ZAGOTOVITEV NOTRANJIH KONTROL V RAZMERAH ELEKTRONSKEGA PODPISOVANJA RAČUNOVODSKIH DOKUMENTOV

Transcription

1 UNIVERZA V MARIBORU EKONOMSKO-POSLOVNA FAKULTETA MARIBOR DIPLOMSKO DELO ZAGOTOVITEV NOTRANJIH KONTROL V RAZMERAH ELEKTRONSKEGA PODPISOVANJA RAČUNOVODSKIH DOKUMENTOV Študentka: Maja Tutek Naslov: Ul. Borisa Vinterja 6, 3214 Zreče Številka indeksa: Redni študij Program: Univerzitetni Študijska smer: Računovodstvo in revizija Mentor: Doc. dr. Andreja Lutar Skerbinjek Zreče, maj,

2 PREDGOVOR Slovenija je z vstopom v Evropsko Unijo vstopila tudi v informacijsko družbo oziroma v novo ekonomijo, ki temelji na visoki tehnologiji in ponuja velike možnosti rasti, nadaljnjega razvoja in ustvarjanja blaginje za vse, ki se bodo vanjo vključili. Tako država kot tudi gospodarstvo sta prisiljena v preobrazbo svojega klasičnega poslovanja v elektronsko poslovanje, za katerega je ključnega pomena uporaba interneta. Z novim načinom poslovanja pa se postavlja vprašanje ali je le-to varno. Pomembno vlogo pri tem ima elektronski podpis, ki mora biti overjen z digitalnim certifikatom, da je verodostojen. Naša naloga temelji na elektronskem podpisu in njegovi uporabi pri podpisovanju računovodskih dokumentov. Prikazali smo vrste elektronskih podpisov in njihovo uporabo ter podrobneje predstavili elektronsko poslovanje in elektronski podpis na primeru podjetja Siol d.o.o. Da je elektronsko poslovanje lahko postalo del vsakdanje poslovne prakse, je morala država najprej poskrbeti za njegovo legitimno podlago. Zakon o elektronskem poslovanju in elektronskem podpisu je pričel veljati in je temelj slovenskega elektronskega poslovanja. Prav tako so se novemu načinu poslovanja morali prilagoditi tako Slovenski računovodski standardi kot tudi Zakon o splošnem upravnem postopku. Ker elektronsko poslovanje prinaša mnogo novosti v poslovne sisteme, so se temu načinu poslovanja morali prilagoditi tudi notranje kontrolni sistemi. Popolna avtomatizacija poslovnega procesa prinaša veliko prednosti, kot je povečana produktivnost, zmanjšanje napak in posledično tudi zmanjšanje stroškov, vendar pa je potrebno poslovni proces popolnoma spremeniti, kar potegne za seboj veliko dela in stroškov z začetno investicijo. Za lažje elektronsko sodelovanja med posameznimi poslovnimi subjekti, je Gospodarska zbornica Slovenije s štirimi partnerji pričela s projektom e-slog, katerega osnovni namen je uveljavljanje standardnih elektronskih dokumentov za poslovanje med podjetji, podjetji s finančnimi inštitucijami ter javno upravo. Do sedaj se je temu projektu pridružilo več kot sedemdeset podjetij in osem inštitucij, leta 2004 pa je GZS začela projekt, katerega cilj je izdelati angleško različico standardov e-slog, zaradi internacionalnih poslov. V zadnjem poglavju smo podrobneje predstavili elektronsko poslovanje v podjetju Siol d.o.o., njegove prednosti in slabosti ter način elektronskega poslovanja med podjetjem in uporabniki Siol-ovih storitev. 2

3 KAZALO: 1 UVOD OPREDELITEV PODROČJA IN OPIS PROBLEMA NAMEN, CILJI IN OSNOVNE TRDITVE PREDPOSTAVKE IN OMEJITVE PREDVIDENE METODE RAZISKOVANJA ELEKTRONSKI PODPIS V RAČUNOVODSTVU TEHNOLOŠKE REŠITVE ELEKTRONSKEGA PODPISA PRAVNE UREDITVE ELEKTRONSKEGA PODPISA Zakonske podlage v svetu in Evropski uniji Poudarki zakona o elektronskem poslovanju in elektronskem podpisu Novosti zakona o splošnem upravnem postopku Slovenski računovodski standardi in elektronski podpis DIGITALNA POTRDILA POTREBNA ZA OVERJANJE ELEKTRONSKEGA PODPISA Ravni varnosti pri identifikaciji in avtentikaciji Princip medsebojnega zaupanja preko tretje sebe Digitalna potrdila za overjanje elektronskega podpisa Overitelji digitalnih potrdil ELEKTRONSKO VODENJE DOKUMENTOV E-SLOG UGOTOVITVE O ELEKTRONSKEM PODPISOVANJU RAČUNOVODSKIH DOKUMENTOV NOTRANJE KONTROLE POMEN IN VLOGA NOTRANJIH KONTROL VRSTE NOTRANJIH KONTROL Splošne notranje kontrole Notranje računovodske kontrole STANDARDI NOTRANJEGA KONTROLIRANJA NOTRANJE KONTROLE V POGOJIH ELEKTRONSKEGA PODPISOVANJA Kontrolna tveganja v pogojih elektronskega poslovanja Notranje kontrole elektronskih dokumentov UGOTOVITVE O NOTRANJIH KONTROLAH ELEKTRONSKEGA PODPISOVANJA RAČUNOVODSKIH DOKUMENTOV ELEKTRONSKO POSLOVANJE V PODJETJU SIOL D.O.O ELEKTRONSKO PODPISANI RAČUNI PREDNOSTI IN SLABOSTI ELEKTRONSKEGA PODPISOVANJA V PODJETJU SIOL D.O.O UGOTOVITVE O ELEKTRONSKEM PODPISOVANJU DOKUMENTOV V PODJETJU SIOL D.O.O SKLEP POVZETEK LITERATURA: SEZNAM VIROV:...54 PRILOGE

4 KAZALO SLIK: SLIKA 1: PRAVNO ZMOGLJIVO ELEKTRONSKO SPOROČILO... 9 SLIKA 2: POSTOPEK ŠIFRIRANJA IN DEŠIFRIRANJA SLIKA 3: MEDSEBOJNO POSLOVANJE IMETNIKOV DIGITALNIH POTRDIL SLIKA 4: DIGITALNO POTRDILO PO STANDARDU X SLIKA 5: PAMETNA KARTICA DIGITALNEGA POTRDILA SIGOV-CA SLIKA 6: GLAVNI IZDAJATELJI DIGITALNIH POTRDIL PODJETJEM SLIKA 7: ŽIVLJENJSKI CIKEL DOKUMENTA SLIKA 8: ŽIVLJENJSKA DOBA POSAMEZNIH KOMPONENT INFORMACIJSKEGA SISTEMA SLIKA 9: IZMENJAVA ELEKTRONSKIH DOKUMENTOV SLIKA 10: DIAGRAM POTEKA ELEKTRONSKEGA PODPISOVANJA S PRIKAZANIMI NOTRANJIMI KONTROLAMI SLIKA 11: VNOS PODATKOV V SPLETNI OBRAZEC ZA PRIPRAVO ELEKTRONSKEGA DOKUMENTA.. 42 SLIKA 12: PRIKAZ ELEKTRONSKEGA DOKUMENTA Z VMESNIKOM WEBSIGN SLIKA 13: PREGLEDOVANJE ELEKTRONSKEGA DOKUMENTA IN PREVERJANJE ELEKTRONSKIH PODPISOV Z VMESNIKOM WEBSIGN

5 1 UVOD 1.1 Opredelitev področja in opis problema Z vstopom v Evropsko unijo so se slovenska podjetja primorana boriti za vstop ter za obstanek na globalnem evropskem trgu. Slediti morajo hitremu razvoju tehnologije in interneta, ki ponujajo možnosti za hitrejše, lažje ter boljše poslovanje. Elektronsko poslovanje z vsakim dnem pridobiva na veljavnosti, uporaba interneta postaja prej nuja kot možnost, saj lahko podjetje pridobi na ugledu le, če stalno sledi razvojnim trendom tehnologije in s tem povečuje razvojne možnosti podjetja ter znižuje stroške. Mnenja smo, da elektronski mediji dobivajo vse večji pomen saj podjetja morajo slediti razvoju tehnologije. V sodobnem poslovnem svetu imajo informacije vedno večjo vlogo in le s sodobnim in učinkovitim informacijskim sistemom si lahko podjetje zagotavlja ustrezne in potrebne informacije. V informacijski sistem pa spada tudi e-poslovanje ter z njim e-podpis.z uvedbo avtomatizacije poslovnega procesa morajo podjetja v poslovni sistem uvesti tudi notranje kontrole, ki zmanjšujejo delovne napake ter tveganja. Vendar se še vedno pojavlja vprašanje varnosti poslovanja preko interneta, ki temelji predvsem na varnosti osebnih podatkov. Predvsem se postavlja vprašanje, če je podpisnik sporočila, prejetega preko elektronsko pošte, resnično podpisana oseba ali ne. Zato je država sprejela Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP) in preko Centra vlade za informatiko pričela z izdajanjem kvalificiranih digitalnih potrdil, ki izpričujejo istovetnost podpisnika digitalnega podpisa. Tudi v računovodstvu je e-poslovanje pridobilo na pomenu. Vedno bolj se računovodski dokumenti pošiljajo preko elektronske pošte, vendar morajo biti podpisani v skladu z ZEPEP ter Slovenskimi računovodskimi standardi (SRS) in imajo s tem popolnoma enake lastnosti kot dokumenti prejeti po navadni pošti. 1.2 Namen, cilji in osnovne trditve Namen diplomske naloge je preučiti prednosti in slabosti elektronskega podpisa računovodskih dokumentov ter prikazati pomembnost notranjih kontrol elektronskega podpisovanja računovodskih dokumentov. Raziskali bomo vrste elektronskih podpisov in varnostne ukrepe pri e-podpisovanju. Proučili bomo tudi izdajatelje digitalnih potrdil za elektronsko podpisovanje, ki imajo v današnjem času velik pomen pri zaupanju udeležencev v e-poslovanje. Prav tako je v nalogi omenjen tudi projekt Gospodarske zbornice Slovenije E-slog, katerega osnovni namen je uvajanje standardnih elektronskih dokumentov za poslovanje podjetij z drugimi podjetji, javno upravo ter finančnimi institucijami in s tem spodbujanje e-poslovanja. Proučili bomo tudi notranje kontrole pri elektronskem podpisovanju računovodskih dokumentov ter kontrolna tveganja, ki se pri e-poslovanju lahko pojavljajo. V diplomski nalogi bomo dokazali trditev, da je elektronsko podpisovanje računovodskih dokumentov varno, če podjetje uvede in upošteva notranje kontrole pri elektronskem podpisovanju računovodskih dokumentov ter če deluje v skladu z Zakonom o elektronskem poslovanju in elektronskem podpisu. 5

6 1.3 Predpostavke in omejitve Predpostavke: Zakon o elektronskem poslovanju in elektronskem podpisu in Zakon o upravnem postopku se ne bosta spremenila. Slovenski računovodski standardi se ne bodo spremenili. Preučevana podjetja uporabljajo elektronski podpis za podpisovanje računovodskih dokumentov. Pri uvajanju elektronskega poslovanje se pojavljajo tveganja, zato so potrebne notranje kontrole. Omejitve: Omejili se bomo na notranje kontrole elektronskega podpisovanja. Omejili se bomo na elektronski podpis le v primeru podpisovanja računovodskih dokumentov ( račun, dobavnica, naročilo). Omejili se bomo na področje Slovenije. V praktičnem primeru se bomo omejili na podjetje Siol d.o.o. Omejili se bomo na literaturo iz slovenskega in angleškega govornega področja. 1.4 Predvidene metode raziskovanja V diplomski nalogi bomo proučevali elektronski podpis in njegovo uporabo v računovodstvu na poslovni ravni. Proučevanje je dinamičnega značaja, saj v nalogi opisujemo razvoj elektronskega podpisa in njegovo uporabo skozi daljše časovno obdobje. V okviru deskriptivnega pristopa bomo uporabili metodo deskripcije, ki je postopek opisovanja dejstev, procesov in pojavov; ter metodo kompilacije, ki je postopek povzemanja opazovanj, spoznanj, stališč, sklepov in rezultatov drugih avtorjev. 6

7 2 ELEKTRONSKI PODPIS V RAČUNOVODSTVU Elektronsko poslovanje Elektronsko poslovanje pomeni predvsem informatizacijo povezave poslovnih procesov podjetja s svojimi poslovnimi partnerji in končnimi uporabniki. V praksi to pomeni predvsem odpiranje elektronskih tržnih poti do končnih ali manjših podjetij (na primer spletno elektronsko bančništvo) ali neposredno povezavo z informacijskim sistemom poslovnega partnerja (npr. elektronska preskrbovalna veriga trgovskega podjetja). Elektronsko poslovanje doseže svoj največji poslovni učinek, ko uspemo elektronsko povezati večino svojih partnerjev, saj lahko le na ta način ukinemo ali vsaj minimiziramo količino tradicionalnih papirnih dokumentov. Povezovanje z uporabo odprtega, javnega, globalnega omrežja, kot je internet, je zaradi tega nuja. Prav zaradi odprtosti komunikacijskega medija pa je potrebno posebno pozornost nameniti zagotavljanju ustreznega nivoja varnosti. Eden temeljnih mehanizmov računalniške varnosti je elektronski podpis. Elektronska izmenjava podatkov je proces, v katerem dva elektronski napravi preko nekega medija izmenjata nize elektronskih signalov. Ti signali so digitalni in predstavljajo nize enk in ničel. Problem, ki pri tem nastaja, je problem identifikacije. Če pošljemo sporočilo v papirni obliki, potem je iz pisave, papirja in podpisa ter odtisa štampiljke razvidno kdo sporočilo pošilja in ali je sporočilo originalno. Če pa pošljemo preko elektronskega medija niz enk in ničel, prejemnik nima dokazil, na podlagi katerih bi ugotovil, kdo je resnični pošiljatelj sporočila (Toplišek, 1998). Na elektronsko poslovanje preži veliko nevarnosti. Lahko jih razdelimo v več kategorij. Pretvarjanje (uporaba legitimnih dejanj na nelegalen način). Sem sodi cela vrsta napadov, od vohljanja na lokalnem omrežju ali prehajajočem prometu do razbijanja gesel. Zanikanje sodelovanja pri določenih aktivnostih (avtor sporočila pozneje taji svoje avtorstvo). Spreminjanje podatkov (z vdorom v sistem lahko napadalec namerno spremeni izvorno sporočilo, npr. znesek na finančni transakciji). Vdor v sistem. Kršitev nadzora dostopa (napadalec sicer ima pravice za dostop do nekaterih informacij v napadenem sistemu, vendar pride tudi do tistih, za katere ni avtoriziran). Sejanje (napadalec pri avtoriziranem dostopu pusti za sabo aplikacijo, po navadi zamaskirano, ki mu služi pozneje za vdor v sistem). V to kategorijo sodijo virusi in trojanski konji. Informacijska varnost se ukvarja s preprečevanjem vseh nevarnosti, ki prežijo na elektronsko poslovanje. Kot je znano, je varnost le tolikšna, kot je varen najšibkejši člen znotraj opazovanega sistema, zato je nujno, da se prijemi za preprečevanje prežečih nevarnosti uporabljajo skupaj in ne posamezno za vsako obliko groženj. Nič ne pomaga najsodobnejša tehnološka zaščita, če v organizaciji ni prisotne ustrezne varnostne kulture oziroma če lahko napadalec izve za geslo le s klicem na tehnično pomoč podjetja ali s krajšim sprehodom po 7

