e-administracja w perspektywie kontroli (raport)
TRANSCRIPT
E-administracja w perspektywie kontroli
(RAPORT) Listopad 2004
2
3
1. WSTĘP ..............................................................................................................................7 2. TRENDY W E-ADMINISTRACJI.....................................................................................9
2.1. Wstęp ..........................................................................................................................9 2.2 E-administracja: co to jest? ...........................................................................................9 2.3 Przykłady zastosowań e-administracji .........................................................................11 2.4. Potencjalne korzyści ..................................................................................................13 2.5 Czym szczególnym wyróŜnia się e-administracja? ......................................................14 2.6. Aspekty rozwojowe ...................................................................................................18 2.7. Uwagi końcowe .........................................................................................................20
ZAŁĄCZNIK 1 ............................................................................................................21 3. RYZYKO.........................................................................................................................21
3.1 Wstęp .........................................................................................................................21 3.2. Ryzyka związane z planowaniem, opracowywaniem oraz wprowadzaniem usług e-administracji .....................................................................................................................22 3.3. Ryzyka dotyczące prowadzenia usług e-administracji ................................................26 3.4. Kontrola ryzyka związanego z projektami usług e-administracji ................................30 3.5 Uwagi końcowe ..........................................................................................................33
4. KONTROLA PROGRAMÓW I PROJEKTÓW ...............................................................33 4.1 Wstęp .........................................................................................................................33 4.2. Ramy konceptualne....................................................................................................33 4.3 Metody kontroli ..........................................................................................................36 4.4 Mapa ram CobiT.........................................................................................................43 4.5. Uwagi końcowe .........................................................................................................44
ZAŁĄCZNIK 2 ............................................................................................................45 5.1. Wstęp ........................................................................................................................47 5.2 Środowiska cyfrowe....................................................................................................47 5.3 Kontrola środowisk cyfrowych („skomputeryzowanych”)...........................................49 5.4. Uwagi końcowe .........................................................................................................55
6. KONSEKWENCJE ORGANIZACYJNE .........................................................................55 6.1 Wstęp .........................................................................................................................55 6.2. Przejście do procedur cyfrowych................................................................................56 6.3. Metody ......................................................................................................................56 6.4 Kwalifikacje ...............................................................................................................57 6.5 Zasoby........................................................................................................................58 6.6 Uwagi końcowe ..........................................................................................................58
GLOSARIUSZ .............................................................................................................59
4
5
Przedmowa Podczas swojego pierwszego spotkania we wrześniu - październiku 2002 Grupa Robocza EUROSAI ds. Informatyki (EUROSAI IT Working Group) postanowiła utworzyć podgrupę w celu opracowania ogólnego zarysu e-administracji, e-zamówień publicznych oraz raportu dotyczącego trendów, definicji, ryzyk, metod kontroli, doświadczeń itd. Utworzona podgrupa składa się z Portugalii (kierownictwo), Danii, Niemiec, Polski, Rosji oraz Holandii. Podczas spotkania początkowego w lutym 2003 podgrupa podjęła decyzję w sprawie układu raportu. W następnej kolejności, członkowie opracowali róŜne rozdziały i oto leŜy przed Państwem rezultat tej pracy. Pomimo, Ŝe wszyscy naleŜymy do krajów europejskich, wszyscy posiadamy swoje własne „barwy narodowe”, poniewaŜ nasze doświadczenia róŜnią się w zaleŜności od sytuacji, jaka występuje w naszych krajach. W pewnym stopniu znajdzie to odzwierciedlenie w róŜnych rozdziałach niniejszego dokumentu. JednakŜe, mimo, Ŝe pewne przykłady oparte są o doświadczenia właściwe dla danego kraju, zostały one przedstawione w taki sposób, Ŝe znajdą zainteresowanie w szerokim kręgu odbiorców. Raport połączony jest z dokumentem „E-zamówienia publiczne i ich wpływ na przyszłe podejście kontrolne”, która oparta jest o doświadczenia Danii. Wersja dyskusyjna tego raportu została wysłana 25 listopada 2003 do wszystkich (ówczesnych) 24 członków grupy roboczej w celu uzyskania ich opinii. Termin zgłaszania uwag upłynął w dniu 15 grudnia 2003. Następnie, raport został poprawiony zgodnie z otrzymanymi uwagami, mimo, Ŝe niektóre zgłoszone kwestie odłoŜono w celu ich omówienia podczas drugiego spotkania Grupy Roboczej, w marcu 2004, w Bernie, w Szwajcarii. Podczas tego spotkania miały miejsce dyskusje na temat końcowych modyfikacji tekstu, których rezultatem jest niniejsza wersja ostateczna.
6
7
1. WSTĘP Pod hasłem „e-administracja” większość Państw Europejskich zobowiązało się, poprzez róŜne krajowe oraz międzynarodowe programy działań oraz inicjatywy, udostępnić moŜliwie najwięcej swoich usług publicznych online przez internet w ciągu dającej się przewidzieć przyszłości (w większości przypadków do roku 2005). Programy te mają być głównymi krokami na drodze do osiągnięcia celu polityki rządów, którym jest przekształcenie Europy w społeczeństwo informacyjne. Rządy pragną zapewnić, aby obywatele, firmy, środowisko akademickie oraz inne podmioty rządowe miały prostszy, szybszy oraz bardziej opłacalny dostęp do usług publicznych. Celem tych starań jest zwiększenie zadowolenia obywateli z administracji oraz większa konkurencyjność krajów oraz przedsiębiorstw. Ponadto, programy e-administracji mają stać się istotnym elementem wszechstronnej modernizacji administracji. Spójne programy e-administracji mają stanowić bodziec dla re-engineeringu procesów biznesowych w ramach całej administracji publicznej w celu uproszczenia szerokiej gamy struktur oraz procedur administracyjnych. W tej sytuacji brak realizacji lub opóźnienie w realizacji programów lub projektów e-administracji prowadzić będzie do niepowodzenia lub opóźnienia modernizacji. Co więcej, potrzeba konsolidacji budŜetów wymaga wykorzystania wszelkich moŜliwości cięcia kosztów bez zakłóceń w dostawie usług publicznych. Programy e-administracji mogą dostarczyć nowe moŜliwości odnośnie realizacji tego celu. Jedną z konsekwencji e-administracji jest odchodzenie rządów od systemów opartych na dokumentacji papierowej w kierunku systemów skomputeryzowanych, co pociąga za sobą całkowitą zmianę środowiska kontrolnego. Fakt ten stwarza nowe wyzwania zarówno dla audytowanych jak i audytorów. Brak dokumentacji papierowej zwiększa potrzebę zapewnienia ścisłych mechanizmów kontrolnych w systemach skomputeryzowanych – w tym: ogólnych mechanizmów kontrolnych, mechanizmów zaprogramowanych w systemach uŜytkownika oraz konkretnych mechanizmów ręcznych dostępnych w otoczeniu systemów uŜytkownika. Tendencja ta ma znaczące konsekwencje dla rozwoju oraz wdraŜania projektów e-administracji, jak równieŜ dla zarządzania systemami operacyjnymi IT. Co się tyczy konsekwencji dla audytorów, jednym z najwaŜniejszych wyzwań jest ocena waŜności oraz wiarygodności danych. Aby móc dokonać kontroli systemu e-administracji, musimy dostosować istniejące metody i techniki oraz opracować nowe. Ponadto, z uwagi na fakt, Ŝe systemy IT1 oraz procesy biznesowe stają się w coraz większym stopniu ze sobą powiązane, decyzje dotyczące IT są w gruncie rzeczy decyzjami biznesowymi, a nie tylko decyzjami technicznymi, co wymaga zaangaŜowania wyŜszej kadry kierowniczej. Jedynie jej czynny udział moŜe zapewnić, Ŝe organizacja jako całość posiadać będzie wystarczającą kontrolę nad ryzykiem związanym z IT- tj. ryzykiem dotyczącym projektów, jak równieŜ codziennych operacji. WdraŜanie e-administracji jest procesem złoŜonym i wymaga nie tylko wizji, lecz takŜe silnego przywództwa politycznego na najwyŜszym poziomie.
1 Ang. Information Technology, czyli systemy informatyczne
8
To wszystko wymaga od NajwyŜszych Organów Audytu (NOA) poświęcenia szczególnej uwagi danemu programowi e-administracji. Celem niniejszego raportu jest podanie NOA pomocnej dłoni w tej dziedzinie. Po krótkim wstępie omówione zostało pięć tematów: pierwszy, "Trendy w e-administracji”, po zbadaniu niektórych z istniejących definicji w celu wyjaśnienia czego dotyczy e-administracja, wskazuje kilka potencjalnych korzyści wynikających z e-administracji i obejmuje niektóre z aspektów rozwojowych. Drugi, "Ryzyko" opisuje niektóre z ryzyk dotyczących przedwdroŜeniowych faz planowania i rozwoju usług e-administracji, ryzyk powstających podczas ich wprowadzania oraz ryzyk występujących w fazie dostarczania usług e-administracji. Trzeci oraz czwarty, „Audyt programów i projektów” oraz „Audyt w środowisku cyfrowym (skomputeryzowanym)” przedstawia podejścia do audytu odpowiednio ze strategicznego oraz operacyjnego punktu widzenia; podczas gdy pierwszy skupia się na zapotrzebowaniu na nowe metody audytu w celu określenia postępu administracji we wdraŜaniu programów oraz projektów e-administracji, drugi przedstawia ocenę przeprowadzania audytu w środowiskach cyfrowych oraz ocenę wymogów dotyczących przeprowadzania audytu w odniesieniu do celu, treści oraz zakresu. W końcu piąty, "Konsekwencje organizacyjne", przedstawia wymogi dla poszczególnych NOA, odnoszące się do potrzeby inicjatyw strategicznych, jakie mają zostać podjęte w dziedzinie IT jako wynik przejścia do procedur cyfrowych i rozwoju procedur, czego celem jest wypełnienie misji NOA w sposób bardziej wydajny i skuteczny. Mimo, Ŝe rozdziały niniejszego raportu zastały ułoŜone przez nas w sposób, który wydaje nam się najbardziej logiczny, czytelnicy mogą wybrać swoją własną ścieŜkę, w zaleŜności od ich obecnego stanu wiedzy oraz konkretnych zainteresowań. Struktura raportu umoŜliwia to, poniewaŜ kaŜdy rozdział moŜe być czytany jako samodzielna jednostka, obejmująca konkretny podtemat w ramach ogólnego tematu, jakim jest e-administracja w perspektywie kontroli.
9
2. TRENDY W E-ADMINISTRACJI
2.1. Wstęp W rozdziale tym wyjaśniamy czym jest e-administracja. Najpierw, w sekcji 2.2, proponujemy definicję e-administracji po zbadaniu niektórych z istniejących definicji. Następnie, w sekcji 2.3 prezentujemy kilka przykładów e-administracji, aby umoŜliwi ć czytelnikowi zrozumienie zakresu koncepcji. W sekcji 2.4 poruszamy kwestię potencjalnych korzyści z e-administracji. W sekcji 2.5 opisujemy typowe cechy e-administracji. W sekcji 2.6 opisujemy niektóre z aspektów rozwojowych. Kończymy ten rozdział kilkoma uwagami końcowymi w sekcji 2.7.
2.2 E-administracja: co to jest? Poszukując przydatnej definicji roboczej koncepcji e-administracji zacznijmy od definicji przybliŜonej. Grupa projektowa e-administracji Komitetu INTOSAI IT stosuje następującą definicję roboczą:
o E-administracja stanowi wymianę informacji dotyczącej administracji online z obywatelami, przedsiębiorstwami i agencjami rządowymi oraz dostarczanie im usług.
Z uwagi na fakt, Ŝe dostarczanie informacji oraz usług stanowi z pewnością bardzo waŜny element e-administracji, co wynika z koncepcji, uwaŜamy, Ŝe definicja ta, przystosowana do potrzeb grupy projektowej INTOSAI, jest zbyt wąska, aby mogła dobrze słuŜyć naszym celom. Dzieje się tak, poniewaŜ jest ona ograniczona do tych działań, które mają charakter online i które są bezpośrednio skierowane do podmiotów zewnętrznych. Na przykład zarządzanie łańcuchem dostaw, ukierunkowane tak jak w e-business na zwiększenie wydajności oraz/lub skuteczności, jest przez nas uznawane za istotny element e-administracji. Aby zrozumieć o co w tym chodzi, czytelnik moŜe odnieść się do przykładu zapewniania opieki osobistej w sekcji 2.3.5. Zarządzanie łańcuchem dostaw nie jest jednakŜe objęte definicją INTOSAI. MoŜna zaobserwować wiele innych definicji, które pod względem zakresu obejmują definicje raczej ograniczone jak i bardzo obszerne. W celu zilustrowania zakresu definicji, prezentujemy tu trzy z nich, oparte o konferencję, która odbyła się w Holandii w roku 2001.
o Elektroniczna administracja dotyczy dostarczania lub pozyskiwania informacji, usług lub produktów drogą elektroniczną, do lub od jednostek administracji, w dowolnym momencie oraz miejscu, w powiązaniu z wartością dodaną dla wszystkich uczestniczących stron.
o E-administracja składa się z następujących zespołów: e-zarządzania, demokracji on-line oraz elektronicznego dostarczania usług.
o Cztery perspektywy e-administracji są następujące: (a) perspektywa odbiorcy (interfejs z administracją publiczną); (b) perspektywa procesu (reorganizacja procesów administracji); (c) perspektywa współpracy (wysiłki związane ze współpracą); (d) perspektywa wiedzy (zarządzanie informacją oraz wiedzą w ramach administracji
publicznej)
10
Nie uwaŜamy za rozsądne ograniczać się zawczasu poprzez przyjęcie zbyt wąskiej definicji. Oto inne definicje obejmujące temat. Uniwersytet Nauk Stosowanych (Berner Fachhochschule) w Bernie (Szwajcaria) przedstawia następującą definicję:
o E-administracja obejmuje wsparcie dla relacji, procesów oraz udziału politycznego zarówno w ramach jednostek administracji wszystkich poziomów (federalnego oraz/lub państwowego, regionalnego, poziomów lokalnych, itd.) oraz pomiędzy jednostkami administracji i wszystkimi ich interesariuszami, łącznie z obywatelami, przedsiębiorstwami i innymi organizacjami. Obejmuje ona zapewnianie niezbędnych środków współdziałania poprzez kanały elektroniczne.
Jeszcze inną definicję stanowi definicja podana przez Unię Europejską2:
o E-administracja oznacza wykorzystanie informacji oraz technik komunikacyjnych w urzędach publicznych, w połączeniu ze zmianą organizacyjną oraz nowymi umiejętnościami w celu usprawnienia usług publicznych, procesów demokratycznych oraz wzmocnienia wsparcia polityk publicznych.
Ustawa o elektronicznej administracji USA z roku 2002 przedstawia obszerną, choć ścisłą definicję:
o Elektroniczna administracja oznacza uŜycie przez Administrację aplikacji
internetowych opartych o sieć oraz innych technologii informacyjnych, połączonych z procesami, które wdraŜają te technologie, aby:
(A) usprawnić dostęp do informacji Administracji oraz usług, jak równieŜ ich
dostarczanie ogółowi, innym agencjom lub innym jednostkom Administracji; lub
(B) wprowadzić ulepszenia do działalności Administracji, które mogą obejmować skuteczność, wydajność, jakość usługi lub transformację
W oparciu o podane definicje, dokonujemy definicji tego pojęcia w następujący sposób: Poprzez termin e-administracja rozumiemy stosowanie informacji oraz technik komunikacyjnych przez administrację, czego celem jest:
(a) usprawnienie wymiany informacji z obywatelami oraz przedsiębiorstwami oraz/lub dostarczanie usług obywatelom oraz przedsiębiorstwom;
(b) usprawnienie działalności administracji w zakresie większej skuteczności, oraz/lub wydajności3 ;
(c) zwiększenie udziału politycznego. 2 COM(2003) 567 final, 26.9.2003, „The role of eGovernment for Europe’s future”. 3 Obejmuje to wymianę informacji oraz/lub dostarczanie usług pomiędzy agencjami rządowymi
11
Zgodnie z tą definicją, oprócz elektronicznego dostarczania usług istnieją inne aspekty koncepcji e-administracji. JednakŜe, rozdział ten będzie się skupiał głównie na tym aspekcie, poniewaŜ dla obywateli oraz przedsiębiorstw stanowi on aspekt najbardziej widoczny. Mówiąc o elektronicznym dostarczaniu usług moŜna poczynić rozróŜnienie pomiędzy trzema kategoriami, w zaleŜności od grupy docelowej, o której mowa: obywatelami, przedsiębiorstwami lub administracją. Niektórzy autorzy jako czwartą kategorię opisują usługi typu administracja - pracownik. Obejmuje ona oprócz innych usług zarządzanie wiedzą oraz zarządzanie karierą. JednakŜe, w naszym dokumencie nie będziemy badać tej granicznej kategorii. Aby przedstawić ogólny zarys, podajemy niniejszym krótki opis trzech głównych kategorii4:
• Co się tyczy relacji urząd-obywatel, zostały rozmieszczone łatwe do znalezienia miejsca, w których obywatel moŜe załatwić wszystkie swoje sprawy związane z daną sytuacją Ŝyciową (one-stop shops), łącznie z pojedynczymi punktami łatwego wejścia w celu uzyskania dostępu do wysokiej jakości usług administracji;
Przykłady obejmują dostarczanie informacji, elektroniczne rozliczanie podatków oraz wygodne przekraczanie bramek przy wjeździe na autostradę5;
• E-administracja typu urząd-przedsiębiorstwo zmniejsza obciąŜenie przedsiębiorstw poprzez zastosowanie protokołów internetowych oraz konsolidację wielu zbędnych wymogów dotyczących raportowania;
Oprócz usług porównywalnych z usługami typu urząd-obywatel, do przykładów zalicza się elektroniczne systemy licytacji.
• Usługi typu urząd-urząd wspierają wymianę informacji pomiędzy organizacjami w ramach administracji publicznej i sprawia, Ŝe zarządzanie informacjami jest wydajniejsze i mniej obciąŜające dla obywateli oraz przedsiębiorstw.
Przykładem jest wyznaczenie tzw. brokera informacji, który umoŜliwia jednostkom administracji zbieranie danych od obywateli lub przedsiębiorstw tylko jeden raz. Rezultatem jest korzyść polegająca na tym, Ŝe jeŜeli inny upowaŜniony urząd potrzebuje juŜ zebranego elementu danych, nie musi niepokoić danej osoby lub przedsiębiorstwa zbędną prośbą. W rzeczywistości, zgodnie z tym, co zostało określone w definicji e-administracji, waŜnym celem jest stosowanie IT na rzecz obywateli oraz przedsiębiorstw, jak równieŜ na rzecz samej administracji.
2.3 Przykłady zastosowa ń e-administracji
4 Pierwsze dwie definicje (nie przykłady) oparte są o memorandum dyrektora Urzędu Zarządzania i BudŜetu USA (OMB): M-01-28, Memorandum for the Heads of Executive Departments and Agencies (Mitchell E. Daniels, Jr.). 5 Jednym ze sposobów na wdraŜanie ostatniej z wymienionych usług jest zainstalowanie małego urządzenia („lokalizatora”), który identyfikuje uŜytkownika pojazdu. Czytnik lokalizatora przy wjeździe na autostradę przekazuje informację z lokalizatora do systemu informacyjnego, i w rezultacie odpowiednia suma jest potrącana z konta pre-paid klienta.
