Embed Size (px)
Citation preview
UNIVERZA V MARIBORU EKONOMSKO-POSLOVNA FAKULTETA
Diplomsko delo
INFORMACIJSKA VARNOST RAČUNOVODSKEGA SERVISA
INFORMATION SECURITY (AND MORE) WITHIN ACCOUNTING COMPANY
Kandidatka: Barbara Hebar Študijska program: Visokošolski strokovni Študijska usmeritev: Finance in bančništvo Mentor: profesor dr. Samo Bobek Jezikovno pregledala: Martina Ajd Študijsko leto: 2015/2016
Maribor, April 2016
POVZETEK
V diplomski nalogi sem poskusila zajeti zatečeno stanje v večjem številu predvsem manjših računovodskih servisov in pogojev v katerih ti izvajajo svojo dejavnost. Posebej sem se osredotočila na grožnje in tveganja, s katerimi se soočajo pri izvajanju dejavnosti v obliki zunanjega izvajanja storitve – outsourcinga. Diplomska naloga je sestavljena iz teoretičnega dela in raziskovalnega dela. V teoretičnem delu sem poskusila dovolj natančno povzeti relevantna področja, ki so potrebna in pomembna za razumevanje tako računovodstva, računovodenja, kot poslovanja gospodarskih družb s poudarkom na potrebi zagotavljanja varnosti in omejevanja tveganj pri poslovanju. Eden od poudarkov je tudi na tem kako slednje vpliva na pogodbeni odnos med naročnikom in izvajalcem stroritve računovodstva. V raziskovalnem delu sem prek postavljanja vprašanj v primerljivo velikih računovodskih servisih opravila razgovore ter prejete odgovore in prakso strnila v zatečeno stanje kot sem ga predstavila v diplomskem delu. Pri tem sem zatečeno stanje primerjala z zakonskimi zahtevami, standardi in priporočili (dobro prakso) strokovnih združenj doma (primer ZRS – Zveza Računovodij Slovenije) in po svetu. Ugotovila sem, da velja tako med naročniki in izvajalci storitve zunanjega računovodstva v obliki outsourcinga nezadostno varnostno zavedanje, v nekaterih primerih nezadostno poznavanje predmetne zakonodaje, standardov in dobre prakse. KLJUČNE BESEDE:
- računovodstvo - outsourcing - grožnja - tveganje - varnost - informacija
SUMMARY
In this thesis I tried to capture the current state of the large number of mostly smaller financial services and the conditions in which they carry out their activity. I was particularly focused on the threats and the out coming risks facing both contractual partners with a focus on the outsourcing.
The thesis consists of a theoretical part and research.
In the theoretical part I tried to sufficiently summarize relevant areas necessary and important to understanding both accounting and business performance, with an emphasis on the need to ensure safety and to limit operational risks. One of the focuses is also on how the latter affects the contractual relationship between the client and the accounting service provider.
In the empirical part I was interviewing a comparable group of accounting service providers. I summed up gathered answers and best practice in a summary overview of current situation and presented this in the thesis. I compared the current situation with domestic and international statutory requirements, standards and recommendations of professional associations.
My conclusion of the thesis is, that there is, insufficient safety awareness among clients and service providers of external accounting, and also, in some cases, insufficient knowledge in the legislation, standards and best practices.
KEYWORDS:
- accounting - outsourcing - threat - risk - safety - information
KAZALO
1 UVOD ..............................................................................................................................1 1.1 Opredelitev podro čja in opisa problematike........................... ..............................1 1.2 Cilj in namen diplomske naloge ................ .............................................................1 1.3 Predpostavke in omejitve ...................... .................................................................2 1.4 Uporabljene metode ............................ ....................................................................2
2 RAČUNOVODSTVO ..................................................................................................3
2.1 Zgodovinski razvoj ra čunovodstva ........................................ ...............................3 2.2 Računovodski podatek ................................. ..........................................................4 2.3 Računovodska informacija ............................. ........................................................5 2.4 Računovodske listine ................................. .............................................................6
2.4.1 Računovodsko predračunavanje ......................................................................7 2.4.2 Računovodsko nadziranje ................................................................................7 2.4.3 Računovodsko analiziranje ...............................................................................8
2.5 Knjigovodske listine ......................... .......................................................................8 2.5.1 Knjigovodski podatki .........................................................................................8 2.5.2 Knjigovodska informacija ..................................................................................9 2.5.3 Opredelitev knjigovodske listine .......................................................................9
2.5.3.1 Zunanja knjigovodska listina ...............................................................9 2.5.3.2 Notranja knjigovodska listina ...............................................................9 2.5.3.3 Izvirna knjigovodska listina ..................................................................9 2.5.3.4 Izpeljana knjigovodska listina ........................................................... 10
3 ZUNANJE IZVAJANJE DEJAVNOSTI - OUTSOURCING ...... .............. 11 3.1 Predstavitev pojma outsourcing................. .......................................................... 11 3.2 Razvoj outsourcinga oziroma zunanjega (pogodbenega) izvajanja dejavnosti ............. 11
3.2.1 Taktična faza ................................................................................................. 11 3.2.2 Strateška faza ................................................................................................ 12 3.2.3 Transformacijska faza .................................................................................... 12
3.3 Prednosti outsourcinga ........................ ................................................................. 13 3.3.1 Ekonomsko-finančni učinek ........................................................................... 13 3.3.2 Organizacijski učinek ..................................................................................... 13 3.3.3 Trženjski učinek ............................................................................................. 13 3.3.4 Razvojni učinek .............................................................................................. 13 3.3.5 Kadrovski učinek ............................................................................................ 13
3.4 Tveganja in slabosti outsourcinga ............. .......................................................... 14 3.5 Dejavnosti, pri katerih se podjetja odlo čajo za uporabo outsourcinga ............ 14
4 ANALIZA INFORMACIJSKE VARNOSTI RA ČUNOVODSKEGA SERVISA .. 16 4.1 Kaj je informacija ............................ ...................................................................... 16 4.2 Kaj opredeljuje informacijsko varnost v ra čunovodskem servisu .................. 19
4.2.1 Zgodovinski vidik .........................................................................................21 4.2.2 Osnovni principi ........................................................................................... 22 4.2.3 Zaupnost ....................................................................................................... 23 4.2.4 Izvornost ....................................................................................................... 24 4.2.5 Razpoložljivost .............................................................................................. 25
4.3 Razširjen model .............................. ..................................................................... 25 4.3.1 Verodostojnost ........................................................................................... 25 4.3.2 Nezatajljivost .............................................................................................. 25 4.3.3 Storitve Agencije Republike Slovenije za javnopravne evidence in storitve ........... 29 4.3.4 Elektronski davčni obrazci za eDavki,Finančne uprave Republike Slovenije ......... 31
5 UPRAVLJANJE TVEGANJ PRI POSLOVANJU .............. ..................... 36
5.1 Upravljanje tveganj ........................... .................................................................... 38 5.2 Upravne ali proceduralne kontrole ............. ........................................................ 40
5.3 Fizične kontrole nadzirajo in kontrolirajo delovno mesto in ra čunalniške pripomo čke ............................................................................................................................................. 40
5.4 Varnostna klasifikacija podatkov .............. .......................................................... 41 5.5 Nadzor dostopa ................................ ......................................................................41 5.6 Identifikacija ................................ .......................................................................... 42 5.7 Avtentikacija ................................. ..........................................................................42 5.8 Kriptografija.................................. ......................................................................... 45 5.9 Informacijska tehnologija ..................... ............................................................... 46 5.10 Prostori ..................................... ............................................................................. 47
6 ZAGOTAVLJANJE NEPREKINJENEGA POSLOVANJA ......... ............ 49
6.1 Obvladovanje incidentov ....................... .............................................................. 49 6.2 Načrt neprekinjenega poslovanja ...................... ................................................. 49
7 UPRAVLJANJE SPREMEMB ............................ .................................... 50
7.1 Upravljanje sprememb .......................... ............................................................... 50 7.2 Proces upravljanja sprememb.................... ......................................................... 50
8 STANDARDI ....................................... ................................................... 53
8.1 V Sloveniji ................................... ........................................................................... 53 8.2 Po svetu ...................................... ........................................................................... 53
9 REVIZIJA ........................................ ....................................................... 55
9.1 Notranja revizija ............................. ....................................................................... 55 9.2 Zunanja revizija .............................. ....................................................................... 56
10 KDO IZVAJADELA IN NALOGE NA PODRO ČJU ZAGOTAVLJANJA
VARNOSTI V RAČUNOVODSKEM SERVISU ...................................... 57 10.1 Osebni podatki v ra čunovodstvu ........................................ .................................57
10.1.1 Interni (podatki o delavkah in delavcih izvajalca storitve) .......................... 57 10.1.2 Eksterni (zunanji podatki naročnika storitve) ............................................. 58
11 PRIMERJAVA RAZLI ČNIH PRISTOPOV ............................................. 59
11.1 Izpolnjevanje minimalnih zakonodajnih zahtev . .................................................59 11.2 Izvedba analize tveganja ..................... ................................................................. 60
12 ZBIRKA OSEBNIH PODATKOV ........................ ................................... 61
12.1 Upravljavec osebnih podatkov ................. ........................................................... 61 12.2 Dolžnost zavarovanja osebnih podatkov ........ ................................................... 62 12.3 Obveščanje o zbirkah osebnih podatkov ................... ........................................ 62 12.4 Ažurnost vsebine kataloga .................... .............................................................. 63 12.5 Občutljivi osebni podatki ............................ ......................................................... 64
13 IZOBRAŽEVANJE .................................. ............................................... 66 14 SKLEP .......................................... .......................................................... 67 15 ZBORNICA RAČUNOVODSKIH SERVISOV ........................................ 68
15.1 Katalog certificiranih ra čunovodskih servisov Slovenije ..................... ............ 68 15.2 Standard izvajalcev ra čunovodskih storitev v Sloveniji ................... ................ 69
16 KAZALO LITERATURE IN VIROV ..................................................................... 71
KAZALO SLIK Slika1: Grafični prikaz CIA triad, 2016 ....................................................................................... 22 Slika 2: Grafični prikaz vrste storitev ter pojasnila in navodila za vnos na portalu e-VEM
_AJPES, 2016 ................................................................................................................ 28 Slika 3: Grafični prikaz davčnih obrazcev v eDavkih_FURS,2016 ..................................... 30
SEZNAM OKRAJŠAV AJPES_Agencija Republike Slovenije za javnopravne evidence in storitve CISA_Information Systems Audit and control association FURS_Finančno upravo Republike Slovenije GZS_Gospodarska zbornica Slovenije IT_Informacijske tehnologije PIN_ Personal identification number PSR_Pravili skrbnega računovodenja SRS_Slovenskih računovodskih standardih UPPD_Uradu za preprečevanje pranja denarja ZEPEP_Sloveniji Zakon o elektronskem poslovanju in elektronskem podpisu ZPPDFT-C_Zakon o preprečevanju pranja denarja in financiranju terorizma ZRS_Zveze računovodij Slovenije ZVOP-1_Zakonu o varstvu osebnih podatkov
1
1
1
1
1
1
1
1 UVOD 1.1 Opredelitev podro čja in opis problematike
Poslovanje podjetja z uporabo informacijskih tehnologij ni vedno najcenejši način poslovanja, včasih je za podjetje ceneje, če posluje s svinčnikom in papirjem, vedno pa ni tako. V primerih, ko so obseg, narava ali rast poslovanja taki, da brez informacijske podpore niso obvladljivi in/ali ekonomični, je treba zagotoviti informacijsko (računalniško) podprto poslovanje. Ob navedenem pa se danes veliko število podjetij odloča za izločitev (outsourcing) določenih poslovnih funkcij tako, da na primer izločijo za njih manj pomembne funkcije, kot je na primer funkcija računovodstva, da se lahko 100 % osredotočajo na ključni posel, ostalo pa za njih opravijo t. i. podizvajalci ali zunanji izvajalci storitev. Ti so specializirani na posamezne (pod)procese, ki jih praviloma zagotavljajo za večje število naročnikov. V diplomski nalogi bom predstavila potrebne robne pogoje in izzive poslovanja manjšega podjetja – računovodskega servisa, ki z uporabo informacijskih tehnologij zagotavlja vrsto računovodskih in z njimi povezanih storitev drugim podjetjem, ki pa morajo (moramo) izpolnjevati ostre zahteve glede zagotavljanja informacijske varnosti, kar se odraža zlasti na področjih varovanja tako osebnih podatkov kot poslovnih in drugih skrivnosti. Direktiva Evropske skupnosti, ki opredeljuje varstvo osebnih podatkov, je Direktiva Evropskega parlamenta in Sveta 95/46/ES. Za izpolnjevanje zakonskih zahtev in zagotavljanje kakovosti storitev skladno z minimalnimi standardi in izpolnjevanjem zakonskih zahtev (oziroma preseganjem le-teh) je potreben koncept izobraževanj, dodatnih usposabljanj in izpopolnjevanj izvajalcev, vključno z implementacijo nenehnega procesa izboljšav. Na eni strani imamo tako minimalne zahteve z zakoni in standardi, na drugi strani pa mogoč pristop skozi izvedbo ocene tveganja, upoštevajoč preventivne korektivne varnostne ukrepe in rezultate v obliki preostalega tveganja, ki je lahko za naročnika pa tudi za poslovodstvo izvajalca sprejemljiv ali pa ne. 1.2 Cilj in namen diplomske naloge Cilj raziskave je ugotoviti obstoječe stanje na področju zunanjih izvajalcev (outsourcinga) računovodskih storitev v Sloveniji in izvesti primerjavo, ali notranje (inhouse) računovodstvo resnično pomeni višjo varnost, kakovost storitve.
- Ali se naročniki zavedajo minimalnih varnostnih zahtev, ki jih morajo (že danes) izpolnjevati sami in katere morajo za njih izpolniti t. i.
2
podizvajalci in je smiselno, da jih oba subjekta ustrezno pogodbeno uredita?
- Ali se družbe zavedajo zahtev, ki jih morajo izpolniti same pri svojem poslovanju ter ali znajo te zahteve smiselno preslikati in pogodbeno urediti s podizvajalcem?
- Ali obstajajo mehanizmi za kontrolo spoštovanja pogodbenih določil? - Ali imamo primerno zakonodajo, standarde, panožne zahteve
(regulacija in ali imamo v prvi vrsti zadostno varnostno zavedanje?) - Ali je vse do sedaj navedeno pri cenah storitev, ki veljajo danes na
trgu, sploh mogoče doseči – dosegati /zagotavljati?
1.3 Predpostavke in omejitve V diplomski nalogi ne gre videti priročnika za vpeljavo – izvajanje informacijske podpore v podjetju ali urejanja pogodbenih določil. Gre za prikaz izzivov in nekaterih pomislekov na področju vpeljave in uporabe informacijskih tehnologij s poudarkom na zunanji (outsourcing) poslovni funkciji računovodstva. 1.4 Uporabljene metode dela Pri izdelavi diplomske naloge bom na področju izobraževanja varnostnega zavedanja oziroma ozaveščanja uporabila deskriptivno metodo s študijem domače in tuje literature, vključno s priporočili mednarodnega združenja revizorjev informacijskih sistemov, Zveze računovodij Slovenije (v nadaljevanju ZRS) in evropske in slovenske regulative.
Za zbiranje podatkov in ugotavljanje obstoječega stanja bom kot instrument raziskovanja uporabila pogovor s strokovnjaki s posameznih področij. Vprašanja bodo odprtega in zaprtega tipa. Te (odgovore) bom (sem) primerjala z dobro prakso iz tujine in Slovenije.
Informacije bom pridobivala tudi na podlagi trenutnih opazovanj in analize objav, tako v javnih občilih kot tiskanih in elektronskih strokovnih medijih. Ravno tako bom uporabila že pridobljena (lastna) znanja in spoznanja (izkušnje) iz dosedanjega dela v računovodskem servisu.
3
2 RAČUNOVODSTVO 2.1 Zgodovina ra čunovodstva
Mesto, vloga in pomen računovodstva so se razvijali skupaj z družbo in civilizacijo. Prve začetke računovodstva je moč najti že v Babilonu (3.600 let pr. n. št.), seveda v obliki zapisov različnih dogodkov in dobrin, ki so se menjavale med prebivalci, državo in svetiščem. Podobne zapise o poslovni dejavnosti je mogoče najti tudi pri starih Grkih, Rimljanih in Egipčanih. Ta najstarejša evidenca poslovnih dogodkov se ne more primerjati z današnjim računovodstvom niti po tehniki, še manj pa po obsegu nalog. Iz nje se je kasneje razvilo knjigovodstvo, v tistem času pa je imela funkcijo zapisovanja kupoprodajnih dogodkov, izplačil in dolgovanja.
V srednjem veku je prišlo do naslednje stopnje v razvoju računovodstva, pojavila se je trgovina med italijanskimi mesti in Vzhodom. V tem času (12. in 13. stoletje) so italijanski trgovci izumili metodo dvostavnega računovodstva, ki se uporablja še danes. Zaradi vse bolj razvite trgovine se je pojavila potreba po kakovostnejših informacijah o poslovanju. Partnerstva, ki so nastajala med trgovci, so zahtevala izračun dobička ali izgube posameznih poslov. Osnova, na kateri se je razvilo moderno računovodstvo, je Knjigovodstvo na podlagi dvostavnega knjiženja (prva tiskana razprava o dvostavnem knjigovodstvu »Summa de arithmetica, geometria », ki jo je napisal Luca Pacioli, 1494).
V 18. in 19. stoletju je družba z industrijsko revolucijo v Evropi pridobila velike spremembe, med drugim tudi to, da so ročni način proizvodnje zamenjali s strojnim. Posledica, ki so jo čutili lastniki, je bil problem zavarovanja in akumuliranja kapitala. Cilj knjigovodske evidence ni bil samo zagotoviti čim boljše naložbe kapitala, pač pa je knjigovodska evidenca postala pomembna tudi za upravljanje podjetij. Razvilo se je stroškovno računovodstvo.
Za obstoj in razvoj podjetja v 20. stoletju postane vloga tržišča še pomembnejša. Posledično to računovodstvu naloži nove naloge in zahteve. Podajanje informacij o tem, kaj je nabavljeno in prodano, koliko se dolguje in terja in s kakšnim premoženjem podjetje razpolaga, ni bilo več dovolj. Od računovodstva se je začelo zahtevati, da posreduje informacije o doseženi in pričakovani ekonomičnosti poslovanja (razvilo se je računovodsko predračunavanje) ter analiziranje računovodskih informacij (v tej smeri se je razvilo računovodsko analiziranje).
Ločitev upravljalnega procesa na poslovodsko uravnavanje in lastniško usmerjanje poslovanja, večja vloga države pri poslovanju podjetij in različni načini financiranja podjetij so vplivali na to, da se je povečala potreba po
4
točnih in zanesljivih računovodskih informacijah. Razvile so se različne vrste računovodskega nadziranja.
2.2 Računovodski podatki
Poslovni sistem je organizacija, katere obstoj je odvisen od medsebojnega sodelovanja, vodenja ljudi za dosego skupnih kratkoročnih in dolgoročnih ciljev, ki bi tej organizaciji omogočili obstoj. Kako bo organizacija poslovala v prihodnosti, je zelo težko določiti, ker njihovo poslovanje ni odvisno samo od ljudi, ki ta sistem vodijo, ampak ima svoj vpliv tudi okolica (konkurenca, gospodarske razmere, država, itd.).
Poslovni sistem je razdeljen na: - izvajalni podsistem, - informacijski podsistem, - upravljalni podsistem.
Izvajalni podsistem je najbolj opazen podsistem poslovnega sistema. V njegovem sklopu se izvaja poslovni proces. Temeljne poslovne funkcije izvajalnega podsistema so:
- kadrovska funkcija, - tehnična funkcija, - nakupna funkcija, - proizvodna funkcija, - prodajna funkcija, - finančna funkcija.
Naloga upravljalnega podsistema je sprejemanje odločitev v zvezi z dejavnostmi poslovnega sistema, ki so vključene v na zunaj viden poslovni proces in s tem tudi na njihovo usklajevanje. Bistvo tega podsistema je odločanje in usklajevanje. Temeljne upravljalne funkcije upravljalnega podsistema so:
- funkcija načrtovanja, - funkcija organiziranja, - funkcija vodenja, - funkcija nadziranja.
Informacijski podsistem je tisti, ki povezuje izvajalni in upravljalni podsistem. Temeljna naloga informacijskega sistema je, da zbira, obdeluje, ureja in shranjuje podatke, iz katerih nato oblikuje in posreduje informacije uporabnikom. Tvorijo ga štiri informacijske funkcije:
- obravnavanje podatkov o preteklosti, - obravnavanje podatkov o prihodnosti, - nadziranje obravnavanja podatkov, - analiziranje podatkov.
Dobra informacija mora imeti naslednje značilnosti:
5
- primernost, - pravočasnost, - točnost, - ustreznost.
(Hočevar s soavtorji, 2000, str. 3-14) 2.3 Računovodska informacija
Oblikovanje računovodskih informacij zahteva spoštovanje računovodskega načela sodobnosti, načela, ki nas zavezuje uporabljati najnovejša spoznanja na področju računovodskih metod in tehničnih sredstev za uresničevanje računovodske dejavnosti. Tako oblikovanje računovodskih informacij zahteva zato še zlasti strokovno usposobljene ljudi za računovodsko dejavnost (Turk-Melavc, 2001,str. 178).
Za prikaz finančnega in premoženjskega stanja podjetja ter njegove poslovne uspešnosti in s tem povezanimi poslovnimi odločitvami so računovodske informacije ključnega pomena. Kljub temu se moramo zavedati, da računovodske informacije ne morejo podati odgovora na vsa vprašanja, ki so povezana s poslovanjem podjetja. Res je, da nam omogočijo vpogled v preteklo poslovanje poslovnega sistema podjetja, vseeno pa imajo računovodske informacije tudi določene omejitve. Računovodske informacije ne bodo dale odgovora na naslednja vprašanja: kakšen vpliv in položaj ima podjetje v svojem lokalnem okolju, kakšno je delovno okolje za zaposlene, kakšna znanja in sposobnosti premorejo zaposleni, kakšno je konkurenčno stanje samega podjetja, odgovora o samem strateškem in tehnološkem razvoju … (Milost, 2009, str. 24, 25)
Računovodstvo nam omogoča vrednostno (v denarni merski enoti) obravnavanje ter spremljanje dogodkov in pojavov, ki vplivajo na poslovanje poslovnega sistema. Računovodske informacije so zaradi tega kvantitativne informacije, od preostalih vrst informacij se razlikujejo zaradi vrednostnega izražanja (Hočevar s soavtorji, 2000, str. 16). Za dosego učinkovite uporabe računovodskih informacij morajo te biti razumljive, zanesljive, posredovati bistvene zadeve in biti medsebojno primerljive.
