Informacje z NIK

0 1468
Raporty NIK
Ocena systemu dotowania zadań zleconych samorządom jest zróżnicowana i zależy od charakteru udzielonych dotacji. W całym systemie dotacyjnym najwięcej udzielano dotacji o charakterze transferowym – i ich przekazywanie na ogół przebiegało właściwie. Natomiast nieprawidłowo system dotacyjny działał w obszarze finansowania wydatków ponoszonych przez jednostki samorządowe bezpośrednio (w związku z wykonywaniem przez nie zadań zleconych). Powodem nieprawidłowości były tu przede wszystkim niespójne oraz niejasne regulacje, dotyczące zarówno planowania, jak i rozliczania dotacji.

Biorąc pod uwagę problemy o charakterze systemowym oraz najważniejszych beneficjentów wykonywanych zadań, Najwyższa Izba Kontroli zwraca się do Rady Ministrów z wnioskiem o rozważenie możliwości przekształcenia zadań zleconych z zakresu administracji rządowej, mających charakter zadań stałych, w zadania własne jednostek samorządu terytorialnego.

Zgodnie z art. 166 Konstytucji jednostki samorządu terytorialnego wykonują zarówno zadania własne, które służą zaspokajaniu potrzeb wspólnoty samorządowej, jak i – jeżeli wynika to z uzasadnionych potrzeb państwa – inne zadania publiczne, zlecone ustawami. Na realizację zadań zleconych samorządy otrzymują z budżetu państwa dotacje celowe, które, zgodnie z przepisami, powinny zapewniać ich pełne wykonanie.

NIK uznała za celowe skontrolowanie systemu dotowania zadań zleconych, gdyż dotacje stanowią znaczącą część dochodów samorządów. Dodatkowo w 2016 r. nastąpiło bardzo znaczące zwiększenie łącznej kwoty tych dotacji, spowodowane wprowadzeniem Programu Rodzina 500+.

Dotacje celowe na zadania zlecone można podzielić na dwie podstawowe grupy. Pierwsza z nich obejmuje środki transferowane z budżetu państwa do wskazanych w ustawach osób i instytucji za pośrednictwem budżetów jednostek samorządu terytorialnego. Drugą grupę stanowią środki przeznaczone na finansowanie wydatków ponoszonych przez jednostki samorządu terytorialnego w związku (…)

Niespójność przyjętych rozwiązań polegała między innymi na tym, że w sferze planowania ustanowiono jednocześnie obowiązek zapewnienia każdej dotowanej jednostce środków odpowiednich do pełnego wykonania zadań zleconych oraz obowiązek stosowania, przy planowaniu dotacji, zasad przyjętych w budżecie państwa dla wydatków podobnego rodzaju. Przyjęcie takich zasad – w ustawie nie wskazano, które zasady powinny być stosowane, ani jak należy rozumieć wydatki podobnego rodzaju – nie musi jednak zapewniać każdej jednostce środków umożliwiających pełne wykonanie zadania.

Ponadto jednostki samorządu terytorialnego kierowały się przepisami pozwalającymi im na swobodę w dostosowaniu sposobu wykonywania zadań zleconych do miejscowych warunków oraz na stosunkowo dużą swobodę w kształtowaniu polityki płacowej, a jednocześnie uwzględniały zakaz różnicowania wynagrodzeń pracowników samorządowych ze względu na kryterium rodzaju zadań, ustalając wynagrodzenia pracowników wykonujących zadania zlecone zgodnie z przyjętym w danej jednostce regulaminem płac. Tymczasem Minister Finansów i wojewodowie byli zobowiązani do przestrzegania zasady oszczędnego wydatkowania środków publicznych, dlatego nie mogli dostosowywać wysokości dotacji do polityki wydatkowej prowadzonej przez każdą jednostkę samorządu terytorialnego oddzielnie. Prowadziło to do sytuacji, w której jednostki samorządu terytorialnego współfinansowały zadania zlecone mimo przepisów wskazujących, poza kilkoma wyjątkami, na pełne finansowanie zadań zleconych z budżetu państwa. (…)

Podjęcie w Ministerstwie Finansów prac nad jednolitym algorytmem obliczania dotacji pozwoliło ujednolicić i zobiektywizować zasady stosowane w różnych województwach – celowość tych działań NIK oceniła pozytywnie – jednak nie rozwiązało to problemu współfinansowania zadań zleconych przez jednostki samorządu terytorialnego. Ponadto sam proces wprowadzania jednolitego sposobu obliczania dotacji nie był wolny od problemów, gdyż wojewodom nie udzielono wskazówek, jak mają ustalać poszczególne wartości wykorzystane później w Ministerstwie Finansów do obliczeń, w metodyce szacowania kosztów roboczogodziny pominięto niektóre wydatki, w tym wydatki rzeczowe, nie zbadano też przyczyny istotnych różnic w wartościach danych przekazywanych przez wojewodów. Z przesłanych do Ministerstwa danych wynikało na przykład, że wydanie jednej decyzji w sprawach meldunkowych trwało średnio od 12 godzin w gminach województwa warmińsko-mazurskiego do 32 godzin w gminach województwa podlaskiego, a sporządzenie aktu cywilnego – od jednej godziny do prawie trzech, w zależności od województwa.

Z innych ważnych ustaleń kontroli wskazać należy:

  • niejasny podział obowiązków dotyczących finansowania zadań zaleconych z zakresu: Państwowej Straży Pożarnej, melioracji wodnych oraz geodezji i kartografii; przepisy wskazują dwa publiczne źródła finansowania tych zadań: dotacje celowe z budżetu państwa i środki z budżetów samorządów,
  • planowanie, ewidencjonowanie i wykazywanie wydatków ponoszonych przez jednostki samorządu na finansowanie zadań zleconych we właściwych rozdziałach klasyfikacji budżetowej tylko do wysokości dotacji; wynikało to z faktu, że przepisy nie przewidują w przypadku większości zadań zleconych możliwości planowania wydatków w kwocie wyższej niż wynosi planowana dotacja; jednostki radziły sobie z tym problemem w ten sposób, że ujmowały część wydatków na zadania zlecone w innych rozdziałach klasyfikacji budżetowej, co prowadziło do wykazania nieprawdziwych danych w sprawozdaniach budżetowych;w rezultacie nie wiadomo, jaka jest dokładna skala współfinansowania zadań zleconych przez samorządy,
  • wprowadzenieujednoliconej metody rozliczania dotacji przekazanej na zadania z zakresu spraw obywatelskich spowodowało problemy w planowaniu dotacji przez wojewodów: w 2015 r. wojewodowie przekazali 40% gmin niższą dotację niż wynikało z wprowadzonego algorytmu, a 59% – wyższą; w 2016 r. 31% gmin otrzymało niższą dotację, a 64% wyższą niż wynikało z algorytmu Ministerstwa Finansów,
  • większość wojewodów zwracała się do gmin o zwrot dotacji na zadania z zakresu spraw obywatelskich, pomijając przepis art. 168 ust. 6 ustawy o finansach publicznych, zgodnie z którym niewykorzystana część dotacji celowych na zadania zlecone zwracana jest w części, w jakiej zadanie nie zostało wykonane; niektórzy wojewodowie mieli jednak wątpliwości, czy należy występować w takim przypadku o zwrot dotacji, dlatego nie prowadzili czynności w tym zakresie,
  • wątpliwości może budzić rozliczanie dotacji celowych w oparciu o liczbę i jednostkowe stawki usług publicznych realizowanych przez dotowane jednostki, jak miało to miejsce w przypadku rozliczania dotacji na zadania z zakresu spraw obywatelskich, gdyż dotacja nabiera wtedy cech dotacji przedmiotowej; zgodnie z definicją, dotacje przedmiotowe są to środki przeznaczone na dopłaty do określonych rodzajów wyrobów lub usług, kalkulowane według stawek jednostkowych; obowiązujące przepisy nie przewidują finansowania zadań zleconych za pomocą dotacji przedmiotowej.

