Coraz częściej słychać o zniszczonych po atakach cyberprzestępców danych z systemów finansowo-księgowych. Może to być przeszkodą do sporządzenia lub badania sprawozdania finansowego.
ikona lupy />
DGP
Firmy często źle zabezpieczają swoje dane i nie tworzą kopii zapasowych. Co prawda księgowy i kierownik jednostki nie odpowiada za zhakowanie ksiąg, ale trzeba pamiętać, że za ich brak już tak. Wówczas bowiem nie można mówić, że są one prowadzone rzetelnie i prawidłowo. W takiej sytuacji trzeba próbować odzyskać ewidencję, a jeżeli jest to niemożliwe, to odtworzyć ją z wykorzystaniem dowodów źródłowych. Jest to niezwykle ważne, bo jeżeli nie uda się odzyskać ksiąg, to jednostka nie może wypełnić swoich obowiązków sprawozdawczych. [opinia]

opinia eksperta

Bezpieczeństwo to podstawa

dr Katarzyna Trzpioła specjalista ds. finansów i rachunkowości, Wydział Zarządzania UW
Księgi rachunkowe powinny być prowadzone wtaki sposób, aby były chronione przed zagrożeniami. Taki nakaz wynika wprost zprzepisów prawa bilansowego –dokładnie art. 71 ust. 1 ustawy orachunkowości wskazuje, iż przy prowadzeniu ksiąg rachunkowych przy użyciu komputera ochrona danych powinna polegać na stosowaniu odpornych na zagrożenia nośników danych, na doborze stosownych środków ochrony zewnętrznej, na systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na informatycznych nośnikach danych, pod warunkiem zapewnienia trwałości zapisu informacji systemu rachunkowości, przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, oraz na zapewnieniu ochrony programów komputerowych idanych systemu informatycznego rachunkowości, poprzez stosowanie odpowiednich rozwiązań programowych iorganizacyjnych, chroniących przed nieupoważnionym dostępem lub zniszczeniem. Jeśli system ochrony zbiorów danych rachunkowości, utrwalonych na informatycznych nośnikach danych, nie spełnia wymagań określonych wart. 71 ust. 2, zapisy te powinny być wydrukowane wterminach przewidzianych wart. 13 ust. 6 u.r. (lub jak uzupełnia art. 72 ust. 3 u.r. –przechowywane na innym nośniku pod warunkiem zapewnienia odtworzenia ksiąg w formie wydruków). Dopuszczenie do utraty ksiąg rachunkowych –zakładam niezawinione –to ogromne problemy dla jednostki iprzede wszystkim jej kierownika, który jest za to odpowiedzialny. To ogrom pracy dla służb finansowo-księgowych. Po utracie ksiąg nie można rozpocząć „od nowa”. Jednostka ma historię, zktórej wynikają konsekwencje dla dnia dzisiejszego –nie tylko podatkowe (dotyczące ostatnich 5 lat), ale też wynikające zrozrachunków z dostawcami (żądania zapłaty, problemy zdokonywaniem zapłaty we właściwy sposób). Wtakich okolicznościach często też odbiorcy unikają płatności, a jednostka, która nie ma informacji, kto zapłacił, akto nie, ma często problem z odzyskaniem kwot. Samo powtórne dokonywanie zapisów przy założeniu, że nawet najmniejsze jednostki mają po kilkaset operacji miesięcznie, autracone zostały dane za kilka miesięcy czy lat, uświadamia, jak wielkie wyzwanie jest przed jednostką. Jeśli są dokumenty źródłowe, księgi rachunkowe należy odtworzyć, dokonując ponownych w nich zapisów, ale pamiętać trzeba, że dziś bardzo duża część operacji jest ujmowana na podstawie algorytmów ujętych woprogramowaniu księgowym. Utrata tych zapisów wiąże się też zkoniecznością ich odtworzenia. Jeśli utracone zostają dokumenty źródłowe –problem narasta.
Problemy podatkowe, które przy tej okazji się też pojawią (księgi rachunkowe to księgi podatkowe, czyli podstawa do rozliczeń ztytułu różnych podatków), niewyobrażalna ilość dodatkowej pracy, jaka się wiąże zodtwarzaniem danych –świadomość tych zagrożeń powinna skłonić kierowników jednostki do tego, aby naprawdę zadbali o bezpieczeństwo danych wpostaci ksiąg rachunkowych. Nie tylko tworzenie kopii zapisów, ale też przechowywanie ich wtaki sposób, aby były zabezpieczone na różne okoliczności, jest jedynym sposobem na ochronę.

