Samoocena systemu kontroli zarządczej w środowisku informatycznym rachunkowości w jednostkach sektora finansów publicznych

Wstęp

Od wielu lat rachunkowość i zarządzanie jednostkami w sektorze finansów publicznych wspomagane jest narzędziami informatycznymi. Jednym z najważniejszych aspektów sprawności działania jednostek staje się zapewnienie ciągłości działania systemów informatycznych rachunkowości oraz wiarygodności i bezpieczeństwa informacji finansowej. Zasady i procedury kontroli w środowisku informatycznym, w tym dotyczące rachunkowości, stały się elementem systemu kontroli zarządczej. Jednostki mają obowiązek wdrażania, oceny i doskonalenia systemu kontroli zarządczej od 2010 r. Szczególnie ważny stał się przegląd zasad i procedur, które dotyczą:

• poprawności przetwarzania danych,
• zapewnienia wiarygodności sprawozdań i raportów finansowych,
• bezpieczeństwa zasobów informatycznych,
• prawidłowej dokumentacji systemu informatycznego rachunkowości.

W praktyce jest to trudny obszar kontroli zarządczej, ponieważ wymaga znajomości wielu regulacji (przepisów prawa, standardów, norm ISO itp.) dotyczących różnych obszarów, takich jak: rachunkowość, kontrola zarządcza i finansowo-księgowa, audyt wewnętrzny i informatyka. Wymaga on również praktycznej wiedzy o identyfikacji i analizy czynników ryzyka w środowisku informatycznym, projektowaniu procedur i środków ochrony w obszarze systemów informatycznych rachunkowości oraz ochrony zasobów informatycznych, w tym zapewnienia bezpieczeństwa informacji.

Poradnik wskaże osobom odpowiedzialnym za projektowanie, wdrożenie, ocenę i doskonalenie systemu kontroli zarządczej w obszarze systemów informatycznych rachunkowości aktualne uwarunkowania prawne i praktyczne zasady prowadzenia rachunkowości w środowisku informatycznym oraz zapewnienia bezpieczeństwa zasobów informatycznych.

W Poradniku wskazano główne zasady przeprowadzenia procesu samooceny ustanowionych zasad i procedur kontroli zarządczej dotyczących systemu rachunkowości w środowisku informatycznym. Omówiono aktualne wymogi, które są zawarte w regulacjach prawnych i standardach, jak również wskazano rozwiązania praktyczne w zakresie organizacji kontroli zarządczej w środowisku informatycznym rachunkowości w jednostkach sektora finansów publicznych.

Z Poradnika można dowiedzieć się, jakie obowiązują zasady i procedury kontroli:

• ochrony zasobów informatycznych rachunkowości,
• dokumentacji systemu informatycznego rachunkowości,
• poprawności gromadzenia i wprowadzania danych w systemie informatycznym rachunkowości,
• poprawności przetwarzania danych oraz poprawności tworzenia sprawozdań i raportów finansowych,
• przechowywania dokumentów księgowych i ksiąg rachunkowych,
• wiarygodności i funkcjonalności dla wybranych podsystemów rachunkowości w jednostkach sektora finansów publicznych. Omówiono procedury kontroli dla podsystemów rachunkowości, które są najczęściej stosowane w praktyce tych jednostek, m.in. dotyczące ewidencji środków trwałych, ewidencji płac i pozostałych rozrachunków z pracownikami oraz funkcji obsługi rozliczeń bankowych i kasy.

Dopełnieniem całości jest zestaw list kontrolnych dla celów przeprowadzenia samooceny kontroli zarządczej w poszczególnych obszarach. Pytania te z pewnością będą przydatne kierownictwu i księgowym podczas samooceny kontroli zarządczej w środowisku informatycznym rachunkowości.

1. Standardy kontroli zarządczej dotyczące systemów informatycznych i rachunkowości

W jednostce sektora finansów publicznych funkcjonowanie systemu kontroli zarządczej w obszarze rachunkowości i systemów informatycznych wspomagających jej prowadzenie sprowadza się zasadniczo do realizowania przez kierownictwo czynności nadzoru oraz wykonywania przez pracowników codziennych czynności kontrolnych w tym obszarze. Zarówno system rachunkowości, jak i system kontroli zarządczej w jednostce musi obejmować zespół czynności wykonywanych przez kierownictwo i pracowników w postaci procedur kontrolnych, które uwzględniają określone przepisy prawa i wewnętrzne regulacje. Wszystkie procedury kontrolne rachunkowości, w tym procedury kontroli finansowo-księgowej i dotyczące środowiska informatycznego, są ściśle ze sobą powiązane i zawierają się w elementach kontroli zarządczej.

Z komunikatu nr 23 Ministra Finansów z 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych wynika bezpośrednio konieczność opracowania, wdrożenia, oceny i doskonalenia procedur kontroli w środowisku informatycznym, które powinny funkcjonować w ramach systemu kontroli zarządczej w jednostce sektora finansów publicznych. A zatem zarówno system rachunkowości, jak i procedury kontroli w środowisku informatycznym w ramach systemu kontroli zarządczej w jednostce powinny być oparte co najmniej na:

• dostosowanej do realizowanych zadań publicznych i potrzeb jednostki strukturze organizacyjnej z podziałem uprawnień, obowiązków i odpowiedzialności,
• prawidłowo działających i wydajnych systemach przetwarzania danych finansowych,
• skutecznej kontroli przyjmowania i wydawania posiadanych zasobów,
• funkcjonującej kontroli wszystkich czynności mających wpływ na zmiany majątkowe w jednostce.

Przy czym procedury kontrolne w systemie rachunkowości wspomaganym systemami informatycznymi w jednostce powinny zapewniać co najmniej:

• właściwe wykonanie operacji księgowych zgodnie z przepisami prawa, przyjętymi zasadami (polityką) rachunkowości w jednostce oraz obowiązującym systemem upoważnień, uprawnień w systemie informatycznym rachunkowości i zatwierdzeń,
• niezawodność i bezpieczne przetwarzanie danych księgowych w taki sposób, aby komputerowe księgi rachunkowe i sprawozdawczość były prawidłowe i rzetelne,
• ochronę zasobów informatycznych zarówno w postaci rzeczowej, jak i elektronicznej.

O wdrożeniu w jednostce i funkcjonowaniu systemu kontroli zarządczej związanego z obszarem rachunkowości będzie świadczyło wiele działań i mechanizmów kontrolnych.

 

Działania i mechanizmy kontrolne

1. 1. Przyjęte limity, uchwały, zarządzenia, regulaminy, plany (w tym plany zapewnienia ciągłości działania, plany awaryjne), polityki (w tym polityka ochrony informacji), procedury i instrukcje.

   2. Hierarchizacja struktury organizacyjnej i uprawnienia nadzoru (kontrola kierownicza).

   3. Ustalona siatka zastępstw i upoważnień.

   4. Spisane zakresy czynności, uprawnień i obowiązków (lub karty stanowisk pracy).

   5. Uprawnienia użytkowników w podsystemach informatycznych rachunkowości dostosowane do zajmowanego stanowiska i kompetencji.

   6. Stosowanie fizycznych, organizacyjno-administracyjnych środków ochrony zasobów, w tym programowych środków ochrony zasobów informatycznych.

   7. Wyspecyfikowane wymagania prowadzenia czynności kontroli na stanowiskach pracy, w tym czynności samokontroli, oraz obowiązek kontroli poziomej w kontaktach między stanowiskami pracy, komórkami organizacyjnymi.

   8. Ograniczenia i zakazy wstępu do określonych pomieszczeń albo użytkowania określonych zasobów rzeczowych.

   9. Obowiązek obecności dwóch i więcej osób przy określonych czynnościach (np. czynności inwentaryzacyjne) lub autoryzacji czynności przez drugą osobę.

   10. Wprowadzone formalne ograniczenia uprawnień wewnętrznych i zewnętrznych (udzielania informacji, reprezentowania jednostki wobec osób trzecich, mediów itp.).

   11. Inne ustalenia i sformalizowania wynikające ze specyfiki jednostki i szczególnych zasad rachunkowości, np. w zakładach budżetowych, oraz specyfiki systemów informatycznych stosowanych w tych podmiotach.

 

Funkcjonowanie kontroli zarządczej w obszarze systemów informatycznych w jednostce należy odpowiednio udokumentować. Podstawowymi dokumentami są m.in.:

• polityka i procedury zapewnienia bezpieczeństwa zasobów informatycznych rachunkowości,
• plan awaryjny,
• plan zapewnienia ciągłości działania systemów informatycznych,
• dokumentacja ewidencyjna systemu informatycznego rachunkowości zgodnie z art. 10 ustawy z 29 września 1994 r. o rachunkowości (dalej: uor),
• procedury kontroli ogólnych w środowisku informatycznym,
• procedury kontroli aplikacyjnych dotyczące podsystemów informatycznych rachunkowości.

Silne powiązanie między etapami realizacji kontroli zarządczej w całej jednostce a zadaniami kontroli w systemie rachunkowości, w tym procedurami kontroli finansowo-księgowej, ma duży wpływ na wyznaczenie szczegółowych zadań na poszczególnych etapach kontroli, którymi jest objęty obszar funkcjonowania systemu informatycznego rachunkowości. Przy czym szczegółowe zadania kontroli, które są istotne dla prawidłowego funkcjonowania informatycznego rachunkowości w jednostce, wynikają:

1. 1. 1. ze specyfiki przyjętych rozwiązań i organizacji środowiska informatycznego w danej jednostce,
      2. z celów i zadań systemu kontroli finansowo-księgowej i kontroli zarządczej w danej jednostce,
      3. z obowiązku zapewnienia stosowania się do przepisów i przyjętych reguł prowadzenia rachunkowości w jednostce, które ujęto w zasadach (polityce) rachunkowości.

Zatem przy opracowywaniu systemu kontroli zarządczej w jednostce należy mieć na uwadze cele kontroli finansowo-księgowej, które mają być realizowane nie tylko w odniesieniu do systemu rachunkowości, ale i do elementów samego środowiska informatycznego rachunkowości.

Zdaniem autorki, kontrola zarządcza w środowisku informatycznym rachunkowości w jednostce sektora finansów publicznych powinna być realizowana na dwóch poziomach:

• poziom I - cała jednostka (tzw. kontrole ogólne) - dotyczy zapewnienia realizacji i egzekwowania zasad użytkowania wszystkich podsystemów rachunkowości w środowisku informatycznym,
• poziom II - pojedynczy system użytkowy (tzw. kontrole aplikacyjne) - dotyczy np. systemu finansowo-księgowego, kadrowo-płacowego itd.

Należy jednak pamiętać, że żaden nawet najlepiej zorganizowany system kontroli zarządczej nie jest doskonały i w stu procentach nie ochroni jednostki przed wszystkimi ryzykami i zjawiskami patologicznymi. System kontroli może jedynie ograniczyć ryzyko i skutki zmaterializowania się ryzyka do określonego akceptowalnego poziomu, ale nie jest w stanie całkowicie go wykluczyć, ponieważ po zastosowaniu nawet najlepszych obecnie dostępnych metod i środków ochrony zawsze pozostaje ryzyko rezydualne.

W jednostce sektora finansów publicznych ryzyko to ma szczególnie znaczenie w przypadku ochrony informacji w środowisku informatycznym. Można zastosować w jednostce najnowsze i najdroższe dostępne środki ochrony zasobów informatycznych na poziomie organizacyjno-administracyjnym, technicznym, fizycznym, sprzętowym, programowym, ale i tak nie wykluczy się w stu procentach sytuacji zaistnienia jednocześnie kilku zdarzeń, które mogą spowodować utratę tych zasobów. Nie można również wykluczyć niedbalstwa ze strony pracowników. Zazwyczaj to człowiek stanowi najsłabsze ogniwo systemu ochrony zasobów informatycznych. Należy również pamiętać, że szczególnie groźne jest ryzyko zmowy na różnych poziomach organizacyjnych zarówno na poziomie kierownika jednostki, jak i niższych szczeblach kierowniczych lub stanowiskach operacyjnych. W praktyce zdarzają się również przypadki zmowy członka kierownictwa z kontrahentem, w tym z kluczowym dostawcą usług i robót, np. wykonawcą projektu informatycznego.

Uzyskanie w jednostce efektywnego i adekwatnego systemu kontroli wymaga - oprócz posiadania, oceny i doskonalenia mechanizmów kontrolnych, będących reakcją na zidentyfikowane ryzyko - również innych elementów organizacyjnych, które utworzą ten system, czyli:

• właściwie kształtowanego środowiska funkcjonowania kontroli w jednostce,
• skutecznego i efektywnego systemu przepływu informacji i komunikacji w jednostce,
• sprawnie funkcjonującego systemu bieżącego monitorowania i okresowej oceny realizacji kontroli zarządczej.

Zatem należy mieć na uwadze, że system kontroli zarządczej w danej jednostce może być także nieefektywny z powodu niewłaściwie funkcjonujących ww. elementów organizacyjnych.

Kierownik jednostki i księgowi projektujący oraz wdrażający zasady i procedury kontroli zarządczej w środowisku informatycznym rachunkowości powinni także brać pod uwagę różne dodatkowe przepisy prawa i normy ISO dotyczące bezpieczeństwa zasobów informatycznych, które mogą mieć zastosowanie w danej jednostce. Uwzględnienie tych regulacji na etapie projektowania kontroli zarządczej może mieć istotny wpływ na jakość tego systemu w jednostce. Wśród tych regulacji są zarówno te, które bezpośrednio, jak i te, które pośrednio są związane ze środowiskiem informatycznym rachunkowości.

Do przepisów prawa w tym obszarze należy zaliczyć następujące ustawy:

• z 29 sierpnia 1997 r. o ochronie danych osobowych,
• z 27 lipca 2001 r. o ochronie baz danych,
• z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
• z 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej,
• z 22 sierpnia 1997 r. o ochronie osób i mienia,
• z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.

Do ustaw tych wydano wiele aktów wykonawczych w tym zakresie.

Należy podkreślić, że w jednostkach sektora finansów publicznych w celu zapewnienia bezpieczeństwa zasobów informatycznych w ostatnich latach stosowało się również wiele krajowych norm ISO, są to np.:

• PN-ISO/IEC 17799/2007. Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji,
• PN-ISO/IEC 2382-8:2001. Technika informatyczna. Terminologia. Część 8: Bezpieczeństwo,
• PN-I-02000:2002. Technika informatyczna. Zabezpieczenia w systemach informatycznych. Terminologia,
• PN-ISO/IEC 27001:2007. Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania,
• PN-ISO/IEC 27005:2014-01. Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie ryzykiem w bezpieczeństwie informacji,
• PN-ISO/IEC 24762:2010. Technika informatyczna - Techniki bezpieczeństwa - Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie,
• PN-ISO/IEC 20000-2:2007. Technika informatyczna - Zarządzanie usługami - Część 2: Reguły postępowania,
• PN-ISO/IEC 20000-1:2014-01. Technika informatyczna - Zarządzanie usługami - Część 1: Wymagania dla systemu zarządzania usługami.

Z punktu widzenia organizacji kontroli zarządczej w środowisku informatycznym rachunkowości w jednostce istota i zakresy działania systemu kontroli zarządczej oraz systemu informatycznego rachunkowości wskazują na konieczność wspólnego ich rozpatrywania jako wspomagających się systemów w realizacji celów informacyjnych i kontrolnych rachunkowości oraz przyjętych celów jednostki.

 

 

2. Samoocena kontroli zarządczej dotycząca środowiska informatycznego rachunkowości

Wykorzystanie systemów informatycznych rachunkowości w jednostce sektora finansów publicznych skutkuje różnego typu wewnętrznymi i zewnętrznymi zagrożeniami. Dlatego bezpieczne wykorzystanie systemu informatycznego rachunkowości w jednostce powinno wiązać się z zapewnieniem określonych warunków ochrony zasobów informatycznych oraz prowadzenia dokumentacji systemów informatycznych rachunkowości zgodnie z uor.

 

2.1. Samoocena kontroli zarządczej w obszarze ochrony zasobów informatycznych rachunkowości

Warunki prawidłowej eksploatacji i ochrony zasobów informatycznych rachunkowości muszą sprostać wymogom, które są stawiane jednostkom przez uor (art. 71 ust. 1). Na jednostki sektora finansów publicznych stosujące system informatyczny rachunkowości ustawodawca nałożył obowiązek zapewnienia bezpieczeństwa zasobów informatycznych, a w szczególności skutecznej ochrony zapisów księgowych i dokumentacji przed:

• • ich nieuprawnioną i niekontrolowaną modyfikacją lub uszkodzeniem,
  • wprowadzeniem, usunięciem lub ich zniszczeniem,
  • nieupoważnionym rozpowszechnianiem.

Przy projektowaniu procedur kontrolnych w systemie kontroli zarządczej kierownictwo jednostki powinno mieć na uwadze zasadę optymalizacji kosztów stosowania mechanizmów ochronnych w taki sposób, aby zapewniły one:

• wiarygodną sprawozdawczość finansową i budżetową oraz różnego typu wewnętrzne raporty o charakterze finansowym,
• zgodność prowadzenia rachunkowości z przepisami prawa, w tym: stosowanie ww. przepisów o ochronie zasobów informatycznych rachunkowości według przypisów uor, ustawy o ochronie danych osobowych itp.,
• realizację misji, wizji, celów strategicznych i operacyjnych jednostki, w tym: zapewnienie ciągłości działalności systemu informatycznego rachunkowości i jednostki, terminowości dostarczania informacji i prowadzenia wszelkiego typu rozliczeń itp.

Tworząc strukturę środków ochrony zasobów w środowisku informatycznym rachunkowości w jednostce, należy ustalić zakres:

• fizycznych i technicznych środków ochrony zasobów informatycznych,
• sprzętowo-programowych środków ochrony zasobów informatycznych,
• organizacyjno-administracyjnych środków ochrony zasobów informatycznych.

Struktura zastosowanych środków ochrony zasobów informatycznych rachunkowości i innych mechanizmów ochronnych zależy od skomplikowania i charakteru działalności danej jednostki. Projektując strukturę mechanizmów ochronnych w jednostce, należy przyjąć założenie, że system zabezpieczeń powinien być skuteczny.

Brak zabezpieczeń na jednym z koniecznych poziomów organizacyjnych w jednostce powoduje luki w systemie zabezpieczeń. Na przykład samo zainstalowanie programu antywirusowego nie gwarantuje jego oczekiwanej skuteczności, jeśli ktoś nie będzie odpowiedzialny za ustawienie parametrów systematycznej aktualizacji bazy wirusów i czuwanie nad terminem zakupu nowej licencji oprogramowania. Zatem o poziomie skuteczności całego systemu zabezpieczeń zawsze decyduje najsłabsze ogniwo tego systemu.

Przy prowadzeniu ksiąg rachunkowych w środowisku informatycznym w jednostce trzeba zapewnić ochronę danych księgowych (art. 71 ust. 2 uor), czyli:

• stosować odporne na zagrożenia nośniki danych,
• systematycznie tworzyć rezerwowe kopie zbiorów danych zapisanych na informatycznych nośnikach danych,
• chronić programy komputerowe i dane systemu informatycznego rachunkowości poprzez stosowanie odpowiednich rozwiązań programowych i organizacyjnych, które chronią te zasoby przed nieupoważnionym dostępem lub zniszczeniem,
• doborze stosować środki ochrony zewnętrznej, czyli środki ochrony technicznej i fizycznej.

Należy podkreślić, że uor umożliwia kierownikom jednostek sektora finansów publicznych bardzo dużą dowolność w kształtowaniu systemu zabezpieczeń i doborze mechanizmów ochronnych. Jednostki powinny wdrożyć mechanizmy ochronne dostosowane do jej specyficznych potrzeb organizacyjnych. Zastosowane podejście oraz konkretne działania jednostki w tym zakresie kierownictwo określa zazwyczaj w dokumencie opisującym politykę zabezpieczenia techniczno-organizacyjnego zasobów informacyjnych albo politykę ochrony zasobów informatycznych rachunkowości.

Z punktu widzenia potrzeb samooceny kontroli zarządczej w środowisku informatycznym rachunkowości, w dalszej treści rozdziału zostaną scharakteryzowane typowe środki ochrony zasobów informatycznych rachunkowości i inne mechanizmy ochrony, które są powszechnie wdrażane w praktyce jednostek sektora finansów publicznych. Wiele dużych jednostek wypracowało własne rozwiązania w tym zakresie. W mniejszych jednostkach bardzo często wykorzystuje się rozpowszechnione dobre praktyki, które wynikają z doświadczeń innych podmiotów.

Podstawowym obowiązkiem kierownictwa jednostki wynikającym z art. 71 i 72 uor jest stosowanie odpornych na zagrożenia nośników danych. Kierownik jednostki zobowiązany jest podjąć decyzję o:

• użyciu odpowiednich komputerowych nośników danych, które zapewnią trwałość elektronicznego zapisu danych finansowych i ksiąg rachunkowych,
• zapewnieniu takich nośników, które umożliwią odtworzenie ksiąg rachunkowych w formie wydruków w każdym wymaganym czasie,
• wdrożeniu odpowiednich procedur zapewniających ochronę zapisów księgowych zgromadzonych na nośnikach.

Jeśli w jednostce w odniesieniu do ksiąg rachunkowych nie zostaną wypełnione ww. warunki, należy zastosować się do wymogów art. 72 ust. 2 uor i wydrukować księgi w terminach przewidzianych w art. 13 ust. 6 uor, czyli nie później niż na koniec roku obrotowego. Niektóre dokumenty księgowe w jednostkach przechowuje się znacznie dłużej niż 5 lat (art. 74 uor). Ponadto istnieją jednostki, które na podstawie przepisów szczególnych przechowują dokumentację księgową, np. 10, 15 czy 50 lat. Dlatego należy mieć na uwadze aspekt szybkiego postępu technologicznego w tym zakresie. Wiąże się to z zapewnieniem w jednostce odpowiednich warunków odczytania danych z nośników po upływie określonego dłuższego okresu przechowywania tych danych. Kierownictwo jednostki musi zapewnić, aby jednostka, która przechowuje dane księgowe na nośnikach danych, miała zarówno sprzęt komputerowy z odpowiednim czytnikiem nośników, jak i oprogramowanie, które zapewni odczytanie zgromadzonych danych na tych nośnikach wraz z upływem czasu. A zatem dla dokumentów księgowych wymagających dłuższego okresu przechowywania wprowadzona powinna być procedura okresowego (np. nie rzadziej niż co 5 lat) przekopiowywania danych na nowe nośniki danych.

W żadnej nowelizacji uor nie określono, jaki komputerowy nośnik może być uznany za trwały, wytrzymały czy niezawodny. Należy przypuszczać, że ustawodawca, wprowadzając zapis otwarty, nie chciał ograniczać w tym zakresie decyzji kierowników jednostek. Wybór nośników zależy od wielu czynników, przede wszystkim od ważności gromadzonych danych i wymaganego przepisami uor lub innych przepisów szczegółowych czasu ich przechowywania. Zapewne wybór będzie także uzależniony od poziomu stosowanej w jednostce techniki informatycznej i posiadanych środków finansowych. Zapis ustawowy ma zatem charakter uniwersalny z uwagi na to, że trudno dziś przewidzieć, przy tak szybkim postępie technicznym i technologicznym w informatyce, co stanie się standardowym nośnikiem np. za 5 lat (czyli wymagany okres dla większości dokumentów księgowych) lub w okresie dłuższym.

Obecnie w praktyce jednostek sektora finansów publicznych stosuje się kilka popularnych, alternatywnych sposobów archiwizowania i ochrony zbiorów danych księgowych. W zależności od wielkości i specyfiki działalności jednostki dane archiwizuje i przechowuje się w jednostce, w specjalistycznych centrach danych lub stosuje się oba te rozwiązania jednocześnie.

Archiwizowanie i przechowywanie zbiorów danych w specjalistycznym centrum danych jest jednym z najbezpieczniejszych sposobów ich utrzymywania. Z tego sposobu korzystają zazwyczaj korporacje, instytucje finansowe, duże przedsiębiorstwa i większe jednostki sektora finansów publicznych, które mają rozbudowane bazy danych. Centra danych stosują zawsze najnowsze rozwiązania informatyczne i urządzenia do składowania, przesyłania i ochrony danych. W świetle obecnie obowiązujących przepisów prawa i standardów ochrony zasobów informatycznych centra te muszą spełnić wiele określonych wymogów dla tego typu działalności. Bez wielu różnego typu zabezpieczeń nie mogłyby one prowadzić swojej usługowej działalności w tym zakresie. Natomiast przy archiwizowaniu danych w jednostce najczęściej stosuje się jeden lub równolegle kilka sposobów ich zabezpieczenia (patrz ramka).

 

Sposoby archiwizowania danych

1. Prowadzi się równolegle kopiowanie zbiorów danych na dodatkowy serwer, czyli specjalny komputer, o odpowiednich parametrach, zarządzający pracą całej sieci komputerowej; serwer powinien pracować w pomieszczeniu zabezpieczonym przed wszystkimi możliwymi do przewidzenia zagrożeniami.

2. Do kopiowania danych stosuje się dodatkowe przenośne dyski twarde, które po wykonaniu kopii danych zabezpiecza się systemem haseł.

3. Stosuje się zapis na dyskach magnetooptycznych, na dyskach CD-R (jednokrotnego zapisu) lub DVD- ROM.

4. Stosuje się zapis na taśmach, np. w technologiach: DDS, AIT, Mammoth, LTO, DLT, SLR i MLR, a niekiedy na mikrofilmach.

 

W przypadkach podanych w ramce zgromadzone dane przechowuje się zazwyczaj w chronionych pomieszczeniach jednostki lub poza siedzibą jednostki (np. oddziale jednostki, skrytce bankowej itp.).

