Zagrożenia dla zasobów informatycznych rachunkowości w dobie transformacji Information Technology w jednostkach sektora finansów publicznych

• Autorzy: Elżbieta Szczepankiewicz

Warianty tytułu

Threats to Accounting IT Resources at the Age of Information Technology Transformation in the Public Finance Entities

• Języki publikacji: PL

Abstrakty

Ważnym aspektem właściwego poziomu sprawności i jakości działania w jednostkach sektora finansów publicznych jest zapewnienie ciągłości działania systemów informatycznych i bezpieczeństwa zasobów informatycznych. Wykorzystanie systemów informatycznych i techniki teleinformatycznej w tych jednostkach wiąże się z wieloma zagrożeniami związanymi ze środowiskiem informatycznym. W opracowaniu omówiono najważniejsze zagrożenia, które dotyczą tradycyjnego modelu zarządzania zasobami informatycznymi w jednostkach oraz nowego modelu "przetwarzania w chmurze" (ang. cloud computing). Poruszono problem zagrożeń i zaprezentowano wnioski z badań w kontekście transformacji technologicznych oraz niedoskonałości systemów kontroli zarządczej, które nie zawsze nadążają za tymi zmianami. Metodą badawczą przyjętą w opracowaniu jest przegląd literatury, przepisów prawnych, standardów kontroli zarządczej, standardów audytu wewnętrznego, norm ISO oraz wnioskowanie.(abstrakt oryginalny)

EN

An important aspect of the appropriate level of efficiency and quality of operation in the entities of public finance is to ensure the continuity of IT operation and security of IT resources. The use of IT systems and teleinformation technology in these entities is connected with numerous threats related to the IT environment. The article discusses the most important threats with regard to a traditional model of IT resources management in entities and a new model of cloud computing. It mentions the problem of threats and conclusions from the research in the context of technological transformations as well as imperfectness of management control systems, which do not always keep up with these changes. The research method used in the study is the review of the literature, legal regulations, management control standards, internal audit standards, ISO norms as well as drawing conclusions.(original abstract)

Słowa kluczowe

PL

Zarządzanie ryzykiem; Rachunkowość; Chmura obliczeniowa; Kontrola zarządcza

EN

Risk management; Accounting; Cloud computing; Management control

• Czasopismo: Studia i Prace Kolegium Zarządzania i Finansów / Szkoła Główna Handlowa
• Rocznik: 2017
• Numer: z. 157
• Strony: 9--30

