Artykuł pochodzi z miesięcznika Finanse Komunalne>>>
Dane rejestrowane w strukturze rachunkowości z mocy prawa na wszystkich etapach przetwarzania muszą mieć zapewnioną integralność. To sprawa kluczowa dla pełnej realizacji zadań i funkcji stawianych przed współczesną rachunkowością. Ustawodawca obowiązek zorganizowania systemu służącego zabezpieczeniu i ochronie danych zarządzanych w strukturze rachunkowości ustanowił w przepisach ustawy o rachunkowości.
Niekontrolowany dostęp do danych i informacji zawartych w księgach rachunkowych może się skończyć negatywnymi skutkami prawnymi przewidzianymi w kodeksie karnym. Należy jednocześnie podkreślić, że brak lub dysfunkcje w dokumencie określającym przyjęte zasady rachunkowości generuje ryzyko niezgodności, które może zostać zidentyfikowane i zakwestionowane przez organy kontroli specjalistycznej. Celem artykułu jest przedstawienie wybranych kwestii dotyczących organizacji skutecznych procedur tworzących spójny system bezpieczeństwa danych ewidencjonowanych w rachunkowości.
W świetle ogólnej zasady określonej w art. 40 ustawy z 27.08.2009 r. o finansach publicznych[1] jednostki sektora finansów publicznych prowadzą rachunkowość zgodnie z przepisami ustawy z 29.09.1994 r. o rachunkowości[2]. Jest to podstawowy akt prawny stanowiący fundament dla funkcjonowania systemu rachunkowości, m.in. dla jednostek zaliczanych do sektora finansów publicznych.
Dane i ich zbiory w strukturze rachunkowości
W sektorze publicznym, podobnie jak na płaszczyźnie działalności podmiotów gospodarczych, rachunkowość oprócz czynnego uczestniczenia w pomiarze i ocenie osiągniętych rezultatów spełnia dodatkowo jeszcze wiele istotnych funkcji. Spotyka się stwierdzenia, że rachunkowość jest szczególnym systemem informacyjnym, w którym są gromadzone, przetwarzane i udostępnianie odbiorcom wewnętrznym oraz zewnętrznym w różnej formie dane dotyczące przede wszystkim: składników majątku i źródeł finansowania majątku jednostki, wpływów i wydatków środków pieniężnych, przychodów i kosztów oraz wyników i działalności jednostki[3]. Z tych też względów konieczne staje się zorganizowanie skutecznych procedur tworzących spójny system ochrony przetwarzanych informacji dający gwarancję bezpiecznego zarządzania danymi w systemie rachunkowości. Chodzi tu przede wszystkim o zapewnienie integralności danych rejestrowanych, przechowywanych i poddawanych dalszej ekspedycji w systemie informatycznym. Zapewnienie integralności danych może nastąpić poprzez przyjęcie w jednostce polityki bezpieczeństwa informacji, dzięki której zostaną ograniczone możliwości do nieupoważnionego dostępu, zniszczenia czy nieuprawnionej modyfikacji informacji. Zdaniem Krzysztofa Czerwińskiego informacje mogą być przetwarzane w systemach, które spełniają warunki określone przez przepisy prawa oraz opisane w polityce bezpieczeństwa informacji[4].
Wspomniana ustawa o rachunkowości tak istotną problematykę, jaką jest przechowywanie, zabezpieczenie i ochrona danych przetwarzanych w różnej formie w systemie rachunkowości, określiła w oddzielnym rozdziale zatytułowanym „Ochrona danych”. Ustawodawca w treści art. 71 u.r. jednoznacznie określił, w jaki sposób należy postępować ze zbiorami ulokowanymi w strukturze rachunkowości. Regulacje tej ustawy wskazują, że pełne realizowanie funkcji rachunkowości wiąże się także z odpowiednim zorganizowaniem i konsekwentnym respektowaniem przyjętych rozwiązań dotyczących ochrony danych tworzących zbiory w rachunkowości. W świetle ustawy o rachunkowości zbiory danych należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem. Odpowiedzialność za realizację tych obowiązków ponosi kierownik jednostki.
