Badanie prawidłowości prowadzenia ksiąg rachunkowych za pomocą systemu informatycznego – artykuł dyskusyjny (cz. II)
[1] Na ten temat była mowa w cz. I artykułu, zob. „Rachunkowość” nr 8/2020.
Poprawność opisu zasad (polityki) rachunkowości należy sprawdzić dla każdego zidentyfikowanego elementu (podsystemu) składającego się na księgi zgodnie z art. 10 ust. 1 uor. Trzeba się liczyć z tym, że niekiedy opis będzie niepełny, spłycony lub nieaktualny.
Doświadczenie wykazuje, że pełna dokumentacja podsystemu (np. zbiorów danych, algorytmów czy funkcji) jest dostępna w samym oprogramowaniu. Kwestią dyskusyjną jest jedynie, czy oznaczenie faktu istnienia takich elementów (są to zazwyczaj informacje sformułowane w dość hermetycznym języku) wystarcza do stwierdzenia, że dokumentacja taka istnieje i została przyjęta do stosowania. Moim zdaniem tak. Wydaje się, że przepisy uor w tym zakresie nie „nadążają” za postępem technologicznym oraz rosnącą złożonością systemów informatycznych.
Tabela 1. Przykładowa lista kontrolna służąca do zbadania kompletności dokumentacji poszczególnych podsystemów składających się na księgi
| Lp. | Podsystem:......... | Tak/Nie | Uwagi |
| Kryterium | |||
| 1 | Wykaz zbiorów danych tworzących księgi na komputerowych nośnikach danych z określeniem: | ||
| a) struktury | |||
| b) wzajemnych powiązań | |||
| c) funkcji w organizacji całości ksiąg | |||
| d) funkcji przy przetwarzaniu danych | |||
| 2 | Opis podsystemu zawierający: | ||
| a) wykaz programów, procedur lub funkcji w zależności od struktury oprogramowania | |||
| b) opis algorytmów i parametrów przetwarzania danych | |||
| c) opis programowych zasad ochrony danych | |||
| d) określenie wersji oprogramowania | |||
| e) oznaczenie daty rozpoczęcia użytkowania | |||
| f) stwierdzenie dopuszczenia do użytkowania każdego nowego lub zmienionego programu | |||
| 3 | Opis sposobu ochrony danych i ich zbiorów, w tym: | ||
| a) dowodów księgowych | |||
| b) ksiąg | |||
| c) innych dokumentów stanowiących podstawę zapisów dokonanych w księgach | |||
| 4 | Inne spostrzeżenia dotyczące dokumentacji Systemu Rachunkowości Informatycznej |
Badanie elementów formalnych
Każdy ze zidentyfikowanych elementów systemu informatycznego (podsystemów) uznany za składnik ksiąg (łącznie z kontami księgi głównej) powinien spełniać wymogi formalne określone w uor.
W celu sprawdzenia, czy wymogi te są spełniane, wystarczy w odniesieniu do każdego podsystemu wykonać pojedynczy test (poprzez zapytanie, ogląd podsystemu, przeprowadzenie w podsystemie wspólnie z pracownikami badanej jednostki poszczególnych operacji, przegląd uzyskiwanych z podsystemu zestawień), aby ustalić, czy dany wymóg (kryterium prawidłowego prowadzenia ksiąg) jest spełniony, czy też nie.
Pomocą w tym może być wykaz pytań (checklist) przedstawionych w tabeli 2. W przypadku pkt 8 (prawidłowość zapisów) warto takiemu testowi poddać zapis podstawowych operacji wykonywanych przez badaną jednostkę.
Tabela 2. Przykładowe pytania kontrolne do badania elementów formalnych poszczególnych podsystemów składających się na księgi
| Lp. | Podsystem | Tak/Nie/Nie dotyczy | Uwagi |
| Kryterium (wymóg) | |||
| 1 | Sposób zamykania ksiąg – czy księgi pomocnicze i księga główna są (mogą być) zamknięte w sposób trwały (art. 12 ust. 5 uor) | czy i jak wymóg jest realizowany, w szczególności czy na dzień przeprowadzania testu poprzedni rok obrotowy był zamknięty w sposób trwały | |
| 2 | Sposób oznaczania wydruku lub podglądu ksiąg (art. 13 ust. 4 uor); czy zawiera: - nazwę jednostki - wskazanie roku obrotowego i okresu sprawozdawczego - datę sporządzenia |
jaki wydruk poddano testowi | |
| 3 | Wydruk lub zapis ksiąg (art. 13 ust. 5 uor); czy zawiera: - automatycznie numerowane strony - oznaczenie pierwszej strony - oznaczenie ostatniej strony; czy sumowanie na kolejnych stronach następuje w sposób ciągły (narastający) |
||
| 4 | Prawidłowość sporządzenia dziennika (art. 14 uor), co dotyczy kont księgi głównej; czy zawiera: - nazwę jednostki - wskazanie roku obrotowego i okresu sprawozdawczego - datę sporządzenia - automatycznie numerowane strony - oznaczenie pierwszej strony - oznaczenie ostatniej strony - na kolejnych stronach sumy ustalane w sposób ciągły (narastający) - kolejno, automatycznie numerowane pozycje - dane identyfikujące osobę odpowiedzialną za zapis; - jeśli stosuje się dzienniki częściowe, to czy sporządza się ich zestawienie czy następuje uzgodnienie sumy dziennika z zestawieniem obrotów i sald kont księgi głównej |
||
