Propozycja rekomendacji dotyczącej kontroli wewnętrznej w rachunkowości w środowisku informatycznym

• Autorzy: Elżbieta Izabela Szczepankiewicz

Warianty tytułu

Proposals Concerning Development of Internal Control Recommendations Applicable to Accounting Systems in IT Environments

• Języki publikacji: PL

Abstrakty

Opracowanie określonych regulacji i konkretne działania to podstawowy środek do zapewnienia bezpieczeństwa zasobów informatycznych rachunkowości w jednostkach gospodarczych. Jednostki w Polsce od 1995 roku stosują się do określonych zapisów ustawy o rachunkowości w tym zakresie. Badania autorki na temat aktualnego poziomu zapewnienia bezpieczeństwa zasobów informatycznych rachunkowości w jednostkach potwierdziły, że znacznie się on różni w poszczególnych sektorach i typach badanych jednostek. W artykule przyjęto hipotezę: jednostki, które przyjęły do stosowania dodatkowe regulacje (standardy, rekomendacje) dotyczące kontroli wewnętrznej mają skuteczniejszy system kontroli wewnętrznej w rachunkowości prowadzonej w środowisku informatycznym. Na podstawie zaprezentowanych wyników badań empirycznych hipoteza ta została pozytywnie zweryfikowana, ponieważ w jednostkach, w których obowiązują dodatkowe regulacje branżowe w tym zakresie kierownictwo bardziej angażuje się w zapewnienie bezpieczeństwa zasobów informatycznych rachunkowości. Podczas badań ankietowani wskazali, że oczekują opracowania dla nich regulacji (rekomendacji, wytycznych), które pomogą im doskonalić kontrolę wewnętrzną w tym obszarze. Celem artykułu jest przedstawienie autorskiej propozycji założeń do rekomendacji dotyczącej kontroli wewnętrznej w tym zakresie. Wprowadzenie takiej rekomendacji może pomóc kierownikom jednostek w projektowaniu nowych i doskonaleniu obecnych systemów kontroli wewnętrznej w rachunkowości prowadzonej w środowisku informatycznym. W artykule zaproponowano także autorski model systemu kontroli wewnętrznej, który został opracowany w wyniku analizy kilku wiodących koncepcji i regulacji światowych oraz krajowych, ogłoszonych w przedmiotowym zakresie. Metody badawcze wykorzystane w opracowaniu to analiza piśmiennictwa oraz regulacji w przedmiotowym zakresie, analiza wyników badań ankietowych i wnioskowanie. (abstrakt oryginalny)

EN

Developing appropriate legal regulations and taking specific actions are the basic tools for ensuring accounting information resources security (AIRS) in business entities. Since 1995 businesses have been following appropriate provisions of the Accounting Act with regard to AIRS. However, the author's research on the current level of AIRS assurance level in businesses showed that AIRS level varies considerably in various types of businesses. The following hypothesis is proposed in the paper: entities that endorse additional regulations (standards or recommendations) concerning internal control have a more effective internal control system in the area of accounting in the IT environment. On the basis of the presented empirical results, this hypothesis was confirmed, as in entities which follow additional industry regulations in this respect, the management is more committed to ensuring the security of IT accounting resources. During the research, the respondents indicated that they expect to have regulations developed (recommendations, guidelines) that will help them improve internal control in this area. The objective of the paper is to present original contribution to developing a national internal control recommendation . The introduction of such a recommendation may help managers design new and improve existing internal control systems in the area of accounting in an IT environment. Research methods used by the author include analysis of literature and legislation, analysis of survey results and inference. (original abstract)

Słowa kluczowe

PL

Technologia informacyjna; Rachunkowość; Bezpieczeństwo systemów teleinformatycznych; Kontrola wewnętrzna; System kontroli wewnętrznej (SKW); Zarządzanie ryzykiem

EN

Information Technology (IT); Accounting; Teleinformation systems security; Internal control; Internal control system; Risk management

• Czasopismo: Zeszyty Teoretyczne Rachunkowości
• Rocznik: 2018
• Tom: 100
• Numer: nr 156
• Strony: 131--165

