CRIS - Wspólny system informacyjny RELEX (Common

Transkrypt

ISSN 1831-0923
CRIS – WSPÓLNY SYSTEM INFORMACYJNY
RELEX (COMMON RELEX INFORMATION SYSTEM)
PL
2012
Sprawozdanie specjalne nr 5
EUROPEJSKI
TRYBUNAŁ
OBRACHUNKOWY
2012
CRIS – WSPÓLNY SYSTEM
INFORMACYJNY RELEX (COMMON
RELEX INFORMATION SYSTEM)
(przedstawione na mocy art. 287 ust. 4 akapit drugi TFUE)
EUROPEJSKI TRYBUNAŁ OBRACHUNKOWY
12, rue Alcide De Gasperi
1615 Luksemburg
LUKSEMBURG
Tel. +352 4398-1
Faks +352 4398-46410
E-mail: [email protected]
Internet: http://eca.europa.eu
2012
Wiele informacji o Unii Europejskiej znajduje się w portalu Europa (http://europa.eu).
Dane katalogowe znajdują się na końcu niniejszej publikacji.
Luksemburg: Urząd Publikacji Unii Europejskiej, 2012
ISBN 978-92-9237-614-7
doi:10.2865/98725
© Unia Europejska, 2012
Powielanie materiałów dozwolone pod warunkiem podania źródła.
Printed in Luxembourg
3
SPIS TREŚCI
Punkty
SKRÓTY I GLOSARIUSZ
I–IX
STRESZCZENIE
1–16
WSTĘP
1–6
OBSZAR KONTROLI
7–13
OPIS CRIS
14–16
RAMY PRAWNE
17–23
ZAKRES KONTROLI I PODEJŚCIE KONTROLNE
24–74
UWAGI
24–44
POMIMO NIEDOCIĄGNIĘĆ ROZWÓJ CRIS JEST OBECNIE DOSTOSOWYWANY DO POTRZEB KOMISJI
24–29
PROJEKTY ROZWOJU SYSTEMU SĄ OBECNIE REALIZOWANE NA PODSTAWIE DOBRZE OKREŚLONYCH POTRZEB
30–35
POTRZEBA AKTUALNEJ DEFINICJI ROLI CRIS
36–41
NIEDOCIĄGNIĘCIA W KODOWANIU DANYCH
42–44
UTRZYMUJĄCE SIĘ PROBLEMY W ZAKRESIE ŁATWOŚCI UŻYTKOWANIA
45–57
Z
ARZĄDZANIE CRIS NIE JEST JESZCZE WYSTARCZAJĄCO SKUTECZNE POD WZGLĘDEM ZAPEWNIANIA
INTEGRALNOŚCI DANYCH
49–52
B
RAKUJĄCE ZAPISY DANYCH
53–56
NIEPRAWIDŁOWE ZAPISY DANYCH
57
OPÓŹNIENIA WE WPROWADZANIU DANYCH
Sprawozdanie specjalne nr 5/2012 – CRIS - Wspólny system informacyjny RELEX (Common RELEX Information System)
4
58–74
NIEDOSTATECZNE ZABEZPIECZENIE SYSTEMU I ZAWARTYCH W NIM DANYCH
58–62
NIEPRECYZYJNA DEFINICJA OBOWIĄZKÓW W ZAKRESIE BEZPIECZEŃSTWA DANYCH
63–67
IEDOCIĄGNIĘCIA PODWAŻAJĄ ZDOLNOŚĆ SYSTEMU DO ZACHOWANIA POUFNOŚCI I INTEGRALNOŚCI
N
DANYCH
68–72
NIEKOMPLETNA DOKUMENTACJA SYSTEMU
73–74
NIEDOSTATECZNE MONITOROWANIE PRZETWARZANIA DANYCH OSOBOWYCH
75–81
WNIOSKI I ZALECENIA
ODPOWIEDZI KOMISJI
5
SKRÓTY I GLOSARIUSZ
ABAC: System rachunkowości memoriałowej Komisji, który zastąpił Sincom2, poprzedni system rachunkowości kasowej.
ABAC Datawarehouse (hurtownia danych ABAC): System informacyjny Komisji zapewniający skonsolidowane dane
finansowe i rachunkowe.
Administrator danych (osobowych): Instytucja wspólnotowa lub organ wspólnotowy, dyrekcja generalna, dział lub
inny podmiot organizacyjny, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych
osobowych.
Bezpieczeństwo (danych): Bezpieczeństwo danych dotyczy zdolności systemu informacyjnego do zachowania poufnoś
c i, integralności i dostępności danych.
CRIS: Wspólny system informacyjny RELEX.
Dane osobowe: Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie
przez odniesienie się do numeru identyfikacyjnego lub jednego bądź kilku szczególnych czynników określających jej
tożsamość fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną.
DG: Dyrekcja generalna.
Dostępność (danych): Zdolność systemu informacyjnego do wykonania zadania przy określonych warunkach dotyczących harmonogramów, terminów i wyników.
EFR: Europejskie Fundusze Rozwoju.
EuropeAid: Dyrekcja Generalna ds. Rozwoju i Współpracy Komisji Europejskiej – EuropeAid (wcześniej Biuro Współpracy
na rzecz Pomocy Rozwojowej).
ICS: Standard kontroli wewnętrznej.
Integralność (danych): Zagwarantowana możliwość zmiany systemu informacyjnego i przetwarzanych informacji
wyłącznie w drodze zamierzonej i uzasadnionej czynności oraz gwarancja osiągnięcia przez system oczekiwanych rezultatów w sposób dokładny i pełny.
IT: Technologia informacyjna.
Kody (danych): Wartości danych, które są stosowane w bazie danych do kategoryzacji innych danych.
OECD: Organizacja Współpracy Gospodarczej i Rozwoju.
OLAS: System księgowości on‑line; system informacyjny stosowany przez Komisję do 2008 r. do obsługi operacji EFR.
Poufność (danych): Zastrzeżony charakter informacji całości lub części systemu informacyjnego (np. algorytmów, programów i dokumentacji), do których dostęp mają wyłącznie upoważnione osoby i organy lub do których dostęp wymaga
zastosowania określonej procedury.
6
Przetwarzanie danych osobowych: Wszelkie operacje lub zbiór operacji dokonywanych na danych osobowych przy użyciu lub bez użycia środków automatycznych, takich jak gromadzenie, zapisywanie, porządkowanie, przechowywanie, dostosowywanie lub zmiana, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie
przez przesyłanie, rozpowszechnianie lub udostępnianie w inny sposób, zestawianie lub łączenie, blokowanie,
usuwanie lub niszczenie.
RELEX: Francuski akronim oznaczający relations extérieures czyli stosunki zewnętrzne.
ROM: Monitorowanie pod kątem wyników.
System informacyjny: Zbiór sprzętu, metod i procedur oraz w stosownych przypadkach również osób, pracowników, zorganizowany w celu wykonywania funkcji przetwarzania informacji.
Zarządzanie w dziedzinie technologii informacyjnej: Struktury i procesy kierownicze i organizacyjne, które
zapewniają utrzymanie i rozwój strategii oraz celów danej organizacji za pomocą jej technologii informacyjnej.
7
STRESZCZENIE
I.
CRIS jest systemem informacyjnym wprowadzonym
przez Komisję na potrzeby zarządzania działaniami
zewnętrznymi. Funkcje systemu były stale rozbudowywane od chwili jego uruchomienia w 2002 r. Jest
on obecnie głównym referencyjnym systemem informacyjnym służącym do zarządzania, sprawozdawczości i dokumentacji w zakresie działań zewnętrznych
finansowanych zarówno z budżetu ogólnego UE, jak
i z Europejskich Funduszy Rozwoju (EFR).
II.
CRIS umożliwia wszystkim pracownikom Komisji zajmującym się zarządzaniem działaniami zewnętrznymi,
zarówno w centrali, jak i w delegaturach UE, korzystanie ze wspólnej bazy danych. Zawiera ona dane
dotyczące różnych etapów zarządzania, począwszy
od programowania aż do przygotowania i monitorowania, i obejmuje zarówno operacyjne, jak i finansowe
aspekty tych działań. Z niej również wprowadzane są
dane finansowe do systemu rachunkowości Komisji
ABAC.
III.
Ogólne pytanie kontrolne dotyczyło tego, czy CRIS
spełniał potrzeby informacyjne Komisji. W szczególności Trybunał ocenił, czy struktura CRIS umożliwia
spełnianie potrzeb informacyjnych Komisji oraz czy
dostarczane informacje są wiarygodne. Kontrola polegała na przeglądzie dokumentacji Komisji dotyczącej
systemu oraz przeprowadzeniu bezpośrednich badań
na danych zawartych w CRIS.
IV.
Trybunał stwierdza, że CRIS jest na ogół skuteczny, jeśli
chodzi o spełnianie potrzeb informacyjnych Komisji
w dziedzinie działań zewnętrznych. Po dziesięciu latach
rozwoju nadal występują w nim jednak niedociągnięcia. Dotyczą one w szczególności definicji roli CRIS
w odniesieniu do systemu rachunkowości Komisji,
niedociągnięć w kodowaniu danych, niedostatecznej
skuteczności pod względem zapewnienia integralnoś
c i danych oraz, ogółem, niewystarczającego bezpieczeństwa systemu i zawartych w nim danych. Niektóre
z poczynionych uwag potwierdzają inne uwagi przedstawione w poprzednich sprawozdaniach Trybunału.
8
V.
Rozwój CRIS jest obecnie prowadzony na podstawie
dobrze określonych i udokumentowanych potrzeb
informacyjnych. Pomimo ostatnich usprawnień zarządzania systemem CRIS nadal brakuje jednak aktualnej
definicji jego roli. W szczególności nie było jasności
co do tego, dlaczego CRIS musiał powielać funkcje
systemu rachunkowości Komisji.
VI.
Niewystarczająco sformalizowany roz wój w latach
2005–2008 spowodował, że kody danych zawartych
w CRIS nie są dobrze określone. Z tego powodu konsolidacja danych w CRIS jest szczególnie skomplikowana
i może prowadzić do błędów. W szczególności CRIS
jest niewiarygodny, jeśli chodzi o dostarczanie zagregowanych danych dotyczących pomocy zewnętrznej
według krajów będących beneficjentami, instrumentów finansowych lub dziedzin polityki.
VII.
W przypadku integralności danych zawartych w CRIS
Trybunał ustalił, że brakuje niektórych zapisów danych,
a niektóre zapisy są nieprawidłowe lub nieaktualne.
Podważyło to efektywność i skuteczność systemu jako
narzędzia zarządzania.
VIII.
Komisja jak dotąd nie zabezpiecz yła wystarczająco
systemu i zawartych w nim danych. Chociaż istniały
procedur y administrowania prawami dostępu dla
użytkowników, nie określono precyzyjnie obowiązków
w zakresie zapewnienia bezpieczeństwa danych zawartych w CRIS. Ponadto niektóre niedociągnięcia w systemie podważyły jego efektywność i skuteczność, jeśli
chodzi o zachowanie poufności i integralności danych.
Trybunał ustalił również, że przetwarzanie danych osobowych było niedostatecznie monitorowane.
IX.
Na podstawie swoich uwag Tr ybunał przedstawia
poniższe zalecenia z myślą o poprawie skuteczności
CRIS, jeśli chodzi o spełnianie potrzeb informacyjnych
Komisji:
a) Należy zdefiniować zamierzoną rolę CRIS jako systemu informacyjnego, zwłaszcza w odniesieniu do
systemu rachunkowości Komisji ABAC. W szczególności Komisja powinna dążyć do ograniczenia powielania funkcji ABAC w CRIS.
b) Listy kodowe danych zawartych w CRIS powinny
zostać zracjonalizowane, tak aby były niepowtarzalne, a przypisane im wartości danych wzajemnie się wykluczały. Ponadto obecne mechanizmy
kontroli jakości danych (kontrole, procesy) po winny zostać zmienione i wzmocnione w sposób
zapewniający skuteczne mechanizmy gwarantujące rzetelność danych. Środki te powinny mieć
na celu w szczególności zapewnienie skuteczności
i efektywności CRIS, jeśli chodzi o dostarczanie zagregowanych informacji według krajów będących
beneficjentami, dziedzin polityki i instrumentów
finansowych.
c) Biorąc pod uwagę znaczną liczbę oraz zróżnicowanie użytkowników CRIS, przy przyszłych zmianach
CRIS należy zwrócić należytą uwagę na poprawę
łatwości użytkowania.
d) Należ y określić obowiązki w zakresie zarządzania bezpieczeństwem danych zawartych w CRIS.
Powinna zostać przeprowadzona ogólna ocena
ryz yka z wiązanego z technologią informacyjną.
Należ y odpowiednio zadbać o ochronę danych
osobowych i finansowych.
9
WSTĘP
OBSZAR KONTROLI
1.
Działania zewnętrzne polegają na inter wencjach Komisji w krajach
poza Unią Europejską i obejmują również działania związane z rozszerzeniem Unii Europejskiej, rozwojem państw Afryki, Karaibów i Pacyfiku
oraz zewnętrzną polityką handlową. Zarządzanie działaniami zewnętrznymi odbywa się w siedzibie Komisji w Brukseli oraz w delegaturach
UE w wielu krajach na świecie. W 2010 r. wszystkie zobowiązania podjęte przez Komisję w dziedzinie działań zewnętrznych opiewały na
kwotę 11 107 mln euro 1.
2.
W ciągu ostatnich dziesięciu lat Komisja podejmowała starania na rzecz
harmonizacji i uproszczenia swoich procedur dotyczących zarządzania
działaniami zewnętrznymi. W szczególności Komisja pocz yniła kroki
w celu połączenia departamentów zajmujących się wykonywaniem tych
działań. Równolegle zmierzała ona do wprowadzenia zharmonizowanego systemu – wspólnego systemu informacyjnego RELEX (CRIS) – przez
połączenie dawniej niejednolitych systemów informacyjnych. System ten
miał umożliwiać natychmiastowe dostarczanie informacji finansowych
dotyczących projektów i programów w dziedzinie działań zewnętrznych.
3.
