Wstęp
Od wielu lat rachunkowość i zarządzanie jednostkami w sektorze finansów publicznych wspomagane jest narzędziami informatycznymi. Jednym z najważniejszych aspektów sprawności działania jednostek staje się zapewnienie ciągłości działania systemów informatycznych rachunkowości oraz wiarygodności i bezpieczeństwa informacji finansowej. Zasady i procedury kontroli w środowisku informatycznym, w tym dotyczące rachunkowości, stały się elementem systemu kontroli zarządczej. Jednostki mają obowiązek wdrażania, oceny i doskonalenia systemu kontroli zarządczej od 2010 r. Szczególnie ważny stał się przegląd zasad i procedur, które dotyczą:
W praktyce jest to trudny obszar kontroli zarządczej, ponieważ wymaga znajomości wielu regulacji (przepisów prawa, standardów, norm ISO itp.) dotyczących różnych obszarów, takich jak: rachunkowość, kontrola zarządcza i finansowo-księgowa, audyt wewnętrzny i informatyka. Wymaga on również praktycznej wiedzy o identyfikacji i analizy czynników ryzyka w środowisku informatycznym, projektowaniu procedur i środków ochrony w obszarze systemów informatycznych rachunkowości oraz ochrony zasobów informatycznych, w tym zapewnienia bezpieczeństwa informacji.
Poradnik wskaże osobom odpowiedzialnym za projektowanie, wdrożenie, ocenę i doskonalenie systemu kontroli zarządczej w obszarze systemów informatycznych rachunkowości aktualne uwarunkowania prawne i praktyczne zasady prowadzenia rachunkowości w środowisku informatycznym oraz zapewnienia bezpieczeństwa zasobów informatycznych.
W Poradniku wskazano główne zasady przeprowadzenia procesu samooceny ustanowionych zasad i procedur kontroli zarządczej dotyczących systemu rachunkowości w środowisku informatycznym. Omówiono aktualne wymogi, które są zawarte w regulacjach prawnych i standardach, jak również wskazano rozwiązania praktyczne w zakresie organizacji kontroli zarządczej w środowisku informatycznym rachunkowości w jednostkach sektora finansów publicznych.
Z Poradnika można dowiedzieć się, jakie obowiązują zasady i procedury kontroli:
Dopełnieniem całości jest zestaw list kontrolnych dla celów przeprowadzenia samooceny kontroli zarządczej w poszczególnych obszarach. Pytania te z pewnością będą przydatne kierownictwu i księgowym podczas samooceny kontroli zarządczej w środowisku informatycznym rachunkowości.
W jednostce sektora finansów publicznych funkcjonowanie systemu kontroli zarządczej w obszarze rachunkowości i systemów informatycznych wspomagających jej prowadzenie sprowadza się zasadniczo do realizowania przez kierownictwo czynności nadzoru oraz wykonywania przez pracowników codziennych czynności kontrolnych w tym obszarze. Zarówno system rachunkowości, jak i system kontroli zarządczej w jednostce musi obejmować zespół czynności wykonywanych przez kierownictwo i pracowników w postaci procedur kontrolnych, które uwzględniają określone przepisy prawa i wewnętrzne regulacje. Wszystkie procedury kontrolne rachunkowości, w tym procedury kontroli finansowo-księgowej i dotyczące środowiska informatycznego, są ściśle ze sobą powiązane i zawierają się w elementach kontroli zarządczej.
Z komunikatu nr 23 Ministra Finansów z 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych wynika bezpośrednio konieczność opracowania, wdrożenia, oceny i doskonalenia procedur kontroli w środowisku informatycznym, które powinny funkcjonować w ramach systemu kontroli zarządczej w jednostce sektora finansów publicznych. A zatem zarówno system rachunkowości, jak i procedury kontroli w środowisku informatycznym w ramach systemu kontroli zarządczej w jednostce powinny być oparte co najmniej na:
Przy czym procedury kontrolne w systemie rachunkowości wspomaganym systemami informatycznymi w jednostce powinny zapewniać co najmniej:
O wdrożeniu w jednostce i funkcjonowaniu systemu kontroli zarządczej związanego z obszarem rachunkowości będzie świadczyło wiele działań i mechanizmów kontrolnych.
Działania i mechanizmy kontrolne
Przyjęte limity, uchwały, zarządzenia, regulaminy, plany (w tym plany zapewnienia ciągłości działania, plany awaryjne), polityki (w tym polityka ochrony informacji), procedury i instrukcje.
Hierarchizacja struktury organizacyjnej i uprawnienia nadzoru (kontrola kierownicza).
Ustalona siatka zastępstw i upoważnień.
Spisane zakresy czynności, uprawnień i obowiązków (lub karty stanowisk pracy).
Uprawnienia użytkowników w podsystemach informatycznych rachunkowości dostosowane do zajmowanego stanowiska i kompetencji.
Stosowanie fizycznych, organizacyjno-administracyjnych środków ochrony zasobów, w tym programowych środków ochrony zasobów informatycznych.
Wyspecyfikowane wymagania prowadzenia czynności kontroli na stanowiskach pracy, w tym czynności samokontroli, oraz obowiązek kontroli poziomej w kontaktach między stanowiskami pracy, komórkami organizacyjnymi.
Ograniczenia i zakazy wstępu do określonych pomieszczeń albo użytkowania określonych zasobów rzeczowych.
Obowiązek obecności dwóch i więcej osób przy określonych czynnościach (np. czynności inwentaryzacyjne) lub autoryzacji czynności przez drugą osobę.
Wprowadzone formalne ograniczenia uprawnień wewnętrznych i zewnętrznych (udzielania informacji, reprezentowania jednostki wobec osób trzecich, mediów itp.).
Inne ustalenia i sformalizowania wynikające ze specyfiki jednostki i szczególnych zasad rachunkowości, np. w zakładach budżetowych, oraz specyfiki systemów informatycznych stosowanych w tych podmiotach.
Funkcjonowanie kontroli zarządczej w obszarze systemów informatycznych w jednostce należy odpowiednio udokumentować. Podstawowymi dokumentami są m.in.:
Silne powiązanie między etapami realizacji kontroli zarządczej w całej jednostce a zadaniami kontroli w systemie rachunkowości, w tym procedurami kontroli finansowo-księgowej, ma duży wpływ na wyznaczenie szczegółowych zadań na poszczególnych etapach kontroli, którymi jest objęty obszar funkcjonowania systemu informatycznego rachunkowości. Przy czym szczegółowe zadania kontroli, które są istotne dla prawidłowego funkcjonowania informatycznego rachunkowości w jednostce, wynikają:
Zatem przy opracowywaniu systemu kontroli zarządczej w jednostce należy mieć na uwadze cele kontroli finansowo-księgowej, które mają być realizowane nie tylko w odniesieniu do systemu rachunkowości, ale i do elementów samego środowiska informatycznego rachunkowości.
Zdaniem autorki, kontrola zarządcza w środowisku informatycznym rachunkowości w jednostce sektora finansów publicznych powinna być realizowana na dwóch poziomach:
Należy jednak pamiętać, że żaden nawet najlepiej zorganizowany system kontroli zarządczej nie jest doskonały i w stu procentach nie ochroni jednostki przed wszystkimi ryzykami i zjawiskami patologicznymi. System kontroli może jedynie ograniczyć ryzyko i skutki zmaterializowania się ryzyka do określonego akceptowalnego poziomu, ale nie jest w stanie całkowicie go wykluczyć, ponieważ po zastosowaniu nawet najlepszych obecnie dostępnych metod i środków ochrony zawsze pozostaje ryzyko rezydualne.
W jednostce sektora finansów publicznych ryzyko to ma szczególnie znaczenie w przypadku ochrony informacji w środowisku informatycznym. Można zastosować w jednostce najnowsze i najdroższe dostępne środki ochrony zasobów informatycznych na poziomie organizacyjno-administracyjnym, technicznym, fizycznym, sprzętowym, programowym, ale i tak nie wykluczy się w stu procentach sytuacji zaistnienia jednocześnie kilku zdarzeń, które mogą spowodować utratę tych zasobów. Nie można również wykluczyć niedbalstwa ze strony pracowników. Zazwyczaj to człowiek stanowi najsłabsze ogniwo systemu ochrony zasobów informatycznych. Należy również pamiętać, że szczególnie groźne jest ryzyko zmowy na różnych poziomach organizacyjnych zarówno na poziomie kierownika jednostki, jak i niższych szczeblach kierowniczych lub stanowiskach operacyjnych. W praktyce zdarzają się również przypadki zmowy członka kierownictwa z kontrahentem, w tym z kluczowym dostawcą usług i robót, np. wykonawcą projektu informatycznego.
Uzyskanie w jednostce efektywnego i adekwatnego systemu kontroli wymaga - oprócz posiadania, oceny i doskonalenia mechanizmów kontrolnych, będących reakcją na zidentyfikowane ryzyko - również innych elementów organizacyjnych, które utworzą ten system, czyli:
Zatem należy mieć na uwadze, że system kontroli zarządczej w danej jednostce może być także nieefektywny z powodu niewłaściwie funkcjonujących ww. elementów organizacyjnych.
Kierownik jednostki i księgowi projektujący oraz wdrażający zasady i procedury kontroli zarządczej w środowisku informatycznym rachunkowości powinni także brać pod uwagę różne dodatkowe przepisy prawa i normy ISO dotyczące bezpieczeństwa zasobów informatycznych, które mogą mieć zastosowanie w danej jednostce. Uwzględnienie tych regulacji na etapie projektowania kontroli zarządczej może mieć istotny wpływ na jakość tego systemu w jednostce. Wśród tych regulacji są zarówno te, które bezpośrednio, jak i te, które pośrednio są związane ze środowiskiem informatycznym rachunkowości.
Do przepisów prawa w tym obszarze należy zaliczyć następujące ustawy:
Do ustaw tych wydano wiele aktów wykonawczych w tym zakresie.
Należy podkreślić, że w jednostkach sektora finansów publicznych w celu zapewnienia bezpieczeństwa zasobów informatycznych w ostatnich latach stosowało się również wiele krajowych norm ISO, są to np.:
Z punktu widzenia organizacji kontroli zarządczej w środowisku informatycznym rachunkowości w jednostce istota i zakresy działania systemu kontroli zarządczej oraz systemu informatycznego rachunkowości wskazują na konieczność wspólnego ich rozpatrywania jako wspomagających się systemów w realizacji celów informacyjnych i kontrolnych rachunkowości oraz przyjętych celów jednostki.
Wykorzystanie systemów informatycznych rachunkowości w jednostce sektora finansów publicznych skutkuje różnego typu wewnętrznymi i zewnętrznymi zagrożeniami. Dlatego bezpieczne wykorzystanie systemu informatycznego rachunkowości w jednostce powinno wiązać się z zapewnieniem określonych warunków ochrony zasobów informatycznych oraz prowadzenia dokumentacji systemów informatycznych rachunkowości zgodnie z uor.
Warunki prawidłowej eksploatacji i ochrony zasobów informatycznych rachunkowości muszą sprostać wymogom, które są stawiane jednostkom przez uor (art. 71 ust. 1). Na jednostki sektora finansów publicznych stosujące system informatyczny rachunkowości ustawodawca nałożył obowiązek zapewnienia bezpieczeństwa zasobów informatycznych, a w szczególności skutecznej ochrony zapisów księgowych i dokumentacji przed:
Przy projektowaniu procedur kontrolnych w systemie kontroli zarządczej kierownictwo jednostki powinno mieć na uwadze zasadę optymalizacji kosztów stosowania mechanizmów ochronnych w taki sposób, aby zapewniły one:
Tworząc strukturę środków ochrony zasobów w środowisku informatycznym rachunkowości w jednostce, należy ustalić zakres:
Struktura zastosowanych środków ochrony zasobów informatycznych rachunkowości i innych mechanizmów ochronnych zależy od skomplikowania i charakteru działalności danej jednostki. Projektując strukturę mechanizmów ochronnych w jednostce, należy przyjąć założenie, że system zabezpieczeń powinien być skuteczny.
Brak zabezpieczeń na jednym z koniecznych poziomów organizacyjnych w jednostce powoduje luki w systemie zabezpieczeń. Na przykład samo zainstalowanie programu antywirusowego nie gwarantuje jego oczekiwanej skuteczności, jeśli ktoś nie będzie odpowiedzialny za ustawienie parametrów systematycznej aktualizacji bazy wirusów i czuwanie nad terminem zakupu nowej licencji oprogramowania. Zatem o poziomie skuteczności całego systemu zabezpieczeń zawsze decyduje najsłabsze ogniwo tego systemu.
Przy prowadzeniu ksiąg rachunkowych w środowisku informatycznym w jednostce trzeba zapewnić ochronę danych księgowych (art. 71 ust. 2 uor), czyli:
Należy podkreślić, że uor umożliwia kierownikom jednostek sektora finansów publicznych bardzo dużą dowolność w kształtowaniu systemu zabezpieczeń i doborze mechanizmów ochronnych. Jednostki powinny wdrożyć mechanizmy ochronne dostosowane do jej specyficznych potrzeb organizacyjnych. Zastosowane podejście oraz konkretne działania jednostki w tym zakresie kierownictwo określa zazwyczaj w dokumencie opisującym politykę zabezpieczenia techniczno-organizacyjnego zasobów informacyjnych albo politykę ochrony zasobów informatycznych rachunkowości.
Z punktu widzenia potrzeb samooceny kontroli zarządczej w środowisku informatycznym rachunkowości, w dalszej treści rozdziału zostaną scharakteryzowane typowe środki ochrony zasobów informatycznych rachunkowości i inne mechanizmy ochrony, które są powszechnie wdrażane w praktyce jednostek sektora finansów publicznych. Wiele dużych jednostek wypracowało własne rozwiązania w tym zakresie. W mniejszych jednostkach bardzo często wykorzystuje się rozpowszechnione dobre praktyki, które wynikają z doświadczeń innych podmiotów.
Podstawowym obowiązkiem kierownictwa jednostki wynikającym z art. 71 i 72 uor jest stosowanie odpornych na zagrożenia nośników danych. Kierownik jednostki zobowiązany jest podjąć decyzję o:
Jeśli w jednostce w odniesieniu do ksiąg rachunkowych nie zostaną wypełnione ww. warunki, należy zastosować się do wymogów art. 72 ust. 2 uor i wydrukować księgi w terminach przewidzianych w art. 13 ust. 6 uor, czyli nie później niż na koniec roku obrotowego. Niektóre dokumenty księgowe w jednostkach przechowuje się znacznie dłużej niż 5 lat (art. 74 uor). Ponadto istnieją jednostki, które na podstawie przepisów szczególnych przechowują dokumentację księgową, np. 10, 15 czy 50 lat. Dlatego należy mieć na uwadze aspekt szybkiego postępu technologicznego w tym zakresie. Wiąże się to z zapewnieniem w jednostce odpowiednich warunków odczytania danych z nośników po upływie określonego dłuższego okresu przechowywania tych danych. Kierownictwo jednostki musi zapewnić, aby jednostka, która przechowuje dane księgowe na nośnikach danych, miała zarówno sprzęt komputerowy z odpowiednim czytnikiem nośników, jak i oprogramowanie, które zapewni odczytanie zgromadzonych danych na tych nośnikach wraz z upływem czasu. A zatem dla dokumentów księgowych wymagających dłuższego okresu przechowywania wprowadzona powinna być procedura okresowego (np. nie rzadziej niż co 5 lat) przekopiowywania danych na nowe nośniki danych.
W żadnej nowelizacji uor nie określono, jaki komputerowy nośnik może być uznany za trwały, wytrzymały czy niezawodny. Należy przypuszczać, że ustawodawca, wprowadzając zapis otwarty, nie chciał ograniczać w tym zakresie decyzji kierowników jednostek. Wybór nośników zależy od wielu czynników, przede wszystkim od ważności gromadzonych danych i wymaganego przepisami uor lub innych przepisów szczegółowych czasu ich przechowywania. Zapewne wybór będzie także uzależniony od poziomu stosowanej w jednostce techniki informatycznej i posiadanych środków finansowych. Zapis ustawowy ma zatem charakter uniwersalny z uwagi na to, że trudno dziś przewidzieć, przy tak szybkim postępie technicznym i technologicznym w informatyce, co stanie się standardowym nośnikiem np. za 5 lat (czyli wymagany okres dla większości dokumentów księgowych) lub w okresie dłuższym.
Obecnie w praktyce jednostek sektora finansów publicznych stosuje się kilka popularnych, alternatywnych sposobów archiwizowania i ochrony zbiorów danych księgowych. W zależności od wielkości i specyfiki działalności jednostki dane archiwizuje i przechowuje się w jednostce, w specjalistycznych centrach danych lub stosuje się oba te rozwiązania jednocześnie.
Archiwizowanie i przechowywanie zbiorów danych w specjalistycznym centrum danych jest jednym z najbezpieczniejszych sposobów ich utrzymywania. Z tego sposobu korzystają zazwyczaj korporacje, instytucje finansowe, duże przedsiębiorstwa i większe jednostki sektora finansów publicznych, które mają rozbudowane bazy danych. Centra danych stosują zawsze najnowsze rozwiązania informatyczne i urządzenia do składowania, przesyłania i ochrony danych. W świetle obecnie obowiązujących przepisów prawa i standardów ochrony zasobów informatycznych centra te muszą spełnić wiele określonych wymogów dla tego typu działalności. Bez wielu różnego typu zabezpieczeń nie mogłyby one prowadzić swojej usługowej działalności w tym zakresie. Natomiast przy archiwizowaniu danych w jednostce najczęściej stosuje się jeden lub równolegle kilka sposobów ich zabezpieczenia (patrz ramka).
Sposoby archiwizowania danych
Prowadzi się równolegle kopiowanie zbiorów danych na dodatkowy serwer, czyli specjalny komputer, o odpowiednich parametrach, zarządzający pracą całej sieci komputerowej; serwer powinien pracować w pomieszczeniu zabezpieczonym przed wszystkimi możliwymi do przewidzenia zagrożeniami.
Do kopiowania danych stosuje się dodatkowe przenośne dyski twarde, które po wykonaniu kopii danych zabezpiecza się systemem haseł.
Stosuje się zapis na dyskach magnetooptycznych, na dyskach CD-R (jednokrotnego zapisu) lub DVD- ROM.