Mimo podejmowanych w Ministerstwie Finansów prób, nie udało się znaleźć rozwiązania, które eliminowałoby problem współfinansowania zadań zleconych przez jednostki samorządu terytorialnego, a jednocześnie chroniłoby budżet państwa przed niekontrolowanym wzrostem dotacji. Podkreślić jednak warto, że znalezienie satysfakcjonującego rozwiązania opisanego wyżej problemu jest niezwykle trudne w warunkach samodzielnego, pod względem kształtowania poziomu wynagrodzeń i doboru środków i metod, działania poszczególnych jednostek samorządu terytorialnego.

Uwagi i wnioski

Rozwiązanie problemów z zapewnieniem j.s.t. odpowiednich środków na finansowanie zadań zleconych przy uwzględnieniu obiektywnych czynników różnicujących wielkość ponoszonych przez nie wydatków, natrafia na dwie poważne przeszkody. Po pierwsze oszacowanie wydatków niezbędnych do realizacji zadań zleconych, przy uwzględnieniu zasady oszczędnego gospodarowania środkami publicznymi, jest niezwykle trudnym zadaniem ze względu na występowanie czynników lokalnych mających wpływ na zróżnicowanie wydatków w poszczególnych jednostkach. Po drugie wątpliwości budzi możliwość sprawowania przez urzędy wojewódzkie skutecznej kontroli w samorządach pod względem gospodarnego wykorzystania dotacji. Spór, do jakiego doszło pomiędzy Wojewodą Mazowieckim a Samorządem Województwa Mazowieckiego odnośnie metodyki szacowania wydatków na zadania zlecone, nakazuje ostrożność w formułowaniu wniosku, że wojewodowie mogą skutecznie kontrolować samorządy w oparciu o kryterium gospodarności. Ponadto należy rozstrzygnąć, czy uzasadniona jest sytuacja, w której jednostki samorządu terytorialnego różnią się pod względem poziomu wynagrodzeń pracowników realizujących takie same zadania zlecone, co przekłada się na zróżnicowanie wydatków ogółem na realizację tych zadań. Z jednej strony należy wziąć pod uwagę interes Skarbu Państwa oraz zasadę oszczędnego gospodarowania środkami publicznymi, z drugiej – samodzielność jednostek samorządu pod względem kształtowania poziomu wynagrodzeń oraz obowiązek równego traktowania pracowników wykonujących w danej jednostce zadania własne i zadania zlecone.

Dalsza część wiadomości : >> Najwyższa Izba Kontroli <<

Tutaj możesz pobrać raport pt. „NIK o dotowaniu zadań zleconych samorządom – informacje szczegółowe (plik PDF)”

 

0 1576
Raporty NIK
Działania szefa KPRM oraz Prezesa Urzędu Zamówień Publicznych na rzecz upowszechnienia klauzul społecznych w zamówieniach publicznych administracji rządowej nie zwiększyły skali ich stosowania. Również samorządy w znikomym stopniu korzystają z tego rozwiązania. Stwierdzone przez NIK nieprawidłowości przy stosowaniu klauzul społecznych (zarówno przez administrację rządową, jak i samorządy) dotyczyły: nierzetelnego przygotowania zamówień, braku należytego nadzoru nad realizacją umów w części dotyczącej klauzul społecznych oraz nieprzeprowadzania analiz racjonalności stosowania tychże klauzul ani ocen społecznych skutków, kosztów i korzyści wynikających z ich zastosowania.

Wprowadzone w 2009 r. do prawa zamówień publicznych (ustawa Pzp) rozwiązania umożliwiają stosowanie
w zamówieniach aspektów społecznych, w tym klauzul społecznych, przyczyniając się do zwiększania efektywności wydatkowania środków publicznych poprzez osiągnięcie celów społecznych. Umożliwiają wyrównywanie szans w dostępie do zamówień publicznych podmiotom i osobom pozostających w gorszej sytuacji na rynku pracy, nie naruszając przy tym zasad traktatowych UE, w szczególności zasad równego traktowania podmiotów i uczciwej konkurencji.

Uwzględnianie aspektów społecznych w zamówieniach publicznych pozwala łączyć zakupy towarów i usług, których i tak musi dokonać zamawiający z zaspakajaniem konkretnych potrzeb osób z grup będących
w trudnej sytuacji na rynku pracy (np. bezrobotni, niepełnosprawni). Stosując klauzulę społeczną, zamawiający wspierają cele społeczne takie jak zatrudnianie na podstawie umów o pracę oraz aktywizacja osób zagrożonych wykluczeniem  społecznym.

Współczynnik aktywności zawodowej (w %) osób niepełnosprawnych w wieku produkcyjnym w latach 2001-2015

W lipcu 2015 r. Rada Ministrów wydała zalecenia w sprawie stosowania przez administrację rządową klauzul społecznych w zamówieniach publicznych. Wskazano w nich m.in. iż kierownicy jednostek administracji rządowej są zobowiązani do analizowania możliwości zastosowania klauzul społecznych we wszystkich postępowaniach o udzielenie zamówienia publicznego, w szczególności w zakresie usług edukacyjnych
i szkoleniowych, reklamowych, sprzątania i zarządzania mieniem, publikowania i drukowania, komputerowych, usług ochroniarskich, konserwacyjnych i naprawczych, telekomunikacyjnych, restauracyjnych oraz cateringowych. Powyższy obowiązek nałożono na instytucje rządowe także w odniesieniu do zamówień,
do których nie stosuje się przepisów ustawy Pzp.

 

0 937
Raporty NIK
Niewątpliwą zaletą mechanizmu udzielania zapewnień jest możliwość realizacji dużych bądź skomplikowanych przedsięwzięć dzięki elastycznemu podejściu do zasady roczności budżetu. Jednocześnie nie można pominąć wad systemu: znikomego wpływ na racjonalizację wydatkowania środków publicznych i przyspieszenie absorpcji środków europejskich, braku kryteriów, w tym zasad i terminów rozpatrywania wniosków o zapewnienie.

Ustawa o finansach publicznych z dniem 1 stycznia 2010 r. wyposażyła Ministra Finansów w instrument zarządzania budżetem państwa pod nazwą „zapewnienie”. W poprzednim stanie prawnym brak było przepisu rangi ustawowej, który upoważniałby Ministra Finansów do udzielania zapewnień.

Zapewnienie jest przyrzeczeniem, danym przez Ministra Finansów, finansowania realizacji określonego przedsięwzięcia. To, inaczej mówiąc, promesa uruchomienia środków z rezerwy celowej na dane zadanie.

Zapewnienie może dotyczyć zarówno zadań realizowanych w roku bieżącym jak i w przyszłych latach, i może zostać udzielone na:

  • projekty finansowane z udziałem środków pochodzących z budżetu UE oraz niepodlegających zwrotowi środków z pomocy udzielanej przez państwa członkowskie EFTA (dalej „środki europejskie”),
  • wydatki bieżące lub inwestycyjne,
  • programy wieloletnie.

Kontrolę przeprowadzono w Ministerstwie Finansów, gdzie sprawdzono zarządzanie środkami publicznymi w ramach udzielonych zapewnień, u sześciu wojewodów, którzy wnioskowali do Ministra Finansów o udzielenie zapewnienia oraz u siedmiu realizatorów.

Trudno stwierdzić, by wprowadzenie mechanizmu udzielania zapewnień finansowania lub dofinansowania przedsięwzięć z budżetu państwa przyczyniło się istotnie do realizacji założonych celów, czyli racjonalizacji wydatkowania środków publicznych i zwiększenia absorpcji środków europejskich.

Nie sprzyjała temu ani znikoma skala udzielanych zapewnień, ani niskie wykorzystanie środków z rezerw celowych objętych zapewnieniami na realizację projektów z udziałem środków europejskich. Zapewnienia obejmowały bowiem jedynie około 6 proc. środków rezerw celowych, w ramach których Minister Finansów udzielał zapewnień w latach 2010-2015. W tym samym okresie wykorzystanie środków z rezerw celowych objętych zapewnieniami na projekty finansowane z udziałem środków europejskich wynosiło średnio jedynie 35 proc. Oznacza to, że pozostałe niewykorzystane środki z rezerw były w nich blokowane.

Oceny tej nie zmieniają nawet pozytywne przykłady skutecznego wykorzystania instrumentu zapewnień, w tym przy remoncie mostu Łazienkowskiego w Warszawie po pożarze w 2015 r.