12
Sekcja ta zawiera kilka wyjaśniających przykładów dotyczących zastosowań e-administracji. Jej celem jest raczej ukazanie bogactwa dziedziny e-administracji aniŜeli przestawienie obszernego wykazu zastosowań e-administracji. Dalsze przykłady patrz Załącznik 1 na końcu tego rozdziału, który zawiera listę usług e-administracji, uznawanych przez Unię Europejską za usługi podstawowe. 2.3.1 Informacje administracyjne Niektóre urzędy zamieszczają na swoich witrynach www informacje dla obywateli oraz przedsiębiorstw, na przykład zdalny dostęp do archiwów i baz danych, serwis wiadomości, informacje prawne, białe księgi oraz dokumentacje dotyczące polityk. 2.3.2 Urzędy elektroniczne Urzędy elektroniczne oferują obywatelom oraz przedsiębiorstwom moŜliwości związane z dostarczaniem lub aktualizowaniem danych osobowych, składaniem wniosków o zezwolenia lub dotacje, lub teŜ złoŜeniem podania o przyjęcie na wolne stanowisko pracy. 2.3.3 One-stop shops (miejsca, w których moŜna za jednym razem załatwić wszelkie
formalności związane z daną sytuacją Ŝyciową) Następny krok po elektronicznych urzędach to tzw. one-stop shops, które oferują usługi łączone, dostarczane przez wiele współpracujących ze sobą organizacji. Przedsiębiorcy na przykład, mogą uzyskać dostęp do planów zagospodarowania przestrzennego, składać wnioski o pozwolenia na budowę, zapisywać się do Izby Handlowej oraz płacić podatki, itd., wszystko poprzez jeden punkt usługowy. 2.3.4 E-zamówienia publiczne Utworzono kilka portali urzędowych dotyczących zamówień. Celem ich było ustanowienie punktu zbiorczego dla osób zajmujących się zamówieniami publicznymi oraz ich dostawców. Takie portale pozwalają obydwu stronom zdobyć rozeznanie w kwestii ofert, umów, zamówień, statystyk sprzedaŜy itd. UmoŜliwiają one równieŜ wszystkim zainteresowanym stronom połączyć odpowiednie dane dotyczące zaopatrzenia, sprzedaŜy oraz płatności z ich systemami finansowymi. Jedną z korzyści wynikających z tego jest oszczędność kosztów, poniewaŜ Ŝmudne ręczne wprowadzanie danych, mechanizmy oraz procedury mające na celu poprawienie błędów mogą zostać w znacznym stopniu zminimalizowane. RównieŜ proces e-zamówień publicznych moŜe zostać znacznie usprawniony. 2.3.5 Obsługa spersonalizowana Prowadzone są róŜne projekty, których celem jest zbadanie moŜliwości, jakie daje technologia inteligentnej karty w zapewnieniu spersonalizowanej obsługi klientów, na przykład opieki medycznej. Problemem jest to, Ŝe wszystkie dane, jakie mogą mieć znaczenie dla leczenia konkretnego pacjenta, są rozproszone w całej sieci składającej się z wielu organizacji. Sieć ta obejmuje lekarzy ogólnych, szpitale, specjalistów medycznych oraz apteki. Wszystkie zainteresowane strony posiadają nieco informacji na temat pacjenta, takie jak historia choroby, grupa krwi, informacje dotyczące alergii, objawy występujące po zaŜyciu lekarstw, diagnozy, badania, recepty, kontakty w razie nagłej potrzeby, warunki
13
polisy ubezpieczeniowej, itd. Są opracowywane systemy mające na celu udostępnienie wszystkich tych informacji upowaŜnionemu personelowi medycznemu i paramedycznemu, za pośrednictwem inteligentnej karty, która znajduje się w posiadaniu pacjenta. Wszystkie niezbędne informacje będą wówczas dostępne, niezaleŜnie od miejsca lub czasu zgłoszenia się pacjenta o pomoc medyczną, nawet w przypadku, kiedy pacjent został znaleziony nieprzytomny po wypadku (pod warunkiem, Ŝe posiadał przy sobie inteligentną kartę). 2.3.6 Infrastruktura Celem umoŜliwienia szybszej i bezpieczniejszej obsługi ruchu drogowego zostały ustanowione aplikacje telematyczne6. Dotyczy to sygnałów matrycowych na autostradach ukazujących ograniczenia prędkości oraz ostrzeŜeń o zatorach w ruchu. Dwa inne przykłady obejmują systemy monitorowania ruchu oraz systemy opłat zatorowych7. 2.3.7 Elektroniczne rozliczenia podatkowe W niektórych krajach urzędy skarbowe oferują moŜliwość wysyłania deklaracji podatkowych za pośrednictwem dyskietki, poprzez połączenie modemowe lub Internet. 2.3.8 Wymiana informacji w ramach zarządzania publicznego Tradycyjnie, zarządzanie publiczne jest zorganizowane w taki sposób, Ŝe kaŜdy urząd obsługuje swoich klientów oddzielnie. Podział ten nie uwzględnia faktu, Ŝe bazy ich klientów w pewnym stopniu się pokrywają. O ile nam wiadomo, Belgia była pierwszym krajem, który uświadomił sobie potrzebę usprawnienia zarządzania informacjami dotyczącymi danych, które obywatele i przedsiębiorstwa mają obowiązek dostarczyć do urzędu. Kilka lat temu załoŜono „Bank Crossroads zabezpieczenia społecznego”, a całkiem niedawno „Banki Crossroads dla przedsiębiorców”. Banki Crossroads pełnią rolę brokerów informacji. Pozwalają one na wdroŜenie zasady zbierania kaŜdego elementu danych tylko jeden raz oraz oddawania go do dyspozycji kaŜdej organizacji, która ma prawo go uŜywać. 2.3.9 Udział w kształtowaniu polityk Witryny www są stosowane w celu uzyskania od obywateli odpowiedzi odnośnie kwestii określonych polityk. Niekiedy nawet bardzo rozbudowane dyskusje elektroniczne, które mogą ciągnąć się przez kilka miesięcy, słuŜą jako przygotowanie do podejmowania decyzji politycznych.
2.4. Potencjalne korzy ści Do potencjalnych korzyści e-administracji dla obywateli i przedsiębiorstw naleŜą:
• wygoda (dostępność urzędu w dowolnym czasie i miejscu; wszystko w jednym miejscu; szybkie reakcje);
• lepsza jakość obsługi klienta;
6 Telematyka jest to zbiór technologii, które łączą w sobie telekomunikację oraz informatykę. 7 Nakładanie na kierowców opłaty za jazdę podczas godzin szczytu w określonych obszarach, w których często występują zatory.
14
• dostęp do większej ilości wyŜszej jakościowo informacji; • w szczególności dla firm: niŜsze koszty prowadzenia działalności.
Potencjalne korzyści dla urzędów obejmują:
• większą ogólną skuteczność, z powodu: o ciągłej obecności urzędu online, co zapewnia dostarczanie większej ilości
informacji o lepszej strukturze, łatwej do znalezienia i nie wymagającej zrozumienia sposobu, w jaki pracuje urząd;
o świadczenia usług łączonych; o lepszej informacji o obywatelach i przedsiębiorcach.
• większą wydajność z powodu:
o mniejszego kosztu obsługi; o usprawnionych procesów biznesowych; o zautomatyzowania zadań, w których występuje duŜe zuŜycie papieru i duŜe
prawdopodobieństwo błędów; o umoŜliwienia inteligentniejszego oraz szybszego postępowania z wyjątkami; o umoŜliwienia wglądu w czasie rzeczywistym w niewydajne etapy świadczenia
usług.
2.5 Czym szczególnym wyró Ŝnia si ę e-administracja? Sekcja ta dotyczy kwestii, jakie cechy powodują, Ŝe e-administracja wyróŜnia się jako coś szczególnego spośród innych rozwiązań związanych z informatyką. Cechy te mogą mieć wpływ na metody (kombinacje metod), jakie mają zostać uŜyte (patrz rysunek 6 w sekcji 4.3.1). 2.5.1 Orientacja na klienta Potrzeby klienta stanowią w nich punkt początkowy we wszelkich inicjatywach e-administracji. Powoduje to uznanie potrzeby odejścia od konwencjonalnego wyobraŜenia urzędu, dotyczącego moŜliwych potrzeb klientów (lub tego co administracja moŜe w łatwy sposób zapewnić). Zmiana ta ma daleko idące konsekwencje, poniewaŜ w większości przypadków, potrzeby klientów nie odpowiadają tradycyjnemu podziałowi administracji publicznej. Na przykład, jeŜeli chodzi o kwestie mieszkalnictwa, obywatele muszą mieć zazwyczaj do czynienia z róŜnymi ministerstwami, takimi jak Ministerstwo Spraw Wewnętrznych oraz Ministerstwo Mieszkalnictwa oraz z administracją gminną. JeŜeli administracja pragnie dostarczać usługi łączone w jednym miejscu, podział między urzędami oraz pomiędzy poziomami w ramach administracji publicznej musi zostać zniesiony. Wszystkie zainteresowane organizacje powinny dąŜyć do (dalszej) współpracy oraz dokonać przekształcenia swoich wzajemnych relacji. Muszą zrobić to na poziomie strategicznym jak równieŜ na poziomie codziennych operacji. Wynikiem tego jest prawdziawa rewolucja w administracji państwowej, poniewaŜ urzędy muszą przemyśleć swoje strategie oraz opracować i wdroŜyć nowe modele biznesowe. 2.5.2 Środowisko skomputeryzowane JeŜeli student ubiega się o poŜyczkę studencką lub, jeŜeli przedsiębiorca składa wniosek o pozwolenie na załoŜenie firmy, i jeŜeli robią oni to poprzez witrynę www, nie są potrzebne
15
formularze papierowe. W rezultacie, nie ma miejsca na korzystanie z dziennika podawczego. Z tego względu organizacja musi opracować inne środki umoŜliwiające śledzenie napływającego strumienia wniosków. W początkowych stadiach e-administracji moŜna pominąć to poprzez systematyczne drukowanie wszystkich napływających wniosków oraz obsługiwanie ich poprzez tradycyjne procedury obiegu korespondencji, lecz w przypadku pełnej e-administracji (patrz sekcja 2.6) ta raczej kłopotliwa metoda nie będzie mogła być kontynuowana. W podanych przykładach, „jedynie" pewność prawna jest zagroŜona: jeŜeli ludzie wnioskują o korzystanie z prawa do którego są upowaŜnieni, ich wniosek powinien zostać odpowiednio rozpatrzony w ustawowym terminie. JednakŜe, w innych sytuacjach pojawiają się równieŜ konsekwencje finansowe. Dotyczy to m. in. elektronicznych deklaracji podatkowych lub elektronicznego systemu licytacji w e- zamówieniach publicznych. Oczywiście w takich sytuacjach pojawiają się nadal kwestie legalności. Sekcja 5.2 („Środowiska cyfrowe”) opisuje ten temat w sposób bardziej szczegółowy. 2.5.3 Przetwarzanie w czasie rzeczywistym Oczywiste przykłady usług świadczonych w czasie rzeczywistym to systemy alarmowe w nagłych wypadkach. Na przykład Gartner wskazuje na Telefoniczny System Alarmowy w Nagłych Wypadkach, który jest stosowany w kilku stanach USA przez agencje bezpieczeństwa publicznego, zdrowia publicznego oraz ochrony środowiska, w celu szybkiego informowania obywateli o powaŜnych zagroŜeniach, takich jak wycieki substancji chemicznych, przerwy w dostawie mediów oraz poszukiwania przestępców. Technologia ta wykorzystuje głównie telefony stacjonarne jako urządzenia najbardziej wszechobecne, lecz moŜe obejmować równieŜ e-administrację, podczas gdy poczta elektroniczna, przeglądarki internetowe oraz urządzenia przenośne są wspierane poprzez takie systemy. Ponadto, informacje na temat zatorów w ruchu lub zamykania szkół stanowią informacje czasu rzeczywistego. Świadczenie usług w czasie rzeczywistym oznacza, Ŝe organizacja je świadcząca powinna przekształcić niezbędne procesy wewnętrzne (back-office) z przetwarzania wsadowego do przetwarzania w czasie rzeczywistym. Przykładowo, jeŜeli biuletyn rozprowadzany w formie papierowej zostanie przeniesiony do Internetu, danej organizacji moŜe nie wystarczyć utrzymanie miesięcznej aktualizacji, a nawet tygodniowa moŜe okazać się niewystarczająca. NaleŜy dokonać restrukturyzacji zarządzania informacjami tak, aby istotne nowe informacje mogły zostać umieszczone (prawie) natychmiast w witrynie www. 2.5.4 Integracja obsługi klienta z zapleczem biurowym Witryna www lub jakikolwiek inny kanał, który moŜe być uŜywany dla celów komunikowania się, mimo tego, Ŝe w atrakcyjny sposób zaprojektowany oraz w pełni wyposaŜony, jest sam w sobie jedynie pustym szkieletem. Aby mógł być stosowany jako dział świadczenia usług musi być połączony z zapleczem biurowym, w którym jest wykonywana rzeczywista praca stanowiąca podstawę usługi. W tym miejscu występują dwa wyzwania. Po pierwsze, istniejące urzędy ustaliły procedury zgodnie ze swoją własną logiką. Często nie są one ani zorientowane na klienta ani oparte na czasie rzeczywistym. Zgodnie z wcześniejszym opisem, jeŜeli urzędy te mają spełniać potrzeby e-administracji, muszą w nich
16
zostać przeprowadzone radykalne zmiany. Inną kwestią jest to, Ŝe istniejące organizacje stosują swoje stare technologie w formie starych systemów informacyjnych oraz baz danych. Problem polega na tym, Ŝe systemy te oraz bazy danych są często w niewłaściwy sposób dokumentowane oraz trudno jest je utrzymać. Ponadto, w wielu przypadkach personel informatyczny znający na wylot te systemy opuścili juŜ organizację. Z tych oraz innych przyczyn trudno jest dziś stworzyć niezbędne interfejsy pomiędzy serwerem www zapewniającym obsługę klienta a starymi systemami komputerowymi i bazami danych. 2.5.5 E-kanały Internet stanowi obecnie dominujący kanał, jeŜeli chodzi o stosowanie e-administracji w ogólności, oraz elektroniczne usługi w szczególności. JednakŜe, widziane z perspektywy klienta, podejście do stosowania Internetu jako jedynego kanału mogłoby okazać się zbyt wąskie. Mimo wszystko, nie wszyscy są w równym stopniu doświadczeni w uŜywaniu komputera. Ponadto, niektóre grupy docelowe są z natury mniej skłonne do stosowania komputera w celach komunikacji. Na przykład młode osoby komunikują się ze sobą głównie za pośrednictwem telefonów komórkowych. Mimo, Ŝe istnieje juŜ technologia tworzenia witryn www, które moŜna przeglądać za pośrednictwem telefonów komórkowych - jest ona oparta o „WAP”: Wireless Application Protocol – koszty konsumenckie, które wiąŜą się z tym rozwiązaniem, są dość wysokie. Poza tym, naleŜy zdać sobie sprawę, Ŝe tworzenie takiej drugiej witryny www, oprócz witryny oryginalnej, oznacza, Ŝe dla celów jej utrzymania konieczne są dodatkowe wysiłki. Inną moŜliwość stanowiłoby wykorzystywanie usługi przesyłania wiadomości przez telefony komórkowe: SMS8. Przykładem tego rozwiązania jest inicjatywa rządu Australii, która pozwala kierowcom zlokalizować najniŜsze ceny paliwa w ich obszarze poprzez róŜne kanały komunikacyjne, z których jeden stanowi SMS. Jeszcze innym przykładem rozwiązania jest smart card (karta inteligentna)9. Rada miasta Bracknell Forest w Wielkiej Brytanii opracowała na przykład rozwiązanie karty inteligentnej dla dostarczania róŜnorodnych usług dostępnych przez jedną kartę inteligentną, łącznie z dostępem do bibliotek oraz basenów kąpielowych, jak równieŜ płatnością za szkolne posiłki. W Holandii wdraŜane są programy pilotaŜowe do zbadania moŜliwości wykorzystania technologii karty inteligentnej dla usług takich jak transport publiczny oraz usługi medyczne. 2.5.6 E-podejmowanie decyzji Tradycyjnie, wybierani demokratycznie przedstawiciele w imieniu swoich zwolenników podejmują decyzje dotyczące polityki. W ciągu ostatnich lat, wiele krajów stanęło w obliczu spadku zainteresowania obywateli polityką. E-administracja moŜe być wykorzystana do przeciwdziałania tej tendencji, poniewaŜ stwarza ona nowe moŜliwości dotyczące uczestnictwa obywateli w tworzeniu polityki. Twórcy polityki mogą na przykład organizować badania opinii publicznej lub referenda dotyczące określonych kwestii politycznych, takich jak plany zagospodarowania przestrzennego, proponowane ustawodawstwo, itd. Wynik takich sondaŜy/ referendów moŜe odgrywać rolę w procesie podejmowania decyzji. 2.5.7 Zautomatyzowane procesy
8 Krótka Wiadomość Tekstowa (Short Message Service) 9 Karta inteligentna (smart card) jest plastikową kartą wielkości karty kredytowej zawierającą mikroprocesor oraz określoną ilość pamięci. Jest to rodzaj komputera, który komunikuje się z systemami informacyjnymi poprzez specjalne urządzenia, znane jako czytniki kart inteligentnych.
17
E-administracja w duŜym stopniu zmniejsza interwencję człowieka. Jedną z jej zalet jest to, Ŝe proces obsługi sprawy w mniejszym stopniu zaleŜy od nastrojów członków personelu i jest takŜe mniej podatny na błędy popełniane przesz człowieka. Ponadto, systemy informatyczne, jeŜeli zostaną w prawidłowy sposób zaprojektowane, są bardziej elastyczne w kwestii obciąŜenia pracą. W zasadzie, z tego względu e-administracja jest w większym stopniu przystosowana do radzenia sobie z duŜymi wahaniami popytu na usługi. Aby móc zautomatyzować procesy usług, urząd musi w inteligentny sposób połączyć swoje systemy obsługujące klienta z odpowiednimi bazami danych w ramach własnej organizacji, a w stosownych przypadkach równieŜ poza nią. JednakŜe, eliminacja interwencji człowieka ma nie tylko zalety: ewentualny skutek niekorzystny polega na tym, Ŝe bez nadzoru człowieka, błędy mogą przejść niezauwaŜone. 2.5.8 ZaleŜność od IT E-administracja niemal z definicji opiera się w duŜej mierze na technologiach informatycznych. Oznacza to, Ŝe programy e-administracji są naraŜone na zagroŜenia, jeŜeli ryzyka związane z technologiami informatycznymi są w niewystarczającym stopniu rozpoznawane i redukowane. Dwie najwaŜniejsze kwestie w tej materii to bezpieczeństwo informacji oraz zarządzanie projektem. W dziedzinie bezpieczeństwa informacji, niezbędna jest jasno określona polityka bezpieczeństwa. Polityka ta powinna być zgodna zarówno z programami e-administracji urzędu, jak i jego całościową strategią biznesową. Na podstawie polityki bezpieczeństwa, naleŜy opracować plan bezpieczeństwa. Między innymi oznacza to określenie spójnego zestawu mechanizmów, które zmniejszają do dopuszczalnego poziomu ryzyko zagroŜenia bezpieczeństwa. Oprócz mechanizmów, które mają zostać wdroŜone odnośnie sprzętu oraz oprogramowania, wymagane są równieŜ mechanizmy organizacyjne. Plan powinien na przykład określać róŜne obowiązki dla personelu informatycznego, przy zwróceniu naleŜytej uwagi na podział obowiązków. Plan ciągłości prowadzenia działalności, który jest zgodny z polityką bezpieczeństwa, jest równieŜ potrzebny w celu przeciwdziałania wszelkim ewentualnościom. Plan bezpieczeństwa powinien zostać w staranny sposób wdroŜony, zaś odbywający się okresowo audyt powinien zapewnić niezbędną gwarancję, Ŝe mechanizmy kontrolne faktycznie istnieją oraz działają. W przypadku, kiedy nie została ustanowiona i wdroŜona wyraźna polityka bezpieczeństwa informacji, jedno z ryzyk polega na tym, Ŝe rzeczywisty poziom bezpieczeństwa jest albo niewystarczający albo zbyt wysoki (oraz kosztowny), co zagraŜa realizacji celów projektu e-administracji lub aktywom organizacji. Z drugiej strony, nawet wówczas gdy poziom bezpieczeństwa jest wystarczający, zestaw środków bezpieczeństwa moŜe się okazać niedostateczny. W sekcji 3.3 omówione zostały ryzyka dotyczące świadczenia usług e-administracji. Co interesujące, w odniesieniu do zarządzania projektem, OECD wydało w roku 2001 ostrzeŜenie, zgodnie z którym e-administracja jest zagroŜona, poniewaŜ większość urzędów doświadcza problemów podczas wdraŜania duŜych projektów IT10. Organizacja ta posunęła się do stwierdzenia, Ŝe „dopóki urzędy nie nauczą się zarządzać ryzykami związanymi z
10 „The hidden threat to E-Government; Avoiding large government IT failures”, PUMA Policy Brief No. 8, March 2001.
