E-administracja w perspektywie kontroli - EUROSAI IT Working Group
E-administracja w perspektywie kontroli - EUROSAI IT Working Group
E-administracja w perspektywie kontroli - EUROSAI IT Working Group
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
E-<strong>administracja</strong> w <strong>perspektywie</strong> <strong>kontroli</strong><br />
(RAPORT)<br />
Listopad 2004
1. WSTĘP ..............................................................................................................................7<br />
2. TRENDY W E-ADMINISTRACJI.....................................................................................9<br />
2.1. Wstęp ..........................................................................................................................9<br />
2.2 E-<strong>administracja</strong>: co to jest? ...........................................................................................9<br />
2.3 Przykłady zastosowań e-administracji.........................................................................11<br />
2.4. Potencjalne korzyści ..................................................................................................13<br />
2.5 Czym szczególnym wyróŜnia się e-<strong>administracja</strong>? ......................................................14<br />
2.6. Aspekty rozwojowe ...................................................................................................18<br />
2.7. Uwagi końcowe .........................................................................................................20<br />
ZAŁĄCZNIK 1 ............................................................................................................21<br />
3. RYZYKO .........................................................................................................................21<br />
3.1 Wstęp .........................................................................................................................21<br />
3.2. Ryzyka związane z planowaniem, opracowywaniem oraz wprowadzaniem usług e-<br />
administracji.....................................................................................................................22<br />
3.3. Ryzyka dotyczące prowadzenia usług e-administracji ................................................26<br />
3.4. Kontrola ryzyka związanego z projektami usług e-administracji ................................30<br />
3.5 Uwagi końcowe ..........................................................................................................33<br />
4. KONTROLA PROGRAMÓW I PROJEKTÓW ...............................................................33<br />
4.1 Wstęp .........................................................................................................................33<br />
4.2. Ramy konceptualne....................................................................................................33<br />
4.3 Metody <strong>kontroli</strong> ..........................................................................................................36<br />
4.4 Mapa ram CobiT.........................................................................................................43<br />
4.5. Uwagi końcowe .........................................................................................................44<br />
ZAŁĄCZNIK 2 ............................................................................................................45<br />
5.1. Wstęp ........................................................................................................................47<br />
5.2 Środowiska cyfrowe....................................................................................................47<br />
5.3 Kontrola środowisk cyfrowych („skomputeryzowanych”)...........................................49<br />
5.4. Uwagi końcowe .........................................................................................................55<br />
6. KONSEKWENCJE ORGANIZACYJNE .........................................................................55<br />
6.1 Wstęp .........................................................................................................................55<br />
6.2. Przejście do procedur cyfrowych................................................................................56<br />
6.3. Metody ......................................................................................................................56<br />
6.4 Kwalifikacje ...............................................................................................................57<br />
6.5 Zasoby........................................................................................................................58<br />
6.6 Uwagi końcowe ..........................................................................................................58<br />
GLOSARIUSZ .............................................................................................................59<br />
3
Przedmowa<br />
Podczas swojego pierwszego spotkania we wrześniu - październiku 2002 Grupa Robocza<br />
<strong>EUROSAI</strong> ds. Informatyki (<strong>EUROSAI</strong> <strong>IT</strong> <strong>Working</strong> <strong>Group</strong>) postanowiła utworzyć podgrupę<br />
w celu opracowania ogólnego zarysu e-administracji, e-zamówień publicznych oraz raportu<br />
dotyczącego trendów, definicji, ryzyk, metod <strong>kontroli</strong>, doświadczeń itd. Utworzona podgrupa<br />
składa się z Portugalii (kierownictwo), Danii, Niemiec, Polski, Rosji oraz Holandii.<br />
Podczas spotkania początkowego w lutym 2003 podgrupa podjęła decyzję w sprawie układu<br />
raportu. W następnej kolejności, członkowie opracowali róŜne rozdziały i oto leŜy przed<br />
Państwem rezultat tej pracy. Pomimo, Ŝe wszyscy naleŜymy do krajów europejskich, wszyscy<br />
posiadamy swoje własne „barwy narodowe”, poniewaŜ nasze doświadczenia róŜnią się w<br />
zaleŜności od sytuacji, jaka występuje w naszych krajach. W pewnym stopniu znajdzie to<br />
odzwierciedlenie w róŜnych rozdziałach niniejszego dokumentu. JednakŜe, mimo, Ŝe pewne<br />
przykłady oparte są o doświadczenia właściwe dla danego kraju, zostały one przedstawione w<br />
taki sposób, Ŝe znajdą zainteresowanie w szerokim kręgu odbiorców.<br />
Raport połączony jest z dokumentem „E-zamówienia publiczne i ich wpływ na przyszłe<br />
podejście kontrolne”, która oparta jest o doświadczenia Danii.<br />
Wersja dyskusyjna tego raportu została wysłana 25 listopada 2003 do wszystkich<br />
(ówczesnych) 24 członków grupy roboczej w celu uzyskania ich opinii. Termin zgłaszania<br />
uwag upłynął w dniu 15 grudnia 2003. Następnie, raport został poprawiony zgodnie z<br />
otrzymanymi uwagami, mimo, Ŝe niektóre zgłoszone kwestie odłoŜono w celu ich omówienia<br />
podczas drugiego spotkania Grupy Roboczej, w marcu 2004, w Bernie, w Szwajcarii. Podczas<br />
tego spotkania miały miejsce dyskusje na temat końcowych modyfikacji tekstu, których<br />
rezultatem jest niniejsza wersja ostateczna.<br />
5
1. WSTĘP<br />
Pod hasłem „e-<strong>administracja</strong>” większość Państw Europejskich zobowiązało się, poprzez róŜne<br />
krajowe oraz międzynarodowe programy działań oraz inicjatywy, udostępnić moŜliwie<br />
najwięcej swoich usług publicznych online przez internet w ciągu dającej się przewidzieć<br />
przyszłości (w większości przypadków do roku 2005).<br />
Programy te mają być głównymi krokami na drodze do osiągnięcia celu polityki rządów,<br />
którym jest przekształcenie Europy w społeczeństwo informacyjne. Rządy pragną zapewnić,<br />
aby obywatele, firmy, środowisko akademickie oraz inne podmioty rządowe miały prostszy,<br />
szybszy oraz bardziej opłacalny dostęp do usług publicznych. Celem tych starań jest<br />
zwiększenie zadowolenia obywateli z administracji oraz większa konkurencyjność krajów<br />
oraz przedsiębiorstw.<br />
Ponadto, programy e-administracji mają stać się istotnym elementem wszechstronnej<br />
modernizacji administracji. Spójne programy e-administracji mają stanowić bodziec dla reengineeringu<br />
procesów biznesowych w ramach całej administracji publicznej w celu<br />
uproszczenia szerokiej gamy struktur oraz procedur administracyjnych.<br />
W tej sytuacji brak realizacji lub opóźnienie w realizacji programów lub projektów e-<br />
administracji prowadzić będzie do niepowodzenia lub opóźnienia modernizacji. Co więcej,<br />
potrzeba konsolidacji budŜetów wymaga wykorzystania wszelkich moŜliwości cięcia kosztów<br />
bez zakłóceń w dostawie usług publicznych. Programy e-administracji mogą dostarczyć nowe<br />
moŜliwości odnośnie realizacji tego celu.<br />
Jedną z konsekwencji e-administracji jest odchodzenie rządów od systemów opartych na<br />
dokumentacji papierowej w kierunku systemów skomputeryzowanych, co pociąga za sobą<br />
całkowitą zmianę środowiska kontrolnego. Fakt ten stwarza nowe wyzwania zarówno dla<br />
audytowanych jak i audytorów. Brak dokumentacji papierowej zwiększa potrzebę<br />
zapewnienia ścisłych mechanizmów kontrolnych w systemach skomputeryzowanych – w<br />
tym: ogólnych mechanizmów kontrolnych, mechanizmów zaprogramowanych w systemach<br />
uŜytkownika oraz konkretnych mechanizmów ręcznych dostępnych w otoczeniu systemów<br />
uŜytkownika. Tendencja ta ma znaczące konsekwencje dla rozwoju oraz wdraŜania projektów<br />
e-administracji, jak równieŜ dla zarządzania systemami operacyjnymi <strong>IT</strong>.<br />
Co się tyczy konsekwencji dla audytorów, jednym z najwaŜniejszych wyzwań jest ocena<br />
waŜności oraz wiarygodności danych. Aby móc dokonać <strong>kontroli</strong> systemu e-administracji,<br />
musimy dostosować istniejące metody i techniki oraz opracować nowe.<br />
Ponadto, z uwagi na fakt, Ŝe systemy <strong>IT</strong> 1 oraz procesy biznesowe stają się w coraz większym<br />
stopniu ze sobą powiązane, decyzje dotyczące <strong>IT</strong> są w gruncie rzeczy decyzjami<br />
biznesowymi, a nie tylko decyzjami technicznymi, co wymaga zaangaŜowania wyŜszej kadry<br />
kierowniczej. Jedynie jej czynny udział moŜe zapewnić, Ŝe organizacja jako całość posiadać<br />
będzie wystarczającą kontrolę nad ryzykiem związanym z <strong>IT</strong>- tj. ryzykiem dotyczącym<br />
projektów, jak równieŜ codziennych operacji. WdraŜanie e-administracji jest procesem<br />
złoŜonym i wymaga nie tylko wizji, lecz takŜe silnego przywództwa politycznego na<br />
najwyŜszym poziomie.<br />
1 Ang. Information Technology, czyli systemy informatyczne<br />
7
To wszystko wymaga od NajwyŜszych Organów Audytu (NOA) poświęcenia szczególnej<br />
uwagi danemu programowi e-administracji. Celem niniejszego raportu jest podanie NOA<br />
pomocnej dłoni w tej dziedzinie. Po krótkim wstępie omówione zostało pięć tematów:<br />
pierwszy, "Trendy w e-administracji”, po zbadaniu niektórych z istniejących definicji w celu<br />
wyjaśnienia czego dotyczy e-<strong>administracja</strong>, wskazuje kilka potencjalnych korzyści<br />
wynikających z e-administracji i obejmuje niektóre z aspektów rozwojowych. Drugi,<br />
"Ryzyko" opisuje niektóre z ryzyk dotyczących przedwdroŜeniowych faz planowania i<br />
rozwoju usług e-administracji, ryzyk powstających podczas ich wprowadzania oraz ryzyk<br />
występujących w fazie dostarczania usług e-administracji. Trzeci oraz czwarty, „Audyt<br />
programów i projektów” oraz „Audyt w środowisku cyfrowym (skomputeryzowanym)”<br />
przedstawia podejścia do audytu odpowiednio ze strategicznego oraz operacyjnego punktu<br />
widzenia; podczas gdy pierwszy skupia się na zapotrzebowaniu na nowe metody audytu w<br />
celu określenia postępu administracji we wdraŜaniu programów oraz projektów e-<br />
administracji, drugi przedstawia ocenę przeprowadzania audytu w środowiskach cyfrowych<br />
oraz ocenę wymogów dotyczących przeprowadzania audytu w odniesieniu do celu, treści oraz<br />
zakresu. W końcu piąty, "Konsekwencje organizacyjne", przedstawia wymogi dla<br />
poszczególnych NOA, odnoszące się do potrzeby inicjatyw strategicznych, jakie mają zostać<br />
podjęte w dziedzinie <strong>IT</strong> jako wynik przejścia do procedur cyfrowych i rozwoju procedur,<br />
czego celem jest wypełnienie misji NOA w sposób bardziej wydajny i skuteczny.<br />
Mimo, Ŝe rozdziały niniejszego raportu zastały ułoŜone przez nas w sposób, który wydaje<br />
nam się najbardziej logiczny, czytelnicy mogą wybrać swoją własną ścieŜkę, w zaleŜności od<br />
ich obecnego stanu wiedzy oraz konkretnych zainteresowań. Struktura raportu umoŜliwia to,<br />
poniewaŜ kaŜdy rozdział moŜe być czytany jako samodzielna jednostka, obejmująca<br />
konkretny podtemat w ramach ogólnego tematu, jakim jest e-<strong>administracja</strong> w <strong>perspektywie</strong><br />
<strong>kontroli</strong>.<br />
8
2. TRENDY W E-ADMINISTRACJI<br />
2.1. Wstęp<br />
W rozdziale tym wyjaśniamy czym jest e-<strong>administracja</strong>. Najpierw, w sekcji 2.2, proponujemy<br />
definicję e-administracji po zbadaniu niektórych z istniejących definicji. Następnie, w sekcji<br />
2.3 prezentujemy kilka przykładów e-administracji, aby umoŜliwić czytelnikowi zrozumienie<br />
zakresu koncepcji. W sekcji 2.4 poruszamy kwestię potencjalnych korzyści z e-administracji.<br />
W sekcji 2.5 opisujemy typowe cechy e-administracji. W sekcji 2.6 opisujemy niektóre z<br />
aspektów rozwojowych. Kończymy ten rozdział kilkoma uwagami końcowymi w sekcji 2.7.<br />
2.2 E-<strong>administracja</strong>: co to jest?<br />
Poszukując przydatnej definicji roboczej koncepcji e-administracji zacznijmy od definicji<br />
przybliŜonej. Grupa projektowa e-administracji Komitetu INTOSAI <strong>IT</strong> stosuje następującą<br />
definicję roboczą:<br />
o E-<strong>administracja</strong> stanowi wymianę informacji dotyczącej administracji online z<br />
obywatelami, przedsiębiorstwami i agencjami rządowymi oraz dostarczanie im usług.<br />
Z uwagi na fakt, Ŝe dostarczanie informacji oraz usług stanowi z pewnością bardzo waŜny<br />
element e-administracji, co wynika z koncepcji, uwaŜamy, Ŝe definicja ta, przystosowana do<br />
potrzeb grupy projektowej INTOSAI, jest zbyt wąska, aby mogła dobrze słuŜyć naszym<br />
celom. Dzieje się tak, poniewaŜ jest ona ograniczona do tych działań, które mają charakter<br />
online i które są bezpośrednio skierowane do podmiotów zewnętrznych. Na przykład<br />
zarządzanie łańcuchem dostaw, ukierunkowane tak jak w e-business na zwiększenie<br />
wydajności oraz/lub skuteczności, jest przez nas uznawane za istotny element e-administracji.<br />
Aby zrozumieć o co w tym chodzi, czytelnik moŜe odnieść się do przykładu zapewniania<br />
opieki osobistej w sekcji 2.3.5. Zarządzanie łańcuchem dostaw nie jest jednakŜe objęte<br />
definicją INTOSAI.<br />
MoŜna zaobserwować wiele innych definicji, które pod względem zakresu obejmują definicje<br />
raczej ograniczone jak i bardzo obszerne. W celu zilustrowania zakresu definicji,<br />
prezentujemy tu trzy z nich, oparte o konferencję, która odbyła się w Holandii w roku 2001.<br />
o Elektroniczna <strong>administracja</strong> dotyczy dostarczania lub pozyskiwania informacji, usług<br />
lub produktów drogą elektroniczną, do lub od jednostek administracji, w dowolnym<br />
momencie oraz miejscu, w powiązaniu z wartością dodaną dla wszystkich<br />
uczestniczących stron.<br />
o E-<strong>administracja</strong> składa się z następujących zespołów: e-zarządzania, demokracji online<br />
oraz elektronicznego dostarczania usług.<br />
o Cztery perspektywy e-administracji są następujące:<br />
(a) perspektywa odbiorcy (interfejs z administracją publiczną);<br />
(b) perspektywa procesu (reorganizacja procesów administracji);<br />
(c) perspektywa współpracy (wysiłki związane ze współpracą);<br />
(d) perspektywa wiedzy (zarządzanie informacją oraz wiedzą w ramach administracji<br />
publicznej)<br />
9
Nie uwaŜamy za rozsądne ograniczać się zawczasu poprzez przyjęcie zbyt wąskiej<br />
definicji. Oto inne definicje obejmujące temat.<br />
Uniwersytet Nauk Stosowanych (Berner Fachhochschule) w Bernie (Szwajcaria)<br />
przedstawia następującą definicję:<br />
o E-<strong>administracja</strong> obejmuje wsparcie dla relacji, procesów oraz udziału<br />
politycznego zarówno w ramach jednostek administracji wszystkich poziomów<br />
(federalnego oraz/lub państwowego, regionalnego, poziomów lokalnych, itd.)<br />
oraz pomiędzy jednostkami administracji i wszystkimi ich interesariuszami,<br />
łącznie z obywatelami, przedsiębiorstwami i innymi organizacjami. Obejmuje<br />
ona zapewnianie niezbędnych środków współdziałania poprzez kanały<br />
elektroniczne.<br />
Jeszcze inną definicję stanowi definicja podana przez Unię Europejską 2 :<br />
o E-<strong>administracja</strong> oznacza wykorzystanie informacji oraz technik<br />
komunikacyjnych w urzędach publicznych, w połączeniu ze zmianą<br />
organizacyjną oraz nowymi umiejętnościami w celu usprawnienia usług<br />
publicznych, procesów demokratycznych oraz wzmocnienia wsparcia polityk<br />
publicznych.<br />
Ustawa o elektronicznej administracji USA z roku 2002 przedstawia obszerną, choć ścisłą<br />
definicję:<br />
o Elektroniczna <strong>administracja</strong> oznacza uŜycie przez Administrację aplikacji<br />
internetowych opartych o sieć oraz innych technologii informacyjnych,<br />
połączonych z procesami, które wdraŜają te technologie, aby:<br />
(A) usprawnić dostęp do informacji Administracji oraz usług, jak równieŜ ich<br />
dostarczanie ogółowi, innym agencjom lub innym jednostkom Administracji;<br />
lub<br />
(B) wprowadzić ulepszenia do działalności Administracji, które mogą obejmować<br />
skuteczność, wydajność, jakość usługi lub transformację<br />
W oparciu o podane definicje, dokonujemy definicji tego pojęcia w następujący sposób:<br />
Poprzez termin e-<strong>administracja</strong> rozumiemy stosowanie informacji oraz technik<br />
komunikacyjnych przez administrację, czego celem jest:<br />
(a) usprawnienie wymiany informacji z obywatelami oraz przedsiębiorstwami oraz/lub<br />
dostarczanie usług obywatelom oraz przedsiębiorstwom;<br />
(b) usprawnienie działalności administracji w zakresie większej skuteczności, oraz/lub<br />
wydajności 3 ;<br />
(c) zwiększenie udziału politycznego.<br />
2 COM(2003) 567 final, 26.9.2003, „The role of eGovernment for Europe’s future”.<br />
3 Obejmuje to wymianę informacji oraz/lub dostarczanie usług pomiędzy agencjami rządowymi<br />
10
Zgodnie z tą definicją, oprócz elektronicznego dostarczania usług istnieją inne aspekty<br />
koncepcji e-administracji. JednakŜe, rozdział ten będzie się skupiał głównie na tym aspekcie,<br />
poniewaŜ dla obywateli oraz przedsiębiorstw stanowi on aspekt najbardziej widoczny.<br />
Mówiąc o elektronicznym dostarczaniu usług moŜna poczynić rozróŜnienie pomiędzy trzema<br />
kategoriami, w zaleŜności od grupy docelowej, o której mowa: obywatelami,<br />
przedsiębiorstwami lub administracją. Niektórzy autorzy jako czwartą kategorię opisują<br />
usługi typu <strong>administracja</strong> - pracownik. Obejmuje ona oprócz innych usług zarządzanie wiedzą<br />
oraz zarządzanie karierą.<br />
JednakŜe, w naszym dokumencie nie będziemy badać tej granicznej kategorii. Aby<br />
przedstawić ogólny zarys, podajemy niniejszym krótki opis trzech głównych kategorii 4 :<br />
• Co się tyczy relacji urząd-obywatel, zostały rozmieszczone łatwe do znalezienia<br />