W dniu 14 lutego 2015 r. Most Łazienkowski w Warszawie uległ zniszczeniu w wyniku pożaru. Za cel przyjęto jak najszybsze przywrócenie przejezdności Mostu oraz sprawności położonych na nim sieci gazowych i ciepłowniczych. Minister Finansów – niespełna miesiąc po pożarze, tj. 10 marca 2015 r .  udzielił zapewnienia finansowania remontu Mostu. Miasto Stołeczne Warszawa -Zarząd Dróg Miejskich zawarło umowę na remont Mostu dnia 10 kwietnia 2015 r. Prace związane z realizacją umowy rozpoczęły się bezzwłocznie i zostały ukończone w terminie. Most został oddany do użytku jeszcze przed końcem roku, tj. 28 października 2015 r. Odbioru sieci gazowej  i ciepłowniczej dokonano odpowiednio 1 i 17 grudnia 2015 r.

Zapewnienie umożliwiało zaciągnięcie zobowiązania przed uzyskaniem środków w planie wydatków, na przykład w roku poprzedzającym realizację zadania, a jednocześnie wydłużało o ponad dwa miesiące termin na wystąpienie o środki z rezerw celowych. Dzięki temu możliwe było przeprowadzenie dużych bądź skomplikowanych przedsięwzięć. W analogiczny sposób mechanizm ten wykorzystywany był przez Ministra Finansów jako instrument zarządzania budżetem państwa, tj. poprzez:

  • elastyczne podejście do konstytucyjnej zasady roczności budżetu,
  • zaciąganie zobowiązań na przyszłe lata,
  • rozszerzenie katalogu wydatków sztywnych.

Zaznaczyć należy, że uprawnienia te są porównywalne do kompetencji Sejmu i Rady Ministrów.

W ocenie NIK, funkcjonujący system udzielania zapewnień finansowania lub dofinansowania zadań z budżetu państwa był niekompletny. Nie opracowano szczegółowych regulacji dotyczących udzielania wszystkich zapewnień. Jedyną powszechnie obowiązującą regulacją było wydane przez Ministra Finansów rozporządzenie[1] (Rozporządzenie Ministra Finansów z dnia 9 grudnia 2010 r. w sprawie wniosków o zapewnienie finansowania lub dofinansowania z budżetu państwa projektów finansowanych z udziałem środków pochodzących z budżetu Unii Europejskiej oraz niepodlegających zwrotowi środków z pomocy udzielonej przez państwa członkowskie Europejskiego Porozumienia o Wolnym Handlu (Dz. U. z 2015 r. poz. 1532)), które określa szczegółowy tryb składania wniosków o zapewnienie i wzór wniosku w zakresie projektów finansowanych z udziałem środków europejskich. Odnośnie tych projektów w Ministerstwie Finansów opracowano również procedury uruchamiania oraz przyznawania zapewnienia, które nie miały charakteru powszechnie obowiązującego. Minister Finansów nie skorzystał z uprawnienia wynikającego z art. 153 ust. 2 ustawy o finansach publicznych w zakresie pozostałych rodzajów wydatków, nie opracował również żadnych innych procedur dotyczących zasad i trybu udzielania zapewnień ich finansowania. Procesu pozyskania decyzji o zapewnieniu nie sformalizowano również w pięciu z sześciu skontrolowanych urzędach wojewódzkich.

System weryfikacji wniosków o udzielenie zapewnienia nie umożliwiał oceny wniosków według kryterium celowości. Skutkiem tego było udzielanie zapewnień na zadania, do realizacji których nie są one niezbędne. Na przykład na programy wieloletnie uchwalone uprzednio przez Radę Ministrów, możliwe do przewidzenia wydatki na zapobieganie i usuwanie skutków klęsk żywiołowych, czy też na wydatki roku bieżącego niewymagające przeprowadzenia postępowania o udzielenie zamówienia publicznego. Pomimo upływu sześciu lat od wprowadzenia mechanizmu zapewnień do ustawy o finansach publicznych, Minister Finansów nie opracował kryteriów weryfikacji wniosków o udzielenie zapewnienia wydatków bieżących, inwestycyjnych oraz programów wieloletnich. Nie uregulował również terminów granicznych w zakresie składania przez dysponentów części budżetowych wniosków o zapewnienia finansowania oraz ich rozpatrywania, co spowodowało pojawienie się ryzyka niezakończenia przedsięwzięć w terminie. Ponadto system weryfikacji wniosków nie zabezpieczał przed podwójnym ujmowaniem środków w planie dysponenta i rezerwie celowej objętej zapewnieniem.

Minister Finansów co do zasady rzetelnie planował i zarządzał środkami ujętymi w rezerwach celowych w zakresie dotyczącym udzielonych zapewnień. NIK zwraca jednak uwagę, że planowanie środków w ramach pozycji czterech rezerw celowych nie wynikało z przesłanek, określonych w art. 140 ust. 2 ustawy o finansach publicznych. Wskutek tego środki na zadania, związane z przeciwdziałaniem i usuwaniem skutków klęsk żywiołowych, możliwe do przewidzenia na etapie projektowania budżetu, ujmowano w rezerwach celowych zamiast w planach dysponentów części budżetowych. W ocenie NIK nałożony na dysponentów obowiązek niezwłocznego informowania Ministra Finansów o zmianie harmonogramu finansowego przedsięwzięć objętych zapewnieniem nie był wystraczającym narzędziem zarządzania środkami z rezerw celowych. Nie przyczynił się on w sposób wystarczający do uwalniania środków objętych zapewnieniem. Wątpliwości NIK budzi także celowość udzielania przez Ministra Finansów zapewnień na finansowanie programów wieloletnich. Możliwość taka, przewidziana w ustawie o finansach publicznych, stanowi zbędne mnożenie uprawnień Rady Ministrów do ich uchwalania.

W ocenie NIK niecelowym jest udzielanie przez Ministra Finansów zapewnienia finansowania lub dofinansowania programów wieloletnich. Już samo uchwalenie programu wieloletniego przez Radę Ministrów stanowi przyrzeczenie jego sfinansowania i zbędne jest powielanie tej czynności przez Ministra Finansów. Tym samym wprowadzenie do ustawy o finansach publicznych upoważnienia do udzielenia zapewnień na programy wieloletnie jest dublowaniem uprawnień Rady Ministrów.

 NIK wnioskuje o usunięcie tego uprawnienia z ustawy.

Wnioski wojewodów o wydanie przez Ministra Finansów decyzji o zapewnienie były zazwyczaj rzetelnie sporządzane. Najwyższa Izba Kontroli stwierdziła, że wojewodowie skutecznie wykorzystywali mechanizm zapewnienia finansowania lub dofinansowania wybranych zadań realizowanych przez jednostki budżetowe oraz jednostki samorządu terytorialnego. Niewystarczający nadzór nad realizowanymi przedsięwzięciami stwierdzono u dwóch z pięciu kontrolowanych Wojewodów. Nie wpłynęło to jednak negatywnie na osiąganie celów wyznaczonych w decyzjach o zapewnieniu finansowania tych zadań.

Wnioski o uruchomienie środków z rezerw celowych składane przez wojewodów do Ministra Finansów były w większości zgodne z decyzjami o udzieleniu zapewnienia i uwzględniały faktyczne potrzeby realizatorów. Przedsięwzięcia objęte zapewnieniami zostały zrealizowane zgodnie z celami określonymi w decyzjach o zapewnieniu finansowania, podjętych przez Ministra Finansów. Pomimo stwierdzonych uchybień i nieprawidłowości ukończono zakładane etapy przedsięwzięć, a otrzymane w ramach rezerw celowych środki wykorzystano zgodnie z przeznaczeniem.