18
duŜymi publicznymi projektami IT, te e-sny zmienią się w globalne koszmary" (e-sny oznaczają tu strategie e-administracji urzędów). W swoim studium kontekstowym („Dlaczego projekty IT ponoszą poraŜkę") NAO przedstawiło następujące, godne uwagi zalecenia dotyczące udoskonalenia projektów informatycznych w administracji:
• zagwarantować, Ŝe projekty będą ustalane w kontekście zapewniania modernizacji i będą widziane jako projekty biznesowe, a nie projekty informatyczne; poprzez rozwój umiejętności w dziedzinie zarządzania zmianą;
• podzielić projekty na mniejsze elementy, dające się łatwiej zarządzać; • przyjąć w projekcie aktywne oraz widoczne kierownictwo na najwyŜszym poziomie
organizacji, z jasno określonymi obowiązkami i odpowiedzialnością; • zwiększyć umiejętności zarządzania projektami, oceniać adekwatność umiejętności
osób zarządzających projektami do stopnia skomplikowania danego projektu oraz zwiększyć zrozumienie problematyki zarządzania ryzykiem;
• zidentyfikować podstawowe niezbędne umiejętności oraz zapewnić szybkie sposoby zdobycia brakujących umiejętności przez posiadaną kadrę lub uzupełnienia kadry o osoby posiadające niezbędne umiejętności;
• ulepszyć relacje z dostawcami tak, aby obydwie strony mogły wspólnie oraz wzajemnie zrozumieć wymogi oraz ryzyka;
• zapewnić, Ŝe zamierzone korzyści będą osiągnięte poprzez uruchomienie formalnych procesów celem śledzenia postępów w realizacji;
• rozpowszechniać wiedzę, najlepsze praktyki oraz doświadczenia celem zapewnienia, Ŝe podczas realizacji nowe projekty będą korzystać z doświadczeń projektów wcześniejszych.
2.5.9 W końcu...w czym e-administracja nie róŜni się od „zwykłej” administracji? Skupianie uwagi na charakterystycznych cechach moŜe przysłonić wgląd w kwestie, które są wspólne dla e-administracji oraz innych waŜniejszych rozwiązań w dziedzinie administracji publicznej. Z tego punktu widzenia, najwaŜniejszą cechą jest to, Ŝe przełączenie się do e-administracji stanowi głównie przekształcenie procesu biznesowego. Podczas sympozjum OECD dla starszych rangą urzędników w czerwcu 200311 , uczestnicy odpowiednio podkreślili, Ŝe „elektroniczna administracja dotyczy w większym stopniu administracji niŜ elektroniki" i Ŝe kiedyś przywódcy będą musieli zacząć usuwać to „e” z e-administracji”. Nie skupiając się raczej na samej technologii, uczestnicy uznali znaczące moŜliwości stosowania technologii jako strategicznego narzędzia w celu modernizacji struktur, procesów oraz całościowej kultury urzędów publicznych. W wielu krajach przejście to zwane jest „modernizacją administracji rządowej”, transformacją, która jest wbudowana w plany krajowe oraz strategie reform dla agencji rządowych oraz istotnych systemów informacji.
2.6. Aspekty rozwojowe
11 Sympozjum zostało zwołane w Waszyngtonie, w Białym Domu 9 czerwca 2003
19
Wydawanie decyzji w sprawie strategii e-administracji, jaka ma zostać wdroŜona, jest obowiązkiem wyŜszej politycznej kadry kierowniczej w kraju. Strategia ta ma zostać wdroŜona przez wszystkie poziomy zarządzania publicznego. Gartner rozróŜnia następujące etapy rozwoju e-administracji:
• (Obecność): witryny www, prezentujące tylko informacje, • (Interakcja): ograniczona interaktywność, podstawowe poszukiwanie, wyszukiwanie
proste, odnośniki do stron, • (Transakcja): portale, e- zamówienia publiczne, aplikacje samoobsługowe, • (Transformacja): aplikacje CRM12, personalizacja, wybory i głosowanie.
Komisja Europejska (inicjatywa „e-Europa”) definiuje następujące etapy:
• (Informacja): informacja online na temat usług publicznych, • (Interakcja jednostronna): pobieranie formularzy, • (Interakcja dwustronna): przetwarzanie formularzy, łącznie z uwierzytelnianiem, • (Transakcja): portale, zamówienia publiczne, obsługa przypadków aplikacji
samoobsługowych, decyzja oraz dostarczenie (płatność). Zarówno w modelach Gartnera jak i Wspólnot Europejskich, wyŜsze stopnie rozwojowe opierają się na niŜszych. NaleŜy zauwaŜyć, Ŝe podczas, gdy oba modele uznają cztery etapy, etap 4 Wspólnot Europejskich (Transakcja) odpowiada połączeniu etapów Gartnera 3 (Transakcja) oraz 4 (Transformacja). Z uwagi na fakt, Ŝe te dwa modele są w duŜym stopniu porównywalne, oraz, Ŝe się takŜe pokrywają, proponujemy je połączyć. W ten sposób identyfikujemy następujące etapy: - Etap 1 (Obecność): witryny www, dostępne dwadzieścia cztery godziny na dobę, przedstawiające tylko informacje na temat usług publicznych, - Etap 2 (Prosta interakcja): wyszukiwanie proste, odnośniki do stron; pobieranie formularzy, - Etap 3 (Inteligentna interakcja): przetwarzanie formularzy, łącznie z uwierzytelnianiem, - Etap 4 (Transakcja): rozpatrywanie spraw; decyzja oraz dostarczanie (płatność), aplikacje CRM, personalizacja, wybory i głosowanie, zamówienia publiczne. Według róŜnych ekspertów, wdroŜenie wszystkich tych etapów moŜe potrwać co najmniej 5 lat. Z tego właśnie względu ambitny zamiar opracowania pełnej e-administracji będzie wymagał ciągłych wysiłków wszystkich zainteresowanych stron. Aspiracje osiągnięcia najwyŜszego etapu rozwoju e-administracji są teraz typowe dla wielu krajów europejskich. Z uwagi na fakt, Ŝe etap 4 jest obecnie badany, i zostaną opracowane innowacyjne procedury współdziałania, zarówno wśród agencji rządowych jak i pomiędzy administracją a obywatelami/przedsiębiorstwami, mogą się pojawić nowe perspektywy.
12 Zarządzanie Relacjami z Klientami
20
2.7. Uwagi ko ńcowe Wiele agencji, w wielu róŜnych sektorach, wprowadziło obecnie e-administrację lub jest w trakcie jej wprowadzania. Pod warunkiem właściwego wdroŜenia, e-administracja moŜe przynieść korzyści dla obywateli oraz przedsiębiorstw, takie jak wygoda i lepsze usługi. Co równie waŜne, takŜe same agencje mogą odnosić korzyści z e-administracji, zwłaszcza w postaci większej skuteczności i wydajności. Z drugiej strony, e-administracja zwiększa równieŜ słabość agencji, poniewaŜ jest ona silnie zaleŜna od IT. Ponadto, agencja musi zajmować się róŜnymi kwestiami organizacyjnymi, takimi jak tworzenie organizacji zorientowanej na klienta oraz integrowanie front office z back office. W celu zapewnienia, Ŝe potencjalne korzyści mogą rzeczywiście zostać osiągnięte i Ŝe niepotrzebne ryzyko, albo dla agencji albo jej klientów będzie zminimalizowane, niezbędne jest dobre zarządzanie IT. Specjalnej uwagi wymagają zarządzanie projektem oraz bezpieczeństwo informacji. Co więcej, z powodu swojej istotnej roli w wypełnieniu misji agencji, IT powinno zostać właściwie dostosowane do strategii biznesowej agencji. Z tych względów, odpowiedzialność za rozwiązania e-administracji nie moŜe spoczywać na niŜszych poziomach kierownictwa ani teŜ na jednostce IT. Natomiast, waŜniejszą rolę pełni tu wyŜsze rangą kierownictwo. Kluczem do pomyślnej e-administracji jest to, Ŝe ten górny poziom opracowuje wizję dotyczącą e-administracji z zamiarem realizacji tejŜe wizji.
21
ZAŁĄCZNIK 1 Wspólna lista Unii Europejskiej podstawowych usług publicznych Lista ta obejmuje usługi e-administracji, które są uznawane przez Unię Europejską za usługi podstawowe. Lista została ułoŜona w kontekście planu działań e-Europa. Jest ona wykorzystywana przez Unię Europejską w celu monitorowania postępu dokonywanego w ramach Unii Europejskiej dotyczącego wdraŜania podstawowych usług e-administracji. Usługi publiczne dla obywateli 1 Podatki dochodowe: deklaracje, zawiadomienie o ocenie naleŜności podatkowych 2 Usługi poszukiwania pracy świadczone przez urzędy pracy 3 Składki na zabezpieczenie socjalne (3 z następujących 4):
• Zasiłki dla bezrobotnych • Zasiłki na dzieci • Koszty medyczne (refundacja lub bezpośrednie rozliczenie) • Socjalne stypendia studenckie
4 Dokumenty osobiste (paszport oraz prawo jazdy) 5 Rejestracja pojazdu (samochody nowe, uŜywane oraz importowane) 6 Wnioski o zezwolenie na budowę 7 Zgłoszenia policji (np. w przypadku kradzieŜy) 8 Biblioteki publiczne (dostępność katalogów, narzędzia wyszukiwania) 9 Certyfikaty (urodzin, małŜeństwa): wniosek i dostarczenie 10 Zapisy do wyŜszych szkół /uniwersytetów 11 Ogłoszenie przeprowadzki (zmiana adresu) 12 Usługi związane ze zdrowiem (np. interaktywne porady dotyczące dostępności
usług w róŜnych szpitalach; skierowanie do szpitali.) Usługi publiczne dla przedsiębiorstw 1 Składki na zabezpieczenie socjalne dla pracowników 2 Podatek dochodowy od osób prawnych: deklaracje, zawiadomienia 3 VAT: deklaracje, zawiadomienia 4 Rejestracja nowego podmiotu publicznego 5 Dostarczanie danych do urzędów statystycznych 6 Deklaracje celne 7 Zezwolenia dotyczące ochrony środowiska ( wraz z raportowaniem) 8 Zamówienia publiczne 3. RYZYKO
3.1 Wstęp Rozdział ten opisuje niektóre ryzyka związane z przedwdroŜeniowymi fazami dotyczącymi planowania i opracowywania usług e-administracji, ryzyk powstających podczas ich
22
wprowadzania oraz ryzyk wiąŜących się ze świadczeniem usług e-administracji. Niniejszy rozdział jest zakończony kilkoma uwagami dotyczącymi kontroli projektów usług e-administracji oraz towarzyszących im podejść kontrolnych.
3.2. Ryzyka zwi ązane z planowaniem, opracowywaniem oraz wprowadzaniem usług e-administracji 3.2.1 Planowanie strategiczne, koordynacja oraz zarządzanie jakością Brak lub nieodpowiedniość centralnego organu odgrywającego strategiczną rolę na poziomie federalnym, centralnym lub lokalnym niesie ryzyko nieskoordynowanego planowania oraz wprowadzania usług e-administracji13. Ryzyka te obejmują brak centralnej koordynacji prowadzący do róŜnic strukturalnych, nakładania się na siebie funkcji, powielania środków, itp. Działania, jakie mają zostać podjęte, obejmują odpowiednie postanowienia Narodowego Planu Rozwoju, centralnego dofinansowywania, polityki „kija i marchewki", obowiązkowych norm jakości itd. 3.2.2 Oczekiwania uŜytkownika/ badanie profilu uŜytkownika/ Zapewnienie jakości Nie ulega wątpliwości, Ŝe do chwili obecnej, internet stał się szeroko stosowaną platformą komunikacji we wszystkich Państwach Członkowskich Unii Europejskiej i Ŝe koszt dostępu do niej obniŜył się gwałtownie od połowy lat 90tych. Wiele z usług świadczonych przez urzędy za pośrednictwem internetu jest prawie niewykorzystywane. Pomimo tej luźnej "relacji klienckiej" pomiędzy administracją i obywatelem (relacja urząd-obywatel), jednostki i agencje zazwyczaj biorą za pewnik atrakcyjność swoich usług online lub przynajmniej kierują się takim załoŜeniem (na podstawie dowodów, takich jak pozytywne reakcje na moŜliwość wypełniania deklaracji celnych przez Internet, jak np. relacja urząd-przedsiębiorca). Niedokładne sondaŜe badania akceptacji niosą ryzyko niewłaściwego ukierunkowywania potencjalnych uŜytkowników oraz wprowadzających w błąd wysiłków mających na celu sprawienie, Ŝe administracja będzie bardziej wydajna i skuteczna, poprzez dostęp do internetu w ogólności oraz dostęp do usług e-administracji w szczególności. Brak wyraźnych kryteriów jakości moŜe stanowić zagroŜenie dla zgodności obecności w internecie jednostki lub agencji
13 Na przykład Niemieckie Federalne Ministerstwo Spraw Wewnętrznych ma być odpowiedzialne za centralne planowanie i koordynację wszystkich projektów e-administracji poprzez federalną administrację publiczną oraz ma za zadanie ustanowienie kontaktów lub łączy do systemów urzędów państwowych i lokalnych (oraz innych urzędów krajowych). Z drugiej strony niemiecka Konstytucja Federalna określa, Ŝe kaŜdy Minister Federalny prowadzi działalność swojego departamentu samodzielnie i na swoją własną odpowiedzialność (chociaŜ w ramach wytycznych polityki ustanowionych przez Kanclerza Federalnego). Oznacza to, Ŝe odpowiedzialność za dostarczanie usług IT w duŜej mierze spoczywa na poszczególnych departamentach rządu federalnego. Departamenty te, jak równieŜ agencje im podległe projektują i opracowują większość ze swoich własnych aplikacji IT potrzebnych dla ich konkretnych operacji oraz, w większości przypadków, prowadzą swoje własne centra komputerowe. W Polsce strategia rządu pt. Wrota Polski (Gateway Poland) określa dwa główne cele, które mają zostać osiągnięte w obszarze usług publicznych przed rokiem 2005: osiągnięcie średniej Unii Europejskiej dla podstawowych usług publicznych dostępnych poprzez elektroniczne środki przekazu oraz wzrost skuteczności urzędów publicznych o 40%. Strategia ta przewiduje takŜe przeniesienie całego procesu zamówień publicznych do Internetu przed końcem roku 2004.
23
z potrzebami oraz Ŝyczeniami „klientów”, przepisami prawnymi oraz innymi wymogami dotyczącymi prywatności i bezpieczeństwa danych. Agencje wdraŜające powinny zagwarantować, Ŝe istniejące struktury oraz procedury, które zostały utworzone w celu radzenia sobie w sposób tradycyjny uŜytkowników z róŜnymi sprawami i transakcjami są analizowane oraz właściwie modyfikowane lub zastępowane innymi, w kaŜdym przypadku, kiedy jest to konieczne dla ułatwienia oraz przyśpieszenia wprowadzenia oraz rozwoju e-administracji. W praktyce struktury oraz procedury administracji (łącznie ze strukturami administracyjnymi, profilami zasobów ludzkich oraz wzorami zarządzania) rzadko odzwierciedlają potrzeby e-administracji. W ten oto sposób powodzenie programów e-administracji w głównej mierze zaleŜy od zdolności oraz skuteczności transformacji biznesowej dotyczącej usług, które mają być dostarczane on-line. Większość tych struktur oraz procedur moŜe zazwyczaj wynikać z waŜnych rozporządzeń podległych dość długiemu procesowi demokratycznemu. Planowanie finansowe moŜe zaleŜeć od struktury budŜetu, która w ogóle nie jest zorientowana na e-administrację. Środki mające na celu zmniejszenie tego ryzyka muszą obejmować wielorakie sposoby oraz mechanizmy towarzyszące oraz przewidujące skuteczny oraz bezpieczny elektroniczny back office, który jest w stanie przechowywać oraz odzyskiwać dokumentację administracji taniej i szybciej. 3.2.3 Opłacalność Urzędy muszą zapewnić, Ŝe usługi e-administracji będą nie tylko funkcjonalne, lecz będą równieŜ wprowadzane w sposób opłacalny. W sumie, w budŜetach przewidziano duŜe nakłady na inicjatywy e-administracji. Największa część całkowitych wydatków przewidziana w budŜecie zostanie poniesiona w nadchodzących latach. Na przykład w Niemczech 25% tych wydatków ma zostać wykorzystana na wprowadzenie usprawnień do struktur administracyjnych oraz powiązanych procesów biznesowych. Potrzeby związane z finansowaniem mają być w duŜym stopniu zaspokojone poprzez oszczędności oraz ponowne rozdzielenie funduszy w ramach jednostek i agencji oraz pomiędzy nimi. Mimo, Ŝe opisane zostały potencjalne korzyści, takie jak oszczędności materiałów oraz przyśpieszenie procesów biznesowych, finansowa analiza kosztów i korzyści oraz ocena jakości oraz waŜności róŜnych usług w większości przypadków nie zostały jeszcze podjęte. MoŜe to doprowadzić do niedokładnej oceny wpływu oszczędności wynikającego z usług informacyjnych prowadzonych poprzez internet. Wszelkie potencjalne oszczędności będą prawdopodobnie mniejsze niŜ te, które są generowane poprzez świadczenie usług komunikacyjnych oraz transakcyjnych. Ponadto, następujący fakt musi zostać wzięty pod uwagę podczas przeprowadzania analizy kosztów i korzyści: Przez długi czas usługi e-administracji mogą wymagać duplikowanie infrastruktury obok konwencjonalnej infrastruktury dla usług publicznych dostarczanych bez pośrednictwa internetu.