Wiele mniejszych i średnich jednostek sektora finansów publicznych przyjęło, że bezpiecznym sposobem przechowywania danych finansowych jest kopiowanie zbiorów danych na dodatkowy własny serwer, który jest odpowiednio zabezpieczony w sposób programowy i fizyczny. Natomiast mniejsze podmioty, które wykorzystują jednostanowiskowy system finansowo-księgowy lub kilkustanowiskowy system rachunkowości, najczęściej stosują pozostałe znacznie tańsze sposoby archiwizowania i przechowywania danych, np. różnego typu dyski przenośne.

Obecnie w wielu jednostkach sektora finansów publicznych stosuje się przenośne dyski twarde. Mają one cechy trwałego nośnika danych, jeśli są odpowiednio zabezpieczone systemem haseł dostępu oraz są przechowywane w odpowiednio zabezpieczonym archiwum. W sytuacji gdy zastosowano odpowiednie zabezpieczenia techniczno-organizacyjne i programowe, trwałość zapisów przechowywanych na przenośnym dysku twardym jest porównywalna z przechowywanymi i odpowiednio zabezpieczonymi kopiami na dyskach CD-R czy DVD-ROM. Natomiast stosowane kiedyś dyskietki czy dyski CD - RW (wielokrotnego zapisu) nie są nośnikami trwałymi. Przede wszystkim dlatego, że każdy zapis można z nich usunąć. Cechują się niską jakością, ponieważ po kilkakrotnym zapisie wiele z nich ulegało uszkodzeniu. Cech trwałości nie wykazują również zapisy na powszechnie obecnie stosowanych pendrive'ach.

Zatem z uwagi na to, że art. 71 i 72 uor mówi o stosowaniu nośnika danych zapewniającego trwałość zapisu danych systemu informatycznego rachunkowości przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze powinna zbadać, czy opracowane i wdrożone procedury zapewniające ochronę gromadzonych danych na nośnikach funkcjonują prawidłowo.

Przepisy uor zobowiązują kierowników jednostek do systematycznego tworzenia rezerwowych kopii zbiorów danych na informatycznych nośnikach danych. Warunkiem koniecznym jest zapewnienie trwałości zapisu tych danych przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych (art. 71 ust. 2 uor).

 

Cele wykonywania rezerwowych kopii zbiorów danych

1. Zabezpieczenie się przed możliwością utraty danych z przyczyn losowych, np. zalania, pożaru czy kradzieży stacjonarnego lub przenośnego sprzętu komputerowego.

2. Zabezpieczenie się przed możliwością awarii sprzętu komputerowego lub systemu informatycznego rachunkowości oraz utraty danych albo powstania błędów w strukturze zapisywanych danych.

3. Wygodne przechowywanie zbiorów danych z systemu informatycznego rachunkowości w postaci zapisu elektronicznego, w celu łatwego odtworzenia z kopii rezerwowej po awarii.

4. Przechowywanie zbiorów danych w postaci zapisu elektronicznego, bez konieczności okresowego drukowania dziesiątek stron ksiąg rachunkowych.

 

Aby uniknąć utraty danych księgowych (np. w przypadku awarii dysku twardego komputera, na którym zainstalowany jest podsystem rachunkowości), w jednostce powinien być ustalony obowiązek systematycznego, jak najczęstszego, tworzenia rezerwowych kopii zbiorów danych. Można przyjąć, że prawidłowo zorganizowany proces wykonywania rezerwowych kopii zbiorów danych wyróżnia się trzema cechami:

1. regularnym cyklem tworzenia kolejnych kopii rezerwowych,
2. fizyczną odrębnością nośników, na których rezerwowe kopie danych są tworzone,
3. wyznaczonym, odpowiednio przystosowanym i zabezpieczonym pomieszczeniem lub miejscem (może to być sejf, inny budynek) do przechowywania sporządzonych kopii danych.

W przypadku uszkodzenia dysku komputera dane z niektórych jego fragmentów mogą być niedostępne. Dlatego wykonywanie rezerwowych kopii zbiorów danych powinno polegać na umieszczaniu danych na innym nośniku danych niż dysk komputerowy, na którym zainstalowany jest system informatyczny rachunkowości. Mimo że obecnie na polskim rynku działają profesjonalne firmy, które zajmują się odzyskiwaniem danych z komputerowych dysków stałych, nigdy nie ma pewności, czy i w jakim zakresie będzie możliwe odzyskanie danych z uszkodzonego dysku. Taki problem dotyczy zasadniczo mniejszych jednostek, ponieważ w dużych jednostkach tworzenie rezerwowych kopii danych odbywa się najczęściej na dwóch własnych serwerach albo korzystają one z profesjonalnych usług wspomnianych wcześniej centrów danych.

Jednostka, która na bieżąco i poprawnie tworzy kopie rezerwowe, w przypadku utraty danych informatycznych uniknie powtórnego ich wprowadzenia ze źródłowych dokumentów księgowych. Odtworzyć można także te zapisy, które powstały w wyniku procedur automatycznych, oraz związane z nimi inne dane, np. zawarte w rejestrach, kartotekach i słownikach systemu informatycznego rachunkowości. Rezerwowe kopie zbiorów danych umożliwią odtworzenie wszystkich zapisów według stanu na dzień utworzenia kopii. Oznacza to konieczność wprowadzenia wszystkich danych o zdarzeniach zaistniałych po sporządzeniu aktualnie odtwarzanej kopii.

Częstotliwość archiwizowania bieżących danych w jednostce sektora finansów publicznych może być różna. Zależy ona od indywidualnej oceny problemów bezpieczeństwa informacji i kosztów odtworzenia utraconych danych w danej jednostce. W praktyce wielu dużych jednostek, w których funkcjonuje wielostanowiskowy system informatyczny rachunkowości pracujący w sieci komputerowej, archiwizowanie danych zasadniczo odbywa się codziennie. Specjalny program uruchamia procedurę tworzenia kopii automatycznie po zakończeniu pracy przez ostatniego użytkownika w systemie informatycznym rachunkowości lub o ustalonej przez administratora godzinie, np. w porze nocnej. Kopie rezerwowe tworzone są najczęściej na oddzielnych serwerach.

Przy określaniu częstotliwości archiwizowania bieżących danych w tym zakresie kierownictwo jednostki powinno brać pod uwagę wiele czynników (patrz ramka).

 

Czynniki brane pod uwagę przy ustalaniu częstotliwości archiwizowania danych

1. Ilość i ważność zgromadzonych danych finansowych.

2. Umiejętności użytkowników systemu.

3. Stopień zaufania do jakości sprzętu komputerowego, oprogramowania użytkowego i systemu informatycznego rachunkowości.

4. Czas potrzebny pracownikom do odtworzenia (ponownego wprowadzenia) danych do systemu.

5. Występowanie dokumentów w postaci zapisu elektronicznego, które wprowadzane są za pośrednictwem urządzeń łączności lub komputerowych nośników danych.

 

Jednostki ewidencjonujące dokumenty w postaci zapisu elektronicznego i wprowadzające je za pośrednictwem urządzeń łączności lub komputerowych nośników danych zazwyczaj mają obowiązek codziennego wykonywania bieżących kopii rezerwowych zbiorów danych.

Zatem osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze, która bada problem tworzenia rezerwowych kopii danych w jednostce, powinna sprawdzić:

1. 1. czy istnieją pisemne procedury tworzenia rezerwowych kopii danych,
   2. czy te procedury są stosowane przez osoby, którym ich stosowanie przypisano do obowiązków,
   3. czy rezerwowe kopie danych tworzone są w regularnych odstępach czasu,
   4. czy okresowo rezerwowe kopie danych są testowane pod kątem poprawności odtworzenia danych z tych kopii,
   5. czy utworzone rezerwowe kopie danych są przechowywane w sposób bezpieczny.

Z obserwacji autorki co do praktyki jednostek sektora finansów publicznych wynika również, że w dużych jednostkach problem bezpieczeństwa danych i systemów jest znacznie lepiej rozwiązywany niż w małych i średnich jednostkach, zarówno od strony technologicznej, jak i administracyjno-organizacyjnej. Dzieje się tak przede wszystkim dlatego, że duże jednostki korzystają z najnowszych rozwiązań informatycznych. Sieciowe systemy operacyjne mogą zostać wyposażone w najnowsze wersje programów służących bezpieczeństwu danych, programów i sprzętu komputerowego. Ponadto specjalistyczny nadzór nad bezpieczeństwem i poprawnością wszystkich procesów sprawuje wysokiej klasy specjalista - administrator systemu. Natomiast w małych i średnich jednostkach, a w szczególności w tych, w których występuje jednostanowiskowy system finansowo-księgowy lub kilka programów rachunkowości obsługiwanych na kilku stanowiskach (niepracujących w sieci), brakuje często zarówno procedur, jak i nadzoru nad bezpieczeństwem danych.

W przypadku małych jednostek sektora finansów publicznych, które prowadzą rachunkowość na pojedynczych stanowiskach komputerowych, należy zastanowić się nad kilkoma kwestiami. Przede wszystkim, czy tworzenie bieżących kopii zbiorów danych rachunkowości (w celu zabezpieczenia się przed wystąpieniem awarii sprzętu komputerowego czy oprogramowania i utratą danych, powstaniem błędów w strukturze zapisywanych danych albo utratą danych z przyczyn losowych, np. z powodu kradzieży sprzętu komputerowego) musi być wykonywane na nośnikach zapewniających trwałość zapisu. Czy cel ich tworzenia i prawdopodobieństwo zajścia takiej sytuacji uzasadnia koszty danego sposobu archiwizacji przez jednostkę?

Zdaniem autorki, w małych jednostkach sektora finansów publicznych do tworzenia codziennych, bieżących kopii rezerwowych można użyć dysków CD/DVD wielokrotnego zapisu i innych nośników. Warunek zapewnienia trwałości zapisu informacji systemu rachunkowości, przez okres nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, bezwzględnie dotyczy tworzenia kopii zbiorów danych, jeśli celem jest przechowywanie ksiąg rachunkowych za dany rok obrotowy w postaci zapisu elektronicznego, a nie bieżących kopii rezerwowych.

Ponadto, ze względu na możliwość uszkodzenia systemu informatycznego rachunkowości w czasie jego eksploatacji, jednostka powinna mieć oryginalną wersję systemu do ponownego zainstalowania. Jeśli w umowie dostawca nie zawarł zastrzeżenia, zaleca się również wykonanie kopii rezerwowych systemu informatycznego rachunkowości. Rezerwowe kopie systemu informatycznego rachunkowości i rezerwowe kopie zbiorów danych powinno przechowywać się w innych pomieszczeniach niż sprzęt, na którym gromadzone są dane oryginalne. Najbardziej odpowiednie byłoby celowo wydzielone pomieszczenie lub specjalny sejf do przechowywania nośników danych (ekranowany przed wpływem pól magnetycznych i odporny na ogień).

Jeśli od dostawcy systemu informatycznego rachunkowości jednostka nie otrzymała oryginalnych dysków z wersją zainstalowanego oprogramowania, wówczas należy zabezpieczyć w umowie możliwość żądania zainstalowania systemu, gdyby nastąpiło jego uszkodzenie w czasie eksploatacji.

 

 

Kolejnym istotnym zagadnieniem jest stosowanie przez jednostkę odpowiednich rozwiązań programowych służących ochronie programów i danych systemu informatycznego rachunkowości. Zgodnie z art. 71 ust. 2 uor opracowane przez jednostkę zasady ochrony danych, systemów i sprzętu komputerowego mają przede wszystkim uniemożliwić nieautoryzowany dostęp do programów, danych i sprzętu komputerowego, w wyniku którego mogłaby nastąpić utrata danych lub programów, ujawnienie, pozyskanie lub nieupoważnione ich rozpowszechnienie. Mechanizmy ochrony programowej mogą być zawarte w systemie:

• operacyjnym,
• zarządzania siecią,
• zarządzania bazą danych

i w samym systemie informatycznym rachunkowości.

Obecnie najczęściej wykorzystywanymi mechanizmami ochrony programowej zabezpieczającymi dostęp do danych i programów w jednostce są:

• identyfikacja użytkownika przy logowaniu oraz uwierzytelnienie użytkownika poprzez podanie hasła,
• upoważnienie użytkownika do różnych programów, zasobów i funkcji,
• szyfrowanie danych.

 

Logowanie do systemu informatycznego rachunkowości w jednostce sektora finansów publicznych może odbywać się przez porównanie identyfikatora wprowadzonego przez użytkownika z identyfikatorem nadanym przez administratora. W zależności od rozwiązań organizacyjnych unikalny identyfikator (tzw. login) może być przydzielony użytkownikowi lub grupie użytkowników albo terminalowi, programowi lub zbiorowi danych. Oprócz identyfikatora wykorzystywane są metody sprawdzania tożsamości (uwierzytelnienia) użytkowników. Dla tego celu najczęściej są wykorzystywane hasła. Obecnie w jednostkach rzadziej wykorzystuje się metody dialogowe. Metoda dialogowa polegała na zadawaniu pytań przez oprogramowanie oraz udzielaniu odpowiedzi przez użytkownika. Udzielenie prawidłowych odpowiedzi przez danego użytkownika na wszystkie pytania umożliwiało mu dostęp do zasobów określonych jego uprawnieniami. Przy czym dla różnych użytkowników powinny być przewidziane różne zestawy testów. Zbiory pytań i odpowiedzi są przechowywane w zaszyfrowanych zbiorach systemu operacyjnego.

Najprostsza, stosowana w praktyce, ochrona programowa systemu jednostki jest realizowana przez stosowanie systemu haseł dostępu do:

• komputera - I poziom zabezpieczenia - w tym przypadku każdy uprawniony użytkownik uzyska pozwolenie na pracę po wpisaniu danych identyfikujących użytkownika, tzn. loginu i hasła,
• danego podsystemu w systemie informatycznym rachunkowości - II poziom zabezpieczenia,
• wybranych funkcji podsystemu informatycznego rachunkowości lub pola w określonym zbiorze podsystemu - III poziom zabezpieczenia - może on polegać np. na dodatkowym zabezpieczeniu dostępu do niektórych funkcji w systemie finansowo-księgowym związanych z obsługą kasy czy przetwarzaniem danych osobowych.

Hasło, będące ciągiem znaków wprowadzonych przez użytkownika, zostaje zaszyfrowane, a następnie jest porównywane z ciągiem zaszyfrowanym zapamiętanym przez komputer. Zgodność tych haseł powoduje udzielenie zezwolenia użytkownikowi na dostęp do zasobów, do korzystania z których jest uprawniony - w przeciwnym razie użytkownik nie rozpocznie pracy w programie. Użytkownicy systemu informatycznego rachunkowości powinni być przeszkoleni w zakresie zasad zmniejszających ryzyko złamania haseł.

 

Zasady zmniejszające ryzyko złamania haseł

1. Hasło użytkownika powinno być często zmieniane.

2. Hasło nie powinno być zbyt łatwe do odgadnięcia, np. nazwisko użytkownika, nazwa komórki organizacyjnej itp.; nie zaleca się, aby użytkownik używał pojedynczych słów - należy mieć na uwadze, że cracker (włamywacz) włamuje się do konta innych użytkowników, posługując się programami słownikowymi; programy tego typu podają jako hasło kolejne wyrazy ze słownika i sprawdzają, czy wynik jest poprawny, zatem połączenie dwóch wyrazów, cyfr i innych znaków w haśle uniemożliwia takiemu włamywaczowi jego odszyfrowanie.

3. Kolejne hasła nie powinny być tworzone według wzorca, np. maria1, maria2, maria3,

4. Hasła powinny zawierać kombinację co najmniej ośmiu znaków: małych i dużych liter, cyfr i znaków specjalnych, ponieważ krótkie hasła są często łamane przez programy kombinacyjne.

5. Można używać niepoprawnej pisowni (np. z błędem ortograficznym) lub akronimów.

6. Nie należy używać ponownie tych samych haseł po upływie jakiegoś okresu.

7. Hasło nie powinno być ujawniane innym osobom, nawet współpracownikom w przypadku planowania dłuższego urlopu.

8. Hasło nie powinno być zapisywane w łatwo dostępnych miejscach, w szczególności w notatniku biurowym, kalendarzu itp.

9. Hasła powinny być różne przy dostępie do różnych systemów i poczty e-mailowej.

10. Hasła nie mogą być przechowywane w postaci jawnej lub zaszyfrowanej w komputerze.

11. Hasło użytkownika nie powinno być wyświetlane na monitorze ani drukowane.

 

Po uwierzytelnieniu użytkownika system uprawnia go do określonego rodzaju zasobu i wykonywania określonych czynności (np. tylko przeglądanie, przeglądanie i edycja, sporządzanie wydruków). Do tego celu system wykorzystuje macierz uprawnień. Powinna ona być przechowywana w zbiorze informatycznym w postaci zaszyfrowanej.

Osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze w jednostce powinna zbadać, czy system informatyczny rachunkowości wymusza na użytkownikach okresową zmianę hasła i czy procedura zmiany hasła jest stosowana prawidłowo. Należy ustalić, czy system informatyczny rachunkowości co najmniej wymusza na użytkowniku:

• zmianę hasła podczas pierwszego logowania,
• zmianę hasła po odpowiednim upływie czasu,
• stosowanie haseł odpowiedniej długości i złożoności.

Zgodnie z wymogami art. 14 ust. 4 uor w każdym przypadku system informatyczny rachunkowości w jednostce musi identyfikować użytkownika, który wprowadził lub modyfikował dane w systemie informatycznym rachunkowości. W związku z tym każdy użytkownik powinien mieć przypisaną sygnaturę. Sygnatura to symbol (w praktyce są to najczęściej inicjały użytkownika albo inny skrót), którym są oznaczane wszystkie dokumenty powstałe w wyniku czynności użytkownika w systemie. Raz przypisana do użytkownika nie może być już zmieniona w programie. Umożliwia identyfikację osoby, która zaewidencjonowała lub zmodyfikowała dokument w systemie, zaksięgowała dokument lub wprowadziła zapis stornujący dokumentu księgowego. Sygnatura pojawia się na wszystkich wydrukach generowanych z systemu informatycznego rachunkowości.

Omówione wcześniej mechanizmy kontroli dostępu do systemu informatycznego rachunkowości i jego danych w jednostkach występują najczęściej jako trzy kolejne etapy w procesie udzielania użytkownikowi zezwolenia na dostęp do zasobów, do korzystania z których jest uprawniony. Mechanizmy te występują zarówno w systemach autonomicznych, jak i funkcjonujących w sieci komputerowej przy przetwarzaniu rozproszonym. Natomiast szyfrowanie danych, czyli przekształcanie danych, w taki sposób, aby nie mogły być odczytane przez nieupoważnione osoby, ma szczególne znaczenie w przypadku funkcjonowania systemu w sieci komputerowej i przesyłania danych z wykorzystaniem internetu.

Przeprowadzając ocenę programowych mechanizmów ochrony danych w jednostce, należy określić ich rodzaje i umiejscowienie w systemie informatycznym rachunkowości. Funkcjonowanie tych mechanizmów bada się metodą testowania. Osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze, występująca w roli nieuprawnionego użytkownika, powinna usiłować uzyskać dostęp do systemu informatycznego rachunkowości, wprowadzając dowolne identyfikatory i hasła oraz obserwować odpowiedzi systemu. W zależności od rozwiązań programowych system może zareagować następująco:

• może pozwalać tylko na kilka nieudanych prób i zablokować dalsze próby, informując z poziomu systemu operacyjnego o dokonanej blokadzie, którą może usunąć tylko administrator,
• każdorazowo odmówić dostępu, pozwalając na nieograniczoną liczbę prób,
• rejestrować (np. w dzienniku systemowym) podawane identyfikatory przy próbach dokonywanych przez nieupoważnionego użytkownika.

Ponadto osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze powinna zbadać, czy hasła użytkowników nie są wyświetlane na monitorze ani drukowane oraz czy użytkownicy nie przechowują ich w swoim komputerze (w postaci jawnej lub zaszyfrowanej).

Również występującym w praktyce jednostek rozwiązaniem programowym jest wyposażenie programu w specjalne procedury kontroli w zakresie:

• • • weryfikacji obliczeń,
    • badania zgodności sum kontrolnych,
    • kompletności zbiorów danych,
    • badania zachowania powiązań rachunkowych i logicznych między zbiorami.

Procedury takie umożliwiają automatycznie wykrywanie niespójności danych w treści zbiorów danych, weryfikują przetwarzanie i ujawniają próby niedozwolonych ingerencji w ich zawartość, po modyfikacji innym narzędziem niż przez wykorzystanie systemu informatycznego rachunkowości.

 

Kolejnym ważnym elementem samooceny kontroli zarządczej w jednostce jest ustalenie zasad funkcjonowania administrowania hasłami i uprawnieniami użytkowników (zabezpieczenia organizacyjno-administracyjne), a w szczególności:

• wydzielenie funkcji administratora systemu (baz danych),
• funkcja administratora powinna być niezależna od innych funkcji zespołu księgowości,
• określenie zasad zarządzania uprawnieniami użytkowników, tj. częstotliwość zmiany haseł, prowadzenie rejestru użytkowników i ich uprawnień, kontrola działań użytkowników w systemie, kontrola dziennika systemowego itp.

Osoba pełniąca funkcję administratora w jednostce zazwyczaj pracuje w module zarządzającym współpracą pozostałych modułów wchodzących w skład zintegrowanego systemu. W module administracyjnym realizowane są m.in. następujące funkcje:

• zarządzanie uprawnieniami pracowników w systemie informatycznym rachunkowości (tworzenie dostępu dla nowych użytkowników, modyfikowanie danych o istniejących użytkownikach, wycofywanie uprawnień użytkowników po wycofaniu z eksploatacji danego podsystemu, przydzielanie użytkownikom dostępów do podsystemów i niektórych funkcji podsystemów w trybie pełnym lub tylko do odczytu),
• określanie ogólnych parametrów pracy wspólnych dla wszystkich podsystemów,
• kopiowanie bazy danych i ich odtwarzanie z kopii bezpieczeństwa,
• zarządzanie drukarkami i kolejnością wydruków.

W niektórych systemach informatycznych rachunkowości jednostek dla ułatwienia pracy użytkownikom, w sytuacji gdy wystąpią nowe, specyficzne potrzeby, administrator systemu oferuje użytkownikom następujące możliwości:

• definiowanie dodatkowych okien podglądu (tzw. zoom) dla danych,
• modyfikowanie i uzupełnianie okien pomocy (tzw. help),
• definiowanie menu na poszczególnych stacjach roboczych, tak aby dostępne (wyświetlane) były tylko te opcje, do których dany użytkownik ma prawo dostępu,
• skonfigurowanie ekranu, który jest bardziej przyjazny użytkownikowi.

Funkcja administratora umożliwia nadzór nad pracą wszystkich stacji roboczych i czynnościami wykonywanymi w systemie przez poszczególnych pracowników, a także badania stopnia wykorzystania czasu pracy stacji. Pozwala również badać, który z użytkowników blokuje dostęp do poszczególnych zbiorów systemu.

Do rozwiązań organizacyjno-administracyjnych służących zabezpieczeniu zasobów systemu informatycznego rachunkowości w jednostce zalicza się również wszelkie rozwiązania służące właściwej organizacji eksploatacji systemu.

 

Rozwiązania służące właściwej eksploatacji systemu

1. Wyraźne rozdzielenie obowiązków i kompetencji między użytkowników systemu informatycznego rachunkowości.

2. Kontrola działań użytkowników systemu, m.in. zobowiązanie do przestrzegania tajemnicy służbowej, szkolenie pracowników, zasady postępowania przy zwalnianiu pracownika (zdanie wszelkich własności jednostki zatrudniającej, zmiana haseł, uprawnień i zezwoleń).

3. Zabezpieczenie biblioteki dokumentacji, systemu informatycznego rachunkowości i zbiorów danych.

4. Rozdzielenie funkcji informatycznych i rozwojowych od funkcji operacyjnych w systemie informatycznym rachunkowości oraz organizacja służb księgowych i kontrola wewnętrzna.

5. Zabezpieczenie danych przed pozyskaniem przez osoby z firm współpracujących.

6. Ustalenie trybu wdrażania nowych wersji poszczególnych podsystemów.

7. Tworzenie planów działań w trybie awaryjnym oraz odzyskiwania danych po awarii.

 

Podstawowym elementem systemu zabezpieczeń na poziomie organizacyjno-administracyjnym w jednostce jest odpowiednie rozdzielenie obowiązków i kompetencji między użytkowników systemu. Z organizacyjnego punktu widzenia należy zróżnicować prawa dostępu do systemu informatycznego rachunkowości dla poszczególnych użytkowników. Odbywa się to przez nadanie uprawnień użytkownikom, stosownie do przydzielonego zakresu czynności w dziale księgowości. Wówczas uniemożliwi się osobie, która wprowadza dane do komputera, przypadkowe zaksięgowanie niesprawdzonego dokumentu bądź zmianę w planie kont czy kartotekach pomocniczych itp.

Jeśli w systemie informatycznym rachunkowości w jednostce wyraźnie rozdzielono uprawnienia między użytkowników, to system może ograniczać dostęp do poszczególnych funkcji lub danych (np. osobowych). W zależności od rozwiązań programowych, po identyfikacji użytkownika i po sprawdzeniu jego uprawnień na wykonywanie przypisanych czynności, system informatyczny rachunkowości:

• udzieli zezwolenia na dostęp tylko do przypisanych użytkownikowi funkcji, nie pokazując w ogóle, że system ma inne możliwości - w tym przypadku menu główne podsystemów wyświetla tylko zestaw funkcji przypisanych użytkownikowi,
• dokona blokady funkcji niedozwolonych, informując w przypadku próby ich realizacji o braku praw do ich wykonywania - w tym przypadku system może wyświetlać pełne menu, natomiast użytkownik może tylko korzystać z funkcji, do których ma uprawnienia.

