Niemożliwe wydaje się znaleźć nawet najmniejsze przedsiębiorstwo czy instytucję, które nie korzystałyby ze wsparcia systemów informatycznych w prowadzonej działalności. Zakres, w jakim systemy są w nich wykorzystywane, zależy od wielu czynników, w szczególności od skali i rodzaju działalności. W dużych jednostkach, generujących tysiące dokumentów i przeprowadzających bardzo dużo transakcji, znaczenie takich systemów jest olbrzymie. Do systemów informatycznych codziennie wprowadzane są setki danych i setki danych są z nich generowane. Właściwie wszystkie istotne procesy, które wstępują w przedsiębiorstwach, są wspierane systemowo – począwszy od sprzedaży i zakupów, poprzez produkcję, a skończywszy na raportowaniu finansowym.

Głównie branża finansowa...

Branżą w największym stopniu opartą na działaniu systemów IT jest branża finansowa. Jednostki takie jak banki czy zakłady ubezpieczeń przetwarzają ogromne ilości danych, a z ich aplikacji korzystają jednocześnie tysiące użytkowników. Dodatkowo, aktualne dane są udostępniane na bieżąco online.

Właśnie w sektorze finansowym niezawodność używanych systemów jest szczególnie ważna. W instytucjach finansowych nawet niewielkie, chwilowe problemy z działaniem systemów mogą stać się problemami krytycznymi.

Przy tak powszechnym i rozległym wykorzystaniu systemów IT zapewnienie ich bezpieczeństwa i wiarygodności przechowywanych w nich danych oraz generowanych z nich informacji stało się kluczowym obszarem ryzyka, które musi być zabezpieczone odpowiednimi procedurami kontrolnymi.

...jest obarczona ryzykiem

W przypadku, gdy kluczowe procesy w przedsiębiorstwie przebiegają z wykorzystaniem systemów informatycznych, awaria systemu może spowodować przestoje i problemy z codzienną działalnością, która zostanie w ten sposób przerwana lub zakłócona. W przypadku sektora finansowego problemy systemowe mogą zepsuć instytucji finansowej reputację, a nawet skutkować utratą klientów.

Zakłócenia działania aplikacji wspierającej raportowanie finansowe wiążą się z ryzykiem nieprawidłowej kalkulacji podatków i opóźnień w sporządzaniu rzetelnych i prawidłowych sprawozdań finansowych.

Problemy z systemami mogą być spowodowane nieautoryzowanymi działaniami osób trzecich, byłych albo obecnych pracowników, błędami użytkowników, a czasem fizycznym uszkodzeniem infrastruktury związanym z nieprzewidzianymi okolicznościami. Możemy mieć tu do czynienia z celowymi działaniami, niedbalstwem lub błędem.

Oczywiście w dzisiejszych czasach funkcjonowanie bez systemów informatycznych nie jest możliwe, a tylko zaprzestanie ich stosowania mogłoby całkowicie wyeliminować ryzyka. Z tego względu jedyną możliwą opcją jest implementacja odpowiednich kontroli nad systemami IT, które mają na celu zredukowanie tego ryzyka do akceptowalnego, racjonalnego poziomu.

Ogólne kontrole nad systemami informatycznymi...

Minimalizowaniu ryzyka związanego z wykorzystywaniem systemów IT w działalności organizacji służą ogólne kontrole systemów działających w firmie, które należy dobrze zaplanować i zaimplementować.

Niezmiernie ważna jest racjonalność i adekwatność kontroli. Nie powinny być one nadmierne, gdyż mogłoby to spowodować spowolnienie działania organizacji i zbyt wysokie koszty. Wdrożenie nadmiernych kontroli można porównać do zalania betonem samochodu. Wprawdzie nikt go nie ukradnie, ale raczej nie da się nim jeździć.

Z drugiej strony, kontrole nie mogą być zbyt łatwe do ominięcia, aby mogły rzeczywiście skutecznie zabezpieczać przed nieautoryzowanym dostępem do danych, brakiem ciągłości działania lub innymi problemami z systemami.

...i ich weryfikacja podczas badania

Rozwój technologii informatycznych i coraz większy wpływ systemów informatycznych na księgowość i finanse spółek stawiają przed biegłymi rewidentami coraz większe wyzwania związane z badaniem sprawozdań finansowych w środowisku, które jest zaawansowane informatycznie.

Nie można wyobrazić sobie badania sprawozdania finansowego, weryfikacji procedur i kontroli w przedsiębiorstwie bez weryfikacji kontroli nad systemami informatycznymi, gdyż zarówno samo raportowanie finansowe, jak i kontrole automatyczne w procesach powiązanych z ewidencją księgową oparte są na systemach IT.

Podczas badania funkcjonowania ogólnych kontroli informatycznych testowane są procedury kontrolne dotyczące dostępu do programów i danych, zmiany systemów, ich wdrożenia i rozwoju oraz operacji komputerowych, w tym przetwarzania danych, tworzenia kopii zapasowych, rozwiązywanie problemów oraz zachowania ciągłości działania.

Najczęściej identyfikowane słabości

W toku badania, podczas testowania ogólnych kontroli informatycznych, identyfikowane są słabości systemów kontroli nad aplikacjami.

Najczęściej występującym niedociągnięciem jest brak formalnych, spisanych procedury i polityki dotyczących zarządzania systemami i ich kontrolowania oraz brak testowania istniejących procedur. Słabości te są związane z niską świadomością zarządów w zakresie tego, jak bardzo może to zaszkodzić funkcjonowaniu organizacji i zakłócić jej działanie.