System informacyjny to zbiór sprzętu, metod i procedur oraz w stosownych prz ypadk ach również osób, pracowników, zorganizowany
w celu wykonywania funkcji przetwarzania informacji 2 . W organizacji
systemy informacyjne wprowadza się zaz wyczaj w celu dostarczania
informacji pracownikom i kadrze zarządzającej, aby mogli oni wykonywać swoje obowiązki w zakresie planowania, monitorowania, kontroli
i sprawozdawczości.
4.
Gdy CRIS zaczął funkcjonować w 2002 r., jego funkcje wiązały się z finansową realizacją projektów. Od tamtej pory był on nieustannie rozbudowywany, aby obejmować coraz więcej finansowych i operacyjnych
aspektów zarządzania działaniami zewnętrznymi. CRIS obejmuje obecnie
różne etapy tych działań, począwszy od etapu programowania, aż do
przygotowywania i monitorowania.
1
8445 mln euro
z budżetu ogólnego UE
oraz 2662 mln euro z EFR.
Źródło: Dokument
roboczy służb Komisji
pt. „Sprawozdanie roczne
z 2011 r. na temat polityki
Unii Europejskiej w zakresie
rozwoju i pomocy
zewnętrznej oraz jej realizacji
w 2010 r.” SEC(2011) 880
wersja ostateczna,
dołączony do dokumentu
pt. „Sprawozdanie roczne
z 2011 r. na temat polityki
Unii Europejskiej w zakresie
rozwoju i pomocy
zewnętrznej oraz jej realizacji
w 2010 r.”, COM(2011) 414
wersja ostateczna.
2
Decyzja Komisji
C(2006) 3602 z dnia
16 sierpnia 2006 r. dotycząca
bezpieczeństwa systemów
informacyjnych, których
używa Komisja Europejska.
10
5.
6.
CRIS jest przeważnie wykorzystywany przez Dyrekcję Generalną (DG)
Komisji ds. Współpracy i Roz woju (EuropeAid 3 ), DG ds. Rozszerzenia
oraz Służbę ds. Instrumentów Polityki Zagranicznej 4 . Departamenty te
wykorzystują CRIS w szczególności jako interfejs użytkownika służący
do wprowadzania danych finansowych dotyczących działań zewnętrznych do systemu rachunkowości Komisji (ABAC). Transakcje finansowe
są inicjowane w CRIS, w którym następuje wprowadzanie i weryfikacja
danych przed ich automatycznym przeniesieniem do ABAC, w związku
z czym nie muszą one być dwukrotnie kodowane. Do CRIS wprowadza
się również dane operacyjne dotyczące programów i projektów działań
zewnętrznych, takie jak wyniki działań kontrolnych i działań w zakresie
monitorowania, gdzie są one również przetwarzane i przechowywane.
Dane takie mogą być pomocne w zarządzaniu i podejmowaniu decyzji,
a także w ogólnym monitorowaniu realizacji działań zewnętrznych.
Ze względu na swoją rolę związaną z rejestrowaniem wyników kontroli
wewnętrznych i sprawozdawczością w tym zakresie CRIS jest obecnie
jednym z głównych elementów systemu kontroli wewnętrznej Komisji
w zakresie zarządzania działaniami zewnętrznymi.
OPIS CRIS
7.
CRIS jest komputerowym systemem informacyjnym – w dużej mierze
funkcjonuje w oparciu o sprzęt komputerowy i telekomunik acyjny
(sprzęt) oraz procedury elektroniczne (oprogramowanie). Jego oprogramowanie składa się z bazy danych, internetowego interfejsu użytkownika
służącego do wprowadzania i przeglądania danych oraz interfejsu lub
połączenia z systemem rachunkowości Komisji ABAC. Ponieważ opiera
się on na pojedynczej centralnej bazie danych, umożliwia wszystkim
użytkownikom w Komisji i delegaturach UE korzystanie z tych samych
danych.
8.
Struktura interfejsu użytkownika opiera się na różnych modułach, z których większość odpowiada różnym etapom realizacji projektu oraz rocznym cyklom zarządzania, jak przedstawiono na rys. 1. Inne moduły wykorzystuje się do administrowania systemem.
3
Dnia 1 stycznia 2011 r.
służby byłej DG AIDCO i byłej
DG DEV zostały połączone
w nową Dyrekcję Generalną
ds. Rozwoju i Współpracy –
EuropeAid (DG ds. Rozwoju
i Współpracy – EuropeAid);
powszechna nazwa,
pod którą wcześniejsza
DG AIDCO była lepiej
znana – EuropeAid – jest
obecnie używana przez
nową DG ds. Rozwoju
i Współpracy – EuropeAid.
4
Dnia 1 stycznia 2011 r.
była DG ds. Stosunków
Zewnętrznych przestała
istnieć, a większość jej działań
przejęła Europejska Służba
Działań Zewnętrznych
(ESDZ). Jej działalność
finansową przejęła Służba
ds. Instrumentów Polityki
Zagranicznej.
11
RYSUNEK 1
ETAPY REALIZACJI PROJEKTÓW I ROCZNEGO CYKLU ZARZĄDZANIA UWZGLĘDNIONE
W MODUŁACH CRIS
Etap projektu / cyklu zarządzania
Ustalenie polityki
i strategii krajowej
Główne wykorzystywane moduły CRIS
Programowanie
Prognozy finansowe
Decyzje
Zaproszenia do składania ofert/
wniosków
Rejestracja on-line danych potencjalnych
wnioskodawców (PADOR)
Przygotowanie działań
Dane osób prawnych / dane dot.
rachunków bankowych
Umowy ramowe
Projekty
Umowy
Gwarancje finansowe
Faktury/płatności
Prognozy dochodów
Realizacja
i sprawozdawczość
Nakazy odzyskania środków
Kontrola
Monitorowanie pod kątem wyników
(ROM)
Oceny
Źródło: Europejski Trybunał Obrachunkowy.
12
9.
Typowy moduł CRIS posiada międz y innymi funkcje umożliwiające
użytkownikowi:
ο ο tworzenie, modyfikowanie i zatwierdzanie zapisów,
ο ο przeszukiwanie zapisów,
ο ο przeglądanie zapisów i związanych z nimi danych, przy czym niektóre
z nich są automatycznie obliczane przez system,
ο ο załączanie dokumentów do zapisów,
ο ο powiązanie zapisów znajdujących się w różnych modułach.
10. Na przykład moduł „Umowy ” umożliwia uż ytkownikowi przeszukanie
wszystkich zapisów dotyczących umów zawartych z danym beneficjentem. Każdy tak zidentyfikowany zapis dotyczący umowy zazwyczaj zawiera między innymi numer umowy, jej krótki opis, status i rodzaj, nazwę
departamentu i dane osób odpowiedzialnych, strefę geograficzną, której
dotyczy umowa, terminy podpisania umowy i jej zakończenia oraz kwotę umowy i związane z nią pozycje w budżecie. Do zapisu dołączone
są zeskanowane kopie samej umowy i towarzyszących jej załączników.
Ponadto zapis dotyczący umowy jest prawdopodobnie powiązany na
przykład z kilkoma zapisami w module faktur, dotyczącymi faktur otrzymanych od beneficjenta. Z poziomu tego zapisu użytkownik może zatem przechodzić do wszystkich zapisów związanych z danym działaniem
oraz uzyskać bezpośredni wgląd do elektronicznej wersji odpowiednich
dokumentów.
11. Interfejs użytkownika CRIS uzupełniają dwa inne narzędzia:
ο ο system sprawozdawcz y, CRIS Datawarehouse (hurtownia danych
CRIS), który umożliwia użytkownikom agregację danych zawartych
w CRIS, oraz
ο ο system dokumentacji, CRIS Knowledge Base (baza wiedzy CRIS), który
umożliwia użytkownikom dostęp do całej dokumentacji użytkowników CRIS.
12. Z biegiem lat liczba użytkowników CRIS powiększała się. W 2010 r. z CRIS
korzystało 5000 użytkowników indywidualnych, w tym ponad 3000 w delegaturach UE, jak przedstawiono w tabeli. Średnia liczba sesji użytkowników w ciągu typowego dnia roboczego wynosiła 3000.
13
13. Rozwój i utrzymanie CRIS finansuje się ze środków pochodzących z budżetu ogólnego UE i z EFR. Ogólny wnioskowany budżet na roz wój,
utrzymanie i wsparcie CRIS powiększał się w kolejnych latach i w 2011 r.
osiągnął 13 mln euro. Budżetem tym zarządza EuropeAid, która kieruje
rozwojem i utrzymaniem CRIS we współpracy z innymi dyrekcjami generalnymi wykorzystującymi system lub zapewniającymi mu wsparcie.
TABELA
LICZBA UŻYTKOWNIKÓW CRIS W 2010 R.
Miejsce pracy użytkowników
Użytkownicy CRIS w 2010 r.
Liczba sesji w 2010 r.
Delegatury UE
3 095
62%
562 861
70,5%
EuropeAid
1 319
26%
178 993
22,5%
Była DG RELEX
164
3%
7 404
1%
DG ds. Rozszerzenia
277
6%
44 373
5,5%
45
1%
1 222
0%
105
2%
3 683
0,5%
5 005
100%
798 536
100%
DG ds. Pomocy Humanitarnej i Ochrony
Ludności (ECHO)
Inne DG lub departamenty
OGÓŁEM
Źródło: Obliczenia Trybunału na podstawie danych zawartych w CRIS.
14
RAMY PRAWNE
14. Rozporządzenie finansowe Unii Europejskiej 5 wraz z jego przepisami wykonawczymi 6 określa podstawowe zasady wykonania budżetu. W szczególności stanowi ono, że urzędnicy zatwierdzający muszą ustanowić
odpowiednie struktury organizacyjne i procedury kontroli oraz składać
swoim instytucjom sprawozdania z wykonania obowiązków. Zawie ra ono również szczegółowe przepisy dotyczące systemów informacji
finansowych.
5
Rozporządzenie Rady
( WE, Euratom) nr 1605/2002
z dnia 25 czerwca 2002 r.
w sprawie rozporządzenia
finansowego mającego
zastosowanie do budżetu
ogólnego Wspólnot
Europejskich (Dz.U. L 248
z 16.9.2002, s. 1).
6
15. Rozporządzenie ( WE) nr 45/2001 zawiera przepisy dotyczące ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych przez
instytucje i organy Unii Europejskiej.
16. Decyzja Komisji C(2006) 3602 8 przewiduje środki bezpieczeństwa służące do ochrony systemów informacyjnych Komisji oraz przetwarzanych
w nich informacji przed zagrożeniami dla ich dostępności, integralności
i poufności.
7
Rozporządzenie Komisji
(WE, Euratom) nr 2342/2002
z dnia 23 grudnia 2002 r.
ustanawiające szczegółowe
zasady wykonania
rozporządzenia Rady
(WE, Euratom) nr 1605/2002
w sprawie rozporządzenia
finansowego mającego
zastosowanie do budżetu
ogólnego Wspólnot
Europejskich (Dz.U.
L 357 z 31.12.2002, s. 1).
W szczególności art. 48
stanowi, że zarządzanie oraz
systemy i procedury kontroli
wewnętrznej mają na celu
zapewnienie rzetelnego
przedstawienia informacji
dotyczących finansowania
i zarządzania.
7
Rozporządzenie (WE)
nr 45/2001 Parlamentu
Europejskiego i Rady z dnia
18 grudnia 2000 r. o ochronie
osób fizycznych w związku
z przetwarzaniem danych
osobowych przez instytucje
i organy wspólnotowe
i o swobodnym przepływie
takich danych (Dz.U. L 8
z 12.1.2001, s. 1).
8
Zob. przypis 2.
15
ZAKRES KONTROLI I PODEJŚCIE KONTROLNE
17. Ogólne pytanie kontrolne dotyczyło tego, czy CRIS pozwala spełniać
potrzeby informacyjne Komisji w dziedzinie działań zewnętrznych.
18. To ogólne pytanie podzielono na trzy części:
a)
Cz y struktura CRIS poz wala spełniać potrzeby Komisji? (zob.
pkt 24–44)
b)
Cz y informacje dostarczane przez CRIS są wiar ygodne? (zob.
pkt 45–57)
c)
Cz y Komisja wystarczająco zabezpiecz yła CRIS i zawarte w nim
dane? (zob. pkt 58–74)
19. Prace kontrolne odnoszące się konkretnie do części a) i c) polegały głównie na analizie odpowiedniej dokumentacji oraz zapoznaniu się z wyjaśnieniami udzielonymi przez pracowników Komisji podczas wywiadów.
Prace te zasadniczo dotyczyły rozwoju CRIS po 2005 r. Jeżeli dostępna
była odpowiednia dokumentacja, uwzględniono jednak również zdarzenia, które miały miejsce w latach 2000–2005. Ta część kontroli koncentrowała się na dyrekcji EuropeAid, która odgrywa główną rolę w rozwoju
CRIS. W maju 2011 r. Trybunał przeprowadził również elektroniczną ankietę wśród użytkowników CRIS w delegaturach UE.
20. Druga część kontroli – pytanie podrzędne b) – polegała na weryfikacji
wiarygodności informacji dostarczanych przez CRIS. Weryfikację przeprowadzono za pomocą badań bezpośrednich na zbiorach danych zawartych w CRIS. Badania te przeprowadzono na danych bezpośrednio
zaimportowanych z bazy danych CRIS pod koniec marca 2011 r. Miały
one na celu sprawdzenie, czy zapisy danych w CRIS są kompletne, prawidłowe, spójne i aktualne.
21. W zakres kontroli weszły informacje dotyczące wszystkich środków, którymi zarządza się z wykorzystaniem CRIS, pochodzących zarówno z budżetu ogólnego UE, jak i z EFR.
22. W celu zapewnienia wydajności prac, czynności kontrolne skoncentrowano na ośmiu z 21 modułów CRIS, wybranych jako moduły reprezentujące
moduły finansowe i operacyjne 9. Umożliwiło to Trybunałowi przeprowadzenie bardziej szczegółowych badań wybranych modułów, a jednocześnie uzyskanie ogólnego obrazu całego systemu.
23. Celem kontroli nie była ocena bardziej technicznych aspektów CRIS, co
wchodziłoby w zakres kontroli technologii informacyjnej. Jej celem nie
była również ocena opłacalności utrzymania i rozwoju CRIS.
