CRIS - Wspólny system informacyjny RELEX (Common
Transkrypt
CRIS - Wspólny system informacyjny RELEX (Common
ISSN 1831-0923 CRIS – WSPÓLNY SYSTEM INFORMACYJNY RELEX (COMMON RELEX INFORMATION SYSTEM) PL 2012 Sprawozdanie specjalne nr 5 EUROPEJSKI TRYBUNAŁ OBRACHUNKOWY Sprawozdanie specjalne nr 5 2012 CRIS – WSPÓLNY SYSTEM INFORMACYJNY RELEX (COMMON RELEX INFORMATION SYSTEM) (przedstawione na mocy art. 287 ust. 4 akapit drugi TFUE) EUROPEJSKI TRYBUNAŁ OBRACHUNKOWY EUROPEJSKI TRYBUNAŁ OBRACHUNKOWY 12, rue Alcide De Gasperi 1615 Luksemburg LUKSEMBURG Tel. +352 4398-1 Faks +352 4398-46410 E-mail: [email protected] Internet: http://eca.europa.eu Sprawozdanie specjalne nr 5 2012 Wiele informacji o Unii Europejskiej znajduje się w portalu Europa (http://europa.eu). Dane katalogowe znajdują się na końcu niniejszej publikacji. Luksemburg: Urząd Publikacji Unii Europejskiej, 2012 ISBN 978-92-9237-614-7 doi:10.2865/98725 © Unia Europejska, 2012 Powielanie materiałów dozwolone pod warunkiem podania źródła. Printed in Luxembourg 3 SPIS TREŚCI Punkty SKRÓTY I GLOSARIUSZ I–IX STRESZCZENIE 1–16 WSTĘP 1–6 OBSZAR KONTROLI 7–13 OPIS CRIS 14–16 RAMY PRAWNE 17–23 ZAKRES KONTROLI I PODEJŚCIE KONTROLNE 24–74 UWAGI 24–44 POMIMO NIEDOCIĄGNIĘĆ ROZWÓJ CRIS JEST OBECNIE DOSTOSOWYWANY DO POTRZEB KOMISJI 24–29 PROJEKTY ROZWOJU SYSTEMU SĄ OBECNIE REALIZOWANE NA PODSTAWIE DOBRZE OKREŚLONYCH POTRZEB 30–35 POTRZEBA AKTUALNEJ DEFINICJI ROLI CRIS 36–41 NIEDOCIĄGNIĘCIA W KODOWANIU DANYCH 42–44 UTRZYMUJĄCE SIĘ PROBLEMY W ZAKRESIE ŁATWOŚCI UŻYTKOWANIA 45–57 Z ARZĄDZANIE CRIS NIE JEST JESZCZE WYSTARCZAJĄCO SKUTECZNE POD WZGLĘDEM ZAPEWNIANIA INTEGRALNOŚCI DANYCH 49–52 B RAKUJĄCE ZAPISY DANYCH 53–56 NIEPRAWIDŁOWE ZAPISY DANYCH 57 OPÓŹNIENIA WE WPROWADZANIU DANYCH Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 4 58–74 NIEDOSTATECZNE ZABEZPIECZENIE SYSTEMU I ZAWARTYCH W NIM DANYCH 58–62 NIEPRECYZYJNA DEFINICJA OBOWIĄZKÓW W ZAKRESIE BEZPIECZEŃSTWA DANYCH 63–67 IEDOCIĄGNIĘCIA PODWAŻAJĄ ZDOLNOŚĆ SYSTEMU DO ZACHOWANIA POUFNOŚCI I INTEGRALNOŚCI N DANYCH 68–72 NIEKOMPLETNA DOKUMENTACJA SYSTEMU 73–74 NIEDOSTATECZNE MONITOROWANIE PRZETWARZANIA DANYCH OSOBOWYCH 75–81 WNIOSKI I ZALECENIA ODPOWIEDZI KOMISJI Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 5 SKRÓTY I GLOSARIUSZ ABAC: System rachunkowości memoriałowej Komisji, który zastąpił Sincom2, poprzedni system rachunkowości kasowej. ABAC Datawarehouse (hurtownia danych ABAC): System informacyjny Komisji zapewniający skonsolidowane dane finansowe i rachunkowe. Administrator danych (osobowych): Instytucja wspólnotowa lub organ wspólnotowy, dyrekcja generalna, dział lub inny podmiot organizacyjny, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych. Bezpieczeństwo (danych): Bezpieczeństwo danych dotyczy zdolności systemu informacyjnego do zachowania poufnoś c i, integralności i dostępności danych. CRIS: Wspólny system informacyjny RELEX. Dane osobowe: Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez odniesienie się do numeru identyfikacyjnego lub jednego bądź kilku szczególnych czynników określających jej tożsamość fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną. DG: Dyrekcja generalna. Dostępność (danych): Zdolność systemu informacyjnego do wykonania zadania przy określonych warunkach dotyczących harmonogramów, terminów i wyników. EFR: Europejskie Fundusze Rozwoju. EuropeAid: Dyrekcja Generalna ds. Rozwoju i Współpracy Komisji Europejskiej – EuropeAid (wcześniej Biuro Współpracy na rzecz Pomocy Rozwojowej). ICS: Standard kontroli wewnętrznej. Integralność (danych): Zagwarantowana możliwość zmiany systemu informacyjnego i przetwarzanych informacji wyłącznie w drodze zamierzonej i uzasadnionej czynności oraz gwarancja osiągnięcia przez system oczekiwanych rezultatów w sposób dokładny i pełny. IT: Technologia informacyjna. Kody (danych): Wartości danych, które są stosowane w bazie danych do kategoryzacji innych danych. OECD: Organizacja Współpracy Gospodarczej i Rozwoju. OLAS: System księgowości on‑line; system informacyjny stosowany przez Komisję do 2008 r. do obsługi operacji EFR. Poufność (danych): Zastrzeżony charakter informacji całości lub części systemu informacyjnego (np. algorytmów, programów i dokumentacji), do których dostęp mają wyłącznie upoważnione osoby i organy lub do których dostęp wymaga zastosowania określonej procedury. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 6 Przetwarzanie danych osobowych: Wszelkie operacje lub zbiór operacji dokonywanych na danych osobowych przy użyciu lub bez użycia środków automatycznych, takich jak gromadzenie, zapisywanie, porządkowanie, przechowywanie, dostosowywanie lub zmiana, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie przez przesyłanie, rozpowszechnianie lub udostępnianie w inny sposób, zestawianie lub łączenie, blokowanie, usuwanie lub niszczenie. RELEX: Francuski akronim oznaczający relations extérieures czyli stosunki zewnętrzne. ROM: Monitorowanie pod kątem wyników. System informacyjny: Zbiór sprzętu, metod i procedur oraz w stosownych przypadkach również osób, pracowników, zorganizowany w celu wykonywania funkcji przetwarzania informacji. Zarządzanie w dziedzinie technologii informacyjnej: Struktury i procesy kierownicze i organizacyjne, które zapewniają utrzymanie i rozwój strategii oraz celów danej organizacji za pomocą jej technologii informacyjnej. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 7 STRESZCZENIE I. CRIS jest systemem informacyjnym wprowadzonym przez Komisję na potrzeby zarządzania działaniami zewnętrznymi. Funkcje systemu były stale rozbudowywane od chwili jego uruchomienia w 2002 r. Jest on obecnie głównym referencyjnym systemem informacyjnym służącym do zarządzania, sprawozdawczości i dokumentacji w zakresie działań zewnętrznych finansowanych zarówno z budżetu ogólnego UE, jak i z Europejskich Funduszy Rozwoju (EFR). II. CRIS umożliwia wszystkim pracownikom Komisji zajmującym się zarządzaniem działaniami zewnętrznymi, zarówno w centrali, jak i w delegaturach UE, korzystanie ze wspólnej bazy danych. Zawiera ona dane dotyczące różnych etapów zarządzania, począwszy od programowania aż do przygotowania i monitorowania, i obejmuje zarówno operacyjne, jak i finansowe aspekty tych działań. Z niej również wprowadzane są dane finansowe do systemu rachunkowości Komisji ABAC. III. Ogólne pytanie kontrolne dotyczyło tego, czy CRIS spełniał potrzeby informacyjne Komisji. W szczególności Trybunał ocenił, czy struktura CRIS umożliwia spełnianie potrzeb informacyjnych Komisji oraz czy dostarczane informacje są wiarygodne. Kontrola polegała na przeglądzie dokumentacji Komisji dotyczącej systemu oraz przeprowadzeniu bezpośrednich badań na danych zawartych w CRIS. IV. Trybunał stwierdza, że CRIS jest na ogół skuteczny, jeśli chodzi o spełnianie potrzeb informacyjnych Komisji w dziedzinie działań zewnętrznych. Po dziesięciu latach rozwoju nadal występują w nim jednak niedociągnięcia. Dotyczą one w szczególności definicji roli CRIS w odniesieniu do systemu rachunkowości Komisji, niedociągnięć w kodowaniu danych, niedostatecznej skuteczności pod względem zapewnienia integralnoś c i danych oraz, ogółem, niewystarczającego bezpieczeństwa systemu i zawartych w nim danych. Niektóre z poczynionych uwag potwierdzają inne uwagi przedstawione w poprzednich sprawozdaniach Trybunału. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 8 V. Rozwój CRIS jest obecnie prowadzony na podstawie dobrze określonych i udokumentowanych potrzeb informacyjnych. Pomimo ostatnich usprawnień zarządzania systemem CRIS nadal brakuje jednak aktualnej definicji jego roli. W szczególności nie było jasności co do tego, dlaczego CRIS musiał powielać funkcje systemu rachunkowości Komisji. VI. Niewystarczająco sformalizowany roz wój w latach 2005–2008 spowodował, że kody danych zawartych w CRIS nie są dobrze określone. Z tego powodu konsolidacja danych w CRIS jest szczególnie skomplikowana i może prowadzić do błędów. W szczególności CRIS jest niewiarygodny, jeśli chodzi o dostarczanie zagregowanych danych dotyczących pomocy zewnętrznej według krajów będących beneficjentami, instrumentów finansowych lub dziedzin polityki. VII. W przypadku integralności danych zawartych w CRIS Trybunał ustalił, że brakuje niektórych zapisów danych, a niektóre zapisy są nieprawidłowe lub nieaktualne. Podważyło to efektywność i skuteczność systemu jako narzędzia zarządzania. VIII. Komisja jak dotąd nie zabezpiecz yła wystarczająco systemu i zawartych w nim danych. Chociaż istniały procedur y administrowania prawami dostępu dla użytkowników, nie określono precyzyjnie obowiązków w zakresie zapewnienia bezpieczeństwa danych zawartych w CRIS. Ponadto niektóre niedociągnięcia w systemie podważyły jego efektywność i skuteczność, jeśli chodzi o zachowanie poufności i integralności danych. Trybunał ustalił również, że przetwarzanie danych osobowych było niedostatecznie monitorowane. IX. Na podstawie swoich uwag Tr ybunał przedstawia poniższe zalecenia z myślą o poprawie skuteczności CRIS, jeśli chodzi o spełnianie potrzeb informacyjnych Komisji: a) Należy zdefiniować zamierzoną rolę CRIS jako systemu informacyjnego, zwłaszcza w odniesieniu do systemu rachunkowości Komisji ABAC. W szczególności Komisja powinna dążyć do ograniczenia powielania funkcji ABAC w CRIS. b) Listy kodowe danych zawartych w CRIS powinny zostać zracjonalizowane, tak aby były niepowtarzalne, a przypisane im wartości danych wzajemnie się wykluczały. Ponadto obecne mechanizmy kontroli jakości danych (kontrole, procesy) po winny zostać zmienione i wzmocnione w sposób zapewniający skuteczne mechanizmy gwarantujące rzetelność danych. Środki te powinny mieć na celu w szczególności zapewnienie skuteczności i efektywności CRIS, jeśli chodzi o dostarczanie zagregowanych informacji według krajów będących beneficjentami, dziedzin polityki i instrumentów finansowych. c) Biorąc pod uwagę znaczną liczbę oraz zróżnicowanie użytkowników CRIS, przy przyszłych zmianach CRIS należy zwrócić należytą uwagę na poprawę łatwości użytkowania. d) Należ y określić obowiązki w zakresie zarządzania bezpieczeństwem danych zawartych w CRIS. Powinna zostać przeprowadzona ogólna ocena ryz yka z wiązanego z technologią informacyjną. Należ y odpowiednio zadbać o ochronę danych osobowych i finansowych. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 9 WSTĘP OBSZAR KONTROLI 1. Działania zewnętrzne polegają na inter wencjach Komisji w krajach poza Unią Europejską i obejmują również działania związane z rozszerzeniem Unii Europejskiej, rozwojem państw Afryki, Karaibów i Pacyfiku oraz zewnętrzną polityką handlową. Zarządzanie działaniami zewnętrznymi odbywa się w siedzibie Komisji w Brukseli oraz w delegaturach UE w wielu krajach na świecie. W 2010 r. wszystkie zobowiązania podjęte przez Komisję w dziedzinie działań zewnętrznych opiewały na kwotę 11 107 mln euro 1. 2. W ciągu ostatnich dziesięciu lat Komisja podejmowała starania na rzecz harmonizacji i uproszczenia swoich procedur dotyczących zarządzania działaniami zewnętrznymi. W szczególności Komisja pocz yniła kroki w celu połączenia departamentów zajmujących się wykonywaniem tych działań. Równolegle zmierzała ona do wprowadzenia zharmonizowanego systemu – wspólnego systemu informacyjnego RELEX (CRIS) – przez połączenie dawniej niejednolitych systemów informacyjnych. System ten miał umożliwiać natychmiastowe dostarczanie informacji finansowych dotyczących projektów i programów w dziedzinie działań zewnętrznych. 3. System informacyjny to zbiór sprzętu, metod i procedur oraz w stosownych prz ypadk ach również osób, pracowników, zorganizowany w celu wykonywania funkcji przetwarzania informacji 2 . W organizacji systemy informacyjne wprowadza się zaz wyczaj w celu dostarczania informacji pracownikom i kadrze zarządzającej, aby mogli oni wykonywać swoje obowiązki w zakresie planowania, monitorowania, kontroli i sprawozdawczości. 