Przepisy prawa bilansowego wskazują, jakie elementy w systemie rachunkowości tworzą zbiory, które podlegają ochronie przed zniszczeniem, uszkodzeniem itp. Na pierwszym miejscu należy wymienić wewnętrzny akt kreujący działanie systemu rachunkowości, tj. zasady (politykę) rachunkowości. Posiadanie tej dokumentacji jest obligatoryjne, gdyż stanowi ona swoiste podłoże – plan do rejestracji zdarzeń gospodarczych oraz ich poddawania dalszej modyfikacji na potrzeby czerpania użytecznej informacji z systemu rachunkowości. Ochronie podlega także zasadniczy produkt rachunkowości, jakim jest sprawozdanie finansowe. Z uwagi na fakt, że stanowi ono integralną część rachunkowości, którego celem jest prezentacja danych liczbowych wynikających z ewidencji księgowej w przekrojach potrzebnych do kontroli, oceny i statystyki gospodarczej, powinno być odpowiednio chronione przed niedozwolonymi zmianami[5]. Do elementów objętych ochroną należy dodać także dowody księgowe stwierdzające dokonanie operacji gospodarczej, stanowiące przez to podstawę rejestracji w urządzeniach księgowych. Co więcej, szczególną ochroną muszą zostać objęte także dokumenty wytworzone w procesie okresowej konfrontacji stanu składników majątku w drodze inwentaryzacji. Przede wszystkim należy wskazać wytyczne kształtujące zasady, tryb i organizację przeprowadzania procesu inwentaryzacji, a więc wewnętrzne procedury – instrukcje, zarządzenia oraz pozostałe dokumenty dotyczące już fazy realizacji spisu składników, czyli arkusze spisu z natury, pisemne uzgodnienie salda. Przed nieuprawnioną ingerencją należy chronić również pisemne zbiory poświadczające czynności w zakresie rozliczenia inwentaryzacji, np. protokoły, opinie lub oświadczenia, które zostały sporządzone na okoliczność ewentualnych różnic.
W obecnych czasach dużego znaczenia nabiera ochrona danych – zbiorów przy prowadzeniu ksiąg rachunkowych z wykorzystaniem systemów informatycznych. Z uwagi choćby na to, że współczesne systemy informacyjne są oparte na elektronicznej technice obliczeniowej, która stwarza praktycznie nieograniczone możliwości szybkiego przepływu informacji[6].
Poza tym istnieje jeszcze kilka dodatkowych powodów, dla których bezpieczeństwo zarządzanych i przechowywanych danych w formie elektronicznej ma istotne znaczenie w bieżącym działaniu każdego podmiotu. Można tu wymieć możliwość posługiwania się historycznymi zbiorami danych na etapie planowania finansowego, a także szeroki wybór zbiorów wykorzystywanych do przeprowadzania analiz ekonomiczno-finansowych w różnych okresach. Odnośnie do ochrony danych w środowisku informatycznym art. 71 ust. 2 u.r. stanowi, że przy prowadzeniu ksiąg rachunkowych z użyciem komputera ochrona danych powinna polegać na stosowaniu odpornych na zagrożenia nośników danych, na doborze stosownych środków ochrony zewnętrznej, na systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na informatycznych nośnikach danych, pod warunkiem zapewnienia trwałości zapisu informacji systemu rachunkowości, przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, oraz na zapewnieniu ochrony programów komputerowych i danych systemu informatycznego rachunkowości, poprzez stosowanie odpowiednich rozwiązań programowych i organizacyjnych chroniących przed nieupoważnionym dostępem lub zniszczeniem.
Artykuł pochodzi z miesięcznika Finanse Komunalne>>>
@page_break@
Artykuł pochodzi z miesięcznika Finanse Komunalne>>>
W przypadku gdy system ochrony danych, które zostały utrwalone na informatycznych nośnikach, nie spełni wymagań określonych w treści art. 72 ust. 2 u.r., istnieje obowiązek wydrukowania tych zapisów nie później niż na koniec roku obrotowego (art. 13 ust. 6 u.r.). Regulacje ustawy o rachunkowości dopuszczają możliwość przechowywania ksiąg rachunkowych na innym nośniku, lecz pod warunkiem zapewnienia odtworzenia ksiąg w formie wydruków. Podobne warunki wynikają z treści pisma Generalnego Inspektora Nadzoru Bankowego z 27.04.1996 r. (NB/ZIP/372/96), zgodnie z którym zapisy księgowe z magnetycznych nośników powinny być wydrukowane lub przeniesione na nośniki trwałe, w terminach przewidzianych w ustawie. Takie działania wpisują się w system ochrony danych i zarządzania bezpieczeństwem informacji.