Uporabniki računovodskih informacij poslovnega sistema so zunanji in notranji uporabniki. Zunanji uporabniki so zlasti:
- lastniki podjetja brez aktivne pravice do upravljanja in možni vlagatelji kapitala v podjetju,
- dajalci dolgoročnih in kratkoročnih posojil, - dobavitelji, - glavni stalni kupci, - konkurenti podjetja, - država, - javnost.
6
Notranji uporabniki so: - poslovodstvo podjetja, - lastniki podjetja z možnostjo upravljanja podjetja in izvršilni organi
upravljanja, - zaposleni.
(Hočevar s soavtorji, 2000, str. 20, 21) Na kakšen način in kako bo podjetje obveščalo zunanje uporabnike, je odvisno od politike poslovanja in predpisov - aktov samega podjetja organizacije, ustanove ...
Zunanji uporabniki lahko pridejo do informacij in podatkov o poslovnem sistemu s pomočjo institucije, ki obdeluje in objavlja javne podatke. Ta institucija je Agencija Republike Slovenije za javnopravne evidence in storitve (v nadaljevanju AJPES) .
Naslednjih šest načel je pri oblikovanju računovodskih informacij pomembnih:
1. Načelo časovne neomejenosti poslovanja Gre za tezo, da bo obravnavan poslovni sistem posloval dolgoročno in da le-ta nima namena poslovanja krčiti ali ustaviti.
2. Načelo dosledne stanovitnosti Obravnavan način gospodarskih kategorij je treba natančno določiti. Računovodske usmeritve se ne smejo spreminjati glede na trenutne koristi. V primeru spremembe usmeritve je treba ustrezno prikazati razloge in posledice takšnega ravnanja.
3. Načelo strogega upoštevanja nastanka poslovnega dogodka Stroške, prihodke in odhodke upoštevamo ob njihovem nastanku in jih evidentiramo v obračunskem obdobju, na katerega se nanašajo.
4. Načelo previdnosti Opozarja, da so nekateri poslovni dogodki povezani z negotovostjo in da je treba računovodske izkaze pripravljati previdno.
5. Načelo prednosti vsebine pred obliko Posle in druge poslovne dogodke je treba obračunavati in predstavljati v skladu z njihovo vsebino v denarni merski enoti izraženo resničnostjo in ne zgolj na njihovo pravno obliko.
6. Načelo pomembnosti V računovodskih poročilih imamo vključene vse postavke, ki so pomembne, da lahko vplivajo na odločitev ali ocene.(Hočevar s soavtorji, 2000, str. 27).
2.4 Računovodska listina
Vsak poslovni sistem, podjetje, potrebuje za evidentiranje preteklih in prihodnjih poslovnih dogodkov poslovne listine. Poslovne listine delimo na računovodske listine in neračunovodske listine. Za neračunovodske listine je značilno, da te niso ali ne bodo nastale v računovodski funkciji. To so lahko različne pogodbe (pogodbe o zaposlitvi, nakupne pogodbe, prodajne pogodbe, posojilne pogodbe, podjemne
7
pogodbe, avtorske pogodbe), potni nalogi, načrti za določen razvoj organizacije, naročilnice itd.(Bergant, 2010, str. 308) Računovodske listine so listine, ki nastanejo v računovodski funkciji. Poznamo knjigovodske listine in druge računovodske listine. Najpogostejše druge računovodske listine so:
- predračunske listine, ki nastanejo v računovodskem predračunavanju, - analitične listine, ki nastanejo v računovodskem analiziranju, - nadzorne listine, ki nastanejo v računovodskem nadziranju, - priloge h knjigovodskim listinam (delovni nalog, dobavnica,
prevzemnica, - naročilnica itd. ), - nalog za izvedbo je listina, ki se izda, vendar je možno, da se poslovni
dogodek ne bo zgodil, če pa se poslovni dogodek kljub temu zgodi, je nato ta listina priloga h knjigovodski listini.
(Bergant, 2010, str. 309) 2.4.1 Računovodsko predra čunavanje Računovodsko predračunavanje je obravnavano v Slovenskih računovodskih standardih (v nadaljevanju SRS) 20 (2006), Uradni list RS št. 118/05. Lahko zajema posamezne poslovne dele funkcije organizacije ali celotno organizacijo. Temeljna naloga je, da z zbiranjem knjigovodskih podatkov (to so podatki, ki se nanašajo na pretekle poslovne dogodke) prikaže, določi predvidevanja, ki so osredotočena v prihodnost in podjetju omogoči zmanjšanje tveganja pri poslovnih odločitvah. Potrebna so znanja, ki zajemajo dobro poznavanje samega podjetja, njegovega poslovanja, poslovnih funkcij, okolja, tehnik in metod za obvladovanje tveganja in ustreznosti predvidevanj. (Bergant, 2010, str. 99) Končno poročilo računovodskega predračunavanja je računovodski predračun. 2.4.2 Računovodsko nadziranje Naloga računovodskega nadziranja je presojanje pravilnosti in odpravljanje nepravilnosti pri računovodskih podatkih računovodskega predračunavanja in računovodskega analiziranja. Povečuje zanesljivost računovodskih informacij, ki pojasnjujejo stanje poslovanja in dosežke pri delovanju in s tem posreduje podlage za njihove izboljšave. Namen računovodskega nadziranja je doseganje računovodskih ciljev, med katerimi so upoštevanje računovodskih usmeritev in postopkov, varovanje razpoložljivih sredstev ter pripravljanje zanesljivih računovodskih poročil. Je del celotnega nadziranja, obravnavanja podatkov in del celotnega računovodstva. (Pravila skrbnega računovodenja 7, 2016). Vrste nadziranja so:
- kontroliranje, - revidiranje, - inšpiciranje.
8
Z vidika izvajalca poznamo: - notranje nadziranje, - zunanje nadziranje.
Nadziranje je lahko:
- neposredno, - posredno.
2.4.3 Računovodsko analiziranje Računovodsko analiziranje temelji na računovodskih podatkih, ki se pridobijo iz računovodskega predračunavanja in knjigovodstva. Najpomembnejši so bilanca stanja, izkaz poslovnega izida, izkaz finančnega izida. S temi podatki imamo omogočen vpogled v preteklo poslovanje organizacije. Z analizo le-teh poskušamo ugotoviti razloge za trenutno stanje podjetja in hkrati pridobiti podatke in informacije, s pomočjo katerih bomo lahko stanje podjetja izboljšali. Pri tem si pomagamo z različnimi metodami, predvsem z:
- metodo razčlenjevanja, - metodo primerjanja, - metodo osamljanja, - metodo strnjevanja.
Vzpostavljanje računovodskega analiziranja ne zahteva le metodičnega usklajevanja računovodskih predračunov in obračunov, ampak tudi prilagajanje knjigovodske evidence spremljanju izvajanja načrta. Knjigovodsko evidentiranje in računovodsko predračunavanje že prav od svojega začetka upoštevata potrebe tistih, ki na tej podlagi sprejemajo odločitve. Spoznanja, rezultati, ki so pridobljeni z analiziranjem, morajo biti posredovani na primeren način. Ni dovolj, da spoznanja posredujemo samo v denarni merski enoti, rezultati računovodskega analiziranja morajo biti kakovostna računovodska poročila, ki povezujejo računovodske predračune z računovodskimi obračuni in pojasnjujejo razlike med njimi tudi v besedi (Hočevar s soavtorji, 2000, str. 383) 2.5 Knjigovodske listine
Za knjigovodstvo je bistvenega pomena knjigovodska listina. S knjigovodsko listino dokazujemo in izkazujemo v knjigovodstvu, da je do poslovnega dogodka prišlo in da imamo podlago za vpis v poslovne knjige. Knjigovodska listina je v posebni obliki sestavljen zapis o poslovnih dogodkih (tudi o tistih, ki so izkazani v zunajbilančnih razvidih), ki spremljajo sredstva, obveznosti do njihovih virov, prihodke in odhodke. Uporabljajo se za prenašanje knjigovodskih podatkov in so lahko tudi v elektronski obliki zapisov. Knjigovodske listine, ki so lahko v papirnati ali v elektronski obliki zapisa, morajo izkazovati poslovne dogodke verodostojno in pošteno. (Uradni list RS, 2011,stran 10317) Brez knjigovodske listine poslovni dogodek v knjigovodstvu ne obstaja.
9
2.5.1 Knjigovodski podatki Knjigovodski podatki so tisti v denarni merski enoti izraženi podatki o poslovnih dogodkih, ki vstopajo v knjigovodstvo na podlagi izvirnih knjigovodskih listin, se oblikujejo na tej podlagi v knjigovodstvu, prihajajo iz knjigovodstva v nadaljnjo obdelavo ter so shranjeni v knjigovodstvu, niso pa še ovrednoteni in pripravljeni kot podlaga za odločanje. (Uradni list RS, 2011,stran 10317) 2.5.2 Knjigovodska informacija Knjigovodske informacije so usmerjena in naslovljena sporočila o preteklih procesih in stanjih, pripravljena v knjigovodstvu na podlagi knjigovodskih podatkov. Uporabnikom se predlagajo za potrebe pri odločanju ali se v ta namen hranijo v knjigovodstvu. (Uradni list RS, 2011,stran 10317) 2.5.3 Opredelitev knjigovodskih listin Organizacija s svojimi akti določi, kakšna bo vsebina in oblika knjigovodskih listin, način in čas, v katerem more biti listina zavedena, in kdo je odgovorna oseba za podpisovanje le-teh. Poznamo naslednje knjigovodske listine:
- zunanje, - notranje, - izvirne, - izpeljane.
2.5.3.1 Zunanja knjigovodska listina Zunanje knjigovodske listine se sestavljajo v okolju podjetij, v katerem nastajajo zanje pomembni poslovni dogodki. (Uradni list RS, 2011,stran 10317) To so predvsem prejeti računi dobavitelja, prejeti bremepis, prejeti dobropis, prejeta dobavnica, bančni izpiski, sklep o vpisu v sodni register, spremembe oziroma listine, ki so povezane s kapitalom, sodni register itd. 2.5.3.2 Notranja knjigovodska listina Notranje knjigovodske listine nastajajo v tistih enotah podjetij, v katerih nastajajo poslovni dogodki, ali v računovodskih službah podjetij, torej znotraj same organizacije. Ti poslovni dogodki nimajo vpliva na druge organizacije. (Uradni list RS, 2011,stran 10317) To so lahko obračun amortizacije, izdani računi, bremepisi, dobropisi, obračun prodaje, obračun stroškov dela, blagajniški izdatek in prejemek, obračun potnih stroškov itd.
10
2.5.3.3 Izvirna knjigovodska listina Izvirne knjigovodske listine se sestavljajo na kraju in v času nastanka poslovnih dogodkov. Imena izvirnih knjigovodskih listin ter njihove obvezne in druge bistvene sestavine določi organizacija sama v svojih splošnih aktih. Sestavljajo jih na kraju in v času njihovega nastanka druge pravne ali fizične osebe ali podjetje samo. Izvirne knjigovodske listine se izdajajo v potrebnem številu izvodov; njihov namen, število in kroženje določi podjetje samo. (Uradni list RS, 2011,stran 10317) 2.5.3.4 Izpeljana knjigovodska listina Izpeljana knjigovodska listina je listina, ki je sestavljena v knjigovodstvu oziroma računalniškem središču, ki obravnava knjigovodske podatke, in sicer na podlagi knjigovodskih podatkov iz izvirnih knjigovodskih listin. (Uradni list RS, 2011,stran 10317)
11
3 OUTSOURCING – ZUNANJE IZVAJANJE DEJAVNOSTI 3.1 Predstavitev pojma outsourcing Pojem outsourcing izhaja iz ameriške angleščine in je skovanka iz besed outside (zunaj), resource (vir) in using (uporabljanje). V preteklosti, zlasti v 90. letih prejšnjega stoletja, je prišlo do pospešenega razvoja informacijske tehnologije, kar je imelo za posledico, da je v organizacijah prišlo do sprememb pri samem načinu in razmišljanju poslovanja. Organizacije so prišle do zaključka, da so lahko določene notranje dejavnosti dražje od tistih, ki jih ponuja sam trg outsourcinga, in spoznanja, da ne morejo biti najboljše na vseh področjih svojega poslovanja. Uporaba outsourcinga je zanimiva predvsem za organizacije, ki želijo rešiti problematiko zniževanja stroškov. O začetku izvajanja zunanje dejavnosti govorimo takrat, ko je med povpraševalcem oziroma kupcem po določenih storitvah ali proizvodih in ponudnikom teh storitev ali proizvodov sklenjena pogodba o medsebojnem sodelovanju. S to pogodbo so določena pogodbena razmerja, kupec določi končni rezultat, način, kako bo ta rezultat dosežen, pa je prepuščen ponudniku, torej zunanjemu izvajalcu. Velikost organizacije nima bistvenega pomena pri odločitvi za uporabo zunanjega izvajalca dejavnosti, bistvenega pomena so razlogi, ki so pri malih in velikih podjetjih različni.Bistvo outsourcinga je v tem, da mora ponudnik zunanjega opravljanja dejavnosti le to izvajati uspešneje, kot bi jo sama organizacija z uporabo notranjih dejavnosti.
V literaturi imamo različne razlage, kaj je bistvo zunanjega izvajanja dejavnosti. Nanašajo se na bistveno vprašanje, katere in koliko dejavnosti naj naročnik prenese na izvajalca. 3.2 Razvoj outsourcinga oziroma zunanjega opravljan ja dejavnosti Tri pomembne stopnje so se razvile med samim razvojem zunanjega izvajanja dejavnosti. Te so:
- taktična faza, - strateška faza, - transformacijska oziroma preoblikovalna faza.
3.2.1 Taktična faza Vzroki za razvoj taktične faze so izvirali iz posameznih problemov organizacije. Ti problemi so v večji meri izhajali iz finančnih težav. S pomočjo zunanjega izvajalca dejavnosti so želeli doseči določene cilje:
12
povečati denarni tok s prodajo sredstev in opreme, zmanjšati previsoke stroške, povečati učinkovitost poslovnih procesov, reševanje težav s kadri. Pri taktični fazi zunanjega izvajanja dejavnosti gre za opravljanje nalog v okviru obstoječih pravil. (Bergant, 2010, str. 233) Taktična faza je imela naslednje značilnosti: (Bendor-Samuel, 2001)
- fiksna cena, ki se je usklajevala s povečanjem stroškov, - sklepanje pogodb za petletno do desetletno obdobje, - zahtevana raven storitev, določena na podlagi tehničnih meril, - posledice ob nedoseganju zahtev niso bile predvidene, - nezadovoljstvo naročnika.
3.2.2 Strateška faza
Skozi zgodovinski razvoj zunanjega izvajanja dejavnosti, outsourcinga, se je pokazalo, da ko se management organizacije odloči, da se bodo določene dejavnosti prepustile v izvajanje zunanjim izvajalcev, s tem organizacija izgubi nadzor nad tem področjem, vendar s to odločitvijo pripomore k večji osredotočenosti strateškega razvoja same organizacije. S strateško fazo organizacija spreminja strategijo osnovne dejavnosti in strateške, dolgoročne povezave z zunanjimi izvajalci dejavnosti. Usmeri se na doseganje dolgoročnih ciljev in vizije. Starteški outsourcinga je usmerjen v uspešno donosnost investiranih sredstev in v rasti same organizacije. Pogodbe, ki so sklenjene med naročnikom in izvajalcem dejavnosti, so se s tem spremenile v dolgoročno strateško povezanost obeh pogodbenih partnerjev. Temeljna naloga strateškega outsourcinga je pomoč za dosego dolgoročne konkurenčnosti podjetja na trgu. Pri strateškem zunanjem opravljanju dejavnosti gre za celovitejši pristop. V tej fazi storitve zajemajo vodoravni, torej procesni vidik poslovanja organizacije. (Bergant, 2010, str. 233) 3.2.3 Transformacijska oziroma preoblikovalna faza Širitev ponudbe zunanjega opravljanja dejavnosti je pripeljala do razvoja preoblikovalne faze. Pri tej fazi se je ponudnikova, izvajalčeva pomoč zunanjega opravljanja dejavnosti razširila tudi na del odločevalne funkcije naročnika, kar je pomembna razlika v primerjavi s taktično fazo. Kljub temu naročniku ostane velik del kontrole nad strateškim načrtovanjem in odločanjem. Zunanji izvajalci svojim naročnikom na ravni preoblikovalne faze s svojimi idejami oziroma inovacijami pomagajo doseči večjo konkurenčnost na trgu ter tudi spremeniti organizacijsko politiko poslovanja. Z medsebojno sinergijo iščejo nove trge, nove kupce, nove proizvode ali storitve, spreminjajo odnos do svojih poslovnih partnerjev in tudi do zaposlenih in s tem tudi pomagajo pri rasti samega naročnikovega podjetja. Bistvo te faze je, da so storitve izvajalca outsourcinga umerjene v sam proces poslovanja podjetja.
13
3.3 Prednosti outsourcinga – zunanjega (najema) izv ajanja storitve Vsaka organizacija se mora pri najemu zunanjega opravljanja dejavnosti zavedati kratkoročnih in dolgoročnih učinkov na svoje poslovanje, ki lahko segajo na vsa področja poslovanja same organizacije. Omogoča, da se management osredotoči na važne strateške naloge. Med pozitivne možne učinke štejemo zlasti: (Bergant, 2010, str. 238) 3.3.1 Ekonomsko – finan čne učinke Znižanje in nadzorovanje stroškov, pretvarjanje stalnih stroškov v spremenljive, izboljšanje delovne učinkovitosti, zmanjšanje naložb v osnovna sredstva, razbremenitev notranjih finančnih virov, zmanjšanje potrebe po obratnem kapitalu in s tem izboljšanje kapitalske ustreznosti organizacije, delitev tveganja, izboljšanje bonitetne ocene in s tem posledično lažji dostop do zunanjih finančnih virov, povečanje dodatne vrednosti izdelkov ali storitev, povečanje vrednosti podjetja. 3.3.2 Organizacijske u činke Širša uporaba informacijske tehnologije, zmanjšanje obrobnih dejavnosti, izpopolnitev vodenja procesov in nadziranja, večja prilagodljivost okolju, povečanje uporabe ključnih dejavnosti, prenova organizacije in organizacijske kulture, kakovostnejše poročanje, izboljšano upravljanje s tveganji. 3.3.3 Trženjske u činke Izboljšanje podobe organizacije, povečana kakovost proizvodov in storitev, izboljšano zadovoljstvo potrošnikov, zmožnost hitrega prilagajanja obsega poslovanja, absolutna izkoriščenost tržnih kapacitet, povečana dostopnost na trgu zaradi priložnosti, večja konkurenčnost same organizacije. 3.3.4 Razvojne u činke Povečanje možnosti za inovacije in koristi prenove, pridobitev dostopa do posebnih znanj (know how), skrajšanje časa za oblikovanje novih proizvodov in storitev, spretnosti in tehnologije, ki v nasprotnem primeru ne bi bile dosegljive. 3.3.5 Kadrovske u činke Podrobna opredelitev napredovanj in razvoja zaposlenih, natančen potek usposabljanja zaposlenih, prekvalificiranje trenutnega kadra, povečanje vztrajnosti tudi na obrobnih področjih poslovanja.
14
Za uspešno izvajanje zunanjega opravljanja dejavnosti so pomembni naslednji dejavniki (Bergant 2010,povzeto poTurk D., 2002, str. 12):
- analiza smotrnosti, - izbira primernega zunanjega izvajalca, - natančna določitev pogodbenega razmerja, - ravnanje razmerij s ponudnikom, - vpliv na organizacijsko kulturo.
3.4 Tveganja in slabosti outsourcinga
Preden se podjetje odloči za najem zunanjega izvajalca dejavnosti, mora preučiti tveganja in slabosti, s katerimi se lahko sooči. Mnogi avtorji so mnenja, da se največje tveganje nanaša na izbiro napačnega pogodbenega partnerja in da se težave začnejo pojavljati po drugem letu pogodbenega sodelovanja. Naročnik mora od izvajalca dobiti občutek, da bo ta delal v njegovo dobro in da se bo skupaj z njim pripravljal in se prilagajal novim izzivom v poslovnem okolju. Tako prednosti kot tudi slabosti zunanjega opravljanja dejavnosti segajo na vsa področja poslovanja. Med negativne možne učinke štejemo zlasti: (Bergant, 2010, str. 239 )
- težko je oceniti prihranke na stroških, ker pogosto nimamo ustreznih podatkov o tem, koliko nas stane določen proces ali dejavnost,
- prihranki niso vedno tako visoki, kot so bili načrtovani, začetni stroški so visoki,
- nepričakovano povečanje stroškov izvajalca, - tveganje bonitete in stabilnosti izvajalca, - nezadovoljstvo zaposlenih in odpor, - težko je izmeriti, kako so zaposleni pri zunanjem izvajalcu predani
ciljem matičnega podjetja, - daljši čas med zaznavo in rešitvijo problema, - neustrezne in nezadostne informacije, - logistični stroški in stroški koordinacije, - tveganje sprememb organizacijske kulture zaradi spremenjene
strukture zaposlenih, - obstoj tveganja, da izvajalec razvoj in znanje izkoristi v lastno korist in
postane tekmec, - dolgoročno zmanjšanje inovativnosti v podjetju zaradi zmanjšanja
obsega lastnih raziskav, - večja poraba časa za nadziranje procesa oziroma zmanjšanje
poslovodnega nadzora. 3.5 Dejavnosti, pri katerih se podjetja najpogostej e odlo čajo
za uporabo outsourcinga Z leti se je obseg dejavnosti, med katerimi podjetja lahko izbirajo in se odločijo za izbiro najprimernejšega zunanjega izvajalca dejavnosti, širil.
15
Na podlagi večjega števila raziskav so dejavnosti, med katerimi se najpogosteje odločajo, naslednje:
- pravne storitve, - davčne storitve, - obračun plač, - računovodske storitve, - transportne storitve, - storitve čistilnih servisov, - storitve prehrane, - storitve varovanja, - storitve raziskav, - storitve razvoja, - storitve turističnih agencij, poslovna potovanja, - distribucijske storitve, - storitve informacijske tehnologije, - vzdrževanje računalniških sistemov, - vzdrževanja telekomunikacijskih sistemov (telefonija, telefaks), - storitve trženja, - marketinške storitve in raziskave, - storitve urejanja okolice.