Twórcy

autor

Elżbieta Szczepankiewicz

• Uniwersytet Ekonomiczny w Poznaniu

Bibliografia

• Dudek E., Zagrożenia występujące w środowisku informatycznym rachunkowości, "Monitor Rachunkowości i Finansów" 2003, nr 7-8.
• Dzwonkowski P., Ryzyka związane z usługą przetwarzania danych w chmurze i metody ich łagodzenia, prezentacja na konferencję "Bezpieczeństwo i Ochrona Danych w Modelu Cloud Computing" z dnia 30 marca 2011 r.
• Etro F., Introducing Cloud Computing. Results from a Simulation Study, International Think-tank on Innovation and Competition, November 2010.
• Fisher R.P., Information Systems Security, Prentice-Hall, Englewood Cliffs 1984.
• Kifner T., Polityka bezpieczeństwa i ochrony informacji, Helion, Gliwice 1999.
• Komunikat nr 2 Ministra Finansów z dnia 17 czerwca 2013 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz.Urz. Min. Fin. z 2013 r., poz. 15).
• Komunikat nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz.Urz. Min. Fin. 2009, nr 15, poz. 84).
• Łapiński K., Wyżnikiewicz B., Raport. Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski, Instytut Badań nad Gospodarką Rynkową, Warszawa 2011.
• Mell P., Grance T., The NIST Definition of Cloud Computing, Ver. 15, 10.07.2009 r., http://www.nist.gov/itl/cloud/upload/cloud-def-v15.pdf, dostęp 15.05.2015.
• Międzynarodowe Standardy Rewizji Finansowej 1996, IFAC, tłumaczenie: Stowarzyszenie Księgowych w Polsce, Warszawa 1996.
• Międzynarodowe Standardy Rewizji Finansowej 2005. Wydanie zbiorcze obejmujące regulacje z zakresu rewizji finansowej, usług atestacyjnych i etyki, IFAC, tłumaczenie: Stowarzyszenie Księgowych w Polsce, Warszawa 2005.
• Międzynarodowe Standardy Rewizji Finansowej i Kontroli Jakości: 210, 220, 240, 250, 265, 300, 315, 320, 402, 450, 800, 805, 810, t. 3, IFAC, tłumaczenie: Krajowa Izba Biegłych Rewidentów i Stowarzyszenie Księgowych w Polsce, Warszawa 2010.
• Międzynarodowe Standardy Rewizji Finansowej i Międzynarodowe Wskazówki dotyczące Praktyki Rewizji Finansowej 2001, IFAC, tłumaczenie: Stowarzyszenie Księgowych w Polsce, Warszawa 2001.
• Mitnick K., Simon W., Łamałem ludzi, nie hasła. Sztuka podstępu, Helion, Gliwice 2002.
• PN-I-02000:2002. Technika informatyczna. Zabezpieczenia w systemach informatycznych. Terminologia.
• PN-ISO/IEC 17799/2007. Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji.
• PN-ISO/IEC 20000-1:2014-01. Technika informatyczna. Zarządzanie usługami. Część 1: Wymagania dla systemu zarządzania usługami.
• PN-ISO/IEC 20000-2:2007. Technika informatyczna. Zarządzanie usługami. Część 2: Reguły postępowania.
• PN-ISO/IEC 2382-8:2001. Technika informatyczna. Terminologia. Część 8: Bezpieczeństwo.
• PN-ISO/IEC 24762:2010. Technika informatyczna. Techniki bezpieczeństwa. Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie.
• PN-ISO/IEC 27001:2007. Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania.
• PN-ISO/IEC 27005:2014-01. Technika informatyczna. Techniki bezpieczeństwa. Zarządzanie ryzykiem w bezpieczeństwie informacji.
• Raport Techniczny ISO/IEC TR 13335-3/1998. Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Techniki zarządzania bezpieczeństwem systemów informatycznych.
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 5 czerwca 2014 r. w sprawie zasad potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz.U. z 2014, poz. 778 ze zm.).
• Rozporządzenie Ministra Finansów z dnia 26 kwietnia 2012 r. zmieniające rozporządzenie w sprawie określenia rodzajów deklaracji, które mogą być składane za pomocą środków komunikacji elektronicznej (Dz.U. z 2012 r., poz. 474 ze zm.).
• Rozporządzenie Ministra Pracy i Polityki Społecznej z dnia 2 listopada 2007 r. w sprawie systemów teleinformatycznych stosowanych w jednostkach organizacyjnych pomocy społecznej (Dz.U. z 2007 r. nr 216, poz. 1609 ze zm.).
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r., nr 100, poz. 1024 ze zm.).
• Rozporządzenie Ministra Spraw Wewnętrznych z dnia 25 kwietnia 2014 r. zmieniające rozporządzenie w sprawie trybu dostępu i wzoru upoważnienia do dostępu do Krajowego Systemu Informatycznego (KSI) oraz wykorzystywania danych (Dz.U. z 2014 r., poz. 558 ze zm.).
• Rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci służących do przekazywania informacji - do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczania danych informatycznych (Dz.U. z 2004 r. nr 100, poz. 1023 ze zm.).
• Rozporządzenie Ministra Sprawiedliwości z dnia 29 grudnia 2011 r. w sprawie trybu zakładania konta w systemie teleinformatycznym, sposobu korzystania z systemu teleinformatycznego i podejmowania w nim czynności związanych z zawiązaniem spółki z ograniczoną odpowiedzialnością przy wykorzystaniu wzorca umowy oraz wymagań dotyczących podpisu elektronicznego (Dz.U. z 2011 r. nr 297, poz. 1762 ze zm.).
• Rozporządzenie Prezesa Rady Ministrów z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz.U. z 1999 r. nr 18, poz. 162 ze zm.).
• Rozporządzenie Prezesa Rady Ministrów z dnia 8 maja 2014 r. zmieniające rozporządzenie w sprawie sporządzania pism w formie dokumentów elektronicznych, doręczania dokumentów elektronicznych oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych (Dz.U. z 2014 r., poz. 590 ze zm.).
• Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r., poz. 526 ze zm.).
• Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty i warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego (Dz.U. z 2002 r. nr 128, poz. 1094 ze zm.).
• Szczepankiewicz E.I., Jak chronić dane finansowe w środowisku informatycznym rachunkowości, "Biuletyn Rachunkowości i Finansów" 2007, nr 8(32).
• Szczepankiewicz E.I., Wybrane procedury kontroli wewnętrznej w środowisku informatycznym rachunkowości, w: Rachunkowość w teorii i praktyce, t. I, Rachunkowość finansowa, red. W. Gabrusewicz, Wydawnictwo Akademii Ekonomicznej w Poznaniu, Poznań 2007.
• Szczepankiewicz E.I., Analiza ryzyka jako element systemu kontroli w firmie, "Biuletyn Rachunkowości" 2008, nr 14.
• Szczepankiewicz E.I., Jakie są zasady opracowywania procedur kontrolnych w firmie, "Biuletyn Rachunkowości" 2008, nr 12(60).
• Szczepankiewicz E.I., Audyt sprawozdań finansowych w środowisku informatycznym, w: Audyt sprawozdań finansowych, red. W. Gabrusewicz, PWE, Warszawa 2010, s. 198.
• Szczepankiewicz E.I., Audyt sprawozdań finansowych w środowisku informatycznym, w: Audyt sprawozdań finansowych. Teoria i praktyka, red. W. Gabrusewicz, PWE, Warszawa 2014.
• Szczepankiewicz E.I., Audyt kontroli wewnętrznej rachunkowości w środowisku informatycznym, Difin, Warszawa 2016.
• Szczepankiewicz E.I., Kontrola zarządcza w jednostkach samorządu terytorialnego. Doskonalenie procedur kontroli zarządczej w środowisku informatycznym rachunkowości, Wydawnictwo Naukowe CONTACT, Poznań 2016.
• Szczepankiewicz E.I., Zasady i procedury kontroli zarządczej w obszarze systemów informatycznych rachunkowości w jednostkach sektora finansów publicznych, Wydawnictwo Naukowe CONTACT, Poznań 2016.
• Szczepankiewicz E.I., Dudek M., Rozwój technologii informatycznych a zagrożenia i zarządzanie bezpieczeństwem informacji w przedsiębiorstwach, w: Logistyka - Komunikacja - Bezpieczeństwo, Wybrane problemy, red. M. Grzybowski, J. Tomaszewski, Wydawnictwo Wyższej Szkoły Administracji i Biznesu im. Eugeniusza Kwiatkowskiego w Gdyni, Gdynia 2009.
• The 2011 Cloud Dividend report, http://uk.emc.com/microsites/2010/cloud-divi- dend/index.htm (dostęp 12.02.2016).
• Ustawa z 6 czerwca 1997 r. Kodeks karny (Dz.U. z 1997 r. nr 55, poz. 553 z późn. zm.).
• Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2013 r., poz. 235 ze zm.).
• Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2002 r. nr 144, poz. 1204 ze zm.).
• Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U. z 2013 r., poz. 262 ze zm.).
• Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz.U. z 1997 r. nr 114, poz. 740 ze zm.).
• Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz.U. z 2001 r. nr 128, poz. 1402 ze zm.).
• Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (tj. Dz.U. z 2016 r., poz. 1870 ze zm.).
• Ustawa z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a także dla utrzymania międzynarodowego pokoju i bezpieczeństwa oraz o zmianie niektórych ustaw (Dz.U. z 2013 r., poz. 194 ze zm.).
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 ze zm.).
• Wójcik J.W., Przestępstwa komputerowe, cz. 1, Fenomen cywilizacji, CIM, Warszawa 1999.
• Wójcik J.W., Przestępstwa komputerowe, cz. 2, Techniki zapobiegania, CIM, Warszawa 1999.