Naruszenie przepisów

Doktor Agnieszka Baklarz, biegła rewident, wyjaśnia, że w przypadku jakiegokolwiek uszkodzenia lub braku możliwości użycia ksiąg rachunkowych mamy do czynienia z naruszeniem przepisów ustawy o rachunkowości (dalej: u.r.), które dotyczą:
  • działania skutecznych kontroli, zapewnienia ochrony danych źródłowych (art. 20 ust. 5 u.r.),
  • istnienia procedur zabezpieczających przed zniszczeniem, modyfikacją lub ukryciem zapisu (art. 23 ust. 1 u.r.),
  • kontroli kompletności zbiorów oraz parametrów przetwarzania danych (art. 24 ust. 4 pkt 3),
  • ochrony danych przez stosowanie odpowiednich nośników danych, środków ochrony zewnętrznej, tworzenie rezerwowych kopii zbiorów danych, zapewnienie ochrony programów komputerowych i danych systemu informatycznego chroniących przed nieupoważnionym dostępem lub zniszczeniem (art. 71 ust. 2 u.r.),
  • przechowywania zbiorów na nośnikach danych przez określony czas (art. 72 u.r.).
Problem, jak wskazuje ekspertka, dotyczy też rozliczeń podatkowych. W takim przypadku nie można mówić o rzetelności i niewadliwości ksiąg rachunkowych, czego wymagają przepisy ordynacji podatkowej (art. 193 par. 1‒3). Nie ma możliwości wygenerowania poprawnych plików podatkowych na żądanie urzędu skarbowego (JPK_KR, JPK_FA, JPK_WB, JPK_MAG). Agnieszka Baklarz radzi, aby atak hakerski zgłosić na policję. Wprawdzie nie pomoże to ująć sprawcy, bo trudno jest zidentyfikować taką osobę, ale sporządzony protokół pomoże w kontaktach z fiskusem. – Spotkałam się z sytuacjami, że urząd skarbowy dawał podatnikowi czas na odtworzenie ksiąg – mówi ekspertka.

Brak opinii

Po ataku hakerskim mogą być też problemy przy badaniu przez biegłego rewidenta. Jeżeli nawet przed atakiem przedsiębiorcy udało się sporządzić roczny raport, ale księgi przepadły, audytor będzie miał problem z wystawieniem opinii. ‒ Biegły rewident w sprawozdaniu z badania zgodnie z art. 64 u.r. musi wypowiedzieć się również co do prawidłowości ksiąg rachunkowych, na podstawie których został sporządzony roczny raport (art. 83 ust. 3 pkt 8, ust. 6 pkt 1 ustawy o biegłych rewidentach) – wyjaśnia Agnieszka Baklarz. Dodaje, że jeśli księgi rachunkowe zostaną zhakowane i nie będzie możliwości ich odzyskania (czyli nastąpi naruszenie art. 71 ust. 2 oraz art. 72 u.r.), to biegły rewident staje przed problemem braku ksiąg rachunkowych (oraz podatkowych). ‒ Jeżeli do dnia zakończenia badania podmiot nie jest w stanie ich odzyskać lub odtworzyć, to audytor musi wydać odmowę wyrażenia opinii o prawidłowości prowadzonych ksiąg rachunkowych – wyjaśnia ekspertka. [ramka]
Wzór odmowy wyrażenia opinii o prawidłowości prowadzonych ksiąg rachunkowych ©℗
„Nie wyrażamy opinii o prawidłowości prowadzonych ksiąg rachunkowych. Wobec znaczenia sprawy opisanej w sekcji «Uzasadnienie odmowy wyrażenia opinii o prawidłowości prowadzonych ksiąg rachunkowych» nie byliśmy w stanie uzyskać wystarczających i odpowiednich dowodów badania, aby stanowiły one podstawę dla opinii z badania”.
Następnie w sekcji «Uzasadnienie odmowy wyrażenia opinii o prawidłowości prowadzonych ksiąg rachunkowych» biegły powinien wskazać ważne powody do odmowy, np.:
„Serwery, na których umieszczone były księgi rachunkowe, uległy atakowi hakerskiemu, w efekcie którego zostały w sposób nieodwracalny zniszczone. Jednostka nie posiada archiwum ksiąg rachunkowych za okres od … do końca badanego roku. W związku z tym nie było możliwe sprawdzenie poprawności prowadzenia ksiąg rachunkowych. Powyższe okoliczności wskazują również na brak prawidłowych procedur zabezpieczających dostęp do ksiąg oraz brak prawidłowych procedur archiwizacyjnych”.
Podkreśla, że może to przełożyć się również na brak opinii na temat sprawozdania finansowego. Audytor nie ma bowiem możliwości wygenerowania wszelkich zestawień, dokumentów itp. niezbędnych do zbadania ksiąg rachunkowych (w szczególności brak możliwości wygenerowania dziennika, zestawień zapisów na kontach księgowych czy też zestawienia obrotów i sald). Co istotne, taka odmowa wyrażenia opinii o sprawozdaniu finansowym uniemożliwia podjęcie prawomocnej uchwały o podziale zysku (art. 53 ust. 3 u.r.).