| 5 | Prawidłowość sporządzenia zestawienia obrotów i sald kont księgi głównej (art. 18 uor); czy zawiera: - nazwę jednostki - wskazanie roku obrotowego i okresu sprawozdawczego - datę sporządzenia - automatycznie numerowane strony - oznaczenie pierwszej strony - oznaczenie ostatniej strony - na kolejnych stronach sumy ustalane w sposób ciągły (narastający) - oznaczenie symboli lub nazw kont - salda kont na dzień otwarcia ksiąg - obroty kont za okres sprawozdawczy - obroty kont narastająco od początku roku obrotowego - salda kont na koniec okresu sprawozdawczego - podsumowanie sumy sald na dzień otwarcia ksiąg, sumy obrotów za okres sprawozdawczy i narastająco od początku roku obrotowego oraz sald na koniec okresu sprawozdawczego |
||
| 6 | Prawidłowość sporządzenia zestawienia sald ksiąg pomocniczych (art. 16 i art. 18 uor); czy zawiera: - nazwę jednostki - wskazanie roku obrotowego i okresu sprawozdawczego - datę sporządzenia - automatycznie numerowane strony - oznaczenie pierwszej strony - oznaczenie ostatniej strony - na kolejnych stronach sumy ustalane w sposób ciągły (narastający) - wykaz składników objętych księgą pomocniczą - oznaczenie jednostki miary, w której konta księgi pomocniczej są prowadzone (jednostki naturalne, pieniężne) - salda na koniec okresu sprawozdawczego - uzgodnienie salda księgi pomocniczej z kontami księgi głównej (za jakie okresy) |
||
| 7 | Prawidłowość uzgodnienia zapisów ksiąg pomocniczych (art. 16 i art. 18 uor); czy zawiera: - nazwę jednostki - wskazanie roku obrotowego i okresu sprawozdawczego - datę sporządzenia - automatycznie numerowane strony - oznaczenie pierwszej strony - oznaczenie ostatniej strony - na kolejnych stronach sumy ustalane w sposób ciągły (narastający) - wykaz składników objętych księgą pomocniczą - oznaczenie jednostki miary, w której konta księgi pomocniczej są prowadzone (jednostki naturalne/pieniężne) - zestawienie zapisów ze szczegółowością umożliwiającą identyfikację poszczególnego zapisu - salda w jednostkach naturalnych (jeśli dotyczy) na koniec okresu sprawozdawczego - salda wartościowo na koniec okresu sprawozdawczego - uzgodnienie zapisów księgi pomocniczej z kontami księgi głównej |
||
| 8 | Prawidłowość zapisów (art. 20 ust. 5 uor): - trwałość zapisu - źródło pochodzenia zapisu - osoba odpowiedzialna za dokonanie zapisu - oznaczenie programu przetwarzającego zapisy; - czy program zapewnia sprawdzenie poprawności przetworzenia danych oraz kompletności i identyczności zapisów; postać komunikatów o błędach lub o poprawnym dokonaniu zapisu |
jaki element ksiąg poddano testowi | |
| 9 | Sposób korygowania błędnych zapisów (art. 25 ust. 1 pkt 2 uor): czy możliwa jest korekta błędu w inny sposób niż wprowadzenie do ksiąg dowodu zawierającego korektę błędnego zapisu, dokonywaną tylko zapisami dodatnimi albo tylko ujemnymi |
czy możliwe jest dokonanie zmian drogą poprawienia wcześniejszego zapisu bez pozostawiania śladu rewizyjnego |
Badanie działania kontroli poprawności przenoszenia danych między podsystemami
Kolejny temat badania to skuteczność kontroli stosowanych przez badaną jednostkę. Badanie pozwala stwierdzić, czy podsystemy składające się na księgi objęte systemem informatycznym spełniają przesłanki art. 24 uor, a zatem, czy księgi są prowadzone rzetelnie, bezbłędnie, sprawdzalnie (por. tabela 3).
Tabela 3. Przykładowy (niepełny) wykaz stwierdzeń objętych badaniem prawidłowości ksiąg
| Symbol | Stwierdzenie | Opis | Odpowiednik stwierdzenia z KSB 315 |
| R | rzetelność | zapisy odzwierciedlają stan rzeczywisty (art. 24 ust. 2 uor) | występowanie/istnienie |
| B | bezbłędność | do ksiąg wprowadzono kompletnie i poprawnie zakwalifikowane do ujęcia w danym miesiącu dowody księgowe, zapewniono ciągłość zapisów oraz bezbłędność działania stosownych procedur obliczeniowych (art. 24 ust. 3 uor) | kompletność, dokładność, klasyfikacja, rozgraniczenie między okresami |
| S | sprawdzalność | księgi umożliwiają stwierdzenie poprawności dokonanych w nich zapisów, stanów oraz działania zastosowanych procedur obliczeniowych (art. 24 ust. 4 uor) | × |
Badanie przepływu informacji między podsystemami w przypadku ksiąg bazujących na podsystemach dziedzinowych jest obarczone szczególnie dużym ryzykiem. Ryzyko badania jest znacznie mniejsze, jeżeli wszystkie lub prawie wszystkie informacje trafiają w pierwszej kolejności do podsystemu FK (pełnych ksiąg rachunkowych), a podsystemy są ze sobą zintegrowane dzięki stosowaniu odpowiedniego, kompleksowego oprogramowania, opracowanego przez jednego wytwórcę.
