E-administracja w perspektywie kontroli
(RAPORT)
Listopad 2004
2
3
1. WSTĘP ..............................................................................................................................7
2. TRENDY W E-ADMINISTRACJI.....................................................................................9
2.1. Wstęp ..........................................................................................................................9
2.2 E-administracja: co to jest? ...........................................................................................9
2.3 Przykłady zastosowań e-administracji .........................................................................11
2.4. Potencjalne korzyści ..................................................................................................13
2.5 Czym szczególnym wyróżnia się e-administracja? ......................................................14
2.6. Aspekty rozwojowe ...................................................................................................18
2.7. Uwagi końcowe .........................................................................................................20
ZAŁĄCZNIK 1 ............................................................................................................21
3. RYZYKO .........................................................................................................................21
3.1 Wstęp .........................................................................................................................21
3.2. Ryzyka związane z planowaniem, opracowywaniem oraz wprowadzaniem usług e-
administracji .....................................................................................................................22
3.3. Ryzyka dotyczące prowadzenia usług e-administracji ................................................26
3.4. Kontrola ryzyka związanego z projektami usług e-administracji ................................30
3.5 Uwagi końcowe ..........................................................................................................33
4. KONTROLA PROGRAMÓW I PROJEKTÓW ...............................................................33
4.1 Wstęp .........................................................................................................................33
4.2. Ramy konceptualne....................................................................................................33
4.3 Metody kontroli ..........................................................................................................36
4.4 Mapa ram CobiT.........................................................................................................43
4.5. Uwagi końcowe .........................................................................................................44
ZAŁĄCZNIK 2 ............................................................................................................45
5.1. Wstęp ........................................................................................................................47
5.2 Środowiska cyfrowe....................................................................................................47
5.3 Kontrola środowisk cyfrowych („skomputeryzowanych”)...........................................49
5.4. Uwagi końcowe .........................................................................................................55
6. KONSEKWENCJE ORGANIZACYJNE .........................................................................55
6.1 Wstęp .........................................................................................................................55
6.2. Przejście do procedur cyfrowych................................................................................56
6.3. Metody ......................................................................................................................56
6.4 Kwalifikacje ...............................................................................................................57
6.5 Zasoby........................................................................................................................58
6.6 Uwagi końcowe ..........................................................................................................58
GLOSARIUSZ .............................................................................................................59
4
5
Przedmowa
Podczas swojego pierwszego spotkania we wrześniu - październiku 2002 Grupa Robocza
EUROSAI ds. Informatyki (EUROSAI IT Working Group) postanowiła utworzyć podgrupę
w celu opracowania ogólnego zarysu e-administracji, e-zamówień publicznych oraz raportu
dotyczącego trendów, definicji, ryzyk, metod kontroli, doświadczeń itd. Utworzona podgrupa
składa się z Portugalii (kierownictwo), Danii, Niemiec, Polski, Rosji oraz Holandii.
Podczas spotkania początkowego w lutym 2003 podgrupa podjęła decyzję w sprawie układu
raportu. W następnej kolejności, członkowie opracowali różne rozdziały i oto leży przed
Państwem rezultat tej pracy. Pomimo, że wszyscy należymy do krajów europejskich, wszyscy
posiadamy swoje własne „barwy narodowe”, ponieważ nasze doświadczenia różnią się w
zależności od sytuacji, jaka występuje w naszych krajach. W pewnym stopniu znajdzie to
odzwierciedlenie w różnych rozdziałach niniejszego dokumentu. Jednakże, mimo, że pewne
przykłady oparte są o doświadczenia właściwe dla danego kraju, zostały one przedstawione w
taki sposób, że znajdą zainteresowanie w szerokim kręgu odbiorców.
Raport połączony jest z dokumentem „E-zamówienia publiczne i ich wpływ na przyszłe
podejście kontrolne”, która oparta jest o doświadczenia Danii.
Wersja dyskusyjna tego raportu została wysłana 25 listopada 2003 do wszystkich
(ówczesnych) 24 członków grupy roboczej w celu uzyskania ich opinii. Termin zgłaszania
uwag upłynął w dniu 15 grudnia 2003. Następnie, raport został poprawiony zgodnie z
otrzymanymi uwagami, mimo, że niektóre zgłoszone kwestie odłożono w celu ich omówienia
podczas drugiego spotkania Grupy Roboczej, w marcu 2004, w Bernie, w Szwajcarii. Podczas
tego spotkania miały miejsce dyskusje na temat końcowych modyfikacji tekstu, których
rezultatem jest niniejsza wersja ostateczna.
6
7
1. WSTĘP
Pod hasłem „e-administracja” większość Państw Europejskich zobowiązało się, poprzez różne
krajowe oraz międzynarodowe programy działań oraz inicjatywy, udostępnić możliwie
najwięcej swoich usług publicznych online przez internet w ciągu dającej się przewidzieć
przyszłości (w większości przypadków do roku 2005).
Programy te mają być głównymi krokami na drodze do osiągnięcia celu polityki rządów,
którym jest przekształcenie Europy w społeczeństwo informacyjne. Rządy pragną zapewnić,
aby obywatele, firmy, środowisko akademickie oraz inne podmioty rządowe miały prostszy,
szybszy oraz bardziej opłacalny dostęp do usług publicznych. Celem tych starań jest
zwiększenie zadowolenia obywateli z administracji oraz większa konkurencyjność krajów
oraz przedsiębiorstw.
Ponadto, programy e-administracji mają stać się istotnym elementem wszechstronnej
modernizacji administracji. Spójne programy e-administracji mają stanowić bodziec dla re-
engineeringu procesów biznesowych w ramach całej administracji publicznej w celu
uproszczenia szerokiej gamy struktur oraz procedur administracyjnych.
W tej sytuacji brak realizacji lub opóźnienie w realizacji programów lub projektów e-
administracji prowadzić będzie do niepowodzenia lub opóźnienia modernizacji. Co więcej,
potrzeba konsolidacji budżetów wymaga wykorzystania wszelkich możliwości cięcia kosztów
bez zakłóceń w dostawie usług publicznych. Programy e-administracji mogą dostarczyć nowe
możliwości odnośnie realizacji tego celu.
Jedną z konsekwencji e-administracji jest odchodzenie rządów od systemów opartych na
dokumentacji papierowej w kierunku systemów skomputeryzowanych, co pociąga za sobą
całkowitą zmianę środowiska kontrolnego. Fakt ten stwarza nowe wyzwania zarówno dla
audytowanych jak i audytorów. Brak dokumentacji papierowej zwiększa potrzebę
zapewnienia ścisłych mechanizmów kontrolnych w systemach skomputeryzowanych – w
tym: ogólnych mechanizmów kontrolnych, mechanizmów zaprogramowanych w systemach
użytkownika oraz konkretnych mechanizmów ręcznych dostępnych w otoczeniu systemów
użytkownika. Tendencja ta ma znaczące konsekwencje dla rozwoju oraz wdrażania projektów
e-administracji, jak również dla zarządzania systemami operacyjnymi IT.
Co się tyczy konsekwencji dla audytorów, jednym z najważniejszych wyzwań jest ocena
ważności oraz wiarygodności danych. Aby móc dokonać kontroli systemu e-administracji,
musimy dostosować istniejące metody i techniki oraz opracować nowe.
Ponadto, z uwagi na fakt, że systemy IT
1
oraz procesy biznesowe stają się w coraz większym
stopniu ze sobą powiązane, decyzje dotyczące IT są w gruncie rzeczy decyzjami
biznesowymi, a nie tylko decyzjami technicznymi, co wymaga zaangażowania wyższej kadry
kierowniczej. Jedynie jej czynny udział może zapewnić, że organizacja jako całość posiadać
będzie wystarczającą kontrolę nad ryzykiem związanym z IT- tj. ryzykiem dotyczącym
projektów, jak również codziennych operacji. Wdrażanie e-administracji jest procesem
złożonym i wymaga nie tylko wizji, lecz także silnego przywództwa politycznego na
najwyższym poziomie.
1
Ang. Information Technology, czyli systemy informatyczne
8
To wszystko wymaga od Najwyższych Organów Audytu (NOA) poświęcenia szczególnej
uwagi danemu programowi e-administracji. Celem niniejszego raportu jest podanie NOA
pomocnej dłoni w tej dziedzinie. Po krótkim wstępie omówione zostało pięć tematów:
pierwszy, "Trendy w e-administracji”, po zbadaniu niektórych z istniejących definicji w celu
wyjaśnienia czego dotyczy e-administracja, wskazuje kilka potencjalnych korzyści
wynikających z e-administracji i obejmuje niektóre z aspektów rozwojowych. Drugi,
"Ryzyko" opisuje niektóre z ryzyk dotyczących przedwdrożeniowych faz planowania i
rozwoju usług e-administracji, ryzyk powstających podczas ich wprowadzania oraz ryzyk
występujących w fazie dostarczania usług e-administracji. Trzeci oraz czwarty, „Audyt
programów i projektów” oraz „Audyt w środowisku cyfrowym (skomputeryzowanym)”
przedstawia podejścia do audytu odpowiednio ze strategicznego oraz operacyjnego punktu
widzenia; podczas gdy pierwszy skupia się na zapotrzebowaniu na nowe metody audytu w
celu określenia postępu administracji we wdrażaniu programów oraz projektów e-
administracji, drugi przedstawia ocenę przeprowadzania audytu w środowiskach cyfrowych
oraz ocenę wymogów dotyczących przeprowadzania audytu w odniesieniu do celu, treści oraz
zakresu. W końcu piąty, "Konsekwencje organizacyjne", przedstawia wymogi dla
poszczególnych NOA, odnoszące się do potrzeby inicjatyw strategicznych, jakie mają zostać
podjęte w dziedzinie IT jako wynik przejścia do procedur cyfrowych i rozwoju procedur,
czego celem jest wypełnienie misji NOA w sposób bardziej wydajny i skuteczny.
Mimo, że rozdziały niniejszego raportu zastały ułożone przez nas w sposób, który wydaje
nam się najbardziej logiczny, czytelnicy mogą wybrać swoją własną ścieżkę, w zależności od
ich obecnego stanu wiedzy oraz konkretnych zainteresowań. Struktura raportu umożliwia to,
ponieważ każdy rozdział może być czytany jako samodzielna jednostka, obejmująca
konkretny podtemat w ramach ogólnego tematu, jakim jest e-administracja w perspektywie
kontroli.
9
2. TRENDY W E-ADMINISTRACJI
2.1. Wst
ę
p
W rozdziale tym wyjaśniamy czym jest e-administracja. Najpierw, w sekcji 2.2, proponujemy
definicję e-administracji po zbadaniu niektórych z istniejących definicji. Następnie, w sekcji
2.3 prezentujemy kilka przykładów e-administracji, aby umożliwić czytelnikowi zrozumienie
zakresu koncepcji. W sekcji 2.4 poruszamy kwestię potencjalnych korzyści z e-administracji.
W sekcji 2.5 opisujemy typowe cechy e-administracji. W sekcji 2.6 opisujemy niektóre z
aspektów rozwojowych. Kończymy ten rozdział kilkoma uwagami końcowymi w sekcji 2.7.
2.2 E-administracja: co to jest?
Poszukując przydatnej definicji roboczej koncepcji e-administracji zacznijmy od definicji
przybliżonej. Grupa projektowa e-administracji Komitetu INTOSAI IT stosuje następującą
definicję roboczą:
o
E-administracja stanowi wymianę informacji dotyczącej administracji online z
obywatelami, przedsiębiorstwami i agencjami rządowymi oraz dostarczanie im usług.
Z uwagi na fakt, że dostarczanie informacji oraz usług stanowi z pewnością bardzo ważny
element e-administracji, co wynika z koncepcji, uważamy, że definicja ta, przystosowana do
potrzeb grupy projektowej INTOSAI, jest zbyt wąska, aby mogła dobrze służyć naszym
celom. Dzieje się tak, ponieważ jest ona ograniczona do tych działań, które mają charakter
online i które są bezpośrednio skierowane do podmiotów zewnętrznych. Na przykład
zarządzanie łańcuchem dostaw, ukierunkowane tak jak w e-business na zwiększenie
wydajności oraz/lub skuteczności, jest przez nas uznawane za istotny element e-administracji.
Aby zrozumieć o co w tym chodzi, czytelnik może odnieść się do przykładu zapewniania
opieki osobistej w sekcji 2.3.5. Zarządzanie łańcuchem dostaw nie jest jednakże objęte
definicją INTOSAI.
Można zaobserwować wiele innych definicji, które pod względem zakresu obejmują definicje
raczej ograniczone jak i bardzo obszerne. W celu zilustrowania zakresu definicji,
prezentujemy tu trzy z nich, oparte o konferencję, która odbyła się w Holandii w roku 2001.
o
Elektroniczna administracja dotyczy dostarczania lub pozyskiwania informacji, usług
lub produktów drogą elektroniczną, do lub od jednostek administracji, w dowolnym
momencie oraz miejscu, w powiązaniu z wartością dodaną dla wszystkich
uczestniczących stron.
o
E-administracja składa się z następujących zespołów: e-zarządzania, demokracji on-
line oraz elektronicznego dostarczania usług.
o
Cztery perspektywy e-administracji są następujące:
(a) perspektywa odbiorcy (interfejs z administracją publiczną);
(b) perspektywa procesu (reorganizacja procesów administracji);
(c) perspektywa współpracy (wysiłki związane ze współpracą);
(d) perspektywa wiedzy (zarządzanie informacją oraz wiedzą w ramach administracji
publicznej)
10
Nie uważamy za rozsądne ograniczać się zawczasu poprzez przyjęcie zbyt wąskiej
definicji. Oto inne definicje obejmujące temat.
Uniwersytet Nauk Stosowanych (Berner Fachhochschule) w Bernie (Szwajcaria)
przedstawia następującą definicję:
o
E-administracja obejmuje wsparcie dla relacji, procesów oraz udziału
politycznego zarówno w ramach jednostek administracji wszystkich poziomów
(federalnego oraz/lub państwowego, regionalnego, poziomów lokalnych, itd.)
oraz pomiędzy jednostkami administracji i wszystkimi ich interesariuszami,
łącznie z obywatelami, przedsiębiorstwami i innymi organizacjami. Obejmuje
ona zapewnianie niezbędnych środków współdziałania poprzez kanały
elektroniczne.
Jeszcze inną definicję stanowi definicja podana przez Unię Europejską
2
:
o
E-administracja
oznacza
wykorzystanie
informacji
oraz
technik
komunikacyjnych w urzędach publicznych, w połączeniu ze zmianą
organizacyjną oraz nowymi umiejętnościami w celu usprawnienia usług
publicznych, procesów demokratycznych oraz wzmocnienia wsparcia polityk
publicznych.
Ustawa o elektronicznej administracji USA z roku 2002 przedstawia obszerną, choć ścisłą
definicję:
o
Elektroniczna administracja oznacza użycie przez Administrację aplikacji
internetowych opartych o sieć oraz innych technologii informacyjnych,
połączonych z procesami, które wdrażają te technologie, aby:
(A) usprawnić dostęp do informacji Administracji oraz usług, jak również ich
dostarczanie ogółowi, innym agencjom lub innym jednostkom Administracji;
lub
(B) wprowadzić ulepszenia do działalności Administracji, które mogą obejmować
skuteczność, wydajność, jakość usługi lub transformację
W oparciu o podane definicje, dokonujemy definicji tego pojęcia w następujący sposób:
Poprzez termin e-administracja rozumiemy stosowanie informacji oraz technik
komunikacyjnych przez administrację, czego celem jest:
(a) usprawnienie wymiany informacji z obywatelami oraz przedsiębiorstwami oraz/lub
dostarczanie usług obywatelom oraz przedsiębiorstwom;
(b) usprawnienie działalności administracji w zakresie większej skuteczności, oraz/lub
wydajności
3
;
(c) zwiększenie udziału politycznego.
2
COM(2003) 567 final, 26.9.2003, „The role of eGovernment for Europe’s future”.
3
Obejmuje to wymianę informacji oraz/lub dostarczanie usług pomiędzy agencjami rządowymi
11
Zgodnie z tą definicją, oprócz elektronicznego dostarczania usług istnieją inne aspekty
koncepcji e-administracji. Jednakże, rozdział ten będzie się skupiał głównie na tym aspekcie,
ponieważ dla obywateli oraz przedsiębiorstw stanowi on aspekt najbardziej widoczny.
Mówiąc o elektronicznym dostarczaniu usług można poczynić rozróżnienie pomiędzy trzema
kategoriami, w zależności od grupy docelowej, o której mowa: obywatelami,
przedsiębiorstwami lub administracją. Niektórzy autorzy jako czwartą kategorię opisują
usługi typu administracja - pracownik. Obejmuje ona oprócz innych usług zarządzanie wiedzą
oraz zarządzanie karierą.
Jednakże, w naszym dokumencie nie będziemy badać tej granicznej kategorii. Aby
przedstawić ogólny zarys, podajemy niniejszym krótki opis trzech głównych kategorii
4
:
•
Co się tyczy relacji urząd-obywatel, zostały rozmieszczone łatwe do znalezienia
miejsca, w których obywatel może załatwić wszystkie swoje sprawy związane z daną
sytuacją życiową (one-stop shops), łącznie z pojedynczymi punktami łatwego wejścia
w celu uzyskania dostępu do wysokiej jakości usług administracji;
Przykłady obejmują dostarczanie informacji, elektroniczne rozliczanie podatków oraz
wygodne przekraczanie bramek przy wjeździe na autostradę
5
;
•
E-administracja typu urząd-przedsiębiorstwo zmniejsza obciążenie przedsiębiorstw
poprzez zastosowanie protokołów internetowych oraz konsolidację wielu zbędnych
wymogów dotyczących raportowania;
Oprócz usług porównywalnych z usługami typu urząd-obywatel, do przykładów zalicza się
elektroniczne systemy licytacji.
•
Usługi typu urząd-urząd wspierają wymianę informacji pomiędzy organizacjami w
ramach administracji publicznej i sprawia, że zarządzanie informacjami jest
wydajniejsze i mniej obciążające dla obywateli oraz przedsiębiorstw.
Przykładem jest wyznaczenie tzw. brokera informacji, który umożliwia jednostkom
administracji zbieranie danych od obywateli lub przedsiębiorstw tylko jeden raz. Rezultatem
jest korzyść polegająca na tym, że jeżeli inny upoważniony urząd potrzebuje już zebranego
elementu danych, nie musi niepokoić danej osoby lub przedsiębiorstwa zbędną prośbą.
W rzeczywistości, zgodnie z tym, co zostało określone w definicji e-administracji, ważnym
celem jest stosowanie IT na rzecz obywateli oraz przedsiębiorstw, jak również na rzecz samej
administracji.
2.3 Przykłady zastosowa
ń
e-administracji
4
Pierwsze dwie definicje (nie przykłady) oparte są o memorandum dyrektora Urzędu Zarządzania i Budżetu
USA (OMB): M-01-28, Memorandum for the Heads of Executive Departments and Agencies (Mitchell E.
Daniels, Jr.).
5
Jednym ze sposobów na wdrażanie ostatniej z wymienionych usług jest zainstalowanie małego urządzenia
(„lokalizatora”), który identyfikuje użytkownika pojazdu. Czytnik lokalizatora przy wjeździe na autostradę
przekazuje informację z lokalizatora do systemu informacyjnego, i w rezultacie odpowiednia suma jest
potrącana z konta pre-paid klienta.
12
Sekcja ta zawiera kilka wyjaśniających przykładów dotyczących zastosowań e-administracji.