9
Moduły wybrane do
kontroli to „Decyzje”, „Umowy”,
„Dokumentacja dotycząca
osób prawnych”, „Faktury”,
„Prognozy finansowe”,
„Kontrola”, „Oceny” oraz
„Monitorowanie pod kątem
wyników”.
16
UWAGI
POMIMO NIEDOCIĄGNIĘĆ ROZWÓJ CRIS JEST
OBECNIE DOSTOSOWYWANY DO POTRZEB KOMISJI
PROJEKTY ROZWOJU SYSTEMU SĄ OBECNIE REALIZOWANE NA
PODSTAWIE DOBRZE OKREŚLONYCH POTRZEB
24. Zarządzanie w dziedzinie technologii informacyjnej dotyczy struktur
i procesów kierowniczych i organizacyjnych, które zapewniają utrzymanie i rozwój strategii i celów danej organizacji za pomocą technologii
informacyjnej tej organizacji 10.
25. Standardy kontroli wewnętrznej Komisji wymagają istnienia odpowiednich struktury zarządzania w dziedzinie technologii informacyjnej 11 .
W szczególności:
ο ο każda dyrekcja generalna musi określić stosowną organizację zarządzania podlegającymi jej systemami informacyjnymi;
ο ο konieczne jest sporządzanie rocznego schéma directeur (generalnego
planu informatycznego), obejmującego wszystkie zmiany systemu
informacyjnego;
ο ο każdy system informacyjny podlegający dyrekcji generalnej musi
mieć precyzyjnie określonego właściciela, który reprezentuje interes
użytkowników, oraz musi podlegać nadzorowi komitetu sterującego;
ο ο wszystkie nowe projekty systemów informacyjnych muszą być zatwierdzane na podstawie dokumentu koncepcyjnego opisującego
projekt;
ο ο wsz ystkie nowe systemy informacyjne powinny być opracowane
z wykorzystaniem standardowych metod Komisji dotyczących zarządzania projektami i ich rozwoju.
26. Działania te mają na celu doprowadzenie w szczególności do tego, aby
projekty rozwoju systemów informacyjnych odpowiadały potrzebom organizacji, a sposób ich opracowania umożliwiał spełnienie tych potrzeb12.
10
Definicja IT Governance
Institute®, przytoczona
w dokumencie
SEC(2004) 1267 z dnia
20 października 2004 r.
pt. „Communication to
the Commission on the
improvement of information
technology governance in
the Commission” (Komunikat
do Komisji w sprawie
poprawy zarządzania
w dziedzinie technologii
informacyjnej w Komisji).
11
ICS nr 7. Zob. również
SEC(2004) 1267.
12
SEC(2004) 1267 stanowi,
że wszystkie projekty rozwoju
systemów informacyjnych
powinny obejmować
studium projektu / studium
wykonalności objaśniające,
dlaczego system jest
tworzony, jaki jest jego
proponowany cel, jaki jest
planowany sposób jego
osiągnięcia, w jaki sposób
wywiera on wpływ na
organizację oraz jakie będą
jego koszty.
17
27. Trybunał ustalił, że w latach 2005–2008 identyfikowanie potrzeb informacyjnych i ustalanie priorytetów w tym zakresie nie było systematyczne i jasno udokumentowane. Przyczyniło się to do rozwoju systemów
w sposób, który nie odpowiadał potrzebom Komisji, a nawet w skrajnych
przypadkach prowadziło do nieprzydatnych zmian (zob. ramka 1). Zarządzanie większością projektów informatycznych również odbywało się
w sposób stosunkowo nieformalny, z wyjątkiem dużego projektu dotyczącego przejęcia OLAS, systemu informacyjnego używanego wcześniej
na potrzeby działań w ramach EFR.
28. Od 2008 r. Komisja wprowadza bardziej kompleksową strukturę zarządzania w dziedzinie technologii informacyjnej w przypadku CRIS. W szczególności potrzeby informacyjne są obecnie określane i analizowane
w sposób systematyczny. Obecnie wszystkie nowe projekty rozwoju systemów informacyjnych EuropeAid muszą być zatwierdzane na podstawie
dokumentu koncepcyjnego, opisującego cele, rodzaje ryzyka i środki
realizacji projektu. Na tej podstawie EuropeAid sporządza roczny schéma
directeur (generalny plan informatyczny), wyszczególniający wszystkie
projekty planowanych zmian systemu informacyjnego. W prz ypadku
każdego projektu wyznacza się właściciela systemu, który reprezentuje interes użytkowników; duże projekty są nadzorowane przez komitet
sterujący.
29. Ponadto w EuropeAid stosowana jest obecnie metodyk a zarządzania projektem, a nowe projekty rozwoju systemów informacyjnych są
dokumentowane.
RAMKA 1
BRAK WYKORZYSTANIA MODUŁU „OCENY”
Z dokumentu roboczego Komisji z 2004 r. wynika, że moduł CRIS „Oceny” miał zgodnie z planem dawać
pełny obraz ocen okresowych i końcowych zarządzanych przez delegatury i działy operacyjne. Z modułu tego jednak nigdy nie skorzystano i nie zawierał on żadnego zapisu. Komisja nie dysponowała
dokumentacją wyjaśniającą tę sytuację.
18
POTRZEBA AKTUALNEJ DEFINICJI ROLI CRIS
30. Dobra praktyka wymaga, aby przy wszystkich projektach rozwoju systemów informacyjnych sporządzano dokumenty objaśniające, dlaczego
system jest tworzony, jaki jest jego proponowany cel i jaki jest planowany sposób jego osiągnięcia 13 . Trybunał sprawdził, czy dokumenty takie
istniały w przypadku rozwoju CRIS jako całości.
31. Trybunał znalazł dokumenty wskazujące, że w chwili podejmowania
przez Komisję w 2000 r. decyzji o rozwoju CRIS celem tego systemu było
zapewnienie możliwości natychmiastowego dostarczania informacji finansowych dotyczących projektów i programów w dziedzinie działań
zewnętrznych, a w szczególności dostarczania właściwych informacji
o podziale zobowiązań i płatności między kraje i sektory w różnych regionach geograficznych. CRIS miał z założenia uzupełniać system rachunkowości Komisji przez zapewnienie funkcji i informacji bardziej
specyficznych dla dziedziny działań zewnętrznych.
32. W związku z tym w latach 2002–2004 pierwsze moduły CRIS w większości
poświęcono niektórym aspektom zarządzania finansami w dziedzinie
działań zewnętrznych, takim jak decyzje, umowy i faktury. Od tamtej
pory funkcje systemu były jednak stale rozbudowywane, co polegało z właszcza na ujmowaniu w coraz większ ym stopniu operacyjnych
aspektów działań zewnętrznych. Stopniowo dodawano nowe moduły
i dostosowywano moduły już istniejące (zob. rys. 2). Przejęte zostały
również inne systemy informacyjne, które rozszerzyły zakres stosowania
CRIS w dziedzinie działań zewnętrznych 14. W 2005 r. dokonano istotnych
zmian polegających na wprowadzeniu do CRIS funkcji rachunkowości
memoriałowej. Inną istotną zmianą było przejęcie w 2008 r. systemu
OLAS (zob. pkt 27).
33. Od 2002 r. wprowadzono również istotne zmiany w systemie rachunkowości Komisji. W szczególności od chwili wprowadzenia rachunkowości
memoriałowej w 2005 r. i zastąpienia wcześniejszego systemu Sincom2
systemem ABAC zapewnia on wiele nowych funkcji, takich jak rejestracja
umów.
34. Pomimo tych istotnych zmian w CRIS i ABAC Trybunał nie stwierdził
istnienia żadnego dokumentu zawierającego zaktualizowaną definicję
zamierzonej roli CRIS w ogólnym systemie informacyjnym Komisji, jego
celów i precyzyjnego zakresu operacji, które system ten obsługuje.
13
Zob. przypis 12.
14
Od początku
funkcjonowania CRIS kolejno
przejął funkcje i dane
następujących systemów
informacyjnych: Griot (system
informacyjny byłej Dyrekcji
Generalnej DGIA, w 2002 r.),
Désirée (system byłej Dyrekcji
Generalnej DGIB, w latach
2002–2003), MIS (system
informacyjny byłej Dyrekcji
Generalnej DGVIII, w latach
2003–2004) oraz OLAS
(system informacyjny byłej
Dyrekcji Generalnej DEV,
w 2008 r.).
19
RYSUNEK 2
HISTORIA ROZWOJU CRIS
ROK
NOWE MODUŁY CRIS
1999–2002
CRIS
ZMIANY INTERFEJSU
MIĘDZY CRIS I ABAC
UMOWY RAMOWE
DECYZJE
ZOBOWIĄZANIA
PŁATNOŚCI
UMOWY
2002
FAKTURY
FORMULARZE DAC
ZAPROSZENIA DO SKŁADANIA
OFERT/WNIOSKÓW
2003
PROGRAMOWANIE
PROGNOZY FINANSOWE
(wersja 1)
KONTROLA
2004
GWARANCJE FINANSOWE
PROGNOZY DOCHODÓW
2005
2006
ODZYSKIWANIE ŚRODKÓW
FAKTURY
(Istotne zmiany)
UMOWY
FAKTURY
ODZYSKIWANIE ŚRODKÓW
GWARANCJE
MONITOROWANIE POD
KĄTEM WYNIKÓW
2007
2008
2009
PROGNOZY FINANSOWE
2010
Źródło: Europejski Trybunał Obrachunkowy.
20
35. W szczególności nie określono odpowiednio roli CRIS w odniesieniu do
ABAC, którego wiele funkcji zostało powielonych w CRIS. Niejasna była
wartość dodana wynikająca z dalszego kodowania transakcji finansowych
w CRIS, zamiast kodowania ich bezpośrednio w ABAC (zob. ramka 2).
Jednak z powodu tej wzajemnej zależności CRIS i ABAC około jednej
trzeciej zasobów ludzkich działu informatyki EuropeAid zajmuje się uaktualnianiem CRIS w związku z rozwojem ABAC kosztem obsługi operacji
z zakresu działań zewnętrznych.
NIEDOCIĄGNIĘCIA W KODOWANIU DANYCH
36. Zastosowanie kodów danych w systemie informacyjnym umożliwia łatwe
odzyskanie zapisów danych za pomocą narzędzi automatycznego wyszukiwania oraz ich konsolidację do celów sprawozdawczych. Wydajność
i skuteczność systemu, jeśli chodzi o umożliwianie łatwego odzyskiwania
i konsolidacji zapisów danych, w dużej mierze zależy zatem od jakości
i spójności kodów danych.
37. Celem wyznaczonym dla CRIS w 2000 r. było umożliwienie natychmiastowego dostarczania skonsolidowanych informacji finansowych dotyczących projektów i programów w dziedzinie działań zewnętrznych
(zob. pkt 31). Trybunał sprawdził, czy kody danych w CRIS są określone
w sposób umożliwiający osiągnięcie tego celu.
RAMKA 2
NIEEFEKTYWNE PRZENOSZENIE DANYCH MIĘDZY CRIS I ABAC
Interfejs między CRIS i ABAC nie ułatwia wymiany danych. W rzeczywistości ABAC automatycznie
weryfikuje kompletność i spójność danych dotyczących transakcji finansowych przed ich zapisaniem.
Ponieważ weryfikacje wykonane przez ABAC nie są zawsze takie same jak weryfikacje wykonane przez
CRIS, dane dotyczące transakcji finansowych są czasami blokowane przy przenoszeniu ich z CRIS do
ABAC, tj. na późnym etapie procedury zatwierdzania. Następnie dane muszą zostać skorygowane
i zatwierdzone ponownie w CRIS oraz ponownie przeniesione do ABAC.
21
38. Trybunał ustalił, że z powodu kolejnych zmian systemu, które nie były
dostatecznie sformalizowane (zob. pkt 27), doszło do powielenia kilku
z ponad stu list kodowych. Z czasem mogą wystąpić rozbieżności między
powielającymi się listami kodowymi danych. Powodują one również, że
konsolidowanie i uzgadnianie danych staje się bardziej skomplikowane,
czasochłonne i może prowadzić do błędów. Kilka lat temu rozpoczęto
realizację projektu mającego na celu usprawnienie organizacji kodów
danych w CRIS przez przechowywanie ich we wspólnej tabeli. Projektu
jednak nie ukończono, a system pozostał systemem hybrydowym, w którym niektóre listy kodowe danych są nadal przechowywane w oddzielnych lub powielających się tabelach.
39. Trybunał wykrył również kilka list kodowych zawierających wartości, które
nie wykluczały się wzajemnie, co uniemożliwiało skuteczną konsolidację
danych. Na przykład moduł faktur, podobnie jak wiele innych modułów
CRIS, odnosił się do listy kodów oznaczających obszary geograficzne.
W ramach tej listy niektóre kody opisywały kraje, zaś inne – grupy krajów.
Z tego powodu niektóre zapisy dotyczące płatności dokonanych w danym kraju odnosiły się do kodu tego kraju, natomiast inne odnosiły się do
kodu szerszego regionu geograficznego obejmującego ten kraj. Sytuacja
ta spowodowała, że z CRIS nie można łatwo korzystać do celów ustalenia
listy lub całkowitej kwoty płatności dokonanych na rzecz beneficjentów
w danym kraju. Przykład tej sytuacji znajduje się w ramce 3.
40. CRIS nie może być również z łatwością wykorzystywany do obliczania
całkowitej kwoty wydatków na daną politykę ani całkowitej kwoty sfinansowanej z danego instrumentu finansowego. Lista dziedzin stosowana
do powiązania zapisów z wielu modułów CRIS z daną dziedziną obejmuje
strefy geograficzne (np. Azję), instrumenty finansowe (np. TACIS 15) i polityki tematyczne (np. bezpieczeństwo żywnościowe).
15
Pomoc techniczna dla
Wspólnoty Niepodległych
Państw.
RAMKA 3
NIEJEDNOZNACZNE KODY OBSZARÓW GEOGRAFICZNYCH W ZAPISACH
DOTYCZĄCYCH PŁATNOŚCI
Zapis dotyczący płatności w CRIS może odnosić się do Tanzanii, zaś inny może dotycz yć obszaru
geograficznego zwanego „Saharą Południową”. Lista płatności odnosząca się do Tanzanii zawierałaby
pierwszy zapis, lecz nie zapis drugi, chociaż część drugiej płatności mogła zostać przekazana Tanzanii.