Każdy z użytkowników w jednostce powinien mieć przydzieloną odpowiednią liczbę uprawnień w podsystemach, aby mógł wykonywać powierzone obowiązki. W praktyce osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze może spotkać się z sytuacją, że w małej jednostce nie funkcjonuje procedura przydzielania użytkownikom systemów uprawnień do danych funkcji systemu informatycznego rachunkowości i komputerów.

Uprawnienia, które nadawane są użytkownikom w systemie finansowo-księgowym, obejmują m.in.:

• modyfikację zakładowego planu kont,
• definiowanie typów dokumentów i rejestrów,
• obsługę rozliczeń rozrachunków przy wprowadzaniu dokumentów,
• modyfikację kartotek pomocniczych i słowników,
• księgowanie zaewidencjonowanych dokumentów,
• przeglądanie dokumentów zaksięgowanych, stanów kont i rozliczeń,
• tworzenie raportów i sprawozdań finansowych,
• zamykanie roku obrotowego,
• dostęp do danych osobowych,
• wprowadzanie dokumentów księgowych do bufora.

Bufor pełni funkcję pamięci tymczasowej w systemie informatycznym rachunkowości. W buforze umieszczane są dokumenty przed zaksięgowaniem. Przechowywanie ich w buforze do momentu zaksięgowania umożliwia edycję zapisów. Po zaksięgowaniu dokumentów następuje ostateczna aktualizacja obrotów na kontach w księgach rachunkowych. Dokument zaksięgowany może być poprawiony przez wystawienie dokumentu stornującego.

Z organizacyjnego punktu widzenia właściwe byłoby, aby w jednostce tylko uprawniona osoba (np. administrator systemu) zajmowała się przydzielaniem, zmianą lub blokowaniem uprawnień użytkowników w systemie informatycznym rachunkowości. Osoba zarządzająca uprawnieniami powinna prowadzić rejestr użytkowników poszczególnych podsystemów. Zdaniem autorki, rejestr użytkowników podsystemów powinien ujmować wieloletnią historię dostępu wszystkich użytkowników do kolejnych zmodyfikowanych wersji oprogramowania eksploatowanego w jednostce. Powinien zawierać co najmniej:

• oznaczenie wersji systemu (podsystemu),
• datę nadania uprawnień użytkowników,
• rodzaj uprawnień,
• stanowisko (funkcję) użytkownika,
• imię i nazwisko użytkownika,
• osobę wprowadzającą uprawnienia do systemu,
• datę zniesienia uprawnień.

 

 

Drugim elementem systemu zabezpieczeń organizacyjnych w jednostce jest odpowiednie oddzielenie funkcji informatycznych i rozwojowych od funkcji operacyjnych w zakresie:

• instalacji oprogramowania dla prawidłowego funkcjonowania systemu informatycznego rachunkowości,
• administrowania systemem operacyjnym i zarządzania siecią,
• serwisowania awarii oprogramowania w ramach systemu informatycznego rachunkowości,
• administrowania bazą danych,
• projektowania i rozbudowy oprogramowania (analityk systemu) i funkcjonalności systemu informatycznego rachunkowości,
• zapewnienia jakości programów w fazie ich rozwoju,
• zarządzania biblioteką nośników danych,
• programowania aplikacji lub systemów operacyjnych,
• wprowadzania danych do systemu informatycznego rachunkowości,
• uruchamiania procedur przetwarzania i dystrybucji danych wynikowych (operator).

Należy mieć na uwadze, że w mniejszych jednostkach nie jest możliwe rozdzielenie wszystkich ww. funkcji. Trzeba jednak zapewnić, aby rozdzielono przynajmniej funkcje:

• projektowania i programowania systemu od obsługi komputera i przygotowania danych,
• obsługi podsystemów rachunkowości od ich modyfikacji (dokonywania zmian w systemie informatycznym rachunkowości),
• obsługi podsystemów rachunkowości od zarządzania biblioteką nośników danych,
• przydziału uprawnień na dostęp do zasobów od obsługi podsystemów rachunkowości.

Procedury organizacji służb księgowych obsługujących system informatyczny rachunkowości w jednostce powinny dotyczyć:

• aktualizowania pisemnych zakresów odpowiedzialności i uprawnień pracowników,
• przeprowadzania szkoleń dla użytkowników przy wdrażaniu nowego systemu informatycznego rachunkowości i kolejnych zmodyfikowanych jego wersji,
• przeprowadzania szkoleń z zakresu czynników zagrażających bezpieczeństwu zasobów informatycznych,
• opracowania i przeszkolenia pracowników w zakresie procedur postępowania w przypadkach incydentalnych (awaria systemu, utrata danych itp.),
• właściwej organizacji systemu kontroli wewnętrznej.

 

W jednostce powinny być opracowane procedury postępowania przy zwalnianiu lub przenoszeniu pracownika na inne stanowisko. Instrukcje powinny obejmować m.in. klauzule dotyczące osób, które miały dostęp do poufnych informacji, oraz zdawania wszelkich własności jednostki zatrudniającej: identyfikatorów, kluczy i urządzeń elektronicznego dostępu, zmianę haseł, uprawnień i zezwoleń.

Użytkownikowi, który pracował w systemie informatycznym rachunkowości, a został przeniesiony na inne stanowisko lub rozwiązał umowę o pracę, należy zablokować dostęp do systemu przez usunięcie jego uprawnień. Danych identyfikacyjnych takiego użytkownika nie usuwa się. Sygnatura i nazwisko użytkownika, któremu zablokowano dostęp, muszą pozostać w programie, aby umożliwić identyfikację wprowadzonych przez niego dokumentów. Przy tym powinno zalecić się zmianę haseł dla współpracowników zwalnianego pracownika.

Osoba odpowiedzialna za bezpieczeństwo zasobów systemu informatycznego rachunkowości w jednostce powinna zobowiązać pisemnie użytkowników do:

• zapoznania się i przestrzegania zasad zawartych w instrukcjach obsługi sprzętu i podręcznikach użytkownika systemu informatycznego rachunkowości,
• ochrony danych i sprzętu komputerowego przed nieautoryzowanym dostępem, w szczególności do okresowej zmiany haseł dostępu,
• przestrzegania zakazu instalacji oprogramowania nielicencjonowanego i oprogramowania nieprzeznaczonego do celów służbowych oraz dokonywania jakichkolwiek zmian w zainstalowanych programach,
• kontrolowania załączników poczty e-mailowej oraz wszelkich stosowanych nośników danych w celu ustalenia ewentualnej obecności wirusów,
• uszkadzania dysków i innych nośników danych przeznaczonych do likwidacji w sposób uniemożliwiający odczytanie zawartych na nich danych.

Zdaniem wielu autorów bezpieczeństwo danych informatycznych nie jest problemem technologicznym, lecz problemem związanym z mentalnością ludzi i zarządzaniem. Dlatego ważnym elementem jest program uświadamiania zagrożeń, którego głównym celem jest komunikowanie pracownikom o ogromnej wadze zaleceń bezpieczeństwa i szkodach, jakie może spowodować postępowanie niezgodne z nimi. Kierownictwo powinno dopilnować, aby pracownicy rozumieli istotę tych zaleceń i byli zmotywowani do ich stosowania. Szkolenie musi objąć każdą osobę, która ma dostęp do poufnych informacji lub systemów komputerowych, a wiadomości muszą być stale odświeżane i aktualizowane. Z tego względu osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze powinna zbadać, czy przeprowadza się szkolenia dla pracowników w zakresie bezpieczeństwa danych informatycznych.

A zatem kolejnym obszarem czynności osoby przeprowadzającej samoocenę kontroli zarządczej w tym obszarze w jednostce jest ocena:

• • czy rozdzielono obowiązki i kompetencje między użytkowników systemu informatycznego rachunkowości,
  • czy odpowiednio oddzielono funkcje informatyczne i rozwojowe od funkcji operacyjnych,
  • czy prowadzi się szkolenia dla pracowników w zakresie bezpieczeństwa zasobów systemu informatycznego rachunkowości,
  • czy stosuje się procedury postępowania przy zwalnianiu lub przenoszeniu pracownika na inne stanowisko.

 

 

Kolejne zagadnienie podlegające w jednostce ocenie to zabezpieczenie biblioteki dokumentacji, programów i zbiorów danych, które reguluje również treść artykułów 71 i 72 uor. Ustawa określa ogólne warunki przechowywania i ochrony dokumentacji opisującej zasady rachunkowości oraz zbiorów danych księgowych tworzonych w systemie informatycznym rachunkowości. Ochronie podlegają takie zasoby informatyczne rachunkowości, jak:

• księgi rachunkowe,
• dowody księgowe,
• dokumenty inwentaryzacyjne,
• sprawozdania finansowe,
• dokumentacja opisująca zasady rachunkowości, w tym wykaz ksiąg rachunkowych i dokumentacja informatycznego systemu przetwarzania danych.

Dokumentację tę, a także zbiory danych księgowych - niezależnie od postaci, w jakiej występują (wydruk czy dane na nośnikach komputerowych) - należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem.

Osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze w jednostce powinna sprawdzić, czy opracowano procedury zarządzania biblioteką dokumentacji oraz biblioteką nośników danych. Ważną funkcję pełni w tym zakresie bibliotekarz nośników danych i dokumentacji. Osoba przeprowadzająca samoocenę powinna sprawdzić:

• czy rezerwowe kopie zbiorów danych i programów oraz księgi rachunkowe są przechowywane oddzielnie od miejsc ich przetwarzania i chronione przed nieupoważnionym dostępem,
• czy szczególnie ważne kopie bezpieczeństwa są przechowywane w oddzielnym pomieszczeniu w ognioodpornych pojemnikach,
• czy dokumentacja ewidencyjna i wzorcowa dokumentacja eksploatacyjna systemu informatycznego rachunkowości jest przechowywana oddzielnie od miejsc ich wykorzystywania i chroniona przed nieupoważnionym dostępem,
• czy programy narzędziowe i użytkowe są przechowywane i udostępniane w sposób kontrolowany, tylko w postaci binarnej.

W jednostce rejestr biblioteczny, prowadzony przez bibliotekarza nośników danych i dokumentacji, powinien opisywać przyjęcie i wydanie z biblioteki określonego zbioru danych, programu lub dokumentacji osobom upoważnionym.

 

Ważnymi elementami nadzoru nad dostępem do zasobów informatycznych powinny być dzienniki pracy sprzętu komputerowego. Dziennik taki zawiera informacje dotyczące pracowników korzystających ze sprzętu, czasu ich pracy oraz rodzaju wykonywanych czynności. Należy podkreślić, że w sytuacji, gdy system operacyjny nie ma możliwości rejestrowania prac wykonywanych na komputerze, powinny być prowadzone ręcznie dzienniki pracy każdego komputera. Wówczas dziennik pracy komputera powinien zawierać następujące informacje:

• czas pracy każdego użytkownika korzystającego z komputera, łącznie z identyfikatorem użytkownika oraz z adnotacją o uruchamianych programach,
• czas przeznaczony na konserwację (np. archiwizację danych) sprzętu komputerowego.

Istotnym problemem jest także, czy jednostka ma procedury ochrony przed pozyskaniem danych informatycznych przez osoby z firm współpracujących, np. serwisu komputerowego czy serwisu oprogramowania.

Niezwykle istotnym problemem zapewnienia bezpieczeństwa zasobów systemu informatycznego rachunkowości jest dobór stosownych środków ochrony fizycznej i technicznej. Zapobieganie awariom jest znacznie prostsze i tańsze niż usuwanie ich skutków. Dlatego w jednostce powinien być opracowany system organizacyjny fizycznej i technicznej ochrony sprzętu komputerowego, który powinien obejmować:

• urządzenia zapewniające ciągłość zasilania energią elektryczną,
• zabezpieczenie antywirusowe,
• kontrolę (skanowanie) obszarów dysku komputera,
• sprzętowe środki techniczne zabezpieczające fizycznie dostęp do komputerów,
• wydzielenie i zabezpieczenie techniczne pomieszczeń,
• środki ochrony przeciwpożarowej,
• urządzenia klimatyzacyjne,
• fizyczną kontrolę dostępu do pomieszczeń szczególnie ważnych.

Ponadto kierownictwo jednostki powinno kontrolować, czy sprzęt komputerowy jest kupowany u dostawcy o uznanej pozycji na rynku oraz czy podczas eksploatacji dokonuje się jego okresowej konserwacji i testowania.

Należy pamiętać, że sprzęt komputerowy narażony jest na skutki zmian napięcia w sieci elektrycznej. W związku z tym sprzęt komputerowy powinien być zasilany przez urządzenia zabezpieczające przed impulsowym wzrostem napięcia i nagłym wyłączeniem zasilania. Zasilacz awaryjny (UPS) pozwala podtrzymać zasilanie przez pewien czas, w którym można dokonać zapisu danych i zamknąć system. Natomiast listwy ochronne jedynie eliminują zakłócenia napięcia występujące w sieci elektrycznej.

W celu zabezpieczenia się przed wirusami komputerowymi użytkownicy systemu informatycznego rachunkowości (w szczególności pracujący na tych samych stanowiskach komputerowych z wykorzystaniem internetu) powinni przestrzegać następujących zasad:

• regularnie sprawdzać zawartość dysków komputera za pomocą bieżąco aktualizowanego programu antywirusowego,
• sprawdzać programem antywirusowym pocztę e-mailową oraz każdy nośnik danych przed próbą jego odczytu,
• nie korzystać z programów nieznanego pochodzenia, w szczególności otrzymanych pocztą e-mailową z internetu.

Hakerzy i szpiedzy przemysłowi posługują się programami monitorującymi dla celów komputerowego podsłuchu. Komercyjne programy monitorujące były z początku używane przez pracodawców kontrolujących pracowników w godzinach pracy, czy surfują po internecie zamiast pracować.

Administrator w jednostce, w przypadku awarii sprzętu komputerowego na danym stanowisku, sieci, zasilania, oprogramowania lub wprowadzenia wirusów, powinien zastosować odpowiednie procedury zakończenia pracy z systemem informatycznym rachunkowości, a po usunięciu awarii - umożliwić powrót użytkownikom do systemu i uzupełnienie utraconych danych.

Najczęściej stosowanymi środkami ochrony fizycznej i technicznej w jednostkach są zabezpieczenia polegające na właściwej konstrukcji budynku, sali, instalacji klimatyzacyjnej i elektrycznej, środków ochrony przeciwpożarowej, fizycznej kontroli dostępu do pomieszczeń, w których znajdują się komputery, i pomieszczeń szczególnie ważnych, takich jak serwerownia.

Natomiast najczęściej stosowane środki ochrony przeciwpożarowej w jednostkach to np. czujniki dymu, instalacje gaśnicze, wykorzystanie w konstrukcji budynku materiałów niepalnych, sprawna instalacja odgromowa, ogniotrwałe pojemniki do przechowywania nośników danych. Urządzenia klimatyzacyjne zapewniają stały poziom temperatury, wilgotności i czystości powietrza.

Ochrona techniczno-organizacyjna sprzętu komputerowego wraz z danymi powinna polegać na umieszczeniu ich w zamkniętych pomieszczeniach. Dotyczy to nie tylko serwera sieciowego, ale także komputerów rozmieszczonych w poszczególnych komórkach organizacyjnych jednostki. Powinno się wydzielić i zabezpieczyć technicznie następujące pomieszczenia: ośrodek obliczeniowy, serwerownię, salę komputerową, biblioteki nośników danych, biblioteki dokumentacji systemów, pomieszczenia dystrybucji danych, pomieszczenia z urządzeniami zasilającymi i klimatyzacyjnymi. Nadzór nad dostępem do tych pomieszczeń może być sprawowany przez:

• sporządzenie i aktualizowanie listy osób uprawnionych,
• identyfikację osób uprawnionych wchodzących i wychodzących z budynku (jest to najczęściej realizowane w powiązaniu z systemem kadrowym),
• ewidencję innych osób wchodzących (i wychodzących, jeśli to możliwe) z budynku,
• instalację urządzeń alarmowych oraz zabezpieczenie okien i drzwi przeciw włamaniom.

Niedopuszczalne jest pozostawianie otwartego pomieszczenia lub pozostawienie w nim osób trzecich w chwili, gdy w pomieszczeniu nie przebywa żaden z użytkowników systemu informatycznego rachunkowości.

 

Zdaniem autorki, lista pytań kontrolnych do samooceny fizycznego i technicznego zabezpieczenia dostępu do komputerów powinna obejmować co najmniej następujące pytania:

1. Czy w jednostce opracowano i wdrożono politykę bezpieczeństwa zasobów informatycznych rachunkowości lub politykę bezpieczeństwa informacji, która obejmuje obszar zasobów informatycznych rachunkowości?

2. Czy powyższa polityka bezpieczeństwa jest aktualna?

3. Czy polityka bezpieczeństwa określa wymagania fizycznego i technicznego zabezpieczenia dostępu do komputerów?

4. Czy sprzęt komputerowy znajduje się w zabezpieczonych pomieszczeniach?

5. Czy w jednostce są gaśnice, czy sprzęt komputerowy w pomieszczeniach użytkowników jest zabezpieczony przed kradzieżą, zalaniem wodą i innymi zdarzeniami losowymi?

6. Czy budynki, w których znajdują się zasoby informatyczne rachunkowości, spełniają wymania standardów bezpieczeństwa?

7. Czy założono systemy alarmowe (monitoring)?

8. Czy serwer danych znajduje się w wydzielonym i odpowiednio zabezpieczonym pomieszczeniu (klimatyzacja, ochrona przed zalaniem, pożarem, kradzieżą, zabezpieczenia z odpowiednimi atestami)?

9. Czy istnieje zasilanie awaryjne zabezpieczające przed spadkami napięcia lub całkowitym odcięciem zasilania do:

   • • sprzętu komputerowego,

     • serwera?

10. Czy w pomieszczeniach ze sprzętem komputerowym utrzymywana jest czystość?

11. Czy do sprzętu mają dostęp jedynie osoby upoważnione w godzinach pracy i poza godzinami pracy?

12. Czy prowadzona jest dokumentacja wydawania pracownikom kluczy, kodów, kart dostępu itp.?

13. Czy pomieszczenia są zamykane, gdy nikt nie korzysta z urządzeń?

14. Czy klucze do pomieszczeń są odpowiednio chronione?

15. Czy jednostka ma plany awaryjne w odniesieniu do systemu informatycznego rachunkowości?

16. Czy opracowano procedury postępowania w sytuacjach losowych i plany awaryjne?

17. Czy pracownicy zostali przeszkoleni w sytuacjach losowych i sytuacji awarii?

18. Czy w jednostce jest spis osób odpowiedzialnych za przywrócenie stanu systemu informatycznego rachunkowości sprzed awarii?

19. Czy prowadzone są regularne próby procedur odzyskiwania i ponownego wprowadzania danych i oprogramowania? Czy zostały udokumentowane?

20. Czy zapewniono udostępnienie w odpowiednim czasie alternatywnego sprzętu komputerowego w przypadku zniszczenia własnego sprzętu?

21. Czy procedury odzyskiwania danych znane są więcej niż jednej osobie?

22. Czy jednostka ma aktualne umowy serwisowe obejmujące usuwanie wad sprzętu i systemów?

 

 

Lista pytań kontrolnych do samooceny zabezpieczenia dostępu do zasobów systemu informatycznego rachunkowości na poziomie organizacyjnym powinna obejmować co najmniej następujące pytania:

1. Czy opracowano system przydzielania pracownikom uprawnień do korzystania z zasobów informatycznych rachunkowości (klucze, karty wejścia, identyfikatory, certyfikaty elektroniczne, hasła dostępu itp.)?

2. Czy powołano osobę zarządzającą uprawnieniami użytkowników systemu informatycznego rachunkowości?

3. Czy sporządzono rejestr użytkowników mających uprawnienia?

4. Czy rejestr użytkowników zawiera przydział uprawnień do korzystania z odpowiednich funkcji systemu informatycznego rachunkowości zgodnie z kompetencjami (wymogami stanowiska pracy) pracowników księgowości?

5. Czy rejestr uprawnień użytkowników jest na bieżąco aktualizowany?

6. Czy opracowano i jak funkcjonują zasady organizacji pracowników działu księgowości obsługujących system informatyczny rachunkowości?

7. Czy prowadzone są systematyczne szkolenia przy wdrażaniu systemu informatycznego rachunkowości i kolejnych zmodyfikowanych jego wersji?

8. Czy opracowano i jak funkcjonuje system rozdzielenia funkcji informatycznych i rozwojowych od funkcji operacyjnych w zakresie rachunkowości, czy dotyczy rozdzielenia funkcji:

   • • instalacji oprogramowania,

     • zarządzania siecią,

     • administrowania systemem operacyjnym,

     • serwisowania awarii oprogramowania,

     • administrowania bazą danych,

     • serwisowania rozbudowy systemu informatycznego rachunkowości,

     • kontroli antywirusowej komputerowych nośników danych i systemów,

     • wprowadzania danych do systemu informatycznego rachunkowości?

9. Czy sporządzono pisemne zakresy odpowiedzialności i uprawnień użytkowników systemu informatycznego rachunkowości?

10. Czy opracowano procedury postępowania w przypadkach incydentalnych (awaria systemu, utrata danych itp.) i czy użytkownicy systemu informatycznego rachunkowości mają dostateczną znajomość tych procedur?

11. Czy opracowano plany odzyskania danych po awarii systemu umożliwiające odtworzenie danych:

• na innym sprzęcie komputerowym, poprzez odtworzenie danych z systematycznie i bieżąco sporządzanych rezerwowych kopii danych na nośnikach komputerowych lub

• poza siedzibą jednostki, np. w specjalistycznej firmie zajmującej się odzyskiwaniem danych z uszkodzonych dysków komputera lub

• w trybie powtórnego manualnego wprowadzenia danych?

12. Czy zostały udokumentowane i czy są prowadzone regularne próby procedur odzyskiwania i ponownego wprowadzania danych w przypadku awarii systemu informatycznego rachunkowości?

13. Czy procedury odzyskiwania danych znane są więcej niż jednej osobie?

 

 

Lista pytań kontrolnych do samooceny zabezpieczenia dostępu logicznego do danych systemu informatycznego rachunkowości powinna obejmować co najmniej następujące pytania:

1. Czy jednostka ma aktualną wersję instalacyjną lub rezerwowe kopie z systemu informatycznego rachunkowości lub zabezpieczenie ponownej instalacji systemu w formie umowy serwisowej?

2. Czy istnieją pisemne procedury tworzenia rezerwowych kopii danych?

3. Czy systematycznie są sporządzane rezerwowe kopie danych?

4. Czy te procedury sporządzania rezerwowych kopii danych są stosowane przez osoby, którym ich stosowanie przypisano do obowiązków?

5. Czy rezerwowe kopie danych tworzone są w regularnych odstępach czasu?

6. Czy kopie rezerwowe danych i systemu są przechowywane poza siedzibą w innym budynku lub w innym odpowiednio zabezpieczonym pomieszczeniu?

7. Czy okresowo rezerwowe kopie danych są testowane pod kątem poprawności odtworzenia danych z tych kopii?

8. Czy prowadzona jest ewidencja wszystkich kopii rezerwowych?

9. Czy ewidencja kopii rezerwowych zawiera oznaczenie:

• datą sporządzenia,

• opisem rodzaju danych,

• numerem dysku,

• identyfikatorem osoby sporządzającej?

10. Czy informatyczne nośniki danych spełniają warunek trwałości dla kopii ksiąg rachunkowych i sprawozdań finansowych?

11. Czy użytkownicy systemu informatycznego rachunkowości i inni pracownicy znają obowiązki odnośnie zabezpieczenia i poufności danych?

12. Czy funkcjonuje system haseł zabezpieczający dostęp do komputera, systemów, poszczególnych funkcji w programach lub wybranych plików?

13. Czy użytkownicy korzystają z niepowtarzalnych, trudnych do odgadnięcia haseł?

14. Czy hasła są utrzymywane w tajemnicy i systematycznie zmieniane?

15. Czy system operacyjny rejestruje dostęp użytkownika? Czy jest on kontrolowany przez administratora systemu?

16. Czy każdy podsystem informatyczny rachunkowości ostrzega osobę przed próbą obejścia hasła?

17. Czy w przypadku kilku kolejnych nieudanych prób blokuje dostęp do podsystemu i wymaga kontaktu z administratorem?

18. Czy możliwy jest dostęp do podsystemu ze stanowisk oddalonych (za pomocą sieci lub modemu)?

19. Czy do podsystemu ze stanowisk oddalonych jest właściwie kontrolowany przez administratora sieci?

20. Czy menu systemu informatycznego rachunkowości lub profil użytkownika zapewnia dostęp tylko do danych i funkcji systemu, które są użytkownikowi niezbędne do pracy zgodnie z pisemnym zakresem czynności?

21. Czy znosi się uprawnienia do systemu informatycznego rachunkowości przy zwalnianiu pracowników lub zmianie miejsca zatrudnienia?

 

Podsumowując, należy stwierdzić, że osoba dokonująca samooceny w tym obszarze w jednostce sektora finansów publicznych powinna skupić się na sprawdzeniu, czy oprogramowanie i dane przechowywane w systemie informatycznym rachunkowości zostały w dostatecznym stopniu zabezpieczone na poziomie fizycznym, technicznym i organizacyjno-administracyjnym przed dostępem niepowołanych osób, przypadkową lub celowo powodowaną utratą albo zniszczeniem danych finansowych.