Jej celem jest raczej ukazanie bogactwa dziedziny e-administracji aniżeli przestawienie
obszernego wykazu zastosowań e-administracji. Dalsze przykłady patrz Załącznik 1 na końcu
tego rozdziału, który zawiera listę usług e-administracji, uznawanych przez Unię Europejską
za usługi podstawowe.
2.3.1 Informacje administracyjne
Niektóre urzędy zamieszczają na swoich witrynach www informacje dla obywateli oraz
przedsiębiorstw, na przykład zdalny dostęp do archiwów i baz danych, serwis wiadomości,
informacje prawne, białe księgi oraz dokumentacje dotyczące polityk.
2.3.2 Urzędy elektroniczne
Urzędy elektroniczne oferują obywatelom oraz przedsiębiorstwom możliwości związane z
dostarczaniem lub aktualizowaniem danych osobowych, składaniem wniosków o zezwolenia
lub dotacje, lub też złożeniem podania o przyjęcie na wolne stanowisko pracy.
2.3.3 One-stop shops (miejsca, w których można za jednym razem załatwić wszelkie
formalności związane z daną sytuacją życiową)
Następny krok po elektronicznych urzędach to tzw. one-stop shops, które oferują usługi
łączone, dostarczane przez wiele współpracujących ze sobą organizacji. Przedsiębiorcy na
przykład, mogą uzyskać dostęp do planów zagospodarowania przestrzennego, składać
wnioski o pozwolenia na budowę, zapisywać się do Izby Handlowej oraz płacić podatki, itd.,
wszystko poprzez jeden punkt usługowy.
2.3.4 E-zamówienia publiczne
Utworzono kilka portali urzędowych dotyczących zamówień. Celem ich było ustanowienie
punktu zbiorczego dla osób zajmujących się zamówieniami publicznymi oraz ich dostawców.
Takie portale pozwalają obydwu stronom zdobyć rozeznanie w kwestii ofert, umów,
zamówień, statystyk sprzedaży itd. Umożliwiają one również wszystkim zainteresowanym
stronom połączyć odpowiednie dane dotyczące zaopatrzenia, sprzedaży oraz płatności z ich
systemami finansowymi. Jedną z korzyści wynikających z tego jest oszczędność kosztów,
ponieważ żmudne ręczne wprowadzanie danych, mechanizmy oraz procedury mające na celu
poprawienie błędów mogą zostać w znacznym stopniu zminimalizowane. Również proces e-
zamówień publicznych może zostać znacznie usprawniony.
2.3.5 Obsługa spersonalizowana
Prowadzone są różne projekty, których celem jest zbadanie możliwości, jakie daje
technologia inteligentnej karty w zapewnieniu spersonalizowanej obsługi klientów, na
przykład opieki medycznej. Problemem jest to, że wszystkie dane, jakie mogą mieć znaczenie
dla leczenia konkretnego pacjenta, są rozproszone w całej sieci składającej się z wielu
organizacji. Sieć ta obejmuje lekarzy ogólnych, szpitale, specjalistów medycznych oraz
apteki. Wszystkie zainteresowane strony posiadają nieco informacji na temat pacjenta, takie
jak historia choroby, grupa krwi, informacje dotyczące alergii, objawy występujące po
zażyciu lekarstw, diagnozy, badania, recepty, kontakty w razie nagłej potrzeby, warunki
13
polisy ubezpieczeniowej, itd. Są opracowywane systemy mające na celu udostępnienie
wszystkich tych informacji upoważnionemu personelowi medycznemu i paramedycznemu, za
pośrednictwem inteligentnej karty, która znajduje się w posiadaniu pacjenta. Wszystkie
niezbędne informacje będą wówczas dostępne, niezależnie od miejsca lub czasu zgłoszenia
się pacjenta o pomoc medyczną, nawet w przypadku, kiedy pacjent został znaleziony
nieprzytomny po wypadku (pod warunkiem, że posiadał przy sobie inteligentną kartę).
2.3.6 Infrastruktura
Celem umożliwienia szybszej i bezpieczniejszej obsługi ruchu drogowego zostały
ustanowione aplikacje telematyczne
6
. Dotyczy to sygnałów matrycowych na autostradach
ukazujących ograniczenia prędkości oraz ostrzeżeń o zatorach w ruchu. Dwa inne przykłady
obejmują systemy monitorowania ruchu oraz systemy opłat zatorowych
7
.
2.3.7 Elektroniczne rozliczenia podatkowe
W niektórych krajach urzędy skarbowe oferują możliwość wysyłania deklaracji podatkowych
za pośrednictwem dyskietki, poprzez połączenie modemowe lub Internet.
2.3.8 Wymiana informacji w ramach zarządzania publicznego
Tradycyjnie, zarządzanie publiczne jest zorganizowane w taki sposób, że każdy urząd
obsługuje swoich klientów oddzielnie. Podział ten nie uwzględnia faktu, że bazy ich klientów
w pewnym stopniu się pokrywają. O ile nam wiadomo, Belgia była pierwszym krajem, który
uświadomił sobie potrzebę usprawnienia zarządzania informacjami dotyczącymi danych,
które obywatele i przedsiębiorstwa mają obowiązek dostarczyć do urzędu. Kilka lat temu
założono „Bank Crossroads zabezpieczenia społecznego”, a całkiem niedawno „Banki
Crossroads dla przedsiębiorców”. Banki Crossroads pełnią rolę brokerów informacji.
Pozwalają one na wdrożenie zasady zbierania każdego elementu danych tylko jeden raz oraz
oddawania go do dyspozycji każdej organizacji, która ma prawo go używać.
2.3.9 Udział w kształtowaniu polityk
Witryny www są stosowane w celu uzyskania od obywateli odpowiedzi odnośnie kwestii
określonych polityk. Niekiedy nawet bardzo rozbudowane dyskusje elektroniczne, które
mogą ciągnąć się przez kilka miesięcy, służą jako przygotowanie do podejmowania decyzji
politycznych.
2.4. Potencjalne korzy
ś
ci
Do potencjalnych korzyści e-administracji dla obywateli i przedsiębiorstw należą:
•
wygoda (dostępność urzędu w dowolnym czasie i miejscu; wszystko w jednym
miejscu; szybkie reakcje);
•
lepsza jakość obsługi klienta;
6
Telematyka jest to zbiór technologii, które łączą w sobie telekomunikację oraz informatykę.
7
Nakładanie na kierowców opłaty za jazdę podczas godzin szczytu w określonych obszarach, w których często
występują zatory.
14
•
dostęp do większej ilości wyższej jakościowo informacji;
•
w szczególności dla firm: niższe koszty prowadzenia działalności.
Potencjalne korzyści dla urzędów obejmują:
•
większą ogólną skuteczność, z powodu:
o
ciągłej obecności urzędu online, co zapewnia dostarczanie większej ilości
informacji o lepszej strukturze, łatwej do znalezienia i nie wymagającej
zrozumienia sposobu, w jaki pracuje urząd;
o
ś
wiadczenia usług łączonych;
o
lepszej informacji o obywatelach i przedsiębiorcach.
•
większą wydajność z powodu:
o
mniejszego kosztu obsługi;
o
usprawnionych procesów biznesowych;
o
zautomatyzowania zadań, w których występuje duże zużycie papieru i duże
prawdopodobieństwo błędów;
o
umożliwienia inteligentniejszego oraz szybszego postępowania z wyjątkami;
o
umożliwienia wglądu w czasie rzeczywistym w niewydajne etapy świadczenia
usług.
2.5 Czym szczególnym wyró
ż
nia si
ę
e-administracja?
Sekcja ta dotyczy kwestii, jakie cechy powodują, że e-administracja wyróżnia się jako coś
szczególnego spośród innych rozwiązań związanych z informatyką. Cechy te mogą mieć
wpływ na metody (kombinacje metod), jakie mają zostać użyte (patrz rysunek 6 w sekcji
4.3.1).
2.5.1 Orientacja na klienta
Potrzeby klienta stanowią w nich punkt początkowy we wszelkich inicjatywach e-
administracji. Powoduje to uznanie potrzeby odejścia od konwencjonalnego wyobrażenia
urzędu, dotyczącego możliwych potrzeb klientów (lub tego co administracja może w łatwy
sposób zapewnić). Zmiana ta ma daleko idące konsekwencje, ponieważ w większości
przypadków, potrzeby klientów nie odpowiadają tradycyjnemu podziałowi administracji
publicznej. Na przykład, jeżeli chodzi o kwestie mieszkalnictwa, obywatele muszą mieć
zazwyczaj do czynienia z różnymi ministerstwami, takimi jak Ministerstwo Spraw
Wewnętrznych oraz Ministerstwo Mieszkalnictwa oraz z administracją gminną.
Jeżeli administracja pragnie dostarczać usługi łączone w jednym miejscu, podział między
urzędami oraz pomiędzy poziomami w ramach administracji publicznej musi zostać
zniesiony. Wszystkie zainteresowane organizacje powinny dążyć do (dalszej) współpracy
oraz dokonać przekształcenia swoich wzajemnych relacji. Muszą zrobić to na poziomie
strategicznym jak również na poziomie codziennych operacji. Wynikiem tego jest
prawdziawa rewolucja w administracji państwowej, ponieważ urzędy muszą przemyśleć
swoje strategie oraz opracować i wdrożyć nowe modele biznesowe.
2.5.2 Środowisko skomputeryzowane
Jeżeli student ubiega się o pożyczkę studencką lub, jeżeli przedsiębiorca składa wniosek o
pozwolenie na założenie firmy, i jeżeli robią oni to poprzez witrynę www, nie są potrzebne
15
formularze papierowe. W rezultacie, nie ma miejsca na korzystanie z dziennika podawczego.
Z tego względu organizacja musi opracować inne środki umożliwiające śledzenie
napływającego strumienia wniosków.
W początkowych stadiach e-administracji można pominąć to poprzez systematyczne
drukowanie wszystkich napływających wniosków oraz obsługiwanie ich poprzez tradycyjne
procedury obiegu korespondencji, lecz w przypadku pełnej e-administracji (patrz sekcja 2.6)
ta raczej kłopotliwa metoda nie będzie mogła być kontynuowana.
W podanych przykładach, „jedynie" pewność prawna jest zagrożona: jeżeli ludzie wnioskują
o korzystanie z prawa do którego są upoważnieni, ich wniosek powinien zostać odpowiednio
rozpatrzony w ustawowym terminie. Jednakże, w innych sytuacjach pojawiają się również
konsekwencje finansowe. Dotyczy to m. in. elektronicznych deklaracji podatkowych lub
elektronicznego systemu licytacji w e- zamówieniach publicznych. Oczywiście w takich
sytuacjach pojawiają się nadal kwestie legalności.
Sekcja 5.2 („Środowiska cyfrowe”) opisuje ten temat w sposób bardziej szczegółowy.
2.5.3 Przetwarzanie w czasie rzeczywistym
Oczywiste przykłady usług świadczonych w czasie rzeczywistym to systemy alarmowe w
nagłych wypadkach. Na przykład Gartner wskazuje na Telefoniczny System Alarmowy w
Nagłych Wypadkach, który jest stosowany w kilku stanach USA przez agencje
bezpieczeństwa publicznego, zdrowia publicznego oraz ochrony środowiska, w celu
szybkiego informowania obywateli o poważnych zagrożeniach, takich jak wycieki substancji
chemicznych, przerwy w dostawie mediów oraz poszukiwania przestępców. Technologia ta
wykorzystuje głównie telefony stacjonarne jako urządzenia najbardziej wszechobecne, lecz
może obejmować również e-administrację, podczas gdy poczta elektroniczna, przeglądarki
internetowe oraz urządzenia przenośne są wspierane poprzez takie systemy. Ponadto,
informacje na temat zatorów w ruchu lub zamykania szkół stanowią informacje czasu
rzeczywistego.
Ś
wiadczenie usług w czasie rzeczywistym oznacza, że organizacja je świadcząca powinna
przekształcić niezbędne procesy wewnętrzne (back-office) z przetwarzania wsadowego do
przetwarzania w czasie rzeczywistym. Przykładowo, jeżeli biuletyn rozprowadzany w formie
papierowej zostanie przeniesiony do Internetu, danej organizacji może nie wystarczyć
utrzymanie miesięcznej aktualizacji, a nawet tygodniowa może okazać się niewystarczająca.
Należy dokonać restrukturyzacji zarządzania informacjami tak, aby istotne nowe informacje
mogły zostać umieszczone (prawie) natychmiast w witrynie www.
2.5.4 Integracja obsługi klienta z zapleczem biurowym
Witryna www lub jakikolwiek inny kanał, który może być używany dla celów
komunikowania się, mimo tego, że w atrakcyjny sposób zaprojektowany oraz w pełni
wyposażony, jest sam w sobie jedynie pustym szkieletem. Aby mógł być stosowany jako
dział świadczenia usług musi być połączony z zapleczem biurowym, w którym jest
wykonywana rzeczywista praca stanowiąca podstawę usługi. W tym miejscu występują dwa
wyzwania. Po pierwsze, istniejące urzędy ustaliły procedury zgodnie ze swoją własną logiką.
Często nie są one ani zorientowane na klienta ani oparte na czasie rzeczywistym. Zgodnie z
wcześniejszym opisem, jeżeli urzędy te mają spełniać potrzeby e-administracji, muszą w nich
16
zostać przeprowadzone radykalne zmiany. Inną kwestią jest to, że istniejące organizacje
stosują swoje stare technologie w formie starych systemów informacyjnych oraz baz danych.
Problem polega na tym, że systemy te oraz bazy danych są często w niewłaściwy sposób
dokumentowane oraz trudno jest je utrzymać. Ponadto, w wielu przypadkach personel
informatyczny znający na wylot te systemy opuścili już organizację. Z tych oraz innych
przyczyn trudno jest dziś stworzyć niezbędne interfejsy pomiędzy serwerem www
zapewniającym obsługę klienta a starymi systemami komputerowymi i bazami danych.
2.5.5 E-kanały
Internet stanowi obecnie dominujący kanał, jeżeli chodzi o stosowanie e-administracji w
ogólności, oraz elektroniczne usługi w szczególności. Jednakże, widziane z perspektywy
klienta, podejście do stosowania Internetu jako jedynego kanału mogłoby okazać się zbyt
wąskie. Mimo wszystko, nie wszyscy są w równym stopniu doświadczeni w używaniu
komputera. Ponadto, niektóre grupy docelowe są z natury mniej skłonne do stosowania
komputera w celach komunikacji. Na przykład młode osoby komunikują się ze sobą głównie
za pośrednictwem telefonów komórkowych. Mimo, że istnieje już technologia tworzenia
witryn www, które można przeglądać za pośrednictwem telefonów komórkowych - jest ona
oparta o „WAP”: Wireless Application Protocol – koszty konsumenckie, które wiążą się z
tym rozwiązaniem, są dość wysokie. Poza tym, należy zdać sobie sprawę, że tworzenie takiej
drugiej witryny www, oprócz witryny oryginalnej, oznacza, że dla celów jej utrzymania
konieczne są dodatkowe wysiłki. Inną możliwość stanowiłoby wykorzystywanie usługi
przesyłania wiadomości przez telefony komórkowe: SMS
8
. Przykładem tego rozwiązania jest
inicjatywa rządu Australii, która pozwala kierowcom zlokalizować najniższe ceny paliwa w
ich obszarze poprzez różne kanały komunikacyjne, z których jeden stanowi SMS. Jeszcze
innym przykładem rozwiązania jest smart card (karta inteligentna)
9
. Rada miasta Bracknell
Forest w Wielkiej Brytanii opracowała na przykład rozwiązanie karty inteligentnej dla
dostarczania różnorodnych usług dostępnych przez jedną kartę inteligentną, łącznie z
dostępem do bibliotek oraz basenów kąpielowych, jak również płatnością za szkolne posiłki.
W Holandii wdrażane są programy pilotażowe do zbadania możliwości wykorzystania
technologii karty inteligentnej dla usług takich jak transport publiczny oraz usługi medyczne.
2.5.6 E-podejmowanie decyzji
Tradycyjnie, wybierani demokratycznie przedstawiciele w imieniu swoich zwolenników
podejmują decyzje dotyczące polityki. W ciągu ostatnich lat, wiele krajów stanęło w obliczu
spadku zainteresowania obywateli polityką. E-administracja może być wykorzystana do
przeciwdziałania tej tendencji, ponieważ stwarza ona nowe możliwości dotyczące
uczestnictwa obywateli w tworzeniu polityki. Twórcy polityki mogą na przykład organizować
badania opinii publicznej lub referenda dotyczące określonych kwestii politycznych, takich
jak plany zagospodarowania przestrzennego, proponowane ustawodawstwo, itd. Wynik takich
sondaży/ referendów może odgrywać rolę w procesie podejmowania decyzji.
2.5.7 Zautomatyzowane procesy
8
Krótka Wiadomość Tekstowa (Short Message Service)
9
Karta inteligentna (smart card) jest plastikową kartą wielkości karty kredytowej zawierającą mikroprocesor
oraz określoną ilość pamięci. Jest to rodzaj komputera, który komunikuje się z systemami informacyjnymi
poprzez specjalne urządzenia, znane jako czytniki kart inteligentnych.
17
E-administracja w dużym stopniu zmniejsza interwencję człowieka. Jedną z jej zalet jest to,
ż
e proces obsługi sprawy w mniejszym stopniu zależy od nastrojów członków personelu i jest
także mniej podatny na błędy popełniane przesz człowieka. Ponadto, systemy informatyczne,
jeżeli zostaną w prawidłowy sposób zaprojektowane, są bardziej elastyczne w kwestii
obciążenia pracą. W zasadzie, z tego względu e-administracja jest w większym stopniu
przystosowana do radzenia sobie z dużymi wahaniami popytu na usługi. Aby móc
zautomatyzować procesy usług, urząd musi w inteligentny sposób połączyć swoje systemy
obsługujące klienta z odpowiednimi bazami danych w ramach własnej organizacji, a w
stosownych przypadkach również poza nią.
Jednakże, eliminacja interwencji człowieka ma nie tylko zalety: ewentualny skutek
niekorzystny polega na tym, że bez nadzoru człowieka, błędy mogą przejść niezauważone.
2.5.8 Zależność od IT
E-administracja niemal z definicji opiera się w dużej mierze na technologiach
informatycznych. Oznacza to, że programy e-administracji są narażone na zagrożenia, jeżeli
ryzyka związane z technologiami informatycznymi są w niewystarczającym stopniu
rozpoznawane i redukowane. Dwie najważniejsze kwestie w tej materii to bezpieczeństwo
informacji oraz zarządzanie projektem.
W dziedzinie bezpieczeństwa informacji, niezbędna jest jasno określona polityka
bezpieczeństwa. Polityka ta powinna być zgodna zarówno z programami e-administracji
urzędu, jak i jego całościową strategią biznesową. Na podstawie polityki bezpieczeństwa,
należy opracować plan bezpieczeństwa. Między innymi oznacza to określenie spójnego
zestawu mechanizmów, które zmniejszają do dopuszczalnego poziomu ryzyko zagrożenia
bezpieczeństwa. Oprócz mechanizmów, które mają zostać wdrożone odnośnie sprzętu oraz
oprogramowania, wymagane są również mechanizmy organizacyjne. Plan powinien na
przykład określać różne obowiązki dla personelu informatycznego, przy zwróceniu należytej
uwagi na podział obowiązków. Plan ciągłości prowadzenia działalności, który jest zgodny z
polityką bezpieczeństwa, jest również potrzebny w celu przeciwdziałania wszelkim
ewentualnościom. Plan bezpieczeństwa powinien zostać w staranny sposób wdrożony, zaś
odbywający się okresowo audyt powinien zapewnić niezbędną gwarancję, że mechanizmy
kontrolne faktycznie istnieją oraz działają.
