REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Warto wiedzieć » Jak chronić dane finansowe w środowisku informatycznym rachunkowości

Jak chronić dane finansowe w środowisku informatycznym rachunkowości

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
02 maja 2007, 05:00
Izabela Szczepankiewicz Elżbieta

REKLAMA

W informatycznych systemach prowadzenia ksiąg rachunkowych liczba elementów wywołujących zagrożenia jest znacznie większa niż w tradycyjnych, manualnych systemach rachunkowości. Zagrożenia te stają się coraz trudniejsze do przewidzenia i wykrycia, a ich skutki są trudne do usunięcia.

Audytorzy coraz większą uwagę zwracają na tzw. środowisko informatyczne rachunkowości i na kwestię prawidłowego zabezpieczenia danych finansowych.

 

REKLAMA

Autopromocja
Instrukcje księgowego. 100 praktycznych procedur z bazą narzędzi online
KSeF w biurze rachunkowym - Poradnik Gazety Prawnej
Webinar: KSeF – co nas czeka w praktyce?


W rozumieniu Międzynarodowych Standardów Rewizji Finansowej (MSRF) środowisko systemów informatycznych rachunkowości istnieje, gdy komputer określonego rodzaju i pojemności operacyjnej został przez firmę włączony w proces przetwarzania informacji finansowych o istotnym znaczeniu dla rewizji - niezależnie od tego, czy komputer ten działa w samym przedsiębiorstwie, czy też używa go strona trzecia (np. w warunkach zleconego prowadzenia ksiąg rachunkowych).


Audytor w szczególności zwróci uwagę na najczęściej występujące zagrożenia bezpieczeństwa danych, które wiążą się z:

l dostępem do systemu informatycznego przez osoby nieuprawnione

Szkolenie: Podatki i rachunkowość w budownictwie i deweloperce
Autopromocja

Szkolenie:
Podatki i rachunkowość w budownictwie i deweloperce

Sprawdź

l niewłaściwym postępowaniem z nośnikami danych, zarówno papierowymi, jak i elektronicznymi

Dalszy ciąg materiału pod wideo

l możliwością ujawnienia identyfikatora i hasła użytkownika innym osobom

l możliwością podglądu zawartości ekranu monitora przez osoby nieuprawnione

Szkolenie: Jak przygotować się do KSeF?
Autopromocja

Szkolenie: Jak przygotować się do KSeF?

Sprawdź

l stosowaniem korupcji oraz szantażu wobec pracowników firmy w celu wydobycia informacji

l zagubieniem dokumentów lub nośników danych

Jak przygotować się do zmian 2025. Podatki. Rachunkowość. ZUS
Autopromocja

Jak przygotować się do zmian 2025.
Podatki. Rachunkowość. ZUS

Sprawdź

l błędami podczas wprowadzania danych przez operatorów

l uszkodzeniem nośników magnetycznych

l błędami procedur przetwarzania, działaniem oprogramowania niezgodnym ze specyfikacją lub brakiem specyfikacji określającej algorytmy przetwarzania danych

l utratą integralności danych na skutek awarii sprzętu lub oprogramowania

l możliwością dokonania fałszerstwa danych lub nadużycia danych

l działaniem wirusów, robaków i innego szkodliwego oprogramowania

hackingiem, podsłuchem linii transmisyjnych, podsłuchem akustycznym, działaniem oprogramowania szpiegowskiego (tzw. Spyware)

l utratą integralności danych podczas transmisji danych

l możliwością wystąpienia różnego typu awarii: zasilania elektrycznego, oprogramowania systemowego, oprogramowania użytkowego, sprzętu komputerowego, okablowania lub urządzeń sieci lokalnej lub rozległej

l kradzieżą sprzętu lub nośników

l niewłaściwym użytkowaniem sprzętu komputerowego

l niezachowaniem parametrów środowiskowych dla eksploatacji sprzętu komputerowego (awaria klimatyzacji, nadmierne nasłonecznienie, nadmierna wilgotność)

l uszkodzeniem łączy transmisyjnych

l usunięciem danych na skutek błędu użytkowników lub administratorów systemów

l celowym lub przypadkowym zniszczeniem danych na skutek impulsu elektromagnetycznego

l niedostosowaniem wydajności systemu lub pojemności systemu do potrzeb firmy

l zniszczeniem systemu na skutek powodzi, pożaru, zalania, zadymienia i innych zdarzeń losowych

REKLAMA


Cechą charakterystyczną zastosowania komputerów w rachunkowości jest koncentracja funkcji i wiedzy personelu. Polega ona na tym, że liczba osób zaangażowanych przy przetwarzaniu danych księgowych jest znacznie mniejsza niż w środowisku tradycyjnym. Może to nieść ze sobą zagrożenia (np. personel, znając dokładnie system, a także zdając sobie sprawę z niedoskonałości mechanizmów kontroli wewnętrznej, może zmieniać programy lub dane podczas ich przechowywania bądź przetwarzania). Niebezpieczeństwo takie istnieje zwłaszcza wtedy, gdy nie występuje kontrola oparta na podziale funkcji lub gdy nie jest ona dość skuteczna.