 

2.2. Samoocena kontroli zarządczej w obszarze dokumentacji systemu informatycznego rachunkowości

W jednostce sektora finansów publicznych źródłem wiedzy o systemie informatycznym rachunkowości dla osoby przeprowadzającej samoocenę kontroli zarządczej w tym obszarze powinna być dokumentacja eksploatacyjna i ewidencyjna systemu informatycznego rachunkowości. Od treści dokumentacji systemu informatycznego rachunkowości, a w dużym stopniu również od jej formy, zależy sprawne wdrożenie i stosowanie systemu w jednostce.

Dokumentację eksploatacyjną systemu informatycznego rachunkowości jednostki otrzymują od producenta oprogramowania. Dokumentacja taka powinna określać, co i kto robi w każdym momencie procesu przetwarzania danych zarówno podczas bieżącej obsługi podsystemów, jak i w sytuacjach awaryjnych. Dokumentacja powinna być jasna, wyczerpująca i umożliwiać stosowanie systemu informatycznego rachunkowości bez współudziału informatyków. Celem dokumentacji eksploatacyjnej powinno być dostarczenie użytkownikowi podstawowych informacji umożliwiających sprawne i efektywne stosowanie systemu informatycznego rachunkowości w jednostce. Zbiór wszystkich zasad i instrukcji eksploatacyjnych powinien jednoznacznie objaśniać użytkownikom potencjalne problemy w trakcie eksploatacji systemu informatycznego rachunkowości oraz umożliwić wprowadzanie wymaganych poprawek. Dokumentacja ta powinna służyć zarówno użytkownikom, audytorom wewnętrznym, jak i audytorom zewnętrznym oraz organom kontrolującym jednostkę w zakresie funkcjonowania systemu informatycznego rachunkowości w jednostce. Stanowi ona jedno z najważniejszych źródeł wiedzy o eksploatowanych podsystemach systemu zarówno dla poszczególnych użytkowników podsystemów, jak i podczas samooceny czy audytu. Dostarcza informacji w szczególności o:

• automatycznych algorytmach obliczeniowych,
• automatycznych procedurach aktualizacji jedną transakcją wielu zbiorów danych w systemie informatycznym rachunkowości,
• procedurach automatycznego generowania dokumentów księgowych, np. polecenia księgowania (PK) oraz raportów bieżących i sprawozdań finansowych,
• procedurach automatycznego tworzenia dekretów operacji wprowadzanych do systemu informatycznego rachunkowości,
• automatycznych procedurach kontrolnych, które działają na różnych etapach przetwarzania danych finansowych.

Należy wspomnieć, że obserwacja praktyki poczyniona przez autorkę w zakresie stosowania systemu informatycznego rachunkowości głównie w mniejszych jednostkach sektora finansów publicznych wykazuje, że posiadana przez wiele małych jednostek dokumentacja, którą otrzymały one od producentów oprogramowania, jest często niekompletna, niejasna i nieprecyzyjnie formułowana z punktu widzenia wymogów prowadzenia rachunkowości. Dotyczy to zarówno dokumentacji sporządzanej dla oprogramowania zamawianego indywidualnie na podstawie specyfikacji jednostki, jak i dokumentacji systemów powielarnych, czyli tzw. oprogramowania z półki.

Z tych względów osoba przeprowadzająca samoocenę kontroli zarządczej w jednostce, studiując dokumentację eksploatacyjną systemu, powinna zwrócić uwagę na to, czy zawiera ona również informacje niewymagane przepisami uor, a które ułatwiają czynności kontrolne podczas przeprowadzanej samooceny, audytu czy bieżących czynności kontrolnych wykonywanych przez użytkowników systemu informatycznego rachunkowości. Do takich informacji należy zaliczyć:

• zastosowane metody ochrony programowej dostępu do danych i podsystemów informatycznych rachunkowości,
• opis tworzenia śladu rewizyjnego,
• listę punktów kontrolnych i opis kontroli realizowanych w każdym z tych punktów.

Z uwagi na to, że w praktyce jednostek sektora finansów publicznych występuje wiele różnych form organizacji przetwarzania danych, pożądane jest, aby w dokumentacji eksploatacyjnej systemu informatycznego rachunkowości były przedstawione sposoby zachowania i prezentacji śladu rewizyjnego. Ślad rewizyjny oznacza taki ciąg zapisów, który pozwala prześledzić rejestrację operacji we wszystkich fazach przetwarzania - od wprowadzenia do systemu informatycznego rachunkowości aż do wyników końcowych (sald tworzących pozycje sprawozdań) i odwrotnie - dezagregację sald i obrotów aż do poszczególnych zapisów. O zachowaniu śladu rewizyjnego mówi art. 24 ust. 4 pkt l uor, który stanowi, że księgi rachunkowe uznaje się za sprawdzalne, jeśli umożliwiają stwierdzenie poprawności dokonanych w nich zapisów, stanów (sald) oraz działania stosowanych procedur obliczeniowych, a w szczególności udokumentowanie zapisów pozwala na identyfikację dowodów i sposobu ich zapisania w księgach rachunkowych na wszystkich etapach przetwarzania danych.

W rachunkowości informatycznej wyróżnia się również operacyjny ślad kontrolny, który tworzony jest przez oprogramowanie systemowe (systemy operacyjne, systemy zarządzania bazą danych, oprogramowanie sieciowe) lub specjalne programy przeznaczone do tego celu. Kontrolny ślad operacyjny występuje w tworzonym tzw. dzienniku systemowym, kronice zdarzeń itp. W operacyjnym śladzie kontrolnym osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze może przeanalizować zgromadzone informacje, które zawierają m.in. rejestry:

• godzin rozpoczęcia i zakończenia pracy przez każdego użytkownika,
• nazw programów wykorzystywanych przez poszczególnych użytkowników,
• nazw używanych zbiorów danych i sposobów, w jaki były one używane,
• poczynionych prób nielegalnego dostępu do zbiorów.

Osoba odpowiedzialna (np. oficer bezpieczeństwa), osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze lub audytor wewnętrzny, na podstawie operacyjnego śladu kontrolnego może stwierdzić naruszenie bezpieczeństwa danych bądź wprowadzenie nielegalnych zmian w programach czy bazach danych. Obecnie istnieją programy, które generują właściwe raporty kontrolne.

Każdy podsystem systemu informatycznego rachunkowości powinien być okresowo weryfikowany. Weryfikacja oprogramowania powinna polegać na:

• przeglądaniu wersji źródłowej danego podsystemu informatycznego rachunkowości,
• porównaniu wersji eksploatowanej z wersją źródłową,
• generowaniu hipotezy o błędach w podsystemie,
• przygotowaniu zestawu danych próbnych (testowych),
• przeprowadzeniu testowania podsystemu,
• sporządzeniu sprawozdania z opisem wyników testowania,
• poprawieniu ewentualnych błędów w programie przez jego autora.

Jednostka eksploatująca system informatyczny rachunkowości powinna mieć udokumentowaną, aktualną licencję stanowiskową dla każdego podsystemu informatycznego rachunkowości. Należy również okresowo przeprowadzać inwentaryzację zainstalowanego oprogramowania i zweryfikować jego legalność.

Używanie nielegalnego systemu informatycznego rachunkowości naraża jednostkę na wiele konsekwencji. Skutki używania takiego oprogramowania mogą mieć wymiar prawny, wywołać straty finansowe i utratę dobrego wizerunku jednostki. Uzyskiwanie, posiadanie, korzystanie lub kopiowanie systemu informatycznego rachunkowości bez zgody producenta (wyrażonej w licencji) jest zabronione w myśl przepisów prawa.

Kierownictwo lub dział informatyki (jeżeli taki istnieje) powinny sprawować pełną kontrolę nad zasobami informatycznymi w jednostce. Powinny być wdrożone jasne polityki ograniczające używanie własnego i nielicencjonowanego oprogramowania. Pracowników należy zapoznać z zasadami używania oprogramowania i wymagać, aby podpisali oświadczenie o znajomości i przestrzeganiu ustalonych w tym zakresie procedur.

W jednostce należy wyznaczyć osobę odpowiedzialną za zakup programów, ich instalację oraz nadzór nad zasobami informatycznymi. Instalowanie kolejnych wersji systemu informatycznego rachunkowości powinno odbywać się pod kontrolą formalnych procedur: przeprowadzania testów przedwdrożeniowych i przekazania oprogramowania do właściwego miejsca użytkowania. Jednostka powinna przechowywać licencje na wszystkie zainstalowane podsystemy. W trakcie inwentaryzacji powinien zostać sporządzony spis wszystkich programów zainstalowanych na serwerach, komputerach osobistych i notebookach.

W ramach procedur systemu kontroli zarządczej powinno się określić i stosować mechanizmy kontrolne w celu zapewnienia dystrybucji legalnego i poprawnego oprogramowania - do właściwego miejsca i na czas, zachowując istnienie odpowiedniego śladu rewizyjnego. Procedury kontroli instalowania nowych wersji systemu informatycznego rachunkowości powinny być wspomagane przez następujące działania:

• zapewnienie rzetelności ewidencji używanego autoryzowanego systemu informatycznego rachunkowości (oprogramowanie powinno być oznakowane, spisane i zaopatrzone w odpowiednie licencje) - utworzenie biblioteki licencjonowanego oprogramowania,
• zapewnienie, że biblioteka oprogramowania jest odpowiednio kontrolowana - zarządzanie biblioteką oprogramowania powinno być stosowane w celu tworzenia ścieżek rewizyjnych zmian oprogramowania oraz w celu ewidencji numerów wersji, dat (ich) utworzenia i kopii poprzednich wersji,
• okresowe ustalenie nieautoryzowanego oprogramowania,
• przypisanie odpowiedzialności za kontrolowanie nieautoryzowanego oprogramowania określonym osobom,
• zapisywanie użycia nieautoryzowanego oprogramowania i raportowanie stanu kierownictwu w celu podjęcia odpowiednich działań,
• określenie, kiedy kierownictwo podejmuje odpowiednie działania w przypadku naruszeń obowiązujących zasad.

Zinwentaryzowane zasoby należy okresowo sprawdzać pod względem zgodności z wymaganiami umów licencyjnych dotyczących systemu informatycznego rachunkowości. Audyt legalności systemu informatycznego rachunkowości można przeprowadzić samodzielnie, wykorzystując odpowiedni program lub skorzystać z usług firm zajmujących się audytem informatycznym. Według zaleceń BSA, ale także zgodnie z racjonalnymi przesłankami, audyt oprogramowania powinien być dokonywany co najmniej raz w roku. Taka okresowa weryfikacja spełnia dwie funkcje - pozwala uporządkować zasoby informatyczne jednostki i ułatwia wykazanie legalności oprogramowania. Tym samym zmniejsza zdecydowanie ryzyko postawienia zarzutów naruszenia praw autorskich producentów oprogramowania. Okresowy przegląd ma jeszcze jeden walor - może być punktem wyjścia przy planowaniu przyszłych zakupów, a więc pozwala na racjonalne zarządzanie budżetem na informatyzację jednostki.

Procedura samodzielnego audytu legalności polega na uruchomieniu na każdym stanowisku komputerowym programu skanującego, który sprawdzi zawartość twardych dysków i sporządzi listę wszystkich programów i plików na nich zainstalowanych. Porównanie liczby posiadanych licencji z liczbą i rodzajem zainstalowanych programów pozwala zweryfikować stan legalnego oprogramowania w jednostce oraz wykryć oprogramowanie nielicencjonowane.

Weryfikując legalność systemu informatycznego rachunkowości, należy sprawdzić pisemne dowody zakupu licencji (faktury lub umowy przekazania), oryginalne nośniki oraz dokumentację eksploatacyjną systemu informatycznego rachunkowości. Należy zwrócić uwagę, że w praktyce najczęściej eksploatacja systemu informatycznego rachunkowości odbywa się na kopiach roboczych wersji licencjonowanej. Jeśli jednostka ma wersję źródłową, to możliwe jest zbadanie, czy aktualnie wykorzystywane kopie robocze aplikacji są zgodne z wersją wzorcową i do kopii roboczej nie wprowadzono zmian, które nie zostały zatwierdzone przez kierownika jednostki. Porównywanie wersji wzorcowej z wersją rzeczywiście eksploatowaną przeprowadza się za pomocą odpowiednich programów rewizyjnych lub poleceń systemu operacyjnego.

W przypadku stwierdzenia różnic między wersjami systemu informatycznego rachunkowości należy zbadać przyczyny. Poważną przyczyną może być mało skuteczna programowa ochrona dostępu do zbiorów systemu informatycznego rachunkowości, skutkiem czego jest możliwość wprowadzania nieupoważnionych zmian w programie. Jeśli stwierdza się wprowadzenie zmian w kopii roboczej bez wprowadzenia ich w wersji źródłowej, należy uznać - niezależnie od przyczyny - że wadliwie funkcjonuje kontrola wewnętrzna. Metoda, która umożliwia bardziej szczegółowe zbadanie systemu informatycznego rachunkowości, polega na jego uruchomieniu z wykorzystaniem zestawu danych testowych przygotowanych przez audytora informatycznego. Stosowanie tej metody jest zalecane zwłaszcza wtedy, gdy po raz pierwszy weryfikuje się działanie nowych programów lub zmienionych wersji.

 

W pierwszym rozdziale wymieniono obligatoryjne elementy dokumentacji ewidencyjnej systemu informatycznego rachunkowości. W myśl art. 10 uor dokumentacja ta w jednostce powinna spełniać określone wymogi formalne (patrz ramka).

 

Wymogi formalne dotyczące dokumentacji ewidencyjnej systemu informatycznego rachunkowości

1. Dokumentacja powinna być sporządzona w formie pisemnej i w języku polskim. Należy przy tym zwrócić uwagę, że uor nie zawiera postanowień zezwalających na posiadanie i przechowywanie dokumentacji wyłącznie na nośnikach czytelnych dla komputera (art. 71 ust. 1 oraz art. 73 ust. 3 uor).

2. Dokumentacja powinna być aktualna, wyczerpująca, przejrzysta i kompletna. Te wymagania oznaczają konieczność uwzględniania wszelkich zmian przy wprowadzaniu kolejnych wersji podsystemów rachunkowości (art. 10 ust. 2 uor).

3. Dokumentację należy sporządzić w kilku egzemplarzach, przy czym przynajmniej jeden z nich powinien być przechowywany w całości pod ochroną, jako egzemplarz wzorcowy, a pozostałe egzemplarze mogą być rozdzielane użytkownikom.

4. Dokumentacja powinna być przechowywana w sposób należyty, chroniona przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem przez okres ważności i dodatkowo przez 5 lat po tym okresie.

 

Przepisy uor stanowią, że jednostka obligatoryjnie jest zobowiązana do sporządzenia wykazu zbiorów danych tworzących księgi rachunkowe na nośnikach czytelnych dla komputera. Systemy przeznaczone do obsługi księgowości mniejszych podmiotów zbudowane są zwykle na prostych bazach danych, w których przechowywane są zbiory zawierające księgi rachunkowe. W małych jednostkach wykaz zbiorów danych, tworzących komputerowe księgi rachunkowe w systemie informatycznym rachunkowości, może sporządzić informatyk lub doświadczony użytkownik. O tym, jaki system zarządzania bazą danych był użyty przy tworzeniu programu oraz które zbiory zawierają dane rachunkowości, niekiedy można stwierdzić, analizując trzyznakowe rozszerzenia plików lub nazwy plików. Należy pamiętać, że księgi rachunkowe nie zawsze jednak są zawarte w zbiorach fizycznych systemu. Wówczas na podstawie zbiorów fizycznych podczas przetwarzania danych tworzone są zbiory logiczne zawierające dane ksiąg rachunkowych.

Dokument stanowiący wykaz zbiorów danych tworzących księgi rachunkowe na informatycznych nośnikach danych w jednostce powinien zawierać dwa istotne opisy:

1. opis struktury programu,
2. opis wzajemnych powiązań i funkcje zbiorów danych w organizacji całości procesów przetwarzania.

W pierwszej części dokumentu powinny być wymienione nazwy zbiorów danych, które w jednostce stanowią księgi rachunkowe. Mogą być podane również nazwy plików pomocniczych, np. zawierających zakładowy plan kont, kartoteki kontrahentów, pracowników, urzędów, słowniki oraz pliki zawierające parametry stałe i inne, które wspomagają proces tworzenia, przechowywania i prezentacji danych ksiąg rachunkowych.

W wykazie zbiorów stanowiących księgi rachunkowe powinna być podana ścieżka dostępu do miejsca, w którym pliki z danymi finansowymi jednostki są przechowywane (oznaczenie dysku, nawa katalogu, podkatalogu). Ponadto w sporządzanym wykazie zbiorów danych tworzących księgi rachunkowe musi być informacja o tym, jaki podsystem informatyczny rachunkowości tworzy i obsługuje wymienione w dokumencie zbiory.

Drugą część tego dokumentu stanowić powinien opis wzajemnych powiązań i funkcje zbiorów danych w organizacji całości procesów przetwarzania. W dokumencie tym opis może mieć charakter ogólny, jeśli szczegółowa charakterystyka znajduje się w dokumentacji eksploatacyjnej programu.

W myśl uor każda jednostka zobowiązana jest również mieć dokument zawierający wykaz programów rachunkowości informatycznej stosowanych w jednostce wraz z określeniem ich wersji i daty rozpoczęcia eksploatowania. Nie ma obowiązku zatwierdzania osobno do używania każdej zmienionej wersji programu.

Zdaniem autorki, dokumentem zupełnie pominiętym w przepisach uor, który powinien się znaleźć w zestawie dokumentacji ewidencyjnej systemu informatycznego rachunkowości, jest raport z przeprowadzonego testowania na etapie wdrożenia do eksploatacji zarówno systemu informatycznego rachunkowości lub jego podsystemu, jak i jego kolejnych wersji. Dokumentacja taka powinna zawierać zestaw danych testowych oraz opis wyników testowania, określenie okresów stosowania poszczególnych wersji podsystemu oraz opis zmian dokonywanych w podsystemie.

Z praktycznego punktu widzenia dla celów ewidencji zmian wersji poszczególnych podsystemów rachunkowości w jednostce wskazane byłoby posiadanie niezbędnych informacji o każdym z podsystemów, w postaci szczegółowych kartotek. Takie kartoteki stanowić mogą karty informacyjne systemów (modułów), zawierające najważniejsze, z punktu widzenia administracyjno-organizacyjnego informacje o każdym z użytkowanych systemów w rachunkowości jednostki.

Zdaniem autorki, przykładowa karta informacyjna podsystemu powinna składać się z kilku elementów wyczerpujących zakres podstawowych informacji administracyjno-organizacyjnych, a także wymaganych przez uor.

 

Elementy karty informacyjnej

1. Protokół przyjęcia pierwszej wersji programu (podsystemu) do eksploatacji.

2. Dokument ewidencji zmian wersji programu (podsystemu), który zawiera historię użytkowania poszczególnych jego wersji (zamiast tego dokumentu można np. załączać do karty informacyjnej kolejne protokoły wdrożeń zmian wersji oprogramowania).

3. Dokument ewidencji użytkowników programu (podsystemu), który zawiera historię przydziału i zniesienia uprawnień użytkowników dla poszczególnych jego wersji.

 

W przypadku przyjęcia takiego sposobu dokumentowania oprogramowania aktualizowanie takiego wykazu następuje każdorazowo wraz z wprowadzeniem nowej wersji oprogramowania do eksploatacji.

 

Kolejnym elementem dokumentacji w jednostce jest opis przeznaczenia każdego programu i sposobu jego działania. Standardowy zestaw dokumentacji dostarczanej przez producentów wraz z oprogramowaniem w ramach dokumentacji eksploatacyjnej powinien składać się co najmniej z:

• opisu przeznaczenia każdego podsystemu rachunkowości i wykonywanych przez niego funkcji,
• instrukcji obsługi poszczególnych podsystemów rachunkowości dla użytkowników,
• instrukcji technicznych i technologicznych dla administratora systemu informatycznego rachunkowości,
• opisu wymagań sprzętowych, sposobu instalacji, konfiguracji w sieci, metod tworzenia kopii zapasowych i usuwania błędów,
• szczegółowych informacji o warunkach gwarancji i serwisowania.

Przepisy uor wymagają, aby dokumenty opisujące przeznaczenie każdego podsystemu rachunkowości, sposób działania oraz wykorzystanie podczas przetwarzania danych zawierały wyczerpujący opis procedur, funkcji, algorytmów i parametrów przetwarzania danych, reguł kontroli danych, a także sposobów uzyskiwania danych w postaci wydruków. Zakres informacji, których ujawnienia wymaga art. 10 ust. 3b uor, w większości przypadków zawierają instrukcje obsługi dla użytkowników systemu informatycznego rachunkowości.

 

Dokumentacja systemu dla użytkownika

1. Opis systemu informatycznego rachunkowości (każdego podsystemu) i jego przeznaczenie.

2. Schemat ogólny funkcjonowania systemu informatycznego rachunkowości i przepływu danych między poszczególnymi podsystemami.

3. Opis procedur i czynności umożliwiających przygotowanie systemu informatycznego rachunkowości do pracy.

4. Zakres i opis funkcji prezentowanych w postaci tzw. menu podsystemów systemu informatycznego rachunkowości.

5. Struktura zbiorów danych.

6. Opis procedur wprowadzania danych oraz procesu aktualizacji zbiorów, wraz z załączonymi próbkami dokumentów i prezentacją obrazu monitora w tych procesach.

7. Zasady postępowania z ujawnionymi błędami, dokonywanie korekt i storn.

8. Opis najczęstszych błędów użytkowników i sposoby ich eliminacji.

9. Stosowane procedury obliczeniowe i kontrolne oraz punkty kontrolne i metody nadzoru nad prawidłowością przetwarzania danych.

10. Opis algorytmów i parametrów przetwarzania danych.

11. Sposób realizacji śladu rewizyjnego każdej zagregowanej wielkości.

12. Postać raportów i sprawozdań wraz z próbkami wydruków i ich opisem.

13. Zasady uzyskiwania informacji wynikowych wraz z opisem obrazów ekranów wyświetlanych informacji.

14. Sposób przekazywania informacji między podsystemami rachunkowości a systemem finansowo-księgowym.

15. Sposoby archiwowania i odtwarzania danych.

16. Przyjęte sposoby ochrony danych oraz postępowania niezbędnego dla weryfikacji zawartości ksiąg rachunkowych.

17. Instrukcja zawierająca podstawowe zasady postępowania w sytuacjach awaryjnych, np. spowodowanych trwałym uszkodzeniem sprzętu, wyłączeniem prądu w trakcie pracy.

 

W opisie reguł obliczeniowych, ewidencji, księgowania, kontroli i wydruku danych powinny zostać omówione m.in. następujące zagadnienia dotyczące systemu finansowo-księgowego:

• definiowanie kont w zakładowym planie kont, modyfikowanie planu kont lub automatyczne generowanie planu kont w nowym roku obrotowym,
• generowanie bilansu otwarcia na podstawie sald kont roku poprzedniego,
• księgowanie bilansu otwarcia i kontrola poprawności księgowania,
• wprowadzanie dokumentów księgowych do bufora oraz ich poprawianie,
• tworzenie i prowadzenie rejestrów VAT,
• prowadzenie rozliczeń rozrachunków,
• wyliczanie odsetek od należności przeterminowanych,
• wyliczanie różnic kursowych walut na koniec miesiąca oraz na koniec roku,
• księgowanie dokumentów, a w szczególności kontrola poprawności dokumentu przed zaksięgowaniem i zasady stornowania błędnych dokumentów zaksięgowanych,
• zamykanie i zatwierdzanie okresów sprawozdawczych (miesięcznych, rocznych),
• obliczanie bilansu końcowego oraz rachunku zysków i strat,
• rola kont i parametrów specjalnych,
• sporządzanie wydruków z danych księgowych,
• sposoby programowej ochrony danych księgowych.

Obligatoryjnym dokumentem w jednostce jest także opis organizacyjnych i programowych rozwiązań zapewnienia właściwego stosowania i ochrony systemów, danych i sprzętu komputerowego. Ustanowienie zasad zapewnienia właściwego użytkowania i ochrony systemów, danych i sprzętu komputerowego oraz ich stosowanie ma na celu m.in.:

• zabezpieczenie przed utratą danych lub ich uszkodzeniem w stopniu uniemożliwiającym dalszą pracę,
• uniemożliwienie nieautoryzowanego dostępu do programów i danych, w wyniku którego mogłaby nastąpić ich utrata, pozyskanie, ujawnienie lub nieupoważnione ich rozpowszechnienie,
• zminimalizowanie strat związanych z utratą sprzętu komputerowego wraz z przechowywanymi danymi w wyniku zdarzeń losowych (kradzież, pożar).

Jednostka, aby zrealizować postanowienia uor, powinna przygotować instrukcję ochrony danych i systemu ich przetwarzania oraz ochrony sprzętu informatycznego. W dokumencie powinny znaleźć się zapisy o systematycznym tworzeniu kopii rezerwowych danych i ksiąg rachunkowych. Jeśli przyjęty system ochrony danych na komputerowych nośnikach nie zapewniałby trwałości zapisu informacji przez czas nie krótszy od wymaganego ustawą, czyli co najmniej przez 5 lat, wówczas księgi rachunkowe należy wydrukować nie później niż na koniec roku obrotowego.

Należy podkreślić, że systemy informatyczne rachunkowości obsługiwane na pojedynczych stanowiskach niewłączonych do sieci najczęściej zawierają wbudowane mechanizmy umożliwiające samodzielne wykonywanie rezerwowych kopii danych. Kopie rezerwowe wykonuje się przy użyciu specjalnych programów zakupionych zwykle wraz z oprogramowaniem finansowo-księgowym. Ponadto system informatyczny rachunkowości może również mieć wbudowaną funkcję informowania użytkownika o konieczności archiwizacji danych. W praktyce autorka spotkała się z dwoma rozwiązaniami, które funkcjonują w systemach informatycznych rachunkowości:

• rozwiązanie 1 - system przypomina o archiwizacji danych przy zakończeniu pracy z programem,
• rozwiązanie 2 - system ma funkcję, w której użytkownik systemu sam ustala częstotliwość archiwizacji danych (np. co 2 dni), a system przypomina o obowiązku w odpowiednich terminach.