22
41. Sytuacja ta powoduje, że konsolidacja zawartych w CRIS danych – zwłaszcza danych finansowych – do celów sprawozdawczych jest szczególnie
skomplikowana. Sytuacja ta jest szkodliwa z punktu widzenia wydajności
i skuteczności CRIS jako narzędzia sprawozdawczości i zarządzania 16.
UTRZYMUJĄCE SIĘ PROBLEMY W ZAKRESIE ŁATWOŚCI UŻYTKOWANIA
42. Zgodnie z dokumentem „Communication to the Commission on the
i mprovement of information technology governance in the Commission” [Komunikat do Komisji w sprawie poprawy zarządzania w dziedzinie
technologii informacyjnej w Komisji] 17 systemy informacyjne muszą być
ukierunkowane na użytkowników i zaspokajanie ich potrzeb. W związku
z tym to użytkownicy powinni odpowiedzieć na pytania dotyczące skuteczności systemu informacyjnego, jeśli chodzi o spełnianie ich potrzeb.
43. W maju 2011 r. Trybunał przeprowadził ankietę wśród użytkowników
CRIS w delegaturach UE, które miało na celu ocenienie, w jakim stopniu
doświadczają oni określonych problemów. Odpowiedzi udzieliły 44 z 92
delegatur, którym przesłano kwestionariusz. Główne wnioski, które można wyciągnąć z analizy tych odpowiedzi, były następujące:
ο ο użytkownicy CRIS zmagają się z problemem długotrwałego i częstego
braku dostępu do systemu (14 z 44 delegatur zgłasza ponadtygodniowy brak dostępu do niego);
ο ο w 2010 r. prawie wszystkie delegatury, które udzieliły odpowiedzi
(41 z 44), zetknęły się z problemem opóźnień w kodowaniu lub zatwierdzaniu transakcji z powodu niedociągnięć w strukturze CRIS 18;
ο ο 21 z 44 respondentów uważało, że z powodu trudności w interpretacji lub tłumaczeniu niektóre kody danych są czasami wpisywane
na zasadzie domysłu;
ο ο 6 z 44 delegatur zgłosiło, że opóźnienia spowodowane CRIS powodują koszty dla Komisji; dwie z tych delegatur przedstawiły związane
z tym szacunkowe kary lub straty w wysokości 300 euro w jednym
przypadku i 3000 euro w drugim.
16
W sprawozdaniu
rocznym dotyczącym
EFR za rok budżetowy
2005 Trybunał zwrócił
uwagę, że „niedociągnięcia
w komputerowym systemie
informacji zarządczej (CRIS),
w szczególności w systemie
kodowania, nie pozwalają
na skuteczny nadzór ogólny
programów mikroprojektów
przez centralne jednostki
Komisji. Na przykład
wciąż trudno uzyskać
wiarygodną listę programów
mikroprojektów, które zostały
zrealizowane lub są w trakcie
realizacji. Jest to problem
bardziej ogólny, dotyczący
nie tylko programów
mikroprojektów (...)”.
W sprawozdaniu rocznym
za rok budżetowy 2006
Trybunał również stwierdził:
„Wspólny System Informacji
Relex (CRIS) zapewnia
dane wykorzystywane do
bieżącego zarządzania
projektami. W dużej mierze
w wyniku istniejących
ograniczeń w zakresie
zdefiniowania danych, system
ten nie zapewnia dostępu do
pewnych pożądanych analiz
informacji finansowych”.
W sprawozdaniu specjalnym
nr 4/2009 pt. „Zarządzanie
przez Komisję udziałem
podmiotów niepaństwowych
we współpracy WE na
rzecz rozwoju” Trybunał
stwierdził: „W chwili obecnej
w EuropeAid nie istnieje
dostępne źródło danych
dotyczących finansowania
PN (...). Dane znajdujące
się we wspólnym systemie
informacji RELEX (CRIS) są
niekompletne, a identyfikacja
zainteresowanych stron
niewiarygodna”.
17
Zob. przypis 12.
44. 18
Wyniki przeprowadzonej przez Trybunał ankiety są potwierdzone wynikami dwóch ankiet przeprowadzonych przez Komisję w latach 2008 i 2010,
które obejmowały użytkowników CRIS zarówno w siedzibie Komisji, jak
i w delegaturach UE. Ankiety te wykazały, że opinie użytkowników o systemie poprawiły się, lecz pozostały mieszane, co przedstawiono na rys. 3.
W sprawozdaniu
rocznym dotyczącym
roku budżetowego 2008
Trybunał odnotował
„występowanie ograniczeń
technicznych, które często
napotykają użytkownicy
systemu i które mogą
wpływać na wiarygodność
przetwarzanych transakcji
(powszechne są przypadki
dokonywania płatności po
terminie ze względu na brak
dostępu do systemu)”.
23
ZARZĄDZANIE CRIS NIE JEST JESZCZE
WYSTARCZAJĄCO SKUTECZNE POD WZGLĘDEM
ZAPEWNIANIA INTEGRALNOŚCI DANYCH
45. 46. Aby system informacyjny był skuteczny, nie może tylko dostarczać
danych, lecz musi także zapewniać ich integralność. Integralność danych dotyczy zdolności systemu informacyjnego do wytworzenia oczekiwanego rezultatu w sposób dokładny i pełny, co świadcz y o jego
wiarygodności 19.
19
Decyzja Komisji
C(2006) 3602.
20
Decyzja Komisji
C(2006) 3602 stanowi,
że systemy informacyjne
o krytycznym znaczeniu
to systemy, w przypadku
których utrata integralności
lub dostępności może
zagrozić pozycji Komisji
względem innych instytucji,
państw członkowskich
i innych stron; przypadki takie
obejmowałyby uszczerbek
dla wizerunku Komisji lub
innych instytucji wśród
państw członkowskich lub
opinii publicznej, bardzo
poważny uszczerbek dla osób
prawnych lub fizycznych,
przekroczenie budżetu lub
znaczną stratę finansową
o bardzo poważnych skutkach
dla finansów Komisji.
Pod względem bezpieczeństwa CRIS jest uważany przez Komisję za system o krytycznym znaczeniu, innymi słowy – za system, w przypadku
którego utrata integralności lub dostępności może zagrozić pozycji Komisji względem innych instytucji, państw członkowskich i innych stron 20.
RYSUNEK 3
ZMIANY OPINII UŻYTKOWNIKÓW CRIS NA TEMAT KILKU ASPEKTÓW SYSTEMU W LATACH
2008–2010 W SKALI OD 1 (NISKA OCENA) DO 5 (OCENA DOSKONAŁA)
Wyszukiwanie
Wiarygodność
Funkcjonalność
Łatwość użytkowania
Dostępność
Elastyczność
Bezpieczeństwo
Dostęp do podręczników
Informacje w podręcznikach
Ocena ogólna
1
2
3
2010
4
5
2008
Źródło: Dokument roboczy Komisji: Results of the Survey 2010 „The CRIS system – your opinion”, luty 2011 r.
24
47. Komisja wprowadziła kilka mechanizmów zabezpieczających, aby pomóc
w osiągnięciu integralności danych zawartych w CRIS:
ο ο w oprogramowanie CRIS wbudowane są funkcje automatycznej
kontroli;
ο ο każda transakcja finansowa wprowadzona do CRIS musi zostać zatwierdzona przez kilku różnych urzędników;
ο ο w EuropeAid niewielka grupa urzędników – zespół ds. jakości danych – sprawdza jakość danych i koordynuje korygowanie znacznej
liczby nieprawidłowych lub brakujących danych 21;
ο ο sprawozdania z kontroli wewnętrznych i zewnętrznych regularnie
zawierają informacje o systemowych problemach z jakością danych
oraz zalecenia w tym zakresie;
ο ο problemy z jakością danych ujawniają również kontrole ex post prowadzone na próbach transakcji finansowych.
48. Trybunał przeprowadził badania bezpośrednie na zbiorach zapisów danych w CRIS w celu zweryfikowania skuteczności systemu informacyjnego pod względem zapewniania integralności danych. W szczególności
Trybunał sprawdził, czy określone zapisy danych były kompletne, prawidłowe i aktualne.
Kompletne
Wszystkie transakcje są zapisane i wszystkie odpowiednie pola danych
zostały wypełnione.
Prawidłowe
Dane są spójne w całym systemie informacyjnym (zapisy nie są
wzajemnie sprzeczne), a zapisy danych odzwierciedlają rzeczywistą
sytuację.
Aktualne
Informacje są wprowadzane w terminie.
BRAKUJĄCE ZAPISY DANYCH
49. Trybunał wykrył zapisy dotyczące faktur, które zostały bezpośrednio
zakodowane w ABAC zamiast w CRIS. Z tego powodu w CRIS trzeba
było czasami tworzyć zapisy dotyczące płatności ryczałtowych, aby zbilansować całkowite kwoty znajdujące się w CRIS i ABAC. Trybunał wykrył 118 takich zapisów uzgadniających dane (31 zapisów w 2009 r., na
łączną kwotę 65 mln euro, oraz 87 zapisów w 2010 r., na łączną kwotę
175 mln euro). Te zapisy dotyczące płatności ryczałtowych nie zrekompensowały braku szczegółowych informacji w zapisach znajdujących się
w CRIS. W szczególności nie przypisano ich określonemu obszarowi geograficznemu (zob. pkt 39). Bezpośrednie kodowanie zapisów dotyczących
faktur w ABAC podważa zdolność CRIS do podawania skonsolidowanych
informacji.
21
Według dokumentów
Komisji dotyczących
zarządzania w 2010 r.
zespół ds. jakości danych
zidentyfikował 80 000
przypadków anomalii danych
i skoordynował korektę
ponad 70 000 z nich.
25
50. Nie wykorzystywano jeszcze w systematyczny sposób możliwości załączania dokumentów do zapisów danych. Na przykład do jednej trzeciej
zamkniętych lub bieżących zapisów dotyczących decyzji, które zaktualizowano w 2010 r., nie załączono dokumentów. Dokumentów nie załączono również do 14% zamkniętych lub bieżących zapisów dotyczących
umów podpisanych w roku 2009 lub 2010. Ogranicza to wydajność i skuteczność systemu pod względem zarządzania projektami i dostępu do
dokumentów.
51. Ponadto Trybunał stwierdził przypadki, w których nie korzystano z zapewnianej przez CRIS możliwości powiązania zapisów zawartych w różnych modułach i odnoszących się do tego samego projektu, co pozwala
użytkownikom na przechodzenie między wszystkimi zapisami dotyczącymi danego działania (zob. pkt 10). Na przykład 9000 ze 105 000 zapisów dotyczących umów (9%) nie powiązano z żadną decyzją w sprawie
finansowania. Z żadnym zapisem dotyczącym umowy lub decyzji nie
powiązano również ponad 300 z 3000 zamkniętych lub bieżących zapisów dotyczących kontroli 22 (10%) 23. Zmniejsza to efektywność CRIS jako
narzędzia zarządzania projektami.
52. Jako członek Komitetu Pomocy Rozwojowej (DAC) OECD Komisja regularnie składa OECD sprawozdania dotyczące działań zewnętrznych
związanych z pomocą. Wymaga to klasyfikacji odpowiednich działań
według standardowych kategorii (kody sektorowe DAC). W CRIS zapisy
dotyczące umów i projektów mogą być powiązane z kodem sektorowym
DAC. Chociaż prawie wszystkie zapisy dotyczące umów zostały powiązane z takim kodem, jedynie 30% zapisów dotyczących projektów zostało
w ten sposób powiązanych. Sytuacja ta uniemożliwia wykorzystanie danych zawartych w CRIS do sporządzenia wiarygodnych statystyk według
kodyfikacji DAC OECD (zob. ramka 4).
22
Dotyczą one kontroli
działań zewnętrznych, które
są z reguły prowadzone przez
zewnętrzne firmy audytorskie
wynajęte przez Komisję.
23
W sprawozdaniu
rocznym dotyczącym
roku budżetowego 2004
Trybunał zwrócił już uwagę,
że „informacje dotyczące
wszystkich kontroli, również
tych zlecanych przez
organizacje wdrażające,
[powinny być] rejestrowane
w CRIS i połączone
z odpowiednimi informacjami
na temat zarządzania
projektem”. Podobne
zalecenie sfomułowano także
w sprawozdaniu rocznym
Trybunału dotyczącym roku
budżetowego 2005.
RAMKA 4
NIE MOŻNA UTWORZYĆ LIST PROJEKTÓW WEDŁUG KODÓW SEKTOROWYCH DAC
Ponieważ jedynie 30% zawartych w CRIS zapisów dotyczących projektów zawiera kod sektorowy DAC,
wyszukiwanie wszystkich zapisów dotyczących projektów związanych na przykład z „ochroną zasobów
wodnych” zwróciłoby listę odpowiednich projektów, która najprawdopodobniej byłaby niekompletna
i niewiarygodna.
26
NIEPRAWIDŁOWE ZAPISY DANYCH
53. Trybunał nie wykrył w CRIS powielających się zapisów finansowych, tj.
zapisów dotyczących transakcji, które byłyby wprowadzone więcej niż
jeden raz.
54. Trybunał wykrył jednak zapisy, które nie opierały się na faktycznej transakcji finansowej lub zdarzeniu operacyjnym. Zapisy te, nazywane powszechnie przez użytkowników CRIS zapisami „fikcyjnymi”, były czasami tworzone w celu zaradzenia technicznym ograniczeniom systemu.
W szczególności 100 z 15 000 zapisów dotyczących umów, które zamknięto w CRIS w latach 2009 i 2010, okazało się „fikcyjnymi”. Obecność
takich zapisów może powodować tendencyjność skonsolidowanych danych i może być również myląca dla użytkowników, powodując błędy
i brak efektywności.
55. Trybunał wykrył zapisy w CRIS zawierające niespójne wartości danych.
Na przykład:
ο ο 2% z 6000 zapisów dotyczących kontroli miało status tymczasowy,
chociaż zapisy pokazywały przeszłą datę wpłynięcia sprawozdania
końcowego;
ο ο 7% z 2300 zamkniętych zapisów dotyczących umów podpisanych
w roku 2009 lub 2010 było opatrzonych datą podpisania późniejszą
niż data rozpoczęcia realizacji;
ο ο 1% z 5000 zapisów dotyczących decyzji miało status bieżący, chociaż
zapisy wskazywały termin zamknięcia, który już upłynął.