W przypadku gdy księgi rachunkowe są prowadzone przy wykorzystaniu serwera znajdującego się poza siedzibą jednostki prowadzącej księgi rachunkowe, to uznaje się je za prowadzone prawidłowo, jeśli – z punktu widzenia ochrony i archiwizowania danych – są spełnione następujące warunki:
– jednostka sprawuje kontrolę nad księgami rachunkowymi oraz dokonanymi w nich zapisami,
– dane ksiąg rachunkowych są skutecznie chronione przed niedozwolonymi zmianami, nieupoważnionym dostępem, uszkodzeniem lub zniszczeniem,
– jednostka dysponuje wydrukiem ksiąg rachunkowych za okresy zamknięte lub ma zapisaną ich treść na innym trwałym nośniku komputerowym dostępnym i możliwym do odczytu w miejscu prowadzenia ksiąg rachunkowych przez jednostkę, przez czas nie krótszy od wymaganego na przechowanie ksiąg rachunkowych (5 lat)[7].
Przetwarzanie danych osobowych w księgach rachunkowych
Problematyka ochrony danych osobowych została uregulowana w ustawie z 29.08.1997 r. o ochronie danych osobowych[8]. W świetle tej regulacji prawnej za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Według art. 6 ust. 2 u.o.d.o. osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Natomiast z bogatego orzecznictwa sądów administracyjnych wynika, że „za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Do informacji takich z pewnością należy także informacja o posiadaniu konta bankowego przez zindywidualizowaną osobę. Taka informacja pozwala na identyfikację właściciela konta z uwagi na dane osobowe zawarte w umowie o otwarcie konta bankowego. Podobny charakter ma też podanie wysokości zgromadzonych wkładów, gdyż informacja taka identyfikuje cechy ekonomiczne właściciela konta. Jednakże czymś innym, niż wcześniej wskazane, jest informacja o niemożliwości zajęcia wierzytelności z powodu braku środków na rachunku bankowym zidentyfikowanej wcześniej osoby, której dane osobowe zostały umieszczone w tytule egzekucyjnym. Informacja o braku środków na rachunku bankowym nie służy identyfikacji ekonomicznych cech właściciela, mówi jedynie, że w tym konkretnym banku nie ma środków na pokrycie wierzytelności, co nie stanowi informacji o kondycji ekonomicznej właściciela tego konta bankowego”[9].
Z przytoczonego zakresu pojęciowego wynika, że dane, które podlegają ochronie prawnej, są także gromadzone i przetwarzane na różne potrzeby w strukturze rachunkowości. Dlatego też w odniesieniu do funkcjonowania systemu rachunkowości istotne jest wdrożenie skutecznych procedur i środków zapobiegających nieuprawnionemu dostępowi przy czynnościach związanych z przetwarzaniem tych danych. Zakres pojęciowy przetwarzania danych został określony w przepisach ustawy o ochronie danych osobowych, zgodnie z którymi są to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Ustawa normuje także pojęcie zbioru danych, wskazując, że jest to każdy mający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie. Przetwarzanie poszczególnych danych oraz zbiorów następuje w każdym z elementów tworzących księgi rachunkowe. W szczególności występuje to przy czynnościach obejmujących prowadzenie dziennika, księgi głównej, ksiąg pomocniczych, a także takiego elementu ksiąg rachunkowych, jakim jest zestawienie obrotów i sald księgi głównej oraz kont ksiąg pomocniczych. Bez wątpienia takie dane są przetwarzane także na etapie zarządzania składnikami aktywów i pasywów. Zgodnie z przepisami ustawy o rachunkowości dziennik zawiera chronologiczne ujęcie zdarzeń, jakie nastąpiły w danym okresie sprawozdawczym. Z punktu widzenia ochrony danych i ich przetwarzania jest to ważne urządzenie, gdyż dokonywane w nim zapisy następują na podstawie zatwierdzonych dowodów księgowych zawierających także dane osobowe.