miejsca, w których obywatel moŜe załatwić wszystkie swoje sprawy związane z daną<br />
sytuacją Ŝyciową (one-stop shops), łącznie z pojedynczymi punktami łatwego wejścia<br />
w celu uzyskania dostępu do wysokiej jakości usług administracji;<br />
Przykłady obejmują dostarczanie informacji, elektroniczne rozliczanie podatków oraz<br />
wygodne przekraczanie bramek przy wjeździe na autostradę 5 ;<br />
• E-<strong>administracja</strong> typu urząd-przedsiębiorstwo zmniejsza obciąŜenie przedsiębiorstw<br />
poprzez zastosowanie protokołów internetowych oraz konsolidację wielu zbędnych<br />
wymogów dotyczących raportowania;<br />
Oprócz usług porównywalnych z usługami typu urząd-obywatel, do przykładów zalicza się<br />
elektroniczne systemy licytacji.<br />
• Usługi typu urząd-urząd wspierają wymianę informacji pomiędzy organizacjami w<br />
ramach administracji publicznej i sprawia, Ŝe zarządzanie informacjami jest<br />
wydajniejsze i mniej obciąŜające dla obywateli oraz przedsiębiorstw.<br />
Przykładem jest wyznaczenie tzw. brokera informacji, który umoŜliwia jednostkom<br />
administracji zbieranie danych od obywateli lub przedsiębiorstw tylko jeden raz. Rezultatem<br />
jest korzyść polegająca na tym, Ŝe jeŜeli inny upowaŜniony urząd potrzebuje juŜ zebranego<br />
elementu danych, nie musi niepokoić danej osoby lub przedsiębiorstwa zbędną prośbą.<br />
W rzeczywistości, zgodnie z tym, co zostało określone w definicji e-administracji, waŜnym<br />
celem jest stosowanie <strong>IT</strong> na rzecz obywateli oraz przedsiębiorstw, jak równieŜ na rzecz samej<br />
administracji.<br />
2.3 Przykłady zastosowań e-administracji<br />
4 Pierwsze dwie definicje (nie przykłady) oparte są o memorandum dyrektora Urzędu Zarządzania i BudŜetu<br />
USA (OMB): M-01-28, Memorandum for the Heads of Executive Departments and Agencies (Mitchell E.<br />
Daniels, Jr.).<br />
5 Jednym ze sposobów na wdraŜanie ostatniej z wymienionych usług jest zainstalowanie małego urządzenia<br />
(„lokalizatora”), który identyfikuje uŜytkownika pojazdu. Czytnik lokalizatora przy wjeździe na autostradę<br />
przekazuje informację z lokalizatora do systemu informacyjnego, i w rezultacie odpowiednia suma jest<br />
potrącana z konta pre-paid klienta.<br />
11
Sekcja ta zawiera kilka wyjaśniających przykładów dotyczących zastosowań e-administracji.<br />
Jej celem jest raczej ukazanie bogactwa dziedziny e-administracji aniŜeli przestawienie<br />
obszernego wykazu zastosowań e-administracji. Dalsze przykłady patrz Załącznik 1 na końcu<br />
tego rozdziału, który zawiera listę usług e-administracji, uznawanych przez Unię Europejską<br />
za usługi podstawowe.<br />
2.3.1 Informacje administracyjne<br />
Niektóre urzędy zamieszczają na swoich witrynach www informacje dla obywateli oraz<br />
przedsiębiorstw, na przykład zdalny dostęp do archiwów i baz danych, serwis wiadomości,<br />
informacje prawne, białe księgi oraz dokumentacje dotyczące polityk.<br />
2.3.2 Urzędy elektroniczne<br />
Urzędy elektroniczne oferują obywatelom oraz przedsiębiorstwom moŜliwości związane z<br />
dostarczaniem lub aktualizowaniem danych osobowych, składaniem wniosków o zezwolenia<br />
lub dotacje, lub teŜ złoŜeniem podania o przyjęcie na wolne stanowisko pracy.<br />
2.3.3 One-stop shops (miejsca, w których moŜna za jednym razem załatwić wszelkie<br />
formalności związane z daną sytuacją Ŝyciową)<br />
Następny krok po elektronicznych urzędach to tzw. one-stop shops, które oferują usługi<br />
łączone, dostarczane przez wiele współpracujących ze sobą organizacji. Przedsiębiorcy na<br />
przykład, mogą uzyskać dostęp do planów zagospodarowania przestrzennego, składać<br />
wnioski o pozwolenia na budowę, zapisywać się do Izby Handlowej oraz płacić podatki, itd.,<br />
wszystko poprzez jeden punkt usługowy.<br />
2.3.4 E-zamówienia publiczne<br />
Utworzono kilka portali urzędowych dotyczących zamówień. Celem ich było ustanowienie<br />
punktu zbiorczego dla osób zajmujących się zamówieniami publicznymi oraz ich dostawców.<br />
Takie portale pozwalają obydwu stronom zdobyć rozeznanie w kwestii ofert, umów,<br />
zamówień, statystyk sprzedaŜy itd. UmoŜliwiają one równieŜ wszystkim zainteresowanym<br />
stronom połączyć odpowiednie dane dotyczące zaopatrzenia, sprzedaŜy oraz płatności z ich<br />
systemami finansowymi. Jedną z korzyści wynikających z tego jest oszczędność kosztów,<br />
poniewaŜ Ŝmudne ręczne wprowadzanie danych, mechanizmy oraz procedury mające na celu<br />
poprawienie błędów mogą zostać w znacznym stopniu zminimalizowane. RównieŜ proces e-<br />
zamówień publicznych moŜe zostać znacznie usprawniony.<br />
2.3.5 Obsługa spersonalizowana<br />
Prowadzone są róŜne projekty, których celem jest zbadanie moŜliwości, jakie daje<br />
technologia inteligentnej karty w zapewnieniu spersonalizowanej obsługi klientów, na<br />
przykład opieki medycznej. Problemem jest to, Ŝe wszystkie dane, jakie mogą mieć znaczenie<br />
dla leczenia konkretnego pacjenta, są rozproszone w całej sieci składającej się z wielu<br />
organizacji. Sieć ta obejmuje lekarzy ogólnych, szpitale, specjalistów medycznych oraz<br />
apteki. Wszystkie zainteresowane strony posiadają nieco informacji na temat pacjenta, takie<br />
jak historia choroby, grupa krwi, informacje dotyczące alergii, objawy występujące po<br />
zaŜyciu lekarstw, diagnozy, badania, recepty, kontakty w razie nagłej potrzeby, warunki<br />
12
polisy ubezpieczeniowej, itd. Są opracowywane systemy mające na celu udostępnienie<br />
wszystkich tych informacji upowaŜnionemu personelowi medycznemu i paramedycznemu, za<br />
pośrednictwem inteligentnej karty, która znajduje się w posiadaniu pacjenta. Wszystkie<br />
niezbędne informacje będą wówczas dostępne, niezaleŜnie od miejsca lub czasu zgłoszenia<br />
się pacjenta o pomoc medyczną, nawet w przypadku, kiedy pacjent został znaleziony<br />
nieprzytomny po wypadku (pod warunkiem, Ŝe posiadał przy sobie inteligentną kartę).<br />
2.3.6 Infrastruktura<br />
Celem umoŜliwienia szybszej i bezpieczniejszej obsługi ruchu drogowego zostały<br />
ustanowione aplikacje telematyczne 6 . Dotyczy to sygnałów matrycowych na autostradach<br />
ukazujących ograniczenia prędkości oraz ostrzeŜeń o zatorach w ruchu. Dwa inne przykłady<br />
obejmują systemy monitorowania ruchu oraz systemy opłat zatorowych 7 .<br />
2.3.7 Elektroniczne rozliczenia podatkowe<br />
W niektórych krajach urzędy skarbowe oferują moŜliwość wysyłania deklaracji podatkowych<br />
za pośrednictwem dyskietki, poprzez połączenie modemowe lub Internet.<br />
2.3.8 Wymiana informacji w ramach zarządzania publicznego<br />
Tradycyjnie, zarządzanie publiczne jest zorganizowane w taki sposób, Ŝe kaŜdy urząd<br />
obsługuje swoich klientów oddzielnie. Podział ten nie uwzględnia faktu, Ŝe bazy ich klientów<br />
w pewnym stopniu się pokrywają. O ile nam wiadomo, Belgia była pierwszym krajem, który<br />
uświadomił sobie potrzebę usprawnienia zarządzania informacjami dotyczącymi danych,<br />
które obywatele i przedsiębiorstwa mają obowiązek dostarczyć do urzędu. Kilka lat temu<br />
załoŜono „Bank Crossroads zabezpieczenia społecznego”, a całkiem niedawno „Banki<br />
Crossroads dla przedsiębiorców”. Banki Crossroads pełnią rolę brokerów informacji.<br />
Pozwalają one na wdroŜenie zasady zbierania kaŜdego elementu danych tylko jeden raz oraz<br />
oddawania go do dyspozycji kaŜdej organizacji, która ma prawo go uŜywać.<br />
2.3.9 Udział w kształtowaniu polityk<br />
Witryny www są stosowane w celu uzyskania od obywateli odpowiedzi odnośnie kwestii<br />
określonych polityk. Niekiedy nawet bardzo rozbudowane dyskusje elektroniczne, które<br />
mogą ciągnąć się przez kilka miesięcy, słuŜą jako przygotowanie do podejmowania decyzji<br />
politycznych.<br />
2.4. Potencjalne korzyści<br />
Do potencjalnych korzyści e-administracji dla obywateli i przedsiębiorstw naleŜą:<br />
• wygoda (dostępność urzędu w dowolnym czasie i miejscu; wszystko w jednym<br />
miejscu; szybkie reakcje);<br />
• lepsza jakość obsługi klienta;<br />
6 Telematyka jest to zbiór technologii, które łączą w sobie telekomunikację oraz informatykę.<br />
7 Nakładanie na kierowców opłaty za jazdę podczas godzin szczytu w określonych obszarach, w których często<br />
występują zatory.<br />
13
• dostęp do większej ilości wyŜszej jakościowo informacji;<br />
• w szczególności dla firm: niŜsze koszty prowadzenia działalności.<br />
Potencjalne korzyści dla urzędów obejmują:<br />
• większą ogólną skuteczność, z powodu:<br />
o ciągłej obecności urzędu online, co zapewnia dostarczanie większej ilości<br />
informacji o lepszej strukturze, łatwej do znalezienia i nie wymagającej<br />
zrozumienia sposobu, w jaki pracuje urząd;<br />
o świadczenia usług łączonych;<br />
o lepszej informacji o obywatelach i przedsiębiorcach.<br />
• większą wydajność z powodu:<br />
o mniejszego kosztu obsługi;<br />
o usprawnionych procesów biznesowych;<br />
o zautomatyzowania zadań, w których występuje duŜe zuŜycie papieru i duŜe<br />
prawdopodobieństwo błędów;<br />
o umoŜliwienia inteligentniejszego oraz szybszego postępowania z wyjątkami;<br />
o umoŜliwienia wglądu w czasie rzeczywistym w niewydajne etapy świadczenia<br />
usług.<br />
2.5 Czym szczególnym wyróŜnia się e-<strong>administracja</strong>?<br />
Sekcja ta dotyczy kwestii, jakie cechy powodują, Ŝe e-<strong>administracja</strong> wyróŜnia się jako coś<br />
szczególnego spośród innych rozwiązań związanych z informatyką. Cechy te mogą mieć<br />
wpływ na metody (kombinacje metod), jakie mają zostać uŜyte (patrz rysunek 6 w sekcji<br />
4.3.1).<br />
2.5.1 Orientacja na klienta<br />
Potrzeby klienta stanowią w nich punkt początkowy we wszelkich inicjatywach e-<br />
administracji. Powoduje to uznanie potrzeby odejścia od konwencjonalnego wyobraŜenia<br />
urzędu, dotyczącego moŜliwych potrzeb klientów (lub tego co <strong>administracja</strong> moŜe w łatwy<br />
sposób zapewnić). Zmiana ta ma daleko idące konsekwencje, poniewaŜ w większości<br />
przypadków, potrzeby klientów nie odpowiadają tradycyjnemu podziałowi administracji<br />
publicznej. Na przykład, jeŜeli chodzi o kwestie mieszkalnictwa, obywatele muszą mieć<br />
zazwyczaj do czynienia z róŜnymi ministerstwami, takimi jak Ministerstwo Spraw<br />
Wewnętrznych oraz Ministerstwo Mieszkalnictwa oraz z administracją gminną.<br />
JeŜeli <strong>administracja</strong> pragnie dostarczać usługi łączone w jednym miejscu, podział między<br />
urzędami oraz pomiędzy poziomami w ramach administracji publicznej musi zostać<br />
zniesiony. Wszystkie zainteresowane organizacje powinny dąŜyć do (dalszej) współpracy<br />
oraz dokonać przekształcenia swoich wzajemnych relacji. Muszą zrobić to na poziomie<br />
strategicznym jak równieŜ na poziomie codziennych operacji. Wynikiem tego jest<br />
prawdziawa rewolucja w administracji państwowej, poniewaŜ urzędy muszą przemyśleć<br />
swoje strategie oraz opracować i wdroŜyć nowe modele biznesowe.<br />
2.5.2 Środowisko skomputeryzowane<br />
JeŜeli student ubiega się o poŜyczkę studencką lub, jeŜeli przedsiębiorca składa wniosek o<br />
pozwolenie na załoŜenie firmy, i jeŜeli robią oni to poprzez witrynę www, nie są potrzebne<br />
14
formularze papierowe. W rezultacie, nie ma miejsca na korzystanie z dziennika podawczego.<br />
Z tego względu organizacja musi opracować inne środki umoŜliwiające śledzenie<br />
napływającego strumienia wniosków.<br />
W początkowych stadiach e-administracji moŜna pominąć to poprzez systematyczne<br />
drukowanie wszystkich napływających wniosków oraz obsługiwanie ich poprzez tradycyjne<br />
procedury obiegu korespondencji, lecz w przypadku pełnej e-administracji (patrz sekcja 2.6)<br />
ta raczej kłopotliwa metoda nie będzie mogła być kontynuowana.<br />
W podanych przykładach, „jedynie" pewność prawna jest zagroŜona: jeŜeli ludzie wnioskują<br />
o korzystanie z prawa do którego są upowaŜnieni, ich wniosek powinien zostać odpowiednio<br />
rozpatrzony w ustawowym terminie. JednakŜe, w innych sytuacjach pojawiają się równieŜ<br />
konsekwencje finansowe. Dotyczy to m. in. elektronicznych deklaracji podatkowych lub<br />
elektronicznego systemu licytacji w e- zamówieniach publicznych. Oczywiście w takich<br />
sytuacjach pojawiają się nadal kwestie legalności.<br />
Sekcja 5.2 („Środowiska cyfrowe”) opisuje ten temat w sposób bardziej szczegółowy.<br />
2.5.3 Przetwarzanie w czasie rzeczywistym<br />
Oczywiste przykłady usług świadczonych w czasie rzeczywistym to systemy alarmowe w<br />
nagłych wypadkach. Na przykład Gartner wskazuje na Telefoniczny System Alarmowy w<br />
Nagłych Wypadkach, który jest stosowany w kilku stanach USA przez agencje<br />
bezpieczeństwa publicznego, zdrowia publicznego oraz ochrony środowiska, w celu<br />
szybkiego informowania obywateli o powaŜnych zagroŜeniach, takich jak wycieki substancji<br />
chemicznych, przerwy w dostawie mediów oraz poszukiwania przestępców. Technologia ta<br />
wykorzystuje głównie telefony stacjonarne jako urządzenia najbardziej wszechobecne, lecz<br />
moŜe obejmować równieŜ e-administrację, podczas gdy poczta elektroniczna, przeglądarki<br />
internetowe oraz urządzenia przenośne są wspierane poprzez takie systemy. Ponadto,<br />
informacje na temat zatorów w ruchu lub zamykania szkół stanowią informacje czasu<br />
rzeczywistego.<br />
Świadczenie usług w czasie rzeczywistym oznacza, Ŝe organizacja je świadcząca powinna<br />
przekształcić niezbędne procesy wewnętrzne (back-office) z przetwarzania wsadowego do<br />
przetwarzania w czasie rzeczywistym. Przykładowo, jeŜeli biuletyn rozprowadzany w formie<br />
papierowej zostanie przeniesiony do Internetu, danej organizacji moŜe nie wystarczyć<br />
utrzymanie miesięcznej aktualizacji, a nawet tygodniowa moŜe okazać się niewystarczająca.<br />
NaleŜy dokonać restrukturyzacji zarządzania informacjami tak, aby istotne nowe informacje<br />
mogły zostać umieszczone (prawie) natychmiast w witrynie www.<br />
2.5.4 Integracja obsługi klienta z zapleczem biurowym<br />
Witryna www lub jakikolwiek inny kanał, który moŜe być uŜywany dla celów<br />
komunikowania się, mimo tego, Ŝe w atrakcyjny sposób zaprojektowany oraz w pełni<br />
wyposaŜony, jest sam w sobie jedynie pustym szkieletem. Aby mógł być stosowany jako<br />
dział świadczenia usług musi być połączony z zapleczem biurowym, w którym jest<br />
wykonywana rzeczywista praca stanowiąca podstawę usługi. W tym miejscu występują dwa<br />
wyzwania. Po pierwsze, istniejące urzędy ustaliły procedury zgodnie ze swoją własną logiką.<br />
Często nie są one ani zorientowane na klienta ani oparte na czasie rzeczywistym. Zgodnie z<br />
wcześniejszym opisem, jeŜeli urzędy te mają spełniać potrzeby e-administracji, muszą w nich<br />
15
zostać przeprowadzone radykalne zmiany. Inną kwestią jest to, Ŝe istniejące organizacje<br />
stosują swoje stare technologie w formie starych systemów informacyjnych oraz baz danych.<br />
Problem polega na tym, Ŝe systemy te oraz bazy danych są często w niewłaściwy sposób<br />
dokumentowane oraz trudno jest je utrzymać. Ponadto, w wielu przypadkach personel<br />
informatyczny znający na wylot te systemy opuścili juŜ organizację. Z tych oraz innych<br />
przyczyn trudno jest dziś stworzyć niezbędne interfejsy pomiędzy serwerem www<br />
zapewniającym obsługę klienta a starymi systemami komputerowymi i bazami danych.<br />
2.5.5 E-kanały<br />
Internet stanowi obecnie dominujący kanał, jeŜeli chodzi o stosowanie e-administracji w<br />
ogólności, oraz elektroniczne usługi w szczególności. JednakŜe, widziane z perspektywy<br />
klienta, podejście do stosowania Internetu jako jedynego kanału mogłoby okazać się zbyt<br />
wąskie. Mimo wszystko, nie wszyscy są w równym stopniu doświadczeni w uŜywaniu<br />
komputera. Ponadto, niektóre grupy docelowe są z natury mniej skłonne do stosowania<br />
komputera w celach komunikacji. Na przykład młode osoby komunikują się ze sobą głównie<br />
za pośrednictwem telefonów komórkowych. Mimo, Ŝe istnieje juŜ technologia tworzenia<br />
witryn www, które moŜna przeglądać za pośrednictwem telefonów komórkowych - jest ona<br />
oparta o „WAP”: Wireless Application Protocol – koszty konsumenckie, które wiąŜą się z<br />
tym rozwiązaniem, są dość wysokie. Poza tym, naleŜy zdać sobie sprawę, Ŝe tworzenie takiej<br />
drugiej witryny www, oprócz witryny oryginalnej, oznacza, Ŝe dla celów jej utrzymania<br />
konieczne są dodatkowe wysiłki. Inną moŜliwość stanowiłoby wykorzystywanie usługi<br />
przesyłania wiadomości przez telefony komórkowe: SMS 8 . Przykładem tego rozwiązania jest<br />
inicjatywa rządu Australii, która pozwala kierowcom zlokalizować najniŜsze ceny paliwa w<br />
ich obszarze poprzez róŜne kanały komunikacyjne, z których jeden stanowi SMS. Jeszcze<br />
innym przykładem rozwiązania jest smart card (karta inteligentna) 9 . Rada miasta Bracknell<br />
Forest w Wielkiej Brytanii opracowała na przykład rozwiązanie karty inteligentnej dla<br />
dostarczania róŜnorodnych usług dostępnych przez jedną kartę inteligentną, łącznie z<br />
dostępem do bibliotek oraz basenów kąpielowych, jak równieŜ płatnością za szkolne posiłki.<br />
W Holandii wdraŜane są programy pilotaŜowe do zbadania moŜliwości wykorzystania<br />
technologii karty inteligentnej dla usług takich jak transport publiczny oraz usługi medyczne.<br />
2.5.6 E-podejmowanie decyzji<br />
Tradycyjnie, wybierani demokratycznie przedstawiciele w imieniu swoich zwolenników<br />
podejmują decyzje dotyczące polityki. W ciągu ostatnich lat, wiele krajów stanęło w obliczu<br />
spadku zainteresowania obywateli polityką. E-<strong>administracja</strong> moŜe być wykorzystana do<br />
przeciwdziałania tej tendencji, poniewaŜ stwarza ona nowe moŜliwości dotyczące<br />
uczestnictwa obywateli w tworzeniu polityki. Twórcy polityki mogą na przykład organizować<br />
badania opinii publicznej lub referenda dotyczące określonych kwestii politycznych, takich<br />
jak plany zagospodarowania przestrzennego, proponowane ustawodawstwo, itd. Wynik takich<br />
sondaŜy/ referendów moŜe odgrywać rolę w procesie podejmowania decyzji.<br />
2.5.7 Zautomatyzowane procesy<br />
8 Krótka Wiadomość Tekstowa (Short Message Service)<br />
9 Karta inteligentna (smart card) jest plastikową kartą wielkości karty kredytowej zawierającą mikroprocesor<br />
oraz określoną ilość pamięci. Jest to rodzaj komputera, który komunikuje się z systemami informacyjnymi<br />
poprzez specjalne urządzenia, znane jako czytniki kart inteligentnych.<br />
16
E-<strong>administracja</strong> w duŜym stopniu zmniejsza interwencję człowieka. Jedną z jej zalet jest to,<br />
Ŝe proces obsługi sprawy w mniejszym stopniu zaleŜy od nastrojów członków personelu i jest<br />
takŜe mniej podatny na błędy popełniane przesz człowieka. Ponadto, systemy informatyczne,<br />
jeŜeli zostaną w prawidłowy sposób zaprojektowane, są bardziej elastyczne w kwestii<br />
obciąŜenia pracą. W zasadzie, z tego względu e-<strong>administracja</strong> jest w większym stopniu<br />
przystosowana do radzenia sobie z duŜymi wahaniami popytu na usługi. Aby móc<br />
zautomatyzować procesy usług, urząd musi w inteligentny sposób połączyć swoje systemy<br />
obsługujące klienta z odpowiednimi bazami danych w ramach własnej organizacji, a w<br />
stosownych przypadkach równieŜ poza nią.<br />
JednakŜe, eliminacja interwencji człowieka ma nie tylko zalety: ewentualny skutek<br />
niekorzystny polega na tym, Ŝe bez nadzoru człowieka, błędy mogą przejść niezauwaŜone.<br />
2.5.8 ZaleŜność od <strong>IT</strong><br />