Takie niespójności często wskazują na obecność nieprawidłowych zapisów danych lub błędów administracyjnych 24.
56. Trybunał wykrył zapisy, które wykazywały różnice między CRIS a ABAC
Datawarehouse (hurtownią danych ABAC), centralnym systemem Komisji
wykorzystywanym do dostarczania kadrze zarządzającej skonsolidowanych informacji finansowych i księgowych.
24
W sprawozdaniu
rocznym za rok budżetowy
2008 Trybunał stwierdził:
„Podczas badania transakcji
odnotowano, że informacje
w CRIS nie zawsze są
w pełni ścisłe. Wykryto
błędy w kodowaniu danych
dotyczących zarówno
płatności, jak i zobowiązań
(jak np. w przypadku
projektów lub umów,
którym przyporządkowano
nieprawidłowy kod kraju
CRIS). Inne błędy mogły
wpłynąć na wiarygodność
sprawozdania finansowego
Komisji (np. błędy dotyczące
terminów wygaśnięcia
gwarancji bankowych
i trybów zarządzania
projektami/umowami)”.
27
OPÓŹNIENIA WE WPROWADZANIU DANYCH
57. Co do terminowości rejestracji danych w CRIS, Trybunał wykrył zapisy,
w przypadku których wystąpiły opóźnienia w rejestracji zdarzenia gospodarczego w systemie. Na przykład normą Komisji jest wprowadzanie
faktur w ciągu pięciu dni od ich wpłynięcia. W 2010 r. jedynie połowa
faktur została jednak wprowadzona w CRIS w takim terminie, zaś 13%
faktur nadal nie było wprowadzonych miesiąc po ich wpłynięciu. Podobnie w 2010 r. upływało średnio sześć tygodni między otrzymaniem
sprawozdania z kontroli przez Komisję a jego załączeniem do odpowiedniego zapisu CRIS dotyczącego kontroli.
NIEDOSTATECZNE ZABEZPIECZENIE SYSTEMU
I ZAWARTYCH W NIM DANYCH
NIEPRECYZYJNA DEFINICJA OBOWIĄZKÓW W ZAKRESIE
BEZPIECZEŃSTWA DANYCH
58. Decyzja Komisji C(2006) 3602 w sprawie bezpieczeństwa jej systemów
informacyjnych 25 stanowi, że każdy dyrektor generalny musi wyznaczyć
co najmniej jednego lokalnego urzędnika ds. bezpieczeństwa informacji, odpowiedzialnego za zapewnienie wprowadzenia przez dostawców
usług informatycznych i dostawców systemów odpowiednich środków
bezpieczeństwa. Stanowi ona również, że dyrekcje generalne mogą
powierzyć całość lub część realizacji swoich planów bezpieczeństwa
i zarządzania nimi departamentom horyzontalnym, takim jak Dyrekcja
Generalna ds. Informatyki. W takich przypadkach dyrekcje generalne
muszą jednak zapewnić stosowanie przez ten departament niezbędnych
środków bezpieczeństwa. Warunki powierzenia wykonania tych zadań
muszą zostać zapisane w umowie o gwarantowanym poziomie usług
zawartej pomiędzy stronami, określającej w szczególności środki służące
do monitorowania jej wykonania.
59. Ponadto rozporządzenie finansowe stanowi, że księgowy instytucji jest
odpowiedzialny za stwierdzanie prawidłowości systemów informacyjnych opracowanych w celu dostarczania i potwierdzania informacji księgowych 26. Przepisy wykonawcze do rozporządzenia finansowego stanowią, że księgowy musi wydać zgodę na modyfikację takich systemów 27.
60. Trybunał ustalił, że procedury i obowiązki w zakresie przydzielania, utrzymywania i cofania praw dostępu użytkowników CRIS były udokumentowane. Na poziomie bardziej ogólnym obowiązki w zakresie zarządzania
CRIS nie były jednak precyz yjnie ustalone. W szczególności CRIS nie
wchodził w zakres obowiązków lokalnego urzędnika ds. bezpieczeństwa
informacji EuropeAid.
25
Zob. przypis 2.
26
Art. 61 rozporządzenia
finansowego stanowi, że
każda z instytucji wyznacza
księgowego, który jest
odpowiedzialny w tej
instytucji za określanie
i stwierdzanie prawidłowości
systemów rachunkowości
i w stosownych przypadkach
stwierdzanie prawidłowości
systemów opracowanych
przez urzędnika
zatwierdzającego, w celu
dostarczania i potwierdzania
informacji księgowych.
27
Art. 57 przepisów
wykonawczych do
rozporządzenia finansowego
stanowi, że w przypadku
gdy systemy zarządzania
finansami utworzone przez
urzędnika zatwierdzającego
dostarczają dane dotyczące
rachunków instytucji
lub są wykorzystywane
do uzasadnienia danych
zawartych w tych
rachunkach, księgowy
musi wydać zgodę
na wprowadzenie lub
modyfikację takich systemów.
28
61. Nie została podpisana umowa o gwarantowanym poziomie usług pomiędzy EuropeAid, właścicielem systemu CRIS i Dyrekcją Generalną ds. Informatyki, której dyrekcja EuropeAid powierzyła obowiązki, w szczególności
w zakresie zabezpieczenia serwerów, na których przechowywane są dane
i oprogramowanie CRIS. Bez takiego dokumentu obowiązki odpowiednich dyrektorów generalnych są niejasne.
28
W momencie kontroli
prowadzonej przez Trybunał
CRIS nie był jeszcze
zatwierdzony w zakresie
informacji księgowych
dotyczących operacji
finansowanych z EFR.
29
ICS nr 12.
62. W lipcu 2008 r. księgowy Komisji stwierdził prawidłowość CRIS jako lokalnego systemu dostarczania i potwierdzania informacji księgowych
dotyczących operacji finansowanych z budżetu ogólnego UE 28. Chociaż
w 2010 r. w CRIS wprowadzono znaczące modyfikacje, system ten nie
widniał w wykazie zmian za ten rok, przekazanym księgowemu Komisji,
co było sprzeczne z przepisami wykonawczymi do rozporządzenia finansowego (zob. pkt 59).
NIEDOCIĄGNIĘCIA PODWAŻAJĄ ZDOLNOŚĆ SYSTEMU DO
ZACHOWANIA POUFNOŚCI I INTEGRALNOŚCI DANYCH
63. Standardy kontroli wewnętrznej Komisji wymagają, aby systemy informatyczne wykorzystywane przez dyrekcję generalną były chronione przed
zagrożeniami dla ich poufności i integralności 29.
64. Trybunał wykrył dwa problemy, które rodzą wątpliwości co do zdolności CRIS do zachowania poufności (zob. pkt 65) i integralności danych
(zob. pkt 67).
65. Poufność danych dotyczy w szczególności zastrzeżonego charakteru
danych, do których dostęp mają wyłącznie osoby upoważnione 30. W przypadku CRIS dostęp do systemu jest automatycznie przyznawany pracownikom etatowym Komisji i użytkownikom zewnętrznym w DG ds.
Rozwoju i Współpracy – EuropeAid, DG ds. Rozszerzenia, DG ds. Pomocy
Humanitarnej i Ochrony Ludności (ECHO), Służbie ds. Instrumentów Polityki Zagranicznej oraz pracownikom Komisji w delegaturach UE. Na
wniosek dostęp jest również przyznawany użytkownikom zewnętrznym
zatrudnionym na czas określony w tych samych departamentach oraz
pracownikom innych departamentów i Europejskiego Trybunału Obrachunkowego. W niektórych przypadkach dostęp do systemu uzyskują
również użytkownicy spoza instytucji.
30
Zob. przypis 2.
29
66. 67. CRIS nie zawiera jednak standardowego mechanizmu służącego do ograniczania praw dostępu użytkowników do określonych kategorii danych.
W dwóch konkretnych przypadkach konieczne było opracowanie doraźnego mechanizmu technicznego, aby dostęp do dokumentów szczególnie chronionych nie przysługiwał wszystkim użytkownikom 31. Oprócz
tych dwóch wyjątków wszyscy użytkownicy CRIS mają automatyczny
dostęp do wsz ystkich danych zawartych w CRIS. Sytuacja ta podaje
w wątpliwość poufność danych znajdujących się w CRIS, w szczególności w przypadku nielicznych zewnętrznych użytkowników systemu.
Aby zapewnić integralność danych, trzeba podjąć działania w celu
zagwarantowania możliwości zmiany systemu informacyjnego i przetwarzanych informacji wyłącznie w drodze zamierzonej i uzasadnionej
czynności 32. Wśród funkcji CRIS znajdują się mechanizmy umożliwiające
pracownikom finansowym zatwierdzanie transakcji w systemie 33. Trybunał wykrył zapisy potwierdzeń finansowych dokonanych przez upoważnionego użytkownika, które zostały zmienione przez inną osobę.
31
Doraźne ograniczenia
dostępu dla użytkownika
utworzono w przypadku
modułu dotyczącego
zaproszeń do składania ofert
i zapisów dotyczących umów,
które oznaczono jako poufne.
32
Zob. przypis 2.
33
finansowego stanowi,
że „W przypadku gdy
operacje po stronie
dochodów i wydatków są
administrowane przy pomocy
systemów komputerowych,
podpisy mogą być składane
przy wykorzystaniu procedur
komputerowych lub
elektronicznych”.
34
(WE, Euratom) nr 2342/2002.
NIEKOMPLETNA DOKUMENTACJA SYSTEMU
68. Dokumentacja systemu jest dla twórców oprogramowania i użytkowników systemu istotnym narzędziem służącym do zapewnienia bezpieczeństwa danych, a w szczególności ich integralności. Umożliwia im ona
zrozumienie sposobu traktowania danych przez system oraz sposobu
interpretacji kodów. W szczególności umożliwia ona twórcom oprogramowania zachowanie spójności systemu przy jego dostosowywaniu,
a użytkownikom wprowadzanie prawidłowych danych w odpowiednim
miejscu. Przepisy wykonawcze do rozporządzenia finansowego stanowią,
że w przypadku systemów komputerowych używanych do przetwarzania operacji wykonywania budżetu wymagany jest pełny i aktualny opis
tych systemów 34. Każdy taki opis musi określać zawartość wszystkich pól
danych i opisywać, w jaki sposób system traktuje każdą indywidualną
operację. Musi on także pokazywać szczegółowo, w jaki sposób system
gwarantuje istnienie pełnej ścieżki audytu dla każdej operacji.
69. Trybunał ustalił, że w przypadku dwóch z ośmiu modułów CRIS wybranych do kontroli (zob. pkt 22) brakowało dokumentacji dotyczącej zawartości pól danych – glosariusza danych. W przypadku sześciu pozostałych
modułów glosariusz danych był kompletny i aktualny.
30
70. W przypadku wszystkich modułów wybranych do kontroli dostępna była
dokumentacja dotycząca analizy funkcjonalnej, opisująca sposób przetwarzania poszczególnych operacji przez system. Na bardziej ogólnym
poziomie techniczna struktura systemu była jednak niedostatecznie udokumentowana. Na przykład nie udokumentowano powiązań zapewniających integralność między różnymi tabelami danych w CRIS 35.
71. Oprócz modułu dot yczącego ocen, którego nie w yk or z yst y wano
(zob. ramka 1), Trybunał ustalił również, że w przypadku każdego skontrolowanego modułu dostępny był podręcznik użytkownika. W trzech
z siedmiu przypadków podręcznik użytkownika był jednak nieaktualny
lub niekompletny.
72. CRIS zawiera system ścieżki audytu, który zasadniczo umożliwia odtworzenie historii modyfikacji danych, tj. czynności przeprowadzonych
na danym zapisie ze wskazaniem użytkownika i czasu. Dane dotyczące ścieżki audytu nie były jednak dostępne dla uż ytkowników przez
interfejs użytkownika CRIS; dostęp do nich mieli jedynie pracownicy
ds. informatyki, a ich interpretacja wymagała dużej znajomości struktury
inf ormatycznej systemu. Ogranicza to potencjalną przydatność ścieżki
audytu do sytuacji wyjątkowych, w których należy wystąpić z wnioskiem
o dostęp.
NIEDOSTATECZNE MONITOROWANIE PRZETWARZANIA DANYCH
OSOBOWYCH
73. Rozporządzenie ( WE) nr 45/2001 zawiera przepisy dotyczące przetwarzania danych osobowych. W szczególności stanowi ono, że administrator
danych musi powiadomić zawczasu inspektora ochrony danych Komisji 36.
74. Administratorzy danych przesłali inspektorowi ochrony danych Komisji cztery powiadomienia dotyczące przetwarzania danych osobowych
w CRIS. Jedno dotyczyło CRIS jako całości, a pozostałe trzy dotyczyły
konkretnych modułów. Trybunał zidentyfikował dokumenty zawierające
dane osobowe, które były załączone do zapisów w CRIS, lecz których nie
dotyczyły te powiadomienia. Wśród nich znalazło się ponad 2000 życiorysów załączonych do zapisów w kilku modułach CRIS, do których dostęp
mieli w związku z tym wszyscy użytkownicy CRIS (zob. pkt 65 i 66).
35
Powiązanie takie polega
na przykład na tym, że zapis
w module dotyczącym umów
nie może zostać usunięty
z systemu, jeżeli odnosi się
do niego zapis w module
dotyczącym płatności;
to konkretne powiązanie
oznaczałoby, że zawsze
można znaleźć umowę
związaną z daną płatnością,
czyli nie istniałyby płatności
„sieroce”.
36
Art. 25 rozporządzenia (WE)
nr 45/2001 stanowi, że
„Administrator powiadomi
zawczasu inspektora ochrony
danych o każdej operacji
przetwarzania lub zestawie
takich operacji, które mają
służyć jednemu celowi lub
kilku związanym celom”.
31
WNIOSKI I ZALECENIA
75. Trybunał stwierdza, że CRIS jest na ogół skuteczny, jeśli chodzi o spełnianie potrzeb informacyjnych Komisji w dziedzinie działań zewnętrznych.
