REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Warto wiedzieć » Jak chronić dane finansowe w środowisku informatycznym rachunkowości

Jak chronić dane finansowe w środowisku informatycznym rachunkowości

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
02 maja 2007, 05:00
Izabela Szczepankiewicz Elżbieta

REKLAMA

W informatycznych systemach prowadzenia ksiąg rachunkowych liczba elementów wywołujących zagrożenia jest znacznie większa niż w tradycyjnych, manualnych systemach rachunkowości. Zagrożenia te stają się coraz trudniejsze do przewidzenia i wykrycia, a ich skutki są trudne do usunięcia.

Audytorzy coraz większą uwagę zwracają na tzw. środowisko informatyczne rachunkowości i na kwestię prawidłowego zabezpieczenia danych finansowych.

 

Autopromocja
Rozliczanie dochodów zagranicznych za 2023 rok
Błędy w rozliczeniach VAT. Na czym polegają i jak ich uniknąć - Poradnik Gazety Prawnej
PIT-y i ulgi podatkowe 2023


W rozumieniu Międzynarodowych Standardów Rewizji Finansowej (MSRF) środowisko systemów informatycznych rachunkowości istnieje, gdy komputer określonego rodzaju i pojemności operacyjnej został przez firmę włączony w proces przetwarzania informacji finansowych o istotnym znaczeniu dla rewizji - niezależnie od tego, czy komputer ten działa w samym przedsiębiorstwie, czy też używa go strona trzecia (np. w warunkach zleconego prowadzenia ksiąg rachunkowych).


Audytor w szczególności zwróci uwagę na najczęściej występujące zagrożenia bezpieczeństwa danych, które wiążą się z:

l dostępem do systemu informatycznego przez osoby nieuprawnione

VAT 2024. Komentarz
Autopromocja

VAT 2024. Komentarz z programem INFORLEX Matryca stawek VAT w PREZENCIE

Sprawdź

l niewłaściwym postępowaniem z nośnikami danych, zarówno papierowymi, jak i elektronicznymi

Dalszy ciąg materiału pod wideo

l możliwością ujawnienia identyfikatora i hasła użytkownika innym osobom

l możliwością podglądu zawartości ekranu monitora przez osoby nieuprawnione

Komplet: VAT 2024 + PIT, CIT i Ryczałt ewidencjonowany 2024 + Ordynacja podatkowa, NIP 2024
Autopromocja

VAT 2024 + PIT, CIT i Ryczałt ewidencjonowany 2024 + Ordynacja podatkowa, NIP 2024

Sprawdź

l stosowaniem korupcji oraz szantażu wobec pracowników firmy w celu wydobycia informacji

l zagubieniem dokumentów lub nośników danych

Ordynacja podatkowa, NIP 2024
Autopromocja

Ordynacja podatkowa, NIP 2024

Sprawdź

l błędami podczas wprowadzania danych przez operatorów

l uszkodzeniem nośników magnetycznych

l błędami procedur przetwarzania, działaniem oprogramowania niezgodnym ze specyfikacją lub brakiem specyfikacji określającej algorytmy przetwarzania danych

l utratą integralności danych na skutek awarii sprzętu lub oprogramowania

VAT 2024. Komentarz
Autopromocja

VAT 2024. Komentarz z programem INFORLEX Matryca stawek VAT w PREZENCIE

Sprawdź

l możliwością dokonania fałszerstwa danych lub nadużycia danych

l działaniem wirusów, robaków i innego szkodliwego oprogramowania

hackingiem, podsłuchem linii transmisyjnych, podsłuchem akustycznym, działaniem oprogramowania szpiegowskiego (tzw. Spyware)

l utratą integralności danych podczas transmisji danych

l możliwością wystąpienia różnego typu awarii: zasilania elektrycznego, oprogramowania systemowego, oprogramowania użytkowego, sprzętu komputerowego, okablowania lub urządzeń sieci lokalnej lub rozległej

