Coraz częściej słychać o zniszczonych po atakach cyberprzestępców danych z systemów finansowo-księgowych. Może to być przeszkodą do sporządzenia lub badania sprawozdania finansowego.
DGP
Firmy często źle zabezpieczają swoje dane i nie tworzą kopii zapasowych. Co prawda księgowy i kierownik jednostki nie odpowiada za zhakowanie ksiąg, ale trzeba pamiętać, że za ich brak już tak. Wówczas bowiem nie można mówić, że są one prowadzone rzetelnie i prawidłowo. W takiej sytuacji trzeba próbować odzyskać ewidencję, a jeżeli jest to niemożliwe, to odtworzyć ją z wykorzystaniem dowodów źródłowych. Jest to niezwykle ważne, bo jeżeli nie uda się odzyskać ksiąg, to jednostka nie może wypełnić swoich obowiązków sprawozdawczych. [opinia]

opinia eksperta

Bezpieczeństwo to podstawa

dr Katarzyna Trzpioła specjalista ds. finansów i rachunkowości, Wydział Zarządzania UW
Księgi rachunkowe powinny być prowadzone w taki sposób, aby były chronione przed zagrożeniami. Taki nakaz wynika wprost z przepisów prawa bilansowego – dokładnie art. 71 ust. 1 ustawy o rachunkowości wskazuje, iż przy prowadzeniu ksiąg rachunkowych przy użyciu komputera ochrona danych powinna polegać na stosowaniu odpornych na zagrożenia nośników danych, na doborze stosownych środków ochrony zewnętrznej, na systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na informatycznych nośnikach danych, pod warunkiem zapewnienia trwałości zapisu informacji systemu rachunkowości, przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, oraz na zapewnieniu ochrony programów komputerowych i danych systemu informatycznego rachunkowości, poprzez stosowanie odpowiednich rozwiązań programowych i organizacyjnych, chroniących przed nieupoważnionym dostępem lub zniszczeniem. Jeśli system ochrony zbiorów danych rachunkowości, utrwalonych na informatycznych nośnikach danych, nie spełnia wymagań określonych w art. 71 ust. 2, zapisy te powinny być wydrukowane w terminach przewidzianych w art. 13 ust. 6 u.r. (lub jak uzupełnia art. 72 ust. 3 u.r. – przechowywane na innym nośniku pod warunkiem zapewnienia odtworzenia ksiąg w formie wydruków). Dopuszczenie do utraty ksiąg rachunkowych – zakładam niezawinione – to ogromne problemy dla jednostki i przede wszystkim jej kierownika, który jest za to odpowiedzialny. To ogrom pracy dla służb finansowo-księgowych. Po utracie ksiąg nie można rozpocząć „od nowa”. Jednostka ma historię, z której wynikają konsekwencje dla dnia dzisiejszego – nie tylko podatkowe (dotyczące ostatnich 5 lat), ale też wynikające z rozrachunków z dostawcami (żądania zapłaty, problemy z dokonywaniem zapłaty we właściwy sposób). W takich okolicznościach często też odbiorcy unikają płatności, a jednostka, która nie ma informacji, kto zapłacił, a kto nie, ma często problem z odzyskaniem kwot. Samo powtórne dokonywanie zapisów przy założeniu, że nawet najmniejsze jednostki mają po kilkaset operacji miesięcznie, a utracone zostały dane za kilka miesięcy czy lat, uświadamia, jak wielkie wyzwanie jest przed jednostką. Jeśli są dokumenty źródłowe, księgi rachunkowe należy odtworzyć, dokonując ponownych w nich zapisów, ale pamiętać trzeba, że dziś bardzo duża część operacji jest ujmowana na podstawie algorytmów ujętych w oprogramowaniu księgowym. Utrata tych zapisów wiąże się też z koniecznością ich odtworzenia. Jeśli utracone zostają dokumenty źródłowe – problem narasta.
Problemy podatkowe, które przy tej okazji się też pojawią (księgi rachunkowe to księgi podatkowe, czyli podstawa do rozliczeń z tytułu różnych podatków), niewyobrażalna ilość dodatkowej pracy, jaka się wiąże z odtwarzaniem danych – świadomość tych zagrożeń powinna skłonić kierowników jednostki do tego, aby naprawdę zadbali o bezpieczeństwo danych w postaci ksiąg rachunkowych. Nie tylko tworzenie kopii zapisów, ale też przechowywanie ich w taki sposób, aby były zabezpieczone na różne okoliczności, jest jedynym sposobem na ochronę.