Po dziesięciu latach rozwoju nadal występują w nim jednak niedociąg
nięcia. Dotyczą one w szczególności definicji roli CRIS w odniesieniu do
systemu rachunkowości Komisji, niedociągnięć w kodowaniu danych,
niedostatecznej skuteczności pod względem zapewnienia integralności danych oraz, ogólnie niewystarczającego bezpieczeństwa systemu
i zawartych w nim danych. Niektóre z poczynionych uwag potwierdzają
inne uwagi przedstawione w poprzednich sprawozdaniach Trybunału.
76. Przy uruchamianiu CRIS w 2002 r. celem Komisji było umożliwienie natychmiastowego dostarczania skonsolidowanych informacji finansowych
dotyczących projektów i programów w dziedzinie działań zewnętrznych.
Od tamtego czasu CRIS był nieustannie dostosowywany do nowych konkretnych potrzeb informacyjnych, a zmiany te spowodowały znaczną
modyfikację systemu. W szczególności, oprócz finansowych aspektów
działań zewnętrznych, CRIS obejmuje obecnie wiele ich aspektów operacyjnych. Tymczasem system informacji księgowych Komisji również ule gał zmianom, których skutkiem było wiele nowych funkcji. Pomimo tych
zmian nie określono jednak nowej definicji roli i celów CRIS. W szczególności rola CRIS nie jest już odpowiednio określona w stosunku do roli
systemu rachunkowości Komisji, którego wiele funkcji CRIS powiela.
ZALECENIE 1
Należy zdefiniować zamierzoną rolę CRIS jako systemu informacyjnego, zwłaszcza w odniesieniu do systemu rachunkowości Komisji ABAC.
W szczególności Komisja powinna dążyć do ograniczenia powielania
funkcji ABAC w CRIS.
77. Od 2008 r. Komisja podejmuje działania w celu zapewnienia takiego rozwoju CRIS, który umożliwiałby spełnianie dobrze określonych potrzeb
informacyjnych. Obecnie wszystkie projekty rozwoju CRIS są zatwierdzane na podstawie dokumentu koncepcyjnego, opisującego cele, rodzaje
ryzyka i środki realizacji projektu. Ponadto stosowana jest obecnie metodyka zarządzania projektem.
32
78. Kolejne i niewystarczająco sformalizowane zmiany CRIS w latach 2005–
2008 spowodowały, że kody danych zawartych w systemie nie są dobrze
określone. Trybunał ustalił, że kilka list kodowych powielało się, zaś inne
zawierały kody, które wzajemnie się nie wykluczały. W związku z tym
konsolidacja danych w CRIS jest szczególnie skomplikowana i może prowadzić do błędów. W szczególności z CRIS nie można łatwo korzystać,
aby uzyskać zagregowane dane dotyczące działań zewnętrznych według
krajów będących beneficjentami, instrumentów finansowych lub dziedzin polityki.
79. W zakresie integralności danych zawartych w CRIS Trybunał ustalił, że
brakuje niektórych informacji, a inne są nieprawidłowe lub nieaktualne.
Podważyło to wiarygodność oraz wydajność i skuteczność systemu jako
narzędzia zarządzania.
ZALECENIE 2
Listy kodowe danych zawartych w CRIS powinny zostać zracjonalizowane, tak aby były niepowtarzalne, a przypisane im wartości danych wzajemnie się wykluczały. Ponadto obecne mechanizmy kontroli jakości danych (kontrole, procesy) powinny zostać zweryfikowane i wzmocnione,
tak aby zagwarantować wiarygodność danych. Środki te powinny mieć
na celu w szczególności zapewnienie skuteczności i wydajności CRIS, jeśli chodzi o dostarczanie zagregowanych informacji według krajów będących beneficjentami, dziedzin polityki i instrumentów finansowych.
80. Ankieta przeprowadzona przez Trybunał wśród użytkowników CRIS w delegaturach UE wykazała, że mają oni trudności z użytkowaniem systemu.
W szczególności zgłaszali oni problem długotrwałego i częstego braku
dostępu do systemu, opóźnienia w zapisywaniu transakcji wynikające
z niedociągnięć w koncepcyjnym opracowaniu systemu oraz trudności
w interpretacji kodów danych.
ZALECENIE 3
Biorąc pod uwagę znaczną liczbę oraz zróżnicowanie użytkowników
CRIS, przy przyszłych zmianach CRIS należy zwrócić odpowiednią uwagę na poprawę łatwości użytkowania.
33
81. Trybunał ustalił, że Komisja jak dotąd nie zabezpieczyła wystarczająco
systemu i zawartych w nim danych. Chociaż istniały procedury dotyczące administrowania prawami dostępu dla użytkowników, nie określono
precyzyjnie obowiązków w zakresie zapewnienia bezpieczeństwa danych
zawartych w CRIS. Ponadto niektóre niedociągnięcia w systemie ograniczyły jego wydajność i skuteczność, jeśli chodzi o zachowanie poufności
i integralności danych. Trybunał ustalił również, że przetwarzanie danych
osobowych było niedostatecznie monitorowane.
ZALECENIE 4
Należy określić obowiązki w zakresie zarządzania bezpieczeństwem danych zawartych w CRIS. Konieczne jest przeprowadzenie ogólnej oceny
ryzyka związanego z technologią informacyjną. Należy odpowiednio
zadbać w szczególności o ochronę danych osobowych i finansowych.
N i n i e j s z e s p r a w o z d a n i e z o s t a ł o p r z y j ę t e p r z e z I z b ę I V, k tó r e j
przewodniczył Karel PINXTEN, członek Trybunału Obrachunkowego, na
posiedzeniu w Luksemburgu w dniu 6 marca 2012 r.
W imieniu
Tr ybunału O brachunkowego
Vítor Manuel da SILVA CALDEIRA
Prezes
34
ODPOWIEDZI
KOMISJI
STRESZCZENIE
IV.
Proszę zobaczyć odpowiedź Komisji na pkt 75.
V.
Jeśli chodzi o rolę CRIS, proszę zobaczyć również odpowiedź Komisji na pkt 76 i zalecenie 1.
Jeśli chodzi o kwestię powielania funkcji, proszę zobaczyć
odpowiedzi Komisji na pkt 35, 76 i zalecenie 1.
VI.
VII.
VIII.
IX. a)
CRIS jest systemem informacji zarządczej dyrekcji generalnych Komisji odpowiedzialnych za stosunki zewnętrzne 1 .
Jest to zintegrowany system obejmując y bezpośredni
inter fejs łączący go z systemem rachunkowości Komisji
(ABAC), przez co optymalizuje szereg narzędzi wykorzystywanych w codziennej pracy przez personel zajmujący
się współpracą zewnętrzną. Jego cele zostały zdefiniowane
w grudniu 2011 r. w dokumencie „Stratégie des systèmes
d’information de la DG EuropeAid jusque 2016” (Strategia
systemów informacyjnych DG EuropeAid do 2016 r.).
W procesie racjonalizacji własnego środowiska informatycznego Komisja pracuje obecnie nad lepszą integracją
wszystkich swoich systemów. Cel polegający na ograniczeniu powielania funkcji ABAC zostanie osiągnięty przez bezpośrednie wykorzystywanie funkcji ABAC z systemu CRIS
za pośrednictwem usług internetowych ABAC. EuropeAid
uczestniczy w rozpoczętym w tym celu projekcie pilotażowym, którym objęta jest cała Komisja.
1
Jedynie częściowo w odniesieniu do DG ds. Pomocy Humanitarnej
i Ochrony Ludności (ECHO).
35
ODPOWIEDZI
KOMISJI
WPROWADZENIE
IX. b)
2.
Komisja będzie kontynuować starania na rzecz monitorowania danych i poprawy procesów zatwierdzania danych
w CRIS. W tej dziedzinie podjęto już szereg różnych działań, na przykład na początku 2009 r. wyznaczono właścicieli
danych w celu zarządzania kodami danych i definiowania
standardów, które mają być wdrażane.
Proszę zobaczyć definicję Komisji dla systemu CRIS w pkt IX
lit. a).
IX. c)
Złożoność otoczenia gospodarczego i różnorodność ról
i obowiązk ów uż ytk ownik ów w nieunik niony sposób
prowadzi do pewnego stopnia złożoności w tak zintegrowanym systemie. Komisja prz yjmuje jednak to zalecenie. Poprawa projektu pod kątem łatwości uż ytkowania jest głównym celem między innymi w następujących
projektach:
Już od samego początku w 2002 r. system CRIS był zaprojektowany do celów zarządzania operacyjnego oraz finansowego. W tamtym okresie aspekty dotyczące zarządzania
operacyjnego (główne procesy gospodarcze) były przetwarzane w modułach działań/projektów i programowania.
UWAGI
27.
– przeprojektowanie modułu kontroli.
Sytuacja opisana pr zez Tr ybunał miała miejsce pr zed
2009 r., kiedy ustanowiono nowy system zarządzania oraz
przeprowadzono reorganizację działu IT. Obecnie wszystkie zmiany w systemach są poprzedzone sporządzeniem
kompletnej dokumentacji procesów (identyfikacja, zatwierdzenie, ustalenie priorytetów, analiza, opracowanie, testy).
Komisja przeprowadziła również modelowanie swoich procesów gospodarczych, z zamiarem lepszego dostosowania
do nich specyfikacji funkcjonalnych systemu.
IX. d)
Ramka 1
Ogólna ocena ryzyka związanego z technologią informacyjną zostanie rozpoczęta w 2012 r., a Komisja wyznaczy
lokalnego urzędnika ds. bezpieczeństwa informacji odpowiedzialnego za system CRIS.
Istniejący w ramach CRIS ograniczony moduł oceny został
wprowadzony z zamiarem utworzenia bardzo prostej bazy
danych ocen do celów sprawozdawczych. Później okazało
się, że potrzeby zmieniły się i stały się bardziej złożone niż
początkowo przewidywano, dlatego ostatecznie postanowiono opracować bardziej ambitny projekt o naz wie
„Ocena zarządzania cyklem projektów (PCM)”, który byłby
w stanie wspierać cały proces oceny w kompletnej nowej
strukturze technicznej. Zgodnie z planem projekt ten ma
zostać zrealizowany w 2013 r. i bez wątpienia wniesie więcej wartości dodanej do całego procesu oceny.
– projekt dotyczący większej liczby środków na zobowiązania w zakresie modułów dotyczących umów i decyzji,
– projekt dotyczący optymalizacji fakturowania oraz
31.
Jednym z głównych celów ustanowienia i opracowania systemu CRIS była również potrzeba zracjonalizowania trzech
systemów wykorzystywanych przez byłe DG1A, DG1B i DG8
po połączeniu tych trzech służb. Komisja nie chciała nadal
utrzymywać trzech różnych systemów o różnych interfejsach dostępu do ABAC.
36
ODPOWIEDZI
KOMISJI
34.
38.
Jeśli chodzi o definicję roli CRIS, proszę zobaczyć odpowiedź na pkt IX lit. a).
Obecnie realizowane są dwa projekty dotyczące zarządzania kodami w celu zaradzenia powielaniu list kodów
danych. Pierwszy z tych projektów ma na celu centralizację
i konsolidację danych referencyjnych oraz zaoferowanie
systemom informatycznym usług powielania. Drugi jest
kontynuacją pierwszego i ma na celu reorganizację sposobu przechowywania list kodów w CRIS.
Jego cele zostały zdefiniowane w grudniu 2011 r. w dokumencie „Stratégie des systèmes d’information de la DG
EuropeAid jusque 2016” (Strategia systemów informacyjnych DG EuropeAid do 2016 r.).
35.
System CRIS daje uż ytkownikom możliwość zarządzania danymi operacyjnymi i finansowymi dotyczącymi ich
projektów za pośrednictwem jednego zintegrowanego
narzędzia.
Jeśli chodzi o k westię powielania funk cji, w momencie tworzenia systemu CRIS nie dało się uniknąć powielania funkcji do pewnego stopnia, ponieważ okazało się,
że trudno byłoby stosować centralny system bezpośrednio (SIKCOM II nie był wówczas systemem internetowym)
w różnych świeżo powołanych delegaturach UE w procesie decentralizacji. Po wprowadzeniu w 2005 r. nowego
systemu rachunkowości (ABAC Workflow – ABAC Przepływ
dokumentów) i głównych priorytetów na kolejne lata (integracja EFR, nowe moduły), Komisja rozpoczęła prace nad
poprawą tej sytuacji wraz z racjonalizacją swojej struktury
informatycznej. Proces ten, zapoczątkowany w 2010 r.,
s ł u ż y w y j a ś n i e n i u w n i e z b ę d ny c h p r z y p a d k a c h ro l i
poszczególnych aplikacji Komisji i doprowadzi do absorpcji
lub integracji systemów, co pozwoli znacząco ograniczyć
powielanie funkcji.
Powielanie funkcji nie pociąga za sobą powielania w procesie kodowania danych.
Jeśli chodzi o wzajemną zależność CRIS i ABAC, skutki pod
względem zasobów zostały doprecyzowane w grudniu
2011 r. i doprowadziły do powstania nowych szacunków
przewidujących jedną szóstą zasobów informatycznych.
Ramka 2
W nowej strukturze ABAC jej usługi zatwierdzania będą
dostępne dla wszystkich systemów lokalnych. W związku
z tym przed przesłaniem transakcji do ABAC w celu zapisania system CRIS będzie korz ystał z tych usług zatwierdzania w celu poinformowania użytkowników końcowych
o błędach kodowania, tak aby mogli wprowadzić niezbędne
korekty lub w celu automatycznego uruchomienia usług
zapisu ABAC, jeśli dane są prawidłowe. W obecnej strukturze
ABAC nie zapewnia funkcji służących ocenie transakcji bez
uprzedniego zapisania ich w bazie danych. W rezultacie CRIS
wywołuje lokalnie opracowane weryfikacje przed przesłaniem ich do ABAC przez ten interfejs. Wyjaśnia to, dlaczego
obecnie zatwierdzenie musi być przeprowadzane w CRIS.
Oba projekty rozpoczęto w 2010 r. Będą one stopniowo
rozwijane do 2014 r. i doprowadzą do wprowadzenia znaczących usprawnień w tym zakresie.
39.
W przypadku wspomnianym przez Trybunał obszary geograficzne nie muszą automatycznie wzajemnie się wykluczać: dany kraj jest zawsze częścią jednego lub większej
liczby obszarów geograficznych. Może to prowadzić do
sytuacji, w których nakładanie się ich na siebie w pewnym
stopniu jest nieuniknione.