Właściwe procedury ochrony danych powinny być przestrzegane podobnie przy dokonywaniu zapisów na kontach księgi głównej. Wynika to chociażby z faktu ścisłego powiązania zapisów dokonywanych na kontach księgi głównej i zapisów dziennika. Skuteczną ochronę danych należy zapewnić przy prowadzeniu kont pomocniczych. Jest to ważne, gdyż według regulacji ustawy o rachunkowości konta te zawierają zapisy będące uszczegółowieniem i uzupełnieniem zapisów kont księgi głównej. Stanowią one wyodrębniony system ksiąg, kartotek (zbiorów kont), komputerowych zbiorów danych. Zapisy na tych kontach powinny być chronione chociażby z uwagi na fakt, że są prowadzone dla: rozrachunków z pracownikami, w szczególności jako imienna ewidencja wynagrodzeń pracowników, czy też ewidencji danych dotyczących prowadzonych rozrachunków z kontrahentami. Oznacza to, że na tych kontach są rejestrowane, a następnie przetwarzane, informacje prawnie chronione. Środki ochrony należy zapewnić także w zakresie danych odzwierciedlających dokonanie operacji gotówkowych przy prowadzeniu kasy.
W świetle dyspozycji art. 23 ust. 1 u.r. przy prowadzeniu ksiąg rachunkowych przy użyciu komputera należy zapewnić właściwe procedury i środki chroniące przed zniszczeniem, modyfikacją lub ukryciem zapisu. Wybór odpowiednich procedur jest uzależniony od specyfiki jednostki, a odpowiedzialność za ich funkcjonalność i skuteczność ponosi kierownik jednostki. Celem przedmiotowych procedur jest kompleksowe zabezpieczenie danych przetwarzanych w środowisku informatycznym. W praktyce procedury muszą spełnić założone cele, tj. z jednej strony zapewnić ochronę przetwarzanych danych, a z drugiej – nie mogą w żaden sposób ograniczać działania systemu rachunkowości. Co ważne, przedmiotowe procedury muszą być elastyczne, a także w większym zakresie powinny być ukierunkowane na działania profilaktyczne obejmujące identyfikację ryzyka związanego z nieuprawnionym dostępem i przetwarzaniem danych.
Tak jak już wspomniano, ustawa o rachunkowości zobowiązuje do posiadania dokumentacji opisującej w języku polskim przyjęte przez nią zasady (politykę) rachunkowości. Należy pokreślić, że opracowanie w formie pisemnej i bieżące aktualizowanie tego dokumentu jest obligatoryjnie. Odpowiedzialność za ustalenie tej kluczowej dla działania systemu rachunkowości procedury spoczywa na kierowniku jednostki. Aby zasady (polityka) rachunkowości spełniały wszystkie kryteria ustawowe, powinny zawierać elementy dotyczące m.in. opisu systemu przetwarzania danych, a przy prowadzeniu ksiąg rachunkowych przy użyciu komputera – opisu systemu informatycznego, zawierającego wykaz programów, procedur lub funkcji, w zależności od struktury oprogramowania, wraz z opisem algorytmów i parametrów oraz programowych zasad ochrony danych, w tym w szczególności metod zabezpieczenia dostępu do danych i systemu ich przetwarzania, a ponadto określenie wersji oprogramowania i daty rozpoczęcia jego eksploatacji – co wynika z treści art. 10 ust. 1 pkt 3 lit. c u.r. Dodatkowo przepisy prawa wymagają, aby w tym dokumencie szczegółowo zostały określone także zasady działania systemu służącego ochronie danych i ich zbiorów, w tym dowodów księgowych, ksiąg rachunkowych i innych dokumentów stanowiących podstawę dokonanych w nich zapisów – stosownie do wymogów wynikających z art. 10 ust. 1 pkt 4 u.r. Brak lub niekompletne opracowanie wymienionych powyżej elementów w dokumentacji opisującej przejęte zasady (politykę) rachunkowości może skutkować zakwestionowaniem poprawności sporządzenia tego dokumentu przez przedstawicieli instytucji kontrolnych, np. Najwyższej Izby Kontroli, regionalnych izb obrachunkowych czy inspektorów Urzędu Kontroli Skarbowej.
W działalności systemu rachunkowości należy uwzględniać także wymogi dotyczące prowadzenia ksiąg rachunkowych. Otóż zgodnie z ustawą o rachunkowości powinny być one prowadzone rzetelnie, bezbłędnie, sprawdzalnie i bieżąco. Można uznać, że księgi rachunkowe są sprawdzalne, jeżeli umożliwiają stwierdzenie poprawności dokonanych w nich zapisów, stanów (sald) oraz działania stosownych procedur obliczeniowych, a w szczególności udokumentowanie zapisów w sposób pozwalający na identyfikację dowodów i sposobu ich zapisania w księgach rachunkowych na wszystkich etapach przetwarzania danych – co wynika z dyspozycji art. 24 ust. 4 pkt 1 u.r.