Planując badanie działania kontroli podsystemów uznanych za składowe ksiąg, stosuje się podejście oparte na ryzyku. Zakłada ono, że badaniu poddaje się elementy obarczone najwyższym ryzykiem, a zarazem wywierające znaczący wpływ na prawidłowość ksiąg. Oznacza to, że rozpatrując poszczególne podsystemy składające się na księgi, należy rozpoznać, na ile zawarte w nich dane przekazywane do podsystemów FK wpływają na rzetelność, bezbłędność i sprawdzalność ksiąg. Dla zilustrowania sposobu podejścia analizie ryzyka poddane zostaną poszczególne elementy podsystemu sprzedaży.
W pierwszej kolejności celowe jest ustalić wykaz badanych stwierdzeń.
Następnie badanym stwierdzeniom przypisuje się ryzyko – jego poziom (siłę) oraz prawdopodobieństwo wystąpienia – por. tabela 4.
Tabela 4. Przykładowy wykaz ryzyk
| Lp. | Nazwa ryzyka | Opis ryzyka i jego wpływu | Szacowanie ryzyka | Skutki finansowe zrealizowania się ryzyka (s) | Ocena ryzyka | |||
| R | B | S | Prawdopodobieństwo (p) | |||||
| Proces sprzedaży | ||||||||
| 1 | Podsystem handlowy (sprzedaży): nie wszystkie faktury zostały wystawione we właściwych okresach | istnieją WZ, do których nie zostały wystawione faktury | × | × | ||||
| 2 | Faktury nie mają oznaczenia umożliwiającego ich jednoznaczną identyfikację | niemożność sprawdzenia ksiąg | × | |||||
| 3 | Podsystem FK: zasady księgowania faktur zmieniały się w ciągu roku | zmiana reguł obliczeniowych | × | × | ||||
| 4 | Nie są znane daty kursów, po jakich przeliczono na złote faktury opiewające na waluty obce | brak znanych reguł obliczeniowych | × | × | ||||
| 5 | Podsystem handlowy i podsystem FK: ewidencja faktur nie jest zgodna z JPK_VAT | nie jest zapewniona sprawdzalności ksiąg | × | × | × | |||
Na podstawie oceny ryzyka (np. wykazanego w ostatnich trzech kolumnach tabeli 4) biegły rewident określa sposób zmniejszenia ryzyka badania drogą zaplanowania swojej reakcji na nie.
Warunkiem doboru właściwej procedury badania jest zrozumienie sposobu przepływu danych pomiędzy poszczególnymi podsystemami (elementami ksiąg).
W przypadku automatycznych przepływów danych – drogą ich importu czy też w ramach zintegrowanego oprogramowania – jednorodne dane powinny być przetwarzane w taki sam sposób. W celu sprawdzenia, czy warunek ten jest dotrzymany, konieczne jest wyodrębnienie jednorodnych zbiorów informacji i zaplanowanie dla nich testów kontroli poprawności przetwarzania.
Przykładowo w przypadku faktur sprzedaży operacje są zazwyczaj wyodrębniane z dokładnością wymaganą przy realizacji obowiązku raportowania na potrzeby VAT i dla każdej grupy operacji ustala się odrębne procedury.
W odniesieniu do faktur i innych dokumentów zakupu odrębne (jednolite) reguły są ustalane dla zakupów przechodzących przez magazyn (o ile to możliwe w podziale na materiały i towary). Kontrole, którym poddaje się dokumenty, są przeważnie dobrze opisane. Pozostałe dokumenty zakupowe są zazwyczaj rozpatrywane indywidualnie, a ich opis i dekretacja następują w zasadzie ręcznie.
Jeżeli jednostka stosuje podsystem obiegu informacji, to ze względu na zapewniony przez taki podsystem ślad rewizyjny można go wykorzystać do sprawdzenia, czy dokumenty są opisywane na bieżąco przez osoby merytorycznie odpowiedzialne za daną operację oraz czy istnieją dokumenty niemające pełnych opisów.
Testowanie procesów i kontroli celowe jest połączyć z merytorycznym badaniem stwierdzeń zawartych w sprawozdaniu finansowym (sf). Nieracjonalne byłoby rozdzielanie badań działania podsystemu księgowości i merytorycznych. Czynności dodatkowe, uzupełniające badanie merytoryczne, to jedynie zidentyfikowanie poszczególnych podsystemów oraz wyodrębnienie jednolitych zbiorów informacji, wybranych do testowania.
Testy kontroli sprzedaży, przeprowadzone podczas badania sf, warto rozdzielić np. na sprzedaż towarów, sprzedaż usług powtarzalnych i sprzedaż okazjonalną, np. sprzedaż środków trwałych.
[2] Np. W.K. Lachowski, Sztuka wyboru, cz. I, Centrum Edukacji PIBR Warszawa 2019.
[3] Stanowisko z 13.04.2010 r. w sprawie niektórych zasad prowadzenia ksiąg rachunkowych.
Sposoby przeprowadzania testów, dokumentowania ich wyników i wyciągania na tej podstawie wniosków są opisane w publikacjach poświęconych metodom pełnego i wyrywkowego badania[2].