Z izbiro zunanjega izvajalca se mora naročnik zavedati, da ta mogoče ne bo dosegel njegovega pričakovanja oziroma želenega rezultata. Za katero dejavnost se bo podjetje odločilo in jo bo predalo zunanjemu izvajalcu, v veliki meri ni odvisno od velikosti le-te. Razlika izhaja iz razlogov, na podlagi katerih se velike in male organizacije odločajo za najem zunanjih izvajalcev. Malo podjetje si pogosto ne more privoščiti izkušenih in dragih nosilcev vseh poslovnih funkcij. Zato je zunanje izvajanje opravljanja dejavnosti primeren inštrument za zagotovitev njegovega normalnega razvoja. (Bergant, 2010, str. 237)
16
4 ANALIZA INFORMACIJSKE VARNOSTI RAČUNOVODSKEGA SERVISA
Analizo informacijske varnosti v obliki outsourcinga ter v velikosti mikro – do 10 zaposlenih in manjšega podjetja – do 50 zaposlenih sem zaradi omejitve velikosti in obsega diplomske nalog izvedla zgolj kratek vsebinski pregled načina poslovanja računovodskega servisa prek vprašalnika z osebnim pogovorom, pri čemer dopuščam možnost, da imajo to področje drugi računovodski servisi urejeno tudi drugače (čeprav razgovori, splošno dostopne informacije ter primerjava z drugimi v branži ne kažejo drugače). Vsebino in odgovore pa sem uporabila za oblikovanje mnenja in komentarje v izbrani diplomski nalogi. Ker gre v večini primerov za manjša (v nekaterih primerih celo mikro) podjetja ali celo samostojne podjetnike (s. p.), te družbe niso certificirane ne po ISO standardih ne drugače in posledično ne izvajajo in (še) ne vpeljujejo vrste postopkov, kot so ti predpisani za večje družbe (kot bo to natančneje pojasnjeno in opredeljeno v nadaljevanju). Sicer pa novela ZVOP-1 določa, da upravljavci osebnih podatkov, ki imajo manj kot 50 zaposlenih, niso dolžni sprejemati internih aktov za zavarovanje osebnih podatkov, niti niso dolžni katalogov zbirk osebnih podatkov posredovati pooblaščencu (razen v primerih, ki jih določa ZVOP-1). 4.1 Kaj je informacija
Za razliko od definicije računovodske informacije 2.3, ki opredeljuje termin informacije, povezan z računovodskim in knjigovodskim procesom, je definicija informacije širša (in univerzalna) in o njej pravi Slovenski slovar knjižnega jezika sledeče: informácija -e ž (á) 1. kar se o določeni stvari pove, sporoči; obvestilo, pojasnilo: dati, dobiti informacijo; iskati informacije; imeti dobre, zanesljive informacije; napačna informacija; zahtevali so natančne informacije o bolnikovem zdravstvenem stanju; vir informacij / informacija o dogodku je bila nepotrebna informiranje // mn. celota vednosti o določeni dejavnosti ali področju, namenjena javnosti, podatki: turistične, železniške informacije; izmenjava informacij; oddelek za informacije / radijske, televizijske informacije poročila 2. elektr. množica vrednosti, ki jo (elektronski) računalnik sprejme ali po obdelavi izda: brati, hraniti informacijo; informacijo sestavlja šestdeset bitov / izhodna, vhodna informacija 3. mat. mera za ugotavljanje negotovosti o izidu poskusa: nastanek, uporaba informacije / teorija informacije teorija, ki proučuje količinske zakonitosti v zvezi z zbiranjem, prenašanjem in kodiranjem informacij ◊ biol. dednostna informacija (Vir: SSKJ) Informacija predstavlja praviloma podatek z dodano vrednostjo in ima lahko glede na kontekst, v katerem je uporabljena, (tudi) različne pomene, ki pa so praviloma povezani s pojmi, kot so zlasti:
- pomen, ko podatku dodamo pomen (dodana vrednost), dobimo informacijo, ki ima bistveno višjo vrednost od zgolj »podatka«,
17
- znanje, v informacijah in prek informacij lahko gradimo »svoje« znanje ali baze znanja,
- navodilo, v obliki navodil prenašamo informacije in jim tako damo smiselno vsebino,
- komunikacija, informacije (in podatke) zbiramo, obdelujemo tudi v informacijskih sistemih, prenašamo pa jih praviloma tudi prek telekomunikacijskih sistemov in interneta (oblika danes globalnega sistema, ki je iz vojaškega ARPAneta postal globalni telekomunikacijski in računalniški, omrežni sistem), papirja ter ostalih medijev (radijski valovi, sem sodi tudi svetloba), kot tudi računalniških medijev za masovno shranjevanje,
- predstavitev, za predstavitev in dojemanje realnosti uporabimo podatke, s katerimi želimo v prejemniku (ponor informacije) vzbuditi predstavo tako, da bo ta čim bolj blizu in podobna realnosti. Če želimo iz tega podatka dobiti informacijo, mora biti ta za nas v neki (čim večji) meri koristna.
Informacija je neko sporočilo ali poduk o nečem, kar je koristno za nas ali za nekoga, povezanega z nami oziroma z informacijo. Podatek je neko dejstvo, resnica, je lahko tudi slika ali zvok. Informacije imajo svoj izvor in svoj ponor*. Izvor je lahko iz živega ali neživega sveta. Informacije lahko zbiramo v različnih oblikah (slika, zvok, fizikalne količine …) in na različne načine (analogno, digitalno), posledično jih lahko tudi pretvorimo (konvertiramo). V času informacijske dobe in v informacijski družbi že vrsto let uporabljamo informacijsko tehnologijo, brez katere si danes težko predstavljamo sodobno življenje, dostop do znanja, podatkov in informacij, pa tudi učinkovito izvajanje poslovnih procesov. Ker je danes podatkov in informacij že skoraj preveč, jih moramo biti sposobni prefiltrirati in se omejiti le na tiste, ki so za nas koristni.
*ponòr -ôra m (ȍ ó) odprtina v kraških tleh, v katero izginja voda: voda je odtekla po skritih ponorih / ponor reke ◊ elektr. kraj, prostor v polju, kamor se stekajo silnice; geogr. večja vodoravna jama, v katero teče ponikalnica (Vir: SSKJ)
Ker sta informatika in računalništvo v današnjem času v ospredju, prihaja pogosto do rabe »informacije« brez ustreznega razumevanja njenega pomena. Kakovost informacije se »meri« skozi točnost, popolnost, preverljivost, relevantnost, dosegljivost oziroma razpoložljivost, dostopnost in varnost – slednje je sicer razumeti kot svojevrstno posebnost, saj je že z definicijo same varnosti iz leta 1995 iz angleškega standarda (British Standard) BS-7799, ki ga je objavila BSI Group in ga je spisal Governments Department of Trade and Industry (DTI), definirana s tremi osnovnimi področji: zagotavljanje zaupnosti, razpoložljivosti (dosegljivosti) in izvornosti. V preteklosti je bilo tudi zaznati dvome o tem, ali je varnost element in del kakovosti (informacije) ali pa gre za popolnoma svojo kategorijo.
18
Informacije in podatki so osrednji pojem obravnave v informatiki ter posledično informacijski podpori poslovnih procesov. Informacije v kontekstu »informatike« in informacijske podpore poslovanja predstavljajo predmet zbiranja, obdelave in hranjenja v informacijskem sistemu ter so v sodobnem času informatike v digitalni (številčni) obliki.
V preteklosti, v začetkih računalništva, v 60. letih preteklega stoletja, se je sicer delalo tudi na analognih računalnikih. Ti so bili strogo namenski in so do danes praktično izumrli. Tovrstni računalniki niso bili nujno le električne ali hidravlično mehanske naprave, v njihovo skupino umeščamo tudi nam bolj poznano logaritemsko merilo, t. i. »Rehenschieber«, ki datira v leta 1620 – 1630. Najpreprostejše logaritemsko računalo s pomočjo dveh lestvic, prikazanih na skalah, omogoča matematične operacije, kot so:
- množenje, - deljenje.
Pri računih, kjer je treba tudi seštevati in odštevati ročno in ne prek logaritemskega računala. V ta namen so imela nekatera (boljša in večja) logaritemska računala na hrbtni strani tudi dodaten pripomoček (adiator) (Pahor, D. In Drobnič M. 2002. ,Kodek, D. 2008)
V informacijski sistem oziroma računalnik (in njegovo programsko opremo – software) pridejo informacije v obliki podatkov, ki jih vnesemo preko vhodnih (perifernih) enot računalnika, kot so zlasti:
- tipkovnica, - miška, - zaslon, občutljiv na dotik, - mikrofon, - kamera in podobno.
Poznamo pa tudi avtomatizirane sisteme za zajem in prenos (primer zajemanja temperature, vlage in ostalih okoljskih parametrov na avtomatski vremenski opazovalnici, ki se potem prek serijske ali omrežne povezave vnesejo in/ali prenesejo v ciljni sistem, ki te informacije prejme, obdela in shrani. Kasneje na osnovi teh informacij nastane vremenska napoved, ki nam je dostopna prek svetovnega spleta in je na primer prikazana v dnevnih poročilih).
Ko ti podatki dobijo »dodano vrednost«, dobimo informacije. Informacije in podatki so v računalniku podani v dvojiškem, binarnem številčnem sistemu (skripta: dr. Peter Šuhnel: Uvod v informatiko
- Frelih, Slavko: Računalništvo in informatika: študijsko gradivo - Kostrevc, Ljubo
19
Podatke in informacije hranimo tako, da jih shranimo na podatkovni nosilec (običajno lokalni trdi disk računalnika ali strežnika). Razen tega trajnega pomnilnika in perifernih enot sestavljajo računalnik praviloma še:
- centralna procesna enota (procesor – CPU), - bralno-pisalni pomnilnik (RAM – Random Access Memmory), - napajalnik.
Računalnik je sistem, ki je praviloma sposoben izvajati zaporedje operacij eno za drugo (v zelo kratkem času – dokler ne govorimo o bolj kompleksnih sistemih, ki omogočajo paralelno hkratno obdelavo). Na osnovi programske opreme so ti stroji sposobni izvajati vrsto operacij tako, da nam močno olajšajo in pohitrijo delo, za katerega bi sicer potrebovali bistveno več časa. Ravno tako praviloma zmanjšajo verjetnost napak, programska oprema pa ima praviloma že (ali še) vgrajenih vrsto kontrolnih in drugih varnostnih mehanizmov. Iz uporabniškega vidika je pomembno dejstvo, da je računalnik zgolj stroj in kot tak podvržen tako okvaram strojne opreme kot napakam v programski opremi. Ravno tako (različni) podatkovni nosilci niso enako odporni na okoljske in druge vplive. Tako lahko pride do nenamerne, neželene spremembe ali izgube informacij. (Med računalničarji in programerji pa velja nepisano pravilo, da nič ne more prekositi neukega uporabnika – slednje se nanaša na področje uporabe in testiranja informacijskih sistemov, pa tudi pojavnosti napak v delovanju programske opreme, ki predstavlja del informacijskega sistema). 4.2 Kaj opredeljuje informacijsko varnost v ra čunovodskem servisu
Informacijska varnost pomeni varstvo oziroma zagotavljanje varnosti podatkov, informacij in informacijskih sistemov pred nezakonitim in/ali nepooblaščenim dostopom, uporabo, razkritjem, ločitvijo, združevanjem, spremembo ali uničenjem.
Izrazi, kot so zlasti:
- informacijska varnost, - varovanje računalniških sistemov, - varovanje informacijskih sistemov, - varovanje informacij, - varovanje podatkov,
se pogosto uporabljajo kot sinonimi. Kljub temu, da so ta področja in uporabljeni termini v medsebojnem odnosu in si delijo skupen cilj zagotavljanja zaupnosti, izvornosti ter razpoložljivosti informacij, obstajajo med njimi komaj opazne razlike. Informacijska varnost je smatrana kot zaupnost, izvornost, neokrnjenost (stanje, da se podatkov in/ali informacij nepooblaščeno ne spremeni) in razpoložljivost podatkov, ne glede na njihovo obliko: elektronsko, tiskano ali katero drugo.
20
Ena od kakovosti, povezanih s podatki in informacijami, izvira iz treh lastnosti:
- zaupnosti, - izvornosti (neokrnjenosti), - razpoložljivosti.
(ang. confidentiality, integrity and availability).
Informacijski sistem sestavljajo:
- strojna oprema, - programska oprema oziroma programske opreme, - pravila in standardi informacijsko varnostne industrije, ki se uporablja
kot korektivni mehanizem zaščite in preprečitve nastanka škodnih dogodkov na ravneh:
- fizični, - osebnostni, - organizacijski.
Bistveno je, da se (za)pove ali naloži v izvajanje pooblaščenim, kot so zlasti:
- administratorji sistemov, - uporabniki,
kako uporabljati in upravljati elemente informacijskega sistema tako, da se zagotovi informacijska varnost znotraj organizacije in širše.
Javne in zasebne institucije kopičijo velike količine splošnih pa tudi zaupnih informacij o njihovih zaposlenih, strankah, proizvodih, raziskavah, storitvah in finančnem položaju. Včasih je pomemben tudi kontekst in povezljivost teh informacij, kjer vsaka zase še ni sporna, zbrane v celoti pa predstavljajo nepredstavljivo grožnjo.
Večina teh informacij se zbira, obdeluje in hrani na računalnikih in informacijskih sistemih, prenaša pa se čez zasebna in javna omrežja ter druge telekomunikacijske sisteme. Zaupni podatki o poslovnih strankah, proizvodnih in/ali tržnih raziskavah (ki predstavljajo poslovne skrivnosti in so morebiti zanimive za industrijsko vohunstvo) bi lahko padli v roke konkurenta, posledično pa bi to vodilo v izgubo posla ali zmanjšanje konkurenčnosti na trgu. Nezakonito razkritje osebnih podatkov ali občutljivih osebnih podatkov pa bi lahko predstavljalo neposredno kršenje predmetne zakonodaje. Varovanje (vseh) zaupnih podatkov je tako poslovna kot tudi etična, pravna (v nekaterih primerih pa tudi moralna) zahteva, ki se ji ni mogoče izogniti. Informacijska varnost ima za posameznika pomemben vpliv na zasebnost, ki je v različnih kulturnih sredinah videna različno. V Sloveniji smo iz socializma in bivše države, kjer je bilo veliko družbene lastnine brez jasno izraženega lastništva, prešli v kapitalizem z jasno
21
izraženim lastništvom in spremenjenimi pravili (»kjer ni vse od vsakogar«), dojemanje nekaterih pa temu še ne sledi. Informacijska varnost se v zadnjih letih sicer močno razvija in pridobiva veljavo kot eden od ključnih stebrov podpore poslovanja družb.
4.2.1 Zgodovinski vidik
Glavni državniki in poveljniki vojska so od prvega dne pisanja in pošiljanja pisnih ukazov, navodil in depeš vedeli in se zavedali, da je treba nujno vzpostaviti mehanizme zagotavljanja zaupnosti vsebine dopisovanja.
Zaradi želje (in primernega varnostnega zavedanja) po varnosti komuniciranja so uporabljali pečatni vosek in druge priprave iz voska, da bi tako zaznamovali verodostojnost (izvornost) in dokazali, da nihče ni imel vpogleda v prenesene informacije, dokumente in tako preprečevali vmešavanje in zagotovili zaupnost komunikacije.
Gaj Julij Cezar je zaslovel z iznajdbo cesarske cifre leta 50 pred našim štetjem. Po Gaju Svetoniju bi si naj Gaj Julij Cezar dopisoval s Cicerom tako, da je vsako tretjo črko v besedilu nadomestil s črko, ki je bila v abecedi tri mesta za njo.
Druga svetovna vojna je prinesla velik napredek na področju informacijske varnosti in je zaznamovala začetek strokovnega področja in dela na obeh straneh, tako na področju razvoja in uporabe šifriranja (primer: nemški šifrirni stroj Enigma nemškega izumitelja Arthurja Scherbiusa), kot na področju razbijanja šifer in šifriranih sporočil (primer: Angleži in Poljaki v času 2. svetovne vojne, ki so delali v Bletchley parku na projektu Ultra). Razen tega so se začeli bistveno več posvečati fizični varnosti informacijskih nosilcev in informacij, kar se je zagotavljalo tako s sistemi fizičnega varovanja kot s sistemi mehanskega in tehničnega varovanja, s čimer se je kontroliral in omejeval dostop do informacijskih centrov oziroma področij, kjer so se deloma zbirale, vsekakor pa obdelovale in hranile informacije (na informacijskih nosilcih). Prav tako je to obdobje prispevalo k formalni klasifikaciji baz podatkov na osnovi občutljivosti (in namembnosti) informacij ter kdo sme dostopati do njih. V tem turbulentnem času se je tudi ogromno delalo na tem, da se je vedno več časa in energije posvečalo delu z ljudmi, za njihovo varnostno zavedanje, ki ga je bilo na neki točki mogoče spodbujati tudi z narodno zavestjo in pomenom boja proti okupatorskim silam.
Konec 20. stoletja in v zgodnjih letih 21. stoletja je prišlo do bliskovitega napredka v telekomunikacijah, računalniški strojni (predvsem pa procesni moči) in programski opremi ter algoritmih za šifriranje podatkov. Obdelava elektronskih podatkov je postala dostopna majhnim podjetjem in domači uporabi zaradi majhne, bolj zmogljive in cenovno ugodnejše računalniške opreme. Računalniki so postali medsebojno povezani v začetku preko BBS-ov in različnih računalniških omrežij (na primer DECnet podjetja Digital, Digital Equipment Corporation, v Sloveniji še najbolj poznan kot sistem, prek katerega so bile povezane slovenske knjižnice) ter z bliskovitim
22
razvojem interneta. Danes je resnično globalen splošno imenovan splet ali internet (ki je nastal iz ARPANET-a – Advanced Research Projects Agency Network (BBN in DARPA), ki velja za enega od temeljev današnjega interneta).
Bliskovito rast in široko uporabo zbiranja, obdelave ter hranjenja podatkov (v elektronski – digitalni obliki) in elektronskega poslovanja, ki (lahko) poteka deloma tudi prek interneta, spremlja tudi mednarodni terorizem, industrijsko vohunstvo, za kar so potrebne vedno boljše metode varovanja računalnikov, računalniških sistemov in omrežij, podatkov in informacij.
4.2.2 Osnovni principi
Informacijske varnosti sestavljajo zaupnost, izvornost (neokrnjenost) in razpoložljivost − poznano kot CIA triad(a).
Slika1:Grafični prikaz CIA triada
Prirejeno po: : http://www.isaca-washdc.org/presentations/2015/201506_session6.pdf
Zaupnost (confidentiality), celovitost (integrity) in razpoložljivost (availability)
Vir: http://www.isaca-washdc.org/presentations/2015/201506_session6.pdf
23
4.2.3 Zaupnost
V današnjem času ne moremo:
- biti vpisani v izobraževalne ustanove, - obiskovati knjižnic in si izposojati knjig, - biti zdravstveno zavarovani in biti prejemniki zdravstvene oskrbe, - pridobiti vozniškega dovoljenja, - pridobiti posojila, - koristiti socialnih transferjev, - ...
ne da bi razkrili zelo zaupne informacije o sebi, kot so:
- ime, - priimek, - naslov, - datum rojstva, - enotna matična številka občana - EMŠO, - davčna številka, - telefonska številka, - materialni status, - število otrok, - vrsta zaposlitve in osebni dohodek ali dohodek gospodinjstva, - delovno mesto, - sindikalna pripadnost, - zdravstveno stanje, - verska pripadnost ...
Navedeno predstavlja bolj ali manj, v nekaterih primerih pa tudi zelo zasebne informacije, ki se od nas zahtevajo (včasih tudi neupravičeno) za izvršitev določenega posla ali pridobitev neke koristi. Običajno jih razkrijemo z (za)upanjem, da bo oseba, poslovni subjekt ali institucija, ki ji zaupamo tako zasebne informacije, zagotovila njihovo zaščito pred nepooblaščenim razkritjem, posredovanjem − slučajnim (nenamernim) ali namernim, in da bodo naše informacije posredovane (zgolj) tistim, ki so pooblaščeni za dostop, in ki jih resnično in utemeljeno potrebujejo takrat, ko je to resnično potrebno. Dostop pooblaščenih oseb pa se ustrezno beleži (revizijska sled). Informacije, ki so smatrane kot zaupne že po naravi (so na primer kot take določene z zakonodajo), morajo biti dostopne, uporabljene ali razkrite zgolj za to pooblaščenim.
Do kršitve zaupnosti pride, ko je informacija, ki je tako klasificirana in/ali že po naravi smatrana (in jo je za razumeti) kot zaupna ali bi to morala biti, razkrita, kopirana, uporabljena s strani nekoga, ki za to ni pooblaščen.
Primer: Dovoliti nekomu, da gleda in vidi (ali celo fotografira) zaslon računalnika s prikazano zaupno vsebino ali podatkovni nosilec (papir) na delovni mizi, ki prikazuje zaupne podatke, do katerih ni pooblaščen, je kršitev zaupnosti. Ukradeni ali izgubljeni prenosni medij ali računalnik, ki
24
vsebuje nezaščitene ali neustrezno zaščitene ((za)varovane) zaupne informacije, pomeni kršitev zaupnosti, ker so informacije sedaj v rokah nekoga, ki ni pooblaščen, da bi jih imel in videl. Običajna težava pa je, da glede na zahteve (če te sploh obstajajo) po označevanju zaupnih vsebin programerji in arhitekti informacijskih rešitev v sodelovanju z lastniki in skrbniki teh podatkov morebiti le-te označijo na informacijskem mediju (ob tisku na papir), ne pa tudi na primer na samem zaslonskem pregledu oziroma v vseh oblikah, od zbiranja, obdelave, prenosa in hrambe informacij.
Elektronsko poslovanje uporablja tehnologije, kot je enkripcija (kodiranje podatkov), za zagotavljanje zaupnosti podatkov in informacij, shranjenih na podatkovnih nosilcih in ob prenosu prek telekomunikacijskih sistemov in interneta.
