Државниот завод за ревизија изврши ревизија на информациски системи како ревизија на успешност на тема „Систем за интегрирано планирање на ресурсите – ИПР систем” со цел да дадат одговор на прашањето „Дали се утврдени и имплементирани мерки за ефикасна и целосна заштита на податоците во системот за интегрирано планирање со ресурсите?“
„Системот за интегрирано планирање на ресурсите (ИПР систем) го употребува
Службата за општи и заеднички работи на Владата на Република Северна Македонија
за ефикасно и современо извршување на сметководствено – финансиски услуги за
повеќе државни институции. Иако, ИПР системот е имплементиран во 2016 година, се
уште отсуствува правен акт кој ги регулира правата и обврските на Министерството
како сопственик и на Службата како корисник на системот, што создава ризик од
несоодветно управување со податоците. Поради несоодветно планирање и ненавремено спроведување на постапките за одржување на системот, во период од 522 дена не бил склучен договор за регулирање на правата и обврските за негово одржување. Ваквата состојба влијае на безбедноста, достапноста и точноста на податоците, како и до потешкотии во изготвувањето на финансиските извештаи за соодветните известувачки периоди“, се вели во соопштението на ДЗР.
Во периодот на одржување не се преземени активности за редовна проверка на
резервната копија (бекап) на податоците, а со тоа се зголемува ризикот од поврат на
податоците.
„Службата во договорите со кои ги уредува правата и обврските помеѓу давателот и
корисниците на сметководствено-финансиските услуги не ја дефинира сопственоста на
податоците и нема јасна распределба на одговорностите. Системот за интегрирано планирање на ресурсите е евидентиран во деловните книги на Министерството за 1.294 илјади денари помалку од неговата набавна вредност и истиот не е зголемен за износ од 18.065 илјади денари (293.000 евра) за вредноста на адаптивното одржување на системот. Ваквата состојба влијае на точноста на финансиските извештаи и може да предизвика проблеми во планирањето на идни активности и испорака на услуги, како и на квалитетот на податоците и информациите кои го даваат финансиските извештаи. Службата, како корисник на системот за интегрирано планирање на ресурсите која опслужува правни субјекти, нема преземено
активности за евидентирање на системот и неговите надградби во вонбилансна
евиденција“, се додава во Извештајот на ДЗР.
Во Службата недостасуваат стратешки документи кои јасно ги дефинираат насоките за
развој, одржување и надградба на информациските системи, како и политики и
процедури за управување со податоци што може да доведе до неефективно
управување и ранливост од безбедносни закани.
Службата нема ажурирана системска документација вклучувајќи ја и конфигурацијата на базите на податоци. Пристапот до ИПР системот се реализира од повеќе локации преку ВПН конекции. Лозинките не се временски ограничени и воопшто не се менуваат, додека администраторите користат општи кориснички имиња. Воспоставената конфигурацијата за снимање на настани (логови) во системот резултира со автоматско бришење на најстарите записи. Не постои локација за чување на ревизорската трага, а системот не зачувува информации за сите настани, што ја оневозможува контролата на пристапот и идентификацијата на неовластени активности. Резервните копии не се претворени во нечитлива форма, не се чуваат на
надворешна локација, и не постојат формални политики и процедури за нивно
редовно тестирање и обновување.
Работните станици користат застарен оперативен систем без безбедносни
ажурирања и поддршка од производителот, што го зголемува ризикот од
безбедносни напади и неовластен пристап. Исто така, конфигурацијата на ВПН
пристапот, без повеќе факторска автентикација односно потврда на идентитет
преку два или повеќе независни фактори и со заедничка лозинка, ја зголемува
веројатноста за компромитирање на системот.
Недостигот на човечки ресурси влијае на навремено и ефикасно извршување на
задачите, со постојан одлив на вработени поради пензионирање и недостаток на
вработени со соодветни вештини и знаења, и тоа како што следува: кај ИПР системот отсуствува интегрираност на модулите во системот како и нецелосната искористеност на постоечките функционалности на системот што доведуваат до неможност за автоматизирање на процесите.
Ова создава потреба за двојно внесување на податоци, што го зголемува ризикот од грешки и неефикасност. Дополнително, два од модулиите што се наменети за следење на реализацијата на договорите и за буџетското работење воопшто не се користат.
„Исто така констатиравме состојби кои се однесуваат на: ненавременото евидентирање на обврските во моментот на настанување, односно фактурите и нивната придружна документација се евидентираат во системот само по нивното одобрение за плаќање, што не овозможува хронолошко внесување на финансиските промени. Овој пристап го зголемува ризикот од нецелосно евидентирање на обврските и влијае на точноста на финансиските извештаи и извештаите за финансиската состојба како и на квалитетот на податоците и информациите кои ги даваат истите“, велат од ДЗР.
За надминување на наведените состојби ДЗР дава препораки со цел да се преземат
активности со кои ќе се создадат услови за заштита на податоците, со јасно
дефинирање на правата и обврските на институциите корисници на системот,
поставување на соодветни безбедносни конфигурации за пристап и интегрирање на
безбедносни апликациски контроли, како и вложување во човечки капацитети кои ќе
обезбедат ефикасно извршување на задачите, како и континуирана заштита на
податоците и пристапот до ресурсите на системот за интегрирано планирање.