Minister Finansów nie prowadził wspólnej ewidencji obejmującej wszystkie decyzje o zapewnieniu finansowania lub dofinansowania, lecz dwie odrębne: dla zapewnień udzielonych na projekty finansowane z udziałem środków europejskich oraz dla zapewnień na pozostałe wydatki. Większość wojewodów nie prowadziło pełnej ewidencji uzyskanych zapewnień. W opinii NIK konieczne jest doprecyzowanie zasad ewidencji zapewnień dla jednostek budżetowych oraz wprowadzenie analogicznych zasad dla budżetu państwa w rozporządzeniu w sprawie szczególnych zasad rachunkowości[2] (Rozporządzenie Ministra Finansów z dnia 5 lipca 2010 r. w sprawie szczególnych zasad rachunkowości oraz planów kont dla budżetu państwa, budżetów jednostek samorządu terytorialnego, jednostek budżetowych, samorządowych zakładów budżetowych, państwowych funduszy celowych oraz państwowych jednostek budżetowych mających siedzibę poza granicami Rzeczypospolitej Polskiej (Dz. U. z 2013 r. poz. 289 ze zm.)).

Wnioski i uwagi NIK

W wyniku powyższych ustaleń Najwyższa Izba Kontroli sformułowania wnioski de lege ferenda :

  • wyeliminowanie uprawnienia Ministra Finansów do udzielania zapewnień na programy wieloletnie,
  • doprecyzowanie zasad ewidencji zapewnień dla jednostek budżetowych oraz wprowadzenie analogicznych zasad dla budżetu państwa,
  • nałożenie obowiązku na Ministra Finansów do wydania rozporządzenia określającego szczegółowy tryb składania wniosków o zapewnienie.

 

Tutaj możesz pobrać raport >> NIK o wykorzystaniu mechanizmu zapewnień finansowania lub dofinansowania – informacje szczegółowe <<

 

Źródło: >> Najwyższa Izba Kontroli <<

 

Raporty NIK
NIK wydała polskie tłumaczenie międzynarodowego Podręcznika kontroli systemów informatycznych dla najwyższych organów kontroli. Przekład został udostępniony w wersji elektronicznej dla wszystkich zainteresowanych tą problematyką.

Podręcznik kontroli systemów informatycznych dla najwyższych organów kontroliopracowany został przez  Grupę Roboczą ds. Kontroli Systemów Informatycznych (WGITA) – działającą w ramach Międzynarodowej Organizacji Najwyższych Organów Kontroli (INTOSAI) – oraz Inicjatywę INTOSAI ds. Rozwoju (IDI).

Autorzy podręcznika przyjęli ogólne zasady audytu określone w Międzynarodowych Standardach Najwyższych Organów Kontroli (ISSAI). Odwołali się także do innych uznanych na świecie standardów, w tym do standardu COBIT opracowanego przez ISACA (międzynarodowe stowarzyszenie osób zajmujących się zawodowo zagadnieniami dotyczącymi audytu i bezpieczeństwa systemów informatycznych), standardów Międzynarodowej Organizacji Normalizacyjnej (ISO) oraz wytycznych i podręczników wybranych najwyższych organów kontroli. W ten sposób zainteresowani otrzymali kompletny zestaw wytycznych w zakresie kontroli systemów informatycznych.

NIK udostępniła polski przekład podręcznika na swojej stronie internetowej. Publikacja ma pomóc w upowszechnianiu uznanych na świecie standardów i dobrych praktyk. Podręcznik w kompleksowy sposób wyjaśnia najważniejsze obszary kontroli systemów informatycznych. Wierzymy, że będzie służył nie tylko inspektorom NIK, ale także audytorom i kontrolerom innych instytucji.

Tematyki kontroli informatycznej dotyczy też wydany w czerwcu tego roku numer specjalny „Przeglądu Metodycznego” zawierający materiały z konferencji poświęconej zastosowaniu narzędzi wspomagania informatycznego kontroli (CAATs) w działalności kontrolnej i audytorskiej instytucji sektora publicznego. Mamy nadzieję, że obie te publikacje okażą się przydatne wobec coraz powszechniejszego wykorzystania systemów informatycznych we współczesnym świecie.

Tutaj możesz pobrać (wersja PDF) >> Podręcznik kontroli systemów informatycznych dla najwyższych organów kontroli <<

SPIS TREŚCI (Podręcznika)

Słowo wstępne

Członkowie zespołu projektowego podręcznika WGITA-IDI

Wykaz skrótów

Wstęp

Kontrola systemów informatycznych 

Wzór matrycy kontroli

Ład informatyczny

Rozwój i nabywanie

Obszar działań działu IT

Outsourcing – wykorzystywanie źródeł zewnętrznych

Plan ciągłości działania (BCP) i plan odtwarzania utraconych zasobów (DRP)

Bezpieczeństwo informacji

Mechanizmy kontroli aplikacji

Dodatkowe interesujące tematy 

Ogólna lista kontrolna oceny charakteru krytycznego

Sugerowana matryca kontroli ładu informatycznego

Sugerowana matryca kontroli rozwijania i nabywania

Sugerowana matryca kontroli eksploatacji systemów informatycznych

Sugerowana matryca kontroli outsourcingu

Sugerowana matryca kontroli BCP/DRP

Sugerowana matryca kontroli bezpieczeństwa informacji

Sugerowana matryca kontroli mechanizmów kontroli aplikacji 

 

0 1165
Raporty NIK
Najwyższa Izba Kontroli przeprowadziła w latach 2015 i 2016 kontrolę, która miała na celu sprawdzenie prawidłowości zabezpieczenia obiektów infrastruktury krytycznej (IK) istotnych dla funkcjonowania państwa. Kontrolę przeprowadzono w wybranych podmiotach (operatorzy infrastruktury krytycznej) odpowiedzialnych za ochronę infrastruktury krytycznej: w Rządowym Centrum Bezpieczeństwa, u trzech wojewodów, oraz w 15 samorządach szczebla powiatowego i gminnego.

W wyniku przeprowadzonej kontroli NIK stwierdziła szereg nieprawidłowości u skontrolowanych operatorów infrastruktury krytycznej :

  • nie obejmowano ochroną fizyczną wszystkich obiektów infrastruktury krytycznej powiązanych ze sobą funkcjonalnie i niezbędnych do zapewnienia bezpieczeństwa funkcjonowania infrastruktury krytycznej,
  • część terenów, na których znajdowały się obiekty infrastruktury krytycznej nie była właściwie zabezpieczona przed wejściem osób nieuprawnionych, a w dużej części obszarów brakowało monitoringu wizyjnego,
  • wejścia do niektórych obiektów nie spełniały norm bezpieczeństwa i nie były objęte systemem kontroli dostępu, a bramy wjazdowe nie były wyposażone w zapory zabezpieczające przed wtargnięciem,
  • u większej części skontrolowanych podmiotów odpowiedzialnych za ochronę infrastruktury krytycznej nie wprowadzono rozwiązań na wypadek wystąpienia zdarzeń sabotażu lub wyrządzenia szkód przez pracowników na terenie obiektów infrastruktury krytycznej,
  • we wszystkich skontrolowanych podmiotach nie wyodrębniono kluczowego, ze względu na przestrzeganie zasad bezpieczeństwa infrastruktury krytycznej personelu,
  • w znaczącej większości podmioty te nie określały też procedur umożliwiających sprawdzenie wybranego oferenta wykonującego usługi dla operatora infrastruktury krytycznej pod kątem jakości wykonywanych usług, czy też zachowania poufności wykonywanych prac.

Ponadto wystąpiły przypadki nierealizowania przez skontrolowane podmioty niektórych rekomendacji audytu sieci informatycznych działających na potrzeby obiektów infrastruktury krytycznej, nieopracowania kompleksowych regulacji wewnętrznych dotyczących bezpieczeństwa przemysłowego systemu teleinformatycznego, czy też niezobowiązywania wykonawców do zachowania poufności uzyskanych informacji, mimo że podczas realizacji zadań mieli dostęp do kluczowych systemów służących do sterowania IK.

Brak odpowiednich zabezpieczeń m.in. w obszarach ochrony fizycznej czy też osobowej skutkował wystąpieniem niebezpiecznych incydentów na terenach obiektów infrastruktury krytycznej, czy też związanych z prawidłową eksploatacją instalacji infrastruktury krytycznej.

Przykładem jest zaginięcie z terenu jednego z obiektów infrastruktury krytycznej dwóch dużych pojemników zawierających izotop promieniotwórczy Co-60. W przypadku ich zniszczenia i wydostania się na zewnątrz źródła izotopowego stanowiłyby poważne zagrożenie dla życia i zdrowia osób przebywających w ich pobliżu.