Primer: Ker pa je na primer oblika natisnjenih informacij na papirju (ta velja za enega od najstarejših podatkovnih nosilcev) v predstavitveni obliki, primerni človeku, enkripcija praviloma v tem primeru ne pride v poštev – je pa nujno in potrebno, da se tovrstni dokument označi s stopnjo zaupnosti, z njim so seznanjeni zgolj pooblaščeni delavci, pri prenosu se ga ustrezno kuvertira, za hranjenje pa se ga zaklene v trezor. Tiskanje se ne izvaja na omrežnem tiskalniku, ki stoji na hodniku poslovne zgradbe brez ustreznega nadzora in/ali omejitve dostopa in/ali drugih korektivnih varnostnih mehanizmov (na primer tiskanje iz tiskalniške vrste (le) ob avtentikaciji pooblaščenega uporabnika).
Informacijske tehnologije uporabljajo sistem avtentikacije uporabnika za dostop do računalnika in avtorizacij za delo na programski opremi IS na različnih nivojih prek uporabniških gesel in pooblastil. Pri tem je mogoča še dodatna raba komplementarnih varnostnih ukrepov, kot so zlasti omejitev dostopa glede na uro dneva, dneva v tednu, zaklepanje posameznih področij glede na smiselnost dostopa, omejevanje vrste dostopa glede na pooblastila (branje, pisanje, spreminjanje ...).
Ob vseh teh kontrolah pa je pomembno opozoriti, da je treba vlagati tudi v človeka, ki ima dostop do teh informacij in podatkovnih nosilcev. Njegovega znanja in varnostnega zavedanja praktično ni mogoče nadomestiti z nobeno od preostalih kontrol, ki jih imamo na voljo.
4.2.4 Izvornost
Ali neokrnjenost, kot to nekateri imenujejo, pomeni v sklopu pojma informacijske varnosti, da podatki ne smejo biti spremenjeni brez pooblastila. Mogoč primer izgube izvornosti se zgodi, ko informacijski sistem ni zaustavljen skladno s pravili, pri čemer do tega lahko pride tudi ob nenadni izgubi napajanja z električno energijo, nenadni okvari računalniškega ali diskovnega podsistema, ob prenosu podatkov in motnji ali drugem incidentu ob samem prenosu. Izgubo izvornosti prestavlja tudi nenamerna ali zlonamerna sprememba vsebine informacije in/ali podatka.
25
Primer1: Ob prenosu pomembnih podatkov (primer B2B ali B2C) napadalec prestreže informacijo med izvorom in ponorom ter jo spremenjeno posreduje ponoru.
Primer 2: Po izvedenem obračunu plač delavec (ali nekdo drug) naknadno nepooblaščeno spremeni podatke za izplačilo na trdem disku strežnika (v podatkovni bazi, v pripravljenih XML datotekah, v pripravljenih datotekah sistema za elektronsko bančništvo ...)
4.2.5 Razpoložljivost
Razpoložljivosti pomeni, da informacijsko-računalniški sistem obdela in posreduje informacije na zahtevo pooblaščenega uporabnika v primernem času (običajno je del tega urejen tudi prek SLA – Service Level Agreement, dogovora o nivoju zagotavljanja storitve), pri čemer varnostna kontrola varuje (na neki formalen način zagotavlja), da so (bodo) informacije razpoložljive in pravilno delujejo, ko je informacija zahtevana. Nasprotje razpoložljivosti je zavrnitev storitve.
Primer 1: Pred leti je predstavnica IP-RS na okrogli mizi o informatiki v Porotorožu izjavila, da je zanjo resnično varen le informacijski sistem, ki je ugasnjen in zakopan pod zemljo. S tem bi v teoriji bilo zadoščeno zgolj elementu zagotavljanja zaupnosti, nikakor pa ne tudi razpoložljivosti (v primeru, da bi pooblaščen uporabnik v tem času te informacije tudi potreboval, oziroma zahteval).
4.3 Razširjen model
Leta 2002 je Donn Parker predlagal alternativni model za klasično CIA triado (ang. confidentiality, integrity and availability), ki jo je poimenoval šest pomembnih elementov informacije. Njegov alternativni model vsebuje zaupnost, neokrnjenost, verodostojnost, razpoložljivost in uporabnost, ki so predmet debate med strokovnjaki za varnost.
4.3.1 Verodostojnost
Na področju informacijskih tehnologij, računalništva, e-poslovanja in informacijske varnosti je pomembno zagotoviti, da so podatki, izvrševanje, zveza in dokumenti (elektronski ali fizični) resnični (ne smejo biti ponarejeni).
4.3.2 Nezatajljivost
Obsega namen nekoga, da izpolni obveznosti do pogodbe. Prejete izvršitve ne morejo biti zanikane in tudi poslane izvršitve ne morejo zanikati. Elektronsko poslovanje uporablja tehnologije, kot so digitalni podpis in časovni žig za osnovanje verodostojnosti in neponarejanje (nezatajljivost).
Delno ali pa skoraj praktično v celoti to področje ureja v Sloveniji Zakon o elektronskem poslovanju in elektronskem podpisu (v nadaljevanju ZEPEP),
26
ki v svojem bistvenem delu ustvarja − uzakoni pogoje tovrstnega poslovanja in mu daje (priznava) enako veljavo, kot jo je imel do trenutka sprejema zakona lastnoročni podpis.
Načela zakona temeljijo zlasti na:
- načelu nediskriminacije elektronske oblike, - načelu odprtosti, - načelu pogodbene svobode strank, - načelu dvojnosti, - načelu varstva osebnih podatkov, - načelu varstva potrošnikov, - načelu mednarodnega priznavanja.
Načelo nediskriminacije elektronske oblike pomeni, da sta papirna in elektronska oblika smiselno in v praksi izenačeni.
Načelo odprtosti oziroma tehnološke nevtralnosti zagotavlja, da se zakon ne nanaša zgolj na eno od vrst tehnologije ali zgolj na sedanje rešitve (na primer rabe X.509 certifikatov ali enostavneje digitalnih potrdil - DP), temveč ostaja splošen in zaradi tega uporaben za daljše časovno obdobje in odprt ter pripravljen na nove tehnologije, ki bodo šele prišle.
Načelo pogodbene svobode strank omogoča strankam, da se dogovorijo in svoja razmerja uredijo tudi drugače. Tako zakon izrecno določa, da ne velja za zaprte sisteme, v katerih stranke s pogodbo vnaprej uredijo vse bistvene značilnosti delovanja sistema. Pogodbene stranke tako pri elektronskem poslovanju v zaprtih sistemih niso vezane zgolj na v zakonu predvidene rešitve.
Primer: Navedeno pomeni, da se lahko pogodbeni stranki dogovorita tudi za drugačen način (na primer) potrjevanja zaupnosti in izvornosti, nezatajljivosti v medsebojnem poslovanju, kot to določa zakon. Praviloma se odločajo za nižji standard varovanja, a se s takšnim načinom morata strinjati obe pogodbeni strani.
Zaradi tehnološke zapletenosti rešitev za elektronsko poslovanje sta pomembni tudi načeli varstva osebnih podatkov in potrošnikov. Načelo varstva osebnih podatkov (kar sicer ureja ZVOP) sledi najnovejšim pravilom, uveljavljenim v Sloveniji in Evropski uniji, glede varstva osebnih podatkov, ki so v elektronskem svetu še bolj izpostavljeni. Načelo varstva potrošnikov pa varuje povprečnega potrošnika, ki brez veliko tehnološkega znanja v zapletenem elektronskem poslovanju težje uveljavlja svoje pravice, in nalaga ponudnikom storitev posebno skrb za potrošnika.
Načelo mednarodnega priznavanja omogoča enostavno medsebojno priznavanje elektronskih dokumentov in podpisov ter s tem enostavno vključevanje slovenskega gospodarstva v mednarodno.
27
Zakon širše ureja elektronski podpis in delovanje overiteljev (certifikatski agencij – CA), ki so nujen pogoj za uporabo elektronskih podpisov (in še posebej varnih in kvalificiranih elektronskih podpisov).
Elektronski podpis se oblikuje s pomočjo sredstva za elektronsko podpisovanje (programska in strojna oprema) in podatkov za elektronsko podpisovanje (npr. zasebni šifrirni ključ) ter preverja s sredstvom in podatki za preverjanje elektronskega podpisa.
Iz uporabniškega vidika je za nas uporabnike pomembna določba ZEPEP in uredbe v zvezi z elektronskim podpisom, da se morajo sredstva in podatki za preverjanje elektronskega podpisa hraniti enako dolgo, kot se hranijo elektronsko podpisani dokumenti. Prav tako je vsakdo, ki hrani elektronsko podpisane podatke, dolžan najkasneje en mesec pred iztekom roka, ki ga je za veljavnost podatkov za elektronski podpis določil overitelj v javnem delu notranjih pravil, zagotoviti ponoven podpis teh podatkov s strani vseh oseb, ki so podatke elektronsko podpisale prvič, ali s strani notarja ali potrditev teh podatkov z varnim časovnim žigom overitelja. Če overitelj ni določil roka, je ponoven podpis potreben najkasneje z dnem konca veljavnosti kvalificiranega potrdila.
ZEPEP kot prekršek inkriminira uporabo (zlorabo) podatkov ali sredstev za elektronsko podpisovanje brez vednosti podpisnika ali imetnika potrdila.
Opisan elektronski podpis s potrdilom overitelja pa še ni enakovreden lastnoročnemu podpisu. Po ZEPEP je lastnoročnemu podpisu enakovreden in ima zato enako veljavnost in dokazno vrednost šele varen elektronski podpis, ki je overjen s kvalificiranim potrdilom. Varen elektronski podpis je elektronski podpis, ki izpolnjuje nekaj v zakonu taksativno naštetih zahtev. Po ZEPEP-UPB1 gre za elektronski podpis, ki izpolnjuje naslednje zahteve:
- da je povezan izključno s podpisnikom, - da je iz njega mogoče zanesljivo ugotoviti podpisnika, - da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so
izključno pod podpisnikovim nadzorom, - da je povezan s podatki, na katere se nanaša, tako da je opazna
vsaka kasnejša sprememba teh podatkov ali povezave z njimi.
Prav zahteva po neokrnjenosti podatkov je ena od osrednjih lastnosti varnega elektronskega podpisa v primerjavi z lastnoročnim. Razen tega, da mora biti varen elektronski podpis izključno povezan s podpisnikom in je tako iz njega mogoče zanesljivo ugotoviti podpisnika, mora biti podpis tehnološko zasnovan tako, da je povezan s podatki, na katere se nanaša, in bi bila opazna vsaka sprememba teh podatkov ali povezave z njimi, ki bi se zgodila po podpisu.
Podpisnik pa mora podpis oblikovati s pomočjo sredstev za varno elektronsko podpisovanje pod svojim izključnim nadzorom. Sredstva za varno elektronsko podpisovanje se od običajnih sredstev za elektronsko podpisovanje razlikujejo v tem, da izpolnjujejo posebne pogoje glede
28
varnosti in zanesljivosti, ki jih določa ZEPEP (podrobneje pa na podlagi zakona izdana uredba).
Varen elektronski podpis pa mora biti overjen še s kvalificiranim potrdilom. Takšno potrdilo ima enake značilnosti kot običajno potrdilo, le da zakon zanj podrobneje predpisuje njegovo vsebino ter način izdaje, uporabe in preklica. Prav tako so z zakonom in uredbo predpisani posebni, strožji pogoji glede overiteljev, ki izdajajo takšna kvalificirana potrdila (obvezno zavarovanje odgovornosti, posebne zahteve glede opreme in zaposlenih, zahtevnejši postopki, notranja pravila in podobno).
Vir: http://www.si-ca.si/pravnapojasnila.php
Na področju zunanjega izvajanja storitev se pri rabi digitalnih potrdil soočamo z nekaterimi dvomi, in sicer v imenu stranke in za stranko dostopamo do sistemov, kot sta predvsem:
- eDavki (edavki.durs.si), - AJPES (www.ajpes.si).
V skladu z Zakonom o gospodarskih družbah morajo poslovni subjekti, kot so:
- gospodarske družbe, - zadruge, - podjetniki, - pravne osebe javnega prava, - društva, nepridobitne organizacije, - prostovoljske organizacije,
oddajati letna poslovna poročila na: - AJPES, - Finančno upravo Republike Slovenije (v nadaljevanju FURS).
Večina poslovnih subjektov letna poročila oddaja do 31. marca tekočega leta za preteklo poslovno leto (velja za primer, da se poslovno leto konča in začne s prehodom iz starega v novo koledarsko leto). Z digitalnimi potrdili je zunanjemu izvajalcu, zunanjemu računovodstvu omogočeno, da po pooblastilu naročnika s svojim digitalnim potrdilom oddaja na sisteme:
- eDavki, - AJPES,
omenjena poročila v skladu z zakoni in podzakonskimi akti. Pooblastila pa se ne nanašajo samo na oddajo letnih poročil, ampak še na mnoga druga. Z uvedbo eDavkov je oddaja kakršnih koli obrazcev, vlog, potrdil v veliki meri možna samo preko sistema eDavki. Drugače je pri AJPESU. Tukaj je trenutno še možno osebno urejati zadeve na sami e-Vem točki AJPES-a. Pri pregledu storitev, ki jih nudi AJPES, vidimo, da se na sami enotni poslovni točki AJPES-a, ki se ji reče e-Vem točka, izvajajo storitve, povezane s samo ustanovitvijo podjetja. Preden se odločimo za ustanavljanje ene izmed poslovnih oblik podjetja, je smiselno prebrati in preučiti Zakon o gospodarskih družbah (ZGD-1), Uradni list RS, št. 65/09. Vir: http://www.pisrs.si/Pis.web/pregledPredpisa?id=ZAKO4291
29
Od same poslovne oblike podjetja je odvisno samo poslovanje podjetja, ki se nanaša na: vodenje poslovnih knjig, poslovne obveznosti, poravnavanje davčnih obveznosti in prispevkov in način delitve dobička. 4.3.3 Storitve Agencije Republike Slovenije za javn opravne evidence in storitve V tabeli so predstavljene storitve, ki jih nudi AJPES, osebno na e-Vem točki ali z digitalnim potrdilom in s tem povezanimi e-pooblastili za oddajo na AJPES
Slika 2:Grafični prikaz vrste storitev ter pojasnila in navodila za vnos na portalu e-VEM
Vrsta storitve ter pojasnila in navodila za vnos Prek
portala
Na
točki
VEM
Pri
notarju
na portalu e-VEM VEM
v skladu s tarifo
Odprtje začasnega TRR za enostavno eno ali več-osebno družbo DA
Odprtje začasnega TRR (portal e-VEM)
Registracija enostavne eno-osebne d.o.o. (vpis v sodni/poslovni register) DA DA DA
Ustanovitev enostavne enoosebne d.o.o. (portal e-VEM)
Registracija enostavne več-osebne d.o.o. (vpis v sodni/poslovni register) DA DA
Registracija ostalih vrst družb (vpis v sodni/poslovni register) DA
Odprtje elektronske knjige sklepov za novoustanovljene enostavne eno-osebne d.o.o. DA DA DA
Odprtje fizične knjige sklepov eno-osebne d.o.o. DA
Vpis nameravane firme DA DA
Prijava sprememb firme, poslovnega naslova, zastopnika in dejavnosti pri enostavni eno-osebni ali več-osebni d.o.o. v sodnem/poslovnem registru DA DA
Prijava vseh vrst sprememb za vse vrste družb DA
Izbris vseh vrst družb iz sodnega/poslovnega registra DA
Predložitev listin DA
Vpis, izbris in prijava sprememb o poslovni enoti v poslovni register DA
Sprememba dejavnosti v poslovni register DA DA
Oddajo vloge za izdajo obrtnega dovoljenja za poslovne subjekte, ki opravljajo obrtne dejavnosti DA DA DA
Vloga za izdajo obrtnega dovoljenja (portal e-VEM)
Prijava davčnih podatkov (na enotnem obrazcu: vpis v davčni register (obrazec DRO-04), obvestilo o izbranem davčnem obdobju (obrazec DO), izračun predvidene davčne osnove (obrazec IPDO)
DA DA DA Prijava davčnih podatkov (portal e-VEM)
Glej tudi:
Vpis v davčni register in davčna številka (Finančna uprava RS)
Predložitev zahtevka za identifikacijo za namene DDV (obrazec DDV-P2)
DA DA DA Obrazec DDV-P2 (portal e-VEM)
Prijava prostega delovnega mesta (obrazec PDM-1)
DA DA DA Obrazec PDM-1 (portal e-VEM)
30
Prijava zavarovane osebe v obvezna socialna zavarovanja (obrazec M-1)
DA DA DA Prijava oseb v obvezna socialna zavarovanja (M-1) (portal e-VEM)
Prijava družbenikov v obvezna socialna zavarovanja (M-1) (portal e-VEM)
Odjava zavarovane osebe iz obveznih socialnih zavarovanj (obrazec M-2)
DA DA DA Odjava oseb iz obveznih socialnih zavarovanj (M-2) (portal e-VEM)
Odjava družbenikov iz obveznih socialnih zavarovanj (M-2) (portal e-VEM)
Sprememba podatkov o zavarovancih v obveznih socialnih zavarovanjih (obrazec M-3)
DA DA DA Prijava sprememb podatkov o obveznih socialnih zavarovanjih na odprtih zavarovanjih (M-3) (portal e-
VEM)
Prijava sprememb podatkov o obveznih socialnih zavarovanjih na odprtih zavarovanjih za družbenike (M-
3) (portal e-VEM)
Pooblaščanje oseb za delo v sistemu e-VEM DA DA DA
Pooblaščanje (portal e-VEM)
Vir: (AJPES, 2016)
31
4.3.4 Elektronski dav čni obrazci za sistem eDavki,Finan čne uprave Republike Slovenije
Slika 3:Grafični prikaz davčnih obrazcev v eDavkih_FURS
Davčni obrazci v eDavkih Elektronski davčni obrazci v eDavkih. Seznam je razdeljen na sklope po vrstah obrazcev.