Generalny Inspektor Ochrony Danych Osobowych o danych osobowych
w obsłudze księgowej
W kwestii dotyczącej ochrony danych przetwarzanych przez podmiot zewnętrzny, który prowadzi obsługę księgową, stanowisko wyraził Generalny Inspektor Ochrony Danych Osobowych (GIODO). Podstawą wyrażenia przedmiotowego stanowiska było pytanie sformułowane w następujący sposób[10]: „Czy pracodawca zlecający podmiotowi zewnętrznemu prowadzenie obsługi księgowej ma również obowiązek zawarcia z nim umowy powierzenia przetwarzania danych osobowych?”. GIODO uznał, że tak, ponieważ obowiązek ten wynika z ustawy o ochronie danych osobowych, a prowadzenie dokumentacji księgowej wiąże się nierozerwalnie z przetwarzaniem danych osobowych pracowników[11]. Z treści odpowiedzi na zadane pytanie wynika, że „pracodawca udostępniając dane osobowe pracowników podmiotowi zewnętrznemu w celu prowadzenia obsługi księgowej swojej dokumentacji ma obowiązek zawrzeć z nim odrębną umowę powierzenia danych osobowych. Często bowiem pracodawca mylnie uważa, że skoro udzielił podmiotowi zewnętrznemu pełnomocnictwa do jego reprezentowania (np. przed Urzędem Skarbowym i Zakładem Ubezpieczeń Społecznych) we wszystkich sprawach związanych z prowadzeniem księgowości, to pełnomocnictwo stanowi podstawę powierzenia przetwarzania danych osobowych. Jest to sprzeczne z ustawą o ochronie danych osobowych, gdyż jej przepisy wyraźnie wymagają, aby umowa powierzenia przetwarzania danych osobowych była odrębną umową. W związku z powyższym tylko umowa zawarta na piśmie, zawierająca zakres i cel, w jakim dane osobowe będą przetwarzane, może być podstawą powierzenia przez pracodawcę innemu podmiotowi przetwarzania danych osobowych pracowników w celu prowadzenia obsługi księgowej”[12].
Artykuł pochodzi z miesięcznika Finanse Komunalne>>>
@page_break@
Artykuł pochodzi z miesięcznika Finanse Komunalne>>>
Należy podkreślić, że problematykę powierzenia danych innemu podmiotowi normuje ustawa o ochronie danych osobowych. Jak wynika z dyspozycji art. 31 ust. 1 u.o.d.o., powierzenie następuje w drodze umowy zawartej na piśmie. Podmiot nie ma dowolności w zakresie przetwarzania danych. Może on wyłącznie przetwarzać dane w zakresie i celu określonym w zawartej umowie. Warto dodać, że przed rozpoczęciem przetwarzania danych podmiot jest zobowiązany podjąć środki, które należycie zabezpieczą zbiór danych. Co ważne, podmiot przetwarzający dane musi spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych[13]. Ustawodawca w treści art. 31 ust. 3 wskazuje, że w zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
Bezpieczeństwo danych w koncepcji kontroli zarządczej
Jedną z wprowadzonych nowości w przepisach ustawy o finansach publicznych była koncepcja kontroli zarządczej w jednostkach sektora finansów publicznych. Jak wynika z uzasadnienia do rządowego projektu ustawy o finansach publicznych, dotychczasowa praktyka związana z funkcjonowaniem w przepisach pojęcia kontroli finansowej pokazuje, że jest ona utożsamiana wyłącznie z czysto finansowym aspektem działalności jednostki[14]. Zamierzeniem projektodawcy było objęcie zakresem kontroli zarządczej wszystkich aspektów działalności jednostki, a podstawowym elementem jest odpowiedzialność każdego kierownika jednostki za wdrożenie i monitorowanie takich elementów kontroli zarządczej, aby jednostka osiągała wyznaczone jej cele w sposób zgodny z prawem, efektywny, oszczędny i terminowy[15].