 

Lista pytań kontrolnych do samooceny obligatoryjnej dokumentacji systemu informatycznego rachunkowości powinna obejmować co najmniej następujące pytania:

1. Czy dokumentacja systemu informatycznego rachunkowości jest zgodna z wymogami uor i zawiera:

• opis realizacji funkcji systemu informatycznego rachunkowości,

• opis przeznaczenia każdego podsystemu i jego działania (procedury obliczeniowe, kontrola procesu przetwarzania, wyniki itp.),

• wykaz zbiorów stanowiących księgi rachunkowe na informatycznych nośnikach danych z określeniem ich struktury oraz funkcji w procesach przetwarzania,

• opis sposobów kontroli danych i procedury postępowania z ujawnionymi błędami,

• opis postaci informacji wynikowych na wydruku papierowym i ekranie monitora,

• opis zasad ochrony programowej i fizycznej zasobów informatycznych rachunkowości,

• opis realizacji śladu rewizyjnego,

• opis sposobów oraz zasad przekazywania i kontroli danych między podsystemami informatycznymi rachunkowości,

• opis zasad integracji podsystemów,

• opis sposobów zatwierdzania systemu informatycznego rachunkowości (podsystemów) do eksploatacji?

2. Czy wydrukowana dokumentacja ewidencyjna systemu informatycznego rachunkowości oraz jej kopie na nośnikach informatycznych są przechowywane w warunkach zapewniających jej trwałość, czytelność i nienaruszalność przez wymagany czas zgodnie z wymaganiami uor?

3. Czy dokumentacja ewidencyjna systemu informatycznego rachunkowości jest na bieżąco aktualizowana?

4. Czy dokumentacja eksploatacyjna systemu informatycznego rachunkowości oraz jej kopie zapasowe na nośnikach są przechowywane w warunkach zapewniających jej trwałość, czytelność i nienaruszalność przez wymagany czas zgodnie z wymaganiami uor?

5. Czy dokumentacja eksploatacyjna systemu informatycznego rachunkowości jest na bieżąco aktualizowana wraz z przyjęciem do użytkowania nowych wersji programów?

 

Opis przyjętych do stosowania sposobów ochrony zasobów informatycznych w jednostce powinien jasno przedstawić użytkownikom i osobom kontrolującym system zabezpieczeń na poziomie programowym, sprzętowym, fizycznym, technicznym i administracyjno-organizacyjnym.

Osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze w jednostce powinna zapoznać się z dokumentacją dotyczącą systemu kontroli wewnętrznej w obszarze organizacji środowiska informatycznego rachunkowości. Zdaniem autorki dokumentacja systemu kontroli zarządczej powinna obejmować opis procedur związanych z:

• tworzeniem bieżących rezerwowych kopii danych,
• organizacją fizycznego transportu nośników danych (spedycją),
• postępowaniem w sytuacjach awaryjnych.

 

Instrukcja dotycząca fizycznego transportu informatycznych nośników danych w jednostce powinna dotyczyć zarówno dokumentów papierowych, jak i danych umieszczonych na nośnikach komputerowych. Powinna ona określać środki zabezpieczenia związane zarówno z transportem wewnętrznym, jak i zewnętrznym. W szczególności w instrukcji należy uregulować kwestie dotyczące:

• właściwości opakowań nośników,
• wykazu i zasad sporządzania dokumentów towarzyszących transportowi,
• sprawdzania tożsamości odbiorcy nośników i potwierdzenia odbioru na dokumentach towarzyszących,
• zasady obsługi transportu,
• harmonogramu transportu,
• niezawodności środków transportu.

Szczególne znaczenie z punktu widzenia kompletności danych w jednostce mają dokumenty towarzyszące spedycji informatycznych nośników danych. Powinny one zawierać następujące informacje:

• nazwę jednostki i komórki organizacyjnej odpowiedzialnej za przygotowanie nośników,
• nazwę lub symbol systemu informatycznego rachunkowości, z którego dane pochodzą,
• rodzaje nośników,
• liczbę egzemplarzy nośników i sumy kontrolne,
• datę przekazania nośników,
• określenie osoby przekazującej i odbierającej nośniki, przy czym w momencie przejmowania nośników osoba odbierająca powinna zbadać prawdziwość danych zawartych w dokumencie towarzyszącym, dokonując kontroli formalnej nośników i potwierdzając to podpisem.

Podane czynności wiążą się z opracowaniem instrukcji, która zawiera sposoby postępowania w tym zakresie. Osoba przeprowadzająca samoocenę kontroli zarządczej w tym obszarze powinna zbadać, czy była ona przestrzegana w rzeczywistości na podstawie zapisów w dokumentacji w jednostce.

Większe jednostki sektora finansów publicznych opracowują dokument zawierający politykę bezpieczeństwa informacji lub politykę zasobów informatycznych. W normach ISO zaleca się, aby polityka bezpieczeństwa informacji zawierała co najmniej:

• definicję bezpieczeństwa informacji, jego ogólne cele i zakres oraz znaczenie,
• oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji,
• krótkie wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań zgodności mających szczególne znaczenie dla jednostki,
• definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa,
• odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej szczegółowych polityk bezpieczeństwa (polityki bezpieczeństwa poszczególnych systemów), procedur i instrukcji dotyczących poszczególnych systemów informatycznych lub zasad bezpieczeństwa zalecanych do przestrzegania przez użytkowników.

Zalecane w ISO uzupełniające elementy dokumentacji polityki bezpieczeństwa to:

• opis wymagań bezpieczeństwa systemów informatycznych, np. pod względem poufności, integralności, dostępności, rozliczalności i niezawodności systemów,
• opis infrastruktury organizacyjnej i określenie zakresu odpowiedzialności,
• polityka zintegrowania bezpieczeństwa z rozwojem i nabywaniem systemów,
• wytyczne i procedury bezpieczeństwa zasobów informatycznych,
• definicja zagrożeń oraz klasyfikacja ważności informacji,
• strategia zarządzania ryzykiem,
• planowanie awaryjne,
• administrowanie personelem (zaleca się zwrócenie szczególnej uwaga na personel na stanowiskach wymagających zaufania, takich jak administratorzy systemu i personel informatyczny),
• plany szkolenia użytkowników systemów i innych pracowników,
• obowiązki prawne i regulacyjne,
• zarządzanie outsourcingiem (usługami świadczonymi przez podmioty zewnętrzne),
• obsługa incydentów bezpieczeństwa.

Dokument polityki powinien zostać zatwierdzony przez kierownictwo, opublikowany i udostępniony w odpowiedni sposób wszystkim pracownikom. Powinien on deklarować zaangażowanie kierownictwa i wyznaczać podejście jednostki do zarządzania bezpieczeństwem informacji. Polityka musi mieć właściciela, który jest odpowiedzialny za jej stosowanie i dokonywanie regularnego przeglądu:

• efektywności polityki, na podstawie rodzaju, liczby i skutków odnotowanych przypadków naruszenia bezpieczeństwa, identyfikowania wszelkich zmian mających wpływ na podstawę pierwotnego szacowania ryzyka, nowych podatności środowiska informatycznego na zagrożenia,
• kosztów i wpływu zabezpieczeń na efektywność działalności jednostki,
• efektów zmian technologicznych w infrastrukturze organizacyjnej lub technicznej.

W wielu dużych jednostkach sektora finansów publicznych dla niektórych systemów wymaga się przygotowania oddzielnych polityk bezpieczeństwa, które powinny opierać się na przeglądach analizy ryzyka. Zwykle jest tak w przypadku dużych i złożonych systemów, a także systemów, które wprowadzają unikalne i szczególne czynniki ryzyka, niewystępujące w przy innych systemach danej jednostki. Polityka bezpieczeństwa systemu informatycznego powinna być zgodna z główną polityką bezpieczeństwa informacji w jednostce. Powinna odnosić się do kwestii ryzyka w sposób bardziej szczegółowy niż w polityce bezpieczeństwa jednostki. Poza tym powinna zawierać szczegóły dotyczące wymaganych zabezpieczeń oraz uzasadniać konieczność ich wprowadzenia. Winna opierać się na wynikach analizy ryzyka. Przyjęte zabezpieczenia powinny zapewnić, że dla systemu osiągnięto odpowiedni poziom ochrony.

 

Przykładowo polityka bezpieczeństwa systemu informatycznego rachunkowości i związane z nią dokumenty w jednostce sektora finansów publicznych powinny zawierać:

• definicję struktury systemu informatycznego rachunkowości, opis jego komponentów i zakresu (opis ten powinien obejmować wszelki sprzęt, oprogramowanie, a także użytkowników systemu informatycznego rachunkowości i personel informatyczny, procedury i działania, które składają się na środowisko informatyczne),
• definicję celów biznesowych dla systemu informatycznego rachunkowości, co ma wpływ na wybrane metody analizy ryzyka oraz wybór i priorytety wdrażania zabezpieczeń zasobów systemu informatycznego rachunkowości,
• identyfikację celów bezpieczeństwa zasobów systemu informatycznego rachunkowości,
• ogólny stopień uzależnienia od systemu informatycznego rachunkowości określony na podstawie tego, jak bardzo działalność jednostki byłaby narażona w wyniku utraty lub poważnego incydentu związanego z bezpieczeństwem zasobów informatycznych,
• poziom nakładów na eksploatację i rozwój systemu informatycznego rachunkowości na podstawie kosztu opracowania, utrzymania i wymiany systemu, wraz z kosztami kapitału, eksploatacji i wykorzystywanych pomieszczeń,
• metodę analizy ryzyka wybraną dla systemu informatycznego rachunkowości,
• zasoby systemu informatycznego rachunkowości, które jednostka jest zobligowana chronić, oraz inne, które zamierza chronić na podstawie uor i innych przepisów szczególnych w zależności od typu jednostki (dotyczy to np. instytucji finansowych),
• wycenę zasobów systemu informatycznego rachunkowości, wyrażoną w kategoriach konsekwencji (finansowych, prawnych, wizerunkowych), w przypadku gdyby zasoby te zostały poważnie naruszone (wartość informacji powinna zostać opisana jako potencjalne negatywne skutki dla działalności wynikające z jej ujawnienia, modyfikacji, braku dostępności i zniszczenia),
• zagrożenia systemu informatycznego rachunkowości i przetwarzanych informacji finansowych, w tym związek między zasobami i zagrożeniami oraz prawdopodobieństwo wystąpienia tych zagrożeń,
• podatność systemu informatycznego rachunkowości, w tym opis właściwych mu słabości, które mogą być wykorzystane przez zagrożenia,
• ryzyko dla bezpieczeństwa systemu informatycznego rachunkowości wynikające z potencjalnego negatywnego wpływu na działalności jednostki, prawdopodobieństwa wystąpienia zagrożenia i łatwości wykorzystania podatności,
• listę zabezpieczeń wybranych do ochrony systemu informatycznego rachunkowości oraz przybliżone koszty zabezpieczeń informatycznych.

Uzupełnieniem tego opisu w jednostce jest wykaz budynków i pomieszczeń z zasobami informatycznymi oraz ich zabezpieczeń fizycznych, technicznych, programowych i organizacyjno-administracyjnych, spis konfiguracji zasobów informatycznych, spis urządzeń szyfrowania danych i standardów szyfrowania, lista kontrahentów i podmiotów zewnętrznych z dostępem do zasobów systemowych itp.

 

Dla polityki bezpieczeństwa w dużych jednostkach zazwyczaj tworzy się plan bezpieczeństwa dla każdego systemu informatycznego, który określa sposób wdrożenia wymaganych zabezpieczeń. Jest dokumentem koordynacyjnym opisującym działania, które należy podjąć w celu wdrożenia wymaganych zabezpieczeń w systemie informatycznym. Powinien określać koszty oraz harmonogram wdrażania, według priorytetów określonych na podstawie ryzyka dla danego systemu informatycznego, zgodnie z opisem sposobu wdrażania zabezpieczeń i metodą osiągnięcia odpowiedniego poziomu bezpieczeństwa. Powinien zawierać także zestaw procedur po wdrożeniu, umożliwiających utrzymanie założonego poziomu bezpieczeństwa. Dokument ten powinien obejmować:

1. cele bezpieczeństwa w kategoriach poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności;
2. wariant analizy ryzyka wybrany dla tego systemu;
3. oszacowanie oczekiwanego i akceptowanego ryzyka szczątkowego po wdrożeniu przewidywanych zabezpieczeń;
4. listę zabezpieczeń wybranych do wdrożenia oraz listę zabezpieczeń istniejących i planowanych, w tym określenie ich efektywności i potrzeb ich uaktualnienia; lista ta powinna zawierać:

• priorytety dla wdrożenia wybranych zabezpieczeń i uaktualnienia zabezpieczeń istniejących,
• opis, jak zabezpieczenia te powinny działać w praktyce,
• przybliżone koszty instalacji i eksploatacji zabezpieczeń,
• przybliżone oszacowanie zasobów ludzkich koniecznych do wdrożenia zabezpieczeń i prowadzenia czynności po wdrożeniu;

5. szczegółowy plan wdrażania zabezpieczeń zawierający:

• priorytety,
• harmonogram wdrażania uwzględniający priorytety,
• niezbędny budżet,
• zakresy odpowiedzialności,
• procedury uświadamiania bezpieczeństwa i szkoleń dla personelu informatycznego i użytkowników końcowych, niezbędne dla zapewnienia efektywności zabezpieczeń,
• harmonogram procesów uzyskiwania aprobaty, jeśli zachodzi taka potrzeba,
• harmonogram procedur po wdrożeniu;

6. środki kontroli procesu prawidłowego wdrażania zabezpieczeń, takie jak:

• zdefiniowanie procedur relacjonowania postępów,
• procedury identyfikujące możliwe trudności;

7. procedury zatwierdzania każdego z ww. punktów, w tym procedury związane z możliwymi modyfikacjami części lub całości samego planu, jeśli zachodzi taka potrzeba.

Niezależnie od wielkości jednostki należy przewidzieć możliwość wystąpienia sytuacji awaryjnej (awaria sprzętu, oprogramowania lub zdarzenia losowe) oraz opracować politykę utrzymania ciągłości działania systemów lub plan ciągłości działania (Business Continuity Plan) oraz szczegółowe plany postępowania w sytuacjach awaryjnych. Sytuacje awaryjne stanowią istotne zagrożenia dla systemu informatycznego rachunkowości. Mogą przynieść także katastrofalne skutki dla jednostki w przyszłości. Aby zmniejszyć to zagrożenie oraz uniknąć skutków takich zdarzeń, jednostka powinna opracować, przetestować, a w razie konieczności zrealizować następujące plany postępowania w sytuacjach awaryjnych:

• plan postępowania pracowników w przypadkach awarii, wypadkach losowych i stanach zagrożenia,
• plan określający tryb przetwarzania danych w trybie awaryjnym w stanie zagrożenia lub po wypadku losowym - plan obejmujący procedury przetwarzania alternatywnego, stosowanego przejściowo do usunięcia przyczyn lub skutków, po wypadku losowym lub w stanie zagrożenia,
• plan działań niezbędnych po awarii dla powrotu do stanu normalnego przetwarzania - plan powinien zawierać m.in. procedury odtworzenia zbiorów danych lub programów z kopii rezerwowych.

Wszystkie dokumenty planów w jednostce powinny zawierać co najmniej:

• założenia i zakres planu, czyli określenie, jakich okoliczności oraz jakich jednostek dotyczy plan itp.,
• zdefiniowanie awarii (katastrofy), ocenę ryzyka,
• zespoły i osoby odpowiedzialne oraz rozdzielnik według stanowisk,
• procedury przekazywania informacji w sytuacji awarii,
• procedury oceny zniszczeń i strat,
• procedury odtwarzania utraconych zasobów,
• działania zapobiegawcze,
• weryfikację, testowanie i utrzymanie planu,
• szkolenia pracowników.

Istnienie ww. planów stanowi jeden z warunków zapewnienia ciągłości funkcjonowania systemu informatycznego rachunkowości w jednostce. Dlatego należy sprawdzić:

• czy plany zostały opracowane i aktualizowane wraz z rozwojem technologii,
• czy plany zawierają wyczerpujące procedury działania,
• czy plany zostały przetestowane (co powinno znaleźć odzwierciedlenie w protokołach ich testowania),
• czy plany są rozpowszechnione w jednostce,
• czy przeszkolono wyznaczone osoby.

Plan ciągłości działania powinien być zaakceptowany przez kierownika jednostki, powinien być zgodny z planem działalności, aktualny, testowany i rozpowszechniony w jednostce.

Ponadto wiele jednostek opracowuje dodatkowe polityki operacyjne w obszarze informatyki, które mogą obejmować np.:

• politykę usług informatycznych w jednostce (w tym tworzenie konfiguracji zasobów informatycznych i jej zmiany, utrzymanie określonego poziomu usług wewnętrznych oraz zewnętrznych w kontaktach z otoczeniem jednostki),
• politykę nabywania i wdrażania nowych wersji dotychczas użytkowanych systemów (w tym testowania oraz zapewnienia jakości migracji baz danych do nowej wersji),
• politykę nabywania i wdrażania nowych lub wymiany systemów (w tym testowania oraz zapewnienia jakości migracji baz danych do nowego systemu),
• politykę wobec usług outsourcingu (np. politykę wynajmowania i dzierżawy sprzętu komputerowego i systemów informatycznych, archiwizowania i przechowywania danych, serwisu systemów, serwisu sprzętu komputerowego),
• politykę rozwoju systemów informatycznych.

Dla przykładu w polityce rozwoju systemów informatycznych w przypadku zakupu nowego systemu informatycznego polityka powinna zakładać co najmniej: limity wartościowe dotyczące zakupów oprogramowania, metody pozyskania ofert, metody i warunki wyboru dostawcy, indywidualne, pisemne akceptacje przed dokonaniem transakcji, sposoby testowania oprogramowania, indywidualne, pisemne akceptacje potwierdzające dokonanie transakcji oraz zasady weryfikowania procesu transakcji i wdrażania oprogramowania do eksploatacji wraz z jego dokumentacją.

 

Podsumowując, należy stwierdzić, że posiadana dokumentacja ewidencyjna i eksploatacyjna systemu informatycznego rachunkowości w jednostce sektora finansów publicznych powinna spełniać wymogi określone w przepisach uor. Dokumentacja ta powinna być sporządzona w języku polskim. Ponadto powinna być aktualna, kompletna, precyzyjna i zrozumiała dla osób, które z niej korzystają.

Należy mieć na uwadze, że o właściwym kształtowaniu systemu kontroli zarządczej w jednostce stanowi wiele innych dokumentów, które odnoszą się do różnych komponentów tego systemu w środowisku informatycznym rachunkowości. Dokumentacja powinna być również aktualna, kompletna, precyzyjna i zrozumiała dla osób, które z niej korzystają.

 

 

3. Samoocena kontroli zarządczej dotycząca poprawności funkcjonowania systemu informatycznego rachunkowości

W tym rozdziale odniesiono się do procesu samooceny kontroli zarządczej w obszarze:

• poprawności gromadzenia i wprowadzania danych w systemie informatycznym rachunkowości,
• poprawności przetwarzania danych,
• poprawności tworzenia sprawozdań i raportów finansowych,
• przechowywania dokumentów księgowych i ksiąg rachunkowych.

 

3.1. Samoocena kontroli zarządczej dotycząca poprawności gromadzenia i wprowadzania danych w systemie informatycznym rachunkowości

Pierwszy etap samooceny dotyczącej wiarygodności systemu informatycznego rachunkowości w jednostce sektora finansów publicznych to procedura oceny zasad gromadzenia i wprowadzania danych w tym systemie, w szczególności w systemie finansowo-księgowym.

Wszystkie dokumenty księgowe, zanim znajdą się w bazie danych systemu informatycznego rachunkowości, powinny przechodzić zawsze przez kilka faz kontrolnych. Podczas tych faz są wykonywane określone czynności kontrolne, takie jak:

• wstępna kontrola podczas wystawiania dokumentów księgowych przez osobę je sporządzającą,
• wstępna kontrola podczas przyjęcia dokumentów zewnętrznych,
• ręczne numerowanie dokumentów posiadanych w formie papierowej,
• kontrola formalna poprawności i kompletności zapisów w dokumentach,
• kontrola rachunkowa dokumentów,
• kontrola merytoryczna dokumentów i akceptacja ich jako dowodów danych zdarzeń gospodarczych,
• segregacja dokumentów (według rodzajów np. faktury z danego dnia lub dokumenty kasowe itp.) i przygotowanie ich do wprowadzenia do systemu informatycznego rachunkowości,
• kontrola bieżąca podczas dekretacji dokumentów zgodnie z zakładowym planem kont,
• wprowadzenie zapisów z dokumentów papierowych do bufora systemu informatycznego rachunkowości (pamięci tymczasowej) i ręczne numerowanie dokumentów według oznaczenia dokumentu w systemie,
• przyjęcie z podsystemów rachunkowości dokumentów wewnętrznie wygenerowanych do bufora podsystemu finansowo-księgowego oraz ich weryfikacja,
• sprawdzenie poprawności wpisów w buforze i zaksięgowanie dokumentów w systemie.

Ostatni z tych etapów prowadzi bezpośrednio do ujęcia dokumentów księgowych w księgach rachunkowych w systemu informatycznego rachunkowości. Należy podkreślić, że wprowadzenie dokumentów do tzw. bufora systemu aktualizuje stany w sprawozdaniach sporządzanych pro forma, generowane na życzenie użytkownika systemu w czasie rzeczywistym.

W tym momencie można już na bieżąco obserwować stany na kontach oraz kwoty zagregowane w poszczególnych pozycjach bilansu oraz rachunku zysków i strat.

Tradycyjnie księgowanie operacji gospodarczych na kontach w systemie informatycznym rachunkowości odbywa się w ujęciu:

• systematycznym, ponieważ dokumenty wprowadza się na konta księgi głównej, a w niektórych przypadkach - także na konta ksiąg pomocniczych (np. operacje rozrachunkowe),
• chronologicznym, czyli w dzienniku na dany dzień, który w niektórych systemach tworzy się automatycznie po ujęciu operacji w ujęciu systematycznym.

Zbiory danych i informacji w systemie informatycznym rachunkowości na różnych etapach przetwarzania mają różną treść i w zależności od stopnia przekształcenia przyjmują różne nazwy. Zbiory na wejściu systemu to dokumenty księgowe, zbiory związane z przetwarzaniem są księgami rachunkowymi, natomiast zbiory na wyjściu to sprawozdania finansowe i budżetowe. Należy pamiętać, że o właściwym przetwarzaniu danych w systemie informatycznym rachunkowości decydują również zbiory danych stałych, takie jak: zakładowy plan kont oraz zbiory kartotek i słowników, które aktualizowane są w trakcie pracy systemu.

Mechanizmy kontroli na etapie gromadzenia danych, które będą wprowadzone do systemu informatycznego rachunkowości w jednostce, powinny obejmować czynności kontrolne o charakterze organizacyjno-administracyjnym. Można je podzielić na dwie grupy:

• grupa 1 - procedury o charakterze organizacyjno-administracyjnym dotyczące kontroli dokumentów, na podstawie których dokonuje się wprowadzania danych do systemu informatycznego rachunkowości,
• grupa 2 - procedury wprowadzania danych lub automatycznego tworzenia tzw. zbioru transakcyjnego, czyli dziennika.

 

Zdaniem autorki, lista pytań kontrolnych do samooceny gromadzenia i wprowadzania danych księgowych w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:

1. Czy dane wprowadzane do systemu informatycznego rachunkowości są udokumentowane za pomocą prawidłowych, sprawdzonych i zadekretowanych dokumentów księgowych (źródłowych)?

Ocena na podstawie wyrywkowo wybranych X dowodów księgowych:

• dowód oznaczony jest co do rodzaju,

• dowód zawiera wymagany opis stron transakcji,

• dowód zawiera treść operacji, wartość i ilość (jeśli jest wymagana),

• dowód zawiera datę dokonania operacji (i sporządzenia dowodu),

• podpis wystawcy dowodu (jeśli jest wymagany),

• dowód zawiera stwierdzenie sprawdzenia, zakwalifikowania do ujęcia w księgach i sposobu dekretacji wraz z podpisem osoby odpowiedzialnej?

2. Czy wszystkie udokumentowane operacje wprowadzane do systemu informatycznego rachunkowości są porównywane z dokumentem księgowym przed zaksięgowaniem, a źródłowy dowód księgowy jest opisany numerem wygenerowanym z systemu?

3. Czy dane wprowadzane do systemu informatycznego rachunkowości są wprowadzane automatycznie za pośrednictwem urządzeń teleinformatycznych i uzyskują postać i moc dowodu księgowego?

4. Czy dane wprowadzane do systemu informatycznego rachunkowości są wprowadzane z komputerowych nośników danych i uzyskują postać nadającą im moc dowodu księgowego?

5. Czy dane wprowadzane do systemu informatycznego rachunkowości są tworzone według algorytmu programu na podstawie informacji zawartych w księgach i uzyskują postać nadającą im moc dowodu księgowego?

6. Czy dane wprowadzane do systemu finansowo-księgowego są przenoszone automatycznie z innego podsystemu informatycznego rachunkowości i uzyskują postać nadającą im moc dowodu księgowego?

7. Czy źródło danych wprowadzanych do systemu informatycznego rachunkowości ma wszystkie cechy wymagane przez uor dla dokumentu księgowego?

8. Czy dla użytkowników systemu informatycznego rachunkowości dostępne są pisemne procedury kontroli źródeł danych wprowadzanych do poszczególnych podsystemów?