Obrazec Opis FO FOD PO
Dohodnina
Doh-Odm Napoved za odmero dohodnine
Doh-Ugo Ugovor zoper informativni izračun dohodnine
Doh-Vdc Vloga za uveljavljanje posebne olajšave za vzdrževane družinske člane pri informativnem izračunu dohodnine
Doh-Don Zahteva za namenitev dela dohodnine za donacije
Doh-KDVP Napoved za odmero dohodnine od dobička od odsvojitve vrednostnih papirjev in drugih deležev ter investicijskih kuponov
Doh-DHO
Napoved za odmero dohodnine od obresti na denarne depozite pri bankah in hranilnicah, ustanovljenih v Sloveniji ter v drugih državah članicah EU
Doh-Prem Napoved za odmero dohodnine od dohodka iz oddajanja premoženja v najem
Doh-Div Napoved za odmero dohodnine od dividend
Doh-Obr Napoved za odmero dohodnine od obresti
Doh-Zap1 Napoved za odmero akontacije dohodnine od dohodka iz zaposlitve (dohodki iz delovnega razmerja, pokojnine)
Doh-Zap2 Napoved za odmero akontacije dohodnine od dohodka iz zaposlitve
Doh-Zap3 Napoved za odmero akontacije dohodnine od dohodka iz zaposlitve (dohodek iz drugega pogodbenega razmerja) za rezidente
Doh-Dru Napoved za odmero akontacije dohodnine od drugih dohodkov
Doh-OdlKap Priglasitev uveljavljanja odloga ugotavljanja davčne obveznosti pri podaritvi kapitala zavezančevemu zakoncu ali otroku
PORODD Poročilo o doseženem prihodku iz naslova osebnega dopolnilnega dela
Doh-DejStr
Zahtevek za zmanjšanje davčne osnove od dohodka iz drugega pogodbenega razmerja zaradi uveljavljanja dejanskih stroškov pri informativnem izračunu dohodnine
Obrazci DDV
DDV-O Obrazec DDV-O za obračun davka na dodano vrednost
DDV-P2 Zahtevek za izdajo identifikacijske številke za DDV (domači)
VIES-KP (RP-O) Rekapitulacijsko poročilo
32
DDV-P3 Zahtevek za izdajo identifikacijske številke za DDV (tujci)
DDV-PN_Razkritje Razkritje podatkov o pavšalnem nadomestilu zavezanca
PD-O Poročilo o dobavah (76.a člen)
VATR-APP Zahtevek za vračilo DDV v drugi državi članici EU
VATR-PRA Vloga za prilagoditev odbitnega deleža
DDV-VE Zahtevek za vračilo DDV v potniškem prometu DDV-VE
DDV-VraciloNonEU (DDV-VTD) Zahtevek za vračilo DDV davčnemu zavezancu s sedežem v tretji državi
DDV-VlgPN Vloga pavšalnega nadomestila
DDV-SezPR Seznam izdanih in prejetih neplačanih računov po plačani realizaciji do 31. Decembra
DDV-PriPR Obvestilo o začetku uporabe posebne ureditve po plačani realizaciji
DDV-PD Poročilo o prodaji blaga na daljavo v druge države EU
DDV-ObrPN Obračun pavšalnega nadomestila
DDV-NPSvracilo (DDV-VPS) Zahtevek za vračilo DDV na podlagi dobave novega prevoznega sredstva v drugo državo članico EU
DDV-NPSpridobitev (DDV-PPS) DDV prevozna sredstva - pridobitve
DDV-NPSdobava (DDV-DPS) DDV prevozna sredstva – dobave
DDV-Iz Izjava za izbiro obdavčitve dobave/najema nepremičnine z DDV
DDV-DePR Zahtevek za prenehanje uporabe plačane realizacije
DDV-DeDDV Zahtevek za prenehanje identifikacije za DDV
EU-M1SS-Reg Registracija v posebno ureditev Unije - Mini VEM
EU-M1SS-DeReg Deregistracija iz posebne ureditve Unije - Mini VEM
EU-M1SS-DDV Obračun DDV (Posebna ureditev Unije) - Mini VEM
NonEU-M1SS-Reg Registracija v posebno ureditev izven Unije - Mini VEM
NonEU-M1SS-DeReg Deregistracija iz posebne ureditve izven Unije - Mini VEM
Ostale vloge
NF-PrevZav Vloga za preverjanje podatkov o davčnih zavezancih
NF-LD Lastni dokument
NF-ObrFO Vloga za obročno plačilo davka v največ treh mesečnih obrokih za fizične osebe
NF-OdlZav Vloga za odlog oziroma obročno plačilo davka z zavarovanjem
NF-OdlPS Vloga za odlog oziroma obročno plačilo davka v primeru hujše gospodarske škode
NF-OdpFO Vloga za odpis, delni odpis, odlog oziroma obročno plačilo davka za fizične osebe
NF-Upnik Prijava neplačanih računov, ki niso bili prijavljeni v OVP, s strani upnikov
NF-VKRPotrdilo Potrjevanje vezane knjige računov
33
Splošni obrazci eDavkov
EDP-PriSP Prijava strežniškega potrdila za uporabo spletnih storitev
VIES
VIES-Prev Vloga za preverjanje identifikacijskih številk v EU
PODO – Prispevki in dav čni odtegljaji
REK-1 Obračun davčnih odtegljajev od dohodkov iz delovnega razmerja
REK-1a Obračun davčnih odtegljajev od plačil vajencem, dijakom in študentom za obvezno praktično delo
REK-1b Obračun davčnih odtegljajev od pokojnin, nadomestil in drugih dohodkov iz naslova obveznega socialnega zavarovanja
REK-2 Obračun davčnih odtegljajev od dohodkov po ZDoh-2, ki niso dohodki iz delovnega razmerja
ODO-1
Obračun davčnih odtegljajev po 374. členu ZDavP-2 od plačil dohodkov rezidentov in nerezidentov po 70. členu ZDDPO-2 v povezavi z 260. členom ZDavP-2
ODO-1-NFI
Obračun davčnih odtegljajev po 374. členu ZDavP-2 od plačil dohodkov rezidentov in nerezidentov po 70. členu ZDDPO-2 v povezavi s 383.e členom ZDavP-2
PNiPD Obračun prispevkov za socialno varnost za delodajalce, ki niso plačniki davka
PODO-OPSVZ Obračun prispevkov za socialno varnost
PODO-OPSVL Obračun prispevkov za socialno varnost za lastnike zasebnih podjetij, ki nimajo plače
POPD Podatki o plačilu dohodka osebi, ki se po drugem odstavku 58. člena ZDavP-2 šteje za plačnika davka
NUI Obračun davčnega odtegljaja po 383.C členu zakona o davčnem postopku od dohodkov iz finančnih instrumentov
Kontrolni podatki
KP-KPD Podatki za odmero dohodnine
KP-KDVP Podatki za odmero dohodnine od dobička iz kapitala od odsvojitve vrednostnih papirjev in drugih deležev ter investicijskih kuponov
KP-KDVP-IFI_Vpogledi Vpogled v podatke za odmero davka od dobička iz kapitala
Davek od dohodkov iz dejavnosti
DDD-DDD Obračun akontacije dohodnine in dohodnine od dohodka iz dejavnosti
Davek od dohodkov pravnih oseb
DOD-DDPO Obračun davka od dohodkov pravnih oseb
Obrestna direktiva EU
ODE-PDO Poročilo o dohodku od prihrankov v obliki plačil obresti
Koncesijske dajatve
KD-ODKD (OKD-ODKD) Obračun koncesijske ter dodatne koncesijske dajatve
Davek na motorna vozila
34
DMV-O Obračun davka na motorna vozila
DMV-V Zahtevek za vračilo davka na motorna vozila
Igre na sre čo
DODKIS Obračun davčnega odtegljaja od dobitkov pri klasičnih igrah na srečo
KDIS Obračun koncesijske dajatve od iger na srečo
DIS Obračun davka od iger na srečo
DavS Obračun davka od srečk
SamPre Samoprepoved igranja posebnih in spletnih iger na srečo
Zavarovalni posli
PT Obračun požarne takse
DPZP Obračun davka od prometa zavarovalnih poslov
Priloge
NF-Priloga Priloga
Dobi ček
D-IFI Napoved za odmero davka od dobička od odsvojitve izvedenih finančnih instrumentov
Davek na tonažo
ODT Obračun davka na tonažo
Razkritje
IREK-21 Vloga za razkritje podatkov o obveznih prispevkih za socialno varnost iz delovnega razmerja
Ostale napovedi
ON-Dar Napoved za odmero davka od prejetega darila
Davek na bilan čno vsoto bank
DBVB Obračun davka na bilančno vsoto bank
Davek na finan čne storitve
DFS Obračun davka na finančne storitve
eVročanje
eVrocanje-POS Prijava/Odjava/Sprememba
Davčno potrjevanje ra čunov
DPR-PridobitevDP Zahtevek za pridobitev namenskega digitalnega potrdila za izvajanje postopka davčnega potrjevanja računov
DPR-PreklicDP Zahtevek za preklic namenskega digitalnega potrdila za izvajanje postopka davčnega potrjevanja računov
Legenda
FO: Za fizične osebe
FOD: Za fizične osebe z dejavnostjo
PO: Za pravne osebe
Beta: Obrazec je v fazi testiranja (Beta okolju) in še ni na voljo
Vir: (FURS, 2016)
35
Z notranjim pooblastilom omogočimo delavcu, ki je zaposlen v poslovnem subjektu, pravice poslovanja v eDavkih. Poslovni subjekt mora pred tem imeti izdano digitalno potrdilo na ime samega subjekta. Z zunanjim pooblastilom omogočimo pravice poslovanja v eDavkih fizični osebi, pravni osebi ali fizični osebi z dejavnostjo, ki ni zaposlena v samem poslovnem subjektu. Pooblastilo lahko v vsakem trenutku prekliče tako naročnik kot zunanji izvajalec dejavnosti (računovodski servis).
36
5 UPRAVLJANJE TVEGANJ PRI POSLOVANJU
CISA (Certified Information Systems Auditor v sklopu ISACA – takrat še z dolgim imenom Information Systems Adit and Control Association) Review Manual že od leta 2003 dalje opredeli to področje kot proces obvladovanja tveganj v obliki in kontekstu:
- prepoznavanja, - odkrivanja, - detektiranja,
in če je le mogoče tudi merjenja stopnje ranljivosti in groženj (upoštevajoč verjetnost samega varnostnega) incidenta za vse tiste (potrebne) resurse, ki jih uporabljajo podjetja, družbe pri svojem poslovanju za namen doseganja zastavljenih ciljev (s pomočjo računalniških in informacijskih tehnologij) ter odločanja o potrebnih preventivnih korektivnih ukrepih, za primer, da so ti potrebni za nižanje tveganja na za poslovodstvo sprejemljiv nivo.
Ker je metodologija »univerzalna«, jo je mogoče in smiselno aplicirati tudi na področja poslovanja, ki so z informatiko zgolj povezana ali od informatike popolnoma neodvisna.
Proces upravljanja s tveganji je po tistem, ko je inicialno zagnan ali vzpostavljen, venomer ponavljajoči se proces, ki je (naj bo) enkrat, ko ga vzpostavimo, zaženemo, časovno neomejen.
Razen v rednih časovnih obdobjih, ciklih je smiselno tudi izredno izvesti (samo)evaluacijski postopek (vedno) takrat, ko:
- izvedemo bistveno spremembo v načinu poslovanja, - pride do sprememb pri za poslovanje potrebnih resursih, - se bistveno spremeni okolje, v katerem poslujemo,
in posledično tudi grožnje in iz njih izhajajoča tveganja.
Primer: Če bi proces izvedli le v enem krogu in prišli do za poslovodstvo sprejemljivega preostalega tveganja, bi se to tveganje zaradi:
- sprememb poslovanja (lahko tudi lastnih zaradi spremenjenega proizvodnega portfelja, tehnologije v proizvodnem procesu),
- sprememb okolja, v katerem poslujemo (primer sprememb na trgu, kot so na primer gospodarska kriza, bančna kriza, kriza na trgu nepremičnin, kriza v dobavi energentov, bistvena sprememba cen energentov, bistvena sprememba na področju obdavčitev, sprememb zakonodajnega okvira ...),
kar hitro bistveno spremenilo.
37
Če procesa ne bi izvajali dalje (kot procesa nenehnih izboljšav), poslovodstvo ne bi moglo biti seznanjeno s spremenjenim preostalim tveganjem, ki bi lahko bilo bistveno večje in predvsem »po novem« nesprejemljivo za poslovodstvo. Že vpeljani preventivni korektivni ukrepi pa bi postali neustrezni oziroma glede na spremenjene okoliščine nezadostni.
Ker se torej okolje neprestano spreminja, nastopajo nove in nove grožnje, spreminja pa se lahko tudi verjetnost nastanka škodnega dogodka ali dogodka z negativnimi posledicami za naše poslovanje. Ravno tako se spreminjajo zakonski okviri in kar je bilo še včeraj zakonito in sprejemljivo, postane ob spremenjeni zakonodaji, zakonodajnem okviru, v katerem poslujejo poslovni subjekti, nedopustno.
Preventivni korektivni ukrepi, ki jih načrtujemo in vpeljujemo, morajo zmanjšati tveganja na za poslovodstvo sprejemljivo raven (ki pa ne sme biti drugačna (slabša) od minimalne zakonsko predpisane na področjih, kjer tovrstne omejitve imamo), vsekakor pa morajo biti tudi ustrezno uravnoteženi z vidika vrednosti, ki jo »varujemo«, in vložka, ki ga za to investiramo ter posledic, ki ga bo morebiti spremenjeni način poslovanja imel na produktivnost, kakovost proizvodov, ugled družbe v javnost itd.
Tveganje nam ob ustreznem odstotku verjetnosti pomeni možnost, da bi lahko zaradi različnih dejavnikov prišlo do škodnega dogodka ali podobnega negativnega razpleta. Z načrtovanjem in vpeljavo preventivnih korektivnih ukrepov to tveganje zmanjšamo na sprejemljivo raven ali pa ga popolnoma izničimo.
Ranljivost je stanje, zaradi katerega je mogoče, da bo prišlo do škodnega dogodka ali podobnega negativnega razpleta. (Primer: Na avtomobilu (ali delovnem stroju) so okvarjene ključavnice (ali pa jih to specializirano vozilo sploh nima) in ga ni mogoče zakleniti. To stanje vozila predstavlja ranljivost. Tveganje, da bo ta ranljivost izkoriščena, je minimalno, ker vozilo stoji v popolnoma zaklenjeni garaži stanovanjske hiše. Grožnja je, da bi prišlo do odtujitve – kraje vozila, mogoč korektivni varnostni ukrep pa je vgradnja dodatne alarmne naprave z dodatno funkcijo onemogočanja zagona motorja in z nadziranjem lokacije vozila prek satelitskega določanja pozicije in mobilnega omrežja.)
Z evaluiranjem tveganj se ukvarjajo strokovnjaki, ki imajo potrebna specializirana znanja s področja poslovanja in metodologije za izdelavo ocene tveganja, ki se lahko tekom procesa spreminjajo/menjujejo skozi čas izvedbe analize tveganj. Absolutne varnosti ni, zaradi tega tudi ni pričakovati, da bi bilo mogoče identificirati vse grožnje ranljivosti in pravilno ovrednotiti vsa tveganja.
Primer: Tudi na področju jedrskih elektrarn so v preteklosti praviloma delovali vrhunski svetovni strokovnjaki vseh področij, pa nam nesreči v danes ukrajinskem Černobilu leta 1986 in v japonski Fukušimi leta 2011 kažeta, da vseh tveganj enostavno ni mogoče izključiti (in da žal popolne varnosti ni).
38
ISO/IEC 27002:2005 vzpostavlja smernice in osnovna načela za zagon, implementacijo, vzdrževanje in izboljšave upravljanja informacijske varnosti v organizaciji in vsebuje dobre prakse in cilje ter kontrole na navedenih področjih upravljanja informacijske varnosti:
- varnostna politika, - organizacija informacijske varnosti, - upravljanje s sredstvi, - varnost človeških virov, - fizična in okoljska varnost, - komunikacijsko in operacijsko upravljanje, - kontrola dostopa, - pridobitev razvoj in vzdrževanje informacijskega sistema, - obvladovanje informacijsko varnostnih incidentov, - upravljanje neprekinjenega poslovanja, - normativna skladnost.
Vir: http://www.iso.org/iso/catalogue_detail?csnumber=50297
5.1 Upravljanje tveganj
Je široko in kompleksno področje, ki je odvisno tudi od vrste in obsega poslovanja družbe in sestoji iz ugotovitve potrebnih virov in njihove vrednosti. Kaj moramo varovati, kdo in kaj so grožnje in katere so ranljivosti. Kakšne posledice bi imela sprememba, poškodovanje ali izguba. Kakšna je vrednost organizacije ter kaj je mogoče narediti za minimiziranje izpostavljenosti ali potencialno škodo.
To zajema: vse potrebne vire za poslovanje družbe ali organizacije z rabo informacijske tehnologije (v nadaljevanju IT):
- potrebne prostore za poslovanje, tako za delavce kot za namestitev IT, - napajanje IT, - računalniško in omrežno opremo, - programsko opremo, - dostop do interneta in morebiti tudi drugih telekomunikacijskih
sistemov, - podatkovne nosilce (od papirja, disket, tračnih enot, optičnih medijev,
diskovnih sistemov ...), - klimatizacijo (gretje , hlajenje).
Evidentiranje zatečenega stanja, topografije omrežja, računalniške opreme, operacijskih sistemov, apliciranih varnostnih popravkov, apliciranih orodij in sistemov za zagotavljanje (povečevanje) varnosti. Evaluacija varnostne politike oziroma politik in/ali pravilnikov, standardov. Kakovosti apliciranih kontrol. Fizična varnost namaščenih elementov, ki jo zagotavljamo s sistemi tehničnega in (po potrebi) fizičnega varovanja.
39
Oceno ranljivosti, ki smo jim izpostavljeni, izvajamo z namenom identifikacije trenutne izpostavljenosti (na področjih zagotavljanja zaupnosti, celovitosti/izvornosti ter razpoložljivosti). V ta namen uporabljajo strokovnjaki (na nekaterih področjih počno to white hat oz. etični hekerji) posebna orodja, ki identificirajo (znane) posamezne ranljivosti v sistemih in omogočajo strukturirano zbiranje vseh potrebnih podatkov o obstoječih ranljivostih. Uporaba tovrstnih orodij mora biti vnaprej odobrena s strani poslovodstva.
Grožnje, ki smo jim izpostavljeni:
Človeške:
- vojna, - terorizem, - dejstvovanje računalniških hekerjev (black hat), - dejstvovanje nezadovoljnega zaposlenega.
Naravne:
- požar, - poplava, - potres, - atmosferska razelektritev (strela).
(Navedenih je zgolj nekaj primerov)
Poslovodstvo ima možnost po seznanitvi sprejeti preostalo tveganje, če je to zanj sprejemljivo zaradi že navedenih razlogov (majhne verjetnosti za nastanek škodnega dogodka, nizke potencialne škode, ki bi lahko nastala ...). Lahko naroči načrtovanje in vpeljavo novih in dodatnih preventivnih korektivnih ukrepov in izvedbo ponovne ocene tveganja, lahko pa se odloči, da del posla prenese na zunanjega izvajalca storitve in tako ob prenosu dela poslovanja prenese tudi s tem povezana tveganja na outsourcing partnerja.
Primer: Tveganja, povezana s storitvijo notranjega računovodstva v manjši družbi z le enim zaposlenim na tem področju, ki je za svoje delo le delno obremenjen, so bila za poslovodstvo prevelika, zato so se odločili in izbrali zunanje računovodstvo (kot outsourcing pogodbenega partnerja – izvajalca storitve). S tem so prenesli tveganja (del tveganj) na zunanjega izvajalca.
Tveganja, povezana s poslovanjem družbe ali organizacije z rabo (podporo) informacijskih tehnologij, obvladujemo (manjšamo) z vpeljavo različnih kontrol:
40
5.2 Upravne ali proceduralne kontrole
Sestavljajo:
- politike, - definirane delovne postopke, - vpeljave in sledenje implementiranim standardom, - sledenje in povzemanje dobrih praks.
Primer logičnih in tehničnih kontrol:
Na nivoju družbe ali organizacije se določi krovno varnostno politiko in ostale podredne politike ali pravilnike, kot so zlasti:
- pravilnik za zagotavljanje varnostnih in arhivskih kopij podatkov, - pravilnik glede menjave gesel, njihove dolžine in kompleksnosti, - pravilnik za varno posredovanje podatkov poslovnim partnerjem, - pravilnik za varno rabo interneta, - pravilnik za varno rabo elektronske pošte, - pravilnik glede rabe digitalnih potrdil, - pravilnik za dodajanje in odvzemanje pooblastil dostopa do aplikacij
in/ali podatkov.
Primer: Delavec začne svojo poklicno pot na delovnem mestu A in v svoji poklicni karieri v (isti) družbi zamenja še štiri delovna mesta. Ob opravljanju petega ni nič neobičajnega, da poseduje še dostop (avtorizacijo) za dostop do vsega potrebnega, kar je delal na predhodnih štirih delovnih mestih. Nič neobičajnega pa ni niti to, da uporabniško ime in geslo z vsemi potrebnimi pooblastili obstaja še tudi po tem, ko je delavec prekinil delovno razmerje. Vse navedeno pa predstavlja nepotrebno tveganje, ki bi se mu bilo mogoče enostavno izogniti.
Dandanes je redko videti, da bi s pooblastili upravljala kadrovska služba sama ali v sodelovanju z administratorji posameznih sistemov.
5.3 Fizične kontrole
Fizične konrole nadzirajo in kontrolirajo delovno mesto in računalniške pripomočke. Fizično varnost nameščenih sistemov zagotavljamo s sistemi tehničnega in fizičnega varovanja. Primer: Pristopna kontrola za vhode, prehode, zapornice, posebna vrata, ki omogočajo vstop/izstop eni sami osebi, sistemi za zagotavljanje okoljskih parametrov, hlajenje, ogrevanje, požarni in drugi alarmi, video nadzor (CCTV). Sistemi, ki detektirajo in/ali onemogočajo širjenje ognja, ograje, varnostni sistemi itd. Ločenost sistemskega prostora, prostorov za omrežno in komunikacijsko opremo in delovnega prostora je prav tako fizična kontrola.
Pomembna fizična kontrola, ki je pogosto prezrta, je ločenost obveznosti (razmejitev pristojnosti), ki zagotovi, da posameznik ne more kritično opraviti naložene naloge.
41
Primer: Zaposleni, ki zbira, pripravi vse podatke za izplačilo in pripravi plačilne liste, naj ne bo tisti, ki odobri in izvede izplačilo. Zaposleni, ki pripravlja predloge za nagrado za uspešnost, naj ne bo tisti, ki pripravi, potrdi in izvede izplačilo nagrade.
Vloge in obveznosti morajo biti ločene. (SoD – Segregation of Duties ali Separation of Duties)
5.4 Varnostna klasifikacija podatkov
Važen segment zagotavljanja informacijske varnosti in upravljanja z njo predstavlja določanje stopnje (razreda) zaupnosti glede na vsebino informacije. Vse informacije in podatki se glede na vsebino ne uvrščajo v enak razred zaupnosti, saj tudi njihovo morebitno razkritje, sprememba ali nerazpoložljivost ne predstavljajo enake ali enako visoke (hude) škode. Zaradi tega tudi nista potrebna enak način in nivo varovanja. Zaradi tega glede na potencialno škodo določimo različno varnostno klasifikacijo informacij in podatkov. Pomembno vlogo pri tem igra tudi še lastništvo in skrbništvo, posledično pa tudi odgovornost za varnost podatkov in informacij. Določanje zaupnosti in klasifikacija zaupnosti informacij je odgovornost pristojnega člana poslovodstva ali poslovodstva družbe – organizacije nasploh. Ravno tako je potrebno in smiselno, da se ob določitvi stopnje zaupnosti tudi hkrati določi postopke in posledice za primer razkritja zaupne informacije (informacije, ki ji je bila skladno z načrtom določena stopnja zaupnosti). Pri določanju načina varovanja je treba določiti tudi čas, kako dolgo bo ta klasificirana informacija imela ta status oziroma kdaj bo zastarala. Neka informacija, ki je danes strogo zaupna poslovna skrivnost, bo morda čez dan ali dva postala skozi objavo v (na primer) letnem poročilu javna in tako ne bo več obstajala potreba ali zahteva, da se to informacijo na enak način še nadalje varuje.
Primer: Pri družbah, ki kotirajo na borzi, lahko razkritje poslovnih rezultatov pred seznanitvijo po pravilih borze povzroči nepopravljivo škodo, po redni objavi poslovnih rezultatov pa ti podatki postanejo javni. S tem tudi preneha zahteva po stopnji zaupnosti, ki se s samo objavo umakne (ko za to ni več potrebe).
Ob različnih oznakah zaupnosti informacij poznamo tudi primere, kjer določitev zaupnosti za določeno vrsto informacij predpisuje že sama zakonodaja.
Primer: Podatki, ki jih ureja Zakon o tajnih podatkih, še posebej pa Zakon o varstvu osebnih podatkov, ki opredeljuje osebne podatke in občutljive osebne podatke.
5.5 Nadzor dostopa
Možnost dostopa do klasificiranih in posledično zavarovanih podatkov in informacij mora biti omejena zgolj na pooblaščence – pooblaščene uporabnike. Informacijski sistem in oprema, s katero se obdeluje, prenaša
42
in hrani podatke in informacije, morata biti ustrezno izbrana, konfigurirana in po potrebi podobno (ali enako) opremljena za avtentikacijo kot eden od pooblaščenih uporabnikov. Tako se zagotovi, da so vzpostavljeni ustrezni mehanizmi na mestih, kjer se nadzira dostop do klasificiranih informacij (in/ali podatkov). Dovršenost in kompleksnost vzpostavljenih postopkov je običajno zastopana s sistemi, kot so zlasti:
- identifikacija, - avtentikacija - večfaktorska prijava, - avtentikacija po sistemu dveh parov oči.
Pri beleženju dostopa se ponovno izpostavi razmejevanje odgovornosti in/ali ločevanje obveznosti, tako da je (bo) zagotovljeno, da revizijska sled (LOG datoteka) ne bo pobrisana ali spremenjena ter da bo ustrezno in za primerno (zahtevano) časovno obdobje tudi varnostno kopirana in arhivirana.
5.6 Identifikacija
Je podatek, kdo oziroma kaj nekdo je. Preden dotičnemu uporabniku dodelimo dostop do klasificiranih informacij, moramo preveriti, ali je dotični, ki se za neko osebo izdaja, resnično ta oseba. V primeru, da govorimo o manjših družbah in pooblastilih zgolj lastnim zaposlenim, to še ne predstavlja tako velikega izziva kot v primeru multinacionalk in družb z več tisoč zaposlenimi na več lokacijah in v več časovnih območjih.
