Kto domyślnie ma dostęp do KSeF?

Domyślnie pełny dostęp do KSeF spółki mają osoby uprawnione do jej reprezentacji zgodnie z KRS — czyli zarząd. Każdy dodatkowy użytkownik (pracownik, biuro rachunkowe, dostawca systemu ERP) musi otrzymać formalne uprawnienie od zarządu przez bramkę KSeF.

Jakie rodzaje uprawnień istnieją w KSeF?

KSeF wyróżnia trzy główne typy uprawnień: uprawnienie do wystawiania faktur, uprawnienie do przeglądania faktur oraz uprawnienie do zarządzania uprawnieniami (nadawanie i cofanie dostępu innym osobom). Możliwe jest też upoważnienie do działania w imieniu podatnika przez podmiot zewnętrzny (np. biuro rachunkowe).

Co się dzieje gdy nieuprawniony pracownik wystawia fakturę w KSeF?

Faktura wystawiona przez osobę bez uprawnienia w KSeF nie uzyska numeru KSeF — zostanie odrzucona przez system. Ponadto próba nieautoryzowanego dostępu jest logowana. To zarówno ryzyko operacyjne (faktura nie dotarła do nabywcy) jak i potencjalnie ryzyko naruszenia bezpieczeństwa systemu.

Uprawnienia w KSeF — matryca dostępu i kontrola wewnętrzna

Podsumowanie (30 sekund):
W KSeF każdy użytkownik musi mieć formalne uprawnienie nadane przez zarząd. Trzy typy: wystawianie faktur, przeglądanie faktur, zarządzanie uprawnieniami. Zarząd spółki ma dostęp domyślny przez KRS. Biuro rachunkowe, pracownicy AP, dostawcy systemów ERP — muszą mieć formalne pełnomocnictwo. Matryca uprawnień musi być udokumentowana, przeglądana przy zmianach personalnych i dostępna dla audytora. To nowy obszar kontroli wewnętrznej — zaniedbany przez większość firm które skupiają się tylko na technikaliach wystawiania faktur.

Typy uprawnień w KSeF

Typ uprawnienia	Co umożliwia	Kto powinien mieć
Wystawianie faktur sprzedaży	Tworzenie i wysyłanie faktur do KSeF w imieniu podatnika	Pracownicy działu sprzedaży, fakturzyści, system ERP (przez token API)
Przeglądanie faktur zakupu	Pobieranie i przeglądanie faktur kosztowych dostępnych w KSeF	Pracownicy działu AP, główna księgowa, CFO, system ERP (przez token API)
Zarządzanie uprawnieniami	Nadawanie i cofanie uprawnień innym użytkownikom	CFO lub główna księgowa — maksymalnie 1–2 osoby z zastępstwem
Pełnomocnictwo dla podmiotu zewnętrznego	Działanie w imieniu podatnika przez biuro rachunkowe lub dostawcę systemu	Biuro rachunkowe (jeśli prowadzi obsługę fakturowania), dostawca ERP (serwis techniczny)

Jak zbudować matrycę dostępu — praktyczna procedura

Krok 1 — Identyfikacja użytkowników

Sporządź listę wszystkich osób i systemów które będą korzystać z KSeF: pracownicy działów sprzedaży i AP, główna księgowa, CFO, zarząd, systemy ERP, biura rachunkowe, dostawcy systemów (tokeny API).

Krok 2 — Przypisanie minimalnych uprawnień

Zasada minimalnych uprawnień: każdy użytkownik dostaje tylko to czego potrzebuje do pracy. Pracownik AP nie potrzebuje wystawiać faktur sprzedaży. Handlowiec nie potrzebuje zarządzać uprawnieniami. System ERP potrzebuje tokenu API ograniczonego do konkretnych operacji.

Krok 3 — Dokumentacja matrycy

Matryca uprawnień powinna być dokumentem zatwierdzoną przez CFO lub zarząd, zawierającą: imię/nazwisko lub nazwę systemu, przypisane uprawnienia, datę nadania, osobę która nadała uprawnienie, termin przeglądu.

Krok 4 — Procedura przy zmianach personalnych

Odejście pracownika = natychmiastowe cofnięcie dostępu w KSeF. Zmiana roli = przegląd uprawnień. Kto odpowiada za wykonanie tych działań musi być opisane w procedurze i nie może być "domyślnie IT".

Krok 5 — Regularny przegląd matrycy

Minimum raz na rok, przy każdej istotnej zmianie organizacyjnej. Weryfikacja: czy wszystkie aktywne uprawnienia są uzasadnione, czy odejście pracowników zostało odzwierciedlone.

Token API a uprawnienia pracownicze: Systemy ERP korzystają z KSeF przez token API — nie przez konto pracownicze. Token API ma własne uprawnienia i powinien być ograniczony tylko do operacji potrzebnych systemowi (np. wystawianie + przeglądanie, ale nie zarządzanie uprawnieniami). Utrata lub ujawnienie tokenu API to incydent bezpieczeństwa — wymaga natychmiastowego unieważnienia i wygenerowania nowego.

