS na 2026 rok. O ile wzrosną koszty zatrudnienia? Obliczenia na przykładzie wynagrodzeń kierowców w transporcie międzynarodowym
11 gru 2025

Rząd potwierdził wysokość przeciętnego prognozowanego wynagrodzenia, które w 2026 r. będzie wynosić 9 420 zł. To ważna informacja dla branży transportowej, ponieważ to właśnie od tej kwoty najczęściej naliczane są składki ZUS kierowców wykonujących przewozy międzynarodowe. Dla przedsiębiorców funkcjonujących w warunkach utrzymującej się presji finansowej oznacza to kolejny zauważalny wzrost kosztów. W praktyce może to zwiększyć miesięczne wydatki na jednego kierowcę nawet o kilkaset złotych.

REKLAMA

11 tys. zł oszczędności na jednym samochodzie firmowym. Trzeba zdążyć z leasingiem finansowym do końca 2025 roku: 1-2 tygodnie na formalności. Czasem leasing operacyjny jednak bardziej się opłaca
13 gru 2025

Nawet 11.000,- zł może zaoszczędzić przedsiębiorca, który kupi popularny samochód przed końcem 2025 roku korzystając z leasingu finansowego, a następnie będzie go amortyzował przez 5 lat – wynika z symulacji przygotowanej przez InFakt oraz Superauto.pl. Bowiem1 stycznia 2026 r. wchodzą w życie nowe zasady odliczeń wydatków związanych z samochodem firmowym. Istotnie zmieni się limit określający maksymalną cenę pojazdu umożliwiającą pełne rozliczenie odpisów amortyzacyjnych, a także wydatków związanych z leasingiem lub wynajem aut spalinowych w kosztach uzyskania przychodów. Niekorzystane zmiany dotkną 93% rynku nowych aut – wynika z szacunków Superauto.pl.
Jak poprawiać błędy w fakturach VAT w KSeF? Od lutego 2026 r. koniec z prostą korektą faktury
12 gru 2025

Wątpliwości związanych z KSeF jest bardzo dużo, ale niektóre znacząco wysuwają się na prowadzenie. Z badania zrealizowanego przez fillup k24 wynika, że co 3. księgowy obawia się sytuacji nietypowych, m.in. trudności w przypadku korekt. Obawy są zasadne, bo już od 1 lutego 2026 r. popularne noty korygujące nie będą miały żadnej mocy. Co w zamian? Jak poradzić sobie z częstymi, drobnymi pomyłkami na fakturach? Ile pracy dojdzie księgowym? Ekspert omawia trzy najczęstsze pytania związane z poprawianiem błędów.
Zapisz się na newsletter
Chcesz uniknąć błędów? Być na czasie z najnowszymi zmianami w podatkach? Zapisz się na nasz newsletter i otrzymuj rzetelne informacje prosto na swoją skrzynkę.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA