Zamówienie-Koszyk
Dokończ - Edytuj - Anuluj

Droga Użytkowniczko, Drogi Użytkowniku, klikając AKCEPTUJĘ I PRZECHODZĘ DO SERWISU wyrazisz zgodę na to aby Rachunkowość Sp. z o.o. oraz Zaufani Partnerzy przetwarzali Twoje dane osobowe takie jak identyfikatory plików cookie, adresy IP, otwierane adresy url, dane geolokalizacyjne, informacje o urządzeniu z jakiego korzystasz. Informacje gromadzone będą w celu technicznego dostosowanie treści, badania zainteresowań tematami, dostosowania niektórych treści do lokalizacji z której jest odczytywana oraz wyświetlania reklam we własnym serwisie oraz w wykupionych przez nas przestrzeniach reklamowych w Internecie. Wyrażenie zgody jest dobrowolne.

Klikając w przycisk AKCEPTUJĘ I PRZECHODZĘ DO SERWISU wyrażasz zgodę na zapisanie i przechowywanie na Twoim urządzeniu plików cookie. W każdej chwili możesz skasować pliki cookie oraz ograniczyć możliwość zapisywania nowych za pomocą ustawień przeglądarki.

Wyrażając zgodę, pozwalasz nam na wyświetlanie spersonalizowanych treści m.in. indywidualne rabaty, informacje o wykupionych przez Ciebie usługach, pomiar reklam i treści.

AKCEPTUJĘ I PRZECHODZĘ DO SERWISU
account_circle
dehaze
Ustawienia
Zaloguj się
Strona główna
Spis treści
Zamknięcie roku
Kadry i płace
Aktualności
Książki
Prenumerata i dostęp on-line
Rachunkowość 7/2025
Rachunkowość 7/2025

Logowanie

e-mail:

hasło:

 

 

Logowanie za pomocą e-maila

Jeżeli nie pamiętasz hasła albo nie masz konta, to wyślemy na Twój e-mail wiadomość weryfikującą. Po kliknięciu w link z e-maila będziesz zalogowany na urządzeniu do chwili wylogowania.

e-mail:

Klikając w poniższy link, zgadzasz się na zapisanie podanych w formularzu danych i wykorzystywanie ich zgodnie z polityką przetwarzania danych dostępną w dokumencie ⇒Polityka przetwarzania danych osobowych (RODO)⇐

 

Logowanie do za pomocą e-maila

Sprawdzanie danych....

Data publikacji: 2020-11-02
Audytor

Badanie prawidłowości prowadzenia ksiąg rachunkowych za pomocą systemu informatycznego – artykuł dyskusyjny (cz. II)

Agnieszka Baklarz
Dr nauk ekonomicznych, biegły rewident, prezes Monte Vero Audit and Advisory sp. z o.o.
Po sporządzeniu własnego opisu systemu informatycznego[1], w części służącej prowadzeniu ksiąg, biegły rewident konfrontuje go z opisem przyjętych przez jednostkę zasad (polityki) rachunkowości i ocenia, czy system ten odpowiada jego ustaleniom, na ile jest kompletny i aktualny, czy jest zabezpieczony przed nieuprawnionymi modyfikacjami.

Poprawność opisu zasad (polityki) rachunkowości należy sprawdzić dla każdego zidentyfikowanego elementu (podsystemu) składającego się na księgi zgodnie z art. 10 ust. 1 uor. Trzeba się liczyć z tym, że niekiedy opis będzie niepełny, spłycony lub nieaktualny.

[1] Pierwsza część artykułu znajduje się ⇒tutaj⇐

Poprawność opisu zasad (polityki) rachunkowości należy sprawdzić dla każdego zidentyfikowanego elementu (podsystemu) składającego się na księgi zgodnie z art. 10 ust. 1 uor. Trzeba się liczyć z tym, że niekiedy opis będzie niepełny, spłycony lub nieaktualny.

Doświadczenie wykazuje, że pełna dokumentacja podsystemu (np. zbiorów danych, algorytmów czy funkcji) jest dostępna w samym oprogramowaniu. Kwestią dyskusyjną jest jedynie, czy oznaczenie faktu istnienia takich elementów (są to zazwyczaj informacje sformułowane w dość hermetycznym języku) wystarcza do stwierdzenia, że dokumentacja taka istnieje i została przyjęta do stosowania. Moim zdaniem tak. Wydaje się, że przepisy uor w tym zakresie nie „nadążają” za postępem technologicznym oraz rosnącą złożonością systemów informatycznych.

Tabela 1. Przykładowa lista kontrolna służąca do zbadania kompletności dokumentacji poszczególnych podsystemów składających się na księgi

                           
Lp.  Podsystem:......... Tak/Nie Uwagi
Kryterium
1 Wykaz zbiorów danych tworzących księgi na komputerowych nośnikach danych z określeniem:
a) struktury
b) wzajemnych powiązań
c) funkcji w organizacji całości ksiąg
d) funkcji przy przetwarzaniu danych
2 Opis podsystemu zawierający:
a) wykaz programów, procedur lub funkcji w zależności od struktury oprogramowania
b) opis algorytmów i parametrów przetwarzania danych
c) opis programowych zasad ochrony danych
d) określenie wersji oprogramowania
e) oznaczenie daty rozpoczęcia użytkowania
f) stwierdzenie dopuszczenia do użytkowania każdego nowego lub zmienionego programu
3 Opis sposobu ochrony danych i ich zbiorów, w tym:
a) dowodów księgowych
b) ksiąg
c) innych dokumentów stanowiących podstawę zapisów dokonanych w księgach
4 Inne spostrzeżenia dotyczące dokumentacji Systemu Rachunkowości Informatycznej
 

Badanie elementów formalnych

Każdy ze zidentyfikowanych elementów systemu informatycznego (podsystemów) uznany za składnik ksiąg (łącznie z kontami księgi głównej) powinien spełniać wymogi formalne określone w uor.

W celu sprawdzenia, czy wymogi te są spełniane, wystarczy w odniesieniu do każdego podsystemu wykonać pojedynczy test (poprzez zapytanie, ogląd podsystemu, przeprowadzenie w podsystemie wspólnie z pracownikami badanej jednostki poszczególnych operacji, przegląd uzyskiwanych z podsystemu zestawień), aby ustalić, czy dany wymóg (kryterium prawidłowego prowadzenia ksiąg) jest spełniony, czy też nie.

Pomocą w tym może być wykaz pytań (checklist) przedstawionych w tabeli 2. W przypadku pkt 8 (prawidłowość zapisów) warto takiemu testowi poddać zapis podstawowych operacji wykonywanych przez badaną jednostkę.

Tabela 2. Przykładowe pytania kontrolne do badania elementów formalnych poszczególnych podsystemów składających się na księgi

Lp. Podsystem Tak/Nie/Nie dotyczy Uwagi
Kryterium (wymóg)
1 Sposób zamykania ksiąg – czy księgi pomocnicze i księga główna są (mogą być) zamknięte w sposób trwały (art. 12 ust. 5 uor) czy i jak wymóg jest realizowany, w szczególności czy na dzień przeprowadzania testu poprzedni rok obrotowy był zamknięty w sposób trwały
2 Sposób oznaczania wydruku lub podglądu ksiąg (art. 13 ust. 4 uor); czy zawiera:
- nazwę jednostki
- wskazanie roku obrotowego i okresu sprawozdawczego
- datę sporządzenia		 jaki wydruk poddano testowi
3 Wydruk lub zapis ksiąg (art. 13 ust. 5 uor); czy zawiera:
- automatycznie numerowane strony
- oznaczenie pierwszej strony
- oznaczenie ostatniej strony;
czy sumowanie na kolejnych stronach następuje w sposób ciągły (narastający)
4 Prawidłowość sporządzenia dziennika (art. 14 uor), co dotyczy kont księgi głównej; czy zawiera:
- nazwę jednostki
- wskazanie roku obrotowego i okresu sprawozdawczego
- datę sporządzenia
- automatycznie numerowane strony
- oznaczenie pierwszej strony
- oznaczenie ostatniej strony
- na kolejnych stronach sumy ustalane w sposób ciągły (narastający)
- kolejno, automatycznie numerowane pozycje
- dane identyfikujące osobę odpowiedzialną za zapis;
- jeśli stosuje się dzienniki częściowe, to czy sporządza się ich zestawienie czy następuje uzgodnienie sumy dziennika z zestawieniem obrotów i sald kont księgi głównej
5 Prawidłowość sporządzenia zestawienia obrotów i sald kont księgi głównej (art. 18 uor);
czy zawiera:
- nazwę jednostki
- wskazanie roku obrotowego i okresu sprawozdawczego
- datę sporządzenia
- automatycznie numerowane strony
- oznaczenie pierwszej strony
- oznaczenie ostatniej strony
- na kolejnych stronach sumy ustalane w sposób ciągły (narastający)
- oznaczenie symboli lub nazw kont
- salda kont na dzień otwarcia ksiąg
- obroty kont za okres sprawozdawczy
- obroty kont narastająco od początku roku obrotowego
- salda kont na koniec okresu sprawozdawczego
- podsumowanie sumy sald na dzień otwarcia ksiąg, sumy obrotów za okres sprawozdawczy i narastająco od początku roku obrotowego oraz sald na koniec okresu sprawozdawczego
6 Prawidłowość sporządzenia zestawienia sald ksiąg pomocniczych (art. 16 i art. 18 uor);
czy zawiera:
- nazwę jednostki
- wskazanie roku obrotowego i okresu sprawozdawczego
- datę sporządzenia
- automatycznie numerowane strony
- oznaczenie pierwszej strony
- oznaczenie ostatniej strony
- na kolejnych stronach sumy ustalane w sposób ciągły (narastający)
- wykaz składników objętych księgą pomocniczą
- oznaczenie jednostki miary, w której konta księgi pomocniczej są prowadzone (jednostki naturalne, pieniężne)
- salda na koniec okresu sprawozdawczego
- uzgodnienie salda księgi pomocniczej z kontami księgi głównej (za jakie okresy)
7 Prawidłowość uzgodnienia zapisów ksiąg pomocniczych (art. 16 i art. 18 uor); czy zawiera:
- nazwę jednostki
- wskazanie roku obrotowego i okresu sprawozdawczego
- datę sporządzenia
- automatycznie numerowane strony
- oznaczenie pierwszej strony
- oznaczenie ostatniej strony
- na kolejnych stronach sumy ustalane w sposób ciągły (narastający)
- wykaz składników objętych księgą pomocniczą
- oznaczenie jednostki miary, w której konta księgi pomocniczej są prowadzone (jednostki naturalne/pieniężne)
- zestawienie zapisów ze szczegółowością umożliwiającą identyfikację poszczególnego zapisu
- salda w jednostkach naturalnych (jeśli dotyczy) na koniec okresu sprawozdawczego
- salda wartościowo na koniec okresu sprawozdawczego
- uzgodnienie zapisów księgi pomocniczej z kontami księgi głównej
8 Prawidłowość zapisów (art. 20 ust. 5 uor):
- trwałość zapisu
- źródło pochodzenia zapisu
- osoba odpowiedzialna za dokonanie zapisu
- oznaczenie programu przetwarzającego zapisy;
- czy program zapewnia sprawdzenie poprawności przetworzenia danych oraz kompletności i identyczności zapisów; postać komunikatów o błędach lub o poprawnym dokonaniu zapisu		 jaki element ksiąg poddano testowi
9 Sposób korygowania błędnych zapisów (art. 25 ust. 1 pkt 2 uor):
czy możliwa jest korekta błędu w inny sposób niż wprowadzenie do ksiąg dowodu zawierającego korektę błędnego zapisu, dokonywaną tylko zapisami dodatnimi albo tylko ujemnymi		 czy możliwe jest dokonanie zmian drogą poprawienia wcześniejszego zapisu bez pozostawiania śladu rewizyjnego

Badanie działania kontroli poprawności przenoszenia danych między podsystemami

Kolejny temat badania to skuteczność kontroli stosowanych przez badaną jednostkę. Badanie pozwala stwierdzić, czy podsystemy składające się na księgi objęte systemem informatycznym spełniają przesłanki art. 24 uor, a zatem, czy księgi są prowadzone rzetelnie, bezbłędnie, sprawdzalnie (por. tabela 3).

Tabela 3. Przykładowy (niepełny) wykaz stwierdzeń objętych badaniem prawidłowości ksiąg

Symbol Stwierdzenie Opis Odpowiednik stwierdzenia z KSB 315
R rzetelność zapisy odzwierciedlają stan rzeczywisty (art. 24 ust. 2 uor) występowanie/istnienie
B bezbłędność do ksiąg wprowadzono kompletnie i poprawnie zakwalifikowane do ujęcia w danym miesiącu dowody księgowe, zapewniono ciągłość zapisów oraz bezbłędność działania stosownych procedur obliczeniowych (art. 24 ust. 3 uor) kompletność, dokładność, klasyfikacja, rozgraniczenie między okresami
S sprawdzalność księgi umożliwiają stwierdzenie poprawności dokonanych w nich zapisów, stanów oraz działania zastosowanych procedur obliczeniowych (art. 24 ust. 4 uor) ×

Badanie przepływu informacji między podsystemami w przypadku ksiąg bazujących na podsystemach dziedzinowych jest obarczone szczególnie dużym ryzykiem. Ryzyko badania jest znacznie mniejsze, jeżeli wszystkie lub prawie wszystkie informacje trafiają w pierwszej kolejności do podsystemu FK (pełnych ksiąg rachunkowych), a podsystemy są ze sobą zintegrowane dzięki stosowaniu odpowiedniego, kompleksowego oprogramowania, opracowanego przez jednego wytwórcę.

Planując badanie działania kontroli podsystemów uznanych za składowe ksiąg, stosuje się podejście oparte na ryzyku. Zakłada ono, że badaniu poddaje się elementy obarczone najwyższym ryzykiem, a zarazem wywierające znaczący wpływ na prawidłowość ksiąg. Oznacza to, że rozpatrując poszczególne podsystemy składające się na księgi, należy rozpoznać, na ile zawarte w nich dane przekazywane do podsystemów FK wpływają na rzetelność, bezbłędność i sprawdzalność ksiąg. Dla zilustrowania sposobu podejścia analizie ryzyka poddane zostaną poszczególne elementy podsystemu sprzedaży.

W pierwszej kolejności celowe jest ustalić wykaz badanych stwierdzeń.

Następnie badanym stwierdzeniom przypisuje się ryzyko – jego poziom (siłę) oraz prawdopodobieństwo wystąpienia – por. tabela 4.

Tabela 4. Przykładowy wykaz ryzyk

           
Lp. Nazwa ryzyka Opis ryzyka i jego wpływu Szacowanie ryzyka Skutki finansowe zrealizowania się ryzyka (s) Ocena ryzyka
R B S Prawdopodobieństwo (p)
Proces sprzedaży
1 Podsystem handlowy (sprzedaży): nie wszystkie faktury zostały wystawione we właściwych okresach istnieją WZ, do których nie zostały wystawione faktury × ×
2 Faktury nie mają oznaczenia umożliwiającego ich jednoznaczną identyfikację niemożność sprawdzenia ksiąg ×
3 Podsystem FK: zasady księgowania faktur zmieniały się w ciągu roku zmiana reguł obliczeniowych × ×
4 Nie są znane daty kursów, po jakich przeliczono na złote faktury opiewające na waluty obce brak znanych reguł obliczeniowych × ×
5 Podsystem handlowy i podsystem FK: ewidencja faktur nie jest zgodna z JPK_VAT nie jest zapewniona sprawdzalności ksiąg × × ×

Na podstawie oceny ryzyka (np. wykazanego w ostatnich trzech kolumnach tabeli 4) biegły rewident określa sposób zmniejszenia ryzyka badania drogą zaplanowania swojej reakcji na nie.

Warunkiem doboru właściwej procedury badania jest zrozumienie sposobu przepływu danych pomiędzy poszczególnymi podsystemami (elementami ksiąg).

W przypadku automatycznych przepływów danych – drogą ich importu czy też w ramach zintegrowanego oprogramowania – jednorodne dane powinny być przetwarzane w taki sam sposób. W celu sprawdzenia, czy warunek ten jest dotrzymany, konieczne jest wyodrębnienie jednorodnych zbiorów informacji i zaplanowanie dla nich testów kontroli poprawności przetwarzania.

Przykładowo w przypadku faktur sprzedaży operacje są zazwyczaj wyodrębniane z dokładnością wymaganą przy realizacji obowiązku raportowania na potrzeby VAT i dla każdej grupy operacji ustala się odrębne procedury.

W odniesieniu do faktur i innych dokumentów zakupu odrębne (jednolite) reguły są ustalane dla zakupów przechodzących przez magazyn (o ile to możliwe w podziale na materiały i towary). Kontrole, którym poddaje się dokumenty, są przeważnie dobrze opisane. Pozostałe dokumenty zakupowe są zazwyczaj rozpatrywane indywidualnie, a ich opis i dekretacja następują w zasadzie ręcznie.

Jeżeli jednostka stosuje podsystem obiegu informacji, to ze względu na zapewniony przez taki podsystem ślad rewizyjny można go wykorzystać do sprawdzenia, czy dokumenty są opisywane na bieżąco przez osoby merytorycznie odpowiedzialne za daną operację oraz czy istnieją dokumenty niemające pełnych opisów.

Testowanie procesów i kontroli celowe jest połączyć z merytorycznym badaniem stwierdzeń zawartych w sprawozdaniu finansowym (sf). Nieracjonalne byłoby rozdzielanie badań działania podsystemu księgowości i merytorycznych. Czynności dodatkowe, uzupełniające badanie merytoryczne, to jedynie zidentyfikowanie poszczególnych podsystemów oraz wyodrębnienie jednolitych zbiorów informacji, wybranych do testowania.

Testy kontroli sprzedaży, przeprowadzone podczas badania sf, warto rozdzielić np. na sprzedaż towarów, sprzedaż usług powtarzalnych i sprzedaż okazjonalną, np. sprzedaż środków trwałych.

[2] Np. W.K. Lachowski, Sztuka wyboru, cz. I, Centrum Edukacji PIBR Warszawa 2019.

[3] Stanowisko z 13.04.2010 r. w sprawie niektórych zasad prowadzenia ksiąg rachunkowych.

Sposoby przeprowadzania testów, dokumentowania ich wyników i wyciągania na tej podstawie wniosków są opisane w publikacjach poświęconych metodom pełnego i wyrywkowego badania[2].

Badanie fizycznego zabezpieczenia systemu informatycznego, w tym ksiąg

Warunkiem prowadzenia ksiąg przy użyciu komputera jest – zgodnie z art. 13 ust 3 uor oraz stanowiskiem Komitetu Standardów Rachunkowości (dalej Stanowisko)[3] – posiadanie oprogramowania umożliwiającego uzyskiwanie czytelnych informacji drogą ich wydruku lub przeniesienia na inny informatyczny nośnik danych.

Pierwsza opcja (zapisanie danych w PDF) jest w istocie równoważna z wydrukiem ksiąg; w przypadku dużych zbiorów danych trudności sprawia znalezienie poszukiwanych informacji. Nie zapewnia też możliwości tworzenia np. zestawień podatkowych (pliki JPK).

W razie wyboru drugiej opcji (przeniesienia danych na inny informatyczny nośnik) istnieje kilka możliwości jej realizacji:

  • przenoszenie kluczowych raportów z systemu informatycznego do PDF (nośnik elektroniczny),
  • cykliczne przenoszenie zbiorów danych na dyski archiwizacyjne oraz zapisywanie na nich oprogramowania przy każdej jego zmianie,
  • przenoszenie kompletu zbiorów danych i oprogramowania łącznie, za każdym razem, na dyski archiwizacyjne.

Mimo że stosowanie drugiej opcji może rodzić różne problemy, to zdecydowanie ułatwia ona uzyskanie poszukiwanych informacji.

Dlatego badanie zabezpieczenia ksiąg rachunkowych celowe jest rozszerzyć o badanie wybranych elementów zapewniania ciągłości dostępu do nich.

Badanie zabezpieczenia elementów ksiąg

Ze względu na relatywnie niskie wykorzystanie mocy obliczeniowych własnych serwerów oraz wysokie koszty ich obsługi informatycznej ogólną tendencją jest wspólne korzystanie z tych samych serwerów przez wiele jednostek. Warto więc zapoznać się z ograniczeniami (i je zrozumieć) najczęściej stosowanych modeli korzystania z chmur obliczeniowych: IaaS i SaaS.

IaaS (Infrastructure as a Service, infrastruktura jako usługa) – usługodawca udostępnia jednostce sprzęt (serwery, dyski, moce obliczeniowe, procesory) i oprogramowanie umożliwiające korzystanie z serwerów oraz usługę serwisową. Tego typu usługę powinna cechować m.in. duża niezawodność (np. 99% dostępności czasu usługi zapewnionej przez rezerwowe serwery usługodawcy). Usługodawcy zapewniają też wyodrębnienie logiczne (a czasami i fizyczne) serwera dla danego klienta oraz odpowiedni poziom jego bezpieczeństwa.

SaaS (Software as a Service, oprogramowanie jako usługa) – usługodawca oprócz usług objętych modelem IaaS zapewnia dostęp do oprogramowania użytkowego, przy czym dane wprowadza samodzielnie jednostka. Co warte podkreślenia, jednostka nie nabywa licencji, a jedynie prawo dostępu do oprogramowania użytkowego. Na przykład popularne w Polsce oprogramowania FK firm Symfonia, Optima czy Enova mogą działać przy stosowaniu tego typu modelu wraz z dodatkowymi usługami zarządzania, aktualizacji oraz pomocy technicznej. Klient praktycznie rezygnuje z obsługi technicznej serwerów i oprogramowania we własnym zakresie, pokrywa natomiast opłaty za dostęp do oprogramowania, zależne od użytkowanych licencji.

Łatwo wywnioskować z opisu, że każdy z modeli niesie za sobą inne ryzyka w zakresie zapewnienia bezpieczeństwa, pełnej kontroli i dostępności do ksiąg.

Warunkiem uznania prowadzenia ksiąg za prawidłowe jest nie tylko poprawność ich elementów logicznych (oprogramowania), ale również ich niezmienność, nienaruszalność oraz stały dostęp do nich, i to zarówno w czasie ich prowadzenia (w ciągu roku obrotowego), jak i potem, w okresie przechowywania, po zamknięciu ksiąg roku obrotowego.

Wymaga to przede wszystkim znajomości miejsca (miejsc) znajdowania się infrastruktury IT (pierwszy krok w tym kierunku biegły rewident wykonał podczas zbierania danych o elementach ksiąg i ich umiejscowieniu).

Ogólnie biorąc, możliwe są cztery opcje umiejscowienia elementów ksiąg:

1. własny serwer jednostki,

2. lokalny komputer (stanowisko jednoosobowe),

3. serwer w chmurze (IaaS) – chmura może być zarówno prywatna, np. należeć do grupy kapitałowej, jak i ogólnodostępna – usługę oferuje zewnętrzny usługodawca np. Amazon, Google, Microsoft,

4. licencja na korzystanie z serwera w chmurze (SaaS).

W każdym z tych przypadków inne jest podejście do badania zapewnienia ciągłości dostępu oraz zabezpieczenia ksiąg.

[4] comarch-cloud.pl.

Najprostsze jest badanie przypadku 4, kiedy księgi rachunkowe prowadzi usługodawca (SaaS). Jednostka powinna mieć umowę zapewniającą dostęp do oprogramowania, która przewiduje również zabezpieczenie i archiwizowanie danych oraz dostęp do nich. Przykładowo jednostka zawarła umowę na użytkowanie systemu Comarch Optima w chmurze[4]; dodatkowa kopia bezpieczeństwa jest wykonywana samodzielnie, siłami użytkownika. Natomiast Comarch zobowiązuje się w umowie licencyjnej do zachowania kopii bezpieczeństwa z ostatnich 14 dni. W razie rozwiązania umowy dane będą dostępne jeszcze przez 14 dni od daty jej rozwiązania, a następnie zostaną bezpowrotnie usunięte.

Wobec takiego zapisu umowy badana jednostka, nawet jeżeli w chwili obecnej nie przewiduje odstąpienia od umowy, powinna zabezpieczyć przynajmniej roczne zapasowe kopie bezpieczeństwa za 5 zamkniętych lat wstecz. Powstaje problem, co z oprogramowaniem służącym do odczytu danych, jeśli jednostka wypowie umowę o użytkowaniu oprogramowania. Użyczenie dostępu dotyczy tylko serwerów usługodawcy, a jednostka traci do nich dostęp po rozwiązaniu umowy. Dokumentacja systemu rachunkowości jednostki powinna informować, w jaki sposób zabezpiecza ona księgi w takich przypadkach. Uzupełnienia wymaga również opis sposobu przyznawania dostępów do oprogramowania oraz haseł.

Dużo szerszy opis powinna zawierać dokumentacja zasad (polityki) rachunkowości w pozostałych trzech przypadkach.

Warto też sprawdzić, czy jednostka ma instrukcje sposobu odzyskiwania danych. Jest to element niejednokrotnie pomijany, a potem, w przypadku niemożności odzyskania danych, okazuje się, że posiadane kopie nie są przydatne.

Zebranie dowodów odbywa się w tym przypadku przeważanie drogą zapytań, wywiadów oraz inspekcji (oględzin). Tabela 5 ułatwia zebranie dowodów z badania, na ile poszczególne podsystemy są zabezpieczone przed nieuprawnionym dostępem.

Tabela 5. Przykładowa lista pytań do badania fizycznego zabezpieczenia systemu informatycznego

Lp. Nazwa podsystemu wchodzącego w skład ksiąg Tak/Nie/Nie dotyczy Opis
Przedmiot badania
A. Umiejscowienie serwera
1 Czy serwer znajduje się na terenie jednostki?
2 Czy wszystkie programy obsługujące podsystem księgowości znajdują się na pojedynczych komputerach na terenie jednostki?
3 Czy serwer, na którym zainstalowano programy obsługujące podsystem księgowości, znajduje się w chmurze?
B. Fizyczne zabezpieczenie infrastruktury
1 Czy w przypadku programów zainstalowanych na terenie jednostki pomieszczenie, w którym pracują serwery, zostało zabezpieczone (np. zamykane na klucz, zabezpieczone przed ogniem, zalaniem, awarią klimatyzacji)?
2 Czy w przypadku oprogramowania zainstalowanego w chmurze umowa o usługę zawiera zapisy określające obowiązki i odpowiedzialność właściciela chmury za zabezpieczenie dostępu do infrastruktury?
C. Tworzenie zapasowych kopii bezpieczeństwa
1 Czy i jak tworzone są zapasowe kopie bezpieczeństwa (np. regularne kopie na serwerze), np.:
a) Czy sporządza się pełne zapasowe kopie bezpieczeństwa; jeżeli tak, to kiedy i gdzie są zapisywane?
b) Czy sporządza się kopie przyrostowe, a jeżeli tak, to gdzie są zapisywane?
c) Czy kopie przechowuje się poza serwerownią; jeżeli tak, to jak przebiega procedura ich zabezpieczania?
d) Czy kopie są wykonywane miesięcznie/rocznie; jak przebiega procedura ich zabezpieczania?
e) Czy istnieje opis procedury odzyskiwania danych z kopii?
D. Zabezpieczenie antywirusowe oraz przed cyberatakami
1 Czy jednostka jest zabezpieczona przed cyberatakami i wirusami, np.:
a) Czy każdy komputer jest zabezpieczony hasłem dostępu?
b) Czy działa kontrola haseł (np. 3 błędne logowania blokują dostęp)?
c) Czy na każdym komputerze oraz serwerze zainstalowane są programy antywirusowe; czy ich aktualizacja następuje na bieżąco?
d) Czy włączony jest FireWall (zapora sieciowa i systemowa)?
E. Zabezpieczenie przed utratą zasilania
1 Czy istnieją zabezpieczenia na wypadek przerwy w dostawie energii elektrycznej (np. zasilacze UPS[*], centra zapasowych kopii bezpieczeństwa)?
F. Zakłócenia
1 Czy w ostatnim roku występowały incydenty polegające na naruszeniu zabezpieczeń infrastruktury (np. ataki phishingowe[**] zakończone powodzeniem, innego typu ataki hakerskie, wirusy, zaszyfrowanie dysku) i jakiego typu były to incydenty?
2 W przypadku wystąpienia incydentów – jak długi był czas przestoju i jak przebiegał?
3 W przypadku wystąpienia incydentów – czy istniała ścieżka porównania danych przed incydentem i po nim, a jeśli tak, to jaki był tego przebieg?

[*] Zasilacze bezprzerwowe.

[**] Phishing – metoda oszustwa polegająca na podszywaniu się pod inną osobę w celu wyłudzenia informacji znajdujących się w systemie.

Badanie procedury nadawania uprawnień

Ważny element systemu zabezpieczeń stanowi procedura nadawania (i odbierania) użytkownikom uprawnień dostępu do poszczególnych zasobów oraz funkcji systemu informatycznego. Wymaga ona zbadania. Przede wszystkim trzeba ustalić grupy osób, którym przyznawane są uprawnienia dostępu. Mogą to być:

  • administratorzy systemu IT – osoby nadające uprawnienia dostępu do zasobów oraz funkcji,
  • członkowie zarządu,
  • główni użytkownicy podsystemów – mogą wskazywać sposób, w jaki będą nadawane (lub samodzielnie nadawać) uprawnienia dostępu użytkownikom podsystemu w zależności od wykonywanych w jednostce zadań,
  • użytkownicy końcowi – osoby wykorzystujące zasoby i funkcje, do których mają przyznany dostęp,
  • osoby trzecie, np. biegli rewidenci w czasie badania – mogą mieć przyznany ograniczony czasowo dostęp do zasobów i funkcji w celu prześledzenia śladu rewizyjnego w systemie; niektórzy odbiorcy mogą mieć przyznany dostęp do podsystemu handlowego w celu przyspieszenia składania zamówień na wyroby i towary; niektórzy dostawcy mogą mieć przyznany dostęp do podsystemu zaopatrzenia w celu przyspieszenia potwierdzeń przyjęcia zamówień jednostki na zakup,
  • serwisanci, programiści – osoby, które w ramach umów z jednostką mogą wykonywać różne prace przy oprogramowaniu użytkowym.

Dla każdej z tych grup powinien być z góry ustalony zakres przyznawanych im uprawnień wraz ze wskazaniem, kto ma prawo o tym decydować, a dalej sposób przyznawania i odbierania uprawnień dostępu przez osoby do tego uprawnione. Ważne jest również ustalenie sposobu, w jaki jednostka podchodzi do zdalnego udostępniania danych. Często – zwłaszcza w mniejszych jednostkach – stwierdza się brak spisanych procedur (zasad) i beztroskie nadawanie uprawnień dostępu.

Istotnym punktem badania jest też sprawdzenie, czy cofnięto uprawnienia dostępu pracownikom, którzy już nie pracują w jednostce, oraz zweryfikowanie ich ostatniego logowania.

Badanie ma na ogół formę zapytań i wywiadów połączonych z przeprowadzeniem testów (np. sprawdzenie, czy na liście uprawnionych figurują osoby zwolnione w badanym roku).

W tabeli 6 przedstawiono przykładową (niewyczerpującą) listę pytań, które mogą być pomocne przy badaniu sposobu zabezpieczenia dostępu do zasobów i funkcji.

Tabela 6. Przykładowa lista pytań do badania sposobu zabezpieczenia dostępu

Lp. Podsystem[*] Tak/Nie/Nie dotyczy Opis
Przedmiot badania
A. Administratorzy systemu IT
1 Kto ma uprawnienia administratora systemu IT? Czy kwalifikacje i stanowisko osób uprawnionych uzasadniają nadanie im takich uprawnień?
2 Czy administrator posiada uprawnienia dostępu do podsystemów dziedzinowych jako użytkownik?
3 Czy tylko administrator systemu zezwala na dostępy i zmiany programu?
B. Dostępy zdalne do serwerów/komputerów
1 Kto udziela zezwolenia na dostęp zdalny?
2 Czy dostęp zdalny jest odbierany po zwolnieniu pracownika? przeprowadzić test na liście pracowników, który odeszli z jednostki w badanym roku
3 Czy dostęp zdalny jest szyfrowany (połączenie oparte na VPN[**] lub inne zabezpieczenie)?
4 Czy dostęp zdalny jest ograniczony czasowo w ciągu tygodnia/doby (np. praca zdalna nie jest możliwa w weekendy albo w godz. 20–6)?
5 Czy dostęp zdalny wymaga podania hasła? Jak często hasło jest zmieniane?
6 Jakie są wymagania odnośnie do haseł (liczba znaków, znaki specjalne, duże/małe litery, cyfry)?
C. Dostęp do serwera/komputerów
1 Czy dostęp do serwera/komputerów jest odbierany po zwolnieniu użytkownika z pracy w jednostce? przeprowadzić test jak w pkt B2
2 Czy dostęp do serwera/komputerów wymaga podania hasła? Jak często jest ono zmieniane?
3 Jakie są wymagania odnośnie do haseł (liczba znaków, znaki specjalne, duże/małe litery, cyfry)?
D. Informowanie pracowników o zasadach zapewniania bezpieczeństwa systemów informatycznych
1 Czy istnieją pisemne instrukcje określające sposób zapewnienia bezpieczeństwa systemu informatycznego? Czy i w jaki sposób pracownicy są z nimi zapoznani?
2 Czy istnieje dokumentacja zasad zapewnienia bezpieczeństwa systemu informatycznego?
3 Czy każdy rozpoczynający pracę pracownik jest szkolony w tym zakresie?
4 Czy odbywają się szkolenia przypominające zasady bezpieczeństwa?
E. Audyt bezpieczeństwa
1 Czy był przeprowadzany wewnętrzny lub zewnętrzny audyt działania systemu bezpieczeństwa?
2 Jeśli tak, to jaki był jego zakres i jakie były wyniki?
F. Kluczowi użytkownicy (administratorzy podsystemów)
1 Kto ma uprawnienia administratora podsystemu? Czy kwalifikacje i stanowisko osób uprawnionych uzasadnia nadanie im takich uprawnień?
2 Czy uprawnienia dostępu/zmiany programu nadaje tylko administrator podsystemu?
3 W jaki sposób (przez kogo) są wgrywane aktualizacje podsystemów?
G. Użytkownicy końcowi
1 Czy tylko użytkownicy wykonujący swoje czynności za pomocą danego podsystemu mają do niego dostęp? Czy uprawnienia nie są nadmierne? przeprowadzić test jak w pkt B2
2 Czy użytkownicy końcowi mają prawo do zmiany uprawnień?
3 Czy użytkownicy końcowi mają prawo do zmiany parametrów działania podsystemu, jeśli tak, to w jakim zakresie?
H. Strony trzecie
1 Czy istnieją grupy użytkowników niebędących pracownikami jednostki, które mają dostęp do określonego podsystemu, jeśli tak, to jakie są to grupy i jak liczne (np. serwisanci, dostawcy oprogramowania, programiści zewnętrzni, audytorzy)?
2 Czy mają prawo do wprowadzania/modyfikowania danych bądź parametrów działania podsystemu?
3 Czy istnieje i jak wygląda ślad kontrolny dostępu osoby trzeciej w podsystemie?

[*] Poszczególne podsystemy uznane za składowe ksiąg.

[**] Bezpieczne, szyfrowane połączenie między dwiema sieciami lub między siecią i użytkownikiem.

Prezentacja wyników badania prawidłowości prowadzenia ksiąg

Biegły rewident, po upewnieniu się, że zebrane w toku badania sf dowody są odpowiednie i wystarczające do wyrażenia miarodajnej opinii o prawidłowości prowadzenia ksiąg przez jednostkę, rozważa, jaka to ma być opinia i jak ją zaprezentować w sprawozdaniu z badania.

Trzeba przy tym pamiętać, że o ile sprawozdanie z badania dotyczy końcowego efektu działalności badanej jednostki, przedstawionego w sf, o tyle badanie prawidłowości prowadzenia ksiąg rachunkowych dotyczy całego badanego okresu, czyli roku obrotowego. Dlatego konieczne jest rozważenie, na ile ew. korekty sposobu prowadzenia ksiąg, poczynione w ciągu okresu, mają wpływ na opinię. Moim zdaniem, jeżeli w badanym okresie nie zaistniały przesłanki wskazujące na istotne zagrożenia dla prawidłowości prowadzenia ksiąg, to wystarczy ocenić stan końcowy (za ostatni miesiąc roku) badanych zagadnień.

W sprawozdaniu z badania sf opinia o prawidłowości prowadzenia ksiąg rachunkowych (art. 83 ust. 6 pkt 1 uobr) wyrażona jest w postaci następującej formuły:

„Naszym zdaniem załączone roczne sprawozdanie finansowe (…) zostało sporządzone na podstawie prawidłowo, zgodnie z przepisami rozdz. 2 ustawy o rachunkowości, prowadzonych ksiąg rachunkowych”.

Jak wynika z tego opracowania, badanie prawidłowości prowadzenia ksiąg jest zagadnieniem złożonym, dlatego moim zdaniem warto byłoby do sprawozdania z badania, w części „Inne informacje”, wprowadzić oddzielny akapit: „Prawidłowość prowadzenia ksiąg rachunkowych”.

Dodatkowym argumentem przemawiającym za przedstawioną propozycją jest okoliczność, że:

  • uobr traktuje odrębnie opinię o sf i opinię o sprawozdaniu z działalności – jest im poświęcony ust. 3 art. 83, a o opinii o prawidłowości prowadzenia ksiąg rachunkowych jest mowa w ust. 6 pkt 1,
  • KSB i stanowiące ich podstawę MSB, a więc standardy międzynarodowe, nie wymagają poruszenia w sprawozdaniu z badania tematyki poprawności ksiąg rachunkowych.

Kolejna wątpliwość: czy opinia o prawidłowości prowadzenia ksiąg może być także opinią z objaśnieniem, opinią z zastrzeżeniem, opinią negatywną bądź czy biegły rewident może odmówić jej wyrażenia? Moim zdaniem tak, choć z ust. 5 art. 83 uobr wynikałoby, że stosowanie różnych typów opinii dotyczy tylko opinii z badania sf. Gdyby przepis o rodzajach opinii był interpretowany zawężająco, wówczas także opinia o sprawozdaniu z działalności nie mogłaby być różnicowana w dostosowaniu do stanu faktycznego stwierdzonego podczas badania.