8 pisarnah v času malice. Med osnovne prijeme za zagotavljanje informacijske varnosti se prištevajo storitve overjanja (po navadi s kombinacijo nečesa, kar legitimen uporabnik ima, in nečesa, kar ve), storitve dostopne kontrole do različnih virov znotraj sistema, storitve zaupnosti (po navadi s šifriranjem), storitve skladnosti podatkov in storitve preprečevanja tajenja avtorstva podatkov. Veda, ki se ukvarja z zagotavljanjem tehnik, potrebnih za učinkovito in predvsem varno elektronsko poslovanje, se imenuje kriptografija, temelji pa predvsem na kompleksnih matematičnih funkcijah (Nash et. al., 2001, str. 67). Elektronski podpis Elektronski podpis je nadomestek lastnoročnega podpisa v elektronskem poslovanju in je namenjen preverjanju pristnosti podatkov ter identifikaciji podpisnika (Jerman Blažič, 2001, 106). Posamezni načini elektronskega podpisovanja imajo zanimive lastnosti, ki jih ne najdemo pri lastnoročnem podpisu; nekateri so neprimerno zanesljivejši in lahko opravljajo funkcije, ki jih lastnoročni podpisi ne more (samooveritev, varovanje neokrnjenosti vsebine, varovanje podatkov, potrjevanje datuma / časa podpisa nezatajljivost poslanega sporočila ). Vse to lahko da elektronskemu sporočilu večjo zanesljivost, kot ga ima papirno ( Toplišek, 1996). Iskati moramo funkcionalno zadovoljive rešitve, tj. takšne, ki bodo ustrezale tistim nalogam podpisa, ki se jim v posameznem primeru ne smemo izogniti, hkrati pa omogočiti, da bodo izvedljive tudi dodatne tehnološke funkcije elektronskega podpisa. V predlogu smernic za urejanje digitalnega podpisa je zapisano, da mora elektronski podpis zagotoviti (ABA DSG 1995, 6): - pristnost podpisnika zagotoviti dober dokaz o tem, kdo je v poslu sodeloval, kdo je sporočilo podpisal; druga oseba naj bi brez soglasja težko izvedla podpis namesto podpisnika (Signer authentication). - Pristnost sporočila elektronski podpis mora določati, kaj je podpisano; biti mora zanesljiv dokaz za vsebino posla; izključiti mora možnost, da bi ponaredili ali spremenili vsebino sporočila, pa tudi možnost, da bi razkrili vsebino ali podpis (Document authentication). - Dejanje potrditve podpis mora izkazovati podpisnikovo odobritev; podpis označuje dogodek / dejanje, nakaže odobritev in strinjanje ter vzpostavlja pomen pravne zavezanosti (Affirmitive act). - Učinkovitost postopki podpisovanja in preverjanja podpisov naj bi zagotavljali največjo mogočo stopnjo pristnosti in veljavnosti ob najmanjših mogočih izdatkih / porabi (Efficiency). Rešitev elektronskega podpisa mora biti tudi poslovno razumna podpirati mora uspešnost in učinkovitost poslovanja. 8

9 Slika 1: Pravno zmogljivo elektronsko sporočilo Varstvo podatkov Zanesljivost Zaupnost Varno shranjevanje ELEKTRONSKI PODPIS Samooveritev Nezatajljivost Vir: Toplišek, 1998 Celovitost sporočila Obličnost 2.1 Tehnološke rešitve elektronskega podpisa Elektronski podpis se lahko uveljavlja v mnogih tehnoloških izvedbah. Na prvi pogled včasih ni mogoče prepoznati kdo je podpisnik; za to so potrebni posebni tehnološki pripomočki. Hiter tehnološki razvoj bo ponudil nove rešitve podpisovanja elektronskih dokumentov. Omenili bi nekatere danes uveljavljene načine 1 : Navedba imena kot podpis gledano ozko, še ne pomeni, da gre za elektronski podpis. Navajamo ga zato, ker se bo kot izvedljiva, uporabna in pravno zadostna oblika pojavljal v elektronskem poslovanju. Skupina znakov kot podpis - je dopusten način podpisovanja, če je v poslovanju običajen pomembno je, da je razvidna vsebina izjave in kdo jo daje. Če gre za izračunano skupino znakov je to testni ključ, ki zagotavlja tudi pristnost vsebine. Podpisovanje s skupino znakov je učinkovitejše, če je povezano z drugimi varnostnimi mehanizmi. Vokalizirano ime kot podpis se že uporablja za sporočila prek ukazne (interaktivne) telefonije. Elektronska kartica sama zase še ni podpis; je le nosilka za različne izvedbe podpisov. Dejansko je to hardware in podpis s kartico identificira napravo, ne pa osebe. O digitaliziranem lastnoročnem podpisu govorimo, če je podpis kot slika prenesen v digitalno obliko. To je mogoče predvsem s skeniranjem ali s pisalom, ki prek digitalizatorja prenaša poteze podpisa v elektronski zapis. Vse vrste»slikanega«podpisa so nezanesljive in je v večini primerov tehnično nemogoče dokazati ponaredek. Pri tej vrsti podpisa gre večinoma za enkraten 1 Povzeto po Toplišek,

10 zajem in shranitev podpisa, ne pa za večkratno podpisovanje z vsakokratnim preverjanjem pristnosti. Digitalni podpis zagotavlja izpolnitev 4 temeljnih varnostnih zahtev (ABA DSG, 1995): zagotavljanje identitete, zaupnost, neokrnjenost sporočila in preprečevanje zanikanja. Enostavne metode ne zagotavljajo tako visoke stopnje varnosti kot digitalno podpisovanje, ki temelji na asimetrični kriptografiji. Prednost slednjih metod v primerjavi z lastnoročnim podpisom je v tem, da zagotavljajo neokrnjenost podpisanega dokumenta. Najmanjša sprememba dokumenta, pa naj bo to le dodana vejica v tekstu, povzroči, da podpis ni več veljaven. Digitalni podpis je torej odvisen od vsebine sporočila, zato tudi ni nevarnosti, da bi kdo prekopiral originalni podpis in z njim ponarejal druge dokumente. Digitalni podpis omogoča še lažjo razsodbo v primeru, ko podpisnik zanika, da bi bil podpis njegov. Ker je praktično nemogoče določiti zasebni ključ, ki je znan le njegovemu lastniku, takega podpisa ne moremo ponarediti. Identiteto podpisnika lahko popolnoma preverimo vsakič, ko preverjamo digitalni podpis. Pri lastnoročnih podpisih lahko avtentičnost podpisa potrdi le grafolog. Tudi za digitalno podpisovanje obstaja več različnih metod in oblik podpisov, na primer enkratni podpis ali slepi podpis. Izbira metode je odvisna od zahtev uporabnika ali širšega okolja, dejansko pa se danes večinoma uporabljata le algoritem RSA v kombinaciji z enosmernimi zgoščevalnimi funkcijami in metoda DSS (Digital Signature Standard). Pri prvi metodi je enako kot pri šifriranju z asimetričnimi algoritmi, saj ima uporabnik dva ključa; zasebni je znan le njemu, javni pa komurkoli. Isti par ključev se lahko uporablja za šifriranje in digitalno podpisovanje, vendar to ni priporočljivo, ker se varnostne zahteve v obeh primerih precej razlikujejo. Zasebni ključ za podpisovanje mora generirati in poznati le njegov lastnik, saj le tako lahko podpis dejansko določa podpisnika. V primeru ključev za šifriranje je situacija drugačna. Zasebni ključ tam ne identificira subjekta, ampak omogoča dostop do šifriranih podatkov, zato ga lahko pozna več subjektov. V podjetjih je celo nujno, da se ključi zaposlenih za dešifriranje varno shranijo, saj je le tako mogoče ponovno rekonstruirati podatke, če se zaposlenemu kaj zgodi, če zamenja službo ali le pozabi geslo za dostop do ključa. Podpisovanje dokumenta poteka v dveh korakih. Podatke najprej skrčimo z eno izmed enosmernih zgoščevalnih funkcij, ki poljubno dolgo besedilo preslika v blok konstantne dolžine. Pomembna lastnost teh funkcij je, da je nemogoče oziroma prezahtevno najti drug dokument, ki se preslika v blok konstantne dolžine, prav tako pa je nemogoče najti dve različni sporočili, ki dasta isti rezultat. Enosmerno zgoščevanje se razlikuje od običajnega zgoščevanja besedil, katerega namen je prihranek prostora. Z zgostitvijo v konstantno velik blok namreč uničimo informacijo, ki jo nosi sporočilo, zato prvotnih podatkov ne moremo ponovno rekonstruirati. Danes se kot enosmerne zgoščevalne funkcije najpogosteje uporabljajo algoritmi MD5 (velikost 128 bitov), RIPEMD in SHA-1(Secure Hash Standard z velikostjo rezultata 160 bitov). Dobljeni blok, ki predstavlja»prstni odtis«besedila, nato šifriramo s svojim zasebnim ključem in tako dobimo digitalni podpis. Pri preverjanju podpis najprej dešifriramo z javnim ključem podpisnika. Nato sami izračunamo vrednost enosmerne zgoščevalne funkcije podpisanih podatkov in primerjamo bloka. Če sta bloka različna, je dokument podpisal nekdo drug ali pa se je vsebina dokumenta spremenila od 10

11 časa podpisa. Verjetno je treba omeniti, da enosmerne zgoščevalne funkcije ne vsebujejo nikakršnih skritih ključev ali drugih neznanih informacij, zato lahko podpis preveri kdorkoli. Podpisovanje in preverjanje podpisov se morda zdita na prvi pogled zapletena, vendar v praksi zanju zadostuje le pritisk na tipko. Za razumevanje digitalnih podpisov je bistveno le to, da vemo, da podpisujemo s svojim zasebnim ključem, podpise pa preverjamo z javnim ključem podpisnika. Slika 2: Postopek šifriranja in dešifriranja je shematsko prikazan na sliki 2. A želi poslati B šifrirano sporočilo. Uporabi B-jev javni ključ za šifriranje, ki se nahaja v imeniku javne uprave. A nato pošlje šifrirano sporočilo B-ju. Ko le-ta prejme šifrirano sporočilo, ga s svojim zasebnim ključem dešifrira. Pod pogojem, da je A izbral B-ja kot edinega naslovnika njegovega sporočila, ga lahko edino le-ta dešifrira. Vir: Overitelji na Centru Vlade Republike Slovenije za informatiko Za večjo varnost je priporočljivo, da zasebni ključ hranimo na pametni kartici. Pametna kartica je plastična kartica velikosti kreditne kartice, ki vsebuje čip. Pomembna lastnost pametnih kartic je v tem, da zasebni ključ ne zapusti pametne kartice, zato tudi ni v nevarnosti, da bi bil razkrit. Šifriranje in digitalno podpisovanje namreč potekata na sami kartici. Dostop do kartice je zaščiten z geslom, sodobnejše kartice pa imajo vgrajene tudi čitalnike prstnih odtisov, s čimer kartico res lahko uporablja samo njen pravi lastnik (Jerman Blažič, 2001, 108). 2.2 Pravne ureditve elektronskega podpisa Zakonske podlage v svetu in Evropski uniji Podobno kot za druga področja velja tudi za področje elektronskega poslovanja in elektronskega podpisa, da morajo članice Evropske unije lokalno zakonodajo uskladiti s skupnimi priporočili. Smernice narekujejo ustrezne direktive Evropske unije in Združenih narodov. Najpomembnejši sta direktiva o elektronskem podpisu, Direktiva 1999/93/EC, s pripadajočimi aneksi in podrejenimi tehničnimi standardi ETSI in CEN ter modelni zakon Komisije OZN za mednarodno gospodarsko pravo (UNCITRAL) o elektronskem poslovanju, ki je bil sprejet leta Prvi evropski zakon o elektronskih podpisih je sprejela Nemčija leta 1997, sledile pa so ji še nekatere druge države, kot na primer Italija in Avstrija. Z namenom 11