4. Gdy CRIS zaczął funkcjonować w 2002 r., jego funkcje wiązały się z finansową realizacją projektów. Od tamtej pory był on nieustannie rozbudowywany, aby obejmować coraz więcej finansowych i operacyjnych aspektów zarządzania działaniami zewnętrznymi. CRIS obejmuje obecnie różne etapy tych działań, począwszy od etapu programowania, aż do przygotowywania i monitorowania. 1 8445 mln euro z budżetu ogólnego UE oraz 2662 mln euro z EFR. Źródło: Dokument roboczy służb Komisji pt. „Sprawozdanie roczne z 2011 r. na temat polityki Unii Europejskiej w zakresie rozwoju i pomocy zewnętrznej oraz jej realizacji w 2010 r.” SEC(2011) 880 wersja ostateczna, dołączony do dokumentu pt. „Sprawozdanie roczne z 2011 r. na temat polityki Unii Europejskiej w zakresie rozwoju i pomocy zewnętrznej oraz jej realizacji w 2010 r.”, COM(2011) 414 wersja ostateczna. 2 Decyzja Komisji C(2006) 3602 z dnia 16 sierpnia 2006 r. dotycząca bezpieczeństwa systemów informacyjnych, których używa Komisja Europejska. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 10 5. 6. CRIS jest przeważnie wykorzystywany przez Dyrekcję Generalną (DG) Komisji ds. Współpracy i Roz woju (EuropeAid 3 ), DG ds. Rozszerzenia oraz Służbę ds. Instrumentów Polityki Zagranicznej 4 . Departamenty te wykorzystują CRIS w szczególności jako interfejs użytkownika służący do wprowadzania danych finansowych dotyczących działań zewnętrznych do systemu rachunkowości Komisji (ABAC). Transakcje finansowe są inicjowane w CRIS, w którym następuje wprowadzanie i weryfikacja danych przed ich automatycznym przeniesieniem do ABAC, w związku z czym nie muszą one być dwukrotnie kodowane. Do CRIS wprowadza się również dane operacyjne dotyczące programów i projektów działań zewnętrznych, takie jak wyniki działań kontrolnych i działań w zakresie monitorowania, gdzie są one również przetwarzane i przechowywane. Dane takie mogą być pomocne w zarządzaniu i podejmowaniu decyzji, a także w ogólnym monitorowaniu realizacji działań zewnętrznych. Ze względu na swoją rolę związaną z rejestrowaniem wyników kontroli wewnętrznych i sprawozdawczością w tym zakresie CRIS jest obecnie jednym z głównych elementów systemu kontroli wewnętrznej Komisji w zakresie zarządzania działaniami zewnętrznymi. OPIS CRIS 7. CRIS jest komputerowym systemem informacyjnym – w dużej mierze funkcjonuje w oparciu o sprzęt komputerowy i telekomunik acyjny (sprzęt) oraz procedury elektroniczne (oprogramowanie). Jego oprogramowanie składa się z bazy danych, internetowego interfejsu użytkownika służącego do wprowadzania i przeglądania danych oraz interfejsu lub połączenia z systemem rachunkowości Komisji ABAC. Ponieważ opiera się on na pojedynczej centralnej bazie danych, umożliwia wszystkim użytkownikom w Komisji i delegaturach UE korzystanie z tych samych danych. 8. Struktura interfejsu użytkownika opiera się na różnych modułach, z których większość odpowiada różnym etapom realizacji projektu oraz rocznym cyklom zarządzania, jak przedstawiono na rys. 1. Inne moduły wykorzystuje się do administrowania systemem. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 3 Dnia 1 stycznia 2011 r. służby byłej DG AIDCO i byłej DG DEV zostały połączone w nową Dyrekcję Generalną ds. Rozwoju i Współpracy – EuropeAid (DG ds. Rozwoju i Współpracy – EuropeAid); powszechna nazwa, pod którą wcześniejsza DG AIDCO była lepiej znana – EuropeAid – jest obecnie używana przez nową DG ds. Rozwoju i Współpracy – EuropeAid. 4 Dnia 1 stycznia 2011 r. była DG ds. Stosunków Zewnętrznych przestała istnieć, a większość jej działań przejęła Europejska Służba Działań Zewnętrznych (ESDZ). Jej działalność finansową przejęła Służba ds. Instrumentów Polityki Zagranicznej. 11 RYSUNEK 1 ETAPY REALIZACJI PROJEKTÓW I ROCZNEGO CYKLU ZARZĄDZANIA UWZGLĘDNIONE W MODUŁACH CRIS Etap projektu / cyklu zarządzania Ustalenie polityki i strategii krajowej Główne wykorzystywane moduły CRIS Programowanie Prognozy finansowe Decyzje Zaproszenia do składania ofert/ wniosków Rejestracja on-line danych potencjalnych wnioskodawców (PADOR) Przygotowanie działań Dane osób prawnych / dane dot. rachunków bankowych Umowy ramowe Projekty Umowy Gwarancje finansowe Faktury/płatności Prognozy dochodów Realizacja i sprawozdawczość Nakazy odzyskania środków Kontrola Monitorowanie pod kątem wyników (ROM) Oceny Źródło: Europejski Trybunał Obrachunkowy. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 12 9. Typowy moduł CRIS posiada międz y innymi funkcje umożliwiające użytkownikowi: ο ο tworzenie, modyfikowanie i zatwierdzanie zapisów, ο ο przeszukiwanie zapisów, ο ο przeglądanie zapisów i związanych z nimi danych, przy czym niektóre z nich są automatycznie obliczane przez system, ο ο załączanie dokumentów do zapisów, ο ο powiązanie zapisów znajdujących się w różnych modułach. 10. Na przykład moduł „Umowy ” umożliwia uż ytkownikowi przeszukanie wszystkich zapisów dotyczących umów zawartych z danym beneficjentem. Każdy tak zidentyfikowany zapis dotyczący umowy zazwyczaj zawiera między innymi numer umowy, jej krótki opis, status i rodzaj, nazwę departamentu i dane osób odpowiedzialnych, strefę geograficzną, której dotyczy umowa, terminy podpisania umowy i jej zakończenia oraz kwotę umowy i związane z nią pozycje w budżecie. Do zapisu dołączone są zeskanowane kopie samej umowy i towarzyszących jej załączników. Ponadto zapis dotyczący umowy jest prawdopodobnie powiązany na przykład z kilkoma zapisami w module faktur, dotyczącymi faktur otrzymanych od beneficjenta. Z poziomu tego zapisu użytkownik może zatem przechodzić do wszystkich zapisów związanych z danym działaniem oraz uzyskać bezpośredni wgląd do elektronicznej wersji odpowiednich dokumentów. 11. Interfejs użytkownika CRIS uzupełniają dwa inne narzędzia: ο ο system sprawozdawcz y, CRIS Datawarehouse (hurtownia danych CRIS), który umożliwia użytkownikom agregację danych zawartych w CRIS, oraz ο ο system dokumentacji, CRIS Knowledge Base (baza wiedzy CRIS), który umożliwia użytkownikom dostęp do całej dokumentacji użytkowników CRIS. 12. Z biegiem lat liczba użytkowników CRIS powiększała się. W 2010 r. z CRIS korzystało 5000 użytkowników indywidualnych, w tym ponad 3000 w delegaturach UE, jak przedstawiono w tabeli. Średnia liczba sesji użytkowników w ciągu typowego dnia roboczego wynosiła 3000. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 13 13. Rozwój i utrzymanie CRIS finansuje się ze środków pochodzących z budżetu ogólnego UE i z EFR. Ogólny wnioskowany budżet na roz wój, utrzymanie i wsparcie CRIS powiększał się w kolejnych latach i w 2011 r. osiągnął 13 mln euro. Budżetem tym zarządza EuropeAid, która kieruje rozwojem i utrzymaniem CRIS we współpracy z innymi dyrekcjami generalnymi wykorzystującymi system lub zapewniającymi mu wsparcie. TABELA LICZBA UŻYTKOWNIKÓW CRIS W 2010 R. Miejsce pracy użytkowników Użytkownicy CRIS w 2010 r. Liczba sesji w 2010 r. Delegatury UE 3 095 62% 562 861 70,5% EuropeAid 1 319 26% 178 993 22,5% Była DG RELEX 164 3% 7 404 1% DG ds. Rozszerzenia 277 6% 44 373 5,5% 45 1% 1 222 0% 105 2% 3 683 0,5% 5 005 100% 798 536 100% DG ds. Pomocy Humanitarnej i Ochrony Ludności (ECHO) Inne DG lub departamenty OGÓŁEM Źródło: Obliczenia Trybunału na podstawie danych zawartych w CRIS. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 14 RAMY PRAWNE 14. Rozporządzenie finansowe Unii Europejskiej 5 wraz z jego przepisami wykonawczymi 6 określa podstawowe zasady wykonania budżetu. W szczególności stanowi ono, że urzędnicy zatwierdzający muszą ustanowić odpowiednie struktury organizacyjne i procedury kontroli oraz składać swoim instytucjom sprawozdania z wykonania obowiązków. Zawie ra ono również szczegółowe przepisy dotyczące systemów informacji finansowych. 5 Rozporządzenie Rady ( WE, Euratom) nr 1605/2002 z dnia 25 czerwca 2002 r. w sprawie rozporządzenia finansowego mającego zastosowanie do budżetu ogólnego Wspólnot Europejskich (Dz.U. L 248 z 16.9.2002, s. 1). 6 15. Rozporządzenie ( WE) nr 45/2001 zawiera przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy Unii Europejskiej. 16. Decyzja Komisji C(2006) 3602 8 przewiduje środki bezpieczeństwa służące do ochrony systemów informacyjnych Komisji oraz przetwarzanych w nich informacji przed zagrożeniami dla ich dostępności, integralności i poufności. 7 Rozporządzenie Komisji (WE, Euratom) nr 2342/2002 z dnia 23 grudnia 2002 r. ustanawiające szczegółowe zasady wykonania rozporządzenia Rady (WE, Euratom) nr 1605/2002 w sprawie rozporządzenia finansowego mającego zastosowanie do budżetu ogólnego Wspólnot Europejskich (Dz.U. L 357 z 31.12.2002, s. 1). W szczególności art. 48 stanowi, że zarządzanie oraz systemy i procedury kontroli wewnętrznej mają na celu zapewnienie rzetelnego przedstawienia informacji dotyczących finansowania i zarządzania. 7 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1). 8 Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) Zob. przypis 2. 15 ZAKRES KONTROLI I PODEJŚCIE KONTROLNE 17. Ogólne pytanie kontrolne dotyczyło tego, czy CRIS pozwala spełniać potrzeby informacyjne Komisji w dziedzinie działań zewnętrznych. 18. To ogólne pytanie podzielono na trzy części: a) Cz y struktura CRIS poz wala spełniać potrzeby Komisji? (zob. pkt 24–44) b) Cz y informacje dostarczane przez CRIS są wiar ygodne? (zob. pkt 45–57) c) Cz y Komisja wystarczająco zabezpiecz yła CRIS i zawarte w nim dane? (zob. pkt 58–74) 19. Prace kontrolne odnoszące się konkretnie do części a) i c) polegały głównie na analizie odpowiedniej dokumentacji oraz zapoznaniu się z wyjaśnieniami udzielonymi przez pracowników Komisji podczas wywiadów. Prace te zasadniczo dotyczyły rozwoju CRIS po 2005 r. Jeżeli dostępna była odpowiednia dokumentacja, uwzględniono jednak również zdarzenia, które miały miejsce w latach 2000–2005. Ta część kontroli koncentrowała się na dyrekcji EuropeAid, która odgrywa główną rolę w rozwoju CRIS. W maju 2011 r. Trybunał przeprowadził również elektroniczną ankietę wśród użytkowników CRIS w delegaturach UE. 20. Druga część kontroli – pytanie podrzędne b) – polegała na weryfikacji wiarygodności informacji dostarczanych przez CRIS. Weryfikację przeprowadzono za pomocą badań bezpośrednich na zbiorach danych zawartych w CRIS. Badania te przeprowadzono na danych bezpośrednio zaimportowanych z bazy danych CRIS pod koniec marca 2011 r. Miały one na celu sprawdzenie, czy zapisy danych w CRIS są kompletne, prawidłowe, spójne i aktualne. 21. W zakres kontroli weszły informacje dotyczące wszystkich środków, którymi zarządza się z wykorzystaniem CRIS, pochodzących zarówno z budżetu ogólnego UE, jak i z EFR. 22. W celu zapewnienia wydajności prac, czynności kontrolne skoncentrowano na ośmiu z 21 modułów CRIS, wybranych jako moduły reprezentujące moduły finansowe i operacyjne 9. Umożliwiło to Trybunałowi przeprowadzenie bardziej szczegółowych badań wybranych modułów, a jednocześnie uzyskanie ogólnego obrazu całego systemu. 23. Celem kontroli nie była ocena bardziej technicznych aspektów CRIS, co wchodziłoby w zakres kontroli technologii informacyjnej. Jej celem nie była również ocena opłacalności utrzymania i rozwoju CRIS. 9 Moduły wybrane do kontroli to „Decyzje”, „Umowy”, „Dokumentacja dotycząca osób prawnych”, „Faktury”, „Prognozy finansowe”, „Kontrola”, „Oceny” oraz „Monitorowanie pod kątem wyników”. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 16 UWAGI POMIMO NIEDOCIĄGNIĘĆ ROZWÓJ CRIS JEST OBECNIE DOSTOSOWYWANY DO POTRZEB KOMISJI PROJEKTY ROZWOJU SYSTEMU SĄ OBECNIE REALIZOWANE NA PODSTAWIE DOBRZE OKREŚLONYCH POTRZEB 24. Zarządzanie w dziedzinie technologii informacyjnej dotyczy struktur i procesów kierowniczych i organizacyjnych, które zapewniają utrzymanie i rozwój strategii i celów danej organizacji za pomocą technologii informacyjnej tej organizacji 10. 