W akapicie Prawidłowość prowadzenia ksiąg rachunkowych w razie pozytywnej (bez uwag) oceny prawidłowości prowadzenia ksiąg rachunkowych możliwe wydaje się dwojakie podejście do sposobu formułowanej opinii:

  • zapewnienie o racjonalnej pewności:

„Naszym zdaniem przeprowadzone badanie pozwala stwierdzić, że księgi rachunkowe…, stanowiące źródło danych prezentowanych w załączonym sprawozdaniu finansowym za rok…, prowadzone były prawidłowo, spełniając wymogi określone w rozdz. 2 ustawy o rachunkowości”,

  • zapewnienie o ograniczonej pewności:

„Naszym zdaniem przeprowadzone badanie prawidłowości prowadzenia ksiąg rachunkowych, stanowiących źródło danych prezentowanych w załączonym sprawozdaniu finansowym… za rok…, nie wykazało istotnych odstępstw od wymogów określonych w rozdz. 2 ustawy o rachunkowości”.

Pożądane byłoby, gdyby PIBR i PANA zechciały wyrazić w tej sprawie swój pogląd.

W przypadku gdy biegły rewident uzna za konieczne zgłoszenie uwag do prawidłowości prowadzenia ksiąg rachunkowych, może on:

a) uzupełnić zapewnienie (jw.) o objaśnienie;

b) w razie istotnych uwag do prawidłowości elementów określających łącznie prawidłowość prowadzenia ksiąg rachunkowych wprowadzić do akapitu Prawidłowość prowadzenia ksiąg rachunkowych modyfikację opinii w postaci zastrzeżenia (na przykładzie zapewnienia o racjonalnej pewności):

„Naszym zdaniem przeprowadzone badanie pozwala stwierdzić, że księgi rachunkowe…, stanowiące źródło danych prezentowanych w sprawozdaniu finansowym za rok…, prowadzone były prawidłowo, spełniając wymogi określone w rozdz. 2 ustawy o rachunkowości, z wyjątkiem niedociągnięcia/uchybienia polegającego na… (ze wskazaniem jego skutków)”;

c) w razie wielu istotnych uwag (np. dotyczących kontroli i zabezpieczeń) może się zdecydować na wydanie opinii negatywnej o prawidłowości prowadzenia ksiąg rachunkowych, zamieszczając, np. następujący tekst:

„Przeprowadzone badanie, naszym zdaniem, wykazało, że księgi rachunkowe…, stanowiące źródło danych prezentowanych w załączonym sprawozdaniu finansowym za rok…, nie były prowadzone prawidłowo, gdyż nie spełniają wymogów określonych w rozdz. 2 ustawy o rachunkowości”;

    • jednocześnie biegły powinien uzasadnić negatywną opinię, wyjaśniając, na czym polegają uchybienia i jakie są ich skutki.

W mojej praktyce tylko raz spotkałam się z odmową wyrażenia opinii o prawidłowości prowadzenia ksiąg rachunkowych; było to spowodowane atakiem hakerskim na księgi rachunkowe, w wyniku którego nie można było ich odtworzyć ze względu na znaczne błędy sposobu archiwizacji. W takim i podobnych przypadkach, kiedy nie można się odnieść do ksiąg rachunkowych, właściwa wydaje się odmowa wyrażenia opinii o prawidłowości prowadzenia ksiąg rachunkowych. Jej treść mogłaby brzmieć:

„Nie wyrażamy opinii o prawidłowości prowadzenia ksiąg rachunkowych, gdyż nie byliśmy w stanie uzyskać wystarczających i odpowiednich dowodów badania, które stanowiłyby podstawę opinii.

Jest to spowodowane tym, że serwery, na których umieszczone były księgi rachunkowe, poddane zostały atakowi hakerskiemu, w wyniku którego uległy nieodwracalnemu zniszczeniu.

Jednostka nie ma archiwum ksiąg rachunkowych i dokumentów stanowiących w nich podstawę zapisów za okres od… do końca badanego roku. Na skutek tego nie było możliwe sprawdzenie poprawności prowadzenia ksiąg rachunkowych. Opisane okoliczności wskazują zarazem na brak prawidłowych procedur zabezpieczających dostęp do ksiąg oraz bezpieczną archiwizację”.

Na ogół w przypadku opinii negatywnej lub odmowy wyrażenia opinii o prawidłowości prowadzenia ksiąg nastąpi prawdopodobnie wyrażenie analogicznej opinii o sf.

Natomiast opinia z zastrzeżeniami co do prawidłowości prowadzenia ksiąg nie musi wywierać bezpośredniego wpływu na opinię o sf, choć z całą pewnością skłoni biegłego rewidenta do zwiększenia zakresu badania, aby uzyskać racjonalną pewność o słuszności opinii o sf.

Moim zdaniem – niezależnie od rodzaju opinii nt. prawidłowości prowadzenia ksiąg o wykrytych słabościach systemu informatycznego – celowe jest poinformowanie o tym zarządu odrębnym pismem. Zwiększy to przydatność badania sf.

Wyświetlono 0% artykułu
Aby odblokować pełną treść

Kup dostęp do tego artykułu

Cena dostępu do pojedynczego artykułu tylko 12,30

Kup abonament

Abonamenty on-line Prenumeratorzy Członkowie SKwP
miesiąc 71,00
kwartał 168,00
pół roku 282,00
rok 408,00

Kup teraz

Bezpłatny dostęp do tego artykułu i ponad 3500 innych, dla prenumeratorów miesięcznika „Rachunkowość".

Pomoc w uzyskaniu dostępu:

15% rabat na wszystkie zakupy. Zapytaj o kod w swoim Oddziale.

Dodaj kod tutaj

Stowarzyszenie Księgowych w Polsce jest organizacją, do której należy ponad 26 000 księgowych, a członkostwo wiąże się z licznymi korzyściami.

Dołącz do nas

„Rachunkowość” - od 75 lat źródło rzetelnej wiedzy!