Złożoność konsolidacji opisana przez Tr ybunał wynik a
raczej z wysok iego stopnia różnorodności programów
i procedur, którymi zajmuje się Komisja w ramach działań
zewnętrznych. W rezultacie niekonieczne należy ją przypisywać systemowi CRIS.
Ramka 3
Sytuacja, do której odnosi się Trybunał, jest niemożliwa do
uniknięcia z uwagi na różnorodność programów, którymi
zarządza dany kraj. W istocie pomoc zewnętrzną można
przypisać korzystającemu z pomocy regionowi, który obejmuje kilka krajów. Jednak w wielu prz ypadkach można
temu łatwo zapobiec dzięki solidnym operacyjnym działaniom następczym oraz połączeniu różnych istniejących
kodów CRIS.
40.
Inne kryteria dostępne w CRIS można użyć w celu optymalizacji konsolidacji łącznej k woty wydatkowanej na
dany instrument finansowy. Na przykład powiązane pozycje budżetowe można wykorzystać w celu ustalenia kwot
wydatkowanych na dany instrument finansowy. Podobnie
pole „zone benefiting from the action” (region korzystający
z tego działania) można wykorzystać do ustalenia kwoty
wydatkowanej w danym kraju.
37
ODPOWIEDZI
KOMISJI
41.
49.
Złożoność konsolidacji danych finansowych jest bezpośrednio powiązana z charakterem działań Komisji w dziedzinie działań zewnętrznych, a nie z niedociągnięciami
systemu CRIS.
Celem uzgodnienia faktur jest aktualizacja danych dotyczących wydatków w modułach CRIS Decyzje (zobowiązania
poziomu 1) i Umowy (zobowiązania poziomu 2) w przypadkach, gdy niektóre transakcje nie mogą zostać przetworzone w CRIS ze względu na ograniczenia funkcjonalne
lub z powodu faktu, że wdrażanie jest realizowane przez
służby, które nie mogą skorzystać z CRIS. Ze względu na to
ograniczenie techniczne transakcje te muszą być przetwarzane bezpośrednio w ABAC lub za pośrednictwem innego
systemu lokalnego. W rezultacie konieczny jest później
proces uzgodnienia danych.
43. Pierwszy podpunkt
Ok res braku dostępu do CRIS dłuższ y niż tydzień miał
miejsce w styczniu 2011 r. z powodu łączenia EuropeAid
i DG ds. Rozwoju i utworzenia Europejskiej Służby Działań
Zewnętrznych (ESDZ) i Służby ds. Instrumentów Polityki
Zagranicznej (FPIS).
Była to jednak sytuacja wyjątkowa. Ogólnie rzecz biorąc,
prz ypadki braku dostępu są ściśle monitorowane przez
Komisję. W 2011 r. oprócz wspomnianej sytuacji CRIS działał nieprzerwanie przez ponad 99% czasu.
Ponieważ jest to aplikacja internetowa, dostępność tego
systemu w delegaturach zależy również od dostępności
innych warstw technicznych (sieci, ser werów lokalnych
itp.).
43. Drugi podpunkt
Na początku 2011 r. poczyniono znaczne starania w celu
usunięcia tych niedociągnięć. Starania te będą powtarzane.
Reorganizacja zadań wspierających również podniosła
jakość usług. W rezultacie liczba zdarzeń zarejestrowanych
w 2011 r. zmalała pod względem strukturalnym w porównaniu z 2010 r.
43. Trzeci podpunkt
Złożoność kodowania odzwierciedla złożoność i różnorodność samych procedur gospodarczych i przepisów.
Ze względu na to złożone otoczenie gospodarcze CRIS
gromadzi konk retne kodowanie do kodów k lasyfik acji
narzuconych przez centralny system finansowy. Tam gdzie
zaplanowano przegląd funkcji gospodarczych (np. nowe
rozporządzenie finansowe / przepisy wykonawcze), szczególna uwaga zostanie zwrócona na zapewnienie zharmonizowanego przekrojowego przeglądu tych „danych nadrzędnych”. Ponadto dostępne przepływy informacji uległy
w ciągu ostatnich lat znaczącej poprawie (baza wiedz y,
systematyczne publikowanie informacji o nowych wersjach, konto wsparcia CRIS na Twitterze, sieci USM itp.).
Uzgodnienie nie ma na celu powielenia wszystkich danych
statystycznych, które można już uzyskać z innego źródła,
lecz po prostu porównanie kwot wydatków w CRIS i ABAC
dotyczących odnośnych zobowiązań w danym ok resie
(zwykle w całym roku budżetowym).
W porównaniu z ogólną liczbą transakcji zarządzanych za
pośrednictwem CRIS liczba prz ypadków wymagających
uzgodnienia jest bardzo niewielka. Nawet w takich przypadkach wsz ystkie dane statystyczne dotyczące decyzji
lub umów są zawsze dostępne według kodu kraju. Jednak w tych przypadkach dane statystyczne dotyczące faktur/płatności według kraju‑beneficjenta można uz yskać
jedynie bezpośrednio z hur towni danych ABAC (ABAC
Datawarehouse).
50.
Załączanie dokumentów do zapisów danych dotyczących
umów i decyzji jest obowiązkowe od czasu opublikowania
instrukcji z dnia 8 października 2009 r. Instrukcja ta została
następnie uzupełniona szeregiem konkretnych rozwinięć
systemu CRIS, które rozszerz yły możliwość blokowania
zatwierdzenia transakcji w przypadku, gdy konieczne dokumenty nie są do niej odpowiednio załączone.
Te nowe funkcje wdrożono w listopadzie 2010 r.
51.
Od września 2011 r. zapisy dotyczące umów wsk azane
przez Trybunał są automatycznie łączone z zapisem dotyczącym decyzji o finansowaniu. Jeśli chodzi o zapisy dotyczące kontroli, większość przypadków (96%) miała miejsce
przed 2009 r., kiedy to dowolny użytkownik mógł zamknąć
w CRIS zapis dotyczący audytu bez powiązania go ze skontrolowaną umową. Od tego czasu system nie pozwala na
takie operacje, z wyjątkiem bardzo specyficznych przypadków. Te bardzo specyficzne przypadki (pozostałe 4% przypadków odnotowanych przez Trybunał) dotyczą kontroli
funduszy STABEX (stabilizacja dochodów eksportowych)
lub ocen zgodności organizacji międzynarodowych, które
z definicji nie są powiązane z żadną skontrolowaną umową.
38
ODPOWIEDZI
KOMISJI
52.
55. Drugi podpunkt
Do 2009 r. system CRIS był wykorzystywany jako jedno ze
źródeł informacji do celów sprawozdawczości DAC, choć
z prz ycz yn dotyczących jakości danych konieczne było
ponowne przetwarzane danych oraz przeprowadzenie
ręcznych weryfikacji przed przekazaniem sprawozdań do
OECD.
Około jedna trzecia prz ypadków wskazanych przez Tr ybunał dotycz y normalnych sytuacji [zawar tych umów
o dotacje, w przypadku których data rozpoczęcia działań
wyprzedza datę podpisania, czy też interwencji dotycząc ych wsparcia budżetowego lub innych zobowiązania
techniczne (rejestracje pro forma)], w przypadku których
data podpisania może zostać zakodowana, jednak nie jest
istotna ani obowiązkowa.
Od tamtego czasu podjęto znaczące starania na rzecz
poprawy procesu kodowania formularz y DAC, w wyniku
czego obecnie wsz ystk ie formularze DAC są należ ycie
załączone do wsz ystkich nowych zapisów dotyczących
projektów. Weryfikacja ex ante kodów DAC jest przeprowadzana centralnie w odniesieniu do wszystkich projektów
(potwierdzenie RESPCAD).
Zgodnie z najnowszymi danymi dostępnymi z CRIS co najmniej 84% projektów i 95% umów począwszy od 2009 r.
ma przypisany formularz DAC, przy czym należy zauważyć,
że nie wszystkie dyrekcje generalne korzystające z systemu
CRIS używają formularzy DAC.
Ponadto proces mający na celu aktualizację danych histor ycznych dotyczących transakcji począwsz y od 2003 r.
(i otwartych projektów przed 2003 r.) został rozpoczęty
w 2010 r. i zostanie zrealizowany w 2012 r.
Ramka 4
54.
55. Trzeci podpunkt
Sytuacja ta jest skutkiem przeoczenia w momencie opracowywania oprogramowania, które zostało już dawno skorygowane (najnowsza decyzja z tej próby sięga 2005 r.).
W tamtym ok resie w prz ypadku ponownego otwarcia
decyzji data zamknięcia nie była automatycznie usuwana.
Możliwość popełnienia takiego błędu albo już nie występuje dzięki ciągłym udoskonaleniom systemu CRIS w ostatnich latach, albo jest obecnie przedmiotem udoskonaleń
w ramach trwających prac nad rozwojem oprogramowania.
56.
N iespójność danych międz y hur townią danych ABAC
(źródło danych: ABAC Workflow) a systemem CRIS może
czasem w ynik ać z usterek lub w yjątk ow ych operacji
wykonywanych bezpośrednio w ABAC, które są jednak
monitorowane, a następnie kor ygowane i uzgadniane.
Metoda przetwarzania danych finansowych w CRIS jest
regularnie zatwierdzana przez księgowego Komisji.
W oficjalnej terminologii Komisja zapisy „fikcyjne” określa terminem „zobowiązań technicznych”. Aby rozwiązać
ten problem, w 2010 r. rozpoczęto projekt o nazwie „projekt dotyczący większej liczby środków na zobowiązania”
( multi‑commitment project). Umożliwia on powiązanie pojedynczego zapisu dotyczącego umowy z szeregiem różnego
rodzaju zobowiązań budżetowych. Po pełnym wdrożeniu
tego projektu nie będzie już konieczne tworzenie „zobowiązań technicznych”.
55. Pierwszy podpunkt
Komisja odnotowuje fakt, że zapisy dotyczące kontroli
odnotowane przez Trybunał powinny być już zamknięte
w momencie kontroli Tr ybunału. Wynik a to częściowo
z niektórych „zasad operacyjnych”, które uniemożliwiają
u ż y t k ow n i k ow i k o ń c owe m u o s t a te c z n e p o t w i e rd ze nie zapisu, a zatem zamk nięcie go. Od tamtego czasu
zamknięto ponad połowę tych przypadków. W nowej wersji modułu kontroli CRIS procedury dotyczące zamykania
zapisów dotyczących kontroli zostaną uproszczone i dostosowane, aby umożliwić bezzwłoczne zamykanie zapisów.
39
ODPOWIEDZI
KOMISJI
57.
66.
J eśli chodzi o rejestrowanie faktur, w 2012  r. rozpo częty zostanie projekt mający na celu przeanalizowanie
wszystkich możliwości uproszczenia procesu kodowania,
zwłaszcza kodowania kwot brutto, które wymagają przeprowadzania skomplikowanych obliczeń przez agenta
wprowadzającego dane.
Komisja odniesie się do treści tej uwagi w swoich wieloletnich pracach nad przeprojektowaniem systemu CRIS
oraz dokona przeglądu zasad bezpieczeństwa w 2014 r.,
w szczególności w ramach projektu zarządzania bezpie czeństwem w odniesieniu do użytkowników zewnętrznych
i wewnętrznych.
Jeśli chodzi o załączniki do zapisów dotyczących kontroli,
Komisja niedawno znacząco ograniczyła średnie opóźnienie międz y momentem otrz ymania sprawozdania końcowego z kontroli a momentem załączenia go do zapisu
z kontroli w systemie CRIS. Jednak sz ybkość rejestrowania w CRIS zapisów dotyczących kontroli nie ma wpływu
na rachunkowość i ma ograniczony wpływ na informacje
zarządcze, pod warunkiem że zapisy są wprowadzane na
czas względem wymaganych celów sprawozdawczych.
67.
Problem niewystarczająco zdefiniowanych obowiązków
w zakresie zarządzania bezpieczeństwem w systemie CRIS
na poziomie globalnym zostanie rozwiązany przez wyznaczenie lokalnego urzędnika ds. bezpieczeństwa informacji
ściśle przypisanego do systemu CRIS.
W celu zagwarantowania jakości danych należy wprowadzić procedurę, która pozwoli skorygować dane w przypadku złożenia oficjalnego zawiadomienia, że istnieją
błędne dane. Tak ie modyfik acje mają miejsce jedynie
w przypadkach, gdy niezbędne korekty danych są przeprowadzane przez dział informatyczny po usterce w systemie
CRIS lub w ramach dalszego przetwarzania. Są one wprowadzane przez zespoły ds. wsparcia, rozwoju lub jakości
danych. Wprowadzono procedury gwarantujące, by takie
działania były inicjowane za pośrednictwem formularza
zapytania, a następnie zatwierdzane przez k ierownik a
zarządzającego danym modułem. Modyfikacje są najpierw
wykonywane w środowisku przedprodukcyjnym, następnie
zatwierdzane przez właściwego kierownika zarządzającego,
po czym ostatecznie wprowadzane do produkcji.
61.
69.
Dyrekcja Generalna ds. Informatyki (DG DIGIT ) podpisała
protokół ustaleń dla poszczególnych systemów informatycznych EuropeAid. Jeden z nich dotyczy systemu CRIS.
CRIS został również zdefiniowany jako „krytyczny” i z tego
powodu DG DIGIT wdrożyła system zapasowy.
Dwa moduły wskazane przez Trybunał, w przypadku których brakowało glosariusza:
62.
— — moduł ROM, który zostanie wycofywany w 2012 r.
60.
System CRIS jest regularnie zatwierdzany przez księgowego
Komisji jako system lokalny, a ostatnie zatwierdzenie miało
miejsce w grudniu 2011 r. W prz yszłości udoskonalone
zostaną wewnętrzne procedury dotyczące terminowego
informowania księgowego Komisji o znaczących zmianach
w systemie CRIS.
— — moduł oceny, który zostanie zastąpiony przez moduł
oceny PCM (zob. również odpowiedź na ramkę 1),
70.
Komisja poprawi dokumentację w ramach swoich wieloletnich prac nad przeprojektowaniem systemu CRIS.
71.
Z trzech przypadków, w których podręcznik był nieaktualny, sytuacja poprawiła się w następujący sposób:
65.