W przypadku, kiedy nie została ustanowiona i wdrożona wyraźna polityka bezpieczeństwa
informacji, jedno z ryzyk polega na tym, że rzeczywisty poziom bezpieczeństwa jest albo
niewystarczający albo zbyt wysoki (oraz kosztowny), co zagraża realizacji celów projektu e-
administracji lub aktywom organizacji. Z drugiej strony, nawet wówczas gdy poziom
bezpieczeństwa jest wystarczający, zestaw środków bezpieczeństwa może się okazać
niedostateczny. W sekcji 3.3 omówione zostały ryzyka dotyczące świadczenia usług e-
administracji.
Co interesujące, w odniesieniu do zarządzania projektem, OECD wydało w roku 2001
ostrzeżenie, zgodnie z którym e-administracja jest zagrożona, ponieważ większość urzędów
doświadcza problemów podczas wdrażania dużych projektów IT
10
. Organizacja ta posunęła
się do stwierdzenia, że „dopóki urzędy nie nauczą się zarządzać ryzykami związanymi z
10
„The hidden threat to E-Government; Avoiding large government IT failures”, PUMA Policy Brief No. 8,
March 2001.
18
dużymi publicznymi projektami IT, te e-sny zmienią się w globalne koszmary" (e-sny
oznaczają tu strategie e-administracji urzędów).
W swoim studium kontekstowym („Dlaczego projekty IT ponoszą porażkę") NAO
przedstawiło następujące, godne uwagi zalecenia dotyczące udoskonalenia projektów
informatycznych w administracji:
•
zagwarantować, że projekty będą ustalane w kontekście zapewniania modernizacji i
będą widziane jako projekty biznesowe, a nie projekty informatyczne; poprzez
rozwój umiejętności w dziedzinie zarządzania zmianą;
•
podzielić projekty na mniejsze elementy, dające się łatwiej zarządzać;
•
przyjąć w projekcie aktywne oraz widoczne kierownictwo na najwyższym poziomie
organizacji, z jasno określonymi obowiązkami i odpowiedzialnością;
•
zwiększyć umiejętności zarządzania projektami, oceniać adekwatność umiejętności
osób zarządzających projektami do stopnia skomplikowania danego projektu oraz
zwiększyć zrozumienie problematyki zarządzania ryzykiem;
•
zidentyfikować podstawowe niezbędne umiejętności oraz zapewnić szybkie sposoby
zdobycia brakujących umiejętności przez posiadaną kadrę lub uzupełnienia kadry o
osoby posiadające niezbędne umiejętności;
•
ulepszyć relacje z dostawcami tak, aby obydwie strony mogły wspólnie oraz
wzajemnie zrozumieć wymogi oraz ryzyka;
•
zapewnić, że zamierzone korzyści będą osiągnięte poprzez uruchomienie formalnych
procesów celem śledzenia postępów w realizacji;
•
rozpowszechniać wiedzę, najlepsze praktyki oraz doświadczenia celem zapewnienia,
ż
e podczas realizacji nowe projekty będą korzystać z doświadczeń projektów
wcześniejszych.
2.5.9 W końcu...w czym e-administracja nie różni się od „zwykłej” administracji?
Skupianie uwagi na charakterystycznych cechach może przysłonić wgląd w kwestie, które są
wspólne dla e-administracji oraz innych ważniejszych rozwiązań w dziedzinie administracji
publicznej. Z tego punktu widzenia, najważniejszą cechą jest to, że przełączenie się do e-
administracji stanowi głównie przekształcenie procesu biznesowego. Podczas sympozjum
OECD dla starszych rangą urzędników w czerwcu 2003
11
, uczestnicy odpowiednio
podkreślili, że „elektroniczna administracja dotyczy w większym stopniu administracji niż
elektroniki" i że kiedyś przywódcy będą musieli zacząć usuwać to „e” z e-administracji”.
Nie skupiając się raczej na samej technologii, uczestnicy uznali znaczące możliwości
stosowania technologii jako strategicznego narzędzia w celu modernizacji struktur, procesów
oraz całościowej kultury urzędów publicznych. W wielu krajach przejście to zwane jest
„modernizacją administracji rządowej”, transformacją, która jest wbudowana w plany
krajowe oraz strategie reform dla agencji rządowych oraz istotnych systemów informacji.
2.6. Aspekty rozwojowe
11
Sympozjum zostało zwołane w Waszyngtonie, w Białym Domu 9 czerwca 2003
19
Wydawanie decyzji w sprawie strategii e-administracji, jaka ma zostać wdrożona, jest
obowiązkiem wyższej politycznej kadry kierowniczej w kraju. Strategia ta ma zostać
wdrożona przez wszystkie poziomy zarządzania publicznego.
Gartner rozróżnia następujące etapy rozwoju e-administracji:
•
(Obecność): witryny www, prezentujące tylko informacje,
•
(Interakcja): ograniczona interaktywność, podstawowe poszukiwanie, wyszukiwanie
proste, odnośniki do stron,
•
(Transakcja): portale, e- zamówienia publiczne, aplikacje samoobsługowe,
•
(Transformacja): aplikacje CRM
12
, personalizacja, wybory i głosowanie.
Komisja Europejska (inicjatywa „e-Europa”) definiuje następujące etapy:
•
(Informacja): informacja online na temat usług publicznych,
•
(Interakcja jednostronna): pobieranie formularzy,
•
(Interakcja dwustronna): przetwarzanie formularzy, łącznie z uwierzytelnianiem,
•
(Transakcja): portale, zamówienia publiczne, obsługa przypadków aplikacji
samoobsługowych, decyzja oraz dostarczenie (płatność).
Zarówno w modelach Gartnera jak i Wspólnot Europejskich, wyższe stopnie rozwojowe
opierają się na niższych.
Należy zauważyć, że podczas, gdy oba modele uznają cztery etapy, etap 4 Wspólnot
Europejskich (Transakcja) odpowiada połączeniu etapów Gartnera 3 (Transakcja) oraz 4
(Transformacja).
Z uwagi na fakt, że te dwa modele są w dużym stopniu porównywalne, oraz, że się także
pokrywają, proponujemy je połączyć. W ten sposób identyfikujemy następujące etapy:
- Etap 1 (Obecność): witryny www, dostępne dwadzieścia cztery godziny na dobę,
przedstawiające tylko informacje na temat usług publicznych,
- Etap 2 (Prosta interakcja): wyszukiwanie proste, odnośniki do stron; pobieranie formularzy,
- Etap 3 (Inteligentna interakcja): przetwarzanie formularzy, łącznie z uwierzytelnianiem,
- Etap 4 (Transakcja): rozpatrywanie spraw; decyzja oraz dostarczanie (płatność), aplikacje
CRM, personalizacja, wybory i głosowanie, zamówienia publiczne.
Według różnych ekspertów, wdrożenie wszystkich tych etapów może potrwać co najmniej 5
lat. Z tego właśnie względu ambitny zamiar opracowania pełnej e-administracji będzie
wymagał ciągłych wysiłków wszystkich zainteresowanych stron. Aspiracje osiągnięcia
najwyższego etapu rozwoju e-administracji są teraz typowe dla wielu krajów europejskich. Z
uwagi na fakt, że etap 4 jest obecnie badany, i zostaną opracowane innowacyjne procedury
współdziałania, zarówno wśród agencji rządowych jak i pomiędzy administracją a
obywatelami/przedsiębiorstwami, mogą się pojawić nowe perspektywy.
12
Zarządzanie Relacjami z Klientami
20
2.7. Uwagi ko
ń
cowe
Wiele agencji, w wielu różnych sektorach, wprowadziło obecnie e-administrację lub jest w
trakcie jej wprowadzania. Pod warunkiem właściwego wdrożenia, e-administracja może
przynieść korzyści dla obywateli oraz przedsiębiorstw, takie jak wygoda i lepsze usługi. Co
równie ważne, także same agencje mogą odnosić korzyści z e-administracji, zwłaszcza w
postaci większej skuteczności i wydajności. Z drugiej strony, e-administracja zwiększa
również słabość agencji, ponieważ jest ona silnie zależna od IT. Ponadto, agencja musi
zajmować się różnymi kwestiami organizacyjnymi, takimi jak tworzenie organizacji
zorientowanej na klienta oraz integrowanie front office z back office.
W celu zapewnienia, że potencjalne korzyści mogą rzeczywiście zostać osiągnięte i że
niepotrzebne ryzyko, albo dla agencji albo jej klientów będzie zminimalizowane, niezbędne
jest dobre zarządzanie IT. Specjalnej uwagi wymagają zarządzanie projektem oraz
bezpieczeństwo informacji. Co więcej, z powodu swojej istotnej roli w wypełnieniu misji
agencji, IT powinno zostać właściwie dostosowane do strategii biznesowej agencji. Z tych
względów, odpowiedzialność za rozwiązania e-administracji nie może spoczywać na niższych
poziomach kierownictwa ani też na jednostce IT. Natomiast, ważniejszą rolę pełni tu wyższe
rangą kierownictwo. Kluczem do pomyślnej e-administracji jest to, że ten górny poziom
opracowuje wizję dotyczącą e-administracji z zamiarem realizacji tejże wizji.
21
ZAŁ
Ą
CZNIK 1
Wspólna lista Unii Europejskiej podstawowych usług publicznych
Lista ta obejmuje usługi e-administracji, które są uznawane przez Unię Europejską za usługi
podstawowe. Lista została ułożona w kontekście planu działań e-Europa. Jest ona
wykorzystywana przez Unię Europejską w celu monitorowania postępu dokonywanego w
ramach Unii Europejskiej dotyczącego wdrażania podstawowych usług e-administracji.
Usługi publiczne dla obywateli
1
Podatki dochodowe: deklaracje, zawiadomienie o ocenie należności podatkowych
2
Usługi poszukiwania pracy świadczone przez urzędy pracy
3
Składki na zabezpieczenie socjalne (3 z następujących 4):
•
Zasiłki dla bezrobotnych
•
Zasiłki na dzieci
•
Koszty medyczne (refundacja lub bezpośrednie rozliczenie)
•
Socjalne stypendia studenckie
4
Dokumenty osobiste (paszport oraz prawo jazdy)
5
Rejestracja pojazdu (samochody nowe, używane oraz importowane)
6
Wnioski o zezwolenie na budowę
7
Zgłoszenia policji (np. w przypadku kradzieży)
8
Biblioteki publiczne (dostępność katalogów, narzędzia wyszukiwania)
9
Certyfikaty (urodzin, małżeństwa): wniosek i dostarczenie
10
Zapisy do wyższych szkół /uniwersytetów
11
Ogłoszenie przeprowadzki (zmiana adresu)
12
Usługi związane ze zdrowiem (np. interaktywne porady dotyczące dostępności
usług w różnych szpitalach; skierowanie do szpitali.)
Usługi publiczne dla przedsiębiorstw
1
Składki na zabezpieczenie socjalne dla pracowników
2
Podatek dochodowy od osób prawnych: deklaracje, zawiadomienia
3
VAT: deklaracje, zawiadomienia
4
Rejestracja nowego podmiotu publicznego
5
Dostarczanie danych do urzędów statystycznych
6
Deklaracje celne
7
Zezwolenia dotyczące ochrony środowiska ( wraz z raportowaniem)
8
Zamówienia publiczne
3. RYZYKO
3.1 Wst
ę
p
Rozdział ten opisuje niektóre ryzyka związane z przedwdrożeniowymi fazami dotyczącymi
planowania i opracowywania usług e-administracji, ryzyk powstających podczas ich
22
wprowadzania oraz ryzyk wiążących się ze świadczeniem usług e-administracji. Niniejszy
rozdział jest zakończony kilkoma uwagami dotyczącymi kontroli projektów usług e-
administracji oraz towarzyszących im podejść kontrolnych.
3.2. Ryzyka zwi
ą
zane z planowaniem, opracowywaniem oraz
wprowadzaniem usług e-administracji
3.2.1 Planowanie strategiczne, koordynacja oraz zarządzanie jakością
Brak lub nieodpowiedniość centralnego organu odgrywającego strategiczną rolę na poziomie
federalnym, centralnym lub lokalnym niesie ryzyko nieskoordynowanego planowania oraz
wprowadzania usług e-administracji
13
. Ryzyka te obejmują brak centralnej koordynacji
prowadzący do różnic strukturalnych, nakładania się na siebie funkcji, powielania środków,
itp. Działania, jakie mają zostać podjęte, obejmują odpowiednie postanowienia Narodowego
Planu Rozwoju, centralnego dofinansowywania, polityki „kija i marchewki", obowiązkowych
norm jakości itd.
3.2.2 Oczekiwania użytkownika/ badanie profilu użytkownika/ Zapewnienie jakości
Nie ulega wątpliwości, że do chwili obecnej, internet stał się szeroko stosowaną platformą
komunikacji we wszystkich Państwach Członkowskich Unii Europejskiej i że koszt dostępu
do niej obniżył się gwałtownie od połowy lat 90tych. Wiele z usług świadczonych przez
urzędy za pośrednictwem internetu jest prawie niewykorzystywane. Pomimo tej luźnej
"relacji klienckiej" pomiędzy administracją i obywatelem (relacja urząd-obywatel), jednostki i
agencje zazwyczaj biorą za pewnik atrakcyjność swoich usług online lub przynajmniej kierują
się takim założeniem (na podstawie dowodów, takich jak pozytywne reakcje na możliwość
wypełniania deklaracji celnych przez Internet, jak np. relacja urząd-przedsiębiorca).
Niedokładne sondaże badania akceptacji niosą ryzyko niewłaściwego ukierunkowywania
potencjalnych użytkowników oraz wprowadzających w błąd wysiłków mających na celu
sprawienie, że administracja będzie bardziej wydajna i skuteczna, poprzez dostęp do internetu
w ogólności oraz dostęp do usług e-administracji w szczególności. Brak wyraźnych kryteriów
jakości może stanowić zagrożenie dla zgodności obecności w internecie jednostki lub agencji
13
Na przykład Niemieckie Federalne Ministerstwo Spraw Wewnętrznych ma być odpowiedzialne za centralne
planowanie i koordynację wszystkich projektów e-administracji poprzez federalną administrację publiczną oraz
ma za zadanie ustanowienie kontaktów lub łączy do systemów urzędów państwowych i lokalnych (oraz innych
urzędów krajowych). Z drugiej strony niemiecka Konstytucja Federalna określa, że każdy Minister Federalny
prowadzi działalność swojego departamentu samodzielnie i na swoją własną odpowiedzialność (chociaż w
ramach wytycznych polityki ustanowionych przez Kanclerza Federalnego). Oznacza to, że odpowiedzialność za
dostarczanie usług IT w dużej mierze spoczywa na poszczególnych departamentach rządu federalnego.
Departamenty te, jak również agencje im podległe projektują i opracowują większość ze swoich własnych
aplikacji IT potrzebnych dla ich konkretnych operacji oraz, w większości przypadków, prowadzą swoje własne
centra komputerowe.
W Polsce strategia rządu pt. Wrota Polski (Gateway Poland) określa dwa główne cele, które mają zostać
osiągnięte w obszarze usług publicznych przed rokiem 2005: osiągnięcie średniej Unii Europejskiej dla
podstawowych usług publicznych dostępnych poprzez elektroniczne środki przekazu oraz wzrost skuteczności
urzędów publicznych o 40%. Strategia ta przewiduje także przeniesienie całego procesu zamówień publicznych
do Internetu przed końcem roku 2004.
23
z potrzebami oraz życzeniami „klientów”, przepisami prawnymi oraz innymi wymogami
dotyczącymi prywatności i bezpieczeństwa danych.
Agencje wdrażające powinny zagwarantować, że istniejące struktury oraz procedury, które
zostały utworzone w celu radzenia sobie w sposób tradycyjny użytkowników z różnymi
sprawami i transakcjami są analizowane oraz właściwie modyfikowane lub zastępowane
innymi, w każdym przypadku, kiedy jest to konieczne dla ułatwienia oraz przyśpieszenia
wprowadzenia oraz rozwoju e-administracji.
W praktyce struktury oraz procedury administracji (łącznie ze strukturami administracyjnymi,
profilami zasobów ludzkich oraz wzorami zarządzania) rzadko odzwierciedlają potrzeby e-
administracji. W ten oto sposób powodzenie programów e-administracji w głównej mierze
zależy od zdolności oraz skuteczności transformacji biznesowej dotyczącej usług, które mają
być dostarczane on-line. Większość tych struktur oraz procedur może zazwyczaj wynikać z
ważnych rozporządzeń podległych dość długiemu procesowi demokratycznemu. Planowanie
finansowe może zależeć od struktury budżetu, która w ogóle nie jest zorientowana na e-
administrację.
Ś
rodki mające na celu zmniejszenie tego ryzyka muszą obejmować wielorakie sposoby oraz
mechanizmy towarzyszące oraz przewidujące skuteczny oraz bezpieczny elektroniczny back
office, który jest w stanie przechowywać oraz odzyskiwać dokumentację administracji taniej i
szybciej.
3.2.3 Opłacalność
Urzędy muszą zapewnić, że usługi e-administracji będą nie tylko funkcjonalne, lecz będą
również wprowadzane w sposób opłacalny. W sumie, w budżetach przewidziano duże
nakłady na inicjatywy e-administracji. Największa część całkowitych wydatków przewidziana
w budżecie zostanie poniesiona w nadchodzących latach. Na przykład w Niemczech 25%
tych wydatków ma zostać wykorzystana na wprowadzenie usprawnień do struktur
administracyjnych oraz powiązanych procesów biznesowych. Potrzeby związane z
finansowaniem mają być w dużym stopniu zaspokojone poprzez oszczędności oraz ponowne
rozdzielenie funduszy w ramach jednostek i agencji oraz pomiędzy nimi.
Mimo, że opisane zostały potencjalne korzyści, takie jak oszczędności materiałów oraz
przyśpieszenie procesów biznesowych, finansowa analiza kosztów i korzyści oraz ocena
jakości oraz ważności różnych usług w większości przypadków nie zostały jeszcze podjęte.
Może to doprowadzić do niedokładnej oceny wpływu oszczędności wynikającego z usług
informacyjnych prowadzonych poprzez internet. Wszelkie potencjalne oszczędności będą
prawdopodobnie mniejsze niż te, które są generowane poprzez świadczenie usług
komunikacyjnych oraz transakcyjnych.
Ponadto, następujący fakt musi zostać wzięty pod uwagę podczas przeprowadzania analizy
kosztów i korzyści:
Przez długi czas usługi e-administracji mogą wymagać duplikowanie infrastruktury obok
konwencjonalnej infrastruktury dla usług publicznych dostarczanych bez pośrednictwa
internetu.
24
Niedokładne oceny mogą zagrozić wyobrażeniu na temat znaczących przyszłych wydatków,
jakich można się spodziewać związku z koordynowaniem, sterowaniem, księgowością oraz –
w stosownych przypadkach – pobieraniem opłat za te usługi.
Do końca roku 2005, prawie wszystkie usługi, jakie mają zostać włączone do programu e-
administracji mają być dostępne online poprzez internet; w wielu krajach Unii Europejskiej
około 60% tych usług ma być dostępna w sieci już pod koniec roku 2003.
Agencje wdrażające powinny właściwie zdefiniować swoje cele przy użyciu istniejących
instrumentów (łącznie z narodowymi planami rozwoju, rocznymi oraz wieloletnimi
budżetami, regionalnymi oraz miejskimi planami itd.), jak również przy użyciu specyficznych
dla zadania instrumentów, jeśli zajdzie taka potrzeba. Dokumenty te powinny być spójne oraz
zgodne z dobrą praktyką. Należy również przeprowadzić niezbędne działania w celu realizacji
tych celów.