Zamknij

Skróty w artykułach

akty prawne, standardy i interpretacje:
  • dyrektywa 112 – dyrektywa Rady 2006/112/WE z 28.11.2006 r. w sprawie wspólnego systemu podatku od wartości dodanej (DzUrz UE L 347 z 11.12.2006 r.)
  • dyrektywa 2013/34/UE – dyrektywa Parlamentu Europejskiego i Rady 2013/34/UE z 26.06.2013 r. w sprawie rocznych sprawozdań finansowych, skonsolidowanych sprawozdań finansowych i powiązanych sprawozdań niektórych rodzajów jednostek (...) (DzUrz UE L 182 z 29.06.2013 r.)
  • Kc – ustawa z 23.04.1964 r. Kodeks cywilny (DzU z 2023 r. poz. 1610)
  • KIMSF – interpretacje Komitetu ds. Interpretacji Międzynarodowej Sprawozdawczości Finansowej
  • Kks – ustawa z 10.09.1999 r. Kodeks karny skarbowy (DzU z 2023 r. poz. 654)
  • Kp – ustawa z 26.06.1974 r. Kodeks pracy (DzU z 2023 r. poz. 1465)
  • Kpc – ustawa z 17.11.1964 r. Kodeks postępowania cywilnego (DzU z 2023 r. poz. 1550)
  • Ksh – ustawa z 15.09.2000 r. Kodeks spółek handlowych (DzU z 2022 r. poz. 1467)
  • KSR – Krajowe Standardy Rachunkowości
  • MSR – Międzynarodowe Standardy Rachunkowości (ang. International Accounting Standards) wydawane od 2002 r. jako MSSF
  • MSSF – Międzynarodowe Standardy Sprawozdawczości Finansowej (ang. International Financial Reporting Standards)
  • Op – ustawa z 29.08.1997 r. Ordynacja podatkowa (DzU z 2023 r. poz. 2383)
  • Ppsa – ustawa z 30.08.2002 r. Prawo o postępowaniu przed sądami administracyjnymi (DzU z 2023 r. poz. 1634)
  • rozporządzenie o instrumentach finansowych – rozporządzenie Ministra Finansów z 12.12.2001 r. w sprawie szczegółowych zasad uznawania, metod wyceny, zakresu ujawniania i sposobu prezentacji instrumentów finansowych (DzU z 2017 r. poz. 277)
  • rozporządzenie o konsolidacji – rozporządzenie Ministra Finansów z 25.09.2009 r. w sprawie szczegółowych zasad sporządzania przez jednostki inne niż banki, zakłady ubezpieczeń i zakłady reasekuracji skonsolidowanych sprawozdań finansowych grup kapitałowych (DzU z 2017 r. poz. 676)
  • rozporządzenie składkowe – rozporządzenie Ministra Pracy i Polityki Socjalnej z 18.12.1998 r. w sprawie szczegółowych zasad ustalania podstawy wymiaru składek na ubezpieczenia emerytalne i rentowe (DzU z 2023 r. poz. 728)
  • rozporządzenie z 13.09.2017 r. – rozporządzenie Ministra Rozwoju i Finansów w sprawie rachunkowości oraz planów kont dla budżetu państwa, budżetów jednostek samorządu terytorialnego, jednostek budżetowych, samorządowych zakładów budżetowych, państwowych funduszy celowych oraz państwowych jednostek budżetowych mających siedzibę poza granicami Rzeczypospolitej Polskiej (DzU z 2020 r. poz. 342)
  • specustawa – ustawa z 2.03.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (tekst jedn. DzU z 2023 r. poz. 1327)
  • uobr – ustawa z 11.05.2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (DzU z 2023 r. poz. 1015)
  • uor – ustawa z 29.09.1994 r. o rachunkowości (DzU z 2023 r. poz. 120)
  • updof – ustawa z 26.07.1991 r. o podatku dochodowym od osób fizycznych (DzU z 2022 r. poz. 2647)
  • updop – ustawa z 15.02.1992 r. o podatku dochodowym od osób prawnych (DzU z 2022 r. poz. 2587)
  • upol – ustawa z 12.01.1991 r. o podatkach i opłatach lokalnych (DzU z 2023 r. poz. 70)
  • US GAAP – Amerykańskie Standardy Rachunkowości (ang. Generally Accepted Accounting Principles)
  • ustawa akcyzowa – ustawa z 6.12.2008 r. o podatku akcyzowym (DzU z 2023 r. poz. 1542)
  • ustawa emerytalna – ustawa z 17.12.1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (DzU z 2023 r. poz. 1251)
  • ustawa KAS – ustawa z 16.11.2016 r. o Krajowej Administracji Skarbowej (DzU z 2023 r. poz. 615)
  • ustawa o KRS – ustawa z 20.08.1997 r. o Krajowym Rejestrze Sądowym (DzU z 2023 r. poz. 685)
  • ustawa o PCC – ustawa z 9.09.2000 r. o podatku od czynności cywilnoprawnych (DzU z z 2023 r. poz. 170)
  • ustawa o VAT – ustawa z 11.03.2004 r. o podatku od towarów i usług (DzU z 2023 r. poz. 1570)
  • ustawa o zfśs – ustawa z 4.03.1994 r. o zakładowym funduszu świadczeń socjalnych (DzU z 2023 r. poz. 998)
  • ustawa zasiłkowa – ustawa z 25.06.1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (DzU z 2022 r. poz. 1732)
  • ustawa zdrowotna – ustawa z 27.08.2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (DzU z 2022 r. poz. 2561)
  • usus – ustawa z 13.10.1998 r. o systemie ubezpieczeń społecznych (DzU z 2023 r. poz. 1230)
  • uzpd – ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne
  • Założenia koncepcyjne MSSF Założenia koncepcyjne sprawozdawczości finansowej (Conceptual Framework for Financial Reporting)
pozostałe skróty:
  • CEIDG – Centralna Ewidencja i Informacja o Działalności Gospodarczej
  • EOG – Europejski Obszar Gospodarczy
  • FEP – Fundusz Emerytur Pomostowych
  • FGŚP – Fundusz Gwarantowanych Świadczeń Pracowniczych
  • FP – Fundusz Pracy
  • FS – Fundusz Solidarnościowy
  • IASB – Rada Międzynarodowych Standardów Rachunkowości
  • IS – izba skarbowa
  • KAS – Krajowa Administracja Skarbowa
  • KIS – Krajowa Informacja Skarbowa
  • KNF – Komisja Nadzoru Finansowego
  • KRBR – Krajowa Rada Biegłych Rewidentów
  • KRS – Krajowy Rejestr Sądowy
  • KSB – Krajowe Standardy Badania
  • MF – Minister Finansów
  • MPiPS – Minister Pracy i Polityki Społecznej
  • MRiF – Minister Rozwoju i Finansów
  • MRiPS – Minister Rodziny i Polityki Społecznej
  • MSiG – Monitor Sądowy i Gospodarczy
  • NSA – Naczelny Sąd Administracyjny
  • PANA – Polska Agencja Nadzoru Audytowego
  • PIBR – Polska Izba Biegłych Rewidentów
  • PKD – Polska Klasyfikacja Działalności
  • pkpir – podatkowa księga przychodów i rozchodów
  • PPK – pracownicze plany kapitałowe
  • RM – Rada Ministrów
  • SA – sąd apelacyjny
  • sf – sprawozdanie finansowe
  • skok – spółdzielcza kasa oszczędnościowo-kredytowa
  • SN – Sąd Najwyższy
  • SO – sąd okręgowy
  • TK – Trybunał Konstytucyjny
  • TSUE – Trybunał Sprawiedliwości Unii Europejskiej
  • UCS – urząd celno-skarbowy
  • UE – Unia Europejska
  • US – urząd skarbowy
  • WDT – wewnątrzwspólnotowa dostawa towarów
  • WNT – wewnątrzwspólnotowe nabycie towarów
  • WSA – wojewódzki sąd administracyjny
  • zfśs – zakładowy fundusz świadczeń socjalnych
Skróty w tekście
Przeczytaj też:

Zagrożenia etyczne i sposoby zabezpieczenia przed nimi – na przykładzie biegłych rewidentów regionu gdańskiego
Artykuł jest głosem w dyskusji o znaczeniu etyki w zawodzie biegłego rewidenta, próbą identyfikacji zagrożeń etycznych, na jakie narażeni są polscy biegli rewidenci, a także wskazania sposobów im przeciwdziałania.

Pierwsze lata trzeciego tysiąclecia mogą przejść do historii jako dekada skandali księgowych i biznesowych. Ujawniono wówczas wiele nieprawidłowości związanych ze sprawozdawczością finansową w takich korporacjach, jak Enron, HealthSouth, WorldCom, Countrywide Financial, Barclays Bank i SNC-Lavalin, co spowodowało spadek zaufania do sprawozdań finansowych (sf) badanych przez znane firmy audytorskie.

⇒ czytaj dalej ⇐

Rynek firm audytorskich – trendy w 2021 r.
Po analizie danych elektronicznych sprawozdań rocznych firm audytorskich za ubiegły rok PANA poinformowała o głównych trendach na rynku usług rewizji finansowej.

Publikacja na ten temat ukazała się pod koniec kwietnia 2022 r. na stronie internetowej PANA. Dzięki niej biegli rewidenci i firmy audytorskie (FA) mogą uzyskać szerszy obraz zmian działalności tego rynku w latach 2020 i 2021.

⇒ czytaj dalej ⇐

Zakres kontroli jakości usług świadczonych przez firmę audytorską
Uobr posługuje się pojęciami typu „usługi atestacyjne”, „czynności rewizji finansowej”, „badanie sprawozdania finansowego”.
Czy są to synonimy, czy też pojęcia te się różnią, a jeżeli tak, to na czym polegają różnice? Czy wszystkie usługi atestacyjne należy objąć systemem wewnętrznej kontroli jakości firmy audytorskiej? Od jakich przychodów nalicza się opłatę z tytułu nadzoru? 