Ryzyka nieprawidłowego zarządzania uprawnieniami

Były pracownik z aktywnym dostępem — może przeglądać faktury spółki lub wystawiać faktury w jej imieniu. Ryzyko operacyjne i ryzyko naruszenia danych.
Zbyt szeroki dostęp dla biura rachunkowego — biuro ma uprawnienie do zarządzania uprawnieniami innych użytkowników, co nie jest uzasadnione operacyjnie.
Token API bez ograniczeń — dostawca systemu ERP ma pełny dostęp włącznie z zarządzaniem uprawnieniami. Ryzyko przy rozwiązaniu współpracy.
Brak procedury na wypadek utraty tokenu — token API skompromitowany, brak procedury unieważnienia. KSeF dostępny dla nieuprawnionego.
Brak dokumentacji — audytor pyta kto ma dostęp i dlaczego. Odpowiedź "nie wiem" to luka kontrolna w liście do zarządu.

Co audytor weryfikuje przy uprawnieniach KSeF

Przy badaniu sprawozdań za 2026 rok audytor będzie oceniał kontrolę wewnętrzną w obszarze KSeF jako nowy element IT general controls. Konkretnie sprawdza:

czy matryca uprawnień istnieje i jest udokumentowana
czy jest zatwierdzona przez osobę z odpowiednim poziomem uprawnień (CFO, zarząd)
czy jest procedura nadawania i cofania uprawnień przy zmianach personalnych
czy były pracownicy mają cofnięte dostępy
czy tokeny API są ograniczone do minimalnych uprawnień
czy matryca jest regularnie przeglądana

Brak matrycy lub nieaktualna matryca to obserwacja w liście do zarządu. Aktywne dostępy byłych pracowników lub nieograniczone tokeny — to słabość kontroli wewnętrznej z potencjalnym wpływem na wiarygodność danych fakturowych.

Z mojej praktyki

Z mojej praktyki: Przy ocenie gotowości na KSeF pytam zawsze: "Kto ma dostęp do waszego systemu fakturowania i kto zatwierdza nowych użytkowników?" W 7 na 10 firm odpowiedź brzmi: "Informatyk daje dostęp gdy ktoś z managementu poprosi". Bez formalnej procedury, bez dokumentacji, bez przeglądu po odejściach. To jest taki sam problem w KSeF jak w każdym innym systemie finansowym — ale w KSeF konsekwencje są widoczne dla US w czasie rzeczywistym. Faktura wystawiona przez nieuprawnioną osobę to nie tylko problem wewnętrzny.

FAQ

Najczęstsze pytania

Czy zarząd musi osobiście nadawać uprawnienia w KSeF?▾

Nie — zarząd może udzielić pełnomocnictwa osobie lub podmiotowi zewnętrznemu do zarządzania uprawnieniami w KSeF. Pełnomocnictwo musi być formalne (pisemne lub elektroniczne przez e-PUAP) i powinno precyzyjnie określać zakres uprawnień przekazanych pełnomocnikowi.

Czy biuro rachunkowe musi mieć uprawnienia w KSeF?▾

Tylko jeśli prowadzi obsługę fakturowania lub pobiera faktury kosztowe w imieniu spółki. Biuro rachunkowe obsługujące tylko księgowość (pobiera pliki XML z innego systemu) nie musi mieć dostępu bezpośrednio do KSeF. Decyzja zależy od ustalonego modelu współpracy.

Co zrobić gdy pracownik odchodzi i ma dostęp do KSeF?▾

Natychmiast cofnąć uprawnienia w KSeF — tego samego dnia co rozwiązanie stosunku pracy lub zakończenie współpracy. Procedura powinna być opisana w regulaminie bezpieczeństwa IT i wykonywana przez dział HR lub IT niezależnie od działu finansowego. Zapis w matrycy uprawnień: data cofnięcia, osoba która cofnęła.

Jak często przeglądać matrycę uprawnień?▾

Minimum raz na rok w ramach przeglądu kontroli wewnętrznej. Obowiązkowo przy każdej istotnej zmianie: odejście pracownika, zmiana biura rachunkowego, zmiana dostawcy systemu ERP, zmiana w składzie zarządu.

Chcesz ocenić kontrolę wewnętrzną w obszarze KSeF?

Jeżeli chcesz sprawdzić czy zarządzanie uprawnieniami KSeF spełni wymagania audytora lub wymogi bezpieczeństwa — porozmawiaj z biegłym rewidentem który ocenia te obszary w ramach badania kontroli wewnętrznej.

office@jmfc.pl +48 502 960 170

Umów konsultacjęBez zobowiązań • 20 minut • szybka ocena sytuacji Kontrola wewnętrzna

Powiązane artykuły

Czytaj dalej

Powiązane usługi

Powiązane usługi JMFC

Jakub Marszałek

Biegły Rewident PANA (wpis nr 4428) · JMFC

Ponad 20 lat doświadczenia w badaniu sprawozdań finansowych, konsolidacji według MSSF i doradztwie dla zarządów i rad nadzorczych. Specjalizuje się w spółkach produkcyjnych, handlowych i grupach kapitałowych.

LinkedIn Umów konsultację →