Obecnie często brakuje przejrzystości projektów oraz definicji celów, planowanych etapów
wprowadzania poszczególnych usług. Istniejące dokumenty mogą nie zawierać specyficznych
elementów łącznie z mierzalnymi celami, które umożliwiają późniejszą ocenę programu w ich
kontekście. Takie informacje powinny być obszernie publikowane do wglądu przez
wszystkich bezpośrednio lub pośrednio zainteresowannych.
3.2.4 Utworzenie niezbędnych ram prawnych i organizacyjnych.
Urzędy muszą zapewnić niezbędne ramy prawne i organizacyjne promujące e-administrację.
Najważniejszymi obszarami są koszt dostępu oraz bezpieczeństwo transakcji.
Mimo, że wiele postanowień prawa cywilnego oraz administracyjnego zostało do tej pory
dostosowanych do wymogów elektronicznej komunikacji oraz transakcji, ryzyko braku
solidnych ram prawnych dla ambitnych programów działań reformy administracji wymagać
będzie dalszych niesłabnących wysiłków w celu przyjęcia istniejącego oraz wcielenia nowego
ustawodawstwa.
Będą musiały zostać podjęte wczesne decyzje dotyczące prawnych oraz organizacyjnych ram
dostarczania usług publicznych przez internet. Alternatywne opcje, które można wybrać są
następujące:
•
dostarczenie całej gamy usług e-administracji poprzez bezpośrednie organizacje
usługowe (znane również pod nazwą „funduszy branżowych”) w ramach
departamentów lub agencji lub
•
przeniesienie kontraktów dotyczących całej odnośnej pracy lub jej części do
prywatnego sektora (outsourcing rozwoju, operacje oraz/lub infrastruktury IT,
zapewnienie usług aplikacji, dostarczanie sieci).
3.2.5 Standardy IT oraz rozporządzenia
Ustalono wiele obowiązujących standardów dotyczących wdrożenia projektów IT oraz ich
oceny zgodnie z kryteriami wykonalności ( wartość za cenę)
14
.
14
Np. w Niemczech: http://www.kbst.bund.de/Anlage300441/Band+52+komplett+%281%2c3+MB%29.pdf
25
Agencje wdrażające powinny zapewnić zgodność systemów e-administracji z normami takimi
jak ISO 17799, CobiT oraz obowiązującym ustawodawstwem regulującym handel
elektroniczny.
Samo istnienie norm oraz rozporządzeń nie jest wystarczające w przypadku złożonych,
nowych, kosztownych oraz stresujących zadań, częściowo wykonywanych przez organizacje
w głębokim procesie re-engineeringu, który jest zazwyczaj niezbędny podczas
przekształcenia w prawdziwą e-administrację. Istnieje poważne ryzyko, że urzędy będą się
przede wszystkim koncentrować na kwestiach dostarczania i zapomną o normach i
rozporządzeniach.
Z uwagi na fakt, że wiadomości oraz transakcje e-administracji pociągają za sobą również
wymianę poufnych danych pomiędzy administracją i obywatelami, należy wydać
odpowiednie wytyczne dotyczące planowania i wdrażania bezpiecznych aplikacji e-
administracji.
15
Różne rozwiązania publicznych systemów IT, zwłaszcza te, które mają podstawowe
znaczenie dla bezpieczeństwa IT w obszarach wysokiego ryzyka muszą zostać ocenione. W
tym celu muszą zostać ustalone, a niekiedy opracowane, specyficzne normy bezpieczeństwa,
zaś systemy IT skontrolowane w ich kontekście. Wiele rozwiązań systemów IT będzie
musiało przejść proces certyfikacji bezpieczeństwa, aby spełnić wymogi prawne, albo żeby
zachować zgodność z poziomami zapewnienia bezpieczeństwa.
Ponadto, można uzyskać darmowe oprogramowanie usług publicznych, które już zostało
opracowane przez inne jednostki administracyjne.
Brak wytycznych metodologicznych oraz odpowiednich norm IT
16
może spowodować
zagrożenie dla interoperacyjności pomiędzy różnymi aplikacjami e-administracji, zarówno w
odniesieniu do nowo opracowanych, jak i istniejących aplikacji.
W przypadku, kiedy rozwój infrastrukturalny (jakość, dostęp do internetu itd.) w niektórych
obszarach nie spełnia pożądanych norm w odpowiednim czasie, może to mieć głęboki wpływ
na dostępność oraz funkcjonowanie nawet najlepszych usług e-administracji, świadczonych
przez najpotężniejsze serwery oraz centra.
Istnieje wiele sposobów osiągnięcia zgodności. Procedury samooceny, kontrole wewnętrzne,
NOK, specjalistyczne organizacje oraz procedury współistnieją w wielu krajach i tworzą sieć
struktur oraz mechanizmów promujących zgodność z dobrymi praktykami, normami
zawodowymi oraz wymogami prawnymi odnoszącymi się do e-administracji oraz jej
elementów.
3.2.6 Dostarczenie infrastruktury technicznej
Brak konsekwencji w planowaniu może stanowić zagrożenie dla dostępności oraz
wiarygodności podstawowych komponentów IT oraz urządzeń (portal internetowy, system
15
Porównaj program „ePolska” z marca 2003, który nakłada odpowiedzialność ustanawiania standardów dla
bezpiecznych aplikacji administracyjnych na ministerstwa lub w przypadku Niemieckiego Rządu Federalnego
patrz:
http://www.bsi.bund.de/fachthem/egov/3_en.htm
16
W celu zapewnienia interoperacyjności pomiędzy różnymi aplikacjami e-administracji, zarówno nowo
opracowanymi jak i istniejącymi, metodologiczne wytyczne „Standards and Architectures in e-Government
Applications” (SAGA) zostały przyjęte w Niemczech na początku roku 2003.
26
zarządzania zawartością, serwer formularzy, podstawowe usługi dla bezpieczeństwa
transakcji), które powinny znajdować się w dyspozycji większości jednostek administracji
oraz agencji oraz ich różnych typów usług online.
3.2.7 Zależność od firm IT
W rezultacie niewłaściwego dostarczania lub niedostatecznych rozporządzeń normatywnych
oraz prawnych, firmy dostarczające IT dla Administracji mogą zdobyć specjalną pozycję w
systemach e-administracji. Konsekwencje mogą obejmować, co następuje: preferowanie
niektórych z nich, zakłócenia konkurencyjności na wolnym rynku oraz zmniejszanie się
opłacalności całego systemu.
Urzędy powinny unikać zamykania się w konkretnej technologii posiadanej przez firmy, które
mogłyby wykorzystać tę dominację do stosowania nieuczciwych cen.
W konfrontacji z tym ryzykiem możemy zastosować technologię open source, dwie lub
więcej alternatywne technologie konkurencyjne w stosunku do siebie na rynku, dokładnie
opracować kontrakty długoterminowe, które przewidują stabilność cen (lub redukcję cen
rynkowych), utrzymanie oraz przyszłe rozwiązania.
3.2.8 Prawo do domeny internetowej
Niewystarczające warunki prawne stanowią zagrożenie dla prawa do domeny internetowej.
Aby utrzymać obecność w internecie, każda jednostka lub agencja musi posiadać adres
internetowy lub „domenę internetową” zarejestrowaną we właściwym organie. Wybrana
nazwa musi stanowić nazwę, którą użytkownicy internetu mogą logicznie powiązać z
usługami oferowanymi przez departament lub agencję. Na przykład, w przypadku organu
polskiego, logicznym wyborem byłoby „www.nazwaorganu.gov.pl, zaś w przypadku
niemieckiego organu niemieckiego „www.nazwaorganu.de” lub „www.opis usługi.de”.
3.2.9. Postęp w technologii informacyjnej oraz komunikacyjnej
W przeciwieństwie do innych sfer życia, technologia informacyjna i komunikacyjna (ICT)
podlega nadzwyczaj szybkim zmianom. Tak jak w przeszłości, możliwości platform
stosowanych do prowadzenia systemów IT będą się prawdopodobnie podwajać co 18-24
miesiące. Nieodpowiednie platformy komunikacyjne wybrane dla e-administracji,
mianowicie Internet oraz poczta elektroniczna są zagrożone wpływem szybkiego postępu
technologicznego. Usługi e-administracji będą musiały ściśle nadążać za tymi rozwiązaniami
w relacjach z „klientami”.
Znaczne ryzyko dotyczy tempa, w którym ICT rozwija się w docelowej populacji i obszaru
geograficznego e-administracji . Łączy to ze sobą wiele aspektów rozwoju łącznie z
infrastrukturą, jakością usług, ich dostępnością finansową oraz wykształceniem.
3.3. Ryzyka dotycz
ą
ce prowadzenia usług e-administracji
3.3.1 Dostateczne bezpieczeństwo techniczne oraz organizacyjne IT
Wprowadzenie usług e-administracji często oznacza zakup nowego lub przekształcenie
istniejącego sprzętu ICT oraz infrastruktury.
27
Ryzyko błędu oraz nadużycia implikuje konieczność zaplanowania oraz wdrożenia licznych
mechanizmów w zasadzie nieistniejących w wolnym środowisku IT: podziału obowiązków,
sterowania dostępem, sterowania wejściem, sterowania przetwarzaniem itd.
Brak wyraźnych ustaleń dotyczących nie tylko prawnej ochrony prywatności, lecz również
uzyskania bezpieczeństwa danych niesie ze sobą szczególne ryzyko związane z
niezabezpieczonym stosowaniem poczty elektronicznej oraz internetu jako platform
komunikacji oraz transakcji w związku z usługami e-administracji.
Działania, jakie mają zostać podjęte mają na celu między innymi, co następuje (porównaj
sekcję 5.3.3. Kontrola aplikacji IT”)”
- Rzetelność
Wymóg rzetelności oznacza, że muszą zostać podjęte kroki w celu zabezpieczenia informacji
przechowywanych w komputerze oraz danych przed częściową lub całkowitą utratą,
zniszczeniem lub fałszowaniem. W kwestii komunikacji elektronicznej, oznacza to, że dane
muszą być w pełni chronione przed zmianami lub ingerencją w nie podczas transmisji.
- Autentyczność
To pojęcie wymaga podjęcia odpowiednich działań w celu zapewnienia, ze partner
komunikacji jest osobą, za którą się podaje oraz/lub, że informacje otrzymane w
rzeczywistości pochodzą ze wskazanego źródła.
Muszą istnieć ustalenia, które zagwarantują, że źródło danych osobowych może zostać
zidentyfikowane w dowolnym momencie. W tym kontekście, należy poczynić rozróżnienie
pomiędzy dowodem tożsamości (partnerzy komunikacji potwierdzają swoją tożsamość w
sposób, który wyklucza wszelkie wątpliwości) oraz dowodem pochodzenia (wysyłający
udowadnia, że wiadomość pochodzi od niego/niej i nie została zmieniona). Procedury
uwierzytelniania służą wykrywaniu dostępu jakichkolwiek osób nieupoważnionych oraz
zapewniają ochronę przed nieautoryzowaną ingerencją w dane, oraz zabezpieczaniu
wrażliwych danych podczas ich przesyłania za pośrednictwem internetu. Wymaga to
procedur, które umożliwiają wszystkim zainteresowanym stronom zidentyfikować swoich
partnerów komunikacji bez żadnych wątpliwości.
- Poufność
Należy zagwarantować, że dane oraz informacje mogą zostać ocenione tylko przez osoby
upoważnione oraz na dopuszczalne sposoby.
W sytuacjach, kiedy dane są przesyłane za pośrednictwem Internetu bez ustaleń dotyczących
ochrony technicznej, osoby trzecie mogą mieć wgląd w treść wiadomości i modyfikować je
bez wiedzy nadawcy lub adresata. Muszą zostać podjęte odpowiednie środki zaradcze w celu
zapobiegania niemożliwemu do wykrycia wglądowi w treść wiadomości elektronicznych
przez osoby nieupoważnione oraz ingerencji w treść tych wiadomości.
- Dostępność
28
Należy opracować ustalenia dotyczące zapewnienia, że informacje oraz usługi są dostępne w
odpowiednim czasie, w każdym momencie, kiedy są potrzebne użytkownikowi. Potrzeba
terminowego oraz prawidłowego przetwarzania danych jest nadzwyczaj wielka, jeśli chodzi o
usługi e-administracji. Należy poczynić największe możliwe wysiłki celem uniknięcia utraty
danych oraz utrudnienia działania sprzętu lub oprogramowania spowodowanego przez awarie
techniczne. W ramach szerszej „Polityki bezpieczeństwa” wymagane są solidne plany
tworzenia kopii zapasowych oraz odzyskiwania utraconych plików.
- Wiążący charakter transakcji elektronicznych oraz potwierdzenie przyjęcia wiadomości
Należy poczynić ustalenia w celu zapewnienia, że wysyłanie oraz odbiór danych i informacji
nie mogą zostać zakwestionowane (tj. umożliwić wydanie potwierdzenia, że wiążąca prawnie
transakcja została zawarta).
- Możliwość poddania się kontroli
Organy, które prowadzą usługi e-administracji mają obowiązek poczynić techniczne oraz
organizacyjne ustalenia pozwalające na późniejszą weryfikację transakcji elektronicznych, co
pozwala kierownikom lub kontrolerom dowiedzieć się, kto wprowadził lub przekazał jakie
dane oraz w jakim czasie. Poczynione ustalenia muszą być również odpowiednie, aby można
było wykryć i prowadzić dochodzenie w sprawie jakichkolwiek niedopuszczalnych prób
dostępu do danych lub ingerencji w nie.
Do przykładów ryzyk oraz potencjalnych szkód spowodowanych przez niezgodność z tymi
wymogami należą:
•
wprowadzenie do sieci IT złośliwego oprogramowania (tj. wirusów, koni
trojańskich, bomb logicznych lub robaków);
•
ingerencja w/uszkodzenie/zniszczenie systemów operacyjnych lub
oprogramowania aplikacji (łącznie z uszkodzonymi rekordami);
•
niedostateczna ochrona dostępu do zdalnej konserwacji;
•
ingerencja
spowodowana
"wewnętrznymi
sprawcami"
(np.
administratorami lub użytkownikami);
•
uszkodzone lub ryzykowne oprogramowanie;
•
ingerencja w łącza komunikacyjne;
•
niedostateczna świadomość bezpieczeństwa;
•
niedostatecznie wykwalifikowany personel.
Szkoda spowodowana tymi czynnikami może zostać zaklasyfikowana do tych różnych
kategorii:
•
materialna;
•
finansowa (przestój to (także) pieniądze);
•
niematerialna (może być bardziej dotkliwa niż szkoda finansowa) oraz szkoda
związana z personelem.
Logowanie zapobiega dostępowi osób nieupoważnionych oraz ingerencji, ponieważ nikt nie
może mieć pewności, że wykroczenia przejdą niezauważone.
29
Ś
cieżki audytu
17
mogą zapewnić, że nie miała miejsca ingerencja w dane. Poświęcenie tej
kwestii szczególnej uwagi jest istotne, ponieważ w stopniu, w jakim program e-administracji
prowadzi do zaprzestania stosowania formularzy papierowych, tradycyjne ścieżki audytu,
również mają tendencję do zanikania. Z tej przyczyny organizacja powinna utworzyć nowe
ś
cieżki audytu w zautomatyzowanych systemach informacyjnych w celu zapewnienia, że
transakcje zawsze mogą być kontrolowane.
Nieistniejące lub niedostateczne ścieżki audytu wprowadzają ryzyko, że nieautoryzowane
zmiany danych mogą przejść niezauważone.
3.3.2 Bezpieczeństwo transakcji
W celu zapobiegania niedostatecznemu bezpieczeństwu transakcji w odniesieniu do
komunikacji z klientem oraz – zwłaszcza - usług transakcji (urząd-obywatel; urząd-
przedsiębiorca; urząd-urząd), administracja powinna przestrzegać wymogów rozporządzenia
dotyczącego podpisu cyfrowego (Digital Signature Ordinance). Ponadto, należy starać się
zapewnić interoperacyjność pomiędzy krajowymi oraz międzynarodowymi rozwiązaniami
dotyczącymi podpisu cyfrowego.
Aby urzędy publiczne mogły się komunikować bezpiecznie przez internet i aby komunikacja
ta była prawnie wiążąca, muszą one posiadać również „wirtualnego zarządcę poczty”, który
pełniłby rolę zautomatyzowanej w dużym stopniu centralnej bramki bezpieczeństwa i
wykonywałby funkcję uwierzytelniania, weryfikowania oraz generowania podpisów
cyfrowych, deszyfracji oraz szyfracji, jak również przeprowadzałby inne kontrole
bezpieczeństwa. Wysokiej jakości usługi mogą wymagać ścisłego uwierzytelniania przez
klienta i w przypadku niektórych typów komunikacji, które dla swojej ważności wymagają
formy pisemnej, autentyczność musi być uznana, co z kolei wymaga ważnego podpisu
cyfrowego.
3.3.3. Transakcje dotyczące płatności
W przyszłości regulowanie opłat, należności celnych oraz podatków w wysokości dziesiątek
miliardów euro każdego roku będzie przepływać przez systemy IT organów podatkowych
oraz celnych. Niewystarczające wymogi dotyczące bezpieczeństwa mogą stanowić zagrożenie
dla elektronicznego pobierania tych opłat w jeszcze większym stopniu niż standardy
niespełnione przez inne systemy świadczące usługi e-administracji.
Za pomocą platformy przekazywania funduszy organ zainteresowany mógłby i powinien
ś
wiadczyć usługę elektroniczną dotyczącą pobierania takich opłat, podatków oraz ceł,
gwarantując, że należne kwoty będą w rzeczywistości otrzymane i że dowody otrzymania
zostaną w odpowiedni sposób przekazane odpowiedniej jednostce zarządzania gotówką
odpowiedzialnej za księgowanie lub, jeżeli nie powiedzie się transfer elektroniczny, takie
niepowodzenie będzie natychmiast zgłoszone.
17
Ścieżka audytu jest to chronologiczny zestaw zapisów, które razem stanowią dokumentację przetwarzania,
wystarczającą do tego, aby umożliwić rekonstrukcję, przegląd oraz zbadanie działalności (źródło: „Kontrola
systemów informacyjnych; Glosariusz terminów, Komitet INTOSAI ds. IT).
30
3.3.4 Zbędność,
przerwy
w
funkcjonowaniu
mediów
oraz
niewystarczająca
interoperacyjność
Zbędne struktury dotyczące świadczenia usług powinny zostać rozwiązane. W celu eliminacji
przerw w funkcjonowaniu mediów, cała transakcja usługi e-administracji powinna się
odbywać na dłuższą metę za pośrednictwem IT. W sytuacjach, kiedy usługi administracyjne
nie obejmują żadnych podejmowanych według własnego uznania decyzji dotyczących
indywidualnych przypadków, dostarczanie usługi powinno być w pełni zautomatyzowane.
3.4. Kontrola ryzyka zwi
ą
zanego z projektami usług e-administracji
3.4.1 Wymagania dla kontrolera
Duża różnorodność oraz złożoność następujących czynników może pełnić rolę pierwszych
wskazówek dla podejść kontrolnych:
•
liczba departamentów oraz agencji biorących udział w programach;
•
ogromna liczba usług elektronicznych i projektów;
•
wzajemne połączenie usług elektronicznych (oraz wśród krajowych,
regionalnych oraz lokalnych jednostek administracji) oraz
•
w szczególności wymagane duże fundusze.
Czynniki te nakładają wysokie zawodowe wymagania na kontrolera usług e-administracji:
•
technicznej wiedzy kontekstowej potrzebnej do dokonania oceny specyfikacji
technicznych, które mają być zachowane przez rzeczoną usługę e-administracji;
•
dogłębnej wiedzy na temat platformy ICT, na której będzie prowadzona usługa e-
administracji;
•
zdolności analizowania danych; wiedzy oraz umiejętności stosowania technik
elektronicznego zbierania oraz analizy dowodów kontroli.