12 poenotenja zakonodaj članic Evropske unije o elektronskih podpisih ter pospeševanja elektronskega poslovanja in uporabe elektronskega podpisa je Evropska unija konec leta 1999 sprejela direktivo z naslovom Okvir unije za elektronske podpise (angl. A Community framework for electronic signatures). Določila direktive so morale države udejanjiti na nacionalni ravni do 19. junija Direktiva obravnava vrste elektronskih podpisov, vendar hkrati med njimi izpostavlja tiste, ki imajo pod določenimi pogoji enako pravno veljavo kot lastnoročni podpisi pri dokumentih v papirni obliki. Kljub temu, da je direktiva tehnološko nevtralna, se zdijo ta trenutek samo digitalni podpisi na podlagi asimetrične kriptografije sposobni izpolniti vse predpisane pogoje (Jerman Blažič, 2001, 114). Zahteva po usklajenosti lokalne zakonodaje velja tudi za Slovenijo, kjer je Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP) s pripadajočo uredbo že usklajen z direktivo in modelnim zakonom. Ker pa se evropske smernice (predvsem tehnična priporočila) še vedno dopolnjujejo, je v pripravi že novi zakon. ZEPEP med drugim opredeljuje pogoje, pod katerimi je elektronski podpis enakovreden lastnoročnemu podpisu (Lesjak, 2003) Poudarki zakona o elektronskem poslovanju in elektronskem podpisu Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP) ureja določena pravna vprašanja, ki jih postavljata in zahtevata hiter tehnološki razvoj in pospešeno uvajanje elektronskega poslovanja v gospodarstvo in javni sektor in je pričel veljati Zakon opredeljuje tri stranke, ki v uporabi elektronskega podpisa sodelujejo. To so pošiljatelj, prejemnik sporočila in overitelj. Overitelj je institucija, ki jamči za istovetnost osebe in podpisa, ki se nanaša na to osebo. Ta institucija prenaša klasično obliko overitve podpisa v elektronsko obliko. Stranka, ki želi poslovati elektronsko in nastale listine tudi podpisovati, mora pri overitelju pridobiti certifikat, s katerim izkazuje svojo istovetnost. V poslovanju se izkazuje s certifikatom. Zakon posveča precej pozornosti overitelju in mu nalaga tudi precejšno kazensko odgovornost. Zakon določa nekaj posebnih atributov, ki so lastni varnemu elektronskemu poslovanju. To so (ZEPEP, 2. člen): da je povezan izključno s podpisnikom; da je iz njega mogoče zanesljivo ugotoviti podpisnika; da je ustvarjen s sredstvi, za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom ter da je povezan s podatki, na katere se nanaša, tako da je opazna vsaka kasnejša sprememba teh podatkov ali povezave z njimi. Zakon postavlja pomen elektronskega podpisa v enak položaj, kot je sedaj klasičen podpis na papir. Podatki, ki nastanejo in se posredujejo v elektronski obliki, imajo po določbah tega zakona enako težo kot podatki v papirni obliki. Zakon določa, da se»podatkom v elektronski obliki ne sme odreči veljavnost ali dokazne vrednosti samo zato, ker so v elektronski obliki«. Zakon predvideva, uporabo elektronskih listin v pravnem prometu, zato predvideva, da mora biti komunikacija dvosmerna. Pošiljatelj pošlje sporočilo, prejemnik pa mu vrne potrdilo o prejemu sporočila. Na ta način pošiljatelj ve, da je sporočilo prispelo do prejemnika. Kljub temu pa zakon v 8. členu pravi, da s prejemom potrdila o prejemu elektronskega sporočila pošiljatelj 12

13 dobi le potrdilo o poslanem sporočilu. To pomeni, da je dopuščena možnost, da pride med prenosom do spremembe sporočila. Zakon v 15. členu opredeljuje elektronski podpis kot enakovreden lastnoročnemu. Da ga prizna kot enakovreden v dokaznem postopku, mora izpolnjevati pogoje za varen podpis. Tako pravi:«varen elektronski podpis, overjen s kvalificiranim potrdilom, je glede podatkov v elektronski obliki enakovreden lastnoročnemu podpisu ter ima zato enako veljavnost in dokazno vrednost«. S tem določilom je zakonsko odprta pot za oblikovanje listin v elektronski obliki in z vsemi dokazilnimi lastnostmi, kot jih imajo listine v papirni obliki. V določbah 14. člena zavaruje elektronski podpis proti zavrnitvi zaradi formalnega razloga, saj se»elektronskemu podpisu ne sme odreči veljavnost ali dokazna vrednost samo zaradi elektronske oblike, ali ker ne temelji na kvalificiranem potrdilu ali potrdilu akreditiranega overitelja, ali ker ni oblikovan s sredstvom za varno elektronsko podpisovanje«. Določbe zakona so tesno povezane s pojmom kvalificiranega potrdila, ki podpis naredi verodostojen. Zakon pravi glede tega potrdila naslednje: Iz kvalificiranega potrdila mora biti razvidno: navedba, da gre za kvalificirano potrdilo; ime ali firma in država stalnega prebivališča ali sedeža overitelja; ime oziroma psevdonim imetnika potrdila ali naziv oziroma psevdonim informacijskega sistema z navedbo imetnika potrdila, pod katerega nadzorom je, z obvezno navedbo, da gre za psevdonim; dodatni podatki o imetniku potrdila, ki so predpisani za namen, za katerega se bo potrdilo uporabljalo; podatki za preverjanje elektronskega podpisa, ki ustrezajo podatkom za elektronsko podpisovanje pod nadzorom imetnika potrdila; začetek in konec veljavnosti potrdila; varen elektronski podpis overitelja, ki je potrdilo izdal; morebitne omejitve v zvezi z uporabo potrdila; morebitne omejitve transakcijskih vrednosti, za katere se potrdilo lahko uporablja. Pri obravnavi elektronskih listin in podpisa, ki tem listinam zagotovi pečat verodostojnosti, sili v ospredje problem tehnologije in tehničnih zahtev za izvedbo varnega podpisovanja. Zato zakon predvideva tudi nekatere zahteve, s katerimi zagotavlja varno elektronsko podpisovanje listin. Te zahteve so naslednje:»sredstva za varno elektronsko podpisovanje morajo z uporabo ustreznih postopkov in infrastrukture zagotoviti naslednje: podatki za elektronsko podpisovanje morajo biti edinstveni in njihova zaupnost zagotovljena; podatkov za elektronsko podpisovanje ni mogoče v razumnem času ali z razumnimi sredstvi ugotoviti iz podatkov za preverjanje elektronskega podpisa, elektronski podpis pa je učinkovito zaščiten pred poneverjanjem z uporabo trenutno dostopne tehnologije; podpisnik lahko zanesljivo varuje svoje podatke za elektronski podpisovanje pred nepooblaščenim dostopom; 13

14 sredstvo za varno elektronsko podpisovanje ne sme spremeniti podpisanih podatkov ali preprečiti prikaza podatkov podpisniku pred podpisom.«(zepep, 37. člen) Novosti zakona o splošnem upravnem postopku Zakon o splošnem upravnem postopku že daje pravno veljavo tudi dokumentom v elektronski obliki. V 63. členu je tako določeno, da se vloga lahko pošlje po elektronskem mediju, vendar le če pri organu obstajajo tehnične možnosti za sprejem. Organ lahko v skladu s 67. členom zahteva od stranke, da po elektronskem mediju poslano vlogo papirno potrdi. Takšno potrjevanje postane nepotrebno, če stranka uporabi elektronsko podpisovanje in elektronskemu dokumentu priloži kvalificiran podpis, saj je namen papirnega potrjevanja zagotovitev identitete stranke. ZUP tudi določa, da se lahko uradni spisi, kot so vabila, odločbe in sklepi, vročijo po elektronski pošti, in hkrati nalaga, da Vlada Republike Slovenije s posebno uredbo določi postopek za takšno vročenje člen se nanaša neposredno na elektronske podpise, saj omogoča izdajanje odločbe v obliki računalniškega izpisa, ki ima lahko tudi elektronski podpis. Kot javna listina je pod določenimi pogoji računalniški zapis, dejansko stanje pa se lahko ugotavlja na podlagi podatkov v računalniških bazah Slovenski računovodski standardi in elektronski podpis Slovenski računovodski standardi (SRS) so bili sprejeti 21. aprila 1993 (ZRFR, 1993). Z dnem sprejetja so nadomestili do tedaj veljaven Zakon o računovodstvu, ki je določal pravila računovodenja v gospodarskih družbah. Dne so bili sprejeti prenovljeni SRS, ki so uveljavili nekatere nove določbe, ki so nastale iz praktičnih izkušenj uporabe SRS v obdobju osmih let od prve objave (ZRFR, 2001). Zakonska podlaga za uporabo SRS je Zakon o gospodarskih družbah (ZGD), ki v svojem 50. členu določa, da morajo»družbe voditi poslovne knjige ter izdelati letna poročila v skladu z določbami tega poglavja in drugimi predpisi ter ob upoštevanju računovodskih standardov in načel ter splošnih računovodskih predpostavk, ki jih izdaja z zakonom pooblaščena organizacija«(zakon o gospodarskih družbah, 1993). SRS omenja v svojih določbah tudi Zakon o davku od dobička pravnih oseb (ZDDPO, 2000), ki v svojem 9. členu določa, da se za ugotavljanje dobička priznavajo prihodki in odhodki v zneskih, ugotovljenih v izkazu uspeha, na podlagi predpisov ali računovodskih standardov. Ta določba praktično pomeni, da davčna zakonodaja priznava SRS kot strokovno osnovo za vodenje evidence davčnih prihodkov in odhodkov in da je možno, tako za poslovne kakor tudi za davčne namene, uporabljati enoten sistem knjigovodstva. To hkrati pomeni, da listine, ki v dokaznem smislu ustrezajo zahtevam SRS, ustrezajo tudi zahtevam davčnih predpisov. Pri obravnavi izmenjave podatkov z davčnimi organi se sprašujemo, ali elektronsko oblikovanje listine ustrezajo zahtevam SRS. Če so skladne z zahtevo SRS, potem zadoščajo tudi za dokazovanje v davčnem postopku. SRS obravnavajo računovodske listine v 21. standardu, tehniko vodenja pa v 22. standardu. V procesu elektronske izmenjave podatkov izmenjujemo sintetične podatke v predpisanih formatih. Sintetične podatke pridobimo z izvajanjem iz posameznih poslovnih listin, saj ti podatki izražajo neko zbirno stanje, ki nastane z urejanjem zbranih poslovnih listin. Sama po 14

15 sebi nastane zamisel, da bi bilo smotrno pripravo podatkov začeti čim bolj zgodaj, po možnosti že ob nastanku poslovnega dogodka. Sodobna računalniška tehnologija omogoča spremljavo poslovnega dogodka od nastanka pa do sestave zbira za potrebe poročanja. SRS v svojem 21. standardu obravnava: vrste in način sestavljanja knjigovodskih listin, gibanje knjigovodskih listin, kontroliranje knjigovodskih listin, nalog za knjiženje iz knjigovodskih listin in hrambo knjigovodskih listin. Standard v uvodu posebej omenja elektronske listine oziroma sporočila, ki jih izmenjujejo podjetja in ki nadomeščajo klasično oblikovane listine. Standard je nastal v letu 1993, ko je bilo zaradi hitre rasti obsega računalniške podpore poslovanju jasno, da bo slej ko prej prišlo do uporabe izmenjave podatkov s pomočjo elektronskih medijev tudi na področju računovodskih listin. Zato standard vsebuje tudi določbe, ki obravnavajo računovodske listine v elektronski obliki. SRS 21 opredeljuje knjigovodsko listino kot»pisno pričevanje o nastanku poslovnega dogodka ter služi kot podlaga za vnašanje knjigovodskih podatkov v poslovne knjige«(srs 21, 107). SRS 21 v točki 21.7 opredeljuje, da vsebino knjigovodske listine opredeli podjetje samo v svojih aktih, priporoča pa naslednje nujne sestavne dele: podatke o podjetju, pri katerem nastajajo poslovni dogodki, podatke o poslovnem dogodku, v denarju izražen obseg sprememb poslovnega dogodka, podatke o kraju in datumu izdaje knjigovodske listine ter opredelitev oseb, pooblaščenih za podpisovanje takih knjigovodskih listin. V točki 21.8 SRS 21 govori o podpisovanju knjigovodske listine, če je ta sestavljena v papirni obliki ali v računalniški obliki. V primeru računalniške oblike je predhodna verzija SRS dovoljevala izpis podpisa in žiga v obliki faksimila, v zadnji verziji pa predvideva elektronsko podpisovanje skladno z veljavnim zakonom o elektronskem podpisu. V SRS je v varnostnem smislu upoštevana tudi lastnost digitalnega podpisovanja, ki ne dovoljuje nobenih sprememb na dokumentu, ki je bil digitalno podpisan. V točki 21.9 pa določa, da se kot verodostojna knjigovodska listina obravnava tudi z računalniško obdelavo dobljeno sporočilo, ki je sestavljeno iz knjigovodskih podatkov. Pošiljatelj oziroma sestavljalec sporočila pa je odgovoren za verodostojnost vnesenih podatkov. SRS posebej določa tudi pregled in potrjevanje računalniških programov, ki se uporabljajo za sestavljanje knjigovodskih listin. SRS ne predvideva v kakšnem smislu naj bi se ti programi preizkušali, verjetno pa naj bi bili programi taki, da onemogočijo zlorabo. V nadaljevanju SRS 21 (točka 21.12) določa tudi obravnavo elektronsko obdelanih listin v fazi kontrole, kjer posebej določa, da je potrebno vršiti kontrolo predvsem pri vnosu podatkov ob nastanku listine. Poleg tega SRS 21 posebej obravnava način hranjenja podatkov, ki so podlaga za oblikovanje elektronskih listin, kakor tudi ustreznih programov, ki omogočajo, da take listine iz podatkov lahko obnavljamo po potrebi. 15