Dobre praktyki

Arkadiusz Skotnicki, ekspert z Polskiej Agencji Nadzoru Audytowego, tłumaczy, że ataki hakerskie zazwyczaj nie są nastawione bezpośrednio na księgi rachunkowe, ale na komputer i umieszczone tam dane. Ewidencje księgowe niszczone są niejako przy okazji.
Skoro jednak takie sytuacje już się pojawiły w praktyce, to lepiej być przygotowanym. Zwłaszcza że, jak zauważa ekspert, najbardziej wrażliwe na hakowanie są systemy operacyjne używane przez dużą liczbę przedsiębiorstw. Dodaje, że mniej popularne systemy operacyjne (np. unixowe) rzadziej podlegają atakom, ponieważ niewielka liczba osób potrafi się poruszać na tych platformach. Bezpieczeństwu nie sprzyja praca poza siedzibą firmy. Ryzyko można zmniejszyć poprzez korzystanie z bezpiecznego dostępu do internetu i używanie wirtualnej sieci prywatnej (VPN) do połączenia się z zasobami firmy.
Zdaniem Arkadiusza Skotnickiego dla ochrony ksiąg rachunkowych firmy muszą wdrożyć dobre praktyki. Przede wszystkim powinny jak najczęściej instalować aktualizacje systemu i oprogramowania, a także używać zapór, specjalistycznego oprogramowania antywirusowego oraz narzędzi blokujących i zapobiegających wyłudzaniu informacji. ‒ Dopełnieniem tego jest wykonywanie cyklicznych kopii bezpieczeństwa – podkreśla ekspert. Środki te nie gwarantują jednak 100 proc. bezpieczeństwa, dlatego najważniejsze jest wyrobienie w pracownikach odpowiednich nawyków dotyczących:
  • używania silnych haseł i cyklicznej ich zmiany,
  • nieotwierania załączników lub linków w wiadomościach dziwnego pochodzenia,
  • sprawdzania zabezpieczeń odwiedzanych stron,
  • niekorzystania z obcych nośników danych.
Arkadiusz Skotnicki podkreśla, że oprócz tradycyjnych kopii bezpieczeństwa tworzonych regularnie, warto mieć kopie w tzw. offlinie, które są odizolowane od systemu i sieci firmowej, a przechowywane np. na zewnętrznym nośniku danych. Istotna jest częstotliwość wykonywanych kopii, która przełoży się na ilość odzyskanych danych.
Podstawa prawna
•ustawa z 29 września 1994 r. o rachunkowości (t.j. Dz.U. z 2019 r. poz. 351; ost.zm. Dz.U. z 2020 r. poz. 568)
•art. 83 ust. 3 pkt 8, ust. 6 pkt 1 ustawy z 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (t.j. Dz.U. z 2020 r. poz. 1415)
•art. 193 par. 1‒3 ustawy z 29 sierpnia 1997 r. ‒ Ordynacja podatkowa (Dz.U. z 2020 r. poz. 1325; ost.zm. Dz.U. z 2020 r. poz. 1423)