Twórcy

autor

Elżbieta Izabela Szczepankiewicz

• Uniwersytet Ekonomiczny w Poznaniu

Bibliografia

• Griffin R.W. (1999), Management, Houghton Miffilin Company, Boston-New York.
• Jajuga K. (2017), Rynki finansowe przyszłości - co może powodować rewolucja technologiczna (wykład), 21.Konferencja WallStreet, Karpacz 2.06.2017, www. bankier.pl (dostęp 20.07.2017).
• Kałużny S. (2008), Kontrola wewnętrzna. Teoria i praktyka, Polskie Wydawnictwo Ekonomiczne, Warszawa.
• Kałużny S. (1997), Nadzór i kontrola w przedsiębiorstwie. Kompendium wiedzy dla kontrolujących i kontrolowanych, KWANTUM, Warszawa.
• Kiedrowska M., Szczepankiewicz E.I (2011), Internal control in the concept of integrated Enterprise Risk Management (ERM) system in insurance undertakings, "Finanse. Rynki Finansowe. Ubezpieczenia", 38, s. 695-706.
• Klimas K. (1985), Kontrola wewnętrzna w przedsiębiorstwie, Państwowe Wydawnictwo Ekonomiczne, Warszawa.
• Lament M. (2013). Audit as a control mechanism employed by an insurance company, "Wiadomości Ubezpieczeniowe", 3, s. 105-199.
• McNamee D. (1998), Business Risk Assessment, IIA, 247 Maitland Avenue, Altamonte Springs.
• Mockler R.J. (1984), The Management Control Process, Prentice-Hall, Englewood Cliffs, N.J.
• Robbins A.P., Coulter M. (2012), Management, Pearson, Upper Saddle River, NJ.
• Saunders E.J. (1994), Kontrola wewnętrzna w bankowości, FRR w Polsce, Warszawa.
• Saunders E.J. (2003), Audyt i kontrola wewnętrzna w przedsiębiorstwach, EDUCATOR, Częstochowa.
• Spira L.F., Page M. (2003), Risk management: The reinvention of internal control and the changing role of internal audit, "Accounting, Auditing and Accountability Journal", 16 (4), s. 640-661.
• Stoner J.A.F, Wankel Ch. (1996), Kierowanie, Wydawnictwo Naukowe PWN, Warszawa.
• Stoner J.A.F., Freeman F.E., Gilbert D.R. (2001), Kierowanie, Polskie Wydawnictwo Ekonomiczne, Warszawa.
• Szczepankiewicz E.I. (2011a), Ewolucja światowych koncepcji kontroli wewnętrznej w systemie rachunkowości i ich wpływ na standardy audytu, "Zeszyty Teoretyczne Rachunkowości", 64 (120), s. 101-127.
• Szczepankiewicz E.I. (2011b). The role of the audit committee, the internal auditor and the statutory auditor as the bodies supporting effective corporate governance in banks, "Finanse, Rynki Finansowe. Ubezpieczenia", 38, s. 885-897. Available online: http://www.wneiz.pl/nauka_wneiz/frfu/38- 2011/FRFU-38-885.pdf (dostęp 28.11.2017).
• Szczepankiewicz E.I. (2011c). Selected issues in effective implementation of the integrated risk management system in an organization, "Finanse. Rynki Finansowe. Ubezpieczenia", 49, s. 153-162. http://www.wneiz.pl/nauka_wneiz/frfu/49-2011/FRFU-49-153.pdf (dostęp 28.11.2017).
• Szczepankiewicz E.I. (2012a). New Regulations and Internal Control System as Supporting Effective Corporate Governance in Commercial Banks in Poland, [w:] Banking and Financial Markets. After Global Crisis of the Years 2008-2010, ed. A.P. Balcerzak, Nicolaus Copernikus University, Toruń, s. 81-102.
• Szczepankiewicz E.I. (2012b). The role and tasks of the Internal Audit and Audit Committee as bodies supporting effective Corporate Governance in Insurance Sector Institutions in Poland, "Oeconomia Copernicana", 4, s. 23-39; http://economic-research.pl/Journals/index.php/oc/article/view/456 /420 (dostęp 28.11.2017).