3.4.2 Etyka
Dosyć często kontroler, który przeprowadza kontrole e-administracji, znajduje się w trudnych
sytuacjach, w których pojawia się potrzeba podejmowania decyzji etycznych. NOK będzie
musiało zagwarantować, że każdy kontroler zaangażowany w przeprowadzanie takich
kontroli, będzie gotowy poradzić sobie z takimi sytuacjami.
3.4.3 Podejścia kontrolne
Początkowe doświadczenia dotyczące kontroli zostały zdobyte przy kilku projektach
wdrażanych zgodnie z inicjatywami e-administracji. Dzięki faktowi, że zwłaszcza ryzykowne
usługi transakcji będą wprowadzane w późniejszym okresie, potrwa jeszcze kilka lat zanim
NOK będzie w stanie opracować decydujące wnioski dotyczące kontroli oraz wnioski
dotyczące wprowadzenia i działania złożonych usług e-administracji.
31
Jako przykłady konkretnych podejść kontrolnych do ryzyk na etapie projektowania programu,
planowania wydatków publicznych, podczas realizacji programu
18
oraz na etapie oceny
wydajności wymienić można:
•
Na etapie projektowania programu:
o
brak odpowiedniej koordynacji prac nad utworzeniem e-administracji na
federalnym, regionalnym oraz lokalnym poziomie zarządzania, brak jednolitej
koncepcji i programu;
o
przygotowywanie projektu e-administracji w warunkach braku lub poza
ramami strategii ogólnych (planu, programu) społecznego oraz gospodarczego
rozwoju kraju oraz digitalizacja społeczeństwa, które z kolei powinny
przewidywać
niezbędne
przekształcenia
relacji
między
podmiotami
publicznymi a społeczeństwem;
o
niezgodność funkcjonalności lub logiki dostarczania informacji oraz innych
nowych usług elektronicznych z istniejącymi strukturami administracyjnymi
oraz algorytmami podejmowania decyzji;
o
niewystarczającą ocenę „nierówności cyfrowej” występującej w kraju,
stanowiącą jeden z najważniejszych warunków produktywności programu e-
administracji;
o
brak wyraźnej definicji projektu w kontekście celów, zadań, czasu, ustaleń
oraz niezbędnych środków finansowych (brak podejścia zorientowanego na
problem), jak również brak wskaźników wydajności (produktywności)
nakładów finansowych;
o
brak powszechnie akceptowanych standardów dotyczących przechowywania
oraz dostarczania danych podczas organizowania wymiany informacji
pomiędzy organami państwa, oraz organów publicznych z organizacjami
komercyjnymi oraz publicznymi;
o
niewystarczające rozporządzenia normatywne oraz prawne w sferze wymiany
informacji na poziomie organów państwowych oraz instytucji samorządu
lokalnego, jak również w sferze wymiany informacji organów państwa z
obywatelami i sektorem publicznym.
•
Na etapie planowania wydatków publicznych:
o
niewystarczającą ocenę wydatków na finansowanie projektu
oraz
możliwości
państwa
dotyczących
przydzielenia
niezbędnych ilości środków finansowych;
o
istniejący system finansowania oraz kultura organizacji państwa
nie pozwala na utworzenie skutecznego systemu inwestycji,
włączającego fundusze publiczne, do złożonych projektów
digitalizacji;
o
system priorytetów dla promocji projektu w warunkach
ograniczonego
finansowania,
który
jeszcze
nie
został
utworzony;
o
klasyfikacja budżetowa jest niedostatecznie szczegółowo
opisana, aby zapewnić przejrzystość planowania wydatków
oraz ich późniejszej kontroli;
18
Rozdział 4 opisuje temat „Kontrola programów i projektów” w sposób bardziej szczegółowy
32
o
przydział środków w budżetach federalnych na następny rok
podatkowy jest przeprowadzony bez uwzględnienia osiągnięcia
celów działań programowych, co prowadzi do akumulacji
niezrealizowanych programów oraz etapów, inwestycji w sprzęt
oraz w ogólne oprogramowanie bez opracowania specjalnych
zadań usług końcowych;
o
niespójność harmonogramu przyznawania środków z różnych
ź
ródeł (budżet państwa, zagraniczne pożyczki i kredyty, środki
z funduszy niepaństwowych itd.)
•
Podczas realizacji programu:
o
system zarządzania programem nie pozwala na właściwą
reakcję na szybko zmieniające się czynniki i nowe ryzyka
(finansowe, technologiczne, społeczne oraz inne);
o
wysoki stopień bezczynności nowoczesnej biurokracji oraz, w
rezultacie, opór w stosunku do zmian;
o
wskaźniki oceny przebiegu realizacji programu (fazy, etapy);
tworzenie
podsystemów
nie
występuje
lub
jest
w
niewystarczającym stopniu zaawansowane;
o
dysproporcje
czasowe
w
dostarczaniu
prawnych,
organizacyjnych
i
technicznych
rozwiązań
elementów
programu;
o
powolna zmiana stereotypów społecznego oraz politycznego
zachowania
ludności,
rozczarowanie
tempem
realizacji
programu oraz spodziewaną użytecznością dla sektora biznesu
oraz ludności, brak zaufania do działań mających na celu
zabezpieczenie bezpieczeństwa danych;
o
nie istnieją standardowe formy raportów dotyczących
organizacji wymiany informacji organów administracji,
organizacji komercyjnych oraz publicznych;
o
niespójność rozwoju programu e-administracja z systemami
informatycznymi
organów
państwowych,
programu
e-
administracja oraz z innymi elementami "społeczeństwa
informacyjnego", które wykraczają poza relacje urząd-inny
podmiot
(np.
przedsiębiorca-przedsiębiorca,
obywatel-
obywatel).
•
Na etapie oceny wydajności realizacji programu
o
cele oraz parametry programu nie zostały osiągnięte;
o
wydatki poniesione na program przewyższyły wydatki
planowane;
o
koszt wprowadzenia oraz dalszego działania jest nie od
przyjęcia zarówno dla państwa jak i sektora biznesu oraz
obywateli;
o
realizacja programu nie spowodowała zwiększenia roli państwa
w światowej wspólnocie elektronicznej.
33
3.5 Uwagi ko
ń
cowe
Rozmiar programów e-administracji, ilość przedmiotowych projektów oraz różnych faz,
takich jak planowanie i rozwój, wprowadzenie oraz bieżące prowadzenie usług e-
administracji niesie ze sobą różne ryzyka, spośród których tylko niektóre zostały opisane w
niniejszym raporcie. Duża zależność agencji oraz ich klientów od IT oraz ich słabość stanowi
ogromne wyzwanie dla publicznej odpowiedzialności. Z tego względu twórcy polityk oraz
kierownicy muszą skupić swoją uwagę na możliwie najwcześniejszym minimalizowaniu
napotkanych ryzyk w celu zapobieżenia potencjalnej szkodzie, której rozmiary, choć
nieznane, są jednak znaczące.
4. KONTROLA PROGRAMÓW I PROJEKTÓW
4.1 Wst
ę
p
E-administracja jest nową dziedziną i trudno jest nam wyobrazić sobie, że możemy
przeprowadzić kontrolę np. portalu rządowego przy zastosowaniu jedynie metod tradycyjnych
(łącznie z metodami kontroli IT). Stąd potrzebne nam są nowe metody kontroli oprócz tych
już istniejących. Za pomocą tych nowych metod będziemy w stanie określić postęp
administracji we wdrażaniu programów oraz projektów e-administracji (patrz przykład Rosji
w Załączniku 2 przy końcu tego rozdziału). Nowe metody powinny wyraźnie uwzględnić
aspekt IT, ponieważ programy e-administracji w dużej mierze są zależne od IT. Mimo, że e-
administracja jako taka jest nowym zjawiskiem, nie można tego samego powiedzieć o IT oraz
kontroli IT. Z uwagi na to, musimy w dużym stopniu polegać na naszym obecnym
doświadczeniu. Jednakże, jak zostało wskazane w sekcji 2.5 („Czym szczególnym wyróżnia
się e-administracja?”) e-administracja posiada kilka specyficznych cech. Z tego powodu nowe
metody mogą być potrzebne, aby sprawiedliwie ocenić te cechy.
Aby mogła być skuteczna, kontrola programu powinna przede wszystkim dotyczyć
wczesnych etapów programu, obejmując kwestie kontroli jeszcze w fazie projektowania lub
wdrażania programu. Kontrola po zakończeniu programu nie może być bardzo skuteczna,
ponieważ w tym momencie jest zbyt późno na podjęcie działań ukierunkowanych na
usprawnienie kontroli programu, który jest nią objęty.
W rozdziale tym, pod pojęciem „program” rozumiemy program składający się z wewnątrz
powiązanych projektów (łącznie z projektami IT), ukierunkowany na osiągnięcie celów
pośrednich lub celu ostatecznego, jakim jest przejście do e-administracji, na przykład
program państwowy federalny/regionalny. W tym sensie możemy również uznać projekt za
„koszyk” projektu IT i innych projektów. Projekt w tym koszyku jest rozumiany jako jeden z
oddzielnych projektów w koszyku (IT lub innych).
4.2. Ramy konceptualne
4.2.1 Podstawowe kategorie kontrolowanych obiektów
34
Kontrole e-administracji mogą się koncentrować na jednym lub większej liczbie z trzech
następujących typów obiektów, odpowiadających trzem poziomom kontroli:
•
program jako zbiór („koszyk”) projektów (łącznie z projektami IT), ukierunkowany
na cele pośrednie i końcowe;
•
projekt (IT) jako projekt oddzielny, albo jako projekt w ramach programu
(„projektu”);
•
system informacyjny („IS”) lub zasoby informacyjne („IR”) utworzone lub stosowane
w interesie e-administracji („IS/IR”)
Kwestiami kontroli na tych trzech poziomach kontroli są:
•
poziom strategiczny: wydajność, z którą wykonywanie programów jest organizowane,
planowane, kierowane i kontrolowane;
•
poziom operacyjny; realizowanie projektów;
•
poziom stosowania: stosowanie istniejących lub nowo utworzonych systemów
informacyjnych oraz zasobów informacji.
Celem niniejszego rozdziału jest strategiczny poziom kontroli podczas przejścia do e-
administracji oraz jej dalszego rozwoju.
4.2.2 Ogólne typy kontroli
W standardowej klasyfikacji wyróżnione są następujące typy kontroli:
•
kontrola finansowa tj. kontrola:
o
inwestycji i wydatków;
o
księgowania funduszy;
o
organizacji kontroli wewnętrznej i raportowania, wydajności wydatków.
•
kontrola IT: kontrola zarządzania IT;
•
kontrola wykonania zadań, tj. ocena:
o
systemów kontroli jakości;
o
wydajności i skuteczności;
o
wydajności procesu podejmowania decyzji;
o
jakości usługi;
o
polityki dotycząca obsady etatów; umiejętności oraz wiedzy
członków personelu.
Rysunek 1 - Typy oraz metody kontroli ogólnej
METODY KONTROLI
35
W przypadku każdego typu kontroli możemy częściowo polegać na dotychczasowych
metodach oraz technikach kontroli. W sytuacjach, kiedy są one stosowane w odniesieniu do
kwestii e-administracji, muszą one zostać uzupełnione przez nowe podejścia.
4.2.3 Perspektywa czasowa
Zgodnie z przyjętą międzynarodową praktyką instytucji wykonujących kontrolę finansową
zdefiniować można trzy ramy czasowe dla kontroli finansowej:
•
przedwdrożeniowa: kontrola podczas procesu podejmowania decyzji dotyczącej
polityki budżetu oraz innych projektów prawnych lub dotycząca innych obszarów
kontroli finansowej;
•
równoczesna: kontrola dodatkowych kwestii dotyczących realizacji budżetu, które
mogą się zrodzić podczas realizacji programów i projektów,
•
powdrożeniowa: zatwierdzenie raportów o rozliczalności dotyczących realizacji
budżetu oraz wpływu (lub „wyniku”) programów oraz projektów.
KONTROLA
WYKONANIA
ZADAŃ
KONTROLA
IT
KONTROLA
FINANSOWA
KONTROLA IT
Metody kontroli:
•
Kontrola
systemów
informacyjnych
•
Kontrola zasobów
informacji
•
Kontrola
bezpieczeństwa
informacji
•
inne
KONTROLA WYKONANIA
ZADAŃ
Metody kontroli:
•
Zbadanie ram
normatywnych oraz
prawnych
•
Kontrola systemów
jakości
•
Kontrola wydajności
projektu oraz
rezultatów projektu
•
inne
KONTROLA
FINANSOWA
Metody kontroli:
•
Kontrola finansowa
organizacji
komercyjnych
•
Kontrola finansowa
organizacji
budżetowych
•
Kontrola finansowa
w środowisku IT
•
inne
36
4.3 Metody kontroli
4.3.1 Stosowalność istniejących typów kontroli dla obszaru e-administracji
Ten trójwymiarowy obraz opisany w poprzednich sekcjach tworzy przestrzeń kontroli (rys.2),
w której każdy element odpowiada grupie metod: M(i,j,k). W tej funkcji litery "i", "j" oraz
"k" reprezentują odpowiednio zmienne "obiektów kontroli", "typów kontroli" oraz
„perspektywy czasowej” (rys. 3)
Rysunek 2 - Obszar kontroli e-administracji
Legenda:
Financial audit – kontrola finansowa
IT audit – kontrola IT
Performance audit – kontrola wykonania zadań
Pre-implementation – przedwdrożeniowa
Concurrent - równoczesna
Post-implementation - powdrożeniowa
Program - program
37
(IT) project – projekt (IT)
IS/IR - IS/IR
(Strategic level) – poziom strategiczny
(Operational level) – poziom operacyjny
(Application level) – poziom stosowania
Rysunek 3 – Grupa metod kontroli e-administracji
Rysunek 4 ukazuje odpowiedniość różnych grup metod przejścia kontroli do e-administracji
Rysunek 4 – Stosowalność istniejących metod kontroli podczas przejścia do e-
administracji
Grupa metod
kontroli e-
administracji
M (i,j ,k)
Obiekty kontroli
Typy kontroli
Metoda
kontroli
Perspektywa czasowa
38
Typy kontroli
Obiekty kontroli
Perspektywa
czasowa
Kontrola
finansowa
Kontrola IT
Kontrola
wykonania
zadań
Przedwdrożeniowa tak
Należy
opracować
nowe metody
tak
Równoczesna
tak
Należy
opracować
nowe metody
tak
Program
Powdrożeniowa
tak
Należy
opracować
nowe metody
Należy
opracować
nowe metody
Przedwdrożeniowa tak
tak
tak
Równoczesna
tak
tak
tak
Projekt (IT)
Powdrożeniowa
tak
Należy
opracować
nowe metody
Należy
opracować
nowe metody
Przedwdrożeniowa tak
tak
Należy
opracować
nowe metody
Jednoczesna
tak
tak
tak
IS/IR
Powdrożeniowa
tak
tak
tak
Analizując w sposób bardziej szczegółowy stosowalność metod, należy rozpatrzyć je w
perspektywie cyklu życiowego.
Na przykład na strategicznym poziomie kontroli rozpoznajemy następujące etapy cyklu życia
(patrz również rysunek 5).
•
etap
planowania
strategicznego
(I):
podejmowanie
decyzji
politycznych;
opracowywanie programu wraz z definicją celów, wymogów, zadań oraz kryteriów
projektu dla wykonalnego programu;
•
etap projektowania (II): utworzenie organu zarządzającego projektem (opracowanie
dokumentacji konkursowej oraz realizacja konkursu w celu wybrania podmiotu
odpowiedzialnego za rzeczony program);utworzenie ram normatywnych i prawnych;
rozkład celów oraz zadań programu; utworzenie koszyka programów oraz budżetu
programu itd.;
•
etap realizacji (III): opracowanie technicznej oraz ekonomicznej podstawy projektu;
dokumentacja konkursowa odnosząca się do projektów programu; organizacja
konkursów i zawieranie kontraktów odnoszących się do projektów; utworzenie
portfela inwestycyjnego oraz finansowanie projektów; kontrola etapów i rezultatów
projektu, finalizacja /przerwanie/rozpoczęcie projektów programu; aktualizacja
programu itd.;
•
etap końcowy (IV): Ocena rezultatów programu; ocena księgowania oraz jakości
raportowania; pomiar wydajności programu, itd.
39
Rysunek 5 - Kwestie kontroli na różnych etapach cyklu życia.
Etapy „cyklu życia” programu docelowego
Legenda:
stages of „life cycle of target program” – etapy „cyklu życia” programu docelowego
Formation of normative legal base – utworzenie podstawy normatywnej i prawnej
Planning of program – planowanie programu
Control of quality management – kontrola zarządzania jakością
Project 1- projekt 1
Project 2- projekt 2
Project n – projekt n
Works on transition to e-government- prace nad przejściem do e-administracji
I stage strategic planing- etap I – planowanie strategiczne
II stage design – etap II – projektowanie
III stage realization – etap III - realizacja
IV stage final – etap IV – zakończenie
Audit types –typy kontroli
Expertise of normative legal base – znajomość podstawy normatywnej i prawnej
Performance audit – kontrola wykonania zadań
Financial audit – kontrola finansowa
IT audit – kontrola IT
40
Rysunek 5 ukazuje jak różne typy kontroli (kontrola finansowa, kontrola IT oraz kontrola
wydajności) mogą zostać zastosowane na różnych etapach cyklu życia programu docelowego.
Odpowiednie metody, które mają zostać zastosowane na różnych etapach cyklu życia zostały
przedstawione w następnej tabelce.
Rysunek 6 - Metody kontroli odpowiednie na różnych etapach programu
Etapy
cyklu
ż
ycia
Metody kontroli
1 Przegląd programu z perspektywy normatywnej (prawnej)
2 Ocena prognoz wyników
(I)
Planowanie
strategiczne
3 Kontrola koncepcji programu
4 Przegląd zaproszenia do przetargu w celu wyboru podmiotu
odpowiedzialnego
5 Kontrola systemu kontroli jakości stosowanego przez podmiot
odpowiedzialny
6 Przegląd projektów z perspektywy normatywnej (prawnej)
(II)
Projektowanie
7 Kontrola budżetu podmiotu odpowiedzialnego
8 Kontrola finansowa własnego systemu budżetowego podmiotu
odpowiedzialnego
9 Kontrola finansowa wydatków na realizację programu
10 Przegląd zaproszenia do przetargu dla wyboru wykonawców projektu
11 Kontrola organizacji oraz realizacja procesu przetargu
12 Kontrola systemu logistycznego programu
13 Kontrola wykonania zadań
14 Kontrola ryzyk programu
(III)
Realizacja
15 Kontrola systemów informacyjnych stosowanych przez podmiot
odpowiedzialny
16 Kontrola finansowa własnego systemu budżetowego podmiotu
odpowiedzialnego
17 Kontrola finansowa wydatków na realizację programu
(IV)
Zakończenie
18 Kontrola wykonania zadań
Rysunek 6 dostarcza informacji na temat stosowności metod kontroli na różnych etapach
cyklu życia programu docelowego, w oparciu o doświadczenie w przeprowadzaniu kontroli
Izby Obrachunkowej Federacji Rosyjskiej
Metody przedstawione w tabeli zostaną objaśnione w następnej sekcji.
4.3.2 Wyjaśnienie metod
Oto wyjaśnienie metod przedstawionych na rysunku 6.