5.7 Avtentikacija
Je postopek ali korak, ki preverja trditev o identiteti. Ko se dotični v okviru postopka predstavi in identificira, ga na drugi strani uslužbenec pozove, da se izkaže – avtenticira z osebnim dokumentom, vozniškim dovoljenjem ali nekim dokumentom z zadostno stopnjo zaupanja in veljave, ki praviloma vsebuje tudi fotografijo dotičnega ... Če se podatki (tako fotografija kot iz vrste dokumenta razvidni (morebitni) drugi podatki, kot so zlasti:
- ime - priimek, - spol, - naslov bivanja, - fotografija, - številka dokumenta, - davčna številka (ki pa je nimajo vse države EU), - enotna matična številka občana (ki pa je nimajo vse države EU),
ujemajo z navedenimi, velja, da je oseba dokazano dotična.
43
Praviloma govorimo o več različnih tipih podatkov in/ali informacij, ki jih je mogoče posamično ali kombinirano uporabiti v okviru postopka avtentikacije:
- nekaj, kar veš, - nekaj, kar imaš, - nekaj, kar si.
Nekaj, kar veš (oseba v procesu avtentikacije ve), prestavljajo zlasti:
- PIN*, - geslo, - rojstni datum - podobni podatki ali informacije, ki so znani (po možnosti) le
avtenticirancu.
Personal identification number (v nadaljevanju PIN) predstavlja osebno identifikacijsko številko in je numerično geslo za avtentikacijo uporabnika v sistem. Najbolj pogosta raba osebne identifikacijske številke je v primeru kreditnih in debetnih (bančnih) kartic.
Nekaj, kar imaš – poseduješ, predstavljajo zlasti:
- vozniško dovoljenje, - osebni dokument, - službena izkaznica, - čip kartica, - brezkontaktna (na primer RFID*) kartica (pristopne kontrole), - digitalno kvalificirano potrdilo (na ustreznem mediju).
*Radiofrekvenčna identifikacija (Radio Frequency IDentification, kratica RFID) je tehnologija za prenos podatkov med čitalnikom in identifikacijsko napravo (nalepko, oznako (TAG-om). »Oznaka« je sestavljena iz integriranega vezja, ki hrani in procesira podatke, ter izvaja modulacijo in demodulacijo signalov prek antene.
Primer rabe v današnjem življenju:
- biometrične potne listine, - pametni mobilni telefoni, - logistika.
Nekaj, kar si, je področje biometričnih lastnosti avtenticiranca.
Raba biometrije predstavlja analizo in ujemanje (prepoznavo) lastnosti, kot so:
- prstni odtis, - odtis dlani, - oblika ušesne mečice,
44
- karakteristični posnetek glasu, - fotografija očesne mrežnice, - fotografija očesne šarenice, - oblika obraza (prepoznava obraza prek fotografiranja ali laserskega
zajema - skeniranja).
Biometrija je proces zbiranja, preučevanja in shranjevanja podatkov o posameznikovih fizičnih lastnostih z namenom identifikacije in avtentikacije. Uporaba biometrije je zaradi vse naprednejših metod in strojne in v ta namen razvite programske opreme v porastu. Raba biometrije naleti v mnogih primerih tako na odpor samih uporabnikov IT kot tudi regulatornih organov, ki se ukvarjajo z varovanjem zasebnosti (primer IP-RS). Odpor do tovrstnih rešitev je marsikdaj neutemeljen, saj na primer čitalniki prstnega odtisa praviloma ne shranjujejo posnetka celotnega prstnega odtisa, ampak iz posnetka prstnega odtisa izberejo nekaj ključnih točk s smernimi vektorji, primerjajo pa zgolj te. Iz shranjenih karakteristik prstnega odtisa praviloma ni mogoče poustvariti nazaj celotnega »posnetka« prstnega odtisa. Tako je bolj nevarno v domačem lokalu pustiti na mizi kozarec s prstnim odtisom kot pa se biometrično s prstnim odtisom avtenticirati v informacijski sistem.
Z razvojem tehnologij v prihodnjih letih in desetletjih lahko pričakujemo tudi senzorje in sisteme, ki bodo delovali na principu analize DNK. S tem se bi (bo) odprlo poponoma novo področje groženj in iz njih izhajajočih tveganj.
Bolj kompleksno avtentikacijo izvajamo kot kombinacijo dveh ali več navedenih.
V primerih, da še to ni dovolj, je mogoča implementacija kontrol po metodi dveh parov oči (da se morata avtenticirati dva pooblaščena uporabnika).
Primer: Trezorji, kjer sta za odklepanje potrebna dva ključa, ki sta v posesti dveh pooblaščencev, ta pa morata tako hkrati vstaviti ključ in skupaj odkleniti vrata trezorja. Tako na neki način izključujeta neovito točko odpovedi (posledično manjše tveganje za možnost zlorabe).
Danes je še vedno najbolj razširjena uporaba uporabniškega imena in gesla. Takšna oblika avtentikacije kljub politikam spreminjanja gesel kot tudi zahtevi po njihovi kompleksnosti ne zadovoljuje današnjih zahtev. Počasi, a vztrajno jih zamenjujejo kompleksnejši avtorizacijski sistemi.
Na različnih operacijskih sistemih in v kombinacijah teh, kot sta zlasti UNIX in Windows, so (na primer):
- Kerberos, - Radius, - Tacacs, - Active Directory.
Ravno tako pa najdemo še podobne integrirane rešitve za področja požarnih zidov, dostopnih točk, usmerjevalnikov ... Vse uspešne prijave kot
45
tudi in predvsem neuspešne poskuse avtentikacije mora sistem zabeležiti. Večje število (odvisno od politike) mora voditi v alarmiranje in zaklepanje uporabniškega računa, prav tako pa mora vsak dostop v sistem in do informacije pustiti ustrezno revizijsko sled.
5.8 Kriptografija
Za doseganje informacijske varnosti uporabljamo kriptografske mehanizme in namensko programsko opremo, ki preoblikuje »enostavno berljive« oblike informacij v obliko, ki je uporabna (berljiva) samo za »pooblaščene« uporabnike, ki posedujejo primerno tehnologijo (programsko opremo) in zahtevan »ključ« za branje. Tovrsten proces imenujemo enkripcija. Šifrirano informacijo je mogoče preoblikovati nazaj (dešifrirati) v prvotno obliko zgolj s primerno programsko opremo in pooblaščenim uporabnikom s pripadajočim šifrirnim ključem ter za to potrebnim orodjem. Tako zagotovimo višji nivo varnosti.
Za šifriranje podatkovnih datotek in vsebine e-pošte je mogoče uporabljati programsko opremo za enkripcijo, kot so:
- GnuPG, - PGP, - odjemalci, ki imajo že implementirano rabo digitalnih potrdil (DP), na
primer X509 certifikatov (primer Microsoft Outlook).
Ker navedena programska oprema in njena uporaba še vedno prestavljata večjo oviro velikemu številu uporabnikov informacijskih sistemov (za uspešno šifrirano komunikacijo pa potrebujemo razen izpolnjenih vseh tehničnih pogojev še izobraženega uporabnika na obeh straneh varovane komunikacije), se v namen višjega nivoja zagotavljanja varnosti pri prenosu prek standardnih odjemalcev elektronske pošte na primer uporablja tudi komprimiranje prenesenih datotek (v format ZIP ali RAR), zaščitenih s kompleksnim geslom.
Primer: Raba 7-Zip z AES–256 enkripcijo
Uporabo navedenih mehanizmov, rabe digitalnih potrdil podpirajo že vrsto let sistemi elektronskega bančništva nekaterih bank, pri čemer pa nekatere (vsaj ena) stavijo zaradi nekaterih drugih prednosti na sistem enkratnih gesel.
Digitalna (kvalificirana) potrdila pa uporabljajo tudi nekatere državne institucije, kot sta na primer sistema eDavki in e-Vem.
Ureditev dela področja rabe digitalnih kvalificiranih potrdil ureja v Sloveniji ZEPEP.
Področje zagotavljanja informacijske varnosti mora zagotoviti varnost skozi celoten proces, od zbiranja, obdelave in hranjenja, kot tudi do ireverzibilne (nepreklicne, nepovrnljive) odstranitve. Običajno brisanje datoteke s
46
pregledovalnikom in upravljalnikom datotek iz diskovnega sistema namreč pobriše samo kazalec, ne pa tudi celotne vsebine datoteke, ki jo je v veliki večini primerov s specializiranimi orodji mogoče obnoviti. V namen ireverzibilnega brisanja datotek z lokalnega diska, s katerim prepišemo vse lokacije trdega diska, na katerih je bila shranjena datoteka, se uporablja posebna (namenska) programska oprema, kot je na primer: BCWipe (BCWipe - http://www.jetico.com/products/enterprise-data-protection/bcwipe/ ) Tega je vsaj v preteklosti uporabljal tudi starosta informacijske varnosti Bruce Schneier.
(Vir: https://www.schneier.com/blog/archives/2009/09/file_deletion.html )
Informacije in podatki morajo biti ustrezno varovani, tako med prenosom in pri obdelavi kot pri hranjenju.
5.9 Informacijska tehnologija Izvajalec mora imeti vso informacijsko tehnologijo vzpostavljeno v skladu z veljavno zakonodajo, če uporablja takšno programsko opremo, ki zahteva licenciranje. Hkrati mora uporabljati takšne informacijske sisteme, katerih nabava in/ali najem sta zakoniti. To področje v RS ureja Zakon o avtorskih in sorodnih pravicah (ZASP). Izvajalec mora uporabljati takšen informacijski sistem, ki v vsakem trenutku omogoča vpogled v poslovne knjige. Priporoča se, da izvajalec pri svojem delu uporablja tak informacijski sistem, da ima naročnik možnost neposrednega vpogleda v svoje podatke. Hkrati je priporočljivo, da pri vsakodnevnem delu uporablja sodobne informacijske rešitve, ki omogočajo čim hitrejši vnos podatkov, ki temeljijo na sistemu enkratnega vnosa informacije. Informacijski sistem mora omogočati branje, vnos in kreiranje e-računa v skladu s predpisanimi standardi. Hkrati mora informacijski sistem omogočati kreiranje takšnih izpisov, ki jih lahko izvozimo v razne druge formate, kot so npr. Excel, PDF, XML ipd. Izvajalec mora zagotoviti, da je v vsakem trenutku možen vpogled in izpis poslovnih knjig do 10 let nazaj. Iz tega izhaja, da morajo biti pomnilni diski, pravilneje diskovne kapacitete, dovolj zmogljivi, ustrezno zavarovani in zaščiteni pred vdorom nepooblaščenih oseb. Izvajalec mora zagotoviti dnevno arhiviranje podatkovnih baz. Izvajalec mora zagotoviti tudi ustrezen protivirusni sistem, ki preprečuje okvaro podatkov na pomnilniških diskih. Protivirusni sistem mora biti stalno posodobljen. Če izvajalec uporablja sistem rešitve računalništva v oblaku, mora imeti s ponudnikom tovrstnih rešitev sklenjeno pogodbo, ki med drugim opredeljuje način in sistem varovanja podatkov ter omogoča ponovne izpise kadarkoli za 10 let nazaj. Za varovanje naročnikovih podatkov v oblaku je odgovoren izvajalec. Pri navedenem pa bi bilo po moji oceni treba pogodbeno opredeliti in zagotoviti (garantirati) dodatno tudi lokacijo shranjenih podatkov. V primeru storitve v oblaku so ti podatki danes lahko v Sloveniji, jutri znotraj evropske skupnosti (čezmejno poslovanje) ali pa celo v neki tretji državi. Ravno tako smo v zadnjih desetletjih doživeli bliskovit napredek informacijskih tehnologij. Posledično danes določenih datotečnih formatov programska oprema, ki jo uporabljamo, ne podpira, določeni mediji, kot so
47
diskete ali določeni tipi tračnih enot, pa so praktično izginili. Posledično je treba voditi tudi dolžno skrbnost za arhivske podatke – arhiv in skrbeti, da bodo ti arhivirani podatki uporabni za vse časovno obdobje do predpisanih 10 let. Slednje je mogoče zagotavljati z dodatno migracijo (vsemi potrebnimi preverjanji – testi). Če izvajalec za opravljanje storitev uporablja informacijski sistem naročnika, je za varovanje podatkov odgovoren naročnik. Priporoča se, da ima izvajalec bodisi notranjega pooblaščenca bodisi zunanjega pogodbenega izvajalca, ki skrbi za pravilnost delovanja celotne informacijske tehnologije. 5.10 Prostori Delovni prostori, v katerih se izvaja delovni proces, morajo ustrezati zakonskim zahtevam, ki jih opredeljujejo tovrstni tehnični standardi. Izvajalec je dolžan imeti Izjavo o varnosti na delovnem mestu, iz katere izhaja, da so prostori dovolj svetli, zavarovani pred hrupom in ustrezno ogrevani. Hkrati morajo biti delovni prostori ustrezno prezračevani. Prav tako mora izvajalec zagotoviti naslednje varnostne ukrepe:
- mehansko varovanje - protivlomna zaščita, - protipožarna zaščita, - po potrebi detekcija izlitja vode, - omogočati hrambo določenih predmetov in podatkovnih nosilcev v
ustreznem trezorju. Izvajalec sam presodi, na kakšen način bo zagotavljal te ukrepe, vsekakor pa mora preprečiti prosto gibanje nepooblaščenih oseb, predvsem zaradi varovanja podatkov, ki so mu bili zaupani v obdelavo s strani naročnika. Prav tako mora zagotoviti ustrezne protipožarne ukrepe, ki onemogočajo, da bi dokumentacija in podatki v celoti zgoreli oz. bili drugače uničeni. Oprema prostorov
Oprema poslovnih prostorov mora med drugim zagotavljati, da so delovna mesta ustrezno ergonomsko oblikovana in opremljena. Pri tem je pomembna pravilna izbira stola, ustrezna višina in površina delovne mize, primerni slikovni zasloni in njihova postavitev, tako da ne omogočajo nepooblaščenega vpogleda v zaslonske preglede, ter druga oprema. Družbe imajo v ta namen običajno sprejet posebni pravilnik, ki ureja delo s slikovnim zaslonom, kot je na primer Pravilnik o varnosti in zdravju pri delu s slikovnim zaslonom (Uradni list RS, št. 30/00, 73/05 in 43/11 – ZVZD-1). Izvajalec mora tudi poskrbeti, da so določeni predmeti, kot so npr. osebni certifikati (digitalna potrdila) zaposlenih, (arhivirana, administratorska in druga) gesla za dostop do programske opreme, gesla za dostop do programov (avtorizacijski, avtentikacijski elementi), ki izvajajo plačilni promet ipd., ustrezno zaščiteni pred krajo oziroma odtujitvijo ali neavtorizirano rabo.
48
Med ustrezno zaščito se šteje trezor, posebna kovinska omara, ki jo je mogoče zakleniti, tako da se zagotovi varovanje hranjenih predmetov (zagotavlja pa tudi varovanje v skladu z za to določenimi standardi). Primer: S120 DIS po VDAMA 24991 in EN 1047-1 proizvajalca Lampertz ter vlomno varnimi in preizkušenimi SE /SDE modeli istega proizvajalca. Vir: spletna stran proizvajalca Lampertz – danes del skupine Rittal In/ali pa se tovrstni podatkovni nosilci in predmeti hranijo na drugi lokaciji, kjer so prav tako ustrezno (in v primeru hrambe in varovanja) in enakovredno varovani.
49
6 ZAGOTAVLJANJE NEPREKINJENEGA POSLOVANJA
6.1 Obvladovanje incidentov
Je eden ključnih (pod)procesov zagotavljanja varnosti. Obvladovanje incidentov za neprekinjeno poslovanje marsikdo neprimerno imenuje Načrt ukrepanja ob incidentih in/ali nesrečah ali kot nekateri to morda neprimerno imenujejo tudi okrevalni načrt ali načrt okrevanja po katastrofi. Ker v primeru Načrta ukrepanja ob nesreči in/ali katastrofi ter obnove poslovanja po katastrofi, ta dopušča možnost ali verjetnost, da do nesreče z resnimi posledicami ali katastrofe sploh pride, šele potem pa posledično pristopimo k načrtu obnove, zato je bolj smiselno govoriti o načrtu zagotavljanja neprekinjenega poslovanja.
6.2 Načrt neprekinjenega poslovanja
Načrt neprekinjenega poslovanja naj družbi zagotovi neprekinjeno poslovanje z minimalnimi in sprejemljivimi izpadi, kjer v primeru nesreče pravočasno in pravilno (skladno z načrtom neprekinjenega poslovanja) reagiramo – tako posledično ne sme in ne more priti do katastrofe. Je pa vsekakor nujno potrebno, da ima družba pripravljene načrte in scenarije, ki obravnavajo vse potencialne incidentne dogodke, in z njimi zagotavljajo neprekinjeno poslovanje družbe kot celote (in ne le za primer informacijskih tehnologij), ti načrti pa so tudi redno preverjani in testirani.
50
7 UPRAVLJANJE SPREMEMB
Upravljanje sprememb je v poslovnem svetu pa tudi drugače eden od pomembnejših procesov, ki bi naj zagotavljal da se vse spremembe vršijo po vnaprej določenih pravilih dobrega gospodarjenja tako, da bodo tvganja, ki iz teh sprememb izhajajo obvladovana in znana, ter da istih (morebitnih) napak naj ne bi ponavljali.
7.1 Upravljanje sprememb
Upravljanje sprememb na področju informacijskih tehnologij (angleško Change management) predstavlja nadzorovano uvajanje in izvajanje sprememb v okolju računalniških, informacijskih ter omrežnih tehnologij. Te so sicer nujno potrebne že zaradi zahtev, kot so zlasti:
- sledenje zakonskim spremembam, - varnostne posodobitve programske opreme in operacijskih sistemov, - nadgradnje programske opreme zaradi spremenjenih zahtev posla, - zamenjava zastarele, amortizirane in/ali nepodprte opreme (ob koncu
dobe eksploatacije), - uporabniške zahteve.
Vsaka sprememba v informacijskem sistemu, še posebej pa na področju programske opreme, pri zbiranju, obdelavi, hranjenju in prenosu podatkov in informacij, predstavlja večje tveganje od normalnega delovanja – eksploatacije informacijskega sistema.
7.2 Proces upravljanja sprememb
Proces upravljanja sprememb naj bo skladno z dobro prakso in po korakih, kot sledi:
- Zahtevan
Vsakdo lahko zaprosi za spremembo. Delavec – praviloma uporabnik, ki izdela prošnjo za spremembo, je lahko ali pa tudi ne oseba, ki dela analize ali izvaja spremembe. Ko je prošnja za spremembo sprejeta, se presodi, ali je združljiva s poslovnim modelom in praksami družbe, organizacije, hkrati pa se tudi oceni količina sredstev in virov (zunanjih in notranjih), potrebnih za izvršitev spremembe (slednje pa tudi vključuje vire, potrebne za upravljanje sprememb).
- Odobren
Vodstvo mora odobriti prošnje za spremembe in spremembam pripisati prioritete (smiselno je tudi, da gredo spremembe v isto smer, ne da se ena za drugo izključujejo). Če sprememba ni združljiva s poslovnim modelom, industrijskim standardom
51
ali praksami, se lahko vodstvo odloči za zavrnitev prošnje, predloga. Prošnja ali predlog se lahko zavrne tudi, če sprememba zahteva veliko več sredstev, kot jih je namenjenih, enako velja tudi za primer, če je potrebnih virov (na primer človeških) več, kot jih je na voljo.
- Načrtovan
Načrtovanje sprememb vključuje odkrivanje področja in vplivov predlaganih sprememb; analiziranje kompleksnosti sprememb, razpored virov in razvijanje, testiranje in dokumentiranje tako realizacije kot umika načrta. Treba je določiti kriterije, po katerih bo sprejeta odločitev o realizaciji ali umiku načrta.
- Testiran
Vsaka sprememba mora biti preizkušena v testnem okolju, ki odraža proizvodno okolje, praviloma pa tudi na testnih podatkih, ki za primer, da proizvodno okolje vsebuje poslovne in druge skrivnosti (osebne podatke) še vedno predstavlja proizvodno – produkcijsko okolje, a z anonimiziranimi testnimi podatki brez poslovnih in drugih skrivnosti, še preden je sprememba na tem okolju izvedena. Preizkušen mora biti tudi rezervni načrt.
- Časovni razpored
Ena od nalog odbora za pregled sprememb je pomagati načrtovati spremembe s pregledom predlaganih datumov za potencialna nesoglasja in razpoložljivost potrebnih virov.
- Sporočen
Ko je enkrat sprememba načrtovana, mora biti sporočena drugim. Ta komunikacija pa daje drugim možnost, da opomnijo odbor na preostale spremembe, kritične poslovne aktivnosti ali morebitne posledice, ki so bile med načrtovanjem spremembe prezrte. Hkrati se opozarja center za pomoč uporabnikom (helpdesk) ter vse uporabnike, da bo izvedena sprememba. Odgovornost odbora za pregled sprememb je tudi, da zagotovi, da so bile načrtovane spremembe primerno sporočene tistim, ki bodo te spremembe občutili, če imajo sicer interes do te spremembe.
52
- Izveden
Sprememba mora biti izvedena glede na določen čas in datum. Del procesa načrtovanja je bilo namreč razviti realizacijski načrt, testirajoč načrt ter nadomestni načrt. Če bi se realizacija spremembe izneverila (vrnitev na prejšnje stanje) oziroma bi prišlo do drugih nevšečnosti, bi se uporabil nadomestni načrt.
- Dokumentiran
Vse spremembe morajo biti dokumentirane. Dokumentacija vključuje začetno prošnjo za odobritev spremembe, prioriteto, ki ji je bila dodeljena, realizacijo, testni in nadomestni načrt, oceno odbora za pregled sprememb, datum in čas izvedbe spremembe, podatek, kdo je izvedel spremembo ter ali je bila sprememba izvedena uspešno, je spodletela oz. je bila odložena. Po potrebi je treba adaptirati in distribuirati še navodila za rabo (spremenjene) programske opreme in po potrebi organizirati tudi šolanja.
- Ocenjen
Odbor za pregled sprememb mora podati oceno spremembe. Še posebej je pomembno podati oceno za spodletelo oziroma odloženo spremembo. Odbor mora razumeti težave, ki so nastopile in poiskati načine za izboljšanje. Tudi iz spodletelih »projektov« se je namreč mogoče mnogo naučiti!