25. Standardy kontroli wewnętrznej Komisji wymagają istnienia odpowiednich struktury zarządzania w dziedzinie technologii informacyjnej 11 . W szczególności: ο ο każda dyrekcja generalna musi określić stosowną organizację zarządzania podlegającymi jej systemami informacyjnymi; ο ο konieczne jest sporządzanie rocznego schéma directeur (generalnego planu informatycznego), obejmującego wszystkie zmiany systemu informacyjnego; ο ο każdy system informacyjny podlegający dyrekcji generalnej musi mieć precyzyjnie określonego właściciela, który reprezentuje interes użytkowników, oraz musi podlegać nadzorowi komitetu sterującego; ο ο wszystkie nowe projekty systemów informacyjnych muszą być zatwierdzane na podstawie dokumentu koncepcyjnego opisującego projekt; ο ο wsz ystkie nowe systemy informacyjne powinny być opracowane z wykorzystaniem standardowych metod Komisji dotyczących zarządzania projektami i ich rozwoju. 26. Działania te mają na celu doprowadzenie w szczególności do tego, aby projekty rozwoju systemów informacyjnych odpowiadały potrzebom organizacji, a sposób ich opracowania umożliwiał spełnienie tych potrzeb12. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 10 Definicja IT Governance Institute®, przytoczona w dokumencie SEC(2004) 1267 z dnia 20 października 2004 r. pt. „Communication to the Commission on the improvement of information technology governance in the Commission” (Komunikat do Komisji w sprawie poprawy zarządzania w dziedzinie technologii informacyjnej w Komisji). 11 ICS nr 7. Zob. również SEC(2004) 1267. 12 SEC(2004) 1267 stanowi, że wszystkie projekty rozwoju systemów informacyjnych powinny obejmować studium projektu / studium wykonalności objaśniające, dlaczego system jest tworzony, jaki jest jego proponowany cel, jaki jest planowany sposób jego osiągnięcia, w jaki sposób wywiera on wpływ na organizację oraz jakie będą jego koszty. 17 27. Trybunał ustalił, że w latach 2005–2008 identyfikowanie potrzeb informacyjnych i ustalanie priorytetów w tym zakresie nie było systematyczne i jasno udokumentowane. Przyczyniło się to do rozwoju systemów w sposób, który nie odpowiadał potrzebom Komisji, a nawet w skrajnych przypadkach prowadziło do nieprzydatnych zmian (zob. ramka 1). Zarządzanie większością projektów informatycznych również odbywało się w sposób stosunkowo nieformalny, z wyjątkiem dużego projektu dotyczącego przejęcia OLAS, systemu informacyjnego używanego wcześniej na potrzeby działań w ramach EFR. 28. Od 2008 r. Komisja wprowadza bardziej kompleksową strukturę zarządzania w dziedzinie technologii informacyjnej w przypadku CRIS. W szczególności potrzeby informacyjne są obecnie określane i analizowane w sposób systematyczny. Obecnie wszystkie nowe projekty rozwoju systemów informacyjnych EuropeAid muszą być zatwierdzane na podstawie dokumentu koncepcyjnego, opisującego cele, rodzaje ryzyka i środki realizacji projektu. Na tej podstawie EuropeAid sporządza roczny schéma directeur (generalny plan informatyczny), wyszczególniający wszystkie projekty planowanych zmian systemu informacyjnego. W prz ypadku każdego projektu wyznacza się właściciela systemu, który reprezentuje interes użytkowników; duże projekty są nadzorowane przez komitet sterujący. 29. Ponadto w EuropeAid stosowana jest obecnie metodyk a zarządzania projektem, a nowe projekty rozwoju systemów informacyjnych są dokumentowane. RAMKA 1 BRAK WYKORZYSTANIA MODUŁU „OCENY” Z dokumentu roboczego Komisji z 2004 r. wynika, że moduł CRIS „Oceny” miał zgodnie z planem dawać pełny obraz ocen okresowych i końcowych zarządzanych przez delegatury i działy operacyjne. Z modułu tego jednak nigdy nie skorzystano i nie zawierał on żadnego zapisu. Komisja nie dysponowała dokumentacją wyjaśniającą tę sytuację. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 18 POTRZEBA AKTUALNEJ DEFINICJI ROLI CRIS 30. Dobra praktyka wymaga, aby przy wszystkich projektach rozwoju systemów informacyjnych sporządzano dokumenty objaśniające, dlaczego system jest tworzony, jaki jest jego proponowany cel i jaki jest planowany sposób jego osiągnięcia 13 . Trybunał sprawdził, czy dokumenty takie istniały w przypadku rozwoju CRIS jako całości. 31. Trybunał znalazł dokumenty wskazujące, że w chwili podejmowania przez Komisję w 2000 r. decyzji o rozwoju CRIS celem tego systemu było zapewnienie możliwości natychmiastowego dostarczania informacji finansowych dotyczących projektów i programów w dziedzinie działań zewnętrznych, a w szczególności dostarczania właściwych informacji o podziale zobowiązań i płatności między kraje i sektory w różnych regionach geograficznych. CRIS miał z założenia uzupełniać system rachunkowości Komisji przez zapewnienie funkcji i informacji bardziej specyficznych dla dziedziny działań zewnętrznych. 32. W związku z tym w latach 2002–2004 pierwsze moduły CRIS w większości poświęcono niektórym aspektom zarządzania finansami w dziedzinie działań zewnętrznych, takim jak decyzje, umowy i faktury. Od tamtej pory funkcje systemu były jednak stale rozbudowywane, co polegało z właszcza na ujmowaniu w coraz większ ym stopniu operacyjnych aspektów działań zewnętrznych. Stopniowo dodawano nowe moduły i dostosowywano moduły już istniejące (zob. rys. 2). Przejęte zostały również inne systemy informacyjne, które rozszerzyły zakres stosowania CRIS w dziedzinie działań zewnętrznych 14. W 2005 r. dokonano istotnych zmian polegających na wprowadzeniu do CRIS funkcji rachunkowości memoriałowej. Inną istotną zmianą było przejęcie w 2008 r. systemu OLAS (zob. pkt 27). 33. Od 2002 r. wprowadzono również istotne zmiany w systemie rachunkowości Komisji. W szczególności od chwili wprowadzenia rachunkowości memoriałowej w 2005 r. i zastąpienia wcześniejszego systemu Sincom2 systemem ABAC zapewnia on wiele nowych funkcji, takich jak rejestracja umów. 34. Pomimo tych istotnych zmian w CRIS i ABAC Trybunał nie stwierdził istnienia żadnego dokumentu zawierającego zaktualizowaną definicję zamierzonej roli CRIS w ogólnym systemie informacyjnym Komisji, jego celów i precyzyjnego zakresu operacji, które system ten obsługuje. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 13 Zob. przypis 12. 14 Od początku funkcjonowania CRIS kolejno przejął funkcje i dane następujących systemów informacyjnych: Griot (system informacyjny byłej Dyrekcji Generalnej DGIA, w 2002 r.), Désirée (system byłej Dyrekcji Generalnej DGIB, w latach 2002–2003), MIS (system informacyjny byłej Dyrekcji Generalnej DGVIII, w latach 2003–2004) oraz OLAS (system informacyjny byłej Dyrekcji Generalnej DEV, w 2008 r.). 19 RYSUNEK 2 HISTORIA ROZWOJU CRIS ROK NOWE MODUŁY CRIS 1999–2002 CRIS ZMIANY INTERFEJSU MIĘDZY CRIS I ABAC UMOWY RAMOWE DECYZJE ZOBOWIĄZANIA PŁATNOŚCI UMOWY 2002 FAKTURY FORMULARZE DAC ZAPROSZENIA DO SKŁADANIA OFERT/WNIOSKÓW 2003 PROGRAMOWANIE PROGNOZY FINANSOWE (wersja 1) KONTROLA 2004 GWARANCJE FINANSOWE PROGNOZY DOCHODÓW 2005 2006 ODZYSKIWANIE ŚRODKÓW FAKTURY (Istotne zmiany) UMOWY FAKTURY ODZYSKIWANIE ŚRODKÓW GWARANCJE MONITOROWANIE POD KĄTEM WYNIKÓW 2007 2008 2009 PROGNOZY FINANSOWE 2010 Źródło: Europejski Trybunał Obrachunkowy. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 20 35. W szczególności nie określono odpowiednio roli CRIS w odniesieniu do ABAC, którego wiele funkcji zostało powielonych w CRIS. Niejasna była wartość dodana wynikająca z dalszego kodowania transakcji finansowych w CRIS, zamiast kodowania ich bezpośrednio w ABAC (zob. ramka 2). Jednak z powodu tej wzajemnej zależności CRIS i ABAC około jednej trzeciej zasobów ludzkich działu informatyki EuropeAid zajmuje się uaktualnianiem CRIS w związku z rozwojem ABAC kosztem obsługi operacji z zakresu działań zewnętrznych. NIEDOCIĄGNIĘCIA W KODOWANIU DANYCH 36. Zastosowanie kodów danych w systemie informacyjnym umożliwia łatwe odzyskanie zapisów danych za pomocą narzędzi automatycznego wyszukiwania oraz ich konsolidację do celów sprawozdawczych. Wydajność i skuteczność systemu, jeśli chodzi o umożliwianie łatwego odzyskiwania i konsolidacji zapisów danych, w dużej mierze zależy zatem od jakości i spójności kodów danych. 37. Celem wyznaczonym dla CRIS w 2000 r. było umożliwienie natychmiastowego dostarczania skonsolidowanych informacji finansowych dotyczących projektów i programów w dziedzinie działań zewnętrznych (zob. pkt 31). Trybunał sprawdził, czy kody danych w CRIS są określone w sposób umożliwiający osiągnięcie tego celu. RAMKA 2 NIEEFEKTYWNE PRZENOSZENIE DANYCH MIĘDZY CRIS I ABAC Interfejs między CRIS i ABAC nie ułatwia wymiany danych. W rzeczywistości ABAC automatycznie weryfikuje kompletność i spójność danych dotyczących transakcji finansowych przed ich zapisaniem. Ponieważ weryfikacje wykonane przez ABAC nie są zawsze takie same jak weryfikacje wykonane przez CRIS, dane dotyczące transakcji finansowych są czasami blokowane przy przenoszeniu ich z CRIS do ABAC, tj. na późnym etapie procedury zatwierdzania. Następnie dane muszą zostać skorygowane i zatwierdzone ponownie w CRIS oraz ponownie przeniesione do ABAC. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 21 38. Trybunał ustalił, że z powodu kolejnych zmian systemu, które nie były dostatecznie sformalizowane (zob. pkt 27), doszło do powielenia kilku z ponad stu list kodowych. Z czasem mogą wystąpić rozbieżności między powielającymi się listami kodowymi danych. Powodują one również, że konsolidowanie i uzgadnianie danych staje się bardziej skomplikowane, czasochłonne i może prowadzić do błędów. Kilka lat temu rozpoczęto realizację projektu mającego na celu usprawnienie organizacji kodów danych w CRIS przez przechowywanie ich we wspólnej tabeli. Projektu jednak nie ukończono, a system pozostał systemem hybrydowym, w którym niektóre listy kodowe danych są nadal przechowywane w oddzielnych lub powielających się tabelach. 39. Trybunał wykrył również kilka list kodowych zawierających wartości, które nie wykluczały się wzajemnie, co uniemożliwiało skuteczną konsolidację danych. Na przykład moduł faktur, podobnie jak wiele innych modułów CRIS, odnosił się do listy kodów oznaczających obszary geograficzne. W ramach tej listy niektóre kody opisywały kraje, zaś inne – grupy krajów. Z tego powodu niektóre zapisy dotyczące płatności dokonanych w danym kraju odnosiły się do kodu tego kraju, natomiast inne odnosiły się do kodu szerszego regionu geograficznego obejmującego ten kraj. Sytuacja ta spowodowała, że z CRIS nie można łatwo korzystać do celów ustalenia listy lub całkowitej kwoty płatności dokonanych na rzecz beneficjentów w danym kraju. Przykład tej sytuacji znajduje się w ramce 3. 40. CRIS nie może być również z łatwością wykorzystywany do obliczania całkowitej kwoty wydatków na daną politykę ani całkowitej kwoty sfinansowanej z danego instrumentu finansowego. Lista dziedzin stosowana do powiązania zapisów z wielu modułów CRIS z daną dziedziną obejmuje strefy geograficzne (np. Azję), instrumenty finansowe (np. TACIS 15) i polityki tematyczne (np. bezpieczeństwo żywnościowe). 15 Pomoc techniczna dla Wspólnoty Niepodległych Państw. RAMKA 3 NIEJEDNOZNACZNE KODY OBSZARÓW GEOGRAFICZNYCH W ZAPISACH DOTYCZĄCYCH PŁATNOŚCI Zapis dotyczący płatności w CRIS może odnosić się do Tanzanii, zaś inny może dotycz yć obszaru geograficznego zwanego „Saharą Południową”. Lista płatności odnosząca się do Tanzanii zawierałaby pierwszy zapis, lecz nie zapis drugi, chociaż część drugiej płatności mogła zostać przekazana Tanzanii. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 22 41. Sytuacja ta powoduje, że konsolidacja zawartych w CRIS danych – zwłaszcza danych finansowych – do celów sprawozdawczych jest szczególnie skomplikowana. Sytuacja ta jest szkodliwa z punktu widzenia wydajności i skuteczności CRIS jako narzędzia sprawozdawczości i zarządzania 16. UTRZYMUJĄCE SIĘ PROBLEMY W ZAKRESIE ŁATWOŚCI UŻYTKOWANIA 42. Zgodnie z dokumentem „Communication to the Commission on the i mprovement of information technology governance in the Commission” [Komunikat do Komisji w sprawie poprawy zarządzania w dziedzinie technologii informacyjnej w Komisji] 17 systemy informacyjne muszą być ukierunkowane na użytkowników i zaspokajanie ich potrzeb. W związku z tym to użytkownicy powinni odpowiedzieć na pytania dotyczące skuteczności systemu informacyjnego, jeśli chodzi o spełnianie ich potrzeb. 