24
Niedokładne oceny mogą zagrozić wyobraŜeniu na temat znaczących przyszłych wydatków, jakich moŜna się spodziewać związku z koordynowaniem, sterowaniem, księgowością oraz – w stosownych przypadkach – pobieraniem opłat za te usługi. Do końca roku 2005, prawie wszystkie usługi, jakie mają zostać włączone do programu e-administracji mają być dostępne online poprzez internet; w wielu krajach Unii Europejskiej około 60% tych usług ma być dostępna w sieci juŜ pod koniec roku 2003. Agencje wdraŜające powinny właściwie zdefiniować swoje cele przy uŜyciu istniejących instrumentów (łącznie z narodowymi planami rozwoju, rocznymi oraz wieloletnimi budŜetami, regionalnymi oraz miejskimi planami itd.), jak równieŜ przy uŜyciu specyficznych dla zadania instrumentów, jeśli zajdzie taka potrzeba. Dokumenty te powinny być spójne oraz zgodne z dobrą praktyką. NaleŜy równieŜ przeprowadzić niezbędne działania w celu realizacji tych celów. Obecnie często brakuje przejrzystości projektów oraz definicji celów, planowanych etapów wprowadzania poszczególnych usług. Istniejące dokumenty mogą nie zawierać specyficznych elementów łącznie z mierzalnymi celami, które umoŜliwiają późniejszą ocenę programu w ich kontekście. Takie informacje powinny być obszernie publikowane do wglądu przez wszystkich bezpośrednio lub pośrednio zainteresowannych. 3.2.4 Utworzenie niezbędnych ram prawnych i organizacyjnych. Urzędy muszą zapewnić niezbędne ramy prawne i organizacyjne promujące e-administrację. NajwaŜniejszymi obszarami są koszt dostępu oraz bezpieczeństwo transakcji. Mimo, Ŝe wiele postanowień prawa cywilnego oraz administracyjnego zostało do tej pory dostosowanych do wymogów elektronicznej komunikacji oraz transakcji, ryzyko braku solidnych ram prawnych dla ambitnych programów działań reformy administracji wymagać będzie dalszych niesłabnących wysiłków w celu przyjęcia istniejącego oraz wcielenia nowego ustawodawstwa. Będą musiały zostać podjęte wczesne decyzje dotyczące prawnych oraz organizacyjnych ram dostarczania usług publicznych przez internet. Alternatywne opcje, które moŜna wybrać są następujące:
• dostarczenie całej gamy usług e-administracji poprzez bezpośrednie organizacje usługowe (znane równieŜ pod nazwą „funduszy branŜowych”) w ramach departamentów lub agencji lub
• przeniesienie kontraktów dotyczących całej odnośnej pracy lub jej części do prywatnego sektora (outsourcing rozwoju, operacje oraz/lub infrastruktury IT, zapewnienie usług aplikacji, dostarczanie sieci).
3.2.5 Standardy IT oraz rozporządzenia Ustalono wiele obowiązujących standardów dotyczących wdroŜenia projektów IT oraz ich oceny zgodnie z kryteriami wykonalności ( wartość za cenę)14.
14 Np. w Niemczech: http://www.kbst.bund.de/Anlage300441/Band+52+komplett+%281%2c3+MB%29.pdf
25
Agencje wdraŜające powinny zapewnić zgodność systemów e-administracji z normami takimi jak ISO 17799, CobiT oraz obowiązującym ustawodawstwem regulującym handel elektroniczny. Samo istnienie norm oraz rozporządzeń nie jest wystarczające w przypadku złoŜonych, nowych, kosztownych oraz stresujących zadań, częściowo wykonywanych przez organizacje w głębokim procesie re-engineeringu, który jest zazwyczaj niezbędny podczas przekształcenia w prawdziwą e-administrację. Istnieje powaŜne ryzyko, Ŝe urzędy będą się przede wszystkim koncentrować na kwestiach dostarczania i zapomną o normach i rozporządzeniach. Z uwagi na fakt, Ŝe wiadomości oraz transakcje e-administracji pociągają za sobą równieŜ wymianę poufnych danych pomiędzy administracją i obywatelami, naleŜy wydać odpowiednie wytyczne dotyczące planowania i wdraŜania bezpiecznych aplikacji e-administracji.15 RóŜne rozwiązania publicznych systemów IT, zwłaszcza te, które mają podstawowe znaczenie dla bezpieczeństwa IT w obszarach wysokiego ryzyka muszą zostać ocenione. W tym celu muszą zostać ustalone, a niekiedy opracowane, specyficzne normy bezpieczeństwa, zaś systemy IT skontrolowane w ich kontekście. Wiele rozwiązań systemów IT będzie musiało przejść proces certyfikacji bezpieczeństwa, aby spełnić wymogi prawne, albo Ŝeby zachować zgodność z poziomami zapewnienia bezpieczeństwa. Ponadto, moŜna uzyskać darmowe oprogramowanie usług publicznych, które juŜ zostało opracowane przez inne jednostki administracyjne. Brak wytycznych metodologicznych oraz odpowiednich norm IT16 moŜe spowodować zagroŜenie dla interoperacyjności pomiędzy róŜnymi aplikacjami e-administracji, zarówno w odniesieniu do nowo opracowanych, jak i istniejących aplikacji. W przypadku, kiedy rozwój infrastrukturalny (jakość, dostęp do internetu itd.) w niektórych obszarach nie spełnia poŜądanych norm w odpowiednim czasie, moŜe to mieć głęboki wpływ na dostępność oraz funkcjonowanie nawet najlepszych usług e-administracji, świadczonych przez najpotęŜniejsze serwery oraz centra. Istnieje wiele sposobów osiągnięcia zgodności. Procedury samooceny, kontrole wewnętrzne, NOK, specjalistyczne organizacje oraz procedury współistnieją w wielu krajach i tworzą sieć struktur oraz mechanizmów promujących zgodność z dobrymi praktykami, normami zawodowymi oraz wymogami prawnymi odnoszącymi się do e-administracji oraz jej elementów. 3.2.6 Dostarczenie infrastruktury technicznej Brak konsekwencji w planowaniu moŜe stanowić zagroŜenie dla dostępności oraz wiarygodności podstawowych komponentów IT oraz urządzeń (portal internetowy, system
15 Porównaj program „ePolska” z marca 2003, który nakłada odpowiedzialność ustanawiania standardów dla bezpiecznych aplikacji administracyjnych na ministerstwa lub w przypadku Niemieckiego Rządu Federalnego patrz: http://www.bsi.bund.de/fachthem/egov/3_en.htm 16 W celu zapewnienia interoperacyjności pomiędzy róŜnymi aplikacjami e-administracji, zarówno nowo opracowanymi jak i istniejącymi, metodologiczne wytyczne „Standards and Architectures in e-Government Applications” (SAGA) zostały przyjęte w Niemczech na początku roku 2003.
26
zarządzania zawartością, serwer formularzy, podstawowe usługi dla bezpieczeństwa transakcji), które powinny znajdować się w dyspozycji większości jednostek administracji oraz agencji oraz ich róŜnych typów usług online. 3.2.7 ZaleŜność od firm IT W rezultacie niewłaściwego dostarczania lub niedostatecznych rozporządzeń normatywnych oraz prawnych, firmy dostarczające IT dla Administracji mogą zdobyć specjalną pozycję w systemach e-administracji. Konsekwencje mogą obejmować, co następuje: preferowanie niektórych z nich, zakłócenia konkurencyjności na wolnym rynku oraz zmniejszanie się opłacalności całego systemu. Urzędy powinny unikać zamykania się w konkretnej technologii posiadanej przez firmy, które mogłyby wykorzystać tę dominację do stosowania nieuczciwych cen. W konfrontacji z tym ryzykiem moŜemy zastosować technologię open source, dwie lub więcej alternatywne technologie konkurencyjne w stosunku do siebie na rynku, dokładnie opracować kontrakty długoterminowe, które przewidują stabilność cen (lub redukcję cen rynkowych), utrzymanie oraz przyszłe rozwiązania. 3.2.8 Prawo do domeny internetowej Niewystarczające warunki prawne stanowią zagroŜenie dla prawa do domeny internetowej. Aby utrzymać obecność w internecie, kaŜda jednostka lub agencja musi posiadać adres internetowy lub „domenę internetową” zarejestrowaną we właściwym organie. Wybrana nazwa musi stanowić nazwę, którą uŜytkownicy internetu mogą logicznie powiązać z usługami oferowanymi przez departament lub agencję. Na przykład, w przypadku organu polskiego, logicznym wyborem byłoby „www.nazwaorganu.gov.pl, zaś w przypadku niemieckiego organu niemieckiego „www.nazwaorganu.de” lub „www.opis usługi.de”. 3.2.9. Postęp w technologii informacyjnej oraz komunikacyjnej W przeciwieństwie do innych sfer Ŝycia, technologia informacyjna i komunikacyjna (ICT) podlega nadzwyczaj szybkim zmianom. Tak jak w przeszłości, moŜliwości platform stosowanych do prowadzenia systemów IT będą się prawdopodobnie podwajać co 18-24 miesiące. Nieodpowiednie platformy komunikacyjne wybrane dla e-administracji, mianowicie Internet oraz poczta elektroniczna są zagroŜone wpływem szybkiego postępu technologicznego. Usługi e-administracji będą musiały ściśle nadąŜać za tymi rozwiązaniami w relacjach z „klientami”. Znaczne ryzyko dotyczy tempa, w którym ICT rozwija się w docelowej populacji i obszaru geograficznego e-administracji . Łączy to ze sobą wiele aspektów rozwoju łącznie z infrastrukturą, jakością usług, ich dostępnością finansową oraz wykształceniem.
3.3. Ryzyka dotycz ące prowadzenia usług e-administracji 3.3.1 Dostateczne bezpieczeństwo techniczne oraz organizacyjne IT Wprowadzenie usług e-administracji często oznacza zakup nowego lub przekształcenie istniejącego sprzętu ICT oraz infrastruktury.
27
Ryzyko błędu oraz naduŜycia implikuje konieczność zaplanowania oraz wdroŜenia licznych mechanizmów w zasadzie nieistniejących w wolnym środowisku IT: podziału obowiązków, sterowania dostępem, sterowania wejściem, sterowania przetwarzaniem itd. Brak wyraźnych ustaleń dotyczących nie tylko prawnej ochrony prywatności, lecz równieŜ uzyskania bezpieczeństwa danych niesie ze sobą szczególne ryzyko związane z niezabezpieczonym stosowaniem poczty elektronicznej oraz internetu jako platform komunikacji oraz transakcji w związku z usługami e-administracji. Działania, jakie mają zostać podjęte mają na celu między innymi, co następuje (porównaj sekcję 5.3.3. Kontrola aplikacji IT”)” - Rzetelność Wymóg rzetelności oznacza, Ŝe muszą zostać podjęte kroki w celu zabezpieczenia informacji przechowywanych w komputerze oraz danych przed częściową lub całkowitą utratą, zniszczeniem lub fałszowaniem. W kwestii komunikacji elektronicznej, oznacza to, Ŝe dane muszą być w pełni chronione przed zmianami lub ingerencją w nie podczas transmisji. - Autentyczność To pojęcie wymaga podjęcia odpowiednich działań w celu zapewnienia, ze partner komunikacji jest osobą, za którą się podaje oraz/lub, Ŝe informacje otrzymane w rzeczywistości pochodzą ze wskazanego źródła. Muszą istnieć ustalenia, które zagwarantują, Ŝe źródło danych osobowych moŜe zostać zidentyfikowane w dowolnym momencie. W tym kontekście, naleŜy poczynić rozróŜnienie pomiędzy dowodem toŜsamości (partnerzy komunikacji potwierdzają swoją toŜsamość w sposób, który wyklucza wszelkie wątpliwości) oraz dowodem pochodzenia (wysyłający udowadnia, Ŝe wiadomość pochodzi od niego/niej i nie została zmieniona). Procedury uwierzytelniania słuŜą wykrywaniu dostępu jakichkolwiek osób nieupowaŜnionych oraz zapewniają ochronę przed nieautoryzowaną ingerencją w dane, oraz zabezpieczaniu wraŜliwych danych podczas ich przesyłania za pośrednictwem internetu. Wymaga to procedur, które umoŜliwiają wszystkim zainteresowanym stronom zidentyfikować swoich partnerów komunikacji bez Ŝadnych wątpliwości. - Poufność NaleŜy zagwarantować, Ŝe dane oraz informacje mogą zostać ocenione tylko przez osoby upowaŜnione oraz na dopuszczalne sposoby. W sytuacjach, kiedy dane są przesyłane za pośrednictwem Internetu bez ustaleń dotyczących ochrony technicznej, osoby trzecie mogą mieć wgląd w treść wiadomości i modyfikować je bez wiedzy nadawcy lub adresata. Muszą zostać podjęte odpowiednie środki zaradcze w celu zapobiegania niemoŜliwemu do wykrycia wglądowi w treść wiadomości elektronicznych przez osoby nieupowaŜnione oraz ingerencji w treść tych wiadomości. - Dostępność
28
NaleŜy opracować ustalenia dotyczące zapewnienia, Ŝe informacje oraz usługi są dostępne w odpowiednim czasie, w kaŜdym momencie, kiedy są potrzebne uŜytkownikowi. Potrzeba terminowego oraz prawidłowego przetwarzania danych jest nadzwyczaj wielka, jeśli chodzi o usługi e-administracji. NaleŜy poczynić największe moŜliwe wysiłki celem uniknięcia utraty danych oraz utrudnienia działania sprzętu lub oprogramowania spowodowanego przez awarie techniczne. W ramach szerszej „Polityki bezpieczeństwa” wymagane są solidne plany tworzenia kopii zapasowych oraz odzyskiwania utraconych plików. - WiąŜący charakter transakcji elektronicznych oraz potwierdzenie przyjęcia wiadomości NaleŜy poczynić ustalenia w celu zapewnienia, Ŝe wysyłanie oraz odbiór danych i informacji nie mogą zostać zakwestionowane (tj. umoŜliwi ć wydanie potwierdzenia, Ŝe wiąŜąca prawnie transakcja została zawarta). - MoŜliwość poddania się kontroli Organy, które prowadzą usługi e-administracji mają obowiązek poczynić techniczne oraz organizacyjne ustalenia pozwalające na późniejszą weryfikację transakcji elektronicznych, co pozwala kierownikom lub kontrolerom dowiedzieć się, kto wprowadził lub przekazał jakie dane oraz w jakim czasie. Poczynione ustalenia muszą być równieŜ odpowiednie, aby moŜna było wykryć i prowadzić dochodzenie w sprawie jakichkolwiek niedopuszczalnych prób dostępu do danych lub ingerencji w nie. Do przykładów ryzyk oraz potencjalnych szkód spowodowanych przez niezgodność z tymi wymogami naleŜą:
• wprowadzenie do sieci IT złośliwego oprogramowania (tj. wirusów, koni trojańskich, bomb logicznych lub robaków);
• ingerencja w/uszkodzenie/zniszczenie systemów operacyjnych lub oprogramowania aplikacji (łącznie z uszkodzonymi rekordami);
• niedostateczna ochrona dostępu do zdalnej konserwacji; • ingerencja spowodowana "wewnętrznymi sprawcami" (np.
administratorami lub uŜytkownikami); • uszkodzone lub ryzykowne oprogramowanie; • ingerencja w łącza komunikacyjne; • niedostateczna świadomość bezpieczeństwa; • niedostatecznie wykwalifikowany personel.
Szkoda spowodowana tymi czynnikami moŜe zostać zaklasyfikowana do tych róŜnych kategorii:
• materialna; • finansowa (przestój to (takŜe) pieniądze); • niematerialna (moŜe być bardziej dotkliwa niŜ szkoda finansowa) oraz szkoda
związana z personelem. Logowanie zapobiega dostępowi osób nieupowaŜnionych oraz ingerencji, poniewaŜ nikt nie moŜe mieć pewności, Ŝe wykroczenia przejdą niezauwaŜone.
29
ŚcieŜki audytu17 mogą zapewnić, Ŝe nie miała miejsca ingerencja w dane. Poświęcenie tej kwestii szczególnej uwagi jest istotne, poniewaŜ w stopniu, w jakim program e-administracji prowadzi do zaprzestania stosowania formularzy papierowych, tradycyjne ścieŜki audytu, równieŜ mają tendencję do zanikania. Z tej przyczyny organizacja powinna utworzyć nowe ścieŜki audytu w zautomatyzowanych systemach informacyjnych w celu zapewnienia, Ŝe transakcje zawsze mogą być kontrolowane. Nieistniejące lub niedostateczne ścieŜki audytu wprowadzają ryzyko, Ŝe nieautoryzowane zmiany danych mogą przejść niezauwaŜone. 3.3.2 Bezpieczeństwo transakcji W celu zapobiegania niedostatecznemu bezpieczeństwu transakcji w odniesieniu do komunikacji z klientem oraz – zwłaszcza - usług transakcji (urząd-obywatel; urząd-przedsiębiorca; urząd-urząd), administracja powinna przestrzegać wymogów rozporządzenia dotyczącego podpisu cyfrowego (Digital Signature Ordinance). Ponadto, naleŜy starać się zapewnić interoperacyjność pomiędzy krajowymi oraz międzynarodowymi rozwiązaniami dotyczącymi podpisu cyfrowego. Aby urzędy publiczne mogły się komunikować bezpiecznie przez internet i aby komunikacja ta była prawnie wiąŜąca, muszą one posiadać równieŜ „wirtualnego zarządcę poczty”, który pełniłby rolę zautomatyzowanej w duŜym stopniu centralnej bramki bezpieczeństwa i wykonywałby funkcję uwierzytelniania, weryfikowania oraz generowania podpisów cyfrowych, deszyfracji oraz szyfracji, jak równieŜ przeprowadzałby inne kontrole bezpieczeństwa. Wysokiej jakości usługi mogą wymagać ścisłego uwierzytelniania przez klienta i w przypadku niektórych typów komunikacji, które dla swojej waŜności wymagają formy pisemnej, autentyczność musi być uznana, co z kolei wymaga waŜnego podpisu cyfrowego. 3.3.3. Transakcje dotyczące płatności W przyszłości regulowanie opłat, naleŜności celnych oraz podatków w wysokości dziesiątek miliardów euro kaŜdego roku będzie przepływać przez systemy IT organów podatkowych oraz celnych. Niewystarczające wymogi dotyczące bezpieczeństwa mogą stanowić zagroŜenie dla elektronicznego pobierania tych opłat w jeszcze większym stopniu niŜ standardy niespełnione przez inne systemy świadczące usługi e-administracji. Za pomocą platformy przekazywania funduszy organ zainteresowany mógłby i powinien świadczyć usługę elektroniczną dotyczącą pobierania takich opłat, podatków oraz ceł, gwarantując, Ŝe naleŜne kwoty będą w rzeczywistości otrzymane i Ŝe dowody otrzymania zostaną w odpowiedni sposób przekazane odpowiedniej jednostce zarządzania gotówką odpowiedzialnej za księgowanie lub, jeŜeli nie powiedzie się transfer elektroniczny, takie niepowodzenie będzie natychmiast zgłoszone.
17 ŚcieŜka audytu jest to chronologiczny zestaw zapisów, które razem stanowią dokumentację przetwarzania, wystarczającą do tego, aby umoŜliwi ć rekonstrukcję, przegląd oraz zbadanie działalności (źródło: „Kontrola systemów informacyjnych; Glosariusz terminów, Komitet INTOSAI ds. IT).
30
3.3.4 Zbędność, przerwy w funkcjonowaniu mediów oraz niewystarczająca interoperacyjność
Zbędne struktury dotyczące świadczenia usług powinny zostać rozwiązane. W celu eliminacji przerw w funkcjonowaniu mediów, cała transakcja usługi e-administracji powinna się odbywać na dłuŜszą metę za pośrednictwem IT. W sytuacjach, kiedy usługi administracyjne nie obejmują Ŝadnych podejmowanych według własnego uznania decyzji dotyczących indywidualnych przypadków, dostarczanie usługi powinno być w pełni zautomatyzowane.