53
8 STANDARDI
Standardi predstavljajo obliko dobre in poenotene prakse, ki nam že od antike dalje omogočajo da živimo lažje in uspešneje in bolj konzistentno na velikem številu raznovrstnih področij kot so zlasti:
- produkti, - procesi, - storitve.
V Sloveniji poznamo vrsto standardov in njihovih izdajateljev, med pomembnejše se uvrščajo:
8.1 V Sloveniji
SIST – Slovenski inštitut za standardizacijo je nacionalni organ za standarde in je odgovoren za pripravo in sprejetje standardizacijskih dokumentov;
- ISO, - IEC - CEN, - ETSI., - CENELEC, - Uporabljamo pa še tudi nekatere standarde bivše države
(Jugoslovanski standardi – JUS).
8.2 po svetu
ISO (International Organization for Standardization) je mednarodna organizacija za standardizacijo. Za področja informacijskih tehnologij in varnosti so pomembni standardi:
- ISO 15443, - ISO 1799, - ISO 2000, - ISO 27001.
NIST (The USA National Institute of Standards and Tehnology) - Ameriški nacionalni inštitut za standarde in tehnologijo je neregulatorska vladna agencija znotraj U.S. Commerce Department's Tehnology Administration.
ISACA®
ISACA (Information Systems Audit and Control Association) datira v leto 1967 in Združene države amerike. Z letom 2008 uporablja le še skrajšano ime ISACA in danes združuje prek 110.000 članov in tistih, ki so nosilci ISACA certifikatov v več kot 180 državah sveta z več kot 200 lokalnimi
54
odseki. Slovenski odsek ISACA® (prej Information Systems Audit and Control Association®) je bil ustanovljen na pobudo članov sekcije za revidiranje IS pri slovenskem inštitutu za revizjo (SIR) leta 1995.
Vir: http://www.isaca.si/revizija_IS.php in http://www.si-revizija.si/
Člani so strokovnjaki in delavci s področij, kot so zlasti:
- revizorji informacijskih sistemov, - svetovalci za področje IS in varnosti, - notranji revizorji, - profesorji.
Odseki zagotavljajo izobraževanje, dostop do virov znanja in dobre prakse, zastopanje, strokovno povezovanje in mreženje ter druge prednosti in koristi.
Publikacije ISACA:
- COBIT, - Information System Control Journal, - Risk IT, - Standardi in standardizacija, - Smernice, - Procedure za informacijske sisteme - Smernice, ki so razvite v sodelovanju z Mednarodnim združenjem
računovodij - Varnostne, revizorske in kotntrolne funkcije za ERP sisteme (primer
SAP), - VAL IT.
Razen certificiranih članov ISACA (CISA, CISM in CRISC) je v Sloveniji razširjen tudi CISSP - The Certified Information Systems Security Professional.
Vir: https://www.isc2.org/cissp/default.aspx
V zadnjih letih naraščajo zahteve po znanjih in poklicih na področju informacijske varnosti. Ena od možnosti preverjanja skladnosti je tudi ena od oblik revidiranja
55
9 REVIZIJA
Ena od možnosti preverjanja izvajanja skladnosti zahtevanim in dogovorjenim pravilom računovodenja, je tudi izvedba revizijskega pregleda, oziroma rednih revizijskih pregledov. To velja tako za računovodenje kot enega notranjih procesov organizacije, kot za primer da to storitev najemamo na trgu.
9.1 Notranja revizija Poslanstvo in naloge notranjega revidiranja so krepitev in zaščita vrednosti organizacije z dajanjem objektivnih zagotovil na podlagi ocene tveganj, s svetovanjem in poglobljenim razumevanjem delovanja organizacije.
Temeljna načela strokovnega ravnanja pri notranjem revidiranju so:
Notranji revizor: - izkazuje neoporečnost, - izkazuje strokovnost in potrebno poklicno skrbnost, - je nepristranski in brez nedopustnega vplivanja (neodvisen).
Notranja revizija: - je usklajena s strategijami, cilji in tveganji organizacije, - ima primerno mesto v organizaciji in ustrezne vire, - izkazuje kakovost in nenehno izboljševanje, - učinkovito komunicira.
Rezultati dela: - dajejo zagotovila na podlagi ocene tveganj, - izkazujejo prodornost, proaktivnost in usmerjenost v prihodnost, - spodbujajo izboljšave v organizaciji.
Opredelitev notranjega revidiranja Notranje revidiranje je neodvisna in nepristranska dejavnost dajanja zagotovil in svetovanja, zasnovana za dodajanje vrednosti in izboljševanje delovanja organizacije. Organizaciji pomaga uresničevati njene cilje s sistematičnim in metodičnim ocenjevanjem in izboljševanjem uspešnosti upravljanja tveganj, kontrolnih postopkov in upravljanja organizacije. Kodeks poklicne etike notranjih revizorjev, ki jih sprejema Inštitut notranjih revizorjev (The institute of Internal Auditors, IIA) Kodeks notranjerevizijskih načel Slovenskega inštituta za revizijo (sprejeto 27. 5. 2011, Ur. l. RS, št. 40/2011, 27. 5. 2011) Kodeks poklicne etike notranjih revizorjev Slovenskega inštituta za revizijo (Uradni list RS, št. 63/2011, 8. 8. 2011) Slovenski standardi notranjega revidiranja http://www.si-revizija.si/sekcijanotranjihrevizorjev/pravila-stroke (Zakon o revidiranju Uradi list RS, 65/08)
56
Zakoni, ki urejajo notranjo revizijo v posameznih dejavnostih in na posameznih področjih, ter pravni predpisi, izdani na njihovi podlagi, so: Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju (veljavnost od 1. 1. 2013). 9.2 Zunanja Revizija Z zunanjim revidiranjem revidiramo računovodske izkaze, med katerimi sta najpomembnejša bilanca stanja in izkaz poslovnega izida, ki sta namenjena zunanjim uporabnikom in s tem dostopna v javnih podatkovnih bazah, kot je na primer AJPES. Ravno tako pa lahko revidiramo tudi področje poslovanja družbe z rabo informacijskih tehnologij. Revizorji, ki smejo revidirati, morejo imeti veljavno licenco, ki jo v Sloveniji podeljuje Slovenski inštitut za revizijo. Naloga zunanjega revidiranja je ugotovitev oziroma pregled, ali so prikazani računovodski izkazi narejeni na podlagi resnične poslovne dokumentacije in v skladu s SRS in Pravili skrbnega računovodenja (v nadaljevanju PSR) in ali podjetje posluje v skladu s sprejetimi pravili. Revizor mora na začetku revidiranja spoznati, preučiti samo delovanje podjetja, njegovo računovodenje in nato notranje kontrole. Če je v podjetju delovanje notranje kontrole učinkovito, je manjša verjetnost, da se bo zunanji revizor poglobil v posamezne poslovne dogodke in z njimi povezane postavke. Zunanje revidiranje ločimo na:
- zunanje revidiranje računovodskih izkazov, - zunanje revidiranje poslovanja.
(Bergant, 2010, str. 114) Podjetja bi morala večjo pozornost nameniti reviziji IT. S samo revizijo IT pridobijo podatke in s tem informacije v zvezi s tehničnega in organizacijskega vidika zagotavljanja informacijske podpore v podjetju. S pregledom analiziramo tveganja in opravimo kontrole IT. Ugotovitve nato primerjemo ali je delovanje IT v podjetju usklajeno s poslovno vizijo in cilji ter predvsem ali je varno v primeru kakršnihkoli incidentov, ki so povezani s samim delovanjem in uporabo informacijskih sistemov. Z rednimi kontrolami IT zagotovimo nemoteno poslovanje in obstoj podjetja. Končni rezultat revidiranja je poročilo, v katerem zunanji revizor poda svoja spoznanja in mnenje, ki je lahko:
- mnenje brez pridržka (pozitivno mnenje), - mnenje brez pridržka z dodatnim pojasnilom, - mnenje s pridržkom, - negativno mnenje, - zavrnitev mnenja.
(Bergant, 2010, str. 115)
57
10 KDO IZVAJA DELA IN NALOGE NA PODRO ČJU ZAGOTAVLJANJA VARNOSTI V RAČUNOVODSKEM SERVISU
Informacijsko podporo v računovodskem servisu v velikosti majhnega in mikro podjetja zagotavlja praviloma vrsta zunanjih pogodbenih partnerjev. Upoštevajoč to dejstvo kot tudi dejstvo, da je število zaposlenih praktično minimizirano na minimalno potrebno število za nemoteno opravljanje del in nalog zunanjega računovodstva, je zaskrbljujoča ugotovitev, da je praviloma število zaposlenih delavcev enostavno premajhno za resno izvajanje del in nalog, povezanih z zagotavljanjem varnosti in informacijske varnosti. Navedeno se nanaša zlasti na varstvo osebnih podatkov. 10.1 Osebni podatki v ra čunovodstvu So podatki, ki jih kot take in zaupne opredeljuje Zakon o varstvu osebnih podatkov. Razen tega, da ta zakon opredeljuje osebne podatke in minimalne zakonsko predpisane standarde za njihovo:
- zbiranje, - obdelavo, - hranjenje, - povezovanje (zbirk),
ta zakon opredeljuje tudi kategorijo občutljivih osebnih podatkov. V računovodstvu jih lahko na hitro umestimo v dva sklopa:
10.1.1 Interni (podatki o delavkah in delavcih izva jalca storitve)
Podatki o delavkah in delavcih, ki opravljajo dela in naloge v okviru računovodskega servisa:
redno zaposleni, - zaposlitve preko podjemnih pogodb, najeta delovna sila,
- študenti in štipendisti, - zlasti kadrovski podatki o delavkah in delavcih
računovodskega servisa, - podatki o bolniškem staležu delavcev računovodskega
servisa, - podatki o cepljenju delavcev (proti gripi) računovodskega
servisa, - podatki o izobrazbi, - podatki o dodatnih izobraževanjih, - podatki o zdravstvenem pregledu, - podatki o članstvu delavcev računovodskega servisa v
sindikatu.
58
10.1.2 Eksterni (zunanji podatki naro čnika storitve) Podatki o delavkah in delavcih, zaposlenih pri podjetju (naročniku), ki uporablja storitev zunanjega računovodskega servisa kot so zlasti:
- kadrovski podatki o delavkah in delavcih naročnika, (Primeri kadrovskih podatkov: M1 obrazec, fotokopija os. dokumenta in izpis iz pokojninskega zavarovanja)
- podatki o bolniškem staležu delavcev naročnika, (Primer: bolniški list)
- podatki o cepljenjih delavcev naročnika, (Primer: cepljenje proti gripi, klopnemu meningoencefalitisu ...)
- podatki o članstvu delavcev naročnika v sindikatu, kot so ti razvidni iz plačilne liste (predstavlja občutljivi osebni podatek!).
Z obema sklopoma pridemo kaj hitro čez kritično število, ki jo je verjetno IP-RS imel v mislih, ko je odločal, da podjetjem, kjer je zaposlenih manj kot 50 ljudi (glej mnenje IP-RS in predmetno zakonodajo), ni treba sprejemati pravilnikov in internih aktov, saj je predvidena potencialna škoda razkritja osebnih in/ali občutljivih osebnih podatkov lahko mnogo večja. Pa tudi sicer ni verjetno, da bi bilo mogoče zakonske obveznosti tako enostavno prenesti in delegirati na zunanji računovodski servis, ki dejansko ne zaposluje večjega števila zaposlenih, upravlja pa lahko z velikim številom klientov in še večjim številom podatkov klientovih zaposlenih.
59
11 PRIMERJAVA RAZLI ČNIH PRISTOPOV Primerjava dveh različnih pristopov:
- prek izpolnjevanja minimalnih zakonskih zahtev, - prek izvedbe analize tveganja,
za zagotavljanje varnosti računovodskega servisa nam skozi analizo tveganj in potencialne škode, ki lahko nastane ob izpolnjevanju zgolj minimalnih varnostnih standardov in predmetne zakonodaje, pokaže, da je škoda, ki bi lahko nastala pri poslovanju z minimalnim potrebnim številom zaposlenih za opravljanje dejavnosti, in ki ne dosega kritičnega števila zaposlenih (>50) enaka ali celo večja od škode, ki bi lahko nastala v primeru družbe z večjim številom zaposlenih od petdeset. 11.1 Izpolnjevanje minimalnih zakonodajnih zahtev Zakon namreč predvideva , da mora imeti družba (računovodski servis) vse:
- potrebne interne akte, - varnostno politiko, - pravilnike,
zgolj v primeru da je število zaposlenih v družbi večje od petdeset. Primer: Manjši računovodski servis (takšnih je sicer veliko število, če ne že večina) sicer »lahko« izpolnjuje zahteve slovenske zakonodaje, a ob smiselni uporabi zakonodaje kaj hitro ugotovimo, da tveganje razkritja, izgube ali neupravičene spremembe, povezano z zbiranjem, obdelavo in hranjenjem osebnih in/ali celo občutljivih osebnih podatkov vseh oseb in njihovih podatkov pri izvajalcu storitve računovodskega servisa, zaradi izvajanja storitve za večje število naročnikov »lahko« preseže »mejo« in potencialno škodo v družbi s petdesetimi ali več zaposlenimi. Naročniki računovodskih storitev tako delegirajo dela in naloge, povezana z enim delom področja varovanja osebnih podatkov (glede na razumevanje in izvajanje zakonodaje) enemu izvajalcu. Četudi bi zbirke osebnih podatkov sami prijavili (IP-RS) pooblaščencu, je dejstvo, da v njihovem imenu zbira, obdeluje, prenaša in hrani te podatke zunanji izvajalec (računovodstvo), ki te (zakonske) obveze nima (izvaja pa to za večje število naročnikov). Oglejmo si mejni primer: Računovodski servis ima 5 zaposlenih. Računovodski servis ima 30 klientov – podjetij, s katerimi ima podpisano pogodbo za opravljanje storitve računovodskega servisa. Vsak od 30 klientov ima 7 zaposlenih. Skupno to znese 270 + 5 osebnih in drugih podatkov, ki se zbirajo, obdelujejo in hranijo v okviru tega računovodskega servisa. Grožnja razkritja osebnih podatkov in/ali občutljivih osebnih podatkov znaša blizu 300 osebnih podatkov, družba, ki pa z njimi upravlja, pa ne izpolnjuje vrste zahtev, ki bi jih smiselno morala izpolnjevati družba z nekaj deset (enako petdeset ali več) zaposlenimi.
60
Za razliko od podatkov, ki jih za svoj namen zbirajo banke in odločbo IP-RS - 0712-1134/2007/2, ki ji sicer ni mogoče popolnoma nekritično slediti, gre pri opravljanju storitev računovodskega servisa tudi za zbiranje, obdelavo in hranjenje občutljivih osebnih podatkov. Po zakonodaji je za razumeti podlage za obdelavo osebnih podatkov kot tudi vrsto vseh podatkov in informacij, s katerim operira računovodski servis v okviru izvajanja svoje dejavnosti:
- tako zaradi svojega lastnega poslovanja, - kot zaradi izvajanja storitve na prostem (in nereguliranem) trgu.
11.2 Izvedba analize tveganja V primeru izvedbe analize tveganja evaluiramo vse grožnje in iz njih izhajajoča tveganja in če je preostalo tveganje za poslovodstvo navkljub izpolnjevanju minimalnih zakonskih zahtev previsoko (na primer: zaradi morebitnih sklenjenih pogobenih določil z naročniki storitve, ali potencialnega padca ugleda v primeru resnega incidenta in posledičnih odpovedi pogodb ter izgube trga) se odločamo za vpeljavo dodatnih preventivnih korektivnih ukrepov. Tveganja s katerimi posluje izvajalec storitve računovodskega servisa pa so venomer znana poslovodstvu (odgovorni osebi) izvajalca storitve. Tveganje analiziramo v rednih časovnih obdobjih in / ali ob spremembah groženj ali drugih vplivov na samo poslovanje družbe v obliki neprekinjenega procesa izboljšav.
61
12 ZBIRKA OSEBNIH PODATKOV Je po Zakonu o varstvu osebnih podatkov (v nadaljevanju ZVOP-1) v skladu s 5. točko 6. člena ZVOP-1 vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika. 12.1 Upravljavec osebnih podatkov Je v skladu s 6. točko 6. člena ZVOP-1 fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave. Kot upravljavca osebnih podatkov je v tem primeru mogoče šteti le naročnika računovodske storitve, pri katerem pa se akumulira nesorazmerno veliko število podatkov oseb posameznih naročnikov pri izvajalcu storitve. Skladno z zakonom, ki v svojem tretjem poglavju ureja zavarovanje osebnih podatkov, nam štiriindvajseti člen določa vsebino zavarovanja osebnih podatkov. Prvi odstavek tega člena računovodskemu servisu določa, da zavarovanje osebnih podatkov obsega:
- organizacijske, - tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo
osebni podatki, - preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov,
njihovo spremembo ali izgubo ter nepooblaščeno obdelavo teh podatkov tako, da se:
- varujejo prostori - zagotavljanje fizične varnosti z elementi tehničnega varovanja,
- varuje oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami,
- varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki,
- preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih,
- zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov,
- omogoča poznejše ugotavljanje (prek zagotavljanja revizijske sledi), kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
62
Drugi odstavek istega člena določa, da morajo v primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov. Tretji odstavek istega člena v nadaljevanju določa, da morajo biti postopki in ukrepi za zavarovanje osebnih podatkov ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo. Zadnji odstavek istega člena pa določa, da morajo funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave. 12.2 Dolžnost zavarovanja osebnih podatkov ZVOP-1 ureja 25. člen, ki v prvem odstavku določa, da so upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na način iz (zgoraj) navedenega 24. člena ZVOP-1. V drugem odstavku istega člena pa je določeno, da upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. 12.3 Obveščanje o zbirkah osebnih podatkov Ureja ZVOP-1 v četrtem poglavju, kjer je v 26. členu določena obveznost upravljavca osebnih podatkov, da za vsako zbirko osebnih podatkov vzpostavi katalog zbirke osebnih podatkov, ki vsebuje:
- naziv zbirke osebnih podatkov, - podatke o upravljavcu osebnih podatkov (za fizično osebo osebno
ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še podjetje, sedež in matično številko, za pravno osebo pa naziv oziroma podjetje in naslov oziroma sedež upravljavca osebnih podatkov in matično številko),
- pravno podlago za obdelavo osebnih podatkov, - kategorije posameznikov, na katere se nanašajo osebni podatki, - vrste osebnih podatkov v zbirki osebnih podatkov, - namen obdelave, - rok hrambe osebnih podatkov, - omejitve pravic posameznikov glede osebnih podatkov v zbirki
osebnih podatkov in pravno podlago omejitev, - uporabnike ali kategorije uporabnikov osebnih podatkov, vsebovanih v
zbirki osebnih podatkov,
63
- dejstvo, ali se osebni podatki iznašajo v tretjo državo, kam, komu in pravno podlago iznosa,
- splošen opis zavarovanja osebnih podatkov, - podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter
javnih knjig, - podatke o zastopniku iz tretjega odstavka 5. člena tega zakona (za
fizično osebo osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še podjetje, sedež in matično številko, za pravno osebo naziv oziroma podjetje in naslov oziroma sedež upravljavca osebnih podatkov in matično številko).
12.4 Ažurnost vsebine kataloga
Upravljavec osebnih podatkov mora skladno z drugim odstavkom 26. člena ZVOP-1 skrbeti za točnost in ažurnost vsebine kataloga. V 27. členu ZVOP-1 je določeno, da mora upravljavec osebnih podatkov posredovati podatke in spremembe nekaterih zgoraj navedenih podatkov IP-RS (pooblaščencu) najmanj 15 dni pred vzpostavitvijo zbirke osebnih podatkov ali pred vnosom nove vrste osebnih podatkov. Pooblaščencu mora najkasneje v osmih dneh od dneva spremembe posredovati tudi spremembe teh podatkov. Skladno z novelo ZVOP-1, ki (med drugim) določa, da upravljavcem osebnih podatkov z manj kot 50 zaposlenimi ni treba izpolniti obveznosti iz drugega odstavka 25. člena in obveznosti iz 26. ter 27. člena zakona (ZVOP-1 op. Pooblaščenca). Vendar pa že omenjeni tretji odstavek 1. člena ZVOP-1A med drugim določa, da se izjeme iz prejšnjega odstavka ne uporabljajo za zbirke osebnih podatkov, ki jih vodijo upravljavci zbirk osebnih podatkov:
- iz javnega sektorja, - notarji, - odvetniki, - detektivi, - izvršitelji, - izvajalci zasebnega zavarovanja, - zasebni zdravstveni delavci, - izvajalci zdravstvenih storitev,
ter za upravljavce osebnih podatkov, ki vodijo zbirke, ki vsebujejo občutljive osebne podatke in je obdelava občutljivih osebnih podatkov del njihove registrirane dejavnosti. Računovodski servisi kot zunanji outsourcing partnerji pa lahko izvajajo (ali smejo izvajati) tudi ali izključno storitve za katero koli od navedenih skupin naročnikov, ravno tako pa obdelava osebnih in občutljivih osebnih podatkov ni del registrirane dejavnosti (po standardni klasifikaciji dejavnosti 69.200) izvajalca (računovodstva). Kot kaže praksa in podatki in informacije, zbrani v okviru zbiranja podatkov za diplomsko delo, iz narave del in nalog v računovodstvu izhaja, da v večini primerov ni mogoče izvajati dejavnosti računovodstva brez zbiranja, obdelave, hrambe in prenašanja tako osebnih kot občutljivih osebnih podatkov.
64
12.5 Občutljivi osebni podatki
Po določbah ZVOP-1 zahtevajo še strožje varstvo kot »navadni« osebni podatki. Definicija občutljivega osebnega podatka je natančno opredeljena v 19. točki 6. člena ZVOP1, ki določa, da so občutljivi osebni podatki:
- podatki o rasnem, - narodnem ali narodnostnem poreklu, - političnem, verskem ali filozofskem prepričanju, - članstvu v sindikatu, - zdravstvenem stanju, - spolnem življenju, - vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na
podlagi zakona, ki ureja prekrške (preveritev pri ustanovitvi podjetja, prijavah na javne razpis ...),
- občutljivi osebni podatki so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin.