Zasady rachunkowości z ustawy

Nagła, nieprzewidziana zmiana głównego księgowego może stanowić poważne wyzwanie dla jednostki, jednak tak naprawdę jest to sytuacja, nad którą można zapanować w stosunkowo krótkim czasie. Zasady rachunkowości są w zasadzie takie same dla wszystkich jednostek, systemy finansowo-księgowe działają w podobny sposób i osoba z odpowiednimi kompetencjami, wykształceniem i doświadczeniem jest w stanie zapanować nad chwilowo trudną sytuacją, nie generując przy tym żadnego zagrożenia dla ciągłości działania jednostki.

Nie da się uregulować

W przypadku służb IT sytuacja może niestety wyglądać zupełnie inaczej. Zastąpienie jednego informatyka drugim, przy braku szczegółowych pisemnych procedur i polityki IT, może być niezwykle trudne. Związane jest to z mnogością technologii, rozwiązań, bardzo szybkim postępem technologicznym oraz brakiem ustawowych unormowań, które oczywiście nie są możliwe do wprowadzenia.

Brak zastępowalności służb informatycznych można wyeliminować spisując stosowane praktyki i przenosząc wiedzę ekspercką pracowników na papier. Niestety, procedury te często nie są spisane i usystematyzowane, gdyż departamenty IT, nawet w stosunkowo dużych jednostkach, są mocno niedoinwestowane. Zarządy skupiają się na rozwoju podstawowej działalności, a dział IT, który stanowi ciche, niewidoczne wsparcie, często jest pomijany. Oczywiście dopóki w firmie nie pojawi się poważna awaria.

Sprawnie, ale nie systemowo

Standardem wśród polskich przedsiębiorstw jest średni i wysoki poziom techniczny działów IT, jednak ich poziom organizacyjny należy ocenić jako niski lub bardzo niski. Departamenty te działają sprawnie i potrafią szybko i efektywnie rozwiązać problemy techniczne, które pojawiają się w organizacji. Jednak ich głównym problemem jest brak dokumentacji zawierającej opis procedur i polityk stosowanych m.in. w sytuacjach kryzysowych w zakresie działania systemów informatycznych. Bardzo często cała wiedza o infrastrukturze informatycznej jest zgromadzona w głowie jednej osoby, co czyni ją bardzo trudną do zastąpienia.

W przypadku nieobecności tej osoby – spowodowanej wypadkiem czy po prostu zmianą pracy – może zaistnieć realne zagrożenie ciągłości działania, spowodowane brakiem detalicznych pisemnych procedur i polityk regulujących działania w systemach i opisujących infrastrukturę informatyczną oraz zasady kontroli.

Skąd płyną zagrożenia

Główne obszary ryzyka związane z systemami IT z punktu widzenia prawidłowości sprawozdania finansowego są związane z następującymi aspektami działania aplikacji:

- dostęp do programów i danych nie jest odpowiednio ograniczony i mogą one ulec modyfikacji;

- automatyczne czynności kontrolne i procedury księgowe nie są właściwie zaimplementowane w systemie;

- raporty z systemów nie są prawidłowe;

- istnieją błędy w przetwarzaniu transakcji, które przekładają się na niekompletność i brak poprawności danych finansowych;

- dane mogą ulec zgubieniu, zniszczeniu, zniekształceniu na skutek niewłaściwej migracji, konwersji, tworzenia kopii zapasowych, odzyskiwania danych lub procedur modyfikacji programów.

Komentarz eksperta

Kontrole nad systemami IT bywają oparte na doświadczeniu pojedynczych osób - Edyta Kalińska, Regionalny Partner Zarządzający BDO, Region Zachód

Dzisiejszy świat, również świat biznesu, finansów, rachunkowości i sprawozdawczości finansowej, to świat mocno zinformatyzowany. W zasadzie wszystko opiera się na systemach, dostęp do większości danych dostępem ma charakter online. Zdecydowanie jest to obszar, którego znaczenie w ostatnich latach bardzo wzrosło i nadal rośnie.

Korzystając z nowoczesnych rozwiązań i udogodnień nie zastanawiamy się nad tym, jak ważna jest odpowiednia kontrola nad aplikacjami, aby nie nastąpiła utrata danych, zakłócenie działalności operacyjnej i inne tego typu nieprzewidziane sytuacje.

Bardzo istotne jest, aby zarówno indywidualne osoby, jak i przedsiębiorcy mieli świadomość, że stosowanie systemów IT wiąże się z wysokim ryzykiem kradzieży danych, ich modyfikacji bądź wypływu wrażliwych informacji. Ryzyko to może być związane z błędem ludzkim, a czasem z celowym działaniem.

Niestety, w Polsce departamenty IT, nawet w dużych, publicznych firmach, nadal są niewielkie a wdrożone kontrole nad systemami IT są raczej nieformalne, oparte na doświadczeniu i wiedzy eksperckiej pojedynczych osób i nie mają formy usystematyzowanych, spisanych procedur.

Zarządy powinny mieć świadomość, że takie podejście generuje ryzyko występowania zjawiska „osób niezastąpionych", które – niestety, jest poważnym zagrożeniem ciągłości działania jednostki.

Działy IT powinny być doinwestowane w takim stopniu, aby miały czas na opracowanie wszystkich niezbędnych pisemnych procedur i polityk, łącznie z procedurą przekazania obowiązków i uprawnień nowej osobie, a także na testowanie zaprojektowanych rozwiązań mających na celu zachowanie ciągłości działania organizacji.