Rozliczamy najem. Przykłady, wypełnione druki
Autopromocja

Rozliczamy najem. Przykłady, wypełnione druki

Sprawdź

l kradzieżą sprzętu lub nośników

l niewłaściwym użytkowaniem sprzętu komputerowego

l niezachowaniem parametrów środowiskowych dla eksploatacji sprzętu komputerowego (awaria klimatyzacji, nadmierne nasłonecznienie, nadmierna wilgotność)

l uszkodzeniem łączy transmisyjnych

l usunięciem danych na skutek błędu użytkowników lub administratorów systemów

l celowym lub przypadkowym zniszczeniem danych na skutek impulsu elektromagnetycznego

l niedostosowaniem wydajności systemu lub pojemności systemu do potrzeb firmy

l zniszczeniem systemu na skutek powodzi, pożaru, zalania, zadymienia i innych zdarzeń losowych


Cechą charakterystyczną zastosowania komputerów w rachunkowości jest koncentracja funkcji i wiedzy personelu. Polega ona na tym, że liczba osób zaangażowanych przy przetwarzaniu danych księgowych jest znacznie mniejsza niż w środowisku tradycyjnym. Może to nieść ze sobą zagrożenia (np. personel, znając dokładnie system, a także zdając sobie sprawę z niedoskonałości mechanizmów kontroli wewnętrznej, może zmieniać programy lub dane podczas ich przechowywania bądź przetwarzania). Niebezpieczeństwo takie istnieje zwłaszcza wtedy, gdy nie występuje kontrola oparta na podziale funkcji lub gdy nie jest ona dość skuteczna.


Do grupy osób wpływających pośrednio na działanie omawianego systemu należą też wszyscy projektujący i konstruujący sprzęt, oprogramowanie systemowe i dokumentację systemu informatycznego. Ingerować w system, zarówno w sposób bezpośredni, jak i pośredni, przejmując nielegalnie funkcje osób uprawnionych, mogą również tzw. hakerzy.


Polityka bezpieczeństwa zasobów informatycznych w firmie powinna uwzględniać dwa aspekty:

1) zagrożenia związane z elementami środowiska informatycznego wewnątrz podmiotu,

2) ryzyko płynące z zewnątrz podmiotu, a związane np. z dostępem do sieci publicznych (Internet) czy przetwarzaniem rozproszonym.


Przy opracowywaniu zasad bezpieczeństwa zasobów informatycznych pierwszym aspektem analizy powinny być ryzyka wewnętrzne, które wiążą się z zasobami informatycznymi. Przede wszystkim przy braku stosowania odpowiednich zasad ochrony zasobów informatycznych podmiotu istnieje możliwość uszkodzenia lub zniszczenia komputerowych zbiorów danych, oprogramowania lub sprzętu komputerowego.

Niewłaściwie skonfigurowane lub źle zabezpieczone sieci lokalne (w których pracują podsystemy informatyczne rachunkowości), czy nawet jednostanowiskowy, niedopracowany system ewidencji księgowej mogą dawać pełną gamę możliwości przekłamań, błędów i nadużyć, a niekiedy prowadzić do przestępstw komputerowych.


Część procedur kontroli wewnętrznej w systemie informatycznym rachunkowości może być realizowana programowo. Jeśli przewidziano odpowiednie mechanizmy kontroli, w zbiorach danych zapisywane są operacje spełniające warunki kontroli, natomiast treści błędne są na ogół odrzucane przez system. Użytkownik systemu finansowo-księgowego spotyka się z programowymi kontrolami poprawności ujawniającymi się podczas ewidencji operacji gospodarczych w systemie.


Gdy program komputerowy nie został przetestowany na etapie wdrożenia, może konsekwentnie niewłaściwie przetwarzać dane w operacjach, dla których stworzono błędne algorytmy lub parametry przetwarzania.

Przetwarzanie danych w systemie może być wsadowe lub bieżące. Przetwarzanie wsadowe polega na tym, że zaewidencjonowane operacje zapisywane są w plikach, w których przechowywane są do momentu księgowania. Księgowanie wykonuje się okresowo (np. raz w miesiącu). Zaletą tej metody jest możliwość sprawdzenia i poprawienia danych przed księgowaniem. Natomiast wadą to, że aktualizowanie zbiorów danych następuje dopiero w momencie księgowania.


Podczas przetwarzania bieżącego zaletą jest to, że nie gromadzi się plików dokumentów oraz nie ogranicza się ich terminami przetwarzania. Każde zarejestrowane zdarzenie automatycznie aktualizuje wszystkie związane z nim zbiory w bazie danych - powiązane z nim salda kont, wykazy sald i obrotów, bilans oraz rachunek zysków i strat. Jednak w przypadku wprowadzenia błędnej danej mogą wystąpić błędy na różnych kontach i w różnych zbiorach.