Przyczyną zaginięcia był brak nadzoru jednego z operatorów nad pracownikami firmy zewnętrznej wykonującej usługi na terenie obiektu IK. Kolejnym incydentem było uszkodzenie połączenia transgranicznego – kabla prądu stałego 450 kV, łączącego Polskę z jednym z europejskich krajów, strategicznego z punktu widzenia zapewnienia dostaw energii elektrycznej oraz mającego wpływ na bezpieczeństwo energetyczne Państwa. Brak natomiast przygotowania i wdrożenia przez jednego z operatorów IK procedur kontroli transportów z wwożonymi surowcami energetycznymi przed ich wjazdem na teren obiektu IK, spowodował skierowanie na przekaźnik taśmowy, wraz z ładunkiem biomasy, niewybuchu pocisku artyleryjskiego. Niewłaściwe zabezpieczenie jednego z obiektów IK przed wtargnięciem osób trzecich (zbyt niskie ogrodzenie, brak monitoringu) było też przyczyną swobodnego przekroczenia ogrodzenia przez osoby nieuprawnione. Brak odpowiednich rozwiązań w zakresie ochrony obiektu pozwalał w tym przypadku na łatwą możliwość zatrucia ujęć wody dla setek tysięcy obywateli.

 

0 1178
Raporty NIK
Trudno rzetelnie ocenić na jakim etapie zaawansowania jest wdrażana Strategia „Sprawne Państwo 2020”, której głównym celem jest zwiększenie skuteczności i efektywności państwa otwartego na współpracę z obywatelami. Nie zbudowano bowiem systemu monitorującego postępy wdrażania Strategii na każdym poziomie jej realizacji oraz nie zapewniono porównywalności osiąganych wskaźników. Również Koordynator Strategii, czyli minister właściwy ds. administracji publicznej, nie został wyposażony w uprawnienia i narzędzia, które umożliwiłyby mu rzetelne wywiązywanie się z obowiązku koordynowania i nadzorowania realizacji Strategii.

Najwyższa Izba Kontroli zbadała z jakim efektem administracja rządowa wdraża Strategię „Sprawne Państwo 2020” (SSP) czyli jedną z dziewięciu strategii zintegrowanych, kluczowych dla realizacji Strategii „Rozwoju Kraju 2020”. Strategia wyznacza kierunki działań dla zapewnienia rozwoju państwa w powiązaniu z perspektywą finansową UE na lata 2014 – 2020. Celem głównym Strategii „Sprawne Państwo 2020” jest zwiększenie skuteczności i efektywności państwa otwartego na współpracę z obywatelami. W osiągnięciu celu głównego pomóc ma realizacja siedmiu celów szczegółowych: otwarty rząd, zwiększenie sprawności instytucjonalnej państwa, skuteczne zarządzanie i koordynacja działań rozwojowych, dobre prawo, efektywne świadczenie usług publicznych, skuteczny wymiar sprawiedliwości i prokuratura oraz zapewnienie wysokiego poziomu bezpieczeństwa i porządku publicznego.

Izba przeprowadziła kontrolę w 25 jednostkach, w tym w ministerstwach (MAiC, MSZ, MIR, MSW, MF, MG, MZ, MS oraz MPiPS) oraz wszystkich urzędach wojewódzkich. Wyniki niniejszej kontroli mogą posłużyć administracji rządowej jako swoista mapa drogowa, która może być pomocna we właściwym  wdrażaniu innych strategii, np. „Strategii na rzecz odpowiedzialnego rozwoju” zwanej planem Morawieckiego.

Najważniejsze ustalenia kontroli

Koordynowanie i nadzorowanie realizacji Strategii „Sprawne Państwo 2020” powierzono ministrowi właściwemu ds. administracji publicznej. W ocenie NIK przyjęte zasady koordynacji i monitorowania realizacji Strategii utrudniają rzetelną ocenę zaawansowania procesu jego wdrażania oraz ocenę ryzyka niepowodzenia związanego z realizacją przyjętych założeń, zwłaszcza gdy te działania rozłożone są na wiele lat.

Wykonawcy Strategii „Sprawne Państwo 2020” nie zostali zobowiązani do określenia zasad monitoringu i oceny postępu zakładanych efektów działań określonych w Wykazie działań, ani do wypracowania zasad współpracy organów wiodących z organami współpracującymi. Również organy administracji rządowej, realizując Strategię „Sprawne Państwo 2020”, najczęściej nie dokonywały oceny skuteczności zakończonych działań.

Najwyższa Izba Kontroli zwraca uwagę, że nie zbudowano systemu  monitorującego postępy wdrażania SSP na każdym poziomie jej realizacji i nie zapewniono porównywalności wskaźników. Tym samym skuteczność wdrażania Strategii nie jest mierzona konkretnymi wskaźnikami na poziomie jej wykonawców, poza podstawowymi i uzupełniającymi wskaźnikami monitorowania realizacji jej celów. Dla jednego z celów Strategii pn. „Skuteczne zarządzanie i koordynacja działań rozwojowych” nie określono ani podstawowych, ani uzupełniających wskaźników monitoringu, co utrudnia ocenę skuteczności działań ujętych w tym celu.

NIK zauważa również brak współpracy między urzędami. Nie rozwinięto współpracy między zainteresowanymi urzędami np. poprzez tworzenie  roboczych zespołów konsultacyjnych do rozstrzygania i rozpatrywania konkretnych jednostkowych zagadnień. Ponadto Koordynator Strategii nie ma uprawnień władczych wobec działań poszczególnych ministrów konstytucyjnych (np. opracowania projektu ustawy), określenia sposobu współpracy z podmiotami i wyrażania opinii w przedmiocie zagadnień leżących poza zakresem jego kompetencji.

Koordynator SSP nie został wyposażony w uprawnienia i narzędzia umożliwiające rzetelne wywiązywanie się z obowiązku koordynowania i nadzorowania realizacji Strategii. W dodatku Plan działań czyli główne narzędzie wdrażania SSP, nie zawierał szczegółowego trybu, sposobu i formy monitorowania Strategii przez Koordynatora. W konsekwencji działania koordynacyjne miały charakter ograniczony i sprowadzały się do  gromadzenia informacji o aktualnych wartościach globalnych wskaźników i działaniach wykonawców SSP, opracowywania sprawozdań, uaktualniania Wykazu działań i narzędzi ich realizacji na podstawie zgłaszanych przez wykonawców zmian, jednakże bez ingerowania w zasadność tej aktualizacji.

Do Koordynatora Strategii „Sprawne Państwo 2020” nie spływały informacje o ewentualnych zagrożeniach w zakresie terminowej realizacji działań lub niepodjęciu działań, czy o zagrożeniu nieosiągnięcia planowanych efektów działań. Wykonawca sam decydował o kontynuacji lub odstąpieniu od realizacji danego działania. Ponadto Koordynator SSP nie wymagał od organów wiodących, wskazanych w Planie działań, przekazania informacji o środkach finansowych wydatkowanych na realizację zadań i działań.

W ocenie Izby brakuje organu oceniającego proces wdrażania SSP. W Strategii nie przewidziano powołania organu oceniającego proces wdrażania SSP. Pomimo, iż na etapie projektowania Strategii zakładano powołanie przez Koordynatora SSP Komitetu Monitorującego, do którego zadań miało należeć m.in. formułowanie opinii i rekomendacji dotyczących kształtowania i realizacji poszczególnych obszarów SSP.

Skontrolowane ministerstwa i urzędy wojewódzkie zapewniły środki na finansowanie podejmowanych przedsięwzięć oraz osiągały planowane efekty rzeczowe działań zakończonych w latach 2013-2015. Działania objęte kontrolą zostały przyporządkowane właściwym merytorycznie komórkom organizacyjnym. Większość skontrolowanych jednostek wyznaczyła  pracowników do bieżącej współpracy z Koordynatorem Strategii „Sprawne Państwo 2020”.

Nie jest możliwe oszacowanie dotychczasowych kosztów wdrażania Strategii  gdyż, nie wyodrębniono wydatków na poszczególne działania wskazane w Planie działań oraz nie było obowiązku określenia kosztów poszczególnych działań ujętych w Wykazie działań. Ponadto poszczególne organy administracji rządowej nie przekazywały Koordynatorowi SSP informacji o wysokości wydatków poniesionych w danym roku na poszczególne działania.