Do grupy osób wpływających pośrednio na działanie omawianego systemu należą też wszyscy projektujący i konstruujący sprzęt, oprogramowanie systemowe i dokumentację systemu informatycznego. Ingerować w system, zarówno w sposób bezpośredni, jak i pośredni, przejmując nielegalnie funkcje osób uprawnionych, mogą również tzw. hakerzy.


Polityka bezpieczeństwa zasobów informatycznych w firmie powinna uwzględniać dwa aspekty:

1) zagrożenia związane z elementami środowiska informatycznego wewnątrz podmiotu,

2) ryzyko płynące z zewnątrz podmiotu, a związane np. z dostępem do sieci publicznych (Internet) czy przetwarzaniem rozproszonym.

REKLAMA


Przy opracowywaniu zasad bezpieczeństwa zasobów informatycznych pierwszym aspektem analizy powinny być ryzyka wewnętrzne, które wiążą się z zasobami informatycznymi. Przede wszystkim przy braku stosowania odpowiednich zasad ochrony zasobów informatycznych podmiotu istnieje możliwość uszkodzenia lub zniszczenia komputerowych zbiorów danych, oprogramowania lub sprzętu komputerowego.

Niewłaściwie skonfigurowane lub źle zabezpieczone sieci lokalne (w których pracują podsystemy informatyczne rachunkowości), czy nawet jednostanowiskowy, niedopracowany system ewidencji księgowej mogą dawać pełną gamę możliwości przekłamań, błędów i nadużyć, a niekiedy prowadzić do przestępstw komputerowych.


Część procedur kontroli wewnętrznej w systemie informatycznym rachunkowości może być realizowana programowo. Jeśli przewidziano odpowiednie mechanizmy kontroli, w zbiorach danych zapisywane są operacje spełniające warunki kontroli, natomiast treści błędne są na ogół odrzucane przez system. Użytkownik systemu finansowo-księgowego spotyka się z programowymi kontrolami poprawności ujawniającymi się podczas ewidencji operacji gospodarczych w systemie.


Gdy program komputerowy nie został przetestowany na etapie wdrożenia, może konsekwentnie niewłaściwie przetwarzać dane w operacjach, dla których stworzono błędne algorytmy lub parametry przetwarzania.

Przetwarzanie danych w systemie może być wsadowe lub bieżące. Przetwarzanie wsadowe polega na tym, że zaewidencjonowane operacje zapisywane są w plikach, w których przechowywane są do momentu księgowania. Księgowanie wykonuje się okresowo (np. raz w miesiącu). Zaletą tej metody jest możliwość sprawdzenia i poprawienia danych przed księgowaniem. Natomiast wadą to, że aktualizowanie zbiorów danych następuje dopiero w momencie księgowania.


Podczas przetwarzania bieżącego zaletą jest to, że nie gromadzi się plików dokumentów oraz nie ogranicza się ich terminami przetwarzania. Każde zarejestrowane zdarzenie automatycznie aktualizuje wszystkie związane z nim zbiory w bazie danych - powiązane z nim salda kont, wykazy sald i obrotów, bilans oraz rachunek zysków i strat. Jednak w przypadku wprowadzenia błędnej danej mogą wystąpić błędy na różnych kontach i w różnych zbiorach.


Praktyka wypracowała jeszcze jeden system przetwarzania danych (tzw. system aktualizacji w „tle”) łączący elementy przetwarzania wsadowego i bieżącego. Jest to proces aktualizacji bezpośredniej zbioru „memo” z odłożonym w czasie procesem przetwarzania. Łączy on zalety obydwóch systemów. Pojedyncze operacje (lub dowody zbiorcze) wprowadza się do dokumentów w tzw. buforze (pamięci tymczasowej), a następnie przechowuje się je do momentu zaksięgowania. W przypadku większości zintegrowanych systemów na tym etapie system pozwala tworzyć wydruki próbne sprawozdań czy obrotów na kontach księgi głównej, zaktualizowane o operacje niezaksięgowane (po zaznaczeniu opcji uwzględnienia danych z bufora). Po dokładnym sprawdzeniu, uzupełnieniu i poprawieniu błędów okresowo przeprowadza się księgowanie dokumentów (np. w końcu miesiąca). Wówczas ostatecznie aktualizuje się księga główna.