E-<strong>administracja</strong> niemal z definicji opiera się w duŜej mierze na technologiach<br />
informatycznych. Oznacza to, Ŝe programy e-administracji są naraŜone na zagroŜenia, jeŜeli<br />
ryzyka związane z technologiami informatycznymi są w niewystarczającym stopniu<br />
rozpoznawane i redukowane. Dwie najwaŜniejsze kwestie w tej materii to bezpieczeństwo<br />
informacji oraz zarządzanie projektem.<br />
W dziedzinie bezpieczeństwa informacji, niezbędna jest jasno określona polityka<br />
bezpieczeństwa. Polityka ta powinna być zgodna zarówno z programami e-administracji<br />
urzędu, jak i jego całościową strategią biznesową. Na podstawie polityki bezpieczeństwa,<br />
naleŜy opracować plan bezpieczeństwa. Między innymi oznacza to określenie spójnego<br />
zestawu mechanizmów, które zmniejszają do dopuszczalnego poziomu ryzyko zagroŜenia<br />
bezpieczeństwa. Oprócz mechanizmów, które mają zostać wdroŜone odnośnie sprzętu oraz<br />
oprogramowania, wymagane są równieŜ mechanizmy organizacyjne. Plan powinien na<br />
przykład określać róŜne obowiązki dla personelu informatycznego, przy zwróceniu naleŜytej<br />
uwagi na podział obowiązków. Plan ciągłości prowadzenia działalności, który jest zgodny z<br />
polityką bezpieczeństwa, jest równieŜ potrzebny w celu przeciwdziałania wszelkim<br />
ewentualnościom. Plan bezpieczeństwa powinien zostać w staranny sposób wdroŜony, zaś<br />
odbywający się okresowo audyt powinien zapewnić niezbędną gwarancję, Ŝe mechanizmy<br />
kontrolne faktycznie istnieją oraz działają.<br />
W przypadku, kiedy nie została ustanowiona i wdroŜona wyraźna polityka bezpieczeństwa<br />
informacji, jedno z ryzyk polega na tym, Ŝe rzeczywisty poziom bezpieczeństwa jest albo<br />
niewystarczający albo zbyt wysoki (oraz kosztowny), co zagraŜa realizacji celów projektu e-<br />
administracji lub aktywom organizacji. Z drugiej strony, nawet wówczas gdy poziom<br />
bezpieczeństwa jest wystarczający, zestaw środków bezpieczeństwa moŜe się okazać<br />
niedostateczny. W sekcji 3.3 omówione zostały ryzyka dotyczące świadczenia usług e-<br />
administracji.<br />
Co interesujące, w odniesieniu do zarządzania projektem, OECD wydało w roku 2001<br />
ostrzeŜenie, zgodnie z którym e-<strong>administracja</strong> jest zagroŜona, poniewaŜ większość urzędów<br />
doświadcza problemów podczas wdraŜania duŜych projektów <strong>IT</strong> 10 . Organizacja ta posunęła<br />
się do stwierdzenia, Ŝe „dopóki urzędy nie nauczą się zarządzać ryzykami związanymi z<br />
10 „The hidden threat to E-Government; Avoiding large government <strong>IT</strong> failures”, PUMA Policy Brief No. 8,<br />
March 2001.<br />
17
duŜymi publicznymi projektami <strong>IT</strong>, te e-sny zmienią się w globalne koszmary" (e-sny<br />
oznaczają tu strategie e-administracji urzędów).<br />
W swoim studium kontekstowym („Dlaczego projekty <strong>IT</strong> ponoszą poraŜkę") NAO<br />
przedstawiło następujące, godne uwagi zalecenia dotyczące udoskonalenia projektów<br />
informatycznych w administracji:<br />
• zagwarantować, Ŝe projekty będą ustalane w kontekście zapewniania modernizacji i<br />
będą widziane jako projekty biznesowe, a nie projekty informatyczne; poprzez<br />
rozwój umiejętności w dziedzinie zarządzania zmianą;<br />
• podzielić projekty na mniejsze elementy, dające się łatwiej zarządzać;<br />
• przyjąć w projekcie aktywne oraz widoczne kierownictwo na najwyŜszym poziomie<br />
organizacji, z jasno określonymi obowiązkami i odpowiedzialnością;<br />
• zwiększyć umiejętności zarządzania projektami, oceniać adekwatność umiejętności<br />
osób zarządzających projektami do stopnia skomplikowania danego projektu oraz<br />
zwiększyć zrozumienie problematyki zarządzania ryzykiem;<br />
• zidentyfikować podstawowe niezbędne umiejętności oraz zapewnić szybkie sposoby<br />
zdobycia brakujących umiejętności przez posiadaną kadrę lub uzupełnienia kadry o<br />
osoby posiadające niezbędne umiejętności;<br />
• ulepszyć relacje z dostawcami tak, aby obydwie strony mogły wspólnie oraz<br />
wzajemnie zrozumieć wymogi oraz ryzyka;<br />
• zapewnić, Ŝe zamierzone korzyści będą osiągnięte poprzez uruchomienie formalnych<br />
procesów celem śledzenia postępów w realizacji;<br />
• rozpowszechniać wiedzę, najlepsze praktyki oraz doświadczenia celem zapewnienia,<br />
Ŝe podczas realizacji nowe projekty będą korzystać z doświadczeń projektów<br />
wcześniejszych.<br />
2.5.9 W końcu...w czym e-<strong>administracja</strong> nie róŜni się od „zwykłej” administracji?<br />
Skupianie uwagi na charakterystycznych cechach moŜe przysłonić wgląd w kwestie, które są<br />
wspólne dla e-administracji oraz innych waŜniejszych rozwiązań w dziedzinie administracji<br />
publicznej. Z tego punktu widzenia, najwaŜniejszą cechą jest to, Ŝe przełączenie się do e-<br />
administracji stanowi głównie przekształcenie procesu biznesowego. Podczas sympozjum<br />
OECD dla starszych rangą urzędników w czerwcu 2003 11 , uczestnicy odpowiednio<br />
podkreślili, Ŝe „elektroniczna <strong>administracja</strong> dotyczy w większym stopniu administracji niŜ<br />
elektroniki" i Ŝe kiedyś przywódcy będą musieli zacząć usuwać to „e” z e-administracji”.<br />
Nie skupiając się raczej na samej technologii, uczestnicy uznali znaczące moŜliwości<br />
stosowania technologii jako strategicznego narzędzia w celu modernizacji struktur, procesów<br />
oraz całościowej kultury urzędów publicznych. W wielu krajach przejście to zwane jest<br />
„modernizacją administracji rządowej”, transformacją, która jest wbudowana w plany<br />
krajowe oraz strategie reform dla agencji rządowych oraz istotnych systemów informacji.<br />
2.6. Aspekty rozwojowe<br />
11 Sympozjum zostało zwołane w Waszyngtonie, w Białym Domu 9 czerwca 2003<br />
18
Wydawanie decyzji w sprawie strategii e-administracji, jaka ma zostać wdroŜona, jest<br />
obowiązkiem wyŜszej politycznej kadry kierowniczej w kraju. Strategia ta ma zostać<br />
wdroŜona przez wszystkie poziomy zarządzania publicznego.<br />
Gartner rozróŜnia następujące etapy rozwoju e-administracji:<br />
• (Obecność): witryny www, prezentujące tylko informacje,<br />
• (Interakcja): ograniczona interaktywność, podstawowe poszukiwanie, wyszukiwanie<br />
proste, odnośniki do stron,<br />
• (Transakcja): portale, e- zamówienia publiczne, aplikacje samoobsługowe,<br />
• (Transformacja): aplikacje CRM 12 , personalizacja, wybory i głosowanie.<br />
Komisja Europejska (inicjatywa „e-Europa”) definiuje następujące etapy:<br />
• (Informacja): informacja online na temat usług publicznych,<br />
• (Interakcja jednostronna): pobieranie formularzy,<br />
• (Interakcja dwustronna): przetwarzanie formularzy, łącznie z uwierzytelnianiem,<br />
• (Transakcja): portale, zamówienia publiczne, obsługa przypadków aplikacji<br />
samoobsługowych, decyzja oraz dostarczenie (płatność).<br />
Zarówno w modelach Gartnera jak i Wspólnot Europejskich, wyŜsze stopnie rozwojowe<br />
opierają się na niŜszych.<br />
NaleŜy zauwaŜyć, Ŝe podczas, gdy oba modele uznają cztery etapy, etap 4 Wspólnot<br />
Europejskich (Transakcja) odpowiada połączeniu etapów Gartnera 3 (Transakcja) oraz 4<br />
(Transformacja).<br />
Z uwagi na fakt, Ŝe te dwa modele są w duŜym stopniu porównywalne, oraz, Ŝe się takŜe<br />
pokrywają, proponujemy je połączyć. W ten sposób identyfikujemy następujące etapy:<br />
- Etap 1 (Obecność): witryny www, dostępne dwadzieścia cztery godziny na dobę,<br />
przedstawiające tylko informacje na temat usług publicznych,<br />
- Etap 2 (Prosta interakcja): wyszukiwanie proste, odnośniki do stron; pobieranie formularzy,<br />
- Etap 3 (Inteligentna interakcja): przetwarzanie formularzy, łącznie z uwierzytelnianiem,<br />
- Etap 4 (Transakcja): rozpatrywanie spraw; decyzja oraz dostarczanie (płatność), aplikacje<br />
CRM, personalizacja, wybory i głosowanie, zamówienia publiczne.<br />
Według róŜnych ekspertów, wdroŜenie wszystkich tych etapów moŜe potrwać co najmniej 5<br />
lat. Z tego właśnie względu ambitny zamiar opracowania pełnej e-administracji będzie<br />
wymagał ciągłych wysiłków wszystkich zainteresowanych stron. Aspiracje osiągnięcia<br />
najwyŜszego etapu rozwoju e-administracji są teraz typowe dla wielu krajów europejskich. Z<br />
uwagi na fakt, Ŝe etap 4 jest obecnie badany, i zostaną opracowane innowacyjne procedury<br />
współdziałania, zarówno wśród agencji rządowych jak i pomiędzy administracją a<br />
obywatelami/przedsiębiorstwami, mogą się pojawić nowe perspektywy.<br />
12 Zarządzanie Relacjami z Klientami<br />
19
2.7. Uwagi końcowe<br />
Wiele agencji, w wielu róŜnych sektorach, wprowadziło obecnie e-administrację lub jest w<br />
trakcie jej wprowadzania. Pod warunkiem właściwego wdroŜenia, e-<strong>administracja</strong> moŜe<br />
przynieść korzyści dla obywateli oraz przedsiębiorstw, takie jak wygoda i lepsze usługi. Co<br />
równie waŜne, takŜe same agencje mogą odnosić korzyści z e-administracji, zwłaszcza w<br />
postaci większej skuteczności i wydajności. Z drugiej strony, e-<strong>administracja</strong> zwiększa<br />
równieŜ słabość agencji, poniewaŜ jest ona silnie zaleŜna od <strong>IT</strong>. Ponadto, agencja musi<br />
zajmować się róŜnymi kwestiami organizacyjnymi, takimi jak tworzenie organizacji<br />
zorientowanej na klienta oraz integrowanie front office z back office.<br />
W celu zapewnienia, Ŝe potencjalne korzyści mogą rzeczywiście zostać osiągnięte i Ŝe<br />
niepotrzebne ryzyko, albo dla agencji albo jej klientów będzie zminimalizowane, niezbędne<br />
jest dobre zarządzanie <strong>IT</strong>. Specjalnej uwagi wymagają zarządzanie projektem oraz<br />
bezpieczeństwo informacji. Co więcej, z powodu swojej istotnej roli w wypełnieniu misji<br />
agencji, <strong>IT</strong> powinno zostać właściwie dostosowane do strategii biznesowej agencji. Z tych<br />
względów, odpowiedzialność za rozwiązania e-administracji nie moŜe spoczywać na niŜszych<br />
poziomach kierownictwa ani teŜ na jednostce <strong>IT</strong>. Natomiast, waŜniejszą rolę pełni tu wyŜsze<br />
rangą kierownictwo. Kluczem do pomyślnej e-administracji jest to, Ŝe ten górny poziom<br />
opracowuje wizję dotyczącą e-administracji z zamiarem realizacji tejŜe wizji.<br />
20
ZAŁĄCZNIK 1<br />
Wspólna lista Unii Europejskiej podstawowych usług publicznych<br />
Lista ta obejmuje usługi e-administracji, które są uznawane przez Unię Europejską za usługi<br />
podstawowe. Lista została ułoŜona w kontekście planu działań e-Europa. Jest ona<br />
wykorzystywana przez Unię Europejską w celu monitorowania postępu dokonywanego w<br />
ramach Unii Europejskiej dotyczącego wdraŜania podstawowych usług e-administracji.<br />
Usługi publiczne dla obywateli<br />
1 Podatki dochodowe: deklaracje, zawiadomienie o ocenie naleŜności podatkowych<br />
2 Usługi poszukiwania pracy świadczone przez urzędy pracy<br />
3 Składki na zabezpieczenie socjalne (3 z następujących 4):<br />
• Zasiłki dla bezrobotnych<br />
• Zasiłki na dzieci<br />
• Koszty medyczne (refundacja lub bezpośrednie rozliczenie)<br />
• Socjalne stypendia studenckie<br />
4 Dokumenty osobiste (paszport oraz prawo jazdy)<br />
5 Rejestracja pojazdu (samochody nowe, uŜywane oraz importowane)<br />
6 Wnioski o zezwolenie na budowę<br />
7 Zgłoszenia policji (np. w przypadku kradzieŜy)<br />
8 Biblioteki publiczne (dostępność katalogów, narzędzia wyszukiwania)<br />
9 Certyfikaty (urodzin, małŜeństwa): wniosek i dostarczenie<br />
10 Zapisy do wyŜszych szkół /uniwersytetów<br />
11 Ogłoszenie przeprowadzki (zmiana adresu)<br />
12 Usługi związane ze zdrowiem (np. interaktywne porady dotyczące dostępności<br />
usług w róŜnych szpitalach; skierowanie do szpitali.)<br />
Usługi publiczne dla przedsiębiorstw<br />
1 Składki na zabezpieczenie socjalne dla pracowników<br />
2 Podatek dochodowy od osób prawnych: deklaracje, zawiadomienia<br />
3 VAT: deklaracje, zawiadomienia<br />
4 Rejestracja nowego podmiotu publicznego<br />
5 Dostarczanie danych do urzędów statystycznych<br />
6 Deklaracje celne<br />
7 Zezwolenia dotyczące ochrony środowiska ( wraz z raportowaniem)<br />
8 Zamówienia publiczne<br />
3. RYZYKO<br />
3.1 Wstęp<br />
Rozdział ten opisuje niektóre ryzyka związane z przedwdroŜeniowymi fazami dotyczącymi<br />
planowania i opracowywania usług e-administracji, ryzyk powstających podczas ich<br />
21
wprowadzania oraz ryzyk wiąŜących się ze świadczeniem usług e-administracji. Niniejszy<br />
rozdział jest zakończony kilkoma uwagami dotyczącymi <strong>kontroli</strong> projektów usług e-<br />
administracji oraz towarzyszących im podejść kontrolnych.<br />
3.2. Ryzyka związane z planowaniem, opracowywaniem oraz<br />
wprowadzaniem usług e-administracji<br />
3.2.1 Planowanie strategiczne, koordynacja oraz zarządzanie jakością<br />
Brak lub nieodpowiedniość centralnego organu odgrywającego strategiczną rolę na poziomie<br />
federalnym, centralnym lub lokalnym niesie ryzyko nieskoordynowanego planowania oraz<br />
wprowadzania usług e-administracji 13 . Ryzyka te obejmują brak centralnej koordynacji<br />
prowadzący do róŜnic strukturalnych, nakładania się na siebie funkcji, powielania środków,<br />
itp. Działania, jakie mają zostać podjęte, obejmują odpowiednie postanowienia Narodowego<br />
Planu Rozwoju, centralnego dofinansowywania, polityki „kija i marchewki", obowiązkowych<br />
norm jakości itd.<br />
3.2.2 Oczekiwania uŜytkownika/ badanie profilu uŜytkownika/ Zapewnienie jakości<br />
Nie ulega wątpliwości, Ŝe do chwili obecnej, internet stał się szeroko stosowaną platformą<br />
komunikacji we wszystkich Państwach Członkowskich Unii Europejskiej i Ŝe koszt dostępu<br />
do niej obniŜył się gwałtownie od połowy lat 90tych. Wiele z usług świadczonych przez<br />
urzędy za pośrednictwem internetu jest prawie niewykorzystywane. Pomimo tej luźnej<br />
"relacji klienckiej" pomiędzy administracją i obywatelem (relacja urząd-obywatel), jednostki i<br />
agencje zazwyczaj biorą za pewnik atrakcyjność swoich usług online lub przynajmniej kierują<br />
się takim załoŜeniem (na podstawie dowodów, takich jak pozytywne reakcje na moŜliwość<br />
wypełniania deklaracji celnych przez Internet, jak np. relacja urząd-przedsiębiorca).<br />
Niedokładne sondaŜe badania akceptacji niosą ryzyko niewłaściwego ukierunkowywania<br />
potencjalnych uŜytkowników oraz wprowadzających w błąd wysiłków mających na celu<br />
sprawienie, Ŝe <strong>administracja</strong> będzie bardziej wydajna i skuteczna, poprzez dostęp do internetu<br />
w ogólności oraz dostęp do usług e-administracji w szczególności. Brak wyraźnych kryteriów<br />
jakości moŜe stanowić zagroŜenie dla zgodności obecności w internecie jednostki lub agencji<br />
13 Na przykład Niemieckie Federalne Ministerstwo Spraw Wewnętrznych ma być odpowiedzialne za centralne<br />
planowanie i koordynację wszystkich projektów e-administracji poprzez federalną administrację publiczną oraz<br />
ma za zadanie ustanowienie kontaktów lub łączy do systemów urzędów państwowych i lokalnych (oraz innych<br />
urzędów krajowych). Z drugiej strony niemiecka Konstytucja Federalna określa, Ŝe kaŜdy Minister Federalny<br />
prowadzi działalność swojego departamentu samodzielnie i na swoją własną odpowiedzialność (chociaŜ w<br />
ramach wytycznych polityki ustanowionych przez Kanclerza Federalnego). Oznacza to, Ŝe odpowiedzialność za<br />
dostarczanie usług <strong>IT</strong> w duŜej mierze spoczywa na poszczególnych departamentach rządu federalnego.<br />
Departamenty te, jak równieŜ agencje im podległe projektują i opracowują większość ze swoich własnych<br />
aplikacji <strong>IT</strong> potrzebnych dla ich konkretnych operacji oraz, w większości przypadków, prowadzą swoje własne<br />
centra komputerowe.<br />
W Polsce strategia rządu pt. Wrota Polski (Gateway Poland) określa dwa główne cele, które mają zostać<br />
osiągnięte w obszarze usług publicznych przed rokiem 2005: osiągnięcie średniej Unii Europejskiej dla<br />
podstawowych usług publicznych dostępnych poprzez elektroniczne środki przekazu oraz wzrost skuteczności<br />
urzędów publicznych o 40%. Strategia ta przewiduje takŜe przeniesienie całego procesu zamówień publicznych<br />
do Internetu przed końcem roku 2004.<br />
22
z potrzebami oraz Ŝyczeniami „klientów”, przepisami prawnymi oraz innymi wymogami<br />
dotyczącymi prywatności i bezpieczeństwa danych.<br />
Agencje wdraŜające powinny zagwarantować, Ŝe istniejące struktury oraz procedury, które<br />
zostały utworzone w celu radzenia sobie w sposób tradycyjny uŜytkowników z róŜnymi<br />
sprawami i transakcjami są analizowane oraz właściwie modyfikowane lub zastępowane<br />
innymi, w kaŜdym przypadku, kiedy jest to konieczne dla ułatwienia oraz przyśpieszenia<br />
wprowadzenia oraz rozwoju e-administracji.<br />
W praktyce struktury oraz procedury administracji (łącznie ze strukturami administracyjnymi,<br />
profilami zasobów ludzkich oraz wzorami zarządzania) rzadko odzwierciedlają potrzeby e-<br />
administracji. W ten oto sposób powodzenie programów e-administracji w głównej mierze<br />
zaleŜy od zdolności oraz skuteczności transformacji biznesowej dotyczącej usług, które mają<br />
być dostarczane on-line. Większość tych struktur oraz procedur moŜe zazwyczaj wynikać z<br />
waŜnych rozporządzeń podległych dość długiemu procesowi demokratycznemu. Planowanie<br />
finansowe moŜe zaleŜeć od struktury budŜetu, która w ogóle nie jest zorientowana na e-<br />
administrację.<br />
Środki mające na celu zmniejszenie tego ryzyka muszą obejmować wielorakie sposoby oraz<br />
mechanizmy towarzyszące oraz przewidujące skuteczny oraz bezpieczny elektroniczny back<br />
office, który jest w stanie przechowywać oraz odzyskiwać dokumentację administracji taniej i<br />
szybciej.<br />
3.2.3 Opłacalność<br />
Urzędy muszą zapewnić, Ŝe usługi e-administracji będą nie tylko funkcjonalne, lecz będą<br />
równieŜ wprowadzane w sposób opłacalny. W sumie, w budŜetach przewidziano duŜe<br />
nakłady na inicjatywy e-administracji. Największa część całkowitych wydatków przewidziana<br />
w budŜecie zostanie poniesiona w nadchodzących latach. Na przykład w Niemczech 25%<br />
tych wydatków ma zostać wykorzystana na wprowadzenie usprawnień do struktur<br />
administracyjnych oraz powiązanych procesów biznesowych. Potrzeby związane z<br />
finansowaniem mają być w duŜym stopniu zaspokojone poprzez oszczędności oraz ponowne<br />
rozdzielenie funduszy w ramach jednostek i agencji oraz pomiędzy nimi.<br />
Mimo, Ŝe opisane zostały potencjalne korzyści, takie jak oszczędności materiałów oraz<br />
przyśpieszenie procesów biznesowych, finansowa analiza kosztów i korzyści oraz ocena<br />
jakości oraz waŜności róŜnych usług w większości przypadków nie zostały jeszcze podjęte.<br />
MoŜe to doprowadzić do niedokładnej oceny wpływu oszczędności wynikającego z usług<br />
informacyjnych prowadzonych poprzez internet. Wszelkie potencjalne oszczędności będą<br />
prawdopodobnie mniejsze niŜ te, które są generowane poprzez świadczenie usług<br />
komunikacyjnych oraz transakcyjnych.<br />
Ponadto, następujący fakt musi zostać wzięty pod uwagę podczas przeprowadzania analizy<br />
kosztów i korzyści:<br />
Przez długi czas usługi e-administracji mogą wymagać duplikowanie infrastruktury obok<br />
konwencjonalnej infrastruktury dla usług publicznych dostarczanych bez pośrednictwa<br />
internetu.<br />
23
Niedokładne oceny mogą zagrozić wyobraŜeniu na temat znaczących przyszłych wydatków,<br />