Stosuje się zapis na taśmach, np. w technologiach: DDS, AIT, Mammoth, LTO, DLT, SLR i MLR, a niekiedy na mikrofilmach.
W przypadkach podanych w ramce zgromadzone dane przechowuje się zazwyczaj w chronionych pomieszczeniach jednostki lub poza siedzibą jednostki (np. oddziale jednostki, skrytce bankowej itp.).
Wiele mniejszych i średnich jednostek sektora finansów publicznych przyjęło, że bezpiecznym sposobem przechowywania danych finansowych jest kopiowanie zbiorów danych na dodatkowy własny serwer, który jest odpowiednio zabezpieczony w sposób programowy i fizyczny. Natomiast mniejsze podmioty, które wykorzystują jednostanowiskowy system finansowo-księgowy lub kilkustanowiskowy system rachunkowości, najczęściej stosują pozostałe znacznie tańsze sposoby archiwizowania i przechowywania danych, np. różnego typu dyski przenośne.
Obecnie w wielu jednostkach sektora finansów publicznych stosuje się przenośne dyski twarde. Mają one cechy trwałego nośnika danych, jeśli są odpowiednio zabezpieczone systemem haseł dostępu oraz są przechowywane w odpowiednio zabezpieczonym archiwum. W sytuacji gdy zastosowano odpowiednie zabezpieczenia techniczno-organizacyjne i programowe, trwałość zapisów przechowywanych na przenośnym dysku twardym jest porównywalna z przechowywanymi i odpowiednio zabezpieczonymi kopiami na dyskach CD-R czy DVD-ROM. Natomiast stosowane kiedyś dyskietki czy dyski CD - RW (wielokrotnego zapisu) nie są nośnikami trwałymi. Przede wszystkim dlatego, że każdy zapis można z nich usunąć. Cechują się niską jakością, ponieważ po kilkakrotnym zapisie wiele z nich ulegało uszkodzeniu. Cech trwałości nie wykazują również zapisy na powszechnie obecnie stosowanych pendrive'ach.
Zatem z uwagi na to, że art. 71 i 72 uor mówi o stosowaniu nośnika danych zapewniającego trwałość zapisu danych systemu informatycznego rachunkowości przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze powinna zbadać, czy opracowane i wdrożone procedury zapewniające ochronę gromadzonych danych na nośnikach funkcjonują prawidłowo.
Przepisy uor zobowiązują kierowników jednostek do systematycznego tworzenia rezerwowych kopii zbiorów danych na informatycznych nośnikach danych. Warunkiem koniecznym jest zapewnienie trwałości zapisu tych danych przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych (art. 71 ust. 2 uor).
Cele wykonywania rezerwowych kopii zbiorów danych
Zabezpieczenie się przed możliwością utraty danych z przyczyn losowych, np. zalania, pożaru czy kradzieży stacjonarnego lub przenośnego sprzętu komputerowego.
Zabezpieczenie się przed możliwością awarii sprzętu komputerowego lub systemu informatycznego rachunkowości oraz utraty danych albo powstania błędów w strukturze zapisywanych danych.
Wygodne przechowywanie zbiorów danych z systemu informatycznego rachunkowości w postaci zapisu elektronicznego, w celu łatwego odtworzenia z kopii rezerwowej po awarii.
Przechowywanie zbiorów danych w postaci zapisu elektronicznego, bez konieczności okresowego drukowania dziesiątek stron ksiąg rachunkowych.
Aby uniknąć utraty danych księgowych (np. w przypadku awarii dysku twardego komputera, na którym zainstalowany jest podsystem rachunkowości), w jednostce powinien być ustalony obowiązek systematycznego, jak najczęstszego, tworzenia rezerwowych kopii zbiorów danych. Można przyjąć, że prawidłowo zorganizowany proces wykonywania rezerwowych kopii zbiorów danych wyróżnia się trzema cechami:
W przypadku uszkodzenia dysku komputera dane z niektórych jego fragmentów mogą być niedostępne. Dlatego wykonywanie rezerwowych kopii zbiorów danych powinno polegać na umieszczaniu danych na innym nośniku danych niż dysk komputerowy, na którym zainstalowany jest system informatyczny rachunkowości. Mimo że obecnie na polskim rynku działają profesjonalne firmy, które zajmują się odzyskiwaniem danych z komputerowych dysków stałych, nigdy nie ma pewności, czy i w jakim zakresie będzie możliwe odzyskanie danych z uszkodzonego dysku. Taki problem dotyczy zasadniczo mniejszych jednostek, ponieważ w dużych jednostkach tworzenie rezerwowych kopii danych odbywa się najczęściej na dwóch własnych serwerach albo korzystają one z profesjonalnych usług wspomnianych wcześniej centrów danych.
Jednostka, która na bieżąco i poprawnie tworzy kopie rezerwowe, w przypadku utraty danych informatycznych uniknie powtórnego ich wprowadzenia ze źródłowych dokumentów księgowych. Odtworzyć można także te zapisy, które powstały w wyniku procedur automatycznych, oraz związane z nimi inne dane, np. zawarte w rejestrach, kartotekach i słownikach systemu informatycznego rachunkowości. Rezerwowe kopie zbiorów danych umożliwią odtworzenie wszystkich zapisów według stanu na dzień utworzenia kopii. Oznacza to konieczność wprowadzenia wszystkich danych o zdarzeniach zaistniałych po sporządzeniu aktualnie odtwarzanej kopii.
Częstotliwość archiwizowania bieżących danych w jednostce sektora finansów publicznych może być różna. Zależy ona od indywidualnej oceny problemów bezpieczeństwa informacji i kosztów odtworzenia utraconych danych w danej jednostce. W praktyce wielu dużych jednostek, w których funkcjonuje wielostanowiskowy system informatyczny rachunkowości pracujący w sieci komputerowej, archiwizowanie danych zasadniczo odbywa się codziennie. Specjalny program uruchamia procedurę tworzenia kopii automatycznie po zakończeniu pracy przez ostatniego użytkownika w systemie informatycznym rachunkowości lub o ustalonej przez administratora godzinie, np. w porze nocnej. Kopie rezerwowe tworzone są najczęściej na oddzielnych serwerach.
Przy określaniu częstotliwości archiwizowania bieżących danych w tym zakresie kierownictwo jednostki powinno brać pod uwagę wiele czynników (patrz ramka).
Czynniki brane pod uwagę przy ustalaniu częstotliwości archiwizowania danych
Ilość i ważność zgromadzonych danych finansowych.
Umiejętności użytkowników systemu.
Stopień zaufania do jakości sprzętu komputerowego, oprogramowania użytkowego i systemu informatycznego rachunkowości.
Czas potrzebny pracownikom do odtworzenia (ponownego wprowadzenia) danych do systemu.
Występowanie dokumentów w postaci zapisu elektronicznego, które wprowadzane są za pośrednictwem urządzeń łączności lub komputerowych nośników danych.
Jednostki ewidencjonujące dokumenty w postaci zapisu elektronicznego i wprowadzające je za pośrednictwem urządzeń łączności lub komputerowych nośników danych zazwyczaj mają obowiązek codziennego wykonywania bieżących kopii rezerwowych zbiorów danych.
Zatem osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze, która bada problem tworzenia rezerwowych kopii danych w jednostce, powinna sprawdzić:
Z obserwacji autorki co do praktyki jednostek sektora finansów publicznych wynika również, że w dużych jednostkach problem bezpieczeństwa danych i systemów jest znacznie lepiej rozwiązywany niż w małych i średnich jednostkach, zarówno od strony technologicznej, jak i administracyjno-organizacyjnej. Dzieje się tak przede wszystkim dlatego, że duże jednostki korzystają z najnowszych rozwiązań informatycznych. Sieciowe systemy operacyjne mogą zostać wyposażone w najnowsze wersje programów służących bezpieczeństwu danych, programów i sprzętu komputerowego. Ponadto specjalistyczny nadzór nad bezpieczeństwem i poprawnością wszystkich procesów sprawuje wysokiej klasy specjalista - administrator systemu. Natomiast w małych i średnich jednostkach, a w szczególności w tych, w których występuje jednostanowiskowy system finansowo-księgowy lub kilka programów rachunkowości obsługiwanych na kilku stanowiskach (niepracujących w sieci), brakuje często zarówno procedur, jak i nadzoru nad bezpieczeństwem danych.
W przypadku małych jednostek sektora finansów publicznych, które prowadzą rachunkowość na pojedynczych stanowiskach komputerowych, należy zastanowić się nad kilkoma kwestiami. Przede wszystkim, czy tworzenie bieżących kopii zbiorów danych rachunkowości (w celu zabezpieczenia się przed wystąpieniem awarii sprzętu komputerowego czy oprogramowania i utratą danych, powstaniem błędów w strukturze zapisywanych danych albo utratą danych z przyczyn losowych, np. z powodu kradzieży sprzętu komputerowego) musi być wykonywane na nośnikach zapewniających trwałość zapisu. Czy cel ich tworzenia i prawdopodobieństwo zajścia takiej sytuacji uzasadnia koszty danego sposobu archiwizacji przez jednostkę?
Zdaniem autorki, w małych jednostkach sektora finansów publicznych do tworzenia codziennych, bieżących kopii rezerwowych można użyć dysków CD/DVD wielokrotnego zapisu i innych nośników. Warunek zapewnienia trwałości zapisu informacji systemu rachunkowości, przez okres nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, bezwzględnie dotyczy tworzenia kopii zbiorów danych, jeśli celem jest przechowywanie ksiąg rachunkowych za dany rok obrotowy w postaci zapisu elektronicznego, a nie bieżących kopii rezerwowych.
Ponadto, ze względu na możliwość uszkodzenia systemu informatycznego rachunkowości w czasie jego eksploatacji, jednostka powinna mieć oryginalną wersję systemu do ponownego zainstalowania. Jeśli w umowie dostawca nie zawarł zastrzeżenia, zaleca się również wykonanie kopii rezerwowych systemu informatycznego rachunkowości. Rezerwowe kopie systemu informatycznego rachunkowości i rezerwowe kopie zbiorów danych powinno przechowywać się w innych pomieszczeniach niż sprzęt, na którym gromadzone są dane oryginalne. Najbardziej odpowiednie byłoby celowo wydzielone pomieszczenie lub specjalny sejf do przechowywania nośników danych (ekranowany przed wpływem pól magnetycznych i odporny na ogień).
Jeśli od dostawcy systemu informatycznego rachunkowości jednostka nie otrzymała oryginalnych dysków z wersją zainstalowanego oprogramowania, wówczas należy zabezpieczyć w umowie możliwość żądania zainstalowania systemu, gdyby nastąpiło jego uszkodzenie w czasie eksploatacji.
Kolejnym istotnym zagadnieniem jest stosowanie przez jednostkę odpowiednich rozwiązań programowych służących ochronie programów i danych systemu informatycznego rachunkowości. Zgodnie z art. 71 ust. 2 uor opracowane przez jednostkę zasady ochrony danych, systemów i sprzętu komputerowego mają przede wszystkim uniemożliwić nieautoryzowany dostęp do programów, danych i sprzętu komputerowego, w wyniku którego mogłaby nastąpić utrata danych lub programów, ujawnienie, pozyskanie lub nieupoważnione ich rozpowszechnienie. Mechanizmy ochrony programowej mogą być zawarte w systemie:
i w samym systemie informatycznym rachunkowości.
Obecnie najczęściej wykorzystywanymi mechanizmami ochrony programowej zabezpieczającymi dostęp do danych i programów w jednostce są:
Logowanie do systemu informatycznego rachunkowości w jednostce sektora finansów publicznych może odbywać się przez porównanie identyfikatora wprowadzonego przez użytkownika z identyfikatorem nadanym przez administratora. W zależności od rozwiązań organizacyjnych unikalny identyfikator (tzw. login) może być przydzielony użytkownikowi lub grupie użytkowników albo terminalowi, programowi lub zbiorowi danych. Oprócz identyfikatora wykorzystywane są metody sprawdzania tożsamości (uwierzytelnienia) użytkowników. Dla tego celu najczęściej są wykorzystywane hasła. Obecnie w jednostkach rzadziej wykorzystuje się metody dialogowe. Metoda dialogowa polegała na zadawaniu pytań przez oprogramowanie oraz udzielaniu odpowiedzi przez użytkownika. Udzielenie prawidłowych odpowiedzi przez danego użytkownika na wszystkie pytania umożliwiało mu dostęp do zasobów określonych jego uprawnieniami. Przy czym dla różnych użytkowników powinny być przewidziane różne zestawy testów. Zbiory pytań i odpowiedzi są przechowywane w zaszyfrowanych zbiorach systemu operacyjnego.
Najprostsza, stosowana w praktyce, ochrona programowa systemu jednostki jest realizowana przez stosowanie systemu haseł dostępu do:
Hasło, będące ciągiem znaków wprowadzonych przez użytkownika, zostaje zaszyfrowane, a następnie jest porównywane z ciągiem zaszyfrowanym zapamiętanym przez komputer. Zgodność tych haseł powoduje udzielenie zezwolenia użytkownikowi na dostęp do zasobów, do korzystania z których jest uprawniony - w przeciwnym razie użytkownik nie rozpocznie pracy w programie. Użytkownicy systemu informatycznego rachunkowości powinni być przeszkoleni w zakresie zasad zmniejszających ryzyko złamania haseł.
Zasady zmniejszające ryzyko złamania haseł
Hasło użytkownika powinno być często zmieniane.
Hasło nie powinno być zbyt łatwe do odgadnięcia, np. nazwisko użytkownika, nazwa komórki organizacyjnej itp.; nie zaleca się, aby użytkownik używał pojedynczych słów - należy mieć na uwadze, że cracker (włamywacz) włamuje się do konta innych użytkowników, posługując się programami słownikowymi; programy tego typu podają jako hasło kolejne wyrazy ze słownika i sprawdzają, czy wynik jest poprawny, zatem połączenie dwóch wyrazów, cyfr i innych znaków w haśle uniemożliwia takiemu włamywaczowi jego odszyfrowanie.
Kolejne hasła nie powinny być tworzone według wzorca, np. maria1, maria2, maria3,
Hasła powinny zawierać kombinację co najmniej ośmiu znaków: małych i dużych liter, cyfr i znaków specjalnych, ponieważ krótkie hasła są często łamane przez programy kombinacyjne.
Można używać niepoprawnej pisowni (np. z błędem ortograficznym) lub akronimów.
Nie należy używać ponownie tych samych haseł po upływie jakiegoś okresu.
Hasło nie powinno być ujawniane innym osobom, nawet współpracownikom w przypadku planowania dłuższego urlopu.
Hasło nie powinno być zapisywane w łatwo dostępnych miejscach, w szczególności w notatniku biurowym, kalendarzu itp.
Hasła powinny być różne przy dostępie do różnych systemów i poczty e-mailowej.
Hasła nie mogą być przechowywane w postaci jawnej lub zaszyfrowanej w komputerze.
Hasło użytkownika nie powinno być wyświetlane na monitorze ani drukowane.
Po uwierzytelnieniu użytkownika system uprawnia go do określonego rodzaju zasobu i wykonywania określonych czynności (np. tylko przeglądanie, przeglądanie i edycja, sporządzanie wydruków). Do tego celu system wykorzystuje macierz uprawnień. Powinna ona być przechowywana w zbiorze informatycznym w postaci zaszyfrowanej.
Osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze w jednostce powinna zbadać, czy system informatyczny rachunkowości wymusza na użytkownikach okresową zmianę hasła i czy procedura zmiany hasła jest stosowana prawidłowo. Należy ustalić, czy system informatyczny rachunkowości co najmniej wymusza na użytkowniku:
Zgodnie z wymogami art. 14 ust. 4 uor w każdym przypadku system informatyczny rachunkowości w jednostce musi identyfikować użytkownika, który wprowadził lub modyfikował dane w systemie informatycznym rachunkowości. W związku z tym każdy użytkownik powinien mieć przypisaną sygnaturę. Sygnatura to symbol (w praktyce są to najczęściej inicjały użytkownika albo inny skrót), którym są oznaczane wszystkie dokumenty powstałe w wyniku czynności użytkownika w systemie. Raz przypisana do użytkownika nie może być już zmieniona w programie. Umożliwia identyfikację osoby, która zaewidencjonowała lub zmodyfikowała dokument w systemie, zaksięgowała dokument lub wprowadziła zapis stornujący dokumentu księgowego. Sygnatura pojawia się na wszystkich wydrukach generowanych z systemu informatycznego rachunkowości.
Omówione wcześniej mechanizmy kontroli dostępu do systemu informatycznego rachunkowości i jego danych w jednostkach występują najczęściej jako trzy kolejne etapy w procesie udzielania użytkownikowi zezwolenia na dostęp do zasobów, do korzystania z których jest uprawniony. Mechanizmy te występują zarówno w systemach autonomicznych, jak i funkcjonujących w sieci komputerowej przy przetwarzaniu rozproszonym. Natomiast szyfrowanie danych, czyli przekształcanie danych, w taki sposób, aby nie mogły być odczytane przez nieupoważnione osoby, ma szczególne znaczenie w przypadku funkcjonowania systemu w sieci komputerowej i przesyłania danych z wykorzystaniem internetu.
Przeprowadzając ocenę programowych mechanizmów ochrony danych w jednostce, należy określić ich rodzaje i umiejscowienie w systemie informatycznym rachunkowości. Funkcjonowanie tych mechanizmów bada się metodą testowania. Osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze, występująca w roli nieuprawnionego użytkownika, powinna usiłować uzyskać dostęp do systemu informatycznego rachunkowości, wprowadzając dowolne identyfikatory i hasła oraz obserwować odpowiedzi systemu. W zależności od rozwiązań programowych system może zareagować następująco:
Ponadto osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze powinna zbadać, czy hasła użytkowników nie są wyświetlane na monitorze ani drukowane oraz czy użytkownicy nie przechowują ich w swoim komputerze (w postaci jawnej lub zaszyfrowanej).
Również występującym w praktyce jednostek rozwiązaniem programowym jest wyposażenie programu w specjalne procedury kontroli w zakresie:
Procedury takie umożliwiają automatycznie wykrywanie niespójności danych w treści zbiorów danych, weryfikują przetwarzanie i ujawniają próby niedozwolonych ingerencji w ich zawartość, po modyfikacji innym narzędziem niż przez wykorzystanie systemu informatycznego rachunkowości.