Następną cechą, która może mieć zarówno pozytywne, jak i negatywne skutki, jest możliwość generowania operacji księgowych przez system informatyczny (np. automatyczne naliczanie odsetek, amortyzacji czy rozliczanie kosztów). Operacja ta może być inicjowana przez system automatycznie na podstawie odpowiednich danych, parametrów i procedur programowych. Ze względu na brak „ścieżki rewizyjnej” obie te sytuacje utrudniają rewizję finansową.


Coraz częściej mamy także do czynienia z wprowadzaniem do systemu informatycznego rachunkowości danych bez towarzyszących im dokumentów księgowych. W takiej sytuacji oprócz trudności związanych z badaniem śladu rewizyjnego można napotkać problem niemożności zweryfikowania wyników procedur dokonywanych w systemie (szczególnie w przetwarzaniu wielofazowym), jeśli nie są w nim sporządzane na papierze wydruki kontrolne.


Wraz z rozwojem technologii i wiedzy oraz dostępem do sieci publicznych (Internet, poczta elektroniczna, usługi bankowe itp.) pojawiają się nowe zagrożenia dotyczące bezpieczeństwa komunikacji, sieci i danych.

Audytor zwróci uwagę w szczególności na ryzyko pozyskiwania i wykorzystania informacji wewnętrznych podmiotu i wykorzystania ich przez szpiegów przemysłowych czy inne nieupoważnione osoby.


Zwiększenie bezpieczeństwa zasobów informatycznych powinno być jedną z głównych dziedzin zainteresowania kierownictwa firmy. Wymaga prowadzenia ciągłej analizy ryzyka systemów informatycznych i systemu zabezpieczeń. Kierownictwo powinno identyfikować te informacje i drogi ich obiegu, których utrata lub ujawnienie mogą być szkodliwe dla firmy, powodować naruszenie zaufania inwestorów, skutki prawne, utratę wizerunku firmy na rynku i pogłębić trudności finansowe.


W 2005 r. pojawiły się dwa nowe zagrożenia dla bezpieczeństwa informacji, określane jako „phishing” i „pharming”, polegające na nakłanianiu ludzi do ujawniania poufnych informacji przy użyciu fałszywej poczty elektronicznej i fałszywych stron internetowych. Te dwie formy ataków są ukierunkowane na pracowników firm. Istotną rolę w zmniejszeniu tego ryzyka może odegrać ścisła weryfikacja klientów, szkolenia pracowników i wiedza o potencjalnych zagrożeniach. Tymczasem, jak wykazało badanie przeprowadzone przez Deloitte, szkolenia i wiedza w zakresie bezpieczeństwa nie są uznawane przez zarządy za zagadnienia kluczowe. Szkolenia lub inne przedsięwzięcia poszerzające wiedzę w tym zakresie planuje na najbliższe 12 miesięcy mniej niż połowa (46%) respondentów. Niepokojący jest także fakt, że szkolenia i poszerzanie wiedzy o potencjalnych zagrożeniach znalazły się na końcu listy priorytetowych zagadnień związanych z bezpieczeństwem informacji. Respondenci cenią wyżej przestrzeganie procedur (74%), raportowanie i pomiary (61%). Te wyniki znalazły też odzwierciedlenie w planach inwestycyjnych instytucji finansowych w zakresie bezpieczeństwa: najwięcej pieniędzy ma zostać przeznaczonych na narzędzia zabezpieczające (64%), podczas gdy jedynie 15% - na szkolenia i zwiększanie wiedzy pracowników.


Kilkanaście miesięcy temu autorka przeprowadziła badania na próbie 107 dużych, średnich i małych polskich podmiotów. Z badań wynika, że 53% urzędów, 40% firm oraz 63% banków doświadczyło niespodziewanej przerwy w działaniu systemów rachunkowości w ciągu 12 ostatnich miesięcy. Z tego tylko 61% przedsiębiorstw i urzędów oprócz usuwania skutków bada także przyczyny niedostępności systemów informatycznych.


Respondenci podali, że przyczyną 43% przypadków niedostępności systemów informatycznych rachunkowości są wirusy i inne szkodliwe programy, 33% jest wynikiem awarii oprogramowania, 33% - awarii sprzętu komputerowego, w 27% przyczyną jest niedostateczna wydajność systemów, 10% stanowią błędy obsługi powodowane przez użytkowników, aż 10% to celowe działania pracowników, a tylko 2% to ataki hakerów.