Wnioski

NIK wnioskuje do Prezesa Rady Ministrów o wyposażenie Koordynatora Strategii „Sprawne Państwo” w efektywne narzędzia koordynacji i nadzoru, a także o rozważenie powołania instytucji oceniającej skuteczność wdrażania SSP.  Ponadto Izba zwróciła się do Ministra Spraw Wewnętrznych i Administracji aby wystąpił do poszczególnych resortów o przegląd zadań i działań pod kątem ich przydatności do realizacji celów Strategii i właściwości podmiotów realizujących działania SSP. Minister przychylił się do tego wniosku.

Tutaj możesz pobrać >> NIK o realizacji celów Strategii „Sprawne Państwo 2020” – informacje szczegółowe (plik PDF) <<

Tutaj możesz pobrać >> Wystąpienia pokontrolne delegatur NIK <<

Źródło: >> NIK <<

 

0 1429
Raporty NIK

Zakładane przez Ministerstwo Nauki i Szkolnictwa Wyższego oraz Narodowe Centrum Badań i Rozwoju nakłady na wsparcie komercjalizacji badań naukowych nie przyniosły oczekiwanych rezultatów w przyjętej perspektywie czasowej. Dofinansowane programy i przedsięwzięcia nie były finansowane w stabilny sposób, opóźniały się i były słabo nadzorowane. Wady w systemie wsparcia komercjalizacji badań naukowych skutkowały słabszym od zakładanego wzrostem innowacyjności polskiej gospodarki.

Jeśli wsparcie innowacyjności będzie niewystarczające, na obecnym etapie rozwoju Polska może wpaść w pułapkę średniego dochodu. Oznacza to sytuację, w której szybko rosnąca gospodarka, po osiągnięciu określonego poziomu, zaczyna tracić dynamikę i wchodzi w okres spowolnionego wzrostu PKB. W takiej sytuacji, aby na nowo pobudzić innowacyjność często niezbędna jest interwencja państwa – współfinansowanie innowacyjnych programów i przedsięwzięć.

W rankingach innowacyjności sporządzanych przez Unię Europejską Polska nie wypada najlepiej: w 2012 r. zajęła 24 miejsce na 27 krajów. Słabszą pozycję zajęły tylko Łotwa, Rumunia i Bułgaria. Według rankingu opublikowanego w 2015 r. Polska była na tym samym miejscu, ale na 28 krajów UE (ogółem rankingiem objęto 34 kraje).

NIK oceniła skuteczność wsparcia komercjalizacji wyników badań naukowych w zakresie zwiększania innowacyjności gospodarki i wskazuje, że główne bariery komercjalizacji to m.in.:

  • niskie zainteresowanie przedsiębiorców innowacjami: roczne przepływy z gospodarki na rynek badań naukowych prowadzonych przez uczelnie i instytuty to zaledwie ok. 3 proc. ogólnej kwoty przeznaczanej na badania,
  • specyficzna struktura gospodarki, w której 95 proc. stanowią mikroprzedsiębiorstwa, a tylko 0,2 proc. duże firmy, zainteresowane innowacjami;
  • słabe umiejętności współpracy sektora naukowego z biznesem.

 

W latach 2011-2015 Minister Nauki i Szkolnictwa Wyższego oraz Narodowe Centrum Badań i Rozwoju zaangażowali blisko 3,4 mld zł na wsparcie komercjalizacji wyników badań naukowych.

Minister Nauki realizował trzy inicjatywy o łącznej wartości blisko 83 mln zł.: „TOP 500 Innovators”, „Brokerzy Innowacji” oraz „Inkubator Innowacyjności”. Ich celem było podniesienie kwalifikacji kadr zajmujących się działalnością badawczo – rozwojową w zakresie współpracy z podmiotami gospodarczymi oraz upowszechnianie wyników badań naukowych w środowisku przedsiębiorców. NIK pozytywnie ocenia realizację tych trzech inicjatyw Ministra.

 

1 900
Raporty NIK
Skontrolowane uczelnie publiczne nie zawsze prawidłowo ustalały wysokość opłat za usługi edukacyjne. Nierzetelnie szacowano koszty nauki na studiach niestacjonarnych, a opłaty rekrutacyjne zawyżano. Kłopoty były także ze zwalnianiem studentów z opłat. Uczelnie co prawda wypełniły ustawowy obowiązek określenia warunków zwolnień, ale przyjęte zasady w praktyce ograniczały lub utrudniały skorzystanie z tych zwolnień.

Ustawa Prawo o szkolnictwie wyższym zakłada stosunkowo wysoki stopień autonomii publicznych szkół wyższych w zakresie sposobu ustalania i pobierania opłat za świadczone usługi edukacyjne.

Dotacje z budżetu państwa nie pokrywają np. kosztów postępowania rekrutacyjnego, dlatego uczelnie muszą je pozyskiwać we własnym zakresie. Rektorzy uczelni ustalając opłatę rekrutacyjną powinni kierować się zapisami ustawy, które stanowią, że jej wysokość powinna obejmować faktyczne koszty niezbędnych czynności rekrutacyjnych wykonywanych z użyciem określonych zasobów uczelni (m.in. kadrowych, technicznych) i nie może ich przekraczać.

 

0 1447
Raporty NIK

Stosowane przez skontrolowane podmioty państwowe systemy ochrony danych nie zapewniają ich bezpieczeństwa. Działania realizowane w celu jego zapewnienia są prowadzone opieszale, bez z góry przygotowanego planu, a środki przeznaczane na ten cel są niewystarczające. W efekcie istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce.

 

To kolejna z kontroli NIK dotyczących obszaru bezpieczeństwa systemów teleinformatycznych i przechowywanych w nich danych. Przypomnijmy, że 2015 r. opublikowana został informacja o wynikach kontroli Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej, która wykazała, że państwo polskie nie jest przygotowane do walki z zagrożeniami występującymi w cyberprzestrzeni. Przykłady, takie jak choćby publikacja w internecie danych osobowych 50 mln obywateli Turcji w 2016 r., kradzież danych klientów Plus Banku w 2015 r. czy wyciek danych o kontach 5 mln użytkowników Gmail w 2014, pokazują, że zagrożenia te są realne, a konsekwencje wycieku danych poważne i mogą stanowić zagrożenie nie tylko dla wizerunku podmiotów, z których te dane wyciekły, ale przede wszystkim dla osób, których dane zostały wykradzione. Dlatego też NIK postanowiła przyjrzeć się, jak bezpieczne są dane znajdujące się w wybranych systemach informatycznych, mających istotne znaczenie dla funkcjonowania państwa.

Kontrola objęła:

 

Jednostka System objęty badaniem Zadania publiczne realizowane za pomocą systemu
Ministerstwo Skarbu Państwa (MSP) Zintegrowany System Informatyczny (ZSI) Podstawowym systemem informatycznym, który obsługuje realizację ustawowych zadań MSP (gospodarowanie mieniem SP, komercjalizacja i prywatyzacja itd.) oraz wspomaga funkcjonowanie ministerstwa (m.in. księgowość i kadry).
Ministerstwo Spraw Wewnętrznych Centralna ewidencja wydanych i unieważnionych dokumentów paszportowych (CEWiUDP) System obsługujący wydawanie paszportów przez urzędy wojewódzkie oraz umożliwiający pogląd danych paszportowych.
Ministerstwo Sprawiedliwości Nowa Księga Wieczysta(NKW) System umożlwiający gromadzenie, przetwarzanie i udostępnianie informacji zawartych w księgach wieczystych (m.in. dane o właścicielu i stanie prawnym nieruchomości).
Komenda Główna Straży Granicznej Centralna Baza Danych Straży Granicznej (SI NKW) System którego jednym z podstawowych zadań jest wspomaganie realizacji podstawowych, statutowych zadań, nałożonych na Straż Graniczną w zakresie odprawy granicznej i kontroli realizowanych przez funkcjonariuszy SG
Narodowy Fundusz Zdrowia Elektroniczna Weryfikacja Uprawnień Świadczeniobiorców (eWUŚ) System pozwalający szerokorozumianej służbie zdrowia na weryfikację posiadanych przez pacjenta praw do świadczeń opieki zdrowotnej.
Kasa Rolniczego Ubezpieczenia Rolniczego FARMER System informatyczny wspomagający wypłatę świadczeń emerytalno-rentowych dla rolników. W chwili obecnej wspomaga wypłatę dla ok. 1,5 mln. świadczeniobiorców.