Naruszenie przepisów

Doktor Agnieszka Baklarz, biegła rewident, wyjaśnia, że w przypadku jakiegokolwiek uszkodzenia lub braku możliwości użycia ksiąg rachunkowych mamy do czynienia z naruszeniem przepisów ustawy o rachunkowości (dalej: u.r.), które dotyczą:
  • działania skutecznych kontroli, zapewnienia ochrony danych źródłowych (art. 20 ust. 5 u.r.),
  • istnienia procedur zabezpieczających przed zniszczeniem, modyfikacją lub ukryciem zapisu (art. 23 ust. 1 u.r.),
  • kontroli kompletności zbiorów oraz parametrów przetwarzania danych (art. 24 ust. 4 pkt 3),
  • ochrony danych przez stosowanie odpowiednich nośników danych, środków ochrony zewnętrznej, tworzenie rezerwowych kopii zbiorów danych, zapewnienie ochrony programów komputerowych i danych systemu informatycznego chroniących przed nieupoważnionym dostępem lub zniszczeniem (art. 71 ust. 2 u.r.),
  • przechowywania zbiorów na nośnikach danych przez określony czas (art. 72 u.r.).
Problem, jak wskazuje ekspertka, dotyczy też rozliczeń podatkowych. W takim przypadku nie można mówić o rzetelności i niewadliwości ksiąg rachunkowych, czego wymagają przepisy ordynacji podatkowej (art. 193 par. 1‒3). Nie ma możliwości wygenerowania poprawnych plików podatkowych na żądanie urzędu skarbowego (JPK_KR, JPK_FA, JPK_WB, JPK_MAG). Agnieszka Baklarz radzi, aby atak hakerski zgłosić na policję. Wprawdzie nie pomoże to ująć sprawcy, bo trudno jest zidentyfikować taką osobę, ale sporządzony protokół pomoże w kontaktach z fiskusem. – Spotkałam się z sytuacjami, że urząd skarbowy dawał podatnikowi czas na odtworzenie ksiąg – mówi ekspertka.

Brak opinii

Po ataku hakerskim mogą być też problemy przy badaniu przez biegłego rewidenta. Jeżeli nawet przed atakiem przedsiębiorcy udało się sporządzić roczny raport, ale księgi przepadły, audytor będzie miał problem z wystawieniem opinii. ‒ Biegły rewident w sprawozdaniu z badania zgodnie z art. 64 u.r. musi wypowiedzieć się również co do prawidłowości ksiąg rachunkowych, na podstawie których został sporządzony roczny raport (art. 83 ust. 3 pkt 8, ust. 6 pkt 1 ustawy o biegłych rewidentach) – wyjaśnia Agnieszka Baklarz. Dodaje, że jeśli księgi rachunkowe zostaną zhakowane i nie będzie możliwości ich odzyskania (czyli nastąpi naruszenie art. 71 ust. 2 oraz art. 72 u.r.), to biegły rewident staje przed problemem braku ksiąg rachunkowych (oraz podatkowych). ‒ Jeżeli do dnia zakończenia badania podmiot nie jest w stanie ich odzyskać lub odtworzyć, to audytor musi wydać odmowę wyrażenia opinii o prawidłowości prowadzonych ksiąg rachunkowych – wyjaśnia ekspertka. [ramka]
Wzór odmowy wyrażenia opinii o prawidłowości prowadzonych ksiąg rachunkowych ©℗
„Nie wyrażamy opinii o prawidłowości prowadzonych ksiąg rachunkowych. Wobec znaczenia sprawy opisanej w sekcji «Uzasadnienie odmowy wyrażenia opinii o prawidłowości prowadzonych ksiąg rachunkowych» nie byliśmy w stanie uzyskać wystarczających i odpowiednich dowodów badania, aby stanowiły one podstawę dla opinii z badania”.
Następnie w sekcji «Uzasadnienie odmowy wyrażenia opinii o prawidłowości prowadzonych ksiąg rachunkowych» biegły powinien wskazać ważne powody do odmowy, np.:
„Serwery, na których umieszczone były księgi rachunkowe, uległy atakowi hakerskiemu, w efekcie którego zostały w sposób nieodwracalny zniszczone. Jednostka nie posiada archiwum ksiąg rachunkowych za okres od … do końca badanego roku. W związku z tym nie było możliwe sprawdzenie poprawności prowadzenia ksiąg rachunkowych. Powyższe okoliczności wskazują również na brak prawidłowych procedur zabezpieczających dostęp do ksiąg oraz brak prawidłowych procedur archiwizacyjnych”.
Podkreśla, że może to przełożyć się również na brak opinii na temat sprawozdania finansowego. Audytor nie ma bowiem możliwości wygenerowania wszelkich zestawień, dokumentów itp. niezbędnych do zbadania ksiąg rachunkowych (w szczególności brak możliwości wygenerowania dziennika, zestawień zapisów na kontach księgowych czy też zestawienia obrotów i sald). Co istotne, taka odmowa wyrażenia opinii o sprawozdaniu finansowym uniemożliwia podjęcie prawomocnej uchwały o podziale zysku (art. 53 ust. 3 u.r.).