Aż w 42% podmiotów nie opracowano dokumentów (procedur, instrukcji, szczegółowych polityk) opisujących system bezpieczeństwa danych informatycznych, a 51% podmiotów nie posiada procedur awaryjnych dla systemów informatycznych rachunkowości.


Spośród badanych podmiotów 43% z nich nie organizuje żadnych szkoleń dla pracowników w zakresie bezpieczeństwa danych informatycznych, a 32% podmiotów organizuje szkolenia jednorazowe. Nowo zatrudnionych użytkowników systemów w zakresie bezpieczeństwa danych informatycznych szkoli tylko 37% podmiotów.


Podstawa prawna:
- MSRF Nr 401 w: Międzynarodowe Standardy Rewizji Finansowej 2001, International Federation of Accountants, Stowarzyszenie Księgowych w Polsce, Warszawa 2001.


dr Elżbieta Izabela Szczepankiewicz

audytor wewnętrzny, wykładowca WSHiR w Poznaniu

 
 
Zapisz się na newsletter
Chcesz uniknąć błędów? Być na czasie z najnowszymi zmianami w podatkach? Zapisz się na nasz newsletter i otrzymuj rzetelne informacje prosto na swoją skrzynkę.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: Biuletyn Rachunkowości
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Inflacja w Polsce w 2025, 2026 i 2027 roku - prognozy NBP
02 lip 2025

Inflacja CPI w Polsce z 50-proc. prawdopodobieństwem ukształtuje się w 2025 r. w przedziale 3,5-4,4 proc., w 2026 r. w przedziale 1,7-4,5 proc., a w 2027 r. w przedziale 0,9-3,8 proc. - tak wynika z najnowszej projekcji Departamentu Analiz Ekonomicznych NBP z lipca 2025 r. Projekcja ta uwzględnia dane dostępne do 9 czerwca br.
Kiedy trzeba zapłacić podatek od prezentu ślubnego? Prawo rozróżnia 3 kategorie darczyńców i 3 limity wartości darowizn
02 lip 2025

Dla nowożeńców – prezent, dla Urzędu Skarbowego – podstawa opodatkowania. Fiskus przewidział dla darowizn konkretne przepisy prawa podatkowego i lepiej je znać, zanim wpędzimy się w kłopoty, zostawiając grube rysy na pięknych ślubnych wspomnieniach. Szczególnie kłopotliwa może być gotówka. Monika Piątkowska, doradca podatkowy w e-pity.pl i fillup.pl tłumaczy, co zrobić z weselnymi kopertami i kosztownymi podarunkami.
Stopy procentowe NBP 2025: w lipcu obniżka o 0,25 pkt proc.
02 lip 2025

Rada Polityki Pieniężnej na posiedzeniu w dniach 1-2 lipca 2025 r. postanowiła obniżyć wszystkie stopy procentowe NBP o 0,25 punktu procentowego. Stopa referencyjna wynosić będzie od 3 lipca 2025 r. 5,00 proc. - poinformował w komunikacie Narodowy Bank Polski. Decyzja RPP była zaskoczeniem dla większości analityków finansowych i ekonomistów, którzy oczekiwali braku zmian w lipcu.
Jak legalnie wypłacić pieniądze ze spółki z o.o. Zasady i skutki podatkowe. Adwokat omawia wszystkie najważniejsze sposoby
01 lip 2025

Spółka z ograniczoną odpowiedzialnością to popularna forma prowadzenia biznesu w Polsce, ceniona za ograniczenie ryzyka osobistego wspólników. Niesie ona jednak ze sobą szczególną cechę – tzw. podwójne opodatkowanie zysków. Oznacza to, że najpierw sama spółka płaci podatek CIT od swojego dochodu (9% lub 19%), a następnie, gdy zysk jest wypłacany wspólnikom, wspólnik musi zapłacić podatek dochodowy PIT od otrzymanych środków. Dla wielu początkujących przedsiębiorców jest to duże zaskoczenie, ponieważ w jednoosobowej działalności gospodarczej można swobodnie dysponować zyskiem i płaci się podatek tylko raz. W spółce z o.o. majątek spółki jest odrębny od majątku prywatnego właścicieli, więc każda wypłata pieniędzy ze spółki na rzecz wspólnika lub członka zarządu musi mieć podstawę prawną. Poniżej przedstawiamy wszystkie legalne metody „wyjęcia” środków ze spółki z o.o., wraz z krótkim omówieniem zasad ich stosowania oraz konsekwencji podatkowych i ewentualnych ryzyk.