Kolejnym ważnym elementem samooceny kontroli zarządczej w jednostce jest ustalenie zasad funkcjonowania administrowania hasłami i uprawnieniami użytkowników (zabezpieczenia organizacyjno-administracyjne), a w szczególności:
Osoba pełniąca funkcję administratora w jednostce zazwyczaj pracuje w module zarządzającym współpracą pozostałych modułów wchodzących w skład zintegrowanego systemu. W module administracyjnym realizowane są m.in. następujące funkcje:
W niektórych systemach informatycznych rachunkowości jednostek dla ułatwienia pracy użytkownikom, w sytuacji gdy wystąpią nowe, specyficzne potrzeby, administrator systemu oferuje użytkownikom następujące możliwości:
Funkcja administratora umożliwia nadzór nad pracą wszystkich stacji roboczych i czynnościami wykonywanymi w systemie przez poszczególnych pracowników, a także badania stopnia wykorzystania czasu pracy stacji. Pozwala również badać, który z użytkowników blokuje dostęp do poszczególnych zbiorów systemu.
Do rozwiązań organizacyjno-administracyjnych służących zabezpieczeniu zasobów systemu informatycznego rachunkowości w jednostce zalicza się również wszelkie rozwiązania służące właściwej organizacji eksploatacji systemu.
Rozwiązania służące właściwej eksploatacji systemu
Wyraźne rozdzielenie obowiązków i kompetencji między użytkowników systemu informatycznego rachunkowości.
Kontrola działań użytkowników systemu, m.in. zobowiązanie do przestrzegania tajemnicy służbowej, szkolenie pracowników, zasady postępowania przy zwalnianiu pracownika (zdanie wszelkich własności jednostki zatrudniającej, zmiana haseł, uprawnień i zezwoleń).
Zabezpieczenie biblioteki dokumentacji, systemu informatycznego rachunkowości i zbiorów danych.
Rozdzielenie funkcji informatycznych i rozwojowych od funkcji operacyjnych w systemie informatycznym rachunkowości oraz organizacja służb księgowych i kontrola wewnętrzna.
Zabezpieczenie danych przed pozyskaniem przez osoby z firm współpracujących.
Ustalenie trybu wdrażania nowych wersji poszczególnych podsystemów.
Tworzenie planów działań w trybie awaryjnym oraz odzyskiwania danych po awarii.
Podstawowym elementem systemu zabezpieczeń na poziomie organizacyjno-administracyjnym w jednostce jest odpowiednie rozdzielenie obowiązków i kompetencji między użytkowników systemu. Z organizacyjnego punktu widzenia należy zróżnicować prawa dostępu do systemu informatycznego rachunkowości dla poszczególnych użytkowników. Odbywa się to przez nadanie uprawnień użytkownikom, stosownie do przydzielonego zakresu czynności w dziale księgowości. Wówczas uniemożliwi się osobie, która wprowadza dane do komputera, przypadkowe zaksięgowanie niesprawdzonego dokumentu bądź zmianę w planie kont czy kartotekach pomocniczych itp.
Jeśli w systemie informatycznym rachunkowości w jednostce wyraźnie rozdzielono uprawnienia między użytkowników, to system może ograniczać dostęp do poszczególnych funkcji lub danych (np. osobowych). W zależności od rozwiązań programowych, po identyfikacji użytkownika i po sprawdzeniu jego uprawnień na wykonywanie przypisanych czynności, system informatyczny rachunkowości:
Każdy z użytkowników w jednostce powinien mieć przydzieloną odpowiednią liczbę uprawnień w podsystemach, aby mógł wykonywać powierzone obowiązki. W praktyce osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze może spotkać się z sytuacją, że w małej jednostce nie funkcjonuje procedura przydzielania użytkownikom systemów uprawnień do danych funkcji systemu informatycznego rachunkowości i komputerów.
Uprawnienia, które nadawane są użytkownikom w systemie finansowo-księgowym, obejmują m.in.:
Bufor pełni funkcję pamięci tymczasowej w systemie informatycznym rachunkowości. W buforze umieszczane są dokumenty przed zaksięgowaniem. Przechowywanie ich w buforze do momentu zaksięgowania umożliwia edycję zapisów. Po zaksięgowaniu dokumentów następuje ostateczna aktualizacja obrotów na kontach w księgach rachunkowych. Dokument zaksięgowany może być poprawiony przez wystawienie dokumentu stornującego.
Z organizacyjnego punktu widzenia właściwe byłoby, aby w jednostce tylko uprawniona osoba (np. administrator systemu) zajmowała się przydzielaniem, zmianą lub blokowaniem uprawnień użytkowników w systemie informatycznym rachunkowości. Osoba zarządzająca uprawnieniami powinna prowadzić rejestr użytkowników poszczególnych podsystemów. Zdaniem autorki, rejestr użytkowników podsystemów powinien ujmować wieloletnią historię dostępu wszystkich użytkowników do kolejnych zmodyfikowanych wersji oprogramowania eksploatowanego w jednostce. Powinien zawierać co najmniej:
Drugim elementem systemu zabezpieczeń organizacyjnych w jednostce jest odpowiednie oddzielenie funkcji informatycznych i rozwojowych od funkcji operacyjnych w zakresie:
Należy mieć na uwadze, że w mniejszych jednostkach nie jest możliwe rozdzielenie wszystkich ww. funkcji. Trzeba jednak zapewnić, aby rozdzielono przynajmniej funkcje:
Procedury organizacji służb księgowych obsługujących system informatyczny rachunkowości w jednostce powinny dotyczyć:
W jednostce powinny być opracowane procedury postępowania przy zwalnianiu lub przenoszeniu pracownika na inne stanowisko. Instrukcje powinny obejmować m.in. klauzule dotyczące osób, które miały dostęp do poufnych informacji, oraz zdawania wszelkich własności jednostki zatrudniającej: identyfikatorów, kluczy i urządzeń elektronicznego dostępu, zmianę haseł, uprawnień i zezwoleń.
Użytkownikowi, który pracował w systemie informatycznym rachunkowości, a został przeniesiony na inne stanowisko lub rozwiązał umowę o pracę, należy zablokować dostęp do systemu przez usunięcie jego uprawnień. Danych identyfikacyjnych takiego użytkownika nie usuwa się. Sygnatura i nazwisko użytkownika, któremu zablokowano dostęp, muszą pozostać w programie, aby umożliwić identyfikację wprowadzonych przez niego dokumentów. Przy tym powinno zalecić się zmianę haseł dla współpracowników zwalnianego pracownika.
Osoba odpowiedzialna za bezpieczeństwo zasobów systemu informatycznego rachunkowości w jednostce powinna zobowiązać pisemnie użytkowników do:
Zdaniem wielu autorów bezpieczeństwo danych informatycznych nie jest problemem technologicznym, lecz problemem związanym z mentalnością ludzi i zarządzaniem. Dlatego ważnym elementem jest program uświadamiania zagrożeń, którego głównym celem jest komunikowanie pracownikom o ogromnej wadze zaleceń bezpieczeństwa i szkodach, jakie może spowodować postępowanie niezgodne z nimi. Kierownictwo powinno dopilnować, aby pracownicy rozumieli istotę tych zaleceń i byli zmotywowani do ich stosowania. Szkolenie musi objąć każdą osobę, która ma dostęp do poufnych informacji lub systemów komputerowych, a wiadomości muszą być stale odświeżane i aktualizowane. Z tego względu osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze powinna zbadać, czy przeprowadza się szkolenia dla pracowników w zakresie bezpieczeństwa danych informatycznych.
A zatem kolejnym obszarem czynności osoby przeprowadzającej samoocenę kontroli zarządczej w tym obszarze w jednostce jest ocena:
Kolejne zagadnienie podlegające w jednostce ocenie to zabezpieczenie biblioteki dokumentacji, programów i zbiorów danych, które reguluje również treść artykułów 71 i 72 uor. Ustawa określa ogólne warunki przechowywania i ochrony dokumentacji opisującej zasady rachunkowości oraz zbiorów danych księgowych tworzonych w systemie informatycznym rachunkowości. Ochronie podlegają takie zasoby informatyczne rachunkowości, jak:
Dokumentację tę, a także zbiory danych księgowych - niezależnie od postaci, w jakiej występują (wydruk czy dane na nośnikach komputerowych) - należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem.
Osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze w jednostce powinna sprawdzić, czy opracowano procedury zarządzania biblioteką dokumentacji oraz biblioteką nośników danych. Ważną funkcję pełni w tym zakresie bibliotekarz nośników danych i dokumentacji. Osoba przeprowadzająca samoocenę powinna sprawdzić:
W jednostce rejestr biblioteczny, prowadzony przez bibliotekarza nośników danych i dokumentacji, powinien opisywać przyjęcie i wydanie z biblioteki określonego zbioru danych, programu lub dokumentacji osobom upoważnionym.
Ważnymi elementami nadzoru nad dostępem do zasobów informatycznych powinny być dzienniki pracy sprzętu komputerowego. Dziennik taki zawiera informacje dotyczące pracowników korzystających ze sprzętu, czasu ich pracy oraz rodzaju wykonywanych czynności. Należy podkreślić, że w sytuacji, gdy system operacyjny nie ma możliwości rejestrowania prac wykonywanych na komputerze, powinny być prowadzone ręcznie dzienniki pracy każdego komputera. Wówczas dziennik pracy komputera powinien zawierać następujące informacje:
Istotnym problemem jest także, czy jednostka ma procedury ochrony przed pozyskaniem danych informatycznych przez osoby z firm współpracujących, np. serwisu komputerowego czy serwisu oprogramowania.
Niezwykle istotnym problemem zapewnienia bezpieczeństwa zasobów systemu informatycznego rachunkowości jest dobór stosownych środków ochrony fizycznej i technicznej. Zapobieganie awariom jest znacznie prostsze i tańsze niż usuwanie ich skutków. Dlatego w jednostce powinien być opracowany system organizacyjny fizycznej i technicznej ochrony sprzętu komputerowego, który powinien obejmować:
Ponadto kierownictwo jednostki powinno kontrolować, czy sprzęt komputerowy jest kupowany u dostawcy o uznanej pozycji na rynku oraz czy podczas eksploatacji dokonuje się jego okresowej konserwacji i testowania.
Należy pamiętać, że sprzęt komputerowy narażony jest na skutki zmian napięcia w sieci elektrycznej. W związku z tym sprzęt komputerowy powinien być zasilany przez urządzenia zabezpieczające przed impulsowym wzrostem napięcia i nagłym wyłączeniem zasilania. Zasilacz awaryjny (UPS) pozwala podtrzymać zasilanie przez pewien czas, w którym można dokonać zapisu danych i zamknąć system. Natomiast listwy ochronne jedynie eliminują zakłócenia napięcia występujące w sieci elektrycznej.
W celu zabezpieczenia się przed wirusami komputerowymi użytkownicy systemu informatycznego rachunkowości (w szczególności pracujący na tych samych stanowiskach komputerowych z wykorzystaniem internetu) powinni przestrzegać następujących zasad:
Hakerzy i szpiedzy przemysłowi posługują się programami monitorującymi dla celów komputerowego podsłuchu. Komercyjne programy monitorujące były z początku używane przez pracodawców kontrolujących pracowników w godzinach pracy, czy surfują po internecie zamiast pracować.
Administrator w jednostce, w przypadku awarii sprzętu komputerowego na danym stanowisku, sieci, zasilania, oprogramowania lub wprowadzenia wirusów, powinien zastosować odpowiednie procedury zakończenia pracy z systemem informatycznym rachunkowości, a po usunięciu awarii - umożliwić powrót użytkownikom do systemu i uzupełnienie utraconych danych.
Najczęściej stosowanymi środkami ochrony fizycznej i technicznej w jednostkach są zabezpieczenia polegające na właściwej konstrukcji budynku, sali, instalacji klimatyzacyjnej i elektrycznej, środków ochrony przeciwpożarowej, fizycznej kontroli dostępu do pomieszczeń, w których znajdują się komputery, i pomieszczeń szczególnie ważnych, takich jak serwerownia.
Natomiast najczęściej stosowane środki ochrony przeciwpożarowej w jednostkach to np. czujniki dymu, instalacje gaśnicze, wykorzystanie w konstrukcji budynku materiałów niepalnych, sprawna instalacja odgromowa, ogniotrwałe pojemniki do przechowywania nośników danych. Urządzenia klimatyzacyjne zapewniają stały poziom temperatury, wilgotności i czystości powietrza.
Ochrona techniczno-organizacyjna sprzętu komputerowego wraz z danymi powinna polegać na umieszczeniu ich w zamkniętych pomieszczeniach. Dotyczy to nie tylko serwera sieciowego, ale także komputerów rozmieszczonych w poszczególnych komórkach organizacyjnych jednostki. Powinno się wydzielić i zabezpieczyć technicznie następujące pomieszczenia: ośrodek obliczeniowy, serwerownię, salę komputerową, biblioteki nośników danych, biblioteki dokumentacji systemów, pomieszczenia dystrybucji danych, pomieszczenia z urządzeniami zasilającymi i klimatyzacyjnymi. Nadzór nad dostępem do tych pomieszczeń może być sprawowany przez:
Niedopuszczalne jest pozostawianie otwartego pomieszczenia lub pozostawienie w nim osób trzecich w chwili, gdy w pomieszczeniu nie przebywa żaden z użytkowników systemu informatycznego rachunkowości.
Zdaniem autorki, lista pytań kontrolnych do samooceny fizycznego i technicznego zabezpieczenia dostępu do komputerów powinna obejmować co najmniej następujące pytania:
Czy w jednostce opracowano i wdrożono politykę bezpieczeństwa zasobów informatycznych rachunkowości lub politykę bezpieczeństwa informacji, która obejmuje obszar zasobów informatycznych rachunkowości?
Czy powyższa polityka bezpieczeństwa jest aktualna?
Czy polityka bezpieczeństwa określa wymagania fizycznego i technicznego zabezpieczenia dostępu do komputerów?
Czy sprzęt komputerowy znajduje się w zabezpieczonych pomieszczeniach?
Czy w jednostce są gaśnice, czy sprzęt komputerowy w pomieszczeniach użytkowników jest zabezpieczony przed kradzieżą, zalaniem wodą i innymi zdarzeniami losowymi?
Czy budynki, w których znajdują się zasoby informatyczne rachunkowości, spełniają wymania standardów bezpieczeństwa?
Czy założono systemy alarmowe (monitoring)?
Czy serwer danych znajduje się w wydzielonym i odpowiednio zabezpieczonym pomieszczeniu (klimatyzacja, ochrona przed zalaniem, pożarem, kradzieżą, zabezpieczenia z odpowiednimi atestami)?
Czy istnieje zasilanie awaryjne zabezpieczające przed spadkami napięcia lub całkowitym odcięciem zasilania do:
sprzętu komputerowego,
serwera?
Czy w pomieszczeniach ze sprzętem komputerowym utrzymywana jest czystość?
Czy do sprzętu mają dostęp jedynie osoby upoważnione w godzinach pracy i poza godzinami pracy?
Czy prowadzona jest dokumentacja wydawania pracownikom kluczy, kodów, kart dostępu itp.?
Czy pomieszczenia są zamykane, gdy nikt nie korzysta z urządzeń?
Czy klucze do pomieszczeń są odpowiednio chronione?
Czy jednostka ma plany awaryjne w odniesieniu do systemu informatycznego rachunkowości?
Czy opracowano procedury postępowania w sytuacjach losowych i plany awaryjne?
Czy pracownicy zostali przeszkoleni w sytuacjach losowych i sytuacji awarii?
Czy w jednostce jest spis osób odpowiedzialnych za przywrócenie stanu systemu informatycznego rachunkowości sprzed awarii?
Czy prowadzone są regularne próby procedur odzyskiwania i ponownego wprowadzania danych i oprogramowania? Czy zostały udokumentowane?
Czy zapewniono udostępnienie w odpowiednim czasie alternatywnego sprzętu komputerowego w przypadku zniszczenia własnego sprzętu?
Czy procedury odzyskiwania danych znane są więcej niż jednej osobie?
Czy jednostka ma aktualne umowy serwisowe obejmujące usuwanie wad sprzętu i systemów?
Lista pytań kontrolnych do samooceny zabezpieczenia dostępu do zasobów systemu informatycznego rachunkowości na poziomie organizacyjnym powinna obejmować co najmniej następujące pytania:
Czy opracowano system przydzielania pracownikom uprawnień do korzystania z zasobów informatycznych rachunkowości (klucze, karty wejścia, identyfikatory, certyfikaty elektroniczne, hasła dostępu itp.)?
Czy powołano osobę zarządzającą uprawnieniami użytkowników systemu informatycznego rachunkowości?
Czy sporządzono rejestr użytkowników mających uprawnienia?
Czy rejestr użytkowników zawiera przydział uprawnień do korzystania z odpowiednich funkcji systemu informatycznego rachunkowości zgodnie z kompetencjami (wymogami stanowiska pracy) pracowników księgowości?
Czy rejestr uprawnień użytkowników jest na bieżąco aktualizowany?
Czy opracowano i jak funkcjonują zasady organizacji pracowników działu księgowości obsługujących system informatyczny rachunkowości?
Czy prowadzone są systematyczne szkolenia przy wdrażaniu systemu informatycznego rachunkowości i kolejnych zmodyfikowanych jego wersji?
Czy opracowano i jak funkcjonuje system rozdzielenia funkcji informatycznych i rozwojowych od funkcji operacyjnych w zakresie rachunkowości, czy dotyczy rozdzielenia funkcji:
instalacji oprogramowania,
zarządzania siecią,
administrowania systemem operacyjnym,
serwisowania awarii oprogramowania,
administrowania bazą danych,
serwisowania rozbudowy systemu informatycznego rachunkowości,
kontroli antywirusowej komputerowych nośników danych i systemów,
wprowadzania danych do systemu informatycznego rachunkowości?
Czy sporządzono pisemne zakresy odpowiedzialności i uprawnień użytkowników systemu informatycznego rachunkowości?
Czy opracowano procedury postępowania w przypadkach incydentalnych (awaria systemu, utrata danych itp.) i czy użytkownicy systemu informatycznego rachunkowości mają dostateczną znajomość tych procedur?
Czy opracowano plany odzyskania danych po awarii systemu umożliwiające odtworzenie danych:
na innym sprzęcie komputerowym, poprzez odtworzenie danych z systematycznie i bieżąco sporządzanych rezerwowych kopii danych na nośnikach komputerowych lub
poza siedzibą jednostki, np. w specjalistycznej firmie zajmującej się odzyskiwaniem danych z uszkodzonych dysków komputera lub
w trybie powtórnego manualnego wprowadzenia danych?