 

Niestety, wnioski z tej kontroli są  alarmujące. Oto obraz sytuacji w poszczególnych obszarach.

Zarządzanie bezpieczeństwem i procedury bezpieczeństwa

Stopień przygotowania oraz wdrożenia Systemu Zapewnienia Bezpieczeństwa Informacji w kontrolowanych jednostkach nie zapewniał akceptowalnego[1] poziomu bezpieczeństwa danych zgromadzonych w systemach informatycznych, wykorzystywanych do realizacji istotnych zadań publicznych. Procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i  wobec braku procedur  intuicyjny.

KRUS była jedyną skontrolowaną instytucją, w której formalnie wdrożono System Zarządzania Bezpieczeństwem Informacji. W KRUS, w przeciwieństwie do pozostałych skontrolowanych jednostek, formalnie wprowadzono wszystkie procesy wymagane dla zapewnienia bezpieczeństwa danych. Było to związane z działaniami podjętymi w celu uzyskania przez KRUS certyfikatu ISO 27001.

Jednakże również w systemie funkcjonującym w KRUS kontrola wykryła nieprawidłowości w postaci błędów w implementacji wymagań norm stanowiących podstawę uzyskania certyfikatu. W ocenie NIK, niektóre z nich były poważne i mogą mieć istotny, negatywny wpływ na wiele procesów zapewnienia bezpieczeństwa IT w KRUS.Stwierdzone nieprawidłowości dotyczyły m.in. rozbieżności pomiędzy deklarowanym a faktycznym poziomem zabezpieczenia informacji. W odniesieniu do głównych procedur bezpieczeństwa Izba wniosła wiele uwag do ich czytelności i kompletności. Przyjęta koncepcja powierzenia zasobów KRUS wykonawcy zewnętrznemu, m.in. w zakresie systemów służących realizacji podstawowych zadań ustawowych, nie została poprzedzona stosownymi analizami – m.in. nie określono sposobu szacowania ryzyka związanego z utratą informacji w sytuacji powierzenia zasobów firmie zewnętrznej.

W pozostałych skontrolowanych jednostkach sytuacja była niestety nieporównywalnie gorsza. Opierano się w nich wyłącznie na uproszczonych lub nieformalnych zasadach wynikających z dobrych praktyk lub dotychczas zdobytego doświadczenia pracowników działów ITDoraźnie prowadzone działania nie zapewniały odpowiedniego, bezpiecznego i spójnego zarządzania bezpieczeństwem danych. Kontrola wykazała w tym obszarze m.in.: brak planów zapewnienia bezpieczeństwa danych, niewdrożenie systemów zarządzania bezpieczeństwem informacji, brak niezbędnych opracowań analitycznych i procedur (w tym dotyczących incydentów, identyfikacji zadań, dystrybucji oprogramowania antywirusowego), ograniczony zakres nadzoru, testowania i monitorowania bezpieczeństwa.

Identyfikacja ryzyka

Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych.

W trzech skontrolowanych jednostkach proces ten był prowadzony jedynie w zakresie niezbędnym dla realizacji wymagań Polityki Ochrony Cyberprzestrzeni, przepisów o ochronie informacji niejawnych lub obowiązków związanych z operowaniem infrastrukturą krytyczną. Te ograniczone działania nie mogły zastąpić odpowiednio przygotowanego procesu szacowania ryzyka przeprowadzonego w odniesieniu do wszystkich posiadanych i przetwarzanych informacji, z uwzględnieniem realizowanych zadań i specyfiki instytucji. Rzetelne przeprowadzenie procesu szacowania ryzyka powinno być poprzedzone m.in. doborem metodyki prac, zidentyfikowaniem aktywów i określeniem ich wartości. Działania te mają zasadnicze znaczenie dla rozpoznania obszarów z jednej strony „najcenniejszych” dla jednostki, a z drugiej strony najbardziej zagrożonych. W sytuacji ograniczonych zasobów przeznaczanych na bezpieczeństwo systemów przetwarzających dane, szacowanie ryzyka oraz kosztów niezbędnych celem jego ograniczenia powinno być podstawowym zadaniem osób odpowiedzialnych za ich bezpieczeństwo. W konsekwencjidecyzje w sprawie wydatkowania środków na zapewnienie bezpieczeństwa przetwarzanych informacji były podejmowane
w sposób intuicyjny
.

Zabezpieczenie informacji w kontrolowanych jednostkach

Istniała duża dysproporcja pomiędzy działaniami podejmowanymi dla ochrony poszczególnych grup informacji, tj. informacji objętych ustawową ochroną (niejawnych i danych osobowych) oraz innych informacji, których ochrona nie została wprost usankcjonowana w przepisach, ale które mają istotne znaczenie dla prawidłowej realizacji podstawowych zadań tych jednostek. 

W jednostkach kontrolowanych brak było świadomości, że oprócz informacji, których wymóg ochrony zapisany jest wprost w przepisach prawa istnieją także inne informacje, równie ważne, o których ochronę każda jednostka powinna zadbać samodzielnie. W przeciwieństwie do normatywnie określonych wymogów dla ochrony informacji niejawnych i danych osobowych, zidentyfikowanie wszelkich innych, istotnych informacji oraz wybór metod ich chronienia jest praktycznie pozostawiony
w gestii ich posiadacza. Prowadzi to do sytuacji, w których instytucje, opierając się wyłącznie na analizie aktualnie funkcjonujących przepisów, nie widzą konieczności podejmowania innych działań związanych z bezpieczeństwem informacji niż te wprost zapisane w ustawie o ochronie informacji niejawnych oraz
w ustawie o ochronie danych osobowych. W ocenie NIK, stwierdzona w trakcie kontroli praktyka ograniczania zakresu ochrony do jedynie niektórych istotnych informacji może mieć poważne konsekwencje dla właściwego szacowania ryzyka, dzielenia zasobów, a przede wszystkim zapewnienia ciągłości działania instytucji mających istotne znaczenie dla funkcjonowania państwa.

Odpowiedzialność za bezpieczeństwo

W żadnej ze skontrolowanych jednostek nie określono precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. W większości kontrolowanych jednostekzagadnienia dotyczące bezpieczeństwa informacji znajdowały się wyłącznie w gestii komórek bezpośrednio odpowiedzialnych za systemy informatyczneSkutkowało toograniczeniem faktycznego zakresu ochrony informacji jedynie do systemów informatycznych i nośników danych. Podejście to zawężało, z przyczyn kompetencyjnych, możliwości budowania systemów ochrony informacji obejmujących całe instytucje, ignorując powszechną prawdę, że system ochrony jest tak skuteczny, jak jego najsłabszy element. Należy zauważyć, że wiele udanych ataków hakerskich wcale nie polegało na fizycznym przełamaniu zabezpieczeń informatycznych, lecz na wykorzystaniu metod socjotechnicznych w celu uzyskania dostępu do chronionych systemów. Przyjęty w kontrolowanych jednostkach model organizacyjny powodował natomiast, że pozostałe komórki organizacyjne, nie czując się współodpowiedzialnymi za ochronę informacji, uznały jej wymagania jako nieuzasadnione utrudnienia, wynikające jedynie ze specyfiki pracy informatyków. Również kierownictwa tych instytucji, niejako „przekazując problem do rozwiązania” specjalistycznej komórce, w niedostatecznym zakresie uznawały swoją rolę w kreowaniu i osiąganiu strategicznych celów dotyczących bezpieczeństwa informacji.

W praktyce więc odpowiedzialność za zapewnienie bezpieczeństwa informacji spoczywała przede wszystkim na wyznaczonym koordynatorze (często było to stanowisko jednoosobowe), który nie miał dostatecznych uprawnień i możliwości do działania w sferze zarządzania procesem i skoordynowania działań związanych z zapewnieniem bezpieczeństwa w skali całej jednostki.