REKLAMA

Odpowiedzialność członków zarządu za długi i niezapłacone podatki spółki z o.o. Kiedy powstaje i jakie są sankcje? Jak ograniczyć ryzyko?
01 lip 2025

W świadomości wielu przedsiębiorców panuje przekonanie, że założenie spółki z o.o. jest swoistym „bezpiecznikiem” – że prowadząc działalność w tej formie, nie odpowiadają oni osobiście za zobowiązania. I rzeczywiście – to spółka, jako osoba prawna, ponosi odpowiedzialność za swoje długi. Jednak ta zasada ma wyjątki. Najważniejszym z nich jest art. 299 Kodeksu spółek handlowych (k.s.h.), który otwiera drogę do pociągnięcia członków zarządu do odpowiedzialności osobistej za zobowiązania spółki.
Zakładanie spółki z o.o. w 2025 roku. Adwokat wyjaśnia jak to zrobić krok po kroku i bez błędów
01 lip 2025

Spółka z ograniczoną odpowiedzialnością pozostaje jednym z najczęściej wybieranych modeli prowadzenia działalności gospodarczej w Polsce. W 2025 roku proces rejestracji jest w pełni cyfrowy, a pozorne uproszczenie procedury sprawia, że wielu przedsiębiorców zakłada spółki „od ręki”, nie przewidując potencjalnych konsekwencji. Niestety, błędy popełnione na starcie mogą skutkować realnymi problemami organizacyjnymi, podatkowymi i prawnymi, które ujawniają się dopiero po miesiącach – lub latach.
Faktury ustrukturyzowanej nie da się obiektywnie (w sensie prawnym) użyć ani udostępnić poza KSeF. Co zatem będzie przedmiotem opisu i dekretacji jako dowód księgowy?
30 cze 2025

Nie da się w sensie prawnym „użyć faktury ustrukturyzowanej poza KSeF” oraz jej „udostępnić” w innej formie niż poprzez bezpośredni dostęp do KSeF – pisze prof. dr hab. Witold Modzelewski.
Obowiązkowy KSeF 2026: Ministerstwo Finansów publikuje harmonogram, dokumentację API KSeF 2.0 oraz strukturę logiczną FA(3)
30 cze 2025

W dniu 30 czerwca 2025 r. Ministerstwo Finansów opublikowało szczegółową dokumentację techniczną w zakresie implementacji Krajowego Systemu e-Faktur z narzędziami wspierającymi integrację. Od dziś firmy oraz dostawcy oprogramowania do wystawiania faktur mogą rozpocząć przygotowania do wdrożenia systemu w środowisku testowym. Materiały są dostępne pod adresem: ksef.podatki.gov.pl/ksef-na-okres-obligatoryjny/wsparcie-dla-integratorow. W przypadku pytań w zakresie udostępnionej dokumentacji API KSeF 2.0 Ministerstwo Finansów prosi o kontakt za pośrednictwem formularza zgłoszeniowego: ksef.podatki.gov.pl/formularz.

REKLAMA

Załączniki w KSeF tylko dla wybranych? Nowa funkcja może wykluczyć małych przedsiębiorców
27 cze 2025

Nowa funkcja w Krajowym Systemie e-Faktur (KSeF) pozwala na dodawanie załączników do faktur, ale wyłącznie w ściśle określonej formie i po wcześniejszym zgłoszeniu. Eksperci ostrzegają, że rozwiązanie dostępne będzie głównie dla dużych firm, a mali przedsiębiorcy mogą zostać z dodatkowymi obowiązkami i bez realnej możliwości skorzystania z tej opcji.
Kontrola podatkowa - fiskus ma 98% skuteczności. Adwokat radzi jak się przygotować i ograniczyć ryzyko kary
26 cze 2025

Choć liczba kontroli podatkowych w Polsce od 2023 roku spada, ich skuteczność jest wyższa niż kiedykolwiek. W 2024 roku aż 98,1% kontroli podatkowych oraz 94% kontroli celno-skarbowych zakończyło się wykryciem nieprawidłowości. Urzędy skarbowe, dzięki wykorzystaniu narzędzi analitycznych takich jak STIR, JPK czy big data, trafnie typują podmioty do weryfikacji, skupiając się na firmach obecnych na rynku i rzeczywiście dostępnych dla egzekucji zobowiązań. W efekcie kontrola może spotkać każdego podatnika, który nieświadomie popełnił błąd lub padł ofiarą nieuczciwego kontrahenta.

REKLAMA