43. W maju 2011 r. Trybunał przeprowadził ankietę wśród użytkowników CRIS w delegaturach UE, które miało na celu ocenienie, w jakim stopniu doświadczają oni określonych problemów. Odpowiedzi udzieliły 44 z 92 delegatur, którym przesłano kwestionariusz. Główne wnioski, które można wyciągnąć z analizy tych odpowiedzi, były następujące: ο ο użytkownicy CRIS zmagają się z problemem długotrwałego i częstego braku dostępu do systemu (14 z 44 delegatur zgłasza ponadtygodniowy brak dostępu do niego); ο ο w 2010 r. prawie wszystkie delegatury, które udzieliły odpowiedzi (41 z 44), zetknęły się z problemem opóźnień w kodowaniu lub zatwierdzaniu transakcji z powodu niedociągnięć w strukturze CRIS 18; ο ο 21 z 44 respondentów uważało, że z powodu trudności w interpretacji lub tłumaczeniu niektóre kody danych są czasami wpisywane na zasadzie domysłu; ο ο 6 z 44 delegatur zgłosiło, że opóźnienia spowodowane CRIS powodują koszty dla Komisji; dwie z tych delegatur przedstawiły związane z tym szacunkowe kary lub straty w wysokości 300 euro w jednym przypadku i 3000 euro w drugim. 16 W sprawozdaniu rocznym dotyczącym EFR za rok budżetowy 2005 Trybunał zwrócił uwagę, że „niedociągnięcia w komputerowym systemie informacji zarządczej (CRIS), w szczególności w systemie kodowania, nie pozwalają na skuteczny nadzór ogólny programów mikroprojektów przez centralne jednostki Komisji. Na przykład wciąż trudno uzyskać wiarygodną listę programów mikroprojektów, które zostały zrealizowane lub są w trakcie realizacji. Jest to problem bardziej ogólny, dotyczący nie tylko programów mikroprojektów (...)”. W sprawozdaniu rocznym za rok budżetowy 2006 Trybunał również stwierdził: „Wspólny System Informacji Relex (CRIS) zapewnia dane wykorzystywane do bieżącego zarządzania projektami. W dużej mierze w wyniku istniejących ograniczeń w zakresie zdefiniowania danych, system ten nie zapewnia dostępu do pewnych pożądanych analiz informacji finansowych”. W sprawozdaniu specjalnym nr 4/2009 pt. „Zarządzanie przez Komisję udziałem podmiotów niepaństwowych we współpracy WE na rzecz rozwoju” Trybunał stwierdził: „W chwili obecnej w EuropeAid nie istnieje dostępne źródło danych dotyczących finansowania PN (...). Dane znajdujące się we wspólnym systemie informacji RELEX (CRIS) są niekompletne, a identyfikacja zainteresowanych stron niewiarygodna”. 17 Zob. przypis 12. 44. 18 Wyniki przeprowadzonej przez Trybunał ankiety są potwierdzone wynikami dwóch ankiet przeprowadzonych przez Komisję w latach 2008 i 2010, które obejmowały użytkowników CRIS zarówno w siedzibie Komisji, jak i w delegaturach UE. Ankiety te wykazały, że opinie użytkowników o systemie poprawiły się, lecz pozostały mieszane, co przedstawiono na rys. 3. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) W sprawozdaniu rocznym dotyczącym roku budżetowego 2008 Trybunał odnotował „występowanie ograniczeń technicznych, które często napotykają użytkownicy systemu i które mogą wpływać na wiarygodność przetwarzanych transakcji (powszechne są przypadki dokonywania płatności po terminie ze względu na brak dostępu do systemu)”. 23 ZARZĄDZANIE CRIS NIE JEST JESZCZE WYSTARCZAJĄCO SKUTECZNE POD WZGLĘDEM ZAPEWNIANIA INTEGRALNOŚCI DANYCH 45. 46. Aby system informacyjny był skuteczny, nie może tylko dostarczać danych, lecz musi także zapewniać ich integralność. Integralność danych dotyczy zdolności systemu informacyjnego do wytworzenia oczekiwanego rezultatu w sposób dokładny i pełny, co świadcz y o jego wiarygodności 19. 19 Decyzja Komisji C(2006) 3602. 20 Decyzja Komisji C(2006) 3602 stanowi, że systemy informacyjne o krytycznym znaczeniu to systemy, w przypadku których utrata integralności lub dostępności może zagrozić pozycji Komisji względem innych instytucji, państw członkowskich i innych stron; przypadki takie obejmowałyby uszczerbek dla wizerunku Komisji lub innych instytucji wśród państw członkowskich lub opinii publicznej, bardzo poważny uszczerbek dla osób prawnych lub fizycznych, przekroczenie budżetu lub znaczną stratę finansową o bardzo poważnych skutkach dla finansów Komisji. Pod względem bezpieczeństwa CRIS jest uważany przez Komisję za system o krytycznym znaczeniu, innymi słowy – za system, w przypadku którego utrata integralności lub dostępności może zagrozić pozycji Komisji względem innych instytucji, państw członkowskich i innych stron 20. RYSUNEK 3 ZMIANY OPINII UŻYTKOWNIKÓW CRIS NA TEMAT KILKU ASPEKTÓW SYSTEMU W LATACH 2008–2010 W SKALI OD 1 (NISKA OCENA) DO 5 (OCENA DOSKONAŁA) Wyszukiwanie Wiarygodność Funkcjonalność Łatwość użytkowania Dostępność Elastyczność Bezpieczeństwo Dostęp do podręczników Informacje w podręcznikach Ocena ogólna 1 2 3 2010 4 5 2008 Źródło: Dokument roboczy Komisji: Results of the Survey 2010 „The CRIS system – your opinion”, luty 2011 r. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 24 47. Komisja wprowadziła kilka mechanizmów zabezpieczających, aby pomóc w osiągnięciu integralności danych zawartych w CRIS: ο ο w oprogramowanie CRIS wbudowane są funkcje automatycznej kontroli; ο ο każda transakcja finansowa wprowadzona do CRIS musi zostać zatwierdzona przez kilku różnych urzędników; ο ο w EuropeAid niewielka grupa urzędników – zespół ds. jakości danych – sprawdza jakość danych i koordynuje korygowanie znacznej liczby nieprawidłowych lub brakujących danych 21; ο ο sprawozdania z kontroli wewnętrznych i zewnętrznych regularnie zawierają informacje o systemowych problemach z jakością danych oraz zalecenia w tym zakresie; ο ο problemy z jakością danych ujawniają również kontrole ex post prowadzone na próbach transakcji finansowych. 48. Trybunał przeprowadził badania bezpośrednie na zbiorach zapisów danych w CRIS w celu zweryfikowania skuteczności systemu informacyjnego pod względem zapewniania integralności danych. W szczególności Trybunał sprawdził, czy określone zapisy danych były kompletne, prawidłowe i aktualne. Kompletne Wszystkie transakcje są zapisane i wszystkie odpowiednie pola danych zostały wypełnione. Prawidłowe Dane są spójne w całym systemie informacyjnym (zapisy nie są wzajemnie sprzeczne), a zapisy danych odzwierciedlają rzeczywistą sytuację. Aktualne Informacje są wprowadzane w terminie. BRAKUJĄCE ZAPISY DANYCH 49. Trybunał wykrył zapisy dotyczące faktur, które zostały bezpośrednio zakodowane w ABAC zamiast w CRIS. Z tego powodu w CRIS trzeba było czasami tworzyć zapisy dotyczące płatności ryczałtowych, aby zbilansować całkowite kwoty znajdujące się w CRIS i ABAC. Trybunał wykrył 118 takich zapisów uzgadniających dane (31 zapisów w 2009 r., na łączną kwotę 65 mln euro, oraz 87 zapisów w 2010 r., na łączną kwotę 175 mln euro). Te zapisy dotyczące płatności ryczałtowych nie zrekompensowały braku szczegółowych informacji w zapisach znajdujących się w CRIS. W szczególności nie przypisano ich określonemu obszarowi geograficznemu (zob. pkt 39). Bezpośrednie kodowanie zapisów dotyczących faktur w ABAC podważa zdolność CRIS do podawania skonsolidowanych informacji. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 21 Według dokumentów Komisji dotyczących zarządzania w 2010 r. zespół ds. jakości danych zidentyfikował 80 000 przypadków anomalii danych i skoordynował korektę ponad 70 000 z nich. 25 50. Nie wykorzystywano jeszcze w systematyczny sposób możliwości załączania dokumentów do zapisów danych. Na przykład do jednej trzeciej zamkniętych lub bieżących zapisów dotyczących decyzji, które zaktualizowano w 2010 r., nie załączono dokumentów. Dokumentów nie załączono również do 14% zamkniętych lub bieżących zapisów dotyczących umów podpisanych w roku 2009 lub 2010. Ogranicza to wydajność i skuteczność systemu pod względem zarządzania projektami i dostępu do dokumentów. 51. Ponadto Trybunał stwierdził przypadki, w których nie korzystano z zapewnianej przez CRIS możliwości powiązania zapisów zawartych w różnych modułach i odnoszących się do tego samego projektu, co pozwala użytkownikom na przechodzenie między wszystkimi zapisami dotyczącymi danego działania (zob. pkt 10). Na przykład 9000 ze 105 000 zapisów dotyczących umów (9%) nie powiązano z żadną decyzją w sprawie finansowania. Z żadnym zapisem dotyczącym umowy lub decyzji nie powiązano również ponad 300 z 3000 zamkniętych lub bieżących zapisów dotyczących kontroli 22 (10%) 23. Zmniejsza to efektywność CRIS jako narzędzia zarządzania projektami. 52. Jako członek Komitetu Pomocy Rozwojowej (DAC) OECD Komisja regularnie składa OECD sprawozdania dotyczące działań zewnętrznych związanych z pomocą. Wymaga to klasyfikacji odpowiednich działań według standardowych kategorii (kody sektorowe DAC). W CRIS zapisy dotyczące umów i projektów mogą być powiązane z kodem sektorowym DAC. Chociaż prawie wszystkie zapisy dotyczące umów zostały powiązane z takim kodem, jedynie 30% zapisów dotyczących projektów zostało w ten sposób powiązanych. Sytuacja ta uniemożliwia wykorzystanie danych zawartych w CRIS do sporządzenia wiarygodnych statystyk według kodyfikacji DAC OECD (zob. ramka 4). 22 Dotyczą one kontroli działań zewnętrznych, które są z reguły prowadzone przez zewnętrzne firmy audytorskie wynajęte przez Komisję. 23 W sprawozdaniu rocznym dotyczącym roku budżetowego 2004 Trybunał zwrócił już uwagę, że „informacje dotyczące wszystkich kontroli, również tych zlecanych przez organizacje wdrażające, [powinny być] rejestrowane w CRIS i połączone z odpowiednimi informacjami na temat zarządzania projektem”. Podobne zalecenie sfomułowano także w sprawozdaniu rocznym Trybunału dotyczącym roku budżetowego 2005. RAMKA 4 NIE MOŻNA UTWORZYĆ LIST PROJEKTÓW WEDŁUG KODÓW SEKTOROWYCH DAC Ponieważ jedynie 30% zawartych w CRIS zapisów dotyczących projektów zawiera kod sektorowy DAC, wyszukiwanie wszystkich zapisów dotyczących projektów związanych na przykład z „ochroną zasobów wodnych” zwróciłoby listę odpowiednich projektów, która najprawdopodobniej byłaby niekompletna i niewiarygodna. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 26 NIEPRAWIDŁOWE ZAPISY DANYCH 53. Trybunał nie wykrył w CRIS powielających się zapisów finansowych, tj. zapisów dotyczących transakcji, które byłyby wprowadzone więcej niż jeden raz. 54. Trybunał wykrył jednak zapisy, które nie opierały się na faktycznej transakcji finansowej lub zdarzeniu operacyjnym. Zapisy te, nazywane powszechnie przez użytkowników CRIS zapisami „fikcyjnymi”, były czasami tworzone w celu zaradzenia technicznym ograniczeniom systemu. W szczególności 100 z 15 000 zapisów dotyczących umów, które zamknięto w CRIS w latach 2009 i 2010, okazało się „fikcyjnymi”. Obecność takich zapisów może powodować tendencyjność skonsolidowanych danych i może być również myląca dla użytkowników, powodując błędy i brak efektywności. 55. Trybunał wykrył zapisy w CRIS zawierające niespójne wartości danych. Na przykład: ο ο 2% z 6000 zapisów dotyczących kontroli miało status tymczasowy, chociaż zapisy pokazywały przeszłą datę wpłynięcia sprawozdania końcowego; ο ο 7% z 2300 zamkniętych zapisów dotyczących umów podpisanych w roku 2009 lub 2010 było opatrzonych datą podpisania późniejszą niż data rozpoczęcia realizacji; ο ο 1% z 5000 zapisów dotyczących decyzji miało status bieżący, chociaż zapisy wskazywały termin zamknięcia, który już upłynął. Takie niespójności często wskazują na obecność nieprawidłowych zapisów danych lub błędów administracyjnych 24. 56. Trybunał wykrył zapisy, które wykazywały różnice między CRIS a ABAC Datawarehouse (hurtownią danych ABAC), centralnym systemem Komisji wykorzystywanym do dostarczania kadrze zarządzającej skonsolidowanych informacji finansowych i księgowych. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 24 W sprawozdaniu rocznym za rok budżetowy 2008 Trybunał stwierdził: „Podczas badania transakcji odnotowano, że informacje w CRIS nie zawsze są w pełni ścisłe. Wykryto błędy w kodowaniu danych dotyczących zarówno płatności, jak i zobowiązań (jak np. w przypadku projektów lub umów, którym przyporządkowano nieprawidłowy kod kraju CRIS). Inne błędy mogły wpłynąć na wiarygodność sprawozdania finansowego Komisji (np. błędy dotyczące terminów wygaśnięcia gwarancji bankowych i trybów zarządzania projektami/umowami)”. 27 OPÓŹNIENIA WE WPROWADZANIU DANYCH 57. Co do terminowości rejestracji danych w CRIS, Trybunał wykrył zapisy, w przypadku których wystąpiły opóźnienia w rejestracji zdarzenia gospodarczego w systemie. Na przykład normą Komisji jest wprowadzanie faktur w ciągu pięciu dni od ich wpłynięcia. W 2010 r. jedynie połowa faktur została jednak wprowadzona w CRIS w takim terminie, zaś 13% faktur nadal nie było wprowadzonych miesiąc po ich wpłynięciu. Podobnie w 2010 r. upływało średnio sześć tygodni między otrzymaniem sprawozdania z kontroli przez Komisję a jego załączeniem do odpowiedniego zapisu CRIS dotyczącego kontroli. NIEDOSTATECZNE ZABEZPIECZENIE SYSTEMU I ZAWARTYCH W NIM DANYCH NIEPRECYZYJNA DEFINICJA OBOWIĄZKÓW W ZAKRESIE BEZPIECZEŃSTWA DANYCH 58. Decyzja Komisji C(2006) 3602 w sprawie bezpieczeństwa jej systemów informacyjnych 25 stanowi, że każdy dyrektor generalny musi wyznaczyć co najmniej jednego lokalnego urzędnika ds. bezpieczeństwa informacji, odpowiedzialnego za zapewnienie wprowadzenia przez dostawców usług informatycznych i dostawców systemów odpowiednich środków bezpieczeństwa. Stanowi ona również, że dyrekcje generalne mogą powierzyć całość lub część realizacji swoich planów bezpieczeństwa i zarządzania nimi departamentom horyzontalnym, takim jak Dyrekcja Generalna ds. Informatyki. W takich przypadkach dyrekcje generalne muszą jednak zapewnić stosowanie przez ten departament niezbędnych środków bezpieczeństwa. Warunki powierzenia wykonania tych zadań muszą zostać zapisane w umowie o gwarantowanym poziomie usług zawartej pomiędzy stronami, określającej w szczególności środki służące do monitorowania jej wykonania. 59. Ponadto rozporządzenie finansowe stanowi, że księgowy instytucji jest odpowiedzialny za stwierdzanie prawidłowości systemów informacyjnych opracowanych w celu dostarczania i potwierdzania informacji księgowych 26. Przepisy wykonawcze do rozporządzenia finansowego stanowią, że księgowy musi wydać zgodę na modyfikację takich systemów 27. 60. Trybunał ustalił, że procedury i obowiązki w zakresie przydzielania, utrzymywania i cofania praw dostępu użytkowników CRIS były udokumentowane. Na poziomie bardziej ogólnym obowiązki w zakresie zarządzania CRIS nie były jednak precyz yjnie ustalone. W szczególności CRIS nie wchodził w zakres obowiązków lokalnego urzędnika ds. bezpieczeństwa informacji EuropeAid. 25 Zob. przypis 2. 26 Art. 61 rozporządzenia finansowego stanowi, że każda z instytucji wyznacza księgowego, który jest odpowiedzialny w tej instytucji za określanie i stwierdzanie prawidłowości systemów rachunkowości i w stosownych przypadkach stwierdzanie prawidłowości systemów opracowanych przez urzędnika zatwierdzającego, w celu dostarczania i potwierdzania informacji księgowych. 27 Art. 57 przepisów wykonawczych do rozporządzenia finansowego stanowi, że w przypadku gdy systemy zarządzania finansami utworzone przez urzędnika zatwierdzającego dostarczają dane dotyczące rachunków instytucji lub są wykorzystywane do uzasadnienia danych zawartych w tych rachunkach, księgowy musi wydać zgodę na wprowadzenie lub modyfikację takich systemów. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 28 61. Nie została podpisana umowa o gwarantowanym poziomie usług pomiędzy EuropeAid, właścicielem systemu CRIS i Dyrekcją Generalną ds. Informatyki, której dyrekcja EuropeAid powierzyła obowiązki, w szczególności w zakresie zabezpieczenia serwerów, na których przechowywane są dane i oprogramowanie CRIS. Bez takiego dokumentu obowiązki odpowiednich dyrektorów generalnych są niejasne. 28 W momencie kontroli prowadzonej przez Trybunał CRIS nie był jeszcze zatwierdzony w zakresie informacji księgowych dotyczących operacji finansowanych z EFR. 29 ICS nr 12. 62. W lipcu 2008 r. księgowy Komisji stwierdził prawidłowość CRIS jako lokalnego systemu dostarczania i potwierdzania informacji księgowych dotyczących operacji finansowanych z budżetu ogólnego UE 28. Chociaż w 2010 r. w CRIS wprowadzono znaczące modyfikacje, system ten nie widniał w wykazie zmian za ten rok, przekazanym księgowemu Komisji, co było sprzeczne z przepisami wykonawczymi do rozporządzenia finansowego (zob. pkt 59). NIEDOCIĄGNIĘCIA PODWAŻAJĄ ZDOLNOŚĆ SYSTEMU DO ZACHOWANIA POUFNOŚCI I INTEGRALNOŚCI DANYCH 63. Standardy kontroli wewnętrznej Komisji wymagają, aby systemy informatyczne wykorzystywane przez dyrekcję generalną były chronione przed zagrożeniami dla ich poufności i integralności 29. 64. Trybunał wykrył dwa problemy, które rodzą wątpliwości co do zdolności CRIS do zachowania poufności (zob. pkt 65) i integralności danych (zob. pkt 67). 65. Poufność danych dotyczy w szczególności zastrzeżonego charakteru danych, do których dostęp mają wyłącznie osoby upoważnione 30. W przypadku CRIS dostęp do systemu jest automatycznie przyznawany pracownikom etatowym Komisji i użytkownikom zewnętrznym w DG ds. Rozwoju i Współpracy – EuropeAid, DG ds. Rozszerzenia, DG ds. Pomocy Humanitarnej i Ochrony Ludności (ECHO), Służbie ds. Instrumentów Polityki Zagranicznej oraz pracownikom Komisji w delegaturach UE. Na wniosek dostęp jest również przyznawany użytkownikom zewnętrznym zatrudnionym na czas określony w tych samych departamentach oraz pracownikom innych departamentów i Europejskiego Trybunału Obrachunkowego. W niektórych przypadkach dostęp do systemu uzyskują również użytkownicy spoza instytucji. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 30 Zob. przypis 2. 29 66. 67. CRIS nie zawiera jednak standardowego mechanizmu służącego do ograniczania praw dostępu użytkowników do określonych kategorii danych. W dwóch konkretnych przypadkach konieczne było opracowanie doraźnego mechanizmu technicznego, aby dostęp do dokumentów szczególnie chronionych nie przysługiwał wszystkim użytkownikom 31. Oprócz tych dwóch wyjątków wszyscy użytkownicy CRIS mają automatyczny dostęp do wsz ystkich danych zawartych w CRIS. Sytuacja ta podaje w wątpliwość poufność danych znajdujących się w CRIS, w szczególności w przypadku nielicznych zewnętrznych użytkowników systemu. Aby zapewnić integralność danych, trzeba podjąć działania w celu zagwarantowania możliwości zmiany systemu informacyjnego i przetwarzanych informacji wyłącznie w drodze zamierzonej i uzasadnionej czynności 32. Wśród funkcji CRIS znajdują się mechanizmy umożliwiające pracownikom finansowym zatwierdzanie transakcji w systemie 33. Trybunał wykrył zapisy potwierdzeń finansowych dokonanych przez upoważnionego użytkownika, które zostały zmienione przez inną osobę. 31 Doraźne ograniczenia dostępu dla użytkownika utworzono w przypadku modułu dotyczącego zaproszeń do składania ofert i zapisów dotyczących umów, które oznaczono jako poufne. 32 Zob. przypis 2. 33 Art. 84 rozporządzenia finansowego stanowi, że „W przypadku gdy operacje po stronie dochodów i wydatków są administrowane przy pomocy systemów komputerowych, podpisy mogą być składane przy wykorzystaniu procedur komputerowych lub elektronicznych”. 34 Art. 107 rozporządzenia (WE, Euratom) nr 2342/2002. NIEKOMPLETNA DOKUMENTACJA SYSTEMU 68. Dokumentacja systemu jest dla twórców oprogramowania i użytkowników systemu istotnym narzędziem służącym do zapewnienia bezpieczeństwa danych, a w szczególności ich integralności. Umożliwia im ona zrozumienie sposobu traktowania danych przez system oraz sposobu interpretacji kodów. W szczególności umożliwia ona twórcom oprogramowania zachowanie spójności systemu przy jego dostosowywaniu, a użytkownikom wprowadzanie prawidłowych danych w odpowiednim miejscu. Przepisy wykonawcze do rozporządzenia finansowego stanowią, że w przypadku systemów komputerowych używanych do przetwarzania operacji wykonywania budżetu wymagany jest pełny i aktualny opis tych systemów 34. Każdy taki opis musi określać zawartość wszystkich pól danych i opisywać, w jaki sposób system traktuje każdą indywidualną operację. Musi on także pokazywać szczegółowo, w jaki sposób system gwarantuje istnienie pełnej ścieżki audytu dla każdej operacji. 69. Trybunał ustalił, że w przypadku dwóch z ośmiu modułów CRIS wybranych do kontroli (zob. pkt 22) brakowało dokumentacji dotyczącej zawartości pól danych – glosariusza danych. W przypadku sześciu pozostałych modułów glosariusz danych był kompletny i aktualny. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 30 70. W przypadku wszystkich modułów wybranych do kontroli dostępna była dokumentacja dotycząca analizy funkcjonalnej, opisująca sposób przetwarzania poszczególnych operacji przez system. Na bardziej ogólnym poziomie techniczna struktura systemu była jednak niedostatecznie udokumentowana. Na przykład nie udokumentowano powiązań zapewniających integralność między różnymi tabelami danych w CRIS 35. 71. Oprócz modułu dot yczącego ocen, którego nie w yk or z yst y wano (zob. ramka 1), Trybunał ustalił również, że w przypadku każdego skontrolowanego modułu dostępny był podręcznik użytkownika. W trzech z siedmiu przypadków podręcznik użytkownika był jednak nieaktualny lub niekompletny. 72. CRIS zawiera system ścieżki audytu, który zasadniczo umożliwia odtworzenie historii modyfikacji danych, tj. czynności przeprowadzonych na danym zapisie ze wskazaniem użytkownika i czasu. Dane dotyczące ścieżki audytu nie były jednak dostępne dla uż ytkowników przez interfejs użytkownika CRIS; dostęp do nich mieli jedynie pracownicy ds. informatyki, a ich interpretacja wymagała dużej znajomości struktury inf ormatycznej systemu. Ogranicza to potencjalną przydatność ścieżki audytu do sytuacji wyjątkowych, w których należy wystąpić z wnioskiem o dostęp. NIEDOSTATECZNE MONITOROWANIE PRZETWARZANIA DANYCH OSOBOWYCH 73. Rozporządzenie ( WE) nr 45/2001 zawiera przepisy dotyczące przetwarzania danych osobowych. W szczególności stanowi ono, że administrator danych musi powiadomić zawczasu inspektora ochrony danych Komisji 36. 74. Administratorzy danych przesłali inspektorowi ochrony danych Komisji cztery powiadomienia dotyczące przetwarzania danych osobowych w CRIS. Jedno dotyczyło CRIS jako całości, a pozostałe trzy dotyczyły konkretnych modułów. Trybunał zidentyfikował dokumenty zawierające dane osobowe, które były załączone do zapisów w CRIS, lecz których nie dotyczyły te powiadomienia. Wśród nich znalazło się ponad 2000 życiorysów załączonych do zapisów w kilku modułach CRIS, do których dostęp mieli w związku z tym wszyscy użytkownicy CRIS (zob. pkt 65 i 66). Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 35 Powiązanie takie polega na przykład na tym, że zapis w module dotyczącym umów nie może zostać usunięty z systemu, jeżeli odnosi się do niego zapis w module dotyczącym płatności; to konkretne powiązanie oznaczałoby, że zawsze można znaleźć umowę związaną z daną płatnością, czyli nie istniałyby płatności „sieroce”. 36 Art. 25 rozporządzenia (WE) nr 45/2001 stanowi, że „Administrator powiadomi zawczasu inspektora ochrony danych o każdej operacji przetwarzania lub zestawie takich operacji, które mają służyć jednemu celowi lub kilku związanym celom”. 31 WNIOSKI I ZALECENIA 75. Trybunał stwierdza, że CRIS jest na ogół skuteczny, jeśli chodzi o spełnianie potrzeb informacyjnych Komisji w dziedzinie działań zewnętrznych. Po dziesięciu latach rozwoju nadal występują w nim jednak niedociąg nięcia. Dotyczą one w szczególności definicji roli CRIS w odniesieniu do systemu rachunkowości Komisji, niedociągnięć w kodowaniu danych, niedostatecznej skuteczności pod względem zapewnienia integralności danych oraz, ogólnie niewystarczającego bezpieczeństwa systemu i zawartych w nim danych. Niektóre z poczynionych uwag potwierdzają inne uwagi przedstawione w poprzednich sprawozdaniach Trybunału. 