Obdelavo občutljivih osebnih podatkov ureja 13. člen ZVOP-1, po katerem se občutljivi osebni podatki lahko obdelujejo le v naslednjih primerih:
- če je posameznik za to podal izrecno osebno privolitev, ki je praviloma pisna, v javnem sektorju pa tudi določena z zakonom,
- če je obdelava potrebna zaradi izpolnjevanja obveznosti in posebnih pravic upravljavca osebnih podatkov na področju zaposlovanja v skladu z zakonom, ki določa tudi ustrezna jamstva pravic posameznika,
- če je obdelava nujno potrebna za varovanje življenja ali telesa posameznika, na katerega se osebni podatki nanašajo, ali druge osebe, kadar posameznik, na katerega se osebni podatki nanašajo, fizično ali poslovno ni sposoben dati svoje privolitve iz 1. točke tega člena,
- če jih za namene zakonitih dejavnosti obdelujejo ustanove, združenja, društva, verske skupnosti, sindikati ali druge nepridobitne organizacije s političnim, filozofskim, verskim ali sindikalnim ciljem, vendar le, če se obdelava nanaša na njihove člane ali na posameznike, ki so v zvezi s temi cilji z njimi v rednem stiku, ter če se ti podatki ne posredujejo drugim posameznikom ali osebam javnega ali zasebnega sektorja brez pisne privolitve posameznika, na katerega se nanašajo,
- če je posameznik, na katerega se nanašajo občutljivi osebni podatki, te javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove uporabe,
- če jih za namene zdravstvenega varstva prebivalstva in posameznikov ter vodenja ali opravljanja zdravstvenih služb obdelujejo zdravstveni delavci in zdravstveni sodelavci v skladu z zakonom,
- če je to potrebno zaradi uveljavljanja ali nasprotovanja pravnemu zahtevku,
- če tako določa drug zakon zaradi izvrševanja javnega interesa.
65
Primer: Dopustnosti fotokopiranja osebnih dokumentov v bančništvu vsebuje vrsto analogij z deli in nalogami, s katerimi se srečujemo v zunanjem računovodstvu. Iz natančne definicije občutljivega osebnega podatka in predmetnega mnenja IP-RS izhaja, da osebni podatki komitentov, s katerimi za potrebe svoje dejavnosti upravljajo banke, niso občutljivi osebni podatki. Posledično v navedeno kategorijo ne sodi noben osebni podatek komitenta, s katerim se razpolagali v banki. Izpostavljena določba novele ZVOP-1 določa, da od njene uveljavitve upravljavci osebnih podatkov, ki imajo manj kot 50 zaposlenih, niso dolžni sprejemati internih aktov za zavarovanje osebnih podatkov, niti niso dolžni katalogov zbirk osebnih podatkov posredovati pooblaščencu, razen v primerih, ki jih določa ZVOP-1. Upoštevajoč to določbo in ob dejstvu, da dejavnost bančništva ni opredeljena v tretjem odstavku 1. člena ZVOP-1A, za banke dolžnost sporočanja katalogov zbirk osebnih podatkov pooblaščencu ne velja. Pooblaščenec še dodatno pojasnjuje, da je fotokopiranje osebnih dokumentov načeloma prekomerno (predvsem ob upoštevanju 3. člena ZVOP-1, ki določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo) in v nasprotju z 18. členom ZVOP-1. Pri tem pri hitrem pregledu zakonodajnih okvirov ugotavljam, da področje bančništva (kot zakon, ki to področje ureja drugače - nad zakoni, t. i. lex specialis) ureja krovno drug zakon, ki predpisuje tudi vrsto kontrol in nadzora – posledično tudi način poslovanja ter redne preglede in odgovornost s strani Banke Slovenije. Tovrstnih obveznosti na področju računovodstva še danes ni zaslediti. Vir: IP-RS - Več o vprašanju dopustnosti fotokopiranja osebnih dokumentov v bančništvu je mogoče najti na: http://www.ip-rs.si/nc/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/odlocbe-in-mnenja-varstvo-osebnih-podatkov/ in v predmetnem mnenju IP-RS 0712-995/2007/2.
66
13 IZOBRAŽEVANJE Izobraževanje zaposlenih v slovenskem okolju pa tudi širše je eden od bolj zapostavljenih procesov. Družbe, ki se borijo za obstanek na trgu in doseganje minimalnih oziroma za lastnika zadovoljivih (zadostnih) dobičkov (donosov na kapital), vlagajo praviloma bistveno premalo v znanje zaposlenih. Tako je izobraževanje zaposlenih v računovodskem servisu za doseganje pričakovane kakovosti in doseganja varnosti na področju zunanjega računovodstva in outsourcinga nujno potrebno in kritično že zaradi sledenja zakonskim spremembam za področja, ki so ključna za poslovanje/ izvajanje storitve (računovodstva). Za področja, kot je zagotavljanje (informacijske) varnosti kot tudi nekatera druga, pa enostavno zmanjka denarja in časa. K temu doprimore tudi nizko varnostno zavedanje poslovodstev izvajalcev storitve, pa tudi varnostno zavedanje in zahteve samih naročnikov. Kvot zahtevanih izobraževanj praviloma v panogi ni – sploh pa ne takšnih, ki bi jih zahteval in smiselno predpisoval zakonodajalec. Za naročnika storitve na trgu je danes praktično nemogoče preveriti, kdo od ponudnikov je primeren za opravljanje storitve zunanjega računovodstva in kdo izpolnjuje minimalne pogoje in kdo ne, kdo je boljši in kdo slabši (primeren oziroma neprimeren). Največkrat naročnik storitve to spozna šele takrat, ko gre nekaj zelo narobe in pridejo na plano vse nepravilnosti oziroma pomanjkljivosti v eni od oblik nadzora državnih institucij z vsemi negativnimi posledicami za naročnika storitve. Na tem področju je sicer pričakovati minimalen premik, ki pa še ne bo zagotovil obveze za vse ponudnike storitev računovodenja. Skozi Katalog certificiranih računovodskih servisov Slovenije v okviru ZRS pri Gospodarski zbornici Slovenije (v nadaljevanju GZS) bi vodili samo tiste ponudnike storitev, ki bi izpolnjevali vse pogoje, ki so določeni s Pravilnikom o Katalogu certificiranih računovodskih servisov Slovenije. Vendar pa je zaradi izpolnjevanja vrste dodatnih in eksplicitno izraženih zahtev, med katera sodijo tudi tista o kadrih (točka 4.) in njihovem izobraževanju (4.1), tudi pričakovati, da bo izpolnjevanje vrste dodatnih zahtev, katerih vpeljava zahteva tako človeške vire kot dodatna denarna sredstva, podražila samo storitev na trgu.
67
14 SKLEP
Informacijska varnost je zahteva, ki jo od izvajalcev pričakujejo tako naročniki storitve, regulatorni (državni) organi, kot tudi poslovodstvo poslovnega subjekta, ki to za izvajanje posla uporablja oziroma potrebuje – oziroma nudi z informacijsko varnostjo (oziroma njenim zagotavljanjem) povezane storitve. Del teh zahtev je moč najti v zakonodajnem okviru, del pa v pogodbenih zavezah med naročnikom in izvajalcem. Nezagotavljanje informacijske varnosti lahko vodi v neslutene posledice, ki lahko vodijo tudi v popolno izgubo zaupanja in izgubo trga ter posla, v določenih primerih pa tudi kazensko in pogodbeno odgovornost izvajalca.
Naročniki danes v finančnem in poslovno-pravnem ter davčnem smislu v postopkih z državnimi finančnimi in inšpekcijskimi organi dojemajo svojega »računovodjo« v primeru internega računovodstva, enako pa tudi v primeru zunanjega računovodstva, kot odvetnika, ki zastopa stranko (v pravnih postopkih – v tem primeru pa postopkih, vezanih na finančno poslovanje družbe).
Tako predstavlja zaupanje ob sklenjenem pogodbenem razmerju med naročnikom in izvajalcem storitve zunanjega računovodstva (kot outsourcing partnerjem) temeljno osnovo za dobro sodelovanje med obema pogodbenima partnerjema.
Zaradi tega bi opozorila še na morebitni konflikt interesa – to so naloge, ki ne doprimorejo k povečevanju zaupanja med stranko in naročnikom in ki jih računovodjem ter računovodskim servisom nalaga Zakon o preprečevanju pranja denarja in financiranju terorizma (v nadaljevanju ZPPDFT-C). Zakon v četrtem členu nalaga, da moramo računovodski servisi že od leta 2010 Uradu za preprečevanje pranja denarja (v nadaljevanju UPPD) kot zavezanci po zakonu izvajati sledeče ukrepe za preprečevanje pranja denarja in financiranja terorizma, kot so zlasti:
- izvajanje ukrepov za poznavanje stranke (pregled stranke), - sporočanje predpisanih in zahtevanih podatkov ter predložitev
dokumentacije Uradu za preprečevanje pranja denarja, - imenovanje pooblaščenca in namestnikov pooblaščenca ter
zagotovitev pogojev za njihovo delo, - skrb za redno strokovno usposabljanje in izobraževanje delavk
oziroma delavcev računovodskega servisa ter zagotovitev redne notranje kontrole nad opravljanjem predpisanih nalog po ZPPDFT,
- pripravo seznama indikatorjev za prepoznavanje strank in transakcij, pri katerih obstajajo razlogi za sum pranja denarja ali financiranja terorizma,
- izvajanje drugih nalog in obveznosti po določbah ZPPDFT in na njegovi podlagi sprejetih predpisov.
68
15 ZBORNICA RAČUNOVODSKIH SERVISOV 15.1 Katalog certificiranih ra čunovodskih servisov Slovenije V Sloveniji trenutno še nimamo urejene zakonodaje, ki bi bila povezana s postopkom ustanovitve računovodskega servisa oziroma z registracijo, ki se nanaša na standardno klasifikacijo dejavnosti 69.200, zato so naročniki teh storitev, ki so računovodske, knjigovodske storitve, davčno svetovanje ter storitve revizije, pa naj bo to podjetje, organizacija, samostojni podjetnik ali fizična oseba, pri izbiri zunanjega izvajalca dejavnosti, ki se nanaša na računovodsko dejavnost, pred zelo težko odločitvijo. Prepustiti zunanjemu izvajalcu knjigovodenje ter sprejemati odločitve na ravni računovodskega predračunavanja, računovodskega nadziranja in računovodskega analiziranja na podlagi s strani izvajalca posredovanih finančnih podatkov in informacij je lahko zelo tvegano. Pravilni in kakovostni podatki in informacije nimajo vpliva samo na samega naročnika, ampak posredno tudi na poslovno okolje, v katerem naročnik deluje. Ena izmed možnosti pri izbiri kakovostnega in usposobljenega računovodskega servisa (outsourcinga) je Katalog certificiranih računovodskih servisov v Sloveniji pri ZRS.Cilj ZRS je združitev posameznih podjetij, samostojnih podjetnikov, ki opravljajo storitve s standardno klasifikacijo dejavnosti 69.200. V tem Katalogu certificiranih računovodskih servisov v Sloveniji so vpisani samo tisti ponudniki omenjenih storitev, ki izpolnjujejo vse pogoje, ki so določeni s Pravilnikom o Katalogu certificiranih računovodskih servisov Slovenije. Ti pogoji so, da:
- je registriran za opravljanje računovodske in knjigovodske dejavnosti (K 69.200 po SKD),
- je član ZRS, - ni v postopku prisilne poravnave, stečajnem ali likvidacijskem
postopku in da ni prenehal poslovati na podlagi sodne ali druge prisilne odločbe,
- direktor ali nosilec dejavnosti v zadnjih petih letih ni bil pravnomočno obsojen zaradi storitve kaznivega dejanja, povezanega s poslovanjem računovodskega servisa,
- da zoper pravno osebo ni uveden kazenski postopek niti njeno poslovanje s sodno odločbo ni prepovedano po 20. členu Zakona o odgovornosti pravnih oseb za kazniva dejanja,
- da osebe, ki sodelujejo pri opravljanju dejavnosti računovodskega servisa, spoštujejo Kodeks članov ZRS,
- je v računovodskem servisu zaposlena v rednem delovnem razmerju najmanj ena oseba,
69
ali - je samostojni podjetnik in je obvezno zavarovan kot samostojni
podjetnik za polni delovni čas, ali
- je oseba lastnik v gospodarski družbi, direktor ali prokurist - da ima oseba iz 7. točke 1. odstavka 2. člena opravljen izpit po
Programu ZRS za pridobitev naziva »Strokovni vodja računovodskega servisa«, ali
- pridobljeno potrdilo GZS po Programu usposabljanja za vodenje računovodskih servisov, ali
- strokovni naziv preizkušeni računovodja ali računovodja, pridobljen pri Slovenskem inštitutu za revizijo, ali
- strokovni naziv revizor ali pooblaščeni revizor, pridobljen pri Slovenskem inštitutu za revizijo,
ali - strokovni naziv notranji revizor, pridobljen pri Slovenskem inštitutu za
revizijo, ali
- strokovni naziv Chartered Certified Accountant pridobljenim pri The Association of Chartered Certified Accountants (ACCA),
- certifikat The CIPFA International Diploma in Public Sector Acoounting institucije The Chartered Institute of Public Finance and Accountancy (CIPFA), (v nadaljevanju strokovni vodja),
- da s stalnim strokovnim izobraževanjem zaposlenih doseže najmanj 15 točk letno,
- da strokovni vodja opravi e-seminar ZRS z e-testom o etiki poslovanja vsaki dve leti,
- da ima sklenjeno zavarovanje poklicne odgovornosti v skladu z dogovorjenimi pogoji glede zavarovalne vsote in predmeta zavarovanja (zavarovalnega kritja) med ZRS in zavarovalnicami.
15.2 Standard izvajalcev ra čunovodskih storitev v Sloveniji Leta 2014 je ZRS predstavila oziroma podala predlog za uveljavitev Standarda izvajalcev računovodskih storitev. S standardom želi zbornica na trgu računovodskih servisov določiti osnovne pogoje za kakovostno delovanje računovodskih servisov in zaščititi naročnike računovodskih storitev, predvidevam pa, da s tem poskrbeti tudi višji in bolj enovit nivo kakovosti ponujanih storitev.
70
Sam standard izvajalcev računovodskih storitev vključuje naslednje:
1. Uvod
2. Opredelitev ključnih pojmov 2.1 Izvajalec računovodskih storitev 2.2 Naročnik 2.3 Računovodske storitve 2.4 Računovodenje 2.5 Podatki 2.6 Informacije 2.7 Dokumentacija 2.8 Knjigovodske listine 2.9 Računovodski obračuni 2.10 Kadri 2.11 Delovno okolje
3. Izvajanje storitev 3.1 Računovodske storitve 3.1.1 Računovodske storitve poslovodnega sistema računovodstva 3.1.2 Računovodske storitve izvajalnega sistema računovodstva 3.1.3 Računovodske storitve informacijskega sistema računovodstva 3.2 Neračunovodske storitve
4. Kadri 4.1 Struktura 4.2 Izobraževanje 4.3 Pogodbena razmerja 4.4 Zunanji sodelavci
5. Delovno okolje 5.1. Informacijska tehnologija 5.2. Prostori 5.3. Oprema prostorov
6. Naročniki 6.1 Oblikovanje cen 6.2 Ponudba storitev 6.3 Zavarovanje poklicne odgovornosti 6.4 Sklepanje pogodbenega razmerja 6.5 Prekinitev pogodbenega razmerja
7. Uporaba 7.1 Datum sprejetja in začetek uporabe
8. Potrdilo o skladnosti
Vir: https://www.gzs.si/zbornica_racunovodskih_servisov/vsebina/Zastopanje-interesov/Standard-izvajalcev-računovodskih-storitev/66005#5.1
71
16 SEZNAM LITERATURA IN VIRI Literatura
1. Bergant Ž., 2010, ,Organiziranje računovodstva v povezavi s finančno funkcijo, Ljubljana, Visoka šola za računovodstvo
2. Dr.Bernik I., Markelj B.,Sodobni aspekti informacijske varnosti, Fakulteta za varnostne vede, Univerza v Mariboru,
3. Bojanc R., Jerman-Blažič B.,Tekavčič M., Informacijska varnost v podjetniškem okolju, Potrebe, ukrepi in ekonomika vlaganj, Ekonomska fakulteta v Ljubljani, Založništvo
4. Conference Proceedings, Information security management, November 2005
5. Harris, Shon (2003). All-in-one CISSP Certification Exam Guide, 2nd Ed., Emeryville, CA: McGraw-Hill/Osborne. 0-07-222966-7.
6. Hočevar M., Igličar S., Zaman M., 2000, Osnove računovodstva, Ljubljana, Ekonomska fakulteta
7. Frelih S., Računalništvo in informatika: študijsko gradivo 8. Mag.Igličar A., dr.Hočevar M., 1997, Računovodstvo za managerje,
Ljubljana, Gospodarski vestnik 9. ISACA (2003). CISA_Information Systems Audit and control
association, Certified information systems auditor, Review manual 2003
10. ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association, p. 85. ISBN 1-933284-15-3.
11. Kodeks notranje revizijskih načel Slovenskega inštituta za revizijo.(2011). Uradni list RS, št. 40/2011
12. Kodeks poklicne etike notranjih revizorjev Slovenskega inštituta za revizijo.(2011). Uradni list RS, št. 63/2011
13. Kostrevc L., Računalništvo in informatika 14. Milost F., 2009, Osnove računovodstva, Koper, Univerza na
Primorskem 15. Pahor D. In Drobnič M. 2002. Leksikon računalništva in informatike.
Ljubljana, 16. Palmer D. – Stevens, Enterprise networking 17. Pasadena Kodek, D. 2008. Arhitektura in organizacija računalniških
sistemov. Šenčur, Bi-Tim 18. dr. Šuhnel P., 2010, Uvod v informatiko 19. Quist, Arvin S. (2002). »Security Classification of
Information« (HTML). Volume 1. Introduction, History, and Adverse Impacts. Oak Ridge Classification Associates, LLC. Retrieved on 2007-01-11.
20. SRS.(2011).Slovenski računovodski standard 21. Knjigovodske listine. Uradni list RS, št.80/2011
21. Turk I.-Melavc D, 2001, Računovodstvo, Kranj, Moderna organizacija
22. Kežmah B.,2009,Revizija informacijskih sistemov,Varnostni forum, 2009,št.9,str.11-12
72
23. Potokar M.,2009,Revizija informacijskih sistemov,Varnostni forum, 2009,št.9,str.14-15
24. Dr.Vršec M., 1993,Varnost podjetja, Ljubljana, Viharnik 25. Zakon o revidiranju.(2008). Uradi list RS,št. 65/08 26. 44 U.S.C § 3542 (b)(1) (2006) United States Code, 2006 Edition,
(https://www.gpo.gov/fdsys/granule/USCODE-2011-title44/USCODE-2011-title44-chap35-subchapIII-sec3542
Viri:
1. Slovenski računovodski standardi, Pridobljeno 04.04.2016 iz: http://www.si-revizija.si/standardi/slovenski-racunovodski-standardi-srs
2. http://bit.ly/1DYUioZ Priporočilo o varstvu osebnih podatkov v zvezi z zaposlovanjem (CM/Rec/2015/5)
3. http://www.si-revizija.si/publikacije/publikacije-instituta 4. ISO standard za ponudnike računalništva v oblaku, Pridobljena
04.04.2016 iz: http://www.iso.org/iso/catalogue_detail.htm?csnumber=61498 http://www.iso.org/iso/catalogue_detail.htm?csnumber=61498
5. Zakon o varstvu osebnih podatkov uradno prečiščeno besedilo (ZVOP-1-UPB1), Pridobljeno 03.04.2016 iz: https://www.ip-rs.si/zakonodaja/zakon-o-varstvu-osebnih-podatkov/
6. Zakon o elektronskih komunikacijah (ZEKom-1), (Ur.l. RS, št. 109/12, 110/13, 40/14 - ZIN-B, 54/14 - odločba Ustavnega sodišča RS št. U-I-65/13), Pridobljeno 02.04.2016, iz: http://www.pisrs.si/Pis.web/pregledPredpisa?id=ZAKO3781
7. Pravilnik o zaračunavanju stroškov pri izvrševanju pravice posameznika do seznanitve z lastnimi osebnimi podatki, Pridobljeno 02.04.2016 iz: kratka povezava: http://bit.ly/I76txM
8. Ustava RS Uradni list RS, št. 33/91-I, 42/97, 66/2000, 24/03, 69/04, 68/06 in 47/13, Pridobljeno 04.04.2016, iz http://www.us-rs.si/index.php?sv_path=3583,3519 = http://www.urs.si/media/usrs.presentation.strip.pdf
http://www.us-rs.si/media/ustava_koncna.2013.pdf 9. Temelji računovodstva Konzorcij višjih strokovnih šol za izvedbo
projekta IMPLETUM, Založnik: Zavod IRC, Ljubljana, Ljubljana, 2009, Marjana Leva Bukovnik, Pridobljeno 04.04.2016, iz http://www.impletum.zavod-irc.si/docs/
10. Revija direktor, Pridobljeno 05.04.2016, iz http://www.revija-direktor.si/index.php/strokovno/inovativno/30-ucinkovito-obvladovanje informacijske-varnosti-v-podjetju
11. ZVDAGA-Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih, Pridobljeno 03.04.2016, https://zakonodaja.com/zakon/zvdaga/85-clen-akreditacija-opreme-in-storitev
12. E-poslovanje v podjetjih v Sloveniji in EU (2004-2008), Pridobljeno 31.03.2016, iz http://pxweb.stat.si/pxweb/database/Ekonomsko/23_29_informaci
73
jska_druzba/06_posebnisklop_IKT_podjetja/32_29659_varnost_upor_IKT/32_29659_varnost_upor_IKT.asp
13. Standard izvajalcev računovodskih storitev, Pridobljeno 01.04.2016, iz https://www.gzs.si/zbornica_racunovodskih_servisov/vsebina/Zastopanje-interesov/Standard-izvajalcev-računovodskih-storitev/66005#5.1
14. Pravila skrbnega računovodenja (2016), Pridobljeno 02.04.2016, iz http://www.si-revizija.si/sites/default/files/standardi/psr-2016.pdf
15. Smernice za izvajanje Zakona o preprečevanju pranja denarja in financiranja terorizma za pravne in fizične osebe, ki opravljajo posle v zvezi z dejavnostjo računovodskih storitev (2007,2010), Pridobljeno 31.03.2016, iz https://www.gzs.si/pripone/Smernice_ZPPDFT_dec2010.pdf
16. Zakon o gospodarskih družbah (ZGD-1) (2006), Pridobljeno 01.04.2016, iz http://www.pisrs.si/Pis.web/pregledPredpisa?id=ZAKO4291