jakich moŜna się spodziewać związku z koordynowaniem, sterowaniem, księgowością oraz –<br />
w stosownych przypadkach – pobieraniem opłat za te usługi.<br />
Do końca roku 2005, prawie wszystkie usługi, jakie mają zostać włączone do programu e-<br />
administracji mają być dostępne online poprzez internet; w wielu krajach Unii Europejskiej<br />
około 60% tych usług ma być dostępna w sieci juŜ pod koniec roku 2003.<br />
Agencje wdraŜające powinny właściwie zdefiniować swoje cele przy uŜyciu istniejących<br />
instrumentów (łącznie z narodowymi planami rozwoju, rocznymi oraz wieloletnimi<br />
budŜetami, regionalnymi oraz miejskimi planami itd.), jak równieŜ przy uŜyciu specyficznych<br />
dla zadania instrumentów, jeśli zajdzie taka potrzeba. Dokumenty te powinny być spójne oraz<br />
zgodne z dobrą praktyką. NaleŜy równieŜ przeprowadzić niezbędne działania w celu realizacji<br />
tych celów.<br />
Obecnie często brakuje przejrzystości projektów oraz definicji celów, planowanych etapów<br />
wprowadzania poszczególnych usług. Istniejące dokumenty mogą nie zawierać specyficznych<br />
elementów łącznie z mierzalnymi celami, które umoŜliwiają późniejszą ocenę programu w ich<br />
kontekście. Takie informacje powinny być obszernie publikowane do wglądu przez<br />
wszystkich bezpośrednio lub pośrednio zainteresowannych.<br />
3.2.4 Utworzenie niezbędnych ram prawnych i organizacyjnych.<br />
Urzędy muszą zapewnić niezbędne ramy prawne i organizacyjne promujące e-administrację.<br />
NajwaŜniejszymi obszarami są koszt dostępu oraz bezpieczeństwo transakcji.<br />
Mimo, Ŝe wiele postanowień prawa cywilnego oraz administracyjnego zostało do tej pory<br />
dostosowanych do wymogów elektronicznej komunikacji oraz transakcji, ryzyko braku<br />
solidnych ram prawnych dla ambitnych programów działań reformy administracji wymagać<br />
będzie dalszych niesłabnących wysiłków w celu przyjęcia istniejącego oraz wcielenia nowego<br />
ustawodawstwa.<br />
Będą musiały zostać podjęte wczesne decyzje dotyczące prawnych oraz organizacyjnych ram<br />
dostarczania usług publicznych przez internet. Alternatywne opcje, które moŜna wybrać są<br />
następujące:<br />
• dostarczenie całej gamy usług e-administracji poprzez bezpośrednie organizacje<br />
usługowe (znane równieŜ pod nazwą „funduszy branŜowych”) w ramach<br />
departamentów lub agencji lub<br />
• przeniesienie kontraktów dotyczących całej odnośnej pracy lub jej części do<br />
prywatnego sektora (outsourcing rozwoju, operacje oraz/lub infrastruktury <strong>IT</strong>,<br />
zapewnienie usług aplikacji, dostarczanie sieci).<br />
3.2.5 Standardy <strong>IT</strong> oraz rozporządzenia<br />
Ustalono wiele obowiązujących standardów dotyczących wdroŜenia projektów <strong>IT</strong> oraz ich<br />
oceny zgodnie z kryteriami wykonalności ( wartość za cenę) 14 .<br />
14 Np. w Niemczech: http://www.kbst.bund.de/Anlage300441/Band+52+komplett+%281%2c3+MB%29.pdf<br />
24
Agencje wdraŜające powinny zapewnić zgodność systemów e-administracji z normami takimi<br />
jak ISO 17799, CobiT oraz obowiązującym ustawodawstwem regulującym handel<br />
elektroniczny.<br />
Samo istnienie norm oraz rozporządzeń nie jest wystarczające w przypadku złoŜonych,<br />
nowych, kosztownych oraz stresujących zadań, częściowo wykonywanych przez organizacje<br />
w głębokim procesie re-engineeringu, który jest zazwyczaj niezbędny podczas<br />
przekształcenia w prawdziwą e-administrację. Istnieje powaŜne ryzyko, Ŝe urzędy będą się<br />
przede wszystkim koncentrować na kwestiach dostarczania i zapomną o normach i<br />
rozporządzeniach.<br />
Z uwagi na fakt, Ŝe wiadomości oraz transakcje e-administracji pociągają za sobą równieŜ<br />
wymianę poufnych danych pomiędzy administracją i obywatelami, naleŜy wydać<br />
odpowiednie wytyczne dotyczące planowania i wdraŜania bezpiecznych aplikacji e-<br />
administracji. 15<br />
RóŜne rozwiązania publicznych systemów <strong>IT</strong>, zwłaszcza te, które mają podstawowe<br />
znaczenie dla bezpieczeństwa <strong>IT</strong> w obszarach wysokiego ryzyka muszą zostać ocenione. W<br />
tym celu muszą zostać ustalone, a niekiedy opracowane, specyficzne normy bezpieczeństwa,<br />
zaś systemy <strong>IT</strong> skontrolowane w ich kontekście. Wiele rozwiązań systemów <strong>IT</strong> będzie<br />
musiało przejść proces certyfikacji bezpieczeństwa, aby spełnić wymogi prawne, albo Ŝeby<br />
zachować zgodność z poziomami zapewnienia bezpieczeństwa.<br />
Ponadto, moŜna uzyskać darmowe oprogramowanie usług publicznych, które juŜ zostało<br />
opracowane przez inne jednostki administracyjne.<br />
Brak wytycznych metodologicznych oraz odpowiednich norm <strong>IT</strong> 16 moŜe spowodować<br />
zagroŜenie dla interoperacyjności pomiędzy róŜnymi aplikacjami e-administracji, zarówno w<br />
odniesieniu do nowo opracowanych, jak i istniejących aplikacji.<br />
W przypadku, kiedy rozwój infrastrukturalny (jakość, dostęp do internetu itd.) w niektórych<br />
obszarach nie spełnia poŜądanych norm w odpowiednim czasie, moŜe to mieć głęboki wpływ<br />
na dostępność oraz funkcjonowanie nawet najlepszych usług e-administracji, świadczonych<br />
przez najpotęŜniejsze serwery oraz centra.<br />
Istnieje wiele sposobów osiągnięcia zgodności. Procedury samooceny, kontrole wewnętrzne,<br />
NOK, specjalistyczne organizacje oraz procedury współistnieją w wielu krajach i tworzą sieć<br />
struktur oraz mechanizmów promujących zgodność z dobrymi praktykami, normami<br />
zawodowymi oraz wymogami prawnymi odnoszącymi się do e-administracji oraz jej<br />
elementów.<br />
3.2.6 Dostarczenie infrastruktury technicznej<br />
Brak konsekwencji w planowaniu moŜe stanowić zagroŜenie dla dostępności oraz<br />
wiarygodności podstawowych komponentów <strong>IT</strong> oraz urządzeń (portal internetowy, system<br />
15 Porównaj program „ePolska” z marca 2003, który nakłada odpowiedzialność ustanawiania standardów dla<br />
bezpiecznych aplikacji administracyjnych na ministerstwa lub w przypadku Niemieckiego Rządu Federalnego<br />
patrz:<br />
http://www.bsi.bund.de/fachthem/egov/3_en.htm<br />
16 W celu zapewnienia interoperacyjności pomiędzy róŜnymi aplikacjami e-administracji, zarówno nowo<br />
opracowanymi jak i istniejącymi, metodologiczne wytyczne „Standards and Architectures in e-Government<br />
Applications” (SAGA) zostały przyjęte w Niemczech na początku roku 2003.<br />
25
zarządzania zawartością, serwer formularzy, podstawowe usługi dla bezpieczeństwa<br />
transakcji), które powinny znajdować się w dyspozycji większości jednostek administracji<br />
oraz agencji oraz ich róŜnych typów usług online.<br />
3.2.7 ZaleŜność od firm <strong>IT</strong><br />
W rezultacie niewłaściwego dostarczania lub niedostatecznych rozporządzeń normatywnych<br />
oraz prawnych, firmy dostarczające <strong>IT</strong> dla Administracji mogą zdobyć specjalną pozycję w<br />
systemach e-administracji. Konsekwencje mogą obejmować, co następuje: preferowanie<br />
niektórych z nich, zakłócenia konkurencyjności na wolnym rynku oraz zmniejszanie się<br />
opłacalności całego systemu.<br />
Urzędy powinny unikać zamykania się w konkretnej technologii posiadanej przez firmy, które<br />
mogłyby wykorzystać tę dominację do stosowania nieuczciwych cen.<br />
W konfrontacji z tym ryzykiem moŜemy zastosować technologię open source, dwie lub<br />
więcej alternatywne technologie konkurencyjne w stosunku do siebie na rynku, dokładnie<br />
opracować kontrakty długoterminowe, które przewidują stabilność cen (lub redukcję cen<br />
rynkowych), utrzymanie oraz przyszłe rozwiązania.<br />
3.2.8 Prawo do domeny internetowej<br />
Niewystarczające warunki prawne stanowią zagroŜenie dla prawa do domeny internetowej.<br />
Aby utrzymać obecność w internecie, kaŜda jednostka lub agencja musi posiadać adres<br />
internetowy lub „domenę internetową” zarejestrowaną we właściwym organie. Wybrana<br />
nazwa musi stanowić nazwę, którą uŜytkownicy internetu mogą logicznie powiązać z<br />
usługami oferowanymi przez departament lub agencję. Na przykład, w przypadku organu<br />
polskiego, logicznym wyborem byłoby „www.nazwaorganu.gov.pl, zaś w przypadku<br />
niemieckiego organu niemieckiego „www.nazwaorganu.de” lub „www.opis usługi.de”.<br />
3.2.9. Postęp w technologii informacyjnej oraz komunikacyjnej<br />
W przeciwieństwie do innych sfer Ŝycia, technologia informacyjna i komunikacyjna (ICT)<br />
podlega nadzwyczaj szybkim zmianom. Tak jak w przeszłości, moŜliwości platform<br />
stosowanych do prowadzenia systemów <strong>IT</strong> będą się prawdopodobnie podwajać co 18-24<br />
miesiące. Nieodpowiednie platformy komunikacyjne wybrane dla e-administracji,<br />
mianowicie Internet oraz poczta elektroniczna są zagroŜone wpływem szybkiego postępu<br />
technologicznego. Usługi e-administracji będą musiały ściśle nadąŜać za tymi rozwiązaniami<br />
w relacjach z „klientami”.<br />
Znaczne ryzyko dotyczy tempa, w którym ICT rozwija się w docelowej populacji i obszaru<br />
geograficznego e-administracji . Łączy to ze sobą wiele aspektów rozwoju łącznie z<br />
infrastrukturą, jakością usług, ich dostępnością finansową oraz wykształceniem.<br />
3.3. Ryzyka dotyczące prowadzenia usług e-administracji<br />
3.3.1 Dostateczne bezpieczeństwo techniczne oraz organizacyjne <strong>IT</strong><br />
Wprowadzenie usług e-administracji często oznacza zakup nowego lub przekształcenie<br />
istniejącego sprzętu ICT oraz infrastruktury.<br />
26
Ryzyko błędu oraz naduŜycia implikuje konieczność zaplanowania oraz wdroŜenia licznych<br />
mechanizmów w zasadzie nieistniejących w wolnym środowisku <strong>IT</strong>: podziału obowiązków,<br />
sterowania dostępem, sterowania wejściem, sterowania przetwarzaniem itd.<br />
Brak wyraźnych ustaleń dotyczących nie tylko prawnej ochrony prywatności, lecz równieŜ<br />
uzyskania bezpieczeństwa danych niesie ze sobą szczególne ryzyko związane z<br />
niezabezpieczonym stosowaniem poczty elektronicznej oraz internetu jako platform<br />
komunikacji oraz transakcji w związku z usługami e-administracji.<br />
Działania, jakie mają zostać podjęte mają na celu między innymi, co następuje (porównaj<br />
sekcję 5.3.3. Kontrola aplikacji <strong>IT</strong>”)”<br />
- Rzetelność<br />
Wymóg rzetelności oznacza, Ŝe muszą zostać podjęte kroki w celu zabezpieczenia informacji<br />
przechowywanych w komputerze oraz danych przed częściową lub całkowitą utratą,<br />
zniszczeniem lub fałszowaniem. W kwestii komunikacji elektronicznej, oznacza to, Ŝe dane<br />
muszą być w pełni chronione przed zmianami lub ingerencją w nie podczas transmisji.<br />
- Autentyczność<br />
To pojęcie wymaga podjęcia odpowiednich działań w celu zapewnienia, ze partner<br />
komunikacji jest osobą, za którą się podaje oraz/lub, Ŝe informacje otrzymane w<br />
rzeczywistości pochodzą ze wskazanego źródła.<br />
Muszą istnieć ustalenia, które zagwarantują, Ŝe źródło danych osobowych moŜe zostać<br />
zidentyfikowane w dowolnym momencie. W tym kontekście, naleŜy poczynić rozróŜnienie<br />
pomiędzy dowodem toŜsamości (partnerzy komunikacji potwierdzają swoją toŜsamość w<br />
sposób, który wyklucza wszelkie wątpliwości) oraz dowodem pochodzenia (wysyłający<br />
udowadnia, Ŝe wiadomość pochodzi od niego/niej i nie została zmieniona). Procedury<br />
uwierzytelniania słuŜą wykrywaniu dostępu jakichkolwiek osób nieupowaŜnionych oraz<br />
zapewniają ochronę przed nieautoryzowaną ingerencją w dane, oraz zabezpieczaniu<br />
wraŜliwych danych podczas ich przesyłania za pośrednictwem internetu. Wymaga to<br />
procedur, które umoŜliwiają wszystkim zainteresowanym stronom zidentyfikować swoich<br />
partnerów komunikacji bez Ŝadnych wątpliwości.<br />
- Poufność<br />
NaleŜy zagwarantować, Ŝe dane oraz informacje mogą zostać ocenione tylko przez osoby<br />
upowaŜnione oraz na dopuszczalne sposoby.<br />
W sytuacjach, kiedy dane są przesyłane za pośrednictwem Internetu bez ustaleń dotyczących<br />
ochrony technicznej, osoby trzecie mogą mieć wgląd w treść wiadomości i modyfikować je<br />
bez wiedzy nadawcy lub adresata. Muszą zostać podjęte odpowiednie środki zaradcze w celu<br />
zapobiegania niemoŜliwemu do wykrycia wglądowi w treść wiadomości elektronicznych<br />
przez osoby nieupowaŜnione oraz ingerencji w treść tych wiadomości.<br />
- Dostępność<br />
27
NaleŜy opracować ustalenia dotyczące zapewnienia, Ŝe informacje oraz usługi są dostępne w<br />
odpowiednim czasie, w kaŜdym momencie, kiedy są potrzebne uŜytkownikowi. Potrzeba<br />
terminowego oraz prawidłowego przetwarzania danych jest nadzwyczaj wielka, jeśli chodzi o<br />
usługi e-administracji. NaleŜy poczynić największe moŜliwe wysiłki celem uniknięcia utraty<br />
danych oraz utrudnienia działania sprzętu lub oprogramowania spowodowanego przez awarie<br />
techniczne. W ramach szerszej „Polityki bezpieczeństwa” wymagane są solidne plany<br />
tworzenia kopii zapasowych oraz odzyskiwania utraconych plików.<br />
- WiąŜący charakter transakcji elektronicznych oraz potwierdzenie przyjęcia wiadomości<br />
NaleŜy poczynić ustalenia w celu zapewnienia, Ŝe wysyłanie oraz odbiór danych i informacji<br />
nie mogą zostać zakwestionowane (tj. umoŜliwić wydanie potwierdzenia, Ŝe wiąŜąca prawnie<br />
transakcja została zawarta).<br />
- MoŜliwość poddania się <strong>kontroli</strong><br />
Organy, które prowadzą usługi e-administracji mają obowiązek poczynić techniczne oraz<br />
organizacyjne ustalenia pozwalające na późniejszą weryfikację transakcji elektronicznych, co<br />
pozwala kierownikom lub kontrolerom dowiedzieć się, kto wprowadził lub przekazał jakie<br />
dane oraz w jakim czasie. Poczynione ustalenia muszą być równieŜ odpowiednie, aby moŜna<br />
było wykryć i prowadzić dochodzenie w sprawie jakichkolwiek niedopuszczalnych prób<br />
dostępu do danych lub ingerencji w nie.<br />
Do przykładów ryzyk oraz potencjalnych szkód spowodowanych przez niezgodność z tymi<br />
wymogami naleŜą:<br />
• wprowadzenie do sieci <strong>IT</strong> złośliwego oprogramowania (tj. wirusów, koni<br />
trojańskich, bomb logicznych lub robaków);<br />
• ingerencja w/uszkodzenie/zniszczenie systemów operacyjnych lub<br />
oprogramowania aplikacji (łącznie z uszkodzonymi rekordami);<br />
• niedostateczna ochrona dostępu do zdalnej konserwacji;<br />
• ingerencja spowodowana "wewnętrznymi sprawcami" (np.<br />
administratorami lub uŜytkownikami);<br />
• uszkodzone lub ryzykowne oprogramowanie;<br />
• ingerencja w łącza komunikacyjne;<br />
• niedostateczna świadomość bezpieczeństwa;<br />
• niedostatecznie wykwalifikowany personel.<br />
Szkoda spowodowana tymi czynnikami moŜe zostać zaklasyfikowana do tych róŜnych<br />
kategorii:<br />
• materialna;<br />
• finansowa (przestój to (takŜe) pieniądze);<br />
• niematerialna (moŜe być bardziej dotkliwa niŜ szkoda finansowa) oraz szkoda<br />
związana z personelem.<br />
Logowanie zapobiega dostępowi osób nieupowaŜnionych oraz ingerencji, poniewaŜ nikt nie<br />
moŜe mieć pewności, Ŝe wykroczenia przejdą niezauwaŜone.<br />
28
ŚcieŜki audytu 17 mogą zapewnić, Ŝe nie miała miejsca ingerencja w dane. Poświęcenie tej<br />
kwestii szczególnej uwagi jest istotne, poniewaŜ w stopniu, w jakim program e-administracji<br />
prowadzi do zaprzestania stosowania formularzy papierowych, tradycyjne ścieŜki audytu,<br />
równieŜ mają tendencję do zanikania. Z tej przyczyny organizacja powinna utworzyć nowe<br />
ścieŜki audytu w zautomatyzowanych systemach informacyjnych w celu zapewnienia, Ŝe<br />
transakcje zawsze mogą być kontrolowane.<br />
Nieistniejące lub niedostateczne ścieŜki audytu wprowadzają ryzyko, Ŝe nieautoryzowane<br />
zmiany danych mogą przejść niezauwaŜone.<br />
3.3.2 Bezpieczeństwo transakcji<br />
W celu zapobiegania niedostatecznemu bezpieczeństwu transakcji w odniesieniu do<br />
komunikacji z klientem oraz – zwłaszcza - usług transakcji (urząd-obywatel; urządprzedsiębiorca;<br />
urząd-urząd), <strong>administracja</strong> powinna przestrzegać wymogów rozporządzenia<br />
dotyczącego podpisu cyfrowego (Digital Signature Ordinance). Ponadto, naleŜy starać się<br />
zapewnić interoperacyjność pomiędzy krajowymi oraz międzynarodowymi rozwiązaniami<br />
dotyczącymi podpisu cyfrowego.<br />
Aby urzędy publiczne mogły się komunikować bezpiecznie przez internet i aby komunikacja<br />
ta była prawnie wiąŜąca, muszą one posiadać równieŜ „wirtualnego zarządcę poczty”, który<br />
pełniłby rolę zautomatyzowanej w duŜym stopniu centralnej bramki bezpieczeństwa i<br />
wykonywałby funkcję uwierzytelniania, weryfikowania oraz generowania podpisów<br />
cyfrowych, deszyfracji oraz szyfracji, jak równieŜ przeprowadzałby inne kontrole<br />
bezpieczeństwa. Wysokiej jakości usługi mogą wymagać ścisłego uwierzytelniania przez<br />
klienta i w przypadku niektórych typów komunikacji, które dla swojej waŜności wymagają<br />
formy pisemnej, autentyczność musi być uznana, co z kolei wymaga waŜnego podpisu<br />
cyfrowego.<br />
3.3.3. Transakcje dotyczące płatności<br />
W przyszłości regulowanie opłat, naleŜności celnych oraz podatków w wysokości dziesiątek<br />
miliardów euro kaŜdego roku będzie przepływać przez systemy <strong>IT</strong> organów podatkowych<br />
oraz celnych. Niewystarczające wymogi dotyczące bezpieczeństwa mogą stanowić zagroŜenie<br />
dla elektronicznego pobierania tych opłat w jeszcze większym stopniu niŜ standardy<br />
niespełnione przez inne systemy świadczące usługi e-administracji.<br />
Za pomocą platformy przekazywania funduszy organ zainteresowany mógłby i powinien<br />
świadczyć usługę elektroniczną dotyczącą pobierania takich opłat, podatków oraz ceł,<br />
gwarantując, Ŝe naleŜne kwoty będą w rzeczywistości otrzymane i Ŝe dowody otrzymania<br />
zostaną w odpowiedni sposób przekazane odpowiedniej jednostce zarządzania gotówką<br />
odpowiedzialnej za księgowanie lub, jeŜeli nie powiedzie się transfer elektroniczny, takie<br />
niepowodzenie będzie natychmiast zgłoszone.<br />
17 ŚcieŜka audytu jest to chronologiczny zestaw zapisów, które razem stanowią dokumentację przetwarzania,<br />
wystarczającą do tego, aby umoŜliwić rekonstrukcję, przegląd oraz zbadanie działalności (źródło: „Kontrola<br />
systemów informacyjnych; Glosariusz terminów, Komitet INTOSAI ds. <strong>IT</strong>).<br />
29
3.3.4 Zbędność, przerwy w funkcjonowaniu mediów oraz niewystarczająca<br />
interoperacyjność<br />
Zbędne struktury dotyczące świadczenia usług powinny zostać rozwiązane. W celu eliminacji<br />
przerw w funkcjonowaniu mediów, cała transakcja usługi e-administracji powinna się<br />
odbywać na dłuŜszą metę za pośrednictwem <strong>IT</strong>. W sytuacjach, kiedy usługi administracyjne<br />
nie obejmują Ŝadnych podejmowanych według własnego uznania decyzji dotyczących<br />
indywidualnych przypadków, dostarczanie usługi powinno być w pełni zautomatyzowane.<br />
3.4. Kontrola ryzyka związanego z projektami usług e-administracji<br />
3.4.1 Wymagania dla kontrolera<br />
DuŜa róŜnorodność oraz złoŜoność następujących czynników moŜe pełnić rolę pierwszych<br />
wskazówek dla podejść kontrolnych:<br />
• liczba departamentów oraz agencji biorących udział w programach;<br />
• ogromna liczba usług elektronicznych i projektów;<br />
• wzajemne połączenie usług elektronicznych (oraz wśród krajowych,<br />
regionalnych oraz lokalnych jednostek administracji) oraz<br />
• w szczególności wymagane duŜe fundusze.<br />
Czynniki te nakładają wysokie zawodowe wymagania na kontrolera usług e-administracji:<br />