76. Przy uruchamianiu CRIS w 2002 r. celem Komisji było umożliwienie natychmiastowego dostarczania skonsolidowanych informacji finansowych dotyczących projektów i programów w dziedzinie działań zewnętrznych. Od tamtego czasu CRIS był nieustannie dostosowywany do nowych konkretnych potrzeb informacyjnych, a zmiany te spowodowały znaczną modyfikację systemu. W szczególności, oprócz finansowych aspektów działań zewnętrznych, CRIS obejmuje obecnie wiele ich aspektów operacyjnych. Tymczasem system informacji księgowych Komisji również ule gał zmianom, których skutkiem było wiele nowych funkcji. Pomimo tych zmian nie określono jednak nowej definicji roli i celów CRIS. W szczególności rola CRIS nie jest już odpowiednio określona w stosunku do roli systemu rachunkowości Komisji, którego wiele funkcji CRIS powiela. ZALECENIE 1 Należy zdefiniować zamierzoną rolę CRIS jako systemu informacyjnego, zwłaszcza w odniesieniu do systemu rachunkowości Komisji ABAC. W szczególności Komisja powinna dążyć do ograniczenia powielania funkcji ABAC w CRIS. 77. Od 2008 r. Komisja podejmuje działania w celu zapewnienia takiego rozwoju CRIS, który umożliwiałby spełnianie dobrze określonych potrzeb informacyjnych. Obecnie wszystkie projekty rozwoju CRIS są zatwierdzane na podstawie dokumentu koncepcyjnego, opisującego cele, rodzaje ryzyka i środki realizacji projektu. Ponadto stosowana jest obecnie metodyka zarządzania projektem. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 32 78. Kolejne i niewystarczająco sformalizowane zmiany CRIS w latach 2005– 2008 spowodowały, że kody danych zawartych w systemie nie są dobrze określone. Trybunał ustalił, że kilka list kodowych powielało się, zaś inne zawierały kody, które wzajemnie się nie wykluczały. W związku z tym konsolidacja danych w CRIS jest szczególnie skomplikowana i może prowadzić do błędów. W szczególności z CRIS nie można łatwo korzystać, aby uzyskać zagregowane dane dotyczące działań zewnętrznych według krajów będących beneficjentami, instrumentów finansowych lub dziedzin polityki. 79. W zakresie integralności danych zawartych w CRIS Trybunał ustalił, że brakuje niektórych informacji, a inne są nieprawidłowe lub nieaktualne. Podważyło to wiarygodność oraz wydajność i skuteczność systemu jako narzędzia zarządzania. ZALECENIE 2 Listy kodowe danych zawartych w CRIS powinny zostać zracjonalizowane, tak aby były niepowtarzalne, a przypisane im wartości danych wzajemnie się wykluczały. Ponadto obecne mechanizmy kontroli jakości danych (kontrole, procesy) powinny zostać zweryfikowane i wzmocnione, tak aby zagwarantować wiarygodność danych. Środki te powinny mieć na celu w szczególności zapewnienie skuteczności i wydajności CRIS, jeśli chodzi o dostarczanie zagregowanych informacji według krajów będących beneficjentami, dziedzin polityki i instrumentów finansowych. 80. Ankieta przeprowadzona przez Trybunał wśród użytkowników CRIS w delegaturach UE wykazała, że mają oni trudności z użytkowaniem systemu. W szczególności zgłaszali oni problem długotrwałego i częstego braku dostępu do systemu, opóźnienia w zapisywaniu transakcji wynikające z niedociągnięć w koncepcyjnym opracowaniu systemu oraz trudności w interpretacji kodów danych. ZALECENIE 3 Biorąc pod uwagę znaczną liczbę oraz zróżnicowanie użytkowników CRIS, przy przyszłych zmianach CRIS należy zwrócić odpowiednią uwagę na poprawę łatwości użytkowania. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 33 81. Trybunał ustalił, że Komisja jak dotąd nie zabezpieczyła wystarczająco systemu i zawartych w nim danych. Chociaż istniały procedury dotyczące administrowania prawami dostępu dla użytkowników, nie określono precyzyjnie obowiązków w zakresie zapewnienia bezpieczeństwa danych zawartych w CRIS. Ponadto niektóre niedociągnięcia w systemie ograniczyły jego wydajność i skuteczność, jeśli chodzi o zachowanie poufności i integralności danych. Trybunał ustalił również, że przetwarzanie danych osobowych było niedostatecznie monitorowane. ZALECENIE 4 Należy określić obowiązki w zakresie zarządzania bezpieczeństwem danych zawartych w CRIS. Konieczne jest przeprowadzenie ogólnej oceny ryzyka związanego z technologią informacyjną. Należy odpowiednio zadbać w szczególności o ochronę danych osobowych i finansowych. N i n i e j s z e s p r a w o z d a n i e z o s t a ł o p r z y j ę t e p r z e z I z b ę I V, k tó r e j przewodniczył Karel PINXTEN, członek Trybunału Obrachunkowego, na posiedzeniu w Luksemburgu w dniu 6 marca 2012 r. W imieniu Tr ybunału O brachunkowego Vítor Manuel da SILVA CALDEIRA Prezes Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 34 ODPOWIEDZI KOMISJI STRESZCZENIE IV. Proszę zobaczyć odpowiedź Komisji na pkt 75. V. Jeśli chodzi o rolę CRIS, proszę zobaczyć również odpowiedź Komisji na pkt 76 i zalecenie 1. Jeśli chodzi o kwestię powielania funkcji, proszę zobaczyć odpowiedzi Komisji na pkt 35, 76 i zalecenie 1. VI. Proszę zobaczyć odpowiedź Komisji na pkt 78. VII. Proszę zobaczyć odpowiedź Komisji na pkt 79. VIII. Proszę zobaczyć odpowiedź Komisji na pkt 81. IX. a) CRIS jest systemem informacji zarządczej dyrekcji generalnych Komisji odpowiedzialnych za stosunki zewnętrzne 1 . Jest to zintegrowany system obejmując y bezpośredni inter fejs łączący go z systemem rachunkowości Komisji (ABAC), przez co optymalizuje szereg narzędzi wykorzystywanych w codziennej pracy przez personel zajmujący się współpracą zewnętrzną. Jego cele zostały zdefiniowane w grudniu 2011 r. w dokumencie „Stratégie des systèmes d’information de la DG EuropeAid jusque 2016” (Strategia systemów informacyjnych DG EuropeAid do 2016 r.). W procesie racjonalizacji własnego środowiska informatycznego Komisja pracuje obecnie nad lepszą integracją wszystkich swoich systemów. Cel polegający na ograniczeniu powielania funkcji ABAC zostanie osiągnięty przez bezpośrednie wykorzystywanie funkcji ABAC z systemu CRIS za pośrednictwem usług internetowych ABAC. EuropeAid uczestniczy w rozpoczętym w tym celu projekcie pilotażowym, którym objęta jest cała Komisja. 1 Jedynie częściowo w odniesieniu do DG ds. Pomocy Humanitarnej i Ochrony Ludności (ECHO). Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 35 ODPOWIEDZI KOMISJI WPROWADZENIE IX. b) 2. Komisja będzie kontynuować starania na rzecz monitorowania danych i poprawy procesów zatwierdzania danych w CRIS. W tej dziedzinie podjęto już szereg różnych działań, na przykład na początku 2009 r. wyznaczono właścicieli danych w celu zarządzania kodami danych i definiowania standardów, które mają być wdrażane. Proszę zobaczyć definicję Komisji dla systemu CRIS w pkt IX lit. a). IX. c) Złożoność otoczenia gospodarczego i różnorodność ról i obowiązk ów uż ytk ownik ów w nieunik niony sposób prowadzi do pewnego stopnia złożoności w tak zintegrowanym systemie. Komisja prz yjmuje jednak to zalecenie. Poprawa projektu pod kątem łatwości uż ytkowania jest głównym celem między innymi w następujących projektach: Już od samego początku w 2002 r. system CRIS był zaprojektowany do celów zarządzania operacyjnego oraz finansowego. W tamtym okresie aspekty dotyczące zarządzania operacyjnego (główne procesy gospodarcze) były przetwarzane w modułach działań/projektów i programowania. UWAGI 27. – przeprojektowanie modułu kontroli. Sytuacja opisana pr zez Tr ybunał miała miejsce pr zed 2009 r., kiedy ustanowiono nowy system zarządzania oraz przeprowadzono reorganizację działu IT. Obecnie wszystkie zmiany w systemach są poprzedzone sporządzeniem kompletnej dokumentacji procesów (identyfikacja, zatwierdzenie, ustalenie priorytetów, analiza, opracowanie, testy). Komisja przeprowadziła również modelowanie swoich procesów gospodarczych, z zamiarem lepszego dostosowania do nich specyfikacji funkcjonalnych systemu. IX. d) Ramka 1 Ogólna ocena ryzyka związanego z technologią informacyjną zostanie rozpoczęta w 2012 r., a Komisja wyznaczy lokalnego urzędnika ds. bezpieczeństwa informacji odpowiedzialnego za system CRIS. Istniejący w ramach CRIS ograniczony moduł oceny został wprowadzony z zamiarem utworzenia bardzo prostej bazy danych ocen do celów sprawozdawczych. Później okazało się, że potrzeby zmieniły się i stały się bardziej złożone niż początkowo przewidywano, dlatego ostatecznie postanowiono opracować bardziej ambitny projekt o naz wie „Ocena zarządzania cyklem projektów (PCM)”, który byłby w stanie wspierać cały proces oceny w kompletnej nowej strukturze technicznej. Zgodnie z planem projekt ten ma zostać zrealizowany w 2013 r. i bez wątpienia wniesie więcej wartości dodanej do całego procesu oceny. – projekt dotyczący większej liczby środków na zobowiązania w zakresie modułów dotyczących umów i decyzji, – projekt dotyczący optymalizacji fakturowania oraz 31. Jednym z głównych celów ustanowienia i opracowania systemu CRIS była również potrzeba zracjonalizowania trzech systemów wykorzystywanych przez byłe DG1A, DG1B i DG8 po połączeniu tych trzech służb. Komisja nie chciała nadal utrzymywać trzech różnych systemów o różnych interfejsach dostępu do ABAC. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 36 ODPOWIEDZI KOMISJI 34. 38. Jeśli chodzi o definicję roli CRIS, proszę zobaczyć odpowiedź na pkt IX lit. a). Obecnie realizowane są dwa projekty dotyczące zarządzania kodami w celu zaradzenia powielaniu list kodów danych. Pierwszy z tych projektów ma na celu centralizację i konsolidację danych referencyjnych oraz zaoferowanie systemom informatycznym usług powielania. Drugi jest kontynuacją pierwszego i ma na celu reorganizację sposobu przechowywania list kodów w CRIS. Jego cele zostały zdefiniowane w grudniu 2011 r. w dokumencie „Stratégie des systèmes d’information de la DG EuropeAid jusque 2016” (Strategia systemów informacyjnych DG EuropeAid do 2016 r.). 35. System CRIS daje uż ytkownikom możliwość zarządzania danymi operacyjnymi i finansowymi dotyczącymi ich projektów za pośrednictwem jednego zintegrowanego narzędzia. Jeśli chodzi o k westię powielania funk cji, w momencie tworzenia systemu CRIS nie dało się uniknąć powielania funkcji do pewnego stopnia, ponieważ okazało się, że trudno byłoby stosować centralny system bezpośrednio (SIKCOM II nie był wówczas systemem internetowym) w różnych świeżo powołanych delegaturach UE w procesie decentralizacji. Po wprowadzeniu w 2005 r. nowego systemu rachunkowości (ABAC Workflow – ABAC Przepływ dokumentów) i głównych priorytetów na kolejne lata (integracja EFR, nowe moduły), Komisja rozpoczęła prace nad poprawą tej sytuacji wraz z racjonalizacją swojej struktury informatycznej. Proces ten, zapoczątkowany w 2010 r., s ł u ż y w y j a ś n i e n i u w n i e z b ę d ny c h p r z y p a d k a c h ro l i poszczególnych aplikacji Komisji i doprowadzi do absorpcji lub integracji systemów, co pozwoli znacząco ograniczyć powielanie funkcji. Powielanie funkcji nie pociąga za sobą powielania w procesie kodowania danych. Jeśli chodzi o wzajemną zależność CRIS i ABAC, skutki pod względem zasobów zostały doprecyzowane w grudniu 2011 r. i doprowadziły do powstania nowych szacunków przewidujących jedną szóstą zasobów informatycznych. Ramka 2 W nowej strukturze ABAC jej usługi zatwierdzania będą dostępne dla wszystkich systemów lokalnych. W związku z tym przed przesłaniem transakcji do ABAC w celu zapisania system CRIS będzie korz ystał z tych usług zatwierdzania w celu poinformowania użytkowników końcowych o błędach kodowania, tak aby mogli wprowadzić niezbędne korekty lub w celu automatycznego uruchomienia usług zapisu ABAC, jeśli dane są prawidłowe. W obecnej strukturze ABAC nie zapewnia funkcji służących ocenie transakcji bez uprzedniego zapisania ich w bazie danych. W rezultacie CRIS wywołuje lokalnie opracowane weryfikacje przed przesłaniem ich do ABAC przez ten interfejs. Wyjaśnia to, dlaczego obecnie zatwierdzenie musi być przeprowadzane w CRIS. Oba projekty rozpoczęto w 2010 r. Będą one stopniowo rozwijane do 2014 r. i doprowadzą do wprowadzenia znaczących usprawnień w tym zakresie. 