9. Czy zapisy wprowadzane automatycznie, tj. za pośrednictwem urządzeń teleinformatycznych, komputerowych nośników danych lub tworzonych według algorytmu programu zapewniają wszystkie niezbędne dane?

10. Czy zapisy wprowadzane automatycznie uzyskują trwałą czytelną postać zgodnie z treścią odpowiednich dowodów księgowych?

11. Czy zapisy wprowadzane automatycznie umożliwiają stwierdzenie źródła ich pochodzenia?

12. Czy zapisy wprowadzane automatycznie pozwalają na ustalenie osoby odpowiedzialnej za ich wprowadzenie?

13. Czy zapisy wprowadzane automatycznie zapewniają sprawdzenie poprawności przetwarzania odnośnych danych oraz kompletności i identyczności zapisów?

14. Czy system informatyczny rachunkowości zapewnia odpowiednią ochronę zapisów, tj. ich niezmienność przez okres wymagany do przechowywania danego rodzaju dokumentów księgowych?

15. Czy system informatyczny rachunkowości wymusza wprowadzenie całej treści dowodu zgodnie z wyświetloną maską formatu dokumentu, określającego liczbę znaków w danym polu, postać daty, liczbę znaków przed lub po kropce dziesiętnej itp.?

16. Czy system informatyczny rachunkowości automatycznie wprowadza i blokuje dostęp do pozycji data księgowania, data operacji gospodarczej, data dokumentu?

17. Czy system informatyczny rachunkowości w przypadku wprowadzania błędnych, niekompletnych lub nieprawdopodobnych danych do systemu zablokuje wprowadzenie takich danych oraz informuje użytkownika sygnałem dźwiękowym lub wyświetleniem ostrzeżenia?

18. Czy system informatyczny rachunkowości automatycznie wprowadza do treści zapisu identyfikator osoby wprowadzającej dane?

19. Czy procedura wprowadzania danych do systemu informatycznego rachunkowości umożliwia poprawne wznowienie wprowadzania zapisów po awarii sprzętu lub oprogramowania?

20. Czy istnieje niezależny proces zatwierdzania danych, który sprawdza, czy wszystkie dane wejściowe i polecenia są poprawne?

21. Czy w przypadku ujawnienia przez kontrole danych błędnych, niekompletnych lub nieprawdopodobnych system informatyczny rachunkowości sygnalizuje prawdopodobną przyczynę błędu?

22. Czy w przypadku ujawnienia przez kontrole danych błędnych, niekompletnych lub nieprawdopodobnych w dokumencie system informatyczny rachunkowości automatycznie:

• umieszcza błędny dokument w zbiorze księgowań do wyjaśnienia lub wyłącza go ze zbioru dowodów do księgowania albo

• umieszcza błędny dokument w zbiorze księgowań z sygnalizacją błędów, a w przypadku podjęcia próby zaksięgowania - sygnalizuje o błędach w treści dokumentu?

23. Czy przy przekazywaniu zbiorów danych między podsystemami rachunkowości system zapewnia wydruk kontrolny z podsystemu przekazującego, zawierający co najmniej:

• liczbę przekazanych zapisów,

• sumy kontrolne podstawowych wielkości,

• datę,

• cechy identyfikujące zbiór?

24. Czy system informatyczny rachunkowości przekazuje wyraźne komunikaty o poprawnym przebiegu przekazywania zbiorów między podsystemami lub o wystąpieniu błędu?

25. Czy przy przekazywaniu zbiorów danych między podsystemami rachunkowości system potwierdza w podsystemie odbierającym kontrolę otrzymanego zbioru (identyfikacja zbioru, kodu lub numeru pliku, kontrola liczby zapisów, sumy kontrolne, data odbioru)?

26. Czy przy przekazywaniu zbiorów danych między podsystemami rachunkowości system ma zabezpieczenie przed powtórnym wprowadzeniem tego samego zbioru?

27. Czy istnieją jasne wskazówki dotyczące powtórnego przetwarzania po wystąpieniu błędów?

28. Czy dowody księgowe są kolejno numerowane w systemie finansowo-księgowym i możliwa jest ich bezpośrednia identyfikacja z zapisami na kontach ksiąg pomocniczych i/lub kontach księgi głównej?

29. Czy dowody księgowe są odpowiednio przechowywane?

 

3.2. Samoocena kontroli zarządczej w obszarze poprawności przetwarzania danych

W jednostce sektora finansów publicznych celem konstruowania mechanizmów kontroli na etapie przetwarzania danych jest zapewnienie kompletności, rzetelności i terminowości przetwarzania danych księgowych oraz zabezpieczenia dostępu do nich przez osoby nieupoważnione. System kontroli wewnętrznej w środowisku informatycznym powinien zapewnić:

• poprawność przetwarzania, której uzyskanie wymaga rachunkowo i merytorycznie poprawnych algorytmów systemowych (algorytmy umożliwiają poprawne przetwarzanie danych i uzyskanie z systemu informatycznego rachunkowości właściwie przetworzonych informacji),
• kompletność przetwarzania, której uzyskanie wymaga wprowadzenia wszystkich koniecznych danych do systemu informatycznego rachunkowości i uwzględnienia ich w sprawozdaniu finansowym i raportach wewnętrznych generowanych przez system,
• wiarygodność przetwarzania, której uzyskanie wymaga od systemu informatycznego rachunkowości, aby raportowane informacje brały pod uwagę tylko dane wprowadzone i zatwierdzone w sposób zgodny z procedurami,
• dostępność ścieżki rewizyjnej, której uzyskanie wymaga, aby funkcje systemu informatycznego rachunkowości umożliwiały śledzenie raportowanych informacji od zapisu końcowego, poprzez poszczególne etapy przetwarzania, do danych źródłowych,
• podział obowiązków, którego uzyskanie wymaga wprowadzenia mechanizmów systemowych zapewniających, by ten sam użytkownik systemu informatycznego rachunkowości nie mógł samodzielnie rejestrować, zatwierdzać i kontrolować poprawności tej samej operacji (w mniejszych jednostkach przy małych zespołach księgowości zasadniczo nie wszystkie funkcje można rozdzielić, zatem należy oddzielić co najmniej upoważnienie do kontroli od pozostałych uprawnień użytkowników w SIR).

Podczas samooceny poprawności przetwarzania danych w jednostce osoba ją przeprowadzająca powinna zbadać następujące zagadnienia, które dotyczą funkcjonowania mechanizmów kontrolnych:

• dostępność ścieżki rewizyjnej,
• sposób weryfikacji procedur obliczeniowych,
• kontrola kompletności zmian parametrów przetwarzania danych w systemie informatycznym rachunkowości,
• dokumentowanie zmian parametrów przetwarzania danych w danym podsystemie informatycznym rachunkowości,
• organizacyjne środki kontroli przetwarzania danych.

Ustalenie funkcjonujących mechanizmów kontrolnych wymaga prześledzenia przepływu danych w systemie informatycznym rachunkowości i przeanalizowania ich pod kątem kilku aspektów.

Podczas samooceny w pierwszej kolejności poszukuje się śladu rewizyjnego dla wybranych do testowania dokumentów księgowych w postaci papierowej lub elektronicznej, które były podstawą ewidencji operacji gospodarczych. Oceny dostępności ścieżki rewizyjnej dokonuje się poprzez prześledzenie raportowanych informacji od zapisu końcowego, poprzez poszczególne etapy przetwarzania, aż do danych źródłowych.

W środowisku informatycznym szczególnie ważną rolę odgrywają zbiory danych stałych i dane technologiczne, których istnienie i poprawność decydują o właściwej realizacji procedur przetwarzania danych księgowych. Dane stałe służą najczęściej do:

• wyceny składników,
• identyfikacji jednostek ewidencyjnych (np. nazwy kont, nazwy jednostek organizacyjnych, numery ewidencyjne itd.),
• ustalenia sposobów rozliczeń (np. naliczanie odsetek za zwłokę, szczególnych warunków rozliczeń z dostawcami i odbiorcami, a także dane do rozliczeń pracowników z kartotek osobowych).

Natomiast dane technologiczne decydują o właściwym przebiegu przetwarzania rejestrowanych informacji. Przyjmują one najczęściej postać trzech grup parametrów: wejściowych, przetwarzania i edycji. Ponadto poprawność przetwarzania danych zależy od właściwie zbudowanych algorytmów przetwarzania. Jeśli system informatyczny rachunkowości dysponuje bezbłędnymi algorytmami, to można mieć pewność, że nie są obarczone błędami następujące czynności:

• grupowanie obrotów w zbiorze lub zbiorach dziennika, na kontach księgi głównej i na kontach ksiąg pomocniczych,
• bilansowanie procesu ewidencji na kontach według zasady: stan początkowy + zwiększenia obrotów - zmniejszenia obrotów = stan końcowy,
• saldowanie, czyli obliczanie różnicy między większą sumą obrotów Wn i mniejszą sumą obrotów Ma na koncie aktywów albo obliczanie różnicy między większą sumą obrotów Ma i mniejszą sumą obrotów Wn na koncie pasywów,
• grupowanie operacji gospodarczych lub ich agregacja według zadanych kryteriów, np. tworzenie rozdzielnika płac na podstawie list wynagrodzeń,
• tworzenie i ujmowanie w księgach rachunkowych nowych operacji z wykorzystaniem danych zawartych w zbiorach stałych parametrów przetwarzania danych oraz stałych operacji okresowych, np. księgowanie umorzeń i amortyzacji na podstawie planu amortyzacji w związku z zakończeniem miesiąca,
• okresowe przeksięgowywanie sald lub obrotów kont na określone konta,
• czynności obliczeniowe niezbędne do uzyskiwania zbiorów rachunkowości, w tym obliczanie obrotów i sald narastająco od początku roku i kontrola ciągłości obrotów,
• agregacja danych księgowych,
• ustalanie wyniku finansowego,
• sporządzanie raportów, sprawozdań finansowych i budżetowych.

Wykorzystywane w systemie informatycznym rachunkowości procedury i metody, przyjęte zgodnie z wymaganiami uor, muszą być związane z:

• ustalonym sposobem tworzenia, opracowywania, przekazywania, rejestrowania i przechowywania dokumentów źródłowych,
• otwieraniem ksiąg rachunkowych saldami początkowymi, zgodnymi z saldami kont na dzień zamknięcia ksiąg roku poprzedniego,
• księgowaniem zgodnie z podwójną klasyfikacją (obciążaniem i uznaniem kont),
• zamykaniem kont na koniec okresu obrachunkowego, co wiąże się z ustalaniem sald końcowych według określonego algorytmu wynikającego ze stosowania podwójnego zapisu,
• tworzeniem zgodnie z wymogami prawa sprawozdań finansowych, co wiąże się także z regułami dotyczącymi wyceny pozycji sprawozdawczych,
• uzgadnianiem sald kont (zapisów księgowych ze stanem faktycznym).

 

Zdaniem autorki, lista pytań kontrolnych do samooceny poprawności przetwarzania danych księgowych w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:

1. Czy system informatyczny rachunkowości zapewnia możliwość prześledzenia zapisu księgowego (tj. ścieżki rewizyjnej), począwszy od zapisu końcowego poprzez poszczególne etapy aż do danych źródłowych?

2. Czy system informatyczny rachunkowości umożliwia weryfikację procedur obliczeniowych na podstawie wydruku danych, algorytmów i wyników?

3. Czy zmiany (wprowadzenie, modyfikacja i usunięcie) parametrów przetwarzania danych są dokonywane tylko przez osoby uprawnione?

4. Czy parametry przetwarzania danych są automatycznie dokumentowane w postaci raportu zmian parametrów, który zawiera co najmniej: zestawienie nowych wartości parametrów lub zestawienie poprzednich i nowych wartości parametrów, a także identyfikator osoby wprowadzającej zmiany.

5. Czy wyniki przetwarzania są sprawdzane pod kątem kompletności?

6. Czy zmiany parametrów przetwarzania danych są kontrolowane przez innych użytkowników poprzez wyświetlenie na ekranie lub wydruk aktualnych wartości parametrów przetwarzania?

7. Czy system informatyczny rachunkowości zapewnia kontrolę zbiorów pod względem poprawności przetwarzania danych (np. sumy kontrolne, zliczanie rekordów itp.) co najmniej przed sporządzeniem sprawozdań oraz rezerwowych kopii bezpieczeństwa?

8. Czy system informatyczny rachunkowości zapewnia ograniczenie uprawnień użytkowników tylko do dozwolonych im funkcji w systemie?

9. Czy system informatyczny rachunkowości przekazuje wyraźne komunikaty o poprawnym przebiegu przetwarzania lub o wystąpieniu błędu?

10. Czy system informatyczny rachunkowości zapewnia poprawne wznowienie działania po awarii sprzętu lub oprogramowania?

11. Czy istnieją jasne wskazówki dotyczące powtórnego przetwarzania po wystąpieniu błędów lub awarii?

12. Czy istnieją przejrzysty i udokumentowany harmonogram przetwarzania danych w systemie informatycznym rachunkowości oraz instrukcje obsługi dla użytkowników?

13. Czy istnieją jasne wskazówki dotyczące powtórnego przetwarzania po wystąpieniu błędów?

 

Przy konstruowaniu mechanizmów kontroli przetwarzania danych księgowych w systemie informatycznym rachunkowości należy ustalić zasady:

• • kontroli danych i postępowania w przypadku ujawnienia danych błędnych, niekompletnych lub nieprawdopodobnych,
  • kontroli i identyfikacji zbiorów danych przekazywanych między podsystemami rachunkowości informatycznej.

Prawo bilansowe zawiera także wiele wymogów dotyczących postępowania z poszczególnymi komputerowymi księgami rachunkowymi. W jednostkach sektora finansów publicznych dotyczą one następujących zagadnień:

• otwierania, modyfikacji i likwidacji kont w zakładowym planie kont,
• prowadzenia dziennika,
• zapisów w księgach rachunkowych,
• korygowania błędnych zapisów księgowych,
• tworzenia zestawień obrotów i sald oraz przenoszenia sald,
• weryfikacji ksiąg i procedur,
• informacji wynikowych i wydruków oraz prezentowania ksiąg rachunkowych w różnych formach (drukowane i na ekranie monitora),
• programowej i organizacyjnej ochrony treści ksiąg rachunkowych i zaksięgowanych dokumentów.

 

Dekretacja dokumentów księgowych w systemie informatycznym rachunkowości zawsze odbywa się zgodnie z tradycyjną metodą podwójnego zapisu. Podstawową czynnością jest tu określenie kont przeciwstawnych, na których dokument księgowy ma być zaewidencjonowany. Dekretacja następuje w wyniku analizy treści dowodu księgowego i jej skonfrontowania z zakładowym planem kont jednostki.

Przyjęty w jednostce plan kont musi być wpisany do systemu informatycznego rachunkowości. Jest to wykaz numerów i nazw kont aktywów i pasywów, kosztów i przychodów i kont specjalnych właściwych dla danej jednostki. Plan kont powinien być dostatecznie elastyczny, tzn. możliwy do rozbudowywania. Ponadto powinien zapewniać dostateczny stopień szczegółowości, aby można było prowadzić wszechstronne analizy finansowe i ekonomiczne.

Zakres i struktura zakładowego planu kont w systemie informatycznym rachunkowości jednostki są zawsze determinowane następującymi czynnikami:

• wielkością jednostki, charakterem i zakresem jej działalności,
• stosowanymi przez jednostkę metodami rachunkowości (np. metody wyceny bilansowej, metody inwentaryzacji składników bilansowych),
• potrzebami informacyjnymi jednostki i organów nadzorczych.

W systemach finansowo-księgowych przyjęto założenie, że aby możliwe było księgowanie na jakimś koncie księgowym, należy je najpierw zdefiniować w bazie danych, czyli kartotece danych stałych zakładowego planu kont. W planie kont jednostki konkretne numery, nazwy i inne parametry kont i jego układ można definiować i modyfikować zarówno w czasie wdrażania systemu finansowo-księgowego, jak i jego eksploatacji. Nie jest wymagane wprowadzenie całego planu kont przed rozpoczęciem pracy z systemem finansowo-księgowym. Konta w planie kont, podobnie jak i kartoteki kontrahentów, pracowników itp., mogą być dopisywane w trakcie wprowadzania operacji gospodarczych, które wymagają zapisu na koncie jeszcze niezdefiniowanym. W praktyce kartoteka planu kont jest dostępna podczas wprowadzania wszelkich operacji gospodarczych tylko dla uprawnionego użytkownika.

System finansowo-księgowy powinien pozwalać wykonywać następujące operacje związane z zakładowym planem kont:

• wprowadzać nowe konta,
• przeglądać istniejące już konta w bazie danych,
• modyfikować niektóre wartości zapisane w definicji kont,
• usuwać wybrane konta, na których nie było żadnych zapisów,
• rozbudować poszczególne konta do kilku poziomów analitycznych,
• drukować zestawienia zawierające definicje kont księgowych w systemie informatycznym rachunkowości.

Modyfikowanie planu kont powinno być możliwe w każdym momencie pracy z systemem finansowo-księgowym, ale pod jednym warunkiem: konto może być zmienione tylko przed dokonaniem jakichkolwiek księgowań na tym koncie. Dotyczy to zarówno księgowania bilansu otwarcia lub obrotów rozpoczęcia, jak i ewidencji i księgowania dokumentów. Po dokonaniu księgowania nie można zmienić parametrów konta syntetycznego, na którym było księgowanie, oraz wszystkich kont z niższych poziomów analityki.

Ze względu na podział użytkowników na grupy o różnych uprawnieniach oraz możliwość redefiniowania menu przez administratora systemu nie wszystkie z ww. funkcji dotyczące planu kont muszą być dostępne dla każdego użytkownika. Tylko uprawniony użytkownik systemu (np. główny księgowy) ma możliwość dowolnego definiowania planu kont syntetycznych (księga główna) i kont analitycznych (księgi pomocnicze), optymalnie przystosowując go do wymogów i specyfiki jednostki.

 

Lista pytań kontrolnych do samooceny poprawności zakładowego planu kont w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:

1. Czy prowadzi się zbiory zapisów uporządkowane według planu kont lub innych kryteriów klasyfikacyjnych?

2. Czy nazwa i charakterystyka kont jest przenoszona na papier lub inny trwały nośnik nie później niż na koniec roku obrotowego?

3. Czy wymagane jest wprowadzenie planu kont jako dane stałe?

4. Czy możliwe jest uzupełnianie kartoteki planu kont o nowe konta przez aktualizację danych stałych podczas ewidencji operacji?

5. Czy czynność uzupełniania kartoteki planu kont wykonuje tylko uprawniony użytkownik?

6. Czy możliwe jest założenie konta, jeżeli brak konta ujawniono przy ewidencji dokumentu?

7. Czy czynność założenia konta wykonuje tylko uprawniony użytkownik?

8. Czy istnieje zabezpieczenie przed zmianą numeru aktywnego konta?

9. Czy istnieje zabezpieczenie przed istnieniem więcej niż jednego konta z takim samym numerem?

10. Czy system finansowo-księgowy blokuje zlikwidowanie konta, na którym został dokonany zapis w ciągu roku?

11. Czy istnieje możliwość blokady lub zamknięcia na danym koncie dalszych zapisów (konto aktywne od - do)?

12. Czy istnieje możliwość kopiowania wersji planu kont w nowym roku obrotowym?

13. Czy istnieje możliwość zmiany wersji planu kont w nowym roku obrotowym?

14. Czy uprawniony użytkownik może definiować strukturę konta - co najmniej:

• typ konta - syntetyczne, analityczne,

• symbol konta,

• pełną nazwę konta,

• charakter konta - bilansowe, wynikowe, szczególne itp.?

15. Czy system informatyczny rachunkowości obsługuje konta pozabilansowe?

16. Czy system informatyczny rachunkowości wspomaga proces tworzenia i aktualizacji planu kont w oparciu o zdefiniowane słowniki zawierające charakterystyki kont?

17. Czy system informatyczny rachunkowości umożliwia weryfikację ksiąg i procedur rachunkowości informatycznej przez wybór z dziennika lub kartoteki zapisów na danym koncie lub w określonym przedziale kont?

18. Czy wprowadzony do systemu informatycznego rachunkowości plan kont jest przejrzysty i czytelny dla użytkownika systemu, czy np. uzupełniony jest komentarzem lub opisem operacji na poszczególnych kontach?

19. Czy wprowadzony do systemu informatycznego rachunkowości plan kont jest adekwatny do potrzeb jednostki?

20. Czy wprowadzony do systemu informatycznego rachunkowości plan kont umożliwia sporządzenie sprawozdań jednostki zgodne z przyjętymi zasadami rachunkowości?

 

Poprawnie zbudowany zakładowy plan kont pozwala na maksymalne zautomatyzowanie czynności księgowych, możność uzyskiwania wymaganych informacji bez dodatkowych przeliczeń oraz automatyczne generowanie sprawozdań i analiz finansowych czy ekonomicznych. Odpowiednio szczegółowa struktura kont w księgowości syntetycznej oraz analitycznej ułatwia tworzenie podstawowych sprawozdań finansowych i raportów bieżących. Niektóre systemy umożliwiają pozyskanie podstawowych danych do arkusza kalkulacyjnego w celu sporządzenia zestawienia zmian w funduszu własnym.

Dowody księgowe opisujące operacje gospodarcze są przypisywane do poszczególnych okresów i podlegają ewidencji chronologicznej w dzienniku.

Dziennik odgrywa podstawową rolę w systemie rachunkowości. Zbiór ten, zawierający zapisy chronologiczne, dzień po dniu, danych o zrealizowanych operacjach gospodarczych, służy przede wszystkim do celów kontrolnych - ułatwia m.in. tworzenie na potrzeby audytu tzw. śladu rewizyjnego. Znaczenie ww. funkcji dziennika dla wiarygodności podsystemów rachunkowości informatycznej uniemożliwia na dzień dzisiejszy rezygnację z jego tworzenia i emisji.

 

Lista pytań kontrolnych do samooceny poprawności dziennika księgowego w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:

1. Czy zbiór dziennika tworzy się automatycznie po ewidencji dokumentów w ewidencji systematycznej?

2. Czy zbiór dziennika tworzy się automatycznie po dyspozycji wej­ścia do funkcji tworzenia dziennika?

3. Czy dziennik prowadzi się jako zbiór danych zawierających kompletną i w porządku chronologicznym (dzień po dniu) treść zapi­sów?

4. Czy procedura wprowadzania danych do dziennika umożliwia wprowadzanie zapisów na podstawie pojedynczych identyfikowalnych dowodów księgowych oraz dokumentów zbiorczych, zawierających zestawienie tych dowodów?

5. Czy procedura wprowadzania danych do dziennika umożliwia kontrolowanie zapisów dowodów księgowych pod względem ciągłości i kompletności (np. automatyczne numerowanie pozycji)?

6. Czy procedura wprowadzania danych do dziennika umożliwia generowanie sum kontrolnych, pozwalając na kontrolę kompletności procesu przetwarzania?

7. Czy procedura wprowadzania danych do dziennika umożliwia kontrolę zgodności kwot w zapisach po stronie Wn i Ma kont przeciwstawnych?

8. Czy zapisy w dzienniku zawierają elementy określone w art. 23 ust. 2 ustawy uor?

9. Czy rejestrowane są dane identyfikujące osoby wprowadzające operacje lub po­prawki do dziennika?

10. Czy użytkownik może sporządzić w ciągu miesiąca bieżący wydruk zapisów dziennika?

11. Czy zaksięgowany dziennik zamykający obroty miesięczne jest połączony z blokadą dalszych wejść pod datą tego miesiąca?

12. Czy przenosi się treść dziennika nie później niż na koniec roku obrotowego na papier lub inny nośnik zapewniający trwałość, czytelność i nienaruszalność jego zawartości?

13. Czy zawartość dziennika jest niedostępna dla jakichkolwiek nieuprawnionych działań zmieniających treść wprowadzonych do niego zapisów?

14. Czy porównanie obrotów i numerów kolejnych wydruków dziennika wskazuje na dokonane interwencje w treść dziennika z innych źródeł niż program przetwarzający?

15. Czy każdy dziennik wydrukowany lub przeniesiony na inny trwały nośnik jest automatycznie:

• kolejno numerowany,

• oznaczony symbolem miesiąca i roku obrotowego, którego dotyczy,

• trwale oznaczony nazwą jednostki, której dotyczy,

• trwale oznaczony nazwą księgi rachunkowej,

• oznaczony datą sporządzenia,

• oznaczony numerami stron,

• oznaczony nazwą programu, z którego pochodzi?

16. Czy każdy wydrukowany dziennik rozpoczyna się od wartości obrotów narastająco od początku miesiąca i kończy się sumą obrotów dziennych lub okresowych i sumą od początku miesiąca?

17. Czy każdy zapis na kontach może być odnaleziony w dzienniku i wynika z dowodu źródłowego?

18. Czy zapisy w dzienniku i na kontach księgi głównej są powiązane ze sobą w sposób umożliwiający ich sprawdzenie?

19. Czy obroty dziennika narastające od początku roku obrotowego są zgodne z obrotami zestawienia obrotów i sald księgi głównej?

20. Czy w przypadku prowadzenia dzienników częściowych system umożliwia sporządzenie zestawienia obrotów tych dzienników?

21. Czy procedura wprowadzania danych do dziennika umożliwia poprawne wznowienie wprowadzania zapisów po awarii sprzętu lub systemu?