(1) Przegląd programu z perspektywy normatywnej (prawnej)
41
Dokonać przeglądu programów z perspektywy normatywnej (prawnej) odnośnie
podejmowania decyzji politycznych dotyczących:
•
konieczności przejścia do e-administracji,
•
form, celów oraz zadań e-administracji,
•
konieczności reorganizacji zarządzania publicznego,
•
przydziału środków budżetowych oraz harmonogramu celów.
(2) Ocena prognoz wyników
•
sprawdzić czy sporządzono prognozy i czy zostały określone w kontekście
rozwoju społecznego i gospodarczego,
•
sprawdzić czy prognozy te są oparte o prawidłowe i wydajne metody oraz
procedury
(3) Kontrola koncepcji programowej
•
określić czy cele oraz zadania programu są zgodne z celami strategicznymi oraz
zadaniami w odniesieniu do rozwoju społeczno - gospodarczego kraju,
•
sprawdzić czy zostały określone prawidłowe i mierzalne kryteria dla pomiaru
rezultatów pośrednich i końcowych programu.
(4) Przegląd zaproszenia do przetargu dla wyboru podmiotu odpowiedzialnego
Zbadać:
•
zgodność zaproszenia do składania ofert z istniejącym ustawodawstwem,
•
spełnienie warunków zadań dla konkursu,
•
wyniki konkursu.
(5) Kontrola systemu kontroli jakości stosowanego przez podmiot odpowiedzialny
•
sprawdzić czy podmiot odpowiedzialny ustanowił system kontroli jakości (jeśli jest to
konieczne),
•
ocenić czy system kontroli jakości jest odpowiedni dla zadania zarządzania oraz
koordynowania działań programowych,
•
sprawdzić czy program będzie zarządzany przez odpowiedni organ,
•
sprawdzić czy podmiot odpowiedzialny odpowiada wymogom systemu kontroli
jakości.
(6) Przegląd projektów z perspektywy normatywnej (prawnej)
Dokonać analizy ram prawnych, które dotyczą podmiotu odpowiedzialnego w odniesieniu do
aspektów takich jak:
•
zgodność z celami oraz zadaniami programu,
•
zasadność kalkulacji kosztów,
•
zasadność planowania projektu ( daty zakończenia oraz ustawienie w kolejności),
•
zasadność zakończenia poszczególnych projektów,
42
•
specyfikacja lub zmiana celów oraz zadań projektów.
(7) Kontrola budżetu podmiotu odpowiedzialnego
•
dokonać kontroli prawidłowości finansowej podmiotu odpowiedzialnego.
(8,16) Kontrola finansowa własnego systemu budżetowego podmiotu odpowiedzialnego
•
zbadać wydatki podmiotu odpowiedzialnego w trakcie realizacji programu,
•
zbadać dokumenty finansowe oraz inne dotyczące sprawozdań statutowych.
(9,17) Kontrola finansowa wydatków na realizację programu
Dokonać kontroli wydatków podmiotu odpowiedzialnego w odniesieniu do:
•
zarządzania programem,
•
przygotowywania, organizowania oraz realizowania sytuacji konkurencyjnej dla
projektów należących do programu,
•
realizacji scentralizowanych zakupów sprzętu oraz oprogramowania dla
uczestników programu,
•
prawidłowości, terminowości oraz uregulowania płatności,
•
poprawność, kompletności oraz terminowości raportów finansowych oraz innych
sprawozdań statutowych oraz dokumentów księgowych.
(10) Przegląd zaproszeń do składania ofert w celu wyboru wykonawców projektu
•
zweryfikować czy zaproszenie do składania ofert dla projektów programu odpowiada
wymogom istniejącego prawodawstwa,
•
zweryfikować czy warunki dotyczące konkursu zostały spełnione,
•
zbadać wyniki przetargu oraz wybór wykonawców, którzy będą realizować projekty
programowe.
(11) Kontrola organizacji i realizacji procesu przetargu
•
zbadać przygotowanie oraz realizację scentralizowanych zakupów sprzętu,
oprogramowania oraz usług dla uczestników programu, dokonywanych przez
podmiot odpowiedzialny lub upoważniony,
•
zweryfikować prawidłowość, terminowość oraz regulację płatności za zakupy,
•
zweryfikować czy nabyty sprzęt, oprogramowanie oraz usługi odpowiadają
ustanowionym wymogom jakości oraz wymogom technicznym.
(12) Kontrola systemu logistycznego
Sprawdzić jak:
•
są zorganizowane zakupy, przechowywanie oraz dostawa centralnie nabytego sprzętu
oraz oprogramowania dla uczestników programu,
•
jest zorganizowane utworzenie oraz prezentacja projektu, dokumentacji księgowej i
finansowej przez uczestników programu.
(13, 18) Kontrola wykonania zadań
43
Ocenić rezultaty realizacji programu z punktu widzenia:
•
terminowego oraz całkowitego osiągnięcia ustalonych celów,
•
wydajności zarządzania projektem,
•
wydajności stosowania środków przedzielonych dla programu.
(14) Kontrola ryzyk programu
Problemy te zostały rozpatrzone w rozdziale 3.
(15) Kontrola systemów informacyjnych stosowanych przez podmiot odpowiedzialny
•
Ocenić stopień, w jakim różne aspekty jakości systemów informacyjnych
stosowanych przez podmiot odpowiedzialny odpowiadają ustanowionym normom,
standardom oraz wymogom. Obejmuje to analizę ryzyka oraz przegląd systemów
korporacyjnych stosowanych przez uczestników programu.
4.4 Mapa ram CobiT
Wszystkie metody kontroli poziomów strategicznych, operacyjnych oraz stosowania,
określone w danym rozdziale, mogą być odwzorowane w ramach CobiT
19
, w następujący
sposób:
Rys. 7 Plan trzech obiektów kontroli/ poziomów kontroli procesów CobiT.
Domena CobiT Kod
domeny
CobiT
Proces
Program
(Strategiczny)
Projekt
(Operacyjny)
IS/IR
(Stosowanie)
PO1
Określenie planu strategicznego
IT
X
PO2
Określenie
architektury
informacyjnej
X
X
PO3
Określenie
kierunku
technologicznego
X
X
PO4
Określenie
organizacji
oraz
relacji IT
X
PO5
Zarządzanie inwestycją IT
X
X
X
PO6
Komunikowanie
celów
zarządzania i kierunków
X
X
PO7
Zarządzanie zasobami ludzkimi
X
PO8
Zapewnienie
zgodności
z
wymogami zewnętrznymi
X
X
Planowanie
i
Organizacja
PO9
Ocena ryzyka
X
X
X
19
CobiT - Cele Kontrolne Technologii Informatycznych i Technologii Pokrewnych
44
Domena CobiT Kod
domeny
CobiT
Proces
Program
(Strategiczny)
Projekt
(Operacyjny)
IS/IR
(Stosowanie)
PO10
Zarządzanie projektami
X
PO11
Zarządzanie jakością
X
AI1
Zidentyfikować
zautomatyzowane rozwiązania
X
AI2
Nabyć
i
utrzymywać
oprogramowanie aplikacji
X
AI3
Nabyć
i
utrzymywać
infrastrukturę technologiczną
X
AI4
Opracować
i
utrzymywać
procedury
X
AI5
Zainstalować i uznać systemy
X
Nabywanie
i
Wdrażanie
AI6
Zarządzać zmianami
X
DS1
Zdefiniować
oraz
zarządzać
poziomami usług
X
DS2
Zarządzać usługami dla stron
trzecich
X
DS3
Zarządzać wykonaniem oraz
wydajnością
X
DS4
Zapewnić ciągłość usług
X
DS5
Zapewnić
bezpieczeństwo
systemów
X
DS6
Zidentyfikować i przydzielić
koszty
X
DS7
Kształcić
i
szkolić
użytkowników
X
DS8
Pomagać i doradzać klientom
X
DS9
Zarządzać konfiguracją
X
DS10
Zarządzać
programami
i
zdarzeniami
X
DS11
Zarządzać danymi
X
DS12
Zarządzać urządzeniami
X
Dostarczanie i
wsparcie
DS13
Zarządzać operacjami
X
M1
Monitorować procesy
X
X
X
M2
Ocenić odpowiedniość kontroli
wewnętrznej
X
X
M3
Uzyskać niezależną gwarancję
X
X
Monitorowanie
M4
Zapewnić niezależną kontrolę
X
X
Tabela ta odzwierciedla naszą ideę, zgodnie z którą kontrola projektów oraz programów e-
administracji nie powinna być ograniczona przez jakikolwiek standard funkcyjny i nie może
być ograniczona do kilku domen lub standardowych procesów CobiT takich jak PO10
(Zarządzanie projektem) oraz PO11 (Zarządzanie jakością)
4.5. Uwagi ko
ń
cowe
Chcielibyśmy podkreślić, że klasyfikacja typów kontroli na poszczególne kategorie (patrz
sekcja 4.2.2) została dokonana dla celów przejrzystości koncepcji. W rzeczywistej praktyce
45
kontrola programów oraz projektów zazwyczaj łączy w sobie podejścia do kontroli
finansowej, IT oraz/lub kontroli wykonania zadań w konkretnym programie lub projekcie.
Kontrola istotnych aspektów programów i projektów podczas przejścia do e-administracji,
oraz warunków dla e-administracji nie jest możliwa bez stosowania nowych metod. Metody
te powinny zostać utworzone, ponieważ działania związane z e-administracją rozwijają się
wraz z upływem czasu.
Te nowe metody powinny obejmować tematy takie jak:
•
jakość systemów księgowania organizacji, które są odpowiedzialne za organizowanie i
realizację programów e-administracji;
•
zgodność projektów ze standardami funkcjonalnymi takimi jak zarządzanie
inwestycjami (ISO/IEC 15288:CD2);
•
zgodność ze standardami dla wdrażania oraz stosowania IT (CobiT);
•
istnienie certyfikowanych systemów kontroli jakości na każdym etapie realizacji
projektu.
Co istotne, należy również zauważyć, że najlepsze podejście do kontroli może różnić się w
zależności od kraju, ponieważ mogą występować znaczne różnice w sieci stron
zaangażowanych w program e-administracji oraz w ustalenie ról przypisanych do różnych
partnerów. Na przykład, budowa systemu może, lecz nie musi być zlecona na zewnątrz.
ZAŁ
Ą
CZNIK 2
46
Doświadczenie Rosji w tworzeniu e-administracji
(Federalny program docelowy „Elektroniczna Rosja na lata 2002-2010”)
Zewnętrzny (publiczny)
zarys e-administracji
(elektroniczny zarys
systemu dostarczania
usług państwowych)
Niezależny dostęp
Dostęp przez pośrednika
Sieci otwarte (otwarta
przestrzeń
komunikacyjna)
Technologiczna infrastruktura dostępu obywateli do
e-administracji
Interfejsy e-
administracji
Portal rządu
Portale oraz strony federalnych oraz regionalnych organów państwowych
Infrastruktura e-demokracji
(wsparcie procedur demokracji)
Infrastruktura wsparcia sektora
biznesu oraz interakcje ekonomiczne
Infrastruktura wsparcia procesów
administracji publicznej
Infrastruktura utworzenia oraz
przedstawienia państwowych
zasobów informacji oraz
„elektronicznych” usług
państwowych
Infrastruktura wsparcia interakcji z
obcymi rządami oraz organizacjami
międzynarodowymi
Infrastruktura połączenia
Zasoby informacyjne państwa
System centrów
danych
Państwowy korporacyjny
system informacji
Portale
intranetowe
System zapewniania bezpieczeństwa
informacji obywateli oraz państwa
System zarządzania pracownikami państwa
System elektronicznych rozporządzeń
administracyjnych i organizacyjnych
System informacyjnego monitorowania,
analiz, oceny (systemy wspierania decyzji)
Państwowa sieć informacyjno-
komunikacyjna (zamknięta
przestrzeń komunikacyjna)
Infrastruktura wsparcia transakcji
finansowych państwa
System wsparcia informacji procedur
kontroli w zarządzaniu państwem
Wewnętrzny
(usługowy) zarys
e-administracji
System zarządzania projektem e-
administracji
System obiegu informacji elektronicznych
organów państwowych
Warunek polityczny
System dostarczenia projektu e-administracji
Warunek
technologiczny
Warunek prawny
Warunek organizacyjny
Warunek finansowy
Warunek dot. personelu
47
5.
KONTROLA
FINANSOWA
W
ŚRODOWISKU
CYFROWYM
(SKOMPUTERYZOWANYM)
5.1. Wst
ę
p
Celem tej sekcji jest skupienie uwagi na kontroli finansowej oraz przedstawienie ram
odniesienia dla ogólnych wymogów dotyczących kontroli w środowiskach cyfrowych, jeżeli
chodzi o cel, treść oraz zakres.
Prezentacja ta jest w dużej mierze oparta o doświadczenie związane z e- zamówieniami
publicznymi. E-zamówienia publiczne stanowią dalszy etap rozwoju e-administracji,
porównaj sekcja 2.6 (Aspekty rozwojowe). Jednakże, należy uznać, że e-administracja jest
obszarem otwartym i że można by wybrać wiele tematów celem ukazania jej rozwoju. Z
uwagi na fakt, że grupa docelowa przede wszystkim składa się z osób tworzących politykę,
poświęcono uwagę opisowi głównych punktów dotyczących kontroli środowisk cyfrowych.
Digitalizacja funkcji administracyjnych i zamówień organów sektora publicznego zapewnia
wiele korzyści, na przykład dotyczących tworzenia nowych oraz bardziej wydajnych procedur
roboczych, jak również możliwość komunikowania się i współpracowania na wiele
sposobów. Tradycyjne procedury funkcjonujące przy zastosowaniu form papierowych mogą
stać się bardziej wydajne, poprawione lub też można się bez nich całkowicie obyć, kiedy dane
oraz komunikacja z użyciem danych staje się elektroniczna. Jako takie, uwolnione środki
mogą zostać przeniesione z administracji do usług.
Jednakże, digitalizacja daje nie tylko korzyści. Czynnik ryzyka zmienia się radykalnie wraz z
rozwojem technicznym, na przykład, kiedy tradycyjne dokumenty papierowe są zastępowane
danymi cyfrowymi, które w łatwy sposób mogą zostać skradzione (skopiowane), zmienione
lub usunięte – mogą zniknąć w ciągu jednej chwili bez śladu oraz kontaktu fizycznego. W
przyszłości, bezpieczeństwo towarzyszące systemom cyfrowym otrzyma wysoki priorytet we
wszystkich obszarach społeczeństwa. W sekcji 3.3 omówione zostały ryzyka związane z
prowadzeniem usług e-administracji.
5.2
Ś
rodowiska cyfrowe
5.2.1 Cechy
IT stanowi podstawę dla wiedzy podmiotu publicznego, informacji oraz zarządzania i jest
stosowane w coraz większym stopniu w procedurach zawodowych i administracyjnych.
Jednocześnie, stosowanie IT nabrało coraz większego znaczenia strategicznego i stało się
decydujące dla realizacji misji oraz wizji podmiotu publicznego. Z tego względu, wydajne
oraz bezpieczne środowisko IT jest istotne dla codziennej działalności podmiotu publicznego.
W systemach skomputeryzowanych (cyfrowych) dane podmiotu publicznego nie istnieją w
formie tradycyjnych dokumentów papierowych, lecz jedynie w formacie elektronicznym lub
cyfrowym.
48
Dokumenty cyfrowe nie tylko zawierają dokumenty, które pochodzą z nośników papierowych
(np. listów) i które w późniejszym okresie zostały zapisane w postaci cyfrowej, lecz również
dokumenty, które istnieją i są stosowane jedynie w formie cyfrowej podczas ich całej
„długości życia”.
Wprowadzenie systemów cyfrowych (skomputeryzowanych) oraz połączenie systemów
wewnętrznych z Internetem, na przykład w połączeniu z elektronicznymi zamówieniami
publicznymi, zwiększa zależność od IT oraz wymogi dotyczące dostępności oraz
bezpieczeństwa zasobów IT.
W sytuacji, kiedy dokumenty papierowe nie są już dłużej stosowane i kiedy zostały
zastąpione dokumentami elektronicznymi (danymi) jako jedyną formą dokumentacji dla
transakcji podmiotu publicznego, nakłada to zasadnicze wymogi na środowisko kontroli
podmiotu publicznego, zgodnie z którymi dokumenty elektroniczne muszą posiadać tę samą
wartość dowodową, co dokumenty papierowe.
W zasadzie, ustanowiona praktyka prawna oraz metodologia istnieje obecnie po to, aby
można było ocenić wartość dowodową dokumentów papierowych. Jednakże, nie istnieje
równoważna praktyka dla dokumentów cyfrowych, co oznacza, że ich wartość dowodowa
często zależy od jakości zintegrowanych kontroli w systemach cyfrowych oraz ogólnego
ś
rodowiska operacyjnego
20
.
W rezultacie, bezpieczeństwo towarzyszące systemom cyfrowym oraz przechowywaniu
danych cyfrowych musi być tak rygorystyczne, że wymogi dotyczące kontroli wewnętrznej
oraz zewnętrzne wymogi prawne dotyczące dokumentacji będą spełnione.
Wraz z przejściem od formatu papierowego do systemów cyfrowych środowisko kontroli
zmienia dalej swój charakter od przede wszystkim ręcznych do przede wszystkim wstępnie
zaprogramowanych mechanizmów opartych o komputery. Mechanizmy te muszą
funkcjonować wcześniej w odniesieniu do procedur, aby były skuteczne i miały charakter
zapobiegawczy
wobec
nieprzewidzianych
lub
systemowych
nieprawidłowości
w
automatycznych przepływach danych.
Istotne jest zapewnienie, że system, dane oraz bezpieczeństwo operacyjne, tj. zarówno
bezpieczeństwo IT w ogólności oraz bezpieczeństwo dotyczące poszczególnych systemów,
jest zadowalające i przystosowane do działań podmiotu publicznego oraz warunków
publicznych w ogólności.
5.2.2 Ryzyka środowisk cyfrowych
Nieodpowiednie środowisko kontroli może umożliwić dostęp osób nieupoważnionych do
systemów oraz danych - albo poprzez Internet albo poprzez wewnętrzną stację roboczą. Z tej
przyczyny, istnieje ryzyko zmiany danych, skopiowania ich (kradzieży) lub usunięcia bez
możliwości ustalenia, kiedy zmiany te miały miejsce i kto je wprowadził.
Dostęp osób nieupoważnionych może torować drogę do nadużyć IT. Przykłady tego typu
obejmują próby zmiany danych księgowych, utworzenia oraz przekazywania funduszy do
20
„Auditing Paperless Systems, An internal guide to auditing electronic forms, imaging and messaging
systems”, The United Kingdom National Audit Office, April 1998.
49
fikcyjnych dostawców, klientów lub pracowników, usunięcia sfałszowanych transakcji,
kradzieży programów oraz danych, jak również hakerstwa, sabotażu, itd. Może to prowadzić
do znaczących szkód dla danych podmiotu publicznego – zarówno danych gospodarczych jak
i operacyjnych – oraz w określonych przypadkach stanowić może potencjalne zagrożenie dla
zdolności operacyjnej podmiotu publicznego lub jego istnienia.
5.2.3 Wyzwania dla kadry kierowniczej
W przyszłości kierownictwo podmiotu państwowego musi ocenić w dużym stopniu czy jego
systemy cyfrowe spełniają jego strategię korporacyjną i są wdrażane zgodnie z nią.
Podobnie, do obowiązków zarządu należy zapewnienie, że systemy zawierają wystarczające
możliwości dotyczące śledzenia transakcji oraz kontroli (znane jako ścieżka audytu),
wystarczające mechanizmy zapobiegawcze, wykrywające/ naprawcze (mechanizmy systemu
cyfrowego), odpowiedni podział funkcjonalny oraz, że systemy te pracują w środowisku IT,
które jest w wystarczającym stopniu bezpieczne.