39. W przypadku wspomnianym przez Trybunał obszary geograficzne nie muszą automatycznie wzajemnie się wykluczać: dany kraj jest zawsze częścią jednego lub większej liczby obszarów geograficznych. Może to prowadzić do sytuacji, w których nakładanie się ich na siebie w pewnym stopniu jest nieuniknione. Złożoność konsolidacji opisana przez Tr ybunał wynik a raczej z wysok iego stopnia różnorodności programów i procedur, którymi zajmuje się Komisja w ramach działań zewnętrznych. W rezultacie niekonieczne należy ją przypisywać systemowi CRIS. Ramka 3 Sytuacja, do której odnosi się Trybunał, jest niemożliwa do uniknięcia z uwagi na różnorodność programów, którymi zarządza dany kraj. W istocie pomoc zewnętrzną można przypisać korzystającemu z pomocy regionowi, który obejmuje kilka krajów. Jednak w wielu prz ypadkach można temu łatwo zapobiec dzięki solidnym operacyjnym działaniom następczym oraz połączeniu różnych istniejących kodów CRIS. 40. Inne kryteria dostępne w CRIS można użyć w celu optymalizacji konsolidacji łącznej k woty wydatkowanej na dany instrument finansowy. Na przykład powiązane pozycje budżetowe można wykorzystać w celu ustalenia kwot wydatkowanych na dany instrument finansowy. Podobnie pole „zone benefiting from the action” (region korzystający z tego działania) można wykorzystać do ustalenia kwoty wydatkowanej w danym kraju. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 37 ODPOWIEDZI KOMISJI 41. 49. Złożoność konsolidacji danych finansowych jest bezpośrednio powiązana z charakterem działań Komisji w dziedzinie działań zewnętrznych, a nie z niedociągnięciami systemu CRIS. Celem uzgodnienia faktur jest aktualizacja danych dotyczących wydatków w modułach CRIS Decyzje (zobowiązania poziomu 1) i Umowy (zobowiązania poziomu 2) w przypadkach, gdy niektóre transakcje nie mogą zostać przetworzone w CRIS ze względu na ograniczenia funkcjonalne lub z powodu faktu, że wdrażanie jest realizowane przez służby, które nie mogą skorzystać z CRIS. Ze względu na to ograniczenie techniczne transakcje te muszą być przetwarzane bezpośrednio w ABAC lub za pośrednictwem innego systemu lokalnego. W rezultacie konieczny jest później proces uzgodnienia danych. 43. Pierwszy podpunkt Ok res braku dostępu do CRIS dłuższ y niż tydzień miał miejsce w styczniu 2011 r. z powodu łączenia EuropeAid i DG ds. Rozwoju i utworzenia Europejskiej Służby Działań Zewnętrznych (ESDZ) i Służby ds. Instrumentów Polityki Zagranicznej (FPIS). Była to jednak sytuacja wyjątkowa. Ogólnie rzecz biorąc, prz ypadki braku dostępu są ściśle monitorowane przez Komisję. W 2011 r. oprócz wspomnianej sytuacji CRIS działał nieprzerwanie przez ponad 99% czasu. Ponieważ jest to aplikacja internetowa, dostępność tego systemu w delegaturach zależy również od dostępności innych warstw technicznych (sieci, ser werów lokalnych itp.). 43. Drugi podpunkt Na początku 2011 r. poczyniono znaczne starania w celu usunięcia tych niedociągnięć. Starania te będą powtarzane. Reorganizacja zadań wspierających również podniosła jakość usług. W rezultacie liczba zdarzeń zarejestrowanych w 2011 r. zmalała pod względem strukturalnym w porównaniu z 2010 r. 43. Trzeci podpunkt Złożoność kodowania odzwierciedla złożoność i różnorodność samych procedur gospodarczych i przepisów. Ze względu na to złożone otoczenie gospodarcze CRIS gromadzi konk retne kodowanie do kodów k lasyfik acji narzuconych przez centralny system finansowy. Tam gdzie zaplanowano przegląd funkcji gospodarczych (np. nowe rozporządzenie finansowe / przepisy wykonawcze), szczególna uwaga zostanie zwrócona na zapewnienie zharmonizowanego przekrojowego przeglądu tych „danych nadrzędnych”. Ponadto dostępne przepływy informacji uległy w ciągu ostatnich lat znaczącej poprawie (baza wiedz y, systematyczne publikowanie informacji o nowych wersjach, konto wsparcia CRIS na Twitterze, sieci USM itp.). Uzgodnienie nie ma na celu powielenia wszystkich danych statystycznych, które można już uzyskać z innego źródła, lecz po prostu porównanie kwot wydatków w CRIS i ABAC dotyczących odnośnych zobowiązań w danym ok resie (zwykle w całym roku budżetowym). W porównaniu z ogólną liczbą transakcji zarządzanych za pośrednictwem CRIS liczba prz ypadków wymagających uzgodnienia jest bardzo niewielka. Nawet w takich przypadkach wsz ystkie dane statystyczne dotyczące decyzji lub umów są zawsze dostępne według kodu kraju. Jednak w tych przypadkach dane statystyczne dotyczące faktur/płatności według kraju‑beneficjenta można uz yskać jedynie bezpośrednio z hur towni danych ABAC (ABAC Datawarehouse). 50. Załączanie dokumentów do zapisów danych dotyczących umów i decyzji jest obowiązkowe od czasu opublikowania instrukcji z dnia 8 października 2009 r. Instrukcja ta została następnie uzupełniona szeregiem konkretnych rozwinięć systemu CRIS, które rozszerz yły możliwość blokowania zatwierdzenia transakcji w przypadku, gdy konieczne dokumenty nie są do niej odpowiednio załączone. Te nowe funkcje wdrożono w listopadzie 2010 r. 51. Od września 2011 r. zapisy dotyczące umów wsk azane przez Trybunał są automatycznie łączone z zapisem dotyczącym decyzji o finansowaniu. Jeśli chodzi o zapisy dotyczące kontroli, większość przypadków (96%) miała miejsce przed 2009 r., kiedy to dowolny użytkownik mógł zamknąć w CRIS zapis dotyczący audytu bez powiązania go ze skontrolowaną umową. Od tego czasu system nie pozwala na takie operacje, z wyjątkiem bardzo specyficznych przypadków. Te bardzo specyficzne przypadki (pozostałe 4% przypadków odnotowanych przez Trybunał) dotyczą kontroli funduszy STABEX (stabilizacja dochodów eksportowych) lub ocen zgodności organizacji międzynarodowych, które z definicji nie są powiązane z żadną skontrolowaną umową. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 38 ODPOWIEDZI KOMISJI 52. 55. Drugi podpunkt Do 2009 r. system CRIS był wykorzystywany jako jedno ze źródeł informacji do celów sprawozdawczości DAC, choć z prz ycz yn dotyczących jakości danych konieczne było ponowne przetwarzane danych oraz przeprowadzenie ręcznych weryfikacji przed przekazaniem sprawozdań do OECD. Około jedna trzecia prz ypadków wskazanych przez Tr ybunał dotycz y normalnych sytuacji [zawar tych umów o dotacje, w przypadku których data rozpoczęcia działań wyprzedza datę podpisania, czy też interwencji dotycząc ych wsparcia budżetowego lub innych zobowiązania techniczne (rejestracje pro forma)], w przypadku których data podpisania może zostać zakodowana, jednak nie jest istotna ani obowiązkowa. Od tamtego czasu podjęto znaczące starania na rzecz poprawy procesu kodowania formularz y DAC, w wyniku czego obecnie wsz ystk ie formularze DAC są należ ycie załączone do wsz ystkich nowych zapisów dotyczących projektów. Weryfikacja ex ante kodów DAC jest przeprowadzana centralnie w odniesieniu do wszystkich projektów (potwierdzenie RESPCAD). Zgodnie z najnowszymi danymi dostępnymi z CRIS co najmniej 84% projektów i 95% umów począwszy od 2009 r. ma przypisany formularz DAC, przy czym należy zauważyć, że nie wszystkie dyrekcje generalne korzystające z systemu CRIS używają formularzy DAC. Ponadto proces mający na celu aktualizację danych histor ycznych dotyczących transakcji począwsz y od 2003 r. (i otwartych projektów przed 2003 r.) został rozpoczęty w 2010 r. i zostanie zrealizowany w 2012 r. Ramka 4 Proszę zobaczyć odpowiedź Komisji na pkt 52. 54. 55. Trzeci podpunkt Sytuacja ta jest skutkiem przeoczenia w momencie opracowywania oprogramowania, które zostało już dawno skorygowane (najnowsza decyzja z tej próby sięga 2005 r.). W tamtym ok resie w prz ypadku ponownego otwarcia decyzji data zamknięcia nie była automatycznie usuwana. Możliwość popełnienia takiego błędu albo już nie występuje dzięki ciągłym udoskonaleniom systemu CRIS w ostatnich latach, albo jest obecnie przedmiotem udoskonaleń w ramach trwających prac nad rozwojem oprogramowania. 56. N iespójność danych międz y hur townią danych ABAC (źródło danych: ABAC Workflow) a systemem CRIS może czasem w ynik ać z usterek lub w yjątk ow ych operacji wykonywanych bezpośrednio w ABAC, które są jednak monitorowane, a następnie kor ygowane i uzgadniane. Metoda przetwarzania danych finansowych w CRIS jest regularnie zatwierdzana przez księgowego Komisji. W oficjalnej terminologii Komisja zapisy „fikcyjne” określa terminem „zobowiązań technicznych”. Aby rozwiązać ten problem, w 2010 r. rozpoczęto projekt o nazwie „projekt dotyczący większej liczby środków na zobowiązania” ( multi‑commitment project). Umożliwia on powiązanie pojedynczego zapisu dotyczącego umowy z szeregiem różnego rodzaju zobowiązań budżetowych. Po pełnym wdrożeniu tego projektu nie będzie już konieczne tworzenie „zobowiązań technicznych”. 55. Pierwszy podpunkt Komisja odnotowuje fakt, że zapisy dotyczące kontroli odnotowane przez Trybunał powinny być już zamknięte w momencie kontroli Tr ybunału. Wynik a to częściowo z niektórych „zasad operacyjnych”, które uniemożliwiają u ż y t k ow n i k ow i k o ń c owe m u o s t a te c z n e p o t w i e rd ze nie zapisu, a zatem zamk nięcie go. Od tamtego czasu zamknięto ponad połowę tych przypadków. W nowej wersji modułu kontroli CRIS procedury dotyczące zamykania zapisów dotyczących kontroli zostaną uproszczone i dostosowane, aby umożliwić bezzwłoczne zamykanie zapisów. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 39 ODPOWIEDZI KOMISJI 57. 66. J eśli chodzi o rejestrowanie faktur, w 2012 r. rozpo częty zostanie projekt mający na celu przeanalizowanie wszystkich możliwości uproszczenia procesu kodowania, zwłaszcza kodowania kwot brutto, które wymagają przeprowadzania skomplikowanych obliczeń przez agenta wprowadzającego dane. Komisja odniesie się do treści tej uwagi w swoich wieloletnich pracach nad przeprojektowaniem systemu CRIS oraz dokona przeglądu zasad bezpieczeństwa w 2014 r., w szczególności w ramach projektu zarządzania bezpie czeństwem w odniesieniu do użytkowników zewnętrznych i wewnętrznych. Jeśli chodzi o załączniki do zapisów dotyczących kontroli, Komisja niedawno znacząco ograniczyła średnie opóźnienie międz y momentem otrz ymania sprawozdania końcowego z kontroli a momentem załączenia go do zapisu z kontroli w systemie CRIS. Jednak sz ybkość rejestrowania w CRIS zapisów dotyczących kontroli nie ma wpływu na rachunkowość i ma ograniczony wpływ na informacje zarządcze, pod warunkiem że zapisy są wprowadzane na czas względem wymaganych celów sprawozdawczych. 67. Problem niewystarczająco zdefiniowanych obowiązków w zakresie zarządzania bezpieczeństwem w systemie CRIS na poziomie globalnym zostanie rozwiązany przez wyznaczenie lokalnego urzędnika ds. bezpieczeństwa informacji ściśle przypisanego do systemu CRIS. W celu zagwarantowania jakości danych należy wprowadzić procedurę, która pozwoli skorygować dane w przypadku złożenia oficjalnego zawiadomienia, że istnieją błędne dane. Tak ie modyfik acje mają miejsce jedynie w przypadkach, gdy niezbędne korekty danych są przeprowadzane przez dział informatyczny po usterce w systemie CRIS lub w ramach dalszego przetwarzania. Są one wprowadzane przez zespoły ds. wsparcia, rozwoju lub jakości danych. Wprowadzono procedury gwarantujące, by takie działania były inicjowane za pośrednictwem formularza zapytania, a następnie zatwierdzane przez k ierownik a zarządzającego danym modułem. Modyfikacje są najpierw wykonywane w środowisku przedprodukcyjnym, następnie zatwierdzane przez właściwego kierownika zarządzającego, po czym ostatecznie wprowadzane do produkcji. 61. 