Praktyka wypracowała jeszcze jeden system przetwarzania danych (tzw. system aktualizacji w „tle”) łączący elementy przetwarzania wsadowego i bieżącego. Jest to proces aktualizacji bezpośredniej zbioru „memo” z odłożonym w czasie procesem przetwarzania. Łączy on zalety obydwóch systemów. Pojedyncze operacje (lub dowody zbiorcze) wprowadza się do dokumentów w tzw. buforze (pamięci tymczasowej), a następnie przechowuje się je do momentu zaksięgowania. W przypadku większości zintegrowanych systemów na tym etapie system pozwala tworzyć wydruki próbne sprawozdań czy obrotów na kontach księgi głównej, zaktualizowane o operacje niezaksięgowane (po zaznaczeniu opcji uwzględnienia danych z bufora). Po dokładnym sprawdzeniu, uzupełnieniu i poprawieniu błędów okresowo przeprowadza się księgowanie dokumentów (np. w końcu miesiąca). Wówczas ostatecznie aktualizuje się księga główna.


Następną cechą, która może mieć zarówno pozytywne, jak i negatywne skutki, jest możliwość generowania operacji księgowych przez system informatyczny (np. automatyczne naliczanie odsetek, amortyzacji czy rozliczanie kosztów). Operacja ta może być inicjowana przez system automatycznie na podstawie odpowiednich danych, parametrów i procedur programowych. Ze względu na brak „ścieżki rewizyjnej” obie te sytuacje utrudniają rewizję finansową.


Coraz częściej mamy także do czynienia z wprowadzaniem do systemu informatycznego rachunkowości danych bez towarzyszących im dokumentów księgowych. W takiej sytuacji oprócz trudności związanych z badaniem śladu rewizyjnego można napotkać problem niemożności zweryfikowania wyników procedur dokonywanych w systemie (szczególnie w przetwarzaniu wielofazowym), jeśli nie są w nim sporządzane na papierze wydruki kontrolne.


Wraz z rozwojem technologii i wiedzy oraz dostępem do sieci publicznych (Internet, poczta elektroniczna, usługi bankowe itp.) pojawiają się nowe zagrożenia dotyczące bezpieczeństwa komunikacji, sieci i danych.

Audytor zwróci uwagę w szczególności na ryzyko pozyskiwania i wykorzystania informacji wewnętrznych podmiotu i wykorzystania ich przez szpiegów przemysłowych czy inne nieupoważnione osoby.


Zwiększenie bezpieczeństwa zasobów informatycznych powinno być jedną z głównych dziedzin zainteresowania kierownictwa firmy. Wymaga prowadzenia ciągłej analizy ryzyka systemów informatycznych i systemu zabezpieczeń. Kierownictwo powinno identyfikować te informacje i drogi ich obiegu, których utrata lub ujawnienie mogą być szkodliwe dla firmy, powodować naruszenie zaufania inwestorów, skutki prawne, utratę wizerunku firmy na rynku i pogłębić trudności finansowe.


W 2005 r. pojawiły się dwa nowe zagrożenia dla bezpieczeństwa informacji, określane jako „phishing” i „pharming”, polegające na nakłanianiu ludzi do ujawniania poufnych informacji przy użyciu fałszywej poczty elektronicznej i fałszywych stron internetowych. Te dwie formy ataków są ukierunkowane na pracowników firm. Istotną rolę w zmniejszeniu tego ryzyka może odegrać ścisła weryfikacja klientów, szkolenia pracowników i wiedza o potencjalnych zagrożeniach. Tymczasem, jak wykazało badanie przeprowadzone przez Deloitte, szkolenia i wiedza w zakresie bezpieczeństwa nie są uznawane przez zarządy za zagadnienia kluczowe. Szkolenia lub inne przedsięwzięcia poszerzające wiedzę w tym zakresie planuje na najbliższe 12 miesięcy mniej niż połowa (46%) respondentów. Niepokojący jest także fakt, że szkolenia i poszerzanie wiedzy o potencjalnych zagrożeniach znalazły się na końcu listy priorytetowych zagadnień związanych z bezpieczeństwem informacji. Respondenci cenią wyżej przestrzeganie procedur (74%), raportowanie i pomiary (61%). Te wyniki znalazły też odzwierciedlenie w planach inwestycyjnych instytucji finansowych w zakresie bezpieczeństwa: najwięcej pieniędzy ma zostać przeznaczonych na narzędzia zabezpieczające (64%), podczas gdy jedynie 15% - na szkolenia i zwiększanie wiedzy pracowników.