Badanie fizycznego zabezpieczenia systemu informatycznego, w tym ksiąg
Warunkiem prowadzenia ksiąg przy użyciu komputera jest – zgodnie z art. 13 ust 3 uor oraz stanowiskiem Komitetu Standardów Rachunkowości (dalej Stanowisko)[3] – posiadanie oprogramowania umożliwiającego uzyskiwanie czytelnych informacji drogą ich wydruku lub przeniesienia na inny informatyczny nośnik danych.
Pierwsza opcja (zapisanie danych w PDF) jest w istocie równoważna z wydrukiem ksiąg; w przypadku dużych zbiorów danych trudności sprawia znalezienie poszukiwanych informacji. Nie zapewnia też możliwości tworzenia np. zestawień podatkowych (pliki JPK).
W razie wyboru drugiej opcji (przeniesienia danych na inny informatyczny nośnik) istnieje kilka możliwości jej realizacji:
- przenoszenie kluczowych raportów z systemu informatycznego do PDF (nośnik elektroniczny),
- cykliczne przenoszenie zbiorów danych na dyski archiwizacyjne oraz zapisywanie na nich oprogramowania przy każdej jego zmianie,
- przenoszenie kompletu zbiorów danych i oprogramowania łącznie, za każdym razem, na dyski archiwizacyjne.
Mimo że stosowanie drugiej opcji może rodzić różne problemy, to zdecydowanie ułatwia ona uzyskanie poszukiwanych informacji.
Dlatego badanie zabezpieczenia ksiąg rachunkowych celowe jest rozszerzyć o badanie wybranych elementów zapewniania ciągłości dostępu do nich.
Badanie zabezpieczenia elementów ksiąg
Ze względu na relatywnie niskie wykorzystanie mocy obliczeniowych własnych serwerów oraz wysokie koszty ich obsługi informatycznej ogólną tendencją jest wspólne korzystanie z tych samych serwerów przez wiele jednostek. Warto więc zapoznać się z ograniczeniami (i je zrozumieć) najczęściej stosowanych modeli korzystania z chmur obliczeniowych: IaaS i SaaS.
IaaS (Infrastructure as a Service, infrastruktura jako usługa) – usługodawca udostępnia jednostce sprzęt (serwery, dyski, moce obliczeniowe, procesory) i oprogramowanie umożliwiające korzystanie z serwerów oraz usługę serwisową. Tego typu usługę powinna cechować m.in. duża niezawodność (np. 99% dostępności czasu usługi zapewnionej przez rezerwowe serwery usługodawcy). Usługodawcy zapewniają też wyodrębnienie logiczne (a czasami i fizyczne) serwera dla danego klienta oraz odpowiedni poziom jego bezpieczeństwa.
SaaS (Software as a Service, oprogramowanie jako usługa) – usługodawca oprócz usług objętych modelem IaaS zapewnia dostęp do oprogramowania użytkowego, przy czym dane wprowadza samodzielnie jednostka. Co warte podkreślenia, jednostka nie nabywa licencji, a jedynie prawo dostępu do oprogramowania użytkowego. Na przykład popularne w Polsce oprogramowania FK firm Symfonia, Optima czy Enova mogą działać przy stosowaniu tego typu modelu wraz z dodatkowymi usługami zarządzania, aktualizacji oraz pomocy technicznej. Klient praktycznie rezygnuje z obsługi technicznej serwerów i oprogramowania we własnym zakresie, pokrywa natomiast opłaty za dostęp do oprogramowania, zależne od użytkowanych licencji.
Łatwo wywnioskować z opisu, że każdy z modeli niesie za sobą inne ryzyka w zakresie zapewnienia bezpieczeństwa, pełnej kontroli i dostępności do ksiąg.
Warunkiem uznania prowadzenia ksiąg za prawidłowe jest nie tylko poprawność ich elementów logicznych (oprogramowania), ale również ich niezmienność, nienaruszalność oraz stały dostęp do nich, i to zarówno w czasie ich prowadzenia (w ciągu roku obrotowego), jak i potem, w okresie przechowywania, po zamknięciu ksiąg roku obrotowego.
Wymaga to przede wszystkim znajomości miejsca (miejsc) znajdowania się infrastruktury IT (pierwszy krok w tym kierunku biegły rewident wykonał podczas zbierania danych o elementach ksiąg i ich umiejscowieniu).
Ogólnie biorąc, możliwe są cztery opcje umiejscowienia elementów ksiąg:
1. własny serwer jednostki,
2. lokalny komputer (stanowisko jednoosobowe),
3. serwer w chmurze (IaaS) – chmura może być zarówno prywatna, np. należeć do grupy kapitałowej, jak i ogólnodostępna – usługę oferuje zewnętrzny usługodawca np. Amazon, Google, Microsoft,
4. licencja na korzystanie z serwera w chmurze (SaaS).
W każdym z tych przypadków inne jest podejście do badania zapewnienia ciągłości dostępu oraz zabezpieczenia ksiąg.
[4] comarch-cloud.pl.