Na wstępie warto przypomnieć, jakie rodzaje usług – w świetle przepisów prawa i regulacji zawodowych – mogą świadczyć firmy audytorskie (znaczącą część z nich wykonują biegli rewidenci w imieniu firmy audytorskiej).

Zgodnie z art. 47 uobr:

⇒ czytaj dalej ⇐

Uprawnienia biegłego rewidenta seniora
W 2021 r. wykreśliłem się z rejestru biegłych rewidentów i uzyskałem status biegłego rewidenta seniora. Zastanawiam się nad częściowym powrotem do zawodu.
Czy jako biegły rewident senior mogę przeprowadzać badania sprawozdań finansowych?

W myśl art. 19 uobr biegły rewident, który osiągnął wiek emerytalny i na swój wniosek wystąpił z samorządu biegłych rewidentów, może się posługiwać tytułem „biegły rewident senior”.

⇒ czytaj dalej ⇐

Badanie skonsolidowanego sprawozdania finansowego – wybrane zagadnienia (cz. II)
Artykuł omawia poszczególne etapy badania przez biegłego rewidenta skonsolidowanego sprawozdania finansowego, w tym dodatkową dokumentację z badania, w szczególności dotyczącą weryfikacji dokonanych korekt i wyłączeń konsolidacyjnych.

Jak już o tym była mowa w cz. I artykułu, badanie skonsolidowanego sprawozdania finansowego (ssf) można podzielić na...

⇒ czytaj dalej ⇐

Audyt wewnętrzny – od audytu tradycyjnego do nowoczesnego na przykładzie organizacji i wdrożenia audytów zwinnych (cz. III)
W kolejnym artykule z cyklu poświęconego zrozumieniu pracy komórek audytu wewnętrznego przedstawiono zastosowanie metodyk Agile, nastawionych na szybkie reagowanie na zmiany i współpracę z klientem.

Niniejszy artykuł pokazuje trendy w zakresie nowoczesnych metod prowadzenia zadań, tj. przejścia od audytu tradycyjnego do nowoczesnego na przykładzie organizacji i wdrożenia tzw. audytów zwinnych (Agile Audits). Pozwoli to biegłym rewidentom lepiej zrozumieć działanie tego obszaru w organizacji oraz zachodzące zmiany.

⇒ czytaj dalej ⇐

Badanie skonsolidowanego sprawozdania finansowego – wybrane zagadnienia (cz. I)
W artykule omówiono poszczególne etapy badania przez biegłego rewidenta skonsolidowanego sprawozdania finansowego.

Roczne skonsolidowane sprawozdanie finansowe (ssf) grupy kapitałowej podlega obowiązkowo badaniu przez biegłego rewidenta. Powinno być ono przeprowadzone tak, jak badanie jednostkowych sprawozdań finansowych (sf), zgodnie z uor (rozdz. 7) i uobr, a także krajowymi standardami badania (KSB), przez które rozumie się międzynarodowe standardy badania (MSB) przyjęte przez Krajową Radę Biegłych Rewidentów (KRBR).

⇒ czytaj dalej ⇐

Audyt wewnętrzny – tradycyjne metody działania (cz. II)
W kolejnym artykule z cyklu poświęconego zrozumieniu pracy komórek audytu wewnętrznego pokazano – w syntetycznym ujęciu – standaryzowany (tradycyjny) sposób podejścia do przeprowadzania audytów wewnętrznych, według międzynarodowych standardów praktyki zawodowej audytu wewnętrznego.

Standardy wyznaczają ramowe zasady wykonywania i upowszechniania zakresu usług audytu wewnętrznego oraz dostarczają audytorom wewnętrznym wskazówek, jak korzystać z obowiązkowych elementów standardów. Działanie audytu wewnętrznego polega na systematycznej, dokonywanej w uporządkowany sposób ocenie zarządzania ryzykiem, kontroli ładu organizacyjnego w jednostce, przyczyniając się do ich poprawy.

⇒ czytaj dalej ⇐

Przekroczenie daty sporządzenia sprawozdania finansowego – skutki dla sprawozdania z badania
Badam roczne sprawozdanie finansowe noszące datę sporządzenia (datę podpisu osoby, której powierzono prowadzenie ksiąg) kilka dni po terminie wynikającym z art. 52 ust. 1 i 2 uor.
Czy w sprawozdaniu z badania należy się odnieść do terminu podpisania sprawozdania finansowego? Jeżeli tak, to co trzeba zrobić w opisanej sytuacji?

Data sporządzenia sf (na dzień bilansowy (zgodnie z przepisami art. 12 ust. 2 oraz art. 45 ust. 1 uor)) powinna przypadać w ciągu 3-miesięcznego przedziału czasowego, licząc od dnia bilansowego, co powinno zostać zapewnione przez kierownika jednostki (art. 52 ust. 1 uor). Oznacza to, iż w przypadku roku obrotowego równego kalendarzowemu data sporządzenia powinna przypadać na dzień nie późniejszy niż 31 marca kolejnego roku obrotowego.

⇒ czytaj dalej ⇐

Audyt wewnętrzny – geneza, podstawy działania i organizacja (cz. I)
Rosnąca rola audytu wewnętrznego w ostatnich latach sprawia, że warto przyjrzeć się bliżej tej funkcji i jej organizacji w podmiocie (przedsiębiorstwie, jednostce sektora publicznego).

Dobre Praktyki 2021 (zawarte w nich zasady) dzielą się na sześć grup, przy czym grupę trzecią poświęcono tzw. systemom i funkcjom wewnętrznym spółki jako nieodzownym narzędziom sprawowania nad nią nadzoru. Składają się na nie głównie kontrola wewnętrzna, zarządzanie ryzykiem, nadzór zgodności działalności z prawem (compliance), a także skuteczna funkcja audytu wewnętrznego. Oczywiście systemy te i funkcje powinny być dostosowane do wielkości spółki oraz rodzaju i skali działalności. Za ich działanie odpowiada zarząd. Natomiast rada nadzorcza monitoruje ich skuteczność, m.in. na podstawie dostarczanych okresowo sprawozdań, przygotowanych przez osoby odpowiedzialne za te systemy i funkcje oraz przez zarząd spółki. Monitorowanie może być powierzone komitetowi audytu wyodrębnionemu w ramach rady nadzorczej. Nie zwalnia to jednak rady nadzorczej od dorocznej oceny skuteczności funkcjonowania tych systemów i funkcji.

⇒ czytaj dalej ⇐
Stowarzyszenie
Księgowych w Polsce
Najbliższe szkolenia on-line
16.07.2025 Krajowy system e-faktur od 1 lutego 2026 r. na ostatniej prostej – co należy zrobić już dzisiaj! SKwP Gorzów Wielkopolski, SKwP Kielce, SKwP Poznań, SKwP Szczecin, SKwP Włocławek
17.07.2025 Cykl prawa pracy dla pracowników – Wynagrodzenia za pracę SKwP Gdańsk, SKwP Koszalin, SKwP Radom
17.07.2025 Dokumentacja pracownicza od A do Z SKwP Katowice
17.07.2025 Likwidacja spółek kompleksowo – procedury, rachunkowość, podatki SKwP Warszawa
17.07.2025 Ochrona sygnalistów – wdrożenie procedur wewnętrznych w praktyce (wraz z omówieniem przykładowych wzorów dokumentacji) SKwP Warszawa
17.07.2025 Podatek WHT – zrozumieć podatek u źródła – 6 godzin dydaktycznych SKwP Warszawa
17.07.2025 Ceny transferowe od podstaw SKwP Legnica
Kursy dla księgowych
Rachunkowość 4/2025
Przegląd aktualności