Kilkanaście miesięcy temu autorka przeprowadziła badania na próbie 107 dużych, średnich i małych polskich podmiotów. Z badań wynika, że 53% urzędów, 40% firm oraz 63% banków doświadczyło niespodziewanej przerwy w działaniu systemów rachunkowości w ciągu 12 ostatnich miesięcy. Z tego tylko 61% przedsiębiorstw i urzędów oprócz usuwania skutków bada także przyczyny niedostępności systemów informatycznych.


Respondenci podali, że przyczyną 43% przypadków niedostępności systemów informatycznych rachunkowości są wirusy i inne szkodliwe programy, 33% jest wynikiem awarii oprogramowania, 33% - awarii sprzętu komputerowego, w 27% przyczyną jest niedostateczna wydajność systemów, 10% stanowią błędy obsługi powodowane przez użytkowników, aż 10% to celowe działania pracowników, a tylko 2% to ataki hakerów.

Aż w 42% podmiotów nie opracowano dokumentów (procedur, instrukcji, szczegółowych polityk) opisujących system bezpieczeństwa danych informatycznych, a 51% podmiotów nie posiada procedur awaryjnych dla systemów informatycznych rachunkowości.


Spośród badanych podmiotów 43% z nich nie organizuje żadnych szkoleń dla pracowników w zakresie bezpieczeństwa danych informatycznych, a 32% podmiotów organizuje szkolenia jednorazowe. Nowo zatrudnionych użytkowników systemów w zakresie bezpieczeństwa danych informatycznych szkoli tylko 37% podmiotów.


Podstawa prawna:
- MSRF Nr 401 w: Międzynarodowe Standardy Rewizji Finansowej 2001, International Federation of Accountants, Stowarzyszenie Księgowych w Polsce, Warszawa 2001.


dr Elżbieta Izabela Szczepankiewicz

audytor wewnętrzny, wykładowca WSHiR w Poznaniu

 
 
Autopromocja

REKLAMA

Źródło: Biuletyn Rachunkowości
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
QR Code
Podatek PIT - część 2
certificate
Jak zdobyć Certyfikat:
  • Czytaj artykuły
  • Rozwiązuj testy
  • Zdobądź certyfikat
1/10
Zeznanie PIT-37 za 2022 r. można złożyć w terminie do:
30 kwietnia 2023 r. (niedziela)
2 maja 2023 r. (wtorek)
4 maja 2023 r. (czwartek)
29 kwietnia 2023 r. (sobota)
Następne
Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Minister Finansów: KSeF dopiero od 2026 roku. Dwie daty dla dwóch grup podatników
26 kwi 2024

Na konferencji prasowej w dniu 26 kwietnia 2024 r. minister finansów Andrzej Domański podał dwie daty planowanego wdrożenia obowiązkowego modelu KSeF. Od 1 lutego 2026 r. obowiązkowy KSeF mają stosować przedsiębiorcy, których wartość sprzedaży w poprzednim roku podatkowym przekroczyła 200 mln zł. Natomiast od 1 kwietnia 2026 r. obowiązkowy KSeF mają stosować pozostali podatnicy VAT.
Globalny podatek minimalny - zasady GloBE również w Polsce. Przedsiębiorstwa będą musiały dostosować swoje procedury rachunkowe i podatkowe
26 kwi 2024

System globalnego podatku minimalnego (zasad GloBE) zawita do Polski. Przedsiębiorstwa będą musiały dostosować swoje procedury wewnętrzne, w szczególności dotyczące gromadzenia informacji rachunkowych i podatkowych.
Kasowy PIT: Projekt ustawy trafił do konsultacji. Nowe przepisy od 1 stycznia 2025 r. Kto z nich skorzysta?
25 kwi 2024