Audyty bezpieczeństwa

We wszystkich kontrolowanych jednostkach prowadzono audyty bezpieczeństwa. Raporty z tych audytów stanowiły dla kierownictw kontrolowanych jednostek jedyne istotne źródło informacji o realnym stanie bezpieczeństwa, różnych aspektach jego utrzymania oraz działaniach niezbędnych do przeprowadzenia. Ustalony w kilku jednostkach stan dynamicznego wzrostu zainteresowania ich kierownictw jakością wykorzystywanych polityk bezpieczeństwa i towarzyszących im dokumentów, wdrażaniem Systemów Zapewnienia Bezpieczeństwa Informacji oraz modyfikowaniem struktur odpowiedzialnych za bezpieczeństwo, wynikał bezpośrednio z otrzymanych raportów, m.in. obowiązkowych audytów wynikających z realizacji rozporządzenia KRI. Istotnymproblemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorówWiększość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań.

Zalecenia pokontrolne NIK

W dobie dynamicznego wzrostu zagrożeń, zapewnienie bezpieczeństwa systemów przetwarzających istotne dla funkcjonowania państwa dane nie może być oparte na podejmowanych ad hoc, ukierunkowanych jedynie na przezwyciężanie aktualnych trudności, chaotycznie zarządzanych działaniach. 

Dostrzegając działania podjęte przez Ministra Cyfryzacji w zakresie budowy systemu ochrony polskiej cyberprzestrzeni, będące odpowiedzią m.in. na wnioski sformułowane przez NIK po kontroli Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej, NIK postuluje rozszerzenie tych działań o zalecenia dla podmiotów publicznych w zakresie ochrony systemów przetwarzających dane istotne dla funkcjonowania państwa. Zdaniem NIK, konieczne jest opracowanie i wprowadzenie na szczeblu centralnym, ujednoliconych, obowiązujących wszystkie podmioty publiczne, generalnych zaleceń i wymagań dotyczących zapewnienia bezpieczeństwa systemów przetwarzających dane.

Tutaj możesz pobrać raport >> NIK o bezpieczeństwie danych – informacje szczegółowe <<

Źródło: >> NIK <<

 

System zarządzania nieprawidłowościami w zakresie europejskich funduszy rolnych działa prawidłowo. Proces informowania Komisji Europejskiej o nieprawidłowościach w wydatkowaniu środków unijnych przebiega zgodnie z przepisami Unii Europejskiej. Polskie instytucje uczestniczą także w postępowaniach wyjaśniających w ramach Wspólnej Polityki Rolnej przed KE, w wyniku których obniżono kwotę wstępnie proponowanych przez Komisję wyłączeń z finansowania UE. W efekcie działań Ministra Rolnictwa i Rozwoju Wsi oraz agencji płatniczych w latach 2004-2015 (I połowa) ograniczono sankcje finansowe o blisko 15 procent.

NIK skontrolowała organizację i działanie systemu zarządzania nieprawidłowościami w zakresie europejskich funduszy rolnych (Europejski Fundusz Rolniczy Gwarancji oraz Europejski Fundusz Rolny na rzecz Rozwoju Obszarów Wiejskich) w obszarach: informowania Komisji Europejskiej o nieprawidłowościach w wydatkowaniu środków z tych funduszy oraz obsługi postępowań wyjaśniających przed KE w tych sprawach. W ocenie NIK system funkcjonował sprawnie, a realizacja zadań w skontrolowanych obszarach była zgodna z przepisami unijnymi oraz z zasadą należytego zarządzania finansami.

System informowania Komisji Europejskiej o nieprawidłowościach w wydatkowaniu środków z europejskich funduszy rolnych

Wiodącą rolę w organizowaniu systemu odgrywa KE (OLAF – Europejski Urząd ds. Zwalczania Nadużyć Finansowych), która określiła przepisy wykonawcze w tym zakresie, utworzyła i administrowała systemem informatycznym udostępnionym państwom członkowskim oraz która jest odbiorcą przekazywanych informacji. Na poziomie krajowym w realizację zadań w ramach tego procesu są zaangażowane: Ministerstwo Finansów (Departament Ochrony Interesów Finansowych UE zapewniający realizację zadań Pełnomocnika Rządu do Spraw Zwalczania Nieprawidłowości Finansowych na Szkodę Rzeczypospolitej Polskiej lub Unii Europejskiej), agencje płatnicze (Agencja Restrukturyzacji i Modernizacji Rolnictwa oraz Agencja Rynku Rolnego), Biuro Pomocy Technicznej Ministerstwa Rolnictwa i Rozwoju Wsi, Fundacja Programów Pomocy dla Rolnictwa (FAPA), a także samorządy województw.

Według danych KE za 2013 r. raporty nieprawidłowości zgłaszane są przez Polskę średnio 10 miesięcy po wykryciu, podczas gdy wskaźnik terminowości raportowania nieprawidłowości przez wszystkie państwa członkowskie w ramach Wspólnej Polityki Rolnej wynosił 20 miesięcy.

W latach 2010-2015 (tj. do 11 czerwca) Polska zgłosiła do Komisji Europejskiej 1.180 nieprawidłowości, na łączną kwotę 96,2 mln euro. Z dostępnych danych wynika, że zdecydowanie częściej popełniały nieprawidłowości osoby fizyczne – 789 przypadków (czyli 67 proc.), podczas gdy osoby prawne – 391 przypadków (czyli 33 proc.). Najliczniejszą grupę ze względu na typ nieprawidłowości stanowiły nieprawdziwe zgłoszenia dotyczące produktów, projektów lub gruntu. Zdecydowaną większość przypadków nieprawidłowości (ok. 95 proc.) zgłosiła Agencja Restrukturyzacji i Modernizacji Rolnictwa.

System obsługi postępowań wyjaśniających przed Komisją Europejską w ramach Wspólnej Polityki Rolnej

W latach 2004-2015 (I połowa) przeprowadzono łącznie 80 postępowań wyjaśniających przed Komisją Europejską. Postępowania prowadzone przez Ministerstwo Rolnictwa i Rozwoju Wsi we współpracy z agencjami płatniczymi były realizowane zgodnie z przepisami UE i wyczerpano wszystkie możliwości negocjacji wynikające z tych przepisów.

W powyższych 80 przypadkach Komisja zaproponowała wstępnie wyłączenie z finansowania UE kwoty 2.559,7 mln zł. Ostatecznie po przeprowadzonych postępowaniach wyjaśniających wydała decyzje o wyłączeniu 1.139,4 mln zł. W odniesieniu do kwoty 1.037,1 mln zł trwają postępowania wyjaśniające.

Zamknięto w sumie 44 postępowania. KE wyłączyła wydatki z finansowania w 21 przypadkach, a w pozostałych nie ustaliła jeszcze wysokości korekty lub też postępowania są niezakończone.

Izba stwierdza, iż w efekcie prowadzonych przez Ministra Rolnictwa i Rozwoju Wsi we współpracy z agencjami płatniczymi, postępowań wyjaśniających przed KE w ramach Wspólnej Polityki Rolnej w latach 2004-2015 (I połowa), Polska uniknęła – w stosunku do pierwotnie proponowanego przez Komisję – wyłączenia z finansowania unijnego wydatków na kwotę blisko 383,2 mln zł, tj. około 15 procent.

Kwota wyłączeń wydatków UE dla Polski wynikająca z decyzji KE stanowiła 0,82% środków unijnych otrzymanych w latach 2004-2013. Dla porównania – według danych Komisji – w okresie programowania 2000-2013 w odniesieniu do Europejskiego Funduszu Rolnego Gwarancji (EFRG) kwota nałożonych korekt w stosunku do płatności otrzymanych z budżetu UE wyniosła w odniesieniu do np. Grecji – 6,1% ; Włoch -2,6%; Francji -1,8%; Wielkiej Brytanii – 1,7%; Hiszpanii – 1,7%; Polski – 0,5%; Niemiec – 0,2%.

Skumulowane potwierdzone korekty finansowe, o których zadecydowano w ramach kontroli zgodności rozliczeń EFRG, w podziale na największych beneficjentów tych środków