• technicznej wiedzy kontekstowej potrzebnej do dokonania oceny specyfikacji<br />
technicznych, które mają być zachowane przez rzeczoną usługę e-administracji;<br />
• dogłębnej wiedzy na temat platformy ICT, na której będzie prowadzona usługa e-<br />
administracji;<br />
• zdolności analizowania danych; wiedzy oraz umiejętności stosowania technik<br />
elektronicznego zbierania oraz analizy dowodów <strong>kontroli</strong>.<br />
3.4.2 Etyka<br />
Dosyć często kontroler, który przeprowadza kontrole e-administracji, znajduje się w trudnych<br />
sytuacjach, w których pojawia się potrzeba podejmowania decyzji etycznych. NOK będzie<br />
musiało zagwarantować, Ŝe kaŜdy kontroler zaangaŜowany w przeprowadzanie takich<br />
<strong>kontroli</strong>, będzie gotowy poradzić sobie z takimi sytuacjami.<br />
3.4.3 Podejścia kontrolne<br />
Początkowe doświadczenia dotyczące <strong>kontroli</strong> zostały zdobyte przy kilku projektach<br />
wdraŜanych zgodnie z inicjatywami e-administracji. Dzięki faktowi, Ŝe zwłaszcza ryzykowne<br />
usługi transakcji będą wprowadzane w późniejszym okresie, potrwa jeszcze kilka lat zanim<br />
NOK będzie w stanie opracować decydujące wnioski dotyczące <strong>kontroli</strong> oraz wnioski<br />
dotyczące wprowadzenia i działania złoŜonych usług e-administracji.<br />
30
Jako przykłady konkretnych podejść kontrolnych do ryzyk na etapie projektowania programu,<br />
planowania wydatków publicznych, podczas realizacji programu 18 oraz na etapie oceny<br />
wydajności wymienić moŜna:<br />
• Na etapie projektowania programu:<br />
o brak odpowiedniej koordynacji prac nad utworzeniem e-administracji na<br />
federalnym, regionalnym oraz lokalnym poziomie zarządzania, brak jednolitej<br />
koncepcji i programu;<br />
o przygotowywanie projektu e-administracji w warunkach braku lub poza<br />
ramami strategii ogólnych (planu, programu) społecznego oraz gospodarczego<br />
rozwoju kraju oraz digitalizacja społeczeństwa, które z kolei powinny<br />
przewidywać niezbędne przekształcenia relacji między podmiotami<br />
publicznymi a społeczeństwem;<br />
o niezgodność funkcjonalności lub logiki dostarczania informacji oraz innych<br />
nowych usług elektronicznych z istniejącymi strukturami administracyjnymi<br />
oraz algorytmami podejmowania decyzji;<br />
o niewystarczającą ocenę „nierówności cyfrowej” występującej w kraju,<br />
stanowiącą jeden z najwaŜniejszych warunków produktywności programu e-<br />
administracji;<br />
o brak wyraźnej definicji projektu w kontekście celów, zadań, czasu, ustaleń<br />
oraz niezbędnych środków finansowych (brak podejścia zorientowanego na<br />
problem), jak równieŜ brak wskaźników wydajności (produktywności)<br />
nakładów finansowych;<br />
o brak powszechnie akceptowanych standardów dotyczących przechowywania<br />
oraz dostarczania danych podczas organizowania wymiany informacji<br />
pomiędzy organami państwa, oraz organów publicznych z organizacjami<br />
komercyjnymi oraz publicznymi;<br />
o niewystarczające rozporządzenia normatywne oraz prawne w sferze wymiany<br />
informacji na poziomie organów państwowych oraz instytucji samorządu<br />
lokalnego, jak równieŜ w sferze wymiany informacji organów państwa z<br />
obywatelami i sektorem publicznym.<br />
• Na etapie planowania wydatków publicznych:<br />
o niewystarczającą ocenę wydatków na finansowanie projektu<br />
oraz moŜliwości państwa dotyczących przydzielenia<br />
niezbędnych ilości środków finansowych;<br />
o istniejący system finansowania oraz kultura organizacji państwa<br />
nie pozwala na utworzenie skutecznego systemu inwestycji,<br />
włączającego fundusze publiczne, do złoŜonych projektów<br />
digitalizacji;<br />
o system priorytetów dla promocji projektu w warunkach<br />
ograniczonego finansowania, który jeszcze nie został<br />
utworzony;<br />
o klasyfikacja budŜetowa jest niedostatecznie szczegółowo<br />
opisana, aby zapewnić przejrzystość planowania wydatków<br />
oraz ich późniejszej <strong>kontroli</strong>;<br />
18 Rozdział 4 opisuje temat „Kontrola programów i projektów” w sposób bardziej szczegółowy<br />
31
o przydział środków w budŜetach federalnych na następny rok<br />
podatkowy jest przeprowadzony bez uwzględnienia osiągnięcia<br />
celów działań programowych, co prowadzi do akumulacji<br />
niezrealizowanych programów oraz etapów, inwestycji w sprzęt<br />
oraz w ogólne oprogramowanie bez opracowania specjalnych<br />
zadań usług końcowych;<br />
o niespójność harmonogramu przyznawania środków z róŜnych<br />
źródeł (budŜet państwa, zagraniczne poŜyczki i kredyty, środki<br />
z funduszy niepaństwowych itd.)<br />
• Podczas realizacji programu:<br />
o system zarządzania programem nie pozwala na właściwą<br />
reakcję na szybko zmieniające się czynniki i nowe ryzyka<br />
(finansowe, technologiczne, społeczne oraz inne);<br />
o wysoki stopień bezczynności nowoczesnej biurokracji oraz, w<br />
rezultacie, opór w stosunku do zmian;<br />
o wskaźniki oceny przebiegu realizacji programu (fazy, etapy);<br />
tworzenie podsystemów nie występuje lub jest w<br />
niewystarczającym stopniu zaawansowane;<br />
o dysproporcje czasowe w dostarczaniu prawnych,<br />
organizacyjnych i technicznych rozwiązań elementów<br />
programu;<br />
o powolna zmiana stereotypów społecznego oraz politycznego<br />
zachowania ludności, rozczarowanie tempem realizacji<br />
programu oraz spodziewaną uŜytecznością dla sektora biznesu<br />
oraz ludności, brak zaufania do działań mających na celu<br />
zabezpieczenie bezpieczeństwa danych;<br />
o nie istnieją standardowe formy raportów dotyczących<br />
organizacji wymiany informacji organów administracji,<br />
organizacji komercyjnych oraz publicznych;<br />
o niespójność rozwoju programu e-<strong>administracja</strong> z systemami<br />
informatycznymi organów państwowych, programu e-<br />
<strong>administracja</strong> oraz z innymi elementami "społeczeństwa<br />
informacyjnego", które wykraczają poza relacje urząd-inny<br />
podmiot (np. przedsiębiorca-przedsiębiorca, obywatelobywatel).<br />
• Na etapie oceny wydajności realizacji programu<br />
o cele oraz parametry programu nie zostały osiągnięte;<br />
o wydatki poniesione na program przewyŜszyły wydatki<br />
planowane;<br />
o koszt wprowadzenia oraz dalszego działania jest nie od<br />
przyjęcia zarówno dla państwa jak i sektora biznesu oraz<br />
obywateli;<br />
o realizacja programu nie spowodowała zwiększenia roli państwa<br />
w światowej wspólnocie elektronicznej.<br />
32
3.5 Uwagi końcowe<br />
Rozmiar programów e-administracji, ilość przedmiotowych projektów oraz róŜnych faz,<br />
takich jak planowanie i rozwój, wprowadzenie oraz bieŜące prowadzenie usług e-<br />
administracji niesie ze sobą róŜne ryzyka, spośród których tylko niektóre zostały opisane w<br />
niniejszym raporcie. DuŜa zaleŜność agencji oraz ich klientów od <strong>IT</strong> oraz ich słabość stanowi<br />
ogromne wyzwanie dla publicznej odpowiedzialności. Z tego względu twórcy polityk oraz<br />
kierownicy muszą skupić swoją uwagę na moŜliwie najwcześniejszym minimalizowaniu<br />
napotkanych ryzyk w celu zapobieŜenia potencjalnej szkodzie, której rozmiary, choć<br />
nieznane, są jednak znaczące.<br />
4. KONTROLA PROGRAMÓW I PROJEKTÓW<br />
4.1 Wstęp<br />
E-<strong>administracja</strong> jest nową dziedziną i trudno jest nam wyobrazić sobie, Ŝe moŜemy<br />
przeprowadzić kontrolę np. portalu rządowego przy zastosowaniu jedynie metod tradycyjnych<br />
(łącznie z metodami <strong>kontroli</strong> <strong>IT</strong>). Stąd potrzebne nam są nowe metody <strong>kontroli</strong> oprócz tych<br />
juŜ istniejących. Za pomocą tych nowych metod będziemy w stanie określić postęp<br />
administracji we wdraŜaniu programów oraz projektów e-administracji (patrz przykład Rosji<br />
w Załączniku 2 przy końcu tego rozdziału). Nowe metody powinny wyraźnie uwzględnić<br />
aspekt <strong>IT</strong>, poniewaŜ programy e-administracji w duŜej mierze są zaleŜne od <strong>IT</strong>. Mimo, Ŝe e-<br />
<strong>administracja</strong> jako taka jest nowym zjawiskiem, nie moŜna tego samego powiedzieć o <strong>IT</strong> oraz<br />
<strong>kontroli</strong> <strong>IT</strong>. Z uwagi na to, musimy w duŜym stopniu polegać na naszym obecnym<br />
doświadczeniu. JednakŜe, jak zostało wskazane w sekcji 2.5 („Czym szczególnym wyróŜnia<br />
się e-<strong>administracja</strong>?”) e-<strong>administracja</strong> posiada kilka specyficznych cech. Z tego powodu nowe<br />
metody mogą być potrzebne, aby sprawiedliwie ocenić te cechy.<br />
Aby mogła być skuteczna, kontrola programu powinna przede wszystkim dotyczyć<br />
wczesnych etapów programu, obejmując kwestie <strong>kontroli</strong> jeszcze w fazie projektowania lub<br />
wdraŜania programu. Kontrola po zakończeniu programu nie moŜe być bardzo skuteczna,<br />
poniewaŜ w tym momencie jest zbyt późno na podjęcie działań ukierunkowanych na<br />
usprawnienie <strong>kontroli</strong> programu, który jest nią objęty.<br />
W rozdziale tym, pod pojęciem „program” rozumiemy program składający się z wewnątrz<br />
powiązanych projektów (łącznie z projektami <strong>IT</strong>), ukierunkowany na osiągnięcie celów<br />
pośrednich lub celu ostatecznego, jakim jest przejście do e-administracji, na przykład<br />
program państwowy federalny/regionalny. W tym sensie moŜemy równieŜ uznać projekt za<br />
„koszyk” projektu <strong>IT</strong> i innych projektów. Projekt w tym koszyku jest rozumiany jako jeden z<br />
oddzielnych projektów w koszyku (<strong>IT</strong> lub innych).<br />
4.2. Ramy konceptualne<br />
4.2.1 Podstawowe kategorie kontrolowanych obiektów<br />
33
Kontrole e-administracji mogą się koncentrować na jednym lub większej liczbie z trzech<br />
następujących typów obiektów, odpowiadających trzem poziomom <strong>kontroli</strong>:<br />
• program jako zbiór („koszyk”) projektów (łącznie z projektami <strong>IT</strong>), ukierunkowany<br />
na cele pośrednie i końcowe;<br />
• projekt (<strong>IT</strong>) jako projekt oddzielny, albo jako projekt w ramach programu<br />
(„projektu”);<br />
• system informacyjny („IS”) lub zasoby informacyjne („IR”) utworzone lub stosowane<br />
w interesie e-administracji („IS/IR”)<br />
Kwestiami <strong>kontroli</strong> na tych trzech poziomach <strong>kontroli</strong> są:<br />
• poziom strategiczny: wydajność, z którą wykonywanie programów jest organizowane,<br />
planowane, kierowane i kontrolowane;<br />
• poziom operacyjny; realizowanie projektów;<br />
• poziom stosowania: stosowanie istniejących lub nowo utworzonych systemów<br />
informacyjnych oraz zasobów informacji.<br />
Celem niniejszego rozdziału jest strategiczny poziom <strong>kontroli</strong> podczas przejścia do e-<br />
administracji oraz jej dalszego rozwoju.<br />
4.2.2 Ogólne typy <strong>kontroli</strong><br />
W standardowej klasyfikacji wyróŜnione są następujące typy <strong>kontroli</strong>:<br />
• kontrola finansowa tj. kontrola:<br />
o inwestycji i wydatków;<br />
o księgowania funduszy;<br />
o organizacji <strong>kontroli</strong> wewnętrznej i raportowania, wydajności wydatków.<br />
• kontrola <strong>IT</strong>: kontrola zarządzania <strong>IT</strong>;<br />
• kontrola wykonania zadań, tj. ocena:<br />
o systemów <strong>kontroli</strong> jakości;<br />
o wydajności i skuteczności;<br />
o wydajności procesu podejmowania decyzji;<br />
o jakości usługi;<br />
o polityki dotycząca obsady etatów; umiejętności oraz wiedzy<br />
członków personelu.<br />
Rysunek 1 - Typy oraz metody <strong>kontroli</strong> ogólnej<br />
METODY KONTROLI<br />
34
KONTROLA<br />
WYKONANIA<br />
ZADAŃ<br />
KONTROLA<br />
<strong>IT</strong><br />
KONTROLA<br />
FINANSOWA<br />
KONTROLA<br />
FINANSOWA<br />
Metody <strong>kontroli</strong>:<br />
• Kontrola finansowa<br />
organizacji<br />
komercyjnych<br />
• Kontrola finansowa<br />
organizacji<br />
budŜetowych<br />
• Kontrola finansowa<br />
w środowisku <strong>IT</strong><br />
• inne<br />
KONTROLA <strong>IT</strong><br />
Metody <strong>kontroli</strong>:<br />
• Kontrola<br />
systemów<br />
informacyjnych<br />
• Kontrola zasobów<br />
informacji<br />
• Kontrola<br />
bezpieczeństwa<br />
informacji<br />
• inne<br />
KONTROLA WYKONANIA<br />
ZADAŃ<br />
Metody <strong>kontroli</strong>:<br />
• Zbadanie ram<br />
normatywnych oraz<br />
prawnych<br />
• Kontrola systemów<br />
jakości<br />
• Kontrola wydajności<br />
projektu oraz<br />
rezultatów projektu<br />
• inne<br />
W przypadku kaŜdego typu <strong>kontroli</strong> moŜemy częściowo polegać na dotychczasowych<br />
metodach oraz technikach <strong>kontroli</strong>. W sytuacjach, kiedy są one stosowane w odniesieniu do<br />
kwestii e-administracji, muszą one zostać uzupełnione przez nowe podejścia.<br />
4.2.3 Perspektywa czasowa<br />
Zgodnie z przyjętą międzynarodową praktyką instytucji wykonujących kontrolę finansową<br />
zdefiniować moŜna trzy ramy czasowe dla <strong>kontroli</strong> finansowej:<br />
• przedwdroŜeniowa: kontrola podczas procesu podejmowania decyzji dotyczącej<br />
polityki budŜetu oraz innych projektów prawnych lub dotycząca innych obszarów<br />
<strong>kontroli</strong> finansowej;<br />
• równoczesna: kontrola dodatkowych kwestii dotyczących realizacji budŜetu, które<br />
mogą się zrodzić podczas realizacji programów i projektów,<br />
• powdroŜeniowa: zatwierdzenie raportów o rozliczalności dotyczących realizacji<br />
budŜetu oraz wpływu (lub „wyniku”) programów oraz projektów.<br />
35
4.3 Metody <strong>kontroli</strong><br />
4.3.1 Stosowalność istniejących typów <strong>kontroli</strong> dla obszaru e-administracji<br />
Ten trójwymiarowy obraz opisany w poprzednich sekcjach tworzy przestrzeń <strong>kontroli</strong> (rys.2),<br />
w której kaŜdy element odpowiada grupie metod: M(i,j,k). W tej funkcji litery "i", "j" oraz<br />
"k" reprezentują odpowiednio zmienne "obiektów <strong>kontroli</strong>", "typów <strong>kontroli</strong>" oraz<br />
„perspektywy czasowej” (rys. 3)<br />
Rysunek 2 - Obszar <strong>kontroli</strong> e-administracji<br />
Legenda:<br />
Financial audit – kontrola finansowa<br />
<strong>IT</strong> audit – kontrola <strong>IT</strong><br />
Performance audit – kontrola wykonania zadań<br />
Pre-implementation – przedwdroŜeniowa<br />
Concurrent - równoczesna<br />
Post-implementation - powdroŜeniowa<br />
Program - program<br />
36
(<strong>IT</strong>) project – projekt (<strong>IT</strong>)<br />
IS/IR - IS/IR<br />
(Strategic level) – poziom strategiczny<br />
(Operational level) – poziom operacyjny<br />
(Application level) – poziom stosowania<br />
Rysunek 3 – Grupa metod <strong>kontroli</strong> e-administracji<br />
Metoda<br />
<strong>kontroli</strong><br />
Typy <strong>kontroli</strong><br />
Grupa metod<br />
<strong>kontroli</strong> e-<br />
administracji<br />
M (i,j ,k)<br />
Obiekty <strong>kontroli</strong><br />
Perspektywa czasowa<br />
Rysunek 4 ukazuje odpowiedniość róŜnych grup metod przejścia <strong>kontroli</strong> do e-administracji<br />
Rysunek 4 – Stosowalność istniejących metod <strong>kontroli</strong> podczas przejścia do e-<br />
administracji<br />
37
Obiekty <strong>kontroli</strong><br />
Program<br />
Projekt (<strong>IT</strong>)<br />
IS/IR<br />
Perspektywa<br />
czasowa<br />
Kontrola<br />
finansowa<br />
Typy <strong>kontroli</strong><br />
Kontrola <strong>IT</strong><br />
PrzedwdroŜeniowa tak NaleŜy opracować<br />
nowe metody<br />
Równoczesna tak NaleŜy opracować<br />
nowe metody<br />
PowdroŜeniowa tak NaleŜy opracować<br />
nowe metody<br />
PrzedwdroŜeniowa tak tak tak<br />
Równoczesna tak tak tak<br />
PowdroŜeniowa tak NaleŜy opracować<br />
nowe metody<br />
Kontrola<br />
wykonania<br />
zadań<br />
tak<br />
tak<br />
NaleŜy opracować<br />
nowe metody<br />
NaleŜy opracować<br />
nowe metody<br />
PrzedwdroŜeniowa tak tak NaleŜy opracować<br />
nowe metody<br />
Jednoczesna tak tak tak<br />
PowdroŜeniowa tak tak tak<br />
Analizując w sposób bardziej szczegółowy stosowalność metod, naleŜy rozpatrzyć je w<br />
<strong>perspektywie</strong> cyklu Ŝyciowego.<br />
Na przykład na strategicznym poziomie <strong>kontroli</strong> rozpoznajemy następujące etapy cyklu Ŝycia<br />
(patrz równieŜ rysunek 5).<br />
• etap planowania strategicznego (I): podejmowanie decyzji politycznych;<br />
opracowywanie programu wraz z definicją celów, wymogów, zadań oraz kryteriów<br />
projektu dla wykonalnego programu;<br />
• etap projektowania (II): utworzenie organu zarządzającego projektem (opracowanie<br />
dokumentacji konkursowej oraz realizacja konkursu w celu wybrania podmiotu<br />
odpowiedzialnego za rzeczony program);utworzenie ram normatywnych i prawnych;<br />
rozkład celów oraz zadań programu; utworzenie koszyka programów oraz budŜetu<br />
programu itd.;<br />
• etap realizacji (III): opracowanie technicznej oraz ekonomicznej podstawy projektu;<br />
dokumentacja konkursowa odnosząca się do projektów programu; organizacja<br />
konkursów i zawieranie kontraktów odnoszących się do projektów; utworzenie<br />
portfela inwestycyjnego oraz finansowanie projektów; kontrola etapów i rezultatów<br />
projektu, finalizacja /przerwanie/rozpoczęcie projektów programu; aktualizacja<br />
programu itd.;<br />
• etap końcowy (IV): Ocena rezultatów programu; ocena księgowania oraz jakości<br />
raportowania; pomiar wydajności programu, itd.<br />
38
Rysunek 5 - Kwestie <strong>kontroli</strong> na róŜnych etapach cyklu Ŝycia.<br />
Etapy „cyklu Ŝycia” programu docelowego<br />
Legenda:<br />
stages of „life cycle of target program” – etapy „cyklu Ŝycia” programu docelowego<br />
Formation of normative legal base – utworzenie podstawy normatywnej i prawnej<br />
Planning of program – planowanie programu<br />
Control of quality management – kontrola zarządzania jakością<br />
Project 1- projekt 1<br />
Project 2- projekt 2<br />
Project n – projekt n<br />
Works on transition to e-government- prace nad przejściem do e-administracji<br />
I stage strategic planing- etap I – planowanie strategiczne<br />
II stage design – etap II – projektowanie<br />
III stage realization – etap III - realizacja<br />
IV stage final – etap IV – zakończenie<br />
Audit types –typy <strong>kontroli</strong><br />
Expertise of normative legal base – znajomość podstawy normatywnej i prawnej<br />
Performance audit – kontrola wykonania zadań<br />
Financial audit – kontrola finansowa<br />
<strong>IT</strong> audit – kontrola <strong>IT</strong><br />
39
Rysunek 5 ukazuje jak róŜne typy <strong>kontroli</strong> (kontrola finansowa, kontrola <strong>IT</strong> oraz kontrola<br />
wydajności) mogą zostać zastosowane na róŜnych etapach cyklu Ŝycia programu docelowego.<br />
Odpowiednie metody, które mają zostać zastosowane na róŜnych etapach cyklu Ŝycia zostały<br />
przedstawione w następnej tabelce.<br />
Rysunek 6 - Metody <strong>kontroli</strong> odpowiednie na róŜnych etapach programu<br />
Etapy cyklu<br />
Ŝycia<br />
(I)<br />
Planowanie<br />
strategiczne<br />
(II)<br />
Projektowanie<br />
(III)<br />
Realizacja<br />
(IV)<br />
Zakończenie<br />
Metody <strong>kontroli</strong><br />
1 Przegląd programu z perspektywy normatywnej (prawnej)<br />
2 Ocena prognoz wyników<br />
3 Kontrola koncepcji programu<br />
4 Przegląd zaproszenia do przetargu w celu wyboru podmiotu<br />
odpowiedzialnego<br />
5 Kontrola systemu <strong>kontroli</strong> jakości stosowanego przez podmiot<br />
odpowiedzialny<br />