• Szczepankiewicz E.I. (2014). Zasady rachunkowości, kontrola wewnętrzna i audyt w towarzystwach funduszy inwestycyjnych, CeDeWu, Warszawa.
• Szczepankiewicz E.I. (2016), Audyt kontroli wewnętrznej rachunkowości w środowisku informatycznym, Difin, Warszawa.
• Szczepankiewicz E.I. (2017), Kontrola zarządcza w jednostkach samorządu terytorialnego, Ocena i doskonalenie procedur kontroli zarządczej w środowisku informatycznym rachunkowości, UE w Poznaniu &Wydawnictwo Naukowe CONTACT, Poznań.
• Szczepankiewicz E.I. (2018), Zarządzanie bezpieczeństwem zasobów informatycznych rachunkowości w polskich jednostkach - wyniki badań, "Zeszyty Teoretyczne Rachunkowości", 97 (153), s. 115-138.
• Szczepankiewicz E.I., Kiedrowska M. (2011), Organizacja audytu wewnętrznego w zakładach ubezpieczeń w świetle Solvency II oraz standardów audytu, "Prace Naukowe Uniwersytetu Ekonomicznego we Wrocławiu", 228, s. 454-462; http://bazekon.icm.edu.pl/bazekon/element/bwmeta1.element.ekon-element-000171209097 (dostęp 28.11.2017).
• Terebucha E. (1976), Zasady kontroli wewnętrznej w przedsiębiorstwie. Poradnik księgowego, Państwowe Wydawnictwo Ekonomiczne, Warszawa.
• Wierzbicki K. (1996), Kontrola wewnętrzna w podstawowych jednostkach gospodarczych, UNIVERS, Zielona Góra.
• Winiarska K. (2010), Definicja i klasyfikacja kontroli wewnętrznej, [w:] K. Winiarska (red.), Kontrola wewnętrzna w jednostkach gospodarczych, Polskie Wydawnictwo Ekonomiczne, Warszawa.
• COBIT - Control Objectives for Information and related Technology (2004), ISACA, IT Governance Institute, www.isaca.org, (dostęp 12.02.2012).
• COBIT 5 - Framework for the governance and management of enterprise IT (2013), ISACA, IT Governance Institute, www.isaca.org, (dostęp 18.04.2018).
• COSO II: Enterprise Risk Management - Integrated Framework (2004), Committee of Sponsoring Organizations of the Treadeway Commision, USA, www.sox-online.com/coso_cobit.html (dostęp 10.03.2011).
• COSO: Internal Control - Integrated Framework (1992, 1994), Committee of Sponsoring Organizations of the Treadeway Commision, USA, www.sox-online.com/coso_cobit.html. (dostęp 10.03.2011).
• Dyrektywa Parlamentu Europejskiego i Rady 2014/95/EU z dnia 22 października 2014 r. zmieniająca dyrektywę 2013/34/UE w odniesieniu do ujawniania informacji niefinansowych i informacji dotyczących różnorodności przez niektóre duże jednostki oraz grupy https://www.mf.gov.pl/c/document_library/get_file?uuid=457d39d0-bb29-4eae-9821-a741c4c34b07&groupId=764034
• InCaS (2008), Intellectual Capital Statement - Made in Europe, European ICS Guideline, European Commission.
• Internal Controls Over Financial Reporting - SOX (2004), Allied Irish Banks plc.
• IT Control Objectives for Sarbanes-Oxley (2004), IT Governance Institute, www.isaca.org (dostęp 12.02.2012).
• Komunikat nr 6 Ministra Finansów z 6 grudnia 2012 r. w sprawie szczegółowych wytycznych dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem, (Dz. Urz. Min. Fin., poz. 56).
• MSB 315 - Identyfikacja i ocena ryzyk istotnego zniekształcenia dzięki zrozumieniu jednostki i jej otoczenia, Załącznik nr 1.10 do uchwały nr 2783/52/2015 Krajowej Rady Biegłych Rewidentów z dnia 10 lutego 2015 r.
• Metodyka zarządzania ryzykiem cyberprzestrzeni w systemach zarządzania bezpieczeństwem informacji podmiotów rządowych (2015), Warszawa, www.mc.gov.pl (dostęp 12.12.2015).