3.4. Kontrola ryzyka zwi ązanego z projektami usług e-administracji 3.4.1 Wymagania dla kontrolera DuŜa róŜnorodność oraz złoŜoność następujących czynników moŜe pełnić rolę pierwszych wskazówek dla podejść kontrolnych:
• liczba departamentów oraz agencji biorących udział w programach; • ogromna liczba usług elektronicznych i projektów; • wzajemne połączenie usług elektronicznych (oraz wśród krajowych,
regionalnych oraz lokalnych jednostek administracji) oraz • w szczególności wymagane duŜe fundusze.
Czynniki te nakładają wysokie zawodowe wymagania na kontrolera usług e-administracji:
• technicznej wiedzy kontekstowej potrzebnej do dokonania oceny specyfikacji technicznych, które mają być zachowane przez rzeczoną usługę e-administracji;
• dogłębnej wiedzy na temat platformy ICT, na której będzie prowadzona usługa e-administracji;
• zdolności analizowania danych; wiedzy oraz umiejętności stosowania technik elektronicznego zbierania oraz analizy dowodów kontroli.
3.4.2 Etyka Dosyć często kontroler, który przeprowadza kontrole e-administracji, znajduje się w trudnych sytuacjach, w których pojawia się potrzeba podejmowania decyzji etycznych. NOK będzie musiało zagwarantować, Ŝe kaŜdy kontroler zaangaŜowany w przeprowadzanie takich kontroli, będzie gotowy poradzić sobie z takimi sytuacjami. 3.4.3 Podejścia kontrolne Początkowe doświadczenia dotyczące kontroli zostały zdobyte przy kilku projektach wdraŜanych zgodnie z inicjatywami e-administracji. Dzięki faktowi, Ŝe zwłaszcza ryzykowne usługi transakcji będą wprowadzane w późniejszym okresie, potrwa jeszcze kilka lat zanim NOK będzie w stanie opracować decydujące wnioski dotyczące kontroli oraz wnioski dotyczące wprowadzenia i działania złoŜonych usług e-administracji.
31
Jako przykłady konkretnych podejść kontrolnych do ryzyk na etapie projektowania programu, planowania wydatków publicznych, podczas realizacji programu18 oraz na etapie oceny wydajności wymienić moŜna:
• Na etapie projektowania programu:
o brak odpowiedniej koordynacji prac nad utworzeniem e-administracji na federalnym, regionalnym oraz lokalnym poziomie zarządzania, brak jednolitej koncepcji i programu;
o przygotowywanie projektu e-administracji w warunkach braku lub poza ramami strategii ogólnych (planu, programu) społecznego oraz gospodarczego rozwoju kraju oraz digitalizacja społeczeństwa, które z kolei powinny przewidywać niezbędne przekształcenia relacji między podmiotami publicznymi a społeczeństwem;
o niezgodność funkcjonalności lub logiki dostarczania informacji oraz innych nowych usług elektronicznych z istniejącymi strukturami administracyjnymi oraz algorytmami podejmowania decyzji;
o niewystarczającą ocenę „nierówności cyfrowej” występującej w kraju, stanowiącą jeden z najwaŜniejszych warunków produktywności programu e-administracji;
o brak wyraźnej definicji projektu w kontekście celów, zadań, czasu, ustaleń oraz niezbędnych środków finansowych (brak podejścia zorientowanego na problem), jak równieŜ brak wskaźników wydajności (produktywności) nakładów finansowych;
o brak powszechnie akceptowanych standardów dotyczących przechowywania oraz dostarczania danych podczas organizowania wymiany informacji pomiędzy organami państwa, oraz organów publicznych z organizacjami komercyjnymi oraz publicznymi;
o niewystarczające rozporządzenia normatywne oraz prawne w sferze wymiany informacji na poziomie organów państwowych oraz instytucji samorządu lokalnego, jak równieŜ w sferze wymiany informacji organów państwa z obywatelami i sektorem publicznym.
• Na etapie planowania wydatków publicznych:
o niewystarczającą ocenę wydatków na finansowanie projektu
oraz moŜliwości państwa dotyczących przydzielenia niezbędnych ilości środków finansowych;
o istniejący system finansowania oraz kultura organizacji państwa nie pozwala na utworzenie skutecznego systemu inwestycji, włączającego fundusze publiczne, do złoŜonych projektów digitalizacji;
o system priorytetów dla promocji projektu w warunkach ograniczonego finansowania, który jeszcze nie został utworzony;
o klasyfikacja budŜetowa jest niedostatecznie szczegółowo opisana, aby zapewnić przejrzystość planowania wydatków oraz ich późniejszej kontroli;
18 Rozdział 4 opisuje temat „Kontrola programów i projektów” w sposób bardziej szczegółowy
32
o przydział środków w budŜetach federalnych na następny rok podatkowy jest przeprowadzony bez uwzględnienia osiągnięcia celów działań programowych, co prowadzi do akumulacji niezrealizowanych programów oraz etapów, inwestycji w sprzęt oraz w ogólne oprogramowanie bez opracowania specjalnych zadań usług końcowych;
o niespójność harmonogramu przyznawania środków z róŜnych źródeł (budŜet państwa, zagraniczne poŜyczki i kredyty, środki z funduszy niepaństwowych itd.)
• Podczas realizacji programu:
o system zarządzania programem nie pozwala na właściwą
reakcję na szybko zmieniające się czynniki i nowe ryzyka (finansowe, technologiczne, społeczne oraz inne);
o wysoki stopień bezczynności nowoczesnej biurokracji oraz, w rezultacie, opór w stosunku do zmian;
o wskaźniki oceny przebiegu realizacji programu (fazy, etapy); tworzenie podsystemów nie występuje lub jest w niewystarczającym stopniu zaawansowane;
o dysproporcje czasowe w dostarczaniu prawnych, organizacyjnych i technicznych rozwiązań elementów programu;
o powolna zmiana stereotypów społecznego oraz politycznego zachowania ludności, rozczarowanie tempem realizacji programu oraz spodziewaną uŜytecznością dla sektora biznesu oraz ludności, brak zaufania do działań mających na celu zabezpieczenie bezpieczeństwa danych;
o nie istnieją standardowe formy raportów dotyczących organizacji wymiany informacji organów administracji, organizacji komercyjnych oraz publicznych;
o niespójność rozwoju programu e-administracja z systemami informatycznymi organów państwowych, programu e-administracja oraz z innymi elementami "społeczeństwa informacyjnego", które wykraczają poza relacje urząd-inny podmiot (np. przedsiębiorca-przedsiębiorca, obywatel-obywatel).
• Na etapie oceny wydajności realizacji programu
o cele oraz parametry programu nie zostały osiągnięte; o wydatki poniesione na program przewyŜszyły wydatki
planowane; o koszt wprowadzenia oraz dalszego działania jest nie od
przyjęcia zarówno dla państwa jak i sektora biznesu oraz obywateli;
o realizacja programu nie spowodowała zwiększenia roli państwa w światowej wspólnocie elektronicznej.
33
3.5 Uwagi ko ńcowe Rozmiar programów e-administracji, ilość przedmiotowych projektów oraz róŜnych faz, takich jak planowanie i rozwój, wprowadzenie oraz bieŜące prowadzenie usług e-administracji niesie ze sobą róŜne ryzyka, spośród których tylko niektóre zostały opisane w niniejszym raporcie. DuŜa zaleŜność agencji oraz ich klientów od IT oraz ich słabość stanowi ogromne wyzwanie dla publicznej odpowiedzialności. Z tego względu twórcy polityk oraz kierownicy muszą skupić swoją uwagę na moŜliwie najwcześniejszym minimalizowaniu napotkanych ryzyk w celu zapobieŜenia potencjalnej szkodzie, której rozmiary, choć nieznane, są jednak znaczące. 4. KONTROLA PROGRAMÓW I PROJEKTÓW
4.1 Wstęp E-administracja jest nową dziedziną i trudno jest nam wyobrazić sobie, Ŝe moŜemy przeprowadzić kontrolę np. portalu rządowego przy zastosowaniu jedynie metod tradycyjnych (łącznie z metodami kontroli IT). Stąd potrzebne nam są nowe metody kontroli oprócz tych juŜ istniejących. Za pomocą tych nowych metod będziemy w stanie określić postęp administracji we wdraŜaniu programów oraz projektów e-administracji (patrz przykład Rosji w Załączniku 2 przy końcu tego rozdziału). Nowe metody powinny wyraźnie uwzględnić aspekt IT, poniewaŜ programy e-administracji w duŜej mierze są zaleŜne od IT. Mimo, Ŝe e-administracja jako taka jest nowym zjawiskiem, nie moŜna tego samego powiedzieć o IT oraz kontroli IT. Z uwagi na to, musimy w duŜym stopniu polegać na naszym obecnym doświadczeniu. JednakŜe, jak zostało wskazane w sekcji 2.5 („Czym szczególnym wyróŜnia się e-administracja?”) e-administracja posiada kilka specyficznych cech. Z tego powodu nowe metody mogą być potrzebne, aby sprawiedliwie ocenić te cechy. Aby mogła być skuteczna, kontrola programu powinna przede wszystkim dotyczyć wczesnych etapów programu, obejmując kwestie kontroli jeszcze w fazie projektowania lub wdraŜania programu. Kontrola po zakończeniu programu nie moŜe być bardzo skuteczna, poniewaŜ w tym momencie jest zbyt późno na podjęcie działań ukierunkowanych na usprawnienie kontroli programu, który jest nią objęty. W rozdziale tym, pod pojęciem „program” rozumiemy program składający się z wewnątrz powiązanych projektów (łącznie z projektami IT), ukierunkowany na osiągnięcie celów pośrednich lub celu ostatecznego, jakim jest przejście do e-administracji, na przykład program państwowy federalny/regionalny. W tym sensie moŜemy równieŜ uznać projekt za „koszyk” projektu IT i innych projektów. Projekt w tym koszyku jest rozumiany jako jeden z oddzielnych projektów w koszyku (IT lub innych).
4.2. Ramy konceptualne 4.2.1 Podstawowe kategorie kontrolowanych obiektów
34
Kontrole e-administracji mogą się koncentrować na jednym lub większej liczbie z trzech następujących typów obiektów, odpowiadających trzem poziomom kontroli:
• program jako zbiór („koszyk”) projektów (łącznie z projektami IT), ukierunkowany na cele pośrednie i końcowe;
• projekt (IT) jako projekt oddzielny, albo jako projekt w ramach programu („projektu”);
• system informacyjny („IS”) lub zasoby informacyjne („IR”) utworzone lub stosowane w interesie e-administracji („IS/IR”)
Kwestiami kontroli na tych trzech poziomach kontroli są:
• poziom strategiczny: wydajność, z którą wykonywanie programów jest organizowane, planowane, kierowane i kontrolowane;
• poziom operacyjny; realizowanie projektów; • poziom stosowania: stosowanie istniejących lub nowo utworzonych systemów
informacyjnych oraz zasobów informacji. Celem niniejszego rozdziału jest strategiczny poziom kontroli podczas przejścia do e-administracji oraz jej dalszego rozwoju. 4.2.2 Ogólne typy kontroli W standardowej klasyfikacji wyróŜnione są następujące typy kontroli:
• kontrola finansowa tj. kontrola:
o inwestycji i wydatków; o księgowania funduszy; o organizacji kontroli wewnętrznej i raportowania, wydajności wydatków.
• kontrola IT: kontrola zarządzania IT; • kontrola wykonania zadań, tj. ocena:
o systemów kontroli jakości; o wydajności i skuteczności; o wydajności procesu podejmowania decyzji; o jakości usługi; o polityki dotycząca obsady etatów; umiejętności oraz wiedzy
członków personelu. Rysunek 1 - Typy oraz metody kontroli ogólnej
METODY KONTROLI
35
W przypadku kaŜdego typu kontroli moŜemy częściowo polegać na dotychczasowych metodach oraz technikach kontroli. W sytuacjach, kiedy są one stosowane w odniesieniu do kwestii e-administracji, muszą one zostać uzupełnione przez nowe podejścia. 4.2.3 Perspektywa czasowa Zgodnie z przyjętą międzynarodową praktyką instytucji wykonujących kontrolę finansową zdefiniować moŜna trzy ramy czasowe dla kontroli finansowej:
• przedwdroŜeniowa: kontrola podczas procesu podejmowania decyzji dotyczącej polityki budŜetu oraz innych projektów prawnych lub dotycząca innych obszarów kontroli finansowej;
• równoczesna: kontrola dodatkowych kwestii dotyczących realizacji budŜetu, które mogą się zrodzić podczas realizacji programów i projektów,
• powdroŜeniowa: zatwierdzenie raportów o rozliczalności dotyczących realizacji budŜetu oraz wpływu (lub „wyniku”) programów oraz projektów.
KONTROLA WYKONANIA ZADAŃ
KONTROLA IT
KONTROLA FINANSOWA
KONTROLA IT Metody kontroli:
• Kontrola systemów informacyjnych
• Kontrola zasobów informacji
• Kontrola bezpieczeństwa informacji
• inne
KONTROLA WYKONANIA ZADAŃ Metody kontroli:
• Zbadanie ram normatywnych oraz prawnych
• Kontrola systemów jakości
• Kontrola wydajności projektu oraz rezultatów projektu
• inne
KONTROLA FINANSOWA Metody kontroli:
• Kontrola finansowa organizacji komercyjnych
• Kontrola finansowa organizacji budŜetowych
• Kontrola finansowa w środowisku IT
• inne
36
4.3 Metody kontroli 4.3.1 Stosowalność istniejących typów kontroli dla obszaru e-administracji Ten trójwymiarowy obraz opisany w poprzednich sekcjach tworzy przestrzeń kontroli (rys.2), w której kaŜdy element odpowiada grupie metod: M(i,j,k). W tej funkcji litery "i", "j" oraz "k" reprezentują odpowiednio zmienne "obiektów kontroli", "typów kontroli" oraz „perspektywy czasowej” (rys. 3) Rysunek 2 - Obszar kontroli e-administracji
Legenda: Financial audit – kontrola finansowa IT audit – kontrola IT Performance audit – kontrola wykonania zadań Pre-implementation – przedwdroŜeniowa
Concurrent - równoczesna Post-implementation - powdroŜeniowa Program - program
37
(IT) project – projekt (IT) IS/IR - IS/IR (Strategic level) – poziom strategiczny (Operational level) – poziom operacyjny (Application level) – poziom stosowania
Rysunek 3 – Grupa metod kontroli e-administracji
Rysunek 4 ukazuje odpowiedniość róŜnych grup metod przejścia kontroli do e-administracji Rysunek 4 – Stosowalność istniejących metod kontroli podczas przejścia do e-administracji
Grupa metod kontroli e-administracji M (i,j ,k)
Obiekty kontroli
Typy kontroli Metoda kontroli
Perspektywa czasowa
38
Typy kontroli Obiekty kontroli Perspektywa czasowa Kontrola
finansowa Kontrola IT Kontrola
wykonania zadań
PrzedwdroŜeniowa tak NaleŜy opracować nowe metody
tak
Równoczesna tak NaleŜy opracować nowe metody
tak
Program
PowdroŜeniowa tak NaleŜy opracować nowe metody
NaleŜy opracować nowe metody
PrzedwdroŜeniowa tak tak tak Równoczesna tak tak tak
Projekt (IT)
PowdroŜeniowa tak NaleŜy opracować nowe metody
NaleŜy opracować nowe metody
PrzedwdroŜeniowa tak tak NaleŜy opracować nowe metody
Jednoczesna tak tak tak
IS/IR
PowdroŜeniowa tak tak tak Analizując w sposób bardziej szczegółowy stosowalność metod, naleŜy rozpatrzyć je w perspektywie cyklu Ŝyciowego. Na przykład na strategicznym poziomie kontroli rozpoznajemy następujące etapy cyklu Ŝycia (patrz równieŜ rysunek 5).
• etap planowania strategicznego (I): podejmowanie decyzji politycznych; opracowywanie programu wraz z definicją celów, wymogów, zadań oraz kryteriów projektu dla wykonalnego programu;
• etap projektowania (II): utworzenie organu zarządzającego projektem (opracowanie dokumentacji konkursowej oraz realizacja konkursu w celu wybrania podmiotu odpowiedzialnego za rzeczony program);utworzenie ram normatywnych i prawnych; rozkład celów oraz zadań programu; utworzenie koszyka programów oraz budŜetu programu itd.;
• etap realizacji (III): opracowanie technicznej oraz ekonomicznej podstawy projektu; dokumentacja konkursowa odnosząca się do projektów programu; organizacja konkursów i zawieranie kontraktów odnoszących się do projektów; utworzenie portfela inwestycyjnego oraz finansowanie projektów; kontrola etapów i rezultatów projektu, finalizacja /przerwanie/rozpoczęcie projektów programu; aktualizacja programu itd.;
• etap końcowy (IV): Ocena rezultatów programu; ocena księgowania oraz jakości raportowania; pomiar wydajności programu, itd.
39
Rysunek 5 - Kwestie kontroli na róŜnych etapach cyklu Ŝycia. Etapy „cyklu Ŝycia” programu docelowego
Legenda: stages of „life cycle of target program” – etapy „cyklu Ŝycia” programu docelowego Formation of normative legal base – utworzenie podstawy normatywnej i prawnej Planning of program – planowanie programu Control of quality management – kontrola zarządzania jakością Project 1- projekt 1 Project 2- projekt 2 Project n – projekt n Works on transition to e-government- prace nad przejściem do e-administracji I stage strategic planing- etap I – planowanie strategiczne II stage design – etap II – projektowanie III stage realization – etap III - realizacja IV stage final – etap IV – zakończenie Audit types –typy kontroli Expertise of normative legal base – znajomość podstawy normatywnej i prawnej Performance audit – kontrola wykonania zadań Financial audit – kontrola finansowa IT audit – kontrola IT
40
Rysunek 5 ukazuje jak róŜne typy kontroli (kontrola finansowa, kontrola IT oraz kontrola wydajności) mogą zostać zastosowane na róŜnych etapach cyklu Ŝycia programu docelowego. Odpowiednie metody, które mają zostać zastosowane na róŜnych etapach cyklu Ŝycia zostały przedstawione w następnej tabelce. Rysunek 6 - Metody kontroli odpowiednie na róŜnych etapach programu Etapy cyklu Ŝycia
Metody kontroli
1 Przegląd programu z perspektywy normatywnej (prawnej) 2 Ocena prognoz wyników
(I) Planowanie strategiczne 3 Kontrola koncepcji programu
4 Przegląd zaproszenia do przetargu w celu wyboru podmiotu odpowiedzialnego 5 Kontrola systemu kontroli jakości stosowanego przez podmiot odpowiedzialny 6 Przegląd projektów z perspektywy normatywnej (prawnej)
(II) Projektowanie
7 Kontrola budŜetu podmiotu odpowiedzialnego 8 Kontrola finansowa własnego systemu budŜetowego podmiotu odpowiedzialnego 9 Kontrola finansowa wydatków na realizację programu 10 Przegląd zaproszenia do przetargu dla wyboru wykonawców projektu 11 Kontrola organizacji oraz realizacja procesu przetargu 12 Kontrola systemu logistycznego programu 13 Kontrola wykonania zadań 14 Kontrola ryzyk programu
(III) Realizacja
15 Kontrola systemów informacyjnych stosowanych przez podmiot odpowiedzialny 16 Kontrola finansowa własnego systemu budŜetowego podmiotu odpowiedzialnego 17 Kontrola finansowa wydatków na realizację programu
(IV) Zakończenie
18 Kontrola wykonania zadań Rysunek 6 dostarcza informacji na temat stosowności metod kontroli na róŜnych etapach cyklu Ŝycia programu docelowego, w oparciu o doświadczenie w przeprowadzaniu kontroli Izby Obrachunkowej Federacji Rosyjskiej Metody przedstawione w tabeli zostaną objaśnione w następnej sekcji. 4.3.2 Wyjaśnienie metod Oto wyjaśnienie metod przedstawionych na rysunku 6.