6 Przegląd projektów z perspektywy normatywnej (prawnej)<br />
7 Kontrola budŜetu podmiotu odpowiedzialnego<br />
8 Kontrola finansowa własnego systemu budŜetowego podmiotu<br />
odpowiedzialnego<br />
9 Kontrola finansowa wydatków na realizację programu<br />
10 Przegląd zaproszenia do przetargu dla wyboru wykonawców projektu<br />
11 Kontrola organizacji oraz realizacja procesu przetargu<br />
12 Kontrola systemu logistycznego programu<br />
13 Kontrola wykonania zadań<br />
14 Kontrola ryzyk programu<br />
15 Kontrola systemów informacyjnych stosowanych przez podmiot<br />
odpowiedzialny<br />
16 Kontrola finansowa własnego systemu budŜetowego podmiotu<br />
odpowiedzialnego<br />
17 Kontrola finansowa wydatków na realizację programu<br />
18 Kontrola wykonania zadań<br />
Rysunek 6 dostarcza informacji na temat stosowności metod <strong>kontroli</strong> na róŜnych etapach<br />
cyklu Ŝycia programu docelowego, w oparciu o doświadczenie w przeprowadzaniu <strong>kontroli</strong><br />
Izby Obrachunkowej Federacji Rosyjskiej<br />
Metody przedstawione w tabeli zostaną objaśnione w następnej sekcji.<br />
4.3.2 Wyjaśnienie metod<br />
Oto wyjaśnienie metod przedstawionych na rysunku 6.<br />
(1) Przegląd programu z perspektywy normatywnej (prawnej)<br />
40
Dokonać przeglądu programów z perspektywy normatywnej (prawnej) odnośnie<br />
podejmowania decyzji politycznych dotyczących:<br />
• konieczności przejścia do e-administracji,<br />
• form, celów oraz zadań e-administracji,<br />
• konieczności reorganizacji zarządzania publicznego,<br />
• przydziału środków budŜetowych oraz harmonogramu celów.<br />
(2) Ocena prognoz wyników<br />
• sprawdzić czy sporządzono prognozy i czy zostały określone w kontekście<br />
rozwoju społecznego i gospodarczego,<br />
• sprawdzić czy prognozy te są oparte o prawidłowe i wydajne metody oraz<br />
procedury<br />
(3) Kontrola koncepcji programowej<br />
• określić czy cele oraz zadania programu są zgodne z celami strategicznymi oraz<br />
zadaniami w odniesieniu do rozwoju społeczno - gospodarczego kraju,<br />
• sprawdzić czy zostały określone prawidłowe i mierzalne kryteria dla pomiaru<br />
rezultatów pośrednich i końcowych programu.<br />
(4) Przegląd zaproszenia do przetargu dla wyboru podmiotu odpowiedzialnego<br />
Zbadać:<br />
• zgodność zaproszenia do składania ofert z istniejącym ustawodawstwem,<br />
• spełnienie warunków zadań dla konkursu,<br />
• wyniki konkursu.<br />
(5) Kontrola systemu <strong>kontroli</strong> jakości stosowanego przez podmiot odpowiedzialny<br />
• sprawdzić czy podmiot odpowiedzialny ustanowił system <strong>kontroli</strong> jakości (jeśli jest to<br />
konieczne),<br />
• ocenić czy system <strong>kontroli</strong> jakości jest odpowiedni dla zadania zarządzania oraz<br />
koordynowania działań programowych,<br />
• sprawdzić czy program będzie zarządzany przez odpowiedni organ,<br />
• sprawdzić czy podmiot odpowiedzialny odpowiada wymogom systemu <strong>kontroli</strong><br />
jakości.<br />
(6) Przegląd projektów z perspektywy normatywnej (prawnej)<br />
Dokonać analizy ram prawnych, które dotyczą podmiotu odpowiedzialnego w odniesieniu do<br />
aspektów takich jak:<br />
• zgodność z celami oraz zadaniami programu,<br />
• zasadność kalkulacji kosztów,<br />
• zasadność planowania projektu ( daty zakończenia oraz ustawienie w kolejności),<br />
• zasadność zakończenia poszczególnych projektów,<br />
41
• specyfikacja lub zmiana celów oraz zadań projektów.<br />
(7) Kontrola budŜetu podmiotu odpowiedzialnego<br />
• dokonać <strong>kontroli</strong> prawidłowości finansowej podmiotu odpowiedzialnego.<br />
(8,16) Kontrola finansowa własnego systemu budŜetowego podmiotu odpowiedzialnego<br />
• zbadać wydatki podmiotu odpowiedzialnego w trakcie realizacji programu,<br />
• zbadać dokumenty finansowe oraz inne dotyczące sprawozdań statutowych.<br />
(9,17) Kontrola finansowa wydatków na realizację programu<br />
Dokonać <strong>kontroli</strong> wydatków podmiotu odpowiedzialnego w odniesieniu do:<br />
• zarządzania programem,<br />
• przygotowywania, organizowania oraz realizowania sytuacji konkurencyjnej dla<br />
projektów naleŜących do programu,<br />
• realizacji scentralizowanych zakupów sprzętu oraz oprogramowania dla<br />
uczestników programu,<br />
• prawidłowości, terminowości oraz uregulowania płatności,<br />
• poprawność, kompletności oraz terminowości raportów finansowych oraz innych<br />
sprawozdań statutowych oraz dokumentów księgowych.<br />
(10) Przegląd zaproszeń do składania ofert w celu wyboru wykonawców projektu<br />
• zweryfikować czy zaproszenie do składania ofert dla projektów programu odpowiada<br />
wymogom istniejącego prawodawstwa,<br />
• zweryfikować czy warunki dotyczące konkursu zostały spełnione,<br />
• zbadać wyniki przetargu oraz wybór wykonawców, którzy będą realizować projekty<br />
programowe.<br />
(11) Kontrola organizacji i realizacji procesu przetargu<br />
• zbadać przygotowanie oraz realizację scentralizowanych zakupów sprzętu,<br />
oprogramowania oraz usług dla uczestników programu, dokonywanych przez<br />
podmiot odpowiedzialny lub upowaŜniony,<br />
• zweryfikować prawidłowość, terminowość oraz regulację płatności za zakupy,<br />
• zweryfikować czy nabyty sprzęt, oprogramowanie oraz usługi odpowiadają<br />
ustanowionym wymogom jakości oraz wymogom technicznym.<br />
(12) Kontrola systemu logistycznego<br />
Sprawdzić jak:<br />
• są zorganizowane zakupy, przechowywanie oraz dostawa centralnie nabytego sprzętu<br />
oraz oprogramowania dla uczestników programu,<br />
• jest zorganizowane utworzenie oraz prezentacja projektu, dokumentacji księgowej i<br />
finansowej przez uczestników programu.<br />
(13, 18) Kontrola wykonania zadań<br />
42
Ocenić rezultaty realizacji programu z punktu widzenia:<br />
• terminowego oraz całkowitego osiągnięcia ustalonych celów,<br />
• wydajności zarządzania projektem,<br />
• wydajności stosowania środków przedzielonych dla programu.<br />
(14) Kontrola ryzyk programu<br />
Problemy te zostały rozpatrzone w rozdziale 3.<br />
(15) Kontrola systemów informacyjnych stosowanych przez podmiot odpowiedzialny<br />
• Ocenić stopień, w jakim róŜne aspekty jakości systemów informacyjnych<br />
stosowanych przez podmiot odpowiedzialny odpowiadają ustanowionym normom,<br />
standardom oraz wymogom. Obejmuje to analizę ryzyka oraz przegląd systemów<br />
korporacyjnych stosowanych przez uczestników programu.<br />
4.4 Mapa ram CobiT<br />
Wszystkie metody <strong>kontroli</strong> poziomów strategicznych, operacyjnych oraz stosowania,<br />
określone w danym rozdziale, mogą być odwzorowane w ramach CobiT 19 , w następujący<br />
sposób:<br />
Rys. 7 Plan trzech obiektów <strong>kontroli</strong>/ poziomów <strong>kontroli</strong> procesów CobiT.<br />
Domena CobiT<br />
Planowanie i<br />
Organizacja<br />
Kod Proces<br />
Program Projekt IS/IR<br />
(Strategiczny)<br />
domeny<br />
(Operacyjny) (Stosowanie)<br />
CobiT<br />
PO1 Określenie planu strategicznego X<br />
<strong>IT</strong><br />
PO2 Określenie architektury<br />
X<br />
X<br />
informacyjnej<br />
PO3 Określenie kierunku<br />
X<br />
X<br />
technologicznego<br />
PO4 Określenie organizacji oraz<br />
X<br />
relacji <strong>IT</strong><br />
PO5 Zarządzanie inwestycją <strong>IT</strong> X X X<br />
PO6 Komunikowanie celów X<br />
X<br />
zarządzania i kierunków<br />
PO7 Zarządzanie zasobami ludzkimi X<br />
PO8 Zapewnienie zgodności z X<br />
X<br />
wymogami zewnętrznymi<br />
PO9 Ocena ryzyka X X X<br />
19 CobiT - Cele Kontrolne Technologii Informatycznych i Technologii Pokrewnych<br />
43
Domena CobiT<br />
Nabywanie<br />
WdraŜanie<br />
Dostarczanie i<br />
wsparcie<br />
Monitorowanie<br />
i<br />
Kod<br />
domeny<br />
CobiT<br />
Proces<br />
Program<br />
(Strategiczny)<br />
PO10 Zarządzanie projektami X<br />
PO11 Zarządzanie jakością X<br />
AI1 Zidentyfikować<br />
X<br />
zautomatyzowane rozwiązania<br />
AI2 Nabyć i utrzymywać<br />
X<br />
oprogramowanie aplikacji<br />
AI3 Nabyć i utrzymywać<br />
X<br />
infrastrukturę technologiczną<br />
AI4 Opracować i utrzymywać<br />
X<br />
procedury<br />
AI5 Zainstalować i uznać systemy X<br />
AI6 Zarządzać zmianami X<br />
DS1 Zdefiniować oraz zarządzać<br />
poziomami usług<br />
Projekt<br />
(Operacyjny)<br />
DS2 Zarządzać usługami dla stron<br />
X<br />
trzecich<br />
DS3 Zarządzać wykonaniem oraz<br />
X<br />
wydajnością<br />
DS4 Zapewnić ciągłość usług X<br />
DS5 Zapewnić bezpieczeństwo<br />
X<br />
systemów<br />
DS6 Zidentyfikować i przydzielić<br />
X<br />
koszty<br />
DS7 Kształcić i szkolić<br />
X<br />
uŜytkowników<br />
DS8 Pomagać i doradzać klientom X<br />
DS9 Zarządzać konfiguracją X<br />
DS10 Zarządzać programami i<br />
X<br />
zdarzeniami<br />
DS11 Zarządzać danymi X<br />
DS12 Zarządzać urządzeniami X<br />
DS13 Zarządzać operacjami X<br />
M1 Monitorować procesy X X X<br />
M2 Ocenić odpowiedniość <strong>kontroli</strong><br />
X<br />
X<br />
wewnętrznej<br />
M3 Uzyskać niezaleŜną gwarancję X X<br />
M4 Zapewnić niezaleŜną kontrolę X X<br />
IS/IR<br />
(Stosowanie)<br />
X<br />
Tabela ta odzwierciedla naszą ideę, zgodnie z którą kontrola projektów oraz programów e-<br />
administracji nie powinna być ograniczona przez jakikolwiek standard funkcyjny i nie moŜe<br />
być ograniczona do kilku domen lub standardowych procesów CobiT takich jak PO10<br />
(Zarządzanie projektem) oraz PO11 (Zarządzanie jakością)<br />
4.5. Uwagi końcowe<br />
Chcielibyśmy podkreślić, Ŝe klasyfikacja typów <strong>kontroli</strong> na poszczególne kategorie (patrz<br />
sekcja 4.2.2) została dokonana dla celów przejrzystości koncepcji. W rzeczywistej praktyce<br />
44
kontrola programów oraz projektów zazwyczaj łączy w sobie podejścia do <strong>kontroli</strong><br />
finansowej, <strong>IT</strong> oraz/lub <strong>kontroli</strong> wykonania zadań w konkretnym programie lub projekcie.<br />
Kontrola istotnych aspektów programów i projektów podczas przejścia do e-administracji,<br />
oraz warunków dla e-administracji nie jest moŜliwa bez stosowania nowych metod. Metody<br />
te powinny zostać utworzone, poniewaŜ działania związane z e-administracją rozwijają się<br />
wraz z upływem czasu.<br />
Te nowe metody powinny obejmować tematy takie jak:<br />
• jakość systemów księgowania organizacji, które są odpowiedzialne za organizowanie i<br />
realizację programów e-administracji;<br />
• zgodność projektów ze standardami funkcjonalnymi takimi jak zarządzanie<br />
inwestycjami (ISO/IEC 15288:CD2);<br />
• zgodność ze standardami dla wdraŜania oraz stosowania <strong>IT</strong> (CobiT);<br />
• istnienie certyfikowanych systemów <strong>kontroli</strong> jakości na kaŜdym etapie realizacji<br />
projektu.<br />
Co istotne, naleŜy równieŜ zauwaŜyć, Ŝe najlepsze podejście do <strong>kontroli</strong> moŜe róŜnić się w<br />
zaleŜności od kraju, poniewaŜ mogą występować znaczne róŜnice w sieci stron<br />
zaangaŜowanych w program e-administracji oraz w ustalenie ról przypisanych do róŜnych<br />
partnerów. Na przykład, budowa systemu moŜe, lecz nie musi być zlecona na zewnątrz.<br />
ZAŁĄCZNIK 2<br />
45
Doświadczenie Rosji w tworzeniu e-administracji<br />
(Federalny program docelowy „Elektroniczna Rosja na lata 2002-2010”)<br />
Zewnętrzny (publiczny)<br />
zarys e-administracji<br />
(elektroniczny zarys<br />
systemu dostarczania<br />
usług państwowych)<br />
NiezaleŜny dostęp<br />
Technologiczna infrastruktura dostępu obywateli do<br />
e-administracji<br />
Interfejsy e-<br />
administracji<br />
Dostęp przez pośrednika<br />
Sieci otwarte (otwarta<br />
przestrzeń<br />
komunikacyjna)<br />
Portal rządu<br />
Infrastruktura e-demokracji<br />
(wsparcie procedur demokracji)<br />
Portale oraz strony federalnych oraz regionalnych organów państwowych<br />
Infrastruktura wsparcia sektora<br />
biznesu oraz interakcje ekonomiczne<br />
Infrastruktura wsparcia procesów<br />
administracji publicznej<br />
Infrastruktura utworzenia oraz<br />
przedstawienia państwowych<br />
zasobów informacji oraz<br />
„elektronicznych” usług<br />
państwowych<br />
Infrastruktura wsparcia interakcji z<br />
obcymi rządami oraz organizacjami<br />
międzynarodowymi<br />
Infrastruktura połączenia<br />
Zasoby informacyjne państwa<br />
System elektronicznych rozporządzeń<br />
administracyjnych i organizacyjnych<br />
Państwowy korporacyjny<br />
system informacji<br />
Portale<br />
intranetowe<br />
System centrów<br />
danych<br />
System zapewniania bezpieczeństwa<br />
informacji obywateli oraz państwa<br />
System informacyjnego monitorowania,<br />
analiz, oceny (systemy wspierania decyzji)<br />
System wsparcia informacji procedur<br />
<strong>kontroli</strong> w zarządzaniu państwem<br />
Państwowa sieć informacyjnokomunikacyjna<br />
(zamknięta<br />
przestrzeń komunikacyjna)<br />
System zarządzania pracownikami państwa<br />
Infrastruktura wsparcia transakcji<br />
finansowych państwa<br />
System obiegu informacji elektronicznych<br />
organów państwowych<br />
System zarządzania projektem e-<br />
administracji<br />
Wewnętrzny<br />
(usługowy) zarys<br />
e-administracji<br />
Warunek polityczny System dostarczenia projektu e-administracji Warunek<br />
technologiczny<br />
Warunek prawny Warunek organizacyjny Warunek finansowy Warunek dot. personelu<br />
46
5. KONTROLA FINANSOWA W ŚRODOWISKU CYFROWYM<br />
(SKOMPUTERYZOWANYM)<br />
5.1. Wstęp<br />
Celem tej sekcji jest skupienie uwagi na <strong>kontroli</strong> finansowej oraz przedstawienie ram<br />
odniesienia dla ogólnych wymogów dotyczących <strong>kontroli</strong> w środowiskach cyfrowych, jeŜeli<br />
chodzi o cel, treść oraz zakres.<br />
Prezentacja ta jest w duŜej mierze oparta o doświadczenie związane z e- zamówieniami<br />
publicznymi. E-zamówienia publiczne stanowią dalszy etap rozwoju e-administracji,<br />
porównaj sekcja 2.6 (Aspekty rozwojowe). JednakŜe, naleŜy uznać, Ŝe e-<strong>administracja</strong> jest<br />
obszarem otwartym i Ŝe moŜna by wybrać wiele tematów celem ukazania jej rozwoju. Z<br />
uwagi na fakt, Ŝe grupa docelowa przede wszystkim składa się z osób tworzących politykę,<br />
poświęcono uwagę opisowi głównych punktów dotyczących <strong>kontroli</strong> środowisk cyfrowych.<br />
Digitalizacja funkcji administracyjnych i zamówień organów sektora publicznego zapewnia<br />
wiele korzyści, na przykład dotyczących tworzenia nowych oraz bardziej wydajnych procedur<br />
roboczych, jak równieŜ moŜliwość komunikowania się i współpracowania na wiele<br />
sposobów. Tradycyjne procedury funkcjonujące przy zastosowaniu form papierowych mogą<br />
stać się bardziej wydajne, poprawione lub teŜ moŜna się bez nich całkowicie obyć, kiedy dane<br />
oraz komunikacja z uŜyciem danych staje się elektroniczna. Jako takie, uwolnione środki<br />
mogą zostać przeniesione z administracji do usług.<br />
JednakŜe, digitalizacja daje nie tylko korzyści. Czynnik ryzyka zmienia się radykalnie wraz z<br />
rozwojem technicznym, na przykład, kiedy tradycyjne dokumenty papierowe są zastępowane<br />
danymi cyfrowymi, które w łatwy sposób mogą zostać skradzione (skopiowane), zmienione<br />
lub usunięte – mogą zniknąć w ciągu jednej chwili bez śladu oraz kontaktu fizycznego. W<br />
przyszłości, bezpieczeństwo towarzyszące systemom cyfrowym otrzyma wysoki priorytet we<br />
wszystkich obszarach społeczeństwa. W sekcji 3.3 omówione zostały ryzyka związane z<br />
prowadzeniem usług e-administracji.<br />
5.2 Środowiska cyfrowe<br />
5.2.1 Cechy<br />
<strong>IT</strong> stanowi podstawę dla wiedzy podmiotu publicznego, informacji oraz zarządzania i jest<br />
stosowane w coraz większym stopniu w procedurach zawodowych i administracyjnych.<br />
Jednocześnie, stosowanie <strong>IT</strong> nabrało coraz większego znaczenia strategicznego i stało się<br />
decydujące dla realizacji misji oraz wizji podmiotu publicznego. Z tego względu, wydajne<br />
oraz bezpieczne środowisko <strong>IT</strong> jest istotne dla codziennej działalności podmiotu publicznego.<br />
W systemach skomputeryzowanych (cyfrowych) dane podmiotu publicznego nie istnieją w<br />
formie tradycyjnych dokumentów papierowych, lecz jedynie w formacie elektronicznym lub<br />
cyfrowym.<br />
47
Dokumenty cyfrowe nie tylko zawierają dokumenty, które pochodzą z nośników papierowych<br />
(np. listów) i które w późniejszym okresie zostały zapisane w postaci cyfrowej, lecz równieŜ<br />
dokumenty, które istnieją i są stosowane jedynie w formie cyfrowej podczas ich całej<br />
„długości Ŝycia”.<br />
Wprowadzenie systemów cyfrowych (skomputeryzowanych) oraz połączenie systemów<br />
wewnętrznych z Internetem, na przykład w połączeniu z elektronicznymi zamówieniami<br />
publicznymi, zwiększa zaleŜność od <strong>IT</strong> oraz wymogi dotyczące dostępności oraz<br />
bezpieczeństwa zasobów <strong>IT</strong>.<br />
W sytuacji, kiedy dokumenty papierowe nie są juŜ dłuŜej stosowane i kiedy zostały<br />
zastąpione dokumentami elektronicznymi (danymi) jako jedyną formą dokumentacji dla<br />
transakcji podmiotu publicznego, nakłada to zasadnicze wymogi na środowisko <strong>kontroli</strong><br />
podmiotu publicznego, zgodnie z którymi dokumenty elektroniczne muszą posiadać tę samą<br />
wartość dowodową, co dokumenty papierowe.<br />
W zasadzie, ustanowiona praktyka prawna oraz metodologia istnieje obecnie po to, aby<br />
moŜna było ocenić wartość dowodową dokumentów papierowych. JednakŜe, nie istnieje<br />
równowaŜna praktyka dla dokumentów cyfrowych, co oznacza, Ŝe ich wartość dowodowa<br />
często zaleŜy od jakości zintegrowanych <strong>kontroli</strong> w systemach cyfrowych oraz ogólnego<br />
środowiska operacyjnego 20 .<br />
W rezultacie, bezpieczeństwo towarzyszące systemom cyfrowym oraz przechowywaniu<br />
danych cyfrowych musi być tak rygorystyczne, Ŝe wymogi dotyczące <strong>kontroli</strong> wewnętrznej<br />
oraz zewnętrzne wymogi prawne dotyczące dokumentacji będą spełnione.<br />
Wraz z przejściem od formatu papierowego do systemów cyfrowych środowisko <strong>kontroli</strong><br />
zmienia dalej swój charakter od przede wszystkim ręcznych do przede wszystkim wstępnie<br />
zaprogramowanych mechanizmów opartych o komputery. Mechanizmy te muszą<br />
funkcjonować wcześniej w odniesieniu do procedur, aby były skuteczne i miały charakter<br />
zapobiegawczy wobec nieprzewidzianych lub systemowych nieprawidłowości w<br />
automatycznych przepływach danych.<br />
Istotne jest zapewnienie, Ŝe system, dane oraz bezpieczeństwo operacyjne, tj. zarówno<br />
bezpieczeństwo <strong>IT</strong> w ogólności oraz bezpieczeństwo dotyczące poszczególnych systemów,<br />
jest zadowalające i przystosowane do działań podmiotu publicznego oraz warunków<br />
publicznych w ogólności.<br />
5.2.2 Ryzyka środowisk cyfrowych<br />
Nieodpowiednie środowisko <strong>kontroli</strong> moŜe umoŜliwić dostęp osób nieupowaŜnionych do<br />
systemów oraz danych - albo poprzez Internet albo poprzez wewnętrzną stację roboczą. Z tej<br />
przyczyny, istnieje ryzyko zmiany danych, skopiowania ich (kradzieŜy) lub usunięcia bez<br />
moŜliwości ustalenia, kiedy zmiany te miały miejsce i kto je wprowadził.<br />
Dostęp osób nieupowaŜnionych moŜe torować drogę do naduŜyć <strong>IT</strong>. Przykłady tego typu<br />
obejmują próby zmiany danych księgowych, utworzenia oraz przekazywania funduszy do<br />
20 „Auditing Paperless Systems, An internal guide to auditing electronic forms, imaging and messaging<br />