Najprostsze jest badanie przypadku 4, kiedy księgi rachunkowe prowadzi usługodawca (SaaS). Jednostka powinna mieć umowę zapewniającą dostęp do oprogramowania, która przewiduje również zabezpieczenie i archiwizowanie danych oraz dostęp do nich. Przykładowo jednostka zawarła umowę na użytkowanie systemu Comarch Optima w chmurze[4]; dodatkowa kopia bezpieczeństwa jest wykonywana samodzielnie, siłami użytkownika. Natomiast Comarch zobowiązuje się w umowie licencyjnej do zachowania kopii bezpieczeństwa z ostatnich 14 dni. W razie rozwiązania umowy dane będą dostępne jeszcze przez 14 dni od daty jej rozwiązania, a następnie zostaną bezpowrotnie usunięte.
Wobec takiego zapisu umowy badana jednostka, nawet jeżeli w chwili obecnej nie przewiduje odstąpienia od umowy, powinna zabezpieczyć przynajmniej roczne zapasowe kopie bezpieczeństwa za 5 zamkniętych lat wstecz. Powstaje problem, co z oprogramowaniem służącym do odczytu danych, jeśli jednostka wypowie umowę o użytkowaniu oprogramowania. Użyczenie dostępu dotyczy tylko serwerów usługodawcy, a jednostka traci do nich dostęp po rozwiązaniu umowy. Dokumentacja systemu rachunkowości jednostki powinna informować, w jaki sposób zabezpiecza ona księgi w takich przypadkach. Uzupełnienia wymaga również opis sposobu przyznawania dostępów do oprogramowania oraz haseł.
Dużo szerszy opis powinna zawierać dokumentacja zasad (polityki) rachunkowości w pozostałych trzech przypadkach.
Warto też sprawdzić, czy jednostka ma instrukcje sposobu odzyskiwania danych. Jest to element niejednokrotnie pomijany, a potem, w przypadku niemożności odzyskania danych, okazuje się, że posiadane kopie nie są przydatne.
Zebranie dowodów odbywa się w tym przypadku przeważanie drogą zapytań, wywiadów oraz inspekcji (oględzin). Tabela 5 ułatwia zebranie dowodów z badania, na ile poszczególne podsystemy są zabezpieczone przed nieuprawnionym dostępem.
Tabela 5. Przykładowa lista pytań do badania fizycznego zabezpieczenia systemu informatycznego
| Lp. | Nazwa podsystemu wchodzącego w skład ksiąg | Tak/Nie/Nie dotyczy | Opis |
| Przedmiot badania | |||
| A. Umiejscowienie serwera | |||
| 1 | Czy serwer znajduje się na terenie jednostki? | ||
| 2 | Czy wszystkie programy obsługujące podsystem księgowości znajdują się na pojedynczych komputerach na terenie jednostki? | ||
| 3 | Czy serwer, na którym zainstalowano programy obsługujące podsystem księgowości, znajduje się w chmurze? | ||
| B. Fizyczne zabezpieczenie infrastruktury | |||
| 1 | Czy w przypadku programów zainstalowanych na terenie jednostki pomieszczenie, w którym pracują serwery, zostało zabezpieczone (np. zamykane na klucz, zabezpieczone przed ogniem, zalaniem, awarią klimatyzacji)? | ||
| 2 | Czy w przypadku oprogramowania zainstalowanego w chmurze umowa o usługę zawiera zapisy określające obowiązki i odpowiedzialność właściciela chmury za zabezpieczenie dostępu do infrastruktury? | ||
| C. Tworzenie zapasowych kopii bezpieczeństwa | |||
| 1 | Czy i jak tworzone są zapasowe kopie bezpieczeństwa (np. regularne kopie na serwerze), np.: | ||
| a) Czy sporządza się pełne zapasowe kopie bezpieczeństwa; jeżeli tak, to kiedy i gdzie są zapisywane? | |||
| b) Czy sporządza się kopie przyrostowe, a jeżeli tak, to gdzie są zapisywane? | |||
| c) Czy kopie przechowuje się poza serwerownią; jeżeli tak, to jak przebiega procedura ich zabezpieczania? | |||
| d) Czy kopie są wykonywane miesięcznie/rocznie; jak przebiega procedura ich zabezpieczania? | |||
| e) Czy istnieje opis procedury odzyskiwania danych z kopii? | |||
| D. Zabezpieczenie antywirusowe oraz przed cyberatakami | |||
| 1 | Czy jednostka jest zabezpieczona przed cyberatakami i wirusami, np.: | ||
| a) Czy każdy komputer jest zabezpieczony hasłem dostępu? | |||
| b) Czy działa kontrola haseł (np. 3 błędne logowania blokują dostęp)? | |||
| c) Czy na każdym komputerze oraz serwerze zainstalowane są programy antywirusowe; czy ich aktualizacja następuje na bieżąco? | |||
| d) Czy włączony jest FireWall (zapora sieciowa i systemowa)? | |||
| E. Zabezpieczenie przed utratą zasilania | |||
| 1 | Czy istnieją zabezpieczenia na wypadek przerwy w dostawie energii elektrycznej (np. zasilacze UPS[*], centra zapasowych kopii bezpieczeństwa)? | ||
| F. Zakłócenia | |||
| 1 | Czy w ostatnim roku występowały incydenty polegające na naruszeniu zabezpieczeń infrastruktury (np. ataki phishingowe[**] zakończone powodzeniem, innego typu ataki hakerskie, wirusy, zaszyfrowanie dysku) i jakiego typu były to incydenty? | ||
| 2 | W przypadku wystąpienia incydentów – jak długi był czas przestoju i jak przebiegał? | ||
| 3 | W przypadku wystąpienia incydentów – czy istniała ścieżka porównania danych przed incydentem i po nim, a jeśli tak, to jaki był tego przebieg? | ||
[*] Zasilacze bezprzerwowe.