Otwarty katalog celów kontroli zarządczej ustawodawca przedstawił w art. 68 ust. 2 u.f.p. Wśród nich znajdują się także cele dotyczące zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi oraz efektywność i skuteczność przepływu informacji. Podstawowe wymagania odnoszące się do kontroli zarządczej zostały zawarte w Standardach kontroli zarządczej, które zostały opublikowane w komunikacie nr 23 Ministra Finansów z 16.12.2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych[16]. Standardy stanowią uporządkowany zbiór wskazówek, które osoby odpowiedzialne za funkcjonowanie kontroli zarządczej powinny wykorzystać do tworzenia, oceny i doskonalenia systemów kontroli zarządczej[17]. Owe standardy stanowią wytyczne do projektowania i wdrażania mechanizmów kontroli, przez co zostaje ograniczona możliwość wystąpienia ryzyka, w tym także ryzyka dotyczącego nieuprawnionego dostępu do danych przetwarzanych w systemach informatycznych wspomagających rejestrowanie zdarzeń gospodarczych i sporządzanie sprawozdań budżetowych i finansowych. W grupie standardów oznaczonych jako „C. Mechanizmy kontroli” sformułowano standard nr 15 – „Mechanizmy kontroli dotyczące systemów informatycznych”, zgodnie z którym należy określić mechanizmy służące zapewnieniu bezpieczeństwa danych i systemów informatycznych. Oprócz wspomnianych już wcześniej zasad (polityki) rachunkowości, ważną funkcję w kreowaniu skutecznej polityki bezpieczeństwa informacji, ochrony przechowywanych danych i ich zbiorów, zapewnienia pełnej integralności na etapie ich przetwarzania i przesyłania mogą pełnić również inne wewnętrzne regulacje. Przyjęcie przedmiotowych procedur absolutnie nie zwalnia z obowiązku opracowania i wdrożenia w jednostce zasad rachunkowości w formie pisemnej. Wynika to z faktu, że regulacje ustawy o rachunkowości wymagają, aby elementami tworzącymi zasady (politykę) rachunkowości był m.in. opis systemu przetwarzania danych, a także opis systemu służącego ochronie danych i ich zbiorów.
Przykładowe rodzaje takich procedur to[18]: zarządzanie kontami użytkowników – zakładanie, modyfikacja, usuwanie kont; zarządzanie kontami bezpieczeństwa i administratora systemu; archiwizacja danych; kryzysowe związane z incydentami bezpieczeństwa; określające, jakie grupy informacji są w organizacji przetwarzane; obieg informacji zastrzeżonych oraz procedury dotyczące przeprowadzania szkoleń z zasad postępowania w zakresie ochrony danych przetwarzanych w systemach informatycznych.
Należy zauważyć, że system ochrony danych nie obejmuje jedynie zbiorów informatycznych, a dotyczy całokształtu danych, w tym dokumentów czy szeroko rozumianych procedur realizowanych w środowisku informatycznym[19]. Dlatego aby dobrze wywiązać się z ustawowego obowiązku związanego z zapewnieniem bezpieczeństwa danych rejestrowanych, przetwarzanych, a następnie ekspediowanych w strukturze rachunkowości, warto dodatkowo wdrożyć w jednostce mechanizm kontroli obejmujący kompleksowo politykę bezpieczeństwa zarządzania danymi – informacją. Dokument ten łącznie z wymaganą przez przepisy prawa polityką rachunkowości może stanowić podstawowy mechanizm kontroli, tworząc w ten sposób spójny system kontroli zarządczej, przez co następuje identyfikacja konkretnego ryzyka w obszarze zarządzania danymi – informacją. Jednak aby wdrożone mechanizmy kontroli skutecznie spełniały swoją funkcję, tj. w odpowiednim czasie pozwoliły zidentyfikować ryzyko, a następnie zagwarantowały skierowanie go do konkretnych osób odpowiedzialnych za zarządzanie tym ryzykiem, należy przestrzegać podstawowych wytycznych określonych w standardach kontroli zarządczej. Przykładem mogą tu być wytyczne wynikające ze standardu oznaczonego nr 10 – „Dokumentowanie systemu kontroli zarządczej”, zgodnie z którym dokumentacja powinna być spójna i dostępna dla wszystkich osób, dla których jest niezbędna. Warto też pamiętać o kosztach związanymi z wdrażaniem, a następnie stosowaniem mechanizmów kontroli. Z uwagi na zasadę ukształtowaną przez regulacje ustawy o finansach publicznych, która to zobowiązuje do dokonywania wydatków publicznych w sposób celowy i oszczędny, mając jednocześnie na uwadze uzyskiwanie najlepszych efektów z danych nakładów[20], koszty wdrożenia przedmiotowych mechanizmów kontroli nie powinny być wyższe niż uzyskane dzięki nim korzyści. Przykładowa polityka zarządzania danymi (informacją) powinna określać[21]: cel i zakres polityki bezpieczeństwa, podział informacji na jawne i zastrzeżone, dostęp do informacji zastrzeżonych, zarządzanie informacjami niejawnymi, przetwarzanie informacji zastrzeżonych, wymagania dla systemów przetwarzania informacji zastrzeżonych, sytuacje kryzysowe, strukturę bezpieczeństwa informacji, obowiązki użytkowników informacji, obowiązki administratorów informacji, obowiązki administratorów bezpieczeństwa informacji oraz obowiązki administratorów systemów.