Czy zostały udokumentowane i czy są prowadzone regularne próby procedur odzyskiwania i ponownego wprowadzania danych w przypadku awarii systemu informatycznego rachunkowości?
Czy procedury odzyskiwania danych znane są więcej niż jednej osobie?
Lista pytań kontrolnych do samooceny zabezpieczenia dostępu logicznego do danych systemu informatycznego rachunkowości powinna obejmować co najmniej następujące pytania:
Czy jednostka ma aktualną wersję instalacyjną lub rezerwowe kopie z systemu informatycznego rachunkowości lub zabezpieczenie ponownej instalacji systemu w formie umowy serwisowej?
Czy istnieją pisemne procedury tworzenia rezerwowych kopii danych?
Czy systematycznie są sporządzane rezerwowe kopie danych?
Czy te procedury sporządzania rezerwowych kopii danych są stosowane przez osoby, którym ich stosowanie przypisano do obowiązków?
Czy rezerwowe kopie danych tworzone są w regularnych odstępach czasu?
Czy kopie rezerwowe danych i systemu są przechowywane poza siedzibą w innym budynku lub w innym odpowiednio zabezpieczonym pomieszczeniu?
Czy okresowo rezerwowe kopie danych są testowane pod kątem poprawności odtworzenia danych z tych kopii?
Czy prowadzona jest ewidencja wszystkich kopii rezerwowych?
Czy ewidencja kopii rezerwowych zawiera oznaczenie:
datą sporządzenia,
opisem rodzaju danych,
numerem dysku,
identyfikatorem osoby sporządzającej?
Czy informatyczne nośniki danych spełniają warunek trwałości dla kopii ksiąg rachunkowych i sprawozdań finansowych?
Czy użytkownicy systemu informatycznego rachunkowości i inni pracownicy znają obowiązki odnośnie zabezpieczenia i poufności danych?
Czy funkcjonuje system haseł zabezpieczający dostęp do komputera, systemów, poszczególnych funkcji w programach lub wybranych plików?
Czy użytkownicy korzystają z niepowtarzalnych, trudnych do odgadnięcia haseł?
Czy hasła są utrzymywane w tajemnicy i systematycznie zmieniane?
Czy system operacyjny rejestruje dostęp użytkownika? Czy jest on kontrolowany przez administratora systemu?
Czy każdy podsystem informatyczny rachunkowości ostrzega osobę przed próbą obejścia hasła?
Czy w przypadku kilku kolejnych nieudanych prób blokuje dostęp do podsystemu i wymaga kontaktu z administratorem?
Czy możliwy jest dostęp do podsystemu ze stanowisk oddalonych (za pomocą sieci lub modemu)?
Czy do podsystemu ze stanowisk oddalonych jest właściwie kontrolowany przez administratora sieci?
Czy menu systemu informatycznego rachunkowości lub profil użytkownika zapewnia dostęp tylko do danych i funkcji systemu, które są użytkownikowi niezbędne do pracy zgodnie z pisemnym zakresem czynności?
Czy znosi się uprawnienia do systemu informatycznego rachunkowości przy zwalnianiu pracowników lub zmianie miejsca zatrudnienia?
Podsumowując, należy stwierdzić, że osoba dokonująca samooceny w tym obszarze w jednostce sektora finansów publicznych powinna skupić się na sprawdzeniu, czy oprogramowanie i dane przechowywane w systemie informatycznym rachunkowości zostały w dostatecznym stopniu zabezpieczone na poziomie fizycznym, technicznym i organizacyjno-administracyjnym przed dostępem niepowołanych osób, przypadkową lub celowo powodowaną utratą albo zniszczeniem danych finansowych.
W jednostce sektora finansów publicznych źródłem wiedzy o systemie informatycznym rachunkowości dla osoby przeprowadzającej samoocenę kontroli zarządczej w tym obszarze powinna być dokumentacja eksploatacyjna i ewidencyjna systemu informatycznego rachunkowości. Od treści dokumentacji systemu informatycznego rachunkowości, a w dużym stopniu również od jej formy, zależy sprawne wdrożenie i stosowanie systemu w jednostce.
Dokumentację eksploatacyjną systemu informatycznego rachunkowości jednostki otrzymują od producenta oprogramowania. Dokumentacja taka powinna określać, co i kto robi w każdym momencie procesu przetwarzania danych zarówno podczas bieżącej obsługi podsystemów, jak i w sytuacjach awaryjnych. Dokumentacja powinna być jasna, wyczerpująca i umożliwiać stosowanie systemu informatycznego rachunkowości bez współudziału informatyków. Celem dokumentacji eksploatacyjnej powinno być dostarczenie użytkownikowi podstawowych informacji umożliwiających sprawne i efektywne stosowanie systemu informatycznego rachunkowości w jednostce. Zbiór wszystkich zasad i instrukcji eksploatacyjnych powinien jednoznacznie objaśniać użytkownikom potencjalne problemy w trakcie eksploatacji systemu informatycznego rachunkowości oraz umożliwić wprowadzanie wymaganych poprawek. Dokumentacja ta powinna służyć zarówno użytkownikom, audytorom wewnętrznym, jak i audytorom zewnętrznym oraz organom kontrolującym jednostkę w zakresie funkcjonowania systemu informatycznego rachunkowości w jednostce. Stanowi ona jedno z najważniejszych źródeł wiedzy o eksploatowanych podsystemach systemu zarówno dla poszczególnych użytkowników podsystemów, jak i podczas samooceny czy audytu. Dostarcza informacji w szczególności o:
Należy wspomnieć, że obserwacja praktyki poczyniona przez autorkę w zakresie stosowania systemu informatycznego rachunkowości głównie w mniejszych jednostkach sektora finansów publicznych wykazuje, że posiadana przez wiele małych jednostek dokumentacja, którą otrzymały one od producentów oprogramowania, jest często niekompletna, niejasna i nieprecyzyjnie formułowana z punktu widzenia wymogów prowadzenia rachunkowości. Dotyczy to zarówno dokumentacji sporządzanej dla oprogramowania zamawianego indywidualnie na podstawie specyfikacji jednostki, jak i dokumentacji systemów powielarnych, czyli tzw. oprogramowania z półki.
Z tych względów osoba przeprowadzająca samoocenę kontroli zarządczej w jednostce, studiując dokumentację eksploatacyjną systemu, powinna zwrócić uwagę na to, czy zawiera ona również informacje niewymagane przepisami uor, a które ułatwiają czynności kontrolne podczas przeprowadzanej samooceny, audytu czy bieżących czynności kontrolnych wykonywanych przez użytkowników systemu informatycznego rachunkowości. Do takich informacji należy zaliczyć:
Z uwagi na to, że w praktyce jednostek sektora finansów publicznych występuje wiele różnych form organizacji przetwarzania danych, pożądane jest, aby w dokumentacji eksploatacyjnej systemu informatycznego rachunkowości były przedstawione sposoby zachowania i prezentacji śladu rewizyjnego. Ślad rewizyjny oznacza taki ciąg zapisów, który pozwala prześledzić rejestrację operacji we wszystkich fazach przetwarzania - od wprowadzenia do systemu informatycznego rachunkowości aż do wyników końcowych (sald tworzących pozycje sprawozdań) i odwrotnie - dezagregację sald i obrotów aż do poszczególnych zapisów. O zachowaniu śladu rewizyjnego mówi art. 24 ust. 4 pkt l uor, który stanowi, że księgi rachunkowe uznaje się za sprawdzalne, jeśli umożliwiają stwierdzenie poprawności dokonanych w nich zapisów, stanów (sald) oraz działania stosowanych procedur obliczeniowych, a w szczególności udokumentowanie zapisów pozwala na identyfikację dowodów i sposobu ich zapisania w księgach rachunkowych na wszystkich etapach przetwarzania danych.
W rachunkowości informatycznej wyróżnia się również operacyjny ślad kontrolny, który tworzony jest przez oprogramowanie systemowe (systemy operacyjne, systemy zarządzania bazą danych, oprogramowanie sieciowe) lub specjalne programy przeznaczone do tego celu. Kontrolny ślad operacyjny występuje w tworzonym tzw. dzienniku systemowym, kronice zdarzeń itp. W operacyjnym śladzie kontrolnym osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze może przeanalizować zgromadzone informacje, które zawierają m.in. rejestry:
Osoba odpowiedzialna (np. oficer bezpieczeństwa), osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze lub audytor wewnętrzny, na podstawie operacyjnego śladu kontrolnego może stwierdzić naruszenie bezpieczeństwa danych bądź wprowadzenie nielegalnych zmian w programach czy bazach danych. Obecnie istnieją programy, które generują właściwe raporty kontrolne.
Każdy podsystem systemu informatycznego rachunkowości powinien być okresowo weryfikowany. Weryfikacja oprogramowania powinna polegać na:
Jednostka eksploatująca system informatyczny rachunkowości powinna mieć udokumentowaną, aktualną licencję stanowiskową dla każdego podsystemu informatycznego rachunkowości. Należy również okresowo przeprowadzać inwentaryzację zainstalowanego oprogramowania i zweryfikować jego legalność.
Używanie nielegalnego systemu informatycznego rachunkowości naraża jednostkę na wiele konsekwencji. Skutki używania takiego oprogramowania mogą mieć wymiar prawny, wywołać straty finansowe i utratę dobrego wizerunku jednostki. Uzyskiwanie, posiadanie, korzystanie lub kopiowanie systemu informatycznego rachunkowości bez zgody producenta (wyrażonej w licencji) jest zabronione w myśl przepisów prawa.
Kierownictwo lub dział informatyki (jeżeli taki istnieje) powinny sprawować pełną kontrolę nad zasobami informatycznymi w jednostce. Powinny być wdrożone jasne polityki ograniczające używanie własnego i nielicencjonowanego oprogramowania. Pracowników należy zapoznać z zasadami używania oprogramowania i wymagać, aby podpisali oświadczenie o znajomości i przestrzeganiu ustalonych w tym zakresie procedur.
W jednostce należy wyznaczyć osobę odpowiedzialną za zakup programów, ich instalację oraz nadzór nad zasobami informatycznymi. Instalowanie kolejnych wersji systemu informatycznego rachunkowości powinno odbywać się pod kontrolą formalnych procedur: przeprowadzania testów przedwdrożeniowych i przekazania oprogramowania do właściwego miejsca użytkowania. Jednostka powinna przechowywać licencje na wszystkie zainstalowane podsystemy. W trakcie inwentaryzacji powinien zostać sporządzony spis wszystkich programów zainstalowanych na serwerach, komputerach osobistych i notebookach.
W ramach procedur systemu kontroli zarządczej powinno się określić i stosować mechanizmy kontrolne w celu zapewnienia dystrybucji legalnego i poprawnego oprogramowania - do właściwego miejsca i na czas, zachowując istnienie odpowiedniego śladu rewizyjnego. Procedury kontroli instalowania nowych wersji systemu informatycznego rachunkowości powinny być wspomagane przez następujące działania:
Zinwentaryzowane zasoby należy okresowo sprawdzać pod względem zgodności z wymaganiami umów licencyjnych dotyczących systemu informatycznego rachunkowości. Audyt legalności systemu informatycznego rachunkowości można przeprowadzić samodzielnie, wykorzystując odpowiedni program lub skorzystać z usług firm zajmujących się audytem informatycznym. Według zaleceń BSA, ale także zgodnie z racjonalnymi przesłankami, audyt oprogramowania powinien być dokonywany co najmniej raz w roku. Taka okresowa weryfikacja spełnia dwie funkcje - pozwala uporządkować zasoby informatyczne jednostki i ułatwia wykazanie legalności oprogramowania. Tym samym zmniejsza zdecydowanie ryzyko postawienia zarzutów naruszenia praw autorskich producentów oprogramowania. Okresowy przegląd ma jeszcze jeden walor - może być punktem wyjścia przy planowaniu przyszłych zakupów, a więc pozwala na racjonalne zarządzanie budżetem na informatyzację jednostki.
Procedura samodzielnego audytu legalności polega na uruchomieniu na każdym stanowisku komputerowym programu skanującego, który sprawdzi zawartość twardych dysków i sporządzi listę wszystkich programów i plików na nich zainstalowanych. Porównanie liczby posiadanych licencji z liczbą i rodzajem zainstalowanych programów pozwala zweryfikować stan legalnego oprogramowania w jednostce oraz wykryć oprogramowanie nielicencjonowane.
Weryfikując legalność systemu informatycznego rachunkowości, należy sprawdzić pisemne dowody zakupu licencji (faktury lub umowy przekazania), oryginalne nośniki oraz dokumentację eksploatacyjną systemu informatycznego rachunkowości. Należy zwrócić uwagę, że w praktyce najczęściej eksploatacja systemu informatycznego rachunkowości odbywa się na kopiach roboczych wersji licencjonowanej. Jeśli jednostka ma wersję źródłową, to możliwe jest zbadanie, czy aktualnie wykorzystywane kopie robocze aplikacji są zgodne z wersją wzorcową i do kopii roboczej nie wprowadzono zmian, które nie zostały zatwierdzone przez kierownika jednostki. Porównywanie wersji wzorcowej z wersją rzeczywiście eksploatowaną przeprowadza się za pomocą odpowiednich programów rewizyjnych lub poleceń systemu operacyjnego.
W przypadku stwierdzenia różnic między wersjami systemu informatycznego rachunkowości należy zbadać przyczyny. Poważną przyczyną może być mało skuteczna programowa ochrona dostępu do zbiorów systemu informatycznego rachunkowości, skutkiem czego jest możliwość wprowadzania nieupoważnionych zmian w programie. Jeśli stwierdza się wprowadzenie zmian w kopii roboczej bez wprowadzenia ich w wersji źródłowej, należy uznać - niezależnie od przyczyny - że wadliwie funkcjonuje kontrola wewnętrzna. Metoda, która umożliwia bardziej szczegółowe zbadanie systemu informatycznego rachunkowości, polega na jego uruchomieniu z wykorzystaniem zestawu danych testowych przygotowanych przez audytora informatycznego. Stosowanie tej metody jest zalecane zwłaszcza wtedy, gdy po raz pierwszy weryfikuje się działanie nowych programów lub zmienionych wersji.
W pierwszym rozdziale wymieniono obligatoryjne elementy dokumentacji ewidencyjnej systemu informatycznego rachunkowości. W myśl art. 10 uor dokumentacja ta w jednostce powinna spełniać określone wymogi formalne (patrz ramka).
Wymogi formalne dotyczące dokumentacji ewidencyjnej systemu informatycznego rachunkowości
Dokumentacja powinna być sporządzona w formie pisemnej i w języku polskim. Należy przy tym zwrócić uwagę, że uor nie zawiera postanowień zezwalających na posiadanie i przechowywanie dokumentacji wyłącznie na nośnikach czytelnych dla komputera (art. 71 ust. 1 oraz art. 73 ust. 3 uor).
Dokumentacja powinna być aktualna, wyczerpująca, przejrzysta i kompletna. Te wymagania oznaczają konieczność uwzględniania wszelkich zmian przy wprowadzaniu kolejnych wersji podsystemów rachunkowości (art. 10 ust. 2 uor).
Dokumentację należy sporządzić w kilku egzemplarzach, przy czym przynajmniej jeden z nich powinien być przechowywany w całości pod ochroną, jako egzemplarz wzorcowy, a pozostałe egzemplarze mogą być rozdzielane użytkownikom.
Dokumentacja powinna być przechowywana w sposób należyty, chroniona przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem przez okres ważności i dodatkowo przez 5 lat po tym okresie.
Przepisy uor stanowią, że jednostka obligatoryjnie jest zobowiązana do sporządzenia wykazu zbiorów danych tworzących księgi rachunkowe na nośnikach czytelnych dla komputera. Systemy przeznaczone do obsługi księgowości mniejszych podmiotów zbudowane są zwykle na prostych bazach danych, w których przechowywane są zbiory zawierające księgi rachunkowe. W małych jednostkach wykaz zbiorów danych, tworzących komputerowe księgi rachunkowe w systemie informatycznym rachunkowości, może sporządzić informatyk lub doświadczony użytkownik. O tym, jaki system zarządzania bazą danych był użyty przy tworzeniu programu oraz które zbiory zawierają dane rachunkowości, niekiedy można stwierdzić, analizując trzyznakowe rozszerzenia plików lub nazwy plików. Należy pamiętać, że księgi rachunkowe nie zawsze jednak są zawarte w zbiorach fizycznych systemu. Wówczas na podstawie zbiorów fizycznych podczas przetwarzania danych tworzone są zbiory logiczne zawierające dane ksiąg rachunkowych.
Dokument stanowiący wykaz zbiorów danych tworzących księgi rachunkowe na informatycznych nośnikach danych w jednostce powinien zawierać dwa istotne opisy:
W pierwszej części dokumentu powinny być wymienione nazwy zbiorów danych, które w jednostce stanowią księgi rachunkowe. Mogą być podane również nazwy plików pomocniczych, np. zawierających zakładowy plan kont, kartoteki kontrahentów, pracowników, urzędów, słowniki oraz pliki zawierające parametry stałe i inne, które wspomagają proces tworzenia, przechowywania i prezentacji danych ksiąg rachunkowych.
W wykazie zbiorów stanowiących księgi rachunkowe powinna być podana ścieżka dostępu do miejsca, w którym pliki z danymi finansowymi jednostki są przechowywane (oznaczenie dysku, nawa katalogu, podkatalogu). Ponadto w sporządzanym wykazie zbiorów danych tworzących księgi rachunkowe musi być informacja o tym, jaki podsystem informatyczny rachunkowości tworzy i obsługuje wymienione w dokumencie zbiory.
Drugą część tego dokumentu stanowić powinien opis wzajemnych powiązań i funkcje zbiorów danych w organizacji całości procesów przetwarzania. W dokumencie tym opis może mieć charakter ogólny, jeśli szczegółowa charakterystyka znajduje się w dokumentacji eksploatacyjnej programu.
W myśl uor każda jednostka zobowiązana jest również mieć dokument zawierający wykaz programów rachunkowości informatycznej stosowanych w jednostce wraz z określeniem ich wersji i daty rozpoczęcia eksploatowania. Nie ma obowiązku zatwierdzania osobno do używania każdej zmienionej wersji programu.