(1) Przegląd programu z perspektywy normatywnej (prawnej)
41
Dokonać przeglądu programów z perspektywy normatywnej (prawnej) odnośnie podejmowania decyzji politycznych dotyczących:
• konieczności przejścia do e-administracji, • form, celów oraz zadań e-administracji, • konieczności reorganizacji zarządzania publicznego, • przydziału środków budŜetowych oraz harmonogramu celów.
(2) Ocena prognoz wyników
• sprawdzić czy sporządzono prognozy i czy zostały określone w kontekście
rozwoju społecznego i gospodarczego, • sprawdzić czy prognozy te są oparte o prawidłowe i wydajne metody oraz
procedury
(3) Kontrola koncepcji programowej
• określić czy cele oraz zadania programu są zgodne z celami strategicznymi oraz zadaniami w odniesieniu do rozwoju społeczno - gospodarczego kraju,
• sprawdzić czy zostały określone prawidłowe i mierzalne kryteria dla pomiaru rezultatów pośrednich i końcowych programu.
(4) Przegląd zaproszenia do przetargu dla wyboru podmiotu odpowiedzialnego
Zbadać:
• zgodność zaproszenia do składania ofert z istniejącym ustawodawstwem, • spełnienie warunków zadań dla konkursu, • wyniki konkursu.
(5) Kontrola systemu kontroli jakości stosowanego przez podmiot odpowiedzialny
• sprawdzić czy podmiot odpowiedzialny ustanowił system kontroli jakości (jeśli jest to
konieczne), • ocenić czy system kontroli jakości jest odpowiedni dla zadania zarządzania oraz
koordynowania działań programowych, • sprawdzić czy program będzie zarządzany przez odpowiedni organ, • sprawdzić czy podmiot odpowiedzialny odpowiada wymogom systemu kontroli
jakości.
(6) Przegląd projektów z perspektywy normatywnej (prawnej) Dokonać analizy ram prawnych, które dotyczą podmiotu odpowiedzialnego w odniesieniu do aspektów takich jak:
• zgodność z celami oraz zadaniami programu, • zasadność kalkulacji kosztów, • zasadność planowania projektu ( daty zakończenia oraz ustawienie w kolejności), • zasadność zakończenia poszczególnych projektów,
42
• specyfikacja lub zmiana celów oraz zadań projektów.
(7) Kontrola budŜetu podmiotu odpowiedzialnego • dokonać kontroli prawidłowości finansowej podmiotu odpowiedzialnego.
(8,16) Kontrola finansowa własnego systemu budŜetowego podmiotu odpowiedzialnego
• zbadać wydatki podmiotu odpowiedzialnego w trakcie realizacji programu, • zbadać dokumenty finansowe oraz inne dotyczące sprawozdań statutowych.
(9,17) Kontrola finansowa wydatków na realizację programu Dokonać kontroli wydatków podmiotu odpowiedzialnego w odniesieniu do:
• zarządzania programem, • przygotowywania, organizowania oraz realizowania sytuacji konkurencyjnej dla
projektów naleŜących do programu, • realizacji scentralizowanych zakupów sprzętu oraz oprogramowania dla
uczestników programu, • prawidłowości, terminowości oraz uregulowania płatności, • poprawność, kompletności oraz terminowości raportów finansowych oraz innych
sprawozdań statutowych oraz dokumentów księgowych. (10) Przegląd zaproszeń do składania ofert w celu wyboru wykonawców projektu
• zweryfikować czy zaproszenie do składania ofert dla projektów programu odpowiada wymogom istniejącego prawodawstwa,
• zweryfikować czy warunki dotyczące konkursu zostały spełnione, • zbadać wyniki przetargu oraz wybór wykonawców, którzy będą realizować projekty
programowe. (11) Kontrola organizacji i realizacji procesu przetargu
• zbadać przygotowanie oraz realizację scentralizowanych zakupów sprzętu, oprogramowania oraz usług dla uczestników programu, dokonywanych przez podmiot odpowiedzialny lub upowaŜniony,
• zweryfikować prawidłowość, terminowość oraz regulację płatności za zakupy, • zweryfikować czy nabyty sprzęt, oprogramowanie oraz usługi odpowiadają
ustanowionym wymogom jakości oraz wymogom technicznym. (12) Kontrola systemu logistycznego Sprawdzić jak:
• są zorganizowane zakupy, przechowywanie oraz dostawa centralnie nabytego sprzętu oraz oprogramowania dla uczestników programu,
• jest zorganizowane utworzenie oraz prezentacja projektu, dokumentacji księgowej i finansowej przez uczestników programu.
(13, 18) Kontrola wykonania zadań
43
Ocenić rezultaty realizacji programu z punktu widzenia:
• terminowego oraz całkowitego osiągnięcia ustalonych celów, • wydajności zarządzania projektem, • wydajności stosowania środków przedzielonych dla programu.
(14) Kontrola ryzyk programu Problemy te zostały rozpatrzone w rozdziale 3. (15) Kontrola systemów informacyjnych stosowanych przez podmiot odpowiedzialny
• Ocenić stopień, w jakim róŜne aspekty jakości systemów informacyjnych stosowanych przez podmiot odpowiedzialny odpowiadają ustanowionym normom, standardom oraz wymogom. Obejmuje to analizę ryzyka oraz przegląd systemów korporacyjnych stosowanych przez uczestników programu.
4.4 Mapa ram CobiT Wszystkie metody kontroli poziomów strategicznych, operacyjnych oraz stosowania, określone w danym rozdziale, mogą być odwzorowane w ramach CobiT19, w następujący sposób: Rys. 7 Plan trzech obiektów kontroli/ poziomów kontroli procesów CobiT. Domena CobiT Kod
domeny CobiT
Proces Program (Strategiczny)
Projekt (Operacyjny)
IS/IR (Stosowanie)
PO1 Określenie planu strategicznego IT
X
PO2 Określenie architektury informacyjnej
X X
PO3 Określenie kierunku technologicznego
X X
PO4 Określenie organizacji oraz relacji IT
X
PO5 Zarządzanie inwestycją IT X X X PO6 Komunikowanie celów
zarządzania i kierunków X X
PO7 Zarządzanie zasobami ludzkimi X PO8 Zapewnienie zgodności z
wymogami zewnętrznymi X X
Planowanie i Organizacja
PO9 Ocena ryzyka X X X 19 CobiT - Cele Kontrolne Technologii Informatycznych i Technologii Pokrewnych
44
Domena CobiT Kod domeny CobiT
Proces Program (Strategiczny)
Projekt (Operacyjny)
IS/IR (Stosowanie)
PO10 Zarządzanie projektami X PO11 Zarządzanie jakością X AI1 Zidentyfikować
zautomatyzowane rozwiązania X
AI2 Nabyć i utrzymywać oprogramowanie aplikacji
X
AI3 Nabyć i utrzymywać infrastrukturę technologiczną
X
AI4 Opracować i utrzymywać procedury
X
AI5 Zainstalować i uznać systemy X
Nabywanie i WdraŜanie
AI6 Zarządzać zmianami X DS1 Zdefiniować oraz zarządzać
poziomami usług X
DS2 Zarządzać usługami dla stron trzecich
X
DS3 Zarządzać wykonaniem oraz wydajnością
X
DS4 Zapewnić ciągłość usług X DS5 Zapewnić bezpieczeństwo
systemów X
DS6 Zidentyfikować i przydzielić koszty
X
DS7 Kształcić i szkolić uŜytkowników
X
DS8 Pomagać i doradzać klientom X DS9 Zarządzać konfiguracją X DS10 Zarządzać programami i
zdarzeniami X
DS11 Zarządzać danymi X DS12 Zarządzać urządzeniami X
Dostarczanie i wsparcie
DS13 Zarządzać operacjami X M1 Monitorować procesy X X X M2 Ocenić odpowiedniość kontroli
wewnętrznej X X
M3 Uzyskać niezaleŜną gwarancję X X
Monitorowanie
M4 Zapewnić niezaleŜną kontrolę X X Tabela ta odzwierciedla naszą ideę, zgodnie z którą kontrola projektów oraz programów e-administracji nie powinna być ograniczona przez jakikolwiek standard funkcyjny i nie moŜe być ograniczona do kilku domen lub standardowych procesów CobiT takich jak PO10 (Zarządzanie projektem) oraz PO11 (Zarządzanie jakością)
4.5. Uwagi ko ńcowe Chcielibyśmy podkreślić, Ŝe klasyfikacja typów kontroli na poszczególne kategorie (patrz sekcja 4.2.2) została dokonana dla celów przejrzystości koncepcji. W rzeczywistej praktyce
45
kontrola programów oraz projektów zazwyczaj łączy w sobie podejścia do kontroli finansowej, IT oraz/lub kontroli wykonania zadań w konkretnym programie lub projekcie. Kontrola istotnych aspektów programów i projektów podczas przejścia do e-administracji, oraz warunków dla e-administracji nie jest moŜliwa bez stosowania nowych metod. Metody te powinny zostać utworzone, poniewaŜ działania związane z e-administracją rozwijają się wraz z upływem czasu. Te nowe metody powinny obejmować tematy takie jak:
• jakość systemów księgowania organizacji, które są odpowiedzialne za organizowanie i realizację programów e-administracji;
• zgodność projektów ze standardami funkcjonalnymi takimi jak zarządzanie inwestycjami (ISO/IEC 15288:CD2);
• zgodność ze standardami dla wdraŜania oraz stosowania IT (CobiT); • istnienie certyfikowanych systemów kontroli jakości na kaŜdym etapie realizacji
projektu. Co istotne, naleŜy równieŜ zauwaŜyć, Ŝe najlepsze podejście do kontroli moŜe róŜnić się w zaleŜności od kraju, poniewaŜ mogą występować znaczne róŜnice w sieci stron zaangaŜowanych w program e-administracji oraz w ustalenie ról przypisanych do róŜnych partnerów. Na przykład, budowa systemu moŜe, lecz nie musi być zlecona na zewnątrz.
ZAŁĄCZNIK 2
46
Doświadczenie Rosji w tworzeniu e-administracji (Federalny program docelowy „Elektroniczna Rosja na lata 2002-2010”)
Zewnętrzny (publiczny) zarys e-administracji (elektroniczny zarys systemu dostarczania usług państwowych)
NiezaleŜny dostęp Dostęp przez pośrednika
Sieci otwarte (otwarta przestrzeń komunikacyjna)
Technologiczna infrastruktura dostępu obywateli do e-administracji
Interfejsy e-administracji
Portal rządu
Portale oraz strony federalnych oraz regionalnych organów państwowych Infrastruktura e-demokracji (wsparcie procedur demokracji) Infrastruktura wsparcia sektora
biznesu oraz interakcje ekonomiczne
Infrastruktura wsparcia procesów administracji publicznej
Infrastruktura utworzenia oraz przedstawienia państwowych zasobów informacji oraz „elektronicznych” usług państwowych
Infrastruktura wsparcia interakcji z obcymi rządami oraz organizacjami międzynarodowymi
Infrastruktura połączenia
Zasoby informacyjne państwa System centrów danych Państwowy korporacyjny
system informacji
Portale intranetowe
System zapewniania bezpieczeństwa informacji obywateli oraz państwa
System zarządzania pracownikami państwa
System elektronicznych rozporządzeń administracyjnych i organizacyjnych
System informacyjnego monitorowania, analiz, oceny (systemy wspierania decyzji)
Państwowa sieć informacyjno-komunikacyjna (zamknięta przestrzeń komunikacyjna)
Infrastruktura wsparcia transakcji finansowych państwa
System wsparcia informacji procedur kontroli w zarządzaniu państwem
Wewnętrzny (usługowy) zarys e-administracji
System zarządzania projektem e-administracji
System obiegu informacji elektronicznych organów państwowych
Warunek polityczny System dostarczenia projektu e-administracji Warunek technologiczny
Warunek prawny Warunek organizacyjny Warunek finansowy Warunek dot. personelu
47
5. KONTROLA FINANSOWA W ŚRODOWISKU CYFROWYM (SKOMPUTERYZOWANYM)
5.1. Wstęp Celem tej sekcji jest skupienie uwagi na kontroli finansowej oraz przedstawienie ram odniesienia dla ogólnych wymogów dotyczących kontroli w środowiskach cyfrowych, jeŜeli chodzi o cel, treść oraz zakres. Prezentacja ta jest w duŜej mierze oparta o doświadczenie związane z e- zamówieniami publicznymi. E-zamówienia publiczne stanowią dalszy etap rozwoju e-administracji, porównaj sekcja 2.6 (Aspekty rozwojowe). JednakŜe, naleŜy uznać, Ŝe e-administracja jest obszarem otwartym i Ŝe moŜna by wybrać wiele tematów celem ukazania jej rozwoju. Z uwagi na fakt, Ŝe grupa docelowa przede wszystkim składa się z osób tworzących politykę, poświęcono uwagę opisowi głównych punktów dotyczących kontroli środowisk cyfrowych. Digitalizacja funkcji administracyjnych i zamówień organów sektora publicznego zapewnia wiele korzyści, na przykład dotyczących tworzenia nowych oraz bardziej wydajnych procedur roboczych, jak równieŜ moŜliwość komunikowania się i współpracowania na wiele sposobów. Tradycyjne procedury funkcjonujące przy zastosowaniu form papierowych mogą stać się bardziej wydajne, poprawione lub teŜ moŜna się bez nich całkowicie obyć, kiedy dane oraz komunikacja z uŜyciem danych staje się elektroniczna. Jako takie, uwolnione środki mogą zostać przeniesione z administracji do usług. JednakŜe, digitalizacja daje nie tylko korzyści. Czynnik ryzyka zmienia się radykalnie wraz z rozwojem technicznym, na przykład, kiedy tradycyjne dokumenty papierowe są zastępowane danymi cyfrowymi, które w łatwy sposób mogą zostać skradzione (skopiowane), zmienione lub usunięte – mogą zniknąć w ciągu jednej chwili bez śladu oraz kontaktu fizycznego. W przyszłości, bezpieczeństwo towarzyszące systemom cyfrowym otrzyma wysoki priorytet we wszystkich obszarach społeczeństwa. W sekcji 3.3 omówione zostały ryzyka związane z prowadzeniem usług e-administracji.
5.2 Środowiska cyfrowe 5.2.1 Cechy IT stanowi podstawę dla wiedzy podmiotu publicznego, informacji oraz zarządzania i jest stosowane w coraz większym stopniu w procedurach zawodowych i administracyjnych. Jednocześnie, stosowanie IT nabrało coraz większego znaczenia strategicznego i stało się decydujące dla realizacji misji oraz wizji podmiotu publicznego. Z tego względu, wydajne oraz bezpieczne środowisko IT jest istotne dla codziennej działalności podmiotu publicznego. W systemach skomputeryzowanych (cyfrowych) dane podmiotu publicznego nie istnieją w formie tradycyjnych dokumentów papierowych, lecz jedynie w formacie elektronicznym lub cyfrowym.
48
Dokumenty cyfrowe nie tylko zawierają dokumenty, które pochodzą z nośników papierowych (np. listów) i które w późniejszym okresie zostały zapisane w postaci cyfrowej, lecz równieŜ dokumenty, które istnieją i są stosowane jedynie w formie cyfrowej podczas ich całej „długości Ŝycia”. Wprowadzenie systemów cyfrowych (skomputeryzowanych) oraz połączenie systemów wewnętrznych z Internetem, na przykład w połączeniu z elektronicznymi zamówieniami publicznymi, zwiększa zaleŜność od IT oraz wymogi dotyczące dostępności oraz bezpieczeństwa zasobów IT. W sytuacji, kiedy dokumenty papierowe nie są juŜ dłuŜej stosowane i kiedy zostały zastąpione dokumentami elektronicznymi (danymi) jako jedyną formą dokumentacji dla transakcji podmiotu publicznego, nakłada to zasadnicze wymogi na środowisko kontroli podmiotu publicznego, zgodnie z którymi dokumenty elektroniczne muszą posiadać tę samą wartość dowodową, co dokumenty papierowe. W zasadzie, ustanowiona praktyka prawna oraz metodologia istnieje obecnie po to, aby moŜna było ocenić wartość dowodową dokumentów papierowych. JednakŜe, nie istnieje równowaŜna praktyka dla dokumentów cyfrowych, co oznacza, Ŝe ich wartość dowodowa często zaleŜy od jakości zintegrowanych kontroli w systemach cyfrowych oraz ogólnego środowiska operacyjnego20. W rezultacie, bezpieczeństwo towarzyszące systemom cyfrowym oraz przechowywaniu danych cyfrowych musi być tak rygorystyczne, Ŝe wymogi dotyczące kontroli wewnętrznej oraz zewnętrzne wymogi prawne dotyczące dokumentacji będą spełnione. Wraz z przejściem od formatu papierowego do systemów cyfrowych środowisko kontroli zmienia dalej swój charakter od przede wszystkim ręcznych do przede wszystkim wstępnie zaprogramowanych mechanizmów opartych o komputery. Mechanizmy te muszą funkcjonować wcześniej w odniesieniu do procedur, aby były skuteczne i miały charakter zapobiegawczy wobec nieprzewidzianych lub systemowych nieprawidłowości w automatycznych przepływach danych. Istotne jest zapewnienie, Ŝe system, dane oraz bezpieczeństwo operacyjne, tj. zarówno bezpieczeństwo IT w ogólności oraz bezpieczeństwo dotyczące poszczególnych systemów, jest zadowalające i przystosowane do działań podmiotu publicznego oraz warunków publicznych w ogólności. 5.2.2 Ryzyka środowisk cyfrowych Nieodpowiednie środowisko kontroli moŜe umoŜliwi ć dostęp osób nieupowaŜnionych do systemów oraz danych - albo poprzez Internet albo poprzez wewnętrzną stację roboczą. Z tej przyczyny, istnieje ryzyko zmiany danych, skopiowania ich (kradzieŜy) lub usunięcia bez moŜliwości ustalenia, kiedy zmiany te miały miejsce i kto je wprowadził. Dostęp osób nieupowaŜnionych moŜe torować drogę do naduŜyć IT. Przykłady tego typu obejmują próby zmiany danych księgowych, utworzenia oraz przekazywania funduszy do 20 „Auditing Paperless Systems, An internal guide to auditing electronic forms, imaging and messaging systems”, The United Kingdom National Audit Office, April 1998.