69. Dyrekcja Generalna ds. Informatyki (DG DIGIT ) podpisała protokół ustaleń dla poszczególnych systemów informatycznych EuropeAid. Jeden z nich dotyczy systemu CRIS. CRIS został również zdefiniowany jako „krytyczny” i z tego powodu DG DIGIT wdrożyła system zapasowy. Dwa moduły wskazane przez Trybunał, w przypadku których brakowało glosariusza: 62. — — moduł ROM, który zostanie wycofywany w 2012 r. 60. System CRIS jest regularnie zatwierdzany przez księgowego Komisji jako system lokalny, a ostatnie zatwierdzenie miało miejsce w grudniu 2011 r. W prz yszłości udoskonalone zostaną wewnętrzne procedury dotyczące terminowego informowania księgowego Komisji o znaczących zmianach w systemie CRIS. — — moduł oceny, który zostanie zastąpiony przez moduł oceny PCM (zob. również odpowiedź na ramkę 1), 70. Komisja poprawi dokumentację w ramach swoich wieloletnich prac nad przeprojektowaniem systemu CRIS. 71. Z trzech przypadków, w których podręcznik był nieaktualny, sytuacja poprawiła się w następujący sposób: 65. Procedury dostępu do CRIS wykorzystują zarówno system uwierz ytelniania ECAS, jak i system zez woleń dostępu „Commission Enterprise Directory” oparty na przynależności do określonych grup. Wszystkie inne zezwolenia dostępu są udzielane po przeprowadzeniu ściśle zdefiniowanych procedur zez woleń dostępu, zgodnie z któr ymi niezbędne są odpowiednie zatwierdzenia i potwierdzenia. — — podręcznik kontroli zaktualizowano we wrześniu 2011 r., — — podręcznik prognoz finansow ych zaktualizowano w grudniu 2011 r., — — podręcznik LEF zostanie zaktualizowany w 2012 r. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 40 ODPOWIEDZI KOMISJI WNIOSKI I ZALECENIA 72. 75. Odtworzenie historii modyfik acji danych jest możliwe w systemie na dwóch różnych poziomach: CRIS jest jednym z wielu systemów lokalnych funkcjonujących w Komisji i jako taki wspiera konkretne potrzeby gospodarcze korzystających z niego dyrekcji generalnych. Ponadto, jako że wspiera on również funkcje finansowe, jest połączony interfejsem z centralnym systemem rachunkowości Komisji. ο ο na poziomie technicznym, na którym jest w istocie system śladu rewizyjnego, dostępny jedynie pracownikom działu informatycznego, którzy są już zaznajomieniu ze skomplikowanymi operacjami konserwacji; ο ο na poziomie funk cjonalnym, wsz ysc y uż ytk ownic y mogą: — — sprawdzić, w jaki sposób dane zostały zmienione, przeglądając informacje podane w załącznikach do odnośnych zapisów oraz — — przeglądać odniesienia do ewentualnych korekt przetwarzanych przez służby informatyczne w odniesieniu do przedmiotowych transakcji, jak wyjaśniono w pierwszym podpunkcie. To z kolei umożliwia im uzyskanie dostępu do odnośnej dokumentacji dotyczącej tych korekt (tj. sprawozdania dotyczącego sprostowania danych). 74. Życiorysy i inne dane osobowe pojawiające się w dokumentach dołączanych do CRIS są załączone do umów i jako takie są pośrednio osadzone w zawiadomieniu DPO-752 dotyczącym CRIS („W systemie CRIS istnieje również możliwość przechowywania dokumentów towarz yszących. Dokumenty przechowywane w CRIS to głównie umowy i faktury ”.). Jednak obecność danych osobowych w tych dokumentach nie jest bezpośrednio wymieniona w tym zawiadomieniu. Należ y podkreślić, że dokumenty towarz yszące podlegają „biernemu” przechowywaniu i nie są dalej przetwarzane przez tę aplik ację. W rezultacie nie zawierają one danych, które można wyszukiwać, tj. nie jest możliwe przeprowadzenie operacji wyszukiwania w systemie CRIS według nazwiska określonej osoby wymienionej w załączniku. Od momentu wdrożenia CRIS w 2002 r. Komisja znacznie poprawiła ten system. Jako przykład dotyczący kodowania danych można podać ustanowienie przez Komisję wspólnych klasyfikacji na poziomie globalnym. Nie są one jeszcze w pełni ujednolicone ze względu na złożoność inte gracji wynikającą z wcześniejszego istnienia bazy danych CRIS Contract. W ostatnich latach podjęto jednak znaczące wysiłki w tej dziedzinie, np. przez utworzenie grupy roboczej skupiającej pracowników różnych służb zajmującej się CRIS/ABAC Contracts. Jeśli chodzi o integralność danych, wprowadzono procedury monitorowania, a następnie procedury dalszego przetwarzania oraz wprowadzono i udoskonalono zasady gospodarcze w systemie. Ponadto w systemie CRIS określono obowiązki prz ypisane do poszczególnych kodów danych, a obecnie wprowadzane są do niego udoskonalenia techniczne w ramach wieloletniego projektu, który zostanie ukończony do końca 2014 r. 76. Komisja rozpoczęła proces racjonalizacji swojej architektury informatycznej, którego głównym celem jest zapobieganie sytuacji, w której funkcjonują różne systemy realizujące identyczne lub podobne procesy, a także zintegrowanie konkretnych potrzeb dyrekcji generalnych w ramach rozwiązań dla całej organizacji. Jeśli chodzi o aspekty finansowe i rachunkowe, wspomniany proces racjonalizacji doprowadzi do bezpośredniego wykorz ystania funkcji ABAC z systemu CRIS przez usługi internetowe ABAC. Zalecenie 1 CRIS jest systemem informacji zarządczej dyrekcji generalnych Komisji odpowiedzialnych za stosunki zewnętrzne. Jest to zintegrowany system obejmując y bezpośredni inter fejs łączący go z systemem rachunkowości Komisji (ABAC), przy czym optymalizuje on szereg narzędzi wykorzystywanych w codziennej pracy przez personel zajmujący się współpracą zewnętrzną. Jego cele zostały zdefiniowane w grudniu 2011 r. w dokumencie „Stratégie des systèmes d’information de la DG EuropeAid jusque 2016” (Strategia systemów informacyjnych DG EuropeAid do 2016 r.). Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 41 ODPOWIEDZI KOMISJI 80. W procesie racjonalizacji swojego środowisk a informatycznego Komisja pracuje obecnie nad lepszą integracją wszystkich swoich systemów. Cel polegający na ograniczeniu powielania funkcji ABAC zostanie osiągnięty przez bezpośrednie wykorzystywanie funkcji ABAC z systemu CRIS za pośrednictwem usług internetowych ABAC. EuropeAid uczestniczy w rozpoczętym w tym celu projekcie pilotażowym obejmującym całą Komisję. 78. Złożoność konsolidacji wynika z dużej różnorodności programów i procedur realizowanych przez Komisję w ramach działań zewnętrznych i nie można jej automatycznie przypisać systemowi CRIS. W istocie, jeśli chodzi o prz ykład prz ytoczony przez Tr ybunał, pomoc zewnętrzną można ogólnie prz ypisać korz ystającemu z pomocy regionowi, który obejmuje kilka krajów. Jednak z wyjątkiem tych przypadków Komisja jest w stanie zapewniać dzięki systemowi CRIS wiarygodne zagregowane dane według k raju, instrumentu finansowego i obszaru polityki. 79. Występują pewne opóźnienia we wprowadzaniu niektór ych danych, a także brakuje niektór ych dokumentów, które powinny być załączone do systemu CRIS, jednak w systemie tym nie brakuje żadnych informacji finansowych ani innych informacji krytycznych. Trwają prace nad sk róceniem ok resu, w któr ym informacje są zgłaszane do systemu CRIS. Ponadto, jeśli chodzi ogólnie o jakość danych, w ostatnich trzech latach pocz yniono znaczące postępy: — — wyznaczono właścicieli danych odpowiedzialnych za odnośne dane, — — powołano zespół ds. jakości danych, któr y prowadzi działania monitorujące oraz wdraża działania korygujące, Ponieważ jest to aplikacja internetowa, dostępność tego systemu w delegaturach zależ y przede wsz ystk im od dostępności innych warstw technicznych (sieci, serwerów lokalnych itp.). Niektóre z nich są poza kompetencjami Komisji, co ma miejsce na prz yk ład w prz ypadku sieci zarządzanej przez ESDZ. Jeśli chodzi o aplikację i serwery baz danych, Komisja odnotowała wysoki stopień dostępności systemu. Na przykład w 2011 r., poza przypadkiem braku dostępu do systemu CRIS przez ponad tydzień z powodu łączenia się byłej EuropeAid z DG ds. Rozwoju oraz momentem utworzenia ESDZ i FPI, system CRIS działał nieprzerwanie przez ponad 99% czasu. Ograniczenie do minimum usterek systemowych, zarówno na poziomie ogólnym (systemu), jak i lokalnym (transakcji), jest stale przedmiotem zainteresowania Komisji. Obecnie obowiązuje kompleksowy system zarządzania, który poz wala na wczesne wykr ywanie/kor ygowanie usterek blokujących system. Podjęto również szereg działań poprawiających jakość dostarczanych danych, międz y innymi przegląd kodów, analizę techniczną i funkcjonalną przed wdrożeniem oraz testy. Komunikat o kodach danych został zracjonalizowany przez wykorzystanie bazy wiedzy CRIS oraz został poprawiony międz y innymi pr zez systemat yczne spor ządzanie co tydzień informacji o nowych wersjach oraz regularne aktualizacje podręczników. Zalecenie 3 Złożoność otoczenia gospodarczego i różnorodność ról i obowiązków użytkowników w nieunikniony sposób prowadzi do pewnego stopnia złożoności w tak zintegrowanym systemie. Komisja przyjmuje jednak to zalecenie. Poprawa łatwości użytkowania jest głównym celem między innymi następujących projektów: — — projekt dotyczący większej liczby środków na zobowiązania w zakresie modułów dotyczących umów i decyzji, — — projekt optymalizacji fakturowania, — — wprowadzono zarządzanie jakością danych. — — przeprojektowanie modułu audytu. Zalecenie 2 Komisja będzie kontynuować prowadzone starania na rzecz monitorowania danych i poprawy procesów zatwierdzania danych w CRIS. W tej dziedzinie podjęto już szereg różnych działań, na prz ykład wyznaczono właścicieli danych od początku 2009 r. w celu zarządzania kodami danych i definiowania standardów, które mają być wdrażane. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) 42 ODPOWIEDZI KOMISJI 81. Problem niewystarczającego zabezpieczenia systemu zostanie rozwiązany przez wyznaczenie lokalnego urzędnik a ds. bezpieczeństwa informacji odpowiedzialnego za system CRIS. Aby zapewnić poufność danych, Komis j a wyraźnie zdefiniowała procedur y zez woleń dostępu. Ponadto ograniczono dostęp do informacji sklasyfikowanych w systemie CRIS jako poufne. Poprawa zarządzania prawami użytkowników zewnętrznych zostanie przeprowadzona w kolejnych latach dzięki realizacji konkretnego projektu, który zostanie ukończony do 2014 r. Jeśli chodzi o dane osobowe w systemie CRIS, Komisja stosuje przepisy określone w rozporządzeniu ( WE) nr 45/2001 oraz procedury zgłoszone i zatwierdzone przez inspektora ochrony danych Komisji. Zalecenie 4 Ogólna ocena r yz yk a z wiązanego z technologią informacyjną zostanie rozpoczęta w trakcie 2012 r., a Komisja wyznaczy lokalnego urzędnika ds. bezpieczeństwa informacji dla systemu CRIS. Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System) Europejski Trybunał Obrachunkowy Sprawozdanie specjalne nr 5/2012 CRIS – Wspólny system informacyjny RELEX (Common RELEX Information System) Luksemburg: Urząd Publikacji Unii Europejskiej 2012 — 42 str. — 21 × 29,7 cm ISBN 978-92-9237-614-7 doi:10.2865/98725 JAK OTRZYMAĆ PUBLIKACJE UE Publikacje bezpłatne: • w EU Bookshop (http://bookshop.europa.eu) • w przedstawicielstwach i delegaturach Unii Europejskiej (dane kontaktowe można uzyskać pod adresem http://ec.europa.eu lub wysyłając faks pod numer +352 2929-42758) Publikacje płatne: • w EU Bookshop (http://bookshop.europa.eu) Płatne subskrypcje (np. Dziennik Urzędowy Unii Europejskiej, zbiory orzeczeń Trybunału Sprawiedliwości Unii Europejskiej): • u dystrybutorów Urzędu Publikacji Unii Europejskiej (http://publications.europa.eu/others/agents/index_pl.htm) NA POTRZEBY ZARZĄDZANIA DZIAŁANIAMI ZEWNĘTRZNYMI. POZWALA ON WSZYSTKIM PRACOWNIKOM BIORĄCYM UDZIAŁ W ZARZĄDZANIU TYMI DZIAŁANIAMI KORZYSTAĆ ZE WSPÓLNEJ BAZY DANYCH. BAZA TA ZAWIERA DANE DOTYCZĄCE RÓŻNYCH ETAPÓW ZARZĄDZANIA; Z NIEJ WPROWADZA SIĘ DANE FINANSOWE DO SYSTEMU RACHUNKOWOŚCI KOMISJI – ABAC. TRYBUNAŁ ST WIERDZIŁ, ŻE CRIS NA OGÓŁ DOBRZE SPEŁNIA POTRZEBY INFORMACYJNE KOMISJI W DZIEDZINIE DZIAŁAŃ ZE WNĘ TRZNYCH. PO DZIESIĘCIU LATACH ROZWOJU NADAL WYSTĘPUJĄ W NIM JEDNAK NIEDOCIĄGNIĘCIA. DOTYCZĄ ONE ZWŁASZCZA DEFINICJI ROLI CRIS W ODNIESIENIU DO SYSTEMU RACHUNKOWOŚCI KOMISJI, KODOWANIA DANYCH, ZBYT MAŁEJ SKUTECZNOŚCI W ZAPEWNIANIU INTEGRALNOŚCI DANYCH ORAZ, OGÓŁEM, NIEWYSTARCZAJĄCEGO BEZPIECZEŃST WA SYSTEMU I ZAWARTYCH W NIM DANYCH. EUROPEJSKI TRYBUNAŁ OBRACHUNKOWY QJ-AB-12-004-PL-C CRIS JEST SYSTEMEM INFORMACYJNYM WPROWADZONYM PRZEZ KOMISJĘ