Prawo do tzw. kasowego PIT będzie warunkowane wysokością przychodów z działalności gospodarczej prowadzonej samodzielnie osiągniętych w roku poprzednim - nie będzie ona mogła przekroczyć kwoty odpowiadającej równowartości 250 tys. euro. Projekt ustawy wprowadzającej kasowy PIT trafił do konsultacji międzyresortowych.
Jak przygotować się do ESG? Oto przetłumaczony unijny dokument dla firm: Dobrowolne ESRS dla MŚP Nienotowanych na Giełdzie
25 kwi 2024

Jak małe i średnie firmy mogą przygotować się do ESG? Krajowa Izba Gospodarcza przetłumaczyła unijny dokument dla MŚP: „Dobrowolne ESRS dla MŚP Nienotowanych na Giełdzie”. Dokumentu po polsku jest dostępny bezpłatnie.
Czy to nie dyskryminacja? Jeden członek zarządu może się uwolnić od odpowiedzialności, a inny już nie, bo spółka miała jednego wierzyciela
25 kwi 2024

Czy mamy do czynienia z dyskryminacją, gdy jeden członek zarządu może się uwolnić od odpowiedzialności za zobowiązania spółki przez zgłoszenie w porę wniosku o ogłoszenie jej upadłości, podczas gdy inny nie może tego zrobić tylko dlatego, że spółka miała jednego wierzyciela? Czy organy skarbowe mogą dochodzić zapłaty podatków od takiego członka zarządu bez wcześniejszego wykazania, że działał on w złej wierze albo w sposób niedbały? Z takimi pytaniami do Trybunału Sprawiedliwości Unii Europejskiej wystąpił niedawno polski sąd.
Kasowy PIT - projekt ustawy opublikowany
24 kwi 2024

Projekt ustawy o kasowym PIT został opublikowany. Od kiedy wchodzi w życie? Dla kogo jest kasowy PIT? Co to jest i na czym polega?
Obligacje skarbowe [maj 2024 r.] - oprocentowanie i oferta obligacji oszczędnościowych (detalicznych)
24 kwi 2024

Ministerstwo Finansów w komunikacie z 24 kwietnia 2024 r. poinformowało o oprocentowaniu i ofercie obligacji oszczędnościowych Skarbu Państwa nowych emisji, które będą sprzedawane w maju 2024 roku. Oprocentowanie i marże tych obligacji nie zmieniły się w porównaniu do oferowanych w kwietniu br. Od 25 kwietnia można nabywać nową emisję obligacji skarbowych w drodze zamiany.
Kasowy PIT dla przedsiębiorców z przychodami do 250 tys. euro od 2025 roku. I tylko do transakcji fakturowanych [projekt ustawy]
24 kwi 2024

Ministerstwo Finansów przygotowało i opublikowało 24 kwietnia 2024 r. projekt nowelizacji ustawy o podatku dochodowym od osób fizycznych (PIT) oraz ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Ta nowelizacja przewiduje wprowadzenie kasowej metody rozliczania podatku dochodowego. Z tej metody będą mogli skorzystać przedsiębiorcy, którzy rozpoczynają działalność, a także ci przedsiębiorcy, których przychody w roku poprzednim nie przekraczały 250 tys. euro.
Coraz więcej kontroli firm logistycznych. Urzędy celno-skarbowe sprawdzają pozwolenia na uproszczenia celne
24 kwi 2024

Urzędy celno-skarbowe zintensyfikowały kontrole firm logistycznych. Chodzi o monitoring pozwoleń na uproszczenia celne, szczególnie tych wydanych w czasie pandemii. Jeśli organy celno-skarbowe natrafią na jakiekolwiek uchybienia, to może dojść do zawieszenia pozwolenia, a nawet jego odebrania.
Ostatnie dni na złożenia PIT-a. W pośpiechu nie daj szansy cyberoszustowi! Podstawowe zasady bezpieczeństwa
24 kwi 2024

Obecnie już prawie co drugi Polak (49%) przyznaje, że otrzymuje podejrzane wiadomości drogą mailową. Tak wynika z najnowszego raportu SMSAPI „Bezpieczeństwo Cyfrowe Polaków 2024”. Ok. 20% Polaków niestety klika w linki zawarte w mailu, gdy wiadomość dotyczy ważnych spraw. Jak zauważa Leszek Tasiemski, VP w firmie WithSecure – ostatnie dni składania zeznań podatkowych to idealna okazja dla oszustów do przeprowadzenia ataków phishingowych i polowania na nieuważnych podatników.

REKLAMA