Dobre praktyki

Arkadiusz Skotnicki, ekspert z Polskiej Agencji Nadzoru Audytowego, tłumaczy, że ataki hakerskie zazwyczaj nie są nastawione bezpośrednio na księgi rachunkowe, ale na komputer i umieszczone tam dane. Ewidencje księgowe niszczone są niejako przy okazji.
Skoro jednak takie sytuacje już się pojawiły w praktyce, to lepiej być przygotowanym. Zwłaszcza że, jak zauważa ekspert, najbardziej wrażliwe na hakowanie są systemy operacyjne używane przez dużą liczbę przedsiębiorstw. Dodaje, że mniej popularne systemy operacyjne (np. unixowe) rzadziej podlegają atakom, ponieważ niewielka liczba osób potrafi się poruszać na tych platformach. Bezpieczeństwu nie sprzyja praca poza siedzibą firmy. Ryzyko można zmniejszyć poprzez korzystanie z bezpiecznego dostępu do internetu i używanie wirtualnej sieci prywatnej (VPN) do połączenia się z zasobami firmy.
Zdaniem Arkadiusza Skotnickiego dla ochrony ksiąg rachunkowych firmy muszą wdrożyć dobre praktyki. Przede wszystkim powinny jak najczęściej instalować aktualizacje systemu i oprogramowania, a także używać zapór, specjalistycznego oprogramowania antywirusowego oraz narzędzi blokujących i zapobiegających wyłudzaniu informacji. ‒ Dopełnieniem tego jest wykonywanie cyklicznych kopii bezpieczeństwa – podkreśla ekspert. Środki te nie gwarantują jednak 100 proc. bezpieczeństwa, dlatego najważniejsze jest wyrobienie w pracownikach odpowiednich nawyków dotyczących:
  • używania silnych haseł i cyklicznej ich zmiany,
  • nieotwierania załączników lub linków w wiadomościach dziwnego pochodzenia,
  • sprawdzania zabezpieczeń odwiedzanych stron,
  • niekorzystania z obcych nośników danych.
Arkadiusz Skotnicki podkreśla, że oprócz tradycyjnych kopii bezpieczeństwa tworzonych regularnie, warto mieć kopie w tzw. offlinie, które są odizolowane od systemu i sieci firmowej, a przechowywane np. na zewnętrznym nośniku danych. Istotna jest częstotliwość wykonywanych kopii, która przełoży się na ilość odzyskanych danych.
Podstawa prawna
• ustawa z 29 września 1994 r. o rachunkowości (t.j. Dz.U. z 2019 r. poz. 351; ost.zm. Dz.U. z 2020 r. poz. 568)
• art. 83 ust. 3 pkt 8, ust. 6 pkt 1 ustawy z 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (t.j. Dz.U. z 2020 r. poz. 1415)
• art. 193 par. 1‒3 ustawy z 29 sierpnia 1997 r. ‒ Ordynacja podatkowa (Dz.U. z 2020 r. poz. 1325; ost.zm. Dz.U. z 2020 r. poz. 1423)