16 Prva verzija SRS 21 v pretežni meri obravnava listine v papirni obliki. Računalniško oblikovane listine obravnava v obsegu, ki je bil za razmere ob nastanku SRS zadovoljiv. Tehnologija danes omogoča tehnološko naprednejše pristope, kar je SRS 21 upošteval v zadnji verziji. Spremembe SRS v smislu novejše tehnologije so vidne pri skoraj vsaki točki SRS. Tako sestavljalec SRS predvideva alternativen pristop za vsako obravnavano poglavje SRS 21. Določa, kako obravnavati listine, ki so nastale z računalniško obravnavo podatkov. V poslovanju z davčnimi organi je elektronsko oblikovana listina manj pomembna, saj naj bi se izmenjava vršila na nivoju zbranih in preoblikovanih podatkov. Poslovni procesi so danes že v precejšnji meri informatizirani. Računalniško obdelavo podatkov lahko najdemo na vseh delovnih mestih, kjer nastajajo zapisi o poslovnih dogodkih. Zato je smiselno, da zajamemo podatke o poslovnem dogodku že takoj v začetni fazi nastajanja poslovnega dogodka. Listine, ki ob tem nastanejo, se v nadaljevanju preoblikujejo v knjižbe v poslovnih knjigah, ki pa v nadaljevanju tvorijo zbirne zapise, primerne za poročanje davčnim organom. Zaradi tega so pomembna določila SRS 21, ki dopuščajo enakovredne listine tudi elektronsko oblikovane listine. Iz določb SRS 21 točka 2.14, ki govori o hranjenju listin v elektronski obliki, lahko sklepamo, da standard predvideva popolno opustitev papirne oblike listin. V določbah prve verzije SRS, ki govorijo o sestavnih delih listine, je posebej zanimiva določba o podpisu odgovorne osebe. Zahteva, da ima listina faksimile podpisa in žiga, govori o tem, da so se sestavljalci predpisa ukvarjali z mislijo, kako zagotoviti ekvivalent lastnoročnemu podpisu na elektronski listini (ZRFR 1993, 105). Vprašanje je seveda ali naj elektronska listina ostane popolnoma enaka kot papirna s to razliko, da se nahaja na drugem mediju ali naj se pri oblikovanju teh listin uporabijo druga sredstva za dokazovanje, da je dogodek v resnici nastal. V zadnji verziji SRS je sestavljalec uskladil določbe SRS s sprejetim Zakonom o elektronskem poslovanju in elektronskem podpisu. Pri tem predvideva uporabo elektronskega podpisa v smislu potrjevanja verodostojnosti dogodka, zakon o elektronskem poslovanju in elektronskem podpisu pa elektronski podpis obravnava kot identifikacijski atribut, s katerim podpisnik potrdi istovetnost poslanega sporočila in osebe, ki je sporočilo poslala. Pri evidentiranju poslovnih dogodkov nastaja problem dokazovanja verodostojnosti. Listina, ki nastane pri poslovnem dogodku je zapis o poteku ali vsebini dogodka. Na zapisu je potrebno nekako zagotoviti potrditev, da se dogodek v resnici zgodil. Veliko poslovnih dogodkov je takih, da se materialne sledi o izvajanju dogodka izbrišejo. Kot na primer pri storitvah. Celo transakcije, kjer pride do izmenjave lastništva stvari, ki jih je možno kasneje odkriti in dokazati lastništvo, so lahko problematične brez dokaza, da je oseba A prevzela stvar od osebe B. Potrditev, da je dogodek v resnici nastal, se v papirni obliki izvede s podpisom obeh udeležencev na papirju. Unikatnost podpisa zagotavlja večjo varnost oziroma verodostojnost listine v primeru spora. Da bi dosegli enak učinek podpisovanja elektronske listine v elektronski obliki, je potrebno uporabiti drugačne tehnološke ukrepe. Novejše tehnologije, ki omogočajo podpisovanje s pomočjo različnih tehničnih pripomočkov, kot so na primer pametne kartice, že omogočajo izvedbo takega podpisovanja (Stanko, 2002). V praksi se najpogosteje uporablja kombinirani sistem. V tem primeru nastane listina v računalniku, nato pa se izpiše na papir, kjer jo lastnoročno potrdi odgovorna oseba. Taka listina postane izvorna in služi za dokazovanje o resničnosti poslovnega dogodka. Elektronska oblika listine se uporabi v nadaljnjih postopkih knjiženja, v primeru dokazovanja pa se uporablja papirna oblika listine, ki je dejansko preslikava elektronske listine v papirno obliko. Tak način uporabe je zelo pogost (Stanko, 2002). 16

17 Obstajajo tudi določeni dogodki pri katerih osebi, ki sodelujeta v dogodku, sploh ne prideta v fizični stik. V takem primeru ni možnosti za podpisovanje. Primer takega dogodka je plačilni promet. Tam se podpisovanje s pomočjo kartic poskusno že uporablja. Napredovanje tehnike na področju varovanja prenosa podatkov in identifikacije brez vpogleda v klasične osebne dokumente že omogoča pripravo izvornih listin preko elektronskih medijev. Iz pisma o nameri, ki ga je izdala Vlada Republike Slovenije (MID, 2002) je razvidno, da namerava uvesti vrsto upravnih postopkov preko interneta, kar je bilo do sedaj možno samo z osebnim obiskom Upravne Enote. Osnovno identifikacijsko sredstvo je v tem postopku postala pametna kartica, kjer so shranjeni podatki o osebi, ki postopek izvaja. Podatki iz te kartice potujejo preko elektronskega medija skupaj s podatki, ki tvorijo izvorno listino. Na ta način se ukinja papirna oblika vlog in drugih listin ter nadomešča z elektronskimi. Podpis na listini dokazuje, da gre za verodostojno listino ali pa da se osebe, ki so sodelovale pri nastanku dogodka strinjajo z vsebino, ki jo listina izpričuje. Podpis je enostaven način potrditve listine, ki neposredno dokazuje obstoj poslovnega dogodka. Vendar je resničnost nastanka poslovnega dogodka možno dokazovati tudi na druge načine. Predvsem gre za posredno dokazovanje dogodka, s posledicami dogodka ali drugimi listinami, ki ob dogodku nastanejo. Torej podpisovanje ni nujno edini način dodelitve dokazilne teže listini (Stanko, 2002) Digitalna potrdila potrebna za overjanje elektronskega podpisa Razvoj e-poslovanja temelji v veliki meri na zaupanju in varnosti, ki jo imajo uporabniki do e- komunikacij in izdajateljev digitalnih potrdil. Številne aplikacije so že povezane z e-podpisi in s tem lahko poteka e-izmenjava podatkov, varen in avtenticiran dostop do podatkovnih baz preko interneta, sklepanje e-pogodb, e-plačila, dostop do različnih e-storitev podjetij ali uprave, e-nabava, e-arhivi in drugo. V e-poslovanju se uporabljajo različni načini identifikacije in avtentikacije, ki potekajo na različnih varnostnih ravneh. Za e-poslovanje je potrebna zakonodaja s tega področja. V Sloveniji je začel veljati Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP. Uradni list RS št. 57/2000). Na osnovi tega zakona je začel delovati overitelj digitalnih potrdil SIGOV-CA in SIGEN-CA, ki izdajata kvalificirana digitalna potrdila na osnovi tehnologije PKI (angl. Public Key Infrastructure, slo. Infrastruktura javnih ključev). Poleg teh dveh overiteljev delujejo še drugi Ravni varnosti pri identifikaciji in avtentikaciji Na najnižji ravni se izvaja identifikacija in avtentikacija na podlagi uporabniškega imena in gesla. Ponudnik e-storitev gradi svojo bazo uporabnikov, katerim dodeljuje gesla. Velikokrat imajo uporabniki možnost geslo spremeniti tako, da si ga lažje zapomnijo. Tako določeno geslo je mogoče relativno hitro uganiti ali se ga odkrije s pomočjo računalniških programov (Pipan, 2002, 19). Srednja varnostna raven identifikacije in avtentikacije je osnovana na PKI tehnologiji in hranjenju digitalnega potrdila na osebnem računalniku,»mehki ključ«(angl. Soft Key) 17

18 (Osterman, 2002). Digitalno potrdilo je izpostavljeno izgubi ali uničenju in nezaželena oseba lahko z neskončnim številom poizkusov vnosa gesla, le-to ugane in zlorabi potrdilo. Visoka varnostna raven identifikacije in avtentikacije je osnovana na PKI tehnologiji in hranjenju digitalnega potrdila na pametni kartici,»težki ključ«(angl. Hard Key). Digitalno potrdilo se uniči, če se uniči ali poškoduje pametna kartica oziroma čip na njej. S hranjenjem digitalnega potrdila na pametni kartici je le-to dodatno zavarovano, in sicer od določenem številu (ponavadi 6-kratnem) napačnih vnosov gesla se kartica zaklene in do digitalnega potrdila ni več mogoče priti. (Osterman, 2002) Princip medsebojnega zaupanja preko tretje sebe Overitelj, (CA, angl. Cerificate Authority) predstavlja ustanovo, ki ji njeni komitenti oziroma lastniki digitalnih potrdil zaupajo in jo pooblaščajo, da upravlja z njihovimi digitalnimi potrdili. Tako lahko imetniki digitalnih potrdil istega overitelja med seboj e-posljujejo na varen način (glej Sliko 3). Slika 3: Medsebojno poslovanje imetnikov digitalnih potrdil Vir: Ovritelji na Centru Vlade Republike Slovenije za informaitko Podobno je overitelj zaupanja vredna ustanova s strani ostalih overiteljev in s tam lastnikov vseh digitalnih potrdil teh overiteljev. Tako lahko na varen način med seboj poslujejo imetniki digitalnih potrdil različnih overiteljev, če se overitelja med seboj priznavata Digitalna potrdila za overjanje elektronskega podpisa Digitalno potrdilo je alternativa klasičnemu lastnoročnemu podpisu in služi identifikaciji imetnika v e-svetu. Predstavljeno je kot računalniški zapis, ki vsebuje podatke o imetniku (ime in priimek, enolična identifikacijska številka, e-pošta in druge), obdobje veljavnosti in podatke o overitelju potrdila (Pipan, 2002, 24-25). Digitalna potrdila za poslovne subjekte vsebujejo še oznako in davčno številko, kjer je imetnik digitalnega potrdila zaposlen. Poleg teh podatkov lahko vsebuje tudi biometrične podatke. Digitalno potrdilo lahko vsebuje en par ključev ali več. V Sloveniji imamo dve vrsti potrdil, in sicer digitalno potrdilo z enim parom ključev ali spletno potrdilo, ter z dvema paroma ključev 18

19 ali osebno potrdilo. Pri osebnem potrdilu se en sam par ključev hrani pri overitelju in v primeru, da imetnik uniči ali izgubi digitalno potrdilo in pri tem ni možnosti zlorabe, se par ključev obnovi oziroma regenerira. Digitalni certifikat je digitalno potrdilo, ki vsebuje naslednje podatke (Jerman Blažič, 2001, 109): različico formata po priporočilu X.509; enolično številčno oznako certifikata v okviru izdanih certifikatov posamezne agencije, na primer zaporedno številko izdanega certifikata; identifikator algoritma, s katerim je bil narejen digitalni podpis certifikata; razločevalno ime agencije, ki je izdala potrdilo; obdobje veljavnosti potrdila; razločevalno ime lastnika javnega ključa; javni ključ in identifikator algoritma, v katerem se ključ uporablja; neobvezni polji, ki omogočata ponovno uporabo že dodeljenih razločevalnih imen CA ali lastnika javnega ključa; neobvezne razširitve, ki vsebujejo dodatne informacije o javnem ključu in politikah potrjevanja, imetniku in izdajatelju potrdila ter različnih omejitvah. 19

20 Slika 4: Digitalno potrdilo po standardu X.509 Vir: Jerman Blažič, 2001, str. 110 Idealno potrdilo mora vsebovati vse značilnosti, ki jih vsebujejo potrdila iz vsakdanje uporabe v fizičnem svetu (poslovne vizitke ali kreditne kartice), poleg pa še nekaj zelo pomembnih dodatkov, ki morajo biti overjeni s strani zaupanja vredne inštitucije. Po Housley-u mora idealno potrdilo imeti naslednjih devet značilnosti: to je digitalna datoteka, ki se lahko razpošilja prek svetovnega spleta in samodejno obdeluje, vsebuje ime imetnika zasebnega ključa, identifikacijo imetnikovo organizacijo in kontaktne podatke, vsebuje možnost enostavnega preverjanja časa izdaje potrdila, kreiran je s strani zaupanja vrednega podjetja in ne s strani imetnika samega, vsebuje enkratni podatek, s katerim se razlikuje od ostalih izdanih potrdil s strani izdajatelja, tudi za istega imetnika, 20

21 vsebuje možnost enostavnega preverjanja, ali je original ali ponaredek, je varen pred nepooblaščenim spreminjanjem podatkov, omogoča enostavno in hitro preverjanje ažurnosti podatkov ter vsebuje seznam aplikacij, za katere je namenjen Overitelji digitalnih potrdil Overitelj je izdajatelj digitalnih potrdil, za katera velja najvišja stopnja varovanja in načela močne enkripcije ter deluje v skladu z Zakonom o elektronskem poslovanju in elektronskem podpisu (ZEPEP; Uradni list RS, št. 57/2000) in Uredbo o pogojih za elektronsko poslovanje in elektronsko podpisovanje (Uradni list RS, št. 77/2000 in 2/2001). Ministrstvo za informacijsko družbo vodi Register overiteljev v Republiki Sloveniji. Trenutno so vpisani štirje overitelji (Register overiteljev v Republiki Sloveniji, 2004). Overitelj na Centru Vlade za informatiko Na Centru Vlade za informatiko (http/: delujejo trije overitelji kvalificiranih digitalnih potrdil. Digitalna potrdila SIGOV-CA Digitalna potrdila SIGOV-CA (angl. Slovenian Govermental Cerification Authority) so namenjeni institucijam javne uprave (http/: za potrebe javne uprave. Izdajajo osebna in spletna potrdila za zaposlene, strežnike in splošne nazive. Osebna potrdila so veljavna 3 leta, spletna pa 5 let. Overitelj je pričel z izdajanjem Digitalno potrdilo SIGEN-CA Digitalna potrdila SIGEN-CA (angl. Slovenian General Certification Authority) so namenjena pravnim in fizičnim osebam (http/: za potrebe e-poslovanja z javno upravo in med seboj. Izdajajo osebna in spletna potrdila zaposlene, strežnike in splošne nazive pravnih in fizičnih oseb, registriranih za opravljanje dejavnosti ter spletna potrdila fizičnim osebam. Osebna potrdila so veljavna 3 leta, spletna pa 5 let. Overitelj je pričel z izdajanjem Varni časovni žig SI-TSA Varni časovni žig SI-TSA (angl. Slovenian Time Stamping Authority) je za sedaj namenjen institucijam javne uprave, ki so v informacijski-telekomunikacijskem omrežju državnih organov (http/: Varni časovni žig zagotavlja, da je bil dokument podpisan z veljavnim digitalnim potrdilom v določenem časovnem trenutku. Namenjen je tudi za druge potrebe, kjer je potrebno dokazati časovno lastnost transakcije. Varni časovni žig povezuje datum in čas podpisa ter podatke v šifrirni e-obliki. Izdaja se za dobo 5 let. Overitelj je pričel z izdajanjem