systems”, The United Kingdom National Audit Office, April 1998.<br />
48
fikcyjnych dostawców, klientów lub pracowników, usunięcia sfałszowanych transakcji,<br />
kradzieŜy programów oraz danych, jak równieŜ hakerstwa, sabotaŜu, itd. MoŜe to prowadzić<br />
do znaczących szkód dla danych podmiotu publicznego – zarówno danych gospodarczych jak<br />
i operacyjnych – oraz w określonych przypadkach stanowić moŜe potencjalne zagroŜenie dla<br />
zdolności operacyjnej podmiotu publicznego lub jego istnienia.<br />
5.2.3 Wyzwania dla kadry kierowniczej<br />
W przyszłości kierownictwo podmiotu państwowego musi ocenić w duŜym stopniu czy jego<br />
systemy cyfrowe spełniają jego strategię korporacyjną i są wdraŜane zgodnie z nią.<br />
Podobnie, do obowiązków zarządu naleŜy zapewnienie, Ŝe systemy zawierają wystarczające<br />
moŜliwości dotyczące śledzenia transakcji oraz <strong>kontroli</strong> (znane jako ścieŜka audytu),<br />
wystarczające mechanizmy zapobiegawcze, wykrywające/ naprawcze (mechanizmy systemu<br />
cyfrowego), odpowiedni podział funkcjonalny oraz, Ŝe systemy te pracują w środowisku <strong>IT</strong>,<br />
które jest w wystarczającym stopniu bezpieczne.<br />
Cyfrowe mechanizmy systemu muszą często zostać uruchomione wcześniej – muszą być<br />
ukierunkowane na zapobieganie, a nie na wykrywanie/naprawianie – z racji szybkiego i<br />
zautomatyzowanego przepływu informacji elektronicznej. WaŜne jest, Ŝe nie tylko pliki<br />
główne (oraz poprawki do nich wprowadzane), lecz równieŜ pliki transakcji (oraz poprawki<br />
do nich wprowadzane) są aktualizowane w sposób kontrolowany i Ŝe mechanizmy oparte o<br />
komputery powinny być planowe i utrzymywane, poniewaŜ niedostatki w tej materii<br />
prowadzić będą do zwiększonego ryzyka straty finansowej.<br />
Obraz ryzyka zmienia się i staje się bardziej dynamiczny. Zarówno techniczna jak i<br />
gospodarcza długość Ŝycia sprzętu oraz oprogramowania jest skrócona i musi być ciągle<br />
zastępowana nowszymi wersjami. Odpowiednio, dzisiejsze systemy bezpieczeństwa <strong>IT</strong> mogą<br />
nie być w stanie sprostać jutrzejszym wymogom dotyczącym bezpieczeństwa i w<br />
konsekwencji muszą być zastępowane nowymi systemami bezpieczeństwa lub aktualizowane.<br />
Z tego względu, bezpieczeństwo oraz polityka <strong>IT</strong> w przyszłości musi wypełnić stałą lukę w<br />
programie kierownictwa podmiotu publicznego. Bezpieczeństwo <strong>IT</strong> nie będzie juŜ dłuŜej<br />
kwestią ograniczoną do jednostek <strong>IT</strong> podmiotu publicznego.<br />
w Ramach polityki bezpieczeństwa <strong>IT</strong> kierownictwo musi podjąć decyzję dotyczącą<br />
poŜądanego poziomu bezpieczeństwa oraz sposobu radzenia sobie z ryzykiem. Polityka<br />
bezpieczeństwa <strong>IT</strong> powinna obejmować zarówno zagroŜenia wewnętrzne jak i zewnętrzne<br />
(ryzyka) skierowane przeciwko systemom oraz danym niezbędnym dla misji oraz rozwoju<br />
podmiotu publicznego.<br />
5.3 Kontrola środowisk cyfrowych („skomputeryzowanych”)<br />
5.3.1 Cel <strong>kontroli</strong><br />
Nadrzędnym celem <strong>kontroli</strong> finansowej jest dostarczenie kompetentnej opinii na temat jakości<br />
rocznych ksiąg rachunkowych, które zostały przedłoŜone przez kierownictwo, aby NajwyŜsze<br />
Organy Kontroli (NOK) były w stanie ocenić je w raporcie z <strong>kontroli</strong>. Cel <strong>kontroli</strong> nie jest<br />
uwarunkowany przejściem podmiotu publicznego do środowiska cyfrowego.<br />
49
5.3.2 Kontrola systemowa i materialna<br />
Kontrola jest ustalana oraz przeprowadzana na podstawie istotności i ryzyka, w oparciu o<br />
model ryzyka dotyczący <strong>kontroli</strong> – oraz przeprowadzana zgodnie z odpowiednimi praktykami<br />
sektora publicznego dotyczącymi przeprowadzania <strong>kontroli</strong>. NOK musi przeprowadzać swoje<br />
kontrole w sposób finansowo korzystny i wydajny, aby uzyskać istotny oraz wystarczający<br />
dowód <strong>kontroli</strong> za rozsądną cenę.<br />
Kontrola jest przygotowywana jako kontrola systemowa i połączona z kontrolą materialną w<br />
stopniu, w jakim jest to konieczne. Kontrola musi ustanowić dowód w postaci ścieŜki <strong>kontroli</strong><br />
systemowej.<br />
Kontrola systemowa obejmuje kontrolę procedur opartych o <strong>IT</strong> oraz procedur ręcznych z<br />
uwzględnieniem ogólnych mechanizmów <strong>IT</strong> wspierających systemy uŜytkownika oparte na<br />
<strong>IT</strong> oraz mechanizmy wewnętrzne.<br />
Na przykład kontrola materialna moŜe stanowić kontrolę analityczną ksiąg rachunkowych,<br />
kontrolę dowodów wpłaty/pokwitowań, przeprowadzaną moŜliwie ze wsparciem CAAT<br />
(technik <strong>kontroli</strong> z uŜyciem komputera) – w oparciu o ocenę niezawodności wewnętrznego<br />
podmiotu <strong>kontroli</strong>.<br />
W sytuacji, w której procedury administracyjne oraz finansowe podmiotu publicznego są<br />
zdigitalizowane, procedury <strong>IT</strong> podmiotu publicznego lub procedury oparte o <strong>IT</strong> nabierają<br />
duŜego znaczenia dla planowania oraz przeprowadzania <strong>kontroli</strong>. Stąd, NOK musi zbadać czy<br />
wewnętrzny organ zarządczy systemów uŜytkownika, itd. funkcjonuje tak skutecznie, Ŝe<br />
rzetelność danych, niezawodność oraz kompletność są zapewnione, niezaleŜnie od tego czy,<br />
systemy uŜytkownika funkcjonują w środowisku <strong>IT</strong> z zadowalającymi systemami,<br />
niezawodnością danych oraz niezawodnością eksploatacyjną.<br />
Kolejna sekcja opisuje, jak moŜe wyglądać struktura <strong>kontroli</strong> aplikacji <strong>IT</strong>.<br />
5.3.3. Kontrola aplikacji <strong>IT</strong> 21<br />
Badanie aplikacji <strong>IT</strong> podmiotu publicznego najlepiej podzielić na:<br />
a. początkową ocenę aplikacji <strong>IT</strong><br />
b. przegląd ogólnych mechanizmów <strong>IT</strong><br />
c. przegląd mechanizmów w systemie uŜytkownika<br />
d. outsourcing<br />
a. Początkowa ocena aplikacji <strong>IT</strong><br />
Celem początkowej oceny NOK aplikacji <strong>IT</strong> jest utworzenie ogólnego zarysu jako podstawy<br />
struktury <strong>kontroli</strong> oraz zebranie informacji na temat organizacji <strong>IT</strong> podmiotu publicznego,<br />
sprzętu oraz oprogramowania, metody zarządzania, jak równieŜ waŜnych systemów<br />
uŜytkownika oraz baz danych.<br />
NOK przeprowadza ocenę - na podstawie istotności oraz ryzyka – znaczenia aplikacji <strong>IT</strong> oraz<br />
tego czy podmiot publiczny, w przypadku awarii lub zmniejszenia wydajności <strong>IT</strong> jest<br />
zagroŜony znaczącą stratą finansową, itd.<br />
21 Audit Committee, Association of State Authorized Public Accountants, Denmark, Statements of Auditing<br />
Standards nos. 14 (wrzesień 1995) oraz 17 (marzec 2000).<br />
50
. Przegląd ogólnych mechanizmów <strong>IT</strong><br />
Celem przeglądu NOK ogólnych mechanizmów <strong>IT</strong> jest ocena czy systemy, niezawodność<br />
danych oraz niezawodność operacyjna są wystarczające, aby utworzyć podstawy <strong>kontroli</strong><br />
systemów uŜytkownika. Ogólne mechanizmy <strong>IT</strong> są to mechanizmy, które zgodnie z decyzją<br />
kierownictwa podmiotu publicznego powinny zostać wdroŜone w środowisku <strong>IT</strong> tak, aby<br />
zewnętrzne parametry dotyczące niezawodności systemu, danych oraz niezawodności<br />
operacyjnej stały się dopuszczalne, zgodnie z potrzebami podmiotu publicznego.<br />
Mechanizmy te mają róŜny charakter i mogą być to na przykład mechanizmy organizacyjne,<br />
fizyczne, uprzednio zaprogramowane lub ręczne.<br />
Kontrola ogólnych mechanizmów <strong>IT</strong> jest przeprowadzana głównie przy pomocy wywiadów,<br />
oględzin oraz weryfikacji uzyskanych informacji.<br />
Przegląd zazwyczaj obejmuje strategię oraz politykę <strong>IT</strong>, warunki organizacyjne, rozwój oraz<br />
utrzymanie systemów, wdroŜenie operacyjne, mechanizmy dostępu, transmisję danych,<br />
bezpieczeństwo fizyczne, plany zapasowe oraz awaryjne.<br />
Do przeglądu zalicza się np. zbadanie czy istnieje rozdział funkcjonalny odnośnie funkcji <strong>IT</strong>,<br />
rozwoju systemów oraz zarządzania nimi oraz tego czy istnieją wystarczające mechanizmy<br />
dostępu.<br />
W końcu NOK musi zbadać czy jest zachowana zgodność z odpowiednim ustawodawstwem<br />
dotyczącym przetwarzania danych elektronicznych.<br />
Przegląd ogólnych mechanizmów <strong>IT</strong> jest zakończony wnioskiem NOK dotyczącym ich<br />
jakości, z uwzględnieniem stopnia w którym NOK moŜe rozwinąć te mechanizmy w trakcie<br />
dalszych <strong>kontroli</strong> systemów uŜytkownika.<br />
c. Przegląd mechanizmów w systemach uŜytkownika<br />
System uŜytkownika jest rozumiany jako system – aplikacja – który zawiera kilka funkcji<br />
systemowych, opartych o <strong>IT</strong> oraz ręcznych administracyjnych funkcji w danym obszarze.<br />
W systemie uŜytkownika mechanizmy wewnętrzne są wcześniej zaprogramowane oraz<br />
uzupełniane w dostatecznym stopniu mechanizmami ręcznymi.<br />
Przegląd systemu uŜytkownika zazwyczaj obejmuje:<br />
• funkcje systemu,<br />
• stosowane zapisy,<br />
• przetwarzanie danych wejściowych/wyjściowych,<br />
• mechanizmy uprzednio zaprogramowane i ręczne,<br />
• śledzenie transakcji i mechanizmów oraz<br />
• zgodność z odpowiednim ustawodawstwem dotyczącym danych.<br />
Celem przeglądu NOK jest zbadanie czy mechanizmy wewnętrzne w systemie uŜytkownika<br />
gwarantują kompletne, dokładne i terminowe przetwarzanie zatwierdzonych transakcji oraz<br />
zbadanie czy te mechanizmy wewnętrzne zapobiegają błędom lub naprawdę zapewniają, Ŝe<br />
błędy zostają odkryte i są naprawiane. W końcu, przegląd musi wyjaśnić w jakim stopniu<br />
istnieje dokumentacja dotycząca przeprowadzanego przetwarzania danych w systemie<br />
51
uŜytkownika oraz zapobiegawczych, wcześniej zaprogramowanych oraz ręcznych<br />
mechanizmów.<br />
W sytuacji, w której mechanizmy wewnętrzne w systemie uŜytkownika funkcjonują<br />
prawidłowo, kontrola powinna je objąć w znacznym stopniu. JeŜeli mechanizmy nie<br />
funkcjonują w sposób zadowalający, NOK musi ocenić czy cel <strong>kontroli</strong> moŜe zostać<br />
zrealizowany w inny sposób.<br />
JeŜeli NOK dojdzie do wniosku, Ŝe w wewnętrznych mechanizmach istnieją<br />
niedociągnięcia lub, Ŝe istnieją rozbieŜności w księgach rachunkowych lub procedurach<br />
księgowych, sytuacja powinna być uwzględniona w zaleceniach kontrolera oraz ewentualnie<br />
w sprawozdaniu z <strong>kontroli</strong>.<br />
System uŜytkownika, który zapewnia moŜliwość wysyłania, otrzymywania oraz<br />
przetwarzania danych elektronicznie do/od partnerów komercyjnych podmiotu publicznego<br />
zazwyczaj zawiera następujące elementy główne: program aplikacji (np. system finansowy),<br />
metodę transmisji danych (np. połączenie modemowe typu dial-up lub połączenie poprzez<br />
dostawcę VANS 22 ), wspólny standard dla wymiany danych (np. format XML) oraz<br />
ewentualnie oprogramowanie do konwersji (przekształcenie z formatu wspólnego dla<br />
wymiany danych do wewnętrznego formatu zapisu).<br />
Integracja systemu jest moŜliwa, poniewaŜ systemy są skonstruowane modułowo i posiadają<br />
otwarte interfejsy zarówno zewnętrznie do internetu jak i wewnętrznie w podmiocie<br />
publicznym do innych systemów oraz są w zasadzie oparte o elektroniczne zatwierdzenia<br />
wszystkich transakcji.<br />
Dla podmiotu publicznego, największym ryzykiem wiąŜącym się z takim systemem jest to,<br />
czy otrzymane dane wejściowe są prawidłowe, kiedy są ładowane do aplikacji uŜytkownika i<br />
czy dane wyjściowe przekazywane od podmiotu publicznego równieŜ są prawidłowe.<br />
Ponadto, waŜne jest, aby podmiot publiczny zapewnił oraz zabezpieczył dokumentację<br />
dotyczącą wysyłania/otrzymywania transakcji (niezaprzeczalność) i Ŝeby podczas transmisji<br />
danych nie miał miejsca wpływ na treść transakcji (rzetelność).<br />
W celu oceny, Ŝe dane wejściowe i wyjściowe są prawidłowe, waŜne jest, aby mechanizmy<br />
systemu uŜytkownika umoŜliwiły ocenę danych przy uŜyciu dwóch mechanizmów, zwanych<br />
Mechanizm 1 oraz 2, porównaj rysunek 8 23<br />
22 Value Added Network Supplier (or Service) – Dostawca sieci z dodatkowymi usługami<br />
23 „EDI in smaller business enterprises”, Danish EDI- Counsel, 1998<br />
52
Rysunek 8—Przepływ danych oraz mechanizmy sprawdzania poprawności<br />
Dane wejściowe<br />
Podmiot<br />
publiczny<br />
Otrzymywanie i<br />
ocena<br />
poprawności<br />
danych<br />
Przekształcenie do formatu<br />
zapisów wewnętrznych, ocena<br />
poprawności oraz generowanie<br />
danych wejściowych w<br />
aplikacji uŜytkownika<br />
Partner<br />
branŜowy<br />
Transmisja<br />
Mechanizm<br />
1<br />
Mechanizm 2<br />
Aplikacja<br />
uŜytkownika<br />
Dane wyjściowe<br />
Sprawdzanie<br />
poprawności i<br />
wysyłanie<br />
danych<br />
Generowanie danych<br />
wyjściowych, ocena ich<br />
poprawności i formatowanie<br />
do standardu komunikacji<br />
Rysunek 8 ukazuje elektroniczny przepływ danych pomiędzy podmiotem publicznym oraz<br />
jego partnerami branŜowymi. Ponadto, ukazuje on ocenę poprawności danych otrzymanych i<br />
wysłanych w Mechanizmie 1 oraz ocenę poprawności danych wejściowych i wyjściowych w<br />
Mechanizmie 2.<br />
Mechanizm 1<br />
Mechanizm 1 jest zlokalizowany w interfejsie systemu uŜytkownika zaraz po otrzymaniu oraz<br />
tuŜ przed wysłaniem transakcji.<br />
Mechanizm 1 musi zapewnić, Ŝe transakcja elektroniczna będzie zgodna z następującymi<br />
wymogami podstawowymi dotyczącymi danych:<br />
• Autentyczności ( autor jest naprawdę tym za kogo się podaje).<br />
• Rzetelności (otrzymane dane stanowią te same dane co dane wysłane).<br />
• Tajności (osoby nieupowaŜnione nie mają dostępu do danych)<br />
• Niezaprzeczalności (nadawca/odbiorca danych nie moŜe zaprzeczyć, Ŝe dane zostały<br />
wysłane/ otrzymane).<br />
W systemach w pełni zdigitalizowanych powyŜsze warunki są spełnione zarówno przez<br />
nadawcę jak i odbiorcę danych.<br />
53
Kiedy Mechanizm 1 zapewnił, Ŝe dane wysłane/otrzymane są autentyczne – Ŝe pozostały one<br />
poufne i nie zostały naraŜone na niebezpieczeństwo podczas transmisji danych, Ŝe dotarły one<br />
do odbiorcy oraz nie moŜna zaprzeczyć, Ŝe zostały one wysłane bądź otrzymane - wówczas<br />
otrzymana transakcja moŜe zostać przeniesiona do aplikacji uŜytkownika (systemu<br />
finansowego). Etap ten, jest jednakŜe takŜe naraŜony na pewne ryzyko, któremu zapobiec ma<br />
Mechanizm 2.<br />
Mechanizm 2<br />
Mechanizm 2 jest zlokalizowany bezpośrednio przed aplikacją. Mechanizm 2 przekształca i<br />
przesyła dalej otrzymane transakcje oraz transakcje do wysłania do oraz z podstawowej<br />
aplikacji uŜytkownika (systemu finansowego).<br />
Mechanizm 2 musi zabezpieczyć dane wejściowe oraz wyjściowe w odniesieniu do:<br />
• Kompletności (np. nie występuje przerwa w kompletności podczas<br />
przekształcenia z zewnętrznego do wewnętrznego formatu danych, Ŝe awaria<br />
systemu nie powoduje utraty danych lub, Ŝe zakłócenia związane z nadawcą<br />
transakcji nie prowadzą do nieotrzymania całości transakcji. Mechanizm ręczny<br />
powinien zapewnić, Ŝe błędne transakcje, które ewentualnie zostały zatrzymane,<br />
zostaną w późniejszym czasie prawidłowo zarejestrowane w aplikacji).<br />
• Dokładności (tj. oceny poprawności otrzymanych danych transakcji dotyczących<br />
np. numerów produktu, ilości, cen itd.). Ten sam mechanizm jest takŜe stosowany<br />
w odniesieniu do danych transakcji przesyłanych przez podmiot publiczny).<br />
• WaŜność/ zatwierdzenia (np. ocena poprawności w celu zapewnienia, Ŝe tylko<br />
transakcje odnoszące się do podmiotu publicznego są przekazywane do aplikacji<br />
uŜytkownika. NaleŜy zapewnić, Ŝe procedura zatwierdzenia otrzymanych<br />
transakcji zbiorowych jest przygotowana do wdroŜenia i Ŝe zatwierdzenie<br />
przeprowadzane jest przez odpowiednio upowaŜnionych pracowników)<br />
• Terminowości (trwające operacyjne cykle aktualizowania muszą zagwarantować,<br />
Ŝe przetwarzanie danych pobranych transakcji odbywa się odpowiednim terminie).<br />
Warunkiem koniecznym dla wydajności <strong>kontroli</strong> systemu uŜytkownika jest wdroŜenie<br />
praktycznych i wydajnych mechanizmów ogólnych <strong>IT</strong>.<br />
Przeprowadzając kontrolę mechanizmów w systemach uŜytkownika, NOK powinno skupić<br />
swoją uwagę na mechanizmach, które są ustanowione na kilku róŜnych poziomach.<br />
Zgodnie z tym, co zostało wspomniane wyŜej, pierwszy mechanizm musi zagwarantować<br />
autentyczność transakcji, tajność, rzetelność oraz niezaprzeczalność.<br />
Drugi mechanizm musi zapewnić kompletność transakcji, dokładność, waŜność oraz<br />
terminowość.<br />
d. Outsourcing<br />
Ze względu na fakt, Ŝe część aplikacji <strong>IT</strong> podmiotu publicznego jest zlecona na zewnątrz do<br />
podwykonawcy, pozostanie obowiązkiem kierownictwa podmiotu publicznego zapewnienie,<br />
54
Ŝe niezawodność systemu, danych oraz niezawodność operacyjna towarzysząca procesom, jak<br />
równieŜ systemy oraz dostęp do danych są zgodne z potrzebami podmiotu publicznego.<br />
W celu zapewnienia tych warunków musi istnieć pisemna umowa pomiędzy podmiotem<br />
publicznym oraz podwykonawcą. Zazwyczaj taka pisemna umowa powinna zawierać jako<br />
minimum coroczną deklarację pochodzącą od księgowego podwykonawcy dotyczącą<br />
niezawodności systemu, danych oraz niezawodności eksploatacyjnej.<br />
Jako część <strong>kontroli</strong>, NOK musi dokonać przeglądu kontraktu z podwykonawcą i w zasadzie<br />
musi uzyskać pełen dostęp do zbiorowych danych dotyczących zamówień publicznych,<br />
przechowywanych przez podwykonawcę oraz dotyczących rzeczonego podmiotu<br />
publicznego.<br />
5.4. Uwagi końcowe<br />
Pomimo, Ŝe celem nadrzędnym <strong>kontroli</strong> finansowej jest dostarczenie NOK kompetentnych<br />
opinii odnośnie jakości dostarczonych ksiąg finansowych, kontrola jest przygotowywana jako<br />
kontrola systemowa i połączona jest z kontrolą materialną w stopniu koniecznym.<br />
Kontrole systemowe obejmują kontrolę procedur opartych o <strong>IT</strong> oraz procedur ręcznych,<br />
łącznie z ogólnymi mechanizmami <strong>IT</strong>, które wspierają systemy uŜytkownika/ procedury<br />
oparte o <strong>IT</strong> oraz mechanizmami wewnętrznymi.<br />
Kontrola systemów cyfrowych składa się z następujących etapów: początkowa ocena<br />
aplikacji <strong>IT</strong>, przegląd ogólnych mechanizmów <strong>IT</strong>, przegląd mechanizmów w systemie<br />
uŜytkownika oraz ocena umowy outsourcingu, jeŜeli istnieje.<br />
Kontrola ogólnych mechanizmów <strong>IT</strong> bada, w jakim stopniu bezpieczeństwo systemu, danych<br />
oraz bezpieczeństwo operacyjne jest wystarczające oraz moŜe stanowić podstawę dla <strong>kontroli</strong><br />
systemów uŜytkownika.<br />
Kontrola mechanizmów systemu uŜytkownika wskazuje czy istnieją odpowiednie<br />
mechanizmy, ustanowione w celu zapewnienia autentyczności transakcji, tajności, rzetelności<br />
oraz niezaprzeczalności, jak równieŜ jej kompletności, dokładności, waŜności oraz<br />
terminowości.<br />
6. KONSEKWENCJE ORGANIZACYJNE<br />
6.1 Wstęp<br />
Digitalizacja procedur pracy w instytucjach publicznych nakłada podobne wymogi na<br />
poszczególne NOK, dotyczące podjęcia przez nie strategicznych inicjatyw w tej dziedzinie.<br />