Zdaniem autorki, dokumentem zupełnie pominiętym w przepisach uor, który powinien się znaleźć w zestawie dokumentacji ewidencyjnej systemu informatycznego rachunkowości, jest raport z przeprowadzonego testowania na etapie wdrożenia do eksploatacji zarówno systemu informatycznego rachunkowości lub jego podsystemu, jak i jego kolejnych wersji. Dokumentacja taka powinna zawierać zestaw danych testowych oraz opis wyników testowania, określenie okresów stosowania poszczególnych wersji podsystemu oraz opis zmian dokonywanych w podsystemie.
Z praktycznego punktu widzenia dla celów ewidencji zmian wersji poszczególnych podsystemów rachunkowości w jednostce wskazane byłoby posiadanie niezbędnych informacji o każdym z podsystemów, w postaci szczegółowych kartotek. Takie kartoteki stanowić mogą karty informacyjne systemów (modułów), zawierające najważniejsze, z punktu widzenia administracyjno-organizacyjnego informacje o każdym z użytkowanych systemów w rachunkowości jednostki.
Zdaniem autorki, przykładowa karta informacyjna podsystemu powinna składać się z kilku elementów wyczerpujących zakres podstawowych informacji administracyjno-organizacyjnych, a także wymaganych przez uor.
Elementy karty informacyjnej
Protokół przyjęcia pierwszej wersji programu (podsystemu) do eksploatacji.
Dokument ewidencji zmian wersji programu (podsystemu), który zawiera historię użytkowania poszczególnych jego wersji (zamiast tego dokumentu można np. załączać do karty informacyjnej kolejne protokoły wdrożeń zmian wersji oprogramowania).
Dokument ewidencji użytkowników programu (podsystemu), który zawiera historię przydziału i zniesienia uprawnień użytkowników dla poszczególnych jego wersji.
W przypadku przyjęcia takiego sposobu dokumentowania oprogramowania aktualizowanie takiego wykazu następuje każdorazowo wraz z wprowadzeniem nowej wersji oprogramowania do eksploatacji.
Kolejnym elementem dokumentacji w jednostce jest opis przeznaczenia każdego programu i sposobu jego działania. Standardowy zestaw dokumentacji dostarczanej przez producentów wraz z oprogramowaniem w ramach dokumentacji eksploatacyjnej powinien składać się co najmniej z:
Przepisy uor wymagają, aby dokumenty opisujące przeznaczenie każdego podsystemu rachunkowości, sposób działania oraz wykorzystanie podczas przetwarzania danych zawierały wyczerpujący opis procedur, funkcji, algorytmów i parametrów przetwarzania danych, reguł kontroli danych, a także sposobów uzyskiwania danych w postaci wydruków. Zakres informacji, których ujawnienia wymaga art. 10 ust. 3b uor, w większości przypadków zawierają instrukcje obsługi dla użytkowników systemu informatycznego rachunkowości.
Dokumentacja systemu dla użytkownika
Opis systemu informatycznego rachunkowości (każdego podsystemu) i jego przeznaczenie.
Schemat ogólny funkcjonowania systemu informatycznego rachunkowości i przepływu danych między poszczególnymi podsystemami.
Opis procedur i czynności umożliwiających przygotowanie systemu informatycznego rachunkowości do pracy.
Zakres i opis funkcji prezentowanych w postaci tzw. menu podsystemów systemu informatycznego rachunkowości.
Struktura zbiorów danych.
Opis procedur wprowadzania danych oraz procesu aktualizacji zbiorów, wraz z załączonymi próbkami dokumentów i prezentacją obrazu monitora w tych procesach.
Zasady postępowania z ujawnionymi błędami, dokonywanie korekt i storn.
Opis najczęstszych błędów użytkowników i sposoby ich eliminacji.
Stosowane procedury obliczeniowe i kontrolne oraz punkty kontrolne i metody nadzoru nad prawidłowością przetwarzania danych.
Opis algorytmów i parametrów przetwarzania danych.
Sposób realizacji śladu rewizyjnego każdej zagregowanej wielkości.
Postać raportów i sprawozdań wraz z próbkami wydruków i ich opisem.
Zasady uzyskiwania informacji wynikowych wraz z opisem obrazów ekranów wyświetlanych informacji.
Sposób przekazywania informacji między podsystemami rachunkowości a systemem finansowo-księgowym.
Sposoby archiwowania i odtwarzania danych.
Przyjęte sposoby ochrony danych oraz postępowania niezbędnego dla weryfikacji zawartości ksiąg rachunkowych.
Instrukcja zawierająca podstawowe zasady postępowania w sytuacjach awaryjnych, np. spowodowanych trwałym uszkodzeniem sprzętu, wyłączeniem prądu w trakcie pracy.
W opisie reguł obliczeniowych, ewidencji, księgowania, kontroli i wydruku danych powinny zostać omówione m.in. następujące zagadnienia dotyczące systemu finansowo-księgowego:
Obligatoryjnym dokumentem w jednostce jest także opis organizacyjnych i programowych rozwiązań zapewnienia właściwego stosowania i ochrony systemów, danych i sprzętu komputerowego. Ustanowienie zasad zapewnienia właściwego użytkowania i ochrony systemów, danych i sprzętu komputerowego oraz ich stosowanie ma na celu m.in.:
Jednostka, aby zrealizować postanowienia uor, powinna przygotować instrukcję ochrony danych i systemu ich przetwarzania oraz ochrony sprzętu informatycznego. W dokumencie powinny znaleźć się zapisy o systematycznym tworzeniu kopii rezerwowych danych i ksiąg rachunkowych. Jeśli przyjęty system ochrony danych na komputerowych nośnikach nie zapewniałby trwałości zapisu informacji przez czas nie krótszy od wymaganego ustawą, czyli co najmniej przez 5 lat, wówczas księgi rachunkowe należy wydrukować nie później niż na koniec roku obrotowego.
Należy podkreślić, że systemy informatyczne rachunkowości obsługiwane na pojedynczych stanowiskach niewłączonych do sieci najczęściej zawierają wbudowane mechanizmy umożliwiające samodzielne wykonywanie rezerwowych kopii danych. Kopie rezerwowe wykonuje się przy użyciu specjalnych programów zakupionych zwykle wraz z oprogramowaniem finansowo-księgowym. Ponadto system informatyczny rachunkowości może również mieć wbudowaną funkcję informowania użytkownika o konieczności archiwizacji danych. W praktyce autorka spotkała się z dwoma rozwiązaniami, które funkcjonują w systemach informatycznych rachunkowości:
Lista pytań kontrolnych do samooceny obligatoryjnej dokumentacji systemu informatycznego rachunkowości powinna obejmować co najmniej następujące pytania:
Czy dokumentacja systemu informatycznego rachunkowości jest zgodna z wymogami uor i zawiera:
opis realizacji funkcji systemu informatycznego rachunkowości,
opis przeznaczenia każdego podsystemu i jego działania (procedury obliczeniowe, kontrola procesu przetwarzania, wyniki itp.),
wykaz zbiorów stanowiących księgi rachunkowe na informatycznych nośnikach danych z określeniem ich struktury oraz funkcji w procesach przetwarzania,
opis sposobów kontroli danych i procedury postępowania z ujawnionymi błędami,
opis postaci informacji wynikowych na wydruku papierowym i ekranie monitora,
opis zasad ochrony programowej i fizycznej zasobów informatycznych rachunkowości,
opis realizacji śladu rewizyjnego,
opis sposobów oraz zasad przekazywania i kontroli danych między podsystemami informatycznymi rachunkowości,
opis zasad integracji podsystemów,
opis sposobów zatwierdzania systemu informatycznego rachunkowości (podsystemów) do eksploatacji?
Czy wydrukowana dokumentacja ewidencyjna systemu informatycznego rachunkowości oraz jej kopie na nośnikach informatycznych są przechowywane w warunkach zapewniających jej trwałość, czytelność i nienaruszalność przez wymagany czas zgodnie z wymaganiami uor?
Czy dokumentacja ewidencyjna systemu informatycznego rachunkowości jest na bieżąco aktualizowana?
Czy dokumentacja eksploatacyjna systemu informatycznego rachunkowości oraz jej kopie zapasowe na nośnikach są przechowywane w warunkach zapewniających jej trwałość, czytelność i nienaruszalność przez wymagany czas zgodnie z wymaganiami uor?
Czy dokumentacja eksploatacyjna systemu informatycznego rachunkowości jest na bieżąco aktualizowana wraz z przyjęciem do użytkowania nowych wersji programów?
Opis przyjętych do stosowania sposobów ochrony zasobów informatycznych w jednostce powinien jasno przedstawić użytkownikom i osobom kontrolującym system zabezpieczeń na poziomie programowym, sprzętowym, fizycznym, technicznym i administracyjno-organizacyjnym.
Osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze w jednostce powinna zapoznać się z dokumentacją dotyczącą systemu kontroli wewnętrznej w obszarze organizacji środowiska informatycznego rachunkowości. Zdaniem autorki dokumentacja systemu kontroli zarządczej powinna obejmować opis procedur związanych z:
Instrukcja dotycząca fizycznego transportu informatycznych nośników danych w jednostce powinna dotyczyć zarówno dokumentów papierowych, jak i danych umieszczonych na nośnikach komputerowych. Powinna ona określać środki zabezpieczenia związane zarówno z transportem wewnętrznym, jak i zewnętrznym. W szczególności w instrukcji należy uregulować kwestie dotyczące:
Szczególne znaczenie z punktu widzenia kompletności danych w jednostce mają dokumenty towarzyszące spedycji informatycznych nośników danych. Powinny one zawierać następujące informacje:
Podane czynności wiążą się z opracowaniem instrukcji, która zawiera sposoby postępowania w tym zakresie. Osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze powinna zbadać, czy była ona przestrzegana w rzeczywistości na podstawie zapisów w dokumentacji w jednostce.
Większe jednostki sektora finansów publicznych opracowują dokument zawierający politykę bezpieczeństwa informacji lub politykę zasobów informatycznych. W normach ISO zaleca się, aby polityka bezpieczeństwa informacji zawierała co najmniej:
Zalecane w ISO uzupełniające elementy dokumentacji polityki bezpieczeństwa to:
Dokument polityki powinien zostać zatwierdzony przez kierownictwo, opublikowany i udostępniony w odpowiedni sposób wszystkim pracownikom. Powinien on deklarować zaangażowanie kierownictwa i wyznaczać podejście jednostki do zarządzania bezpieczeństwem informacji. Polityka musi mieć właściciela, który jest odpowiedzialny za jej stosowanie i dokonywanie regularnego przeglądu:
W wielu dużych jednostkach sektora finansów publicznych dla niektórych systemów wymaga się przygotowania oddzielnych polityk bezpieczeństwa, które powinny opierać się na przeglądach analizy ryzyka. Zwykle jest tak w przypadku dużych i złożonych systemów, a także systemów, które wprowadzają unikalne i szczególne czynniki ryzyka, niewystępujące w przy innych systemach danej jednostki. Polityka bezpieczeństwa systemu informatycznego powinna być zgodna z główną polityką bezpieczeństwa informacji w jednostce. Powinna odnosić się do kwestii ryzyka w sposób bardziej szczegółowy niż w polityce bezpieczeństwa jednostki. Poza tym powinna zawierać szczegóły dotyczące wymaganych zabezpieczeń oraz uzasadniać konieczność ich wprowadzenia. Winna opierać się na wynikach analizy ryzyka. Przyjęte zabezpieczenia powinny zapewnić, że dla systemu osiągnięto odpowiedni poziom ochrony.
Przykładowo polityka bezpieczeństwa systemu informatycznego rachunkowości i związane z nią dokumenty w jednostce sektora finansów publicznych powinny zawierać:
Uzupełnieniem tego opisu w jednostce jest wykaz budynków i pomieszczeń z zasobami informatycznymi oraz ich zabezpieczeń fizycznych, technicznych, programowych i organizacyjno-administracyjnych, spis konfiguracji zasobów informatycznych, spis urządzeń szyfrowania danych i standardów szyfrowania, lista kontrahentów i podmiotów zewnętrznych z dostępem do zasobów systemowych itp.
Dla polityki bezpieczeństwa w dużych jednostkach zazwyczaj tworzy się plan bezpieczeństwa dla każdego systemu informatycznego, który określa sposób wdrożenia wymaganych zabezpieczeń. Jest dokumentem koordynacyjnym opisującym działania, które należy podjąć w celu wdrożenia wymaganych zabezpieczeń w systemie informatycznym. Powinien określać koszty oraz harmonogram wdrażania, według priorytetów określonych na podstawie ryzyka dla danego systemu informatycznego, zgodnie z opisem sposobu wdrażania zabezpieczeń i metodą osiągnięcia odpowiedniego poziomu bezpieczeństwa. Powinien zawierać także zestaw procedur po wdrożeniu, umożliwiających utrzymanie założonego poziomu bezpieczeństwa. Dokument ten powinien obejmować:
Niezależnie od wielkości jednostki należy przewidzieć możliwość wystąpienia sytuacji awaryjnej (awaria sprzętu, oprogramowania lub zdarzenia losowe) oraz opracować politykę utrzymania ciągłości działania systemów lub plan ciągłości działania (Business Continuity Plan) oraz szczegółowe plany postępowania w sytuacjach awaryjnych. Sytuacje awaryjne stanowią istotne zagrożenia dla systemu informatycznego rachunkowości. Mogą przynieść także katastrofalne skutki dla jednostki w przyszłości. Aby zmniejszyć to zagrożenie oraz uniknąć skutków takich zdarzeń, jednostka powinna opracować, przetestować, a w razie konieczności zrealizować następujące plany postępowania w sytuacjach awaryjnych:
Wszystkie dokumenty planów w jednostce powinny zawierać co najmniej:
Istnienie ww. planów stanowi jeden z warunków zapewnienia ciągłości funkcjonowania systemu informatycznego rachunkowości w jednostce. Dlatego należy sprawdzić:
Plan ciągłości działania powinien być zaakceptowany przez kierownika jednostki, powinien być zgodny z planem działalności, aktualny, testowany i rozpowszechniony w jednostce.
Ponadto wiele jednostek opracowuje dodatkowe polityki operacyjne w obszarze informatyki, które mogą obejmować np.:
Dla przykładu w polityce rozwoju systemów informatycznych w przypadku zakupu nowego systemu informatycznego polityka powinna zakładać co najmniej: limity wartościowe dotyczące zakupów oprogramowania, metody pozyskania ofert, metody i warunki wyboru dostawcy, indywidualne, pisemne akceptacje przed dokonaniem transakcji, sposoby testowania oprogramowania, indywidualne, pisemne akceptacje potwierdzające dokonanie transakcji oraz zasady weryfikowania procesu transakcji i wdrażania oprogramowania do eksploatacji wraz z jego dokumentacją.
Podsumowując, należy stwierdzić, że posiadana dokumentacja ewidencyjna i eksploatacyjna systemu informatycznego rachunkowości w jednostce sektora finansów publicznych powinna spełniać wymogi określone w przepisach uor. Dokumentacja ta powinna być sporządzona w języku polskim. Ponadto powinna być aktualna, kompletna, precyzyjna i zrozumiała dla osób, które z niej korzystają.
Należy mieć na uwadze, że o właściwym kształtowaniu systemu kontroli zarządczej w jednostce stanowi wiele innych dokumentów, które odnoszą się do różnych komponentów tego systemu w środowisku informatycznym rachunkowości. Dokumentacja powinna być również aktualna, kompletna, precyzyjna i zrozumiała dla osób, które z niej korzystają.
W tym rozdziale odniesiono się do procesu samooceny kontroli zarządczej w obszarze:
Pierwszy etap samooceny dotyczącej wiarygodności systemu informatycznego rachunkowości w jednostce sektora finansów publicznych to procedura oceny zasad gromadzenia i wprowadzania danych w tym systemie, w szczególności w systemie finansowo-księgowym.
Wszystkie dokumenty księgowe, zanim znajdą się w bazie danych systemu informatycznego rachunkowości, powinny przechodzić zawsze przez kilka faz kontrolnych. Podczas tych faz są wykonywane określone czynności kontrolne, takie jak:
Ostatni z tych etapów prowadzi bezpośrednio do ujęcia dokumentów księgowych w księgach rachunkowych w systemu informatycznego rachunkowości. Należy podkreślić, że wprowadzenie dokumentów do tzw. bufora systemu aktualizuje stany w sprawozdaniach sporządzanych pro forma, generowane na życzenie użytkownika systemu w czasie rzeczywistym.
W tym momencie można już na bieżąco obserwować stany na kontach oraz kwoty zagregowane w poszczególnych pozycjach bilansu oraz rachunku zysków i strat.
Tradycyjnie księgowanie operacji gospodarczych na kontach w systemie informatycznym rachunkowości odbywa się w ujęciu:
Zbiory danych i informacji w systemie informatycznym rachunkowości na różnych etapach przetwarzania mają różną treść i w zależności od stopnia przekształcenia przyjmują różne nazwy. Zbiory na wejściu systemu to dokumenty księgowe, zbiory związane z przetwarzaniem są księgami rachunkowymi, natomiast zbiory na wyjściu to sprawozdania finansowe i budżetowe. Należy pamiętać, że o właściwym przetwarzaniu danych w systemie informatycznym rachunkowości decydują również zbiory danych stałych, takie jak: zakładowy plan kont oraz zbiory kartotek i słowników, które aktualizowane są w trakcie pracy systemu.
Mechanizmy kontroli na etapie gromadzenia danych, które będą wprowadzone do systemu informatycznego rachunkowości w jednostce, powinny obejmować czynności kontrolne o charakterze organizacyjno-administracyjnym. Można je podzielić na dwie grupy:
Zdaniem autorki, lista pytań kontrolnych do samooceny gromadzenia i wprowadzania danych księgowych w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:
Czy dane wprowadzane do systemu informatycznego rachunkowości są udokumentowane za pomocą prawidłowych, sprawdzonych i zadekretowanych dokumentów księgowych (źródłowych)?
Ocena na podstawie wyrywkowo wybranych X dowodów księgowych:
dowód oznaczony jest co do rodzaju,
dowód zawiera wymagany opis stron transakcji,
dowód zawiera treść operacji, wartość i ilość (jeśli jest wymagana),
dowód zawiera datę dokonania operacji (i sporządzenia dowodu),
podpis wystawcy dowodu (jeśli jest wymagany),
dowód zawiera stwierdzenie sprawdzenia, zakwalifikowania do ujęcia w księgach i sposobu dekretacji wraz z podpisem osoby odpowiedzialnej?