22 HALCOM informatika do.o. Digitalna potrdila HALCOM-CA (http/: so namenjena pravnim in fizičnim osebam registriranim za opravljanje dejavnosti. Izdaja osebna in spletna digitalna potrdila, ki so veljavna dve leti. Overitelj je pričel delovati AC NLB Overitelj digitalnih potrdil AC NLB (http/: deluje v okviru Nove Ljubljanske banke. Izdaja spletna digitalna potrdila za fizične osebe in zaposlene pravnih in fizičnih oseb, registriranih za opravljanje dejavnosti ter veljajo 5 let. Overitelj je ta potrdila pričel izdajati je pričel še z izdajo spletnih potrdil za strežnike pravnih in fizičnih oseb, registriranih za opravljanje dejavnosti, ki veljajo 5 let ter osebna potrdila za zaposlene v Novi Ljubljanski banki, ki veljajo 1 leto. POŠTA CA Overitelj digitalnih potrdil POŠTA CA (http/:postarca.posta.si) deluje v okviru Pošte Slovenije je pričela izdajati napredna in standardna digitalna potrdila, z obvezno uporabo pametne kartice, za pravne in fizične osebe registrirane za opravljanje dejavnosti, ki veljajo 5 let je začela izdajati še napredna in standardna digitalna potrdila za fizične osebe in informacijske sisteme pravnih in fizičnih oseb registriranih za opravljanje dejavnosti z veljavnostjo 5 let Digitalna potrdila SIGOV-CA in SIGEN-CA Overitelja kvalificiranih digitalnih potrdil SIGOV-CA in SIGEN-CA delujeta v okviru Centra Vlade za informatiko, Sektorja za upravljanje z digitalnimi potrdili. Overitelj izdaja kvalificirana digitalna potrdila, za katera velja najvišja stopnja varovanja in načela močne enkripcije ter deluje v skladu z ZEPEP-om in Uredbo o pogojih za elektronsko poslovanje in elektronsko podpisovanje, evropskim direktivam ter drugimi veljavnimi predpisi. Oba overitelja sta tudi mednarodno registrirana, medsebojno priznana ter tehnološko in zakonsko enako veljavna (Overitelj digitalnih potrdil, 2003). Politika delovanja overitelja določa namen, delovanje in metodologijo upravljanja s kvalificiranimi digitalnimi potrdili, odgovornost overitelja ter varnostne zahteve, ki jih morajo izpolnjevati imetniki in tretje osebe, ki se zanašajo na kvalificirana digitalna potrdila, in drugi overitelji, ki želijo uporabljati storitve overiteljev (Politika SIGEN-CA za spletna kvalificirana digitalna potrdila za fizične osebe, 2002). Digitalna potrdila so namenjena upravljanju, dostopu in izmenjavi podatkov, s katerimi upravlja javna uprava, za varno e-komuniciranje med imetniki kvalificiranih digitalnih potrdil izdajateljev SIGOV-CA ali SIGEN-CA in za e-storitve oziroma aplikacije, za katere se zahteva uporaba teh digitalnih potrdil. Digitalno potrdilo SIGOV-CA so pričeli izdajati Ker je zakon o elektronskem poslovanju in elektronskem podpisu začel veljati šele , so uradno pričeli z izdajo Uporabljajo se za e-poslovanje, šifriranje in dešifriranje dokumentov, sporočil in datotek, e-identifikacijo, e-avtentikacijo ter varno e-komuniciranje med imetniki digitalnih 22

23 potrdil. Izdajajo se za zaposlene, splošne nazive in strežnike javne uprave. Shranjujejo se na pametno kartico (glej Sliko 3). S pomočjo čitalcev pametnih kartic dostopajo do svojih potrdil (Overitelj digitalnih potrdil SIGOV-CA, 2003). Slika 5: Pametna kartica digitalnega potrdila SIGOV-CA Vir: Center Vlade Republike Slovenije za informatiko Digitalno potrdilo SIGEN-CA je namenjeno državljanom in vsem pravnim ter fizičnim osebam registriranim za opravljanje dejavnosti. Delovati je pričelo Uporablja se za e- poslovanje, šifriranje in dešifriranje dokumentov, sporočil in datotek, e-identifikacijo, e- avtentikacijo in varno e-komuniciranje med imetniki potrdil. Digitalna potrdila se izdajajo za zaposlene, splošne nazive in strežnike poslovnim subjektom ter državljanom. Za varno hranjenje digitalnih potrdil SIGEN-CA morajo skrbeti imetniki sami. Digitalna potrdila se lahko shranijo v brskalniku, na disketi ali pametni kartici, pri tem si morajo opremo priskrbeti sami. Priporočljivo je hranjenje varnostne kopije digitalnega potrdila (Overitelj digitalnih potrdil SIGEN-CA, 2003). V digitalnem potrdilu so zapisani podatki o imetniku, veljavnosti potrdila, e-naslov, podatki o overitelju in drugi. Overitelj s svojim digitalnim potrdilom podpiše izdano digitalno potrdilo. Ko imetnik uporabi svoje digitalno potrdilo, se preverja overiteljev podpis in s tem veljavnost potrdila. Na sliki 6 so predstavljeni glavni izdajatelji digitalnih potrdil podjetjem. V anketi so bili ponujeni trije odgovori, in sicer: Halcom CA Center vlade za informatiko drugo, respondent je sam navedel ime organizacije; največkrat so bile to banke, ki jih mi nismo eksplicitno navedli. 23

24 Slika 6: Glavni izdajatelji digitalnih potrdil podjetjem 50% 40% 30% 20% 42% 46% 10% 0% Vir: RIS % Center vlade za informatiko Halcom drugo Dobre štiri desetine podjetij (42%) je navedlo, da jim je Halcom izdal dovoljenje za elektronsko podpisovanje, 12% pa je to omogočil Center Vlade za informatiko. Skoraj polovico podjetij (46%) je navedlo opcijo»drugo«. 2.4 Elektronsko vodenje dokumentov Ustrezno organiziran sistem za upravljanje s podatki prispeva k učinkovitosti podjetja predvsem pri obvladovanju velike količine podatkov ter organizaciji dela in ljudi. Z elektronsko obliko podpisovanja, urejanja in prenosov dokumentov pa je odzivnost sistema boljša, to pa znižuje stroške in izboljša poslovni rezultat podjetja. Ureditev elektronske oblike 2 vodenja dokumentov lahko izvedemo na različnih nivojih. To je zahtevna naloga, saj so nujno potrebne tudi organizacijske spremembe (Duhovnik et al., 2001). Pretok informacij in dokumentov Integracija in odprtost sistemov v podjetju navzven postaja v podjetjih vse pomembnejši kriterij. Sistemi za kakovost zahtevajo ustrezno sledljivost dokumentov, potrjevanja odgovornih oseb, zagotovila o ustreznih postopkih, itd. To pomeni, da mora biti informacijski sistem zasnovan tako, da so vse zahteve standarda (npr. ISO 9001) vgrajene vanj. Postavitev kakovosti je zelo odvisna tudi od velikosti in dejavnosti podjetja. Takšni sistemi so dobrodošli predvsem v srednje velikih in velikih podjetjih (npr. v družinskem podjetju je papirnata ureditev dokumentov lahko hitrejša in cenejša od uporabe računalnika). V zadnjih letih ob povečevanju produktivnosti in skrajševanju proizvodnega cikla narašča pretok informacij in dokumentov znotraj podjetja. Klasičen pretok papirnatih dokumentov 2 Po ZEPEP so podatki v elektronski obliki tisti, ki so oblikovani na elektronski način. 24

25 nastali položaj obvladuje z znatnimi stroški, kjer je potreben daljši odzivni čas in veliko ljudi. Velik korak je narejen, če dokumente hranimo centralno v elektronski obliki. Pravzaprav elektronski dokumenti fizično ne krožijo (ves čas se nahajajo v bazi sistema), prenašajo se obvestila, spreminjajo se privilegiji dostopa in olajša se dostop s pomočjo kazalcev. Dodatna možnost je ureditev pretoka dokumentov med delovnimi mesti v elektronski obliki. Delovne tokove dokumentov podpirajo tudi sistemi za pisarniško poslovanje (Duhovnik et al., 2000). Med osnovne operacije pri upravljanju z dokumenti spadata»uvoz«in»izvoz«datoteke, kjer uvoz pomeni fizični prenos datoteke na datotečni strežnik in s tem postane datoteka dostopna uporabnikom glede na pravice uporabnikov do datotek, pri izvozu pa se datoteka prenese iz strežnika na lokalni disk (Duhovnik et al., 2000). Slika 7: Življenjski cikel dokumenta Vodja oddelka Aktiviranje Dokument Strokovni delavec V delu Vodja oddelka, kjer dokument nastane Na pregledu Odgovoren za testiranje Testiranje Kontrolor Kontrola Arhivar Arhiv Vir: Duhovnik et al., 2000, str Takšen sistem omogoča hiter dostop do dokumentov in varno shranjevaje. Omogoča nadzor nad verzijami in zaklepanje podatkov v času spreminjanja. Potrebno pa je opozoriti na ločevanje hranjenja podatkov v času nastajanja dokumentacije od dolgotrajnega arhiviranja. Elektronski arhiv mora za uspešno delo skozi daljše časovno obdobje izpolnjevati posebne zahteve. Življenjska doba posameznih komponent informacijskega sistema je različna in je prikazana na sliki 8. 25

26 Slika 8: Življenjska doba posameznih komponent informacijskega sistema Podatki Uporabniški programi Sistemska programska oprema Strojna oprema 10 let 20 let 30 let 40 let Vir: Jože Duhovnik et al., 2000, stran 3.22 Z razvojem elektronskega poslovanja postanejo elektronski dokumenti vsakdanjost. Z uspešnostjo poslovanja podjetij se širi obseg dela in z njim število dokumentov. Zato sistemi za upravljanje z dokumenti predstavljajo orodja, ki omogočajo poenostavitev procesov uporabe dokumentov in upravljanja z njimi. Poleg tega se pojavi potreba po vzpostavitvi organizacijskih pravil uporabe sistema (Kapitanovič, 2003, 48). Tako mora npr. ročno potrjevanje papirnatih dokumentov nadomestiti elektronski podpis. Slika 9: Izmenjava elektronskih dokumentov 1. e-naročilo 2. e-povratnica 5. e-povratnica 7. e-povratnica N A R O Č N I K D O B A V I T E L J 3. e-potrditev naročila 4. e-dobavnica 6. e-račun Vir: Vlahovič,

27 Elektronsko poslovanje začnemo z uvajanjem enega elektronskega dokumenta enemu ali več poslovnim partnerjem, pri čemer določimo naše interne standarde oziroma notranje kontrole. In prav tako kot so nam pomembni naši interni standardi, se moramo zavedati, da bodo poslovni partnerji želeli izmenjavo čim bolj standardnih elektronskih dokumentov, za njihovo in naše lažje komuniciranje in poslovanje. Gospodarska zbornica Slovenije je uvedla projekt e-slog standardne elektronske dokumente. Podpora tem dokumentom pomeni, da zmanjšujemo stroške dodajanja novega poslovnega partnerja, saj uporablja pri nas že uvedene elektronske dokumente (Vlahovič, 2004) E-SLOG Uvajanje informatizacije in elektronskega poslovanja ter s tem višja raven organiziranosti in konkurenčnosti slovenskega gospodarstva sodijo med strateške cilje Gospodarske zbornice Slovenije (GZS). Zato je le-ta organizirala projekt e-slog, katerega osnovni namen je uveljavljanje standardnih elektronskih dokumentov za poslovanje podjetij z drugimi podjetji, finančnimi institucijami ter javno upravo, priprava in uveljavitev rešitev za varno elektronsko poslovanje z uporabo tehnologije elektronskega podpisa, uveljavitev odprtih tehnoloških vprašanj za velika, srednja in mala podjetja ter promocija elektronskega poslovanja v slovenskem gospodarstvu. Projektu e-slog, ki ga je pripravila Gospodarska zbornica Slovenije skupaj s štirimi partnerji, se je do sedaj priključilo osem institucij ter več kot sedemdeset podjetij (Grčman, 2004). E-račun (ali drug e-dokument) mora vsebovati vse tisto, kar ima v papirni obliki. Da je možna izmenjava dokumentov na način preko elektronskih medijev, morata oba partnerja spoštovati dogovor o obliki in strukturi dokumentov. Prav zato je GZS v okviru projekta e-slog objavila standardne dokumente za račun, naročilo, potrdilo naročila, kontrolni dokument (povratnica) ter standarde za dobavnico. Na svoji spletni strani so objavili tudi priporočila za uporabo elektronskega podpisa v podjetju, priporočila za varni elektronski arhiv in dokument, ki opisuje vse zakonske zahteve. Standardne dokumente morata partnerja elektronsko podpisovati z ustreznim digitalnim potrdilom, ki zagotavlja, da so dokumenti avtentični, nespremenljivi in celoviti ter enkratni. Z njimi pa se določa tudi časovno veljavnost dokumentov. Davčna uprava Republike Slovenije (DURS) je do sedaj priznala le digitalna potrdila SIGEN- CA, Pošte Slovenije ter Nove Ljubljanske banke, predvsem zaradi pogoja o pravilnosti davčne številke. Podjetja, ki želijo izdajati e-račune morajo najprej pridobiti posebno dovoljenje pri DURS-u, ki pa sčasoma naj ne bi bilo več potrebno (Grobeljšek, 2004). Med drugim so e-obliko računa uvedli pri Siolu, kjer iz Siola mesečno brez težav izdajo več kot e-računov. Tudi DZS, tradicionalno usmerjena v izdajo klasičnih tiskanih obrazcev, je z letošnjim letom pričela pripravljati obrazce v e-obliki. Prednosti e-poslovanja pa se poslužuje tudi Pošta Slovenije, ki svojim uporabnikom ponuja infrastrukturo za e-poslovanje, zasnovano na digitalnem podpisu, časovnem žigu in e-arhivu. Rešitve projekta e-slog temeljijo na standardih EACOM in so kot take usklajene z evropskimi standardi in tudi svetovnimi, zato jih je mogoče internacionalizirati. Ob finančni pomoči Phare 27