Procedury dostępu do CRIS wykorzystują zarówno system
uwierz ytelniania ECAS, jak i system zez woleń dostępu
„Commission Enterprise Directory” oparty na przynależności do określonych grup.
Wszystkie inne zezwolenia dostępu są udzielane po przeprowadzeniu ściśle zdefiniowanych procedur zez woleń
dostępu, zgodnie z któr ymi niezbędne są odpowiednie
zatwierdzenia i potwierdzenia.
— — podręcznik kontroli zaktualizowano we wrześniu 2011 r.,
— — podręcznik prognoz finansow ych zaktualizowano
w grudniu 2011 r.,
— — podręcznik LEF zostanie zaktualizowany w 2012 r.
40
ODPOWIEDZI
KOMISJI
WNIOSKI I ZALECENIA
72.
75.
Odtworzenie historii modyfik acji danych jest możliwe
w systemie na dwóch różnych poziomach:
CRIS jest jednym z wielu systemów lokalnych funkcjonujących w Komisji i jako taki wspiera konkretne potrzeby
gospodarcze korzystających z niego dyrekcji generalnych.
Ponadto, jako że wspiera on również funkcje finansowe,
jest połączony interfejsem z centralnym systemem rachunkowości Komisji.
ο ο na poziomie technicznym, na którym jest w istocie system śladu rewizyjnego, dostępny jedynie pracownikom
działu informatycznego, którzy są już zaznajomieniu ze
skomplikowanymi operacjami konserwacji;
ο ο na poziomie funk cjonalnym, wsz ysc y uż ytk ownic y
mogą:
— — sprawdzić, w jaki sposób dane zostały zmienione, przeglądając informacje podane w załącznikach do odnośnych zapisów oraz
— — przeglądać odniesienia do ewentualnych korekt przetwarzanych przez służby informatyczne w odniesieniu
do przedmiotowych transakcji, jak wyjaśniono w pierwszym podpunkcie. To z kolei umożliwia im uzyskanie dostępu do odnośnej dokumentacji dotyczącej tych korekt
(tj. sprawozdania dotyczącego sprostowania danych).
74.
Życiorysy i inne dane osobowe pojawiające się w dokumentach dołączanych do CRIS są załączone do umów i jako
takie są pośrednio osadzone w zawiadomieniu DPO-752
dotyczącym CRIS („W systemie CRIS istnieje również możliwość przechowywania dokumentów towarz yszących.
Dokumenty przechowywane w CRIS to głównie umowy
i faktury ”.). Jednak obecność danych osobowych w tych
dokumentach nie jest bezpośrednio wymieniona w tym
zawiadomieniu. Należ y podkreślić, że dokumenty towarz yszące podlegają „biernemu” przechowywaniu i nie są
dalej przetwarzane przez tę aplik ację. W rezultacie nie
zawierają one danych, które można wyszukiwać, tj. nie jest
możliwe przeprowadzenie operacji wyszukiwania w systemie CRIS według nazwiska określonej osoby wymienionej
w załączniku.
Od momentu wdrożenia CRIS w 2002 r. Komisja znacznie
poprawiła ten system. Jako przykład dotyczący kodowania
danych można podać ustanowienie przez Komisję wspólnych klasyfikacji na poziomie globalnym. Nie są one jeszcze w pełni ujednolicone ze względu na złożoność inte gracji wynikającą z wcześniejszego istnienia bazy danych
CRIS Contract. W ostatnich latach podjęto jednak znaczące
wysiłki w tej dziedzinie, np. przez utworzenie grupy roboczej skupiającej pracowników różnych służb zajmującej się
CRIS/ABAC Contracts.
Jeśli chodzi o integralność danych, wprowadzono procedury monitorowania, a następnie procedury dalszego
przetwarzania oraz wprowadzono i udoskonalono zasady
gospodarcze w systemie. Ponadto w systemie CRIS określono obowiązki prz ypisane do poszczególnych kodów
danych, a obecnie wprowadzane są do niego udoskonalenia techniczne w ramach wieloletniego projektu, który
zostanie ukończony do końca 2014 r.
76.
Komisja rozpoczęła proces racjonalizacji swojej architektury
informatycznej, którego głównym celem jest zapobieganie
sytuacji, w której funkcjonują różne systemy realizujące
identyczne lub podobne procesy, a także zintegrowanie
konkretnych potrzeb dyrekcji generalnych w ramach rozwiązań dla całej organizacji.
Jeśli chodzi o aspekty finansowe i rachunkowe, wspomniany proces racjonalizacji doprowadzi do bezpośredniego wykorz ystania funkcji ABAC z systemu CRIS przez
usługi internetowe ABAC.
Zalecenie 1
CRIS jest systemem informacji zarządczej dyrekcji generalnych Komisji odpowiedzialnych za stosunki zewnętrzne.
Jest to zintegrowany system obejmując y bezpośredni
inter fejs łączący go z systemem rachunkowości Komisji
(ABAC), przy czym optymalizuje on szereg narzędzi wykorzystywanych w codziennej pracy przez personel zajmujący
się współpracą zewnętrzną. Jego cele zostały zdefiniowane
w grudniu 2011 r. w dokumencie „Stratégie des systèmes
d’information de la DG EuropeAid jusque 2016” (Strategia
systemów informacyjnych DG EuropeAid do 2016 r.).
41
ODPOWIEDZI
KOMISJI
80.
W procesie racjonalizacji swojego środowisk a informatycznego Komisja pracuje obecnie nad lepszą integracją
wszystkich swoich systemów. Cel polegający na ograniczeniu powielania funkcji ABAC zostanie osiągnięty przez bezpośrednie wykorzystywanie funkcji ABAC z systemu CRIS
za pośrednictwem usług internetowych ABAC. EuropeAid
uczestniczy w rozpoczętym w tym celu projekcie pilotażowym obejmującym całą Komisję.
78.
Złożoność konsolidacji wynika z dużej różnorodności programów i procedur realizowanych przez Komisję w ramach
działań zewnętrznych i nie można jej automatycznie przypisać systemowi CRIS. W istocie, jeśli chodzi o prz ykład
prz ytoczony przez Tr ybunał, pomoc zewnętrzną można
ogólnie prz ypisać korz ystającemu z pomocy regionowi,
który obejmuje kilka krajów.
Jednak z wyjątkiem tych przypadków Komisja jest w stanie zapewniać dzięki systemowi CRIS wiarygodne zagregowane dane według k raju, instrumentu finansowego
i obszaru polityki.
79.
Występują pewne opóźnienia we wprowadzaniu niektór ych danych, a także brakuje niektór ych dokumentów,
które powinny być załączone do systemu CRIS, jednak
w systemie tym nie brakuje żadnych informacji finansowych ani innych informacji krytycznych. Trwają prace nad
sk róceniem ok resu, w któr ym informacje są zgłaszane
do systemu CRIS. Ponadto, jeśli chodzi ogólnie o jakość
danych, w ostatnich trzech latach pocz yniono znaczące
postępy:
— — wyznaczono właścicieli danych odpowiedzialnych za
odnośne dane,
— — powołano zespół ds. jakości danych, któr y prowadzi działania monitorujące oraz wdraża działania
korygujące,
Ponieważ jest to aplikacja internetowa, dostępność tego
systemu w delegaturach zależ y przede wsz ystk im od
dostępności innych warstw technicznych (sieci, serwerów
lokalnych itp.). Niektóre z nich są poza kompetencjami
Komisji, co ma miejsce na prz yk ład w prz ypadku sieci
zarządzanej przez ESDZ. Jeśli chodzi o aplikację i serwery
baz danych, Komisja odnotowała wysoki stopień dostępności systemu. Na przykład w 2011 r., poza przypadkiem
braku dostępu do systemu CRIS przez ponad tydzień
z powodu łączenia się byłej EuropeAid z DG ds. Rozwoju
oraz momentem utworzenia ESDZ i FPI, system CRIS działał
nieprzerwanie przez ponad 99% czasu.
Ograniczenie do minimum usterek systemowych, zarówno
na poziomie ogólnym (systemu), jak i lokalnym (transakcji), jest stale przedmiotem zainteresowania Komisji. Obecnie obowiązuje kompleksowy system zarządzania, który
poz wala na wczesne wykr ywanie/kor ygowanie usterek
blokujących system. Podjęto również szereg działań poprawiających jakość dostarczanych danych, międz y innymi
przegląd kodów, analizę techniczną i funkcjonalną przed
wdrożeniem oraz testy.
Komunikat o kodach danych został zracjonalizowany przez
wykorzystanie bazy wiedzy CRIS oraz został poprawiony
międz y innymi pr zez systemat yczne spor ządzanie co
tydzień informacji o nowych wersjach oraz regularne aktualizacje podręczników.
Zalecenie 3
Złożoność otoczenia gospodarczego i różnorodność ról
i obowiązków użytkowników w nieunikniony sposób prowadzi do pewnego stopnia złożoności w tak zintegrowanym systemie. Komisja przyjmuje jednak to zalecenie.
Poprawa łatwości użytkowania jest głównym celem między
innymi następujących projektów:
— — projekt dotyczący większej liczby środków na zobowiązania w zakresie modułów dotyczących umów i decyzji,
— — projekt optymalizacji fakturowania,
— — wprowadzono zarządzanie jakością danych.
— — przeprojektowanie modułu audytu.
Zalecenie 2
Komisja będzie kontynuować prowadzone starania na rzecz
monitorowania danych i poprawy procesów zatwierdzania
danych w CRIS. W tej dziedzinie podjęto już szereg różnych
działań, na prz ykład wyznaczono właścicieli danych od
początku 2009 r. w celu zarządzania kodami danych i definiowania standardów, które mają być wdrażane.
42
ODPOWIEDZI
KOMISJI
81.
Problem niewystarczającego zabezpieczenia systemu
zostanie rozwiązany przez wyznaczenie lokalnego urzędnik a ds. bezpieczeństwa informacji odpowiedzialnego
za system CRIS. Aby zapewnić poufność danych, Komis
j a wyraźnie zdefiniowała procedur y zez woleń dostępu.
Ponadto ograniczono dostęp do informacji sklasyfikowanych w systemie CRIS jako poufne. Poprawa zarządzania
prawami użytkowników zewnętrznych zostanie przeprowadzona w kolejnych latach dzięki realizacji konkretnego
projektu, który zostanie ukończony do 2014 r. Jeśli chodzi
o dane osobowe w systemie CRIS, Komisja stosuje przepisy
określone w rozporządzeniu ( WE) nr 45/2001 oraz procedury zgłoszone i zatwierdzone przez inspektora ochrony
danych Komisji.
Zalecenie 4
Ogólna ocena r yz yk a z wiązanego z technologią informacyjną zostanie rozpoczęta w trakcie 2012 r., a Komisja
wyznaczy lokalnego urzędnika ds. bezpieczeństwa informacji dla systemu CRIS.
Europejski Trybunał Obrachunkowy
Sprawozdanie specjalne nr 5/2012
CRIS – Wspólny system informacyjny RELEX (Common RELEX Information System)
Luksemburg: Urząd Publikacji Unii Europejskiej
2012 — 42 str. — 21 × 29,7 cm
ISBN 978-92-9237-614-7
doi:10.2865/98725
JAK OTRZYMAĆ PUBLIKACJE UE
Publikacje bezpłatne:
•
w EU Bookshop (http://bookshop.europa.eu)
•
w przedstawicielstwach i delegaturach Unii Europejskiej (dane kontaktowe można uzyskać
pod adresem http://ec.europa.eu lub wysyłając faks pod numer +352 2929-42758)
Publikacje płatne:
•
w EU Bookshop (http://bookshop.europa.eu)
Płatne subskrypcje (np. Dziennik Urzędowy Unii Europejskiej, zbiory orzeczeń Trybunału Sprawiedliwości
Unii Europejskiej):
•
u dystrybutorów Urzędu Publikacji Unii Europejskiej
(http://publications.europa.eu/others/agents/index_pl.htm)
NA POTRZEBY ZARZĄDZANIA DZIAŁANIAMI ZEWNĘTRZNYMI. POZWALA
ON WSZYSTKIM PRACOWNIKOM BIORĄCYM UDZIAŁ W ZARZĄDZANIU TYMI
DZIAŁANIAMI KORZYSTAĆ ZE WSPÓLNEJ BAZY DANYCH. BAZA TA ZAWIERA
DANE DOTYCZĄCE RÓŻNYCH ETAPÓW ZARZĄDZANIA; Z NIEJ WPROWADZA
SIĘ DANE FINANSOWE DO SYSTEMU RACHUNKOWOŚCI KOMISJI – ABAC.
TRYBUNAŁ ST WIERDZIŁ, ŻE CRIS NA OGÓŁ DOBRZE SPEŁNIA POTRZEBY
INFORMACYJNE KOMISJI W DZIEDZINIE DZIAŁAŃ ZE WNĘ TRZNYCH. PO
DZIESIĘCIU LATACH ROZWOJU NADAL WYSTĘPUJĄ W NIM JEDNAK NIEDOCIĄGNIĘCIA. DOTYCZĄ ONE ZWŁASZCZA DEFINICJI ROLI CRIS W ODNIESIENIU DO SYSTEMU RACHUNKOWOŚCI KOMISJI, KODOWANIA DANYCH, ZBYT
MAŁEJ SKUTECZNOŚCI W ZAPEWNIANIU INTEGRALNOŚCI DANYCH ORAZ,
OGÓŁEM, NIEWYSTARCZAJĄCEGO BEZPIECZEŃST WA SYSTEMU I ZAWARTYCH W NIM DANYCH.
QJ-AB-12-004-PL-C
CRIS JEST SYSTEMEM INFORMACYJNYM WPROWADZONYM PRZEZ KOMISJĘ

CRIS - Wspólny system informacyjny RELEX (Common

Transkrypt

Podobne dokumenty

Lyon bez Crisa

Pełna treść ogłoszenia

OFERTA PRACY Sękowo

Drukowanie strony

Ogłoszeniu o konkursie - Centrum Rozwoju Inicjatyw Społecznych

Program - Instytut Ekologii Terenów Uprzemysłowionych

WZÓR WNIOSKU O DOFINANSOWANIE W

Ogłoszenie o naborze - Centrum Rozwoju Inicjatyw Społecznych CRIS