Czy wszystkie udokumentowane operacje wprowadzane do systemu informatycznego rachunkowości są porównywane z dokumentem księgowym przed zaksięgowaniem, a źródłowy dowód księgowy jest opisany numerem wygenerowanym z systemu?
Czy dane wprowadzane do systemu informatycznego rachunkowości są wprowadzane automatycznie za pośrednictwem urządzeń teleinformatycznych i uzyskują postać i moc dowodu księgowego?
Czy dane wprowadzane do systemu informatycznego rachunkowości są wprowadzane z komputerowych nośników danych i uzyskują postać nadającą im moc dowodu księgowego?
Czy dane wprowadzane do systemu informatycznego rachunkowości są tworzone według algorytmu programu na podstawie informacji zawartych w księgach i uzyskują postać nadającą im moc dowodu księgowego?
Czy dane wprowadzane do systemu finansowo-księgowego są przenoszone automatycznie z innego podsystemu informatycznego rachunkowości i uzyskują postać nadającą im moc dowodu księgowego?
Czy źródło danych wprowadzanych do systemu informatycznego rachunkowości ma wszystkie cechy wymagane przez uor dla dokumentu księgowego?
Czy dla użytkowników systemu informatycznego rachunkowości dostępne są pisemne procedury kontroli źródeł danych wprowadzanych do poszczególnych podsystemów?
Czy zapisy wprowadzane automatycznie, tj. za pośrednictwem urządzeń teleinformatycznych, komputerowych nośników danych lub tworzonych według algorytmu programu zapewniają wszystkie niezbędne dane?
Czy zapisy wprowadzane automatycznie uzyskują trwałą czytelną postać zgodnie z treścią odpowiednich dowodów księgowych?
Czy zapisy wprowadzane automatycznie umożliwiają stwierdzenie źródła ich pochodzenia?
Czy zapisy wprowadzane automatycznie pozwalają na ustalenie osoby odpowiedzialnej za ich wprowadzenie?
Czy zapisy wprowadzane automatycznie zapewniają sprawdzenie poprawności przetwarzania odnośnych danych oraz kompletności i identyczności zapisów?
Czy system informatyczny rachunkowości zapewnia odpowiednią ochronę zapisów, tj. ich niezmienność przez okres wymagany do przechowywania danego rodzaju dokumentów księgowych?
Czy system informatyczny rachunkowości wymusza wprowadzenie całej treści dowodu zgodnie z wyświetloną maską formatu dokumentu, określającego liczbę znaków w danym polu, postać daty, liczbę znaków przed lub po kropce dziesiętnej itp.?
Czy system informatyczny rachunkowości automatycznie wprowadza i blokuje dostęp do pozycji data księgowania, data operacji gospodarczej, data dokumentu?
Czy system informatyczny rachunkowości w przypadku wprowadzania błędnych, niekompletnych lub nieprawdopodobnych danych do systemu zablokuje wprowadzenie takich danych oraz informuje użytkownika sygnałem dźwiękowym lub wyświetleniem ostrzeżenia?
Czy system informatyczny rachunkowości automatycznie wprowadza do treści zapisu identyfikator osoby wprowadzającej dane?
Czy procedura wprowadzania danych do systemu informatycznego rachunkowości umożliwia poprawne wznowienie wprowadzania zapisów po awarii sprzętu lub oprogramowania?
Czy istnieje niezależny proces zatwierdzania danych, który sprawdza, czy wszystkie dane wejściowe i polecenia są poprawne?
Czy w przypadku ujawnienia przez kontrole danych błędnych, niekompletnych lub nieprawdopodobnych system informatyczny rachunkowości sygnalizuje prawdopodobną przyczynę błędu?
Czy w przypadku ujawnienia przez kontrole danych błędnych, niekompletnych lub nieprawdopodobnych w dokumencie system informatyczny rachunkowości automatycznie:
umieszcza błędny dokument w zbiorze księgowań do wyjaśnienia lub wyłącza go ze zbioru dowodów do księgowania albo
umieszcza błędny dokument w zbiorze księgowań z sygnalizacją błędów, a w przypadku podjęcia próby zaksięgowania - sygnalizuje o błędach w treści dokumentu?
Czy przy przekazywaniu zbiorów danych między podsystemami rachunkowości system zapewnia wydruk kontrolny z podsystemu przekazującego, zawierający co najmniej:
liczbę przekazanych zapisów,
sumy kontrolne podstawowych wielkości,
datę,
cechy identyfikujące zbiór?
Czy system informatyczny rachunkowości przekazuje wyraźne komunikaty o poprawnym przebiegu przekazywania zbiorów między podsystemami lub o wystąpieniu błędu?
Czy przy przekazywaniu zbiorów danych między podsystemami rachunkowości system potwierdza w podsystemie odbierającym kontrolę otrzymanego zbioru (identyfikacja zbioru, kodu lub numeru pliku, kontrola liczby zapisów, sumy kontrolne, data odbioru)?
Czy przy przekazywaniu zbiorów danych między podsystemami rachunkowości system ma zabezpieczenie przed powtórnym wprowadzeniem tego samego zbioru?
Czy istnieją jasne wskazówki dotyczące powtórnego przetwarzania po wystąpieniu błędów?
Czy dowody księgowe są kolejno numerowane w systemie finansowo-księgowym i możliwa jest ich bezpośrednia identyfikacja z zapisami na kontach ksiąg pomocniczych i/lub kontach księgi głównej?
Czy dowody księgowe są odpowiednio przechowywane?
W jednostce sektora finansów publicznych celem konstruowania mechanizmów kontroli na etapie przetwarzania danych jest zapewnienie kompletności, rzetelności i terminowości przetwarzania danych księgowych oraz zabezpieczenia dostępu do nich przez osoby nieupoważnione. System kontroli wewnętrznej w środowisku informatycznym powinien zapewnić:
Podczas samooceny poprawności przetwarzania danych w jednostce osoba ją przeprowadzająca powinna zbadać następujące zagadnienia, które dotyczą funkcjonowania mechanizmów kontrolnych:
Ustalenie funkcjonujących mechanizmów kontrolnych wymaga prześledzenia przepływu danych w systemie informatycznym rachunkowości i przeanalizowania ich pod kątem kilku aspektów.
Podczas samooceny w pierwszej kolejności poszukuje się śladu rewizyjnego dla wybranych do testowania dokumentów księgowych w postaci papierowej lub elektronicznej, które były podstawą ewidencji operacji gospodarczych. Oceny dostępności ścieżki rewizyjnej dokonuje się poprzez prześledzenie raportowanych informacji od zapisu końcowego, poprzez poszczególne etapy przetwarzania, aż do danych źródłowych.
W środowisku informatycznym szczególnie ważną rolę odgrywają zbiory danych stałych i dane technologiczne, których istnienie i poprawność decydują o właściwej realizacji procedur przetwarzania danych księgowych. Dane stałe służą najczęściej do:
Natomiast dane technologiczne decydują o właściwym przebiegu przetwarzania rejestrowanych informacji. Przyjmują one najczęściej postać trzech grup parametrów: wejściowych, przetwarzania i edycji. Ponadto poprawność przetwarzania danych zależy od właściwie zbudowanych algorytmów przetwarzania. Jeśli system informatyczny rachunkowości dysponuje bezbłędnymi algorytmami, to można mieć pewność, że nie są obarczone błędami następujące czynności:
Wykorzystywane w systemie informatycznym rachunkowości procedury i metody, przyjęte zgodnie z wymaganiami uor, muszą być związane z:
Zdaniem autorki, lista pytań kontrolnych do samooceny poprawności przetwarzania danych księgowych w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:
Czy system informatyczny rachunkowości zapewnia możliwość prześledzenia zapisu księgowego (tj. ścieżki rewizyjnej), począwszy od zapisu końcowego poprzez poszczególne etapy aż do danych źródłowych?
Czy system informatyczny rachunkowości umożliwia weryfikację procedur obliczeniowych na podstawie wydruku danych, algorytmów i wyników?
Czy zmiany (wprowadzenie, modyfikacja i usunięcie) parametrów przetwarzania danych są dokonywane tylko przez osoby uprawnione?
Czy parametry przetwarzania danych są automatycznie dokumentowane w postaci raportu zmian parametrów, który zawiera co najmniej: zestawienie nowych wartości parametrów lub zestawienie poprzednich i nowych wartości parametrów, a także identyfikator osoby wprowadzającej zmiany.
Czy wyniki przetwarzania są sprawdzane pod kątem kompletności?
Czy zmiany parametrów przetwarzania danych są kontrolowane przez innych użytkowników poprzez wyświetlenie na ekranie lub wydruk aktualnych wartości parametrów przetwarzania?
Czy system informatyczny rachunkowości zapewnia kontrolę zbiorów pod względem poprawności przetwarzania danych (np. sumy kontrolne, zliczanie rekordów itp.) co najmniej przed sporządzeniem sprawozdań oraz rezerwowych kopii bezpieczeństwa?
Czy system informatyczny rachunkowości zapewnia ograniczenie uprawnień użytkowników tylko do dozwolonych im funkcji w systemie?
Czy system informatyczny rachunkowości przekazuje wyraźne komunikaty o poprawnym przebiegu przetwarzania lub o wystąpieniu błędu?
Czy system informatyczny rachunkowości zapewnia poprawne wznowienie działania po awarii sprzętu lub oprogramowania?
Czy istnieją jasne wskazówki dotyczące powtórnego przetwarzania po wystąpieniu błędów lub awarii?
Czy istnieją przejrzysty i udokumentowany harmonogram przetwarzania danych w systemie informatycznym rachunkowości oraz instrukcje obsługi dla użytkowników?
Czy istnieją jasne wskazówki dotyczące powtórnego przetwarzania po wystąpieniu błędów?
Przy konstruowaniu mechanizmów kontroli przetwarzania danych księgowych w systemie informatycznym rachunkowości należy ustalić zasady:
Prawo bilansowe zawiera także wiele wymogów dotyczących postępowania z poszczególnymi komputerowymi księgami rachunkowymi. W jednostkach sektora finansów publicznych dotyczą one następujących zagadnień:
Dekretacja dokumentów księgowych w systemie informatycznym rachunkowości zawsze odbywa się zgodnie z tradycyjną metodą podwójnego zapisu. Podstawową czynnością jest tu określenie kont przeciwstawnych, na których dokument księgowy ma być zaewidencjonowany. Dekretacja następuje w wyniku analizy treści dowodu księgowego i jej skonfrontowania z zakładowym planem kont jednostki.
Przyjęty w jednostce plan kont musi być wpisany do systemu informatycznego rachunkowości. Jest to wykaz numerów i nazw kont aktywów i pasywów, kosztów i przychodów i kont specjalnych właściwych dla danej jednostki. Plan kont powinien być dostatecznie elastyczny, tzn. możliwy do rozbudowywania. Ponadto powinien zapewniać dostateczny stopień szczegółowości, aby można było prowadzić wszechstronne analizy finansowe i ekonomiczne.
Zakres i struktura zakładowego planu kont w systemie informatycznym rachunkowości jednostki są zawsze determinowane następującymi czynnikami:
W systemach finansowo-księgowych przyjęto założenie, że aby możliwe było księgowanie na jakimś koncie księgowym, należy je najpierw zdefiniować w bazie danych, czyli kartotece danych stałych zakładowego planu kont. W planie kont jednostki konkretne numery, nazwy i inne parametry kont i jego układ można definiować i modyfikować zarówno w czasie wdrażania systemu finansowo-księgowego, jak i jego eksploatacji. Nie jest wymagane wprowadzenie całego planu kont przed rozpoczęciem pracy z systemem finansowo-księgowym. Konta w planie kont, podobnie jak i kartoteki kontrahentów, pracowników itp., mogą być dopisywane w trakcie wprowadzania operacji gospodarczych, które wymagają zapisu na koncie jeszcze niezdefiniowanym. W praktyce kartoteka planu kont jest dostępna podczas wprowadzania wszelkich operacji gospodarczych tylko dla uprawnionego użytkownika.
System finansowo-księgowy powinien pozwalać wykonywać następujące operacje związane z zakładowym planem kont:
Modyfikowanie planu kont powinno być możliwe w każdym momencie pracy z systemem finansowo-księgowym, ale pod jednym warunkiem: konto może być zmienione tylko przed dokonaniem jakichkolwiek księgowań na tym koncie. Dotyczy to zarówno księgowania bilansu otwarcia lub obrotów rozpoczęcia, jak i ewidencji i księgowania dokumentów. Po dokonaniu księgowania nie można zmienić parametrów konta syntetycznego, na którym było księgowanie, oraz wszystkich kont z niższych poziomów analityki.
Ze względu na podział użytkowników na grupy o różnych uprawnieniach oraz możliwość redefiniowania menu przez administratora systemu nie wszystkie z ww. funkcji dotyczące planu kont muszą być dostępne dla każdego użytkownika. Tylko uprawniony użytkownik systemu (np. główny księgowy) ma możliwość dowolnego definiowania planu kont syntetycznych (księga główna) i kont analitycznych (księgi pomocnicze), optymalnie przystosowując go do wymogów i specyfiki jednostki.
Lista pytań kontrolnych do samooceny poprawności zakładowego planu kont w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:
Czy prowadzi się zbiory zapisów uporządkowane według planu kont lub innych kryteriów klasyfikacyjnych?
Czy nazwa i charakterystyka kont jest przenoszona na papier lub inny trwały nośnik nie później niż na koniec roku obrotowego?
Czy wymagane jest wprowadzenie planu kont jako dane stałe?
Czy możliwe jest uzupełnianie kartoteki planu kont o nowe konta przez aktualizację danych stałych podczas ewidencji operacji?
Czy czynność uzupełniania kartoteki planu kont wykonuje tylko uprawniony użytkownik?
Czy możliwe jest założenie konta, jeżeli brak konta ujawniono przy ewidencji dokumentu?
Czy czynność założenia konta wykonuje tylko uprawniony użytkownik?
Czy istnieje zabezpieczenie przed zmianą numeru aktywnego konta?
Czy istnieje zabezpieczenie przed istnieniem więcej niż jednego konta z takim samym numerem?
Czy system finansowo-księgowy blokuje zlikwidowanie konta, na którym został dokonany zapis w ciągu roku?
Czy istnieje możliwość blokady lub zamknięcia na danym koncie dalszych zapisów (konto aktywne od - do)?
Czy istnieje możliwość kopiowania wersji planu kont w nowym roku obrotowym?
Czy istnieje możliwość zmiany wersji planu kont w nowym roku obrotowym?
Czy uprawniony użytkownik może definiować strukturę konta - co najmniej:
typ konta - syntetyczne, analityczne,
symbol konta,
pełną nazwę konta,
charakter konta - bilansowe, wynikowe, szczególne itp.?
Czy system informatyczny rachunkowości obsługuje konta pozabilansowe?
Czy system informatyczny rachunkowości wspomaga proces tworzenia i aktualizacji planu kont w oparciu o zdefiniowane słowniki zawierające charakterystyki kont?
Czy system informatyczny rachunkowości umożliwia weryfikację ksiąg i procedur rachunkowości informatycznej przez wybór z dziennika lub kartoteki zapisów na danym koncie lub w określonym przedziale kont?
Czy wprowadzony do systemu informatycznego rachunkowości plan kont jest przejrzysty i czytelny dla użytkownika systemu, czy np. uzupełniony jest komentarzem lub opisem operacji na poszczególnych kontach?
Czy wprowadzony do systemu informatycznego rachunkowości plan kont jest adekwatny do potrzeb jednostki?
Czy wprowadzony do systemu informatycznego rachunkowości plan kont umożliwia sporządzenie sprawozdań jednostki zgodne z przyjętymi zasadami rachunkowości?
Poprawnie zbudowany zakładowy plan kont pozwala na maksymalne zautomatyzowanie czynności księgowych, możność uzyskiwania wymaganych informacji bez dodatkowych przeliczeń oraz automatyczne generowanie sprawozdań i analiz finansowych czy ekonomicznych. Odpowiednio szczegółowa struktura kont w księgowości syntetycznej oraz analitycznej ułatwia tworzenie podstawowych sprawozdań finansowych i raportów bieżących. Niektóre systemy umożliwiają pozyskanie podstawowych danych do arkusza kalkulacyjnego w celu sporządzenia zestawienia zmian w funduszu własnym.
Dowody księgowe opisujące operacje gospodarcze są przypisywane do poszczególnych okresów i podlegają ewidencji chronologicznej w dzienniku.
Dziennik odgrywa podstawową rolę w systemie rachunkowości. Zbiór ten, zawierający zapisy chronologiczne, dzień po dniu, danych o zrealizowanych operacjach gospodarczych, służy przede wszystkim do celów kontrolnych - ułatwia m.in. tworzenie na potrzeby audytu tzw. śladu rewizyjnego. Znaczenie ww. funkcji dziennika dla wiarygodności podsystemów rachunkowości informatycznej uniemożliwia na dzień dzisiejszy rezygnację z jego tworzenia i emisji.
Lista pytań kontrolnych do samooceny poprawności dziennika księgowego w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:
Czy zbiór dziennika tworzy się automatycznie po ewidencji dokumentów w ewidencji systematycznej?
Czy zbiór dziennika tworzy się automatycznie po dyspozycji wejścia do funkcji tworzenia dziennika?
Czy dziennik prowadzi się jako zbiór danych zawierających kompletną i w porządku chronologicznym (dzień po dniu) treść zapisów?
Czy procedura wprowadzania danych do dziennika umożliwia wprowadzanie zapisów na podstawie pojedynczych identyfikowalnych dowodów księgowych oraz dokumentów zbiorczych, zawierających zestawienie tych dowodów?
Czy procedura wprowadzania danych do dziennika umożliwia kontrolowanie zapisów dowodów księgowych pod względem ciągłości i kompletności (np. automatyczne numerowanie pozycji)?
Czy procedura wprowadzania danych do dziennika umożliwia generowanie sum kontrolnych, pozwalając na kontrolę kompletności procesu przetwarzania?
Czy procedura wprowadzania danych do dziennika umożliwia kontrolę zgodności kwot w zapisach po stronie Wn i Ma kont przeciwstawnych?