28 se je februarja 2004 začel enoletni projekt GZS, katerega cilj je izdelati angleško različico standardov e- SLOG in jih implementirati v Avstriji in na Slovaškem. V projektu e-slog poleg GZS sodeluje 77 slovenskih podjetij (med njimi Krka, Lek, Mercator, Petrol, Pivovarna Laško, ki so člani projektnega sveta), kot partnerji nastopajo Vladni center za Informatiko, IBM, Microsoft in skupina Atlantis, med sodelujočimi institucijami pa so Banka Slovenije, DURS, Ministrstvi za finance in informacijsko družbo ter Pospeševalni center za malo gospodarstvo (STA, 2004). 2.5 Ugotovitve o elektronskem podpisovanju računovodskih dokumentov Elektronsko podpisovanje računovodskih dokumentov je šele na začetku svoje poti, saj so možnosti njegove uporabe s strani uporabnikov še neraziskane in neizkoriščene. V Sloveniji se elektronski podpis uporablja predvsem za potrebe elektronskega bančništva, sodelovanja med podjetji pa se uporabniki še izogibajo. Da je neko elektronsko sporočilo pravno zmogljivo mora vsebovati elektronski podpis, ki mora biti overjen z digitalnim certifikatom s strani agencije za overjanje elektronskih podpisov. Obstajajo različne tehnološke rešitve elektronskega podpisa, od navedbe imena kot podpisa, vokaliziranega imena do najbolj varne različice digitalnega podpisa. Le slednji izpolnjuje vse temeljne varnostne zahteve: zagotavlja identiteto podpisnika, je zaupljiv, zagotavlja neokrnjenost sporočila ter preprečuje zanikanja. Digitalni podpis temelji na asimetrični kriptografiji, s pomočjo katere sporočilo zakodiramo z našim zasebnim ključem. Prejemnik dobi kodirano sporočilo, ki ga nato odkodira z našim javnim ključem, da lahko pride do vsebine sporočila. V primeru, da je bila vsebina sporočila na kakršenkoli način spremenjena, potem se sporočilo ne bo pravilno odkodiralo. Z zakonske strani je elektronski podpis že pravno in formalno urejen. V Sloveniji je Zakon o elektronskem poslovanju in elektronskem podpisu pričel veljati in predstavlja temeljni predpis ter najpomembnejši element slovenske pravne ureditve na tem področju. Prav tako se je na področju elektronskega poslovanja moral uskladiti z zakonodajo Evropske Unije, in sicer z direktivo 1999/93/ec in z modelnim zakonom UNCITRAL. Prav tako je novi način poslovanja zahteval spremembe Zakona o splošnem upravnem postopku, saj se elektronski podpis enači z lastnoročnim podpisom. Nove določitve omogočajo, da se lahko vloge ter uradni spisi vročijo oziroma pošljejo po elektronskem mediju. Seveda se elektronskih dokumentov dotaknejo tudi Slovenski računovodski standardi, predvsem v 21. standardu knjigovodske listine. Ker vsaka knjigovodska listina mora biti opremljena s podpisom in žigom, mora tudi listina v elektronski obliki biti overjena z elektronskim podpisom, da je verodostojna. V praksi se uporablja kombiniran sistem. V tem primeru nastane listina v računalniku, nato pa se izpiše na papir, kjer jo lastnoročno potrdi odgovorna oseba. Da je elektronski podpis verodostojen, mora biti overjen z digitalnim potrdilom. V Sloveniji trenutno izdajajo digitalna potrdila štirje overitelji, in sicer Overitelji na Centru Vlade za informatiko, HALCOM, AC NLB in POŠTA CA. Sistem elektronskega vodenja dokumentov prispeva k večji učinkovitosti poslovanja, saj znižuje stroške in zmanjšuje možnost napak. Uvedba popolne avtomatizacije procesa pride v poštev v velikih in srednje velikih podjetjih, kjer imajo opravka z obvladovanjem velike količine podatkov. 28

29 Podjetje lahko elektronsko posluje le s podjetjem, ki ima opcijo elektronskega poslovanja, da lahko naš elektronski dokument odkodira in sprejme. V Sloveniji je elektronsko poslovanje še v povojih, predvsem zaradi visokega stroška začetne investicije uvedbe elektronskega poslovanja in pomanjkanja poslovnih partnerjev, ki bi ta način poslovanja podpirali in ga tudi sami izvajali. Zato je Gospodarska zbornica Slovenije začela z uvajanjem standardnih elektronskih dokumentov, kar partnerjem prinaša lažje poslovanje ter jim znižuje stroške uvajanja elektronskega poslovanja, kar je v današnjih časih velikega pomena. 29

30 3 NOTRANJE KONTROLE 3.1 Pomen in vloga notranjih kontrol Notranje kontrole imajo direkten vpliv na točnost, zanesljivost in popolnost računovodskih evidenc in računovodskih izkazov. Uspešna notranja kontrola mora izpolnjevati tri osnovna sodila (Smernice za standarde notranje kontrole, 1995, str ): 1. biti mora ustrezna ( to je prava kontrola na pravem mestu in tveganjem primerna kontrola), 2. ves čas mora delovati dosledno tako, kot je bilo načrtovano ( to pomeni, da jo morajo vsi prizadeti uslužbenci skrbno upoštevati in se ji ne izogibati, kadar v bližini ni vodilnega osebja ali kadar je delovna obremenitev velika), 3. biti mora stroškovno uspešna ( to pomeni, da strošek za izvajanje kontrole ne sme biti večji od doseženih koristi). Poleg omenjenih sodil pa mora le-ta zagotoviti: izvajanje poslovnih sprememb v skladu s standardi, zakoni in pravili, ki jih izda družba; primerjavo stanja sredstev v poslovnih knjigah z dejanskim stanjem in sprejemanje ustreznih ukrepov za ugotavljanje razlik med stanji; evidentiranje poslovnih sprememb tako, da zagotavljajo točno, pravilno in realno izkazovanje sredstev in obveznosti do njihovih virov ter rezultatov poslovanja, s čimer omogočajo sestavo računovodskih izkazov v skladu s standardi, predpisi; dostop k sredstvom in razpolago s podatki le osebam, ki so za to pooblaščene. 3.2 Vrste notranjih kontrol V uvodu poglavja o notranjih kontrolah je razvidno, da ima dejavnost revidiranja notranjih kontrol pri opravljanju revizije zelo pomembno vlogo. Kadar notranje kontrole opisujemo glede na njihovo vlogo v organizacijskemu ustroju, jih pogosto razčlenjujemo na širše vrste splošne notranje kontrole, notranje računovodske kontrole, temeljne in vodstvene (nadzorne) kontrole. Prav tako pa jih lahko razvrščamo tudi po njihovem namenu: preprečiti napake (npr. z zahtevo po ločevanju dolžnosti in pooblastil), odkrivati napake (npr. z določitvijo proizvodnih standardov, s pomočjo katerih se lahko odkrijejo razlike v dejanskih rezultatih), popravljati napake, ki so bile odkrite (npr. z izterjavo vračila preveč plačanih zneskov dobaviteljem) ali nadomestiti šibke kontrole tam, kje je tveganje izgub veliko in je potrebna dodatna kontrola. V sami praksi so razlike med omenjenimi vrstami kontrol težko prepoznavne, saj uspešen ustroj notranje kontrole zahteva nekaj sestavin iz vsake od naštetih vrst kontrole. Celo opisi vsake vrste kontrole se lahko razlikujejo. Vendar pa različnih vrst notranje kontrole, ne glede na to, kako so organizirane ali opredeljene, ne smemo upoštevati kot možnost izbire med njimi, saj se morajo medsebojno dopolnjevati. Vsaka vrsta kontrole ima prednosti in pomanjkljivosti, tako da moramo pri organizaciji uspešne notranje kontrole uporabiti kombinacijo raznih vrst ter na ta način izravnati njihove pomanjkljivosti. 30

31 3.2.1 Splošne notranje kontrole Splošne notranje kontrole predstavljajo podlago organizacijskemu ustroju podjetja ter posredno vplivajo na točnost, pravilnost, zanesljivost in zakonitost izkazovanja podatkov v računovodskih evidencah in računovodskih izkazih. To pa je namreč razlog, da revizor pri revidiranju računovodskih izkazov ne preverja zanesljivosti in popolnosti njihovega delovanja, temveč se z njimi le seznani ter si s tem ustvari sodbo o njihovem delovanju. S splošnimi notranjimi kontrolami se seznani tako, da si pridobi naslednje pomembne informacije in podatke o (Knez, 1997, str ): temeljnih vrstah in obsegu knjigovodskih listin in poslovnih spremembah, vseh vrstah poslovnih listin, ki se uporabljajo v poslovnem procesu podjetja in predstavljajo osnovo za knjiženje poslovnih sprememb, vseh poslovnih knjigah, njihovi sestavi, načinih vodenja in povezavi z ostalimi poslovnimi knjigami ter glavno knjigo, načinu in organizaciji delovanja računovodskega sistema in o najpomembnejših dejstvih, ki predstavljajo osnovo za sprejemanje temeljih operativnih in strateških poslovnih odločitev poslovodstva podjetja (delovanje računovodskega sistema, njihova organizacijska shema, računovodske politike podjetja, in ocena, ali se uporabljajo računovodske politike tako, kot jih predpisujejo računovodski standardi in predpisi: izbran postopek obračuna prevrednotenja, analiza kazalnikov poslovanja podjetja, uporabljena metoda vrednotenja zalog in podobno), načinu in procesu proizvodnega cikla podjetja, vrsti osnovnih surovin in materialov, obliki in funkciji gotovih proizvodov, načinu nabave in prodaje proizvodov, kar revizor opravi s pomočjo obhodov in ogledov proizvodnih obratov, skladišč in preostalih organizacijskih delov gospodarske družbe. Osnovni namen poznavanja omenjenih kontrol je, da revizor ugotovi, katere in kakšne vrste evidenc, poročil ter informacij so na voljo za preverjanje delovanja notranjih računovodskih kontrol in podatkov v računovodskih evidencah in računovodskih izkazih podjetja Notranje računovodske kontrole Notranje kontrole, ki so povezane z računovodskim sistemom, se osredotočajo na doseganje naslednjih ciljev (Koletnik, 1997, str. 141): poslovni dogodki se izvajajo v skladu s splošnimi in posebnimi odobritvami poslovodstva, vsi poslovni dogodki se takoj knjižijo v pravilnih zneskih, in to na ustrezne konte in v obračunskih obdobjih, v katerih so se zgodili, da bi lahko pripravili potrebne računovodske informacije v okviru sprejetih računovodskih usmeritev in zagotovili odgovornost za sredstva, dostop do sredstev je dovoljen izključno na podlagi ustrezne odobritve poslovodstva, evidentirana odgovornost za sredstva se v smiselnih časovnih presledkih usklajuje z obstoječim stanjem sredstev; če pride do razlik, se ustrezno ukrepa. Omenjene cilje je mogoče doseči tudi s posebnimi postopki notranjega kontroliranja, pri čemer imamo v mislih preverjanje računskih točnosti evidenc, zagotavljanje usklajevanja analitičnih in 31

32 sintetičnih evidenc in poskusnih bilanc stanja, odobravanje in kontroliranje listin, primerjanje z zunanjimi viri informacij, primerjanje izidov štetja gotovine, vrednostnih papirjev in zalog z računovodskimi evidencami, omejevanje neposrednega fizičnega dostopa do sredstev in evidenc ter primerjanje uresničenega z želenim (predračunom). Notranje računovodske kontrole delimo na temelje in vodstvene (nadzorne) ali kontrole delovanja temeljnih kontrol Temeljne kontrole Temeljne kontrole obsegajo kontrolne postopke, ki so neposredno povezani s poslovnimi dogodki in jih razvrščamo na (Barišič, 1997, str. 14): kontrole pravilnosti podatkov, kontrole popolnosti obdelave podatkov in kontrole ponovnega opravljanja postopkov. Ena izmed oblik kontrole pravilnosti podatkov kot temeljne kontrole pri posamičnih poslovnih spremembah je odobritev, katere namen je, da se izvršijo le tiste poslovne spremembe, ki so pravno veljavne in pravilno odobrene v skladu z veljavnim računovodskim sistemom in sistemom notranjih kontrol. Hkrati pa delovanje omenjenih kontrol preprečuje izvršitev vseh tistih poslovnih sprememb, ki niso pravilno odobrene. Te kontrole se izvajajo tako, da delavec, ki je pooblaščen za odobravanje, kontrolira in ocenjuje predloženo poslovno spremembo glede na možnosti, ki jih predpisujejo zakoni, sklepi organov upravljanja in druga dogovorjena merila. Kontrola pravilnosti podatkov se opravlja tudi s pomočjo kontrolnih postopkov primerjanja na takšen način, da se pravilnost enega podatka oz. zneska ugotavlja z njegovim primerjanjem ali usklajevanjem z drugim, neodvisno ugotovljenim podatkom, ki izvira izven revidirane družbe. Omenjene kontrole vključujejo tudi kontrole usklajevanja (konfiguracije), ki temeljijo na ugotavljanju razlik med primerjanimi postavkami, ugotavljanju vzrokov razlik in ukrepanju za njihovo odpravo. Kot slednja kontrola pravilnosti podatkov se uporablja kontrola preveritev pravilnosti, ki zajema kontrolne postopke, s pomočjo katerih spoznamo in ocenimo upravičenost poslovnih sprememb na podlagi ustreznega in pravilnega dokaza. Pri tem pa preverimo, ali je bila poslovna sprememba opravljena v skladu z vzpostavljenim sistemom notranje kontrole, s čimer razumemo primerjavo pravilnosti delovanja ene notranje kontrole z drugo. S tovrstno primerjavo kontrol, ki zagotavljajo kontrolo na isto poslovno spremembo, se prepričamo o upravičenosti, resničnosti, točnosti in navsezadnje o pravilnosti te spremembe. Kontrole popolnosti obdelave podatkov zagotavljajo, da so vsi podatki o nastalih poslovnih spremembah zajeti in tudi dejansko evidentirani v računovodskih izkazih. Te kontrole praviloma zajemajo (Menard et al., 1994, str ): kontrolo številčenja poslovnih listin, popolnost obdelave s pomočjo kontrolnega zbira oz. vsote in kontrolo nad neobdelanimi dokumenti (kontrolo nad odprtimi postavkami). 32