• PN-ISO/IEC 27001:2014-12. Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania, (2014), Polski Komitet Normalizacyjny, Warszawa.
• PN-ISO/IEC 27005:2014-01. Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie ryzykiem w bezpieczeństwie informacji. (2014) Polski Komitet Normalizacyjny, Warszawa.
• Polityka ochrony cyberprzestrzeni Rzeczypospolitej Polskiej (2013), Ministerstwo Administracji i Cyfryzacji, www.mac.gov.pl (dostęp 12.02.2015).
• Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (2013), Komisja Nadzoru Finansowego, Warszawa.
• Rekomendacja H dotycząca kontroli wewnętrznej w banku (2017), Komisja Nadzoru Finansowego, Warszawa.
• Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w banku (2013), Komisja Nadzoru Finansowego, Warszawa.
• Rozporządzenie Ministra Finansów z dnia 30 kwietnia 2013 r. w sprawie sposobu, trybu oraz warunków prowadzenia działalności przez towarzystwa funduszy inwestycyjnych (Dz.U. 2013, poz. 538).
• Sarbanes Oxley Act (SOX), (2002).
• Skonsolidowane Zarządzanie Ryzykiem PSK (2004), Bank Rozrachunków Międzynarodowych.
• Solvency II (2013), The role of Internal Audit under Solvency II, The European Confederation of National Institutes of Internal Auditors, http://www.theiia.org/guidance/standards-and-guidance/interactiveippf/. (dostęp 12.02.2014).
• Standard No. 2.2.6. on Enterprise Risk Management for Capital Adequacy and Solvency Purposes. 2008, International Association of Insurance Supervisors www.iaisweb.org. (dostęp 10.03.2011).
• Standardy kontroli finansowej (2003), Załącznik do Komunikatu nr 1 Ministra Finansów z dnia z dnia 30 stycznia 2003 r. w sprawie ogłoszenia "Standardów kontroli finansowej w jednostkach sektora finansów publicznych" (Dz. Urz. Min. Fin. 2003, nr 3, poz. 13).
• Standardy kontroli finansowej (2006), Załącznik do Komunikatu nr 13 Ministra Finansów z dnia 30 czerwca 2006 r. w sprawie ogłoszenia standardów kontroli finansowej w jednostkach sektora finansów publicznych (Dz. Urz. Min. Fin. 2006, nr 7, poz. 56).
• Standardy kontroli zarządczej (2009), Załącznik do Komunikatu nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli finansowej dla jednostek sektora finansów publicznych (Dz. Urz. Min. Fin. 2009, nr 15, poz. 84).
• Stanowisko Komitetu Standardów Rachunkowości z dnia 13 kwietnia 2010 r. w sprawie niektórych zasad prowadzenia ksiąg rachunkowych (2010). Załącznik do Komunikatu nr 10 Ministra Finansów z dnia 18.05.2010 r. w sprawie ogłoszenia uchwały Komitetu Standardów Rachunkowości w sprawie przyjęcia stanowiska Komitetu w sprawie niektórych zasad prowadzenia ksiąg rachunkowych (Dz. Urz. Min. Fin. 2010, nr 6, poz. 26).
• The International Standards for the Professional Practice of Internal Audit (2016), IIA. www.iia.org (dostęp 10.03.2017).
• The Revised Internal Control Standard for Effective Management SEC (2007), European Commission.
• Ustawa o rachunkowości z dnia 29 września 1994 r. (Dz.U. 2018, poz. 62).
• Wytyczne w sprawie standardów kontroli wewnętrznej w sektorze publicznym (2004), International Organization of Supreme Audit Institutions - INTOSAI.
• Zasady zarządzania ryzykiem w bankowości elektronicznej (2001), Bank Rozrachunków Międzynarodowych.

Identyfikatory

DOI

10.5604/01.3001.0012.7316