 

 

Kolejnym ważnym elementem ksiąg rachunkowych są zestawienia obrotów i sald kont syntetycznych i analitycznych. Są one podstawowymi zbiorami danych służącymi do wygenerowania w systemie informatycznym rachunkowości sprawozdań finansowych. Tradycyjnie przypisuje się im rolę kontrolną. Stąd zestawienia te nazywa się bilansem próbnym. Zestawienia te powstają w wyniku przetworzenia zapisów z dokumentów księgowych dokonanych w zbiorach systematycznych na kontach księgi głównej oraz kontach ksiąg pomocniczych. Zestawienia obrotów i sald kont syntetycznych i analitycznych służą do kontroli poprawności ewidencji i do uzgadniania kwot w księgach rachunkowych na różnych etapach przetwarzania.

 

Lista pytań kontrolnych do samooceny poprawności tworzenia zestawienia obrotów i sald w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:

1. Czy salda wszystkich kont syntetycznych są przenoszone do zestawień obrotów i sald według stanu na koniec każdego miesiąca?

2. Czy salda wszystkich kont analitycznych dla określonej grupy kont syntetycznych na koniec roku obrotowego i na dzień inwentaryzacji są przenoszone do zestawień obrotów i sald?

3. Czy salda wskazanych lub wszystkich kont są przenoszone do zestawień obrotów i sald na każdą datę określoną przez użytkownika?

4. Czy zestawienia obrotów i sald za skończony okres sprawozdawczy są zablokowane do dalszej aktualizacji sald pod tą samą datą?

5. Czy zestawienia obrotów i sald za skończony okres sprawozdawczy oznaczone są elementami określonymi w art. 13 ust. 4 i art. 18 ust. 1 uor oraz identyfikatorem osoby sporządzającej?

6. Czy zestawienia obrotów i sald za zakończony okres sprawozdawczy wykorzystane są do uzgodnienia z obrotami dziennika lub obrotami zestawienia dzienników częściowych?

 

Lista pytań kontrolnych do samooceny poprawności tworzenia ksiąg rachunkowych w systemie informatycznym rachunkowości powinna zawierać co najmniej następujące pytania:

1. Czy istnieje przejrzysty i udokumentowany harmonogram przetwarzania danych w systemie finansowo-księgowym, wraz z instrukcją obsługi?

2. Czy istnieje niezależny proces zatwierdzania danych, który sprawdza, czy wszystkie dane wejściowe i polecenia są poprawne?

3. Czy zapisy w księgach systemu informatycznego rachunkowości mają:

   • • numer identyfikujący dowód księgowy w zbiorach przechowywanych dowodów,

     • identyfikator pozycji zapisu w dzienniku,

     • datę dokonania operacji gospodarczej,

     • datę, pod którą operacje zaliczono do okresu sprawozdawczego (jeżeli różni się od daty operacji),

     • automatyczną datę wprowadzenia do ksiąg,

     • zrozumiałą treść zapisu w języku polskim albo jej skrót bądź symbol opisany w odpowiednim wykazie (np. kod rodzaju operacji),

     • kwotę zapisu,

     • oznaczenie kont, których dotyczy,

     • automatycznie wprowadzony identyfikator osoby, która wprowadziła zapis?

4. Czy system informatyczny rachunkowości sprawdza i potwierdza poprawność danych wejściowych, np. kody dokumentów w systemie czy numery plików?

5. Czy system informatyczny rachunkowości przekazuje wyraźne komunikaty o poprawnym przebiegu przetwarzania danych lub o wystąpieniu błędu?

6. Czy zapisy korygujące błędy dostrzeżone po wprowadzeniu danych do ksiąg (zaksięgowaniu dokumentów) są dokonywane wyłącznie za po­mocą storn, odpowiednio wyróżnionych wśród innych zapisów oraz wprowadzonych zapisów poprawnych?

7. Czy istnieją jasne wskazówki dotyczące powtórnego przetwarzania po wystąpieniu błędów?

8. Czy system informatyczny rachunkowości umożliwia weryfikację ksiąg i procedur rachunkowości informatycznej przez:

• wybór z dziennika lub

• kartoteki zapisów na danym koncie lub

• w określonym przedziale kont?

9. Czy zapisy na kontach księgi głównej i ksiąg pomocniczych zawierają:

• symbol i nazwę konta,

• wprowadzone z bilansem otwarcia salda początkowe,

• zapisy kolejnych operacji w okresie sprawozdawczym?

10. Czy system informatyczny rachunkowości umożliwia weryfikacje ksiąg i procedur rachunkowości przez wybór zapisów na określony dzień lub w określonym przedziale dat od - do?

11. Czy możliwa jest analiza obrotów i sald kont na dowolnie wybrany dzień roku obrotowego?

12. Czy system informatyczny umożliwia weryfikację ksiąg i procedur rachunkowości informatycznej przez sumowanie obrotów na koncie w określonym przedziale dat lub numerów dowodów?

13. Czy poszczególne zapisy na kontach ksiąg pomocniczych można powiązać z dokumentami źródłowymi?

14. Czy salda kont pomocniczych można uzgodnić z saldem na koncie księgi głównej?

15. Czy przydzielono uprawnienia do zapisów i odczytu dla poszczególnych kont księgowych, rodzajów dowodów księgowych, bilansu otwarcia?

16. Czy system finansowo-księgowy umożliwia ustalanie i automatyczne wyksięgowanie różnic kursowych po rozliczeniu operacji?

17. Czy system finansowo-księgowy umożliwia ustalanie różnic kursowych na dzień bilansowy i ich automatyczną dekretację?

18. Czy system informatyczny rachunkowości zawiera podpowiedź kursów walut na podstawie tabel kursów walut i czy jest możliwość ręcznego wprowadzania kursów walut?

19. Czy system finansowo-księgowy generuje otwarcie ksiąg rachunkowych saldami początkowymi, zgodnymi z saldami kont na dzień zamknięcia ksiąg roku poprzedniego (zasada ciągłości bilansowej)?

20. Czy system finansowo-księgowy wykonuje zamykanie kont na koniec okresu sprawozdawczego i ustala salda końcowe według określonego algorytmu?

21. Czy system informatyczny rachunkowości tworzy obligatoryjne elementy sprawozdania finansowego na podstawie reguł dotyczących wyceny pozycji sprawozdawczych?

22. Czy przegląd kont analitycznych i syntetycznych pokazuje wprowadzane korekty zapisów (należy dokonać analizy przyczyn wykonywanych korekt na kilku wybranych kontach)?

23. Czy korekty na kontach analitycznych i syntetycznych może wykonywać tylko uprawniona do tego osoba, czy system wskazuje identyfikator osoby, która korekty wprowadziła (należy dokonać analizy zapisów korygujących na kilku wybranych kontach)?

24. Czy system informatyczny rachunkowości zawiera automatyczne kontrole stosowania zasady podwójnego zapisu oraz okresu ujęcia operacji księgowej?

25. Czy księgi rachunkowe prowadzone są na bieżąco?

 

3.3. Samoocena kontroli zarządczej w obszarze poprawności tworzenia sprawozdań i raportów finansowych

W jednostce sektora finansów publicznych w efekcie procesu przetwarzania danych w systemie informatycznym rachunkowości uzyskuje się tradycyjne w rachunkowości zbiory informacji wynikowych, które można pogrupować w następujące kategorie:

• wewnętrzne dokumenty księgowe, generowane w systemie informatycznym rachunkowości (np. RK - "Raport kasowy") oraz przekazywane innym podsystemom rachunkowości informatycznej funkcjonującym w danej jednostce (np. PK - "Polecenie księgowania" listy płac w systemie finansowo-księgowych z podsystemu kadrowo-płacowego, polecenia księgowania odpisów umorzeniowych i amortyzacyjnych z podsystemu ewidencji środków trwałych itp.),
• zewnętrzne dokumenty księgowe otrzymane od kontrahentów i innych podmiotów oraz wprowadzane do systemu informatycznego rachunkowości (np. faktury zakupu VAT, wyciągi bankowe WB itd.),
• zewnętrzne dokumenty księgowe, generowane w systemie informatycznym rachunkowości i przekazywane innym jednostkom gospodarczym (np. odbiorcom - faktury sprzedaży VAT, dokumenty wydania na zewnątrz - WZ) lub instytucjom (np. bankom - polecenia przelewu),
• raporty (zestawienia) wewnętrzne generowane dla celów zarządzania jednostką, których postać, treść, zakres zależą od potrzeb użytkowników,
• raporty oraz deklaracje podatkowe i ubezpieczeniowe,
• sprawozdania finansowe, których obowiązek i terminy sporządzania oraz treść, zakres i forma wynikają z rozporządzenia Ministra Finansów z 5 lipca 2010 r. w sprawie szczególnych zasad rachunkowości oraz planów kont dla budżetu państwa, budżetów jednostek samorządu terytorialnego, jednostek budżetowych, samorządowych zakładów budżetowych, państwowych funduszy celowych oraz państwowych jednostek budżetowych mających siedzibę poza granicami Rzeczypospolitej Polskiej czy z uor.

Przy wykorzystaniu systemu informatycznego rachunkowości uzyskuje się kilka możliwości co do form prezentacji informacji wynikowych. Mogą one występować w postaci:

• pisemnej jako wydruk z systemu informatycznego rachunkowości;
• obraz w postaci tekstowej lub graficznej na monitorze komputera, otrzymanego w na żądanie i według kryteriów określonych przez użytkownika;
• zbiorów w postaci elektronicznej na informatycznych lub innych na trwałych nośnikach danych.

Systemy informatyczne rachunkowości w ostatnich latach pozwoliły na rozszerzenie zakresu uzyskiwanych form i zakresu informacji wynikowych. Przykładowo informacje wynikowe uzyskiwane w systemie informatycznym rachunkowości w postaci drukowanej można podzielić na trzy kategorie:

• • kategoria I - zestawienia kontrolne, które spełniają w systemie informatycznym rachunkowości i stanowią podstawowy element systemu kontroli wewnętrznej, mogące być emitowane w każdej fazie procesu przetwarzania danych dla potrzeb kontroli bieżącej, audytu wewnętrznego lub biegłego rewidenta jako zestawienia danych wprowadzonych i przetworzonych w stosunku do danych widniejących w dokumentach księgowych,
  • kategoria II - zestawienia błędów, które są uzyskiwane w czasie przetwarzania danych w wyniku stosowania różnego rodzaju kontroli dokonywanych przez inne programy użytkowe; prezentują one wszystkie rodzaje wykrytych błędów, m.in. zarejestrowane wszystkie błędne rekordy (zapisy) przy ewidencji dokumentów księgowych, błędy wykrywane przy wdrażaniu nowej wersji systemu informatycznego rachunkowości, migracji danych z poprzedniej do nowej bazy danych po wdrożeniu nowego systemu itp.,
  • kategoria III - zestawienia użytkowe, przybierające postać określoną przepisami prawa lub potrzebami użytkownika, np. wewnętrzne i zewnętrzne dokumenty księgowe, sprawozdania finansowe oraz inne raporty wewnętrzne.

Zestawienia kontrolne i zestawienia błędów pozyskiwane z systemu informatycznego rachunkowości są najważniejszym elementem systemu kontroli zarządczej. Należy jeszcze wspomnieć o najczęściej stosowanej alternatywnej postaci dla zestawienia błędów podczas wprowadzania danych. Jest to automatyczna sygnalizacja błędu podczas wprowadzania dokumentu na ekranie monitora z możliwością korekty wprowadzanej treści.

W zaawansowanych rozwiązaniach informatycznych w wyniku działania mechanizmów kontrolnych na różnych etapach przetwarzania danych użytkownik otrzymuje komunikaty o występujących błędach w kilku postaciach: np. sygnalizacja dźwiękowa, sygnalizacja graficzna (pojawienie się nowego okna z informacją) i możliwość wykonania wydruku zestawienia błędów.

W odniesieniu do zestawień użytkowych dla potrzeb rachunkowości należy podkreślić, że każdy system finansowo-księgowy powinien standardowo sporządzać zestawienia wymagane przepisami prawa:

• zestawienia stanów i obrotów za miesiąc,
• dzienniki obrotów,
• rachunek zysków i strat w wariancie porównawczym,
• bilans - dowolna liczba wariantów,
• sprawozdania dla GUS,
• deklaracje VAT,
• deklaracje i sprawozdania dla ZUS,
• deklarację podatku dochodowego od osób prawnych.

Część standardowych dla księgowości wydruków zasadniczo powinna być zdefiniowana bezpośrednio w systemie na etapie jego tworzenia. Tego typu raporty pozwalają na wydrukowanie danych wprowadzonych do systemu informatycznego rachunkowości w układzie kont i dokumentów w różnych przekrojach. Przykładowo zestawienie wyniku finansowego można sporządzać narastająco, za bieżący miesiąc obrotowy, za rok obrotowy. Możliwe jest tworzenie dowolnej liczby wariantów wyniku finansowego zgodnie z zakładowym planem kont, np. wynik finansowy netto, wynik brutto, przychody i koszty uzyskania przychodów.

Drugim sposobem uzyskania żądanych informacji w postaci raportu z różnych podsystemów rachunkowości na użytek rachunkowości finansowej i budżetowej jest zdefiniowanie własnego wzoru raportu o treści i formie zaprojektowanej przez użytkownika w trakcie eksploatacji systemu w jednostce. Taką możliwość najczęściej daje zazwyczaj współpracujący z systemem specjalnie przystosowany arkusz kalkulacyjny. Arkusz taki zawiera zwykle bogaty zestaw specjalnych funkcji obliczeniowych, dających możliwość sięgnięcia do wartości każdego konta księgowego w dowolnym zakresie. Umożliwia to wykonanie dowolnych zestawień, przeliczeń, podsumowań, tabel w formie zaprojektowanej przez użytkownika. Wyniki działań można prezentować w formie graficznej, np. na wykresach słupkowych, kolumnowych lub kołowych.

Ze względów praktycznych warto podkreślić, że dla celów kontrolnych pożądane jest, aby wydruki zawierały także dodatkowe informacje, niewymagane przepisami uor. Wydruki powinny zawierać m.in. czytelny opis pól występujących w zestawieniu oraz wspólny dla całego zestawienia identyfikator powtarzany na każdej stronie.

 

Zdaniem autorki lista pytań kontrolnych do samooceny poprawności tworzenia zestawień wynikowych w systemie informatycznym rachunkowości pod względem wymogów formalnych powinna zawierać co najmniej następujące pytania:

1. Czy wszystkie wydruki i obrazy na ekranie prezentujące zawartość ksiąg rachunkowych są wyraźne oznaczone:

• nazwą jednostki,

• nazwą systemu,

• okresem lub datą, której dotyczą,

• datą sporządzenia sprawozdania,

• czytelnym opisem kolumn i wierszy,

• identyfikatorem osoby sporządzającej wydruk,

• wspólnym dla całej jednostki identyfikatorem (nazwa, symbol itp.), który jest umieszczany na każdej stronie?

2. Czy wydruki otrzymywane z systemu mają ciągłą numerację stron?

3. Czy na wydrukach jest wyraźnie oznaczona pierwsza i ostatnia strona?

4. Czy wydruki mają sumowanie liczb na każdej stronie (do przeniesienia) i rozpoczęcie każdej następnej strony od sumy z przeniesienia?

 

3.4. Samoocena kontroli zarządczej w obszarze przechowywania dokumentów księgowych i ksiąg rachunkowych

W jednostkach sektora finansów publicznych, zgodnie z rozdziałem 8 uor, muszą być opracowane procedury przechowywania dokumentów księgowych i ksiąg rachunkowych. Organizacyjno-administracyjne i programowe mechanizmy kontroli powinny być ustalone zarówno dla ksiąg rachunkowych przechowywanych w systemie informatycznym rachunkowości, jak i poza tym systemem, czyli w formie elektronicznej na nośnikach danych lub w formie drukowanej, które są przeznaczone do archiwacji.

Mając na uwadze bezpieczeństwo przechowywania ksiąg rachunkowych, należy podkreślić, że z prawnego punktu widzenia nie ma różnicy, czy w wyniku nieprawidłowego przechowywania jednostka utraciłaby księgi rachunkowe sporządzone w postaci wydruków czy zachowane na komputerowych nośnikach danych.

Zapewne dużo bezpieczniejsze, szybsze i tańsze będzie przenoszenie danych na komputerowe nośniki danych oraz umieszczenie ich w sejfie jednostki niż drukowanie czasem setek czy tysięcy stron i przechowywanie w szafach przez co najmniej 6 lat. Zatem należy zwrócić jeszcze uwagę na to, że nawet w sytuacji, gdy jednostka dokonuje wydruku danych w ustalonych terminach, nie zwalnia jej to z odpowiedzialności za staranne i bezpieczne przechowywanie ksiąg rachunkowych przeniesionych na papier. Ponadto kierownik jednostki musi zapewnić właściwe środki ochrony ksiąg rachunkowych w formie elektronicznej. Natomiast czy zabezpieczenia te są odpowiednie, to stanie się przedmiotem oceny podczas audytu wewnętrznego.

 

Zdaniem autorki, lista pytań kontrolnych do samooceny przechowywania ksiąg rachunkowych według wymogów uor powinna zawierać co najmniej następujące pytania:

1. Czy dokumentacja rachunkowości oraz jej kopie zapasowe są przechowywane na nośnikach zapewniających trwałość, czytelność i nienaruszalność:

• dowodów księgowych,

• ksiąg rachunkowych,

• kartotek (zbiorów systematycznych),

• danych stałych i technologicznych (parametrów systemu)?

2. Czy księgi rachunkowe są należycie chronione również za pomocą kontroli dostępu do plików i bazy danych (nadawanie praw użytkownikom, np. tylko do przeglądania danych)?

3. Czy księgi rachunkowe są należycie chronione przed zniszczeniem danych, modyfikacją i nieupoważnionym dostępem za pomocą środków ochrony programowej przy użyciu kontroli dostępu do komputera (odpowiednie administrowanie kontem użytkownika w systemie operacyjnym i systemie rachunkowości)?

4. Czy księgi rachunkowe są należycie chronione również za pomocą narzędzi kryptograficznych umożliwiających szyfrowanie przesyłanych danych?

5. Czy księgi rachunkowe są należycie chronione również za pomocą mechanizmów separacji danych np. poprzez firewall (dotyczy komputera podłączonego do sieci) uniemożliwiający dostęp do zasobów z zewnątrz albo poprzez pracę w trybie off-line (dotyczy komputerów pracujących autonomicznie niepodłączonych do sieci)?

6. Czy zawartość ksiąg rachunkowych jest poprawnie i terminowo przenoszona na trwałe nośniki pamięci?

7. Czy pozostała dokumentacja jest poprawnie przenoszona na trwałe nośniki?

8. Czy trwałe nośniki są odpowiednio fizycznie oznaczone:

• nazwą archiwizowanej dokumentacji rachunkowości,

• identyfikatorem (np. symbolem i kolejnym numerem),

• datą lub okresem, za który dokumentacja rachunkowości jest archiwizowana,

• datą sporządzenia,

• identyfikatorem osoby sporządzającej?

9. Czy kompletne zapisy kopii rezerwowych dokumentacji rachunkowości informatycznej są przechowywane oddzielnie w odpowiednim oddaleniu od systemu informatycznego i są odpowiednio zabezpieczone fizycznie?

 

 

4. Samoocena kontroli zarządczej w wybranych dziedzinowych podsystemach rachunkowości

W tym rozdziale wskazano zasady samooceny systemu kontroli zarządczej dotyczące podsystemu:

• ewidencji aktywów trwałych,
• ewidencji płac oraz pozostałych rozrachunków z pracownikami,
• do obsługi rozliczeń bankowych i kasy.

 

 

4.1. Samoocena kontroli zarządczej dotycząca podsystemu ewidencji aktywów trwałych

W jednostce sektora finansów publicznych podsystem ewidencji aktywów trwałych przeznaczony jest do kompleksowej obsługi ewidencyjno-rozliczeniowej środków trwałych, wartości niematerialnych i prawnych oraz środków niskocennych w jednostce. Umożliwia ścisłą ilościowo-wartościową kontrolę stanów oraz dostarcza na bieżąco wszelkich informacji na potrzeby planowania.

Najczęściej realizowane w tym module funkcje to m.in.:

• prowadzenie kartotek środków trwałych i niskocennych,
• ewidencja stanów i obrotów,
• rejestrowanie zmian wartości poszczególnych składników majątku,
• rejestracja remontów środków trwałych,
• rejestracja dokumentów ruchu środków trwałych i niskocennych (dokumenty związane z ewidencją środków trwałych: OT - przyjęcie, MT - zmiana stanowiska kosztów, PK - zmiana wartości lub stopy procentowej, PT - przyjęcie nieodpłatne, PT* - przekazanie nieodpłatne, LT- likwidacja, LT* - likwidacja ze sprzedażą),
• automatyczne naliczanie umorzeń i amortyzacji w trybie miesięcznym amortyzacji i umorzenia w układzie bilansowym i podatkowym,
• automatyczne przeszacowanie środków trwałych, według współczynników przeszacowań ogłaszanych przez Ministra Finansów,
• przeprowadzenie okresowych inwentaryzacji składników majątku wraz z zestawieniem niedoborów i nadwyżek inwentaryzacyjnych,
• tworzenie różnorodnych przekrojowych zestawień według zadanych kryteriów, dających szeroki zakres informacji o posiadanych zasobach,
• sporządzanie sprawozdań dla GUS.

Dane dotyczące wszystkich środków trwałych i niskocennych oraz wartości niematerialnych i prawnych przechowywane są w kartotekach. Kartoteka powinna obejmować informacje dotyczące użytkownika (jednostka organizacyjna użytkownika oraz dane osoby odpowiedzialnej), zmiany wartości, przeszacowania wartości, wysokości i zmiany stawki amortyzacji, datę rozpoczęcia oraz metodę naliczania amortyzacji (liniowa, degresywna, progresywna, sezonowa i inne), ewentualne ulgi inwestycyjne. System powinien umożliwiać przeglądanie kartotek według: identyfikacji GUS, użytkowników, stanowisk kosztów oraz innego klucza utworzonego przez użytkownika.

A zatem w zakresie prawidłowości prowadzenia ewidencji aktywów trwałych należy zwrócić uwagę na następujące zagadnienia:

1. umieszczenie w zbiorze środków trwałych atrybutów (cech, symboli, kodów) pozwalających na:

• kontrolę zgodności zestawień z kontami z zakładowego planu kont i pozycjami bilansu,
• ustalenie miejsca użytkowania środków trwałych i osób odpowiedzialnych,
• poprawną klasyfikację rodzajową i podmiotową amortyzacji (stanowiska kosztów),
• ustalenie zobowiązań podatkowych (od nieruchomości, od środków transportowych),
• identyfikację obiektu (numer inwentarzowy),
• kontrolę prawnego tytułu użytkowania, a w odniesieniu do środków obcych - zasadności ujęcia ich w księgach rachunkowych;

2. wprowadzenie do opisu obiektu dostatecznych i prawidłowych danych, zgodnych z planem amortyzacji, potrzebnych do jej obliczania, tj.:

• cech klasyfikacji rodzajowej, powiązanej z tabelą stawek albo samych stawek amortyzacyjnych,
• określenia metod amortyzacji, jeśli korzysta się z możliwości alternatywnych (amortyzacja przyspieszona, stawki zwiększone lub zmniejszone),
• określenia systemu odpisów amortyzacyjnych (podatkowego, księgowego), a także odrębnego systemu obliczania lub ustalania różnic amortyzacji według systemu podatkowego i według planu amortyzacji ustalonego przez kierownika jednostki;

3. utrwalenie w rekordach dotyczących obiektów wszystkich danych, składających się na wartość bilansową (wartość początkowa, aktualizacja wyceny, modernizacje, częściowe likwidacje, rozbudowa itp. oraz amortyzacja).

 

Zdaniem autorki lista pytań kontrolnych do samooceny systemu ewidencji aktywów trwałych powinna zawierać co najmniej następujące pytania:

1. Czy system jest poprawnie zintegrowany z księgowością finansową - ma możliwość grupowania dekretów księgowych według rodzajów dowodów określonych w systemie finansowo-księgowym?

2. Czy system zapewnia ścisłą kontrolę kompletności zapisów?

3. Czy system ewidencji środków trwałych, środków trwałych w budowie oraz wartości niematerialnych i prawnych pozwala na kontrole zgodności z odpowiednimi kontami z zakładowego planu kont majątku trwałego i umorzeń?

4. Czy system zapewnia rozliczenie amortyzacji (umorzeń) środków trwałych oraz wartości niematerialnych i prawnych w formie przystosowanej do księgowania odpisów amortyzacyjnych według kont umorzeń i kosztów?

5. Czy system zapewnia rozliczenie amortyzacji (umorzeń) środków trwałych oraz wartości niematerialnych i prawnych w formie przystosowanej do księgowania odpisów amortyzacyjnych w jednostce?

6. Czy system zapewnia identyfikację rodzajową środków trwałych (klasyfikacja GUS) pozwalającą na zastosowanie odpowiedniej stawki i procedury amortyzacji?

7. Czy zasady amortyzacji środków trwałych oraz wartości niematerialnych i prawnych są zgodne z prawem podatkowym (koszty uzyskania przychodu)? Czy możliwy jest podział amortyzacji na podatkową i bilansową?

8. Czy zasady amortyzacji środków trwałych pozwalają na stosowanie różnych metod amortyzacji (liniowa, degresywna, inne)?

9. Czy system pozwala na zmianę wartości początkowej przy ulepszeniu składników majątku trwałego?

10. Czy system pozwala na przeszacowanie wartości środków trwałych?

11. Czy system pozwala na identyfikację obiektów na podstawie numeru inwentarzowego?

12. Czy system pozwala na ustalenie miejsca użytkowania i osoby odpowiedzialnej (ustalenie konta podmiotowego kosztów amortyzacji)?

13. Czy system powala sporządzić sprawozdanie ze stanów i obrotów majątkiem trwałym (inwentaryzacja składników majątku trwałego)?