33 Kontrola številčenja poslovnih listin je ena najpogostejših in najučinkovitejših kontrol, če se vsi dokumenti oštevilčijo v trenutku njihove izstavitve, ali še bolje, pred nastankom poslovne spremembe. To je razlog, da so vse listine oštevilčene v zaporedju, kar pomeni, da ima vsak dokument svojo številko. Delovanje omenjene kontrole se opravlja tako, da se preverja, ali je vsak izmed oštevilčenih dokumentov končal predvideno pot in ali je tudi knjižen. V podjetju naj bi bili sistemsko vgrajeni kontrolni postopki, ki občasno preverjajo nepretrgan niz oštevilčenih dokumentov ter ugotavljajo vzroke, ki so botrovali, da nekateri dokumenti niso obdelani (knjiženi). Tovrstna kontrola je običajno primerna v računovodskih sistemih z računalniško obdelavo podatkov. Kontrola popolnosti obdelave podatkov s pomočjo kontrolnega zbira oz. vsote deluje tako, da na enem ali na več mestih računovodskega zajemanja podatkov primerja zbir posameznih podatkov pred in po končani obdelavi. S to kontrolo je zagotovljeno zgolj ugotavljanje razlik v številu obdelanih dokumentov v različnih fazah obdelave, katere pa je potrebno razčistiti. Tudi ta kontrola se običajno uporablja v pogojih računalniške obdelave podatkov, saj je namreč zelo preprosta (pri tem ni pomembno katere podatke seštevamo). Kontrola nad neobdelanimi dokumenti ali odprtimi postavkami zagotavlja popolnost obdelave in evidentiranja dokumentov, kar je razlog, da je ena izmed najpomembnejših in najpopolnejših kontrol pravilnosti podatkov. Takšne evidence se običajno vodijo kot nek dosje, v katerega se vlagajo posamezne knjigovodske listine, ki se v njem hranijo tako dolgo, dokler se vanje ne vloži druga knjigovodska listina, s katero se prvotno vložena listina primerja in kompletira. S kontrolami ponovnega opravljanja postopkov označujemo določene postopke, s katerimi delavec ponovno opravi pregled nad izvirnimi podatki (npr. s prenosi podatkov z ene listine na drugo, z enega nosilca podatkov na drugega ipd.), ki jih je pred njim že opravil drug, za to pooblaščen delavec. Tovrstne kontrole so zamudne, vendar pa kljub temu učinkovite Vodstvene (nadzorne) kontrole Vodstvene (nadzorne) kontrole ali kontrole delovanja temeljnih kontrol predstavljajo organizacijski okvir za vse načrte, usmeritve, postopke in praktično izvajanje del, ki so jih zaposleni dolžni opraviti, da omogočijo doseganje zastavljenih ciljev organizacijske enote. Vrste vodstvenih kontrol so (Menard et al., 1994, str. 22): 1. Razmejenost dolžnosti - s čimer razumemo opredelitev in razdelitev nalog in opravil na način, ki preprečuje, da bi bil kakšen posel v celoti v pristojnosti ene same osebe. To pomeni, da so odobravanje skupnih poslov, izvajanje kontrolnih postopkov, ko so posli opravljeni, nadziranje teh postopkov, ravnanje s sredstvi in vzdrževanje evidenc, ki se nanašajo na sredstva, zaupani različnim osebam. Zaradi takšne razporeditve dela se namreč zmanjša tveganje, da bi prišlo do napak in nepravilnosti v izkazovanju postavk v računovodskih izkazih ter prevar oz. skrivanja nepravilnosti. 2. Materialna odgovornost - opravlja funkcijo preventivnega delovanja in preprečitve dejanj, ki niso v skladu s predpisanimi zakoni in pravili družbe. Zato je nujno, da so v sistemu delovanja družbe vgrajene kontrole, ki to preprečujejo. Hkrati pa omejujejo in preprečujejo rokovanje z določenimi sredstvi, listinami, podatki in so običajno pogostejše pri bolj likvidnih sredstvih, ki se najlaže uporabijo za osebno porabo. 33

34 3. Nadziranje - je vgrajeno v računovodski sistem in opravlja nadzor nad pravilnostjo in točnostjo dela zaposlenih, ki opravljajo temeljne kontrolne postopke. Zaporedno in stopenjsko nadziranje zmanjšujeta tveganje, da se računovodski in kontrolni postopki ne bi izvajali tako, kakor je predvideno. Hkrati pa zagotavlja pravočasno odkrivanje napak in ima velik vpliv na kakovost poslovnih knjig. Z učinkovitim nadziranjem se lahko zaposleni, ki delajo na področju računovodstva in kontrolnih postopkov, usmerjajo, da: opravijo potrebne spremembe, ko se pojavijo nove vrste poslov, popravijo odkrite napake in spremljajo odkrite pomanjkljivosti. 3.3 Standardi notranjega kontroliranja Standardi notranjega kontroliranja so podjetjem, ki poslujejo elektronsko potrebni predvsem zaradi raznolikosti poslovanja, mnogovrstnosti elektronskih in papirnih dokumentov ter številnih pravil ter zakonov in drugih predpisov. Zaradi lažjega kontroliranja in njegovega uvajanja so bile izdane smernice za standarde notranje kontrole. Smernice za standarde notranje kontrole je pripravila in izdala INTOSAI, vendar pa smernice nekoliko zaostajajo za razvojem notranjega kontroliranja (izdane so bile leta 1995), zato se že pripravlja njihova posodobitev. Vodstvo podjetja lahko standarde uporabi pri vzpostavitvi učinkovitega sistema notranjih kontrol, revizorji pa jih lahko uporabljajo pri vrednotenju sistema. Področja, ki jih pokrivajo smernice, so naslednja (Smernice za standarde notranjega kontrole, 1995): pojem in cilji notranje kontrole najnujnejši zbir standardov notranjih kontrol, ki bi jih podjetje lahko uporabilo kot okvir za razvoj notranjih kontrol v razmerah elektronskega poslovanja uvajanje sistema notranjih kontrol občasno spremljanje uspešnosti sistema notranjih kontrol. Standardi notranjega kontroliranja sestavljajo okvir najnujnejših zahtev za sprejemljivost sistema notranjih kontrol in so razdeljeni v dve skupini: 1. splošni standardi, ki zagotavljajo primernost okolja, in 2. podrobni standardi, ki zagotavljajo mehanizme in postopke, s katerimi se dosegajo cilji kontroliranja. Splošni standardi notranjega kontroliranja so naslednji (Smernice za standarde notranjega kontrole, 1995): Primerno zagotovilo. Sistem notranjih kontrol mora dajati primerno zagotovilo, da bodo izpolnjeni splošni cilji organizacije. 34

35 Pripravljenost za pomoč. Vodstvo in uslužbenci so dolžni izkazovati pozitiven odnos do notranjih kontrol in pomagati pri njihovem delovanju. Neoporečnost in sposobnost. Vodstvo in uslužbenci morajo biti moralno in strokovno neoporečni in morajo ohranjati tako raven usposobljenosti, da razumejo pomen razvijanja, izvajanja in vzdrževanja notranjih kontrol ter doseganja njihovih splošnih ciljev. Cilji kontroliranja. Za vsako dejavnost organizacije je potrebno opredeliti ali razviti posebne cilje kontroliranja. Ti morajo biti ustrezni, vseobsegajoči, smotrni in vgrajeni v splošne organizacijske cilje. Spremljanje kontrol. Vodstvo je dolžno stalno spremljati in nadzorovati delovanje svoje organizacijske enote ter se hitro in ustrezno odzivati na ugotovljeno nepravilno, negospodarno, neučinkovito in neuspešno delovanje. Podrobni standardi notranjega kontroliranja so naslednji (Smernice za standarde notranjega kontrole, 1995): Dokumentacija. Sistem notranjih kontrol ter vsi posli in pomembni poslovni dogodki morajo biti jasno dokumentirani, dokumentacija pa mora biti vedno na razpolago za pregled. Takojšnje in pravilno evidentiranje poslov in poslovnih dogodkov. Posli in pomembni poslovni dogodki morajo biti takoj evidentirani in ustrezno razvrščeni. Odobritev poslov in poslovnih dogodkov ter njihovo izvajanje. Posle in pomembne poslovne dogodke lahko odobrijo ali izvajajo samo osebe, ki imajo za to pristojnosti. Delitev dolžnosti. Ključne dolžnosti in odgovornosti za odobravanje, izvajanje, evidentiranje in pregledovanje poslov in poslovnih dogodkov morajo biti porazdeljene med posameznike. Nadziranje. Poskrbeti je treba za pristojno in ustrezno nadziranje, ki zagotavlja, da bodo cilji notranjih kontrol doseženi. Dostop do sredstev in evidenc ter odgovornost zanje. Dostop do sredstev in evidenc mora biti omejen na pooblaščene posameznike, ki so odgovorni za njihovo skrbništvo in uporabo. 3.4 Notranje kontrole v pogojih elektronskega podpisovanja Da bi podjetje zagotovilo dovolj visoko raven varnosti poslovanja pri elektronskem podpisovanju računovodskih dokumentov mora ustrezno spremeniti politiko poslovanja, pri čemer mora nova politika temeljiti na izboljšanju varnosti elektronskega poslovanja. Z uporabo digitalnih potrdil za overjanje elektronskega podpisa in infrastrukture javnih ključev (PKI) je že zagotovljena prva raven varnosti poslovanja. Druga raven varnosti se izvaja in je odvisna izključno od podjetja samega. Z uvedbo in dosledno uporabo posebnih notranjih kontrolnih postopkov za zagotavljanje varnega elektronskega podpisovanja računovodskih dokumentov postane elektronsko poslovanje bolj varno in učinkovito. Pri uporabi elektronskega podpisa je potrebno upoštevati naslednje (Khan, 2001, 24): Kako zaščititi elektronski podpis? Kako težko je ugotoviti geslo? Če je geslo elektronskega podpisa spravljeno na pametni kartici, kako je le-ta varna pred vdori in napadi? 35

36 Kako je računalnik zavarovan? Koliko varna je programska oprema pred vdori? Kdo je oseba, ki jo preverjate? Ali je to res oseba, za katero se izdaja in ki je nosilec elektronskega podpisa? Kako zelo varni so digitalni certifikati? Ali jim lahko zaupate? Ali zaposlenci upoštevajo vse kontrole ali ne? Kontrolna tveganja v pogojih elektronskega poslovanja (Tackney, 2002): 1. Osebje Z znanjem in veščinami delovanja elektronskega poslovanja osebje velikokrat zamenjuje delovna mesta, z namenom boljšega zaslužka. 2. Nadgradnja informacijskega sistema Elektronsko poslovanje zahteva uporabo novih tehnologij, ki se pogosto razvijajo in nadgrajujejo ločeno od glavnega informacijskega sistema, zato pride do tveganja napak, pomanjkanja kontrolnega sistema in nestabilnosti sistema. 3. Ekonomska rast Mnogokrat so podjetja žrtve lastnega uspeha, če preveč povečajo poslovanje, pri čem njihovi informacijski sistemi niso dovolj učinkoviti in prilagodljivi. 4. Novi produkti in aktivnosti Poslovodje starega sistema mnogokrat ne razumejo kontrol v novem sistemu, prav tako kot poslovodje novega sistema ne razumejo obstoječih kontrolnih postopkov v starem sistemu, kar povzroči, da novi sistem nima urejenega kontrolnega sistema z nobene strani Notranje kontrole elektronskih dokumentov Osnovne notranje kontrole morajo biti postavljene tako, da zagotavljajo točnost elektronskega poslovanja in vsebujejo naslednje (Wiese, 2001): Tveganje sistema in analizo tveganja Omejen dostop do elektronskega sistema dokumentov Varnostna gesla Nespremenljiv časovni žig transakcij in dokumentov Spremembo časovnih kod in ohranitev nespremenjenega datuma na originalu Register zavrnjenih transakcij Reden pregled dostopa, sprememb in zavrnitev gesel Zadrževanje elektronskih dokumentov za določeno časovno obdobje Upoštevanje formalne varnostne politike in priročnika postopkov Te kontrole se morajo izvajati sočasno. Vse kontrole in postopki morajo biti periodično pregledani in popravljeni, glede na vse spremembe v poslovnem okolju. Notranje kontrole ne služijo svojemu namenu, če niso pravilno vstavljene v sistem in če jih zaposlenci ne izvajajo pravilno in dosledno. 36

37 Da bi podjetje doseglo kvalitetno kontrolo elektronski dokumentov mora biti dokument ustvarjen, skladiščen in določljiv pod naslednjimi pogoji: Podpisani elektronski dokument ima vedno samo en original, ki mora biti ločen od ostalih kopij. Potem, ko je dokument že podpisan, se morajo vse spremembe dokumenta označiti kot pooblaščene ali nepooblaščene spremembe. Na originalnem elektronskem dokumentu mora biti razvidno, kdo izvaja kontrolo nad dokumentom. Originalen elektronski dokument mora biti poslan in vzdrževan osebi, ki ga kontrolira ali njenemu pooblaščencu. Kontrola dokumenta se lahko preda naprej le z dovoljenjem sedanjega kontrolerja 37

38 Slika 10: Diagram poteka elektronskega podpisovanja s prikazanimi notranjimi kontrolami IZDELAVA ELEKTRONSKEGA DOKUMENTA V O D S T V E N A N O T R A N J A K O N T R O L A NOTRANJA KONTROLA PODPIS ELEKTRONSKEGA DOKUMENTA NOTRANJA KONTROLA POŠILJANJE ELEKTRONSKEGA DOKUMENTA NOTRANJA KONTROLA Preverjanje vsebine dokumenta Omogočen dostop le pooblaščenim osebam Vpis uporabniškega imena in gesla pametna kartica Preverjanje uporabniškega imena in gesla Uporaba časovnega žiga Pregled dostopa do elektronskih dokumentov Pregled vzdrževanja elektronskih dokumentov Pregled arhiviranja elektronskih dokumentov Vir: Lasten vir 38