Czy zapisy w dzienniku zawierają elementy określone w art. 23 ust. 2 ustawy uor?
Czy rejestrowane są dane identyfikujące osoby wprowadzające operacje lub poprawki do dziennika?
Czy użytkownik może sporządzić w ciągu miesiąca bieżący wydruk zapisów dziennika?
Czy zaksięgowany dziennik zamykający obroty miesięczne jest połączony z blokadą dalszych wejść pod datą tego miesiąca?
Czy przenosi się treść dziennika nie później niż na koniec roku obrotowego na papier lub inny nośnik zapewniający trwałość, czytelność i nienaruszalność jego zawartości?
Czy zawartość dziennika jest niedostępna dla jakichkolwiek nieuprawnionych działań zmieniających treść wprowadzonych do niego zapisów?
Czy porównanie obrotów i numerów kolejnych wydruków dziennika wskazuje na dokonane interwencje w treść dziennika z innych źródeł niż program przetwarzający?
Czy każdy dziennik wydrukowany lub przeniesiony na inny trwały nośnik jest automatycznie:
kolejno numerowany,
oznaczony symbolem miesiąca i roku obrotowego, którego dotyczy,
trwale oznaczony nazwą jednostki, której dotyczy,
trwale oznaczony nazwą księgi rachunkowej,
oznaczony datą sporządzenia,
oznaczony numerami stron,
oznaczony nazwą programu, z którego pochodzi?
Czy każdy wydrukowany dziennik rozpoczyna się od wartości obrotów narastająco od początku miesiąca i kończy się sumą obrotów dziennych lub okresowych i sumą od początku miesiąca?
Czy każdy zapis na kontach może być odnaleziony w dzienniku i wynika z dowodu źródłowego?
Czy zapisy w dzienniku i na kontach księgi głównej są powiązane ze sobą w sposób umożliwiający ich sprawdzenie?
Czy obroty dziennika narastające od początku roku obrotowego są zgodne z obrotami zestawienia obrotów i sald księgi głównej?
Czy w przypadku prowadzenia dzienników częściowych system umożliwia sporządzenie zestawienia obrotów tych dzienników?
Czy procedura wprowadzania danych do dziennika umożliwia poprawne wznowienie wprowadzania zapisów po awarii sprzętu lub systemu?
Kolejnym ważnym elementem ksiąg rachunkowych są zestawienia obrotów i sald kont syntetycznych i analitycznych. Są one podstawowymi zbiorami danych służącymi do wygenerowania w systemie informatycznym rachunkowości sprawozdań finansowych. Tradycyjnie przypisuje się im rolę kontrolną. Stąd zestawienia te nazywa się bilansem próbnym. Zestawienia te powstają w wyniku przetworzenia zapisów z dokumentów księgowych dokonanych w zbiorach systematycznych na kontach księgi głównej oraz kontach ksiąg pomocniczych. Zestawienia obrotów i sald kont syntetycznych i analitycznych służą do kontroli poprawności ewidencji i do uzgadniania kwot w księgach rachunkowych na różnych etapach przetwarzania.
Lista pytań kontrolnych do samooceny poprawności tworzenia zestawienia obrotów i sald w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:
Czy salda wszystkich kont syntetycznych są przenoszone do zestawień obrotów i sald według stanu na koniec każdego miesiąca?
Czy salda wszystkich kont analitycznych dla określonej grupy kont syntetycznych na koniec roku obrotowego i na dzień inwentaryzacji są przenoszone do zestawień obrotów i sald?
Czy salda wskazanych lub wszystkich kont są przenoszone do zestawień obrotów i sald na każdą datę określoną przez użytkownika?
Czy zestawienia obrotów i sald za skończony okres sprawozdawczy są zablokowane do dalszej aktualizacji sald pod tą samą datą?
Czy zestawienia obrotów i sald za skończony okres sprawozdawczy oznaczone są elementami określonymi w art. 13 ust. 4 i art. 18 ust. 1 uor oraz identyfikatorem osoby sporządzającej?
Czy zestawienia obrotów i sald za zakończony okres sprawozdawczy wykorzystane są do uzgodnienia z obrotami dziennika lub obrotami zestawienia dzienników częściowych?
Lista pytań kontrolnych do samooceny poprawności tworzenia ksiąg rachunkowych w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:
Czy istnieje przejrzysty i udokumentowany harmonogram przetwarzania danych w systemie finansowo-księgowym, wraz z instrukcją obsługi?
Czy istnieje niezależny proces zatwierdzania danych, który sprawdza, czy wszystkie dane wejściowe i polecenia są poprawne?
Czy zapisy w księgach systemu informatycznego rachunkowości mają:
numer identyfikujący dowód księgowy w zbiorach przechowywanych dowodów,
identyfikator pozycji zapisu w dzienniku,
datę dokonania operacji gospodarczej,
datę, pod którą operacje zaliczono do okresu sprawozdawczego (jeżeli różni się od daty operacji),
automatyczną datę wprowadzenia do ksiąg,
zrozumiałą treść zapisu w języku polskim albo jej skrót bądź symbol opisany w odpowiednim wykazie (np. kod rodzaju operacji),
kwotę zapisu,
oznaczenie kont, których dotyczy,
automatycznie wprowadzony identyfikator osoby, która wprowadziła zapis?
Czy system informatyczny rachunkowości sprawdza i potwierdza poprawność danych wejściowych, np. kody dokumentów w systemie czy numery plików?
Czy system informatyczny rachunkowości przekazuje wyraźne komunikaty o poprawnym przebiegu przetwarzania danych lub o wystąpieniu błędu?
Czy zapisy korygujące błędy dostrzeżone po wprowadzeniu danych do ksiąg (zaksięgowaniu dokumentów) są dokonywane wyłącznie za pomocą storn, odpowiednio wyróżnionych wśród innych zapisów oraz wprowadzonych zapisów poprawnych?
Czy istnieją jasne wskazówki dotyczące powtórnego przetwarzania po wystąpieniu błędów?
Czy system informatyczny rachunkowości umożliwia weryfikację ksiąg i procedur rachunkowości informatycznej przez:
wybór z dziennika lub
kartoteki zapisów na danym koncie lub
w określonym przedziale kont?
Czy zapisy na kontach księgi głównej i ksiąg pomocniczych zawierają:
symbol i nazwę konta,
wprowadzone z bilansem otwarcia salda początkowe,
zapisy kolejnych operacji w okresie sprawozdawczym?
Czy system informatyczny rachunkowości umożliwia weryfikacje ksiąg i procedur rachunkowości przez wybór zapisów na określony dzień lub w określonym przedziale dat od - do?
Czy możliwa jest analiza obrotów i sald kont na dowolnie wybrany dzień roku obrotowego?
Czy system informatyczny umożliwia weryfikację ksiąg i procedur rachunkowości informatycznej przez sumowanie obrotów na koncie w określonym przedziale dat lub numerów dowodów?
Czy poszczególne zapisy na kontach ksiąg pomocniczych można powiązać z dokumentami źródłowymi?
Czy salda kont pomocniczych można uzgodnić z saldem na koncie księgi głównej?
Czy przydzielono uprawnienia do zapisów i odczytu dla poszczególnych kont księgowych, rodzajów dowodów księgowych, bilansu otwarcia?
Czy system finansowo-księgowy umożliwia ustalanie i automatyczne wyksięgowanie różnic kursowych po rozliczeniu operacji?
Czy system finansowo-księgowy umożliwia ustalanie różnic kursowych na dzień bilansowy i ich automatyczną dekretację?
Czy system informatyczny rachunkowości zawiera podpowiedź kursów walut na podstawie tabel kursów walut i czy jest możliwość ręcznego wprowadzania kursów walut?
Czy system finansowo-księgowy generuje otwarcie ksiąg rachunkowych saldami początkowymi, zgodnymi z saldami kont na dzień zamknięcia ksiąg roku poprzedniego (zasada ciągłości bilansowej)?
Czy system finansowo-księgowy wykonuje zamykanie kont na koniec okresu sprawozdawczego i ustala salda końcowe według określonego algorytmu?
Czy system informatyczny rachunkowości tworzy obligatoryjne elementy sprawozdania finansowego na podstawie reguł dotyczących wyceny pozycji sprawozdawczych?
Czy przegląd kont analitycznych i syntetycznych pokazuje wprowadzane korekty zapisów (należy dokonać analizy przyczyn wykonywanych korekt na kilku wybranych kontach)?
Czy korekty na kontach analitycznych i syntetycznych może wykonywać tylko uprawniona do tego osoba, czy system wskazuje identyfikator osoby, która korekty wprowadziła (należy dokonać analizy zapisów korygujących na kilku wybranych kontach)?
Czy system informatyczny rachunkowości zawiera automatyczne kontrole stosowania zasady podwójnego zapisu oraz okresu ujęcia operacji księgowej?
Czy księgi rachunkowe prowadzone są na bieżąco?
W jednostce sektora finansów publicznych w efekcie procesu przetwarzania danych w systemie informatycznym rachunkowości uzyskuje się tradycyjne w rachunkowości zbiory informacji wynikowych, które można pogrupować w następujące kategorie:
Przy wykorzystaniu systemu informatycznego rachunkowości uzyskuje się kilka możliwości co do form prezentacji informacji wynikowych. Mogą one występować w postaci:
Systemy informatyczne rachunkowości w ostatnich latach pozwoliły na rozszerzenie zakresu uzyskiwanych form i zakresu informacji wynikowych. Przykładowo informacje wynikowe uzyskiwane w systemie informatycznym rachunkowości w postaci drukowanej można podzielić na trzy kategorie:
Zestawienia kontrolne i zestawienia błędów pozyskiwane z systemu informatycznego rachunkowości są najważniejszym elementem systemu kontroli zarządczej. Należy jeszcze wspomnieć o najczęściej stosowanej alternatywnej postaci dla zestawienia błędów podczas wprowadzania danych. Jest to automatyczna sygnalizacja błędu podczas wprowadzania dokumentu na ekranie monitora z możliwością korekty wprowadzanej treści.
W zaawansowanych rozwiązaniach informatycznych w wyniku działania mechanizmów kontrolnych na różnych etapach przetwarzania danych użytkownik otrzymuje komunikaty o występujących błędach w kilku postaciach: np. sygnalizacja dźwiękowa, sygnalizacja graficzna (pojawienie się nowego okna z informacją) i możliwość wykonania wydruku zestawienia błędów.
W odniesieniu do zestawień użytkowych dla potrzeb rachunkowości należy podkreślić, że każdy system finansowo-księgowy powinien standardowo sporządzać zestawienia wymagane przepisami prawa:
Część standardowych dla księgowości wydruków zasadniczo powinna być zdefiniowana bezpośrednio w systemie na etapie jego tworzenia. Tego typu raporty pozwalają na wydrukowanie danych wprowadzonych do systemu informatycznego rachunkowości w układzie kont i dokumentów w różnych przekrojach. Przykładowo zestawienie wyniku finansowego można sporządzać narastająco, za bieżący miesiąc obrotowy, za rok obrotowy. Możliwe jest tworzenie dowolnej liczby wariantów wyniku finansowego zgodnie z zakładowym planem kont, np. wynik finansowy netto, wynik brutto, przychody i koszty uzyskania przychodów.
Drugim sposobem uzyskania żądanych informacji w postaci raportu z różnych podsystemów rachunkowości na użytek rachunkowości finansowej i budżetowej jest zdefiniowanie własnego wzoru raportu o treści i formie zaprojektowanej przez użytkownika w trakcie eksploatacji systemu w jednostce. Taką możliwość najczęściej daje zazwyczaj współpracujący z systemem specjalnie przystosowany arkusz kalkulacyjny. Arkusz taki zawiera zwykle bogaty zestaw specjalnych funkcji obliczeniowych, dających możliwość sięgnięcia do wartości każdego konta księgowego w dowolnym zakresie. Umożliwia to wykonanie dowolnych zestawień, przeliczeń, podsumowań, tabel w formie zaprojektowanej przez użytkownika. Wyniki działań można prezentować w formie graficznej, np. na wykresach słupkowych, kolumnowych lub kołowych.
Ze względów praktycznych warto podkreślić, że dla celów kontrolnych pożądane jest, aby wydruki zawierały także dodatkowe informacje, niewymagane przepisami uor. Wydruki powinny zawierać m.in. czytelny opis pól występujących w zestawieniu oraz wspólny dla całego zestawienia identyfikator powtarzany na każdej stronie.
Zdaniem autorki lista pytań kontrolnych do samooceny poprawności tworzenia zestawień wynikowych w systemie informatycznym rachunkowości pod względem wymogów formalnych powinna zawierać co najmniej następujące pytania:
Czy wszystkie wydruki i obrazy na ekranie prezentujące zawartość ksiąg rachunkowych są wyraźne oznaczone:
nazwą jednostki,
nazwą systemu,
okresem lub datą, której dotyczą,
datą sporządzenia sprawozdania,
czytelnym opisem kolumn i wierszy,
identyfikatorem osoby sporządzającej wydruk,
wspólnym dla całej jednostki identyfikatorem (nazwa, symbol itp.), który jest umieszczany na każdej stronie?
Czy wydruki otrzymywane z systemu mają ciągłą numerację stron?
Czy na wydrukach jest wyraźnie oznaczona pierwsza i ostatnia strona?
Czy wydruki mają sumowanie liczb na każdej stronie (do przeniesienia) i rozpoczęcie każdej następnej strony od sumy z przeniesienia?
W jednostkach sektora finansów publicznych, zgodnie z rozdziałem 8 uor, muszą być opracowane procedury przechowywania dokumentów księgowych i ksiąg rachunkowych. Organizacyjno-administracyjne i programowe mechanizmy kontroli powinny być ustalone zarówno dla ksiąg rachunkowych przechowywanych w systemie informatycznym rachunkowości, jak i poza tym systemem, czyli w formie elektronicznej na nośnikach danych lub w formie drukowanej, które są przeznaczone do archiwacji.
Mając na uwadze bezpieczeństwo przechowywania ksiąg rachunkowych, należy podkreślić, że z prawnego punktu widzenia nie ma różnicy, czy w wyniku nieprawidłowego przechowywania jednostka utraciłaby księgi rachunkowe sporządzone w postaci wydruków czy zachowane na komputerowych nośnikach danych.
Zapewne dużo bezpieczniejsze, szybsze i tańsze będzie przenoszenie danych na komputerowe nośniki danych oraz umieszczenie ich w sejfie jednostki niż drukowanie czasem setek czy tysięcy stron i przechowywanie w szafach przez co najmniej 6 lat. Zatem należy zwrócić jeszcze uwagę na to, że nawet w sytuacji, gdy jednostka dokonuje wydruku danych w ustalonych terminach, nie zwalnia jej to z odpowiedzialności za staranne i bezpieczne przechowywanie ksiąg rachunkowych przeniesionych na papier. Ponadto kierownik jednostki musi zapewnić właściwe środki ochrony ksiąg rachunkowych w formie elektronicznej. Natomiast czy zabezpieczenia te są odpowiednie, to stanie się przedmiotem oceny podczas audytu wewnętrznego.
Zdaniem autorki, lista pytań kontrolnych do samooceny przechowywania ksiąg rachunkowych według wymogów uor powinna zawierać co najmniej następujące pytania:
Czy dokumentacja rachunkowości oraz jej kopie zapasowe są przechowywane na nośnikach zapewniających trwałość, czytelność i nienaruszalność:
dowodów księgowych,
ksiąg rachunkowych,
kartotek (zbiorów systematycznych),
danych stałych i technologicznych (parametrów systemu)?
Czy księgi rachunkowe są należycie chronione również za pomocą kontroli dostępu do plików i bazy danych (nadawanie praw użytkownikom, np. tylko do przeglądania danych)?
Czy księgi rachunkowe są należycie chronione przed zniszczeniem danych, modyfikacją i nieupoważnionym dostępem za pomocą środków ochrony programowej przy użyciu kontroli dostępu do komputera (odpowiednie administrowanie kontem użytkownika w systemie operacyjnym i systemie rachunkowości)?
Czy księgi rachunkowe są należycie chronione również za pomocą narzędzi kryptograficznych umożliwiających szyfrowanie przesyłanych danych?
Czy księgi rachunkowe są należycie chronione również za pomocą mechanizmów separacji danych np. poprzez firewall (dotyczy komputera podłączonego do sieci) uniemożliwiający dostęp do zasobów z zewnątrz albo poprzez pracę w trybie off-line (dotyczy komputerów pracujących autonomicznie niepodłączonych do sieci)?
Czy zawartość ksiąg rachunkowych jest poprawnie i terminowo przenoszona na trwałe nośniki pamięci?
Czy pozostała dokumentacja jest poprawnie przenoszona na trwałe nośniki?
Czy trwałe nośniki są odpowiednio fizycznie oznaczone:
nazwą archiwizowanej dokumentacji rachunkowości,
identyfikatorem (np. symbolem i kolejnym numerem),
datą lub okresem, za który dokumentacja rachunkowości jest archiwizowana,
datą sporządzenia,
identyfikatorem osoby sporządzającej?
9. Czy kompletne zapisy kopii rezerwowych dokumentacji rachunkowości informatycznej są przechowywane oddzielnie w odpowiednim oddaleniu od systemu informatycznego i są odpowiednio zabezpieczone fizycznie?
W tym rozdziale wskazano zasady samooceny systemu kontroli zarządczej dotyczące podsystemu:
W jednostce sektora finansów publicznych podsystem ewidencji aktywów trwałych przeznaczony jest do kompleksowej obsługi ewidencyjno-rozliczeniowej środków trwałych, wartości niematerialnych i prawnych oraz środków niskocennych w jednostce. Umożliwia ścisłą ilościowo-wartościową kontrolę stanów oraz dostarcza na bieżąco wszelkich informacji na potrzeby planowania.
Najczęściej realizowane w tym module funkcje to m.in.:
Dane dotyczące wszystkich środków trwałych i niskocennych oraz wartości niematerialnych i prawnych przechowywane są w kartotekach. Kartoteka powinna obejmować informacje dotyczące użytkownika (jednostka organizacyjna użytkownika oraz dane osoby odpowiedzialnej), zmiany wartości, przeszacowania wartości, wysokości i zmiany stawki amortyzacji, datę rozpoczęcia oraz metodę naliczania amortyzacji (liniowa, degresywna, progresywna, sezonowa i inne), ewentualne ulgi inwestycyjne. System powinien umożliwiać przeglądanie kartotek według: identyfikacji GUS, użytkowników, stanowisk kosztów oraz innego klucza utworzonego przez użytkownika.