[**] Phishing – metoda oszustwa polegająca na podszywaniu się pod inną osobę w celu wyłudzenia informacji znajdujących się w systemie.
Badanie procedury nadawania uprawnień
Ważny element systemu zabezpieczeń stanowi procedura nadawania (i odbierania) użytkownikom uprawnień dostępu do poszczególnych zasobów oraz funkcji systemu informatycznego. Wymaga ona zbadania. Przede wszystkim trzeba ustalić grupy osób, którym przyznawane są uprawnienia dostępu. Mogą to być:
- administratorzy systemu IT – osoby nadające uprawnienia dostępu do zasobów oraz funkcji,
- członkowie zarządu,
- główni użytkownicy podsystemów – mogą wskazywać sposób, w jaki będą nadawane (lub samodzielnie nadawać) uprawnienia dostępu użytkownikom podsystemu w zależności od wykonywanych w jednostce zadań,
- użytkownicy końcowi – osoby wykorzystujące zasoby i funkcje, do których mają przyznany dostęp,
- osoby trzecie, np. biegli rewidenci w czasie badania – mogą mieć przyznany ograniczony czasowo dostęp do zasobów i funkcji w celu prześledzenia śladu rewizyjnego w systemie; niektórzy odbiorcy mogą mieć przyznany dostęp do podsystemu handlowego w celu przyspieszenia składania zamówień na wyroby i towary; niektórzy dostawcy mogą mieć przyznany dostęp do podsystemu zaopatrzenia w celu przyspieszenia potwierdzeń przyjęcia zamówień jednostki na zakup,
- serwisanci, programiści – osoby, które w ramach umów z jednostką mogą wykonywać różne prace przy oprogramowaniu użytkowym.
Dla każdej z tych grup powinien być z góry ustalony zakres przyznawanych im uprawnień wraz ze wskazaniem, kto ma prawo o tym decydować, a dalej sposób przyznawania i odbierania uprawnień dostępu przez osoby do tego uprawnione. Ważne jest również ustalenie sposobu, w jaki jednostka podchodzi do zdalnego udostępniania danych. Często – zwłaszcza w mniejszych jednostkach – stwierdza się brak spisanych procedur (zasad) i beztroskie nadawanie uprawnień dostępu.
Istotnym punktem badania jest też sprawdzenie, czy cofnięto uprawnienia dostępu pracownikom, którzy już nie pracują w jednostce, oraz zweryfikowanie ich ostatniego logowania.
Badanie ma na ogół formę zapytań i wywiadów połączonych z przeprowadzeniem testów (np. sprawdzenie, czy na liście uprawnionych figurują osoby zwolnione w badanym roku).
W tabeli 6 przedstawiono przykładową (niewyczerpującą) listę pytań, które mogą być pomocne przy badaniu sposobu zabezpieczenia dostępu do zasobów i funkcji.
Tabela 6. Przykładowa lista pytań do badania sposobu zabezpieczenia dostępu
| Lp. | Podsystem[*] | Tak/Nie/Nie dotyczy | Opis |
| Przedmiot badania | |||
| A. Administratorzy systemu IT | |||
| 1 | Kto ma uprawnienia administratora systemu IT? Czy kwalifikacje i stanowisko osób uprawnionych uzasadniają nadanie im takich uprawnień? | ||
| 2 | Czy administrator posiada uprawnienia dostępu do podsystemów dziedzinowych jako użytkownik? | ||
| 3 | Czy tylko administrator systemu zezwala na dostępy i zmiany programu? | ||
| B. Dostępy zdalne do serwerów/komputerów | |||
| 1 | Kto udziela zezwolenia na dostęp zdalny? | ||
| 2 | Czy dostęp zdalny jest odbierany po zwolnieniu pracownika? | przeprowadzić test na liście pracowników, który odeszli z jednostki w badanym roku | |
| 3 | Czy dostęp zdalny jest szyfrowany (połączenie oparte na VPN[**] lub inne zabezpieczenie)? | ||
| 4 | Czy dostęp zdalny jest ograniczony czasowo w ciągu tygodnia/doby (np. praca zdalna nie jest możliwa w weekendy albo w godz. 20–6)? | ||
| 5 | Czy dostęp zdalny wymaga podania hasła? Jak często hasło jest zmieniane? | ||
| 6 | Jakie są wymagania odnośnie do haseł (liczba znaków, znaki specjalne, duże/małe litery, cyfry)? | ||
| C. Dostęp do serwera/komputerów | |||
| 1 | Czy dostęp do serwera/komputerów jest odbierany po zwolnieniu użytkownika z pracy w jednostce? | przeprowadzić test jak w pkt B2 | |
| 2 | Czy dostęp do serwera/komputerów wymaga podania hasła? Jak często jest ono zmieniane? | ||
| 3 | Jakie są wymagania odnośnie do haseł (liczba znaków, znaki specjalne, duże/małe litery, cyfry)? | ||
| D. Informowanie pracowników o zasadach zapewniania bezpieczeństwa systemów informatycznych | |||
| 1 | Czy istnieją pisemne instrukcje określające sposób zapewnienia bezpieczeństwa systemu informatycznego? Czy i w jaki sposób pracownicy są z nimi zapoznani? | ||