Cyfrowe mechanizmy systemu muszą często zostać uruchomione wcześniej – muszą być
ukierunkowane na zapobieganie, a nie na wykrywanie/naprawianie – z racji szybkiego i
zautomatyzowanego przepływu informacji elektronicznej. Ważne jest, że nie tylko pliki
główne (oraz poprawki do nich wprowadzane), lecz również pliki transakcji (oraz poprawki
do nich wprowadzane) są aktualizowane w sposób kontrolowany i że mechanizmy oparte o
komputery powinny być planowe i utrzymywane, ponieważ niedostatki w tej materii
prowadzić będą do zwiększonego ryzyka straty finansowej.
Obraz ryzyka zmienia się i staje się bardziej dynamiczny. Zarówno techniczna jak i
gospodarcza długość życia sprzętu oraz oprogramowania jest skrócona i musi być ciągle
zastępowana nowszymi wersjami. Odpowiednio, dzisiejsze systemy bezpieczeństwa IT mogą
nie być w stanie sprostać jutrzejszym wymogom dotyczącym bezpieczeństwa i w
konsekwencji muszą być zastępowane nowymi systemami bezpieczeństwa lub aktualizowane.
Z tego względu, bezpieczeństwo oraz polityka IT w przyszłości musi wypełnić stałą lukę w
programie kierownictwa podmiotu publicznego. Bezpieczeństwo IT nie będzie już dłużej
kwestią ograniczoną do jednostek IT podmiotu publicznego.
w Ramach polityki bezpieczeństwa IT kierownictwo musi podjąć decyzję dotyczącą
pożądanego poziomu bezpieczeństwa oraz sposobu radzenia sobie z ryzykiem. Polityka
bezpieczeństwa IT powinna obejmować zarówno zagrożenia wewnętrzne jak i zewnętrzne
(ryzyka) skierowane przeciwko systemom oraz danym niezbędnym dla misji oraz rozwoju
podmiotu publicznego.
5.3 Kontrola
ś
rodowisk cyfrowych („skomputeryzowanych”)
5.3.1 Cel kontroli
Nadrzędnym celem kontroli finansowej jest dostarczenie kompetentnej opinii na temat jakości
rocznych ksiąg rachunkowych, które zostały przedłożone przez kierownictwo, aby Najwyższe
Organy Kontroli (NOK) były w stanie ocenić je w raporcie z kontroli. Cel kontroli nie jest
uwarunkowany przejściem podmiotu publicznego do środowiska cyfrowego.
50
5.3.2 Kontrola systemowa i materialna
Kontrola jest ustalana oraz przeprowadzana na podstawie istotności i ryzyka, w oparciu o
model ryzyka dotyczący kontroli – oraz przeprowadzana zgodnie z odpowiednimi praktykami
sektora publicznego dotyczącymi przeprowadzania kontroli. NOK musi przeprowadzać swoje
kontrole w sposób finansowo korzystny i wydajny, aby uzyskać istotny oraz wystarczający
dowód kontroli za rozsądną cenę.
Kontrola jest przygotowywana jako kontrola systemowa i połączona z kontrolą materialną w
stopniu, w jakim jest to konieczne. Kontrola musi ustanowić dowód w postaci ścieżki kontroli
systemowej.
Kontrola systemowa obejmuje kontrolę procedur opartych o IT oraz procedur ręcznych z
uwzględnieniem ogólnych mechanizmów IT wspierających systemy użytkownika oparte na
IT oraz mechanizmy wewnętrzne.
Na przykład kontrola materialna może stanowić kontrolę analityczną ksiąg rachunkowych,
kontrolę dowodów wpłaty/pokwitowań, przeprowadzaną możliwie ze wsparciem CAAT
(technik kontroli z użyciem komputera) – w oparciu o ocenę niezawodności wewnętrznego
podmiotu kontroli.
W sytuacji, w której procedury administracyjne oraz finansowe podmiotu publicznego są
zdigitalizowane, procedury IT podmiotu publicznego lub procedury oparte o IT nabierają
dużego znaczenia dla planowania oraz przeprowadzania kontroli. Stąd, NOK musi zbadać czy
wewnętrzny organ zarządczy systemów użytkownika, itd. funkcjonuje tak skutecznie, że
rzetelność danych, niezawodność oraz kompletność są zapewnione, niezależnie od tego czy,
systemy użytkownika funkcjonują w środowisku IT z zadowalającymi systemami,
niezawodnością danych oraz niezawodnością eksploatacyjną.
Kolejna sekcja opisuje, jak może wyglądać struktura kontroli aplikacji IT.
5.3.3. Kontrola aplikacji IT
21
Badanie aplikacji IT podmiotu publicznego najlepiej podzielić na:
a. początkową ocenę aplikacji IT
b. przegląd ogólnych mechanizmów IT
c. przegląd mechanizmów w systemie użytkownika
d. outsourcing
a. Początkowa ocena aplikacji IT
Celem początkowej oceny NOK aplikacji IT jest utworzenie ogólnego zarysu jako podstawy
struktury kontroli oraz zebranie informacji na temat organizacji IT podmiotu publicznego,
sprzętu oraz oprogramowania, metody zarządzania, jak również ważnych systemów
użytkownika oraz baz danych.
NOK przeprowadza ocenę - na podstawie istotności oraz ryzyka – znaczenia aplikacji IT oraz
tego czy podmiot publiczny, w przypadku awarii lub zmniejszenia wydajności IT jest
zagrożony znaczącą stratą finansową, itd.
21
Audit Committee, Association of State Authorized Public Accountants, Denmark, Statements of Auditing
Standards nos. 14 (wrzesień 1995) oraz 17 (marzec 2000).
51
b. Przegląd ogólnych mechanizmów IT
Celem przeglądu NOK ogólnych mechanizmów IT jest ocena czy systemy, niezawodność
danych oraz niezawodność operacyjna są wystarczające, aby utworzyć podstawy kontroli
systemów użytkownika. Ogólne mechanizmy IT są to mechanizmy, które zgodnie z decyzją
kierownictwa podmiotu publicznego powinny zostać wdrożone w środowisku IT tak, aby
zewnętrzne parametry dotyczące niezawodności systemu, danych oraz niezawodności
operacyjnej stały się dopuszczalne, zgodnie z potrzebami podmiotu publicznego.
Mechanizmy te mają różny charakter i mogą być to na przykład mechanizmy organizacyjne,
fizyczne, uprzednio zaprogramowane lub ręczne.
Kontrola ogólnych mechanizmów IT jest przeprowadzana głównie przy pomocy wywiadów,
oględzin oraz weryfikacji uzyskanych informacji.
Przegląd zazwyczaj obejmuje strategię oraz politykę IT, warunki organizacyjne, rozwój oraz
utrzymanie systemów, wdrożenie operacyjne, mechanizmy dostępu, transmisję danych,
bezpieczeństwo fizyczne, plany zapasowe oraz awaryjne.
Do przeglądu zalicza się np. zbadanie czy istnieje rozdział funkcjonalny odnośnie funkcji IT,
rozwoju systemów oraz zarządzania nimi oraz tego czy istnieją wystarczające mechanizmy
dostępu.
W końcu NOK musi zbadać czy jest zachowana zgodność z odpowiednim ustawodawstwem
dotyczącym przetwarzania danych elektronicznych.
Przegląd ogólnych mechanizmów IT jest zakończony wnioskiem NOK dotyczącym ich
jakości, z uwzględnieniem stopnia w którym NOK może rozwinąć te mechanizmy w trakcie
dalszych kontroli systemów użytkownika.
c. Przegląd mechanizmów w systemach użytkownika
System użytkownika jest rozumiany jako system – aplikacja – który zawiera kilka funkcji
systemowych, opartych o IT oraz ręcznych administracyjnych funkcji w danym obszarze.
W systemie użytkownika mechanizmy wewnętrzne są wcześniej zaprogramowane oraz
uzupełniane w dostatecznym stopniu mechanizmami ręcznymi.
Przegląd systemu użytkownika zazwyczaj obejmuje:
•
funkcje systemu,
•
stosowane zapisy,
•
przetwarzanie danych wejściowych/wyjściowych,
•
mechanizmy uprzednio zaprogramowane i ręczne,
•
ś
ledzenie transakcji i mechanizmów oraz
•
zgodność z odpowiednim ustawodawstwem dotyczącym danych.
Celem przeglądu NOK jest zbadanie czy mechanizmy wewnętrzne w systemie użytkownika
gwarantują kompletne, dokładne i terminowe przetwarzanie zatwierdzonych transakcji oraz
zbadanie czy te mechanizmy wewnętrzne zapobiegają błędom lub naprawdę zapewniają, że
błędy zostają odkryte i są naprawiane. W końcu, przegląd musi wyjaśnić w jakim stopniu
istnieje dokumentacja dotycząca przeprowadzanego przetwarzania danych w systemie
52
użytkownika oraz zapobiegawczych, wcześniej zaprogramowanych oraz ręcznych
mechanizmów.
W sytuacji, w której mechanizmy wewnętrzne w systemie użytkownika funkcjonują
prawidłowo, kontrola powinna je objąć w znacznym stopniu. Jeżeli mechanizmy nie
funkcjonują w sposób zadowalający, NOK musi ocenić czy cel kontroli może zostać
zrealizowany w inny sposób.
Jeżeli NOK dojdzie do wniosku, że w wewnętrznych mechanizmach istnieją
niedociągnięcia lub, że istnieją rozbieżności w księgach rachunkowych lub procedurach
księgowych, sytuacja powinna być uwzględniona w zaleceniach kontrolera oraz ewentualnie
w sprawozdaniu z kontroli.
System użytkownika, który zapewnia możliwość wysyłania, otrzymywania oraz
przetwarzania danych elektronicznie do/od partnerów komercyjnych podmiotu publicznego
zazwyczaj zawiera następujące elementy główne: program aplikacji (np. system finansowy),
metodę transmisji danych (np. połączenie modemowe typu dial-up lub połączenie poprzez
dostawcę VANS
22
), wspólny standard dla wymiany danych (np. format XML) oraz
ewentualnie oprogramowanie do konwersji (przekształcenie z formatu wspólnego dla
wymiany danych do wewnętrznego formatu zapisu).
Integracja systemu jest możliwa, ponieważ systemy są skonstruowane modułowo i posiadają
otwarte interfejsy zarówno zewnętrznie do internetu jak i wewnętrznie w podmiocie
publicznym do innych systemów oraz są w zasadzie oparte o elektroniczne zatwierdzenia
wszystkich transakcji.
Dla podmiotu publicznego, największym ryzykiem wiążącym się z takim systemem jest to,
czy otrzymane dane wejściowe są prawidłowe, kiedy są ładowane do aplikacji użytkownika i
czy dane wyjściowe przekazywane od podmiotu publicznego również są prawidłowe.
Ponadto, ważne jest, aby podmiot publiczny zapewnił oraz zabezpieczył dokumentację
dotyczącą wysyłania/otrzymywania transakcji (niezaprzeczalność) i żeby podczas transmisji
danych nie miał miejsca wpływ na treść transakcji (rzetelność).
W celu oceny, że dane wejściowe i wyjściowe są prawidłowe, ważne jest, aby mechanizmy
systemu użytkownika umożliwiły ocenę danych przy użyciu dwóch mechanizmów, zwanych
Mechanizm 1 oraz 2, porównaj rysunek 8
23
22
Value Added Network Supplier (or Service) – Dostawca sieci z dodatkowymi usługami
23
„EDI in smaller business enterprises”, Danish EDI- Counsel, 1998
53
Generowanie danych
wyjściowych, ocena ich
poprawności i formatowanie
do standardu komunikacji
Sprawdzanie
poprawności i
wysyłanie
danych
Dane wejściowe
Transmisja
Mechanizm
1
Mechanizm 2
Aplikacja
użytkownika
Przekształcenie do formatu
zapisów wewnętrznych, ocena
poprawności oraz generowanie
danych wejściowych w
aplikacji użytkownika
Dane wyjściowe
Otrzymywanie i
ocena
poprawności
danych
Rysunek 8—Przepływ danych oraz mechanizmy sprawdzania poprawności
Rysunek 8 ukazuje elektroniczny przepływ danych pomiędzy podmiotem publicznym oraz
jego partnerami branżowymi. Ponadto, ukazuje on ocenę poprawności danych otrzymanych i
wysłanych w Mechanizmie 1 oraz ocenę poprawności danych wejściowych i wyjściowych w
Mechanizmie 2.
Mechanizm 1
Mechanizm 1 jest zlokalizowany w interfejsie systemu użytkownika zaraz po otrzymaniu oraz
tuż przed wysłaniem transakcji.
Mechanizm 1 musi zapewnić, że transakcja elektroniczna będzie zgodna z następującymi
wymogami podstawowymi dotyczącymi danych:
•
Autentyczności ( autor jest naprawdę tym za kogo się podaje).
•
Rzetelności (otrzymane dane stanowią te same dane co dane wysłane).
•
Tajności (osoby nieupoważnione nie mają dostępu do danych)
•
Niezaprzeczalności (nadawca/odbiorca danych nie może zaprzeczyć, że dane zostały
wysłane/ otrzymane).
W systemach w pełni zdigitalizowanych powyższe warunki są spełnione zarówno przez
nadawcę jak i odbiorcę danych.
Podmiot
publiczny
Partner
branżowy
54
Kiedy Mechanizm 1 zapewnił, że dane wysłane/otrzymane są autentyczne – że pozostały one
poufne i nie zostały narażone na niebezpieczeństwo podczas transmisji danych, że dotarły one
do odbiorcy oraz nie można zaprzeczyć, że zostały one wysłane bądź otrzymane - wówczas
otrzymana transakcja może zostać przeniesiona do aplikacji użytkownika (systemu
finansowego). Etap ten, jest jednakże także narażony na pewne ryzyko, któremu zapobiec ma
Mechanizm 2.
Mechanizm 2
Mechanizm 2 jest zlokalizowany bezpośrednio przed aplikacją. Mechanizm 2 przekształca i
przesyła dalej otrzymane transakcje oraz transakcje do wysłania do oraz z podstawowej
aplikacji użytkownika (systemu finansowego).
Mechanizm 2 musi zabezpieczyć dane wejściowe oraz wyjściowe w odniesieniu do:
•
Kompletności (np.
nie występuje przerwa w kompletności podczas
przekształcenia z zewnętrznego do wewnętrznego formatu danych, że awaria
systemu nie powoduje utraty danych lub, że zakłócenia związane z nadawcą
transakcji nie prowadzą do nieotrzymania całości transakcji. Mechanizm ręczny
powinien zapewnić, że błędne transakcje, które ewentualnie zostały zatrzymane,
zostaną w późniejszym czasie prawidłowo zarejestrowane w aplikacji).
•
Dokładności (tj. oceny poprawności otrzymanych danych transakcji dotyczących
np. numerów produktu, ilości, cen itd.). Ten sam mechanizm jest także stosowany
w odniesieniu do danych transakcji przesyłanych przez podmiot publiczny).
•
Ważność/ zatwierdzenia (np. ocena poprawności w celu zapewnienia, że tylko
transakcje odnoszące się do podmiotu publicznego są przekazywane do aplikacji
użytkownika. Należy zapewnić, że procedura zatwierdzenia otrzymanych
transakcji zbiorowych jest przygotowana do wdrożenia i że zatwierdzenie
przeprowadzane jest przez odpowiednio upoważnionych pracowników)
•
Terminowości (trwające operacyjne cykle aktualizowania muszą zagwarantować,
ż
e przetwarzanie danych pobranych transakcji odbywa się odpowiednim terminie).
Warunkiem koniecznym dla wydajności kontroli systemu użytkownika jest wdrożenie
praktycznych i wydajnych mechanizmów ogólnych IT.
Przeprowadzając kontrolę mechanizmów w systemach użytkownika, NOK powinno skupić
swoją uwagę na mechanizmach, które są ustanowione na kilku różnych poziomach.
Zgodnie z tym, co zostało wspomniane wyżej, pierwszy mechanizm musi zagwarantować
autentyczność transakcji, tajność, rzetelność oraz niezaprzeczalność.
Drugi mechanizm musi zapewnić kompletność transakcji, dokładność, ważność oraz
terminowość.
d. Outsourcing
Ze względu na fakt, że część aplikacji IT podmiotu publicznego jest zlecona na zewnątrz do
podwykonawcy, pozostanie obowiązkiem kierownictwa podmiotu publicznego zapewnienie,
55
ż
e niezawodność systemu, danych oraz niezawodność operacyjna towarzysząca procesom, jak
również systemy oraz dostęp do danych są zgodne z potrzebami podmiotu publicznego.
W celu zapewnienia tych warunków musi istnieć pisemna umowa pomiędzy podmiotem
publicznym oraz podwykonawcą. Zazwyczaj taka pisemna umowa powinna zawierać jako
minimum coroczną deklarację pochodzącą od księgowego podwykonawcy dotyczącą
niezawodności systemu, danych oraz niezawodności eksploatacyjnej.
Jako część kontroli, NOK musi dokonać przeglądu kontraktu z podwykonawcą i w zasadzie
musi uzyskać pełen dostęp do zbiorowych danych dotyczących zamówień publicznych,
przechowywanych przez podwykonawcę oraz dotyczących rzeczonego podmiotu
publicznego.
5.4. Uwagi ko
ń
cowe
Pomimo, że celem nadrzędnym kontroli finansowej jest dostarczenie NOK kompetentnych
opinii odnośnie jakości dostarczonych ksiąg finansowych, kontrola jest przygotowywana jako
kontrola systemowa i połączona jest z kontrolą materialną w stopniu koniecznym.
Kontrole systemowe obejmują kontrolę procedur opartych o IT oraz procedur ręcznych,
łącznie z ogólnymi mechanizmami IT, które wspierają systemy użytkownika/ procedury
oparte o IT oraz mechanizmami wewnętrznymi.
Kontrola systemów cyfrowych składa się z następujących etapów: początkowa ocena
aplikacji IT, przegląd ogólnych mechanizmów IT, przegląd mechanizmów w systemie
użytkownika oraz ocena umowy outsourcingu, jeżeli istnieje.
Kontrola ogólnych mechanizmów IT bada, w jakim stopniu bezpieczeństwo systemu, danych
oraz bezpieczeństwo operacyjne jest wystarczające oraz może stanowić podstawę dla kontroli
systemów użytkownika.
Kontrola mechanizmów systemu użytkownika wskazuje czy istnieją odpowiednie
mechanizmy, ustanowione w celu zapewnienia autentyczności transakcji, tajności, rzetelności
oraz niezaprzeczalności, jak również jej kompletności, dokładności, ważności oraz
terminowości.
6. KONSEKWENCJE ORGANIZACYJNE
6.1 Wst
ę
p
Digitalizacja procedur pracy w instytucjach publicznych nakłada podobne wymogi na
poszczególne NOK, dotyczące podjęcia przez nie strategicznych inicjatyw w tej dziedzinie.
Celem tych inicjatyw musi być przejście NOK do procedur cyfrowych oraz rozwoju
proceduralnego, jak również kontynuowanie edukacji w obszarze umiejętności IT.
56
Podstawę tych inicjatyw stanowi przede wszystkim uznanie zależności od IT, oraz uznanie, że
IT stanowi decydujący czynnik w realizacji misji oraz wizji NOK.