Filozofia koncepcji kontroli zarządczej w dużym skrócie sprowadza się do podejmowania działań dla zapewnienia realizacji założonych celów i zadań m.in. w sposób zgodny z prawem[22]. Chcąc zrealizować tak ogólnie sformułowany postulat w przedmiocie bezpieczeństwa danych zarządzanych w strukturze rachunkowości, za pomocą systemów informatycznych powinno się zorganizować stosowane zabezpieczenia.
Dostęp do informacji i danych przechowywanych oraz przetwarzanych w systemach informatycznych powinien być zabezpieczony m.in. poprzez[23]:
– zabezpieczenie fizyczne – dostęp do pomieszczeń powinien być nadzorowany. Dostęp do serwerowni powinien być umożliwiony tylko kilku osobom z najwyższymi uprawnieniami. Jednostka powinna mieć opracowane procedury na wypadek kradzieży lub zniszczenia sprzętu lub danych,
– zabezpieczenie logiczne – użytkownicy powinni mieć indywidualne hasła, o określonej długości i zmieniane co pewien czas, np. co 30 dni. Hasła nie powinny być udostępniane innym osobom. Dobrym rozwiązaniem dla osoby będącej administratorem danych byłoby przyjęcie zasady, zgodnie z którą jego hasło jest zmieniane częściej,
– zabezpieczenie zewnętrzne – system powinien ograniczyć dostęp użytkownikom wyłącznie do tych plików danych, do których mają uprawnienia. W jednostce powinny zostać uruchomione programy zabezpieczające przed włamaniami do systemu informatycznego, zwłaszcza do programów wspomagających prowadzenie rachunkowości. Ewentualne próby włamań powinny być na bieżąco monitorowane i informacja o nich przekazywana niezwłocznie do stosownych organów.
System funkcjonowania kontroli zarządczej powinien być poddawany monitorowaniu i ocenie. W obszarze zabezpieczenia danych w strukturze rachunkowości jedną z technik, za pomocą której możemy ocenić zgodność funkcjonowania tego procesu z przepisami prawa, jest samoocena. Zaleca się, aby była ona przeprowadzana co najmniej raz roku, a jej inicjatorem powinien być kierownik jednostki, który z mocy prawa ponosi odpowiedzialność za funkcjonowanie systemu kontroli zarządczej w jednostce. W czasie przeprowadzania samooceny poszukuje się m.in. odpowiedzi na następujące pytania[24]:
1. Czy są sporządzane kopie zapasowe danych i oprogramowania, a podstawowa dokumentacja jest przechowywana w odpowiednio zabezpieczonym miejscu?
2. Czy kopie zapasowe są przechowywane poza siedzibą w innym budynku?
3. Czy jest prowadzona ewidencja wszystkich kopi zapasowych zawierająca datę, czas i numer dysku?
4. Czy wszyscy pracownicy znają swoje obowiązki odnośnie do zabezpieczenia i poufności danych?
5. Czy systemy są wyposażone w układy do kodowania danych w celu zabezpieczenia poufnych lub szczególnie ważnych danych (np. pliki zabezpieczone hasłem)?