A zatem w zakresie prawidłowości prowadzenia ewidencji aktywów trwałych należy zwrócić uwagę na następujące zagadnienia:
Zdaniem autorki lista pytań kontrolnych do samooceny systemu ewidencji aktywów trwałych powinna zawierać co najmniej następujące pytania:
Czy system jest poprawnie zintegrowany z księgowością finansową - ma możliwość grupowania dekretów księgowych według rodzajów dowodów określonych w systemie finansowo-księgowym?
Czy system zapewnia ścisłą kontrolę kompletności zapisów?
Czy system ewidencji środków trwałych, środków trwałych w budowie oraz wartości niematerialnych i prawnych pozwala na kontrole zgodności z odpowiednimi kontami z zakładowego planu kont majątku trwałego i umorzeń?
Czy system zapewnia rozliczenie amortyzacji (umorzeń) środków trwałych oraz wartości niematerialnych i prawnych w formie przystosowanej do księgowania odpisów amortyzacyjnych według kont umorzeń i kosztów?
Czy system zapewnia rozliczenie amortyzacji (umorzeń) środków trwałych oraz wartości niematerialnych i prawnych w formie przystosowanej do księgowania odpisów amortyzacyjnych w jednostce?
Czy system zapewnia identyfikację rodzajową środków trwałych (klasyfikacja GUS) pozwalającą na zastosowanie odpowiedniej stawki i procedury amortyzacji?
Czy zasady amortyzacji środków trwałych oraz wartości niematerialnych i prawnych są zgodne z prawem podatkowym (koszty uzyskania przychodu)? Czy możliwy jest podział amortyzacji na podatkową i bilansową?
Czy zasady amortyzacji środków trwałych pozwalają na stosowanie różnych metod amortyzacji (liniowa, degresywna, inne)?
Czy system pozwala na zmianę wartości początkowej przy ulepszeniu składników majątku trwałego?
Czy system pozwala na przeszacowanie wartości środków trwałych?
Czy system pozwala na identyfikację obiektów na podstawie numeru inwentarzowego?
Czy system pozwala na ustalenie miejsca użytkowania i osoby odpowiedzialnej (ustalenie konta podmiotowego kosztów amortyzacji)?
Czy system powala sporządzić sprawozdanie ze stanów i obrotów majątkiem trwałym (inwentaryzacja składników majątku trwałego)?
Czy z systemu można uzyskać zestawienia sald według rodzajów środków?
Czy z systemu można uzyskać zestawienia sald według miejsc użytkowania z podziałem według stóp amortyzacji?
Czy system umożliwia definiowanie schematów dekretacji dla dokumentów i naliczenia amortyzacji?
Czy system ma ewidencję środków trwałych zlikwidowanych?
Czy z systemu można uzyskać historię środka trwałego?
Czy system umożliwia rejestrację typowych dokumentów ruchu składników majątku: OT, PT, LT, MT, PK itd.
W dużych jednostkach sektora finansów publicznych sprawne zarządzanie zasobami ludzkimi ułatwiają systemy kadrowo-płacowe. Gdy są one zestawem tych dwóch podsystemów (kadrowego i płacowego) współpracujących ze sobą, podnosi to niezawodność przetwarzania, zmniejszając wydatnie czas wprowadzania danych, które wykorzystywane są w obu aplikacjach. Taki system automatyzuje wszelkie czynności związane z obsługą ewidencji pracowników i procesem generowania list płac, umożliwia pełną kontrolę zatrudnienia i polityki płacowej.
System kadrowo-płacowy umożliwia pełną kontrolę zatrudnienia i polityki kadrowej. Wymaga zdefiniowania struktury organizacyjnej firmy i oznaczenia jednostek organizacyjnych, stanowisk pracy, miejsc pracy. Elementy te są niezbędne do prowadzenia analiz kadrowych. Są one zazwyczaj wymagane przez system już na etapie zakładania kartotek osobowych.
Typowy podsystem kadrowy prowadzi kartotekę osobową, drukuje pisma kadrowe i zestawienia oraz przygotowuje dane dla pozostałych podsystemów. Podsystem płacowy sporządza listy płac dla pracowników z wykorzystaniem danych kadrowych, w tym danych o absencjach. Przygotowuje informacje do dokumentów i zaświadczeń drukowanych przez moduł kadrowy oraz tworzy informacje do kartotek wynagrodzeń. Powinien wyliczać miesięczne składki ubezpieczenia społecznego, a także zaliczki miesięczne i roczne rozliczenie podatku dochodowego od osób fizycznych dla pracowników i innych osób niebędących pracownikami danej firmy, zatrudnionych na podstawie umów cywilnoprawnych.
Podsystem kadrowy umożliwia najczęściej:
Podsystem ten prowadzi również kartoteki pomocnicze odzwierciedlające strukturę organizacyjną jednostki (kartoteka komórek organizacyjnych pionów organizacyjnych) oraz kartoteki określające strukturę zatrudnienia (kartoteka stanowisk).
Podsystem płacowy pozwala na sporządzenie listy płac dla pracowników umysłowych i fizycznych w dowolnym dniu miesiąca z jednoczesnym przygotowaniem dowodów księgowych do systemu finansowo-księgowego. Podsystem płacowy jest integralną częścią systemu kadrowo- płacowego i nie może być eksploatowany bez podsystemu kadrowego.
W tym podsystemie dostępne powinny być m.in. następujące funkcje:
Pożądane jest, aby system kadrowo-płacowy umożliwiał generowanie i wydruk zestawień z kartoteki kadrowej i płacowej według wzorów definiowanych przez użytkownika. Służy temu wewnętrzny generator raportów, który pozwala na definiowanie dowolnych wydruków dla analiz w różnych przekrojach za dowolne okresy. W systemie powinny być dostępne m.in. takie raporty:
Przedmiotem kontroli w zakresie poprawności rozliczeń z pracownikami są rozrachunki:
Systemy rozliczeń z pracownikami są zwykle złożone i bardzo wrażliwe na przypadkowe błędy lub zamierzone działania niedozwolone. W jednostce należy zwrócić szczególną uwagę na oparcie obliczeń płac na wiarygodnych zbiorach danych:
Zdaniem autorki, lista pytań kontrolnych do samooceny systemu naliczania płac powinna zawierać co najmniej następujące pytania:
Czy system zapewnia ścisłą kontrolę kompletności zapisów?
Czy system opiera się na wiarygodnych, udokumentowanych, bieżąco aktualizowanych i sprawdzanych zbiorach danych, takich jak:
kartoteka osobowa,
kartoteka danych stałych technologicznych (parametrów obliczeń, np. procentów premii) i tabel składników płac,
kartoteka pomiaru i ewidencji czasu pracy?
Czy system umożliwia łatwą zmianę algorytmów obliczeniowych w przypadku zmian przepisów?
Czy system umożliwia tworzenie list płac?
Czy system umożliwia rozliczenia indywidualne (paski wynagrodzeń)?
Czy system tworzy przelewy bankowe i sorty pieniężne do wypłaty w kasie?
Czy system tworzy zestawienia płac, dodatków i potrąceń oraz inne zestawienia definiowane przez użytkownika?
Czy system obejmuje sporządzanie deklaracji ubezpieczeń społecznych?
Czy system umożliwia obliczenie oraz potrącenie podatku dochodowego od osób fizycznych?
Czy system umożliwia obliczenie składek na ubezpieczenia społeczne i zdrowotne?
Czy system sporządza dokumenty podatkowe (PIT-4, PIT-11, PIT-8A, PIT-8B, PIT-40)?
Czy system automatycznie dostarczy dane o ubezpieczeniach do programu PŁATNIK?
Czy system tworzy kartoteki zarobkowe (wynagrodzeń)?
Czy system obejmuje wynagrodzenie za czas pracy i/lub za ilość pracy?
Czy system obejmuje wynagrodzenie za czas nieprzepracowany (urlopy wypoczynkowe, okolicznościowe, choroby)?
Czy system obejmuje wynagrodzenia niezwiązane z okresem sprawozdawczym (gratyfikacje, odprawy itp.)?
Czy system obejmuje zasiłki z ubezpieczenia społecznego?
Czy system tworzy kartoteki zasiłkowe?
Czy system obejmuje dokonywanie okresowych potrąceń, np. zaliczek, kar pieniężnych, deklarowanych składek i płatności?
Czy system obejmuje egzekucje z wynagrodzeń według tytułów wykonawczych?
Czy system obejmuje obsługę bieżących rozrachunków z pracownikami (należności i zobowiązania)?
Czy system obejmuje sporządzanie rozdzielników kosztów płac?
Czy system jest dobrze zintegrowany z księgowością finansową - umożliwia sporządzanie zestawień płac i poleceń w układzie przystosowanym do wprowadzenia do księgowości głównej?
Czy system obejmuje sporządzanie dyspozycji wypłat według dat, miejsc wypłaty i płatników?
Czy system umożliwia utworzenie więcej niż jednej listy płac w miesiącu?
Czy tworzenie przez system dyspozycji wypłat posiada kontrolę emisji list płac i uniemożliwienie powtórnego wydruku?
Czy system pozwala na uzależnienie lub konfrontację danych stwierdzających zatrudnienie i płace według kilku źródeł (np. rachuba płac, ewidencja kadrowa, inne)?
Czy system rozlicza umowy o dzieło i umowy-zlecenia z pracownikami?
Czy system rozlicza umowy o dzieło i umowy-zlecenia z osobami spoza jednostki?
Czy system posiada kartotekę rachunków bankowych pracowników?
Czy system może przygotować przelewy bankowe z tytułu wynagrodzeń z kilku rachunków jednostki?
Czy system ma bezpośrednie powiązanie z systemami bankowymi?
Należy zwrócić szczególną uwagę również na sporządzanie dokumentacji i sposób dyspozycji wypłat, w tym na:
Kontrolę można przeprowadzić na próbie kilku pracowników. Należy sprawdzić dla tych osób w wybranym okresie dane o czasie pracy, z ewidencji kadrowej, osobiste dane o wynagrodzeniach, wypis z kartoteki wynagrodzeń i zapisy w listach płac. Na tej podstawie można wykonać obliczenia sprawdzające.
Lista pytań kontrolnych do samooceny systemu ewidencji pozostałych rozrachunków z pracownikami powinna zawierać co najmniej następujące pytania:
Czy klasyfikacja kont rozrachunków z pracownikami oraz opisy kont (dane stałe) uwzględniają klasyfikacje według kont księgowości finansowej?
Czy ewidencja rozrachunków z pracownikami oparta jest na kartotece osobowej?
Czy podsystem rozrachunków z pracownikami jest zintegrowany z innymi podsystemami rachunkowości, np. systemem kadrowo-płacowym?
Czy podsystem rozrachunków z pracownikami jest zintegrowany księgowością finansową - ma możliwość grupowania dekretów księgowych według rodzajów dowodów określonych w systemie finansowo-księgowym?
Czy podsystem rozliczania rozrachunków z pracownikami zapewnia ścisłą kontrolę kompletności zapisów?
Czy podsystem pozwala na przekrojową analizę rozrachunków według zróżnicowanych kryteriów, np.:
rodzajów rozrachunków,
terminów płatności,
innych?
W jednostkach sektora finansów publicznych w niektórych zintegrowanych systemach rachunkowości wyodrębniony został podsystem do obsługi dokumentów obrotu kasowego i podsystem rozliczeń bankowych. W innych rozwiązaniach funkcje obrotu kasowego i ewidencji dokumentów bankowych zostały włączone do podsystemu finansowo-księgowego.
W module obsługi rozliczeń bankowych mogą być wykonywane następujące działania:
Ewidencja dokumentów księgowych w tym module zazwyczaj odbywa się w sposób ręczny.
Lista pytań kontrolnych do samooceny systemu ewidencji wyciągów bankowych powinna zawierać co najmniej następujące pytania:
Czy podsystem jest poprawnie zintegrowany z księgowością finansową - umożliwia grupowanie dekretów według rodzajów dowodów określonych w systemie finansowo-księgowym?
Czy podsystem zapewnia ścisłą kontrolę kompletności zapisów?
Czy podsystem umożliwia automatyczne przygotowywanie przelewów dla zobowiązań oraz ich rejestrację?
Czy podsystem prowadzi odrębną ewidencję przelewów zrealizowanych i przygotowanych do realizacji?
Czy podsystem umożliwia przygotowanie planów płatności na dany dzień?
Czy podsystem wspomaga dekretację wyciągów bankowych?
Czy podsystem umożliwia ewidencję wyciągów bankowych przed dekretacją?
Czy podsystem umożliwia przeglądanie bieżącego stanu rozrachunków z kontrahentami i pracownikami przy rejestracji wyciągów bankowych?
Czy podsystem umożliwia przeglądanie stanów kont na dany dzień?
Czy przydzielono uprawnienia do ewidencji operacji bankowych i przeglądania stanów rachunków bankowych?
Czy podsystem pracuje w trybie elektronicznej wymiany danych z bankami i czy jest właściwie zabezpieczony przed dostępem osób nieuprawnionych?
Jeśli w jednostce wyodrębniono w systemie informatycznym rachunkowości podsystem Kasa, to zasadniczo obejmuje on następujące funkcje:
Lista pytań kontrolnych do samooceny systemu obrotu kasowego powinna zawierać co najmniej następujące pytania:
Czy podsystem obsługi kasy jest poprawnie zintegrowany z księgowością finansową?
Czy istnieje możliwość grupowania dekretów księgowych według rodzajów dowodów określonych w systemie finansowo-księgowym?
Czy podsystem zapewnia ścisłą kontrolę kompletności zapisów?
Czy podsystem umożliwia wystawianie dowodów kasowych KP, KW i innych?
Czy podsystem automatycznie generuje raporty kasowe i umożliwia ich dekretację?
Czy podsystem umożliwia przeglądanie stanu kasy na wybrany dzień?
Czy podsystem obsługi kasy umożliwia przeglądanie stanu rozrachunków z kontrahentami i pracownikami przy rejestracji operacji kasowych?
Czy podsystem obsługuje dowolną liczbę kas?
Czy w przypadku kilku kas przydzielono uprawnienia wszystkim kasjerom?
Podsumowując, należy stwierdzić, że ze względu na wielość występujących w praktyce jednostek sektora finansów publicznych rozwiązań podsystemów informatycznych rachunkowości należy zdawać sobie sprawę z tego, że wytyczenie dokładnej linii ustalania procedur kontroli i postępowania kierownika dla danej jednostki przy samoocenie wiarygodności podsystemów informatycznych rachunkowości nie jest możliwe. Powoduje to, że za każdym razem przy ich ocenie pozostaje duży obszar twórczego, samodzielnego ustalenia zakresu badania i konstruowania zakresu testów w listach kontrolnych przez osobę przeprowadzającą samoocenę kontroli zarządczej w środowisku informatycznym. Listy kontrolne dla celów samooceny kontroli zarządczej muszą zawsze być dostosowane do danego rozwiązania informatycznego, które podlega ocenie. Z tego względu w rozdziale tym zaproponowano jedynie opis ważniejszych obszarów oceny wiarygodności dziedzinowych podsystemów rachunkowości w jednostkach sektora finansów publicznych. W listach testów kontrolnych dla każdego z ww. podsystemów uwzględniono najważniejsze zautomatyzowane funkcje występujące w praktyce w tych aplikacjach oraz minimalny zakres czynności kontrolnych.
Podstawy prawne
Ustawa z 29 września 1994 r. o rachunkowości (j.t. Dz.U. z 2016 r. poz. 1047; ost.zm. Dz.U. z 2017 r. poz. 1089)
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2016 r. poz. 922)
Ustawa z 27 lipca 2001 r. o ochronie baz danych (Dz.U. Nr 128, poz. 1402; ost.zm. Dz.U. z 2007 r. Nr 176, poz. 1238)
Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (j.t. Dz.U. z 2017 r. poz. 1219)
Ustawa z 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2016 r. poz. 1579)
Ustawa z 22 sierpnia 1997 r. o ochronie osób i mienia (j.t. Dz.U. z 2016 r. poz. 1432; ost.zm. Dz.U. z 2017 r. poz. 60)
Ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (j.t. Dz.U. z 2017 r. poz. 570)
Rozporządzenie Ministra Finansów z 5 lipca 2010 r. w sprawie szczególnych zasad rachunkowości oraz planów kont dla budżetu państwa, budżetów jednostek samorządu terytorialnego, jednostek budżetowych, samorządowych zakładów budżetowych, państwowych funduszy celowych oraz państwowych jednostek budżetowych mających siedzibę poza granicami Rzeczypospolitej Polskiej (j.t. Dz.U. z 2017 r. poz. 760)
Komunikat nr 23 Ministra Finansów z 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz.Urz. MF nr 15, poz. 84)
Bibliografia
Autorka opracowała Poradnik na podstawie obecnie obowiązujących przepisów prawnych i standardów, wykorzystując fragmenty z wcześniej wydanych autorskich książek:
dr Elżbieta Izabela Szczepankiewicz
adiunkt w Katedrze Rachunkowości Uniwersytetu Ekonomicznego w Poznaniu. Specjalizuje się w rachunkowości, kontroli wewnętrznej, audycie wewnętrznym i audycie w środowisku informatycznym. Posiada certyfikat audytora wewnętrznego oraz kilkuletnią praktykę zawodową na stanowisku księgowej, audytora wewnętrznego i specjalisty do spraw wdrożeń systemów finansowo-księgowych oraz systemów wspomagających zarządzanie klasy MRPII/ERP. Autorka programu i kierownik studiów podyplomowych w zakresie "Audyt wewnętrzny i kontrola wewnętrzna w gospodarce i administracji" w Wyższej Szkole Handlu i Rachunkowości w Poznaniu w latach 2012-2014 oraz autorka programu i kierownik kilku edycji studiów podyplomowych w zakresie "Rachunkowość budżetowa, kontrola zarządcza i audyt wewnętrzny w jednostkach sektora finansów publicznych" w Uniwersytecie Ekonomicznym w Poznaniu od 2014 r. Autorka ponad 200 publikacji naukowych w zakresie rachunkowości, kontroli wewnętrznej, audytu wewnętrznego, rewizji finansowej oraz zarządzania organizacjami, a także kilkudziesięciu artykułów opublikowanych w wielu czasopismach specjalistycznych dla praktyków