| 2 | Czy istnieje dokumentacja zasad zapewnienia bezpieczeństwa systemu informatycznego? | ||
| 3 | Czy każdy rozpoczynający pracę pracownik jest szkolony w tym zakresie? | ||
| 4 | Czy odbywają się szkolenia przypominające zasady bezpieczeństwa? | ||
| E. Audyt bezpieczeństwa | |||
| 1 | Czy był przeprowadzany wewnętrzny lub zewnętrzny audyt działania systemu bezpieczeństwa? | ||
| 2 | Jeśli tak, to jaki był jego zakres i jakie były wyniki? | ||
| F. Kluczowi użytkownicy (administratorzy podsystemów) | |||
| 1 | Kto ma uprawnienia administratora podsystemu? Czy kwalifikacje i stanowisko osób uprawnionych uzasadnia nadanie im takich uprawnień? | ||
| 2 | Czy uprawnienia dostępu/zmiany programu nadaje tylko administrator podsystemu? | ||
| 3 | W jaki sposób (przez kogo) są wgrywane aktualizacje podsystemów? | ||
| G. Użytkownicy końcowi | |||
| 1 | Czy tylko użytkownicy wykonujący swoje czynności za pomocą danego podsystemu mają do niego dostęp? Czy uprawnienia nie są nadmierne? | przeprowadzić test jak w pkt B2 | |
| 2 | Czy użytkownicy końcowi mają prawo do zmiany uprawnień? | ||
| 3 | Czy użytkownicy końcowi mają prawo do zmiany parametrów działania podsystemu, jeśli tak, to w jakim zakresie? | ||
| H. Strony trzecie | |||
| 1 | Czy istnieją grupy użytkowników niebędących pracownikami jednostki, które mają dostęp do określonego podsystemu, jeśli tak, to jakie są to grupy i jak liczne (np. serwisanci, dostawcy oprogramowania, programiści zewnętrzni, audytorzy)? | ||
| 2 | Czy mają prawo do wprowadzania/modyfikowania danych bądź parametrów działania podsystemu? | ||
| 3 | Czy istnieje i jak wygląda ślad kontrolny dostępu osoby trzeciej w podsystemie? | ||
[*] Poszczególne podsystemy uznane za składowe ksiąg.
[**] Bezpieczne, szyfrowane połączenie między dwiema sieciami lub między siecią i użytkownikiem.
Prezentacja wyników badania prawidłowości prowadzenia ksiąg
Biegły rewident, po upewnieniu się, że zebrane w toku badania sf dowody są odpowiednie i wystarczające do wyrażenia miarodajnej opinii o prawidłowości prowadzenia ksiąg przez jednostkę, rozważa, jaka to ma być opinia i jak ją zaprezentować w sprawozdaniu z badania.
Trzeba przy tym pamiętać, że o ile sprawozdanie z badania dotyczy końcowego efektu działalności badanej jednostki, przedstawionego w sf, o tyle badanie prawidłowości prowadzenia ksiąg rachunkowych dotyczy całego badanego okresu, czyli roku obrotowego. Dlatego konieczne jest rozważenie, na ile ew. korekty sposobu prowadzenia ksiąg, poczynione w ciągu okresu, mają wpływ na opinię. Moim zdaniem, jeżeli w badanym okresie nie zaistniały przesłanki wskazujące na istotne zagrożenia dla prawidłowości prowadzenia ksiąg, to wystarczy ocenić stan końcowy (za ostatni miesiąc roku) badanych zagadnień.
W sprawozdaniu z badania sf opinia o prawidłowości prowadzenia ksiąg rachunkowych (art. 83 ust. 6 pkt 1 uobr) wyrażona jest w postaci następującej formuły:
„Naszym zdaniem załączone roczne sprawozdanie finansowe (…) zostało sporządzone na podstawie prawidłowo, zgodnie z przepisami rozdz. 2 ustawy o rachunkowości, prowadzonych ksiąg rachunkowych”.
Jak wynika z tego opracowania, badanie prawidłowości prowadzenia ksiąg jest zagadnieniem złożonym, dlatego moim zdaniem warto byłoby do sprawozdania z badania, w części „Inne informacje”, wprowadzić oddzielny akapit: „Prawidłowość prowadzenia ksiąg rachunkowych”.
Dodatkowym argumentem przemawiającym za przedstawioną propozycją jest okoliczność, że:
- uobr traktuje odrębnie opinię o sf i opinię o sprawozdaniu z działalności – jest im poświęcony ust. 3 art. 83, a o opinii o prawidłowości prowadzenia ksiąg rachunkowych jest mowa w ust. 6 pkt 1,
- KSB i stanowiące ich podstawę MSB, a więc standardy międzynarodowe, nie wymagają poruszenia w sprawozdaniu z badania tematyki poprawności ksiąg rachunkowych.
Kolejna wątpliwość: czy opinia o prawidłowości prowadzenia ksiąg może być także opinią z objaśnieniem, opinią z zastrzeżeniem, opinią negatywną bądź czy biegły rewident może odmówić jej wyrażenia? Moim zdaniem tak, choć z ust. 5 art. 83 uobr wynikałoby, że stosowanie różnych typów opinii dotyczy tylko opinii z badania sf. Gdyby przepis o rodzajach opinii był interpretowany zawężająco, wówczas także opinia o sprawozdaniu z działalności nie mogłaby być różnicowana w dostosowaniu do stanu faktycznego stwierdzonego podczas badania.