Podstawę przejścia na systemy cyfrowe NOK stanowić będzie wzajemna zależność pomiędzy
strategią organizacyjną oraz strategiami IT. Ważne jest, aby wyższa kadra kierownicza NOK
określiła ramy formalne dla stosowania IT oraz, aby zasadnicza odpowiedzialność za
zarządzanie IT oraz stosowanie, łącznie z bezpieczeństwem spoczywała na wyższej kadrze
kierowniczej.
Digitalizacja NOK wymaga dostosowań w 4 ważnych dziedzinach:
•
przejścia do procedur cyfrowych
•
metod
•
kwalifikacji
•
zasobów
6.2. Przej
ś
cie do procedur cyfrowych
NOK, podobnie jak inne instytucje publiczne, doświadcza potrzeby usprawnienia pracy przy
pomocy digitalizacji. W celu przystosowania NOK do procedur cyfrowych oraz, lepszego
przetwarzania dokumentacji elektronicznej rozwój ten będzie obejmował:
•
wzmocnienie organizacji oraz technologii IT,
•
zapewnienie, że bezpieczeństwo IT spełnia nowe wymagania, łącznie z tworzeniem
kopii zapasowych, zaporami (firewallami) itd. i że NOK może sobie poradzić za
pomocą danych wewnętrznych dostępnych jedynie elektronicznie,
•
wdrożenie polityki dla nowych procedur oraz programów towarzyszących
otrzymywaniu oraz wysyłaniu poczty elektronicznej tak, aby pracownicy stosowali,
rejestrowali oraz przetwarzali fachowo pocztę elektroniczną,
•
ustanowienia jednego lub więcej urzędowych adresów poczty elektronicznej na
poziomie kierownictwa, instytucji, departamentu oraz/lub pracownika,
•
poinformowanie pracowników organizacji o procesie transformacji do systemu
cyfrowego,
•
poinformowanie partnerów zewnętrznych o zmienionych wytycznych instytucji w
celu komunikacji cyfrowej .
Jako taka, digitalizacja skutkować będzie wymogiem zwiększenia wiedzy NOK na temat IT
w celu wdrożenia oraz stosowania nowych narzędzi oraz metod. Podobnie, digitalizacja
będzie wymagać, aby wewnętrzna funkcja IT została umocniona, co umożliwi organizacji
przetwarzanie jedynie informacji cyfrowych – tj. serwery poczty elektronicznej, firewalle,
systemy bezpieczeństwa itd. będą odgrywać większą rolę niż kiedykolwiek przedtem.
6.3. Metody
Kontrola w środowisku cyfrowym nie może być przeprowadzona w ten sam sposób, jak w
ś
rodowisku nieskomputeryzowanym. Jednym z przykładów na to, co mogą oznaczać te
57
zmiany jest sytuacja, kiedy publiczna spółka promowa przeszła z całkowicie ręcznego,
nieskomputeryzowanego systemu sprzedaży biletów na system elektroniczny, który w
mniejszym lub większym stopniu funkcjonuje bez interwencji człowieka. Podmiot publiczny
zainstalował nowy, elektroniczny system sprzedaży/ biletów/fakturowania/płatności, tak, że
sprzedaje bilety przez Internet, otrzymuje płatności poprzez system kart poprzez Internet,
rejestruje wejścia na pokład, przeprowadza operacje księgowe oraz automatycznie drukuje
faktury itd.
Rozwiązanie to spowoduje wymóg zmiany procedur kontroli oraz koncepcji, więc kontrole
odpowiednio ukażą nowe zagrożenia. Do przykładów niezbędnych inicjatyw strategicznych
należą:
•
opracowanie nowych metod oraz narzędzi przeprowadzania kontroli.
•
zbadanie jakie nowe technologie mogą być wykorzystane wewnętrznie w nowych
koncepcjach, np. statystycznych badaniach losowych oraz specjalnie opracowanych
aplikacjach (np. CAAT).
6.4 Kwalifikacje
Digitalizacja ważnych funkcji w firmach oznacza, że tradycyjne procedury oraz wewnętrzne
mechanizmy oparte o formularze papierowe staną się przestarzałe i zostaną zastąpione przez
dane elektroniczne - za wyjątkiem elementów procedur dotyczących fizycznego przepływu
towarów.
Dla NOK oznacza to istotną zmianę w środowisku kontroli. Jednorazowe transakcje, które
poprzednio były dokumentowane za pomocą dowodów wpłaty/pokwitowań zostaną teraz
zastąpione informacjami cyfrowymi (danymi), którym towarzyszyć będzie elektroniczne
potwierdzenie transakcji. Kontrola ogólnych mechanizmów IT oraz systemów użytkownika
opartych o IT będzie w przyszłości stanowić większy element kontroli systemu i wymagać
więcej roboczogodzin oraz większej liczby personelu posiadającego zarówno umiejętności
związane z IT, jak i przeprowadzaniem kontroli.
Przykłady niezbędnych inicjatyw strategicznych obejmują:
•
szkolenie dotyczące sposobu kontroli środowiska cyfrowego, porównaj Rozdział V;
•
szkolenie w zakresie stosowania nowych narzędzi (IDEA, CAAT, itp.);
•
szkolenie ustawiczne jako rezultat technologii – z udziałem jednostki kontrolowanej
oraz wewnętrznie w organizacji – ciągły rozwój;
•
kursy dla całej organizacji skoncentrowane na postawach i zrozumieniu;
•
wzmocnienie wewnętrznego IT tak, aby organizacja oraz technologia mogły sobie
poradzić posiadając jedynie dane dostępne w formacie cyfrowym;
•
zmiany organizacyjne oraz restrukturyzację mające na celu realizację nowych
zadań.
58
6.5 Zasoby
Proces przejścia pociąga za sobą przede wszystkim potrzebę większych zasobów.
Należy opracowywać nowe koncepcje, ponieważ należy przyjąć, że kontrola klienta
indywidualnego spowoduje wykorzystanie większych zasobów w w pełni
zdigitalizowanym środowisku. Istnieją jednakże dwa warunki, które są sprzeczne z
tą tendencją. Po pierwsze, opracowanie nowych metod kontroli oraz narzędzi ma na
celu zwiększenie wydajności. Po drugie, w wielu krajach rozwój kieruje się ku
coraz większym centrom serwisowym IT.
Jedną z konsekwencji digitalizacji jest zanik wymogu dotyczącego bliskiej
fizycznej bliskości z danymi oraz informacjami. Oznacza to, że funkcje, które
poprzednio były szeroko rozproszone geograficznie, mogą być teraz zebrane razem,
na przykład płace oraz rekrutacja, które stanowią zadania kompleksowe oraz są
dużym obciążeniem dla zasobów.
Z jednej strony, należy przyjąć, że kontrola konkretnego podmiotu publicznego
spowoduje zużycie większych zasobów, podczas gdy z drugiej strony, istnieje
tendencja, że będzie mniej firm, w których będą przeprowadzane kontrole.
W kwestii zasobów wyłania się niepewny obraz. Prawdopodobnie większe wymogi
dotyczące zasobów będą istnieć tylko podczas okresu przejściowego. Jednym z
przykładów niezbędnej inicjatywy strategicznej jest:
•
zakrojona na szeroką skalę świadomość kadry kierowniczej odnośnie
wykorzystywania możliwości dotyczących poprawy wydajności wraz ze
zorganizowaniem nowych metod kontroli.
6.6 Uwagi ko
ń
cowe
W przypadku NOK digitalizacja sektora publicznego oznaczać będzie ważne wewnętrzne
techniczne oraz organizacyjne dostosowania, wymagające inicjatyw strategicznych:
•
przejścia do procedur cyfrowych
•
opracowania nowych metod i narzędzi kontroli
•
rozwoju umiejętności IT kontrolerów
•
wykorzystanie potencjału wydajności poprzez ulepszoną organizację
nowych metod kontroli.
59
GLOSARIUSZ
Rozliczalność (obowiązek zdania sprawy) – w bezpieczeństwie informacji, zasada
indywidualnej identyfikacji oraz indywidualnej odpowiedzialności użytkowników systemu za
działania. Możliwość dokonania jednostkowej identyfikacji użytkowników umożliwia
ś
ledzenie przypadków naruszenia bezpieczeństwa oraz wykrycie jego sprawców. Celu tego
nie można osiągnąć w przypadku wspólnych haseł.
Dokładność - właściwość zapewniona przez mechanizm systemu umiejscowiony
bezpośrednio przed aplikacją użytkownika w celu sprawdzenia poprawności otrzymanych
danych transakcji dotyczących np. numerów produktu, ilości, jakości, cen itd.
Autentyczność - w bezpieczeństwie informacji, właściwość, która określa, że autor
wiadomości, pliku itd. jest rzeczywiście tym, za kogo się podaje.
Dostępność – możliwość dostępu do i stosowania systemu, zasobu lub pliku w dowolnej
chwili i miejscu.
System back office (lub back end) – infrastruktura komputerowa w ramach organizacji,
która wspiera główne aplikacje procesu biznesowego, lecz nie posiada zewnętrznego
interfejsu z klientami (inaczej niż w przypadku witryny www lub portalu)
Jednostka certyfikująca – w kryptografii, jednostka posiadająca zaufanie wszystkich
użytkowników, tworząca oraz przypisująca certyfikaty cyfrowe. Rola ta jest pełniona zwykle
przez instytucje publiczne, takie jak Poczta lub banki clearingowe (np. Barclays)
Mechanizmy w systemie użytkownika - wewnętrzne wcześniej zaprogramowane
mechanizmy uzupełnione w stopniu koniecznym mechanizmami ręcznymi.
Kompletność – właściwość zapewniona przez mechanizmy systemu umiejscowione
bezpośrednio przed aplikacją użytkownika, w celu zapewnienia, że nie występują przerwy
podczas przekształcenia zewnętrznego formatu danych na wewnętrzny format danych lub, że
awaria systemu nie spowoduje utraty danych lub, że usterki powstałe z winy użytkownika
transakcji nie będą prowadzić do nieotrzymania całości transakcji.
Tajność – w bezpieczeństwie informacji, właściwość, zgodnie z którą informacja nie jest
udostępniana ani ujawniana osobom nieupoważnionym, podmiotom lub procesom.
Certyfikat cyfrowy – w kryptografii wiadomość, która gwarantuje autentyczność danych w
niej zawartych. W kryptografii klucza publicznego w celu zagwarantowania autentyczności
Jednostka Certyfikująca powinna wydać certyfikat, któremu ufają wszyscy użytkownicy.
60
Certyfikat zawiera zazwyczaj tożsamość posiadacza klucza publicznego, sam klucz publiczny
oraz jego datę ważności.
Dokumenty cyfrowe - dane podmiotu publicznego, które istnieją w formacie elektronicznym
lub cyfrowym, obejmujące nie tylko dokumenty, które zostały zdigitalizowane z nośników
papierowych (np. listów), lecz również takie, które istnieją i są używane jedynie w formie
papierowej podczas całej ich „długości życia”.
Podpis elektroniczny - Deszyfrowanie i szyfrowanie pliku w celu uwierzytelnienia
określonego typu przekazu w usługach transakcji przeprowadzanych poprzez sieć, które
zwykle muszą posiadać formę pisemną, aby były prawnie wiążące; stosowany przez
administrację w celu bezpiecznej i legalnej komunikacji z obywatelami, firmami lub innymi
podmiotami publicznymi (urząd-obywatel; urząd-przedsiębiorca; urząd-urząd).
Domena – część hierarchii nazw internetu. Nazwa domeny dokładnie umiejscawia
organizację lub inny podmiot w Internecie, na przykład:
http://www.eurosai.org//
. Adres
strony http://www.eurosai-it.org stanowi subdomenę.
Elektroniczne podejmowanie decyzji – współdziałanie pomiędzy podmiotami sektora
publicznego oraz sposób, w jaki społeczeństwo się samo organizuje dla podejmowania
zbiorowych decyzji poprzez stosowanie elektronicznych przejrzystych mechanizmów.
e-administracja – stosowanie informacji oraz technologii komunikacyjnych przez organy
rządowe, czego celem jest: (a) dostarczanie większej ilości/lub lepszej informacji oraz innych
usług, zewnętrznie do obywateli i firm oraz wewnętrznie do innych organizacji rządowych;
(b) usprawnienie operacji administracji w kontekście większej skuteczności, oraz/lub
wydajności; (c ) zwiększenie udziału w życiu politycznym.
e-zarządzanie – oznacza rozwój, rozmieszczenie oraz realizację polityk, ustaw oraz
rozporządzeń koniecznych do wspierania funkcjonowania społeczeństwa cyfrowego oraz
gospodarki. Kwestie zarządzania pojawiają się we wszystkich poziomach e-administracji.
e-zamówienia publiczne - zastąpienie tradycyjnej dokumentacji handlowej na przykład
zamówień zakupu i faktur poprzez dane przekazywane elektronicznie.
System front office (lub front end) – infrastruktura komputerowa w organizacji opracowana
przede wszystkim jako interfejs służący do komunikowania się z klientami zewnętrznymi,
takimi jak sieci internetowe lub portale.
Ogólne mechanizmy IT - w bezpieczeństwie informacji, mechanizmy wdrażane w
ś
rodowisku IT po to, aby zewnętrzne parametry dotyczące niezawodności systemu, danych
oraz niezawodności operacyjnej osiągnęły dopuszczalny poziom, zgodnie z potrzebami
podmiotu publicznego. Mechanizmy te mają różny charakter i mogą być np. organizacyjne,
fizyczne, wstępnie zaprogramowane oraz ręczne.
Rzetelność – w bezpieczeństwie informacji właściwość, która oznacza, że dane otrzymane są
tymi samymi danymi, co dane wysłane.
61
Mechanizmy wewnętrzne - w bezpieczeństwie informacji, wstępnie zaprogramowane
mechanizmy w systemie użytkownika mające na celu zapewnienie całkowitego, dokładnego
oraz terminowego przetwarzania zatwierdzonych transakcji, także mające na celu
zapobieganie występowaniu błędów lub rzeczywiste zapewnienie, że błędy zostaną wykryte i
naprawione.
Interoperacyjność - w systemach informacyjnych, właściwość pozwalająca dwóm sieciom
operatorów łączyć się ze sobą, aby usługi mogły ze sobą współdziałać w granicach
wzajemnego połączenia.
Demokracja online - prowadzenie działalności z udziałem obywateli w tworzeniu polityki
poprzez procesy odbywające się w systemie komputerowym, oraz zwłaszcza przez Internet.
Twórcy polityk mogą na przykład organizować sondaże lub referenda dotyczące konkretnych
spraw związanych z polityką, takich jak plany zagospodarowania przestrzennego,
proponowane ustawodawstwo itd. Wynik takich sondaży/referendów może odgrywać rolę w
procesie podejmowania decyzji.
Kontrola wykonania zadań - kontrole wykonania zadań stanowią przeglądy przeznaczone
do określenia jak wydajnie i skutecznie agencja wykonuje swoje funkcje. Kontrole wykonania
zadań mogą stanowić przegląd programu rządowego, całej agencji rządowej lub jej części lub
pozwalają analizować konkretne kwestie, które wpływają na cały sektor publiczny.
Zamówienia publiczne - Każdy aspekt procesu określania zapotrzebowania na towary oraz
usługi, oraz kupowanie, dostarczanie oraz przechowywanie ich. Zamówienia publiczne
odgrywają rolę centralną w zarządzaniu dowolnymi operacjami i jest niezbędne, aby zdobyć
konieczne towary oraz usługi dobrej jakości, po dobrej cenie oraz w odpowiednim czasie.jest
kiedy kumulacja wymogów dotyczących zakupów umożliwia przeprowadzenie znacznych
usprawnień odnośnie zwiększenia wartości.
24
Certyfikat klucza publicznego – stwierdzenie, w miarę możliwości w formie papierowej,
lecz o wiele częściej przekazywane elektronicznie przez sieć, które ustanawia relacje
pomiędzy określoną jednostką (lub organizacją) a określonym kluczem publicznym. W
zasadzie, powinien on (lecz nie musi) zawierać inne informacje, takie jak adres pocztowy,
przynależność do organizacji oraz numer telefonu.
Niezaprzeczalność - w bezpieczeństwie informacji właściwość, która oznacza, że nadawca/
odbiorca informacji nie może zaprzeczyć faktu wysłania/otrzymania danych.
Re-engineering procesów biznesowych – innowacja oraz przekształcenie procesów
strukturalnych oraz procesów pracy w celu ulepszenia jakości usług oraz wydajności w
sektorze publicznym.
24
zdanie niepełne w oryginale
62
Niezawodność - w systemach informatycznych zdolność systemu komputerowego,
informatycznego lub telekomunikacyjnego do ciągłego działania zgodnego ze swoją
specyfikacją oraz wymogami projektu, charakteryzująca się dużym zaufaniem.
Bezpieczeństwo – zbiór zabezpieczeń, które mają na celu zapewnienie, że poufność
informacji chroni system(y) lub sieć(sieci), które je przetwarzały oraz kontroluje dostęp do
nich. Stąd, zabezpieczenia tworzą odpowiednie zasady dostępu do informacji komputerowej.
Karta
inteligentna
–
elektroniczna
technologia
transakcyjna
pozwalająca
na
przechowywanie i aktualizację informacji dotyczących uwierzytelniania lub kont
użytkownika.
Kontrola materialna - proces zbierania oraz oceny dowodów w celu sformułowania opinii
na temat tego czy system kontroli wewnętrznej jest wiarygodny.
Kontrola systemowa – proces gromadzenia i oceny materiału dowodowego w celu
sformułowania opinii czy system informatyczny (aplikacja użytkownika) zabezpiecza aktywa,
utrzymuje rzetelność danych, pozwala na osiągnięcie celów organizacji i określa wydajne
wykorzystanie zasobów.
Kontrola techniczna – proces zbierania i oceny dowodów w celu sformułowania
opinii odnośnie tego czy (elementy) infrastruktury IT zabezpieczają aktywa, utrzymują
rzetelność danych, pozwalają na spełnienie celów organizacji oraz określenie wydajnego
stosowania zasobów. Infrastruktura IT oznacza tu sprzęt komputerowy, sieci, systemy
operacyjne oraz wszelkie inne oprogramowanie, które nie stanowi aplikacji użytkownika
(zarządzanie bazami danych, oprogramowanie bezpieczeństwa, systemy zarządzania centrum
danych, itd.)
Telematyka – zbiór technologii, które łączą w sobie telekomunikację i informatykę.
Terminowość – w bezpieczeństwie informacji, właściwość zapewniona przez mechanizm
systemu umiejscowiony bezpośrednio przed aplikacją użytkownika w celu zapewnienia, że w
czasie występowania operacyjnych cykli aktualizacji przetwarzanie danych pobranych
transakcji odbywa się w odpowiednim czasie.
System użytkownika – aplikacja systemowa, która obejmuje kilka systemowych, opartych o
IT oraz ręcznych funkcji administracyjnych w danym obszarze.
Sprawdzanie poprawności/ zatwierdzenie – w bezpieczeństwie informacji, właściwość
zapewniona przez mechanizm systemu zlokalizowany bezpośrednio przed aplikacją
użytkownika w celu zapewnienia, że procedura zatwierdzenia otrzymanych transakcji
zbiorowych jest gotowa do wdrożenia i że zatwierdzenie jest przeprowadzane przez
odpowiednio upoważniony personel (np. sprawdzenie poprawności celem zapewnienia, że
tylko transakcje dotyczące podmiotu publicznego są przenoszone do aplikacji użytkownika).
Narażenie na ataki – słabość w systemie, która może być wykorzystana w celu naruszenia
zamierzonego zachowania systemu. Narażenie na ataki może dotyczyć bezpieczeństwa,
63
rzetelności, dostępności oraz innych właściwości. Przypadek wykorzystania takiej słabości
stanowi zagrożenie, któremu towarzyszy ryzyko wykorzystania.