6. Czy system rejestruje dostęp użytkownika oraz czy ostrzega przed próbą obejścia hasła?
7. Czy menu lub profile użytkownika zostały przygotowane z myślą o konkretnym użytkowniku, zapewniając dostęp jedynie do tych danych i elementów programu, które są użytkownikowi niezbędne do pracy?
8. Czy możliwy jest dostęp ze stanowisk oddalonych (za pomocą sieci lub modemu), a jeżeli tak, to czy jest on właściwie kontrolowany przez zarządcę systemu?
Konkluzja
Przepisy nakładają na kierowników jednostek zorganizowanie systemu zapewniającego integralność danych – informacji, które są rejestrowane, a następnie przetwarzane w strukturze rachunkowości. Istnieje wiele form i narzędzi, które skutecznie zabezpieczają przed utratą integralności danych. Jedną z obligatoryjnych procedur określających m.in. zasady ochrony danych, w tym w szczególności metody zabezpieczenia dostępu do danych i systemu ich przetwarzania, jest polityka rachunkowości. Jednak aby można było uznać ją za zgodną z regulacjami prawa, obowiązkowo powinna zawierać powyżej wymienione elementy. W ramach koncepcji kontroli zarządczej istnieje możliwość wdrażania innych wewnętrznych unormowań kształtujących zasady bezpieczeństwa danych w jednostce. Zastosowanie różnego rodzaju przedsięwzięć, w tym fizycznych, informatycznych, organizacyjnych oraz innych obejmujących np. szkolenia personelu pracowniczego, przynosi dla organizacji publicznej wymierne korzyści w przedmiocie ochrony danych przetwarzanych w strukturze rachunkowości.
Artykuł pochodzi z miesięcznika Finanse Komunalne>>>
Przypisy:
[1] Ustawa z 27.08.2009 r. o finansach publicznych (tekst jedn.: Dz. U. z 2013 r. poz. 885 ze zm.), dalej: u.f.p.
[2] Ustawa z 29.09.1994 r. o rachunkowości (tekst jedn.: Dz. U. z 2013 r. poz. 330 ze zm.), dalej: u.r.
[3] P. Szczypa, Funkcje systemu rachunkowości budżetowej, w: B. Filipiak (red.), Metodyka kompleksowej oceny gospodarki finansowej jednostki samorządu terytorialnego, Warszawa 2009, s. 138.
[4] K. Czerwiński, Audyt wewnętrzny, Warszawa 2004, s. 398.
[5] Por. B. Micherda, Współczesna rachunkowość w kreowaniu wiarygodnego obrazu działalności jednostki gospodarczej, Kraków 2004, s. 121.
[6] S. Kałużny, T. Zawadzak, Kontrola gospodarcza w jednostkach budżetowych, Warszawa 1999, s. 27.
[7] G. Idzikowska, Komentarz do ustawy o rachunkowości, LEX/el. 2013.
[8] Ustawa z 29.08.1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), dalej: u.o.d.o.
[9] Wyrok NSA z 24.02.2011 r. (I OSK 653/10), LEX nr 964503.
[10] Stanowisko Generalnego Inspektora Ochrony Danych Osobowych, http://www.giodo.gov.pl.
[11] Stanowisko...
[12] Stanowisko...
[13] Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).
[14] Uzasadnienie do rządowego projektu ustawy o finansach publicznych, Druk Sejmowy nr 1181.
[15] Por. uzasadnienie do rządowego projektu...
[16] Komunikat nr 23 Ministra Finansów z 16.12.2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. MF Nr 15, poz. 84).
[17] Wstęp do „Standardów kontroli zarządczej dla sektora finansów publicznych” ogłoszonych komunikatem nr 23 Ministra Finansów.
[18] K. Czerwiński, Audyt..., s. 399.
[19] E. Walińska, Komentarz do ustawy o rachunkowości, LEX/el. 2013.
[20] Artykuł 44 ust. 3 u.f.p. oraz Standard kontroli zarządczej nr 10 – „Dokumentowanie systemu kontroli zarządczej”.
[21] K. Czerwiński, Audyt..., s. 398–399.
[22] Zakres pojęciowy i cele kontroli zarządczej zostały określone w art. 68 u.f.p.
[23] A. Kapuśniak, Egzamin na audytora wewnętrznego – pytania i odpowiedzi, Warszawa 2004, s. 240.
[24] G. Sobieszak, Z. Rola, Kontrola wewnętrzna, Warszawa 2000, s. 81.