Celem tych inicjatyw musi być przejście NOK do procedur cyfrowych oraz rozwoju<br />
proceduralnego, jak równieŜ kontynuowanie edukacji w obszarze umiejętności <strong>IT</strong>.<br />
55
Podstawę tych inicjatyw stanowi przede wszystkim uznanie zaleŜności od <strong>IT</strong>, oraz uznanie, Ŝe<br />
<strong>IT</strong> stanowi decydujący czynnik w realizacji misji oraz wizji NOK.<br />
Podstawę przejścia na systemy cyfrowe NOK stanowić będzie wzajemna zaleŜność pomiędzy<br />
strategią organizacyjną oraz strategiami <strong>IT</strong>. WaŜne jest, aby wyŜsza kadra kierownicza NOK<br />
określiła ramy formalne dla stosowania <strong>IT</strong> oraz, aby zasadnicza odpowiedzialność za<br />
zarządzanie <strong>IT</strong> oraz stosowanie, łącznie z bezpieczeństwem spoczywała na wyŜszej kadrze<br />
kierowniczej.<br />
Digitalizacja NOK wymaga dostosowań w 4 waŜnych dziedzinach:<br />
• przejścia do procedur cyfrowych<br />
• metod<br />
• kwalifikacji<br />
• zasobów<br />
6.2. Przejście do procedur cyfrowych<br />
NOK, podobnie jak inne instytucje publiczne, doświadcza potrzeby usprawnienia pracy przy<br />
pomocy digitalizacji. W celu przystosowania NOK do procedur cyfrowych oraz, lepszego<br />
przetwarzania dokumentacji elektronicznej rozwój ten będzie obejmował:<br />
• wzmocnienie organizacji oraz technologii <strong>IT</strong>,<br />
• zapewnienie, Ŝe bezpieczeństwo <strong>IT</strong> spełnia nowe wymagania, łącznie z tworzeniem<br />
kopii zapasowych, zaporami (firewallami) itd. i Ŝe NOK moŜe sobie poradzić za<br />
pomocą danych wewnętrznych dostępnych jedynie elektronicznie,<br />
• wdroŜenie polityki dla nowych procedur oraz programów towarzyszących<br />
otrzymywaniu oraz wysyłaniu poczty elektronicznej tak, aby pracownicy stosowali,<br />
rejestrowali oraz przetwarzali fachowo pocztę elektroniczną,<br />
• ustanowienia jednego lub więcej urzędowych adresów poczty elektronicznej na<br />
poziomie kierownictwa, instytucji, departamentu oraz/lub pracownika,<br />
• poinformowanie pracowników organizacji o procesie transformacji do systemu<br />
cyfrowego,<br />
• poinformowanie partnerów zewnętrznych o zmienionych wytycznych instytucji w<br />
celu komunikacji cyfrowej .<br />
Jako taka, digitalizacja skutkować będzie wymogiem zwiększenia wiedzy NOK na temat <strong>IT</strong><br />
w celu wdroŜenia oraz stosowania nowych narzędzi oraz metod. Podobnie, digitalizacja<br />
będzie wymagać, aby wewnętrzna funkcja <strong>IT</strong> została umocniona, co umoŜliwi organizacji<br />
przetwarzanie jedynie informacji cyfrowych – tj. serwery poczty elektronicznej, firewalle,<br />
systemy bezpieczeństwa itd. będą odgrywać większą rolę niŜ kiedykolwiek przedtem.<br />
6.3. Metody<br />
Kontrola w środowisku cyfrowym nie moŜe być przeprowadzona w ten sam sposób, jak w<br />
środowisku nieskomputeryzowanym. Jednym z przykładów na to, co mogą oznaczać te<br />
56
zmiany jest sytuacja, kiedy publiczna spółka promowa przeszła z całkowicie ręcznego,<br />
nieskomputeryzowanego systemu sprzedaŜy biletów na system elektroniczny, który w<br />
mniejszym lub większym stopniu funkcjonuje bez interwencji człowieka. Podmiot publiczny<br />
zainstalował nowy, elektroniczny system sprzedaŜy/ biletów/fakturowania/płatności, tak, Ŝe<br />
sprzedaje bilety przez Internet, otrzymuje płatności poprzez system kart poprzez Internet,<br />
rejestruje wejścia na pokład, przeprowadza operacje księgowe oraz automatycznie drukuje<br />
faktury itd.<br />
Rozwiązanie to spowoduje wymóg zmiany procedur <strong>kontroli</strong> oraz koncepcji, więc kontrole<br />
odpowiednio ukaŜą nowe zagroŜenia. Do przykładów niezbędnych inicjatyw strategicznych<br />
naleŜą:<br />
• opracowanie nowych metod oraz narzędzi przeprowadzania <strong>kontroli</strong>.<br />
• zbadanie jakie nowe technologie mogą być wykorzystane wewnętrznie w nowych<br />
koncepcjach, np. statystycznych badaniach losowych oraz specjalnie opracowanych<br />
aplikacjach (np. CAAT).<br />
6.4 Kwalifikacje<br />
Digitalizacja waŜnych funkcji w firmach oznacza, Ŝe tradycyjne procedury oraz wewnętrzne<br />
mechanizmy oparte o formularze papierowe staną się przestarzałe i zostaną zastąpione przez<br />
dane elektroniczne - za wyjątkiem elementów procedur dotyczących fizycznego przepływu<br />
towarów.<br />
Dla NOK oznacza to istotną zmianę w środowisku <strong>kontroli</strong>. Jednorazowe transakcje, które<br />
poprzednio były dokumentowane za pomocą dowodów wpłaty/pokwitowań zostaną teraz<br />
zastąpione informacjami cyfrowymi (danymi), którym towarzyszyć będzie elektroniczne<br />
potwierdzenie transakcji. Kontrola ogólnych mechanizmów <strong>IT</strong> oraz systemów uŜytkownika<br />
opartych o <strong>IT</strong> będzie w przyszłości stanowić większy element <strong>kontroli</strong> systemu i wymagać<br />
więcej roboczogodzin oraz większej liczby personelu posiadającego zarówno umiejętności<br />
związane z <strong>IT</strong>, jak i przeprowadzaniem <strong>kontroli</strong>.<br />
Przykłady niezbędnych inicjatyw strategicznych obejmują:<br />
• szkolenie dotyczące sposobu <strong>kontroli</strong> środowiska cyfrowego, porównaj Rozdział V;<br />
• szkolenie w zakresie stosowania nowych narzędzi (IDEA, CAAT, itp.);<br />
• szkolenie ustawiczne jako rezultat technologii – z udziałem jednostki kontrolowanej<br />
oraz wewnętrznie w organizacji – ciągły rozwój;<br />
• kursy dla całej organizacji skoncentrowane na postawach i zrozumieniu;<br />
• wzmocnienie wewnętrznego <strong>IT</strong> tak, aby organizacja oraz technologia mogły sobie<br />
poradzić posiadając jedynie dane dostępne w formacie cyfrowym;<br />
• zmiany organizacyjne oraz restrukturyzację mające na celu realizację nowych<br />
zadań.<br />
57
6.5 Zasoby<br />
Proces przejścia pociąga za sobą przede wszystkim potrzebę większych zasobów.<br />
NaleŜy opracowywać nowe koncepcje, poniewaŜ naleŜy przyjąć, Ŝe kontrola klienta<br />
indywidualnego spowoduje wykorzystanie większych zasobów w w pełni<br />
zdigitalizowanym środowisku. Istnieją jednakŜe dwa warunki, które są sprzeczne z<br />
tą tendencją. Po pierwsze, opracowanie nowych metod <strong>kontroli</strong> oraz narzędzi ma na<br />
celu zwiększenie wydajności. Po drugie, w wielu krajach rozwój kieruje się ku<br />
coraz większym centrom serwisowym <strong>IT</strong>.<br />
Jedną z konsekwencji digitalizacji jest zanik wymogu dotyczącego bliskiej<br />
fizycznej bliskości z danymi oraz informacjami. Oznacza to, Ŝe funkcje, które<br />
poprzednio były szeroko rozproszone geograficznie, mogą być teraz zebrane razem,<br />
na przykład płace oraz rekrutacja, które stanowią zadania kompleksowe oraz są<br />
duŜym obciąŜeniem dla zasobów.<br />
Z jednej strony, naleŜy przyjąć, Ŝe kontrola konkretnego podmiotu publicznego<br />
spowoduje zuŜycie większych zasobów, podczas gdy z drugiej strony, istnieje<br />
tendencja, Ŝe będzie mniej firm, w których będą przeprowadzane kontrole.<br />
W kwestii zasobów wyłania się niepewny obraz. Prawdopodobnie większe wymogi<br />
dotyczące zasobów będą istnieć tylko podczas okresu przejściowego. Jednym z<br />
przykładów niezbędnej inicjatywy strategicznej jest:<br />
• zakrojona na szeroką skalę świadomość kadry kierowniczej odnośnie<br />
wykorzystywania moŜliwości dotyczących poprawy wydajności wraz ze<br />
zorganizowaniem nowych metod <strong>kontroli</strong>.<br />
6.6 Uwagi końcowe<br />
W przypadku NOK digitalizacja sektora publicznego oznaczać będzie waŜne wewnętrzne<br />
techniczne oraz organizacyjne dostosowania, wymagające inicjatyw strategicznych:<br />
• przejścia do procedur cyfrowych<br />
• opracowania nowych metod i narzędzi <strong>kontroli</strong><br />
• rozwoju umiejętności <strong>IT</strong> kontrolerów<br />
• wykorzystanie potencjału wydajności poprzez ulepszoną organizację<br />
nowych metod <strong>kontroli</strong>.<br />
58
GLOSARIUSZ<br />
Rozliczalność (obowiązek zdania sprawy) – w bezpieczeństwie informacji, zasada<br />
indywidualnej identyfikacji oraz indywidualnej odpowiedzialności uŜytkowników systemu za<br />
działania. MoŜliwość dokonania jednostkowej identyfikacji uŜytkowników umoŜliwia<br />
śledzenie przypadków naruszenia bezpieczeństwa oraz wykrycie jego sprawców. Celu tego<br />
nie moŜna osiągnąć w przypadku wspólnych haseł.<br />
Dokładność - właściwość zapewniona przez mechanizm systemu umiejscowiony<br />
bezpośrednio przed aplikacją uŜytkownika w celu sprawdzenia poprawności otrzymanych<br />
danych transakcji dotyczących np. numerów produktu, ilości, jakości, cen itd.<br />
Autentyczność - w bezpieczeństwie informacji, właściwość, która określa, Ŝe autor<br />
wiadomości, pliku itd. jest rzeczywiście tym, za kogo się podaje.<br />
Dostępność – moŜliwość dostępu do i stosowania systemu, zasobu lub pliku w dowolnej<br />
chwili i miejscu.<br />
System back office (lub back end) – infrastruktura komputerowa w ramach organizacji,<br />
która wspiera główne aplikacje procesu biznesowego, lecz nie posiada zewnętrznego<br />
interfejsu z klientami (inaczej niŜ w przypadku witryny www lub portalu)<br />
Jednostka certyfikująca – w kryptografii, jednostka posiadająca zaufanie wszystkich<br />
uŜytkowników, tworząca oraz przypisująca certyfikaty cyfrowe. Rola ta jest pełniona zwykle<br />
przez instytucje publiczne, takie jak Poczta lub banki clearingowe (np. Barclays)<br />
Mechanizmy w systemie uŜytkownika - wewnętrzne wcześniej zaprogramowane<br />
mechanizmy uzupełnione w stopniu koniecznym mechanizmami ręcznymi.<br />
Kompletność – właściwość zapewniona przez mechanizmy systemu umiejscowione<br />
bezpośrednio przed aplikacją uŜytkownika, w celu zapewnienia, Ŝe nie występują przerwy<br />
podczas przekształcenia zewnętrznego formatu danych na wewnętrzny format danych lub, Ŝe<br />
awaria systemu nie spowoduje utraty danych lub, Ŝe usterki powstałe z winy uŜytkownika<br />
transakcji nie będą prowadzić do nieotrzymania całości transakcji.<br />
Tajność – w bezpieczeństwie informacji, właściwość, zgodnie z którą informacja nie jest<br />
udostępniana ani ujawniana osobom nieupowaŜnionym, podmiotom lub procesom.<br />
Certyfikat cyfrowy – w kryptografii wiadomość, która gwarantuje autentyczność danych w<br />
niej zawartych. W kryptografii klucza publicznego w celu zagwarantowania autentyczności<br />
Jednostka Certyfikująca powinna wydać certyfikat, któremu ufają wszyscy uŜytkownicy.<br />
59
Certyfikat zawiera zazwyczaj toŜsamość posiadacza klucza publicznego, sam klucz publiczny<br />
oraz jego datę waŜności.<br />
Dokumenty cyfrowe - dane podmiotu publicznego, które istnieją w formacie elektronicznym<br />
lub cyfrowym, obejmujące nie tylko dokumenty, które zostały zdigitalizowane z nośników<br />
papierowych (np. listów), lecz równieŜ takie, które istnieją i są uŜywane jedynie w formie<br />
papierowej podczas całej ich „długości Ŝycia”.<br />
Podpis elektroniczny - Deszyfrowanie i szyfrowanie pliku w celu uwierzytelnienia<br />
określonego typu przekazu w usługach transakcji przeprowadzanych poprzez sieć, które<br />
zwykle muszą posiadać formę pisemną, aby były prawnie wiąŜące; stosowany przez<br />
administrację w celu bezpiecznej i legalnej komunikacji z obywatelami, firmami lub innymi<br />
podmiotami publicznymi (urząd-obywatel; urząd-przedsiębiorca; urząd-urząd).<br />
Domena – część hierarchii nazw internetu. Nazwa domeny dokładnie umiejscawia<br />
organizację lub inny podmiot w Internecie, na przykład: http://www.eurosai.org//. Adres<br />
strony http://www.eurosai-it.org stanowi subdomenę.<br />
Elektroniczne podejmowanie decyzji – współdziałanie pomiędzy podmiotami sektora<br />
publicznego oraz sposób, w jaki społeczeństwo się samo organizuje dla podejmowania<br />
zbiorowych decyzji poprzez stosowanie elektronicznych przejrzystych mechanizmów.<br />
e-<strong>administracja</strong> – stosowanie informacji oraz technologii komunikacyjnych przez organy<br />
rządowe, czego celem jest: (a) dostarczanie większej ilości/lub lepszej informacji oraz innych<br />
usług, zewnętrznie do obywateli i firm oraz wewnętrznie do innych organizacji rządowych;<br />
(b) usprawnienie operacji administracji w kontekście większej skuteczności, oraz/lub<br />
wydajności; (c ) zwiększenie udziału w Ŝyciu politycznym.<br />
e-zarządzanie – oznacza rozwój, rozmieszczenie oraz realizację polityk, ustaw oraz<br />
rozporządzeń koniecznych do wspierania funkcjonowania społeczeństwa cyfrowego oraz<br />
gospodarki. Kwestie zarządzania pojawiają się we wszystkich poziomach e-administracji.<br />
e-zamówienia publiczne - zastąpienie tradycyjnej dokumentacji handlowej na przykład<br />
zamówień zakupu i faktur poprzez dane przekazywane elektronicznie.<br />
System front office (lub front end) – infrastruktura komputerowa w organizacji opracowana<br />
przede wszystkim jako interfejs słuŜący do komunikowania się z klientami zewnętrznymi,<br />
takimi jak sieci internetowe lub portale.<br />
Ogólne mechanizmy <strong>IT</strong> - w bezpieczeństwie informacji, mechanizmy wdraŜane w<br />
środowisku <strong>IT</strong> po to, aby zewnętrzne parametry dotyczące niezawodności systemu, danych<br />
oraz niezawodności operacyjnej osiągnęły dopuszczalny poziom, zgodnie z potrzebami<br />
podmiotu publicznego. Mechanizmy te mają róŜny charakter i mogą być np. organizacyjne,<br />
fizyczne, wstępnie zaprogramowane oraz ręczne.<br />
Rzetelność – w bezpieczeństwie informacji właściwość, która oznacza, Ŝe dane otrzymane są<br />
tymi samymi danymi, co dane wysłane.<br />
60
Mechanizmy wewnętrzne - w bezpieczeństwie informacji, wstępnie zaprogramowane<br />
mechanizmy w systemie uŜytkownika mające na celu zapewnienie całkowitego, dokładnego<br />
oraz terminowego przetwarzania zatwierdzonych transakcji, takŜe mające na celu<br />
zapobieganie występowaniu błędów lub rzeczywiste zapewnienie, Ŝe błędy zostaną wykryte i<br />
naprawione.<br />
Interoperacyjność - w systemach informacyjnych, właściwość pozwalająca dwóm sieciom<br />
operatorów łączyć się ze sobą, aby usługi mogły ze sobą współdziałać w granicach<br />
wzajemnego połączenia.<br />
Demokracja online - prowadzenie działalności z udziałem obywateli w tworzeniu polityki<br />
poprzez procesy odbywające się w systemie komputerowym, oraz zwłaszcza przez Internet.<br />
Twórcy polityk mogą na przykład organizować sondaŜe lub referenda dotyczące konkretnych<br />
spraw związanych z polityką, takich jak plany zagospodarowania przestrzennego,<br />
proponowane ustawodawstwo itd. Wynik takich sondaŜy/referendów moŜe odgrywać rolę w<br />
procesie podejmowania decyzji.<br />
Kontrola wykonania zadań - kontrole wykonania zadań stanowią przeglądy przeznaczone<br />
do określenia jak wydajnie i skutecznie agencja wykonuje swoje funkcje. Kontrole wykonania<br />
zadań mogą stanowić przegląd programu rządowego, całej agencji rządowej lub jej części lub<br />
pozwalają analizować konkretne kwestie, które wpływają na cały sektor publiczny.<br />
Zamówienia publiczne - KaŜdy aspekt procesu określania zapotrzebowania na towary oraz<br />
usługi, oraz kupowanie, dostarczanie oraz przechowywanie ich. Zamówienia publiczne<br />
odgrywają rolę centralną w zarządzaniu dowolnymi operacjami i jest niezbędne, aby zdobyć<br />
konieczne towary oraz usługi dobrej jakości, po dobrej cenie oraz w odpowiednim czasie.jest<br />
kiedy kumulacja wymogów dotyczących zakupów umoŜliwia przeprowadzenie znacznych<br />
usprawnień odnośnie zwiększenia wartości. 24<br />
Certyfikat klucza publicznego – stwierdzenie, w miarę moŜliwości w formie papierowej,<br />
lecz o wiele częściej przekazywane elektronicznie przez sieć, które ustanawia relacje<br />
pomiędzy określoną jednostką (lub organizacją) a określonym kluczem publicznym. W<br />
zasadzie, powinien on (lecz nie musi) zawierać inne informacje, takie jak adres pocztowy,<br />
przynaleŜność do organizacji oraz numer telefonu.<br />
Niezaprzeczalność - w bezpieczeństwie informacji właściwość, która oznacza, Ŝe nadawca/<br />
odbiorca informacji nie moŜe zaprzeczyć faktu wysłania/otrzymania danych.<br />
Re-engineering procesów biznesowych – innowacja oraz przekształcenie procesów<br />
strukturalnych oraz procesów pracy w celu ulepszenia jakości usług oraz wydajności w<br />
sektorze publicznym.<br />
24 zdanie niepełne w oryginale<br />
61
Niezawodność - w systemach informatycznych zdolność systemu komputerowego,<br />
informatycznego lub telekomunikacyjnego do ciągłego działania zgodnego ze swoją<br />
specyfikacją oraz wymogami projektu, charakteryzująca się duŜym zaufaniem.<br />
Bezpieczeństwo – zbiór zabezpieczeń, które mają na celu zapewnienie, Ŝe poufność<br />
informacji chroni system(y) lub sieć(sieci), które je przetwarzały oraz kontroluje dostęp do<br />
nich. Stąd, zabezpieczenia tworzą odpowiednie zasady dostępu do informacji komputerowej.<br />
Karta inteligentna – elektroniczna technologia transakcyjna pozwalająca na<br />
przechowywanie i aktualizację informacji dotyczących uwierzytelniania lub kont<br />
uŜytkownika.<br />
Kontrola materialna - proces zbierania oraz oceny dowodów w celu sformułowania opinii<br />
na temat tego czy system <strong>kontroli</strong> wewnętrznej jest wiarygodny.<br />
Kontrola systemowa – proces gromadzenia i oceny materiału dowodowego w celu<br />
sformułowania opinii czy system informatyczny (aplikacja uŜytkownika) zabezpiecza aktywa,<br />
utrzymuje rzetelność danych, pozwala na osiągnięcie celów organizacji i określa wydajne<br />
wykorzystanie zasobów.<br />
Kontrola techniczna – proces zbierania i oceny dowodów w celu sformułowania<br />
opinii odnośnie tego czy (elementy) infrastruktury <strong>IT</strong> zabezpieczają aktywa, utrzymują<br />
rzetelność danych, pozwalają na spełnienie celów organizacji oraz określenie wydajnego<br />
stosowania zasobów. Infrastruktura <strong>IT</strong> oznacza tu sprzęt komputerowy, sieci, systemy<br />
operacyjne oraz wszelkie inne oprogramowanie, które nie stanowi aplikacji uŜytkownika<br />
(zarządzanie bazami danych, oprogramowanie bezpieczeństwa, systemy zarządzania centrum<br />
danych, itd.)<br />
Telematyka – zbiór technologii, które łączą w sobie telekomunikację i informatykę.<br />
Terminowość – w bezpieczeństwie informacji, właściwość zapewniona przez mechanizm<br />
systemu umiejscowiony bezpośrednio przed aplikacją uŜytkownika w celu zapewnienia, Ŝe w<br />
czasie występowania operacyjnych cykli aktualizacji przetwarzanie danych pobranych<br />
transakcji odbywa się w odpowiednim czasie.<br />
System uŜytkownika – aplikacja systemowa, która obejmuje kilka systemowych, opartych o<br />
<strong>IT</strong> oraz ręcznych funkcji administracyjnych w danym obszarze.<br />
Sprawdzanie poprawności/ zatwierdzenie – w bezpieczeństwie informacji, właściwość<br />
zapewniona przez mechanizm systemu zlokalizowany bezpośrednio przed aplikacją<br />
uŜytkownika w celu zapewnienia, Ŝe procedura zatwierdzenia otrzymanych transakcji<br />
zbiorowych jest gotowa do wdroŜenia i Ŝe zatwierdzenie jest przeprowadzane przez<br />
odpowiednio upowaŜniony personel (np. sprawdzenie poprawności celem zapewnienia, Ŝe<br />
tylko transakcje dotyczące podmiotu publicznego są przenoszone do aplikacji uŜytkownika).<br />
NaraŜenie na ataki – słabość w systemie, która moŜe być wykorzystana w celu naruszenia<br />
zamierzonego zachowania systemu. NaraŜenie na ataki moŜe dotyczyć bezpieczeństwa,<br />
62
zetelności, dostępności oraz innych właściwości. Przypadek wykorzystania takiej słabości<br />
stanowi zagroŜenie, któremu towarzyszy ryzyko wykorzystania.<br />
63