49
fikcyjnych dostawców, klientów lub pracowników, usunięcia sfałszowanych transakcji, kradzieŜy programów oraz danych, jak równieŜ hakerstwa, sabotaŜu, itd. MoŜe to prowadzić do znaczących szkód dla danych podmiotu publicznego – zarówno danych gospodarczych jak i operacyjnych – oraz w określonych przypadkach stanowić moŜe potencjalne zagroŜenie dla zdolności operacyjnej podmiotu publicznego lub jego istnienia. 5.2.3 Wyzwania dla kadry kierowniczej W przyszłości kierownictwo podmiotu państwowego musi ocenić w duŜym stopniu czy jego systemy cyfrowe spełniają jego strategię korporacyjną i są wdraŜane zgodnie z nią. Podobnie, do obowiązków zarządu naleŜy zapewnienie, Ŝe systemy zawierają wystarczające moŜliwości dotyczące śledzenia transakcji oraz kontroli (znane jako ścieŜka audytu), wystarczające mechanizmy zapobiegawcze, wykrywające/ naprawcze (mechanizmy systemu cyfrowego), odpowiedni podział funkcjonalny oraz, Ŝe systemy te pracują w środowisku IT, które jest w wystarczającym stopniu bezpieczne. Cyfrowe mechanizmy systemu muszą często zostać uruchomione wcześniej – muszą być ukierunkowane na zapobieganie, a nie na wykrywanie/naprawianie – z racji szybkiego i zautomatyzowanego przepływu informacji elektronicznej. WaŜne jest, Ŝe nie tylko pliki główne (oraz poprawki do nich wprowadzane), lecz równieŜ pliki transakcji (oraz poprawki do nich wprowadzane) są aktualizowane w sposób kontrolowany i Ŝe mechanizmy oparte o komputery powinny być planowe i utrzymywane, poniewaŜ niedostatki w tej materii prowadzić będą do zwiększonego ryzyka straty finansowej. Obraz ryzyka zmienia się i staje się bardziej dynamiczny. Zarówno techniczna jak i gospodarcza długość Ŝycia sprzętu oraz oprogramowania jest skrócona i musi być ciągle zastępowana nowszymi wersjami. Odpowiednio, dzisiejsze systemy bezpieczeństwa IT mogą nie być w stanie sprostać jutrzejszym wymogom dotyczącym bezpieczeństwa i w konsekwencji muszą być zastępowane nowymi systemami bezpieczeństwa lub aktualizowane. Z tego względu, bezpieczeństwo oraz polityka IT w przyszłości musi wypełnić stałą lukę w programie kierownictwa podmiotu publicznego. Bezpieczeństwo IT nie będzie juŜ dłuŜej kwestią ograniczoną do jednostek IT podmiotu publicznego. w Ramach polityki bezpieczeństwa IT kierownictwo musi podjąć decyzję dotyczącą poŜądanego poziomu bezpieczeństwa oraz sposobu radzenia sobie z ryzykiem. Polityka bezpieczeństwa IT powinna obejmować zarówno zagroŜenia wewnętrzne jak i zewnętrzne (ryzyka) skierowane przeciwko systemom oraz danym niezbędnym dla misji oraz rozwoju podmiotu publicznego.
5.3 Kontrola środowisk cyfrowych („skomputeryzowanych”) 5.3.1 Cel kontroli Nadrzędnym celem kontroli finansowej jest dostarczenie kompetentnej opinii na temat jakości rocznych ksiąg rachunkowych, które zostały przedłoŜone przez kierownictwo, aby NajwyŜsze Organy Kontroli (NOK) były w stanie ocenić je w raporcie z kontroli. Cel kontroli nie jest uwarunkowany przejściem podmiotu publicznego do środowiska cyfrowego.
50
5.3.2 Kontrola systemowa i materialna Kontrola jest ustalana oraz przeprowadzana na podstawie istotności i ryzyka, w oparciu o model ryzyka dotyczący kontroli – oraz przeprowadzana zgodnie z odpowiednimi praktykami sektora publicznego dotyczącymi przeprowadzania kontroli. NOK musi przeprowadzać swoje kontrole w sposób finansowo korzystny i wydajny, aby uzyskać istotny oraz wystarczający dowód kontroli za rozsądną cenę. Kontrola jest przygotowywana jako kontrola systemowa i połączona z kontrolą materialną w stopniu, w jakim jest to konieczne. Kontrola musi ustanowić dowód w postaci ścieŜki kontroli systemowej. Kontrola systemowa obejmuje kontrolę procedur opartych o IT oraz procedur ręcznych z uwzględnieniem ogólnych mechanizmów IT wspierających systemy uŜytkownika oparte na IT oraz mechanizmy wewnętrzne. Na przykład kontrola materialna moŜe stanowić kontrolę analityczną ksiąg rachunkowych, kontrolę dowodów wpłaty/pokwitowań, przeprowadzaną moŜliwie ze wsparciem CAAT (technik kontroli z uŜyciem komputera) – w oparciu o ocenę niezawodności wewnętrznego podmiotu kontroli. W sytuacji, w której procedury administracyjne oraz finansowe podmiotu publicznego są zdigitalizowane, procedury IT podmiotu publicznego lub procedury oparte o IT nabierają duŜego znaczenia dla planowania oraz przeprowadzania kontroli. Stąd, NOK musi zbadać czy wewnętrzny organ zarządczy systemów uŜytkownika, itd. funkcjonuje tak skutecznie, Ŝe rzetelność danych, niezawodność oraz kompletność są zapewnione, niezaleŜnie od tego czy, systemy uŜytkownika funkcjonują w środowisku IT z zadowalającymi systemami, niezawodnością danych oraz niezawodnością eksploatacyjną. Kolejna sekcja opisuje, jak moŜe wyglądać struktura kontroli aplikacji IT. 5.3.3. Kontrola aplikacji IT 21 Badanie aplikacji IT podmiotu publicznego najlepiej podzielić na:
a. początkową ocenę aplikacji IT b. przegląd ogólnych mechanizmów IT c. przegląd mechanizmów w systemie uŜytkownika d. outsourcing
a. Początkowa ocena aplikacji IT Celem początkowej oceny NOK aplikacji IT jest utworzenie ogólnego zarysu jako podstawy struktury kontroli oraz zebranie informacji na temat organizacji IT podmiotu publicznego, sprzętu oraz oprogramowania, metody zarządzania, jak równieŜ waŜnych systemów uŜytkownika oraz baz danych. NOK przeprowadza ocenę - na podstawie istotności oraz ryzyka – znaczenia aplikacji IT oraz tego czy podmiot publiczny, w przypadku awarii lub zmniejszenia wydajności IT jest zagroŜony znaczącą stratą finansową, itd. 21 Audit Committee, Association of State Authorized Public Accountants, Denmark, Statements of Auditing Standards nos. 14 (wrzesień 1995) oraz 17 (marzec 2000).
51
b. Przegląd ogólnych mechanizmów IT Celem przeglądu NOK ogólnych mechanizmów IT jest ocena czy systemy, niezawodność danych oraz niezawodność operacyjna są wystarczające, aby utworzyć podstawy kontroli systemów uŜytkownika. Ogólne mechanizmy IT są to mechanizmy, które zgodnie z decyzją kierownictwa podmiotu publicznego powinny zostać wdroŜone w środowisku IT tak, aby zewnętrzne parametry dotyczące niezawodności systemu, danych oraz niezawodności operacyjnej stały się dopuszczalne, zgodnie z potrzebami podmiotu publicznego. Mechanizmy te mają róŜny charakter i mogą być to na przykład mechanizmy organizacyjne, fizyczne, uprzednio zaprogramowane lub ręczne. Kontrola ogólnych mechanizmów IT jest przeprowadzana głównie przy pomocy wywiadów, oględzin oraz weryfikacji uzyskanych informacji. Przegląd zazwyczaj obejmuje strategię oraz politykę IT, warunki organizacyjne, rozwój oraz utrzymanie systemów, wdroŜenie operacyjne, mechanizmy dostępu, transmisję danych, bezpieczeństwo fizyczne, plany zapasowe oraz awaryjne. Do przeglądu zalicza się np. zbadanie czy istnieje rozdział funkcjonalny odnośnie funkcji IT, rozwoju systemów oraz zarządzania nimi oraz tego czy istnieją wystarczające mechanizmy dostępu. W końcu NOK musi zbadać czy jest zachowana zgodność z odpowiednim ustawodawstwem dotyczącym przetwarzania danych elektronicznych. Przegląd ogólnych mechanizmów IT jest zakończony wnioskiem NOK dotyczącym ich jakości, z uwzględnieniem stopnia w którym NOK moŜe rozwinąć te mechanizmy w trakcie dalszych kontroli systemów uŜytkownika. c. Przegląd mechanizmów w systemach uŜytkownika System uŜytkownika jest rozumiany jako system – aplikacja – który zawiera kilka funkcji systemowych, opartych o IT oraz ręcznych administracyjnych funkcji w danym obszarze. W systemie uŜytkownika mechanizmy wewnętrzne są wcześniej zaprogramowane oraz uzupełniane w dostatecznym stopniu mechanizmami ręcznymi. Przegląd systemu uŜytkownika zazwyczaj obejmuje:
• funkcje systemu, • stosowane zapisy, • przetwarzanie danych wejściowych/wyjściowych, • mechanizmy uprzednio zaprogramowane i ręczne, • śledzenie transakcji i mechanizmów oraz • zgodność z odpowiednim ustawodawstwem dotyczącym danych.
Celem przeglądu NOK jest zbadanie czy mechanizmy wewnętrzne w systemie uŜytkownika gwarantują kompletne, dokładne i terminowe przetwarzanie zatwierdzonych transakcji oraz zbadanie czy te mechanizmy wewnętrzne zapobiegają błędom lub naprawdę zapewniają, Ŝe błędy zostają odkryte i są naprawiane. W końcu, przegląd musi wyjaśnić w jakim stopniu istnieje dokumentacja dotycząca przeprowadzanego przetwarzania danych w systemie
52
uŜytkownika oraz zapobiegawczych, wcześniej zaprogramowanych oraz ręcznych mechanizmów. W sytuacji, w której mechanizmy wewnętrzne w systemie uŜytkownika funkcjonują prawidłowo, kontrola powinna je objąć w znacznym stopniu. JeŜeli mechanizmy nie funkcjonują w sposób zadowalający, NOK musi ocenić czy cel kontroli moŜe zostać zrealizowany w inny sposób. JeŜeli NOK dojdzie do wniosku, Ŝe w wewnętrznych mechanizmach istnieją niedociągnięcia lub, Ŝe istnieją rozbieŜności w księgach rachunkowych lub procedurach księgowych, sytuacja powinna być uwzględniona w zaleceniach kontrolera oraz ewentualnie w sprawozdaniu z kontroli. System uŜytkownika, który zapewnia moŜliwość wysyłania, otrzymywania oraz przetwarzania danych elektronicznie do/od partnerów komercyjnych podmiotu publicznego zazwyczaj zawiera następujące elementy główne: program aplikacji (np. system finansowy), metodę transmisji danych (np. połączenie modemowe typu dial-up lub połączenie poprzez dostawcę VANS22), wspólny standard dla wymiany danych (np. format XML) oraz ewentualnie oprogramowanie do konwersji (przekształcenie z formatu wspólnego dla wymiany danych do wewnętrznego formatu zapisu). Integracja systemu jest moŜliwa, poniewaŜ systemy są skonstruowane modułowo i posiadają otwarte interfejsy zarówno zewnętrznie do internetu jak i wewnętrznie w podmiocie publicznym do innych systemów oraz są w zasadzie oparte o elektroniczne zatwierdzenia wszystkich transakcji. Dla podmiotu publicznego, największym ryzykiem wiąŜącym się z takim systemem jest to, czy otrzymane dane wejściowe są prawidłowe, kiedy są ładowane do aplikacji uŜytkownika i czy dane wyjściowe przekazywane od podmiotu publicznego równieŜ są prawidłowe. Ponadto, waŜne jest, aby podmiot publiczny zapewnił oraz zabezpieczył dokumentację dotyczącą wysyłania/otrzymywania transakcji (niezaprzeczalność) i Ŝeby podczas transmisji danych nie miał miejsca wpływ na treść transakcji (rzetelność). W celu oceny, Ŝe dane wejściowe i wyjściowe są prawidłowe, waŜne jest, aby mechanizmy systemu uŜytkownika umoŜliwiły ocenę danych przy uŜyciu dwóch mechanizmów, zwanych Mechanizm 1 oraz 2, porównaj rysunek 823
22 Value Added Network Supplier (or Service) – Dostawca sieci z dodatkowymi usługami 23 „EDI in smaller business enterprises”, Danish EDI- Counsel, 1998
53
Generowanie danych wyjściowych, ocena ich poprawności i formatowanie do standardu komunikacji
Sprawdzanie poprawności i wysyłanie danych
Dane wejściowe
Transmisja Mechanizm 1
Mechanizm 2 Aplikacja uŜytkownika
Przekształcenie do formatu zapisów wewnętrznych, ocena poprawności oraz generowanie danych wejściowych w aplikacji uŜytkownika
Dane wyjściowe
Otrzymywanie i ocena poprawności danych
Rysunek 8—Przepływ danych oraz mechanizmy sprawdzania poprawności
Rysunek 8 ukazuje elektroniczny przepływ danych pomiędzy podmiotem publicznym oraz jego partnerami branŜowymi. Ponadto, ukazuje on ocenę poprawności danych otrzymanych i wysłanych w Mechanizmie 1 oraz ocenę poprawności danych wejściowych i wyjściowych w Mechanizmie 2. Mechanizm 1 Mechanizm 1 jest zlokalizowany w interfejsie systemu uŜytkownika zaraz po otrzymaniu oraz tuŜ przed wysłaniem transakcji. Mechanizm 1 musi zapewnić, Ŝe transakcja elektroniczna będzie zgodna z następującymi wymogami podstawowymi dotyczącymi danych:
• Autentyczności ( autor jest naprawdę tym za kogo się podaje). • Rzetelności (otrzymane dane stanowią te same dane co dane wysłane). • Tajności (osoby nieupowaŜnione nie mają dostępu do danych) • Niezaprzeczalności (nadawca/odbiorca danych nie moŜe zaprzeczyć, Ŝe dane zostały
wysłane/ otrzymane). W systemach w pełni zdigitalizowanych powyŜsze warunki są spełnione zarówno przez nadawcę jak i odbiorcę danych.
Podmiot publiczny
Partner branŜowy
54
Kiedy Mechanizm 1 zapewnił, Ŝe dane wysłane/otrzymane są autentyczne – Ŝe pozostały one poufne i nie zostały naraŜone na niebezpieczeństwo podczas transmisji danych, Ŝe dotarły one do odbiorcy oraz nie moŜna zaprzeczyć, Ŝe zostały one wysłane bądź otrzymane - wówczas otrzymana transakcja moŜe zostać przeniesiona do aplikacji uŜytkownika (systemu finansowego). Etap ten, jest jednakŜe takŜe naraŜony na pewne ryzyko, któremu zapobiec ma Mechanizm 2. Mechanizm 2 Mechanizm 2 jest zlokalizowany bezpośrednio przed aplikacją. Mechanizm 2 przekształca i przesyła dalej otrzymane transakcje oraz transakcje do wysłania do oraz z podstawowej aplikacji uŜytkownika (systemu finansowego). Mechanizm 2 musi zabezpieczyć dane wejściowe oraz wyjściowe w odniesieniu do:
• Kompletności (np. nie występuje przerwa w kompletności podczas przekształcenia z zewnętrznego do wewnętrznego formatu danych, Ŝe awaria systemu nie powoduje utraty danych lub, Ŝe zakłócenia związane z nadawcą transakcji nie prowadzą do nieotrzymania całości transakcji. Mechanizm ręczny powinien zapewnić, Ŝe błędne transakcje, które ewentualnie zostały zatrzymane, zostaną w późniejszym czasie prawidłowo zarejestrowane w aplikacji).
• Dokładności (tj. oceny poprawności otrzymanych danych transakcji dotyczących np. numerów produktu, ilości, cen itd.). Ten sam mechanizm jest takŜe stosowany w odniesieniu do danych transakcji przesyłanych przez podmiot publiczny).
• WaŜność/ zatwierdzenia (np. ocena poprawności w celu zapewnienia, Ŝe tylko transakcje odnoszące się do podmiotu publicznego są przekazywane do aplikacji uŜytkownika. NaleŜy zapewnić, Ŝe procedura zatwierdzenia otrzymanych transakcji zbiorowych jest przygotowana do wdroŜenia i Ŝe zatwierdzenie przeprowadzane jest przez odpowiednio upowaŜnionych pracowników)
• Terminowości (trwające operacyjne cykle aktualizowania muszą zagwarantować, Ŝe przetwarzanie danych pobranych transakcji odbywa się odpowiednim terminie).
Warunkiem koniecznym dla wydajności kontroli systemu uŜytkownika jest wdroŜenie praktycznych i wydajnych mechanizmów ogólnych IT. Przeprowadzając kontrolę mechanizmów w systemach uŜytkownika, NOK powinno skupić swoją uwagę na mechanizmach, które są ustanowione na kilku róŜnych poziomach. Zgodnie z tym, co zostało wspomniane wyŜej, pierwszy mechanizm musi zagwarantować autentyczność transakcji, tajność, rzetelność oraz niezaprzeczalność. Drugi mechanizm musi zapewnić kompletność transakcji, dokładność, waŜność oraz terminowość. d. Outsourcing Ze względu na fakt, Ŝe część aplikacji IT podmiotu publicznego jest zlecona na zewnątrz do podwykonawcy, pozostanie obowiązkiem kierownictwa podmiotu publicznego zapewnienie,
55
Ŝe niezawodność systemu, danych oraz niezawodność operacyjna towarzysząca procesom, jak równieŜ systemy oraz dostęp do danych są zgodne z potrzebami podmiotu publicznego. W celu zapewnienia tych warunków musi istnieć pisemna umowa pomiędzy podmiotem publicznym oraz podwykonawcą. Zazwyczaj taka pisemna umowa powinna zawierać jako minimum coroczną deklarację pochodzącą od księgowego podwykonawcy dotyczącą niezawodności systemu, danych oraz niezawodności eksploatacyjnej. Jako część kontroli, NOK musi dokonać przeglądu kontraktu z podwykonawcą i w zasadzie musi uzyskać pełen dostęp do zbiorowych danych dotyczących zamówień publicznych, przechowywanych przez podwykonawcę oraz dotyczących rzeczonego podmiotu publicznego.
5.4. Uwagi ko ńcowe Pomimo, Ŝe celem nadrzędnym kontroli finansowej jest dostarczenie NOK kompetentnych opinii odnośnie jakości dostarczonych ksiąg finansowych, kontrola jest przygotowywana jako kontrola systemowa i połączona jest z kontrolą materialną w stopniu koniecznym. Kontrole systemowe obejmują kontrolę procedur opartych o IT oraz procedur ręcznych, łącznie z ogólnymi mechanizmami IT, które wspierają systemy uŜytkownika/ procedury oparte o IT oraz mechanizmami wewnętrznymi. Kontrola systemów cyfrowych składa się z następujących etapów: początkowa ocena aplikacji IT, przegląd ogólnych mechanizmów IT, przegląd mechanizmów w systemie uŜytkownika oraz ocena umowy outsourcingu, jeŜeli istnieje. Kontrola ogólnych mechanizmów IT bada, w jakim stopniu bezpieczeństwo systemu, danych oraz bezpieczeństwo operacyjne jest wystarczające oraz moŜe stanowić podstawę dla kontroli systemów uŜytkownika. Kontrola mechanizmów systemu uŜytkownika wskazuje czy istnieją odpowiednie mechanizmy, ustanowione w celu zapewnienia autentyczności transakcji, tajności, rzetelności oraz niezaprzeczalności, jak równieŜ jej kompletności, dokładności, waŜności oraz terminowości. 6. KONSEKWENCJE ORGANIZACYJNE
6.1 Wstęp Digitalizacja procedur pracy w instytucjach publicznych nakłada podobne wymogi na poszczególne NOK, dotyczące podjęcia przez nie strategicznych inicjatyw w tej dziedzinie. Celem tych inicjatyw musi być przejście NOK do procedur cyfrowych oraz rozwoju proceduralnego, jak równieŜ kontynuowanie edukacji w obszarze umiejętności IT.