14. Czy z systemu można uzyskać zestawienia sald według rodzajów środków?

15. Czy z systemu można uzyskać zestawienia sald według miejsc użytkowania z podziałem według stóp amortyzacji?

16. Czy system umożliwia definiowanie schematów dekretacji dla dokumentów i naliczenia amortyzacji?

17. Czy system ma ewidencję środków trwałych zlikwidowanych?

18. Czy z systemu można uzyskać historię środka trwałego?

19. Czy system umożliwia rejestrację typowych dokumentów ruchu składników majątku: OT, PT, LT, MT, PK itd.

 

4.2. Samoocena kontroli zarządczej dotycząca podsystemu ewidencji płac oraz pozostałych rozrachunków z pracownikami

W dużych jednostkach sektora finansów publicznych sprawne zarządzanie zasobami ludzkimi ułatwiają systemy kadrowo-płacowe. Gdy są one zestawem tych dwóch podsystemów (kadrowego i płacowego) współpracujących ze sobą, podnosi to niezawodność przetwarzania, zmniejszając wydatnie czas wprowadzania danych, które wykorzystywane są w obu aplikacjach. Taki system automatyzuje wszelkie czynności związane z obsługą ewidencji pracowników i procesem generowania list płac, umożliwia pełną kontrolę zatrudnienia i polityki płacowej.

System kadrowo-płacowy umożliwia pełną kontrolę zatrudnienia i polityki kadrowej. Wymaga zdefiniowania struktury organizacyjnej firmy i oznaczenia jednostek organizacyjnych, stanowisk pracy, miejsc pracy. Elementy te są niezbędne do prowadzenia analiz kadrowych. Są one zazwyczaj wymagane przez system już na etapie zakładania kartotek osobowych.

Typowy podsystem kadrowy prowadzi kartotekę osobową, drukuje pisma kadrowe i zestawienia oraz przygotowuje dane dla pozostałych podsystemów. Podsystem płacowy sporządza listy płac dla pracowników z wykorzystaniem danych kadrowych, w tym danych o absencjach. Przygotowuje informacje do dokumentów i zaświadczeń drukowanych przez moduł kadrowy oraz tworzy informacje do kartotek wynagrodzeń. Powinien wyliczać miesięczne składki ubezpieczenia społecznego, a także zaliczki miesięczne i roczne rozliczenie podatku dochodowego od osób fizycznych dla pracowników i innych osób niebędących pracownikami danej firmy, zatrudnionych na podstawie umów cywilnoprawnych.

Podsystem kadrowy umożliwia najczęściej:

• prowadzenie i modyfikację kartoteki osobowej pracownika zawierającej m.in.: dane osobowe, dane o pobieranych zasiłkach, informacje o wykształceniu, historie zatrudnienia i stażu, informacje o zajmowanych stanowiskach, pełnionych funkcjach, aktualnie zajmowanym stanowisku i uposażeniu,
• rejestrację czasu pracy, np. za pomocą elektronicznych czytników zegarowych,
• prowadzenie kartoteki nieobecności, w tym: planowane urlopy, ewidencja nieobecności z innych przyczyn, np. choroby,
• rejestrowanie kar i nagród z uwzględnieniem ich wpływu na płace,
• rejestrowanie odbytych badań lekarskich, kursów BHP, innych kursów i szkoleń, uprawnień zawodowych itp.,
• automatyczne wyliczanie stażu pracy na podstawie dotychczasowego przebiegu pracy zawodowej z uwzględnieniem urlopów bezpłatnych,
• prowadzenie kalendarza nagród jubileuszowych i odpraw emerytalno-rentowych (data przyznania, wysokość),
• obsługę operacji kadrowych, takich jak: przyjęcie do pracy, przeszeregowanie, rozwiązanie umowy o pracę, zmiana stawki, kategorii zaszeregowania, komórki organizacyjnej,
• automatyczną emisję dokumentów kadrowych (umowa o pracę, karta obiegowa, świadectwo pracy itp.),
• generowanie i wydruk analiz i zestawień typowych dla działu kadrowego.

Podsystem ten prowadzi również kartoteki pomocnicze odzwierciedlające strukturę organizacyjną jednostki (kartoteka komórek organizacyjnych pionów organizacyjnych) oraz kartoteki określające strukturę zatrudnienia (kartoteka stanowisk).

Podsystem płacowy pozwala na sporządzenie listy płac dla pracowników umysłowych i fizycznych w dowolnym dniu miesiąca z jednoczesnym przygotowaniem dowodów księgowych do systemu finansowo-księgowego. Podsystem płacowy jest integralną częścią systemu kadrowo- płacowego i nie może być eksploatowany bez podsystemu kadrowego.

W tym podsystemie dostępne powinny być m.in. następujące funkcje:

• pobór danych z systemu kadrowego,
• ewidencja czasu pracy uwzględniająca różne sposoby wynagradzania (akordowy, czasowo-premiowy, według stawki miesięcznej, z rozliczeniem nieobecności i godzin nadliczbowych, inne definiowane przez użytkownika),
• codzienna i comiesięczna rejestracja kart pracy,
• parametryzacja danych stałych (dane wynikające z ogólnych przepisów często zmieniających się jak: składki, dodatki, potrącenia stałe),
• obsługa deklarowanych przez pracownika potrąceń, np. z tytułu pożyczek z kasy zapomogowo-pożyczkowej (kontrola wpłat i aktualnych zadłużeń z możliwością ręcznej korekty wysokości rat),
• automatyczne obliczanie składników płacowych według algorytmów zdefiniowanych przez użytkownika: składniki wynagrodzenia za pracę, dodatki stałe i zmienne, składki ZUS, potrącenia (raty, składki itp.), zaliczki na poczet podatku dochodowego,
• bieżące prowadzenie komputerowej kartoteki płatników i urzędów skarbowych,
• prowadzenie kartoteki podatników zawierającej dane identyfikacyjne i określenie sposobu obliczania zaliczek podatku dochodowego,
• rejestracja uzyskiwanych przez podatników przychodów, kosztów uzyskania przychodów oraz stosowanych ulg i zwolnień podatkowych,
• miesięczne obliczanie wielkości kwot zaliczek dla poszczególnych podatników (PIT-4, PIT-8A),
• sporządzanie miesięcznych deklaracji zbiorczych i indywidualnych dla urzędu skarbowego,
• roczne rozliczenie podatku dochodowego (PIT-11, PIT-8B, PIT-40),
• wydruk przelewów na rachunki urzędów skarbowych,
• bieżąca aktualizacji wielkości stałych potrzebnych do właściwego obliczania podatku dochodowego,
• obliczanie wielkości dochodu i pobranych zaliczek za dowolny okres czasu,
• ewidencja i wydruk zestawień dla ZUS, urzędów skarbowych,
• przygotowanie dokumentacji wymaganej do wypłaty: listy płac, zestawienia zbiorcze, wydruk przelewów na rachunki bankowe pracowników, wydruk kwot wypłacanych w kasie, zbiorcze rozliczenie z ZUS,
• drukowanie odcinków płacowych dla pracowników,
• naliczanie i drukowanie list dodatkowych (odprawy, premie specjalne),
• automatyczna obsługa bezosobowego funduszu wynagrodzeń, w tym: rejestracja umów, tworzenie listy wypłat, rozliczenie podatków i wydruk dokumentu PIT-8,
• tworzenie i automatyczne przesyłanie dowodów księgowych do systemu finansowo-księgowego w postaci: rozdzielnika płac według stanowisk kosztów, rozliczenia z podmiotami zewnętrznymi (np. ZUS, urzędy skarbowe).

Pożądane jest, aby system kadrowo-płacowy umożliwiał generowanie i wydruk zestawień z kartoteki kadrowej i płacowej według wzorów definiowanych przez użytkownika. Służy temu wewnętrzny generator raportów, który pozwala na definiowanie dowolnych wydruków dla analiz w różnych przekrojach za dowolne okresy. W systemie powinny być dostępne m.in. takie raporty:

• zestawienia stanu zatrudnienia (dzienny i przeciętny miesięczny), według grup wiekowych, stażu pracy itd., według struktury jednostki (wydziały, komórki organizacyjne itd.),
• raporty absencji w różnych układach i przekrojach we wskazanym okresie,
• zestawienia czasu pracy przepracowanego w wybranych komórkach organizacyjnych,
• zestawienia płacowe: dla określonych grup pracowników, według wybranych składników płacowych, za zadany okres),
• zestawienia dla GUS.

Przedmiotem kontroli w zakresie poprawności rozliczeń z pracownikami są rozrachunki:

• z tytułu wynagrodzeń należnych pracownikom oraz innym osobom, które wykonują pracę na podstawie innych umów niż umowa o pracę,
• z pracownikami z różnych tytułów.

Systemy rozliczeń z pracownikami są zwykle złożone i bardzo wrażliwe na przypadkowe błędy lub zamierzone działania niedozwolone. W jednostce należy zwrócić szczególną uwagę na oparcie obliczeń płac na wiarygodnych zbiorach danych:

• z kartotek osobowych tworzonych w podsystemie kadrowym,
• rzeczywistego czasu pracy według określonych warunków wynagradzania, na podstawie kart pracy lub zbiorów generowanych na nośniku magnetycznym przez system kontroli czasu pracy,
• stałych indywidualnych danych zawierające parametry do obliczania wynagrodzeń - należy zbadać sposób wprowadzania tych danych do systemu oraz ich aktualizacji, a także system automatycznie i w sposób sprawdzalny (np. przez numerowanie kolejnych wydruków) generuje wydruki lub e-wydruki dokumentujące aktualizację danych osobowych,
• wynagrodzeniach z poprzednich okresów.

 

Zdaniem autorki, lista pytań kontrolnych do samooceny systemu naliczania płac powinna zawierać co najmniej następujące pytania:

1. Czy system zapewnia ścisłą kontrolę kompletności zapisów?

2. Czy system opiera się na wiarygodnych, udokumentowanych, bieżąco aktualizowanych i sprawdzanych zbiorach danych, takich jak:

• kartoteka osobowa,

• kartoteka danych stałych technologicznych (parametrów obliczeń, np. procentów premii) i tabel składników płac,

• kartoteka pomiaru i ewidencji czasu pracy?

3. Czy system umożliwia łatwą zmianę algorytmów obliczeniowych w przypadku zmian przepisów?

4. Czy system umożliwia tworzenie list płac?

5. Czy system umożliwia rozliczenia indywidualne (paski wynagrodzeń)?

6. Czy system tworzy przelewy bankowe i sorty pieniężne do wypłaty w kasie?

7. Czy system tworzy zestawienia płac, dodatków i potrąceń oraz inne zestawienia definiowane przez użytkownika?

8. Czy system obejmuje sporządzanie deklaracji ubezpieczeń społecznych?

9. Czy system umożliwia obliczenie oraz potrącenie podatku dochodowego od osób fizycznych?

10. Czy system umożliwia obliczenie składek na ubezpieczenia społeczne i zdrowotne?

11. Czy system sporządza dokumenty podatkowe (PIT-4, PIT-11, PIT-8A, PIT-8B, PIT-40)?

12. Czy system automatycznie dostarczy dane o ubezpieczeniach do programu PŁATNIK?

13. Czy system tworzy kartoteki zarobkowe (wynagrodzeń)?

14. Czy system obejmuje wynagrodzenie za czas pracy i/lub za ilość pracy?

15. Czy system obejmuje wynagrodzenie za czas nieprzepracowany (urlopy wypoczynkowe, okolicznościowe, choroby)?

16. Czy system obejmuje wynagrodzenia niezwiązane z okresem sprawozdawczym (gratyfikacje, odprawy itp.)?

17. Czy system obejmuje zasiłki z ubezpieczenia społecznego?

18. Czy system tworzy kartoteki zasiłkowe?

19. Czy system obejmuje dokonywanie okresowych potrąceń, np. zaliczek, kar pieniężnych, deklarowanych składek i płatności?

20. Czy system obejmuje egzekucje z wynagrodzeń według tytułów wykonawczych?

21. Czy system obejmuje obsługę bieżących rozrachunków z pracownikami (należności i zobowiązania)?

22. Czy system obejmuje sporządzanie rozdzielników kosztów płac?

23. Czy system jest dobrze zintegrowany z księgowością finansową - umożliwia sporządzanie zestawień płac i poleceń w układzie przystosowanym do wprowadzenia do księgowości głównej?

24. Czy system obejmuje sporządzanie dyspozycji wypłat według dat, miejsc wypłaty i płatników?

25. Czy system umożliwia utworzenie więcej niż jednej listy płac w miesiącu?

26. Czy tworzenie przez system dyspozycji wypłat posiada kontrolę emisji list płac i uniemożliwienie powtórnego wydruku?

27. Czy system pozwala na uzależnienie lub konfrontację danych stwierdzających zatrudnienie i płace według kilku źródeł (np. rachuba płac, ewidencja kadrowa, inne)?

28. Czy system rozlicza umowy o dzieło i umowy-zlecenia z pracownikami?

29. Czy system rozlicza umowy o dzieło i umowy-zlecenia z osobami spoza jednostki?

30. Czy system posiada kartotekę rachunków bankowych pracowników?

31. Czy system może przygotować przelewy bankowe z tytułu wynagrodzeń z kilku rachunków jednostki?

32. Czy system ma bezpośrednie powiązanie z systemami bankowymi?

 

Należy zwrócić szczególną uwagę również na sporządzanie dokumentacji i sposób dyspozycji wypłat, w tym na:

• wydruk sum łącznych dla danej listy płac,
• możliwość sporządzania zestawień zbiorczych list płac (księga wynagrodzeń),
• sposób przenoszenia sum między stronami list płac oraz sumowanie list.

Kontrolę można przeprowadzić na próbie kilku pracowników. Należy sprawdzić dla tych osób w wybranym okresie dane o czasie pracy, z ewidencji kadrowej, osobiste dane o wynagrodzeniach, wypis z kartoteki wynagrodzeń i zapisy w listach płac. Na tej podstawie można wykonać obliczenia sprawdzające.

 

Lista pytań kontrolnych do samooceny systemu ewidencji pozostałych rozrachunków z pracownikami powinna zawierać co najmniej następujące pytania:

1. Czy klasyfikacja kont rozrachunków z pracownikami oraz opisy kont (dane stałe) uwzględniają klasyfikacje według kont księgowości finansowej?

2. Czy ewidencja rozrachunków z pracownikami oparta jest na kartotece osobowej?

3. Czy podsystem rozrachunków z pracownikami jest zintegrowany z innymi podsystemami rachunkowości, np. systemem kadrowo-płacowym?

4. Czy podsystem rozrachunków z pracownikami jest zintegrowany księgowością finansową - ma możliwość grupowania dekretów księgowych według rodzajów dowodów określonych w systemie finansowo-księgowym?

5. Czy podsystem rozliczania rozrachunków z pracownikami zapewnia ścisłą kontrolę kompletności zapisów?

6. Czy podsystem pozwala na przekrojową analizę rozrachunków według zróżnicowanych kryteriów, np.:

• rodzajów rozrachunków,

• terminów płatności,

• innych?

 

4.3. Samoocena kontroli zarządczej dotycząca obsługi rozliczeń bankowych i kasy

W jednostkach sektora finansów publicznych w niektórych zintegrowanych systemach rachunkowości wyodrębniony został podsystem do obsługi dokumentów obrotu kasowego i podsystem rozliczeń bankowych. W innych rozwiązaniach funkcje obrotu kasowego i ewidencji dokumentów bankowych zostały włączone do podsystemu finansowo-księgowego.

W module obsługi rozliczeń bankowych mogą być wykonywane następujące działania:

• kontrola bieżącego stanu obrotu bezgotówkowego,
• obsługa kont prowadzonych w walucie krajowej i w walutach obcych,
• uzgodnienia sald kont bankowych z przelewami i wyciągami,
• obliczanie i rejestracja zysków i strat wynikłych z konwersji sald środków pieniężnych, między rachunkami w walutach obcych i w walucie krajowej,
• generowanie różnych zestawień za dowolny okres.

Ewidencja dokumentów księgowych w tym module zazwyczaj odbywa się w sposób ręczny.

 

Lista pytań kontrolnych do samooceny systemu ewidencji wyciągów bankowych powinna zawierać co najmniej następujące pytania:

1. Czy podsystem jest poprawnie zintegrowany z księgowością finansową - umożliwia grupowanie dekretów według rodzajów dowodów określonych w systemie finansowo-księgowym?

2. Czy podsystem zapewnia ścisłą kontrolę kompletności zapisów?

3. Czy podsystem umożliwia automatyczne przygotowywanie przelewów dla zobowiązań oraz ich rejestrację?

4. Czy podsystem prowadzi odrębną ewidencję przelewów zrealizowanych i przygotowanych do realizacji?

5. Czy podsystem umożliwia przygotowanie planów płatności na dany dzień?

6. Czy podsystem wspomaga dekretację wyciągów bankowych?

7. Czy podsystem umożliwia ewidencję wyciągów bankowych przed dekretacją?

8. Czy podsystem umożliwia przeglądanie bieżącego stanu rozrachunków z kontrahentami i pracownikami przy rejestracji wyciągów bankowych?

9. Czy podsystem umożliwia przeglądanie stanów kont na dany dzień?

10. Czy przydzielono uprawnienia do ewidencji operacji bankowych i przeglądania stanów rachunków bankowych?

11. Czy podsystem pracuje w trybie elektronicznej wymiany danych z bankami i czy jest właściwie zabezpieczony przed dostępem osób nieuprawnionych?

 

Jeśli w jednostce wyodrębniono w systemie informatycznym rachunkowości podsystem Kasa, to zasadniczo obejmuje on następujące funkcje:

• tworzenie, modyfikacja i zatwierdzanie dowodów kasowych (KP, KW, inne),
• wykonanie i wydruk dziennego raportu kasowego, z podaniem salda początkowego i końcowego kasy,
• rozliczenie miesięczne kasy,
• rejestracja i rozliczanie zaliczek pracowników,
• tworzenie zestawień w różnych przekrojach.

 

Lista pytań kontrolnych do samooceny systemu obrotu kasowego powinna zawierać co najmniej następujące pytania:

1. Czy podsystem obsługi kasy jest poprawnie zintegrowany z księgowością finansową?

2. Czy istnieje możliwość grupowania dekretów księgowych według rodzajów dowodów określonych w systemie finansowo-księgowym?

3. Czy podsystem zapewnia ścisłą kontrolę kompletności zapisów?

4. Czy podsystem umożliwia wystawianie dowodów kasowych KP, KW i innych?

5. Czy podsystem automatycznie generuje raporty kasowe i umożliwia ich dekretację?

6. Czy podsystem umożliwia przeglądanie stanu kasy na wybrany dzień?

7. Czy podsystem obsługi kasy umożliwia przeglądanie stanu rozrachunków z kontrahentami i pracownikami przy rejestracji operacji kasowych?

8. Czy podsystem obsługuje dowolną liczbę kas?

9. Czy w przypadku kilku kas przydzielono uprawnienia wszystkim kasjerom?

 

Podsumowując, należy stwierdzić, że ze względu na wielość występujących w praktyce jednostek sektora finansów publicznych rozwiązań podsystemów informatycznych rachunkowości należy zdawać sobie sprawę z tego, że wytyczenie dokładnej linii ustalania procedur kontroli i postępowania kierownika dla danej jednostki przy samoocenie wiarygodności podsystemów informatycznych rachunkowości nie jest możliwe. Powoduje to, że za każdym razem przy ich ocenie pozostaje duży obszar twórczego, samodzielnego ustalenia zakresu badania i konstruowania zakresu testów w listach kontrolnych przez osobę przeprowadzającą samoocenę kontroli zarządczej w środowisku informatycznym. Listy kontrolne dla celów samooceny kontroli zarządczej muszą zawsze być dostosowane do danego rozwiązania informatycznego, które podlega ocenie. Z tego względu w rozdziale tym zaproponowano jedynie opis ważniejszych obszarów oceny wiarygodności dziedzinowych podsystemów rachunkowości w jednostkach sektora finansów publicznych. W listach testów kontrolnych dla każdego z ww. podsystemów uwzględniono najważniejsze zautomatyzowane funkcje występujące w praktyce w tych aplikacjach oraz minimalny zakres czynności kontrolnych.

 

Podstawy prawne

• Ustawa z 29 września 1994 r. o rachunkowości (j.t. Dz.U. z 2016 r. poz. 1047; ost.zm. Dz.U. z 2017 r. poz. 1089)

• Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2016 r. poz. 922)

• Ustawa z 27 lipca 2001 r. o ochronie baz danych (Dz.U. Nr 128, poz. 1402; ost.zm. Dz.U. z 2007 r. Nr 176, poz. 1238)

• Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (j.t. Dz.U. z 2017 r. poz. 1219)

• Ustawa z 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2016 r. poz. 1579)

• Ustawa z 22 sierpnia 1997 r. o ochronie osób i mienia (j.t. Dz.U. z 2016 r. poz. 1432; ost.zm. Dz.U. z 2017 r. poz. 60)

• Ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (j.t. Dz.U. z 2017 r. poz. 570)

• Rozporządzenie Ministra Finansów z 5 lipca 2010 r. w sprawie szczególnych zasad rachunkowości oraz planów kont dla budżetu państwa, budżetów jednostek samorządu terytorialnego, jednostek budżetowych, samorządowych zakładów budżetowych, państwowych funduszy celowych oraz państwowych jednostek budżetowych mających siedzibę poza granicami Rzeczypospolitej Polskiej (j.t. Dz.U. z 2017 r. poz. 760)

• Komunikat nr 23 Ministra Finansów z 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz.Urz. MF nr 15, poz. 84)

 

Bibliografia

• Reguły wspomagające zarządzanie ryzykiem w systemach IT podczas stanów podwyższonego zagrożenia, pr. zb. Zespołu Risk Assesment AVET INC, Warszawa 2003
• PN-I-02000:2002 Technika informatyczna. Zabezpieczenia w systemach informatycznych. Terminologia. Polski Komitet Normalizacyjny, Warszawa 2002
• PN-ISO/IEC 17799/2007 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji, Polski Komitet Normalizacyjny, Warszawa 2007
• PN-ISO/IEC 20000-1:2014-01 Technika informatyczna - Zarządzanie usługami - Część 1: Wymagania dla systemu zarządzania usługami, Polski Komitet Normalizacyjny, Warszawa 2014
• PN-ISO/IEC 20000-2:2007 Technika informatyczna - Zarządzanie usługami - Część 2: Reguły postępowania, Polski Komitet Normalizacji, Polski Komitet Normalizacyjny, Warszawa 2007
• PN-ISO/IEC 2382-8:2001 Technika informatyczna. Terminologia. Część 8: Bezpieczeństwo, Polski Komitet Normalizacyjny, Warszawa 2001
• PN-ISO/IEC 24762:2010 Technika informatyczna - Techniki bezpieczeństwa - Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie, Polski Komitet Normalizacyjny, Warszawa 2010
• PN-ISO/IEC 27001:2007 Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania, Polski Komitet Normalizacyjny, Warszawa 2007
• PN-ISO/IEC 27005:2014-01 Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie ryzykiem w bezpieczeństwie informacji, Polski Komitet Normalizacyjny, Warszawa 2007
• Raport Techniczny ISO/IEC TR 13335-3/1998 Technika informatyczna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych - Techniki zarządzania bezpieczeństwem systemów informatycznych. Polski Komitet Normalizacyjny, Warszawa 1998

 

Autorka opracowała Poradnik na podstawie obecnie obowiązujących przepisów prawnych i standardów, wykorzystując fragmenty z wcześniej wydanych autorskich książek:

• Szczepankiewicz E.I., "Audyt kontroli wewnętrznej rachunkowości w środowisku informatycznym", Difin, Warszawa 2016
• Szczepankiewicz E.I., "Kontrola zarządcza w jednostkach samorządu terytorialnego. Doskonalenie procedur kontroli zarządczej w środowisku informatycznym rachunkowości", Wydawnictwo Naukowe Contact, Poznań 2016, wydanie 1
• Szczepankiewicz E.I., "Kontrola zarządcza w jednostkach samorządu terytorialnego. Ocena i doskonalenie procedur kontroli zarządczej w środowisku informatycznym rachunkowości", Wydawnictwo Naukowe Contact, Poznań 2017, wydanie 2
• Szczepankiewicz E.I., "Zasady i procedury kontroli zarządczej w obszarze systemów informatycznych rachunkowości w jednostkach sektora finansów publicznych", Wydawnictwo Naukowe Contact, Poznań 2016, wydanie 1, wydanie 2 z 2017 r.

dr Elżbieta Izabela Szczepankiewicz

adiunkt w Katedrze Rachunkowości Uniwersytetu Ekonomicznego w Poznaniu. Specjalizuje się w rachunkowości, kontroli wewnętrznej, audycie wewnętrznym i audycie w środowisku informatycznym. Posiada certyfikat audytora wewnętrznego oraz kilkuletnią praktykę zawodową na stanowisku księgowej, audytora wewnętrznego i specjalisty do spraw wdrożeń systemów finansowo-księgowych oraz systemów wspomagających zarządzanie klasy MRPII/ERP. Autorka programu i kierownik studiów podyplomowych w zakresie "Audyt wewnętrzny i kontrola wewnętrzna w gospodarce i administracji" w Wyższej Szkole Handlu i Rachunkowości w Poznaniu w latach 2012-2014 oraz autorka programu i kierownik kilku edycji studiów podyplomowych w zakresie "Rachunkowość budżetowa, kontrola zarządcza i audyt wewnętrzny w jednostkach sektora finansów publicznych" w Uniwersytecie Ekonomicznym w Poznaniu od 2014 r. Autorka ponad 200 publikacji naukowych w zakresie rachunkowości, kontroli wewnętrznej, audytu wewnętrznego, rewizji finansowej oraz zarządzania organizacjami, a także kilkudziesięciu artykułów opublikowanych w wielu czasopismach specjalistycznych dla praktyków