W akapicie Prawidłowość prowadzenia ksiąg rachunkowych w razie pozytywnej (bez uwag) oceny prawidłowości prowadzenia ksiąg rachunkowych możliwe wydaje się dwojakie podejście do sposobu formułowanej opinii:
- zapewnienie o racjonalnej pewności:
„Naszym zdaniem przeprowadzone badanie pozwala stwierdzić, że księgi rachunkowe…, stanowiące źródło danych prezentowanych w załączonym sprawozdaniu finansowym za rok…, prowadzone były prawidłowo, spełniając wymogi określone w rozdz. 2 ustawy o rachunkowości”,
- zapewnienie o ograniczonej pewności:
„Naszym zdaniem przeprowadzone badanie prawidłowości prowadzenia ksiąg rachunkowych, stanowiących źródło danych prezentowanych w załączonym sprawozdaniu finansowym… za rok…, nie wykazało istotnych odstępstw od wymogów określonych w rozdz. 2 ustawy o rachunkowości”.
Pożądane byłoby, gdyby PIBR i PANA zechciały wyrazić w tej sprawie swój pogląd.
W przypadku gdy biegły rewident uzna za konieczne zgłoszenie uwag do prawidłowości prowadzenia ksiąg rachunkowych, może on:
a) uzupełnić zapewnienie (jw.) o objaśnienie;
b) w razie istotnych uwag do prawidłowości elementów określających łącznie prawidłowość prowadzenia ksiąg rachunkowych wprowadzić do akapitu Prawidłowość prowadzenia ksiąg rachunkowych modyfikację opinii w postaci zastrzeżenia (na przykładzie zapewnienia o racjonalnej pewności):
„Naszym zdaniem przeprowadzone badanie pozwala stwierdzić, że księgi rachunkowe…, stanowiące źródło danych prezentowanych w sprawozdaniu finansowym za rok…, prowadzone były prawidłowo, spełniając wymogi określone w rozdz. 2 ustawy o rachunkowości, z wyjątkiem niedociągnięcia/uchybienia polegającego na… (ze wskazaniem jego skutków)”;
c) w razie wielu istotnych uwag (np. dotyczących kontroli i zabezpieczeń) może się zdecydować na wydanie opinii negatywnej o prawidłowości prowadzenia ksiąg rachunkowych, zamieszczając, np. następujący tekst:
„Przeprowadzone badanie, naszym zdaniem, wykazało, że księgi rachunkowe…, stanowiące źródło danych prezentowanych w załączonym sprawozdaniu finansowym za rok…, nie były prowadzone prawidłowo, gdyż nie spełniają wymogów określonych w rozdz. 2 ustawy o rachunkowości”;
- jednocześnie biegły powinien uzasadnić negatywną opinię, wyjaśniając, na czym polegają uchybienia i jakie są ich skutki.
W mojej praktyce tylko raz spotkałam się z odmową wyrażenia opinii o prawidłowości prowadzenia ksiąg rachunkowych; było to spowodowane atakiem hakerskim na księgi rachunkowe, w wyniku którego nie można było ich odtworzyć ze względu na znaczne błędy sposobu archiwizacji. W takim i podobnych przypadkach, kiedy nie można się odnieść do ksiąg rachunkowych, właściwa wydaje się odmowa wyrażenia opinii o prawidłowości prowadzenia ksiąg rachunkowych. Jej treść mogłaby brzmieć:
„Nie wyrażamy opinii o prawidłowości prowadzenia ksiąg rachunkowych, gdyż nie byliśmy w stanie uzyskać wystarczających i odpowiednich dowodów badania, które stanowiłyby podstawę opinii.
Jest to spowodowane tym, że serwery, na których umieszczone były księgi rachunkowe, poddane zostały atakowi hakerskiemu, w wyniku którego uległy nieodwracalnemu zniszczeniu.
Jednostka nie ma archiwum ksiąg rachunkowych i dokumentów stanowiących w nich podstawę zapisów za okres od… do końca badanego roku. Na skutek tego nie było możliwe sprawdzenie poprawności prowadzenia ksiąg rachunkowych. Opisane okoliczności wskazują zarazem na brak prawidłowych procedur zabezpieczających dostęp do ksiąg oraz bezpieczną archiwizację”.
Na ogół w przypadku opinii negatywnej lub odmowy wyrażenia opinii o prawidłowości prowadzenia ksiąg nastąpi prawdopodobnie wyrażenie analogicznej opinii o sf.
Natomiast opinia z zastrzeżeniami co do prawidłowości prowadzenia ksiąg nie musi wywierać bezpośredniego wpływu na opinię o sf, choć z całą pewnością skłoni biegłego rewidenta do zwiększenia zakresu badania, aby uzyskać racjonalną pewność o słuszności opinii o sf.
Moim zdaniem – niezależnie od rodzaju opinii nt. prawidłowości prowadzenia ksiąg o wykrytych słabościach systemu informatycznego – celowe jest poinformowanie o tym zarządu odrębnym pismem. Zwiększy to przydatność badania sf.