56
Podstawę tych inicjatyw stanowi przede wszystkim uznanie zaleŜności od IT, oraz uznanie, Ŝe IT stanowi decydujący czynnik w realizacji misji oraz wizji NOK. Podstawę przejścia na systemy cyfrowe NOK stanowić będzie wzajemna zaleŜność pomiędzy strategią organizacyjną oraz strategiami IT. WaŜne jest, aby wyŜsza kadra kierownicza NOK określiła ramy formalne dla stosowania IT oraz, aby zasadnicza odpowiedzialność za zarządzanie IT oraz stosowanie, łącznie z bezpieczeństwem spoczywała na wyŜszej kadrze kierowniczej. Digitalizacja NOK wymaga dostosowań w 4 waŜnych dziedzinach:
• przejścia do procedur cyfrowych • metod • kwalifikacji • zasobów
6.2. Przejście do procedur cyfrowych NOK, podobnie jak inne instytucje publiczne, doświadcza potrzeby usprawnienia pracy przy pomocy digitalizacji. W celu przystosowania NOK do procedur cyfrowych oraz, lepszego przetwarzania dokumentacji elektronicznej rozwój ten będzie obejmował:
• wzmocnienie organizacji oraz technologii IT, • zapewnienie, Ŝe bezpieczeństwo IT spełnia nowe wymagania, łącznie z tworzeniem
kopii zapasowych, zaporami (firewallami) itd. i Ŝe NOK moŜe sobie poradzić za pomocą danych wewnętrznych dostępnych jedynie elektronicznie,
• wdroŜenie polityki dla nowych procedur oraz programów towarzyszących otrzymywaniu oraz wysyłaniu poczty elektronicznej tak, aby pracownicy stosowali, rejestrowali oraz przetwarzali fachowo pocztę elektroniczną,
• ustanowienia jednego lub więcej urzędowych adresów poczty elektronicznej na poziomie kierownictwa, instytucji, departamentu oraz/lub pracownika,
• poinformowanie pracowników organizacji o procesie transformacji do systemu cyfrowego,
• poinformowanie partnerów zewnętrznych o zmienionych wytycznych instytucji w celu komunikacji cyfrowej .
Jako taka, digitalizacja skutkować będzie wymogiem zwiększenia wiedzy NOK na temat IT w celu wdroŜenia oraz stosowania nowych narzędzi oraz metod. Podobnie, digitalizacja będzie wymagać, aby wewnętrzna funkcja IT została umocniona, co umoŜliwi organizacji przetwarzanie jedynie informacji cyfrowych – tj. serwery poczty elektronicznej, firewalle, systemy bezpieczeństwa itd. będą odgrywać większą rolę niŜ kiedykolwiek przedtem.
6.3. Metody Kontrola w środowisku cyfrowym nie moŜe być przeprowadzona w ten sam sposób, jak w środowisku nieskomputeryzowanym. Jednym z przykładów na to, co mogą oznaczać te
57
zmiany jest sytuacja, kiedy publiczna spółka promowa przeszła z całkowicie ręcznego, nieskomputeryzowanego systemu sprzedaŜy biletów na system elektroniczny, który w mniejszym lub większym stopniu funkcjonuje bez interwencji człowieka. Podmiot publiczny zainstalował nowy, elektroniczny system sprzedaŜy/ biletów/fakturowania/płatności, tak, Ŝe sprzedaje bilety przez Internet, otrzymuje płatności poprzez system kart poprzez Internet, rejestruje wejścia na pokład, przeprowadza operacje księgowe oraz automatycznie drukuje faktury itd. Rozwiązanie to spowoduje wymóg zmiany procedur kontroli oraz koncepcji, więc kontrole odpowiednio ukaŜą nowe zagroŜenia. Do przykładów niezbędnych inicjatyw strategicznych naleŜą:
• opracowanie nowych metod oraz narzędzi przeprowadzania kontroli. • zbadanie jakie nowe technologie mogą być wykorzystane wewnętrznie w nowych
koncepcjach, np. statystycznych badaniach losowych oraz specjalnie opracowanych aplikacjach (np. CAAT).
6.4 Kwalifikacje Digitalizacja waŜnych funkcji w firmach oznacza, Ŝe tradycyjne procedury oraz wewnętrzne mechanizmy oparte o formularze papierowe staną się przestarzałe i zostaną zastąpione przez dane elektroniczne - za wyjątkiem elementów procedur dotyczących fizycznego przepływu towarów. Dla NOK oznacza to istotną zmianę w środowisku kontroli. Jednorazowe transakcje, które poprzednio były dokumentowane za pomocą dowodów wpłaty/pokwitowań zostaną teraz zastąpione informacjami cyfrowymi (danymi), którym towarzyszyć będzie elektroniczne potwierdzenie transakcji. Kontrola ogólnych mechanizmów IT oraz systemów uŜytkownika opartych o IT będzie w przyszłości stanowić większy element kontroli systemu i wymagać więcej roboczogodzin oraz większej liczby personelu posiadającego zarówno umiejętności związane z IT, jak i przeprowadzaniem kontroli. Przykłady niezbędnych inicjatyw strategicznych obejmują:
• szkolenie dotyczące sposobu kontroli środowiska cyfrowego, porównaj Rozdział V; • szkolenie w zakresie stosowania nowych narzędzi (IDEA, CAAT, itp.); • szkolenie ustawiczne jako rezultat technologii – z udziałem jednostki kontrolowanej
oraz wewnętrznie w organizacji – ciągły rozwój; • kursy dla całej organizacji skoncentrowane na postawach i zrozumieniu; • wzmocnienie wewnętrznego IT tak, aby organizacja oraz technologia mogły sobie
poradzić posiadając jedynie dane dostępne w formacie cyfrowym; • zmiany organizacyjne oraz restrukturyzację mające na celu realizację nowych
zadań.
58
6.5 Zasoby Proces przejścia pociąga za sobą przede wszystkim potrzebę większych zasobów. NaleŜy opracowywać nowe koncepcje, poniewaŜ naleŜy przyjąć, Ŝe kontrola klienta indywidualnego spowoduje wykorzystanie większych zasobów w w pełni zdigitalizowanym środowisku. Istnieją jednakŜe dwa warunki, które są sprzeczne z tą tendencją. Po pierwsze, opracowanie nowych metod kontroli oraz narzędzi ma na celu zwiększenie wydajności. Po drugie, w wielu krajach rozwój kieruje się ku coraz większym centrom serwisowym IT. Jedną z konsekwencji digitalizacji jest zanik wymogu dotyczącego bliskiej fizycznej bliskości z danymi oraz informacjami. Oznacza to, Ŝe funkcje, które poprzednio były szeroko rozproszone geograficznie, mogą być teraz zebrane razem, na przykład płace oraz rekrutacja, które stanowią zadania kompleksowe oraz są duŜym obciąŜeniem dla zasobów. Z jednej strony, naleŜy przyjąć, Ŝe kontrola konkretnego podmiotu publicznego spowoduje zuŜycie większych zasobów, podczas gdy z drugiej strony, istnieje tendencja, Ŝe będzie mniej firm, w których będą przeprowadzane kontrole. W kwestii zasobów wyłania się niepewny obraz. Prawdopodobnie większe wymogi dotyczące zasobów będą istnieć tylko podczas okresu przejściowego. Jednym z przykładów niezbędnej inicjatywy strategicznej jest:
• zakrojona na szeroką skalę świadomość kadry kierowniczej odnośnie wykorzystywania moŜliwości dotyczących poprawy wydajności wraz ze zorganizowaniem nowych metod kontroli.
6.6 Uwagi ko ńcowe W przypadku NOK digitalizacja sektora publicznego oznaczać będzie waŜne wewnętrzne techniczne oraz organizacyjne dostosowania, wymagające inicjatyw strategicznych:
• przejścia do procedur cyfrowych • opracowania nowych metod i narzędzi kontroli • rozwoju umiejętności IT kontrolerów • wykorzystanie potencjału wydajności poprzez ulepszoną organizację
nowych metod kontroli.
59
GLOSARIUSZ Rozliczalność (obowiązek zdania sprawy) – w bezpieczeństwie informacji, zasada indywidualnej identyfikacji oraz indywidualnej odpowiedzialności uŜytkowników systemu za działania. MoŜliwość dokonania jednostkowej identyfikacji uŜytkowników umoŜliwia śledzenie przypadków naruszenia bezpieczeństwa oraz wykrycie jego sprawców. Celu tego nie moŜna osiągnąć w przypadku wspólnych haseł. Dokładność - właściwość zapewniona przez mechanizm systemu umiejscowiony bezpośrednio przed aplikacją uŜytkownika w celu sprawdzenia poprawności otrzymanych danych transakcji dotyczących np. numerów produktu, ilości, jakości, cen itd. Autentyczność - w bezpieczeństwie informacji, właściwość, która określa, Ŝe autor wiadomości, pliku itd. jest rzeczywiście tym, za kogo się podaje. Dostępność – moŜliwość dostępu do i stosowania systemu, zasobu lub pliku w dowolnej chwili i miejscu. System back office (lub back end) – infrastruktura komputerowa w ramach organizacji, która wspiera główne aplikacje procesu biznesowego, lecz nie posiada zewnętrznego interfejsu z klientami (inaczej niŜ w przypadku witryny www lub portalu) Jednostka certyfikująca – w kryptografii, jednostka posiadająca zaufanie wszystkich uŜytkowników, tworząca oraz przypisująca certyfikaty cyfrowe. Rola ta jest pełniona zwykle przez instytucje publiczne, takie jak Poczta lub banki clearingowe (np. Barclays) Mechanizmy w systemie uŜytkownika - wewnętrzne wcześniej zaprogramowane mechanizmy uzupełnione w stopniu koniecznym mechanizmami ręcznymi. Kompletność – właściwość zapewniona przez mechanizmy systemu umiejscowione bezpośrednio przed aplikacją uŜytkownika, w celu zapewnienia, Ŝe nie występują przerwy podczas przekształcenia zewnętrznego formatu danych na wewnętrzny format danych lub, Ŝe awaria systemu nie spowoduje utraty danych lub, Ŝe usterki powstałe z winy uŜytkownika transakcji nie będą prowadzić do nieotrzymania całości transakcji. Tajność – w bezpieczeństwie informacji, właściwość, zgodnie z którą informacja nie jest udostępniana ani ujawniana osobom nieupowaŜnionym, podmiotom lub procesom. Certyfikat cyfrowy – w kryptografii wiadomość, która gwarantuje autentyczność danych w niej zawartych. W kryptografii klucza publicznego w celu zagwarantowania autentyczności Jednostka Certyfikująca powinna wydać certyfikat, któremu ufają wszyscy uŜytkownicy.
60
Certyfikat zawiera zazwyczaj toŜsamość posiadacza klucza publicznego, sam klucz publiczny oraz jego datę waŜności. Dokumenty cyfrowe - dane podmiotu publicznego, które istnieją w formacie elektronicznym lub cyfrowym, obejmujące nie tylko dokumenty, które zostały zdigitalizowane z nośników papierowych (np. listów), lecz równieŜ takie, które istnieją i są uŜywane jedynie w formie papierowej podczas całej ich „długości Ŝycia”. Podpis elektroniczny - Deszyfrowanie i szyfrowanie pliku w celu uwierzytelnienia określonego typu przekazu w usługach transakcji przeprowadzanych poprzez sieć, które zwykle muszą posiadać formę pisemną, aby były prawnie wiąŜące; stosowany przez administrację w celu bezpiecznej i legalnej komunikacji z obywatelami, firmami lub innymi podmiotami publicznymi (urząd-obywatel; urząd-przedsiębiorca; urząd-urząd). Domena – część hierarchii nazw internetu. Nazwa domeny dokładnie umiejscawia organizację lub inny podmiot w Internecie, na przykład: http://www.eurosai.org//. Adres strony http://www.eurosai-it.org stanowi subdomenę. Elektroniczne podejmowanie decyzji – współdziałanie pomiędzy podmiotami sektora publicznego oraz sposób, w jaki społeczeństwo się samo organizuje dla podejmowania zbiorowych decyzji poprzez stosowanie elektronicznych przejrzystych mechanizmów. e-administracja – stosowanie informacji oraz technologii komunikacyjnych przez organy rządowe, czego celem jest: (a) dostarczanie większej ilości/lub lepszej informacji oraz innych usług, zewnętrznie do obywateli i firm oraz wewnętrznie do innych organizacji rządowych; (b) usprawnienie operacji administracji w kontekście większej skuteczności, oraz/lub wydajności; (c ) zwiększenie udziału w Ŝyciu politycznym. e-zarządzanie – oznacza rozwój, rozmieszczenie oraz realizację polityk, ustaw oraz rozporządzeń koniecznych do wspierania funkcjonowania społeczeństwa cyfrowego oraz gospodarki. Kwestie zarządzania pojawiają się we wszystkich poziomach e-administracji. e-zamówienia publiczne - zastąpienie tradycyjnej dokumentacji handlowej na przykład zamówień zakupu i faktur poprzez dane przekazywane elektronicznie. System front office (lub front end) – infrastruktura komputerowa w organizacji opracowana przede wszystkim jako interfejs słuŜący do komunikowania się z klientami zewnętrznymi, takimi jak sieci internetowe lub portale. Ogólne mechanizmy IT - w bezpieczeństwie informacji, mechanizmy wdraŜane w środowisku IT po to, aby zewnętrzne parametry dotyczące niezawodności systemu, danych oraz niezawodności operacyjnej osiągnęły dopuszczalny poziom, zgodnie z potrzebami podmiotu publicznego. Mechanizmy te mają róŜny charakter i mogą być np. organizacyjne, fizyczne, wstępnie zaprogramowane oraz ręczne. Rzetelność – w bezpieczeństwie informacji właściwość, która oznacza, Ŝe dane otrzymane są tymi samymi danymi, co dane wysłane.
61
Mechanizmy wewnętrzne - w bezpieczeństwie informacji, wstępnie zaprogramowane mechanizmy w systemie uŜytkownika mające na celu zapewnienie całkowitego, dokładnego oraz terminowego przetwarzania zatwierdzonych transakcji, takŜe mające na celu zapobieganie występowaniu błędów lub rzeczywiste zapewnienie, Ŝe błędy zostaną wykryte i naprawione. Interoperacyjność - w systemach informacyjnych, właściwość pozwalająca dwóm sieciom operatorów łączyć się ze sobą, aby usługi mogły ze sobą współdziałać w granicach wzajemnego połączenia. Demokracja online - prowadzenie działalności z udziałem obywateli w tworzeniu polityki poprzez procesy odbywające się w systemie komputerowym, oraz zwłaszcza przez Internet. Twórcy polityk mogą na przykład organizować sondaŜe lub referenda dotyczące konkretnych spraw związanych z polityką, takich jak plany zagospodarowania przestrzennego, proponowane ustawodawstwo itd. Wynik takich sondaŜy/referendów moŜe odgrywać rolę w procesie podejmowania decyzji. Kontrola wykonania zadań - kontrole wykonania zadań stanowią przeglądy przeznaczone do określenia jak wydajnie i skutecznie agencja wykonuje swoje funkcje. Kontrole wykonania zadań mogą stanowić przegląd programu rządowego, całej agencji rządowej lub jej części lub pozwalają analizować konkretne kwestie, które wpływają na cały sektor publiczny. Zamówienia publiczne - KaŜdy aspekt procesu określania zapotrzebowania na towary oraz usługi, oraz kupowanie, dostarczanie oraz przechowywanie ich. Zamówienia publiczne odgrywają rolę centralną w zarządzaniu dowolnymi operacjami i jest niezbędne, aby zdobyć konieczne towary oraz usługi dobrej jakości, po dobrej cenie oraz w odpowiednim czasie.jest kiedy kumulacja wymogów dotyczących zakupów umoŜliwia przeprowadzenie znacznych usprawnień odnośnie zwiększenia wartości.24 Certyfikat klucza publicznego – stwierdzenie, w miarę moŜliwości w formie papierowej, lecz o wiele częściej przekazywane elektronicznie przez sieć, które ustanawia relacje pomiędzy określoną jednostką (lub organizacją) a określonym kluczem publicznym. W zasadzie, powinien on (lecz nie musi) zawierać inne informacje, takie jak adres pocztowy, przynaleŜność do organizacji oraz numer telefonu. Niezaprzeczalność - w bezpieczeństwie informacji właściwość, która oznacza, Ŝe nadawca/ odbiorca informacji nie moŜe zaprzeczyć faktu wysłania/otrzymania danych. Re-engineering procesów biznesowych – innowacja oraz przekształcenie procesów strukturalnych oraz procesów pracy w celu ulepszenia jakości usług oraz wydajności w sektorze publicznym.
24 zdanie niepełne w oryginale
62
Niezawodność - w systemach informatycznych zdolność systemu komputerowego, informatycznego lub telekomunikacyjnego do ciągłego działania zgodnego ze swoją specyfikacją oraz wymogami projektu, charakteryzująca się duŜym zaufaniem.
Bezpieczeństwo – zbiór zabezpieczeń, które mają na celu zapewnienie, Ŝe poufność informacji chroni system(y) lub sieć(sieci), które je przetwarzały oraz kontroluje dostęp do nich. Stąd, zabezpieczenia tworzą odpowiednie zasady dostępu do informacji komputerowej. Karta inteligentna – elektroniczna technologia transakcyjna pozwalająca na przechowywanie i aktualizację informacji dotyczących uwierzytelniania lub kont uŜytkownika. Kontrola materialna - proces zbierania oraz oceny dowodów w celu sformułowania opinii na temat tego czy system kontroli wewnętrznej jest wiarygodny. Kontrola systemowa – proces gromadzenia i oceny materiału dowodowego w celu sformułowania opinii czy system informatyczny (aplikacja uŜytkownika) zabezpiecza aktywa, utrzymuje rzetelność danych, pozwala na osiągnięcie celów organizacji i określa wydajne wykorzystanie zasobów. Kontrola techniczna – proces zbierania i oceny dowodów w celu sformułowania opinii odnośnie tego czy (elementy) infrastruktury IT zabezpieczają aktywa, utrzymują rzetelność danych, pozwalają na spełnienie celów organizacji oraz określenie wydajnego stosowania zasobów. Infrastruktura IT oznacza tu sprzęt komputerowy, sieci, systemy operacyjne oraz wszelkie inne oprogramowanie, które nie stanowi aplikacji uŜytkownika (zarządzanie bazami danych, oprogramowanie bezpieczeństwa, systemy zarządzania centrum danych, itd.) Telematyka – zbiór technologii, które łączą w sobie telekomunikację i informatykę. Terminowość – w bezpieczeństwie informacji, właściwość zapewniona przez mechanizm systemu umiejscowiony bezpośrednio przed aplikacją uŜytkownika w celu zapewnienia, Ŝe w czasie występowania operacyjnych cykli aktualizacji przetwarzanie danych pobranych transakcji odbywa się w odpowiednim czasie. System uŜytkownika – aplikacja systemowa, która obejmuje kilka systemowych, opartych o IT oraz ręcznych funkcji administracyjnych w danym obszarze. Sprawdzanie poprawności/ zatwierdzenie – w bezpieczeństwie informacji, właściwość zapewniona przez mechanizm systemu zlokalizowany bezpośrednio przed aplikacją uŜytkownika w celu zapewnienia, Ŝe procedura zatwierdzenia otrzymanych transakcji zbiorowych jest gotowa do wdroŜenia i Ŝe zatwierdzenie jest przeprowadzane przez odpowiednio upowaŜniony personel (np. sprawdzenie poprawności celem zapewnienia, Ŝe tylko transakcje dotyczące podmiotu publicznego są przenoszone do aplikacji uŜytkownika). NaraŜenie na ataki – słabość w systemie, która moŜe być wykorzystana w celu naruszenia zamierzonego zachowania systemu. NaraŜenie na ataki moŜe dotyczyć bezpieczeństwa,
63
rzetelności, dostępności oraz innych właściwości. Przypadek wykorzystania takiej słabości stanowi zagroŜenie, któremu towarzyszy ryzyko wykorzystania.