39 3.5 Ugotovitve o notranjih kontrolah elektronskega podpisovanja računovodskih dokumentov Notranje kontrole imajo neposreden vpliv na točnost, zanesljivost in popolnost računovodskih evidenc in računovodskih izkazov. Delovati morajo v skladu s standardi, zakoni, in pravili ter politiko podjetja. Notranje kontrole se razčlenijo na splošne notranje kontrole, notranje računovodske kontrole, temeljne in vodstvene (nadzorne) kontrole. V vsakodnevnem poslovanju podjetja ločnice med različnimi vrstami kontrol ne smejo biti vidne, saj se morajo med seboj prepletati in dopolnjevati, da dosežejo želen učinek. Leta 1995 je INOSTAI izdala Smernice za standarde notranjega kontroliranja, za katere pa se že pripravlja posodobitev. Smernice so bile izdane predvsem zaradi lažjega kontroliranja in njegovega uvajanja v poslovni sistem. Prav tako kot notranje kontrole se tudi smernice delijo na splošne standarde in podrobne standarde, da lahko pokrijejo celoten poslovni proces. Splošni standardi zagotavljajo primernost okolja, podrobni standardi pa zagotavljajo mehanizme in postopke, s katerimi se dosegajo cilji kontroliranja. V pogojih elektronskega poslovanja morajo podjetja uvesti in še posebej dosledno upoštevati notranje kontrole, saj gre za vprašanje varnosti poslovanja. Preko elektronskih medijev so podjetja vedno bolj v nevarnosti, da pride do nepooblaščenih dostopov do podatkov in dokumentov. Z uvajanjem varnostnih gesel, požarnih zidov, rednim pregledovanjem dostopa in omejevanjem dostopa do elektronskega sistema dokumentov le pooblaščenim osebam, se le-ta nevarnost zmanjša. Kontrolni sistem podjetij, ki uporabljajo elektronski podpis se mora spreminjati in prilagajati skladno z uporabo elektronskih medijev in razvojem informacijske tehnologije. Notranje kontrole, ki so značilne za klasično papirno poslovanje v pogojih elektronskega poslovanja ne pridejo toliko v poštev, saj večino dela poteka preko računalnika in interneta. Še posebej mora biti podjetje pozorno na to, kdo računovodske dokumente podpisuje in kdo ima dostop do upravljanja z njimi. V podjetjih, ki poslujejo elektronsko, se mora pooblaščena oseba za upravljanje z elektronskimi dokumenti pred uporabo prijaviti z uporabniškim imenom in geslom, včasih pa se mora prijaviti tudi več oseb pred poslovno operacijo. Pomembno je tudi, da se podjetje zaveda kontrolnih tveganj in da se z njimi primerno sooči. Posebno pozornost morajo podjetja posvečati vzdrževanju in razvoju programske opreme, da ne pride do izgube podatkov zaradi nestabilnosti informacijskega sistema. Vsak elektronski dokument mora biti elektronsko podpisan, da je verodostojen in ima vedno samo en original. Nad vsakim dokumentom se mora izvajati kontrola, vse spremembe morajo biti označene kot pooblaščene in nepooblaščene, razvidno mora biti kdo izvaja kontrolo nad dokumentom itd., da ne bi prišlo do zlorab. 39

40 4 ELEKTRONSKO POSLOVANJE V PODJETJU SIOL d.o.o. V omrežju SIOL je omogočeno, da naročniki poslujejo z njimi popolnoma elektronsko, z uporabo kvalificiranih digitalnih potrdil. Za elektronsko poslovanje s podjetjem SIOL mora naročnik najprej na varen način vstopiti na servisne strani. Le tako aplikacija zazna, da ima naročnik registriran kvalificiran certifikat. V polju e-dokumenti se prikažejo vsi dokumenti, ki jih lahko sklene s SiOLom. V tem trenutku so to Zahteva za statični IP-naslov, Sprememba hitrosti v paketu ADSL, Aneks k pogodbi ADSL za televizijo in Aneks k pogodbi za dodatne storitve, v kratkem pa bo teh dokumentov na voljo še več. Izbrani obrazec se prikaže na zaslonu, kjer se vpišejo vsi naročnikovi podatki, že vpisani v SiOLovem sistemu. Naročnik dodatno še izbere nekatere zahtevane podatke, klikne»pošlji«in prek spletnega vmesnika dokument websign podpiše s svojim potrdilom. To je vse nobenih dodatnih stroškov niti odvečnega tekanja do pošte ali pošiljanja prek telefaksa. V naslednjem trenutku operater na SiOLu že ve, da je podana nova zahteva, in izpolni jo na že utečen način. Prejemanje elektronskih računov in plačilo Oktobra 2003 je SiOL svojim uporabnikom začel pošiljati račune v elektronski obliki. Izdani so v obliki podpisane datoteke XML in dodani e-sporočilu kot priponka. Pomembna novost ni le, da ga lahko vnesete v svoj računovodski program ali bančno aplikacijo (če podpirajo standard e-slog GZS) in poskrbite za plačilo, temveč ga lahko plačate brez provizije s svojo plačilno kartico prek varnega sistema e-siol. Računi so poslani na elektronski naslov temeljnega računa. Kako do digitalnega potrdila? Pri elektronskem poslovanju se morajo sodelujoči nekako identificirati med seboj in v uporabljenem sistemu je to mogoče na podlagi digitalnih potrdil. Vendar za pravno-formalno ustrezno poslovanje ni mogoče uporabiti katerih koli potrdil, ki so narejena v formatu X.509 v3, ki jih tehnološko opredeljuje. Potrdila morajo izdati kvalificirani overitelji. Takšnih je v Sloveniji več, od SIGEN-CA (Overitelj na centru vlade za informatiko) do POSTA-CA. Nekateri so brezplačni, drugi zahtevajo določeno nadomestilo, ki predvsem pokriva stroške strojne opreme. 4.1 Elektronsko podpisani računi Elektronski račun je dokument v elektronski obliki, ki vsebuje vse elemente računa, izdanega za opravljano storitev ali prodano blago. V letu 2001 je Gospodarska zbornica Slovenije začela projekt e-slog, katerega rezultat je tehnološko priporočilo oziroma shema in format računa v elektronski obliki v skladu s slovensko zakonodajo in uredbami. Pravna podlaga Legitimnost elektronskih dokumentov določa zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP), ki pod določenimi pogoji enači elektronsko obliko s pisno. ZEPEP se nanaša tudi na uporabo elektronskih podpisov kot sredstvo za preverjanje ustvarjalca elektronskega dokumenta in zagotavljanje nespremenljivosti elektronskih dokumentov. 40

41 Elektronski računi imajo pravno podlago tudi v zakonu o davku na dodano vrednost (ZDDV), ki določa, da so računi lahko izdani v nematerializirani obliki, če ima davčni zavezanec dovoljenje davčnega organa za takšno obliko izdaje. S 1. julijem 2003 je davčna uprava Republike Slovenije objavila nove kriterije za pridobitev dovoljenja za poslovanje v nematerializirani obliki, ki omogoča pravnim osebam izdajanje in prejemanje elektronskih računov prek komunikacijskih medijev. Tehnologija in zahteve Za elektronske dokumente lahko uporabljamo različen format zapisa (doc, pdf, html, xml itd.). Uporabniki se morajo vnaprej dogovoriti o uporabi skupnega formata oziroma skupne aplikacije. Različne tehnološke rešitve omogočajo pripravo elektronskih dokumentov za številne namene in potrebe. Z namenom standardizirati izmenjavo elektronskih dokumentov, kot je račun, je GZS pripravila osnovno shemo v formatu razširjenega označevalnega jezika (extensible Markup Language, XML) za kompleksen račun, namenjen poslovanju med podjetji (Business-2-Business), in za enostaven račun, namenjen poslovanju med manjšimi podjetji in poslovanju s fizičnimi osebami (Business-2-Customer). Elektronski računi v xml-formatu omogočajo hitro in učinkovito procesiranje, izmenjavo med informacijskimi sistemi podjetij in prikaz v uporabniških aplikacijah. Uporaba elektronskih računov omogoča poslovanje brez papirjev, kar je predvsem pomembno za podjetja, ki uporabljajo računalniške sisteme za vodenje poslovanja. Elektronski računi so dobrodošli tudi za fizične uporabnike, saj je njihova uporaba preprosta pri plačevanju prek sistemov elektronskega bančništva ali spletnega plačevanja s plačilnimi karticami. Podobno kot račun v pisni obliki, mora glede na zahteve 34. člena Zakona o DDV (ZDDV) račun v nematerializirani obliki vsebovati naslednje podatke: 1. kraj in datum izdaje ter zaporedno številko; 2. firmo oziroma ime in sedež oziroma stalno prebivališče ter davčno številko izdajatelja računa; 3. firmo oziroma ime in sedež oziroma stalno prebivališče ter davčno številko prejemnika blaga oziroma storitve; 4. datum odpošiljanja blaga oziroma opravljanja storitev; 5. podatke o vrsti in količini prodanega blaga oziroma opravljenih storitev; 6. cena blaga brez DDV, vrednost blaga oziroma storitve brez DDV, stopnjo oziroma stopnji DDV ter znesek DDV po različnih stopnjah; 7. vrednost z vključenim DDV. Tehnološko priporočilo, definirano v okviru projekta e-slog, določa vsa potrebna polja dokumenta XML na osnovi navedenih zakonskih zahtev. Izdajatelj elektronskega računa mora za takšno obliko priprave in izdaje računov izpolniti še naslednje pogoje: 1. dosegljivost podatkov v času predpisanega roka hranjenja računov; 2. primernost podatkov v času predpisanega roka hranjenja računov; 3. verodostojnost podatkov; 4. jasno in razvidno identifikacijo pošiljatelja in prejemnika računa; 5. zanesljivost opreme in postopkov za preprečevanje nespremenljivosti podatkov. 41

42 Vsi elektronski računi, ki jih izda podjetje, morajo biti opremljeni z elektronskim podpisom, ki enolično povezuje dokument s podpisnikom oziroma izdajateljem. Uporabo elektronskega podpisa določa zakon (ZEPEP), ki elektronski podpis pod določenimi pogoji enači z lastnoročnim. Ti pogoji se predvsem nanašajo na uporabo kvalificiranih digitalnih potrdil, izdanih s strani kvalificiranega overitelja in uporabo varne programske opreme za elektronsko podpisovanje. Podpis dokumentov Vmesnik WebSign omogoča enostavno, hitro in varno pripravo elektronskih dokumentov. Elektronski dokument pripravi strežnik WebSign na osnovi obstoječih podatkov in podatkov, ki jih vnese uporabnik. Uporabnik vnaša potrebne podatke prek spletnih obrazcev. Obstoječi podatki, ki so del dokumenta, so vneseni samodejno. Na osnovi vnesenih podatkov strežnik WebSign pripravi elektronski dokument in ga elektronsko podpiše na osnovi digitalnega potrdila. Elektronski dokument strežnik pošlje vmesniku WebSign. Slika 11: Vnos podatkov v spletni obrazec za pripravo elektronskega dokumenta Vir: Ob prvi uporabi storitve za pripravo elektronskih dokumentov se vmesnika WebSign namesti samodejno. Vmesnik oziroma programska koda je elektronsko podpisana s strani SIGEN-CA, s čimer se uporabnik prepriča o avtentičnosti vmesnika. Preverjanje podpisa se izvrši pred namestitvijo. Nujno je, da uporabnik pred prvo uporabo namesti korensko potrdilo overitelja SIGEN-CA, saj drugače preverjanje podpisa kode ni možno. Pripravljeni dokument elektronsko podpiše strežnik in ga da vmesniku WebSign, ki se zažene samodejno. Vmesnik WebSign prejeti dokument in pripadajoč podpis preveri in vsebino dokumenta samodejno prikaže. Uporabniku so na voljo naslednje funkcije: 42

43 1. Podpiši s to funkcijo podpišemo dokument na osnovi kvalificiranega digitalnega potrdila. V kolikor imamo več potrdil izberemo enega izmed veljavnih. 2. Shrani s to funkcijo shranimo dokument 3. Natisni s to funkcijo natisnemo vsebino dokument Slika 12: Prikaz elektronskega dokumenta z vmesnikom WebSign Vir: Uporabnik mora, če želi podpisati e-dokument, kateri mu je predstavljen v odjemalcu WebSign, klikniti na gumb»podpiši«. Če ne stori ničesar, se dokument sicer shrani, vendar ima status»potrjen in nepodpisan«. Po podpisu dokumenta vmesnik WebSign samodejno vrne dokument strežniku WebSign, ki se nahaja v omrežju SiOL. Strežnik WebSign preveri podpis in podpiše potrdilo o prejemu dokumenta, ki ga skupaj z dokumentom vrne uporabniku. Uporabnik se lahko odloči kam in kako bo shranil prejeti dokument z vključenim potrdilom o prejemu. Postopek je s tem končan in dokument je podpisan s strani obeh strank. 43

44 Pregled in arhiviranje elektronskih dokumentov Pregled računov in e-dokumentov je omogočen v novejših brskalnikih. Račun, ki je kot priponka dodan elektronskemu računu, je v obliki xml-datoteke, kar pomeni, da si ga lahko ogledate v brskalniku s klikom nanj. Odpre se vam brskalnikovo okno z računom, pred prvo uporabo pa se na vaš računalnik naloži transformacijska datoteka za prikaz računa. Druga možnost pregleda računa je uporaba odjemalca websign. Vmesnik omogoča pregledovanje elektronskih dokumentov in pripadajočih podpisov. Z ročnim zagonom vmesnika websign prek spletnega odjemalca internet explorer ali prek menija»start«oziroma iz namizja lahko odpremo poljubni elektronski dokument prek menija»datoteka«oziroma gumba»odpri«v spodnjem levem kotu. Uporabniku se prikaže dokument in možno je izpeljati naslednje funkcije: 1. Preveri: S to funkcijo prikažemo podpisnike dokumenta in podpisnika potrdila ter veljavnost podpisov. 2. Natisni: S to funkcijo natisnemo vsebino dokumenta. Najdemo jo v meniju ali s klikom na desno tipko miške Slika 13: Pregledovanje elektronskega dokumenta in preverjanje elektronskih podpisov z vmesnikom websign Vir: Arhiviranje je zelo pomembno, saj bodo uporabniki le tako imeli vso dokumentacijo shranjeno na vedno dostopnem mediju. Računi in pogodbe so lahko shranjeni na disku (priporočamo v vedno enako mapo), naredite tudi rezervno kopijo na katerem drugem mediju. Pogodba se lahko shrani ob podpisu, računi pa samo v xml-obliki. Varna izmenjava e-dokumentov v Siol.u d.o.o. 44